Kom i gang med OneLake-sikkerhed (prøveversion)

OneLake-sikkerhed giver dig mulighed for at anvende rollebaseret adgangskontrol (RBAC) på dine data, der er gemt i OneLake. Du kan definere sikkerhedsroller, der giver adgang til specifikke mapper inden for et Fabric-element, og derefter tildele disse roller til brugere eller grupper. Roller kan også indeholde sikkerhed på række- eller kolonneniveau for yderligere at begrænse adgangen. OneLake-sikkerhedstilladelserne bestemmer, hvilke data brugeren kan se på tværs af alle oplevelser i Fabric.

Fabric-brugere med tilladelserne Skriv og Del igen (generelt brugere af administrator- og medlemsarbejdsområdet) kan komme i gang ved at oprette OneLake-sikkerhedsroller for kun at give adgang til bestemte mapper eller tabeller i et Fabric-dataelement. Hvis du vil give adgang til data i et element, skal du føje brugere til en dataadgangsrolle. Brugere, der ikke er en del af en dataadgangsrolle, kan ikke se nogen data i det pågældende element.

Forudsætninger

Hvis du vil konfigurere OneLake-sikkerhed, skal du være administrator eller medlem i arbejdsområdet eller have tilladelserne Skriv og Del igen. Rolleoprettelse og medlemskabstildeling træder i kraft, så snart rollen er gemt, så sørg for, at du vil give adgang, før du føjer nogen til en rolle.

Følgende tabel viser, hvilke dataelementer der understøtter OneLake-sikkerhed:

Stof vare	Status	Understøttede tilladelser
Lakehouse	Preview	Læs, Læs Skriv
Azure Databricks-spejlet katalog	Preview	Read

Sådan tilmelder du dig

OneLake-sikkerhed er i øjeblikket i forhåndsvisning og er derfor deaktiveret som standard. Eksempelfunktionen konfigureres pr. element. Tilvalgskontrolelementet giver mulighed for, at et enkelt element kan prøve forhåndsvisningen uden at aktivere den på andre Fabric-elementer.

Forhåndsvisningsfunktionen kan ikke deaktiveres, når den er aktiveret.

1. Gå til et søhus, og vælg Administrer OneLake-sikkerhed (prøveversion).
2. Gennemse bekræftelsesdialogen. Eksempelvisningen af dataadgangsroller er ikke kompatibel med eksemplet på ekstern datadeling. Hvis du er ok med ændringen, skal du vælge Fortsæt.

For at sikre en problemfri tilmeldingsoplevelse har alle brugere med læsetilladelse til data i elementet fortsat læseadgang via en standarddataadgangsrolle kaldet DefaultReader. Med virtualiserede rollemedlemskaber er alle brugere, der havde de nødvendige tilladelser til at se data i lakehouse (ReadAll-tilladelsen), inkluderet som medlemmer af denne standardrolle. Hvis du vil begynde at begrænse adgangen til disse brugere, skal du slette rollen DefaultReader eller fjerne tilladelsen Læs fra de brugere, der har adgang.

Vigtig

Sørg for, at alle brugere, der er inkluderet i en dataadgangsrolle, fjernes fra rollen DefaultReader. Ellers bevarer de fuld adgang til dataene.

Hvilke typer data kan sikres?

Brug OneLake-sikkerhedsroller til at administrere OneLake-læseadgang til tabeller eller mapper i et element. Adgang til tabeller kan begrænses yderligere ved hjælp af sikkerhed på række- og/eller kolonneniveau. Alle sikkerhedssæt gælder for adgang fra alle programmer i Fabric. Du kan finde flere oplysninger i modellen til dataadgangskontrol.

For specifikke itemtyper kan ReadWrite-adgang også konfigureres. Denne tilladelse giver brugerne mulighed for at redigere data i et lakehouse på bestemte tabeller eller mapper uden at give dem adgang til at oprette eller administrere Fabric-elementer. ReadWrite-adgang gør det muligt for brugere at udføre skriveoperationer gennem Spark-notebooks, OneLake-filudforskeren eller OneLake-API'er. Skriveoperationer gennem Lakehouse UX for viewers understøttes ikke.

Opret en rolle

Brug følgende trin til at oprette en OneLake-sikkerhedsrolle.

1. Åbn elementet Stof, hvor du vil definere sikkerhed.

2. Vælg Administrer OneLake-sikkerhed (prøveversion) i elementmenuen.

3. I ruden OneLake-sikkerhed (prøveversion) skal du vælge Ny.

4. Angiv et navn til den nye rolle, der opfylder følgende retningslinjer:

   • Rollenavnet kan kun indeholde alfanumeriske tegn.
   • Rollenavnet skal starte med et bogstav.
   • Navne skelner ikke mellem store og små bogstaver og skal være unikke.
   • Den maksimale navnelængde er 128 tegn.

