Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
OneLake ist ein hierarchischer Data Lake, ähnlich wie Azure Data Lake Storage (ADLS) Gen 2 oder das Windows-Dateisystem. Die Sicherheit in OneLake wird auf mehreren Ebenen erzwungen, die jeweils verschiedenen Aspekten des Zugriffs und der Kontrolle entsprechen. Das Verständnis der Unterscheidung zwischen Steuerungsebenen- und Datenebenenberechtigungen ist der Schlüssel zur effektiven Sicherung Ihrer Daten:
- Steuern von Ebenenberechtigungen: Steuern, welche Aktionen Benutzer innerhalb der Umgebung ausführen können (z. B. Erstellen, Verwalten oder Freigeben von Elementen). Berechtigungen für die Steuerungsebene stellen häufig standardmäßig Berechtigungen für die Datenebene bereit.
- Berechtigungen für Datenebene: Steuern, auf welche Daten Benutzer zugreifen oder anzeigen können, unabhängig von ihrer Fähigkeit zum Verwalten von Ressourcen.
Sie können die Sicherheit auf jeder Ebene innerhalb des Datensees festlegen. Einige Ebenen in der Hierarchie werden jedoch speziell behandelt, da sie mit Fabric-Konzepten korrelieren. Die OneLake-Sicherheit steuert den gesamten Zugriff auf OneLake-Daten mit unterschiedlichen Berechtigungen, die von den Berechtigungen des übergeordneten Elements oder Arbeitsbereichs geerbt wurden. Sie können Berechtigungen auf folgenden Ebenen festlegen:
Arbeitsbereich: Eine Umgebung für die Zusammenarbeit zum Erstellen und Verwalten von Elementen. Sicherheit wird über Arbeitsbereichsrollen auf dieser Ebene verwaltet.
Element: Eine Reihe von Funktionen, die in einer einzelnen Komponente gebündelt sind. Ein Datenelement ist ein Untertyp eines Elements, mit dem Daten in OneLake gespeichert werden können. Elemente erben Berechtigungen von den Arbeitsbereichsrollen, können aber auch über zusätzliche Berechtigungen verfügen.
Ordner: Ordner innerhalb eines Elements, die zum Speichern und Verwalten von Daten verwendet werden, z. B. Tabellen/ oder Dateien/.
Elemente sind immer in Arbeitsbereichen enthalten, und Arbeitsbereiche befinden sich immer direkt unter dem OneLake-Namespace. Sie können diese Struktur wie folgt visualisieren:
Sicherheit in OneLake
In diesem Abschnitt wird das Sicherheitsmodell basierend auf allgemein verfügbaren OneLake-Features beschrieben.
Arbeitsbereichberechtigungen
Arbeitsbereichsberechtigungen definieren, welche Aktionen Benutzer innerhalb eines Arbeitsbereichs und seiner Elemente ausführen können. Diese Berechtigungen werden auf Arbeitsbereichsebene verwaltet und sind in erster Linie Steuerungsebenenberechtigungen; sie bestimmen verwaltungs- und elementverwaltungsfunktionen, nicht den direkten Datenzugriff. Im Allgemeinen werden Arbeitsbereichsberechtigungen bis zur Element- und Ordnerebene weitergegeben, um standardmäßig Datenzugriff zu gewähren. Arbeitsbereichsberechtigungen gewähren die Definierung des Zugriffs auf alle Elemente innerhalb eines Arbeitsbereichs. Es gibt vier verschiedene Arbeitsbereichsrollen, von denen jede verschiedene Zugriffstypen gewährt. Unten sind die Standardverhaltensweisen jeder Arbeitsbereichsrolle aufgeführt.
| Rolle | Können Administratoren hinzugefügt werden? | Können Mitglieder hinzugefügt werden? | Kann OneLake-Sicherheit bearbeiten? | Können Daten geschrieben und Elemente erstellt werden? | Können Daten aus OneLake gelesen werden? | Den Arbeitsbereich aktualisieren und löschen. |
|---|---|---|---|---|---|---|
| Administrator | Ja | Ja | Ja | Ja | Ja | Ja |
| Mitglied | Nein | Ja | Ja | Ja | Ja | Nein |
| Mitwirkender | Nein | Nein | Nein | Ja | Ja | Nein |
| Zuschauer | Nein | Nein | Nein | Nein | Nein* | Nein |
Erfahren Sie mehr über Rollen in Arbeitsbereichen in Microsoft Fabric.
Hinweis
*Viewer können über OneLake-Sicherheitsrollen Zugriff auf Daten erhalten.
Sie können die Verwaltung von Fabric-Arbeitsbereichsrollen vereinfachen, indem Sie sie Sicherheitsgruppen zuweisen. Mit dieser Methode können Sie den Zugriff steuern, indem Sie Mitglieder zu einer Sicherheitsgruppe hinzufügen oder aus dieser entfernen.
