Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Fabric is een SaaS-platform (Software as a Service) waarmee gebruikers gegevens kunnen ophalen, maken, delen en visualiseren. Fabric biedt als SaaS-service een compleet beveiligingspakket voor het hele platform. Zie Netwerkbeveiliging voor meer informatie
Belangrijk
Implementatiepijplijnen worden momenteel niet ondersteund met binnenkomende en uitgaande toegangsbeveiliging voor werkruimten.
Beveiliging op werkruimteniveau
Werkruimten vertegenwoordigen de primaire beveiligingsgrens voor gegevens die zijn opgeslagen in OneLake. Elke werkruimte vertegenwoordigt één domein of projectgebied waar teams kunnen samenwerken aan gegevens. Beveiliging op werkruimteniveau in Microsoft Fabric biedt gedetailleerde controle over gegevenstoegang en netwerkconnectiviteit door beheerders in staat te stellen zowel binnenkomende als uitgaande beveiligingen voor afzonderlijke werkruimten te configureren.
Beveiliging op werkruimteniveau bestaat uit twee hoofdfuncties.
Binnenkomende toegangsbeveiliging voor werkruimten : is een netwerkbeveiligingsfunctie die gebruikmaakt van privékoppelingen om ervoor te zorgen dat verbindingen met een werkruimte afkomstig zijn van beveiligde en goedgekeurde netwerken. Privékoppelingen maken beveiligde connectiviteit met Fabric mogelijk door de toegang tot uw Fabric-tenant of -werkruimte te beperken vanuit een virtueel Azure-netwerk (VNet) en alle openbare toegang te blokkeren. Zie Beheertoegang tot de instellingen voor binnenkomende toegangsbeveiliging voor werkruimten beheren voor meer informatie
Uitgaande toegangsbeveiliging voor werkruimten (OAP): hiermee kunnen beheerders uitgaande verbindingen van werkruimteartefacten tot externe resources beheren en beperken. Voor uitgaande beveiliging biedt Fabric ondersteuning voor uitgaande toegangsbeveiliging voor werkruimten. Deze netwerkbeveiligingsfunctie zorgt ervoor dat verbindingen buiten de werkruimte via een beveiligde verbinding tussen Fabric en een virtueel netwerk gaan. Hiermee voorkomt u dat items onbeveiligde verbindingen tot stand brengen met bronnen buiten de grenzen van de werkruimte, tenzij dit is toegestaan door de werkruimtebeheerders. Dit gedetailleerde besturingselement maakt het mogelijk om uitgaande connectiviteit voor sommige werkruimten te beperken, terwijl de rest van de werkruimten open blijven. Zie De uitgaande toegangsbeveiliging voor werkruimten (preview) voor meer informatie
Git-integratie en netwerkbeveiliging
Met Git-integratie in Fabric kan een werkruimte de inhoud (zoals notebooks, gegevensstromen, Power BI-rapporten, enzovoort) synchroniseren met een externe Git-opslagplaats (GitHub of Azure DevOps). Omdat de werkruimte moet communiceren met een Git-service buiten Fabric door gegevens op te halen of te verzenden, is uitgaande communicatie vereist.
Binnenkomende toegang tot werkruimte en Git-integratie
Wanneer Private Link is ingeschakeld voor een werkruimte, moeten gebruikers verbinding maken via een aangewezen virtueel netwerk (VNet), waardoor de werkruimte effectief wordt geïsoleerd van blootstelling aan openbaar internet.
Deze beperking heeft rechtstreeks invloed op Git-integratie: gebruikers die toegang proberen te krijgen tot Git-functies (zoals het synchroniseren of doorvoeren van wijzigingen) moeten dit doen vanuit het goedgekeurde VNet. Als een gebruiker probeert het Git-deelvenster te openen of Git-bewerkingen uit te voeren vanuit een niet-goedgekeurd netwerk, blokkeert Fabric de toegang tot de gebruikersinterface van de werkruimte volledig, inclusief Git-functionaliteit. Deze beperking is ook van toepassing op de Git-API's. Deze afdwinging zorgt ervoor dat Git-gerelateerde acties, zoals verbinding maken met een opslagplaats of vertakking, alleen worden uitgevoerd in beveiligde, gecontroleerde omgevingen, waardoor het risico op gegevenslekken via bronbeheerkanalen wordt verminderd.
Git-integratie met inkomende toegangsbeveiliging is standaard ingeschakeld. Er is geen wisselknop om uit te schakelen. Vertakking is geblokkeerd.
Uitgaande toegang tot werkruimten en Git-integratie
Werkruimte-OAP blokkeert standaard volledig Git-integratie, omdat het contact opnemen met een extern Git-eindpunt de regel 'geen uitgaand' schendt. Om deze beperking op te lossen, introduceert Fabric een door de beheerder beheerde toestemmingsinstelling voor Git.
