Schutzrichtlinien in Microsoft Fabric (Vorschau)
Mit Microsoft Purview-Schutzzugriffssteuerungs-Richtlinien (Schutzrichtlinien) können Organisationen den Zugriff auf Elemente in Fabric mithilfe von Vertraulichkeitsbezeichnungen steuern.
Die Zielgruppe für diesen Artikel sind Sicherheits- und Complianceadministratoren, Fabric-Administratoren und -Benutzende sowie alle anderen Benutzenden, die wissen möchten, wie Schutzrichtlinien den Zugriff auf Elemente in Fabric steuern. Wenn Sie erfahren möchten, wie Sie eine Schutzrichtlinie für Fabric erstellen, lesen Sie Erstellen und Verwalten von Schutzrichtlinien für Fabric (Vorschau).
Hinweis
Das Hinzufügen von Dienstprinzipalen zu Schutzrichtlinien wird derzeit nicht über das Microsoft Purview-Portal unterstützt. Um Dienstprinzipale für den Zugriff auf Elemente zu aktivieren, die durch eine Schutzrichtlinie geschützt sind, können Sie sie über ein PowerShell-cmdlet zur Richtlinie hinzufügen. Öffnen Sie ein Supportticket, um Zugriff auf das cmdlet zu erhalten.
Wenn Sie der Liste der zulässigen Benutzer keine Dienstprinzipale hinzufügen, werden Dienstprinzipale, die derzeit Zugriff auf Daten haben, verweigert, was dazu führen kann, dass Ihre Anwendung nicht mehr funktioniert. Dienstprinzipale können beispielsweise für die Anwendungsauthentifizierung für den Zugriff auf semantische Modelle verwendet werden.
Wie funktionieren Schutzrichtlinien für Fabric?
Jede Schutzrichtlinie für Fabric ist einer Vertraulichkeitsbezeichnung zugeordnet. Die Richtlinie steuert den Zugriff auf ein Element, das über die zugeordnete Bezeichnung verfügt, indem den in der Richtlinie angegebenen Benutzenden und Gruppen Berechtigungen, die sie für das Element besitzen, beibehalten können, während der Zugriff für alle anderen Benutzenden blockiert wird. Die Richtlinie hat folgende Funktionen:
Zulassen, dass bestimmte Benutzende und Gruppen Leseberechtigungen für bezeichnete Elemente beibehalten, sofern sie über diese verfügen. Alle anderen Berechtigungen, die sie für das Element besitzen, werden entfernt.
und/oder
Zulassen, dass bestimmte Benutzende und Gruppen Vollzugriff auf das bezeichnete Element beibehalten, wenn sie über diesen verfügen, oder alle ihre Berechtigungen beibehalten.
Wie bereits erwähnt, blockiert die Richtlinie den Zugriff auf das Element für alle Benutzenden und Gruppen, die nicht in der Richtlinie angegeben sind.
Hinweis
Eine Schutzrichtlinie gilt nicht für einen Bezeichnungsausstellenden. Das heißt, dem oder der Benutzenden, der bzw. die zuletzt eine Bezeichnung angewandt hat, die einer Schutzrichtlinie zugeordnet ist, wird der Zugriff auf dieses Element nicht verweigert, auch wenn er oder sie nicht in der Richtlinie angegeben ist. Wenn beispielsweise eine Schutzrichtlinie mit der Bezeichnung A verknüpft ist und Benutzende die Bezeichnung A auf ein Element anwenden, können sie auch dann auf das Element zugreifen, wenn sie nicht in der Richtlinie angegeben sind.
Anwendungsfälle
Im Folgenden finden Sie Beispiele dafür, wo Schutzrichtlinien nützlich sein könnten:
- Eine Organisation möchte, dass nur Benutzende innerhalb der Organisation auf Elemente zugreifen können, die als „Vertraulich“ bezeichnet sind.
- Eine Organisation möchte nur Benutzende in der Finanzabteilung in die Lage versetzen, Datenelemente mit der Bezeichnung „Finanzdaten“ zu bearbeiten, während andere Benutzende in der Organisation diese Elemente lesen können.
Wer erstellt Schutzrichtlinien für Fabric?
