Erste Schritte mit OneLake-Sicherheit (Vorschau)

Mit der OneLake-Sicherheit können Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden. Sie können Sicherheitsrollen definieren, die Zugriff auf bestimmte Ordner innerhalb eines Fabric-Elements gewähren, und diese Rollen dann Benutzern oder Gruppen zuweisen. Rollen können auch Die Sicherheit auf Zeilen- oder Spaltenebene enthalten, um den Zugriff weiter einzuschränken. Die OneLake-Sicherheitsberechtigungen bestimmen, welche Daten der Benutzer über alle Erfahrungen in Fabric hinweg sehen kann.

Fabric-Benutzer mit Schreib- und Freigabeberechtigungen (im Allgemeinen Administrator- und Mitgliederarbeitsbereichsbenutzer) können beginnen, indem Sie OneLake-Sicherheitsrollen erstellen, um nur bestimmten Ordnern oder Tabellen in einem Fabric-Datenelement Zugriff zu gewähren. Um Den Zugriff auf Daten in einem Element zu gewähren, fügen Sie Benutzer zu einer Datenzugriffsrolle hinzu. Benutzer, die nicht Teil einer Datenzugriffsrolle sind, sehen keine Daten in diesem Element.

Voraussetzungen

Zum Konfigurieren der OneLake-Sicherheit müssen Sie ein Administrator oder Mitglied im Arbeitsbereich sein oder über Schreib- und Freigabeberechtigungen verfügen. Die Rollenerstellung und die Mitgliedschaftszuweisung werden wirksam, sobald die Rolle gespeichert wird. Stellen Sie daher sicher, dass Sie Zugriff gewähren möchten, bevor Sie eine Person zu einer Rolle hinzufügen.

In der folgenden Tabelle wird beschrieben, welche Datenelemente die OneLake-Sicherheit unterstützen:

Fabric-Element	Der Status	Unterstützte Berechtigungen
Lakehouse	Vorschau	Lesen, LesenSchreiben
Azure Databricks Spiegelkatalog	Vorschau	Lesen Sie

So melden Sie sich an

OneLake-Sicherheit befindet sich derzeit in der Vorschau und ist daher standardmäßig deaktiviert. Das Vorschaufeature wird pro Element konfiguriert. Das Opt-In-Steuerelement ermöglicht es einem einzelnen Element, die Vorschau auszuprobieren, ohne es für andere Fabric-Elemente zu aktivieren.

Das Vorschaufeature kann nach der Aktivierung nicht mehr deaktiviert werden.

1. Navigieren Sie zu einem Seehaus, und wählen Sie "OneLake-Sicherheit verwalten" (Vorschau) aus.
2. Überprüfen Sie das Bestätigungsdialogfeld. Die Vorschau der Datenzugriffsrollen ist nicht mit der Vorschau für externe Datenfreigaben kompatibel. Wenn Sie mit der Änderung einverstanden sind, wählen Sie "Weiter" aus.

Um eine reibungslose Opt-In-Erfahrung sicherzustellen, verfügen alle Benutzer mit Leseberechtigung für Daten im Element weiterhin über lesezugriff über eine Standardrolle für den Datenzugriff namens DefaultReader. Bei virtualisierten Rollenmitgliedschaften werden alle Benutzer, die über die erforderlichen Berechtigungen zum Anzeigen von Daten im Lakehouse (die ReadAll-Berechtigung) verfügen, als Mitglieder dieser Standardrolle eingeschlossen. Um mit dem Einschränken des Zugriffs auf diese Benutzer zu beginnen, löschen Sie die DefaultReader-Rolle, oder entfernen Sie die ReadAll-Berechtigung für den Zugriff auf die Benutzer.

Von Bedeutung

Stellen Sie sicher, dass alle Benutzer, die in einer Datenzugriffsrolle enthalten sind, aus der Rolle "DefaultReader" entfernt werden. Andernfalls erhalten sie vollzugriff auf die Daten.

Welche Datentypen können gesichert werden?

Verwenden Sie OneLake-Sicherheitsrollen zum Verwalten des OneLake-Lesezugriffs auf tabellen oder Ordner in einem Element. Der Zugriff auf Tabellen kann mithilfe der Sicherheit auf Zeilen- und/oder Spaltenebene weiter eingeschränkt werden. Jeder Sicherheitssatz gilt für den Zugriff von allen Engines in Fabric. Weitere Informationen finden Sie im Datenzugriffssteuerungsmodell.

