OneLake-Sicherheit

OneLake verwendet ein mehrstufiges Sicherheitsmodell, das auf der Organisationsstruktur von Oberflächen in Microsoft Fabric basiert. Die Sicherheit ist von der Microsoft Entra-Authentifizierung abgeleitet und ist mit Benutzeridentitäten, Dienstprinzipalen und verwalteten Identitäten kompatibel. Mithilfe von Microsoft Entra ID und Fabric-Komponenten können Sie robuste Sicherheitsmechanismen in OneLake erstellen, um sicherzustellen, dass Ihre Daten sicher bleiben und gleichzeitig Kopien reduziert werden und die Komplexität minimiert wird.

Diagram showing the structure of a data lake connecting to separately secured containers.

Arbeitsbereichssicherheit

Der Arbeitsbereich ist die primäre Sicherheitsbegrenzung für Daten in OneLake. Jeder Arbeitsbereich stellt eine einzelne Domäne oder einen einzelnen Projektbereich dar, in dem Teams an Daten zusammenarbeiten können. Die Sicherheit im Arbeitsbereich wird über Fabric-Arbeitsbereichsrollen verwaltet. Weitere Informationen zur rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Fabric finden Sie unter Arbeitsbereichsrollen.

Arbeitsbereichsrollen in Fabric gewähren die folgenden Berechtigungen in OneLake.

Funktion Administrator Member Mitwirkender Viewer
Anzeigen von Dateien in OneLake Ja Ja Ja Nein
Schreiben von Dateien in OneLake Ja Ja Ja Nein

Elementsicherheit

Innerhalb eines Arbeitsbereichs können Fabric-Elemente über Berechtigungen verfügen, die separat von den Arbeitsbereichsrollen konfiguriert sind. Berechtigungen können entweder durch Freigeben eines Elements oder durch Verwalten der Berechtigungen eines Elements konfiguriert werden. Die Fähigkeit eines Benutzers oder einer Benutzerin, Aktionen für Daten in OneLake auszuführen, wird durch die folgenden Berechtigungen bestimmt.

Name der Berechtigung Text zum Freigeben Kann Dateien in OneLake anzeigen? Kann Dateien in OneLake schreiben? Kann Daten über SQL-Analyseendpunkt lesen?
Lesen Keine Freigabefelder ausgewählt Nein Nr. Nein
ReadData Lesen aller SQL-Endpunktdaten Nein Nr. Ja
ReadAll Lesen aller Apache Spark-Elemente Ja Nein Nein
Schreiben N/V, nur über Arbeitsbereichsrollen verfügbar Ja Ja Ja

Computespezifische Sicherheit

Einige Compute-Engines in Fabric verfügen über eigene Sicherheitsmodelle. Mit Fabric Warehouse können Benutzer*innen beispielsweise den Zugriff mithilfe von T-SQL-Anweisungen definieren. Computespezifische Sicherheit wird immer erzwungen, wenn Sie mit dieser Engine auf Daten zugreifen. Diese Bedingungen gelten jedoch möglicherweise nicht für Benutzer*innen in bestimmten Fabric-Rollen, wenn sie direkt auf OneLake zugreifen. Weitere Informationen dazu, welche Arten von Computesicherheit definiert werden können, finden Sie in der Dokumentation für Warehouse, Echtzeitanalysen und Power BI-Semantikmodelle.

In der Regel können Benutzer*innen in der Rolle „Anzeigender Benutzer“ nur über ausgewählte Compute-Engines auf Daten zugreifen, und es gelten alle in diesen Engines definierten Sicherheitsregeln. Alle anderen Rollen verfügen über direkten OneLake-Zugriff, sodass sie Daten über Spark, APIs oder eine OneLake-Explorer abfragen können. Computespezifische Sicherheit gilt jedoch weiterhin für diese Benutzer*innen, wenn sie über diese Compute-Engine auf Daten zugreifen.

Beispiel: Martha ist Administratorin für einen Fabric-Arbeitsbereich und Pradeep ein anzeigender Benutzer. Martha möchte den Zugriff auf bestimmte Tabellen in LakehouseA einschränken. Sie stellt eine Verbindung mit SQL her und definiert die Sicherheit auf Objektebene mithilfe von GRANT- und DENY-Anweisungen. Wenn Pradeep über SQL auf die Daten zugreift, kann er nur die Tabellen aus LakehouseA sehen, auf die ihm Zugriff gewährt wurde.

Sicherheit mit Verknüpfungen

Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung, es müssen jedoch einige Sicherheitsüberlegungen beachtet werden. Informationen zum Verwalten der Sicherheit mit Verknüpfungen finden Sie in diesem Dokument.

Authentifizierung

OneLake verwendet Microsoft Entra ID für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert automatisch die Benutzeridentität aus Tools, die die Microsoft Entra-Authentifizierung verwenden, und ordnen sie den Berechtigungen zu, die Sie im Fabric-Portal festgelegt haben.

Hinweis

Um Dienstprinzipale in einem Fabric-Mandanten verwenden zu können, muss ein*e Mandantenadministrator*in Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren.

Screenshot showing the Developer settings options on the Tenant setting screen.

Verschlüsselung

In OneLake gespeicherte Daten werden im Ruhezustand standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Von Microsoft verwaltete Schlüssel werden entsprechend den Complianceanforderungen gedreht. Daten in OneLake werden auf transparente Weise mit der 256-Bit-AES-Verschlüsselung – einer der stärksten verfügbaren Blockchiffren – ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform.

Die Verschlüsselung im Ruhezustand mit kundenseitig verwalteten Schlüsseln wird derzeit nicht unterstützt. Sie können dieses Feature auf Microsoft Fabric Ideas anfordern.

Fabric unterstützt derzeit keinen Private Link-Zugriff auf OneLake-Daten über Nicht-Fabric-Produkte und Spark.

Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können

OneLake bietet die Möglichkeit, den Zugriff auf Daten von Anwendungen einzuschränken, die außerhalb von Fabric-Umgebungen ausgeführt werden. Administrator*innen finden die Einstellung im Mandantenverwaltungsportal. Wenn Sie diese Option aktivieren, können Benutzer*innen über alle Quellen auf Daten zugreifen. Wenn Sie die Option deaktivieren, können Benutzer*innen nicht über Anwendungen zugreifen, die außerhalb von Fabric-Umgebungen ausgeführt werden. Der Zugriff auf Daten kann beispielsweise über Anwendungen wie Azure Databricks, benutzerdefinierte Anwendungen mithilfe von Azure Data Lake Storage (ADLS)-APIs oder den OneLake-Datei-Explorer erfolgen.