Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
OneLake ist ein hierarchischer Data Lake, ähnlich wie Azure Data Lake Storage (ADLS) Gen 2 oder das Windows-Dateisystem. Die Sicherheit in OneLake wird auf mehreren Ebenen erzwungen, die jeweils verschiedenen Aspekten des Zugriffs und der Kontrolle entsprechen. Das Verständnis der Unterscheidung zwischen Steuerungsebenen- und Datenebenenberechtigungen ist der Schlüssel zur effektiven Sicherung Ihrer Daten:
- Steuern von Ebenenberechtigungen: Steuern, welche Aktionen Benutzer innerhalb der Umgebung ausführen können (z. B. Erstellen, Verwalten oder Freigeben von Elementen). Berechtigungen für die Steuerungsebene stellen häufig standardmäßig Berechtigungen für die Datenebene bereit.
- Berechtigungen für Datenebene: Steuern, auf welche Daten Benutzer zugreifen oder anzeigen können, unabhängig von ihrer Fähigkeit zum Verwalten von Ressourcen.
Sie können die Sicherheit auf jeder Ebene innerhalb des Data Lake festlegen. Einige Ebenen in der Hierarchie werden jedoch speziell behandelt, da sie mit Fabric-Konzepten korrelieren. Die OneLake-Sicherheit steuert den gesamten Zugriff auf OneLake-Daten mit unterschiedlichen Berechtigungen, die von den Berechtigungen des übergeordneten Elements oder Arbeitsbereichs geerbt wurden.
Arbeitsbereich: eine Umgebung für die Zusammenarbeit zum Erstellen und Verwalten von Elementen. Arbeitsbereichsrollen können auf dieser Ebene verwaltet werden.
Element: eine festgelegte Anzahl von Funktionen, die in einer einzigen Komponente gebündelt sind. Ein Datenelement ist ein Untertyp eines Elements, mit dem Daten in OneLake gespeichert werden können. Elemente erben Berechtigungen von den Arbeitsbereichsrollen, können aber auch über zusätzliche Berechtigungen verfügen.
Ordner: Ordner innerhalb eines Elements, die zum Speichern und Verwalten von Daten verwendet werden, z. B. Tabellen/ oder Dateien/.
Elemente sind immer in Arbeitsbereichen enthalten, und Arbeitsbereiche befinden sich immer direkt unter dem OneLake-Namespace. Sie können diese Struktur wie folgt visualisieren:
Sicherheit in OneLake
In diesem Abschnitt wird das Sicherheitsmodell basierend auf allgemein verfügbaren OneLake-Features beschrieben.
Arbeitsbereichberechtigungen
Arbeitsbereichsberechtigungen definieren, welche Aktionen Benutzer innerhalb eines Arbeitsbereichs und seiner Elemente ausführen können. Diese Berechtigungen werden auf Arbeitsbereichsebene verwaltet und sind in erster Linie Steuerungsebenenberechtigungen; sie bestimmen verwaltungs- und elementverwaltungsfunktionen, nicht den direkten Datenzugriff. Im Allgemeinen werden Arbeitsbereichsberechtigungen bis zur Element- und Ordnerebene weitergegeben, um standardmäßig Datenzugriff zu gewähren. Arbeitsbereichsberechtigungen gewähren die Definierung des Zugriffs auf alle Elemente innerhalb eines Arbeitsbereichs. Es gibt vier verschiedene Arbeitsbereichsrollen, von denen jede verschiedene Zugriffstypen gewährt. Unten sind die Standardverhaltensweisen jeder Arbeitsbereichsrolle aufgeführt.
| Rolle | Können Administratoren hinzugefügt werden? | Können Mitglieder hinzugefügt werden? | Kann OneLake-Sicherheit bearbeiten? | Können Daten geschrieben und Elemente erstellt werden? | Können Daten aus OneLake gelesen werden? |
|---|---|---|---|---|---|
| Administrator | Ja | Ja | Ja | Ja | Ja |
| Mitglied | Nein | Ja | Ja | Ja | Ja |
| Mitwirkender | Nein | Nein | Nein | Ja | Ja |
| Zuschauer | Nein | Nein | Nein | Nein | Nein* |
Hinweis
*Viewer können über OneLake-Sicherheitsrollen Zugriff auf Daten erhalten.
