治理概述和指导
Microsoft Fabric 治理和合规性提供了一组功能,可帮助你管理、保护、监视和改进组织的敏感信息的可发现性,从而获得和维护客户信任,并满足数据管理和合规性要求和法规。 其中许多功能是内置的,包含在 Microsoft Fabric 许可证中,而其他一些功能则需要获得 Microsoft Purview 的额外许可。
本文概要介绍了有助于管理组织数据资产的主要功能和组件,并包括一些有关利用这些功能和组件提供的功能的指导。 它还提供了有关每个功能和组件的详细信息的链接。
*需要额外许可
管理数据资产
本节介绍了一些可以用来帮助管理数据资产的主要功能。
管理门户
Microsoft Fabric 管理门户是一个集中位置,让组织的管理员能够控制整个 Fabric 资产。 这包括管理 Microsoft Fabric 的设置。 例如,可以更改租户设置、管理容量、域和工作区,并控制用户与 Microsoft Fabric 的交互方式。 为了提供灵活性,可以将管理和治理的某些方面委派给容量、域和工作区,以便相应的管理员可以在其范围内进行管理。
有关管理门户的详细信息,请参阅什么是管理门户?。
指导:平台/IT 所有者应能访问管理门户。 他们可以定义域,并将域和容量管理委派给域和容量所有者,以最好地满足组织需求。
租户、域和工作区设置
租户、域和工作区管理员在其范围内都有设置,可以配置这些设置来控制谁有权访问不同级别的某些功能。 某些租户级别的设置可以委派给域和容量管理员。
有关详细信息,请参阅“关于租户设置”、“配置域设置”和“工作区”设置。
指导:Fabric 管理员应定义租户范围的设置,让域管理员根据需要替代委派的设置。 各个团队(工作区所有者)应定义自己更精细的工作区级别控制和设置。
域
域是一种逻辑地将组织中与特定区域或字段(例如按业务单位)相关的所有数据分组在一起的方式。 域最常见的用途之一是按业务部门对数据进行分组,使部门能够根据其特定法规、限制和需求管理其数据。
将数据分组到域和子域中可更好实现可发现性和治理。 例如,在 OneLake 数据中心,用户可以按域筛选内容,以便查找与其相关的内容。 对于治理,一些用于管理和治理数据的租户级设置可以委托至域级别,从而实现这些设置的特定于域的配置。
有关详细信息,请参阅域。
指导:商业和企业架构师应设计组织的域设置,而 Fabric 管理员应通过创建域和子域以及分配域所有者来实现此设计。 最好是卓越中心 (COE) 团队应参与此讨论,使域与组织的总体策略保持一致。
工作区
组织中的团队使用工作区来创建 Fabric 项并相互协作。 可根据治理要求和数据边界将这些工作区分配给团队或部门。 工作区分配的具体方式取决于内部团队结构以及团队希望如何处理其 Fabric 项(例如,他们需要一个或多个工作区)。
指导:出于开发目的,最佳做法是每个开发人员都有独立的工作区,这样他们就可以在不干扰共享工作区的情况下独立工作。 Fabric 管理员应定义谁有权创建工作区。 工作区管理员应定义用户可以重用的 Spark 环境。 有关最佳做法的详细信息,请参阅 Fabric 中生命周期管理的最佳做法。
容量
容量是所有 Fabric 工作负载使用的计算资源。 根据组织要求,容量可以用作计算、退款等的隔离边界。
指导:根据环境的要求拆分容量,例如开发/测试/验收/生产 (DTAP)。 这有助于更好地隔离工作负载和退款。
元数据扫描
元数据扫描让分类工具能够分类和报告组织所有 Fabric 项目的元数据,从而提升组织在治理 Microsoft Fabric 数据方面的绩效。 它使用一组统称为扫描程序 API 的管理 REST API 来实现此目的。 扫描程序 API 可提取元数据,例如项名称、ID、敏感度、认可状态等。
有关详细信息,请参阅元数据扫描。
安全、保护和合规
数据安全性和拥有一个合规的数据平台对于确保数据保持安全且不会被盗用非常重要。 有关网络安全、访问控制和加密的详细信息,请参阅安全概述。
Fabric 利用 Microsoft Purview 保护敏感数据,并帮助确保符合数据隐私法规和要求。
隐私
任何数据保护策略的第一阶段是确定专用数据所在的位置。 这被认为是确保能够从源头保护数据的最具挑战性但最重要的步骤之一。 以下部分介绍 Fabric 为帮助组织应对这一挑战而提供的功能。
数据安全
若要确保 Fabric 中的数据不受未经授权的访问保护并符合数据隐私要求,可以将来自 Microsoft Purview 信息保护的敏感度标签与内置 Fabric 功能相结合,以手动或自动标记组织的数据。 Purview 审核随后会捕获有关 Fabric 中执行的活动的审核线索。 这包括捕获 Fabric 租户中的用户活动,例如 Lakehouse 访问、Power BI 访问、Spark 活动、数据工厂活动、登录等。
Purview 信息保护