Für bestimmte Elementtypen kann der ReadWrite-Zugriff auch konfiguriert werden. Mit dieser Berechtigung können Benutzer Daten in einem Lakehouse in bestimmten Tabellen oder Ordnern bearbeiten, ohne ihnen die Berechtigung zum Erstellen oder Verwalten von Fabric-Elementen zu gewähren. Der ReadWrite-Zugriff ermöglicht Benutzern das Ausführen von Schreibvorgängen über Spark-Notizbücher, den OneLake-Datei-Explorer oder OneLake-APIs. Schreibvorgänge über die Lakehouse-UX für Viewer werden nicht unterstützt.

Erstellen einer Rolle

Führen Sie die folgenden Schritte aus, um eine OneLake-Sicherheitsrolle zu erstellen.

1. Öffnen Sie das Fabric-Element, in dem Sie die Sicherheit definieren möchten.

2. Wählen Sie im Menü "Element" die Option "OneLake-Sicherheit verwalten" (Vorschau) aus.

3. Wählen Sie im Bereich OneLake-Sicherheit (Vorschau)"Neu" aus.

4. Geben Sie einen Namen für die neue Rolle an, die die folgenden Richtlinien erfüllt:

   • Der Rollenname darf nur alphanumerische Zeichen enthalten.
   • Der Rollenname muss mit einem Buchstaben beginnen.
   • Bei Namen wird die Groß-/Kleinschreibung nicht beachtet und muss eindeutig sein.
   • Die maximale Länge des Namens beträgt 128 Zeichen.

5. Wählen Sie "Gewähren" als Rollentyp aus.

6. Wählen Sie die Berechtigungen aus, die Sie erteilen möchten. "Lesen" ist mindestens ausgewählt, und Sie können optional "ReadWrite" auswählen.

7. Wenn diese Rolle auf alle Tabellen und Dateien in diesem Seehaus angewendet werden soll, wählen Sie den Umschalter "Alle Daten " aus.

   Diese Auswahl bietet auch Zugriff auf alle Ordner, die in Zukunft hinzugefügt werden.

8. Wenn diese Rolle nur auf eine ausgewählte Gruppe von Tabellen und Ordnern angewendet werden soll, wählen Sie die Umschaltfläche "Ausgewählte Daten " aus. Führen Sie dann die folgenden Schritte aus, um die genehmigten Daten für diese Rolle zu definieren.

   1. Wählen Sie "Lakehouse durchsuchen" oder die Entsprechung für das Element aus, mit dem Sie arbeiten.

      

   2. Erweitern Sie die Verzeichnisse "Tabellen " und " Dateien ", um Daten in Ihrem Lakehouse anzuzeigen.

   3. Aktivieren Sie die Kontrollkästchen neben den Tabellen und Dateien, auf die die Rolle angewendet werden soll.

   4. Wählen Sie "Daten hinzufügen" aus, um die ausgewählten Elemente zu Ihrer Rolle hinzuzufügen.

9. Verwenden Sie das Textfeld " Mitglieder hinzufügen" , um die Namen oder E-Mail-Adressen von Benutzern, die Sie in die Rolle aufnehmen möchten, manuell einzugeben. Oder wählen Sie "Erweiterte Konfiguration" aus, und folgen Sie den Anweisungen unter "Virtuelle Mitglieder zuweisen".

   So fügen Sie Mitglieder manuell hinzu:

   1. Geben Sie den Namen oder die E-Mail-Adresse eines Benutzers ein.
   2. Wählen Sie den richtigen Namen aus der vorgeschlagenen Liste aus.
   3. Wählen Sie das Kontrollkästchen aus, um Ihre Auswahl zu bestätigen, oder das X-Symbol , um die Auswahl zu deaktivieren.

10. Überprüfen Sie die Vorschaurollenzusammenfassungen .

    1. Um die Datenvorschau zu bearbeiten, wählen Sie "Lakehouse durchsuchen " aus, und aktualisieren Sie die ausgewählten Tabellen und Ordner.
    2. Wenn Sie einen Benutzer aus der Mitgliedervorschau entfernen möchten, wählen Sie neben dem Namen weitere Optionen (...) und dann "Aus Rolle entfernen" aus.

11. Wählen Sie "Rolle erstellen" aus, und warten Sie auf die Benachrichtigung, dass die Rolle erfolgreich veröffentlicht wurde.

Bearbeiten einer Rolle

Führen Sie die folgenden Schritte aus, um eine vorhandene OneLake-Sicherheitsrolle zu bearbeiten.

1. Öffnen Sie das Element, in dem Sie die Sicherheit definieren möchten.

2. Wählen Sie im Menü "Element" die Option "OneLake-Sicherheit verwalten" (Vorschau) aus.

3. Wählen Sie im Bereich OneLake-Sicherheit (Vorschau) die Rolle aus, die Sie bearbeiten möchten.

   Diese Aktion öffnet die Seite "Rollendetails", die zwei Registerkarten enthält: "Daten in Rolle " und "Mitglieder in Rolle".

