治理概觀和指引
Microsoft Fabric 治理和合規性提供一組功能,可協助您管理、保護、監視及改善組織敏感性資訊的可探索性,以取得和維護客戶信任,並符合數據控管和合規性需求和法規。 這些功能有許多是內建的,並隨附於您的 Microsoft Fabric 授權中,而有些其他功能則需要來自 Microsoft Purview 的額外授權。
本文說明高階的主要功能和元件,可協助您控管組織的數據資產,並包含一些有關利用這些功能和元件所提供的功能的相關指引。 它也提供每個功能和元件的詳細信息連結。
*需要額外的授權
管理您的數據資產
本節說明一些可用來協助管理數據資產的主要功能。
管理員入口網站
Microsoft Fabric 管理入口網站是一個集中式位置,可讓您的組織系統管理員控制整體網狀架構資產。 這包括管理 Microsoft Fabric 的設定。 例如,您可以變更租用戶設定、控管容量、網域和工作區,以及控制使用者與 Microsoft Fabric 的互動方式。 為了提供彈性,系統管理和治理的某些層面可以委派給容量、網域和工作區,讓個別的系統管理員可以在其範圍內管理它們。
如需管理入口網站的詳細資訊,請參閱 什麼是管理入口網站?。
指引:平臺/IT 擁有者應該可以存取管理入口網站。 他們可以定義網域,並將網域和容量管理委派給網域和容量擁有者,以符合組織需求。
租使用者、網域和工作區設定
租使用者、網域和工作區系統管理員各自在其範圍內都有可設定的設定,以控制誰可以存取不同層級的特定功能。 某些租用戶層級設定可以委派給網域和容量管理員。
如需詳細資訊,請參閱 關於租用戶設定、 設定網域設定和 工作區設定。
指引:網狀架構系統管理員應該定義全租用戶的設定,讓網域管理員視需要覆寫委派的設定。 個別小組(工作區擁有者)預期會定義自己更細微的工作區層級控件和設定。
網域
網域是一種以邏輯方式將組織中所有數據分組的方式,這些數據與特定區域或欄位相關,例如依業務單位。 網域最常見的用途之一是依商務部門分組數據,讓部門可以根據其特定法規、限制和需求來管理其數據。
將數據分組到網域和子域,可提供更好的可探索性和控管。 例如,在 OneLake 數據中 樞中,使用者可以依網域篩選內容,以尋找與其相關的內容。 在治理方面,某些管理及控管數據的租用戶層級設定可以委派給網域層級,從而允許這些設定的網域特定組態。
如需詳細資訊,請參閱 網域。
指引:商務和企業架構設計人員應該設計組織的網域設定,而網狀架構管理員應藉由建立網域和子域以及指派網域擁有者來實作此設計。 最好是卓越中心 (COE) 小組應參與此討論,以配合組織的整體策略。
工作區
組織中的Teams會使用工作區來建立網狀架構專案,並彼此共同作業。 這些工作區可以根據治理需求和數據界限,指派給小組或部門。 完成工作區指派的方式取決於內部小組結構,以及小組想要如何處理其 Fabric 專案(例如,是否需要一或多個工作區)。
指引:基於開發目的,最佳做法是讓每位開發人員擁有隔離的工作區,讓開發人員可以自行工作,而不會干擾共用工作區。 網狀架構系統管理員應該定義誰有權建立工作區。 工作區系統管理員應該定義使用者可以重複使用的Spark環境。 如需最佳做法的詳細資訊,請參閱 Fabric 中生命週期管理的最佳做法。
容量
容量是所有網狀架構工作負載所使用的計算資源。 根據組織需求,容量可作為計算、退款等的隔離界限。
指引:根據環境的需求分割容量,例如開發/測試/驗收/生產 (DTAP)。 這可改善工作負載隔離和退款。
元數據掃描
元數據掃描可協助您管理組織的 Microsoft Fabric 數據,方法是讓編錄工具編目及報告組織所有網狀架構專案的元數據。 它會使用一組統稱為掃描器 API 的 管理員 REST API 來完成此作業。 掃描器 API 會擷取元數據,例如專案名稱、標識碼、敏感度、簽署狀態等。
如需詳細資訊,請參閱 元數據掃描。
安全、保護及遵守
數據安全性和符合規範的數據平臺對於確保數據保持安全且不會遭到入侵非常重要。 如需網路安全性、訪問控制和加密的詳細資訊,請參閱 安全性概觀。
網狀架構利用 Microsoft Purview 來保護敏感數據,並協助確保符合數據隱私權法規和需求。
隱私權
任何數據保護策略的第一個階段是識別私人數據所在的位置。 這被認為是最具挑戰性但重要步驟之一,以確保您可以在來源保護您的數據。 下列各節說明 Fabric 提供的功能,以協助貴組織應對這項挑戰。
資料安全性
若要確保 Fabric 中的數據不受未經授權的存取保護,並符合數據隱私權需求,您可以使用來自 Microsoft Purview 資訊保護 的敏感度標籤搭配內建網狀架構功能,手動或自動標記貴組織的數據。 Purview 稽核接著會擷取在 Fabric 中執行之活動的稽核線索。 這包括擷取網狀架構租使用者中的用戶活動,例如 Lakehouse 存取、Power BI 存取、Spark 活動、數據處理站活動、登入等。
