治理概觀和指導
Microsoft網狀架構治理和合規性提供一組功能,可協助您管理、保護、監視及改善貴組織敏感性資訊的探索能力,以取得和維護客戶信任,並符合數據控管和合規性需求和法規。 這些功能有許多是內建的,並包含在您的 Microsoft Fabric 授權中,而部份其他功能則需要 Microsoft Purview 的額外授權。
本文章說明高階的主要功能和元件,可協助您治理組織的資料資產,並包含部分有關利用這些功能和元件所提供之功能的相關指導。 文章也提供每個功能和元件的更詳細資訊連結。
*需要額外的授權
管理您的資料資產
本章節會說明部分可用來協助管理資料資產的主要功能。
管理員入口網站
Microsoft Fabric 管理員入口網站是一個集中式位置,可讓您的組織系統管理員控制整體 Fabric 資產。 這包括治理 Microsoft Fabric 的設定。 例如,您可以變更租用戶設定、治理容量、網域和工作區,以及控制使用者與 Microsoft Fabric 互動的方式。 為了提供彈性,管理和治理的某些層面可以委派給容量、網域和工作區,讓個別的管理員可以在其範圍內進行管理。
如需管理員入口網站的詳細資訊,請參閱 什麼是管理員入口網站?。
指導:平台/IT 擁有者應該可以存取管理員入口網站。 這些人員可以定義網域,並將網域和容量管理委派給網域和容量擁有者,以符合組織需求。
租用戶、網域和工作區設定
租用戶、網域和工作區管理員在其各自範圍內都有可加以設定的設定,以控制可以存取不同層級特定功能的人員。 部分租用戶層級設定可以委派給網域和容量管理員。
如需詳細資訊,請參閱 關於租用戶設定、 設定網域設定和 工作區設定。
指導:Fabric 管理員應該定義全租用戶的設定,讓網域管理員能夠視需要覆寫委派設定。 個別團隊 (工作區擁有者) 預期會定義更細微的自有工作區層級控制措施和設定。
網域
網域是一種以邏輯方式將組織中所有資料分組的方式,這些資料與特定領域或專業相關,例如依營業單位分組。 網域最常見的用途之一是依商務部門分組資料,讓部門可以根據其特定法規、限制及需求來管理其資料。
將資料分組到網域和子網域,可提供更好的可探索性和控管。 例如,在 OneLake 資料中樞中,使用者可以依網域篩選內容,以尋找與其相關的內容。 在治理方面,您可以將部分管理及治理資料的租用戶層級設定委派給網域層級,從而允許這些設定的網域特定組態。
如需詳細資訊,請參閱網域。
指導:商務和企業架構設計人員應該設計組織的網域設定,而 Fabric 管理員應藉由建立網域和子網域以及指派網域擁有者來實作此設計。 在理想情況下,應該讓卓越中心 (COE) 團隊參與此討論,進而使網域符合組織的整體策略。
工作區
組織中的團隊會使用工作區來建立 Fabric 項目,並彼此合作進行共同作業。 這些工作區可以根據治理需求和資料邊界,指派給團隊或部門。 完成工作區指派的方式取決於內部團隊結構,以及團隊想要處理 Fabric 項目的方式 (例如,是否需要一或多個工作區)。
指導:基於開發目的,最佳做法是讓每位開發人員擁有隔離的工作區,使得開發人員可以自行工作,而不會干擾共用工作區。 Fabric 管理員應該定義有權限建立工作區的人員。 工作區管理員應該定義使用者可以重複使用的 Spark 環境。 如需最佳做法的詳細資訊,請參閱 Fabric 中生命週期管理的最佳做法。
容量
容量是所有 Fabric 工作負載所使用的計算資源。 根據組織需求的不同,容量可作為計算、退款等的隔離邊界。
指導:請根據環境的需求分割容量,例如開發/測試/驗收/生產 (DTAP)。 這可改善工作負載隔離和退款作業。
中繼資料掃描
中繼資料掃描可讓編目工具編目並報告所有組織 Fabric 項目的中繼資料,藉此協助治理組織的 Microsoft Fabric 資料。 掃描會使用一組統稱為掃描器 API 的管理員 REST API 來完成此作業。 掃描程式 API 會擷取中繼資料,例如項目名稱、ID、敏感性、背書狀態等。
