Directivas de protección en Microsoft Fabric (versión preliminar)
Las directivas de control de acceso de protección (directivas de protección) de Microsoft Purview permiten a las organizaciones controlar el acceso a los elementos de Fabric mediante etiquetas de confidencialidad.
El público objetivo de este artículo es administradores de seguridad y cumplimiento, administradores de Fabric y usuarios, y cualquier otra persona que quiera obtener información sobre cómo las directivas de protección controlan el acceso a los elementos de Fabric. Si desea ver cómo crear una directiva de protección para Fabric, consulte Creación y administración de directivas de protección para Fabric (versión preliminar).
Nota:
La adición de entidades de servicio a directivas de protección no se admite actualmente a través Microsoft Purview portal. Para permitir que las entidades de servicio accedan a los elementos protegidos por una directiva de protección, puede agregarlos a la directiva mediante un cmdlet de PowerShell. Abra una incidencia de soporte técnico para obtener acceso al cmdlet.
Tenga en cuenta que si no agrega entidades de servicio a la lista de usuarios permitidos, se denegará el acceso a las entidades de servicio que actualmente tienen acceso a los datos, lo que podría provocar que la aplicación se interrumpa. Por ejemplo, las entidades de servicio pueden usarse para la autenticación de aplicaciones para acceder a modelos semánticos.
¿Cómo funcionan las directivas de protección para Fabric?
Cada directiva de protección para Fabric está asociada a una etiqueta de confidencialidad. La directiva controla el acceso a un elemento que tiene la etiqueta asociada al permitir que los usuarios y grupos especificados en la directiva conserven los permisos que tienen en el elemento, al tiempo que bloquean el acceso para todos los demás. La directiva puede:
Permitir que los usuarios y grupos especificados conserven el permiso de lectura en los elementos etiquetados si lo tienen. Se quitarán los demás permisos que tengan en el elemento.
y/o
Permitir que los usuarios y grupos especificados conserven el control total en el elemento etiquetado si lo tienen o para conservar los permisos que tengan.
Como se mencionó, la directiva bloquea el acceso al elemento para todos los usuarios y grupos que no se especifican en la directiva.
Nota:
Una directiva de protección no se aplica a un emisor de etiquetas. Es decir, el usuario que aplicó por última vez una etiqueta asociada a una directiva de protección a un elemento no se denegará el acceso a ese elemento, incluso si no se especifican en la directiva. Por ejemplo, si una directiva de protección está asociada a la etiqueta A y un usuario aplica la etiqueta A a un elemento, ese usuario podrá acceder al elemento aunque no se especifique en la directiva.
Casos de uso
A continuación se muestran ejemplos de dónde podrían resultar útiles las directivas de protección:
- Una organización solo quiere que los usuarios de la organización puedan acceder a los elementos etiquetados como "Confidencial".
- Una organización solo quiere que los usuarios del departamento financiero puedan editar elementos de datos etiquetados como "Datos financieros", al tiempo que permiten que otros usuarios de la organización puedan leer esos elementos.
¿Quién crea directivas de protección para Fabric?
Las directivas de protección para Fabric suelen configurarse mediante los equipos de seguridad y cumplimiento de Purview de una organización. El creador de directivas de protección debe tener el rol de Administrador de Information Protection o superior. Para obtener más información, consulte Creación y administración de directivas de protección para Fabric (versión preliminar).
Requisitos
Debe tener una licencia de Microsoft 365 E3 o E5 según sea necesario para las etiquetas de confidencialidad de Microsoft Purview Information Protection. Para obtener más información, consulte Microsoft Purview Information Protection: Etiquetado de confidencialidad.
En el inquilino debe existir al menos una etiqueta de confidencialidad "configurada correctamente" de Microsoft Purview Information Protection. "Configurada correctamente" en el contexto de las directivas de protección para Fabric significa que, cuando se configuró la etiqueta, su ámbito era Archivos y otros recursos de datos, y sus parámetros de protección se establecieron para incluir Control de acceso (para obtener información sobre la configuración de etiquetas de confidencialidad, consulte Crear y configurar etiquetas de confidencialidad y sus directivas). Solo se pueden usar las etiquetas de confidencialidad "configuradas correctamente" para crear las directivas de protección para Fabric.
Para que las directivas de protección se apliquen en Fabric, la configuración del inquilino de Fabric Permite a los usuarios aplicar etiquetas de confidencialidad para el contenido debe estar habilitada. Esta configuración es necesaria para todas las directivas relacionadas con la etiqueta de confidencialidad en Fabric, por lo que si las etiquetas de confidencialidad ya se usan en Fabric, esta configuración ya estará activada. Para obtener más información sobre cómo habilitar etiquetas de confidencialidad en Fabric, consulte Habilitación de etiquetasde confidencialidad.
Tipos de elementos admitidos
Las directivas de protección son compatibles con todos los tipos de elementos nativos de Fabric y para los modelos semánticos de Power BI. Actualmente no se admiten todos los demás tipos de elementos de Power BI.
Consideraciones y limitaciones
La adición de entidades de servicio a directivas de protección no se admite actualmente a través Microsoft Purview portal. Para permitir que las entidades de servicio accedan a los elementos protegidos por una directiva de protección, puede agregarlos a la directiva mediante un cmdlet de PowerShell. Abra una incidencia de soporte técnico para obtener acceso al cmdlet.
Tenga en cuenta que si no agrega entidades de servicio a la lista de usuarios permitidos, se denegará el acceso a las entidades de servicio que actualmente tienen acceso a los datos, lo que podría provocar que la aplicación se interrumpa. Por ejemplo, las entidades de servicio pueden usarse para la autenticación de aplicaciones para acceder a modelos semánticos.
Con las directivas de protección para Fabric, solo puede haber una etiqueta por directiva de protección y solo una directiva de protección por etiqueta. Sin embargo, las etiquetas usadas en las directivas de protección también se pueden asociar a directivas de etiquetas de confidencialidad normales.
Se pueden crear hasta 50 directivas de protección.
Se pueden agregar hasta 100 usuarios y grupos a una directiva de protección.
Las directivas de protección para Fabric no admiten usuarios invitados o externos.
Las canalizaciones de ALM no funcionarán en escenarios en los que un usuario crea una canalización de ALM en un área de trabajo que contiene un elemento protegido por una directiva de protección que no incluye al usuario.
Una vez creada una directiva, puede tardar hasta 30 minutos en empezar a detectar y proteger los elementos etiquetados con la etiqueta de confidencialidad asociada a la directiva.