Microsoft Fabric -suojaus
Microsoft Fabric on SaaS-pilvipalvelu, jonka avulla käyttäjät voivat noutaa, luoda, jakaa ja visualisoida tietoja.
SaaS-palveluna Fabric tarjoaa täydellisen suojauspaketin koko käyttöympäristölle. Fabric poistaa suojausratkaisun ylläpidon kustannukset ja vastuut ja siirtää sen pilveen. Fabricin avulla voit hyödyntää Microsoftin asiantuntemusta ja resursseja tietoihisi, jotta ne pysyvät suojattuina, haavoittuvuuksia korjataan, uhkien valvontaan ja säädösten noudattamiseen. Fabricin avulla voit myös hallita, hallita ja valvoa suojausasetuksiasi muuttuvien tarpeidesi ja vaatimustesi mukaisesti.
Kun tuot tietosi pilvipalveluun ja käytät niitä erilaisissa analyysikokemuksissa, kuten Power BI:ssä, Data Factoryssa ja Synapsen seuraavassa sukupolvessa, Microsoft varmistaa, että sisäiset suojaus- ja luotettavuusominaisuudet suojaavat tiedot levossa ja siirrossa. Microsoft varmistaa myös, että tiedot ovat palautettavissa infrastruktuurivirheiden tai häiriöiden tapauksessa.
Fabric-suojaus on:
Always on – Kaikki Fabric-vuorovaikutukset salataan oletusarvoisesti ja todennetaan Microsoft Entra -tunnuksella. Kaikki Fabric-kokemusten välinen viestintä kulkee Microsoftin runko-internetin kautta. Levossa säilytettävät tiedot tallennetaan automaattisesti salattuina. Voit säännellä Fabric-käyttöoikeutta lisäämällä ylimääräisiä suojausominaisuuksia, kuten yksityiset linkit tai Entran ehdollinen käyttöoikeus . Fabric voi muodostaa yhteyden myös palomuurin tai yksityisen verkon suojaamiin tietoihin luotetulla käyttöoikeudella.
Yhteensopiva – Fabric sisältää valmista dataomavaraisuutta multi geo-kapasiteeteilla. Fabric tukee myös monenlaisia yhteensopivuusstandardeja.
Hallittu – Fabric sisältää joukon hallintatyökaluja, kuten tietojen historiatietojen, tietosuojaotsikoiden, tietojen menetyksen estämisen ja purview-integroinnin.
Määritettävissä – Voit määrittää Fabric-suojauksen organisaatiokäytäntöjen mukaisesti.
Kehittymässä – Microsoft parantaa Fabric-suojausta jatkuvasti lisäämällä uusia ominaisuuksia ja ohjausobjekteja.
Todenna
Microsoft Fabric on SaaS-ympäristö, kuten monet muut Microsoft-palvelut, kuten Azure, Microsoft Office, OneDrive ja Dynamics. Kaikki nämä Microsoft SaaS -palvelut, mukaan lukien Fabric, käyttävät Microsoft Entra ID:tä pilvipohjaisena tunnistetietopalvelunaan. Microsoft Entra ID:n avulla käyttäjät voivat muodostaa näihin palveluihin yhteyden nopeasti ja helposti mistä tahansa laitteesta ja verkosta. Jokainen Pyyntö yhteyden muodostamiseksi Fabriciin todennetaan Microsoft Entra -tunnuksella, jonka avulla käyttäjät voivat turvallisesti muodostaa yhteyden Fabriciin yrityksen toimistosta, kotona työskennellessään tai etäsijainnista.
Tutustu verkon suojaukseen
Fabric on SaaS-palvelu, joka toimii Microsoftin pilvipalvelussa. Joihinkin tilanteisiin liittyy yhteyden muodostaminen Tietoihin, jotka ovat Fabric-ympäristön ulkopuolella. Voit esimerkiksi tarkastella raporttia omasta verkostasi tai yhdistää toisessa palvelussa olevia tietoja. Fabric-järjestelmän vuorovaikutukset käyttävät Microsoftin sisäistä verkkoa, ja palvelun ulkopuolinen liikenne on oletusarvoisesti suojattu. Lisätietoja ja yksityiskohtainen kuvaus on kohdassa Siirrossa olevat tiedot.