Sie können die Verwaltung von Fabric-Arbeitsbereichsrollen vereinfachen, indem Sie sie Sicherheitsgruppen zuweisen. Mit dieser Methode können Sie den Zugriff steuern, indem Sie Mitglieder zu einer Sicherheitsgruppe hinzufügen oder aus dieser entfernen.
Elementberechtigungen
Mit dem Freigabe-Feature können Sie einem Benutzer direkten Zugriff auf ein Element gewähren. Den Benutzer*innen wird nur dieses Element im Arbeitsbereich angezeigt, und sie sind keine Mitglieder von Arbeitsbereichsrollen. Elementberechtigungen gewähren Zugriff, um eine Verbindung mit diesem Element herzustellen und auf welche Elementendpunkte der Benutzer zugreifen kann.
| Berechtigung | Siehe Element, Metadaten? | Siehe Daten in SQL? | Siehe Daten in OneLake? |
|---|---|---|---|
| Lesen Sie | Ja | Nein | Nein |
| Daten lesen | Nein | Ja | Nein |
| Alles lesen | Nein | Nein | Ja* |
*Gilt nicht für Elemente mit aktivierten OneLake-Sicherheits- oder Datenzugriffsrollen. Wenn die Vorschau aktiviert ist, gewährt ReadAll nur Zugriff, wenn die DefaultReader-Rolle verwendet wird. Wenn die DefaultReader-Rolle bearbeitet oder gelöscht wird, wird stattdessen der Zugriff basierend auf den Datenzugriffsrollen gewährt, zu denen die benutzende Person gehört.
Eine weitere Möglichkeit zum Konfigurieren von Berechtigungen ist die Seite Berechtigungen verwalten eines Elements. Mithilfe dieser Seite können Sie einzelne Elementberechtigungen für Benutzer oder Gruppen hinzufügen oder entfernen. Der Elementtyp bestimmt, welche Berechtigungen verfügbar sind.
Computeberechtigungen
Computeberechtigungen sind eine Art von Datenebenenberechtigungen, die für ein bestimmtes Abfragemodul in Microsoft Fabric gilt. Der gewährte Zugriff gilt nur für Abfragen, die für dieses bestimmte Modul ausgeführt werden, z. B. den SQL-Endpunkt oder ein Power BI-Semantikmodell. Benutzer können jedoch unterschiedliche Ergebnisse sehen, wenn sie über ein Computemodul auf Daten zugreifen, verglichen mit dem, wenn sie direkt in OneLake auf Daten zugreifen, abhängig von den angewendeten Computeberechtigungen. Um dieses Missverhältnis zu vermeiden, stellen Sie sicher, dass die Elementberechtigungen eines Benutzers so konfiguriert sind, dass sie nur Zugriff auf entweder den SQL-Analytics-Endpoint (mit ReadData) oder OneLake (mit ReadAll) gewähren. Um Komplexität zu vermeiden, wird empfohlen, die OneLake-Sicherheit (Vorschau) zu verwenden, da sie eine konsistente Ansicht der Daten in allen Engines in Fabric sicherstellt.
Im folgenden Beispiel erhält ein Benutzer über die Elementfreigabe schreibgeschützten Zugriff auf ein Lakehouse. Der Benutzer erhält über den SQL-Analyseendpunkt die SELECT-Berechtigung für eine Tabelle. Wenn dieser Benutzer versucht, Daten über die OneLake-APIs zu lesen, wird der Zugriff verweigert, da er nicht über ausreichende Berechtigungen verfügt. Der Benutzer kann SQL SELECT-Anweisungen erfolgreich lesen.
OneLake-Sicherheit (Vorschau)
Die OneLake-Sicherheit ermöglicht es Benutzenden, differenzierte rollenbasierte Sicherheit für in OneLake gespeicherte Daten zu definieren und diese Sicherheit konsistent für alle Computemodule in Fabric zu erzwingen.
