Sichern von Daten mit Fabric, Compute Engines und OneLake

Fabric bietet ein mehrschichtiges Sicherheitsmodell zum Verwalten des Datenzugriffs. Die Sicherheit kann für einen gesamten Arbeitsbereich, für einzelne Elemente oder über granulare Berechtigungen in jedem Fabric-Modul festgelegt werden. OneLake hat eigene Sicherheitsüberlegungen, die in diesem Dokument beschrieben sind.

OneLake-Datenzugriffsrollen (Vorschau)

OneLake-Datenzugriffsrollen (Vorschau) ermöglichen Benutzern das Erstellen benutzerdefinierter Rollen innerhalb eines Lakehouses und das Erteilen von Leseberechtigungen nur für die angegebenen Ordner beim Zugriff auf OneLake. Für jede OneLake-Rolle können Benutzer Benutzer, Sicherheitsgruppen oder eine automatische Zuweisung basierend auf der Arbeitsbereichsrolle zuweisen.

Diagramm: Struktur eines Data Lake, der mit separat gesicherten Containern verknüpft ist.

Erfahren Sie mehr über das OneLake-Datenzugriffssteuerungsmodell und erste Schritte mit dem Datenzugriff.

Sicherheit mit Verknüpfungen

Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung. Die Sicherheit des OneLake-Ordners gilt für OneLake-Verknüpfungen basierend auf Rollen, die im Lakehouse definiert sind, in dem die Daten gespeichert werden.

Weitere Informationen zu den Sicherheitsaspekten von Verknüpfungen finden Sie unter Modell zur Zugriffssteuerung in OneLake. Weitere Informationen zu Verknüpfungen finden Sie hier.

Authentifizierung

OneLake verwendet Microsoft Entra ID für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert automatisch die Benutzeridentität aus Tools, die die Microsoft Entra-Authentifizierung verwenden, und ordnen sie den Berechtigungen zu, die Sie im Fabric-Portal festgelegt haben.

Hinweis

Um Dienstprinzipale in einem Fabric-Mandanten verwenden zu können, muss ein*e Mandantenadministrator*in Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren. Weitere Informationen zum Aktivieren von Dienstprinzipalen in den Entwickler-Einstellungen des Mandantenadministratorportals

Ruhende Daten

In OneLake gespeicherte Daten werden im Ruhezustand standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Von Microsoft verwaltete Schlüssel werden entsprechend gedreht. Daten in OneLake werden auf transparente Weise ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform.

Die Verschlüsselung im Ruhezustand mit kundenseitig verwalteten Schlüsseln wird derzeit nicht unterstützt. Sie können dieses Feature auf Microsoft Fabric Ideas anfordern.

Daten während der Übertragung

Daten, die über das öffentliche Internet zwischen Microsoft-Dienste übertragen werden, werden immer mit mindestens TLS 1.2 verschlüsselt. Fabric verhandelt nach Möglichkeit mit TLS 1.3. Der Datenverkehr zwischen Microsoft-Dienste leitet immer über das globale Microsoft-Netzwerk weiter.

Die eingehende OneLake-Kommunikation erzwingt auch TLS 1.2 und verhandelt nach Möglichkeit mit TLS 1.3. Die ausgehende Fabric-Kommunikation mit der kundeneigenen Infrastruktur bevorzugt sichere Protokolle, kann aber auf ältere, unsichere Protokolle (einschließlich TLS 1.0) zurückgreifen, wenn neuere Protokolle nicht unterstützt werden.

Fabric unterstützt derzeit keinen Private Link-Zugriff auf OneLake-Daten über Nicht-Fabric-Produkte und Apache Spark.

Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können

OneLake bietet die Möglichkeit, den Zugriff auf Daten von Anwendungen einzuschränken, die außerhalb von Fabric-Umgebungen ausgeführt werden. Administrator*innen finden die Einstellung im OneLake Abschnitt des Mandantenverwaltungsportal. Wenn Sie diese Option aktivieren, können Benutzer*innen über alle Quellen auf Daten zugreifen. Wenn Sie die Option deaktivieren, können Benutzer*innen nicht über Anwendungen zugreifen, die außerhalb von Fabric-Umgebungen ausgeführt werden. Der Zugriff auf die Daten kann beispielsweise über Anwendungen erfolgen, die Azure Data Lake Storage (ADLS) APIs oder den OneLake File Explorer nutzen.