Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
OneLake is een hiërarchische data lake, zoals Azure Data Lake Storage (ADLS) Gen2 of het Windows-bestandssysteem. Beveiliging in OneLake wordt afgedwongen op meerdere niveaus, die elk overeenkomen met verschillende aspecten van toegang en beheer. Inzicht in het verschil tussen de machtigingen voor het besturingsvlak en het gegevensvlak is essentieel voor het effectief beveiligen van uw gegevens:
- Machtigingen voor het besturingsvlak: bepalen welke acties gebruikers in de omgeving kunnen uitvoeren (bijvoorbeeld items maken, beheren of delen). Machtigingen van het controlevlak bieden bij wijze van standaard machtigingen voor het gegevensvlak.
- Machtigingen voor het gegevensvlak: bepalen welke gegevensgebruikers toegang hebben tot of bekijken, ongeacht hun mogelijkheid om resources te beheren.
U kunt beveiliging instellen op elk niveau in de Data Lake. Sommige niveaus in de hiërarchie worden echter speciaal behandeld omdat ze correleren met Fabric-concepten. De beveiligingsmaatregelen van OneLake regelen alle toegang tot OneLake-gegevens met verschillende machtigingen die worden geërfd van het bovenliggende item of van de werkruimtemachtigingen. U kunt machtigingen instellen op de volgende niveaus:
Werkruimte: Een samenwerkingsomgeving voor het maken en beheren van items. Beveiliging wordt beheerd via werkruimterollen op dit niveau.
Item: Een set mogelijkheden die zijn gebundeld in één onderdeel. Een gegevensitem is een subtype van het item waarmee gegevens erin kunnen worden opgeslagen met OneLake. Items nemen machtigingen over van de werkruimterollen, maar kunnen ook aanvullende machtigingen hebben.
Mappen: Mappen binnen een item dat wordt gebruikt voor het opslaan en beheren van gegevens, zoals Tabellen/ of Bestanden/.
Items bevinden zich altijd in werkruimten en werkruimten bevinden zich altijd rechtstreeks onder OneLake. U kunt deze structuur als volgt visualiseren:
Beveiliging in OneLake
In deze sectie wordt het beveiligingsmodel beschreven op basis van algemeen beschikbare OneLake-functies.
Werkruimtemachtigingen
Werkruimtemachtigingen bepalen welke acties gebruikers kunnen uitvoeren binnen een werkruimte en de bijbehorende items. Deze machtigingen worden beheerd op werkruimteniveau en zijn voornamelijk machtigingen voor het besturingsvlak; ze bepalen de beheer- en itembeheermogelijkheden, niet directe gegevenstoegang. Werkruimtemachtigingen nemen doorgaans echter over tot het item- en mapniveau om standaard gegevenstoegang te verlenen. Met werkruimtemachtigingen kunt u toegang tot alle items in die werkruimte definiëren. Er zijn vier verschillende werkruimterollen, die elk verschillende typen toegang verlenen. Hieronder ziet u het standaardgedrag van elke werkruimterol.
| Rol | Kun je beheerders toevoegen? | Kunnen leden worden toegevoegd? | Kunt u OneLake-beveiliging bewerken? | Kunt u gegevens schrijven en items maken? | Kunt u gegevens lezen in OneLake? | Werk de werkruimte bij en verwijder deze. |
|---|---|---|---|---|---|---|
| Admin | Ja | Ja | Ja | Ja | Ja | Ja |
| Lid | Nee | Ja | Ja | Ja | Ja | Nee |
| Inzender | Nee | Nee | Nee | Ja | Ja | Nee |
| Kijker | Nee | Nee | Nee | Nee | Nee* | Nee |
Meer informatie over rollen in werkruimten in Microsoft Fabric.
Notitie
*Kijkers kunnen toegang krijgen tot gegevens via OneLake-beveiligingsrollen.
U kunt het beheer van Fabric werkruimte-rollen vereenvoudigen door ze aan beveiligingsgroepen toe te wijzen. Met deze methode kunt u de toegang beheren door leden toe te voegen aan of te verwijderen uit de beveiligingsgroep.
