Sicherheit in Microsoft Fabric
Microsoft Fabric ist eine Software-as-a-Service-Plattform (SaaS), mit der Benutzer Daten abrufen, erstellen, freigeben und visualisieren können.
Als SaaS-Dienst bietet Fabric ein vollständiges Sicherheitspaket für die gesamte Plattform. Mit Fabric entfallen die Kosten und die Verantwortung für die Unterhaltung Ihrer Sicherheitslösung, die in die Cloud verlagert wird. Mit Fabric können Sie mithilfe des Know-hows und der Ressourcen von Microsoft Ihre Daten sicher halten, Sicherheitsrisiken beseitigen, Bedrohungen überwachen und Vorschriften einhalten. Fabric ermöglicht ihnen außerdem die Verwaltung, Steuerung und Überwachung Ihrer Sicherheitseinstellungen entsprechend Ihren veränderlichen Bedürfnissen und Anforderungen.
Wenn Sie Ihre Daten in die Cloud übertragen und mit verschiedenen Analysefunktionen wie Power BI, Data Factory und der nächsten Generation von Synapse nutzen, sorgt Microsoft für den Schutz Ihrer ruhenden und in Übertragung begriffenen Daten durch integrierte Sicherheits- und Zuverlässigkeitsfeatures. Microsoft stellt außerdem sicher, dass Ihre Daten bei Infrastrukturausfällen oder Notfällen wiederhergestellt werden können.
Sicherheit mit Fabric ist:
Always On – Jede Interaktion mit Fabric wird standardmäßig verschlüsselt und mit Microsoft Entra ID authentifiziert. Die gesamte Kommunikation zwischen verschiedenen Fabric-Erfahrungen erfolgt über das Microsoft Backbone-Internet. Ruhende Daten werden automatisch verschlüsselt gespeichert. Um den Zugriff auf Fabric zu regeln, können Sie zusätzliche Sicherheitsfeatures wie Private Links oder bedingten Entra-Zugriff hinzufügen. Fabric kann mithilfe eines vertrauenswürdigen Zugriffs auch eine Verbindung zu Daten herstellen, die durch eine Firewall oder ein privates Netzwerk geschützt sind.
Compliance – Fabric bietet sofort einsatzbereite Datenhoheit mit Multi-Geo-Kapazitäten. Außerdem unterstützt Fabric eine Vielzahl von Compliance-Standards.
Steuerbar – Fabric verfügt über eine Reihe von Verwaltungs-Tools wie Datenherkunft, Informationsschutz-Bezeichnungen, Verhinderung von Datenverlust und Purview-Integration.
Konfigurierbar – Sie können die Fabric-Sicherheit entsprechend Ihren organisationsweiten Richtlinien konfigurieren.
Entwicklungsfähig – Die Fabric-Sicherheit wird von Microsoft mit neuen Features und Steuerelementen ständig weiter verbessert.
Authenticate
Microsoft Fabric ist eine SaaS-Plattform, wie viele andere Microsoft-Dienste wie Azure, Microsoft Office, OneDrive und Dynamics. Alle diese Microsoft-SaaS-Dienste, einschließlich Fabric, verwenden Microsoft Entra ID als cloudbasierten Identitätsanbieter. Microsoft Entra ID hilft Benutzern, schnell und einfach von jedem Gerät und jedem Netzwerk aus eine Verbindung mit diesen Diensten herzustellen. Jede Anforderung zur Verbindung mit Fabric wird mit der Microsoft Entra ID authentifiziert, so dass Benutzer sich sicher mit Fabric verbinden können, egal ob sie im Büro, zu Hause oder von einem Remote-Standort aus arbeiten.
Grundlegendes zur Netzwerksicherheit
Fabric ist SaaS-Dienst, der in der Microsoft-Cloud ausgeführt wird. Einige Szenarien umfassen das Herstellen einer Verbindung mit Daten, die sich außerhalb der Fabric-Plattform befinden. Beispielsweise können Sie einen Bericht aus Ihrem eigenen Netzwerk anzeigen oder eine Verbindung mit Daten herstellen, die sich in einem anderen Dienst befinden. Interaktionen innerhalb von Fabric nutzen das interne Microsoft-Netzwerk und der Verkehr außerhalb des Dienstes ist standardmäßig geschützt. Weitere Informationen und eine detaillierte Beschreibung finden Sie unter „in Übertragung begriffene Daten“.
