นโยบายการป้องกันใน Microsoft Fabric (ตัวอย่าง)
นโยบายการควบคุมการเข้าถึงการป้องกัน Purview ของ Microsoft (นโยบายการป้องกัน) ช่วยให้องค์กรสามารถควบคุมการเข้าถึงรายการใน Fabric โดยใช้ป้ายชื่อระดับความลับ
กลุ่มเป้าหมายสําหรับบทความนี้คือผู้ดูแลระบบความปลอดภัยและผู้ดูแลระบบการปฏิบัติตามกฎระเบียบ ผู้ดูแลระบบ Fabric และผู้ใช้และบุคคลอื่นที่ต้องการเรียนรู้เกี่ยวกับวิธีการควบคุมการเข้าถึงนโยบายการป้องกันในรายการใน Fabric ถ้าคุณต้องการดูวิธีการสร้างนโยบายการป้องกันสําหรับ Fabric ดูสร้างและจัดการนโยบายการป้องกันสําหรับ Fabric (ตัวอย่าง)
หมายเหตุ
การเพิ่มบริการหลักไปยังนโยบายการป้องกันไม่ได้รับการสนับสนุนผ่านพอร์ทัล Microsoft Purview ในขณะนี้ หากต้องการเปิดใช้งานบริการหลักเพื่อเข้าถึงรายการที่ได้รับการป้องกันโดยนโยบายการป้องกัน คุณสามารถเพิ่มรายการเหล่านั้นลงในนโยบายผ่านทาง cmdlet ของ PowerShell ได้ เปิดตั๋วการสนับสนุนเพื่อเข้าถึง cmdlet
โปรดทราบว่าถ้าคุณไม่เพิ่มบริการหลักไปยังรายการของผู้ใช้ที่ได้รับอนุญาต โครงร่างสําคัญของบริการที่มีการเข้าถึงข้อมูลในขณะนี้จะถูกปฏิเสธการเข้าถึง ซึ่งอาจส่งผลให้แอปพลิเคชันของคุณเสียหาย ตัวอย่างเช่น บริการหลักอาจใช้สําหรับการรับรองความถูกต้องของแอปพลิเคชันเพื่อเข้าถึงแบบจําลองความหมาย
นโยบายการป้องกันสําหรับ Fabric ทํางานอย่างไร
แต่ละนโยบายการป้องกันสําหรับ Fabric จะเชื่อมโยงกับป้ายชื่อระดับความลับ นโยบายจะควบคุมการเข้าถึงรายการที่มีป้ายชื่อที่เกี่ยวข้องโดยการอนุญาตให้ผู้ใช้และกลุ่มที่ระบุในนโยบายยังคงมีสิทธิ์ที่พวกเขามีในรายการ ในขณะที่บล็อกการเข้าถึงสําหรับบุคคลอื่น นโยบายสามารถ:
อนุญาตให้ผู้ใช้และกลุ่มที่ระบุยังคง มีสิทธิ์ในการอ่าน บนรายการที่มีป้ายชื่อถ้าพวกเขามี สิทธิ์อื่นใดที่ผู้ใช้มีในรายการจะถูกเอาออก
และ/หรือ
อนุญาตให้ผู้ใช้และกลุ่มที่ระบุเก็บ การควบคุม ทั้งหมดบนรายการที่มีป้ายชื่อถ้าพวกเขามี หรือเพื่อรักษาสิทธิ์ที่พวกเขามี
ตามที่กล่าวนโยบายบล็อกการเข้าถึงรายการสําหรับผู้ใช้และกลุ่มทั้งหมดที่ไม่ได้ระบุในนโยบาย
หมายเหตุ
นโยบายการป้องกันจะไม่นําไปใช้กับผู้ออกป้ายชื่อ นั่นคือผู้ใช้ที่ใช้ป้ายชื่อที่เชื่อมโยงกับนโยบายการป้องกันไปยังรายการจะไม่สามารถปฏิเสธการเข้าถึงรายการนั้นแม้ว่าจะไม่ได้ระบุไว้ในนโยบายก็ตาม ตัวอย่างเช่น ถ้านโยบายการป้องกันเกี่ยวข้องกับป้ายชื่อ A และผู้ใช้ใช้ป้ายชื่อ A กับรายการ ผู้ใช้รายนั้นจะสามารถเข้าถึงรายการได้แม้ว่าจะไม่ได้ระบุไว้ในนโยบายก็ตาม
ใช้กรณีและปัญหา
ต่อไปนี้คือตัวอย่างของตําแหน่งที่นโยบายการป้องกันอาจมีประโยชน์:
- องค์กรต้องการให้เฉพาะผู้ใช้ภายในองค์กรเท่านั้นที่สามารถเข้าถึงรายการที่ชื่อว่า "ลับเฉพาะ" ได้
- องค์กรต้องการให้ผู้ใช้ในแผนกการเงินเท่านั้นที่สามารถแก้ไขรายการข้อมูลที่ชื่อว่า "ข้อมูลทางการเงิน" ในขณะที่อนุญาตให้ผู้ใช้อื่นในองค์กรสามารถอ่านรายการเหล่านั้นได้
ใครสร้างนโยบายการป้องกันสําหรับ Fabric
นโยบายการป้องกันสําหรับ Fabric ได้รับการกําหนดค่าโดยทั่วไปโดยทีมรักษาความปลอดภัย Purview และการปฏิบัติตามข้อบังคับขององค์กร ผู้สร้างนโยบายการป้องกันต้องมีบทบาทเป็น ผู้ดูแลระบบ การปกป้องข้อมูลหรือสูงกว่า สําหรับข้อมูลเพิ่มเติม ดูสร้างและจัดการนโยบายการป้องกันสําหรับ Fabric (ตัวอย่าง)
