Skyddsprinciper i Microsoft Fabric (förhandsversion)
Med Åtkomstkontrollprinciper för Microsoft Purview-skydd (skyddsprinciper) kan organisationer styra åtkomsten till objekt i Infrastruktur med hjälp av känslighetsetiketter.
Målgruppen för den här artikeln är säkerhets- och efterlevnadsadministratörer, infrastrukturadministratörer och användare och alla andra som vill lära sig mer om hur skyddsprinciper styr åtkomsten till objekt i Infrastrukturresurser. Om du vill se hur du skapar en skyddsprincip för Infrastrukturresurser kan du läsa Skapa och hantera skyddsprinciper för Infrastrukturresurser (förhandsversion).
Kommentar
Det går för närvarande inte att lägga till tjänstens huvudnamn i skyddsprinciper via Microsoft Purview-portalen. Om du vill aktivera tjänstens huvudnamn för åtkomst till objekt som skyddas av en skyddsprincip kan du lägga till dem i principen via en PowerShell-cmdlet. Öppna ett supportärende för att få åtkomst till cmdleten.
Observera att om du inte lägger till tjänstens huvudnamn i listan över tillåtna användare nekas tjänsthuvudnamn som för närvarande har åtkomst till data åtkomst, vilket kan leda till att programmet bryts. Tjänstens huvudnamn kan till exempel användas för programautentisering för att få åtkomst till semantiska modeller.
Hur fungerar skyddsprinciper för Infrastrukturresurser?
Varje skyddsprincip för Infrastrukturresurser är associerad med en känslighetsetikett. Principen styr åtkomsten till ett objekt som har den associerade etiketten genom att tillåta användare och grupper som anges i principen att behålla behörigheter som de har för objektet, samtidigt som åtkomst för alla andra blockeras. Principen kan:
Tillåt att angivna användare och grupper behåller läsbehörighet för etiketterade objekt om de har den. Alla andra behörigheter som de har för objektet tas bort.
och/eller
Tillåt att angivna användare och grupper behåller fullständig kontroll över det märkta objektet om de har det, eller att behålla de behörigheter de har.
Som nämnts blockerar principen åtkomsten till objektet för alla användare och grupper som inte anges i principen.
Kommentar
En skyddsprincip gäller inte för en etikett utfärdare. Användaren som senast tillämpade en etikett som är associerad med en skyddsprincip för ett objekt nekas alltså inte åtkomst till objektet, även om de inte anges i principen. Om en skyddsprincip till exempel är associerad med etikett A och en användare tillämpar etiketten A på ett objekt, kommer användaren att kunna komma åt objektet även om de inte anges i principen.
Användningsfall
Följande är exempel på var skyddsprinciper kan vara användbara:
- En organisation vill att endast användare inom organisationen ska kunna komma åt objekt som är märkta med "Konfidentiellt".
- En organisation vill att endast användare på ekonomiavdelningen ska kunna redigera dataobjekt märkta som "Finansiella data", samtidigt som andra användare i organisationen kan läsa dessa objekt.
Vem skapar skyddsprinciper för Infrastrukturresurser?
Skyddsprinciper för Infrastrukturresurser konfigureras vanligtvis av en organisations Purview-säkerhets- och efterlevnadsteam. Skaparen av skyddsprincipen måste ha rollen informationsskyddsadministratör eller högre. Mer information finns i Skapa och hantera skyddsprinciper för Infrastrukturresurser (förhandsversion).
Krav
En Microsoft 365 E3/E5-licens som krävs för känslighetsetiketter från Microsoft Purview Information Protection. Mer information finns i Microsoft Purview Information Protection: Känslighetsetiketter.
Minst en "korrekt konfigurerad" känslighetsetikett från Microsoft Purview Information Protection måste finnas i klientorganisationen. "Korrekt konfigurerad" i samband med skyddsprinciper för Infrastrukturresurser innebär att när etiketten konfigurerades begränsades den till Filer och andra datatillgångar, och dess skyddsinställningar var inställda på att inkludera Kontrollåtkomst (information om konfiguration av känslighetsetiketter finns i Skapa och konfigurera känslighetsetiketter och deras principer). Endast sådana "korrekt konfigurerade" känslighetsetiketter kan användas för att skapa skyddsprinciper för Infrastrukturresurser.
För att skyddsprinciper ska kunna tillämpas i Infrastruktur måste inställningen För infrastrukturklientorganisation aktiveras Tillåt användare att använda känslighetsetiketter för innehåll . Den här inställningen krävs för all tillämpning av känslighetsetiketter relaterade till principer i Infrastruktur, så om känslighetsetiketter redan används i Infrastruktur finns den här inställningen redan på. Mer information om hur du aktiverar känslighetsetiketter i Infrastruktur finns i Aktivera känslighetsetiketter.
Objekttyper som stöds
Skyddsprinciper stöds för alla typer av inbyggda infrastrukturobjekt och för Power BI-semantiska modeller. Alla andra Power BI-objekttyper stöds inte för närvarande.
Beaktanden och begränsningar
Det går för närvarande inte att lägga till tjänstens huvudnamn i skyddsprinciper via Microsoft Purview-portalen. Om du vill aktivera tjänstens huvudnamn för åtkomst till objekt som skyddas av en skyddsprincip kan du lägga till dem i principen via en PowerShell-cmdlet. Öppna ett supportärende för att få åtkomst till cmdleten.
Observera att om du inte lägger till tjänstens huvudnamn i listan över tillåtna användare nekas tjänsthuvudnamn som för närvarande har åtkomst till data åtkomst, vilket kan leda till att programmet bryts. Tjänstens huvudnamn kan till exempel användas för programautentisering för att få åtkomst till semantiska modeller.
Med skyddsprinciper för Infrastrukturresurser kan det bara finnas en etikett per skyddsprincip och endast en skyddsprincip per etikett. Etiketter som används i skyddsprinciper kan dock också associeras med vanliga principer för känslighetsetiketter.
Upp till 50 skyddsprinciper kan skapas.
Upp till 100 användare och grupper kan läggas till i en skyddsprincip.
Skyddsprinciper för Infrastrukturresurser stöder inte gäst-/externa användare.
ALM-pipelines fungerar inte i scenarier där en användare skapar en ALM-pipeline på en arbetsyta som innehåller ett objekt som skyddas av en skyddsprincip som inte inkluderar användaren.
När en princip har skapats kan det ta upp till 30 minuter innan den börjar identifiera och skydda objekt märkta med känslighetsetiketten som var associerad med principen.