Hinweis
OneLake Security befindet sich derzeit in einer eingeschränkten Vorschau. Füllen Sie das Formular unter https://aka.ms/onelakesecuritypreview aus, um der Vorschau beizutreten und auf diese Features zuzugreifen.
Die OneLake-Sicherheit ersetzt das vorhandene OneLake-Feature für den Datenzugriff (Vorschau), das im April 2024 veröffentlicht wurde. Alle Benutzer des Datenzugriffs werden automatisch auf OneLake-Sicherheitsrollen aktualisiert, wenn das Feature in die öffentliche Vorschau wechselt. Weitere Details finden Sie in der Fabric-Roadmap .
Fabric-Benutzer in den Administrator- oder Mitgliedsrollen können OneLake-Sicherheitsrollen erstellen, um Benutzern Zugriff auf Daten innerhalb eines Elements zu gewähren. Jede Rolle verfügt über vier Komponenten:
- Daten: Die Tabellen oder Ordner, auf die Benutzende zugreifen können.
- Berechtigung: Die Berechtigungen, die Benutzende für die Daten besitzen.
- Mitglieder: Die Benutzenden, die Mitglieder der Rolle sind.
- Einschränkungen: Die Komponenten der Daten, falls vorhanden, die vom Rollenzugriff ausgeschlossen sind, z. B. bestimmte Zeilen oder Spalten.
OneLake-Sicherheitsrollen gewähren Benutzern in der Rolle des Betrachter-Arbeitsbereichs Zugriff auf Daten. Administratoren, Mitglieder und Mitwirkende sind nicht von OneLake-Sicherheitsrollen betroffen und können unabhängig von ihrer Rollenmitgliedschaft alle Daten in einem Element lesen und schreiben. Eine "DefaultReader"-Rolle existiert in allen Lakehouses, die einer Person mit der Berechtigung "ReadAll" Zugriff auf Daten im Lakehouse gewährt. Die DefaultReader-Rolle kann gelöscht oder bearbeitet werden, um diesen Zugriff zu entfernen.
Erfahren Sie mehr über das Erstellen von OneLake-Sicherheitsrollen für Tabellen und Ordner, Spaltenund Zeilen.
OneLake-Datenzugriffsrollen (Vorschau)
OneLake-Datenzugriffsrollen sind ein neues Feature, mit dem Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden können. Sie können Sicherheitsrollen definieren, die Lesezugriff auf bestimmte Ordner innerhalb eines Fabric-Elements gewähren und diese Benutzern oder Gruppen zuweisen. Die Zugriffsberechtigungen bestimmen, welche Ordner Benutzer beim Zugriff auf die Lakeanzeige der Daten sehen über die Lakehouse-UX, Notebooks oder OneLake-APIs.
Von Bedeutung
Ab Q3 2025 werden OneLake-Datenzugriffsrollen durch OneLake-Sicherheit ersetzt. Alle Benutzer werden automatisch aktualisiert, und es ist keine Aktion erforderlich.
Fabric-Benutzer in den Rollen Administrator, Mitglied oder Mitwirkender können beginnen, indem Sie OneLake-Datenzugriffsrollen erstellen, um nur für bestimmte Ordner in einem Lakehouse Zugriff zu gewähren. Um den Zugriff auf Daten in einem Lakehouse zu gewähren, fügen Sie Benutzer zu einer Datenzugriffsrolle hinzu. Benutzende, die nicht Teil einer Datenzugriffsrolle sind, sehen keine Daten in diesem Lakehouse.
Hinweis
Zum Zugriff auf Verknüpfungsdaten benötigen Benutzende neben dem Zugriff über eine OneLake-Datenzugriffsrolle die ReadAll-Berechtigung für das Ziel-Lakehouse.
Wenn Sie Power BI-Semantikmodelle oder T-SQL für den Zugriff auf Verknüpfungen verwenden, denken Sie daran, dass die Identität des aufrufenden Benutzers nicht an den Verknüpfungszielpfad übergeben wird. Stattdessen wird die Identität des Besitzers des aufrufenden Elements übergeben, wodurch der Zugriff an den aufrufenden Benutzer delegiert wird.
