Per altre informazioni, vedere Introduzione ai ruoli di accesso ai dati di OneLake (anteprima)

I ruoli di accesso ai dati di OneLake consentono di applicare il controllo degli accessi in base al ruolo ai dati archiviati su OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a cartelle specifiche all'interno di un elemento di Fabric, quindi assegnare questi ruoli a utenti o gruppi. Le autorizzazioni di accesso determinano le cartelle che gli utenti vedono quando accedono alla vista lake dei dati attraverso l'UX del lakehouse, i notebook o le API di OneLake.

Importante

A partire da agosto 2025, i collaboratori non avranno più autorizzazioni sufficienti per visualizzare o gestire i ruoli di accesso ai dati di OneLake.

Gli utenti di Fabric nei ruoli Amministratore, Membro o Collaboratore possono iniziare creando ruoli di accesso ai dati di OneLake per concedere l'accesso solo a cartelle specifiche in una lakehouse. Per concedere l'accesso ai dati in una lakehouse, aggiungere utenti a un ruolo di accesso ai dati. Gli utenti che non fanno parte di un ruolo di accesso ai dati non visualizzano alcun dato in tale lakehouse.

Nota

La sicurezza dei ruoli di accesso ai dati si applica solo agli utenti che accedono a OneLake direttamente. Gli elementi di Fabric, ad esempio gli endpoint di analisi SQL, modelli semantici e i warehouse, hanno modelli di sicurezza personalizzati e accedono a OneLake tramite un'identità delegata. Ciò significa che gli utenti possono visualizzare elementi diversi in ogni carico di lavoro se hanno accesso a più elementi.

Prerequisiti

Per configurare la sicurezza per un lakehouse, è necessario essere un amministratore, un membro o un collaboratore per l'area di lavoro. La creazione di ruoli e l'assegnazione di appartenenza diventano effettive non appena il ruolo viene salvato, quindi assicurarsi di voler concedere l'accesso prima di aggiungere un utente a un ruolo.

I ruoli di accesso ai dati OneLake sono supportati solo per gli elementi lakehouse.

Come aderire

La funzionalità di anteprima dei ruoli di accesso ai dati è disabilitata per impostazione predefinita. La funzionalità di anteprima viene configurata per ogni lakehouse. Il controllo di adesione consente a un unico lakehouse di provare l'anteprima senza abilitarla in altri lakehouse o elementi di Fabric.

Per abilitare l'anteprima, è necessario essere Amministratore, Membro o Collaboratore nell'area di lavoro.

La funzionalità di anteprima non può essere spenta una volta abilitata.

1. Vai a un lakehouse e seleziona Gestisci accesso ai dati OneLake (anteprima).
2. Rivedere la finestra di conferma. L'anteprima dei ruoli di accesso ai dati non è compatibile con l'anteprima di condivisione dei dati esterni. Per accettare la modifica, selezionare Continua.

Per garantire un'esperienza di consenso esplicito uniforme, tutti gli utenti con autorizzazione di lettura per i dati nel lakehouse continuano ad avere accesso in lettura tramite un ruolo di accesso ai dati predefinito denominato DefaultReader. Usando le adesioni ai ruoli virtualizzate, tutti gli utenti che hanno le autorizzazioni necessarie per visualizzare i dati nel lakehouse (autorizzazione ReadAll) vengono inclusi come membri di questo ruolo predefinito. Per iniziare a limitare l'accesso a tali utenti, eliminare il ruolo DefaultReader o rimuovere l'autorizzazione ReadAll dagli utenti che accedono.

Importante

Assicurarsi che tutti gli utenti inclusi in un ruolo di accesso ai dati siano rimossi dal ruolo DefaultReader. In caso contrario, mantengono l'accesso completo ai dati.

Quali tipi di dati possono essere protetti?

Usare i ruoli di accesso ai dati di OneLake per gestire l'accesso in lettura di OneLake alle cartelle in un lakehouse. L'accesso in lettura può essere assegnato a qualsiasi cartella in un lakehouse e lo stato predefinito è nessun accesso a una cartella. Le impostazioni di sicurezza impostate dai ruoli di accesso ai dati si applica esclusivamente all'accesso a OneLake o alle API specifiche di OneLake. Per ulteriori informazioni, vedere il modello di controllo dell'accesso ai dati.

Creare un ruolo

Usare la procedura seguente per creare un ruolo di accesso ai dati in OneLake.

