Freigeben über


Erste Schritte mit Richtlinien zur Verhinderung von Datenverlust für Fabric und Power BI

In diesem Artikel werden Microsoft Purview Data Loss Prevention -Richtlinien (DLP) in Fabric beschrieben. Die Zielgruppe sind Fabric-Administratoren, Sicherheits- und Complianceteams und Fabric-Datenbesitzer.

Übersicht

Damit Organisationen ihre vertraulichen Daten erkennen und schützen können, unterstützt Fabric Microsoft Purview Data Loss Prevention-Richtlinien (DLP). Wenn eine DLP-Richtlinie für Fabric einen unterstützten Elementtyp erkennt, der vertrauliche Informationen enthält, kann ein Richtlinientipp an das Element angefügt werden, in dem die Art der vertraulichen Inhalte erläutert wird, und eine Warnung kann auf der Seite Warnungen zur Verhinderung von Datenverlust im Microsoft Purview-Portal registriert werden, um sie von Administratoren zu überwachen und zu verwalten. Darüber hinaus können E-Mail-Benachrichtigungen an Administratoren und bestimmte Benutzer gesendet werden.

Dieser Artikel beschreibt die Funktionsweise von DLP in Fabric, listet Überlegungen und Einschränkungen sowie Lizenzierungs- und Berechtigungsanforderungen auf und erläutert, wie die DLP-CPU-Auslastung gemessen wird. Weitere Informationen finden Sie unter:

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Überlegungen und Einschränkungen

  • DLP-Richtlinien für Fabric werden im Microsoft Purview-Portal definiert.
  • DLP-Richtlinien gelten für Arbeitsbereiche. Es werden nur Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden. Weitere Informationen finden Sie unter Microsoft Fabric-Konzepte und -Lizenzen.
  • DLP-Auswertungsworkloads wirken sich auf die Kapazität aus. Derzeit ist DLP für Fabric ohne zusätzliche Kosten verfügbar, dies kann sich jedoch ändern. Informationen zu Updates finden Sie in diesem Dokument und im Fabric-Blog.
  • DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die Option "Benutzerdefinierte Richtlinie" aus.
  • Fabric-DLP-Richtlinienregeln unterstützen derzeit Vertraulichkeitsbezeichnungen und Typen vertraulicher Informationen als Bedingungen.
  • DLP-Richtlinien für Fabric werden für Semantikbeispielmodelle, Streamingdatasets oder Semantikmodelle, die über DirectQuery oder Liveverbindung eine Verbindung mit ihrer Datenquelle herstellen, nicht unterstützt. Dazu gehören semantische Modelle mit gemischtem Speicher, bei denen einige der Daten über den Importmodus und einige über DirectQuery übermittelt werden.
  • DLP-Richtlinien für Fabric gelten nur für Daten in Lakehouse Tables/-Ordnern, die im Delta-Format gespeichert sind.
  • DLP-Richtlinien für Fabric unterstützen alle primitiven Delta-Typen mit Ausnahme von timestamp_ntz.
  • DLP-Richtlinien für Fabric werden für die folgenden Delta Parquet-Datentypen nicht unterstützt:
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Daten mit LZ4-, Zstd- und Gzip-Komprimierungscodecs.
  • EDM-Klassifizierer (Exact Data Match) und trainierbare Klassifizierer werden von DLP für Fabric nicht unterstützt. Wenn Sie einen EDM- oder trainierbaren Klassifizierer im Zustand einer Richtlinie auswählen, liefert die Richtlinie keine Ergebnisse, selbst wenn das semantische Modell oder Lakehouse tatsächlich Daten enthält, die dem EDM oder trainierbaren Klassifizierer entsprechen. Andere in der Richtlinie angegebene Klassifizierer geben ggf. Ergebnisse zurück.
  • DLP-Richtlinien für Fabric werden in der Region China, Norden nicht unterstützt. Unter Suchen der Standardregion für Ihre organization erfahren Sie, wie Sie den Standarddatenbereich Ihrer organization finden.
  • Azure-Kapazitäten werden für DLP in Fabric in den folgenden Clustern nicht unterstützt:
    • WUS3
    • WUS2
    • SCUS
  • Das Onboarding eines neuen Mandanten in DLP kann je nach Anzahl der unterstützten Arbeitsbereiche, die integriert werden, einige Stunden dauern.

Lizenzierung und Berechtigungen

SKU/Abonnement-Lizenzierung

Bevor Sie mit DLP for Power BI beginnen, sollten Sie Ihr Microsoft 365-Abonnement bestätigen. Ausführliche Informationen zur Lizenzierung finden Sie unter: Microsoft 365-Lizenzierungsrichtlinien für Sicherheit und Compliance.

Berechtigungen

Daten aus DLP für Fabric können im Aktivitäts-Explorer angezeigt werden. Es gibt vier Rollen, die dem Aktivitäts-Explorer die Berechtigung erteilen. das Konto, das Sie für den Zugriff auf die Daten verwenden, muss Mitglied eines dieser Konten sein.

Um den Aktivitäts-Explorer anzuzeigen, muss das Konto, das Sie für den Zugriff auf die Daten verwenden, Mitglied einer der folgenden Rollen oder höher sein.

  • Compliance-Administrator
  • Sicherheitsadministrator
  • Compliancedatenadministrator

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die nur in Szenarien verwendet werden sollte, in denen eine weniger privilegierte Rolle nicht verwendet werden kann.

Unterstützte Elementtypen

DLP-Richtlinien für Fabric unterstützen derzeit (Vorschau) die folgenden Elementtypen.

  • Semantische Modelle
  • Seehäuser

Weitere Informationen finden Sie unter Überlegungen und Einschränkungen für Ausnahmen.