Elementberechtigungen
Mit dem Freigabe-Feature können Sie einem Benutzer direkten Zugriff auf ein Element gewähren. Den Benutzer*innen wird nur dieses Element im Arbeitsbereich angezeigt, und sie sind keine Mitglieder von Arbeitsbereichsrollen. Elementberechtigungen gewähren Zugriff auf die Verbindung zu diesem Element und dessen Endpunkten, auf die der Benutzer zugreifen kann.
| Berechtigung | Siehe Element, Metadaten? | Siehe Daten in SQL? | Siehe Daten in OneLake? |
|---|---|---|---|
| Lesen Sie | Ja | Nein | Nein |
| Daten lesen | Nein | Ja | Nein |
| Alles lesen | Nein | Nein | Ja* |
*Gilt nicht für Elemente mit aktivierten OneLake-Sicherheits - oder Datenzugriffsrollen. Wenn die Vorschau aktiviert ist, gewährt ReadAll nur Zugriff, wenn die DefaultReader-Rolle verwendet wird. Wenn die DefaultReader-Rolle bearbeitet oder gelöscht wird, wird stattdessen der Zugriff basierend auf den Datenzugriffsrollen gewährt, zu denen die benutzende Person gehört.
Eine weitere Möglichkeit zum Konfigurieren von Berechtigungen ist die Seite Berechtigungen verwalten eines Elements. Mithilfe dieser Seite können Sie einzelne Elementberechtigungen für Benutzer oder Gruppen hinzufügen oder entfernen. Der Elementtyp bestimmt, welche Berechtigungen verfügbar sind.
OneLake-Sicherheit (Vorschau)
Die OneLake-Sicherheit ermöglicht es Benutzenden, differenzierte rollenbasierte Sicherheit für in OneLake gespeicherte Daten zu definieren und diese Sicherheit konsistent für alle Computemodule in Fabric zu erzwingen. OneLake-Sicherheit ist das Datenebenensicherheitsmodell für Daten in OneLake.
Fabric-Benutzer in den Administrator- oder Mitgliedsrollen können OneLake-Sicherheitsrollen erstellen, um Benutzern Zugriff auf Daten innerhalb eines Elements zu gewähren. Jede Rolle verfügt über vier Komponenten:
- Daten: Die Tabellen oder Ordner, auf die Benutzende zugreifen können.
- Berechtigung: Die Berechtigungen, die Benutzende für die Daten besitzen.
- Mitglieder: Die Benutzenden, die Mitglieder der Rolle sind.
- Einschränkungen: Die Komponenten der Daten, falls vorhanden, die vom Rollenzugriff ausgeschlossen sind, z. B. bestimmte Zeilen oder Spalten.
OneLake-Sicherheitsrollen gewähren Zugriff auf Daten für Benutzer in der Rolle des Viewer-Arbeitsbereichs oder mit Leseberechtigung für das Element. Administratoren, Mitglieder und Mitwirkende sind nicht von OneLake-Sicherheitsrollen betroffen und können unabhängig von ihrer Rollenmitgliedschaft alle Daten in einem Element lesen und schreiben. Eine "DefaultReader"-Rolle existiert in allen Lakehouses, die einer Person mit der Berechtigung "ReadAll" Zugriff auf Daten im Lakehouse gewährt. Die DefaultReader-Rolle kann gelöscht oder bearbeitet werden, um diesen Zugriff zu entfernen.
Erfahren Sie mehr über das Erstellen von OneLake-Sicherheitsrollen für Tabellen und Ordner, Spaltenund Zeilen.
Erfahren Sie mehr über das Zugriffssteuerungsmodell für die OneLake-Sicherheit..
Computeberechtigungen
Computeberechtigungen sind eine Art von Datenebenenberechtigungen, die für ein bestimmtes Abfragemodul in Microsoft Fabric gilt. Der gewährte Zugriff gilt nur für Abfragen, die für dieses bestimmte Modul ausgeführt werden, z. B. den SQL-Endpunkt oder ein Power BI-Semantikmodell. Benutzer können jedoch unterschiedliche Ergebnisse sehen, wenn sie über ein Computemodul auf Daten zugreifen, verglichen mit dem, wenn sie direkt in OneLake auf Daten zugreifen, abhängig von den angewendeten Computeberechtigungen. OneLake-Sicherheit ist der empfohlene Ansatz zum Sichern von Daten in OneLake, um konsistente Ergebnisse für alle Engines sicherzustellen, mit denen ein Benutzer interagieren kann.
