Общие сведения и рекомендации по управлению

Система управления и соответствия Требованиям Microsoft Fabric предоставляет набор возможностей, которые помогают управлять, защищать, отслеживать и улучшать возможности обнаружения конфиденциальной информации вашей организации, чтобы обеспечить доверие клиентов и обеспечить соответствие требованиям к управлению данными и нормативным требованиям. Многие из этих возможностей встроены и включены в лицензию Microsoft Fabric, а некоторые другие требуют дополнительного лицензирования от Microsoft Purview.

В этой статье описаны на высоком уровне основные функции и компоненты, которые помогают управлять хранилищем данных вашей организации, и содержит некоторые рекомендации по использованию возможностей этих функций и компонентов. Он также содержит ссылки на более подробные сведения о каждом компоненте и компоненте.

Управление хранилищем данных Защита, защита и соблюдение Поощрение обнаружения данных, доверия и использования Мониторинг, обнаружение, получение аналитических сведений и действия
Портал администрирования Конфиденциальность Концентратор данных OneLake Центр мониторинга
Параметры клиента, домена и рабочей области Защита данных Подтверждение, доверие и повторное использование Метрики емкости
Домены Purview Information Protection* Теги Центр Purview
Рабочие области Защита от потери данных Purview* Анализ происхождения данных и влияния Мониторинг администратора
Емкости Защита элементов Fabric в рабочей области Purview для управления по всей организации*
Сканирование метаданных Защита данных в элементах Fabric
Аудит

*Требуется дополнительное лицензирование

Управление хранилищем данных

В этом разделе описаны некоторые основные функции, которые можно использовать для управления хранилищем данных.

Портал администрирования

Портал администрирования Microsoft Fabric — это централизованное место, которое позволяет администраторам вашей организации контролировать общее имущество Fabric. Сюда входят параметры, управляющие Microsoft Fabric. Например, можно внести изменения в параметры клиента, управлять емкостями, доменами и рабочими областями, а также управлять взаимодействием пользователей с Microsoft Fabric. Чтобы обеспечить гибкость, некоторые аспекты администрирования и управления можно делегировать емкостям, доменам и рабочим областям, чтобы соответствующие администраторы могли управлять ими в своей области.

Дополнительные сведения о портале администрирования см. в разделе "Что такое портал администрирования?".

Руководство. Владельцы платформы и ИТ должны иметь доступ к порталу администрирования. Они могут определять домены, а также делегировать домены и управление емкостью владельцам домена и емкости в соответствии с потребностями организации.

Параметры клиента, домена и рабочей области

Администраторы клиента, домена и рабочей области имеют параметры в пределах своей области, которые могут настроить для управления доступом к определенным функциям на разных уровнях. Некоторые параметры уровня клиента можно делегировать администраторам домена и емкости.

Дополнительные сведения см. в разделе "Сведения о параметрах клиента", "Настройка параметров домена" и "Параметры рабочей области".

Руководство. Администраторы Структуры должны определять параметры на уровне клиента, оставляя администраторов домена переопределять делегированные параметры по мере необходимости. Ожидается, что отдельные команды (владельцы рабочих областей) определяют собственные более детализированные элементы управления и параметры на уровне рабочей области.

Домены

Домены — это способ логического группировки всех данных в организации, которая относится к определенным областям или полям, например по подразделениям. Одним из наиболее распространенных способов использования доменов является группирование данных по бизнес-отделу, что позволяет отделам управлять данными в соответствии с конкретными правилами, ограничениями и потребностями.

Группирование данных в домены и поддомены обеспечивает лучшую возможность обнаружения и управления. Например, в центре данных OneLake пользователи могут фильтровать содержимое по домену, чтобы найти содержимое, соответствующее им. В отношении управления некоторые параметры уровня клиента для управления данными и управления ими можно делегировать на уровень домена, что позволяет настраивать эти параметры для конкретного домена.

Дополнительные сведения см. в разделе "Домены".

