Sikkerhed i Microsoft Fabric
Microsoft Fabric er en SaaS-platform (software as a service), der gør det muligt for brugerne at hente, oprette, dele og visualisere data.
Som SaaS-service tilbyder Fabric en komplet sikkerhedspakke til hele platformen. Fabric fjerner omkostningerne og ansvaret for at vedligeholde din sikkerhedsløsning og overfører den til cloudmiljøet. Med Fabric kan du bruge Microsofts ekspertise og ressourcer til at beskytte dine data, rette sårbarheder, overvåge trusler og overholde regler. Fabric giver dig også mulighed for at administrere, styre og overvåge dine sikkerhedsindstillinger i overensstemmelse med dine skiftende behov og krav.
Når du henter dine data til cloudmiljøet og bruger dem med forskellige analyseoplevelser, f.eks. Power BI, Data Factory og den næste generation af Synapse, sikrer Microsoft, at indbyggede sikkerheds- og pålidelighedsfunktioner sikrer dine data, når de er inaktive og under overførsel. Microsoft sørger også for, at dine data kan gendannes i tilfælde af infrastrukturfejl eller katastrofer.
Fabric security er:
Altid slået til – alle interaktioner med Fabric krypteres som standard og godkendes ved hjælp af Microsoft Entra-id. Al kommunikation mellem Fabric-oplevelser foregår via Microsofts backbone-internet. Hviledata gemmes automatisk krypteret. Hvis du vil regulere adgangen til Fabric, kan du tilføje ekstra sikkerhedsfunktioner, f.eks . Private Links eller Entra Conditional Access . Fabric kan også oprette forbindelse til data, der er beskyttet af en firewall eller et privat netværk, ved hjælp af adgang, der er tillid til.
Kompatibel – Fabric har datasuverænitet med flere geo-kapaciteter. Fabric understøtter også en lang række standarder for overholdelse af angivne standarder.
Governable – Fabric leveres med et sæt styringsværktøjer, f.eks . dataafstamning, mærkater til beskyttelse af oplysninger, forebyggelse af datatab og integration af rensning.
Konfigurerbar – Du kan konfigurere Fabric-sikkerhed i overensstemmelse med dine organisationspolitikker.
Udvikler sig – Microsoft forbedrer konstant Fabric-sikkerheden ved at tilføje nye funktioner og kontrolelementer.
Godkend
Microsoft Fabric er en SaaS-platform ligesom mange andre Microsoft-tjenester som Azure, Microsoft Office, OneDrive og Dynamics. Alle disse Microsoft SaaS-tjenester, herunder Fabric, bruger Microsoft Entra ID som deres cloudbaserede identitetsudbyder. Microsoft Entra ID hjælper brugerne med hurtigt og nemt at oprette forbindelse til disse tjenester fra enhver enhed og ethvert netværk. Alle anmodninger om at oprette forbindelse til Fabric godkendes med Microsoft Entra ID, hvilket giver brugerne mulighed for sikkert at oprette forbindelse til Fabric fra deres virksomhedskontor, når de arbejder hjemme eller fra en ekstern placering.
Forstå netværkssikkerhed
Fabric er SaaS-tjenesten, der kører i Microsoft-cloudmiljøet. Nogle scenarier omfatter oprettelse af forbindelse til data uden for Fabric-platformen. Du kan f.eks. få vist en rapport fra dit eget netværk eller oprette forbindelse til data, der er i en anden tjeneste. Interaktioner i Fabric bruger det interne Microsoft-netværk, og trafik uden for tjenesten er som standard beskyttet. Du kan finde flere oplysninger og en detaljeret beskrivelse under Data under overførsel.
Indgående netværkssikkerhed
Din organisation vil måske begrænse og sikre den netværkstrafik, der kommer ind i Fabric, baseret på din virksomheds krav. Med Betinget adgang til Microsoft Entra ID og Private Links kan du vælge den rette indgående løsning til din organisation.
Betinget adgang til Microsoft Entra ID
Microsoft Entra ID giver Fabric betinget adgang , som gør det muligt for dig at sikre adgang til Fabric på alle forbindelser. Her er nogle eksempler på adgangsbegrænsninger, du kan gennemtvinge ved hjælp af betinget adgang.
Definer en liste over IP'er for indgående forbindelse til Fabric.
Brug MFA (Multifactor Authentication).
Begræns trafik baseret på parametre som f.eks. oprindelsesland eller enhedstype.
