Zasady ochrony w usłudze Microsoft Fabric (wersja zapoznawcza)
Zasady kontroli dostępu (zasady ochrony) firmy Microsoft Purview umożliwiają organizacjom kontrolowanie dostępu do elementów w sieci szkieletowej przy użyciu etykiet poufności.
Docelowi odbiorcy tego artykułu to administratorzy zabezpieczeń i zgodności, administratorzy sieci szkieletowej i użytkownicy oraz wszyscy inni użytkownicy, którzy chcą dowiedzieć się, jak zasady ochrony kontrolują dostęp do elementów w sieci szkieletowej. Jeśli chcesz zobaczyć, jak utworzyć zasady ochrony dla sieci szkieletowej, zobacz Tworzenie zasad ochrony dla sieci szkieletowej (wersja zapoznawcza) i zarządzanie nimi.
Uwaga
Dodawanie jednostek usługi do zasad ochrony nie jest obecnie obsługiwane za pośrednictwem portalu Microsoft Purview. Aby umożliwić jednostkom usługi dostęp do elementów chronionych przez zasady ochrony, można dodać je do zasad za pomocą polecenia cmdlet programu PowerShell. Otwórz bilet pomocy technicznej, aby uzyskać dostęp do polecenia cmdlet .
Należy pamiętać, że jeśli nie dodasz jednostek usługi do listy dozwolonych użytkowników, jednostki usługi, które mają obecnie dostęp do danych, zostaną odrzucone, co może spowodować przerwanie aplikacji. Na przykład jednostki usługi mogą służyć do uwierzytelniania aplikacji w celu uzyskiwania dostępu do modeli semantycznych.
Jak działają zasady ochrony dla sieci szkieletowej?
Każda zasada ochrony dla sieci szkieletowej jest skojarzona z etykietą poufności. Zasady kontrolują dostęp do elementu, który ma skojarzoną etykietę, zezwalając użytkownikom i grupom określonym w zasadach na zachowywanie uprawnień, które mają w elemencie, jednocześnie blokując dostęp dla wszystkich innych osób. Zasady mogą:
Zezwalaj określonym użytkownikom i grupom na zachowanie uprawnień do odczytu dla elementów oznaczonych etykietami, jeśli mają je. Wszystkie inne uprawnienia, które mają w elemencie, zostaną usunięte.
i/lub
Zezwalaj określonym użytkownikom i grupom na zachowanie pełnej kontroli nad elementem oznaczonym etykietą, jeśli go mają, lub zachowanie dowolnych uprawnień, które mają.
Jak wspomniano, zasady blokują dostęp do elementu dla wszystkich użytkowników i grup, które nie są określone w zasadach.
Uwaga
Zasady ochrony nie mają zastosowania do wystawcy etykiety. Oznacza to, że użytkownik, który ostatnio zastosował etykietę skojarzona z zasadami ochrony do elementu, nie zostanie odrzucony dostęp do tego elementu, nawet jeśli nie zostanie określony w zasadach. Jeśli na przykład zasady ochrony są skojarzone z etykietą A, a użytkownik stosuje etykietę A do elementu, ten użytkownik będzie mógł uzyskać dostęp do elementu, nawet jeśli nie zostanie określony w zasadach.
Przypadki użycia
Poniżej przedstawiono przykłady, w których zasady ochrony mogą być przydatne:
- Organizacja chce, aby tylko użytkownicy w organizacji mogli uzyskiwać dostęp do elementów oznaczonych jako "Poufne".
- Organizacja chce, aby tylko użytkownicy z działu finansowego mogli edytować elementy danych oznaczone jako "Dane finansowe", umożliwiając jednocześnie innym użytkownikom w organizacji odczytywanie tych elementów.
Kto tworzy zasady ochrony dla sieci szkieletowej?