Руководство. Бизнес и корпоративные архитекторы должны разработать настройку домена организации, а администраторы Fabric должны реализовать эту структуру, создавая домены и поддомены и назначая владельцев доменов. Предпочтительнее, центр превосходства (COE) команды должны быть частью этого обсуждения, чтобы выровнять домены с общей стратегией организации.

Рабочие области

Teams в организациях используют рабочие области для создания элементов Fabric и совместной работы друг с другом. Эти рабочие области можно назначать группам или отделам на основе требований к управлению и границ данных. Как именно выполняется назначение рабочей области, зависит от внутренней структуры команды и способа обработки элементов Fabric (например, требуется одна или несколько рабочих областей).

Руководство. Для целей разработки рекомендуется иметь изолированные рабочие области для каждого разработчика, чтобы они могли работать самостоятельно, не вмешиваясь в общую рабочую область. Ожидается, что администраторы Структуры определяют, кто имеет разрешение на создание рабочих областей. Ожидается, что администраторы рабочей области определяют среды Spark, которые можно повторно использовать пользователями. Дополнительные сведения о рекомендациях см. в рекомендациях по управлению жизненным циклом в Fabric.

Производительность

Емкости — это вычислительные ресурсы, используемые всеми рабочими нагрузками Fabric. В зависимости от требований организации емкости можно использовать в качестве границ изоляции для вычислений, возвратных платежей и т. д.

Руководство. Разделение емкостей на основе требований среды, например разработки, тестирования и принятия/рабочей среды (DTAP). Это обеспечивает лучшую изоляцию рабочей нагрузки и обратную оплату.

Сканирование метаданных

Сканирование метаданных упрощает управление данными Microsoft Fabric вашей организации, позволяя каталогизировать средства каталогизации и сообщать о метаданных всех элементов Fabric вашей организации. Это делается с помощью набора ИНТЕРФЕЙСов REST API администратора, которые совместно называются API сканера. API-интерфейсы сканера извлекают метаданные, такие как имя элемента, идентификатор, конфиденциальность, состояние подтверждения и т. д.

Дополнительные сведения см. в разделе "Сканирование метаданных".

Защита, защита и соблюдение

Безопасность данных и наличие соответствующей платформы данных важны для обеспечения безопасности данных и не компрометации данных. Дополнительные сведения о безопасности сети, управлении доступом и шифровании см. в обзоре системы безопасности.

Fabric использует Microsoft Purview для защиты конфиденциальных данных и помогает обеспечить соответствие нормативным требованиям и требованиям к конфиденциальности данных.

Конфиденциальность

Первым этапом любой стратегии защиты данных является определение места расположения частных данных. Это считается одним из самых сложных, но важных шагов по обеспечению защиты данных в источнике. В следующих разделах описаны возможности Fabric, которые помогут вашей организации удовлетворить эту проблему.

Безопасность данных

Чтобы убедиться, что данные в Fabric защищены от несанкционированного доступа и не соответствуют требованиям к конфиденциальности данных, можно использовать метки конфиденциальности из Защита информации Microsoft Purview в сочетании со встроенными возможностями Fabric, чтобы вручную или автоматически пометить данные вашей организации. Затем аудит Purview записывает следы аудита на действия, выполняемые в Fabric. Это включает запись действий пользователей в клиенте Fabric, таких как доступ Lakehouse, доступ Power BI, действия Spark, действия фабрики данных, имена входа и т. д.

Purview Information Protection

Защита информации в Fabric позволяет обнаруживать, классифицировать и защищать данные Fabric с помощью меток конфиденциальности из Защита информации Microsoft Purview. Fabric предоставляет несколько возможностей, таких как метка по умолчанию, наследование меток и программная маркировка, чтобы обеспечить максимальное покрытие меток конфиденциальности в пределах всего объема данных Fabric. После маркировки данные остаются защищенными даже при экспорте из Fabric с помощью поддерживаемых путей экспорта. Администраторы соответствия требованиям могут отслеживать действия на метках конфиденциальности в Аудит Microsoft Purview.

Дополнительные сведения см. в статье Information Protection в Microsoft Fabric.

