Beveiligingsbeleid in Microsoft Fabric (preview)
Met microsoft Purview-beveiligingstoegangsbeheerbeleid (beveiligingsbeleid) kunnen organisaties de toegang tot items in Fabric beheren met behulp van vertrouwelijkheidslabels.
De doelgroep voor dit artikel is beveiligings- en nalevingsbeheerders, Fabric-beheerders en -gebruikers en iedereen die meer wil weten over hoe beveiligingsbeleid de toegang tot items in Fabric beheert. Zie Beveiligingsbeleid maken en beheren voor Fabric (preview) als u wilt zien hoe u een beveiligingsbeleid voor Fabric maakt en beheert.
Notitie
Het toevoegen van service-principals aan beveiligingsbeleid wordt momenteel niet ondersteund via de Microsoft Purview-portal. Als u wilt dat service-principals toegang hebben tot items die zijn beveiligd door een beveiligingsbeleid, kunt u ze toevoegen aan het beleid via een PowerShell-cmdlet. Open een ondersteuningsticket om toegang te krijgen tot de cmdlet.
Houd er rekening mee dat als u geen service-principals toevoegt aan de lijst met toegestane gebruikers, service-principals die momenteel toegang tot gegevens hebben, de toegang wordt geweigerd, waardoor uw toepassing mogelijk wordt onderbroken. Service-principals kunnen bijvoorbeeld worden gebruikt voor toepassingsverificatie voor toegang tot semantische modellen.
Hoe werkt beveiligingsbeleid voor Fabric?
Elk beveiligingsbeleid voor Fabric is gekoppeld aan een vertrouwelijkheidslabel. Het beleid bepaalt de toegang tot een item met het bijbehorende label door gebruikers en groepen die zijn opgegeven in het beleid toe te staan machtigingen voor het item te behouden, terwijl de toegang voor iedereen wordt geblokkeerd. Het beleid kan:
Opgegeven gebruikers en groepen toestaan leesmachtigingen te behouden voor gelabelde items als ze deze hebben. Alle andere machtigingen die ze voor het item hebben, worden verwijderd.
en/of
Opgegeven gebruikers en groepen toestaan om volledige controle over het gelabelde item te behouden als ze het hebben of om de machtigingen te behouden die ze hebben.
Zoals vermeld, blokkeert het beleid de toegang tot het item voor alle gebruikers en groepen die niet zijn opgegeven in het beleid.
Notitie
Een beveiligingsbeleid is niet van toepassing op een labelverlener. Dat wil gezegd: de gebruiker die voor het laatst een label heeft toegepast dat is gekoppeld aan een beveiligingsbeleid voor een item, wordt de toegang tot dat item niet geweigerd, zelfs niet als ze niet zijn opgegeven in het beleid. Als bijvoorbeeld een beveiligingsbeleid is gekoppeld aan label A en een gebruiker label A toepast op een item, heeft die gebruiker toegang tot het item, zelfs als deze niet is opgegeven in het beleid.
Gebruiksgevallen
Hier volgen enkele voorbeelden van waar beveiligingsbeleid nuttig kan zijn:
- Een organisatie wil dat alleen gebruikers binnen de organisatie toegang hebben tot items met het label Vertrouwelijk.
- Een organisatie wil dat alleen gebruikers op de afdeling Financiën gegevensitems kunnen bewerken die zijn gelabeld als 'Financiële gegevens', terwijl andere gebruikers in de organisatie deze items kunnen lezen.
Wie maakt beveiligingsbeleid voor Fabric?
Beveiligingsbeleid voor Fabric wordt over het algemeen geconfigureerd door de Purview-beveiligings- en nalevingsteams van een organisatie. De maker van het beveiligingsbeleid moet de rol Information Protection-beheerder of hoger hebben. Zie Beveiligingsbeleid maken en beheren voor Fabric (preview) voor meer informatie.
Vereisten
Een Microsoft 365 E3/E5-licentie zoals vereist voor vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging. Zie Microsoft Purview Informatiebeveiliging: Vertrouwelijkheidslabels voor meer informatie.
Ten minste één 'correct geconfigureerd' vertrouwelijkheidslabel van Microsoft Purview Informatiebeveiliging moet aanwezig zijn in de tenant. 'Correct geconfigureerd' in de context van beveiligingsbeleidsregels voor Fabric betekent dat wanneer het label is geconfigureerd, het bereik is ingesteld op Bestanden en andere gegevensassets, en de beveiligingsinstellingen zijn ingesteld op Toegang beheren (voor informatie over de configuratie van vertrouwelijkheidslabels, zie Vertrouwelijkheidslabels en hun beleid maken en configureren). Alleen dergelijke 'correct geconfigureerde' vertrouwelijkheidslabels kunnen worden gebruikt om het beveiligingsbeleid voor Fabric te maken.
Als u beveiligingsbeleid wilt afdwingen in Fabric, moet de instelling Infrastructuurtenant toestaan dat gebruikers vertrouwelijkheidslabels toepassen voor inhoud zijn ingeschakeld. Deze instelling is vereist voor alle beleids afdwinging van vertrouwelijkheidslabels in Fabric, dus als vertrouwelijkheidslabels al worden gebruikt in Fabric, is deze instelling al ingeschakeld. Zie Vertrouwelijkheidslabels inschakelen voor meer informatie over het inschakelen van vertrouwelijkheidslabels in Fabric.
Ondersteunde itemtypen
Beveiligingsbeleid wordt ondersteund voor alle typen systeemeigen Fabric-items en voor semantische Power BI-modellen. Alle andere Power BI-itemtypen worden momenteel niet ondersteund.
Overwegingen en beperkingen
Het toevoegen van service-principals aan beveiligingsbeleid wordt momenteel niet ondersteund via de Microsoft Purview-portal. Als u wilt dat service-principals toegang hebben tot items die zijn beveiligd door een beveiligingsbeleid, kunt u ze toevoegen aan het beleid via een PowerShell-cmdlet. Open een ondersteuningsticket om toegang te krijgen tot de cmdlet.
Houd er rekening mee dat als u geen service-principals toevoegt aan de lijst met toegestane gebruikers, service-principals die momenteel toegang tot gegevens hebben, de toegang wordt geweigerd, waardoor uw toepassing mogelijk wordt onderbroken. Service-principals kunnen bijvoorbeeld worden gebruikt voor toepassingsverificatie voor toegang tot semantische modellen.
Met beveiligingsbeleid voor Fabric kan er slechts één label per beveiligingsbeleid en slechts één beveiligingsbeleid per label zijn. Labels die worden gebruikt in beveiligingsbeleid, kunnen echter ook worden gekoppeld aan het reguliere vertrouwelijkheidslabelbeleid.
Er kunnen maximaal 50 beveiligingsbeleidsregels worden gemaakt.
Maximaal 100 gebruikers en groepen kunnen worden toegevoegd aan een beveiligingsbeleid.
Beveiligingsbeleid voor Fabric biedt geen ondersteuning voor gast-/externe gebruikers.
ALM-pijplijnen werken niet in scenario's waarin een gebruiker een ALM-pijplijn maakt in een werkruimte die een item bevat dat wordt beveiligd door een beveiligingsbeleid dat de gebruiker niet omvat.
Nadat een beleid is gemaakt, kan het tot 30 minuten duren voordat het items detecteert en beveiligt die zijn gelabeld met het vertrouwelijkheidslabel dat aan het beleid is gekoppeld.