Hvis du vil konfigurere betinget adgang, skal du se Betinget adgang i Fabric.
Hvis du vil vide mere om godkendelse i Fabric, skal du se Grundlæggende oplysninger om Microsoft Fabric-sikkerhed.
Private Links
Private links muliggør sikker forbindelse til Fabric ved at begrænse adgangen til din Fabric-lejer fra et virtuelt Azure-netværk (VNet) og blokere al offentlig adgang. Dette sikrer, at det kun er netværkstrafik fra det pågældende VNet, der har adgang til Fabric-funktioner som Notesbøger, Lakehouses og data warehouses i din lejer.
Hvis du vil konfigurere Private Links i Fabric, skal du se Konfigurer og brug private links.
Udgående netværkssikkerhed
Fabric har et sæt værktøjer, der giver dig mulighed for at oprette forbindelse til eksterne datakilder og overføre disse data til Fabric på en sikker måde. I dette afsnit beskrives forskellige måder at importere og oprette forbindelse til data fra et sikkert netværk til stof på.
Adgang til arbejdsområde, der er tillid til
Med Fabric kan du få adgang til firewallaktiverede Azure Data Lake Gen 2-konti sikkert. Fabric-arbejdsområder, der har et arbejdsområdeidentitet, kan få sikker adgang til Azure Data Lake Gen 2-konti med offentlig netværksadgang aktiveret fra udvalgte virtuelle netværk og IP-adresser. Du kan begrænse ADLS gen 2-adgang til bestemte Fabric-arbejdsområder. Du kan få flere oplysninger under Adgang til arbejdsområder, der er tillid til.
Bemærk
Fabric-arbejdsområdeidentiteter kan kun oprettes i arbejdsområder, der er knyttet til en Fabric F SKU-kapacitet. Du kan få oplysninger om, hvordan du køber et Fabric-abonnement, under Køb et Microsoft Fabric-abonnement.
Administrerede private slutpunkter
Administrerede private slutpunkter tillader sikre forbindelser til datakilder såsom Azure SQL-databaser uden at udsætte dem for det offentlige netværk eller kræve komplekse netværkskonfigurationer.
Administrerede virtuelle netværk
Administrerede virtuelle netværk er virtuelle netværk, der oprettes og administreres af Microsoft Fabric for hvert Fabric-arbejdsområde. Administrerede virtuelle netværk giver netværksisolation for Fabric Spark-arbejdsbelastninger, hvilket betyder, at beregningsklynger udrulles i et dedikeret netværk og ikke længere er en del af det delte virtuelle netværk.
Administrerede virtuelle netværk muliggør også netværkssikkerhedsfunktioner, f.eks. administrerede private slutpunkter, og understøttelse af private links til Dataudvikler- og datavidenskabselementer i Microsoft Fabric, der bruger Apache Spark.
Datagateway
Hvis du vil oprette forbindelse til datakilder i det lokale miljø eller en datakilde, der kan være beskyttet af en firewall eller et virtuelt netværk, kan du bruge en af følgende muligheder:
Datagateway i det lokale miljø – Gatewayen fungerer som en bro mellem dine datakilder i det lokale miljø og Fabric. Gatewayen er installeret på en server på dit netværk, og den gør det muligt for Fabric at oprette forbindelse til dine datakilder via en sikker kanal, uden at det er nødvendigt at åbne porte eller foretage ændringer af dit netværk.
VNet-datagateway (Virtual Network) – VNet-gatewayen giver dig mulighed for at oprette forbindelse fra Microsoft Cloud-tjenester til dine Azure-datatjenester i et VNet uden behov for en datagateway i det lokale miljø.
Opret forbindelse til OneLake fra en eksisterende tjeneste
Du kan oprette forbindelse til Fabric ved hjælp af din eksisterende PaaS-tjeneste (Azure Platform as a Service). Til Synapse og Azure Data Factory (ADF) kan du bruge Azure Integration Runtime (IR) eller Azure Data Factory-administreret virtuelt netværk. Du kan også oprette forbindelse til disse tjenester og andre tjenester, f.eks. Tilknytning af dataflow, Synapse Spark-klynger, Databricks Spark-klynger og Azure HDInsight ved hjælp af OneLake-API'er.
