Microsoft Fabric 中的安全性
Microsoft Fabric 是一種軟體即服務 (SaaS) 平台,可讓使用者取得、建立、分享資料並將資料視覺化。
作為一項 SaaS 服務,Fabric 為整個平台提供完整的安全性封裝。 Fabric 會移除維護安全性解決方案的成本和責任,並將其轉移至雲端。 透過 Fabric,您可以使用 Microsoft 的專業知識和資源,保護您的資料安全、修補弱點、監視威脅,並遵守法規。 Fabric 也可讓您管理、控制和稽核安全性設定,以符合您不斷變化的需要和需求。
當您將資料帶入雲端並搭配各種分析體驗使用時,例如 Power BI、Data Factory 和新一代 Synapse,Microsoft 可確保內建的安全性和可靠性功能能夠保護您的待用資料和傳輸中的資料。 Microsoft 也可確保在發生基礎結構失敗或災害時,您的資料可以復原。
Fabric 安全性為:
一律開啟 - 每個與 Fabric 的互動預設都會加密,並使用 Microsoft Entra ID 進行驗證。 Fabric 體驗之間的所有通訊都會經過 Microsoft 骨幹網際網路。 待用資料會自動儲存為加密狀態。 若要規範 Fabric 的存取,您可以新增額外的安全性功能,例如私人連結或 Entra 條件式存取。 Fabric 也可以連線到受防火牆保護的資料或使用受信任存取的私人網路。
符合規範 – Fabric 具有現成的資料主權,以及多地理位置容量。 Fabric 也支持各種合規性標準。
可治理 - Fabric 隨附一組治理工具,例如資料譜系、資訊保護標籤、資料外洩防護和 Purview 整合。
可設定 - 您可以根據組織政策設定 Fabric 安全性。
不斷演進 - Microsoft 藉由新增功能和控制項,不斷改善 Fabric 安全性。
驗證
Microsoft Fabric 是一個與其他許多 Microsoft 服務,例如 Azure、Microsoft Office、OneDrive 和 Dynamics 類似的 SaaS 平台。 所有這些 Microsoft SaaS 服務,包括 Fabric,都使用 Microsoft Entra ID 作為其雲端式身分識別提供者。 Microsoft Entra ID 可協助使用者快速且輕鬆地從任何裝置和任何網路連線到這些服務。 連線到 Fabric 的每個要求都會使用 Microsoft Entra ID 進行驗證,讓使用者從公司辦公室、在家工作時或從遠端位置都能安全地連線到 Fabric。
了解網路安全性
Fabric 是在 Microsoft Cloud 中執行的 SaaS 服務。 某些案例涉及連線到 Fabric 平台外部的資料。 例如,從您自己的網路檢視報表,或連線到另一個服務中的資料。 Fabric 內的互動會使用內部 Microsoft 網路,且服務外部的流量預設會受到保護。 如需更多資訊和詳細描述,請參閱傳輸中的資料。
輸入網路安全性
您的組織可能會想要根據公司的需求來限制和保護進入 Fabric 的網路流量。 透過 Microsoft Entra ID 條件式存取和私人連結,您可以為您的組織選取正確的傳入解決方案。
Microsoft Entra ID 條件式存取
Microsoft Entra ID 為 Fabric 提供條件式存取,可讓您在每個連線上安全地存取 Fabric。 以下是您可以使用條件式存取強制執行的一些存取限制範例。
定義 IP 清單,以取得 Fabric 的輸入連線能力。
使用多重要素驗證 (MFA)。
根據來源國家/地區或裝置類型等參數來限制流量。
若要設定條件式存取,請參閱 Fabric 中的條件式存取。
若要深入瞭解 Fabric 中的驗證,請參閱 Microsoft Fabric 安全性基本概念。
私人連結
私人連結可藉由限制從 Azure 虛擬網路 (VNet) 存取您的 Fabric 租用戶,並封鎖所有公用存取,來啟用與 Fabric 的安全連線。 這可確保只有來自該 VNet 的網路流量,才能存取租使用者中的 Notebook、Lakehouses、數據倉儲和資料庫等網狀架構功能。
若要在 Fabric 中設定私人連結,請參閱設定和使用私人連結。
輸出網路安全性
Fabric 有一組工具,可讓您連線到外部資料來源,並以安全的方式將資料帶入 Fabric。 本節列出將資料從安全網路匯入到 Fabric 和從安全網路連線到 Fabric 的不同方式。
受信任的工作區存取
使用 Fabric,您可以安全地存取已啟用防火牆的 Azure Data Lake Gen 2 帳戶。 具有工作區身分識別的 Fabric 工作區可以從選取的虛擬網路和 IP 位址,安全地存取已啟用公用網路存取的 Azure Data Lake Gen 2 帳戶。 您可以限制 ADLS Gen 2 對特定 Fabric 工作區的存取。 如需詳細資訊,請參閱受信任的工作區存取。