Saapuvan verkon suojaus
Organisaatiosi saattaa haluta rajoittaa ja suojata Fabriciin tulevaa verkkoliikennettä yrityksesi vaatimusten mukaan. Microsoft Entra ID:n ehdollisen käyttöoikeuden ja yksityisten linkkien avulla voit valita organisaatiollesi oikean saapuvan ratkaisun.
Microsoft Entra -tunnuksen ehdollinen käyttöoikeus
Microsoft Entra ID tarjoaa Fabricille ehdollisen käyttöoikeuden , jonka avulla voit suojata Fabric-yhteyden käytön kaikissa yhteyksissä. Seuraavassa on muutama esimerkki käyttöoikeusrajoituksista, joita voit käyttää ehdollisen käyttöoikeuden avulla.
Määritä IPS-luettelo Fabriciin saapuvaa yhteyttä varten.
Käytä monimenetelmäistä todentamista (MFA).
Rajoita liikennettä sellaisten parametrien perusteella, joita ovat esimerkiksi alkuperämaa tai laitetyyppi.
Jos haluat määrittää ehdollisen käyttöoikeuden, siirry ohjeartikkeliin Ehdollinen käyttöoikeus Fabricissa.
Jos haluat lisätietoja todentamisessa Fabricissa, katso Microsoft Fabric -suojauksen perusteet.
Yksityiset linkit
Yksityiset linkit mahdollistavat suojatun yhteyden Fabriciin rajoittamalla Fabric-vuokraajan käyttöoikeuksia Azure-näennäisverkosta (VNet) ja estämällä kaiken julkisen käytön. Näin varmistetaan, että vain kyseisestä VNetistä peräisin oleva verkkoliikenne saa käyttää Fabric-toimintoja, kuten Notebooks-tiloja, Lakehouse-tiloja, tietovarastoja ja vuokraajasi tietokantoja.
Jos haluat määrittää Yksityiset linkit Fabricissa, katso Yksityisten linkkien määrittäminen ja käyttäminen.
Lähtevän verkon suojaus
Fabric sisältää erilaisia työkaluja, joiden avulla voit muodostaa yhteyden ulkoisiin tietolähteisiin ja tuoda tiedot Fabriciin turvallisesti. Tässä osiossa luetellaan eri tapoja tuoda ja yhdistää suojatusta verkosta tietoihin kankaaseen.
Luotetun työtilan käyttöoikeus
Fabricilla voit käyttää azure Data Lake Gen 2 -tilejä suojatusti palomuurin avulla. Fabric-työtilat, joilla on työtilan käyttäjätiedot, voivat käyttää Azure Data Lake Gen 2 -tilejä turvallisesti, kun julkinen verkkoyhteys on käytössä, valituista näennäisverkoista ja IP-osoitteista. Voit rajoittaa ADLS Gen 2:n käyttöoikeuksia tiettyihin Fabric-työtiloihin. Lisätietoja on kohdassa Luotetun työtilan käyttöoikeus.
Muistiinpano
Fabric-työtilan käyttäjätietoja voidaan luoda vain Fabric F -SKU-kapasiteettiin liittyvissä työtiloissa. Lisätietoja Fabric-tilauksen ostamisesta on artikkelissa Microsoft Fabric -tilauksen ostaminen.
Hallitut yksityiset päätepisteet
Hallitut yksityiset päätepisteet mahdollistavat suojatut yhteydet tietolähteisiin, kuten Azure SQL -tietokantoihin, näyttämättä niitä julkiselle verkkolle tai edellyttämättä monimutkaisia verkkomäärityksiä.
Hallitut näennäisverkot
Hallitut näennäisverkot ovat näennäisverkkoja, jotka Microsoft Fabric luo ja joita se hallitsee kullekin Fabric-työtilalle. Hallitut näennäisverkot eristävät Fabric Spark -kuormitukset, mikä tarkoittaa sitä, että käsittelyklusterit otetaan käyttöön erillisessä verkossa eivätkä ne enää kuulu jaettuun näennäisverkkoon.
Hallitut näennäisverkot mahdollistavat myös verkon suojausominaisuuksia, kuten hallittuja yksityisiä päätepisteitä sekä yksityisen linkin tuen Microsoft Fabricin datatekniikan ja datatieteen kohteille, jotka käyttävät Apache Sparkiä.