Sicherheit bei eingehendem Netzwerkdatenverkehr
Ihre Organisation möchte vielleicht die Netzwerkauslastung, die in Fabric eingeht, entsprechend den Anforderungen Ihres Unternehmens einschränken und sichern. Mit bedingtem Zugriff auf Microsoft Entra ID und privaten Links können Sie die richtige eingehende Lösung für Ihre Organisation auswählen.
Bedingter Zugriff von Microsoft Entra ID
Microsoft Entra ID ermöglicht Fabric den bedingten Zugriff, was Ihnen erlaubt, den Zugang zu Fabric bei jeder Verbindung zu sichern. Hier sind einige Beispiele für Zugriffseinschränkungen, die Sie mit bedingtem Zugriff erzwingen können.
Definieren Sie eine Liste von IPs für eingehende Konnektivität mit Fabric.
Verwenden Sie die Multi-Faktor-Authentifizierung (MFA).
Einschränken des Datenverkehrs basierend auf Parametern wie Herkunftsland oder Gerätetyp.
Informationen zum Konfigurieren des bedingten Zugriffs finden Sie unter Bedingter Zugriff in Fabric.
Um mehr über die Authentifizierung in Fabric zu erfahren, lesen Sie bitte die Microsoft Fabric Sicherheitsgrundlagen.
Private Links
Private Links ermöglichen eine sichere Verbindung mit Fabric, indem sie den Zugriff auf Ihren Fabric-Mandanten über ein virtuelles Azure-Netzwerk (VNet) einschränken und den gesamten öffentlichen Zugriff blockieren. Dadurch wird sichergestellt, dass nur Netzwerkdatenverkehr von diesem VNet auf Fabric-Features wie Notebooks, Lakehouses und Data Warehouses in Ihrem Mandanten zugreifen darf.
Informationen zum Konfigurieren von privaten Links in Fabric finden Sie unter Einrichten und Nutzen privater Links.
Ausgehende Netzwerksicherheit
Fabric verfügt über eine Reihe von Tools, mit denen Sie eine Verbindung mit externen Datenquellen herstellen und diese Daten auf sichere Weise in Fabric übertragen können. In diesem Abschnitt werden verschiedene Möglichkeiten aufgeführt, wie Sie Daten aus einem sicheren Netzwerk in die Fabric importieren und mit ihr verbinden können.
Zugriff auf vertrauenswürdige Arbeitsbereiche
Fabric ermöglicht Ihnen den sicheren Zugriff auf Firewall-aktivierte Azure Data Lake Gen2-Konten. Fabric-Arbeitsbereiche, die über eine Arbeitsbereich-Identität verfügen, können sicher auf Azure Data Lake Gen2-Konten zugreifen, wenn der öffentliche Netzwerkzugriff über ausgewählte virtuelle Netzwerke und IP-Adressen aktiviert ist. Sie können den ADLS Gen2-Zugriff auf bestimmte Fabric-Arbeitsbereiche einschränken. Weitere Informationen finden Sie unter Vertrauenswürdiger Zugriff auf den Arbeitsbereich.
Hinweis
Arbeitsbereich-Identitäten können nur in Arbeitsbereichen erstellt werden, die einer Fabric-F-SKU-Kapazität zugeordnet sind. Informationen zum Kauf eines Fabric-Abonnements finden Sie unter Kaufen eines Microsoft Fabric-Abonnements.
Verwaltete private Endpunkte
Verwaltete private Endpunkte ermöglichen sichere Verbindungen zu Datenquellen wie Azure SQL-Datenbanken, ohne sie für das öffentliche Netzwerk verfügbar zu machen oder komplexe Netzwerkkonfigurationen zu erfordern.
Verwaltete virtuelle Netzwerke
Verwaltete virtuelle Netzwerke sind virtuelle Netzwerke, die von Microsoft Fabric für jeden Fabric-Arbeitsbereich erstellt und verwaltet werden. Verwaltete virtuelle Netzwerke bieten Netzwerkisolation für Fabric Spark-Workloads, d. h., die Computecluster werden in einem dedizierten Netzwerk bereitgestellt und sind nicht mehr Teil des freigegebenen virtuellen Netzwerks.
