Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Åtkomstkontrollprinciper för Microsoft Purview-skydd (skyddsprinciper) kan organisationer styra åtkomsten till objekt i Infrastruktur med hjälp av känslighetsetiketter.
Målgruppen för den här artikeln är säkerhets- och efterlevnadsadministratörer, infrastrukturadministratörer och användare och alla andra som vill lära sig mer om hur skyddsprinciper styr åtkomsten till objekt i Infrastrukturresurser. Om du vill se hur du skapar en skyddspolicy för Fabric kan du läsa Skapa och hantera skyddspolicyer för Fabric.
Hur fungerar skyddsprinciper för Infrastrukturresurser?
Varje skyddsprincip för Infrastrukturresurser är associerad med en känslighetsetikett. Principen styr åtkomsten till ett objekt som har den associerade etiketten genom att tillåta användare och grupper som anges i principen att behålla behörigheter som de har för objektet, samtidigt som åtkomst för alla andra blockeras.
Principen kan tillåta att angivna användare och grupper behåller fullständig kontroll över det märkta objektet om de för närvarande har det. Alla andra användare och grupper blockeras från att komma åt objektet.
Kommentar
En skyddsprincip gäller inte för en etikett utfärdare. Användaren som senast tillämpade en etikett som är associerad med en skyddsprincip för ett objekt nekas alltså inte åtkomst till objektet, även om de inte anges i principen. Om en skyddsprincip till exempel är associerad med etikett A och en användare tillämpar etiketten A på ett objekt, kommer användaren att kunna komma åt objektet även om de inte anges i principen.
Visa ett objekts begränsade användare
I administratörsportalen för infrastrukturresurser kan du använda OneLake-katalogen för att visa ett objekts behörigheter och avgöra vilka användare som är begränsade från att komma åt den. Fliken Behörigheter i objektets information visas för dig om du har rollen Administratör eller Medlem på arbetsytan som innehåller objektet.
Om du vill visa ett objekts behörigheter i infrastrukturresursadministratörsportalen öppnar du OneLake-katalogen, letar upp objektet (eventuellt filtrerar efter arbetsyta) och väljer dess namn för att öppna objektinformationen. Välj sedan fliken Behörigheter för att se listan över användare och grupper som har åtkomst till objektet, inklusive de som begränsas av en skyddsprincip.
Användningsfall
Skyddsprinciper är användbara i scenarier där organisationer behöver begränsa åtkomsten till känsliga objekt. En organisation kanske till exempel vill se till att endast specifika interna användare kan komma åt objekt som är märkta med "Konfidentiellt" samtidigt som åtkomst blockeras för alla andra.
Vem skapar skyddsprinciper för Infrastrukturresurser?
Skyddsprinciper för Infrastrukturresurser konfigureras vanligtvis av en organisations Purview-säkerhets- och efterlevnadsteam. Skaparen av skyddsprincipen måste ha rollen informationsskyddsadministratör eller högre. Mer information finns i Skapa och hantera skyddsprinciper för Fabric.
Krav
En Microsoft 365 E3/E5-licens krävs för känslighetsetiketter från Microsoft Purview Information Protection. Mer information finns i Microsoft Purview Information Protection: Känslighetsetiketter.
Minst en "korrekt konfigurerad" känslighetsetikett från Microsoft Purview Information Protection måste finnas i klientorganisationen. "Korrekt konfigurerad" i samband med skyddsprinciper för Infrastrukturresurser innebär att när etiketten konfigurerades begränsades den till Filer och andra datatillgångar, och dess skyddsinställningar var inställda på att inkludera Kontrollåtkomst (information om konfiguration av känslighetsetiketter finns i Skapa och konfigurera känslighetsetiketter och deras principer). Endast sådana "korrekt konfigurerade" känslighetsetiketter kan användas för att skapa skyddsprinciper för Infrastrukturresurser.
För att skyddsprinciper ska kunna tillämpas i Infrastruktur måste inställningen För infrastrukturklientorganisation aktiveras Tillåt användare att använda känslighetsetiketter för innehåll . Den här inställningen krävs för all tillämpning av känslighetsetiketter relaterade till principer i Infrastruktur, så om känslighetsetiketter redan används i Infrastruktur finns den här inställningen redan på. Mer information om hur du aktiverar känslighetsetiketter i Infrastruktur finns i Aktivera känslighetsetiketter.
Objekttyper som stöds
Skyddsprinciper stöds för alla inbyggda typer av Fabric-objekt, inklusive lakehouses, notebooks, pipelines och andra kärntillgångar för Fabric.
Dessutom stöds skyddsprinciper för Power BI-semantiska modeller. Andra Typer av Power BI-objekt, till exempel rapporter och instrumentpaneler, stöds inte för närvarande.
Beaktanden och begränsningar
Upp till 50 skyddsprinciper kan skapas.
Upp till 100 användare och grupper kan läggas till i en skyddsprincip.
Skyddsprinciper för Infrastrukturresurser stöder inte gäst-/externa användare.
Skyddsprinciper integreras inte med Fabric CI/CD-lösningar. Distributionspipelines och Git-integrering använder endast arbetsytebehörigheter, inte behörigheter på objektnivå från skyddsprincipetiketter.
När en princip har skapats kan det ta upp till 24 timmar innan den börjar identifiera och skydda objekt märkta med känslighetsetiketten som var associerad med principen.
Om etiketten tillämpas automatiskt av systemet, till exempel i händelse av nedströmsarv, och det inte finns någon utsedd etikettutfärdare, påverkas inte användaren som skapade artefakten av skyddsprinciper.