Sikkerhet i Microsoft Fabric
Microsoft Fabric er en programvare som en tjenesteplattform (SaaS) som lar brukere få, opprette, dele og visualisere data.
Som en SaaS-tjeneste tilbyr Fabric en komplett sikkerhetspakke for hele plattformen. Fabric fjerner kostnadene og ansvaret for å vedlikeholde sikkerhetsløsningen, og overfører den til skyen. Med Fabric kan du bruke ekspertisen og ressursene til Microsoft til å holde dataene sikre, oppdatere sårbarheter, overvåke trusler og overholde forskrifter. Fabric lar deg også administrere, kontrollere og overvåke sikkerhetsinnstillingene dine, i tråd med dine endrede behov og krav.
Når du henter dataene dine til skyen og bruker dem med ulike analytiske opplevelser, for eksempel Power BI, Data Factory og neste generasjon synapse, sikrer Microsoft at innebygde sikkerhets- og pålitelighetsfunksjoner sikrer dataene dine i ro og i transitt. Microsoft sørger også for at dataene kan gjenopprettes i tilfeller av infrastrukturfeil eller -katastrofer.
Stoffsikkerhet er:
Alltid på – hver interaksjon med Fabric krypteres som standard og godkjennes ved hjelp av Microsoft Entra ID. All kommunikasjon mellom Fabric-opplevelser reiser gjennom Microsoft ryggradsinternett. De resterte dataene lagres automatisk kryptert. Hvis du vil regulere tilgangen til Fabric, kan du legge til ekstra sikkerhetsfunksjoner, for eksempel Private koblinger eller Betinget tilgang til Entra. Stoff kan også koble til data som er beskyttet av en brannmur eller et privat nettverk ved hjelp av klarert tilgang.
Kompatibel – Stoff har datasuverenitet utenfor boksen med flere geografiske kapasiteter. Fabric støtter også et bredt spekter av samsvarsstandarder.
Governable – Fabric leveres med et sett med styringsverktøy som dataavstamming, etiketter for informasjonsbeskyttelse, hindring av tap av data og integrering av purview.
Konfigurerbar – Du kan konfigurere Fabric-sikkerhet i samsvar med organisasjonspolicyene dine.
Utvikling – Microsoft forbedrer stoffsikkerheten hele tiden ved å legge til nye funksjoner og kontroller.
Godkjenn
Microsoft Fabric er en SaaS-plattform, som mange andre Microsoft-tjenester som Azure, Microsoft Office, OneDrive og Dynamics. Alle disse Microsoft SaaS-tjenestene, inkludert Fabric, bruker Microsoft Entra ID som skybasert identitetsleverandør. Microsoft Entra ID hjelper brukere med å koble til disse tjenestene raskt og enkelt fra alle enheter og alle nettverk. Alle forespørsler om å koble til Fabric godkjennes med Microsoft Entra ID, slik at brukere trygt kan koble til Fabric fra bedriftskontoret, når de arbeider hjemme eller fra et eksternt sted.
Forstå nettverkssikkerhet
Fabric er SaaS-tjenesten som kjører i Microsoft-skyen. Noen scenarioer innebærer å koble til data som er utenfor Fabric-plattformen. Du kan for eksempel vise en rapport fra ditt eget nettverk eller koble til data som er i en annen tjeneste. Samhandlinger i Fabric bruker det interne Microsoft-nettverket, og trafikk utenfor tjenesten er som standard beskyttet. Hvis du vil ha mer informasjon og en detaljert beskrivelse, kan du se Data i transitt.
Innkommende nettverkssikkerhet
Organisasjonen vil kanskje begrense og sikre nettverkstrafikken som kommer inn i Fabric basert på firmaets krav. Med Microsoft Entra ID-betinget tilgang og private koblinger kan du velge riktig inngående løsning for organisasjonen.
Betinget Microsoft Entra ID-tilgang
Microsoft Entra ID tilbyr Fabric med betinget tilgang som gjør at du kan sikre tilgang til Fabric på hver tilkobling. Her er noen eksempler på tilgangsbegrensninger du kan håndheve ved hjelp av betinget tilgang.
Definer en liste over IP-er for innkommende tilkobling til Fabric.
Bruk multifaktorgodkjenning (MFA).
Begrens trafikk basert på parametere som opprinnelsesland eller enhetstype.