如需詳細資訊,請參閱中繼資料掃描。
安全、保護和遵守
資料安全性和擁有符合規範的資料平台,對於確保資料安全和避免入侵非常重要。 如需網路安全性、存取控制和加密的詳細資料,請參閱安全性概觀。
Fabric 會利用 Microsoft Purview 來保護敏感性資料,並協助確保符合資料隱私法規和需求。
隱私權
任何資料保護策略的第一個階段,都是識別私人資料所在的位置。 這被認為是最具挑戰性但重要性十足的步驟之一,可確保在來源保護您的資料。 下列各章節說明 Fabric 提供的功能,以協助貴組織應對這項挑戰。
資料安全性
若要確保 Fabric 中的資料不會受到未經授權的存取,並符合資料隱私需求,您可以使用 Microsoft Purview 資訊保護的敏感度標籤搭配內建 Fabric 功能,手動或自動標記貴組織的資料。 Purview 稽核接著會擷取在 Fabric 中執行之活動的稽核線索。 這包括擷取 Fabric 租用戶中的使用者活動,例如 Lakehouse 存取、Power BI 存取、Spark 活動、資料處理站活動、登入等。
Purview 資訊保護
Fabric 中的資訊保護可讓您使用 Microsoft Purview 資訊保護的敏感度標籤,探索、分類和保護 Fabric 資料。 Fabric 提供多種功能,例如預設標籤、標籤繼承和以程序設計方式套用標籤,以協助您在整個 Fabric 資料資產中獲得最大的敏感度標籤涵蓋範圍。 在標記之後,即使資料透過支援的匯出路徑從 Fabric 匯出,資料仍會受到保護。 合規性管理員可以監視 Microsoft Purview 稽核 中敏感度標籤上的活動。
如需詳細資訊,請參閱 Microsoft Fabric 中的資訊保護。
指導:來自 Microsoft Purview 資訊保護的敏感度標籤及相關聯的標籤原則應在組織層級指定,並且對整個組織有效。
Purview 數據外洩防護
適用於 Fabric 和 Power BI 的 Purview DLP 原則會自動偵測敏感性資訊,當其上傳至您的網狀架構租用者中的 DLP 支援的項目類型 時,並協助您採取風險管理動作,以確保您的組織符合政府和產業法規。
合規性和安全性系統管理員會收到每個 DLP 偵測的稽核記錄。 稽核記錄可讓您進一步瞭解業務關鍵數據及其在租用戶內的位置。 他們可以設定在 DLP 支援的專案中偵測到敏感性資訊時自動產生的警示。 他們也可以建立自定義訊息給使用者,以協助引導他們如何處理敏感數據。 例如,系統管理員可以設定訊息,每當在其數據中偵測到專屬資訊時,就會傳送給網狀架構數據擁有者,並說明此資訊是內部資訊,而且不應該在外部共用。
如需詳細資訊,請參閱 開始使用 Fabric 和 Power BI 的數據外洩防護原則。
保護工作區中的項目
組織團隊可以擁有個別工作區,其中不同的角色會參與共同作業,並致力於產生內容。 工作區中的項目存取是透過工作區管理員指派給使用者的工作區角色進行管制。
指導:資料擁有者應該建議能夠擔任工作區系統管理員的使用者。 舉例來說,這些使用者可能是組織中的團隊領導。 然後,這些工作區系統管理員應藉由將適當的工作區角色指派給項目的使用者和取用者,以治理工作區中項目的存取權。
保護 Fabric 項目中的資料
除了在租用戶或工作區層級套用的廣泛安全性措施之外,還有其他資料層級控制措施可供個別團隊部署,以管理個別資料表、資料列和資料行的存取權。 網狀架構目前提供 SQL 分析端點、倉儲、Direct Lake 和 KQL 資料庫的這類數據層級控制。
指導:個別團隊應該在項目和資料層級套用這些額外的控制措施。
稽核
