Sichern von Daten mit Fabric, Compute Engines und OneLake
Fabric bietet ein mehrschichtiges Sicherheitsmodell zum Verwalten des Datenzugriffs. Die Sicherheit kann für einen gesamten Arbeitsbereich, für einzelne Elemente oder über granulare Berechtigungen in jedem Fabric-Modul festgelegt werden. OneLake hat eigene Sicherheitsüberlegungen, die in diesem Dokument beschrieben werden.
OneLake-Datenzugriffsrollen (Vorschau)
OneLake-Datenzugriffsrollen (Vorschau) ermöglichen Benutzern das Erstellen benutzerdefinierter Rollen innerhalb eines Lakehouses und das Erteilen von Leseberechtigungen nur für die angegebenen Ordner beim Zugriff auf OneLake. Für jede OneLake-Rolle können Benutzer Benutzer, Sicherheitsgruppen oder eine automatische Zuweisung basierend auf der Arbeitsbereichsrolle zuweisen.
Erfahren Sie mehr über das OneLake-Datenzugriffssteuerungsmodell und erste Schritte mit dem Datenzugriff.
Sicherheit mit Verknüpfungen
Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung. Die Sicherheit des OneLake-Ordners gilt für OneLake-Verknüpfungen basierend auf Rollen, die im Lakehouse definiert sind, in dem die Daten gespeichert werden.
Weitere Informationen zu den Sicherheitsaspekten von Verknüpfungen finden Sie unter Modell zur Zugriffssteuerung in OneLake. Weitere Informationen zu Verknüpfungen finden Sie hier.
Authentifizierung
OneLake verwendet Microsoft Entra ID für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert automatisch die Benutzeridentität aus Tools, die die Microsoft Entra-Authentifizierung verwenden, und ordnen sie den Berechtigungen zu, die Sie im Fabric-Portal festgelegt haben.
Hinweis
Um Dienstprinzipale in einem Fabric-Mandanten verwenden zu können, muss ein*e Mandantenadministrator*in Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren. Weitere Informationen zum Aktivieren von Dienstprinzipalen in den Entwickler-Einstellungen des Mandantenadministratorportals
Überwachungsprotokolle
Um Ihre OneLake-Überwachungsprotokolle anzuzeigen, befolgen Sie die Anweisungen in Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric. OneLake-Vorgangsnamen entsprechen ADLS-APIs wie CreateFile oder DeleteFile. OneLake-Überwachungsprotokolle enthalten keine Leseanforderungen oder Anforderungen, die über Fabric-Workloads an OneLake vorgenommen wurden.
Verschlüsselung und Netzwerke
Ruhende Daten
In OneLake gespeicherte Daten werden im Ruhezustand standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Von Microsoft verwaltete Schlüssel werden entsprechend gedreht. Daten in OneLake werden auf transparente Weise ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform.
Die Verschlüsselung im Ruhezustand mit kundenseitig verwalteten Schlüsseln wird derzeit nicht unterstützt. Sie können dieses Feature auf Microsoft Fabric Ideas anfordern.
Daten während der Übertragung
Daten, die über das öffentliche Internet zwischen Microsoft-Dienste übertragen werden, werden immer mit mindestens TLS 1.2 verschlüsselt. Fabric verhandelt nach Möglichkeit mit TLS 1.3. Der Datenverkehr zwischen Microsoft-Dienste leitet immer über das globale Microsoft-Netzwerk weiter.
Die eingehende OneLake-Kommunikation erzwingt auch TLS 1.2 und verhandelt nach Möglichkeit mit TLS 1.3. Die ausgehende Fabric-Kommunikation mit der kundeneigenen Infrastruktur bevorzugt sichere Protokolle, kann aber auf ältere, unsichere Protokolle (einschließlich TLS 1.0) zurückgreifen, wenn neuere Protokolle nicht unterstützt werden.
Private Links
Informationen zum Konfigurieren von privaten Links in Fabric finden Sie unter Einrichten und Nutzen privater Links.
Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können
OneLake bietet die Möglichkeit, den Zugriff auf Daten von Anwendungen einzuschränken, die außerhalb von Fabric-Umgebungen ausgeführt werden. Administrator*innen finden die Einstellung im OneLake Abschnitt des Mandantenverwaltungsportal. Wenn Sie diese Option aktivieren, können Benutzer*innen über alle Quellen auf Daten zugreifen. Wenn Sie die Option deaktivieren, können Benutzer*innen nicht über Anwendungen zugreifen, die außerhalb von Fabric-Umgebungen ausgeführt werden. Der Zugriff auf die Daten kann beispielsweise über Anwendungen erfolgen, die Azure Data Lake Storage (ADLS) APIs oder den OneLake File Explorer nutzen.