Beskyt følsomme data i SQL-databasen med Microsoft Purview-beskyttelsespolitikker

Artikel
11/24/2024

Gælder for:✅SQL-database i Microsoft Fabric

Microsoft Purview er en serie datastyrings-, risiko- og overholdelsesløsninger, der kan hjælpe din organisation med at styre, beskytte og administrere hele din dataejendom. Microsoft Purview giver dig bl.a. mulighed for at mærke dine SQL-databaseelementer med følsomhedsmærkater og definere beskyttelsespolitikker, der styrer adgangen baseret på følsomhedsmærkater.

I denne artikel forklares det, hvordan Microsoft Purview-beskyttelsespolitikker fungerer sammen med Microsoft Fabric-adgangskontrolelementer og SQL-adgangskontrolelementer i SQL-databasen i Microsoft Fabric.

Du kan finde generelle oplysninger om Microsoft Purview-funktioner til Microsoft Fabric, herunder SQL-database, i artiklerne i Relateret indhold.

Sådan fungerer beskyttelsespolitikker i SQL-database

Hver beskyttelsespolitik for Microsoft Fabric er knyttet til en følsomhedsmærkat. En beskyttelsespolitik styrer adgangen til elementer, der har det tilknyttede navn, via to adgangskontrolelementer:

Tillad, at brugere bevarer læseadgang – Når indstillingen er aktiveret, kan de angivne brugere (eller de brugere, der tilhører de angivne grupper) bevare tilladelsen Læs element for elementer med mærkater, hvis de angivne brugere allerede har tilladelsen. Alle andre tilladelser, som de angivne brugere har til elementet, fjernes. I SQL-databasen kræves tilladelsen Læs element, for at en bruger kan oprette forbindelse til en database. Hvis en bruger ikke er angivet i dette adgangskontrolelement, kan brugeren derfor ikke oprette forbindelse til databasen.
Tillad, at brugerne bevarer fuld kontrol – Når indstillingen er aktiveret, kan de angivne brugere (eller de brugere, der tilhører de angivne grupper) bevare fuld kontrol over det navngivne element, hvis de angivne brugere allerede har det, eller andre tilladelser, de måtte have. For SQL-databaseelementer giver dette kontrolelement brugerne mulighed for at bevare tilladelsen Skriv element, hvilket betyder, at brugeren bevarer fuld administrativ adgang i databasen. Hvis en bruger ikke er angivet i dette adgangskontrolelement, fjernes tilladelsen Skriv element effektivt fra brugeren. Dette kontrolelement har ingen indvirkning på brugerens oprindelige SQL-tilladelser i databasen. Du kan få flere oplysninger under Eksempel 4 og Begrænsninger.

Skærmbillede af siden definer adgangskontrol i konfiguration af beskyttelsespolitik.

Eksempler

Eksemplerne i dette afsnit deler følgende konfiguration:

En organisation har et Microsoft Fabric-arbejdsområde med navnet Produktion.
Arbejdsområdet indeholder et SQL-databaseelement med navnet Sales, der har følsomhedsmærkaten Fortroligt.
I Microsoft Purview er der en beskyttelsespolitik, der gælder for Microsoft Fabric. Politikken er knyttet til følsomhedsmærkaten Fortroligt.

Eksempel 1

En bruger er medlem af rollen Bidragyder for arbejdsområdet Produktion.
Kontrolelementet Tillad brugere at bevare læseadgang er aktiveret, men det omfatter ikke brugeren.
Kontrolelementet Tillad brugere at bevare fuld kontroladgang er deaktiveret/inaktiv.

Politikken fjerner brugerens tilladelse til at læse elementer, og brugeren kan derfor ikke oprette forbindelse til salgsdatabasen. Brugeren kan derfor ikke læse eller få adgang til nogen data i databasen.

Eksempel 2

En bruger har tilladelsen Læs element for databasen Sales.
Brugeren er medlem af rollen på db_owner oprindelige SQL-databaseniveau i databasen.
Kontrolelementet Tillad brugere at bevare læseadgang er aktiveret, men det omfatter ikke brugeren.
Kontrolelementet Tillad brugere at bevare fuld kontroladgang er deaktiveret/inaktiv.

Politikken fjerner brugerens tilladelse til at læse elementer, og brugeren kan derfor ikke oprette forbindelse til sales-databasen, uanset brugerens oprindelige SQL-tilladelser (tildelt via brugerens medlemskab af rollen db_owner) i databasen. Brugeren kan derfor ikke læse eller få adgang til nogen data i databasen.

Eksempel 3

En bruger er medlem af rollen Bidragyder for arbejdsområdet Produktion.
Brugeren har ingen oprindelige SQL-tilladelser i databasen.
Kontrolelementet Tillad brugere at bevare læseadgang er aktiveret, og det omfatter brugeren.
Indstillingen Tillad brugere at bevare fuld kontrol over adgang er aktiveret, men den omfatter ikke brugeren.

Som medlem af rollen Bidragyder har brugeren indledningsvist alle tilladelser til databasen Sales, herunder Læs, LæsData og Skriv. Kontrolelementet Tillad brugere at bevare læseadgang i politikken gør det muligt for brugeren at bevare tilladelserne Læs og ReadData, men kontrolelementet Tillad brugere at bevare fuld kontrol over adgang fjerner brugerens skrivetilladelse. Brugeren kan derfor oprette forbindelse til databasen og læse data, men brugeren mister den administrative adgang til databasen, herunder muligheden for at skrive/redigere data.

Eksempel 4

En bruger har tilladelsen Læs element for databasen Sales.
Brugeren er medlem af rollen på db_owner oprindelige SQL-databaseniveau i databasen.
Kontrolelementet Tillad brugere at bevare læseadgang er aktiveret, og det omfatter brugeren.
Indstillingen Tillad brugere at bevare fuld kontrol over adgang er aktiveret, men den omfatter ikke brugeren.

Kontrolelementet Tillad brugere at bevare læseadgang i politikken gør det muligt for brugeren at bevare tilladelsen Læs. Da brugeren ikke indledningsvist har fuld kontroladgang (tilladelsen Skriv element), har tilladelsen Tillad brugere at bevare fuld kontrol over adgang ikke nogen indvirkning på brugerens tilladelse, der er tildelt i Microsoft Fabric. Tilladelsen Tillad brugere at bevare fuld kontrol over adgang påvirker ikke brugerens oprindelige SQL-tilladelse i databasen. Som medlem af rollen db_owner har brugeren fortsat administrativ adgang til databasen. Se Begrænsninger.

Begrænsninger

Tillad brugere at bevare fuld kontrol over adgangskontrol i Microsoft Purview-beskyttelsespolitikker har ingen indvirkning på oprindelige SQL-tilladelser, der er tildelt til brugere i en database.

Del via