Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
OneLake er en hierarkisk data lake, f.eks. Azure Data Lake Storage (ADLS) Gen2 eller Windows-filsystemet. Du kan angive sikkerhed på hvert af niveauerne i datasøen. Nogle niveauer i hierarkiet får dog særlig behandling, fordi de korrelerer med Fabric-begreber. OneLake-sikkerhed styrer al adgang til OneLake-data med forskellige tilladelser, der er nedarvet fra det overordnede element eller arbejdsområdetilladelserne.
Arbejdsområde: et samarbejdsmiljø til oprettelse og administration af elementer.
Element: et sæt funktioner, der er samlet i en enkelt komponent. Et dataelement er en undertype af element, der gør det muligt at gemme data i det ved hjælp af OneLake.
Mapper: mapper i et element, der bruges til at gemme og administrere data.
Elementer er altid live i arbejdsområder og arbejdsområder live altid direkte under OneLake-navneområdet. Du kan visualisere denne struktur på følgende måde:
Sikkerhed i OneLake
I dette afsnit beskrives sikkerhedsmodellen baseret på offentligt tilgængelige OneLake-funktioner.
Tilladelser til arbejdsområde
Tilladelser til arbejdsområde giver mulighed for at definere adgang til alle elementer i arbejdsområdet. Der er fire forskellige arbejdsområderoller, som hver især giver forskellige adgangstyper.
| Rolle | Kan tilføje administratorer? | Kan tilføje medlemmer? | Kan du skrive data og oprette elementer? | Kan du læse data? |
|---|---|---|---|---|
| Administration | Ja | Ja | Ja | Ja |
| Medlem | Nej | Ja | Ja | Ja |
| Bidragyder | Nej | Nej | Ja | Ja |
| Seer | Nej | Nej | Nej | Ja |
Bemærk
Du kan få vist lagerelementet med læse-/skriveroller, men du kan kun skrive til lagre ved hjælp af SQL-forespørgsler.
Du kan forenkle administrationen af Fabric-arbejdsområderoller ved at tildele dem til sikkerhedsgrupper. Med denne metode kan du styre adgangen ved at tilføje eller fjerne medlemmer fra sikkerhedsgruppen.
Elementtilladelser
Med delingsfunktionen kan du give en bruger direkte adgang til et element. Brugeren kan kun se dette element i arbejdsområdet og er ikke medlem af nogen arbejdsområderoller. Elementtilladelser giver adgang til at oprette forbindelse til elementet, og hvilke elementslutpunkter brugeren kan få adgang til.
| Tilladelse | Kan du se metadataene for elementet? | Kan du se data i SQL? | Kan du se data i OneLake? |
|---|---|---|---|
| Læst | Ja | Nej | Nej |
| ReadData | Nej | Ja | Nej |
| Læs alle | Nej | Nej | Ja* |
*Ikke relevant for elementer med OneLake-dataadgangsroller (prøveversion) aktiveret. Hvis prøveversionen er aktiveret, giver ReadAll kun adgang, hvis rollen DefaultReader er i brug. Hvis rollen DefaultReader redigeres eller slettes, tildeles der i stedet adgang på baggrund af de dataadgangsroller, som brugeren er en del af.
En anden måde at konfigurere tilladelser på er via siden Administrer tilladelser for et element. Ved hjælp af denne side kan du tilføje eller fjerne individuelle elementtilladelser for brugere eller grupper. Elementtypen bestemmer, hvilke tilladelser der er tilgængelige.
Beregningstilladelser
Du kan også give dataadgang via SQL-beregningsprogrammet i Microsoft Fabric. Den adgang, der er tildelt via SQL, gælder kun for brugere, der får adgang til data via SQL, men du kan bruge denne sikkerhed til at give visse brugere mere selektiv adgang. I den aktuelle tilstand understøtter SQL begrænsning af adgangen til bestemte tabeller og skemaer samt sikkerhed på række- og kolonneniveau.