4. Überprüfen Sie die Informationen auf der Registerkarte " Daten in Rollen ":

   Auf dieser Registerkarte werden alle Daten angezeigt, auf die die Mitglieder der Rolle zugreifen können.

   Der Rollenname teilt Ihnen mit, welche Rolle Sie sich ansehen. Um den Rollennamen zu bearbeiten, wählen Sie die Dropdownliste "Bearbeiten" in der oberen rechten Ecke aus, wählen Sie "Rollenname aktualisieren", geben Sie einen neuen Namen ein, und bestätigen Sie dann mit dem Häkchen. Sie können Ihre Änderungen verwerfen, indem Sie das X auswählen.

   Das Berechtigungselement oben teilt Ihnen mit, welche Berechtigungen die Rolle derzeit gewährt. Um die Rollenberechtigungen zu ändern, wählen Sie die Dropdownliste "Bearbeiten " in der oberen rechten Ecke aus, wählen Sie "Rollenberechtigungen bearbeiten", bearbeiten Sie die ausgewählten Berechtigungen mit der Dropdownliste, und bestätigen Sie dann mit dem Häkchen. Sie können Ihre Änderungen verwerfen, indem Sie das X auswählen.

   In der Spalte "Daten " wird der Name der Tabellen oder Ordner angezeigt, die Teil des Rollenzugriffs sind. Sie können Schemas erweitern und reduzieren, um die darunter liegenden Elemente anzuzeigen. Zeigen Sie mit der Maus auf einen Eintrag, um den vollständigen Pfad der Tabelle oder des Ordners anzuzeigen. Zeigen Sie mit der Maus auf die ... , um Optionen zum Konfigurieren der Sicherheit auf Zeilenebene oder der Sicherheit auf Spaltenebene anzuzeigen. Die Sicherheitsleitfäden auf Zeilenebene und Spaltenebene enthalten weitere Informationen zur Funktionsweise.

   In der Spalte "Typ " wird der Typ des ausgewählten Elements angezeigt. Die Werte sind entweder Schema, Tabelle oder Ordner.

   Die Spalte "Datenzugriff " gibt an, ob Einschränkungen auf Zeilen- oder Spaltenebene auf das Element angewendet werden. Ein Symbol mit einer Sperre und horizontalen Linien gibt an, dass die Sicherheit auf Zeilenebene angewendet wird, während ein Symbol mit einer Sperre und vertikalen Linien angibt, dass die Sicherheit auf Spaltenebene angewendet wird.

5. Um die in der Rolle enthaltenen Daten zu bearbeiten, wählen Sie "Daten hinzufügen" aus.

   Mit dieser Aktion wird das Dialogfeld "Tabellen- und Ordnerauswahl" geöffnet.

6. Aktivieren und deaktivieren Sie Tabellen oder Ordner, um sie hinzuzufügen oder aus der Rolle zu entfernen.

7. Wählen Sie "Daten hinzufügen" aus, um Ihre Auswahl zu bestätigen.

8. Wählen Sie die Registerkarte "Mitglieder" aus, um die Mitglieder der Rolle anzuzeigen.

   In der Spalte " Mitglieder " werden das Profilbild und der Name des Mitglieds angezeigt.

   Die Spalte "Typ " gibt an, ob es sich bei dem Mitglied um einen Benutzer oder eine Gruppe handelt.

   Die Mit Spalte hinzugefügte Spalte gibt an, ob ein Benutzer über seine E-Mail als Mitglied der Rolle hinzugefügt wurde oder als Teil einer Lakehouse-Berechtigungsgruppe enthalten ist. Weitere Informationen zum Hinzufügen von Benutzern mithilfe von Elementberechtigungen finden Sie unter Zuweisen virtueller Mitglieder.

9. Um die Mitglieder der Rolle zu bearbeiten, wählen Sie "Mitglieder hinzufügen" aus.

10. Wenn Sie Mitglieder manuell hinzufügen möchten, geben Sie im Textfeld " Mitglieder hinzufügen" einen Namen oder eine E-Mail ein. Wählen Sie den richtigen Namen aus der vorgeschlagenen Liste aus. Wählen Sie dann das Häkchensymbol aus, um Ihre Auswahl zu bestätigen, oder wählen Sie das X-Symbol aus, um die Auswahl zu deaktivieren.

11. Wenn Sie Benutzer aus der Rolle entfernen möchten, wählen Sie neben ihrem Namen weitere Optionen (...) aus, und wählen Sie "Aus Rolle entfernen" aus.