Erfahren Sie mehr über das Erstellen von Datenzugriffsrollen in Erste Schritte mit Datenzugriffsrollen.
Erfahren Sie mehr über das Sicherheitsmodell für Zugriffsrollen des Datenzugriffssteuerungsmodells.
Sicherheit mit Verknüpfungen
Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung. Die Sicherheit des OneLake-Ordners gilt für OneLake-Verknüpfungen basierend auf Rollen, die im Lakehouse definiert sind, in dem die Daten gespeichert werden.
Weitere Informationen zu den Sicherheitsaspekten von Verknüpfungen finden Sie unter Modell zur Zugriffssteuerung in OneLake.
Informationen zu Zugriffs- und Authentifizierungsdetails für bestimmte Tastenkombinationen finden Sie unter OneLake > Verknüpfungstypen.
Authentifizierung
OneLake verwendet Microsoft Entra ID für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert automatisch die Benutzeridentität aus Tools, die die Microsoft Entra-Authentifizierung verwenden, und ordnen sie den Berechtigungen zu, die Sie im Fabric-Portal festgelegt haben.
Hinweis
Um Dienstprinzipale in einem Fabric-Mandanten verwenden zu können, muss ein*e Mandantenadministrator*in Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren. Erhalten Sie weitere Informationen zum Aktivieren von Dienstprinzipalen in den Entwickler-Einstellungen des Mandantenadministrationsportals.
Überwachungsprotokolle
Um Ihre OneLake-Überwachungsprotokolle anzuzeigen, befolgen Sie die Anweisungen in Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric. OneLake-Vorgangsnamen entsprechen ADLS-APIs wie CreateFile oder DeleteFile. OneLake-Überwachungsprotokolle enthalten keine Leseanforderungen oder Anforderungen, die über Fabric-Workloads an OneLake vorgenommen wurden.
Verschlüsselung und Netzwerke
Ruhende Daten
In OneLake gespeicherte Daten werden im Ruhezustand standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Von Microsoft verwaltete Schlüssel werden entsprechend gedreht. Daten in OneLake werden auf transparente Weise ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform.
Die Verschlüsselung im Ruhezustand mit kundenseitig verwalteten Schlüsseln wird derzeit nicht unterstützt. Sie können dieses Feature unter Microsoft Fabric-Ideen anfordern.
Daten im Transit
Daten, die über das öffentliche Internet zwischen Microsoft-Dienste übertragen werden, werden immer mit mindestens TLS 1.2 verschlüsselt. Fabric verhandelt nach Möglichkeit mit TLS 1.3. Der Datenverkehr zwischen Microsoft-Dienste leitet immer über das globale Microsoft-Netzwerk weiter.
Die eingehende OneLake-Kommunikation erzwingt auch TLS 1.2 und verhandelt nach Möglichkeit mit TLS 1.3. Die ausgehende Fabric-Kommunikation mit der kundeneigenen Infrastruktur bevorzugt sichere Protokolle, kann aber auf ältere, unsichere Protokolle (einschließlich TLS 1.0) zurückgreifen, wenn neuere Protokolle nicht unterstützt werden.
Private Verknüpfungen
Informationen zum Konfigurieren privater Links in Fabric finden Sie unter Einrichten und Verwenden privater Links.
Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können
Sie können den Zugriff auf OneLake-Daten aus Anwendungen zulassen oder einschränken, die sich außerhalb der Fabric-Umgebung befinden. Administratoren finden diese Einstellung im OneLake-Abschnitt der Mandanteneinstellungen des Verwaltungsportals.
Wenn Sie diese Einstellung aktivieren, können Benutzer auf Daten aus allen Quellen zugreifen. Aktivieren Sie diese Einstellung beispielsweise, wenn Sie über benutzerdefinierte Anwendungen verfügen, die Azure Data Lake Storage (ADLS)-APIs oder oneLake-Datei-Explorer verwenden. Wenn Sie diese Einstellung deaktivieren, können Benutzer weiterhin auf Daten aus internen Apps wie Spark, Data Engineering und Data Warehouse zugreifen, aber nicht auf Daten von Anwendungen zugreifen, die außerhalb von Fabric-Umgebungen ausgeführt werden.