Tietoyhdyskäytävä
Jos haluat muodostaa yhteyden paikallisiin tietolähteisiin tai tietolähteeseen, joka voidaan suojata palomuurilla tai näennäisverkolla, voit käyttää jotakin seuraavista vaihtoehdoista:
Paikallinen tietoyhdyskäytävä – Yhdyskäytävä toimii siltana paikallisten tietolähteiden ja Fabric-tietolähteiden välillä. Yhdyskäytävä asennetaan palvelimeen verkon sisällä, ja se sallii Fabricin muodostaa yhteyden tietolähteisiin suojatun kanavan kautta ilman, että sinun tarvitsee avata portteja tai tehdä muutoksia verkkoosi.
Näennäisverkon (VNet) tietoyhdyskäytävä : VNet-yhdyskäytävän avulla voit muodostaa yhteyden Microsoftin pilvipalveluista Azure-tietopalveluihin VNetissä ilman paikallisen tietoyhdyskäytävän tarvetta.
Yhteyden muodostaminen OneLakeen olemassa olevasta palvelusta
Voit muodostaa yhteyden Fabriciin käyttämällä aiemmin luotua Azure Platform as a Service (PaaS) -palvelua. Synapsen ja Azure Data Factoryn (ADF) kohdalla voit käyttää Azure Integration Runtimea (IR) tai Azure Data Factoryn hallittua näennäisverkkoa. Voit myös muodostaa yhteyden näihin palveluihin ja muihin palveluihin, kuten tietovoiden yhdistämiseen, Synapse Spark -klustereihin, Databricks Spark -klustereihin ja Azure HDInsightiin OneLake-ohjelmointirajapintojen avulla.
Azure-palvelutunnisteet
Palvelutunnisteiden avulla voit käsitellä tietoja ilman Azure-näennäisverkossa käyttöön otettujen tietolähteiden, kuten Azure SQL -näennäiskoneiden (VM), Azure SQL:n hallitun esiintymän (MI) ja REST-ohjelmointirajapintojen, käyttöä. Palvelutunnisteiden avulla voit myös noutaa liikenteen näennäisverkosta tai Azuren palomuurista. Palvelutunnisteet voivat esimerkiksi sallia lähtevän liikenteen Fabriciin, jotta näennäiskoneen käyttäjä voi muodostaa yhteyden Fabric SQL -yhteysmerkkijonoon SSMS:stä, mutta häntä ei saa käyttää muihin julkisiin Internet-resursseihin.
IP-sallittujen luettelot
Jos sinulla on tietoja, jotka eivät sijaita Azuressa, voit ottaa käyttöön IP-sallittujen luettelon organisaatiosi verkossa, jotta liikenne Fabriciin ja Fabricista sallitaan. IP-osoitteiden sallittujen luettelo on hyödyllinen, jos haluat saada tietoja tietolähteistä, jotka eivät tue palvelutunnisteita, kuten paikallisista tietolähteistä. Näillä pikakuvakkeilla voit noutaa tietoja kopioimatta niitä OneLakeen käyttämällä Lakehouse SQL -analytiikan päätepistettä tai Direct Lakea.
Voit noutaa kangas-IP:t paikallisesta Palvelutunnisteet-kohdasta. Luettelo on saatavilla JSON-tiedostona tai ohjelmallisesti REST-ohjelmointirajapinnan, PowerShellin ja Azure Command-Line Interfacen (CLI) avulla.
Suojatut tiedot
Fabricissa kaikki OneLakeen tallennetut tiedot salataan levossa. Kaikki levossa säilytettävät tiedot tallennetaan kotialueeseesi tai johonkin kapasiteettiisi haluamallasi etäalueella, jotta täytät levossa säilytettävien suvereniteettisääntöjen mukaiset tiedot. Lisätietoja on artikkelissa Microsoft Fabric -suojauksen perusteet.