Hoe Git-integratie werkt met OAP
Elke werkruimte waarvoor OAP is ingeschakeld, heeft een expliciete wisselknop (een selectievakje in de netwerkinstellingen van de werkruimte) met het label Git-integratie voor die werkruimte. Als OAP in eerste instantie is ingeschakeld, is dit selectievakje standaard uitgeschakeld. Dit betekent dat er geen Git-connectiviteit is toegestaan. In die toestand, als een gebruiker het Git-paneel van de werkruimte opent in Fabric, zullen ze zien dat de Git-functies zijn uitgeschakeld (grijs gemaakt) met de uitleg dat "uitgaande toegang is beperkt".
Op dezelfde manier mislukt elke poging om Git-API's aan te roepen (bijvoorbeeld via automatisering of PowerShell) voor die werkruimte, met een fout zolang Git niet is toegestaan. Deze beveiliging zorgt ervoor dat de inhoud van een beveiligde werkruimte standaard niet zonder bewustzijn kan worden gesynchroniseerd naar een externe opslagplaats.
Als u Git-integratie wilt inschakelen, kan een beheerder naar de uitgaande beveiligingsinstellingen van de werkruimte gaan en op de wisselknop Git-integratie toestaan klikken. (Dit vak kan alleen worden ingeschakeld nadat OAP zelf is ingeschakeld. Dit is een suboptie onder uitgaande instellingen.) Door Git-integratie toestaan te controleren , geeft de beheerder in feite toestemming dat deze werkruimte mag communiceren met Git.
Opmerking
De Git-integratietoestemming is per werkruimte.
Zodra Fabric is ingeschakeld, worden de beperkingen voor Git voor die werkruimte onmiddellijk opgeheven: de Git-gebruikersinterface wordt actief en alle bewerkingen – verbinding maken met een repository, synchroniseren (pull/push), wijzigingen doorvoeren en branchbeheer – zijn nu toegestaan voor gebruikers in die werkruimte.
Opmerking
Wanneer OAP niet is ingeschakeld, heeft de wisselknop geen invloed op Git-integratie en kan deze niet worden ingeschakeld of uitgeschakeld.
De volgende tabel bevat een overzicht van de werking van Git-integratie met OAP.
| OAP-status | Schakeloptie voor Git-integratie toestaan | Git-integratiestatus |
|---|---|---|
| Ingeschakeld | Off | Git-integratie werkt niet |
| Ingeschakeld | On | Git-integratie werkt |
| Disabled | Uitgegrijsd | Git-integratie is niet beïnvloed |
Git-integratie inschakelen
Ga als volgt te werk om uitgaande toegangsbeveiliging voor werkruimten te gebruiken en Git-integratie in te schakelen:
- Aanmelden bij de fabric-portal
- Ga naar uw werkruimte
- Selecteer in de rechterbovenhoek werkruimte-instellingen.
- Klik aan de rechterkant op Uitgaand netwerk.
- Controleer onder Beveiliging voor uitgaande toegang (preview) of Git-integratie toestaan is ingeschakeld.
Overwegingen voor vertakkingen
De functie Branch Out maakt een nieuwe werkruimte op basis van de huidige Git-vertakking of koppelingen naar een bestaande werkruimte en is een speciaal geval onder OAP. Wanneer Git-integratie is toegestaan via beheerderstoestemming, is vertakking ook toegestaan. Fabric geeft een duidelijke waarschuwing in het vertakkingsdialoogvenster als u probeert te vertakken naar een werkruimte waarin OAP niet is geactiveerd.
Als u bijvoorbeeld vertakt vanuit een vergrendelde ontwikkelwerkruimte om een nieuwe testwerkruimte te maken, wordt met een waarschuwing aangegeven dat de nieuwe werkruimte niet automatisch uitgaande beveiliging heeft.
Opmerking
Werkruimte-instellingen worden niet gekopieerd naar andere werkruimten via Git of rechtstreeks. Dit is van toepassing op vertakkingen of gekopieerde werkruimten. OAP- en Git-integratie moeten worden ingeschakeld nadat de nieuwe werkruimte is gemaakt.
Nieuwe werkruimten beginnen standaard met OAP uit en de beheerder moet OAP handmatig inschakelen voor de nieuwe werkruimte nadat deze is gemaakt via vertakking om hetzelfde beveiligingsniveau te behouden. Als u vertakt naar een bestaande werkruimte, verschijnt er een waarschuwing als die doelwerkruimte niet OAP-beveiligd is. Dit is om te voorkomen dat een niet-bewust gebruiker inhoud pusht naar een omgeving die de beveiliging ondermijnen.