Hvis du vil konfigurere betinget tilgang, kan du se Betinget tilgang i Stoff.
Hvis du vil forstå mer om godkjenning i Fabric, kan du se grunnleggende om Sikkerhet for Microsoft Fabric.
Private koblinger
Private koblinger muliggjør sikker tilkobling til Fabric ved å begrense tilgangen til Fabric-leieren fra et virtuelt Azure-nettverk (VNet) og blokkere all offentlig tilgang. Dette sikrer at bare nettverkstrafikk fra VNet har tilgang til Fabric-funksjoner som notatblokker, Lakehouses, datalagre og databaser i leieren.
Hvis du vil konfigurere private koblinger i Stoff, kan du se Konfigurere og bruke private koblinger.
Utgående nettverkssikkerhet
Fabric har et sett med verktøy som lar deg koble til eksterne datakilder og bringe disse dataene inn i Fabric på en sikker måte. Denne delen viser ulike måter å importere og koble til data fra et sikkert nettverk til stoff på.
Tilgang til klarert arbeidsområde
Med Fabric kan du få tilgang til brannmuraktiverte Azure Data Lake Gen 2-kontoer på en sikker måte. Stoffarbeidsområder som har en arbeidsområdeidentitet, kan sikre tilgang til Azure Data Lake Gen 2-kontoer med offentlig nettverkstilgang aktivert, fra valgte virtuelle nettverk og IP-adresser. Du kan begrense ADLS gen 2-tilgang til bestemte fabric-arbeidsområder. Hvis du vil ha mer informasjon, kan du se Tilgang til klarert arbeidsområde.
Merk
Identiteter for stoffarbeidsområde kan bare opprettes i arbeidsområder som er knyttet til en Fabric F SKU-kapasitet. Hvis du vil ha informasjon om kjøp av et Fabric-abonnement, kan du se Kjøpe et Microsoft Fabric-abonnement.
Administrerte private endepunkter
Administrerte private endepunkter tillater sikre tilkoblinger til datakilder som Azure SQL-databaser uten å utsette dem for det offentlige nettverket eller kreve komplekse nettverkskonfigurasjoner.
Administrerte virtuelle nettverk
Administrerte virtuelle nettverk er virtuelle nettverk som opprettes og administreres av Microsoft Fabric for hvert Fabric-arbeidsområde. Administrerte virtuelle nettverk gir nettverksisolasjon for Fabric Spark-arbeidsbelastninger, noe som betyr at databehandlingsklyngene distribueres i et dedikert nettverk og ikke lenger er en del av det delte virtuelle nettverket.
Administrerte virtuelle nettverk aktiverer også nettverkssikkerhetsfunksjoner som administrerte private endepunkter og privat koblingsstøtte for Dataingeniør ing og Data Science-elementer i Microsoft Fabric som bruker Apache Spark.
Datagateway
Hvis du vil koble til lokale datakilder eller en datakilde som kan være beskyttet av en brannmur eller et virtuelt nettverk, kan du bruke ett av disse alternativene:
Lokal datagateway – gatewayen fungerer som en bro mellom lokale datakilder og Fabric. Gatewayen er installert på en server i nettverket, og den gjør det mulig for Fabric å koble til datakildene via en sikker kanal uten å måtte åpne porter eller gjøre endringer i nettverket.
Datagateway for virtuelt nettverk (VNet) – Med VNet-gatewayen kan du koble fra Microsoft Cloud-tjenester til Azure-datatjenestene i et VNet, uten behov for en lokal datagateway.
Koble til OneLake fra en eksisterende tjeneste
Du kan koble til Fabric ved hjelp av den eksisterende Azure Platform som en tjenestetjeneste (PaaS). For Synapse og Azure Data Factory (ADF) kan du bruke Azure Integration Runtime (IR) eller Azure Data Factory administrert virtuelt nettverk. Du kan også koble til disse tjenestene og andre tjenester, for eksempel Tilordning av dataflyter, Synapse Spark-klynger, Databricks Spark-klynger og Azure HDInsight ved hjelp av OneLake-API-er.
Azure-tjenestekoder
Bruk tjenestekoder til å innta data uten bruk av datagatewayer, fra datakilder distribuert i et virtuelt Azure-nettverk, for eksempel Azure SQL Virtual Machines (VIRTUELLE), Azure SQL administrert forekomst (MI) og REST-API-er. Du kan også bruke servicekoder for å få trafikk fra et virtuelt nettverk eller en Azure-brannmur. Tjenestekoder kan for eksempel tillate utgående trafikk til Fabric, slik at en bruker på en maskin kan koble til Fabric SQL tilkoblingsstreng s fra SSMS, mens de er blokkert fra å få tilgang til andre offentlige Internett-ressurser.