Brugerne kan se forskellige resultater, når de får adgang til data via SQL sammenlignet med, når de får adgang til data direkte i OneLake, afhængigt af de anvendte beregningstilladelser. Hvis du vil undgå denne uoverensstemmelse, skal du sikre dig, at en brugers elementtilladelser er konfigureret til kun at give dem adgang til enten SQL Analytics-slutpunktet (ved hjælp af ReadData) eller OneLake (ved hjælp af ReadAll- eller dataadgangsroller (prøveversion)).
I følgende eksempel får en bruger skrivebeskyttet adgang til et lakehouse via elementdeling. Brugeren tildeles SELECT-tilladelse til en tabel via SQL-analyseslutpunktet. Når brugeren forsøger at læse data via OneLake-API'erne, nægtes vedkommende adgang, fordi vedkommende ikke har tilstrækkelige tilladelser. Brugeren kan læse SQL SELECT-sætninger.
OneLake-sikkerhed (prøveversion)
OneLake-sikkerhed giver brugerne mulighed for at definere detaljeret rollebaseret sikkerhed til data, der er gemt i OneLake, og gennemtvinge denne sikkerhed på en ensartet måde på tværs af alle beregningsprogrammer i Fabric.
Bemærk
OneLake-sikkerhed er i øjeblikket i en begrænset prøveversion. Hvis du vil anmode om at deltage i prøveversionen og få adgang til disse funktioner, skal du udfylde formularen på https://aka.ms/onelakesecuritypreview.
OneLake-sikkerhed erstatter den eksisterende Funktion for OneLake-dataadgang (prøveversion), der blev udgivet i april 2024.
Stofbrugere i rollerne Administrator eller Medlem kan oprette OneLake-sikkerhedsroller for at give brugerne adgang til data i et element. Hver rolle har fire komponenter:
- Data: De tabeller eller mapper, som brugerne har adgang til.
- Tilladelse: De tilladelser, som brugerne har til dataene.
- Medlemmer: De brugere, der er medlemmer af rollen.
- Begrænsninger: De eventuelle komponenter i dataene, der er udelukket fra rolleadgang, f.eks. bestemte rækker eller kolonner.
Brugere, der ikke er en del af en rolle, kan ikke se nogen data i det pågældende lakehouse.
Få mere at vide om oprettelse af OneLake-sikkerhedsroller for Tabeller og mapper, Kolonnerog Rækker.
OneLake-dataadgangsroller (prøveversion)
OneLake-dataadgangsroller er en funktion, der giver dig mulighed for at anvende rollebaseret adgangskontrol (RBAC) på dine data, der er gemt i OneLake. Du kan definere sikkerhedsroller, der giver læseadgang til bestemte mapper i et Fabric-element, og tildele dem til brugere eller grupper. Adgangstilladelserne bestemmer, hvilke mapper brugerne får vist, når de får adgang til lake-visningen af dataene via lakehouse UX, notesbøger eller OneLake-API'er.
Vigtig
Fra og med august 2025 har bidragydere ikke længere tilstrækkelige tilladelser til at få vist eller administrere OneLake-dataadgangsroller.
Stofbrugere i rollerne Administrator, Medlem eller Bidragyder kan komme i gang ved at oprette OneLake-dataadgangsroller for kun at give adgang til bestemte mapper i et lakehouse. Hvis du vil give adgang til data i et lakehouse, skal du føje brugere til en dataadgangsrolle. Brugere, der ikke er en del af en dataadgangsrolle, kan ikke se nogen data i det pågældende lakehouse.
Bemærk
For at få adgang til genvejsdata skal brugerne have tilladelsen ReadAll på målsøhuset ud over adgang via en OneLake-dataadgangsrolle.
Hvis du bruger semantiske Power BI-modeller eller T-SQL til at få adgang til genveje, skal du være opmærksom på, at den kaldende brugers identitet ikke overføres til genvejens destinationssti. I stedet overføres den kaldende elementejers identitet, som uddelegerer adgang til den kaldende bruger.
