Erste Schritte mit Richtlinien zur Verhinderung von Datenverlust für Fabric und Power BI

Dieser Artikel enthält eine allgemeine Übersicht über Microsoft Purview Data Loss Prevention Richtlinien (DLP) Fabric und Power BI. Die Zielgruppe sind Fabric-Administratoren, Sicherheits- und Complianceteams und Fabric-Datenbesitzer. Wenn Sie datenbesitzer sind und wissen möchten, wie Sie reagieren können, wenn ein Richtlinientipp Darauf hinweist, dass Ihr Element eine DLP-Richtlinieneinstimmung aufweist, lesen Sie Antworten auf eine DLP-Richtlinieneinstimmung in Fabric. Wenn Sie Fabric-Administrator oder Sicherheits- und Complianceadministrator sind und Warnungen zu DLP-Richtlinienergebnissen überwachen müssen, finden Sie weitere Informationen unter Überwachen von DLP-Richtlinienergebnissen in Fabric.

Übersicht

Damit Organisationen ihre vertraulichen Daten erkennen und schützen können, unterstützt Fabric Microsoft Purview Data Loss Prevention-Richtlinien (DLP). Wenn eine DLP-Richtlinie für Fabric einen unterstützten Elementtyp erkennt, der vertrauliche Informationen enthält, werden die in der Richtlinie konfigurierten Aktionen ausgelöst. Diese Aktionen können Folgendes umfassen:

• Anfügen eines Richtlinientipps an das Element, in dem die Art des vertraulichen Inhalts erläutert wird.
• Registrieren einer Warnung für Administratoren auf der Seite "Warnungen zur Verhinderung von Datenverlust" im Microsoft Purview-Portal.
• Senden von E-Mail-Warnungen an Administratoren und angegebene Benutzer.
• Einschränken des Zugriffs auf das Element.

Weitere Informationen finden Sie unter Funktionsweise von DLP-Richtlinien für Fabric und Power BI.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Lizenzierung und Berechtigungen

Lizenzierung

Informationen zur Lizenzierung finden Sie unter

• Microsoft 365 Enterprise-Pläne
• Microsoft 365-Dienstbeschreibungen

Berechtigungen

Daten aus DLP für Fabric und Power BI können im Aktivitäts-Explorer angezeigt werden. Es gibt vier Rollen, die dem Aktivitäts-Explorer die Berechtigung erteilen. das Konto, das Sie für den Zugriff auf die Daten verwenden, muss Mitglied eines dieser Konten sein.

Um den Aktivitäts-Explorer anzuzeigen, muss das Konto, das Sie für den Zugriff auf die Daten verwenden, Mitglied einer der folgenden Rollen oder höher sein.

• Compliance-Administrator
• Sicherheitsadministrator
• Compliancedatenadministrator

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die nur in Szenarien verwendet werden sollte, in denen eine weniger privilegierte Rolle nicht verwendet werden kann.

Abrechnung

DLP-Auswertungsworkloads wirken sich auf den Kapazitätsverbrauch aus. Informationen dazu, wie dies gemessen und abgerechnet wird, finden Sie unter Informationen zu Microsoft Purview-Abrechnungsmodellen.

Funktionsweise von DLP-Richtlinien für Fabric und Power BI

Sie definieren eine DLP-Richtlinie im Abschnitt zur Verhinderung von Datenverlust im Microsoft Purview-Portal. In der Richtlinie geben Sie die Bedingungen an, z. B. welche Vertraulichkeitsbezeichnungen und/oder typen vertraulicher Informationen Sie erkennen möchten. Außerdem geben Sie die Aktionen an, die das System ausführt, wenn eine Richtlinienentsprechung erkannt wird.