IP-tillatelseslister
Hvis du har data som ikke befinner seg i Azure, kan du aktivere en IP-tillatelsesliste på organisasjonens nettverk for å tillate trafikk til og fra Fabric. En IP-tillatelsesliste er nyttig hvis du trenger å hente data fra datakilder som ikke støtter tjenestekoder, for eksempel lokale datakilder. Med disse snarveiene kan du hente data uten å kopiere dem til OneLake ved hjelp av et Lakehouse SQL Analytics-endepunkt eller Direct Lake.
Du kan få listen over stoff-IPer fra servicekoder lokalt. Listen er tilgjengelig som en JSON-fil, eller programmatisk med REST-API-er, PowerShell og Azure Command-Line Interface (CLI).
Sikre data
I Fabric krypteres alle data som er lagret i OneLake. Alle data som er i ro lagres i hjemområdet ditt, eller i en av kapasitetene dine på et eksternt område du velger, slik at du kan oppfylle data ved restsuverenitetsforskrifter. Hvis du vil ha mer informasjon, kan du se grunnleggende om Sikkerhet for Microsoft Fabric.
Forstå leiere i flere geografiske områder
Mange organisasjoner har en global tilstedeværelse og krever tjenester i flere Azure-geografiske områder. Et selskap kan for eksempel ha sitt hovedkontor i USA, samtidig som de gjør forretninger i andre geografiske områder, for eksempel Australia. For å overholde lokale forskrifter må bedrifter med global tilstedeværelse sørge for at dataene forblir lagret i flere regioner. I Fabric kalles dette multi-geo.
Spørringsutførelseslaget, spørringsbufferne og elementdataene som er tilordnet til et multi-geo-arbeidsområde, forblir i Azure-geografien for opprettingen. Noen metadata og behandling lagres imidlertid i hvile i leierens hjemmegeografi.
Stoff er en del av et større Microsoft-økosystem. Hvis organisasjonen allerede bruker andre skyabonnementstjenester, for eksempel Azure, Microsoft 365 eller Dynamics 365, opererer Fabric i samme Microsoft Entra-leier. Organisasjonsdomenet (for eksempel contoso.com) er knyttet til Microsoft Entra ID. Som alle Microsoft-skytjenester.
Fabric sikrer at dataene dine er sikre på tvers av områder når du arbeider med flere leiere som har flere kapasiteter på tvers av en rekke geografiske områder.
Data logisk fordeling – Fabric-plattformen gir logisk isolasjon mellom leiere for å beskytte dataene dine.
Datasuverenitet – Hvis du vil begynne å arbeide med multi-geo, kan du se Konfigurere Multi-Geo-støtte for Fabric.
Tilgang til data
Stoff styrer datatilgang ved hjelp av arbeidsområder. I arbeidsområder vises data i form av stoffelementer, og brukere kan ikke vise eller bruke elementer (data) med mindre du gir dem tilgang til arbeidsområdet. Du finner mer informasjon om arbeidsområde- og elementtillatelser i tillatelsesmodellen.
Arbeidsområderoller
Arbeidsområdetilgang er oppført i tabellen nedenfor. Det inkluderer arbeidsområderoller og Fabric- og OneLake-sikkerhet. Brukere med en visningsrolle kan kjøre SQL-, DAX-spørringer (Data Analysis Expressions) eller MDX (Multidimensional Expressions), men de får ikke tilgang til Fabric-elementer eller kjører en notatblokk.
| Role | Arbeidsområdetilgang | OneLake-tilgang |
|---|---|---|
| Administrator, medlem og bidragsyter | Kan bruke alle elementene i arbeidsområdet | ✅ |
| Visningsprogram | Kan se alle elementene i arbeidsområdet | ❌ |
Dele elementer
Du kan dele Fabric-elementer med brukere i organisasjonen som ikke har noen arbeidsområderolle. Deling av elementer gir begrenset tilgang, slik at brukere bare får tilgang til det delte elementet i arbeidsområdet.