注意
Fabric 工作區身分識別只能在與 Fabric F SKU 容量關聯的工作區中建立。 如需有關購買 Fabric 訂用帳戶的資訊,請參閱購買 Microsoft Fabric 訂用帳戶。
受控私人端點
透過受控私人端點可以安全地連線到 Azure SQL 資料庫等資料來源,而不需將其公開至公用網路,或要求複雜的網路設定。
受控虛擬網路
受控虛擬網路是由 Microsoft Fabric 為每個 Fabric 工作區建立和管理的虛擬網路。 受控虛擬網路為 Fabric Spark 工作負載提供網路隔離,這意味著計算叢集會部署在專用網路中,而不再是共用虛擬網路的一部分。
受控虛擬網路也會啟用網路安全性功能,例如受控私人端點,以及 Microsoft Fabric 中使用 Apache Spark 的資料工程和資料科學項目的私人連結支援。
資料閘道
若要連線到內部部署的資料來源或受防火牆或虛擬網路保護的資料來源,您可以使用下列其中一個選項:
內部部署的資料閘道 - 該閘道可作為內部部署的資料來源與 Fabric 之間的橋樑。 閘道安裝在您網路內的伺服器上,它可讓 Fabric 透過安全通道連線到資料來源,而不需要開啟連接埠或變更網路。
虛擬網路 (VNet) 資料閘道 - VNet 閘道 可讓您從 Microsoft 雲端服務連線到 VNet 內的 Azure 資料服務,而不需要內部部署的資料閘道。
從現有的服務連線到 OneLake
您可以使用現有的 Azure 平台即服務 (PaaS) 服務連線到 Fabric。 針對 Synapse 和 Azure Data Factory (ADF),您可以使用 Azure Integration Runtime (IR) 或 Azure Data Factory 受控虛擬網路。 您也可以使用 OneLake API 連線到這些服務和其他服務,例如對應資料流、Synapse Spark 叢集、Databricks Spark 叢集和 Azure HDInsight。
Azure 服務標籤
使用服務標籤,從部署在 Azure 虛擬網路中的資料來源擷取資料,例如 Azure SQL 虛擬機器 (VM)、Azure SQL 受控執行個體 (MI) 和 REST API。 您也可以使用服務標籤從虛擬網路或 Azure 防火牆取得流量。 例如,服務標籤可以允許傳出流量到 Fabric,讓 VM 上的使用者能夠從 SSMS 連線到 Fabric SQL 連接字串,同時封鎖存取其他公用網際網路資源。
IP 允許清單
如果您的資料不在 Azure 中,您可以啟用組織網路上的 IP 允許清單,以允許往來於 Fabric 的流量。 如果您需要從不支援服務標籤的資料來源取得資料,例如內部部署的資料來源,IP 允許清單會很有用。 透過這些捷徑,您可以使用 Lakehouse SQL 分析端點或 Direct Lake 取得資料,而不需要將資料複製到 OneLake。
您可以從內部部署的服務標籤取得 Fabric IP 清單。 此清單可用作 JSON 檔案,或以程式設計方式與 REST API、PowerShell 和 Azure 命令列介面 (CLI) 一起使用。
保護資料
在 Fabric 中,儲存在 OneLake 中的所有資料均為待用加密狀態。 所有待用資料都會儲存在您的主區域中,或儲存在所選遠端區域的其中一個容量中,以便您符合待用資料主權法規。 如需詳細資訊,請參閱 Microsoft Fabric 安全性基本概念。
瞭解多個地理位置的租用戶
許多組織是遍及全球的,而且需要位於多個 Azure 地理位置的服務。 例如,某公司的總部可能設立在美國,同時在其他地理區域,例如澳洲經營業務。 為了遵守當地法規,遍及全球的企業必須確保資料在數個區域保持待用儲存狀態。 在 Fabric 中,這稱為多地理位置。
指派給多地理位置工作區的查詢執行層、查詢快取和項目資料會保留在建立它們的 Azure 地理位置中。 不過,某些中繼資料和處理會待用儲存在租用戶的主地理位置。
Fabric 是廣泛 Microsoft 生態系統的一部分。 如果貴組織已經使用其他雲端訂用帳戶服務,例如 Azure、Microsoft 365 或 Dynamics 365,則 Fabric 會在相同的 Microsoft Entra 租用戶內運作。 貴組織的網域 (例如,contoso.com) 與 Microsoft Entra ID 相關聯。 就像所有 Microsoft 雲端服務一樣。
當您使用具有跨多個地理位置的多個容量的多個租用戶時,Fabric 可確保跨區域的資料安全性。
資料邏輯隔離 - Fabric 平台提供租用戶之間的邏輯隔離,以保護您的資料。
