Gevoelige gegevens in SQL Database beveiligen met Microsoft Purview-beveiligingsbeleid

Van toepassing op:✅SQL-database in Microsoft Fabric

Microsoft Purview is een reeks oplossingen voor gegevensbeheer, risico's en naleving die uw organisatie kunnen helpen bij het beheren en beschermen van uw gehele gegevensdomein. Met Microsoft Purview kunt u onder andere uw SQL-database-items labelen met vertrouwelijkheidslabels en beveiligingsbeleid definiëren waarmee de toegang wordt beheerd op basis van vertrouwelijkheidslabels.

In dit artikel wordt uitgelegd hoe microsoft Purview-beveiligingsbeleid werkt samen met Microsoft Fabric-toegangsbeheer en SQL-toegangsbeheer in SQL Database in Microsoft Fabric.

Zie de artikelen in gerelateerde inhoud voor algemene informatie over De mogelijkheden van Microsoft Purview voor Microsoft Fabric, inclusief SQL-database.

Hoe beveiligingsbeleid werkt in SQL Database

Elk beveiligingsbeleid voor Microsoft Fabric is gekoppeld aan een vertrouwelijkheidslabel. Een beveiligingsbeleid bepaalt de toegang tot items met het bijbehorende label via twee besturingselementen voor toegang:

• Toestaan dat gebruikers leestoegang behouden: wanneer deze optie is ingeschakeld, kunnen de opgegeven gebruikers (of de gebruikers die behoren tot de opgegeven groepen) de machtiging Lezen-item behouden voor gelabelde items als de opgegeven gebruikers de machtiging al hebben. Alle andere machtigingen die de opgegeven gebruikers voor het item hebben, worden verwijderd. In de SQL-database is de machtiging Item lezen vereist voor een gebruiker om verbinding te maken met een database. Als een gebruiker daarom niet is opgegeven in dit toegangsbeheer, kan de gebruiker geen verbinding maken met de database.

• Gebruikers toestaan volledige controle te behouden: wanneer deze optie is ingeschakeld, kunnen de opgegeven gebruikers (of de gebruikers die behoren tot de opgegeven groepen) volledige controle behouden over het gelabelde item als de opgegeven gebruikers deze al hebben of andere machtigingen die ze mogelijk hebben. Voor SQL-database-items kunnen gebruikers met dit besturingselement de machtiging Schrijfitem behouden. Dit betekent dat de gebruiker volledige beheerderstoegang in de database behoudt. Als een gebruiker niet is opgegeven in dit toegangsbeheer, wordt de machtiging Schrijfitem effectief verwijderd van de gebruiker. Dit besturingselement heeft geen invloed op de systeemeigen SQL-machtigingen van de gebruiker in de database. Zie voorbeeld 4 en beperkingen voor meer informatie.

Voorbeelden

De voorbeelden in deze sectie delen de volgende configuratie:

• Een organisatie heeft een Microsoft Fabric-werkruimte, productie genoemd.
• De werkruimte bevat een SQL-database-item met de naam Verkoop met het vertrouwelijkheidslabel.
• In Microsoft Purview is er een beveiligingsbeleid dat van toepassing is op Microsoft Fabric. Het beleid is gekoppeld aan het vertrouwelijkheidslabel.

Voorbeeld 1

• Een gebruiker is lid van de rol Inzender voor de productiewerkruimte.
• De optie Toestaan dat gebruikers leestoegangsbeheer behouden, is ingeschakeld, maar bevat de gebruiker niet.
• De optie Gebruikers toestaan om volledig beheertoegangsbeheer te behouden, is uitgeschakeld/inactief.

Het beleid verwijdert de machtiging Leesitem van de gebruiker, waardoor de gebruiker geen verbinding kan maken met de verkoopdatabase. De gebruiker kan dus geen gegevens in de database lezen of openen.

Voorbeeld 2

• Een gebruiker heeft de machtiging Item lezen voor de verkoopdatabase.
• De gebruiker is lid van de rol db_owner sql-systeemeigen databaseniveau in de database.
• De optie Toestaan dat gebruikers leestoegangsbeheer behouden, is ingeschakeld, maar bevat de gebruiker niet.
• De optie Gebruikers toestaan om volledig beheertoegangsbeheer te behouden, is uitgeschakeld/inactief.

Het beleid verwijdert de machtiging Leesitem van de gebruiker, waardoor de gebruiker geen verbinding kan maken met de verkoopdatabase, ongeacht de systeemeigen SQL-machtigingen van de gebruiker (verleend via het lidmaatschap van de gebruiker in de db_owner rol) in de database. De gebruiker kan dus geen gegevens in de database lezen of openen.

Voorbeeld 3

• Een gebruiker is lid van de rol Inzender voor de productiewerkruimte.
• De gebruiker heeft geen systeemeigen SQL-machtigingen verleend in de database.
• De optie Toestaan dat gebruikers leestoegangsbeheer behouden, is ingeschakeld en bevat de gebruiker.
• De optie Gebruikers toestaan om volledig beheer van toegangsbeheer te behouden, is ingeschakeld, maar bevat de gebruiker niet.

Als lid van de rol Inzender heeft de gebruiker in eerste instantie alle machtigingen voor de verkoopdatabase, waaronder Lezen, Lezen, Lezen en Schrijven. Met de optie Toestaan dat gebruikers leestoegangsbeheer behouden in het beleid, kan de gebruiker de lees- en Leesgegevensmachtigingen behouden, maar gebruikers toestaan om volledig beheer van toegangsbeheer te behouden, worden schrijfmachtigingen van de gebruiker verwijderd. Als gevolg hiervan kan de gebruiker verbinding maken met de database en gegevens lezen, maar de gebruiker verliest de beheerderstoegang tot de database, inclusief de mogelijkheid om gegevens te schrijven/bewerken.

Voorbeeld 4

• Een gebruiker heeft de machtiging Item lezen voor de verkoopdatabase.
• De gebruiker is lid van de rol db_owner sql-systeemeigen databaseniveau in de database.
• De optie Toestaan dat gebruikers leestoegangsbeheer behouden, is ingeschakeld en bevat de gebruiker.
• De optie Gebruikers toestaan om volledig beheer van toegangsbeheer te behouden, is ingeschakeld, maar bevat de gebruiker niet.

Met de optie Toestaan dat gebruikers leestoegangsbeheer behouden in het beleid, kan de gebruiker leesmachtigingen behouden. Omdat de gebruiker in eerste instantie geen volledige toegangsbeheer heeft (de machtiging Schrijfitem), heeft het toestaan dat gebruikers toegangsbeheer voor volledig beheer behouden geen effect hebben op de machtiging van de gebruiker die is verleend in Microsoft Fabric. De machtiging Gebruikers toestaan om volledig beheer van toegangsbeheer te behouden, heeft geen invloed op de systeemeigen SQL-machtiging van de gebruiker in de database. Als lid van de db_owner-rol blijft de gebruiker beheerderstoegang tot de database hebben. Zie beperkingen.

Beperkingen

• Het toestaan dat gebruikers toegangsbeheer voor volledig beheer behouden in Het beveiligingsbeleid van Microsoft Purview hebben geen invloed op systeemeigen SQL-machtigingen, verleend aan gebruikers in een database.

Gerelateerde inhoud

• Microsoft Purview gebruiken om Microsoft Fabric te beheren
• Informatiebeveiliging in Microsoft Fabric
• Beveiligingsbeleid in Microsoft Fabric (preview)
• Beveiligingsbeleid voor Fabric maken en beheren (preview)
• Autorisatie in SQL-database in Microsoft Fabric