Schutzrichtlinien für Fabric werden in der Regel von den Purview-Sicherheits- und Complianceteams einer Organisation konfiguriert. Die Person, die die Schutzrichtlinie erstellt, muss mindestens die Rolle Informationsschutzadministrator innehaben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Schutzrichtlinien für Fabric (Vorschau).
Anforderungen
Für Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection ist eine Microsoft 365 E3/E5-Lizenz erforderlich. Weitere Informationen finden Sie unter Microsoft Purview Information Protection: Vertraulichkeitsbezeichnungen.
Mindestens eine geeignet konfigurierte Vertraulichkeitsbezeichnung von Microsoft Purview Information Protection muss im Mandanten vorhanden sein. „Geeignet konfiguriert“ bedeutet im Kontext von Schutzrichtlinien für Fabric, dass beim Konfigurieren der Bezeichnung der Bereich Dateien und andere Datenressourcen festgelegt wurde. Die zugehörigen Schutzeinstellungen wurden außerdem einschließlich Steuern des Zugriffs festgelegt. (Informationen zur Konfiguration von Vertraulichkeitsbezeichnungen finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien.) Nur geeignet konfigurierte Vertraulichkeitsbezeichnungen dieser Art können verwendet werden, um die Schutzrichtlinien für Fabric zu erstellen.
Damit Schutzrichtlinien in Fabric erzwungen werden können, muss die Fabric-Mandanteneinstellung Benutzern das Anwenden von Vertraulichkeitsbezeichnungen für Inhalte gestatten aktiviert sein. Diese Einstellung ist für die Richtlinienerzwingung im Zusammenhang mit Vertraulichkeitsbezeichnungen in Fabric immer erforderlich. Wenn Vertraulichkeitsbezeichnungen bereits in Fabric verwendet werden, ist diese Einstellung bereits aktiviert. Weitere Informationen zum Aktivieren von Vertraulichkeitsbezeichnungen in Fabric finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen.
Unterstützte Elementtypen
Schutzrichtlinien werden für alle nativen Fabric-Elementtypen und für Power BI-Semantikmodelle unterstützt. Alle anderen Power BI-Elementtypen werden derzeit nicht unterstützt.
Überlegungen und Einschränkungen
Das Hinzufügen von Dienstprinzipalen zu Schutzrichtlinien wird derzeit nicht über das Microsoft Purview-Portal unterstützt. Um Dienstprinzipale für den Zugriff auf Elemente zu aktivieren, die durch eine Schutzrichtlinie geschützt sind, können Sie sie über ein PowerShell-cmdlet zur Richtlinie hinzufügen. Öffnen Sie ein Supportticket, um Zugriff auf das cmdlet zu erhalten.
Wenn Sie der Liste der zulässigen Benutzer keine Dienstprinzipale hinzufügen, werden Dienstprinzipale, die derzeit Zugriff auf Daten haben, verweigert, was dazu führen kann, dass Ihre Anwendung nicht mehr funktioniert. Dienstprinzipale können beispielsweise für die Anwendungsauthentifizierung für den Zugriff auf semantische Modelle verwendet werden.
In Fabric kann pro Schutzrichtlinie nur eine Bezeichnung und pro Bezeichnung nur eine Schutzrichtlinie vorhanden sein. Bezeichnungen, die in Schutzrichtlinien verwendet werden, können jedoch auch regulären Vertraulichkeitsbezeichnungsrichtlinien zugeordnet werden.
Bis zu 50 Schutzrichtlinien können erstellt werden.
Bis zu 100 Benutzende und Gruppen können einer Schutzrichtlinie hinzugefügt werden.
Schutzrichtlinien für Fabric unterstützen keine externen oder Gastbenutzenden.
ALM-Pipelines funktionieren nicht in Szenarien, in denen Benutzende eine ALM-Pipeline in einem Arbeitsbereich erstellen, die ein Element enthält, das durch eine Schutzrichtlinie ohne diese Benutzenden geschützt ist.
Nachdem eine Richtlinie erstellt wurde, kann es bis zu 30 Minuten dauern, bis sie mit dem Erkennen und Schützen von Elementen beginnen kann, die mit der der Richtlinie zugeordneten Vertraulichkeitsbezeichnung gekennzeichnet sind.