Руководство. Метки конфиденциальности из Защита информации Microsoft Purview и связанных с ними политик меток должны быть указаны на уровне организации и должны быть допустимыми для всей организации.

Защита от потери данных Purview

Политики защиты от потери данных Purview для Fabric автоматически обнаруживают конфиденциальную информацию, так как она передается в типы элементов, поддерживаемых DLP в клиенте Fabric, и помогают выполнять действия по исправлению рисков, чтобы ваша организация не соответствовала нормативным требованиям правительственных и отраслевых правил.

Администраторы соответствия требованиям и безопасности получают журналы аудита для каждого обнаружения защиты от потери данных. Журналы аудита дают им дополнительную информацию о критически важных для бизнеса данных и его расположении в клиенте. Они могут настроить оповещения, которые будут автоматически создаваться при обнаружении конфиденциальной информации в поддерживаемом элементе защиты от потери данных. Они также могут создавать настраиваемые сообщения для пользователей, чтобы помочь им в работе с конфиденциальными данными. Например, администраторы могут настроить сообщение, которое будет отправлено владельцу данных Fabric всякий раз, когда в их данных обнаружена собственная информация, объясняя, что эта информация является внутренней и не должна предоставляться внешним образом.

Дополнительные сведения см. в политиках защиты от потери данных в Microsoft Fabric.

Защита элементов в рабочей области

Группы организации могут иметь отдельные рабочие области, в которых разные лица совместно работают и работают над созданием содержимого. Доступ к элементам в рабочей области регулируется с помощью ролей рабочей области, назначенных пользователям администратором рабочей области.

Руководство. Владельцы данных должны рекомендовать пользователям, которые могут быть администраторами рабочей области. Это могут быть команды потенциальных клиентов в вашей организации, например. Затем эти администраторы рабочих областей должны управлять доступом к элементам в рабочей области, назначив соответствующие роли рабочей области пользователям и потребителям элементов.

Защита данных в элементах Fabric

Наряду с широкой безопасностью, применяемой на уровне клиента или рабочей области, существуют другие элементы управления уровня данных, которые можно развернуть отдельными командами для управления доступом к отдельным таблицам, строкам и столбцам. Структура в настоящее время предоставляет такие элементы управления уровнем данных для конечных точек аналитики SQL, хранилищ данных Synapse в Fabric, Direct Lake и KQL Database.

Руководство. Ожидается, что отдельные команды будут применять эти дополнительные элементы управления на уровне элементов и данных.

Аудит

Чтобы снизить риски несанкционированного доступа и использования данных Fabric, администраторы Fabric и группы соответствия требованиям в организации могут отслеживать и исследовать действия пользователей в элементах Fabric с помощью аудита Purview, который доступен на портале соответствия Purview. Многие компании также нуждаются в этих журналах аудита для нормативных требований, которые часто требуют хранения журналов аудита для судебно-судебного расследования и потенциальных нарушений регулирования данных.

Руководство. Администраторы структуры и группы соответствия требованиям должны быть осведомлены о том, что аудиты на уровне элементов Fabric регистрируются в Purview Audit и могут использоваться для анализа.

Сертификация

Microsoft Fabric имеет BAA HIPPA, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001 и ISO/IEC 27701 соответствия требованиям. Дополнительные сведения см. в предложениях по соответствию Fabric.

Поощрение обнаружения данных, доверия и использования

Fabric предоставляет встроенные возможности, помогающие пользователям находить и использовать надежные, качественные данные.

Концентратор данных OneLake

Центр данных OneLake упрощает поиск, изучение и использование элементов данных Fabric в организации, к которым у вас есть доступ. Он содержит сведения о элементах и точках входа для работы с ними. Параметры фильтрации и поиска упрощают получение соответствующих данных.

Дополнительные сведения см. в разделе "Обнаружение элементов данных" в концентраторе данных OneLake.

Руководство. Тщательное определение и настройка доменов является важным для создания эффективного интерфейса в концентраторе данных. Тщательно определенные домены помогают задать контекст для команд и сделать более точное определение границ и владения. Сопоставление рабочих областей с доменами является ключевым фактором для реализации этого в Fabric.