Verwaltete virtuelle Netzwerke ermöglichen außerdem Netzwerksicherheitsfeatures wie verwaltete private Endpunkte und Unterstützung für private Verbindungen für Datentechnik- und Data Science-Elemente in Microsoft Fabric, die Apache Spark verwenden.
Datengateway
Um eine Verbindung zu lokalen Datenquellen herzustellen, oder zu einer Datenquelle, die möglicherweise durch eine Firewall oder ein Virtual Network geschützt ist, können Sie eine dieser Optionen verwenden:
Lokales Datengateway – Das Gateway fungiert als Brücke zwischen Ihren lokalen Datenquellen und Fabric. Das Gateway wird auf einem Server in Ihrem Netzwerk installiert und ermöglicht es Fabric, sich über einen sicheren Kanal mit Ihren Datenquellen zu verbinden, ohne dass Sie Ports öffnen oder Änderungen an Ihrem Netzwerk vornehmen müssen.
Datengateway für virtuelle Netzwerke (Virtual Network, VNet) – Mit dem VNet-Gateway können Sie innerhalb eines VNet eine Verbindung von Microsoft Cloud Services zu Ihren Azure-Datendiensten herstellen, ohne dass ein lokales Datengateway erforderlich ist.
Verbindung von einem vorhandenen Dienst zu OneLake herstellen
Sie können über Ihren vorhandenen Azure-Platform as-a-Service-Dienst (PaaS) eine Verbindung mit Fabric herstellen. Für Synapse und Azure Data Factory (ADF) können Sie Azure Integration Runtime (IR) oder ein von Azure Data Factory verwaltetes virtuelles Netzwerk verwenden. Sie können auch über OneLake-APIs eine Verbindung zu diesen und anderen Diensten herstellen, wie Zuordnungsdatenflüsse, Synapse Spark-Cluster, Databricks Spark-Cluster und Azure HDInsight.
Azure-Diensttags
Verwenden Sie Diensttags zum Erfassen von Daten ohne Einsatz von Datengateways aus Datenquellen, die in einem virtuellen Azure-Netzwerk bereitgestellt werden, wie z. B. Azure SQL Virtual Machines (VMs), Azure SQL Managed Instance (MI) und REST-APIs. Sie können Diensttags auch zum Abrufen von Datenverkehr aus einem virtuellen Netzwerk oder einer Azure-Firewall verwenden. Diensttags können z.B. ausgehenden Datenverkehr zu Fabric zulassen, sodass ein Benutzer auf einer VM eine Verbindung mit Fabric SQL-Verbindungszeichenfolge von SSMS herstellen kann, während der Zugriff auf andere öffentliche Internetressourcen blockiert wird.
Liste zugelassener IP-Adressen
Wenn Sie Daten haben, die nicht in Azure angesiedelt sind, können Sie im Netzwerk Ihrer Organisation eine Liste zugelassener IP-Adressen aktivieren, damit der Datenverkehr zu und von Fabric zugelassen wird. Eine Liste zugelassener IP-Adressen ist nützlich, wenn Sie Daten aus Datenquellen abrufen müssen, die keine Diensttags unterstützen, wie z. B. lokale Datenquellen. Mit diesen Verknüpfungen können Sie Daten abrufen, ohne sie über einen Lakehouse SQL-Analyseendpunkt oder Direct Lake in OneLake zu kopieren.
Sie können die Liste der Fabric-IPs aus den lokalen Diensttags abrufen. Die Liste ist als JSON-Datei oder programmgesteuert mit REST-APIs, PowerShell und Azure-Befehlszeilenschnittstelle (CLI) verfügbar.
Schützen von Daten
In Fabric werden alle in OneLake gespeicherten Daten im Ruhezustand verschlüsselt. Alle ruhenden Daten werden in Ihrer Heimatregion oder in einer Ihrer Kapazitäten in einer entfernten Region Ihrer Wahl gespeichert, so dass Sie die Bestimmungen zu ruhenden Daten erfüllen können. Weitere Informationen finden Sie unter Microsoft Fabric-Sicherheitsgrundlagen.