Usean alueen vuokraajien ymmärtäminen
Monet organisaatiot ovat maailmanlaajuisia ja tarvitsevat palveluita useilla Azuren maantieteellisillä alueilla. Yrityksellä voi olla esimerkiksi pääkonttori Yhdysvalloissa, ja se voi samalla tehdä liiketoimintaa muilla maantieteellisillä alueilla, kuten Australiassa. Paikallisten säännösten noudattamiseksi yritysten, joilla on maailmanlaajuinen asema, on varmistettava, että tiedot säilytetään levossa useilla alueilla. Fabricissa tätä kutsutaan Multi-Geoksi.
Kyselyn suoritustaso, kyselyn välimuistit ja Multi-Geo-työtilaan määritetyt kohdetiedot pysyvät Azuren luontiympäristön maantieteellisellä alueella. Jotkin metatiedot ja käsittely tallennetaan kuitenkin lepäämään vuokraajan kotialueen.
Fabric on osa Microsoftin suurempaa ekosysteemiä. Jos organisaatiosi käyttää jo muita pilvipalvelutilauksen palveluita, kuten Azurea, Microsoft 365:tä tai Dynamics 365:tä, Fabric toimii samassa Microsoft Entra -vuokraajassa. Organisaatiosi toimialue (esimerkiksi contoso.com) on liitetty Microsoft Entra -tunnukseen. Kuten kaikki Microsoftin pilvipalvelut.
Fabric varmistaa, että tietosi ovat suojattuja kaikilla alueilla, kun työskentelet useiden vuokraajien kanssa, joilla on useita kapasiteetteja useilla alueilla.
Tietojen looginen erittely – Fabric-ympäristö tarjoaa vuokraajille loogisen eristyksen tietojesi suojaamiseksi.
Tietojen suvereniteetti – Katso Multi-Geo-tuen määrittäminen Fabricille artikkelista Multi-Geo-tuen määrittäminen.
Tietojen käyttö
Fabric hallitsee tietojen käyttöä työtilojen avulla. Työtiloissa tiedot näkyvät Fabric-kohteiden muodossa, eivätkä käyttäjät voi tarkastella tai käyttää kohteita (tietoja), ellet anna heille käyttöoikeutta työtilaan. Lisätietoja työtilasta ja kohteen käyttöoikeuksista on kohdassa Käyttöoikeusmalli.
Työtilaroolit
Työtilan käyttöoikeudet on lueteltu alla olevassa taulukossa. Se sisältää työtilaroolit sekä Fabric- ja OneLake-suojauksen. Katselijan roolissa olevat käyttäjät voivat suorittaa SQL-, Data Analysis Expressions (DAX) tai MDX (Multidimensional Expressions) -kyselyitä, mutta he eivät voi käyttää Fabric-kohteita tai suorittaa muistikirjaa.
Rooli | Työtilan käyttöoikeus | OneLake-käyttöoikeus |
---|---|---|
Järjestelmänvalvoja, jäsen ja osallistuja | Voi käyttää kaikkia työtilan kohteita | ✅ |
Katselija | Näet kaikki työtilan kohteet | ❌ |
Jaa kohteita
Voit jakaa Fabric-kohteita organisaatiosi käyttäjille, joilla ei ole mitään työtilaroolia. Kohteiden jakaminen tarjoaa rajoitetun käyttöoikeuden, jolloin käyttäjät voivat käyttää vain työtilan jaettua kohdetta.
Rajoita käyttöoikeuksia
Voit rajoittaa katselijan käyttöoikeuksia tietoihin käyttämällä rivitason suojausta (RLS), saraketason suojausta (CLS) ja objektitason suojausta (OLS). RLS:n, CLS:n ja OLS:n avulla voit luoda käyttäjätietoja, joilla on pääsy tietojesi tiettyihin osiin, ja rajoittaa SQL-tulosten palauttavan vain sen, mitä käyttäjän käyttäjätiedot voivat käyttää.
Voit myös lisätä rivitason suojauksen DirectLake-tietojoukkoon. Jos määrität suojauksen sekä SQL:lle että DAX:lle, DirectLake palaa DirectQueryyn taulukoille, joissa on SQL:n RLS. Tällaisissa tapauksissa DAX- tai MDX-tulokset rajoittuvat käyttäjän käyttäjätietoihin.