Azure-tjenestetags
Brug tjenestekoder til at indtage data uden brug af datagateways fra datakilder, der er installeret på et virtuelt Azure-netværk, f.eks. Azure SQL Virtual Machines (VM'er), Azure SQL Managed Instance (MI) og REST API'er. Du kan også bruge tjenestekoder til at hente trafik fra et virtuelt netværk eller en Azure-firewall. Tjenestetags kan f.eks. tillade udgående trafik til Fabric, så en bruger på en VM kan oprette forbindelse til Fabric SQL forbindelsesstreng s fra SSMS, mens den er blokeret fra at få adgang til andre offentlige internetressourcer.
TILLADTE IP-lister
Hvis du har data, der ikke er placeret i Azure, kan du aktivere en IP-tilladelsesliste på organisationens netværk for at tillade trafik til og fra Fabric. En IP-liste er nyttig, hvis du har brug for at hente data fra datakilder, der ikke understøtter tjenestekoder, f.eks. datakilder i det lokale miljø. Med disse genveje kan du hente data uden at kopiere dem til OneLake ved hjælp af et Lakehouse SQL Analytics-slutpunkt eller Direct Lake.
Du kan få listen over Fabric IP'er fra Service tags i det lokale miljø. Listen er tilgængelig som en JSON-fil eller programmeringsmæssigt med REST API'er, PowerShell og Azure Command-Line Interface (CLI).
Beskyt data
I Fabric krypteres alle data, der er gemt i OneLake, som inaktive data. Alle inaktive data gemmes i dit hjemområde eller i en af dine kapaciteter i et fjernområde efter eget valg, så du kan opfylde reglerne for restsuverænitet. Du kan få flere oplysninger under Grundlæggende oplysninger om Microsoft Fabric-sikkerhed.
Forstå lejere i flere geografiske områder
Mange organisationer har en global tilstedeværelse og kræver tjenester i flere Azure-geografiske områder. En virksomhed kan f.eks. have sit hovedkvarter i USA, mens den driver forretning i andre geografiske områder, f.eks. Australien. For at overholde lokale regler skal virksomheder med global tilstedeværelse sikre, at data forbliver lagret inaktive i flere områder. I Fabric kaldes dette multi-geo.
Forespørgselsudførelseslag, forespørgselscacher og elementdata, der er tildelt et multi-geo-arbejdsområde, forbliver i Azure-geografien for deres oprettelse. Nogle metadata og behandling gemmes dog som inaktive i lejerens hjemgeografi.
Fabric er en del af et større Microsoft-økosystem. Hvis din organisation allerede bruger andre cloudabonnementstjenester, f.eks. Azure, Microsoft 365 eller Dynamics 365, opererer Fabric inden for den samme Microsoft Entra-lejer. Dit organisationsdomæne (f.eks. contoso.com) er knyttet til Microsoft Entra-id. Ligesom alle Microsoft-cloudtjenester.
Fabric sikrer, at dine data er sikre på tværs af områder, når du arbejder med flere lejere, der har flere kapaciteter på tværs af en række geografiske områder.
Data logisk adskillelse – Fabric-platformen giver logisk isolation mellem lejere for at beskytte dine data.
Datasuverænitet – Hvis du vil begynde at arbejde med multi-geo, skal du se Konfigurer Multi-Geo-understøttelse af Fabric.
Få adgang til data
Fabric styrer dataadgang ved hjælp af arbejdsområder. I arbejdsområder vises data i form af Fabric-elementer, og brugerne kan ikke få vist eller bruge elementer (data), medmindre du giver dem adgang til arbejdsområdet. Du kan finde flere oplysninger om tilladelser til arbejdsområder og elementer i Tilladelsesmodel.
Arbejdsområderoller
Adgang til arbejdsområde er angivet i tabellen nedenfor. Det omfatter arbejdsområderoller og fabric- og OneLake-sikkerhed. Brugere med en seerrolle kan køre SQL-, DAX-forespørgsler (Data Analysis Expressions) eller MDX-forespørgsler (Multidimensional Expressions), men de kan ikke få adgang til Fabric-elementer eller køre en notesbog.
Rolle | Adgang til arbejdsområde | OneLake-adgang |
---|---|---|
Administrator, medlem og bidragyder | Kan bruge alle elementerne i arbejdsområdet | ✅ |
Seer | Kan se alle elementerne i arbejdsområdet | ❌ |
Del elementer
Du kan dele Fabric-elementer med brugere i din organisation, der ikke har nogen rolle i arbejdsområdet. Deling af elementer giver begrænset adgang, så brugerne kun kan få adgang til det delte element i arbejdsområdet.