Zasady ochrony dla sieci szkieletowej są zwykle konfigurowane przez zespoły ds. zabezpieczeń i zgodności usługi Purview organizacji. Twórca zasad ochrony musi mieć rolę administratora usługi Information Protection lub nowszego. Aby uzyskać więcej informacji, zobacz Tworzenie zasad ochrony dla sieci szkieletowej (wersja zapoznawcza) i zarządzanie nimi.
Wymagania
Licencja platformy Microsoft 365 E3/E5 zgodnie z wymaganiami dotyczącymi etykiet poufności z usługi Microsoft Purview Information Protection. Aby uzyskać więcej informacji, zobacz Microsoft Purview Information Protection: etykietowanie poufności.
W dzierżawie musi istnieć co najmniej jedna etykieta poufności "odpowiednio skonfigurowana" z usługi Microsoft Purview Information Protection. "Odpowiednio skonfigurowane" w kontekście zasad ochrony dla sieci szkieletowej oznacza, że po skonfigurowaniu etykiety została ona ograniczona do pozycji Pliki i inne zasoby danych, a jej ustawienia ochrony zostały ustawione tak, aby obejmowały dostęp kontroli (aby uzyskać informacje o konfiguracji etykiet poufności, zobacz Tworzenie i konfigurowanie etykiet poufności i ich zasad). Do utworzenia zasad ochrony dla sieci szkieletowej można użyć tylko etykiet poufności "odpowiednio skonfigurowanych".
Aby zasady ochrony mogły być wymuszane w usłudze Fabric, należy włączyć ustawienie Dzierżawa sieci szkieletowej Zezwalaj użytkownikom na stosowanie etykiet poufności dla zawartości . To ustawienie jest wymagane dla wszystkich wymuszania zasad związanych z etykietą poufności w sieci szkieletowej, więc jeśli etykiety poufności są już używane w sieci szkieletowej, to ustawienie będzie już włączone. Aby uzyskać więcej informacji na temat włączania etykiet poufności w sieci szkieletowej, zobacz Włączanie etykiet poufności.
Obsługiwane typy elementów
Zasady ochrony są obsługiwane dla wszystkich natywnych typów elementów sieci szkieletowej i dla modeli semantycznych usługi Power BI. Wszystkie inne typy elementów usługi Power BI nie są obecnie obsługiwane.
Rozważania i ograniczenia
Dodawanie jednostek usługi do zasad ochrony nie jest obecnie obsługiwane za pośrednictwem portalu Microsoft Purview. Aby umożliwić jednostkom usługi dostęp do elementów chronionych przez zasady ochrony, można dodać je do zasad za pomocą polecenia cmdlet programu PowerShell. Otwórz bilet pomocy technicznej, aby uzyskać dostęp do polecenia cmdlet .
Należy pamiętać, że jeśli nie dodasz jednostek usługi do listy dozwolonych użytkowników, jednostki usługi, które mają obecnie dostęp do danych, zostaną odrzucone, co może spowodować przerwanie aplikacji. Na przykład jednostki usługi mogą służyć do uwierzytelniania aplikacji w celu uzyskiwania dostępu do modeli semantycznych.
W przypadku zasad ochrony dla sieci szkieletowej może istnieć tylko jedna etykieta dla zasad ochrony i tylko jedna zasada ochrony na etykietę. Etykiety używane w zasadach ochrony mogą jednak być również skojarzone z zasadami regularnej etykiety poufności.
Można utworzyć maksymalnie 50 zasad ochrony.
Do zasad ochrony można dodać maksymalnie 100 użytkowników i grup.
Zasady ochrony dla sieci szkieletowej nie obsługują użytkowników-gości/zewnętrznych.
Potoki ALM nie będą działać w scenariuszach, w których użytkownik tworzy potok ALM w obszarze roboczym zawierającym element chroniony przez zasady ochrony, które nie zawierają użytkownika.
Po utworzeniu zasad może upłynąć do 30 minut, aby rozpocząć wykrywanie i ochronę elementów oznaczonych etykietą poufności, która została skojarzona z zasadami.