Поделиться через


Политики защиты в Microsoft Fabric (предварительная версия)

Политики управления доступом в Microsoft Purview (политики защиты) позволяют организациям управлять доступом к элементам в Fabric с помощью меток конфиденциальности.

Целевая аудитория этой статьи — это администраторы безопасности и соответствия требованиям, администраторы Fabric и пользователи, а также другие пользователи, желающие узнать, как политики защиты управляют доступом к элементам в Fabric. Если вы хотите узнать, как создать политику защиты для Fabric, см. статью "Создание политик защиты и управление ими" для Fabric (предварительная версия).

Примечание.

Добавление субъектов-служб в политики защиты в настоящее время не поддерживается через портал Microsoft Purview. Чтобы субъекты-службы могли получать доступ к элементам, защищенным политикой защиты, их можно добавить в политику с помощью командлета PowerShell. Откройте запрос в службу поддержки, чтобы получить доступ к командлету.

Обратите внимание, что если вы не добавите субъекты-службы в разрешенный список пользователей, субъекты-службы, имеющие доступ к данным, будут отказано в доступе, что может привести к разрыву приложения. Например, субъекты-службы могут использоваться для проверки подлинности приложения для доступа к семантических моделях.

Как работают политики защиты для Fabric?

Каждая политика защиты для Fabric связана с меткой конфиденциальности. Политика управляет доступом к элементу, который имеет связанную метку, позволяя пользователям и группам, указанным в политике, сохранять разрешения на элемент, а также блокировать доступ для всех остальных. Политика может:

  • Разрешить указанным пользователям и группам сохранять разрешение на чтение для помеченных элементов, если у них есть. Все другие разрешения, которые они имеют на элементе, будут удалены.

    и (или)

  • Разрешить указанным пользователям и группам сохранить полный контроль над помеченным элементом, если у них есть, или сохранить все разрешения, которые у них есть.

Как упоминалось, политика блокирует доступ к элементу для всех пользователей и групп, которые не указаны в политике.

Примечание.

Политика защиты не применяется к издателю меток. То есть пользователь, который последний раз применил метку, связанную с политикой защиты, к элементу не будет запрещен доступ к этому элементу, даже если он не указан в политике. Например, если политика защиты связана с меткой A, а пользователь применяет метку A к элементу, пользователь сможет получить доступ к элементу, даже если он не указан в политике.

Случаи использования

Ниже приведены примеры использования политик защиты:

  • Организация хочет, чтобы только пользователи в организации могли получать доступ к элементам, помеченным как "Конфиденциальные".
  • Организация хочет, чтобы только пользователи в финансовом отделе могли изменять элементы данных, помеченные как "Финансовые данные", позволяя другим пользователям в организации иметь возможность читать эти элементы.

Кто создает политики защиты для Fabric?

Политики защиты для Fabric обычно настраиваются группами безопасности и соответствия требованиям организации. Создатель политики защиты должен иметь роль администратора Information Protection или более поздней версии. Дополнительные сведения см. в статье "Создание политик защиты и управление ими" для Fabric (предварительная версия).

Требования

  • Лицензия Microsoft 365 E3/E5, необходимая для меток конфиденциальности из Защита информации Microsoft Purview. Дополнительные сведения см. в разделе Защита информации Microsoft Purview: метка конфиденциальности.

  • В клиенте должна существовать по крайней мере одна мет Защита информации Microsoft Purview ка конфиденциальности, настроенная соответствующим образом. "Соответствующим образом настроено" в контексте политик защиты для Fabric означает, что при настройке метки она была ограничена файлами и другими ресурсами данных, а ее параметры защиты были установлены для включения контроля доступа (сведения о конфигурации меток конфиденциальности см. в разделе "Создание и настройка меток конфиденциальности" и их политик). Для создания политик защиты для Fabric можно использовать только такие метки конфиденциальности, настроенные соответствующим образом.

  • Чтобы политики защиты применялись в Fabric, параметр клиента Fabric позволяет пользователям применять метки конфиденциальности для содержимого . Этот параметр необходим для применения всех меток конфиденциальности, связанных с политикой в Fabric, поэтому если метки конфиденциальности уже используются в Fabric, этот параметр уже будет включен. Дополнительные сведения о включении меток конфиденциальности в Fabric см. в разделе "Включение меток конфиденциальности".

Поддерживаемые типы элементов

Политики защиты поддерживаются для всех типов собственных элементов Fabric и для семантических моделей Power BI. Все остальные типы элементов Power BI в настоящее время не поддерживаются.

Рекомендации и ограничения

  • Добавление субъектов-служб в политики защиты в настоящее время не поддерживается через портал Microsoft Purview. Чтобы субъекты-службы могли получать доступ к элементам, защищенным политикой защиты, их можно добавить в политику с помощью командлета PowerShell. Откройте запрос в службу поддержки, чтобы получить доступ к командлету.

    Обратите внимание, что если вы не добавите субъекты-службы в разрешенный список пользователей, субъекты-службы, имеющие доступ к данным, будут отказано в доступе, что может привести к разрыву приложения. Например, субъекты-службы могут использоваться для проверки подлинности приложения для доступа к семантических моделях.

  • С политиками защиты для Fabric может быть только одна метка для каждой политики защиты и только одна политика защиты на метку. Метки, используемые в политиках защиты, могут также быть связаны с обычными политиками меток конфиденциальности.

  • Можно создать до 50 политик защиты.

  • В политику защиты можно добавить до 100 пользователей и групп.

  • Политики защиты для Fabric не поддерживают гостевых и внешних пользователей.

  • Конвейеры ALM не будут работать в сценариях, когда пользователь создает конвейер ALM в рабочей области, содержащей элемент, защищенный политикой защиты, которая не включает пользователя.

  • После создания политики может потребоваться до 30 минут, чтобы начать обнаружение и защиту элементов, помеченных меткой конфиденциальности, связанной с политикой.