Microsoft Fabricin suojauskäytännöt (esiversio)
Microsoft Purview protectionin käyttöoikeuksien valvontakäytäntöjen (suojauskäytäntöjen) avulla organisaatiot voivat hallita Fabric-kohteiden käyttöä luottamuksellisuustunnisteiden avulla.
Tämän artikkelin kohderyhmänä ovat suojauksen ja yhteensopivuuden järjestelmänvalvojat, Fabric-järjestelmänvalvojat ja käyttäjät sekä kaikki muut, jotka haluavat tietää, miten suojauskäytännöt ohjaavat Fabric-kohteiden käyttöoikeuksia. Jos haluat nähdä, miten Voit luoda Fabric-suojauskäytännön, katso Fabric-suojauskäytäntöjen luominen ja hallinta (esikatselu).
Muistiinpano
Palvelujen päänimien lisäämistä suojauskäytäntöihin ei tällä hetkellä tueta Microsoft Purview -portaalin kautta. Jos haluat antaa palvelun päänimien käyttää suojauskäytännöllä suojattuja kohteita, voit lisätä ne käytäntöön PowerShellin cmdlet-komennon avulla. Saat cmdlet-komennon käyttöön avaamalla tukipalvelupyynnön.
Huomaa, että jos et lisää palvelun päänimiä sallittujen käyttäjäluetteloon, palvelun päänimiltä, joilla on tällä hetkellä tietojen käyttöoikeus, ei sallita käyttöoikeutta, mikä saattaa aiheuttaa sovelluksen keskeytymisen. Palvelun päänimiä voidaan käyttää esimerkiksi sovelluksen todentamiseen semanttisten mallien käyttämiseksi.
Miten Fabric-suojauskäytännöt toimivat?
Jokainen Fabric-suojauskäytäntö liittyy luottamuksellisuustunnisteeseen. Käytäntö hallitsee sellaisen kohteen käyttöä, jolla on siihen liittyvä tunniste. Se sallii käytännössä määritettyjen käyttäjien ja ryhmien säilyttää kohteelle määritetyt käyttöoikeudet samalla, kun se estää kaikkien muiden käyttöoikeudet. Käytäntö voi
Salli määritettyjen käyttäjien ja ryhmien säilyttää lukuoikeus merkityissä kohteissa, jos niillä on se. Kaikki muut käyttöoikeudet, jotka heillä on kohteeseen, poistetaan.
tai
Salli määritettyjen käyttäjien ja ryhmien säilyttää merkittyjen kohteiden täydet oikeudet , jos niillä on kohde, tai säilyttää käyttöoikeudet, joita heillä on.
Kuten mainitsin, käytäntö estää kohteen käyttämisen kaikille käyttäjille ja ryhmille, joita ei ole määritetty käytännössä.
Muistiinpano
Suojauskäytäntö ei koske tunnisteiden myöntäjää. Toisin sanoen käyttäjältä, joka viimeksi on käyttänyt kohteen suojauskäytäntöön liittyvää tunnistetta, ei ole käyttöoikeutta kyseiseen kohteeseen, vaikka sitä ei määritetä käytännössä. Jos esimerkiksi suojauskäytäntö on liitetty tunnisteeseen A ja käyttäjä käyttää kohteelle tunnistetta A, kyseinen käyttäjä voi käyttää kohdetta, vaikka sitä ei olisi määritetty käytännössä.
Käyttötapaukset
Seuraavissa esimerkeissä suojauskäytännöistä voi olla hyötyä:
- Organisaatio haluaa, että vain organisaation käyttäjät voivat käyttää luottamuksellisiksi merkittyjä kohteita.
- Organisaatio haluaa, että vain talousosaston käyttäjät voivat muokata "Taloustiedot"-tunnisteilla merkittyjä tietokohteita. Samalla organisaation muut käyttäjät voivat lukea näitä kohteita.
Kuka luo Fabricin suojauskäytännöt?
Fabric-suojauskäytännöt ovat yleisesti organisaation Purview-suojaus- ja yhteensopivuustiimien määrittämiä. Suojauskäytännön tekijällä on oltava rooli Information Protection -järjestelmänvalvoja tai uudempi. Lisätietoja on artikkelissa Fabric-suojauskäytäntöjen luominen ja hallinta (esiversio).