Wenn ein unterstützter Elementtyp von DLP-Richtlinien ausgewertet wird und er den in einer DLP-Richtlinie angegebenen Bedingungen entspricht, werden die in der Richtlinie angegebenen Aktionen ausgeführt. DLP-Richtlinien werden durch die folgenden Aktionen initiiert:

Semantikmodelle:

Ein semantisches Modell wird immer dann anhand von DLP-Richtlinien ausgewertet, wenn eines der folgenden Ereignisse auftritt:

• Veröffentlichen
• Republish
• On-Demand-Aktualisierung
• Geplante Aktualisierung

Hinweis

Die DLP-Auswertung des semantischen Modells erfolgt nicht, wenn einer der folgenden Punkte zutrifft:

• Der Initiator des Ereignisses (Veröffentlichen, erneute Veröffentlichung, bedarfsgesteuerte Aktualisierung, geplante Aktualisierung) ist ein Konto, das die Dienstprinzipalauthentifizierung verwendet.
• Der Semantikmodellbesitzer ist ein Dienstprinzipal.

Lakehouse:

Ein Lakehouse wird anhand von DLP-Richtlinien ausgewertet, wenn die Daten in einem Lakehouse geändert werden, z. B. das Abrufen neuer Daten, das Herstellen einer Verbindung mit einer neuen Quelle, das Hinzufügen oder Aktualisieren vorhandener Tabellen und vieles mehr.

Was geschieht, wenn ein Element durch eine Fabric-DLP-Richtlinie gekennzeichnet wird?

Wenn eine DLP-Richtlinie ein Problem mit einem Element erkennt:

• Wenn "Benutzerbenachrichtigung" in der Richtlinie aktiviert ist, wird das Element in Fabric mit einem Symbol gekennzeichnet, das angibt, dass eine DLP-Richtlinie ein Problem mit dem Element erkannt hat. Zeigen Sie auf das Symbol, um eine Karte anzuzeigen, die eine Option zum Anzeigen der vollständigen Details in einem Seitenbereich bietet. Weitere Informationen dazu, was im Seitenbereich angezeigt wird, finden Sie unter Reagieren auf einen DLP-Verstoß in Fabric.

  

  Bei Semantikmodellen wird beim Öffnen der Detailseite ein Richtlinientipp angezeigt, in dem der Richtlinienverstoß und die Art der erkannten vertraulichen Informationen behandelt werden sollen. Wenn Sie Alle anzeigen auswählen, wird ein Seitenbereich mit allen Richtliniendetails geöffnet.

  

  Hinweis

  Wenn Sie den Richtlinientipp ausblenden, wird er nicht gelöscht. Es wird angezeigt, wenn Sie die Seite das nächste Mal besuchen.

  Bei Lakehouses wird die Angabe im Bearbeitungsmodus in der Kopfzeile angezeigt, und das Öffnen des Flyouts ermöglicht es, weitere Details zu den Richtlinientipps anzuzeigen, die sich auf das Lakehouse auswirken. Wenn Sie Alle anzeigen auswählen, wird ein Seitenbereich mit allen Richtliniendetails geöffnet.

  

• Wenn Warnungen in der Richtlinie aktiviert sind, wird eine Warnung auf der Seite Warnungen zur Verhinderung von Datenverlust im Microsoft Purview-Portal aufgezeichnet, und (sofern konfiguriert) wird eine E-Mail an Administratoren und/oder angegebene Benutzer gesendet. Weitere Informationen finden Sie unter Überwachen und Verwalten von DLP-Richtlinienverstößen.

Unterstützte Aktionen

Wenn ein semantisches Modell oder Lakehouse von DLP-Richtlinien ausgewertet wird und es den in einer DLP-Richtlinie angegebenen Bedingungen entspricht, werden die in der Richtlinie angegebenen Aktionen ausgeführt. DLP-Richtlinien für Fabric und Power BI unterstützen drei Aktionen:

• Benutzerbenachrichtigung über Richtlinientipps.
• Benachrichtigungen. Benachrichtigungen können per E-Mail an Administratoren und Benutzer gesendet werden. Darüber hinaus können Administratoren Warnungen auf der Registerkarte Warnungen im Purview-Portal überwachen und verwalten.
• Zugriff einschränken. Wenn eine Richtlinie mit der Aktion Zugriff einschränken konfiguriert ist, ist der Zugriff auf das Element im Falle einer Richtlinienbesprechung entweder auf die Datenbesitzer oder auf Mitglieder der organization beschränkt, je nachdem, wie die Richtlinie konfiguriert ist. Alle anderen Benutzer verlieren den Zugriff auf das Element.

