Configuración de directivas de prevención de pérdida de datos para Fabric
Las directivas de prevención de pérdida de datos para Fabric ayudan a las organizaciones a proteger sus datos confidenciales detectando la carga de datos confidenciales en los tipos de elementos compatibles. Cuando se produce una infracción de la directiva, los propietarios de los datos pueden verlo indicado, y se pueden enviar alertas a los propietarios de los datos y a los administradores de seguridad, e investigar las infracciones. Para obtener más información, consulte Información general sobre las directivas de prevención de pérdida de datos para Fabric.
En este artículo se describe cómo configurar directivas de prevención de pérdida de datos (DLP) de Purview para Fabric. El público objetivo es los administradores de cumplimiento responsables de la prevención de pérdida de datos en su organización.
Requisitos previos
La cuenta que use para crear directivas DLP debe ser miembro de uno de estos grupos de roles
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Information Protection
- Administrador de Information Protection
- Administrador de seguridad
Licencias de suscripciones/SKU
Antes de empezar a trabajar con DLP para Fabric y Power BI, debe confirmar su suscripción a Microsoft 365. A la cuenta de administrador que configura las reglas DLP se le debe asignar una de las siguientes licencias:
- Microsoft 365 E5
- Cumplimiento de Microsoft 365 E5
- Microsoft 365 E5 Information Protection y Gobernanza
- Capacidades de Purview
Configuración de una directiva DLP para Fabric
Abra la página de directivas de prevención de pérdida de datos en el portal de Microsoft Purview y seleccione + Crear directiva.
Nota:
La opción + Crear directiva solo está disponible si se han cumplido los requisitos previos.
Elija la categoría Personalizado y, después, la plantilla Directiva personalizada. Cuando termine, seleccione Siguiente.
Nota:
Actualmente no se admiten otras categorías o plantillas.
Asigne un nombre a la directiva y proporcione una descripción significativa. Cuando termine, seleccione Siguiente.
Seleccione Siguiente cuando llegue a la página Asignar unidades de administración. Las unidades de administración no se admiten para DLP en Fabric y Power BI.
Seleccione Áreas de trabajo de Fabric y Power BI como ubicación de la directiva DLP. Todas las demás ubicaciones se deshabilitarán, ya que las directivas DLP para Fabric y Power BI solo admiten esta ubicación.
De forma predeterminada, la directiva se aplicará a todas las áreas de trabajo. Sin embargo, puede especificar áreas de trabajo concretas que se incluirán en la directiva, así como áreas de trabajo que se excluirán de la directiva. Para especificar áreas de trabajo específicas para su inclusión o exclusión, seleccione Editar.
Nota:
Las acciones DLP solo se admiten para las áreas de trabajo hospedadas en las capacidades Fabric o Premium.
Después de habilitar Fabric y Power BI como la ubicación DLP de la directiva y elegir las áreas de trabajo a las que se aplicará la directiva, seleccione Siguiente.
Aparecerá la página Definir configuración de directiva. Elija Crear o personalizar reglas de DLP avanzadas para empezar a definir la directiva.
Cuando termine, seleccione Siguiente.
En la página Personalizar reglas de DLP avanzadas, puede empezar a crear una regla o elegir una regla existente para editarla. Seleccione Crear regla.
Aparece la página Crear regla. En la página Crear regla, proporcione un nombre y una descripción para la regla y, a continuación, configure las demás secciones, que se describen después de la imagen siguiente.
Condiciones
En la sección de condición, definirá las condiciones en las que se aplicará la directiva a tipos de elementos admitidos. Las condiciones se crean en grupos. Los grupos hacen posible construir condiciones complejas.
Abra la sección de condiciones. Elija Agregar condición si desea crear una condición simple o compleja, o Agregar grupo si desea empezar a crear una condición compleja.
Para más información sobre el uso del generador de condiciones, consulte Diseño de reglas complejas.
Si eligió Agregar condición, a continuación seleccione Contenido contiene, luego Agregar, y luego Tipos de información sensibles o Etiquetas de sensibilidad.
Si comenzó con Agregar grupo, finalmente llegará a Agregar condición, después de lo cual continuará como se ha descrito anteriormente.
Al elegir Tipos de información confidencial o Etiquetas de confidencialidad, podrá elegir las etiquetas de confidencialidad concretas o los tipos de información confidencial que quiera detectar en una lista que aparecerá en una barra lateral.
Al seleccionar un tipo de información confidencial como condición, debe especificar cuántas instancias de ese tipo se deben detectar para que la condición se considere como cumplida. Puede especificar de 1 a 500 instancias. Si quiere detectar 500 o más instancias únicas, escriba un intervalo de "500" en "Cualquiera". También puede seleccionar el grado de confianza en el algoritmo coincidente. Seleccione el botón de información situado junto al nivel de confianza para ver la definición de cada nivel.