Git-integratie verwijderen uit OAP
Zodra Git is toegestaan, werkt de werkruimte normaal met betrekking tot broncodebeheer. Als een beheerder op een bepaald moment besluit Git-integratie uit te schakelen, kan deze op de wisselknop Git-integratie toestaan klikken. Fabric zal vervolgens onmiddellijk de Git-connectiviteit voor die werkruimte afsluiten. Eventuele volgende Git-bewerkingen (pull, push, enzovoort) mislukken en de gebruikersinterface wordt teruggezet naar een uitgeschakelde status waarvoor opnieuw goedkeuring is vereist.
Ter voorkoming van onbedoelde onderbreking geeft Fabric een bevestiging/waarschuwing aan de beheerder bij het uitschakelen van Git-toegang, waarin wordt uitgelegd dat alle Git-synchronisatie voor die werkruimte wordt gestopt. Het is de moeite waard om te vermelden dat het uitschakelen van Git de opslagplaats of een geschiedenis niet verwijdert. Hiermee wordt de verbinding vanaf de werkruimtezijde verwijderd.
REST API-ondersteuning
Beheerders kunnen REST API's gebruiken om programmatisch een query uit te voeren op de netwerkinstellingen van werkruimten. Deze query's kunnen worden uitgevoerd om aan te geven of uitgaande beveiliging is ingeschakeld of als u het uitgaande beleid wilt instellen. Hiermee kunt u scripts uitvoeren voor audits. U kunt alle werkruimten ophalen en controleren welke werkruimten gitAllowed hebben: true onder OAP. Door gebruik te maken van dergelijke API's kan een beveiligingsteam bijvoorbeeld 's nachts bevestigen dat er geen aanvullende werkruimten zijn waarbij Git zonder goedkeuring is toegestaan. Microsoft heeft de volgende eindpunten geïntroduceerd om het uitgaande Git-beleid voor een werkruimte op te halen of in te stellen
Met de GET/workspaces/{workspaceId}/gitOutboundPolicy-API kunnen beheerders of automatiseringssystemen het huidige uitgaande Git-beleid voor een specifieke werkruimte ophalen. Deze actie is met name handig voor controle- en nalevingsdoeleinden, omdat wordt bevestigd of Git-bewerkingen (zoals synchronisatie van opslagplaatsen, doorvoeren of vertakkingen) zijn toegestaan onder de instellingen voor uitgaande toegangsbeveiliging van de werkruimte. Door dit beleid te controleren, kunnen gebruikers ervoor zorgen dat alleen expliciet goedgekeurde werkruimten kunnen communiceren met externe Git-opslagplaatsen, waardoor onbedoelde gegevensexfiltratie wordt voorkomen.
Met de SET /workspaces/{workspaceId}/gitOutboundPolicy-API kunnen beheerders het uitgaande Git-beleid voor een werkruimte programmatisch configureren. Deze configuratie omvat het schakelen van de machtiging die Git-bewerkingen toestaat, zelfs wanneer DEP is ingeschakeld. Het automatiseren van deze configuratie via API is nuttig voor CI/CD-werkstromen, waardoor beveiligde werkruimten kunnen worden toegevoegd aan op Git gebaseerde ontwikkelingspijplijnen zonder handmatige tussenkomst. Het biedt ook ondersteuning voor practices voor infrastructuur-als-code, waarbij netwerk- en integratiebeleidsregels worden geversioneerd en geïmplementeerd naast werkruimteconfiguraties.
Controle en logboeken
Het Fabric-platform registreert gebeurtenissen wanneer een bewerking wordt geblokkeerd vanwege netwerkbeveiliging. Een groot aantal dergelijke fouten kan duiden op onjuiste configuratie (iemand is vergeten een benodigde instelling in te schakelen) of een mogelijke poging om de beveiliging te omzeilen. Zie Gebruikersactiviteiten bijhouden in Microsoft Fabric voor meer informatie
Beperkingen en overwegingen
Hieronder vindt u informatie die u moet onthouden bij het gebruik van OAP- en Git-integratie.
- Niet alle items bieden ondersteuning voor binnenkomende en uitgaande toegangsbeveiliging. Het synchroniseren van niet-ondersteunde items in de werkruimte vanuit Git-integratie mislukt. Zie ondersteunde items voor private link en ondersteunde items voor uitgaande toegang voor een lijst met ondersteunde items.
- Implementatiepijplijnen worden momenteel niet ondersteund met binnenkomende toegangsbeveiliging voor werkruimten.
- Als de werkruimte deel uitmaakt van Implementatiepijplijnen, kunnen werkruimtebeheerders geen uitgaande toegangsbeveiliging inschakelen omdat Implementatiepijplijnen niet worden ondersteund. Als uitgaande toegangsbeveiliging is ingeschakeld, kan de werkruimte ook niet worden toegevoegd aan Implementatiepijplijnen.
Zie OAP- en werkruimteoverwegingen voor meer informatie