Share via

Sichern von Daten mit Fabric, Compute Engines und OneLake

  • Artikel

Fabric bietet ein mehrschichtiges Sicherheitsmodell, das sowohl Einfachheit als auch Flexibilität beim Verwalten des Datenzugriffs bietet. Die Sicherheit kann für einen gesamten Arbeitsbereich, für einzelne Elemente oder über granulare Berechtigungen in jedem Fabric-Modul festgelegt werden.

Granulare Engineberechtigungen ermöglichen eine fein abgestimmte Zugriffssteuerung wie z. B. zu definierende Tabellen-, Spalten- und Zeilenebenensicherheit. Diese granularen Berechtigungen gelten für Abfragen, die für diese Engine ausgeführt werden. Unterschiedliche Engines unterstützen unterschiedliche Arten von granularer Sicherheit, sodass jede Engine speziell für seine Zielbenutzer zugeschnitten werden kann.

Diagramm mit verschiedenen Sicherheitsebenen in Fabric, Compute Engines und OneLake.

Fabric-Datensicherheit

Fabric steuert den Datenzugriff mithilfe von Arbeitsbereichen und Elementen. In Arbeitsbereichen erscheinen Daten in Form von Fabric-Elementen, und Benutzer können Daten in den Elementen nur anzeigen oder nutzen, wenn ihnen Zugriff auf den Arbeitsbereich gewährt wurde.

Arbeitsbereichsberechtigungen gewähren den Zugriff auf alle Elemente innerhalb eines Arbeitsbereichs. Im Gegensatz dazu ermöglichen Fabric Elementberechtigungen das Gewähren des Zugriffs auf bestimmte Elemente, z. B. Lakehouses, Lagerorte oder Berichte. Administratoren können entscheiden, mit welchem Fabric-Element der Benutzer interagieren kann. Beschränken Sie beispielsweise den Zugriff auf Daten über den Analytics SQL-Endpunkt, während Sie den Zugriff auf dieselben Daten über Lakehouse oder über die OneLake-API direkt gewähren.

Erfahren Sie mehr über das Steuern des Datenzugriffs mithilfe von Fabric Arbeitsbereich- und Elementberechtigungen in Sicherheit in Microsoft.

Enginespezifische Datensicherheit

Viele Fabric Engines ermöglichen eine fein abgestimmte Zugriffssteuerung wie z. B. zu definierende Tabellen-, Spalten- und Zeilenebenensicherheit. Einige Compute-Engines in Fabric verfügen über eigene Sicherheitsmodelle. Mit Fabric Warehouse können Benutzer*innen beispielsweise den Zugriff mithilfe von T-SQL-Anweisungen definieren. Computespezifische Sicherheit wird immer erzwungen, wenn Sie mit dieser Engine auf Daten zugreifen. Die Sicherheit des Computemoduls gilt möglicherweise nicht für Benutzer in bestimmten Fabric-Rollen, wenn sie direkt auf OneLake zugreifen.

Erfahren Sie mehr über enginepezifische granulare Datensicherheit:

OneLake-Datenzugriffsrollen (Vorschau)

OneLake-Datenzugriffsrollen (Vorschau) ermöglichen Benutzern das Erstellen benutzerdefinierter Rollen innerhalb eines Lakehouses und das Erteilen von Leseberechtigungen nur für die angegebenen Ordner beim Zugriff auf OneLake. Für jede OneLake-Rolle können Benutzer Benutzer, Sicherheitsgruppen oder eine automatische Zuweisung basierend auf der Arbeitsbereichsrolle zuweisen.

Diagramm: Struktur eines Data Lake, der mit separat gesicherten Containern verknüpft ist

Erfahren Sie mehr über das OneLake-Datenzugriffssteuerungsmodell und erste Schritte mit dem Datenzugriff.

Sicherheit mit Verknüpfungen

Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung. Die Sicherheit des OneLake-Ordners gilt für OneLake-Verknüpfungen basierend auf Rollen, die im Lakehouse definiert sind, in dem die Daten gespeichert werden.

Weitere Informationen zu den Sicherheitsaspekten von Verknüpfungen finden Sie unter Modell zur Zugriffssteuerung in OneLake. Weitere Informationen zu Verknüpfungen finden Sie hier.

Authentifizierung

OneLake verwendet Microsoft Entra ID für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert automatisch die Benutzeridentität aus Tools, die die Microsoft Entra-Authentifizierung verwenden, und ordnen sie den Berechtigungen zu, die Sie im Fabric-Portal festgelegt haben.

Hinweis

Um Dienstprinzipale in einem Fabric-Mandanten verwenden zu können, muss ein*e Mandantenadministrator*in Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren. Weitere Informationen zum Aktivieren von Dienstprinzipalen in den Entwickler-Einstellungen des Mandantenadministratorportals

Ruhende Daten

In OneLake gespeicherte Daten werden im Ruhezustand standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Von Microsoft verwaltete Schlüssel werden entsprechend gedreht. Daten in OneLake werden auf transparente Weise ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform.

Die Verschlüsselung im Ruhezustand mit kundenseitig verwalteten Schlüsseln wird derzeit nicht unterstützt. Sie können dieses Feature auf Microsoft Fabric Ideas anfordern.

Daten während der Übertragung

Daten, die über das öffentliche Internet zwischen Microsoft-Dienste übertragen werden, werden immer mit mindestens TLS 1.2 verschlüsselt. Fabric verhandelt nach Möglichkeit mit TLS 1.3. Der Datenverkehr zwischen Microsoft-Dienste leitet immer über das globale Microsoft-Netzwerk weiter.

Die eingehende OneLake-Kommunikation erzwingt auch TLS 1.2 und verhandelt nach Möglichkeit mit TLS 1.3. Die ausgehende Fabric-Kommunikation mit der kundeneigenen Infrastruktur bevorzugt sichere Protokolle, kann aber auf ältere, unsichere Protokolle (einschließlich TLS 1.0) zurückgreifen, wenn neuere Protokolle nicht unterstützt werden.

Fabric unterstützt derzeit keinen Private Link-Zugriff auf OneLake-Daten über Nicht-Fabric-Produkte und Spark.

Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können

OneLake bietet die Möglichkeit, den Zugriff auf Daten von Anwendungen einzuschränken, die außerhalb von Fabric-Umgebungen ausgeführt werden. Administrator*innen finden die Einstellung im OneLake Abschnitt des Mandantenverwaltungsportal. Wenn Sie diese Option aktivieren, können Benutzer*innen über alle Quellen auf Daten zugreifen. Wenn Sie die Option deaktivieren, können Benutzer*innen nicht über Anwendungen zugreifen, die außerhalb von Fabric-Umgebungen ausgeführt werden. Der Zugriff auf Daten kann beispielsweise über Anwendungen wie Azure Databricks, benutzerdefinierte Anwendungen mithilfe von Azure Data Lake Storage (ADLS)-APIs oder den OneLake-Datei-Explorer erfolgen.

Zugehöriger Inhalt