Purview 資訊保護
Fabric 中的資訊保護可讓您使用敏感度標籤,從 Microsoft Purview 資訊保護 探索、分類和保護網狀架構數據。 網狀架構提供多種功能,例如預設標籤、標籤繼承和程式設計標籤,以協助您在整個網狀架構數據資產中達到最大敏感度標籤涵蓋範圍。 標示之後,即使數據透過支援的導出路徑從 Fabric 匯出,數據仍會受到保護。 合規性管理員可以監視 Microsoft Purview 稽核 中敏感度標籤的活動。
如需詳細資訊,請參閱 Microsoft Fabric 中的 資訊保護。
指引:來自 Microsoft Purview 資訊保護 的敏感度標籤及其相關聯的標籤原則應該在組織層級指定,並且對整個組織有效。
保護工作區中的專案
組織小組可以有個別工作區,其中不同的角色共同作業並致力於產生內容。 工作區中的專案存取是透過工作區系統管理員指派給使用者的工作區角色進行管制。
指引:數據擁有者應該建議可能是工作區系統管理員的使用者。 例如,這些可能是您組織中的小組潛在客戶。 然後,這些工作區系統管理員應藉由將適當的工作區角色指派給專案的使用者和取用者,以控管其工作區中專案的存取權。
保護網狀架構項目中的數據
除了在租使用者或工作區層級套用的廣泛安全性之外,還有其他數據層級控件可供個別小組部署,以管理個別數據表、數據列和數據行的存取權。 網狀架構目前為網狀架構、Direct Lake 和 KQL 資料庫中的 SQL 分析端點、Synapse 數據倉儲提供這類數據層級控件。
指引:個別小組預期會在專案和數據層級套用這些額外的控件。
稽核
若要降低未經授權存取和使用網狀架構數據的風險,組織中的網狀架構系統管理員和合規性小組可以使用 Purview 合規性入口網站中提供的 Purview 稽核來追蹤和調查 Fabric 專案上的用戶活動。 許多公司也需要這些稽核記錄以符合法規需求,這些記錄通常會要求儲存稽核記錄,以進行鑑識調查和潛在的數據法規違規。
指引:網狀架構系統管理員和合規性小組應該知道網狀架構專案層級稽核會記錄在 Purview 稽核中,並可用於分析。
認證
Microsoft Fabric 具有 HIPPA BAA、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001 和 ISO/IEC 27701 合規性認證。 若要深入瞭解,請參閱 網狀架構合規性供應專案。
鼓勵數據探索、信任和使用
網狀架構提供內建功能,可協助用戶尋找及使用可靠的質量數據。
OneLake 數據中樞
OneLake 數據中樞可讓您輕鬆地在組織中尋找、探索及使用您有權存取的 Fabric 數據項。 它提供專案和進入點的相關信息,以便使用這些專案。 篩選和搜尋選項可讓您更輕鬆地取得相關數據。
如需詳細資訊,請參閱 探索 OneLake 數據中樞中的數據項。
指引:仔細定義及設定網域對於在數據中樞中建立有效率的體驗至關重要。 仔細定義的網域有助於設定小組的內容,並提供更好的界限和擁有權定義。 將工作區對應至網域是協助在 Fabric 中實作此作業的關鍵。
簽署
背書是讓可信任、質量數據更容易探索的方式。 組織通常會有大量的 Microsoft Fabric 專案 -- 資料、程式和內容 -- 可供其 Fabric 使用者共用和重複使用。 背書可協助用戶識別並尋找所需的可靠高質量專案。 透過背書,項目擁有者可以提升其質量專案,而且組織可以認證符合其質量標準的專案。 然後,背書的專案會在 Fabric 和用戶尋找 Fabric 專案的其他位置中清楚標示。 某些搜尋中也會給予已背書專案的優先順序,而且您可以在某些清單中排序已背書的專案。 在 Microsoft Purview 中 樞中,系統管理員可以取得其組織背書專案的深入解析,以更好地讓使用者獲得高質量的內容。
如需詳細資訊,請參閱 簽署。
指引:認證啟用應該委派給網域系統管理員,而網域系統管理員應該授權數據擁有者和生產者能夠認證他們建立的專案。 然後,數據擁有者和產生者應該一律認證已測試並準備好供其他小組使用的專案。 這有助於將低品質、不受信任的專案與受信任的現成可用的資產分開。 它也會讓這些受信任的資產更容易找到。 此外,數據取用者應接受如何尋找受信任資產的教育,並鼓勵只在其報表和其他下游處理中使用經認證的專案。
數據譜系和影響分析