Подтверждение

Подтверждение — это способ сделать надежные, качественные данные более обнаруживаемыми. Организации часто имеют большое количество элементов Microsoft Fabric — данных, процессов и содержимого, доступных для совместного использования и повторного использования пользователями Fabric. Подтверждение помогает пользователям определять и находить надежные высококачественные элементы, которые им нужны. При подтверждении владельцы элементов могут продвигать свои качественные элементы, и организации могут сертифицировать элементы, соответствующие их стандартам качества. Затем утвержденные элементы четко помечены как в Fabric, так и в других местах, где пользователи ищут элементы Fabric. Утвержденные элементы также имеют приоритет в некоторых поисках, и вы можете сортировать утвержденные элементы для некоторых списков. В центре Microsoft Purview администраторы могут получить аналитические сведения о утвержденных элементах своей организации, чтобы повысить качество содержимого.

Дополнительные сведения см. в разделе "Подтверждение".

Руководство. Включение сертификации должно быть делегировано администраторам домена, а администраторы домена должны авторизовать владельцев и производителей данных, чтобы иметь возможность сертифицировать создаваемые элементы. Владельцы и производители данных должны всегда сертифицировать свои элементы, которые были протестированы и готовы к использованию другими командами. Это помогает отделять ненадежные элементы от доверенных, готовых к использованию ресурсов. Это также упрощает поиск этих доверенных ресурсов. Кроме того, потребители данных должны быть осведомлены о том, как найти доверенные активы, и рекомендуется использовать только сертифицированные элементы в своих отчетах и других подчиненных процессах обработки.

Теги

Теги — это настраиваемые текстовые метки, которые можно применить к элементам Fabric для улучшения возможности обнаружения и использования элементов. Администраторы Структуры могут определить набор тегов, которые владельцы данных могут использовать для классификации своих элементов. После применения тегов к элементам потребители данных могут просматривать, выполнять поиск и фильтрацию по примененным тегам в различных интерфейсах Fabric.

Дополнительные сведения см. в разделе "Теги" в Microsoft Fabric.

Анализ происхождения данных и влияния

В современных проектах бизнес-аналитики понимание потока данных из источника данных в его назначение является сложной задачей. Такие вопросы, как "Что происходит, если я изменяю эти данные?" или "Почему этот отчет не обновлен?" может быть трудно ответить. Для понимания им может потребоваться группа экспертов или глубокое исследование. Lineage помогает пользователям понять поток данных, предоставляя визуализацию, которая показывает отношения между всеми элементами в рабочей области. Для каждого элемента в представлении происхождения можно отобразить анализ влияния, показывающий, какие подчиненные элементы будут затронуты при внесении изменений в элемент.

Дополнительные сведения см. в разделе "Анализ происхождения и влияния".

Руководство. Мы рекомендуем использовать правильные и согласованные соглашения об именовании для элементов. Это может помочь при просмотре сведений о происхождении.

Purview для управления по всей организации

Microsoft Purview предлагает решения для защиты и управления данными во всем пространстве данных организации. Интеграция между Purview и Fabric позволяет использовать некоторые возможности Purview для управления и мониторинга данных Fabric в контексте всего пространства данных вашей организации.

Возможности управления данными, предлагаемые в Fabric с помощью динамического представления Purview (предварительная версия), описаны в следующих разделах. См. также использование Microsoft Purview для управления Microsoft Fabric.

Курирование данных

Обработка данных в организации включает сбор сведений о метаданных, сведения о происхождении и других источниках, которые использует ваша организация. Они могут быть локальными, сторонними облаками, сторонними продуктами и службами или системами CRM, чтобы назвать несколько. Этот процесс извлечения также называется сканированием в Purview. Все сведения извлекаются с помощью встроенных сканеров в Purview, которые сканируют хранилище данных вашей организации для сбора этой информации. В Purview это выполняется картой данных.