資料主權 - 若要開始使用多地理位置,請參閱設定 Fabric 的多地理位置支援。
存取資料
Fabric 使用工作區來控制資料存取。 在工作區中,資料會以 Fabric 項目的形式顯示,除非您授與這些項目對工作區的存取權,否則使用者無法檢視或使用這些項目 (資料)。 您可以在權限模型中找到關於工作區和項目權限的詳細資訊。
工作區角色
下表列出了工作區存取權。 它包含工作區角色及 Fabric 和 OneLake 安全性。 具有檢視者角色的使用者可以執行 SQL、Data Analysis Expressions (DAX) 或多維度運算式 MDX) 查詢,但無法存取 Fabric 項目或執行筆記本。
| 角色 | 工作區存取 | OneLake 存取 |
|---|---|---|
| 管理員、成員和參與者 | 可以使用工作區中的所有項目 | ✅ |
| 檢視者 | 可以查看工作區中的所有項目 | ❌ |
共用項目
您可以與組織中沒有任何工作區角色的用戶共用 Fabric 項目。 共用專案提供受限制的存取權,讓使用者只能存取工作區中的共用項目。
限制存取
您可以使用資料列層級安全性 (RLS)、資料行層級安全性 (CLS) 和物件層級安全性 (OLS) 來限制檢視者存取資料。 藉由 RLS、CLS 和 OLS,您可以建立可存取特定資料部分的使用者身分識別,並限制 SQL 結果只傳回使用者身分識別可存取的內容。
您也可以將 RLS 新增至 DirectLake 資料集。 如果您同時定義 SQL 和 DAX 的安全性,DirectLake 會回復為 SQL 中具有 RLS 的資料表的 DirectQuery。 在這種情況下,DAX 或 MDX 結果僅限於使用者的身分識別。
若要在沒有 DirectQuery 後援的情況下使用 DirectLake 資料集搭配 RLS 來公開報表,請使用直接資料集共用或 Power BI 中的應用程式。 藉由 Power BI 中的應用程式,您可以存取報表,而不需要檢視者存取權。 這種存取權意味著使用者無法使用 SQL。 若要讓 DirectLake 能夠讀取資料,您必須將資料來源認證從單一登入 (SSO) 切換至可存取湖中檔案的固定身分識別。
保護資料
Fabirc 支援來自 Microsoft Purview 資訊保護的敏感度標籤。 這些標籤,例如一般、機密和高度機密,在 Word、PowerPoint 和 Excel 等 Microsoft Office 應用程式中廣泛使用,以保護敏感性資訊。 在 Fabric 中,您可以使用這些相同的敏感度標籤來為包含敏感性資料的項目進行分類。 然後敏感度標籤會在流經 Fabric 時自動從項目到項目追蹤資料,一路從資料來源到達商務使用者。 即使資料匯出為 PBIX、Excel、PowerPoint 和 PDF 等支援的格式,也一樣會遵循敏感度標籤,以確保您的資料繼續受保護。 只有授權使用者才能開啟檔案。 如需詳細資訊,請參閱 Microsoft Fabric 中的治理與合規性。
若要協助您治理、保護和管理資料,您可以使用 Microsoft Purview。 Microsoft Purview 和 Fabric 一起運作,可讓您從單一位置 Microsoft Purview 中樞儲存、分析和治理您的資料。
復原資料
Fabric 資料復原可確保您的資料在發生災害時可供使用。 Fabric 也可讓您在發生災害時復原資料,即災害復原。 如需詳細資訊,請參閱 Microsoft Fabric 中的可靠性。
管理 Fabric
身為 Fabric 中的系統管理員,您可以控制整個組織的功能。 Fabric 可讓您將系統管理員角色委派給容量、工作區和網域。 藉由將管理員責任委派給正確的人員,您可以實作模型,讓數個主要管理員控制整個組織的一般 Fabric 設定,同時讓其他管理員負責與特定區域相關的設定。
使用各種工具,管理員也可以監視重要的 Fabric 層面,例如容量使用量。
稽核記錄
若要檢視您的稽核記錄,請遵循追蹤 Microsoft Fabric 中的使用者活動中的指示。 您也可以參考作業清單,以查看哪些活動適用於在稽核記錄中搜尋。
Capabilities
請檢閱本節,以取得 Microsoft Fabric 中可用的一些安全性功能的清單。
| 功能 | 描述 |
|---|---|
| 條件式存取 | 使用 Microsoft Entra ID 保護您的應用程式 |
| 加密箱 | 控制 Microsoft 工程師如何存取您的資料 |
| Fabric 和 OneLake 安全性 | 瞭解如何在 Fabric 和 OneLake 中保護您的資料。 |
| 復原 | Azure 可用性區域的可靠性與區域復原能力 |
| 服務標籤 | 啟用 Azure SQL 受控執行個體 (MI) 以允許來自 Microsoft Fabric 的傳入連線 |