Microsoft Fabric 中的保护策略(预览版)
Microsoft Purview 保护访问控制策略(保护策略)使组织能够使用敏感度标签来控制对 Fabric 中项的访问。
本文的目标受众是安全性与合规性管理员、Fabric 管理员和用户,以及任何想要了解保护策略如何控制对 Fabric 中项的访问的人。 若要了解如何为 Fabric 创建保护策略,请参阅创建和管理 Fabric 的保护策略(预览版)。
注意
目前不支持通过 Microsoft Purview 门户将服务主体添加到保护策略。 为了使服务主体能够访问受保护策略保护的项,可以通过 PowerShell cmdlet 将它们添加到策略中。 创建支持工单即可访问 cmdlet。
请注意,如果不将服务主体添加到允许的用户列表中,则当前有权访问数据的服务主体会被拒绝访问,这可能会导致应用程序中断。 例如,服务主体可用于应用程序身份验证来访问语义模型。
Fabric 的保护策略的工作原理是什么?
Fabric 的每个保护策略都与敏感度标签相关联。 该策略通过允许策略中指定的用户和组保留其对项的权限,同时阻止其他所有人的访问权限,来控制对某个具有关联标签的项的访问。 该策略可以:
允许指定的用户和组保留对标记项的读取权限(如果其有该权限)。 其对该项的任何其他权限都会被移除。
和/或
允许指定的用户和组保留对标记项的完全控制权(如果其拥有该控制权),或者保留其拥有的任何权限。
如上所述,该策略会阻止所有未在策略中指定的用户和组访问该项。
注意
保护策略不适用于标签颁发者。 也就是说,最后将与保护策略关联的标签应用于某个项的用户不会被拒绝访问该项,即使该策略中未指定该用户。 例如,如果保护策略与标签 A 相关联,并且用户将标签 A 应用于某个项,则即使策略中未指定该用户,该用户也将能够访问该项。
用例
下面是保护策略可能有用的示例:
- 某个组织希望只有组织内的用户才能访问标记为“机密”的项。
- 某个组织希望只有财务部门的用户能够编辑标记为“财务数据”的数据项,但允许组织中的其他用户读取这些项。
谁为 Fabric 创建保护策略?
Fabric 的保护策略通常由组织的 Purview 安全性与合规性团队配置。 保护策略创建者必须具有信息保护管理员角色或更高权限的角色。 有关详细信息,请参阅创建和管理 Fabric 的保护策略(预览版)。
要求
Microsoft 365 E3/E5 许可证,这是 Microsoft Purview 信息保护的敏感度标签的要求。 有关详细信息,请参阅 Microsoft Purview 信息保护:敏感度标签。
租户中必须至少存在一个来自 Microsoft Purview 信息保护的“适当配置”敏感度标签。 在 Fabric 的保护策略上下文中,“适当配置”意味着在配置标签时,其范围被限定为“文件和其他数据资产”,并且其保护设置被设置为包括“控制访问”(有关敏感度标签配置的信息,请参阅创建和配置敏感度标签及其策略)。 只有这种“适当配置”敏感度标签才能用于创建 Fabric 的保护策略。
为了在 Fabric 中强制执行保护策略,必须启用 Fabric 租户设置“允许用户为内容应用敏感度标签”。 Fabric 中的所有敏感度标签相关策略实施都需要此设置,因此如果 Fabric 中已使用敏感度标签,则此设置已处于开启状态。 若要详细了解如何在 Fabric 中启用敏感度标签,请参阅启用敏感度标签。
支持的项目类型
所有原生 Fabric 项类型以及 Power BI 语义模型都支持保护策略。 目前不支持所有其他的 Power BI 项类型。
注意事项和限制
目前不支持通过 Microsoft Purview 门户将服务主体添加到保护策略。 为了使服务主体能够访问受保护策略保护的项,可以通过 PowerShell cmdlet 将它们添加到策略中。 创建支持工单即可访问 cmdlet。
请注意,如果不将服务主体添加到允许的用户列表中,则当前有权访问数据的服务主体会被拒绝访问,这可能会导致应用程序中断。 例如,服务主体可用于应用程序身份验证来访问语义模型。
使用 Fabric 的保护策略时,每个保护策略只能有一个标签,每个标签只能有一个保护策略。 但是,保护策略中使用的标签也可以与常规敏感度标签策略相关联。
最多可以创建 50 个保护策略。
最多可以将 100 个用户和组添加到保护策略。
Fabric 的保护策略不支持来宾/外部用户。
如果用户在工作区中创建 ALM 管道,而该管道包含受不包含用户的保护策略保护的项,则 ALM 管道将无法工作。
创建策略后,该策略可能需要长达 30 分钟的时间才能开始检测和保护带有已与该策略关联的敏感度标签的项。