Схема данных

Purview имеет модуль сканирования, который может сканировать и получать метаданные из разных источников и заполнять карту данных Purview. Purview предоставляет эти метаданные через API Atlas, чтобы его можно было использовать внешними службами или поставщиками программного обеспечения. Карта данных также взаимодействует с Fabric и получает метаданные, заполненные внутренне, чтобы бизнес-пользователи могли искать, находить и использовать эти продукты данных для создания своих аналитических сведений. В настоящее время потребители данных могут просматривать все рабочие области Fabric, к которых у них есть доступ к средству просмотра. Это называется динамическим представлением. Поверх этого ручное сканирование можно выполнять на всех элементах Fabric из Purview, где метаданные уровня элементов выбираются и предоставляются для использования в Purview. Это доступно только для корпоративного уровня. В настоящее время вы можете иметь происхождение на уровне элемента.

Обнаружение данных в Purview

Потребители данных, которые работают с данными, должны иметь возможность искать и находить соответствующие данные. Purview помогает здесь, предоставляя основные понятия доменов. Понятное для бизнеса терминология и группировки упрощают поиск данных, интересующихся командами, на основе условий, с которыми они знакомы. Это также хорошо сочетается с шаблоном архитектуры сетки данных. Каталог данных — это уровень приложений в Purview, который помогает командам искать данные.

Руководство. Команды корпоративной и бизнес-архитектуры должны определять домены, а также сопоставление лиц между бизнес-и техническими игроками, чтобы сделать роли и обязанности четкими. Эти определения должны соответствовать определениям домена в Fabric.

Каталог данных в Purview

Purview Каталог данных предоставляет метаданные, полученные из всех источников, которые предоставляют платформу данных. С помощью Каталог данных клиенты могут искать данные и элементы, с которыми они заинтересованы, не зная, с какими системами хранятся данные. Все метаданные элемента Fabric доступны внутри Purview.

Мониторинг, обнаружение, получение аналитических сведений и действия

Центр мониторинга

Центр мониторинга Microsoft Fabric позволяет пользователям отслеживать действия Fabric из центрального расположения. Любой пользователь Fabric может использовать концентратор мониторинга, однако центр мониторинга отображает действия только для элементов Fabric, у пользователя есть разрешение на просмотр.

Дополнительные сведения см. в разделе "Использование концентратора мониторинга".

Руководство. Эта возможность должна быть предоставлена разработчикам и участникам группы для мониторинга запланированных рабочих нагрузок (например, потока данных или обновления конвейера), запуска Spark, запроса хранилища данных и т. д.

Метрики емкости

Руководство. Владельцы платформы и пользователи с ролями администратора платформы должны учитывать эту функцию и использовать ее для мониторинга использования и потребления. Дополнительные сведения см. в разделе "Что такое приложение метрик емкости Microsoft Fabric?".

Центр Purview

Центр Microsoft Purview — это централизованная страница в Fabric, которая помогает администраторам и владельцам данных Fabric управлять и управлять их имуществом данных Fabric. Для администраторов и владельцев данных концентратор предлагает отчеты, предоставляющие аналитические сведения о своих элементах Fabric, особенно в отношении меток конфиденциальности и подтверждения. Центр также служит шлюзом для более сложных возможностей Purview, таких как Information Protection, Защита от потери данных и аудит. Дополнительные сведения см. в центре Microsoft Purview.

Руководство. Владельцы и владельцы данных должны быть осведомлены о концентраторе Purview Fabric и о том, что он предоставляет с точки зрения получения аналитических сведений о конфиденциальных и утвержденных данных вашей организации.

Мониторинг администратора

Рабочая область мониторинга администратора предоставляет администраторам возможности мониторинга для своей организации. С помощью ресурсов рабочей области мониторинга администратора администраторы могут выполнять такие задачи безопасности и управления, как аудиты и проверки использования. Дополнительные сведения см. в разделе "Что такое рабочая область мониторинга администратора?".

Руководство. Рекомендуется, чтобы владельцы платформы и администраторы Fabric использовали эту функцию, чтобы получить общее представление о платформе Fabric.