若要降低未經授權存取和使用 Fabric 資料的風險,組織中的 Fabric 系統管理員和合規性團隊可以使用 Purview 合規性入口網站中提供的 Purview 稽核來追蹤和調查 Fabric 項目上的使用者活動。 許多公司也需要這些稽核記錄以符合法規需求,法規需求通常會要求這些記錄儲存稽核記錄,以用於鑑識調查並了解潛在的資料法規違規。
指導:Fabric 系統管理員和合規性團隊應該知道 Fabric 項目層級稽核會記錄在 Purview 稽核中,並可用於分析。
認證
Microsoft Fabric 具有 HIPPA BAA、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001 和 ISO/IEC 27701 合規性認證。 若要深入瞭解,請參閱 Fabric 合規性供應項目。
鼓勵資料探索、信任和使用
Fabric 提供內建功能,可協助使用者尋找及使用可靠的高品質資料。
OneLake 資料中樞
OneLake 資料中樞可讓您輕鬆地尋找、探索及使用在組織中您有權存取的 Fabric 資料項。 這提供了關於項目,以及使用這些項目的切入點的資訊。 篩選和搜尋選項可讓您更輕鬆地取得相關資料。
如需詳細資訊,請參閱探索 OneLake 資料中樞內的資料項目 (機器翻譯)。
指導:仔細定義及設定網域,對於在資料中樞中建立有效率的體驗至關重要。 仔細定義的網域有助於設定小組的內容,並改善界限和擁有權的定義。 將工作區對應至網域,是協助在 Fabric 中實作此作業的關鍵。
簽署
背書是讓使用者更容易探索可信任的高品質資料的方式。 組織通常會有大量 Microsoft Fabric 項目 (資料、程序和內容) 可供其 Fabric 使用者共用和重複使用。 背書可協助使用者識別並尋找所需的可信任高品質項目。 透過背書,項目擁有者可以推廣其高品質項目,而且組織也可認證符合其品質標準的項目。 然後,經背書的項目會在 Fabric 和使用者尋找 Fabric 項目的其他位置中受到明確標記。 經背書的項目在部分搜尋中也具有較高的優先順序,而您可在部分清單中對其進行排序。 在 Microsoft Purview 中樞中,管理員可以取得組織背書項目的見解,以便讓使用者更容易獲得高品質的內容。
如需詳細資訊,請參閱背書。
指導:您應該將認證啟用委派給網域管理員,而網域管理員應該授權資料擁有者和製作人認證他們建立的項目。 然後,資料擁有者和製作人應該一律認證已測試並準備好供其他團隊使用的項目。 這有助於將低品質、不受信任的項目與受信任的現成可用的資產分開。 這也會讓使用者更容易找到這些受信任的資產。 此外,資料取用者應接受如何尋找受信任資產的教育,並鼓勵在報表和其他下游處理中只使用經認證的項目。
標籤
標籤是可設定的文字標籤,可套用至 Fabric 專案,以增強專案探索性和使用性。 網狀架構管理員可以定義一組標記,數據擁有者可用來分類其專案。 一旦將標籤套用至專案,數據取用者就可以跨各種網狀架構體驗來檢視、搜尋及篩選已套用的標籤。
如需詳細資訊,請參閱 Microsoft Fabric 中的標記。
資料譜系和影響分析
在新式商業智慧專案中,了解從資料來源到其目的地的資料流程,可能是一項複雜的工作。 「如果我變更此資料,會發生什麼情況?」或「為什麼這份報表不是最新的?」等問題可能難以回答。 您可能會需要一組專家或是進行深入調查,才能了解這些問題。 譜系可藉由提供視覺效果來顯示工作區中所有項目之間的關聯性,協助使用者了解資料流程。 您可以針對譜系檢視中的每個項目顯示影響分析,以顯示您對項目進行變更時,哪些下游項目會受到影響。
指導:建議您針對項目使用適當且一致的命名慣例。 這有助於查看譜系資訊。
適用於整個組織之治理作業的 Purview
Microsoft Purview 提供多個解決方案,可保護及治理組織整個資料資產內的資料。 Purview 與 Fabric 之間的整合可讓您使用 Purview 的部分功能,在組織整個資料資產的內容中治理及監視 Fabric 資料。