1. Apri il lakehouse in cui vuoi definire la sicurezza.

2. Selezionare Gestisci accesso ai dati OneLake (anteprima) dal menu Lakehouse.

3. Nel riquadro Gestisci accesso ai dati OneLake, selezionare Nuovo.

4. Specificare un nome per il nuovo ruolo che soddisfi le linee guida seguenti:

   • Il nome del ruolo può contenere solo caratteri alfanumerici.
   • Il nome del ruolo deve iniziare con una lettera.
   • I nomi devono essere univoci e non fanno distinzione tra maiuscole e minuscole.
   • La lunghezza massima del nome è di 128 caratteri.

5. Per applicare questo ruolo a tutte le tabelle e i file in questo lakehouse, selezionare l'interruttore Tutti i dati.

   Questa selezione consente inoltre l'accesso a tutte le cartelle aggiunte in futuro.

6. Per applicare questo ruolo solo a un gruppo selezionato di tabelle e cartelle, selezionare il tasto di alternanza Dati selezionati. Usare quindi i passaggi seguenti per definire i dati approvati per questo ruolo.

   1. Selezionare Esplora Lakehouse.

      

   2. Espandi le directory Tabelle e File per visualizzare i dati nel lakehouse.

   3. Selezionare le caselle accanto alle tabelle e ai file a cui si vuole applicare il ruolo.

   4. Selezionare Aggiungi dati per aggiungere gli elementi selezionati al ruolo.

7. Usare la casella di testo Aggiungi membri al ruolo per immettere manualmente i nomi o gli indirizzi di posta elettronica degli utenti da includere nel ruolo. In alternativa, selezionare Configurazione avanzata e seguire le indicazioni in Assegnare membri virtuali.

   Per aggiungere i membri manualmente:

   1. Immettere il nome o l'indirizzo e-mail di un utente.
   2. Selezionare il nome corretto dall'elenco suggerito.
   3. Selezionare l'icona di controllo per confermare la selezione oppure l'icona X per cancellarla.

8. Esaminare i riepiloghi di Anteprima dei ruoli.

   1. Per modificare l'anteprima dei dati, selezionare Sfoglia Lakehouse e aggiornare le tabelle e le cartelle selezionate.
   2. Per rimuovere un utente dall'anteprima dei membri, selezionare altre opzioni (...) accanto al nome, quindi Rimuovi dal ruolo.

9. Selezionare Crea ruolo e attendere la notifica che indica che il ruolo è stato pubblicato correttamente.

Modificare un ruolo

Usare la procedura seguente per modificare un ruolo di accesso ai dati esistente in OneLake.

1. Apri il lakehouse in cui vuoi definire la sicurezza.

2. Selezionare Gestisci accesso ai dati OneLake (anteprima) dal menu Lakehouse.

3. Nel riquadro Gestisci accesso ai dati OneLake, selezionare il ruolo da modificare.

   Questa azione apre la pagina dei dettagli del ruolo, che include due schede: Dati nel ruolo e Membri nel ruolo.

4. Esaminare le informazioni nella scheda Dati nel ruolo:

   Questa scheda mostra tutti i dati a cui possono accedere i membri del ruolo.

   La colonna Dati mostra il nome delle tabelle o delle cartelle che fanno parte dell'accesso al ruolo. È possibile espandere e comprimere gli schemi per visualizzare gli elementi sottostanti. Passando il puntatore del mouse su una voce viene visualizzato il percorso completo della tabella o della cartella.

   La colonna Tipo indica il tipo di elemento selezionato. I valori sono: Schema, Tabella o Cartella.

   La colonna Autorizzazioni mostra l'autorizzazione concessa dal ruolo a ogni elemento. Attualmente, solo Lettura è supportato.

   La colonna Accesso ai dati indica se all'elemento vengono applicate restrizioni a livello di riga o colonna. Un'icona con un blocco e linee orizzontali indica che viene applicata la sicurezza a livello di riga, mentre un'icona con un blocco e linee verticali indica che viene applicata la sicurezza a livello di colonna.

5. Per modificare i dati inclusi nel ruolo, selezionare Aggiungi dati.

   Questa azione apre la finestra di dialogo di selezione della tabella e della cartella.

6. Selezionare e deselezionare tabelle o cartelle per aggiungerle o rimuoverle dal ruolo.

7. Selezionare Aggiungi dati per confermare le selezioni.

8. Selezionare la scheda Membri nel ruolo per visualizzare i membri del ruolo.

   La colonna Membri mostra l'immagine del profilo e il nome del membro.

   La colonna Tipo indica se il membro è un utente o un gruppo.

   La colonna Aggiunto tramite indica se un utente è stato aggiunto tramite la loro email come membro di un ruolo o incluso come parte di un gruppo di autorizzazioni del lakehouse. Per altre informazioni sull'aggiunta di utenti tramite autorizzazioni lakehouse, vedere Assegnare membri virtuali.

