Настройка политик защиты от потери данных для Fabric

Политики защиты от потери данных для Fabric помогают организациям защитить конфиденциальные данные, обнаруживая отправку конфиденциальных данных в поддерживаемых типах элементов. Когда возникает нарушение политики, владельцы данных могут видеть это, и оповещения могут отправляться владельцам данных и администраторам безопасности, а также могут быть расследованы нарушения. Дополнительные сведения см. в статье Начало работы с политиками защиты от потери данных для Fabric и Power BI.

В этой статье описывается настройка политик защиты от потери данных Purview (DLP) для Fabric. Целевая аудитория — это администраторы соответствия требованиям, которые отвечают за предотвращение потери данных в организации.

Предварительные условия

Учетная запись, используемая для создания политик защиты от потери данных, должна быть членом одной из этих групп ролей.

  • Администратор соответствия требованиям
  • Администратор данных соответствия
  • Защита информации
  • Администратор защиты информации
  • Администратор безопасности

Лицензирование SKU и подписки

Прежде чем приступить к работе с DLP для Fabric и Power BI, необходимо подтвердить подписку Microsoft 365. Учетная запись администратора, которая настраивает правила защиты от потери данных, должна быть назначена одной из следующих лицензий:

  • Microsoft 365 E5
  • Соответствие требованиям Microsoft 365 E5
  • Microsoft 365 E5 Защита информации и управление
  • Возможности Purview

Настройка политики защиты от потери данных для Fabric

  1. Откройте страницу политик предотвращения потери данных на портале Microsoft Purview и нажмите кнопку +Создать политику.

    Снимок экрана: страница создания политики D L P.

    Примечание.

    Параметр "+ Создать политику " доступен только в том случае, если выполнены предварительные требования.

  2. Выберите пользовательскую категорию и шаблон настраиваемой политики. По завершении нажмите Далее.

    Снимок экрана: страница выбора настраиваемой политики D L P.

    Примечание.

    В настоящее время никакие другие категории или шаблоны не поддерживаются.

  3. Назовите политику и укажите понятное описание. По завершении нажмите Далее.

    Снимок экрана: раздел описания имени политики D L P.

  4. Нажмите кнопку "Далее", когда вы получите страницу "Назначение единиц администрирования". Единицы администрирования не поддерживаются для защиты от потери данных в Fabric и Power BI.

    Снимок экрана: раздел

  5. Выберите рабочие области Fabric и Power BI как место для политики DLP. Все остальные локализации будут отключены, так как DLP-политики для Fabric и Power BI поддерживают только эту локализацию.

    Снимок экрана страницы выбора местоположения DLP.

    По умолчанию политика будет применяться ко всем рабочим областям. Однако можно указать определенные рабочие области для включения в политику, а также рабочих областей, которые следует исключить из политики. Чтобы указать определенные рабочие области для включения или исключения, нажмите кнопку "Изменить".

    Примечание.

    Действия защиты от потери данных поддерживаются только для рабочих областей, размещенных в емкостях Fabric или Premium.

    После включения Fabric и Power BI в качестве расположения защиты от потери данных для политики и выбора рабочих областей, к которым будет применяться политика, нажмите кнопку "Далее".

  6. Откроется страница "Определение параметров политики". Выберите Создание или настройку расширенных правил DLP, чтобы начать формирование политики.

    Снимок экрана страницы создания расширенного правила DLP.

    По завершении нажмите Далее.

  7. На странице "Настройка расширенных правил защиты от потери данных" можно начать создание нового правила или выбрать существующее правило для редактирования. Выберите Создать правило.

    Снимок экрана: страница создания правила D L P.

  8. Появится страница Создание правила. На странице создания правила укажите имя и описание правила, а затем настройте другие разделы, которые описаны на рисунке ниже.

    Снимок экрана: форма создания правила D L P.

Условия

В разделе условий определяются условия, при которых политика будет применяться к поддерживаемым типам элементов. Условия создаются в группах. Группы позволяют создавать сложные условия.

  1. Откройте раздел условий. Выберите " Добавить условие ", если вы хотите создать простое или сложное условие, или добавить группу , если вы хотите приступить к созданию сложного условия.

    Снимок экрана: содержимое о добавлении условий D L P содержит раздел.

    Дополнительные сведения о том, как использовать построитель условий, см. в разделе «Сложная разработка правил».

  2. Если выбрано Добавить условие, выберите Содержимое содержит, затем Добавить, и затем либо типы конфиденциальной информации, либо метки конфиденциальности.

    Снимок экрана: раздел

    Если вы начали с Добавить группу, вы в конечном итоге доберётесь до Добавить условие, после чего вы продолжите работу, как описано выше.

    При выборе типов конфиденциальной информации или меток конфиденциальности вы сможете выбрать определенные метки конфиденциальности или типы конфиденциальной информации, которые вы хотите обнаружить в списке, который будет отображаться на боковой панели.

    Снимок экрана: выбор метки конфиденциальности и типов конфиденциальной информации.

    При выборе типа конфиденциальной информации в качестве условия необходимо указать, сколько экземпляров этого типа необходимо обнаружить, чтобы условие считалось соблюденным. Можно указать от 1 до 500 экземпляров. Если вы хотите обнаружить 500 или более уникальных экземпляров, введите диапазон от "500" до "Any". Вы также можете выбрать степень достоверности в алгоритме сопоставления. Нажмите кнопку сведений рядом с уровнем достоверности, чтобы увидеть определение каждого уровня.