Grundlegendes zu Mandanten in mehreren Regionen
Viele Organisationen sind global präsent und benötigen Dienste in mehreren geografischen Azure-Regionen. Ein Unternehmen kann beispielsweise seinen Hauptsitz in den Vereinigten Staaten haben, aber auch in anderen geografischen Gebieten, wie z. B. Australien, tätig sein. Zur Einhaltung lokaler Vorschriften müssen Unternehmen mit globaler Präsenz sicherstellen, dass Daten in mehreren Regionen ruhend gespeichert bleiben. In Fabric wird dies als Multi-Geo bezeichnet.
Die Abfrageausführungsebene, Abfragecaches und Elementdaten, die einem Multi-Geo-Arbeitsbereich zugewiesen sind, bleiben in der geografischen Azure-Region, in der sie erstellt wurden. Einige Metadaten und die Verarbeitung werden jedoch ruhend in der geografischen Heimatregion des Mandanten gespeichert.
Fabric ist Teil eines größeren Microsoft-Ökosystems. Wenn Ihre Organisation bereits andere Cloudabonnementdienste wie Azure, Microsoft 365 oder Dynamics 365 verwendet, wird Fabric im selben Microsoft Entra-Mandanten ausgeführt. Ihre Organisationsdomäne (z. B. contoso.com) ist Microsoft Entra ID zugeordnet. Wie alle Microsoft Cloud Services.
Fabric wahrt die regionenübergreifende Sicherheit Ihrer Daten, wenn Sie mit mehreren Mandanten mit unterschiedlichen Kapazitäten in einer Reihe geografischer Regionen arbeiten.
Logische Datentrennung – Die Fabric-Plattform sorgt zum Schutz Ihrer Daten für eine logische Isolation zwischen Mandanten.
Datenhoheit – Informationen zum Arbeiten mit Multi-Geo finden Sie unter Konfigurieren der Multi-Geo-Unterstützung für Fabric.
Zugreifen auf Daten
Fabric steuert den Datenzugriff mithilfe von Arbeitsbereichen. In Arbeitsbereichen erscheinen Daten in Form von Fabric-Elementen, und Benutzer können Elemente (Daten) nur anzeigen oder nutzen, wenn ihnen Zugriff auf den Arbeitsbereich gewährt wurde. Weitere Informationen zu Arbeitsbereichs- und Elementberechtigungen finden Sie unter Berechtigungsmodell.
Arbeitsbereichsrollen
Der Arbeitsbereichszugriff ist in der folgenden Tabelle aufgeführt. Er umfasst Arbeitsbereichsrollen und Fabric- und OneLake-Sicherheit. Benutzer mit einer Viewer-Rolle können Abfragen für SQL, Data Analysis Expressions (DAX) oder Multidimensional Expressions (MDX) ausführen, aber nicht auf Fabric-Elemente zugreifen oder ein Notebook ausführen.
Role | Arbeitsbereichszugriff | OneLake-Zugriff |
---|---|---|
Administrator, Mitglied und Mitwirkender | Kann alle Elemente im Arbeitsbereich nutzen | ✅ |
Zuschauer | Kann alle Elemente im Arbeitsbereich anzeigen | ❌ |
Freigeben von Elementen
Sie können Fabric-Elemente für Benutzer in Ihrer Organisation freigeben, die keine Arbeitsbereichsrolle haben. Die Freigabe von Elementen gewährt einen eingeschränkten Zugriff. Benutzer können nur auf das freigegebene Element im Arbeitsbereich zugreifen.
Beschränken des Zugriffs
Sie können den Viewer-Zugriff auf Daten mithilfe von Sicherheit auf Zeilenebene (RLS), Sicherheit auf Spaltenebene (CLS) und Sicherheit auf Objektebene (OLS) einschränken. Mit RLS, CLS und OLS können Sie Benutzeridentitäten mit Zugriff auf bestimmte Teile Ihrer Daten erstellen und SQL-Ergebnisse so einschränken, dass nur das zurückgegeben wird, worauf die Identität des Benutzers Zugriff hat.
Auch ein DirectLake-Dataset kann mit RLS versehen werden. Wenn Sie die Sicherheit für SQL und DAX definieren, greift DirectLake für Tabellen mit RLS in SQL auf DirectQuery zurück. In solchen Fällen sind DAX- oder MDX-Ergebnisse auf die Identität des Benutzers beschränkt.