5. Vælg Grant som typen af rolle.

6. Vælg de tilladelser, du vil give. Læs er valgt som minimum, og du kan valgfrit vælge ReadWrite.

7. Hvis denne rolle skal gælde for alle tabeller og filer i dette søhus, skal du vælge Alle data til/fra.

   Dette valg giver også adgang til alle mapper, der tilføjes i fremtiden.

8. Hvis denne rolle kun skal gælde for en markeret gruppe af tabeller og mapper, skal du vælge til/fra-knappen Markerede data . Brug derefter følgende trin til at definere de godkendte data for denne rolle.

   1. Vælg Browse Lakehouse eller tilsvarende for det produkt, du arbejder med.

      

   2. Udvid mapperne Tabeller og Filer for at se data i dit søhus.

   3. Markér afkrydsningsfelterne ud for de tabeller og filer, som rollen skal gælde for.

   4. Vælg Tilføj data for at føje de valgte elementer til din rolle.

9. Brug tekstfeltet Føj medlemmer til din rolle til manuelt at angive navne eller mailadresser på de brugere, du vil medtage i rollen. Du kan også vælge Avanceret konfiguration og følge vejledningen i Tildel virtuelle medlemmer.

   Sådan tilføjer du medlemmer manuelt:

   1. Indtast en brugers navn eller e-mailadresse.
   2. Vælg det korrekte navn på den foreslåede liste.
   3. Vælg afkrydsningsikonet for at bekræfte dit valg eller X-ikonet for at rydde markeringen.

10. Gennemse rolleoversigterne Eksempel .

    1. Hvis du vil redigere dataeksemplet, skal du vælge Gennemse Lakehouse og opdatere de valgte tabeller og mapper.
    2. Hvis du vil fjerne en bruger fra medlemmernes eksempel, skal du vælge flere indstillinger (...) ud for vedkommendes navn og derefter Fjern fra rolle.

11. Vælg Opret rolle , og vent på meddelelsen om, at rollen er blevet publiceret.

Redigere en rolle

Brug følgende trin til at redigere en eksisterende OneLake-sikkerhedsrolle.

1. Åbn det element, hvor du vil definere sikkerhed.

2. Vælg Administrer OneLake-sikkerhed (prøveversion) i elementmenuen.

3. I ruden OneLake-sikkerhed (prøveversion) skal du vælge den rolle, du vil redigere.

   Denne handling åbner siden med rolledetaljer, som indeholder to faner: Data i rolle og Medlemmer i rolle.

4. Gennemse oplysningerne under fanen Data i rolle :

   Denne fane viser alle de data, som medlemmerne af rollen har adgang til.

   Rollenavnet fortæller dig, hvilken rolle du kigger på. For at redigere rollenavnet skal du vælge Rediger-dropdownmenuen øverst til højre, vælge Opdater rollenavn, indtaste et nyt navn, og bekræft derefter med fluebenet. Du kan kassere dine ændringer ved at vælge X'et.

   Tilladelseselementet øverst fortæller dig, hvilke rettigheder rollen aktuelt giver. For at ændre rollerettighederne skal du vælge Rediger dropdown-menuen øverst til højre, vælge Rediger rollerettigheder, redigere de valgte tilladelser i dropdown-menuen, og derefter bekræfte med fluebenet. Du kan kassere dine ændringer ved at vælge X'et.

   Kolonnen Data viser navnet på de tabeller eller mapper, der er en del af rolleadgangen. Du kan udvide og skjule skemaer for at få vist elementerne nedenunder. Hold musen over en post for at se hele stien for tabellen eller mappen. Hold musen over ... for at se muligheder for at konfigurere sikkerhed på rækkeniveau eller søjlesikkerhed. Sikkerhedsvejledningerne på rækkeniveau og kolonneniveau indeholder flere oplysninger om, hvordan det fungerer.

   Kolonnen Type fortæller dig, hvilken type element der er valgt. Værdierne er enten: Skema, Tabel eller Mappe.

   Kolonnen Dataadgang angiver, om der anvendes begrænsninger på række- eller kolonneniveau på elementet. Et ikon med en lås og vandrette linjer angiver, at der anvendes sikkerhed på rækkeniveau, mens et ikon med en lås og lodrette linjer angiver, at der anvendes sikkerhed på kolonneniveau.

5. Hvis du vil redigere de data, der er inkluderet i rollen, skal du vælge Tilføj data.

   Denne handling åbner dialogboksen til valg af tabel og mappe.