    Снимок экрана: параметр уровня достоверности для типов конфиденциальной информации.

    В группу можно добавить дополнительные метки конфиденциальности или типы конфиденциальной информации. Справа от имени группы можно указать любое из них или все из них. Это определяет, требуются ли совпадения хотя бы одного или всех элементов в группе для выполнения условия. Если вы указали несколько меток конфиденциальности, вы сможете выбрать только любой из них, так как элементы Fabric и Power BI не могут применять несколько меток.

    На рисунке ниже показана группа (по умолчанию), содержащая два условия метки конфиденциальности. Логика Любого из этих значений означает, что совпадение на любой из меток конфиденциальности в группе является истинным для этой группы.

    Снимок экрана раздела группы условий D L P.

    Вы можете воспользоваться переключателем «Краткое резюме», чтобы логика правила была изложена в краткой форме в одном предложении.

    Снимок экрана: краткий обзор условий D L P.

    Вы можете создать несколько групп и управлять условиями между группами с помощью И или ИЛИ логики.

    На рисунке ниже показано правило, содержащее две группы, связанные логикой ИЛИ.

    Снимок экрана: правило с двумя группами.

    Ниже приведено то же правило, что и краткая сводка.

    Снимок экрана: краткая сводка правила с двумя группами.

Действия

Если вы хотите ограничить доступ к элементам, которые активируют политику, разверните раздел "Ограничить доступ" или зашифруйте содержимое в расположениях Microsoft 365 и выберите "Запретить пользователям получать электронную почту" или получать доступ к общим файлам SharePoint, OneDrive и Teams и элементам Power BI. Затем выберите, следует ли блокировать всех пользователей за пределами вашей организации.

При включении действия ограничения доступа переопределения пользователей разрешаются автоматически.

Уведомления пользователя

В разделе уведомлений пользователей вы настроите подсказку политики. Включите переключатель, установите флажок "Уведомить пользователей в службе Office 365 с подсказкой политики или уведомлениями по электронной почте", а затем установите флажок "Советы по политике". Введите вашу подсказку по политике в появившемся текстовом поле.

Снимок экрана: раздел уведомления пользователя D L P.

Переопределения пользователей

Если вы включили уведомления пользователей и выбрали флажок Уведомить пользователей в службе Office 365 с подсказкой политики, владельцы элементов с нарушениями политики защиты от потери данных (владельцы, то есть пользователи с ролью администратора или участника, в рабочей области, где находится элемент) смогут реагировать на нарушения на боковой панели политик защиты от потери данных, которую они могут открыть с помощью кнопки или ссылки в подсказке политики. Выбор параметров ответа зависит от сделанных вами выборов в разделе "Переопределения пользователей".

Снимок экрана: раздел пользовательских переопределений DLP.

Ниже описаны опции.

  • Разрешить переопределение из служб Microsoft 365. Позволяет пользователям в Power BI, Exchange, SharePoint, OneDrive и Teams переопределить ограничения политики (автоматически выбран, если вы включили уведомления пользователей и выбрали флажок Уведомлять пользователей в службе Office 365 с помощью подсказки политики): пользователи смогут сообщить о проблеме как о ложноположительной или изменить политику.

  • Требовать бизнес-обоснование для переопределения: пользователи смогут сообщить о проблеме как о ложноположительном или переопределить политику. Если они решили переопределить, им потребуется предоставить бизнес-обоснование.

  • Переопределить правило автоматически, если они сообщают о нем как о ложноположительном срабатывании: пользователи смогут либо сообщить о проблеме как о ложноположительном срабатывании и автоматически переопределить политику, либо просто переопределить политику, не сообщая о ней как о ложноположительном срабатывании.

  • Если вы выберете Автоматически переопределять правило, если они сообщат о ложноположительном срабатывании и Требовать бизнес-обоснование для переопределения, пользователи смогут сообщить о проблеме как о ложноположительном срабатывании и автоматически переопределить политику, или они могут просто переопределить политику без сообщения о ложноположительном срабатывании, но в этом случае они должны предоставить бизнес-обоснование.

Переопределение политики означает, что с этого момента политика больше не будет проверять элемент на наличие конфиденциальных данных.

Сообщение о проблеме как о ложном срабатывании означает, что владелец данных считает, что политика ошибочно распознала неконфиденциальные данные как конфиденциальные. Для тонкой настройки правил можно использовать ложные срабатывания.

Любое действие, которое пользователь принимает, регистрируется для создания отчетов.

Отчет об инцидентах

Назначьте уровень серьезности, который будет отображаться в оповещениях, созданных из этой политики. Включите (по умолчанию) или отключите уведомление по электронной почте администраторам, укажите пользователей или группы для уведомлений по электронной почте и настройте сведения о том, когда будет происходить уведомление.

Снимок экрана: раздел отчета об инциденте D L P.

Дополнительные параметры

Снимок экрана: раздел дополнительных параметров D L P.

Рекомендации и ограничения

  • Шаблоны политик DLP пока не поддерживаются для политик DLP Fabric. При создании политики защиты от потери данных для Fabric выберите опцию настраиваемой политики.
  • Правила политики DLP в Fabric в настоящее время поддерживают метки конфиденциальности и типы конфиденциальной информации в качестве условий.

Связанный контент

  • Last updated on