创建启用了数据外泄保护功能的工作区

  • 项目

本文介绍如何创建启用了数据外泄保护功能的工作区,以及如何管理该工作区的经过批准的 Microsoft Entra 租户。

注意

创建工作区后,无法更改托管虚拟网络和数据外泄保护功能的工作区配置。

先决条件

  • 用于在 Azure 中创建工作区资源的权限。
  • 用于创建托管的专用终结点的 Synapse 工作区权限。
  • 注册了网络资源提供程序的订阅。 了解详细信息。

请按照快速入门:创建 Synapse 工作区中列出的步骤开始创建工作区。 创建工作区之前,请根据以下信息向工作区中添加数据外泄保护。

创建工作区时添加数据外泄保护

  1. 在“网络”选项卡上,选中“启用托管的虚拟网络”复选框。
  2. 对于“仅允许出站数据流量流向批准目标”选项,选择“是”。
  3. 为该工作区选择批准的 Microsoft Entra 租户。
  4. 查看配置并创建工作区。 Screenshot that shows a Create Synapse workspace with 'Enable manage virtual network' selected.

管理工作区的已批准 Microsoft Entra 租户

  1. 在工作区的 Azure 门户中,导航到“批准的 Microsoft Entra 租户”。 此处将列出工作区的批准的 Microsoft Entra 租户列表。 默认包含工作区的租户,但不列出。
  2. 使用“+添加”将新的租户加入批准列表。
  3. 若要从批准列表中删除 Microsoft Entra 租户,请选中租户,然后依次选择“删除”和“保存”。 Create a workspace with data exfiltration protection

连接到批准的 Microsoft Entra 租户中的 Azure 资源

可以创建托管的专用终结点,以连接到工作区批准的 Microsoft Entra 租户中驻留的 Azure 资源。 请按照创建托管的专用终结点指南中列出的步骤进行操作。

重要

非工作区租户中的资源不能设阻止防火墙规则,这样 SQL 池才能连接这些资源。 工作区的托管虚拟网络中的资源(例如 Spark 群集)可以通过托管的专用链接连接到受防火墙保护的资源。

已知的限制

用户可以提供环境配置文件,从 PyPI 等公共存储库安装 Python 包。 在具有数据外泄保护功能的工作区中,将阻止与出站存储库的连接。 因此,不支持从 PyPI 等公共存储库安装的 Python 库。

作为替代方法,用户可以上传工作区包,或者在其主要 Azure Data Lake Storage 帐户中创建一个专用通道。 有关详细信息,请访问 Azure Synapse Analytics 中的包管理

后续步骤