Microsoft Fabric 中的安全性
Microsoft Fabric 是一種軟體即服務 (SaaS) 平臺,可讓使用者取得、建立、共用及可視化數據。
作為 SaaS 服務,Fabric 為整個平臺提供完整的安全性套件。 網狀架構會移除維護安全性解決方案的成本和責任,並將其傳輸至雲端。 透過 Fabric,您可以使用 Microsoft 的專業知識和資源來保護您的數據安全、修補弱點、監視威脅,並遵守法規。 網狀架構也可讓您管理、控制和稽核安全性設定,以符合您不斷變化的需求。
當您將數據帶入雲端並搭配各種分析體驗使用時,例如 Power BI、Data Factory 和新一代 Synapse,Microsoft 可確保內建的安全性和可靠性功能可保護您的待用和傳輸中的數據。 Microsoft 也可確保在發生基礎結構失敗或災害時,您的數據可復原。
網狀架構安全性為:
永遠開啟 - 預設會加密與 Fabric 的每個互動,並使用 Microsoft Entra ID 進行驗證。 網狀架構體驗之間的所有通訊都會透過 Microsoft 骨幹因特網傳輸。 待用數據會自動儲存為加密。 若要規範 Fabric 的存取,您可以新增額外的安全性功能,例如 Private Link 或 Entra 條件式存取 。 網狀架構也可以使用受信任的存取來連線到受防火牆或專用網保護的數據。
符合規範 – Fabric 具有現成的數據主權,具有多地理位置容量。 網狀架構也支持各種不同的合規性標準。
可控管 - 網狀架構隨附一組治理工具,例如數據譜系、資訊保護標籤、數據外泄防護和 purview 整合。
可設定 - 您可以根據組織原則設定 Fabric 安全性。
不斷演進 - Microsoft 藉由新增功能和控件,不斷改善網狀架構安全性。
驗證
Microsoft Fabric 是 SaaS 平臺,與其他許多 Microsoft 服務 一樣,例如 Azure、Microsoft Office、OneDrive 和 Dynamics。 包括 Fabric 在內的所有這些 Microsoft SaaS 服務,都使用 Microsoft Entra ID 作為其雲端式身分識別提供者。 Microsoft Entra ID 可協助使用者快速且輕鬆地從任何裝置和任何網路連線到這些服務。 聯機到 Fabric 的每個要求都會使用 Microsoft Entra ID 進行驗證,讓使用者在家工作或從遠端位置安全地連線到 Fabric。
了解網路安全性
Fabric 是在 Microsoft 雲端中執行的 SaaS 服務。 某些案例涉及連線到網狀架構平臺外部的數據。 例如,從您自己的網路檢視報表,或連接到另一個服務中的數據。 網狀架構內的互動會使用內部 Microsoft 網路,且服務外部的流量預設會受到保護。 如需詳細資訊和詳細描述,請參閱 傳輸中的數據。
輸入網路安全性
您的組織可能會想要根據公司的需求來限制和保護進入 Fabric 的網路流量。 透過 Microsoft Entra ID 條件式存取 和 私人連結,您可以 為您的組織選取正確的輸入解決方案 。
Microsoft Entra ID 條件式存取
Microsoft Entra ID 提供 Fabric 的條件 式存取 ,可讓您在每個連線上安全地存取 Fabric。 以下是您可以使用條件式存取強制執行的一些存取限制範例。
定義IP清單,以取得 Fabric 的輸入連線能力。
使用多重要素驗證 (MFA)。
根據來源國家/地區或裝置類型等參數限制流量。
若要設定條件式存取,請參閱 Fabric 中的條件式存取。
若要深入瞭解 Fabric 中的驗證,請參閱 Microsoft Fabric 安全性基本概念。
私人連結
私人連結可藉由限制從 Azure 虛擬網路 (VNet) 存取您的 Fabric 租使用者,並封鎖所有公用存取,來啟用與 Fabric 的安全連線。 這可確保只有來自該 VNet 的網路流量可以存取租使用者中的 Notebook、Lakehouses 和數據倉儲等網狀架構功能。
若要在 Fabric 中設定 Private Links,請參閱 設定和使用私人連結。
輸出網路安全性
Fabric 有一組工具,可讓您連線到外部數據源,並以安全的方式將數據帶入 Fabric。 本節列出將數據從安全網路匯入和聯機到網狀架構的不同方式。
受信任的工作區存取
使用 Fabric,您可以安全地存取已啟用防火牆的 Azure Data Lake Gen 2 帳戶。 具有工作區身分識別的網狀架構工作區可以從選取的虛擬網路和IP位址,安全地存取已啟用公用網路存取的 Azure Data Lake Gen 2 帳戶。 您可以限制 ADLS 第 2 代對特定 Fabric 工作區的存取。 如需詳細資訊,請參閱 受信任的工作區存取。
