Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met microsoft Purview-beveiligingstoegangsbeheerbeleid (beveiligingsbeleid) kunnen organisaties de toegang tot items in Fabric beheren met behulp van vertrouwelijkheidslabels.
De doelgroep voor dit artikel is beveiligings- en nalevingsbeheerders, Fabric-beheerders en -gebruikers en iedereen die meer wil weten over hoe beveiligingsbeleid de toegang tot items in Fabric beheert. Als u wilt zien hoe u een beveiligingsbeleid voor Fabric maakt, raadpleegt u Beveiligingsbeleid voor Fabric maken en beheren.
Hoe werkt beveiligingsbeleid voor Fabric?
Elk beveiligingsbeleid voor Fabric is gekoppeld aan een vertrouwelijkheidslabel. Het beleid bepaalt de toegang tot een item met het bijbehorende label door gebruikers en groepen die zijn opgegeven in het beleid toe te staan machtigingen voor het item te behouden, terwijl de toegang voor iedereen wordt geblokkeerd.
Met het beleid kunnen opgegeven gebruikers en groepen volledige controle over het gelabelde item behouden als ze het momenteel hebben. Alle andere gebruikers en groepen hebben geen toegang tot het item.
Notitie
Een beveiligingsbeleid is niet van toepassing op een labelverlener. Dat wil gezegd: de gebruiker die voor het laatst een label heeft toegepast dat is gekoppeld aan een beveiligingsbeleid voor een item, wordt de toegang tot dat item niet geweigerd, zelfs niet als ze niet zijn opgegeven in het beleid. Als bijvoorbeeld een beveiligingsbeleid is gekoppeld aan label A en een gebruiker label A toepast op een item, heeft die gebruiker toegang tot het item, zelfs als deze niet is opgegeven in het beleid.
Beperkte gebruikers van een item weergeven
In de Fabric-beheerportal kunt u de OneLake-catalogus gebruiken om de machtigingen van een item weer te geven en te bepalen welke gebruikers er geen toegang toe hebben. Het tabblad Machtigingen in de details van het item is zichtbaar als u een rol beheerder of lid hebt in de werkruimte die het item bevat.
Als u de machtigingen van een item in de Fabric-beheerportal wilt weergeven, opent u de OneLake-catalogus, zoekt u het item (optioneel filteren op werkruimte) en selecteert u de naam om de itemdetails te openen. Selecteer vervolgens het tabblad Machtigingen om de lijst met gebruikers en groepen weer te geven die toegang hebben tot het item, met inbegrip van gebruikers en groepen die zijn beperkt door een beveiligingsbeleid.
Gebruiksgevallen
Beveiligingsbeleid is handig in scenario's waarin organisaties de toegang tot gevoelige items moeten beperken. Een organisatie wil er bijvoorbeeld voor zorgen dat alleen specifieke interne gebruikers toegang hebben tot items met het label Vertrouwelijk, terwijl de toegang voor iedereen wordt geblokkeerd.
Wie maakt beveiligingsbeleid voor Fabric?
Beveiligingsbeleid voor Fabric wordt over het algemeen geconfigureerd door de Purview-beveiligings- en nalevingsteams van een organisatie. De maker van het beveiligingsbeleid moet de rol Information Protection-beheerder of hoger hebben. Zie Beveiligingsbeleid voor Fabric maken en beheren voor meer informatie.
Vereisten
Een Microsoft 365 E3/E5-licentie is vereist voor vertrouwelijkheidslabels van Microsoft Purview Information Protection. Zie Microsoft Purview Informatiebeveiliging: Vertrouwelijkheidslabels voor meer informatie.
Ten minste één 'correct geconfigureerd' vertrouwelijkheidslabel van Microsoft Purview Informatiebeveiliging moet aanwezig zijn in de tenant. 'Correct geconfigureerd' in de context van beveiligingsbeleidsregels voor Fabric betekent dat wanneer het label is geconfigureerd, het bereik is ingesteld op Bestanden en andere gegevensassets, en de beveiligingsinstellingen zijn ingesteld op Toegang beheren (voor informatie over de configuratie van vertrouwelijkheidslabels, zie Vertrouwelijkheidslabels en hun beleid maken en configureren). Alleen dergelijke 'correct geconfigureerde' vertrouwelijkheidslabels kunnen worden gebruikt om het beveiligingsbeleid voor Fabric te maken.
Als u beveiligingsbeleid wilt afdwingen in Fabric, moet de instelling Infrastructuurtenant toestaan dat gebruikers vertrouwelijkheidslabels toepassen voor inhoud zijn ingeschakeld. Deze instelling is vereist voor alle beleids afdwinging van vertrouwelijkheidslabels in Fabric, dus als vertrouwelijkheidslabels al worden gebruikt in Fabric, is deze instelling al ingeschakeld. Zie Vertrouwelijkheidslabels inschakelen voor meer informatie over het inschakelen van vertrouwelijkheidslabels in Fabric.
Ondersteunde itemtypen
Beveiligingsbeleid wordt ondersteund voor alle systeemeigen Fabric-itemtypen, waaronder lakehouses, notebooks, pijplijnen en andere kerninfrastructuurassets.
Daarnaast worden beveiligingsbeleidsregels ondersteund voor semantische Power BI-modellen. Andere Power BI-itemtypen, zoals rapporten en dashboards, worden momenteel niet ondersteund.
Overwegingen en beperkingen
Er kunnen maximaal 50 beveiligingsbeleidsregels worden gemaakt.
Maximaal 100 gebruikers en groepen kunnen worden toegevoegd aan een beveiligingsbeleid.
Beveiligingsbeleid voor Fabric biedt geen ondersteuning voor gast-/externe gebruikers.
Beveiligingsbeleid kan niet worden geïntegreerd met CI/CD-oplossingen voor fabric. Implementatiepijplijnen en Git-integratie gebruiken alleen werkruimtemachtigingen, niet machtigingen op itemniveau van beveiligingsbeleidslabels.
Nadat een beleid is gemaakt, kan het tot 24 uur duren voordat het items detecteert en beveiligt die zijn gelabeld met het vertrouwelijkheidslabel dat aan het beleid is gekoppeld.
Als voor systeemeigen Fabric-itemtypen het label automatisch door het systeem wordt toegepast, zoals in het geval van downstreamovername, en er geen aangewezen labelverlener is, dan is de gebruiker die het artefact heeft gemaakt niet onderworpen aan beveiligingsbeleid.