Itemmachtigingen
Met de functie voor delen kunt u een gebruiker rechtstreeks toegang geven tot een item. De gebruiker kan dat item alleen in de werkruimte zien en is geen lid van een enkele werkruimterol. Itemmachtigingen verlenen toegang om verbinding te maken met dat item en de eindpunten waartoe de gebruiker toegang heeft.
| Machtiging | Zie de metagegevens van het item? | Gegevens bekijken in SQL? | Gegevens bekijken in OneLake? |
|---|---|---|---|
| Lezen | Ja | Nee | Nee |
| GegevensLezen | Nee | Ja | Nee |
| LeesAlles | Nee | Nee | Ja* |
*Niet van toepassing op items waarvoor OneLake-beveiligings - of gegevenstoegangsrollen zijn ingeschakeld. Als de preview is ingeschakeld, verleent ReadAll alleen toegang als de rol DefaultReader wordt gebruikt. Als de rol DefaultReader wordt bewerkt of verwijderd, wordt in plaats daarvan toegang verleend op basis van de gegevenstoegangsrollen waarvan de gebruiker deel uitmaakt.
Een andere manier om machtigingen te configureren, is via de pagina Machtigingen beheren van een item. Op deze pagina kunt u afzonderlijke itemmachtigingen toevoegen of verwijderen voor gebruikers of groepen. Het itemtype bepaalt welke machtigingen beschikbaar zijn.
OneLake-beveiliging (voorproef)
Met OneLake-beveiliging kunnen gebruikers gedetailleerde, op rollen gebaseerde beveiliging definiëren voor gegevens die zijn opgeslagen in OneLake en die beveiliging consistent afdwingen in alle compute-engines in Fabric. OneLake-beveiliging is het gegevensvlakbeveiligingsmodel voor gegevens in OneLake.
Fabric-gebruikers in de rollen Beheerder of Lid kunnen OneLake-beveiligingsrollen maken om gebruikers toegang te verlenen tot gegevens binnen een item. Elke rol heeft vier onderdelen:
- Data: de tabellen of mappen waartoe gebruikers toegang hebben.
- machtiging: de machtigingen die gebruikers hebben voor de gegevens.
- Leden: de gebruikers die leden zijn van de rol.
- Beperkingen: de onderdelen van de gegevens, indien aanwezig, die zijn uitgesloten van roltoegang, zoals specifieke rijen of kolommen.
OneLake-beveiligingsrollen verlenen toegang tot gegevens voor gebruikers in de werkruimte Rol Viewer of met leesmachtigingen voor het item. Beheerders, leden en inzenders worden niet beïnvloed door OneLake-beveiligingsrollen en kunnen alle gegevens in een item lezen en schrijven, ongeacht hun rollidmaatschap. Er bestaat een DefaultReader-rol in alle lakehouses die alle gebruikers met de machtiging ReadAll toegang geeft tot de gegevens in de lakehouse. De rol DefaultReader kan worden verwijderd of bewerkt om die toegang te verwijderen.
Meer informatie over het maken van OneLake-beveiligingsrollen voor tabellen en mappen, kolommenen rijen.
Meer informatie over het toegangsbeheermodel voor OneLake-beveiliging.
Rekenmachtigingen
Rekenmachtigingen zijn een type machtiging voor het gegevensvlak dat van toepassing is op een specifieke query-engine in Microsoft Fabric. De toegang die wordt verleend, is alleen van toepassing op query's die worden uitgevoerd op die specifieke engine, zoals het SQL-eindpunt of een semantisch Power BI-model. Gebruikers kunnen echter verschillende resultaten zien wanneer ze toegang hebben tot gegevens via een berekeningsengine in vergelijking met wanneer ze rechtstreeks toegang hebben tot gegevens in OneLake, afhankelijk van de toegepaste rekenmachtigingen. OneLake-beveiliging is de aanbevolen methode voor het beveiligen van gegevens in OneLake om consistente resultaten te garanderen voor alle engines waarmee een gebruiker kan communiceren.
Berekeningsengines hebben mogelijk geavanceerdere beveiligingsfuncties die nog niet beschikbaar zijn in OneLake-beveiliging. In dat geval is het mogelijk dat het gebruik van de rekenmachtigingen vereist is om bepaalde scenario's op te lossen. Wanneer u rekenmachtigingen gebruikt om de toegang tot gegevens te beveiligen, moet u ervoor zorgen dat eindgebruikers alleen toegang krijgen tot de berekeningsengine waar de beveiliging is ingesteld. Hiermee voorkomt u dat gegevens worden geopend via een andere engine zonder de benodigde beveiligingsfuncties.