下列各章節將說明透過 Purview 即時檢視 (預覽) 在 Fabric 上提供的資料控管功能。 另請參閱使用 Microsoft Purview 來治理 Microsoft Fabric。
資料策展
貴組織中的資料策展牽涉到從組織使用的所有來源收集中繼資料資訊、譜系資訊,以及其他資訊。 舉例來說,這些可能是內部部署、第三方雲端、第三方產品和服務,或 CRM 系統。 在 Purview 中,此擷取流程也稱為「掃描」。 所有資訊都是使用 Purview 中的內建掃描儀來擷取,該掃描器會掃描貴組織的數據資產以收集此資訊。 在 Purview 中,資料對應會執行此作業。
資料對應
Purview 具有掃描引擎,可從不同的來源掃描和擷取中繼資料,並填入 Purview 的資料對應。 Purview 會透過 Atlas API 公開此中繼資料,以便供外部服務或 ISV 取用此中繼資料。 資料對應也會與 Fabric 互動,並在內部填入其中繼資料,讓商務使用者可以搜尋、尋找和使用這些資料產品來建置見解。 目前,資料取用者可以查看其檢視人員可存取的所有 Fabric 工作區。 這稱為即時檢視。 除此之外,您可以在 Purview 的所有Fabric項目上執行手動掃描,掃描會挑出項目層級中繼資料,並可供 Purview 使用。 這僅適用於企業層。 您目前可以在項目層級上擁有譜系。
Purview 中的資料探索
使用您資料的資料取用者應該能夠搜尋及尋找相關資料。 Purview 可藉由提供網域的概念來協助這項作業。 好記的商務術語和分組方式可讓您根據熟悉的術語,更相關且更容易地搜尋團隊感興趣的資料。 這也能與資料網格結構模式良好搭配。 資料目錄是 Purview 中的應用程式層,可協助團隊搜尋資料。
指導:企業和商務結構團隊應定義網域,以及商務與技術參與者之間的角色對應,以明確角色和責任。 這些定義必須與 Fabric 中的網域定義一致。
Purview 中的資料目錄
Purview 資料目錄會公開從饋送至資料平台的所有來源擷取的中繼資料。 透過資料目錄,客戶可以搜尋有興趣使用的資料和項目,而不需要知道哪些系統會持有您的資料。 您可在 Purview 內取得所有 Fabric 項目中繼資料。
監視、發現、取得見解並採取行動
監視中樞
Microsoft Fabric 監視中樞可讓使用者從中央位置監視 Fabric 活動。 任何 Fabric 使用者都可以使用監視中樞,但監視中樞僅會針對使用者有權限檢視的 Fabric 項目顯示活動。
如需詳細資訊,請參閱使用監視中樞。
指導:您應該向開發人員和小組成員公開這項功能,以監視排程的工作負載 (例如資料流程或管線重新整理)、Spark 執行、資料倉儲查詢等。
容量計量
指導:具有平台系統管理角色的平台擁有者和使用者應該了解這項功能,並用來監視使用方式和使用量。 如需詳細資訊,請參閱什麼是 Microsoft Fabric 容量計量應用程式?。
Purview 中樞
Microsoft Purview 中樞是 Fabric 中的集中式頁面,可協助 Fabric 系統管理員和資料擁有者管理和治理其 Fabric 資料資產。 對於系統管理員和資料擁有者,中樞會提供其 Fabric 項目的見解報表,特別是關於敏感度標籤和背書的見解。 中樞也可作為更進階 Purview 功能的閘道,例如 資訊保護、資料外洩防護和稽核。 如需詳細資訊,請參閱 Microsoft Purview 中樞。
指導:資料負責人和擁有者應該瞭解 Fabric 的 Purview 中樞及其提供的內容,以取得組織敏感性和背書資料的見解。
管理員監視
管理員監視工作區可為管理員提供適用於其組織的監視功能。 使用管理員監視工作區資源後,管理員可以執行安全性和治理工作,例如稽核和使用方式檢查。 如需詳細資訊,請參閱什麼是管理員監視工作區?。
指導:建議平台擁有者/Fabric 系統管理員使用這項功能來取得 Fabric 平台的整體檢視。