6. Markér og fjern markeringen af tabeller eller mapper for at tilføje eller fjerne dem fra rollen.

7. Vælg Tilføj data for at bekræfte dine valg.

8. Vælg fanen Medlemmer i rolle for at få vist medlemmerne af rollen.

   Kolonnen Medlemmer viser medlemmets profilbillede og navn.

   Kolonnen Type angiver, om medlemmet er en bruger eller en gruppe.

   Kolonnen Tilføjet ved hjælp af angiver, om en bruger blev tilføjet via sin mail som medlem af rollen eller inkluderet som en del af en tilladelsesgruppe for søhus. Du kan finde flere oplysninger om tilføjelse af brugere ved hjælp af elementtilladelser under Tildele virtuelle medlemmer.

9. Hvis du vil redigere medlemmerne af rollen, skal du vælge Tilføj medlemmer.

10. Hvis du vil tilføje medlemmer manuelt, skal du angive et navn eller en mailadresse i tekstfeltet Føj medlemmer til din rolle . Vælg det korrekte navn på den foreslåede liste. Vælg derefter afkrydsningsikonet for at bekræfte dit valg, eller vælg X-ikonet for at rydde markeringen.

11. Hvis du vil fjerne brugere fra rollen, skal du vælge flere indstillinger (...) ud for deres navn og vælge Fjern fra rolle.

Hvis du foretager ændringer i rollemedlemskabet, opdateres rollen med det samme. En meddelelse noterer succes eller fiasko for eventuelle ændringer.

Slette en rolle

Brug følgende trin til at slette en OneLake-dataadgangsrolle.

1. Åbn søhuset, hvor du vil definere sikkerhed.

2. Vælg Administrer OneLake-sikkerhed (prøveversion) i Lakehouse-menuen.

3. I ruden OneLake-sikkerhed (prøveversion) skal du markere afkrydsningsfeltet ud for de roller, du vil slette.

4. Vælg Slet , og vent på meddelelsen om, at rollerne er slettet.

Tildele et medlem eller en gruppe

OneLake-sikkerhedsrollen understøtter to metoder til at føje brugere til en rolle. Den primære metode er ved at føje brugere eller grupper direkte til en rolle ved hjælp af feltet Tilføj personer eller grupper på siden Tildel rolle . Den anden er ved at oprette virtuelle medlemskaber med tilladelsesgrupper ved hjælp af kontrolelementet Avanceret konfiguration .

Hvis du føjer brugere direkte til en rolle, tilføjes brugerne som eksplicitte medlemmer af rollen. Disse brugere vises med deres navn og billede vist på medlemslisten .

De virtuelle medlemmer gør det muligt at justere medlemskabet af rollen dynamisk baseret på brugernes tilladelser til Fabric-element . Ved at vælge Avanceret konfiguration og vælge en tilladelse tilføjer du en bruger i arbejdsområdet Struktur, der har alle de valgte tilladelser, som et implicit medlem af rollen. Hvis du f.eks. vælger Læs Alle, Skriv , vil alle brugere af arbejdsområdet Struktur, der har tilladelserne Læs til alt og Skrive til elementet, blive inkluderet som medlem af rollen. Du kan se, hvilke brugere der tilføjes af en tilladelsesgruppe, ved at se på kolonnen Tilføjet ved hjælp af under fanen Medlemmer i rolle . Disse medlemmer kan ikke fjernes manuelt direkte. Hvis du vil fjerne et medlem, der er tilføjet via en tilladelsesgruppe, skal du fjerne tilladelsesgruppen fra rollen.

Uanset hvilken medlemskabstype du bruger, understøtter OneLake-sikkerhedsroller tilføjelse af individuelle brugere, Microsoft Entra-grupper og sikkerhedskonti.

Tildel virtuelle medlemmer

De tilladelser, der kan bruges til virtuelle medlemmer, er:

• Read
• Write
• Del igen
• Udfør
• ReadAll

Hvis du vil tildele brugere tilladelsesgrupper, skal du benytte følgende trin:

1. Vælg navnet på den rolle, du vil tildele medlemmer til.

2. På siden med rolleoplysninger skal du vælge fanen Medlemmer i rolle .

3. Vælg Tilføj medlemmer.

4. Vælg Avanceret konfiguration.

   

5. I feltet Tilladelsesgrupper skal du markere afkrydsningsfeltet ud for hver tilladelse, du vil medtage brugere for.

   Hver tilladelsesgruppe viser et antal af, hvor mange brugere der er inkluderet i den pågældende gruppe.

   Hvis du vælger flere tilladelsesgrupper, omfatter du brugere med alle de valgte påkrævede tilladelser.

6. Vælg Tilføj for at medtage grupperne og gemme rollen.

Relateret indhold

• Oversigt over Fabric Security
• Oversigt over sikkerhed i stof og OneLake
• Model til dataadgangskontrol