9. Per modificare i membri del ruolo, selezionare Aggiungi membri.

10. Per aggiungere manualmente i membri, immettere un nome o un indirizzo e-mail nella casella di testo Aggiungi membri al ruolo. Selezionare il nome corretto dall'elenco suggerito. Quindi, selezionare l'icona di controllo per confermare la selezione oppure l'icona X per cancellarla.

11. Per rimuovere gli utenti dal ruolo, selezionare altre opzioni (...) accanto al nome, quindi selezionare Rimuovi dal ruolo.

Se si apportano modifiche all'appartenenza ai ruoli, il ruolo viene aggiornato immediatamente. Una notifica indica l'esito positivo o negativo di eventuali modifiche.

Eliminare un ruolo

Seguire questa procedura per eliminare un ruolo di accesso ai dati OneLake.

1. Apri il lakehouse in cui vuoi definire la sicurezza.

2. Selezionare Gestisci accesso ai dati OneLake (anteprima) dal menu Lakehouse.

3. Nel riquadro Gestisci accesso ai dati OneLake selezionare la casella accanto ai ruoli da eliminare.

4. Selezionare Elimina e attendere la notifica che i ruoli sono stati eliminati correttamente.

Assegnare un membro o un gruppo

I ruoli di accesso ai dati di OneLake supportano due metodi di aggiunta di utenti a un ruolo. Il metodo principale consiste nell'aggiungere utenti o gruppi direttamente a un ruolo usando la casella Aggiungi persone o gruppi nella pagina Assegna ruolo. Il secondo consiste nel creare appartenenze virtuali con i gruppi di autorizzazioni usando il controllo di configurazione avanzata.

L'aggiunta di utenti direttamente a un ruolo aggiunge gli utenti come membri espliciti del ruolo. Questi utenti appaiono con il loro nome e la loro immagine nell'elenco Membri.

I membri virtuali consentono di regolare dinamicamente la composizione del ruolo in base alle autorizzazioni dell'elemento di Fabric degli utenti. Selezionando Configurazione avanzata, quindi un'autorizzazione, si aggiungono tutti gli utenti dell'area di lavoro Fabric che hanno tutte le autorizzazioni selezionate come membri impliciti del ruolo. Ad esempio, se hai scelto ReadAll, Write, tutti gli utenti dell'area di lavoro di Fabric con autorizzazioni ReadAll e Write per l'elemento verrebbero inclusi come membri del ruolo. È possibile visualizzare gli utenti aggiunti da un gruppo di autorizzazioni esaminando la colonna Aggiunto tramite nella scheda Membri nel ruolo. Questi membri non possono essere rimossi manualmente direttamente. Per rimuovere un membro aggiunto tramite un gruppo di autorizzazioni, rimuovere il gruppo di autorizzazioni dal ruolo.

Indipendentemente dal tipo di adesione che utilizzi, i ruoli di accesso ai dati supportano l'aggiunta di singoli utenti, gruppi di Microsoft Entra ed entità di sicurezza.

Assegnare membri virtuali

Le autorizzazioni che possono essere usate per i membri virtuali sono:

• Leggi
• Scrittura
• Ricondividi
• Eseguire
• LeggiTutto

Per assegnare utenti con gruppi di autorizzazioni, seguire questa procedura:

1. Selezionare il nome del ruolo a cui assegnare i membri.

2. Nella pagina dei dettagli del ruolo selezionare la scheda Membri nel ruolo.

3. Selezionare Aggiungi membri.

4. Selezionare Configurazione avanzata.

   

5. Nella casella Gruppi di autorizzazioni selezionare la casella di controllo accanto a ogni autorizzazione per cui si desidera includere gli utenti.

   Ogni gruppo di autorizzazioni mostra un conteggio del numero di utenti inclusi in tale gruppo.

   La selezione di più gruppi di autorizzazioni include gli utenti con tutte le autorizzazioni necessarie selezionate.

6. Selezionare Aggiungi per includere i gruppi e salvare il ruolo.

Problemi noti

La funzionalità di anteprima della condivisione dei dati esterna non è compatibile con l'anteprima dei ruoli di accesso ai dati. Quando si abilita l'anteprima dei ruoli di accesso ai dati in un lakehouse, le condivisioni dati esterne esistenti potrebbero smettere di funzionare.

La sicurezza di OneLake non funziona con le scorciatoie OneLake tra regioni.

Contenuto correlato

• Panoramica della sicurezza di Fabric
• Panoramica della sicurezza di Fabric e OneLake
• Modello di controllo di accesso ai dati