Änderungen an der Rollenmitgliedschaft werden sofort aktualisiert. Eine Benachrichtigung weist auf den Erfolg oder Fehler von Änderungen hin.

Löschen einer Rolle

Führen Sie die folgenden Schritte aus, um eine OneLake-Datenzugriffsrolle zu löschen.

1. Öffnen Sie das Seehaus, in dem Sie Sicherheit definieren möchten.

2. Wählen Sie im Lakehouse-Menü die Option "OneLake-Sicherheit verwalten" (Vorschau) aus.

3. Aktivieren Sie im Bereich OneLake-Sicherheit (Vorschau) das Kontrollkästchen neben den Rollen, die Sie löschen möchten.

4. Wählen Sie "Löschen" aus, und warten Sie auf die Benachrichtigung, dass die Rollen erfolgreich gelöscht wurden.

Zuweisen eines Mitglieds oder einer Gruppe

Die OneLake-Sicherheitsrolle unterstützt zwei Methoden zum Hinzufügen von Benutzern zu einer Rolle. Die Hauptmethode besteht darin, benutzer oder Gruppen direkt zu einer Rolle mithilfe des Felds "Personen oder Gruppen hinzufügen " auf der Seite " Rollen zuweisen " hinzuzufügen. Die zweite besteht darin, virtuelle Mitgliedschaften mit Berechtigungsgruppen mithilfe des Erweiterten Konfigurationssteuerelements zu erstellen.

Durch direktes Hinzufügen von Benutzern zu einer Rolle werden die Benutzer als explizite Mitglieder der Rolle hinzugefügt. Diese Benutzer werden mit ihrem Namen und Bild in der Mitgliederliste angezeigt.

Die virtuellen Mitglieder ermöglichen, dass die Mitgliedschaft der Rolle basierend auf den Fabric-Elementberechtigungen der Benutzer dynamisch angepasst wird. Indem Sie "Erweiterte Konfiguration" auswählen und eine Berechtigung auswählen, fügen Sie einen beliebigen Benutzer im Fabric-Arbeitsbereich hinzu, der über alle ausgewählten Berechtigungen als implizites Mitglied der Rolle verfügt. Wenn Sie beispielsweise "ReadAll " ausgewählt haben, wird jeder Benutzer des Fabric-Arbeitsbereichs, der über Lese- und Schreibberechtigungen für das Element verfügt, als Mitglied der Rolle einbezogen. Sie können sehen, welche Benutzer von einer Berechtigungsgruppe hinzugefügt werden, indem Sie sich die Spalte "Hinzugefügt" auf der Registerkarte " Mitglieder" auf der Registerkarte "Rollen" ansehen. Diese Mitglieder können nicht direkt entfernt werden. Um ein Mitglied zu entfernen, das über eine Berechtigungsgruppe hinzugefügt wurde, entfernen Sie die Berechtigungsgruppe aus der Rolle.

Unabhängig davon, welchen Mitgliedschaftstyp Sie verwenden, unterstützen OneLake-Sicherheitsrollen das Hinzufügen einzelner Benutzer, Microsoft Entra-Gruppen und Sicherheitsprinzipale.

Zuweisen virtueller Mitglieder

Die Berechtigungen, die für virtuelle Mitglieder verwendet werden können, sind:

• Lesen Sie
• Schreiben
• Erneut teilen
• Ausführen
• Alles Lesen

Führen Sie die folgenden Schritte aus, um Benutzer mit Berechtigungsgruppen zuzuweisen:

1. Wählen Sie den Namen der Rolle aus, der Sie Mitglieder zuweisen möchten.

2. Wählen Sie auf der Seite "Rollendetails" die Registerkarte " Mitglieder" aus .

3. Wählen Sie "Mitglieder hinzufügen" aus.

4. Wählen Sie "Erweiterte Konfiguration" aus.

   

5. Aktivieren Sie im Feld "Berechtigungsgruppen " das Kontrollkästchen neben jeder Berechtigung, für die Sie Benutzer einschließen möchten.

   Jede Berechtigungsgruppe zeigt die Anzahl der Benutzer, die in dieser Gruppe enthalten sind.

   Das Auswählen mehrerer Berechtigungsgruppen umfasst Benutzer mit allen ausgewählten erforderlichen Berechtigungen.

6. Wählen Sie "Hinzufügen" aus, um die Gruppen einzuschließen und die Rolle zu speichern.

Verwandte Inhalte

• Fabric Security (Übersicht)
• Fabric- und OneLake-Sicherheitsübersicht
• Datenzugriffssteuerungsmodell