Richtlinien zur Verhinderung von Datenverlust in Fabric

In diesem Artikel werden Microsoft Purview Data Loss Prevention (DLP)-Richtlinien in Fabric beschrieben. Die Zielgruppe ist Fabric-Administratoren, Sicherheits- und Complianceteams und Fabric-Datenbesitzer.

Übersicht

Um Organisationen dabei zu helfen, ihre vertraulichen Daten zu erkennen und zu schützen, unterstützt Fabric Microsoft Purview Data Loss Prevention (DLP)-Richtlinien. Wenn eine DLP-Richtlinie für Fabric einen unterstützten Elementtyp erkennt, der vertrauliche Informationen enthält, kann ein Richtlinientipp an das Element angefügt werden, das die Art des vertraulichen Inhalts erläutert, und eine Warnung kann auf der Seite "Benachrichtigungen zur Verhinderung von Datenverlust" im Microsoft Purview-Complianceportal für die Überwachung und Verwaltung von Administratoren registriert werden. Darüber hinaus können E-Mail-Benachrichtigungen an Administratoren und angegebene Benutzer gesendet werden.

In diesem Artikel wird beschrieben, wie DLP in Fabric funktioniert, Überlegungen und Einschränkungen sowie Lizenzierungs- und Berechtigungsanforderungen aufgeführt und erläutert, wie die DLP-CPU-Auslastung getaktet wird. Weitere Informationen finden Sie unter:

• Konfigurieren Sie eine DLP-Richtlinie für Fabric , um zu erfahren, wie DLP-Richtlinien für Fabric konfiguriert werden.
• Reagieren Sie auf eine DLP-Richtlinienverletzung in Fabric , um zu sehen, wie Sie reagieren können, wenn ein Richtlinientipp Ihnen sagt, dass Ihr Lakehouse- oder Semantikmodell eine DLP-Richtlinienverletzung aufweist.
• Überwachen Sie DLP-Richtlinienverstöße in Fabric , um zu sehen, wie Sie sich beim Microsoft Purview-Portal anmelden, um Details zu DLP-Verletzungswarnungen anzuzeigen.

Überlegungen und Einschränkungen

• DLP-Richtlinien für Fabric werden im Microsoft Purview-Complianceportal definiert.

• DLP-Richtlinien gelten für Arbeitsbereiche. Es werden nur Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden. Weitere Informationen finden Sie unter Microsoft Fabric-Konzepte und -Lizenzen.

• DLP-Auswertungsworkloads wirken sich auf die Kapazität aus. Derzeit steht DLP für Fabric ohne zusätzliche Kosten zur Verfügung, dies kann jedoch geändert werden. Überprüfen Sie dieses Dokument und den Fabric-Blog auf Updates.

• DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die Option "Benutzerdefinierte Richtlinie" aus.

• Fabric-DLP-Richtlinienregeln unterstützen derzeit Vertraulichkeitsbezeichnungen und Typen vertraulicher Informationen als Bedingungen.

• DLP-Richtlinien für Fabric werden für Beispielsemantikmodelle, Streaming-Datasets oder semantische Modelle, die über DirectQuery oder Liveverbindung eine Verbindung mit ihrer Datenquelle herstellen, nicht unterstützt. Dies schließt Semantikmodelle mit gemischtem Speicher ein, bei denen einige der Daten über den Importmodus und einige über DirectQuery übermittelt werden.

• DLP-Richtlinien für Fabric gelten nur für Daten in Lakehouse Tables/Folder, die im Delta-Format gespeichert sind.

• DLP-Richtlinien für Fabric unterstützen alle primitiven Delta-Typen außer timestamp_ntz.

• DLP-Richtlinien für Fabric werden für die folgenden Delta-Parkettdatentypen nicht unterstützt:

  • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
  • Daten mit LZ4-, Zstd- und Gzip-Komprimierungscodecs.

• Genaue Daten match (EDM)-Klassifizierer und trainierbare Klassifizierer werden von DLP für Fabric nicht unterstützt. Wenn Sie einen EDM- oder trainierbaren Klassifizierer im Zustand einer Richtlinie auswählen, führt die Richtlinie auch dann nicht zu Ergebnissen, wenn das semantische Modell oder Lakehouse tatsächlich Daten enthält, die dem EDM oder trainierbaren Klassifizierer entsprechen. Andere in der Richtlinie angegebene Klassifizierer geben ggf. Ergebnisse zurück.

• DLP-Richtlinien für Fabric werden in der Region China North nicht unterstützt. Informationen zum Suchen der Standarddatenregion für Ihre Organisation finden Sie unter Suchen der Standardregion für Ihre Organisation.

• Azure-Kapazitäten werden für DLP in Fabric in den folgenden Clustern nicht unterstützt:

  • WUS3
  • WUS2
  • SCUS

• Das Onboarding eines neuen Mandanten in DLP kann abhängig von der Anzahl der unterstützten Arbeitsbereiche, die integriert werden, einige Stunden dauern.

Lizenzierung und Berechtigungen

SKU-/Abonnementlizenzierung

Bevor Sie mit DLP für Fabric beginnen, sollten Sie Ihr Microsoft 365-Abonnement bestätigen. Dem Administratorkonto, mit dem die DLP-Regeln eingerichtet werden, muss eine der folgenden Lizenzen zugewiesen werden:

• Microsoft 365 E5
• Microsoft 365 E5 Compliance
• Microsoft 365 E5 Information Protection und Governance
• Purview-Kapazitäten

Berechtigungen

Daten aus DLP für Fabric können im Aktivitäts-Explorer angezeigt werden. Es gibt vier Rollen, die dem Aktivitäts-Explorer die Berechtigung erteilen. Das Konto, das Sie für den Zugriff auf die Daten verwenden, muss Mitglied eines dieser Konten sein.