Funktionsweise von DLP-Richtlinien für Fabric

Sie definieren eine DLP-Richtlinie im Abschnitt zur Verhinderung von Datenverlust im Microsoft Purview-Portal. In der Richtlinie geben Sie die Vertraulichkeitsbezeichnungen und/oder typen vertraulicher Informationen an, die Sie erkennen möchten. Sie geben auch die Aktionen an, die ausgeführt werden, wenn die Richtlinie ein semantisches Modell oder Lakehouse erkennt, das vertrauliche Daten der von Ihnen angegebenen Art enthält. DLP-Richtlinien für Fabric unterstützen drei Aktionen:

  • Benutzerbenachrichtigung über Richtlinientipps.

  • Benachrichtigungen. Benachrichtigungen können per E-Mail an Administratoren und Benutzer gesendet werden. Darüber hinaus können Administratoren Warnungen auf der Registerkarte Warnungen im Purview-Portal überwachen und verwalten.

  • Zugriff einschränken. Wenn ein unterstützter Elementtyp gegen eine Richtlinie verstößt, die mit der Aktion Zugriff einschränken konfiguriert wurde, wird der Zugriff auf das Element entweder auf die Datenbesitzer oder auf Mitglieder der organization beschränkt, je nachdem, wie die Richtlinie konfiguriert ist. Alle anderen Benutzer verlieren den Zugriff auf das Element.

    Hinweis

    Die Aktion Zugriff einschränken wird nur für semantische Modelle erzwungen.

Wenn ein semantisches Modell oder Lakehouse von DLP-Richtlinien ausgewertet wird und es den in einer DLP-Richtlinie angegebenen Bedingungen entspricht, werden die in der Richtlinie angegebenen Aktionen ausgeführt. DLP-Richtlinien werden durch die folgenden Aktionen initiiert:

Semantikmodelle:

Ein semantisches Modell wird immer dann anhand von DLP-Richtlinien ausgewertet, wenn eines der folgenden Ereignisse auftritt:

  • Veröffentlichen
  • Republish
  • On-Demand-Aktualisierung
  • Geplante Aktualisierung

Hinweis

Die DLP-Auswertung des semantischen Modells erfolgt nicht, wenn einer der folgenden Punkte zutrifft:

  • Der Initiator des Ereignisses (Veröffentlichen, erneute Veröffentlichung, bedarfsgesteuerte Aktualisierung, geplante Aktualisierung) ist ein Konto, das die Dienstprinzipalauthentifizierung verwendet.
  • Der Semantikmodellbesitzer ist ein Dienstprinzipal.

Lakehouse:

Ein Lakehouse wird anhand von DLP-Richtlinien ausgewertet, wenn die Daten in einem Lakehouse geändert werden, z. B. das Abrufen neuer Daten, das Herstellen einer Verbindung mit einer neuen Quelle, das Hinzufügen oder Aktualisieren vorhandener Tabellen und vieles mehr.

Was geschieht, wenn ein Element durch eine Fabric-DLP-Richtlinie gekennzeichnet wird?

Wenn eine DLP-Richtlinie ein Problem mit einem Element erkennt:

  • Wenn "Benutzerbenachrichtigung" in der Richtlinie aktiviert ist, wird das Element in Fabric mit einem Symbol gekennzeichnet, das angibt, dass eine DLP-Richtlinie ein Problem mit dem Element erkannt hat. Zeigen Sie auf das Symbol, um eine Karte anzuzeigen, die eine Option zum Anzeigen der vollständigen Details in einem Seitenbereich bietet. Weitere Informationen dazu, was im Seitenbereich angezeigt wird, finden Sie unter Reagieren auf einen DLP-Verstoß in Fabric.

    Screenshot des Richtlinientippsymbols im OneLake-Datenhub.

    Bei Semantikmodellen wird beim Öffnen der Detailseite ein Richtlinientipp angezeigt, in dem der Richtlinienverstoß und die Art der erkannten vertraulichen Informationen behandelt werden sollen. Wenn Sie Alle anzeigen auswählen, wird ein Seitenbereich mit allen Richtliniendetails geöffnet.

    Screenshot: Richtlinientipp auf der Detailseite des semantischen Modells.

    Hinweis

    Wenn Sie den Richtlinientipp ausblenden, wird er nicht gelöscht. Es wird angezeigt, wenn Sie die Seite das nächste Mal besuchen.

    Bei Lakehouses wird die Angabe im Bearbeitungsmodus in der Kopfzeile angezeigt, und das Öffnen des Flyouts ermöglicht es, weitere Details zu den Richtlinientipps anzuzeigen, die sich auf das Lakehouse auswirken. Wenn Sie Alle anzeigen auswählen, wird ein Seitenbereich mit allen Richtliniendetails geöffnet.

    Screenshot: Richtlinientipp im Lakehouse-Header-Flyout

  • Wenn Warnungen in der Richtlinie aktiviert sind, wird eine Warnung auf der Seite Warnungen zur Verhinderung von Datenverlust im Microsoft Purview-Portal aufgezeichnet, und (sofern konfiguriert) wird eine E-Mail an Administratoren und/oder angegebene Benutzer gesendet. Weitere Informationen finden Sie unter Überwachen und Verwalten von DLP-Richtlinienverstößen.

Konfigurieren einer DLP-Richtlinie für Power BI/Fabric

Befolgen Sie die Verfahren unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust , und verwenden Sie die benutzerdefinierte Vorlage.

Wichtig

Wenn Sie die Speicherorte für Ihre DLP-Richtlinie für Power BI/Fabric auswählen, wählen Sie nur den Power BI/Fabric-Standort aus. Wählen Sie keine anderen Speicherorte aus, diese Konfiguration wird nicht unterstützt.

Siehe auch