Beskyttelsespolicyer i Microsoft Fabric (forhåndsversjon)
Microsoft Purview protection access control policies (protection policies) gjør det mulig for organisasjoner å kontrollere tilgangen til elementer i Fabric ved hjelp av følsomhetsetiketter.
Målgruppen for denne artikkelen er sikkerhets- og samsvarsadministratorer, Fabric-administratorer og -brukere, og alle andre som ønsker å lære om hvordan beskyttelsespolicyer kontrollerer tilgangen til elementer i Fabric. Hvis du vil se hvordan du oppretter en beskyttelsespolicy for Fabric, kan du se Opprette og administrere beskyttelsespolicyer for Fabric (forhåndsversjon).
Merk
Å legge til tjenestekontohavere i beskyttelsespolicyer støttes for øyeblikket ikke via Microsoft Purview-portalen. Hvis du vil gjøre det mulig for tjenestekontohavere å få tilgang til elementer som er beskyttet av en beskyttelsespolicy, kan du legge dem til i policyen via en PowerShell-cmdlet. Åpne en støtteforespørsel for å få tilgang til cmdleten.
Vær oppmerksom på at hvis du ikke legger til tjenestekontohavere i den tillatte listen over brukere, vil tjenestekontohavere som for øyeblikket har tilgang til data, bli nektet tilgang, noe som kan føre til at programmet brytes. Tjenestekontohavere kan for eksempel brukes til programgodkjenning for å få tilgang til semantiske modeller.
Hvordan fungerer beskyttelsespolicyer for Stoff?
Hver beskyttelsespolicy for Fabric er knyttet til en følsomhetsetikett. Policyen kontrollerer tilgangen til et element som har den tilknyttede etiketten, ved å la brukere og grupper som er angitt i policyen, beholde tillatelsene de har på elementet, samtidig som tilgangen blokkeres for alle andre. Policyen kan:
Tillat at angitte brukere og grupper beholder lesetillatelse på merkede elementer hvis de har det. Eventuelle andre tillatelser de har på elementet, fjernes.
og/eller
Tillat at angitte brukere og grupper beholder full kontroll over det merkede elementet hvis de har det, eller beholde tillatelsene de har.
Som nevnt blokkerer policyen tilgang til elementet for alle brukere og grupper som ikke er angitt i policyen.
Merk
En beskyttelsespolicy gjelder ikke for en etikettutsteder. Det vil eksempel: Brukeren som sist brukte en etikett som er knyttet til en beskyttelsespolicy for et element, vil ikke bli nektet tilgang til elementet, selv om de ikke er angitt i policyen. Hvis for eksempel en beskyttelsespolicy er knyttet til etikett A, og en bruker bruker etikett A på et element, får brukeren tilgang til elementet selv om de ikke er angitt i policyen.
Brukstilfeller
Følgende er eksempler på hvor beskyttelsespolicyer kan være nyttige:
- En organisasjon ønsker at bare brukere i organisasjonen skal kunne få tilgang til elementer merket som «Konfidensielle».
- En organisasjon ønsker at bare brukere i finansavdelingen skal kunne redigere dataelementer merket som Økonomiske data, samtidig som andre brukere i organisasjonen kan lese disse elementene.
Hvem oppretter beskyttelsespolicyer for Fabric?
Beskyttelsespolicyer for Fabric konfigureres vanligvis av organisasjonens Purview-sikkerhets- og samsvarsteam. Oppretteren av beskyttelsespolicyen må ha rollen som Administrator for informasjonsbeskyttelse eller høyere. Hvis du vil ha mer informasjon, kan du se Opprette og administrere beskyttelsespolicyer for Fabric (forhåndsversjon).
Krav
En Microsoft 365 E3/E5-lisens som kreves for følsomhetsetiketter fra Microsoft Purview informasjonsbeskyttelse. Hvis du vil ha mer informasjon, kan du se Microsoft Purview informasjonsbeskyttelse: Følsomhetsetiketter.
Minst én "riktig konfigurert" følsomhetsetikett fra Microsoft Purview informasjonsbeskyttelse må finnes i leieren. "Riktig konfigurert" i sammenheng med beskyttelsespolicyer for Fabric betyr at når etiketten ble konfigurert, ble den begrenset til Filer og andre dataressurser, og beskyttelsesinnstillingene ble satt til å inkludere kontrolltilgang (hvis du vil ha informasjon om konfigurasjon av følsomhetsetiketter, kan du se Opprette og konfigurere følsomhetsetiketter og deres policyer). Bare slike "riktig konfigurerte" følsomhetsetiketter kan brukes til å opprette beskyttelsespolicyer for Fabric.
For at beskyttelsespolicyer skal håndheves i Fabric, må stoffleierinnstillingen Tillat brukere å bruke følsomhetsetiketter for innhold være aktivert. Denne innstillingen kreves for all håndhevelse av følsomhetsetikettrelaterte retningslinjer i Fabric, så hvis følsomhetsetiketter allerede brukes i Fabric, vil denne innstillingen allerede være på. Hvis du vil ha mer informasjon om hvordan du aktiverer følsomhetsetiketter i Stoff, kan du se Aktivere følsomhetsetiketter.
Støttede elementtyper
Beskyttelsespolicyer støttes for alle opprinnelige stoffelementtyper, og for semantiske modeller i Power BI. Alle andre Power BI-elementtyper støttes for øyeblikket ikke.
Hensyn og begrensninger
Å legge til tjenestekontohavere i beskyttelsespolicyer støttes for øyeblikket ikke via Microsoft Purview-portalen. Hvis du vil gjøre det mulig for tjenestekontohavere å få tilgang til elementer som er beskyttet av en beskyttelsespolicy, kan du legge dem til i policyen via en PowerShell-cmdlet. Åpne en støtteforespørsel for å få tilgang til cmdleten.
Vær oppmerksom på at hvis du ikke legger til tjenestekontohavere i den tillatte listen over brukere, vil tjenestekontohavere som for øyeblikket har tilgang til data, bli nektet tilgang, noe som kan føre til at programmet brytes. Tjenestekontohavere kan for eksempel brukes til programgodkjenning for å få tilgang til semantiske modeller.
Med beskyttelsespolicyer for Fabric kan det bare være én etikett per beskyttelsespolicy, og bare én beskyttelsespolicy per etikett. Etiketter som brukes i beskyttelsespolicyer, kan imidlertid også knyttes til vanlige policyer for følsomhetsetiketter.
Opptil 50 beskyttelsespolicyer kan opprettes.
Opptil 100 brukere og grupper kan legges til i en beskyttelsespolicy.
Beskyttelsespolicyer for Fabric støtter ikke gjeste-/eksterne brukere.
ALM-datasamlebånd fungerer ikke i scenarioer der en bruker oppretter et ALM-datasamlebånd i et arbeidsområde som inneholder et element som er beskyttet av en beskyttelsespolicy som ikke inkluderer brukeren.
Etter at en policy er opprettet, kan det ta opptil 30 minutter før den begynner å oppdage og beskytte elementer merket med følsomhetsetiketten som var knyttet til policyen.