Поделиться через

Начало работы с политиками защиты от потери данных для Fabric и Power BI

  • Статья

В этой статье описаны политики Защита от потери данных Microsoft Purview (DLP) в Fabric. Целевая аудитория — администраторы Fabric, команды по обеспечению безопасности и соответствия требованиям, а также владельцы данных Fabric.

Обзор

Чтобы помочь организациям обнаруживать и защищать конфиденциальные данные, Fabric поддерживает политики Защита от потери данных Microsoft Purview (DLP). Когда политика защиты от потери данных для Fabric обнаруживает поддерживаемый тип элемента , содержащего конфиденциальную информацию, к элементу можно присоединить подсказку политики, объясняющую характер конфиденциального содержимого, а также зарегистрировать оповещение на странице Предупреждений о предотвращении потери данных на портале Microsoft Purview для мониторинга и управления со стороны администраторов. Кроме того, оповещения по электронной почте можно отправлять администраторам и указанным пользователям.

В этой статье описывается принцип работы DLP в Fabric, перечислены рекомендации и ограничения, а также требования к лицензированию и разрешениям, а также описывается, как измеряется использование ЦП DLP. Дополнительные сведения см. в разделе:

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Рекомендации и ограничения

  • Политики защиты от потери данных для Fabric определяются на портале Microsoft Purview.
  • Политики защиты от потери данных применяются к рабочим областям. Поддерживаются только рабочие области, размещенные в емкостях Fabric или Premium. Дополнительные сведения см. в статье Основные понятия и лицензии Microsoft Fabric.
  • Рабочие нагрузки оценки защиты от потери данных влияют на емкость. В настоящее время защита от потери данных для Fabric доступна без дополнительных затрат, но это может быть изменено. Проверьте этот документ и блог Fabric на наличие обновлений.
  • Шаблоны политик защиты от потери данных пока не поддерживаются для политик защиты от потери данных в Структуре. При создании политики защиты от потери данных для Fabric выберите параметр "настраиваемая политика".
  • Правила политики защиты от потери данных в структуре в настоящее время поддерживают метки конфиденциальности и типы конфиденциальной информации в качестве условий.
  • Политики защиты от потери данных для Fabric не поддерживаются для примеров семантических моделей, потоковых наборов данных или семантических моделей, которые подключаются к источнику данных через DirectQuery или динамическое подключение. Сюда входят семантические модели со смешанным хранилищем, где некоторые данные поступают через режим импорта, а некоторые — через DirectQuery.
  • Политики защиты от потери данных для Fabric применяются только к данным в папке Таблицы Lakehouse, хранящиеся в разностном формате.
  • Политики защиты от потери данных для Fabric поддерживают все примитивные типы Delta, кроме timestamp_ntz.
  • Политики защиты от потери данных для Fabric не поддерживаются для следующих типов данных Delta Parquet:
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Данные с кодеками сжатия LZ4, Zstd и Gzip.
  • Классификаторы точного сопоставления данных (EDM) и обучаемые классификаторы не поддерживаются DLP для Fabric. Если выбрать классификатор EDM или обучаемый классификатор в условии политики, политика не даст результатов, даже если семантическая модель или lakehouse действительно содержат данные, удовлетворяющие EDM или обучаемому классификатору. Другие классификаторы, указанные в политике, будут возвращать результаты, если таковые есть.
  • Политики защиты от потери данных для Fabric не поддерживаются в северном регионе Китая. Сведения о том, как найти регион данных по умолчанию для вашей организации, см. в статье Как найти регион данных по умолчанию для вашей организации .
  • Емкости Azure не поддерживаются для защиты от потери данных в Fabric в следующих кластерах:
    • WUS3
    • WUS2
    • SCUS
  • Подключение нового клиента к DLP может занять несколько часов в зависимости от количества поддерживаемых рабочих областей, которые подключены.

Лицензирование и разрешения

Лицензирование SKU/подписки

Прежде чем приступить к работе с DLP для Power BI, вы должны подтвердить свою подписку на Microsoft 365. Полное руководство по лицензированию см. в руководстве Microsoft 365 по безопасности и соответствию требованиям.

Разрешения

Данные из DLP для Fabric можно просмотреть в обозревателе действий. Существует четыре роли, которые предоставляют разрешение обозревателе действий; учетная запись, используемая для доступа к данным, должна быть членом любой из них.

Чтобы просмотреть обозреватель действий, учетная запись, используемая для доступа к данным, должна быть членом любой из следующих ролей или выше.

