Políticas de proteção no Microsoft Fabric (versão prévia)
As políticas de controle de acesso de proteção do Microsoft Purview (políticas de proteção) permitem que as organizações controlem o acesso a itens no Fabric usando rótulos de confidencialidade.
O público-alvo deste artigo são administradores de segurança e conformidade, administradores e usuários do Fabric e qualquer outra pessoa que queira saber mais sobre como as políticas de proteção controlam o acesso a itens no Fabric. Se você quiser ver como criar uma política de proteção para o Fabric, consulte Criar e gerenciar políticas de proteção para o Fabric (versão prévia).
Observação
No momento, não há suporte para a adição de entidades de serviço às políticas de proteção por meio do portal do Microsoft Purview. Para habilitar as entidades de serviço a acessar itens protegidos por uma política de proteção, você pode adicioná-los à política por meio de um cmdlet do PowerShell. Abra um tíquete de suporte para obter acesso ao cmdlet.
Observe que, se você não adicionar entidades de serviço à lista permitida de usuários, aquelas que atualmente têm acesso aos dados terão acesso negado, potencialmente fazendo com que seu aplicativo seja interrompido. Por exemplo, as entidades de serviço podem ser usadas para a autenticação de aplicativos a fim de acessar modelos semânticos.
Como funcionam as políticas de proteção do Fabric?
Cada política de proteção do Fabric está associada a um rótulo de confidencialidade. A política controla o acesso a um item que tem o rótulo associado, permitindo que usuários e grupos especificados na política mantenham permissões que têm no item, ao mesmo tempo em que bloqueiam o acesso para todos os outros. A política pode:
Permitir que usuários e grupos especificados mantenham a permissão de leitura em itens rotulados se eles tiverem. Todas as outras permissões que tiverem no item serão removidas.
e/ou
Permita que usuários e grupos especificados mantenham controle total sobre o item rotulado se eles o tiverem ou mantenham quaisquer permissões que tenham.
Conforme mencionado, a política bloqueia o acesso ao item para todos os usuários e grupos que não são especificados na política.
Observação
Uma política de proteção não se aplica a um emissor de rótulo. Ou seja, o usuário que aplicou pela última vez um rótulo associado a uma política de proteção a um item não terá acesso negado a esse item, mesmo que não seja especificado na política. Por exemplo, se uma política de proteção estiver associada ao rótulo A e um usuário aplicar o rótulo A a um item, esse usuário poderá acessar o item mesmo se não for especificado na política.
Casos de uso
Veja a seguir exemplos de onde as políticas de proteção podem ser úteis:
- Uma organização deseja que somente os usuários da organização possam acessar itens rotulados como "Confidenciais".
- Uma organização deseja que apenas os usuários do departamento financeiro possam editar itens de dados rotulados como "Dados financeiros", permitindo que outros usuários da organização possam ler esses itens.
Quem cria políticas de proteção para o Fabric?
As políticas de proteção do Fabric geralmente são configuradas pelas equipes de segurança e conformidade do Purview de uma organização. O criador da política de proteção deve ter a função de Administrador de Proteção de Informações ou superior. Para obter mais informações, consulte Criar e gerenciar políticas de proteção para o Fabric (versão prévia).
Requisitos
Uma licença do Microsoft 365 E3/E5, conforme necessário para rótulos de confidencialidade da Proteção de Informações do Microsoft Purview. Para obter mais informações, consulte Proteção de Informações do Microsoft Purview: rotulagem de confidencialidade.
Pelo menos um rótulo de confidencialidade "configurado adequadamente" da Proteção de Informações do Microsoft Purview deve existir no locatário. "Configurado adequadamente" no contexto de políticas de proteção para o Fabric significa que, quando o rótulo foi configurado, ele tinha como escopo Arquivos e outros ativos de dados e suas configurações de proteção foram definidas para incluir Controle de acesso (para obter informações sobre a configuração do rótulo de confidencialidade, consulte Criar e configurar rótulos de confidencialidade e suas políticas). Somente esses rótulos de confidencialidade "configurados adequadamente" podem ser usados para criar as políticas de proteção do Fabric.
Para que as políticas de proteção sejam impostas no Fabric, a configuração de locatário do Fabric Permitir que os usuários apliquem rótulos de confidencialidade ao conteúdo deve ser habilitada. Essa configuração é necessária para toda a imposição de política relacionada ao rótulo de confidencialidade no Fabric, portanto, se os rótulos de confidencialidade já estiverem sendo usados no Fabric, essa configuração já estará ativada. Para obter mais informações sobre como habilitar rótulos de confidencialidade no Fabric, consulte Habilitar rótulos de confidencialidade.
Tipos de item com suporte
Há suporte para políticas de proteção para todos os tipos de itens nativos do Fabric e para modelos semânticos do Power BI. No momento, não há suporte para todos os outros tipos de itens do Power BI.
Considerações e limitações
No momento, não há suporte para a adição de entidades de serviço às políticas de proteção por meio do portal do Microsoft Purview. Para habilitar as entidades de serviço a acessar itens protegidos por uma política de proteção, você pode adicioná-los à política por meio de um cmdlet do PowerShell. Abra um tíquete de suporte para obter acesso ao cmdlet.
Observe que, se você não adicionar entidades de serviço à lista permitida de usuários, aquelas que atualmente têm acesso aos dados terão acesso negado, potencialmente fazendo com que seu aplicativo seja interrompido. Por exemplo, as entidades de serviço podem ser usadas para a autenticação de aplicativos a fim de acessar modelos semânticos.
Com as políticas de proteção do Fabric, só pode haver um rótulo por política de proteção e apenas uma política de proteção por rótulo. Os rótulos usados nas políticas de proteção também podem ser associados a políticas regulares de rótulo de confidencialidade.
Até 50 políticas de proteção podem ser criadas.
Até 100 usuários e grupos podem ser adicionados a uma política de proteção.
As políticas de proteção do Fabric não dão suporte a usuários convidados/externos.
Os pipelines ALM não funcionarão em cenários em que um usuário cria um pipeline de ALM em um workspace que contém um item protegido por uma política de proteção que não inclui o usuário.
Depois que uma política for criada, pode levar até 30 minutos para que ela comece a detectar e proteger itens rotulados com o rótulo de confidencialidade associado à política.