ข้อกำหนด
สิทธิการใช้งาน Microsoft 365 E3/E5 ตามความจําเป็นสําหรับป้ายชื่อระดับความลับจากการป้องกันข้อมูลของ Microsoft Purview สําหรับข้อมูลเพิ่มเติม โปรดดูการป้องกันข้อมูลของ Microsoft Purview: การติดป้ายชื่อระดับความลับ
ป้ายชื่อระดับความลับ "กําหนดค่าอย่างเหมาะสม" อย่างน้อยหนึ่งป้ายจากการป้องกันข้อมูลของ Microsoft Purview ต้องมีอยู่ในผู้เช่า "กําหนดค่าอย่างเหมาะสม" ในบริบทของนโยบายการป้องกันสําหรับ Fabric หมายความว่าเมื่อมีการกําหนดค่าป้ายชื่อถูกกําหนดขอบเขตเป็น ไฟล์และสินทรัพย์ข้อมูลอื่น ๆ และการตั้งค่าการป้องกันจะถูกตั้งค่าให้รวม การเข้าถึง การควบคุม (สําหรับข้อมูลเกี่ยวกับการกําหนดค่าป้ายชื่อระดับความลับ โปรดดู ที่ สร้างและกําหนดค่าป้ายชื่อระดับความลับและนโยบายของป้ายชื่อระดับความลับ) เฉพาะป้ายชื่อระดับความลับ "กําหนดค่าอย่างเหมาะสม" ดังกล่าวเท่านั้นที่สามารถใช้เพื่อสร้างนโยบายการป้องกันสําหรับ Fabric
สําหรับนโยบายการป้องกันที่จะบังคับใช้ใน Fabric ต้องเปิดใช้งานการตั้งค่าผู้เช่า Fabric อนุญาตให้ผู้ใช้ใช้ป้ายชื่อระดับความลับสําหรับเนื้อหา การตั้งค่านี้จําเป็นสําหรับการบังคับใช้นโยบายที่เกี่ยวข้องกับป้ายชื่อระดับความลับทั้งหมดใน Fabric ดังนั้นถ้ามีการใช้ป้ายชื่อระดับความลับใน Fabric อยู่แล้ว การตั้งค่านี้จะเปิดอยู่แล้ว สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานป้ายชื่อระดับความลับใน Fabric โปรดดู เปิดใช้งานป้ายชื่อระดับความลับ
ประเภทรายการที่สนับสนุน
นโยบายการป้องกันได้รับการสนับสนุนสําหรับรายการ Fabric ดั้งเดิมทุกประเภทและสําหรับแบบจําลองความหมายของ Power BI รายการประเภทอื่น ๆ ของ Power BI ยังไม่ได้รับการรองรับในขณะนี้
ข้อควรพิจารณาและข้อจำกัด
การเพิ่มบริการหลักไปยังนโยบายการป้องกันไม่ได้รับการสนับสนุนผ่านพอร์ทัล Microsoft Purview ในขณะนี้ หากต้องการเปิดใช้งานบริการหลักเพื่อเข้าถึงรายการที่ได้รับการป้องกันโดยนโยบายการป้องกัน คุณสามารถเพิ่มรายการเหล่านั้นลงในนโยบายผ่านทาง cmdlet ของ PowerShell ได้ เปิดตั๋วการสนับสนุนเพื่อเข้าถึง cmdlet
โปรดทราบว่าถ้าคุณไม่เพิ่มบริการหลักไปยังรายการของผู้ใช้ที่ได้รับอนุญาต โครงร่างสําคัญของบริการที่มีการเข้าถึงข้อมูลในขณะนี้จะถูกปฏิเสธการเข้าถึง ซึ่งอาจส่งผลให้แอปพลิเคชันของคุณเสียหาย ตัวอย่างเช่น บริการหลักอาจใช้สําหรับการรับรองความถูกต้องของแอปพลิเคชันเพื่อเข้าถึงแบบจําลองความหมาย
ด้วยนโยบายการป้องกันสําหรับ Fabric จะมีป้ายชื่อเดียวต่อนโยบายการป้องกันเท่านั้น และมีนโยบายการป้องกันเดียวต่อหนึ่งป้ายชื่อเท่านั้น อย่างไรก็ตาม ป้ายชื่อที่ใช้ในนโยบายการป้องกันยังสามารถเชื่อมโยงกับนโยบายป้ายชื่อระดับความลับปกติได้อีกด้วย
สามารถสร้างนโยบายการป้องกันได้สูงสุด 50 รายการ
คุณสามารถเพิ่มผู้ใช้และกลุ่มได้สูงสุด 100 รายในนโยบายการป้องกัน
นโยบายการป้องกันสําหรับ Fabric ไม่สนับสนุนผู้ใช้ที่เป็นผู้เยี่ยมชม/ภายนอก
ไปป์ไลน์ ALM จะไม่ทํางานในสถานการณ์ที่ผู้ใช้สร้างไปป์ไลน์ ALM ในพื้นที่ทํางานที่มีรายการที่ได้รับการปกป้องโดยนโยบายการป้องกันที่ไม่มีผู้ใช้
หลังจากสร้างนโยบายแล้ว อาจใช้เวลาถึง 30 นาทีในการเริ่มตรวจหาและปกป้องรายการที่ติดป้ายชื่อระดับความลับที่เชื่อมโยงกับนโยบาย