Vaatimukset
Microsoft 365 E3/E5 -käyttöoikeus, kun se vaaditaan Microsoft Purview Information Protectionin luottamuksellisuustunnisteille. Lisätietoja on artikkelissa Microsoft Purview Information Protection: Luottamuksellisuustunnisteet.
Vähintään yhden Microsoft Purview Information Protectionin luottamuksellisuustunnisteen on oltava vuokraajassa. "Määritetty asianmukaisesti" Fabric-suojauskäytäntöjen yhteydessä tarkoittaa sitä, että kun tunniste määritettiin, se suodatettiin tiedostoihin ja muihin tietoresurssteihin, ja sen suojausasetuksissa oli ohjausobjektin käyttöoikeus (lisätietoja luottamuksellisuustunnisteiden määrityksestä oli kohdassa Luottamuksellisuustunnisteiden ja niiden käytäntöjen luominen ja määrittäminen). Fabric-suojauskäytännöt voidaan luoda vain tällaisilla "asianmukaisesti määritetyillä" luottamuksellisuustunnisteilla.
Jotta suojauskäytännöt voidaan ottaa käyttöön Fabric-vuokraajassa, Fabric-vuokraaja-asetus Salli käyttäjien käyttää luottamuksellisuustunnisteita sisällölle -asetus on otettava käyttöön. Tämä asetus vaaditaan luottamuksellisuustunnisteiden käytännön pakottamiseen Fabricissa, joten jos luottamuksellisuustunnisteita käytetään jo Fabricissa, tämä asetus on jo käytössä. Jos haluat lisätietoja luottamuksellisuustunnisteiden käyttöönotosta Fabricissa, lue ohjeartikkeli Luottamuksellisuustunnisteiden käyttöönotto.
Tuetut kohdetyypit
Suojauskäytäntöjä tuetaan kaikille alkuperäisille Fabric-kohdetyypeille sekä Power BI:n semanttisille malleille. Kaikkia muita Power BI -kohdetyyppejä ei tällä hetkellä tueta.
Huomioitavat asiat ja rajoitukset
Palvelujen päänimien lisäämistä suojauskäytäntöihin ei tällä hetkellä tueta Microsoft Purview -portaalin kautta. Jos haluat antaa palvelun päänimien käyttää suojauskäytännöllä suojattuja kohteita, voit lisätä ne käytäntöön PowerShellin cmdlet-komennon avulla. Saat cmdlet-komennon käyttöön avaamalla tukipalvelupyynnön.
Huomaa, että jos et lisää palvelun päänimiä sallittujen käyttäjäluetteloon, palvelun päänimiltä, joilla on tällä hetkellä tietojen käyttöoikeus, ei sallita käyttöoikeutta, mikä saattaa aiheuttaa sovelluksen keskeytymisen. Palvelun päänimiä voidaan käyttää esimerkiksi sovelluksen todentamiseen semanttisten mallien käyttämiseksi.
Fabric-ympäristön suojauskäytännöissä suojauskäytäntöjä kohden voi olla vain yksi tunniste ja tunnistetta kohden vain yksi suojauskäytäntö. Suojauskäytännöissä käytetyt tunnisteet voidaan kuitenkin liittää myös tavallisiin luottamuksellisuustunnistekäytäntöihin.
Voit luoda enintään 50 suojauskäytäntöä.
Suojauskäytäntöön voi lisätä enintään 100 käyttäjää ja ryhmää.
Fabric-suojauskäytännöt eivät tue vieras- tai ulkoisia käyttäjiä.
ALM-putket eivät toimi tilanteissa, joissa käyttäjä luo ALM-putken työtilaan, joka sisältää suojatun kohteen suojauskäytännöllä, joka ei sisällä käyttäjää.
Käytännön luomisen jälkeen saattaa kestää jopa 30 minuuttia, ennen kuin käytäntöön liitetyllä luottamuksellisuustunnisteella merkittyjen kohteiden tunnistaminen ja suojaaminen alkaa.