Политики защиты в Microsoft Fabric (предварительная версия)
Политики управления доступом в Microsoft Purview (политики защиты) позволяют организациям управлять доступом к элементам в Fabric с помощью меток конфиденциальности.
Целевая аудитория этой статьи — это администраторы безопасности и соответствия требованиям, администраторы Fabric и пользователи, а также другие пользователи, желающие узнать, как политики защиты управляют доступом к элементам в Fabric. Если вы хотите узнать, как создать политику защиты для Fabric, см. статью "Создание политик защиты и управление ими" для Fabric (предварительная версия).
Примечание.
Добавление субъектов-служб в политики защиты в настоящее время не поддерживается через портал Microsoft Purview. Чтобы субъекты-службы могли получать доступ к элементам, защищенным политикой защиты, их можно добавить в политику с помощью командлета PowerShell. Откройте запрос в службу поддержки, чтобы получить доступ к командлету.
Обратите внимание, что если вы не добавите субъекты-службы в разрешенный список пользователей, субъекты-службы, имеющие доступ к данным, будут отказано в доступе, что может привести к разрыву приложения. Например, субъекты-службы могут использоваться для проверки подлинности приложения для доступа к семантических моделях.
Как работают политики защиты для Fabric?
Каждая политика защиты для Fabric связана с меткой конфиденциальности. Политика управляет доступом к элементу, который имеет связанную метку, позволяя пользователям и группам, указанным в политике, сохранять разрешения на элемент, а также блокировать доступ для всех остальных. Политика может:
Разрешить указанным пользователям и группам сохранять разрешение на чтение для помеченных элементов, если у них есть. Все другие разрешения, которые они имеют на элементе, будут удалены.
и (или)
Разрешить указанным пользователям и группам сохранить полный контроль над помеченным элементом, если у них есть, или сохранить все разрешения, которые у них есть.
Как упоминалось, политика блокирует доступ к элементу для всех пользователей и групп, которые не указаны в политике.
Примечание.
Политика защиты не применяется к издателю меток. То есть пользователь, который последний раз применил метку, связанную с политикой защиты, к элементу не будет запрещен доступ к этому элементу, даже если он не указан в политике. Например, если политика защиты связана с меткой A, а пользователь применяет метку A к элементу, пользователь сможет получить доступ к элементу, даже если он не указан в политике.
Случаи использования
Ниже приведены примеры использования политик защиты:
- Организация хочет, чтобы только пользователи в организации могли получать доступ к элементам, помеченным как "Конфиденциальные".
- Организация хочет, чтобы только пользователи в финансовом отделе могли изменять элементы данных, помеченные как "Финансовые данные", позволяя другим пользователям в организации иметь возможность читать эти элементы.
Кто создает политики защиты для Fabric?
Политики защиты для Fabric обычно настраиваются группами безопасности и соответствия требованиям организации. Создатель политики защиты должен иметь роль администратора Information Protection или более поздней версии. Дополнительные сведения см. в статье "Создание политик защиты и управление ими" для Fabric (предварительная версия).
Требования
Лицензия Microsoft 365 E3/E5, необходимая для меток конфиденциальности из Защита информации Microsoft Purview. Дополнительные сведения см. в разделе Защита информации Microsoft Purview: метка конфиденциальности.
В клиенте должна существовать по крайней мере одна мет Защита информации Microsoft Purview ка конфиденциальности, настроенная соответствующим образом. "Соответствующим образом настроено" в контексте политик защиты для Fabric означает, что при настройке метки она была ограничена файлами и другими ресурсами данных, а ее параметры защиты были установлены для включения контроля доступа (сведения о конфигурации меток конфиденциальности см. в разделе "Создание и настройка меток конфиденциальности" и их политик). Для создания политик защиты для Fabric можно использовать только такие метки конфиденциальности, настроенные соответствующим образом.
Чтобы политики защиты применялись в Fabric, параметр клиента Fabric позволяет пользователям применять метки конфиденциальности для содержимого . Этот параметр необходим для применения всех меток конфиденциальности, связанных с политикой в Fabric, поэтому если метки конфиденциальности уже используются в Fabric, этот параметр уже будет включен. Дополнительные сведения о включении меток конфиденциальности в Fabric см. в разделе "Включение меток конфиденциальности".
Поддерживаемые типы элементов
Политики защиты поддерживаются для всех типов собственных элементов Fabric и для семантических моделей Power BI. Все остальные типы элементов Power BI в настоящее время не поддерживаются.
Рекомендации и ограничения
Добавление субъектов-служб в политики защиты в настоящее время не поддерживается через портал Microsoft Purview. Чтобы субъекты-службы могли получать доступ к элементам, защищенным политикой защиты, их можно добавить в политику с помощью командлета PowerShell. Откройте запрос в службу поддержки, чтобы получить доступ к командлету.
Обратите внимание, что если вы не добавите субъекты-службы в разрешенный список пользователей, субъекты-службы, имеющие доступ к данным, будут отказано в доступе, что может привести к разрыву приложения. Например, субъекты-службы могут использоваться для проверки подлинности приложения для доступа к семантических моделях.
С политиками защиты для Fabric может быть только одна метка для каждой политики защиты и только одна политика защиты на метку. Метки, используемые в политиках защиты, могут также быть связаны с обычными политиками меток конфиденциальности.
Можно создать до 50 политик защиты.
В политику защиты можно добавить до 100 пользователей и групп.
Политики защиты для Fabric не поддерживают гостевых и внешних пользователей.
Конвейеры ALM не будут работать в сценариях, когда пользователь создает конвейер ALM в рабочей области, содержащей элемент, защищенный политикой защиты, которая не включает пользователя.
После создания политики может потребоваться до 30 минут, чтобы начать обнаружение и защиту элементов, помеченных меткой конфиденциальности, связанной с политикой.