Begræns adgang
Du kan begrænse seerens adgang til data ved hjælp af sikkerhed på rækkeniveau (RLS), sikkerhed på kolonneniveau (CLS) og sikkerhed på objektniveau (OLS). Med sikkerhed på rækkeniveau, CLS og OLS kan du oprette brugeridentiteter, der har adgang til visse dele af dine data, og begrænse SQL-resultater, der kun returnerer det, som brugerens identitet har adgang til.
Du kan også føje sikkerhed på rækkeniveau til et DirectLake-datasæt. Hvis du definerer sikkerhed for både SQL og DAX, går DirectLake tilbage til DirectQuery for tabeller, der har sikkerhed på rækkeniveau i SQL. I sådanne tilfælde er DAX- eller MDX-resultater begrænset til brugerens identitet.
Hvis du vil vise rapporter ved hjælp af et DirectLake-datasæt med sikkerhed på rækkeniveau uden et DirectQuery-fallback, skal du bruge direkte deling af datasæt eller apps i Power BI. Med apps i Power BI kan du give adgang til rapporter uden seeradgang. Denne type adgang betyder, at brugerne ikke kan bruge SQL. Hvis du vil aktivere DirectLake til at læse dataene, skal du skifte legitimationsoplysningerne for datakilden fra Enkeltlogon (SSO) til en fast identitet, der har adgang til filerne i søen.
Beskyt data
Fabric understøtter følsomhedsmærkater fra Microsoft Purview Information Protection. Dette er de mærkater, f.eks. Generelt, Fortroligt og Stærkt fortroligt, der bruges i vid udstrækning i Microsoft Office-app, f.eks. Word, PowerPoint og Excel til at beskytte følsomme oplysninger. I Fabric kan du klassificere elementer, der indeholder følsomme data, ved hjælp af de samme følsomhedsmærkater. Følsomhedsmærkater følger derefter automatisk dataene fra element til element, når de flyder gennem Fabric hele vejen fra datakilde til erhvervsbruger. Følsomhedsmærkaten følger, selv når dataene eksporteres til understøttede formater, f.eks. PBIX, Excel, PowerPoint og PDF, og sikrer, at dine data forbliver beskyttede. Det er kun godkendte brugere, der kan åbne filen. Du kan få flere oplysninger under Styring og overholdelse af angivne standarder i Microsoft Fabric.
Hvis du vil hjælpe dig med at styre, beskytte og administrere dine data, kan du bruge Microsoft Purview. Microsoft Purview og Fabric arbejder sammen, så du kan gemme, analysere og styre dine data fra en enkelt placering, Microsoft Purview-hubben.
Gendan data
Robusthed i fabric-data sikrer, at dine data er tilgængelige, hvis der er en katastrofe. Fabric giver dig også mulighed for at gendanne dine data i tilfælde af en katastrofe, it-katastrofeberedskab. Du kan få flere oplysninger under Pålidelighed i Microsoft Fabric.
Administrer Fabric
Som administrator i Fabric får du kontrol over funktioner for hele organisationen. Fabric gør det muligt at delegere administratorrollen til kapaciteter, arbejdsområder og domæner. Ved at delegere administratoransvar til de rette personer kan du implementere en model, der gør det muligt for flere nøgleadministratorer at styre generelle Fabric-indstillinger på tværs af organisationen, mens andre administratorer, der er ansvarlige for indstillinger, der er relateret til bestemte områder.
Ved hjælp af forskellige værktøjer kan administratorer også overvåge vigtige Fabric-aspekter, f.eks. kapacitetsforbrug.
Overvågningslogge
Hvis du vil have vist dine overvågningslogge, skal du følge vejledningen i Spor brugeraktiviteter i Microsoft Fabric. Du kan også se listen Handling for at se, hvilke aktiviteter der er tilgængelige til søgning i overvågningsloggene.
Egenskaber
Gennemse dette afsnit for at få en liste over nogle af de sikkerhedsfunktioner, der er tilgængelige i Microsoft Fabric.
Egenskab | Beskrivelse |
---|---|
Betinget adgang | Beskyt dine apps ved hjælp af Microsoft Entra ID |
Lockbox | Styr, hvordan Microsoft-teknikere får adgang til dine data |
Fabric- og OneLake-sikkerhed | Få mere at vide om, hvordan du sikrer dine data i Fabric og OneLake. |
Fleksibilitet | Pålidelighed og regional robusthed med Azure-tilgængelighedszoner |
Tjenestekoder | Aktivér en Azure SQL Managed Instance (MI) for at tillade indgående forbindelser fra Microsoft Fabric |