Informationen dazu, was die DLP-Auswertung auslöst, finden Sie unter Funktionsweise von DLP-Richtlinien für Fabric und Power BI.

Unterstützte Elementtypen

DLP-Richtlinien für Fabric und Power BI unterstützen derzeit (Vorschau) die folgenden Elementtypen.

• Semantische Modelle
• Seehäuser

Weitere Informationen finden Sie unter Überlegungen und Einschränkungen für Ausnahmen.

Unterstützte Bedingungstypen

DLP-Richtlinienregeln für Fabric und Power BI unterstützen Vertraulichkeitsbezeichnungen und eine Teilmenge vertraulicher Informationstypen (siehe Überlegungen und Einschränkungen) als Bedingungen.

Konfigurieren einer DLP-Richtlinie für Fabric und Power BI

Informationen zum Erstellen einer DLP-Richtlinie für Fabric oder Power BI finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust. Befolgen Sie insbesondere die Verfahren unter Szenario 7: Power BI-Berichte mit Guthaben Karte Zahlen blockieren, und passen Sie sie an Ihr eigenes Szenario an.

Überlegungen und Einschränkungen

• DLP-Richtlinien gelten für Arbeitsbereiche. Es werden nur Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden. Weitere Informationen finden Sie unter Microsoft Fabric-Konzepte und -Lizenzen.
• DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die Option "Benutzerdefinierte Richtlinie" aus.
• DLP-Richtlinien für Fabric werden für Semantikbeispielmodelle, Streamingdatasets oder Semantikmodelle, die über DirectQuery oder Liveverbindung eine Verbindung mit ihrer Datenquelle herstellen, nicht unterstützt. Dazu gehören semantische Modelle mit gemischtem Speicher, bei denen einige der Daten über den Importmodus und einige über DirectQuery übermittelt werden.
• DLP-Richtlinien für Fabric gelten nur für Daten in Lakehouse Tables/-Ordnern, die im Delta-Format gespeichert sind.
• DLP-Richtlinien für Fabric unterstützen alle primitiven Delta-Typen mit Ausnahme von timestamp_ntz.
• DLP-Richtlinien für Fabric werden für die folgenden Delta Parquet-Datentypen nicht unterstützt:
  • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
  • Daten mit LZ4-, Zstd- und Gzip-Komprimierungscodecs.
• EDM-Klassifizierer (Exact Data Match) und trainierbare Klassifizierer werden von DLP für Fabric nicht unterstützt. Wenn Sie einen EDM- oder trainierbaren Klassifizierer im Zustand einer Richtlinie auswählen, liefert die Richtlinie keine Ergebnisse, selbst wenn das semantische Modell oder Lakehouse tatsächlich Daten enthält, die dem EDM oder trainierbaren Klassifizierer entsprechen. Andere in der Richtlinie angegebene Klassifizierer geben ggf. Ergebnisse zurück.
• DLP-Richtlinien für Fabric werden in der Region China, Norden nicht unterstützt. Unter Suchen der Standardregion für Ihre organization erfahren Sie, wie Sie den Standarddatenbereich Ihrer organization finden.
• Azure-Kapazitäten werden für DLP in Fabric in den folgenden Clustern nicht unterstützt:
  • WUS3
  • WUS2
  • SCUS
• Das Onboarding eines neuen Mandanten in DLP kann je nach Anzahl der unterstützten Arbeitsbereiche, die integriert werden, einige Stunden dauern.

Siehe auch

• Informationen zur Verhinderung von Datenverlust
• Vertraulichkeitsbezeichnungen in Power BI
• Überwachungsschema für Vertraulichkeitsbezeichnungen in Power BI
• Konfigurieren Sie eine DLP-Richtlinie für Fabric.
• Reagieren auf einen DLP-Richtlinienverstoß in Fabric.
• Überwachen und Verwalten von DLP-Richtlinienverstößen
• Informationen zur Verhinderung von Datenverlust