Beskyttelsespolitikker i Microsoft Fabric (prøveversion)
Microsoft Purview Protection Access Control Policies (beskyttelsespolitikker) gør det muligt for organisationer at styre adgangen til elementer i Fabric ved hjælp af følsomhedsmærkater.
Målgruppen for denne artikel er administratorer af sikkerhed og overholdelse af angivne standarder, Fabric-administratorer og -brugere og alle andre, der ønsker at få mere at vide om, hvordan beskyttelsespolitikker styrer adgangen til elementer i Fabric. Hvis du vil se, hvordan du opretter en beskyttelsespolitik for Fabric, skal du se Opret og administrer beskyttelsespolitikker for Fabric (prøveversion).
Bemærk
Tilføjelse af tjenesteprincipaler til beskyttelsespolitikker understøttes ikke i øjeblikket via Microsoft Purview-portalen. Hvis du vil give tjenesteprincipaler adgang til elementer, der er beskyttet af en beskyttelsespolitik, kan du føje dem til politikken via en PowerShell-cmdlet. Åbn en supportanmodning for at få adgang til cmdlet'en.
Bemærk, at hvis du ikke føjer tjenesteprincipaler til listen over tilladte brugere, vil tjenesteprincipaler, der i øjeblikket har adgang til data, blive nægtet adgang, hvilket kan medføre, at dit program afbrydes. Tjenesteprincipaler kan f.eks. bruges til programgodkendelse for at få adgang til semantiske modeller.
Hvordan fungerer beskyttelsespolitikker for Fabric?
Hver beskyttelsespolitik for Fabric er knyttet til en følsomhedsmærkat. Politikken styrer adgangen til et element, der har det tilknyttede navn, ved at give brugere og grupper, der er angivet i politikken, tilladelse til at bevare de tilladelser, de har til elementet, samtidig med at de blokerer for adgang for alle andre. Politikken kan:
Tillad, at angivne brugere og grupper bevarer læsetilladelsen for navngivne elementer, hvis de har den. Alle andre tilladelser, de har til elementet, fjernes.
Eller
Tillad, at angivne brugere og grupper bevarer fuld kontrol over det navngivne element, hvis de har det, eller at bevare de tilladelser, de har.
Som nævnt blokerer politikken adgangen til elementet for alle brugere og grupper, der ikke er angivet i politikken.
Bemærk
En beskyttelsespolitik gælder ikke for en etiketudsteder. Det vil altså være, at den bruger, der sidst anvendte en mærkat, der er knyttet til en beskyttelsespolitik på et element, ikke nægtes adgang til det pågældende element, selvom de ikke er angivet i politikken. Hvis en beskyttelsespolitik f.eks. er knyttet til mærkat A, og en bruger anvender mærkaten A på et element, kan brugeren få adgang til elementet, selvom vedkommende ikke er angivet i politikken.
Bruge sager
Følgende er eksempler på, hvor beskyttelsespolitikker kan være nyttige:
- En organisation ønsker, at det kun er brugere i organisationen, der kan få adgang til elementer, der er mærket som "Fortroligt".
- En organisation ønsker, at det kun er brugere i økonomiafdelingen, der kan redigere dataelementer, der er mærket som "Finansielle data", samtidig med at andre brugere i organisationen kan læse disse elementer.
Hvem skaber beskyttelsespolitikker for Fabric?
Beskyttelsespolitikker for Fabric konfigureres generelt af en organisations Purview-sikkerheds- og overholdelsesteams. Opretteren af beskyttelsespolitikken skal have rollen Som Administrator af beskyttelse af oplysninger eller nyere. Du kan få flere oplysninger under Opret og administrer beskyttelsespolitikker for Fabric (prøveversion).
Krav
En Microsoft 365 E3/E5-licens som påkrævet til følsomhedsmærkater fra Microsoft Purview Information Protection. Du kan få flere oplysninger under Microsoft Purview Information Protection: Følsomhedsmærkater.
Der skal være mindst én "korrekt konfigureret" følsomhedsmærkat fra Microsoft Purview Information Protection i lejeren. "Korrekt konfigureret" i forbindelse med beskyttelsespolitikker for Fabric betyder, at da mærkaten blev konfigureret, var den begrænset til Filer & andre dataaktiver, og dens beskyttelsesindstillinger blev angivet til at omfatte kontroladgang (du kan få oplysninger om konfiguration af følsomhedsmærkater under Opret og konfigurer følsomhedsmærkater og deres politikker). Kun sådanne "korrekt konfigurerede" følsomhedsmærkater kan bruges til at oprette beskyttelsespolitikker for Fabric.
Hvis beskyttelsespolitikker skal gennemtvinges i Fabric, skal lejerindstillingen Tillad brugere at anvende følsomhedsmærkater for indhold være aktiveret. Denne indstilling er påkrævet for al håndhævelse af politikken for følsomhedsmærkater i Fabric, så hvis følsomhedsmærkater allerede bruges i Fabric, er denne indstilling allerede slået til. Du kan få flere oplysninger om aktivering af følsomhedsmærkater i Fabric under Aktivér følsomhedsmærkater.
Understøttede elementtyper
Beskyttelsespolitikker understøttes for alle oprindelige Fabric-elementtyper og for semantiske Power BI-modeller. Alle andre Power BI-elementtyper understøttes ikke i øjeblikket.
Overvejelser og begrænsninger
Tilføjelse af tjenesteprincipaler til beskyttelsespolitikker understøttes ikke i øjeblikket via Microsoft Purview-portalen. Hvis du vil give tjenesteprincipaler adgang til elementer, der er beskyttet af en beskyttelsespolitik, kan du føje dem til politikken via en PowerShell-cmdlet. Åbn en supportanmodning for at få adgang til cmdlet'en.
Bemærk, at hvis du ikke føjer tjenesteprincipaler til listen over tilladte brugere, vil tjenesteprincipaler, der i øjeblikket har adgang til data, blive nægtet adgang, hvilket kan medføre, at dit program afbrydes. Tjenesteprincipaler kan f.eks. bruges til programgodkendelse for at få adgang til semantiske modeller.
Med beskyttelsespolitikker for Fabric kan der kun være én mærkat pr. beskyttelsespolitik og kun én beskyttelsespolitik pr. mærkat. De mærkater, der bruges i beskyttelsespolitikker, kan dog også knyttes til almindelige politikker for følsomhedsmærkater.
Der kan oprettes op til 50 beskyttelsespolitikker.
Der kan føjes op til 100 brugere og grupper til en beskyttelsespolitik.
Beskyttelsespolitikker for Fabric understøtter ikke gæste-/eksterne brugere.
ALM-pipelines fungerer ikke i scenarier, hvor en bruger opretter en ALM-pipeline i et arbejdsområde, der indeholder et element, der er beskyttet af en beskyttelsespolitik, som ikke omfatter brugeren.
Når en politik er blevet oprettet, kan det tage op til 30 minutter, før den begynder at registrere og beskytte elementer, der er mærket med den følsomhedsmærkat, der var knyttet til politikken.