Computemodule verfügen möglicherweise über erweiterte Sicherheitsfeatures, die noch nicht in OneLake-Sicherheit verfügbar sind, und in diesem Fall ist die Verwendung der Computeberechtigungen möglicherweise erforderlich, um einige Szenarien zu lösen. Wenn Sie Computeberechtigungen verwenden, um den Zugriff auf Daten zu sichern, stellen Sie sicher, dass Endbenutzern nur Zugriff auf das Computemodul gewährt werden, in dem die Sicherheit festgelegt ist. Dadurch wird verhindert, dass auf Daten über ein anderes Modul zugegriffen wird, ohne die erforderlichen Sicherheitsfeatures.
Sicherheit mit Verknüpfungen
Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung. Die Sicherheit des OneLake-Ordners gilt für OneLake-Verknüpfungen basierend auf Rollen, die im Lakehouse definiert sind, in dem die Daten gespeichert werden.
Weitere Informationen zu Verknüpfungssicherheitsaspekten finden Sie unter OneLake Security Access Control Model.
Informationen zu Zugriffs- und Authentifizierungsdetails für bestimmte Tastenkombinationen finden Sie unter OneLake-Tastenkombinationen.
Authentifizierung
OneLake verwendet Microsoft Entra ID für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert automatisch die Benutzeridentität aus Tools, die die Microsoft Entra-Authentifizierung verwenden, und ordnen sie den Berechtigungen zu, die Sie im Fabric-Portal festgelegt haben.
Hinweis
Um Dienstprinzipale in einem Fabric-Mandanten verwenden zu können, muss ein*e Mandantenadministrator*in Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren. Erhalten Sie weitere Informationen zum Aktivieren von Dienstprinzipalen in den Entwickler-Einstellungen des Mandantenadministrationsportals.
Überwachungsprotokolle
Um Ihre OneLake-Überwachungsprotokolle anzuzeigen, befolgen Sie die Anweisungen in Nachverfolgen von Benutzeraktivitäten in Microsoft Fabric. OneLake-Vorgangsnamen entsprechen ADLS-APIs wie CreateFile oder DeleteFile. OneLake-Überwachungsprotokolle enthalten keine Leseanforderungen oder Anforderungen, die über Fabric-Workloads an OneLake vorgenommen wurden.
Verschlüsselung und Netzwerke
Ruhende Daten
In OneLake gespeicherte Daten werden im Ruhezustand standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Von Microsoft verwaltete Schlüssel werden entsprechend gedreht. Daten in OneLake werden auf transparente Weise ver- und entschlüsselt und sind mit dem FIPS 140-2-Standard konform.
Sie können die Verschlüsselung ruhender Daten mit vom Kunden verwalteten Schlüsseln verwenden, um eine weitere Schutzebene mit Schlüsseln hinzuzufügen, die Sie besitzen und steuern. Weitere Informationen finden Sie unter " Vom Kunden verwaltete Schlüssel" für Fabric-Arbeitsbereiche.
Daten im Transit
Daten, die über das öffentliche Internet zwischen Microsoft-Dienste übertragen werden, werden immer mit mindestens TLS 1.2 verschlüsselt. Fabric verhandelt nach Möglichkeit mit TLS 1.3. Der Datenverkehr zwischen Microsoft-Dienste leitet immer über das globale Microsoft-Netzwerk weiter.
Die eingehende OneLake-Kommunikation erzwingt auch TLS 1.2 und verhandelt nach Möglichkeit mit TLS 1.3. Die ausgehende Fabric-Kommunikation mit der kundeneigenen Infrastruktur bevorzugt sichere Protokolle, kann aber auf ältere, unsichere Protokolle (einschließlich TLS 1.0) zurückgreifen, wenn neuere Protokolle nicht unterstützt werden.
Private Verknüpfungen
Informationen zum Konfigurieren privater Links in Fabric finden Sie unter Einrichten und Verwenden privater Links.
Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können
Sie können den Zugriff auf OneLake-Daten aus Anwendungen zulassen oder einschränken, die sich außerhalb der Fabric-Umgebung befinden. Administratoren finden diese Einstellung im OneLake-Abschnitt der Mandanteneinstellungen des Verwaltungsportals.
Wenn Sie diese Einstellung aktivieren, können Benutzer auf Daten aus allen Quellen zugreifen. Aktivieren Sie diese Einstellung beispielsweise, wenn Sie über benutzerdefinierte Anwendungen verfügen, die Azure Data Lake Storage (ADLS)-APIs oder oneLake-Datei-Explorer verwenden. Wenn Sie diese Einstellung deaktivieren, können Benutzer weiterhin auf Daten aus internen Apps wie Spark, Data Engineering und Data Warehouse zugreifen, aber nicht auf Daten von Anwendungen zugreifen, die außerhalb von Fabric-Umgebungen ausgeführt werden.