受控私人端點
受控私人端點 可讓 Azure SQL 資料庫等數據源的安全連線,而不需將其公開至公用網路,或要求複雜的網路設定。
受控虛擬網路
受控虛擬網路 是由每個 Fabric 工作區的 Microsoft Fabric 所建立和管理的虛擬網路。 受控虛擬網路會為網狀架構 Spark 工作負載提供網路隔離,這表示計算叢集會部署在專用網路中,且已不再是共用虛擬網路的一部分。
受控虛擬網路也會啟用網路安全性功能,例如受控私人端點,以及使用 Apache Spark 之 Microsoft Fabric 中 資料工程師 和 資料科學 專案的私人連結支援。
資料閘道
若要連線到內部部署數據源或受防火牆或虛擬網路保護的數據源,您可以使用下列其中一個選項:
內部部署數據閘道 - 閘道可作為內部部署數據源與網狀架構之間的橋樑。 網關會安裝在您網路內的伺服器上,它可讓 Fabric 透過安全通道連線到數據源,而不需要開啟埠或變更網路。
虛擬網路 (VNet) 數據閘道 - VNet 閘道 可讓您從 Microsoft 雲端服務連線到 VNet 內的 Azure 數據服務,而不需要內部部署數據閘道。
從現有服務 連線 至 OneLake
您可以使用現有的 Azure 平臺即服務 (PaaS) 服務來連線到 Fabric。 針對 Synapse 和 Azure Data Factory(ADF),您可以使用 Azure Integration Runtime (IR) 或 Azure Data Factory 受控虛擬網路。 您也可以使用 OneLake API 連線到這些服務和其他服務,例如對應數據流、Synapse Spark 叢集、Databricks Spark 叢集和 Azure HDInsight。
Azure 服務標籤
使用服務標籤來擷取數據,而不需使用數據閘道,從部署在 Azure 虛擬網路中的數據源,例如 Azure SQL 虛擬機器 (VM)、Azure SQL 受控執行個體 (MI) 和 REST API。 您也可以使用服務標籤從虛擬網路或 Azure 防火牆取得流量。 例如,服務標籤可以允許輸出流量流向 Fabric,讓 VM 上的使用者能夠從 SSMS 連線到 Fabric SQL 端點,同時封鎖存取其他公用因特網資源。
IP 允許清單
如果您的資料不在 Azure 中,您可以啟用組織網路上的 IP 允許清單,以允許來自 Fabric 的流量。 如果您需要從不支援服務標籤的數據源取得數據,例如內部部署數據源,IP 允許清單會很有用。 透過這些快捷方式,您不需要使用 Lakehouse SQL 端點 或 Direct Lake 將資料複製到 OneLake 即可取得數據。
您可以從內部部署服務標籤取得網狀架構IP清單。 此清單以 JSON 檔案的形式提供,或以程式設計方式使用 REST API、PowerShell 和 Azure 命令列介面 (CLI)。
保護資料
在 Fabric 中,儲存在 OneLake 中的所有數據都會在待用時加密。 待用所有數據都會儲存在您的主區域中,或儲存在您所選遠端區域的其中一個容量中,以便您符合待用主權法規的數據。 如需詳細資訊,請參閱 Microsoft Fabric 安全性基本概念。
瞭解多個地理位置中的租使用者
許多組織都有全域存在,且需要多個 Azure 地理位置的服務。 例如,公司可以在 美國 擁有總部,同時在其他地理區域做生意,例如澳大利亞。 為了遵守當地法規,具有全球狀態的企業必須確保數據仍會儲存在數個區域中。 在 Fabric 中,這稱為 多地理位置。
指派給多地理位置工作區的查詢執行層、查詢快取和項目數據會保留在其建立的 Azure 地理位置中。 不過,某些元數據和處理會儲存在租使用者的首頁地理位置中。
Fabric 是較大 Microsoft 生態系統的一部分。 如果您的組織已經使用其他雲端訂用帳戶服務,例如 Azure、Microsoft 365 或 Dynamics 365,則 Fabric 會在相同的 Microsoft Entra 租用戶內運作。 您的組織網域(例如,contoso.com)與 Microsoft Entra ID 相關聯。 就像所有 Microsoft 雲端服務一樣。
當您使用多個租使用者時,網狀架構可確保跨區域的數據安全,這些租使用者具有多個地理位置的多個容量。
存取資料
