Zásady ochrany v Microsoft Fabric (Preview)
Zásady řízení přístupu (zásady ochrany) v Microsoft Purview umožňují organizacím řídit přístup k položkám v Prostředcích infrastruktury pomocí popisků citlivosti.
Cílovou skupinou pro tento článek jsou správci zabezpečení a dodržování předpisů, správci prostředků infrastruktury a uživatelé a všichni ostatní, kteří chtějí zjistit, jak zásady ochrany řídí přístup k položkám v prostředcích infrastruktury. Pokud chcete zjistit, jak vytvořit zásady ochrany pro Prostředky infrastruktury, přečtěte si téma Vytvoření a správa zásad ochrany pro Prostředky infrastruktury (Preview).
Poznámka:
Přidávání instančních objektů do zásad ochrany se v současné době nepodporuje prostřednictvím portálu Microsoft Purview. Pokud chcete instančním objektům povolit přístup k položkám chráněným zásadami ochrany, můžete je do zásad přidat pomocí rutiny PowerShellu. Otevřete lístek podpory a získejte přístup k rutině.
Upozorňujeme, že pokud do seznamu povolených uživatelů nepřidáte instanční objekty, instanční objekty, které aktuálně mají přístup k datům, budou odepřeny přístupy, což může způsobit přerušení aplikace. Instanční objekty se například dají použít pro ověřování aplikací pro přístup k sémantickým modelům.
Jak fungují zásady ochrany pro Prostředky infrastruktury?
Každá zásada ochrany pro prostředky infrastruktury je přidružená k popisku citlivosti. Zásady řídí přístup k položce, která má přidružený popisek, tím, že uživatelům a skupinám zadaným v zásadách umožní zachovat oprávnění, která mají k položce, a zároveň blokuje přístup všem ostatním. Zásady můžou:
Povolit zadaným uživatelům a skupinám zachovat oprávnění ke čtení u označených položek, pokud je mají. Všechna ostatní oprávnění, která mají k položce, budou odebrána.
a/nebo
Povolit zadaným uživatelům a skupinám zachovat úplnou kontrolu nad označenou položkou, pokud ji mají, nebo zachovat jakákoli oprávnění, která mají.
Jak už bylo zmíněno, zásady zablokuje přístup k položce pro všechny uživatele a skupiny, které nejsou uvedené v zásadách.
Poznámka:
Zásady ochrany se nevztahují na vystavitele popisků. To znamená, že uživatel, který naposledy použil popisek přidružený k zásadám ochrany u položky, nebude odepřen přístup k této položce, i když není v zásadách zadaný. Pokud je například zásada ochrany přidružená k popisku A a uživatel použije u položky popisek A, bude mít tento uživatel přístup k položce i v případě, že v zásadách není zadaný.
Případy použití
Tady jsou příklady, kde můžou být užitečné zásady ochrany:
- Organizace chce, aby k položkám označeným jako Důvěrné měli přístup jenom uživatelé v organizaci.
- Organizace chce, aby mohli upravovat datové položky označené jako Finanční data jenom uživatelé finančního oddělení a umožnit ostatním uživatelům v organizaci číst tyto položky.
Kdo vytváří zásady ochrany pro Prostředky infrastruktury?
Zásady ochrany prostředků infrastruktury obecně konfigurují týmy zabezpečení a dodržování předpisů v organizaci. Tvůrce zásad ochrany musí mít roli správce Information Protection nebo vyšší. Další informace najdete v tématu Vytváření a správa zásad ochrany pro Prostředky infrastruktury (Preview).
Požadavky
Licence Microsoft 365 E3/E5 požadovaná pro popisky citlivosti z Microsoft Purview Information Protection. Další informace naleznete v tématu Microsoft Purview Information Protection: Popisky citlivosti.
V tenantovi musí existovat aspoň jeden "správně nakonfigurovaný" popisek citlivosti z Microsoft Purview Information Protection. "Správně nakonfigurované" v kontextu zásad ochrany pro Prostředky infrastruktury znamená, že když byl popisek nakonfigurovaný, byl vymezen na Soubory a další datové prostředky a jeho nastavení ochrany bylo nastaveno tak, aby zahrnovalo řízení přístupu (informace o konfiguraci popisku citlivosti, viz Vytvoření a konfigurace popisků citlivosti a jejich zásad). K vytvoření zásad ochrany pro Prostředky infrastruktury je možné použít pouze takové "správně nakonfigurované" popisky citlivosti.
Aby se zásady ochrany vynutily v prostředcích infrastruktury, musí být povolené nastavení tenanta Fabric Povolit uživatelům používat popisky citlivosti pro obsah . Toto nastavení se vyžaduje pro vynucování zásad souvisejících se všemi popisky citlivosti v prostředcích infrastruktury, takže pokud se popisky citlivosti už používají v Prostředcích infrastruktury, toto nastavení už bude zapnuté. Další informace o povolení popisků citlivosti v prostředcích infrastruktury najdete v tématu Povolení popisků citlivosti.
Podporované typy položek
Zásady ochrany jsou podporovány pro všechny nativní typy položek infrastruktury a pro sémantické modely Power BI. Všechny ostatní typy položek Power BI se v současné době nepodporují.
Úvahy a omezení
Přidávání instančních objektů do zásad ochrany se v současné době nepodporuje prostřednictvím portálu Microsoft Purview. Pokud chcete instančním objektům povolit přístup k položkám chráněným zásadami ochrany, můžete je do zásad přidat pomocí rutiny PowerShellu. Otevřete lístek podpory a získejte přístup k rutině.
Upozorňujeme, že pokud do seznamu povolených uživatelů nepřidáte instanční objekty, instanční objekty, které aktuálně mají přístup k datům, budou odepřeny přístupy, což může způsobit přerušení aplikace. Instanční objekty se například dají použít pro ověřování aplikací pro přístup k sémantickým modelům.
Pomocí zásad ochrany pro Prostředky infrastruktury může existovat pouze jeden popisek na jednu zásadu ochrany a pouze jednu zásadu ochrany na popisek. Popisky používané v zásadách ochrany ale můžou být také přidružené k běžným zásadám popisků citlivosti.
Můžete vytvořit až 50 zásad ochrany.
Do zásad ochrany je možné přidat až 100 uživatelů a skupin.
Zásady ochrany pro Prostředky infrastruktury nepodporují hosta nebo externí uživatele.
Kanály ALM nebudou fungovat ve scénářích, kdy uživatel vytvoří kanál ALM v pracovním prostoru, který obsahuje položku chráněnou zásadou ochrany, která uživatele nezahrnuje.
Po vytvoření zásady může trvat až 30 minut, než začne zjišťovat a chránit položky označené popiskem citlivosti, který byl k zásadám přidružený.