Microsoft Fabric 中的信息保护使你能够使用 Microsoft Purview 信息保护中的敏感度标签发现、分类和保护 Fabric 数据。 Fabric 提供了多种功能,例如默认标签、标签继承和编程标签,从而帮助在整个 Fabric 数据资产中实现最大敏感度标签覆盖范围。 标记后,即使数据通过支持的导出路径从 Fabric 中导出,数据仍会受到保护。 合规性管理员可以监视 Microsoft Purview Audit 中对敏感度标签进行的活动。
有关详细信息,请参阅 Microsoft Fabric 中的信息保护。
指导:应在组织级别指定来自 Microsoft Purview 信息保护的敏感度标签及其关联的标签策略,并对整个组织有效。
Purview 数据丢失防护
Fabric 的 Purview DLP 策略会自动检测敏感信息,因为它上传到 Fabric 租户中支持 DLP 的项目类型 ,并帮助你采取风险修正措施,使组织符合政府和行业法规。
合规性和安全管理员接收每个 DLP 检测的审核日志。 审核日志可以进一步了解业务关键型数据及其在租户中的位置。 他们可以设置在 DLP 支持的项中检测到敏感信息时自动生成的警报。 他们还可以向用户创建自定义消息,以帮助指导他们如何处理敏感数据。 例如,管理员可以配置一条消息,每当在其数据中检测到专有信息时,都会发送到 Fabric 数据所有者,并说明此信息是内部信息,不应在外部共享。
有关详细信息,请参阅 Microsoft Fabric 中的数据丢失防护策略。
保护工作区中的项
组织团队可以具有单独的工作区,不同角色可以在其中进行协作并生成内容。 通过工作区管理员分配给用户的工作区角色,对工作区中的项访问进行监管。
指导:数据所有者应推荐可能是工作区管理员的用户。 例如,这些可能是贵组织的团队主管。 然后,这些工作区管理员应通过向工作区中项的用户和使用者分配适当的工作区角色来控制对这些项的访问。
保护 Fabric 项中的数据
除了在租户或工作区级别应用的广泛安全性外,还有可由各个团队部署的其他数据级控制,以管理对单个表、行和列的访问。 Fabric 目前为 Fabric、Direct Lake 和 KQL 数据库中的 SQL 分析端点、Synapse 数据仓库提供此类数据级控制。
指导:各个团队应在项和数据级别应用这些附加控制。
审核
为了缓解未经授权访问和使用 Fabric 数据的风险,组织中的 Fabric 管理员和合规性团队可以使用 Purview 合规门户提供的 Purview 审核跟踪和调查 Fabric 项上的用户活动。 许多公司还需要这些审核日志来满足监管要求,其通常要求存储审核日志,以便进行取证调查和潜在的数据监管违规。
指导:应告知 Fabric 管理员和合规性团队,Fabric 项目级审核记录在 Purview 审核中,并可用于分析。
认证
Microsoft Fabric 具有 HIPPA BAA、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001 和 ISO/IEC 27701 合规性认证。 若要了解详细信息,请参阅 Fabric 合规性产品。
鼓励数据发现、信任和使用
Fabric 提供内置功能来帮助用户查找和使用可靠的质量数据。
OneLake Data Hub
借助 OneLake 数据中心,你可以轻松地查找、浏览和使用组织中你有权访问的 Fabric 数据项。 它提供有关使用项和入口点的信息。 筛选和搜索选项使获取相关数据变得更加容易。
有关详细信息,请参阅在 OneLake 数据中心内发现数据项。
指导:仔细定义和设置域对于在数据中心中创建高效体验至关重要。 精心定义的域有助于为团队设置上下文,并更好地定义边界和所有权。 将工作区映射到域是帮助在 Fabric 中实现此目标的关键。
认可
认可是一种使值得信赖的高质量数据更容易被发现的方法。 组织通常有大量的 Microsoft Fabric 项(数据、流程和内容)可供其 Fabric 用户共享和重用。 认可有助于用户识别和找到所需的可信赖的高质量项目。 通过认可,项目所有者可以推广其优质项目,组织可以认证符合其质量标准的项目。 然后,在 Fabric 中和用户查找 Fabric 项目的其他位置,会明确标记认可的项目。 在某些搜索中,认可项也具有优先级,你可以在某些列表中对认可的项目进行排序。 在 Microsoft Purview 中心,管理员可以获取有关组织认可的项目的见解,以便更好地推动用户获得优质内容。
有关详细信息,请参阅认可。
指导:应将认证启用委派给域管理员,域管理员应授权数据所有者和制作者能够认证他们创建的项目。 然后,数据所有者和制作者应始终认证已测试并可供其他团队使用的项。 这有助于将低质量、不受信任的项目与受信任、随时可用的资产分开。 这也使这些受信任的资产更容易找到。 此外,应告知数据使用者如何查找受信任资产,并鼓励只在其报表和其他下游处理中使用经认证的项。
标记