Begrens tilgang
Du kan begrense visningstilgang til data ved hjelp av sikkerhet på radnivå (RLS), sikkerhet på kolonnenivå (CLS) og sikkerhet på objektnivå (OLS). Med RLS, CLS og OLS kan du opprette brukeridentiteter som har tilgang til bestemte deler av dataene, og begrense SQL-resultater som bare returnerer det brukerens identitet har tilgang til.
Du kan også legge til RLS i et DirectLake-datasett. Hvis du definerer sikkerhet for både SQL og DAX, faller DirectLake tilbake til DirectQuery for tabeller som har RLS i SQL. I slike tilfeller er DAX- eller MDX-resultater begrenset til brukerens identitet.
Hvis du vil vise rapporter ved hjelp av et DirectLake-datasett med RLS uten en DirectQuery-tilbakefall, kan du bruke direkte deling av datasett eller apper i Power BI. Med apper i Power BI kan du gi tilgang til rapporter uten visningstilgang. Denne typen tilgang betyr at brukerne ikke kan bruke SQL. Hvis du vil at DirectLake skal kunne lese dataene, må du bytte datakildelegitimasjon fra Enkel pålogging (SSO) til en fast identitet som har tilgang til filene i sjøen.
Beskytt data
Stoffet støtter følsomhetsetiketter fra Microsoft Purview informasjonsbeskyttelse. Dette er etikettene, for eksempel Generelt, Konfidensielt og svært konfidensielt, som brukes mye i Microsoft Office-app, for eksempel Word, PowerPoint og Excel, for å beskytte sensitiv informasjon. I Fabric kan du klassifisere elementer som inneholder sensitive data ved hjelp av de samme følsomhetsetikettene. Følsomhetsetikettene følger deretter dataene automatisk fra element til element mens de flyter gjennom Fabric, helt fra datakilde til forretningsbruker. Følsomhetsetiketten følger selv når dataene eksporteres til støttede formater som PBIX, Excel, PowerPoint og PDF, slik at dataene forblir beskyttet. Bare autoriserte brukere kan åpne filen. Hvis du vil ha mer informasjon, kan du se Styring og samsvar i Microsoft Fabric.
Hvis du vil hjelpe deg med å styre, beskytte og administrere dataene dine, kan du bruke Microsoft Purview. Microsoft Purview og Fabric samarbeider slik at du kan lagre, analysere og styre dataene fra ett enkelt sted, Microsoft Purview-huben.
Gjenopprette data
Robusthet for stoffdata sikrer at dataene dine er tilgjengelige hvis det oppstår en katastrofe. Fabric gjør det også mulig å gjenopprette dataene dine i tilfelle en katastrofe, Disaster recovery. Hvis du vil ha mer informasjon, kan du se Pålitelighet i Microsoft Fabric.
Administrer stoff
Som administrator i Fabric får du kontrollere funksjoner for hele organisasjonen. Fabric gjør det mulig å delegere administratorrollen til kapasiteter, arbeidsområder og domener. Ved å delegere administratoransvar til de riktige personene, kan du implementere en modell som lar flere viktige administratorer kontrollere generelle stoffinnstillinger på tvers av organisasjonen, mens andre administratorer har ansvaret for innstillinger relatert til bestemte områder.
Ved hjelp av ulike verktøy kan administratorer også overvåke viktige stoffaspekter, for eksempel kapasitetsforbruk.
Revisjonslogger
Hvis du vil vise overvåkingsloggene, følger du instruksjonene i Spor brukeraktiviteter i Microsoft Fabric. Du kan også se operasjonslisten for å se hvilke aktiviteter som er tilgjengelige for søk i overvåkingsloggene.
Funksjonaliteter
Se gjennom denne delen for en liste over noen av sikkerhetsfunksjonene som er tilgjengelige i Microsoft Fabric.
| Funksjon | Bekrivelse |
|---|---|
| Betinget tilgang | Sikre appene dine ved hjelp av Microsoft Entra ID |
| Lockbox | Kontrollere hvordan Microsoft-teknikere får tilgang til dataene dine |
| Fabric og OneLake sikkerhet | Lær hvordan du sikrer dataene dine i Fabric og OneLake. |
| Resiliency | Pålitelighet og regional robusthet med Azure-tilgjengelighetssoner |
| Servicekoder | Aktiver en Azure SQL administrert forekomst (MI) for å tillate innkommende tilkoblinger fra Microsoft Fabric |