Sikre data med stoff, databehandlingsmotorer og OneLake
Fabric tilbyr en flerlags sikkerhetsmodell for administrasjon av datatilgang. Sikkerhet kan angis for et helt arbeidsområde, for individuelle elementer eller gjennom detaljerte tillatelser i hver Fabric-motor. OneLake har sine egne sikkerhetshensyn som er beskrevet i dette dokumentet.
OneLake-datatilgangsroller (forhåndsvisning)
OneLake-datatilgangsroller (forhåndsvisning) gjør det mulig for brukere å opprette egendefinerte roller i et lakehouse og gi lesetillatelser bare til de angitte mappene når de får tilgang til OneLake. For hver OneLake-rolle kan brukere tilordne brukere, sikkerhetsgrupper eller gi en automatisk tilordning basert på arbeidsområderollen.
Mer informasjon om OneLake Data Access Control Model og Kom i gang med datatilgang.
Snarveissikkerhet
Snarveier i Microsoft Fabric tillater forenklet databehandling. OneLake Folder-sikkerhet gjelder for OneLake-snarveier basert på roller som er definert i lakehouse der dataene er lagret.
Hvis du vil ha mer informasjon om sikkerhetshensyn for snarveier, kan du se OneLakes tilgangskontrollmodell. Du finner mer informasjon om snarveier her..
Autentisering
OneLake bruker Microsoft Entra ID for godkjenning. Du kan bruke den til å gi tillatelser til brukeridentiteter og tjenestekontohavere. OneLake trekker automatisk ut brukeridentiteten fra verktøy, som bruker Microsoft Entra-godkjenning og tilordner den til tillatelsene du angir i Fabric-portalen.
Merk
Hvis du vil bruke tjenestekontohavere i en Fabric-leier, må en leieradministrator aktivere tjenestehovednavn (SPN-er) for hele leieren eller bestemte sikkerhetsgrupper. Mer informasjon om aktivering av tjenestekontohavere i Utviklerinnstillinger for leieradministratorportal
Revisjonslogger
Hvis du vil vise OneLake-overvåkingsloggene, følger du instruksjonene i Spor brukeraktiviteter i Microsoft Fabric. OneLake-operasjonsnavn tilsvarer ADLS-API-er som CreateFile eller DeleteFile. OneLake-revisjonslogger inkluderer ikke leseforespørsler eller forespørsler til OneLake via Fabric-arbeidsbelastninger.
Kryptering og nettverk
Restdata
Data som er lagret i OneLake, krypteres som standard ved hjelp av Microsoft-administrert nøkkel. Microsoft-administrerte nøkler roterer på riktig måte. Data i OneLake krypteres og dekrypteres gjennomsiktig, og det er FIPS 140-2-kompatibelt.
Kryptering i ro ved hjelp av kundeadministrert nøkkel støttes for øyeblikket ikke. Du kan sende inn forespørsel om denne funksjonen på Microsoft Fabric Ideas.
Data under overføring
Data i transitt over det offentlige Internett mellom Microsoft-tjenester krypteres alltid med minst TLS 1.2. Fabric forhandler til TLS 1.3 når det er mulig. Trafikk mellom Microsoft-tjenester ruter alltid over det globale Microsoft-nettverket.
Innkommende OneLake-kommunikasjon håndhever også TLS 1.2 og forhandler til TLS 1.3, når det er mulig. Utgående Stoff-kommunikasjon til kundeeid infrastruktur foretrekker sikre protokoller, men kan falle tilbake til eldre, usikre protokoller (inkludert TLS 1.0) når nyere protokoller ikke støttes.
Private koblinger
Hvis du vil konfigurere private koblinger i Stoff, kan du se Konfigurere og bruke private koblinger.
Tillat at apper som kjører utenfor Fabric, får tilgang til data via OneLake
Med OneLake kan du begrense tilgangen til data fra programmer som kjører utenfor Fabric-miljøer. Administratorer kan finne innstillingen i OneLake-delen av leieradministratorportalen. Når du aktiverer denne bryteren, kan brukere få tilgang til data via alle kilder. Når du slår av bryteren, får ikke brukere tilgang til data via programmer som kjører utenfor stoffmiljøer. Brukere kan for eksempel få tilgang til data via programmer ved hjelp av ADLS-API-er (Azure Data Lake Storage) eller OneLake-filutforsker.