Jos haluat näyttää raportit DirectLake-tietojoukon ja rivitason suojauksen avulla ilman DirectQuery-varaasetusta, käytä suoraa tietojoukon jakamista tai sovelluksia Power BI:ssä. Power BI :n sovelluksilla voit antaa raporttien käyttöoikeuden ilman katselijan käyttöoikeutta. Tällainen käyttöoikeus tarkoittaa, että käyttäjät eivät voi käyttää SQL:ää. Jotta DirectLake voi lukea tietoja, sinun on vaihdettava tietolähteen tunnistetiedot kertakirjautumisesta kiinteään käyttäjätietoon, jolla on lake-tiedostojen käyttöoikeudet.
Suojaa tiedot
Fabric tukee Microsoft Purview Information Protectionin luottamuksellisuustunnisteita. Näitä tunnisteita, kuten Yleiset, Luottamuksellinen ja Erittäin luottamuksellinen, joita käytetään laajalti Microsoft Office -sovelluksissa, kuten Wordissa, PowerPointissa ja Excelissä luottamuksellisten tietojen suojaamiseksi. Fabricissa voit luokitella luottamuksellisia tietoja sisältäviä kohteita käyttämällä näitä samoja luottamuksellisuustunnisteita. Luottamuksellisuustunnisteet seuraavat sitten tietoja automaattisesti kohteesta kohteeseen, kun ne kulkevat Fabricin läpi aina tietolähteestä yrityskäyttäjään. Luottamuksellisuustunniste kulkee myös silloin, kun tiedot viedään tuettuihin muotoihin, kuten PBIX, Excel, PowerPoint tai PDF, ja varmistaa, että tiedot pysyvät suojattuina. Vain valtuutetut käyttäjät voivat avata tiedoston. Lisätietoja on artikkelissa Microsoft Fabric -hallinta ja -yhteensopivuus.
Voit hallinnoida, suojata ja hallita tietojasi Microsoft Purview'n avulla. Microsoft Purview ja Fabric toimivat yhdessä, ja niiden avulla voit tallentaa, analysoida ja hallinnoida tietojasi yhdestä sijainnista, Microsoft Purview Hubista.
Palauta tiedot
Fabric-tietojen vikasietoisuus varmistaa, että tiedot ovat käytettävissä järjestelmäkaavoissa. Fabric mahdollistaa myös tietojen palauttamisen järjestelmäpalautuksen yhteydessä. Lisätietoja on artikkelissa Luotettavuus Microsoft Fabricissa.
Hallitse kangasta
Fabric-järjestelmänvalvojana saat hallintaominaisuuksia koko organisaatiolle. Fabric mahdollistaa järjestelmänvalvojaroolin delegoinnin kapasiteetteihin, työtiloihin ja toimialueisiin. Siirtämällä järjestelmänvalvojan vastuut oikeille henkilöille voit ottaa käyttöön mallin, jonka avulla useat keskeiset järjestelmänvalvojat voivat hallita yleisiä Fabric-asetuksia organisaatiossa, kun taas muut järjestelmänvalvojat, jotka vastaavat tiettyihin alueisiin liittyvistä asetuksista.
Järjestelmänvalvojat voivat eri työkaluilla valvoa myös fabric-keskeistä ominaisuuksia, kuten kapasiteetin kulutusta.
Valvontalokit
Voit tarkastella valvontalokeja noudattamalla ohjeita artikkelissa Käyttäjien toiminnan seuraaminen Microsoft Fabricissa. Voit myös tarkastella Toiminto-luetteloa, josta näet valvontalokeista haettavissa olevat toiminnot.
Ominaisuudet
Tässä osiossa on luettelo joistakin Microsoft Fabricin suojausominaisuuksista.
Ominaisuus | Kuvaus |
---|---|
Ehdollinen käyttöoikeus | Suojaa sovelluksesi Microsoft Entra -tunnuksen avulla |
Lockbox | Hallitse sitä, miten Microsoftin teknikot käyttävät tietojasi |
Fabric- ja OneLake-suojaus | Lue, miten voit suojata tietosi Fabricissa ja OneLakessa. |
Kimmoisuus | Luotettavuus ja alueellinen vikasietoisuus Azure-käytettävyysvyöhykkeiden avulla |
Palvelutunnisteet | Azure SQL:n hallitun esiintymän (MI) ottaminen käyttöön Microsoft Fabricista tulevien yhteyksien sallimiseksi |