Microsoft Fabric 中的保護原則(預覽版)
Microsoft Purview 保護存取控制原則 (保護原則) 可讓組織使用敏感度標籤控制 Fabric 中專案的存取權。
本文的目標對像是安全性和合規性系統管理員、網狀架構系統管理員和使用者,以及想要瞭解保護原則如何控制 Fabric 中專案的存取權的人員。 如果您想要瞭解如何建立 Fabric 的保護原則,請參閱建立和管理 Fabric 的保護原則(預覽版)。
注意
目前不支援透過 Microsoft Purview 入口網站將服務主體新增至保護原則。 若要讓服務主體存取受保護原則保護的專案,您可以透過PowerShell Cmdlet將它們新增至原則。 開啟支援票證以取得 Cmdlet 的存取權。
請注意,如果您未將服務主體新增至允許的使用者清單,目前有權存取數據的服務主體將會遭到拒絕存取,這可能會導致您的應用程式中斷。 例如,服務主體可用於應用程式驗證來存取語意模型。
Fabric 的保護原則如何運作?
網狀架構的每個保護原則都會與敏感度標籤相關聯。 原則會允許原則中指定的使用者和群組保留專案上的許可權,同時封鎖其他人的存取,藉此控制具有相關聯標籤之專案的存取權。 原則可以:
允許指定的使用者和群組在具有標籤專案時保留 讀取 許可權。 將會移除他們在項目上擁有的任何其他許可權。
和/或
允許指定的使用者和群組在具有標籤的專案上保留 完整控制權 ,或保留其擁有的任何許可權。
如前所述,原則會封鎖存取原則中未指定之所有使用者和群組的專案。
注意
保護原則不適用於卷標籤發者。 也就是說,上次將與保護原則相關聯的標籤套用至專案的使用者將不會拒絕存取該專案,即使原則中未指定標籤也一樣。 例如,如果保護原則與標籤 A 相關聯,且使用者將標籤 A 套用至專案,即使該使用者未在原則中指定,仍可存取該專案。
使用案例
以下是保護原則可能很有用的範例:
- 組織只希望組織內的用戶能夠存取標示為「機密」的專案。
- 組織只希望財務部門的用戶能夠編輯標示為「財務數據」的數據項,同時允許組織中的其他使用者讀取這些專案。
誰為 Fabric 建立保護原則?
Fabric 的保護原則通常是由組織的 Purview 安全性和合規性小組所設定。 保護原則建立者必須具有 資訊保護 系統管理員或更新版本的角色。 如需詳細資訊,請參閱建立和管理 Fabric 的保護原則(預覽版)。
需求
Microsoft 365 E3/E5 授權,因為敏感度標籤需要 Microsoft Purview 資訊保護。 如需詳細資訊,請參閱 Microsoft Purview 資訊保護:敏感度標籤。
租使用者中至少必須有一個來自 Microsoft Purview 資訊保護的「適當設定」敏感度標籤。 網狀架構保護原則內容中的「適當設定」表示,當標籤設定時,該標籤的範圍 是檔案和其他數據資產,且其保護設定已設定為包含 控制存取 權(如需敏感度卷標設定的相關信息,請參閱 建立及設定敏感度標籤及其原則)。 只有這類「適當設定」的敏感度標籤可用來建立 Fabric 的保護原則。
若要在 Fabric 中強制執行保護原則,必須啟用 [網狀架構租使用者] 設定 [允許使用者套用內容的 敏感度卷標]。 網狀架構中所有敏感度標籤相關原則強制執行都需要此設定,因此如果網狀架構中已經使用敏感度標籤,此設定就會開啟。 如需在 Fabric 中啟用敏感度標籤的詳細資訊,請參閱 啟用敏感度標籤。
支援的項目類型
所有原生網狀架構項目類型和Power BI語意模型都支援保護原則。 目前不支援所有其他 Power BI 項目類型。
考量與限制
目前不支援透過 Microsoft Purview 入口網站將服務主體新增至保護原則。 若要讓服務主體存取受保護原則保護的專案,您可以透過PowerShell Cmdlet將它們新增至原則。 開啟支援票證以取得 Cmdlet 的存取權。
請注意,如果您未將服務主體新增至允許的使用者清單,目前有權存取數據的服務主體將會遭到拒絕存取,這可能會導致您的應用程式中斷。 例如,服務主體可用於應用程式驗證來存取語意模型。
使用 Fabric 的保護原則時,每個保護原則只能有一個標籤,每個標籤只能有一個保護原則。 不過,保護原則中使用的標籤也可以與一般敏感度標籤原則相關聯。
最多可以建立50個保護原則。
最多可以新增100個使用者和群組至保護原則。
Fabric 的保護原則不支援來賓/外部使用者。
ALM 管線不適用於使用者在工作區中建立 ALM 管線,而工作區中包含未包含使用者的保護原則所保護的專案。
建立原則之後,最多可能需要 30 分鐘的時間,才能開始偵測和保護與原則相關聯敏感度卷標的專案。