Sneltoetsbeveiliging
Snelkoppelingen in Microsoft Fabric maken vereenvoudigd gegevensbeheer mogelijk. De beveiliging van OneLake-mappen is van toepassing op OneLake-snelkoppelingen op basis van rollen die zijn gedefinieerd in het lakehouse waarin de gegevens worden opgeslagen.
Zie het OneLake-model voor toegangsbeheer voor beveiliging van OneLake voor meer informatie over overwegingen voor snelkoppelingsbeveiliging.
Zie de typen OneLake-snelkoppelingen voor informatie over toegang en verificatie voor specifieke sneltoetsen.
Authenticatie
OneLake maakt gebruik van Microsoft Entra ID voor verificatie; u kunt deze gebruiken om machtigingen te verlenen aan gebruikersidentiteiten en service-principals. In OneLake wordt de gebruikersidentiteit automatisch geëxtraheerd uit hulpprogramma's, die gebruikmaken van Microsoft Entra-verificatie en deze toewijzen aan de machtigingen die u hebt ingesteld in de Fabric-portal.
Notitie
Als u service-principals in een Fabric-tenant wilt gebruiken, moet een tenantbeheerder Service Principal Names (SPN's) inschakelen voor de hele tenant of specifieke beveiligingsgroepen. Meer informatie over het inschakelen van Service Principals in Ontwikkelaarsinstellingen van de portal voor tenantbeheerder.
Auditlogboeken
Als u uw OneLake-auditlogboeken wilt bekijken, volgt u de instructies in Gebruikersactiviteiten bijhouden in Microsoft Fabric. OneLake-bewerkingsnamen komen overeen met ADLS-API's , zoals CreateFile of DeleteFile. Auditlogs van OneLake bevatten niet de leesaanvragen of aanvragen die aan OneLake worden gedaan via werkzaamheden met de Fabric.
Versleuteling en netwerken
Data in rusttoestand
Gegevens die zijn opgeslagen in OneLake worden standaard versleuteld met behulp van door Microsoft beheerde sleutels. Door Microsoft beheerde sleutels worden op de juiste wijze geroteerd. Gegevens in OneLake worden transparant versleuteld en ontsleuteld en voldoen aan FIPS 140-2.
U kunt versleuteling at rest gebruiken met door de klant beheerde sleutels om een andere beveiligingslaag toe te voegen met behulp van sleutels die u bezit en beheert. Voor meer informatie, zie door de klant beheerde sleutels voor Fabric werkruimten.
Gegevens die onderweg zijn
Gegevens die worden verzonden via het openbare internet tussen Microsoft-services worden altijd versleuteld met ten minste TLS 1.2. Fabric onderhandelt waar mogelijk over TLS 1.3. Verkeer tussen Microsoft-services routeert altijd via het wereldwijde Microsoft-netwerk.
Binnenkomende OneLake-communicatie dwingt ook TLS 1.2 af en onderhandelt waar mogelijk met TLS 1.3. Uitgaande infrastructuurcommunicatie naar infrastructuur die eigendom is van de klant geeft de voorkeur aan beveiligde protocollen, maar kan terugvallen op oudere, onveilige protocollen (inclusief TLS 1.0) wanneer nieuwere protocollen niet worden ondersteund.
Privélinks
Zie Privékoppelingen instellen en gebruikenvoor het configureren van privékoppelingen in Fabric.
Toestaan dat apps die buiten Fabric worden uitgevoerd, toegang krijgen tot gegevens via OneLake
U kunt toegang tot OneLake-gegevens toestaan of beperken vanuit toepassingen die zich buiten de Fabric-omgeving bevinden. Beheerders kunnen deze instelling vinden in de sectie OneLake van de tenantinstellingen van de beheerportal.
Wanneer u deze instelling inschakelt, hebben gebruikers toegang tot gegevens uit alle bronnen. Schakel deze instelling bijvoorbeeld in als u aangepaste toepassingen hebt die gebruikmaken van ADLS-API's (Azure Data Lake Storage) of OneLake-bestandenverkenner. Wanneer u deze instelling uitschakelt, hebben gebruikers nog steeds toegang tot gegevens uit interne apps, zoals Spark, Data Engineering en Data Warehouse, maar hebben ze geen toegang tot gegevens uit toepassingen die buiten Fabric-omgevingen worden uitgevoerd.