  • Администратор соответствия требованиям
  • Администратор безопасности
  • Администратор данных о соответствии требованиям

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высоким уровнем привилегий, которую следует использовать только в тех случаях, когда нельзя использовать более привилегированную роль.

Поддерживаемые типы элементов

Политики защиты от потери данных для Fabric в настоящее время поддерживают (предварительную версию) следующие типы элементов.

  • Семантические модели
  • Lakehouses

См. раздел Рекомендации и ограничения для исключений.

Принципы работы политик защиты от потери данных для Fabric

Политика защиты от потери данных определяется в разделе защиты от потери данных на портале Microsoft Purview. В политике указываются метки конфиденциальности и (или) типы конфиденциальной информации, которые необходимо обнаружить. Вы также указываете действия, которые будут происходить, когда политика обнаруживает семантиковую модель или lakehouse, содержащую конфиденциальные данные указанного типа. Политики защиты от потери данных для Fabric поддерживают три действия:

  • Уведомление пользователя с помощью подсказок политики.

  • Оповещения. Оповещения могут быть отправлены по электронной почте администраторам и пользователям. Кроме того, администраторы могут отслеживать оповещения и управлять ими на вкладке Оповещения на портале Purview.

  • Ограничение доступа. Если поддерживаемый тип элемента нарушает политику, настроенную с помощью действия ограничения доступа, доступ к элементу ограничен владельцам данных или членам организации в зависимости от того, как настроена политика. Все остальные пользователи потеряют доступ к элементу.

    Примечание.

    Действие ограничения доступа применяется только в семантических моделях.

При оценке семантической модели или lakehouse политиками защиты от потери данных, если она соответствует условиям, указанным в политике защиты от потери данных, выполняются действия, указанные в политике. Политики защиты от потери данных инициируются следующими действиями:

Семантические модели:

Семантическая модель вычисляется на основе политик защиты от потери данных при каждом из следующих событий:

  • Публикация
  • Публикуется повторно
  • Обновляется по запросу
  • Обновляется по расписанию

Примечание.

Оценка защиты от потери данных для семантической модели не выполняется, если выполняется одно из следующих действий:

  • Инициатором события (публикация, повторная публикация, обновление по запросу, запланированное обновление) является учетная запись с проверкой подлинности субъекта-службы.
  • Владелец семантической модели — субъект-служба.

Lakehouse:

Lakehouse оценивается по политикам защиты от потери данных, когда данные в lakehouse претерпевают изменение, например получение новых данных, подключение нового источника, добавление или обновление существующих таблиц и многое другое.

Что происходит, когда элемент помечается политикой защиты от потери данных в Структуре

Когда политика защиты от потери данных обнаруживает проблему с элементом:

  • Если в политике включено "уведомление пользователя", элемент будет помечен в Fabric значком, указывающим на то, что политика защиты от потери данных обнаружила проблему с элементом. Наведите указатель мыши на значок, чтобы отобразить карта наведите указатель мыши, предоставляющий возможность просмотра полных сведений на боковой панели. Дополнительные сведения о том, что вы видите на боковой панели, см. в статье Реагирование на нарушение защиты от потери данных в Fabric.

    Снимок экрана: значок подсказки политики в центре данных OneLake.

    Для семантических моделей при открытии страницы сведений отобразится подсказка политики, объясняющая нарушение политики и способ обработки обнаруженных конфиденциальных данных. При выборе Просмотреть все откроется боковая панель со всеми сведениями о политике.

    Снимок экрана: подсказка политики на странице сведений о семантической модели.

    Примечание.

    Если вы скроете подсказку политики, она не будет удалена. Она появится при следующем посещении страницы.

    Для lakehouses указание будет отображаться в заголовке в режиме редактирования, а открытие всплывающего меню позволяет просмотреть дополнительные сведения о подсказках политики, влияющих на lakehouse. При выборе Просмотреть все откроется боковая панель со всеми сведениями о политике.

    Снимок экрана: подсказка политики во всплывающем элементе заголовка lakehouse.

  • Если оповещения включены в политике, оповещение будет записано на странице предупреждений о потере данных на портале Microsoft Purview, и (если это настроено) будет отправлено электронное письмо администраторам и (или) указанным пользователям. Дополнительные сведения см. в статье Мониторинг нарушений политики защиты от потери данных и управление ими.

Настройка политики защиты от потери данных для Power BI/Fabric

Следуйте инструкциям из раздела Создание и развертывание политик защиты от потери данных и используйте пользовательский шаблон.

Важно!

При выборе расположений для политики защиты от потери данных для Power BI/Fabric выберите только расположение Power BI/Fabric. Не выбирайте другие расположения, эта конфигурация не поддерживается.

См. также