網狀架構會使用 工作區控制數據存取。 在工作區中,數據會以 Fabric 專案的形式顯示,除非您授與他們工作區的存取權,否則使用者無法檢視或使用專案(數據)。 您可以在許可權模型中找到工作區和專案許可權的詳細資訊。
工作區角色
下表列出工作區存取權。 它包含 工作區角色 和 Fabric 和 OneLake 安全性。 具有查看器角色的使用者可以執行 SQL、數據分析表示式 (DAX) 或多維度表示式 (MDX) 查詢,但無法存取網狀架構專案或執行 筆記本。
| 角色 | 工作區存取 | OneLake 存取 |
|---|---|---|
| 管理員、成員和參與者 | 可以使用工作區中的所有專案 | 
|
| 檢視者 | 可以看到工作區中的所有專案 | 
|
共享專案
您可以 與組織中沒有任何工作區角色的用戶共用 Fabric 專案 。 共享專案提供受限制的存取權,讓使用者只能存取工作區中的共享專案。
限制存取
您可以使用資料列層級安全性 (RLS)、資料行層級安全性 (CLS) 和物件層級安全性 (OLS) 來限制檢視者存取數據。 使用 RLS、CLS 和 OLS,您可以建立可存取特定數據部分的使用者身分識別,並限制只傳回使用者身分識別可以存取的 SQL 結果。
您也可以將 RLS 新增至 DirectLake 數據集。 如果您同時定義 SQL 和 DAX 的安全性,DirectLake 會回復為 SQL 中具有 RLS 的數據表的 DirectQuery。 在這種情況下,DAX 或 MDX 結果僅限於使用者的身分識別。
若要在沒有 DirectQuery 後援的情況下,使用 DirectLake 數據集搭配 RLS 公開報表,請使用 Power BI 中的直接數據集共用或應用程式。 有了 Power BI 中的應用程式,您可以存取報表,而不需要檢視者存取權。 這種存取表示用戶無法使用 SQL。 若要讓 DirectLake 讀取資料,您必須將數據源認證從 單一登入 (SSO) 切換至可存取湖中檔案的固定身分識別。
保護資料
網狀架構支援來自 Microsoft Purview 資訊保護 的敏感度標籤。 這些標籤,例如一般、機密和高度機密,在 Word、PowerPoint 和 Excel 等 Microsoft Office 應用程式 中廣泛使用,以保護敏感性資訊。 在 Fabric 中,您可以使用這些相同的敏感度標籤來分類包含敏感數據的專案。 敏感度標籤接著會隨著數據從專案自動追蹤到專案,因為它會流經 Fabric,一路從數據源到商務使用者。 即使數據匯出到 PBIX、Excel、PowerPoint 和 PDF 等支援格式,也一樣會遵循敏感度標籤,以確保您的數據會保持保護。 只有授權的使用者才能開啟檔案。 如需詳細資訊,請參閱 Microsoft Fabric 中的治理和合規性。
為了協助您控管、保護及管理您的數據,您可以使用 Microsoft Purview。 Microsoft Purview 和 Fabric 共同運作,可讓您從單一位置 Microsoft Purview 中 樞儲存、分析及控管您的數據。
復原資料
網狀架構數據復原可確保發生災害時,您的數據可供使用。 Fabric 也可讓您在發生災害時復原數據。災害復原。 如需詳細資訊,請參閱 Microsoft Fabric 中的可靠性。
管理員 ister Fabric
身為 Fabric 的系統管理員,您可以控制整個組織的功能。 網狀架構可讓您將系統管理員角色委派給容量、工作區和網域。 藉由將系統管理員責任委派給正確的人員,您可以實作模型,讓數個主要系統管理員控制整個組織的一般網狀架構設定,而負責特定區域之設定的其他系統管理員。
使用各種工具,系統管理員也可以 監視 重要網狀架構層面,例如容量耗用量。 您也可以 檢視稽核記錄 ,以監視用戶活動,並視需要調查非預期的事件。
功能
請檢閱本節,以取得 Microsoft Fabric 中可用的一些安全性功能清單。
| 功能 | 描述 |
|---|---|
| 條件式存取 | 使用 Microsoft Entra 識別碼保護您的應用程式 |
| 加密箱 | 控制 Microsoft 工程師如何存取您的數據 |
| 網狀架構和 OneLake 安全性 | 瞭解如何在 Fabric 和 OneLake 中保護您的數據。 |
| 復原 | Azure 可用性區域的可靠性與區域復原能力 |
| 服務標籤 | 啟用 Azure SQL 受控執行個體 (MI) 以允許來自 Microsoft Fabric 的連入連線 |
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應