标记是可应用于 Fabric 项的可配置文本标签,可增强项可发现性和用途。 结构管理员可以定义一组标记,数据所有者可以使用这些标记对项进行分类。 对项应用标记后,数据使用者可以在各种 Fabric 体验中按应用标记查看、搜索和筛选。
有关详细信息,请参阅 Microsoft Fabric 中的标记。
数据世系和影响分析
在现代商业智能项目中,了解数据从数据源到其目标的流是一项复杂的任务。 “如果更改此数据会发生什么情况?”或“为什么此报表不是最新的?”之类的问题可能很难回答。 他们可能需要专家团队或进行深入调查才能找到答案。 数据世系通过提供显示工作区中所有项目之间关系的可视化效果来帮助用户了解数据流。 对于数据世系视图中的每个项目,可以显示影响分析,该分析显示如果对项目进行更改,哪些下游项目将受到影响。
指导:建议对项使用适当且一致的命名约定。 这样有助于查看世系信息。
Purview 的跨组织治理
Microsoft Purview 提供了用于跨组织的整个数据资产保护和管理数据的解决方案。 Purview 和 Fabric 之间的集成使得可以使用 Purview 的某些功能在组织的整个数据资产上下文中管理和监视 Fabric 数据。
以下各节介绍了通过 Purview 的实时视图(预览版)在 Fabric 上提供的数据管理功能。 另请参阅使用 Microsoft Purview 治理 Microsoft Fabric。
数据策展
组织中的数据策展涉及从组织使用的所有来源收集元数据信息、世系信息以及其他信息。 这些可以是本地、第三方云、第三方产品和服务,也可以是 CRM 系统等等。 这种提取过程在 Purview 中也称为扫描。 所有信息都是使用 Purview 中的内置扫描程序检索的,这些扫描程序扫描组织的数据资产以收集这些信息。 在 Purview 中,这是由数据映射执行的。
数据映射
Purview 有一个扫描引擎,可以扫描和提取不同来源的元数据,并填充 Purview 的数据映射。 Purview 通过 Atlas API 公开这些元数据,以便外部服务或 ISV 可以使用它。 数据映射还与 Fabric 交互,并在内部填充其元数据,以便商务用户可以搜索、查找和使用这些数据产品来生成其见解。 目前,数据使用者可以查看他们具有查看者访问权限的所有 Fabric 工作区。 这称为实时视图。 除此之外,可以对 Purview 中的所有 Fabric 项执行手动扫描,其中选取了项级别元数据并将其用于 Purview。 这仅适用于企业层。 目前,可以在项级别具有世系。
Purview 中的数据发现
使用数据的数据使用者应该能够搜索和查找相关数据。 Purview 通过提供域的概念来提供帮助。 有利于业务的术语和分组使得根据团队熟悉的术语搜索团队感兴趣的数据更相关、更轻松。 这也与数据网格体系结构模式很好地融合。 数据目录是 Purview 中帮助团队搜索数据的应用程序层。
指导:企业和商务体系结构团队应定义域以及业务和技术参与者之间的角色映射,以明确角色和职责。 这些定义必须与 Fabric 中的域定义相符。
Purview 中的数据目录
Purview 数据目录公开了从馈送数据平台的所有来源捕获的元数据。 使用数据目录,客户可以搜索他们想要处理的数据和项,而无需知道哪些系统保存了数据。 所有 Fabric 项元数据都可以在 Purview 中使用。
监视、揭示、获取见解并采取行动
监视中心
使用 Microsoft Fabric 监视中心,用户能够从中心位置监视 Fabric 活动。 任何 Fabric 用户都可以使用监视中心,但监视中心仅显示用户有权查看的 Fabric 项的活动。
有关详细信息,请参阅使用监视中心。
指导:应向开发人员和团队成员公开此功能,以便监视计划工作负载(例如,数据流或管道刷新)、Spark 运行、数据仓库查询等。
容量度量值
指导:具有平台管理员角色的平台所有者和用户应了解此功能,并使用它来监视使用情况和消耗。 有关详细信息,请参阅什么是 Microsoft Fabric 容量指标应用?。
Purview 中心
Microsoft Purview 中心是 Fabric 中的集中式页面,可帮助 Fabric 管理员和数据所有者管理和治理其 Fabric 数据资产。 该中心可为管理员和数据所有者提供报表,其中包括有关其 Fabric 项目的见解,特别是有关敏感度标记和认可的信息。 此外,中心还充当更高级 Purview 功能的网关,例如信息保护、数据丢失防护和审核。 有关详细信息,请参阅 Microsoft Purview 中心。
指导:数据专员和所有者应了解 Fabric 的 Purview 中心,以及它在深入了解组织的敏感和认可的数据方面所提供的内容。
管理员监视
管理员监视工作区为管理员提供了对其组织的监视功能。 使用管理员监视工作区资源,管理员可以执行安全和治理任务,例如审核和使用情况检查。 有关详细信息,请参阅什么是管理员监视工作区?。
指导:建议平台所有者/Fabric 管理员使用此功能来全面了解 Fabric 平台。