Puede agregar etiquetas de confidencialidad o tipos de información confidencial adicionales al grupo. A la derecha del nombre del grupo, puede especificar Cualquiera de estos o Todos estos. Esto determina si se necesitan coincidencias en todos o en cualquiera de los elementos del grupo para que la condición se mantenga. Si ha especificado más de una etiqueta de confidencialidad, solo podrá elegir Cualquiera de ellas, ya que los elementos de Fabric y Power BI no pueden tener más de una etiqueta aplicada.
En la imagen siguiente se muestra un grupo (valor predeterminado) que contiene dos condiciones de etiqueta de confidencialidad. La lógica Cualquiera de estos significa que una coincidencia de cualquiera de las etiquetas de confidencialidad del grupo constituye true para ese grupo.
Puede usar el botón de alternancia Resumen rápido para obtener la lógica de la regla resumida en una oración.
Puede crear más de un grupo y controlar la lógica entre los grupos con la lógica AND u OR.
En la imagen siguiente se muestra una regla que contiene dos grupos, unidos por la lógica OR.
Esta es la misma regla que se muestra como un resumen rápido.
Acciones
Si desea que la directiva restrinja el acceso a los elementos que la activan, expanda la sección Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365 y seleccione Bloquear a los usuarios la recepción de correo electrónico, o el acceso a archivos compartidos de SharePoint, OneDrive y Teams, y a elementos de Power BI. A continuación, elija si desea bloquear a todo el mundo o sólo a las personas de su organización.
Al habilitar la acción de restringir el acceso, se permiten automáticamente invalidaciones de usuario.
Nota:
La acción de restringir el acceso solo se aplica a los modelos semánticos.
Notificaciones de usuario
La sección de notificaciones de usuario es donde se configura la sugerencia de directiva. Active el botón de alternancia, active la casilla Notificar a los usuarios en el servicio de Office 365 con una sugerencia de directiva o notificaciones por correo electrónico y, a continuación, active la casilla Sugerencias de directiva. Escriba la sugerencia de directiva en el cuadro de texto que aparece.
Invalidaciones de usuario
Si habilitó las notificaciones de usuario y seleccionó la casilla de verificación Notificar a los usuarios en el servicio Office 365 con un aviso de directiva, los propietarios de elementos que tengan infracciones de la directiva DLP (propietarios, es decir, usuarios con rol de administrador o miembro en el espacio de trabajo donde se encuentra el elemento) podrán responder a las infracciones en el panel lateral Directivas de prevención de pérdida de datos, que pueden mostrar desde un botón o un vínculo en el aviso de directiva. La selección de opciones de respuesta que tienen depende de las opciones que elija en la sección Invalidaciones de usuario.
Se describen todas las opciones a continuación.
Permitir invalidaciones de servicios M365. Permite a los usuarios de Power BI, Exchange, SharePoint, OneDrive y Teams invalidar las restricciones de directiva (se selecciona automáticamente cuando ha habilitado las notificaciones de usuario y ha seleccionado la casilla Notificar a los usuarios en Office 365 servicio con una sugerencia de directiva): los usuarios podrán notificar el problema como un falso positivo o invalidar la directiva.
Requerir una justificación comercial para invalidar: los usuarios podrán notificar el problema como falso positivo o la invalidación de la directiva. Si decide invalidar, deberá proporcionar una justificación empresarial.
Invalidar la regla automáticamente si la notifica como un falso positivo: los usuarios podrán notificar el problema como falso positivo e invalidar automáticamente la directiva, o simplemente pueden invalidar la directiva sin notificarla como falso positivo.
Si selecciona Invalidar la regla automáticamente si la notifica como un falso positivo y Requerir una justificación comercial para invalidar, los usuarios podrán notificar el problema como un falso positivo e invalidar automáticamente la directiva, o simplemente pueden invalidar la directiva sin notificarla como un falso positivo, pero tendrán que proporcionar una justificación comercial.
La invalidación de una directiva significa que, a partir de ahora, la directiva ya no comprobará el elemento en busca de datos confidenciales.
Notificar un problema como falso positivo significa que el propietario de los datos cree que la directiva ha identificado erróneamente datos no confidenciales como confidenciales. Puede usar falsos positivos para ajustar las reglas.
Cualquier acción que realice el usuario se registra para informar.
Informes de incidentes
Asigne un nivel de gravedad que se mostrará en las alertas generadas a partir de esta directiva. Habilite (valor predeterminado) o deshabilite la notificación por correo electrónico a los administradores, especifique usuarios o grupos para la notificación por correo electrónico y configure los detalles sobre cuándo se producirá la notificación.
Opciones adicionales
Consideraciones y limitaciones
- Las plantillas de directiva DLP aún no se admiten para las directivas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción directiva personalizada.
- Las reglas de directiva DLP de Fabric admiten actualmente etiquetas de confidencialidad y tipos de información confidencial como condiciones.