Um Berichte mit einem DirectLake-Dataset mit RLS ohne Rückgriff auf DirectQuery zu erstellen, verwenden Sie die direkte Datensatzfreigabe oder Apps in Power BI. Mit Apps in Power BI können Sie den Zugriff auf Berichte ohne Viewer-Zugriff gewähren. Diese Art von Zugriff bedeutet, dass die Benutzer SQL nicht verwenden können. Damit DirectLake die Daten lesen kann, müssen Sie die Anmeldedaten für die Datenquelle von Single Sign-On (SSO) auf eine feste Identität mit Zugriff auf die Dateien im Lake umstellen.
Schützen von Daten
Fabric verwendet Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection. Dies sind die Bezeichnungen, wie z. B. Allgemein, Vertraulich und Streng vertraulich, die in Microsoft Office-Apps wie Word, PowerPoint und Excel häufig zum Schutz sensibler Informationen verwendet werden. In Fabric können Sie Elemente, die vertrauliche Daten enthalten, mit denselben Vertraulichkeitsbezeichnungen klassifizieren. Die Vertraulichkeitsbezeichnungen folgen dann automatisch von Element zu Element den Daten, die durch Fabric laufen, und zwar den ganzen Weg von der Datenquelle zum Geschäftsbenutzer. Die Vertraulichkeitsbezeichnung bleibt auch dann erhalten, wenn die Daten in unterstützte Formate wie PBIX, Excel, PowerPoint und PDF exportiert werden, so dass der Schutz Ihrer Daten gewährleistet ist. Nur autorisierte Benutzer können die Datei öffnen. Weitere Informationen finden Sie unter Governance und Compliance in Microsoft Fabric.
Microsoft Purview unterstützt Sie bei der Verwaltung, dem Schutz und der Verwaltung Ihrer Daten. Microsoft Purview und Fabric arbeiten zusammen, sodass Sie Ihre Daten an einem einzigen Ort, dem Microsoft-Purview-Hub, speichern, analysieren und steuern können.
Daten wiederherstellen
Die Fabric-Datenresilienz stellt sicher, dass Ihre Daten im Notfall verfügbar sind. Fabric ermöglicht ihnen im Notfall auch das Wiederherstellen Ihrer Daten in Form einer Notfallwiederherstellung. Weitere Informationen finden Sie unter Zuverlässigkeit in Microsoft Fabric.
Fabric verwalten
Als Administrator in Fabric können Sie Funktionen für die gesamte Organisation steuern. Fabric ermöglicht die Delegation der Administratorrolle an Kapazitäten, Arbeitsbereiche und Domänen. Durch die Delegierung von Verwaltungsaufgaben an die richtigen Personen können Sie ein Modell implementieren, bei dem mehrere Hauptadministratoren die allgemeinen Fabric-Einstellungen im gesamten Unternehmen kontrollieren, während andere Administratoren für die Einstellungen in bestimmten Bereichen zuständig sind.
Mithilfe verschiedener Tools können Admins auch wichtige Fabric-Aspekte wie den Kapazitätsverbrauch überwachen.
Überwachungsprotokolle
Um Ihre Überwachungsprotokolle anzuzeigen, befolgen Sie die Anweisungen unter Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric. Sie können auch auf die Vorgangsliste verweisen, um zu sehen, welche Aktivitäten für die Suche in den Überwachungsprotokollen verfügbar sind.
Capabilities
In diesem Abschnitt finden Sie eine Liste mit einigen der in Microsoft Fabric verfügbaren Sicherheitsfeatures.
Funktion | Beschreibung |
---|---|
Bedingter Zugriff | Sichern Sie Ihre Apps mit Microsoft Entra ID |
Lockbox | Kontrollieren Sie, wie Microsoft-Techniker*innen auf Ihre Daten zugreifen |
Fabric- und OneLake-Sicherheit | Erfahren Sie, wie Sie Ihre Daten in Fabric und OneLake sichern können. |
Resilienz | Zuverlässigkeit und regionale Resilienz mit Azure-Verfügbarkeitszonen |
Diensttags | Aktivieren Sie eine Azure SQL Managed Instance (MI), um eingehende Verbindungen von Microsoft Fabric zuzulassen |