在現代商業智能專案中,瞭解從數據源到其目的地的數據流程是一項複雜的工作。 「如果我變更此數據,會發生什麼情況?」或「為什麼這份報表不是最新的?」等問題可能難以回答。 他們可能需要一組專家或深入調查才能瞭解。 譜系藉由提供視覺效果來顯示工作區中所有專案之間的關聯性,協助使用者了解數據流。 針對譜系檢視中的每個專案,您可以顯示影響分析,以顯示您對專案進行變更時,哪些下游專案會受到影響。
指引:我們建議針對專案使用適當且一致的命名慣例。 這有助於查看譜系資訊。
適用於整個組織之治理的 Purview
Microsoft Purview 提供解決方案,可保護及控管整個組織整個數據資產的數據。 Purview 與 Fabric 之間的整合可讓您使用 Purview 的某些功能,在組織整個數據資產的內容中控管及監視您的 Fabric 數據。
下列各節將說明透過 Purview 實時 檢視 (預覽) 在 Fabric 上提供的數據控管功能。 另 請參閱使用 Microsoft Purview 來管理 Microsoft Fabric。
數據策展
貴組織中的數據策展牽涉到從組織使用的所有來源收集元數據資訊、譜系資訊,以及其他資訊。 這些可能是內部部署、第三方雲端、第三方產品和服務,或CRM系統,以命名一些。 此擷取程式也稱為在 Purview 中掃描。 所有資訊都是使用 Purview 中的內建掃描儀來擷取,該掃描器會掃描貴組織的數據資產以收集此資訊。 在 Purview 中,數據對應會執行此作業。
資料對應
Purview 具有掃描引擎,可從不同的來源掃描和擷取元數據,並填入 Purview 的數據對應。 Purview 會透過 Atlas API 公開此元數據,以便外部服務或 ISV 取用此元數據。 數據對應也會與 Fabric 互動,並在內部填入其元數據,讓商務使用者可以搜尋、尋找和使用這些數據產品來建置其深入解析。 目前,數據取用者可以查看其可檢視者存取的所有 Fabric 工作區。 這稱為 實時檢視。 除此之外,您可以在 Purview 的所有網狀架構專案上執行手動掃描,其中會挑選專案層級元數據,並可供 Purview 使用。 這僅適用於企業層。 您目前可以在專案層級上擁有譜系。
Purview 中的數據探索
使用數據的數據取用者應該能夠搜尋及尋找相關數據。 Purview 可藉由提供定義域的概念來協助這裡。 商務易記術語和群組可讓您根據熟悉的詞彙,更相關且更容易搜尋小組感興趣的數據。 這也會很好地與數據網格架構模式混合。 數據目錄是 Purview 中的應用層,可協助小組搜尋數據。
指引:企業和商務架構小組應定義網域,以及商務與技術參與者之間的角色對應,以明確角色和責任。 這些定義必須與 Fabric 中的定義定義一致。
Purview 中的 資料目錄
Purview 資料目錄 會公開從所有來源擷取的元數據,以饋送您的數據平臺。 透過 資料目錄,客戶可以搜尋他們有興趣使用的數據和專案,而不需要知道哪些系統會持有您的數據。 Purview 內提供所有網狀架構項目元數據。
監視、發現、取得見解並採取行動
監視中樞
Microsoft Fabric 監視中樞可讓使用者從中央位置監視 Fabric 活動。 不過,任何網狀架構使用者都可以使用監視中樞,但監視中樞只會針對使用者有權檢視的 Fabric 項目顯示活動。
如需詳細資訊,請參閱 使用監視中樞。
指引:這項功能應該向開發人員和小組成員公開,以監視排程的工作負載(例如數據流或管線重新整理)、Spark 執行、數據倉儲查詢等。
容量計量
指引:具有平台系統管理員角色的平台擁有者和用戶應該注意這項功能,並用它來監視使用量和耗用量。 如需詳細資訊,請參閱 什麼是 Microsoft Fabric 容量計量應用程式?。
Purview 中樞
Microsoft Purview 中樞是 Fabric 中的集中式頁面,可協助網狀架構系統管理員和數據擁有者管理和管理其 Fabric 數據資產。 對於系統管理員和數據擁有者,中樞會提供其 Fabric 專案的見解報告,特別是關於敏感度標籤和背書的見解。 中樞也可作為更進階 Purview 功能的閘道,例如 資訊保護、數據外洩防護和稽核。 如需詳細資訊,請參閱 Microsoft Purview 中樞。
指引:數據管理人和擁有者應該瞭解網狀架構的 Purview 中樞及其提供的內容,以取得貴組織敏感性和背書數據的深入解析。
管理員監視
系統管理員監視工作區為系統管理員提供其組織的監視功能。 使用系統管理員監視工作區資源,系統管理員可以執行安全性和治理工作,例如稽核和使用方式檢查。 如需詳細資訊,請參閱 什麼是系統管理員監視工作區?。
指引:我們建議平台擁有者/網狀架構系統管理員使用這項功能來取得網狀架構平臺的整體檢視。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應