Få mere at vide om oprettelse af dataadgangsroller i Kom i gang med dataadgangsroller.
Få mere at vide om sikkerhedsmodellen for adgangsroller model til kontrol af dataadgang.
Genvejssikkerhed
Genveje i Microsoft Fabric gør det muligt at administrere forenklede data. OneLake-mappesikkerhed gælder for OneLake-genveje baseret på roller, der er defineret i det lakehouse, hvor dataene er gemt.
Du kan få flere oplysninger om overvejelser i forbindelse med genvejssikkerhed under OneLake-adgangskontrolmodel.
Du kan finde oplysninger om adgangs- og godkendelsesoplysninger for bestemte genveje under OneLake-genveje > Typer af genveje.
Godkendelse
OneLake bruger Microsoft Entra ID til godkendelse. Du kan bruge den til at give tilladelser til brugeridentiteter og tjenesteprincipaler. OneLake udtrækker automatisk brugeridentiteten fra værktøjer, der bruger Microsoft Entra-godkendelse og knytter den til de tilladelser, du har angivet på Fabric-portalen.
Bemærk
Hvis du vil bruge tjenesteprincipaler i en Fabric-lejer, skal en lejeradministrator aktivere SPN'er (Service Principal Names) for hele lejeren eller bestemte sikkerhedsgrupper. Få mere at vide om aktivering af tjenesteprincipaler i Udviklerindstillinger på lejeradministrationsportalen.
Overvågningslogge
Hvis du vil have vist dine OneLake-overvågningslogge, skal du følge vejledningen i Spor brugeraktiviteter i Microsoft Fabric. OneLake-handlingsnavne svarer til ADLS-API'er , f.eks. CreateFile eller DeleteFile. OneLake-overvågningslogge indeholder ikke læseanmodninger eller anmodninger, der er foretaget til OneLake via Fabric-arbejdsbelastninger.
Kryptering og netværk
Data i rest
Data, der er gemt i OneLake, krypteres som standard inaktivt ved hjælp af Microsoft-administrerede nøgler. Microsoft-administrerede nøgler roteres korrekt. Data i OneLake krypteres og dekrypteres gennemsigtigt og er FIPS 140-2-kompatibel.
Inaktiv kryptering ved hjælp af kundeadministrerede nøgler understøttes ikke i øjeblikket. Du kan sende en anmodning om denne funktion på Microsoft Fabric-idéer.
Data i transit
Data, der overføres via det offentlige internet mellem Microsoft-tjenester, krypteres altid med mindst TLS 1.2. Fabric forhandler til TLS 1.3, når det er muligt. Trafikken mellem Microsoft-tjenester altid dirigeres over Microsofts globale netværk.
Indgående OneLake-kommunikation gennemtvinger også TLS 1.2 og forhandler til TLS 1.3, når det er muligt. Udgående fabric-kommunikation til kundeejet infrastruktur foretrækker sikre protokoller, men kan falde tilbage til ældre, usikre protokoller (herunder TLS 1.0), når nyere protokoller ikke understøttes.
Private links
Hvis du vil konfigurere private links i Fabric, skal du se Konfigurer og brug private links.
Tillad, at apps, der kører uden for Fabric, får adgang til data via OneLake
Du kan tillade eller begrænse adgangen til OneLake-data fra programmer uden for Fabric-miljøet. Administratorer kan finde denne indstilling i afsnittet OneLake i lejerindstillingerne for administrationsportalen.
Når du aktiverer denne indstilling, kan brugerne få adgang til data fra alle kilder. Slå f.eks. denne indstilling til, hvis du har brugerdefinerede programmer, der bruger ADLS-API'er (Azure Data Lake Storage) eller OneLake-stifinder. Når du slår denne indstilling fra, kan brugerne stadig få adgang til data fra interne apps som Spark, Data Engineering og Data Warehouse, men de kan ikke få adgang til data fra programmer, der kører uden for Fabric-miljøer.