Um den Aktivitäts-Explorer anzuzeigen, muss das Konto, das Sie für den Zugriff auf die Daten verwenden, Mitglied einer der folgenden Rollen oder höher sein.

• Complianceadministrator
• Sicherheitsadministrator
• Compliancedatenadministrator

Unterstützte Elementtypen

DLP-Richtlinien für Fabric unterstützen derzeit die folgenden Elementtypen.

• Semantische Modelle
• Lakehouses

Siehe Überlegungen und Einschränkungen für Ausnahmen.

Funktionsweise von DLP-Richtlinien für Fabric

Sie definieren eine DLP-Richtlinie im Abschnitt zur Verhinderung von Datenverlust im Microsoft Purview-Portal. In der Richtlinie geben Sie die Vertraulichkeitsbezeichnungen und/oder Typen vertraulicher Informationen an, die Sie ermitteln möchten. Sie geben auch die Aktionen an, die auftreten, wenn die Richtlinie ein semantisches Modell oder Seehaus erkennt, das vertrauliche Daten der von Ihnen angegebenen Art enthält. DLP-Richtlinien für Fabric unterstützen zwei Aktionen:

• Benutzerbenachrichtigung über Richtlinientipps
• Benachrichtigungen. Benachrichtigungen können per E-Mail an Administratoren und Benutzer gesendet werden. Darüber hinaus können Administratoren Benachrichtigungen auf der Registerkarte Benachrichtigungen im Compliance Center überwachen und verwalten.

Wenn ein semantisches Modell oder Seehaus von DLP-Richtlinien ausgewertet wird, wenn es den in einer DLP-Richtlinie angegebenen Bedingungen entspricht, treten die in der Richtlinie angegebenen Aktionen auf. DLP-Richtlinien werden durch die folgenden Aktionen initiiert:

Semantische Modelle:

Ein Semantikmodell wird anhand von DLP-Richtlinien ausgewertet, wenn eines der folgenden Ereignisse eintritt:

• Veröffentlichen
• Erneut veröffentlichen
• Bedarfsgesteuerte Aktualisierung
• Geplante Aktualisierung

Hinweis

DIE DLP-Auswertung des semantischen Modells tritt nicht auf, wenn eine der folgenden Bedingungen zutrifft:

• Der Initiator des Ereignisses (veröffentlichen, erneut veröffentlichen, bedarfsgesteuerte Aktualisierung, geplante Aktualisierung) ist ein Konto, das die Dienstprinzipalauthentifizierung verwendet.
• Der/die Besitzer*in des Semantikmodells ist ein Dienstprinzipal.

Lakehouse:

Ein Lakehouse wird anhand von DLP-Richtlinien ausgewertet, wenn sich die Daten in einem Seehaus einer Änderung unterziehen, z. B. dem Abrufen neuer Daten, dem Verbinden einer neuen Quelle, dem Hinzufügen oder Aktualisieren vorhandener Tabellen und mehr.

Was passiert, wenn ein Element von einer Fabric-DLP-Richtlinie gekennzeichnet wird

Wenn eine DLP-Richtlinie ein Problem mit einem Element erkennt:

• Wenn "Benutzerbenachrichtigung" in der Richtlinie aktiviert ist, wird das Element in Fabric mit einem Symbol gekennzeichnet, das angibt, dass eine DLP-Richtlinie ein Problem mit dem Element festgestellt hat. Zeigen Sie mit der Maus auf das Symbol, um eine Hoverkarte anzuzeigen, die eine Option zum Anzeigen der vollständigen Details in einem Seitenbereich bietet. Weitere Informationen dazu, was im seitenbereich angezeigt wird, finden Sie unter "Reagieren auf eine DLP-Verletzung in Fabric".

  

  Bei semantischen Modellen wird beim Öffnen der Detailseite ein Richtlinientipp angezeigt, der die Richtlinienverletzung erläutert und die Art der erkannten vertraulichen Informationen behandelt werden soll. Wenn Sie "Alle anzeigen" auswählen, wird ein seitliches Panel mit allen Richtliniendetails geöffnet.

  

  Hinweis

  Wenn Sie den Richtlinienhinweis ausblenden, wird er nicht gelöscht. Bei Ihrem nächsten Aufsuchen der Seite wird er wieder angezeigt.

  Für Seehäuser wird die Anzeige im Kopfzeile im Bearbeitungsmodus angezeigt, und das Öffnen des Flyouts ermöglicht es, weitere Details zu den Richtlinientipps anzuzeigen, die sich auf das Seehaus auswirken. Wenn Sie "Alle anzeigen" auswählen, wird ein seitliches Panel mit allen Richtliniendetails geöffnet.

  

• Wenn Warnungen in der Richtlinie aktiviert sind, wird eine Warnung auf der Seite "Benachrichtigungen zur Verhinderung von Datenverlust" im Microsoft Purview-Portal aufgezeichnet, und (sofern konfiguriert) wird eine E-Mail an Administratoren und/oder bestimmte Benutzer gesendet. Weitere Informationen finden Sie unter Überwachen und Verwalten von DLP-Richtlinienverletzungen.

Zugehöriger Inhalt

• Konfigurieren Sie eine DLP-Richtlinie für Fabric.
• Reagieren Sie auf eine DLP-Richtlinienverletzung in Fabric.
• Überwachen und Verwalten von DLP-Richtlinienverletzungen
• Weitere Informationen zur Verhinderung von Datenverlust