Introducción a las directivas de prevención de pérdida de datos para Fabric y Power BI

Artículo
11/19/2024

En este artículo se describen las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) en Fabric. El público de destino son los administradores de Fabric, los equipos de seguridad y cumplimiento y los propietarios de datos de Fabric.

Información general

Para ayudar a las organizaciones a detectar y proteger sus datos confidenciales, Fabric admite las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP). Cuando una directiva DLP para Fabric detecta un tipo de elemento compatible que contiene información confidencial, se puede adjuntar una sugerencia de directiva al elemento que explica la naturaleza del contenido confidencial y se puede registrar una alerta en la página Alertas de prevención de pérdida de datos en el portal de Microsoft Purview para la supervisión y administración por parte de los administradores. Además, se pueden enviar alertas por correo electrónico a los administradores y usuarios especificados.

En este artículo se describe cómo funciona DLP en Fabric, se enumeran las consideraciones y limitaciones, así como los requisitos de licencias y permisos, y se explica cómo se mide el uso de CPU DLP. Para más información, vea:

Responda a una infracción de directiva DLP en Fabric para ver cómo responder cuando una sugerencia de directiva le indica que el modelo semántico o lakehouse tiene una infracción de directiva DLP.
Supervise las infracciones de directiva DLP en Fabric para ver cómo iniciar sesión en el portal de Microsoft Purview para ver detalles sobre las alertas de infracción de DLP.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Consideraciones y limitaciones

Las directivas DLP para Fabric se definen en el portal de Microsoft Purview.
Las directivas DLP se aplican a las áreas de trabajo. Solo se admiten áreas de trabajo hospedadas en capacidades Fabric o Premium. Para obtener más información, consulte Conceptos y licencias de Microsoft Fabric.
Las cargas de trabajo de evaluación DLP afectan a la capacidad. Actualmente, DLP para Fabric está disponible sin costo adicional, pero esto está sujeto a cambios. Consulte este documento y el blog de Fabric para ver si hay actualizaciones.
Las plantillas de directiva DLP aún no se admiten para las directivas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción "directiva personalizada".
Las reglas de directiva DLP de Fabric admiten actualmente etiquetas de confidencialidad y tipos de información confidencial como condiciones.
Las directivas DLP para Fabric no se admiten para modelos semánticos de ejemplo, conjuntos de datos de streaming o modelos semánticos que se conectan a su origen de datos a través de DirectQuery o conexión dinámica. Esto incluye modelos semánticos con almacenamiento mixto, donde algunos de los datos se incluyen a través del modo de importación y otros se incluyen a través de DirectQuery.
Las directivas DLP para Fabric solo se aplican a los datos de las tablas o carpetas de Lakehouse almacenadas en formato Delta.
Las directivas DLP para Fabric admiten todos los tipos delta primitivos excepto timestamp_ntz.
Las directivas DLP para Fabric no se admiten para los siguientes tipos de datos de Delta Parquet:
- Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
- Datos con códecs de compresión LZ4, Zstd y Gzip.
DLP for Fabric no admite clasificadores de coincidencia exacta de datos (EDM) y clasificadores entrenables. Si selecciona un clasificador EDM o entrenable en la condición de una directiva, la directiva no producirá resultados aunque el modelo semántico o lakehouse contenga de hecho datos que satisfagan el EDM o el clasificador que se puede entrenar. Otros clasificadores especificados en la directiva devolverán resultados, si los hubiera.
Las directivas DLP para Fabric no se admiten en la región Norte de China. Consulte Búsqueda de la región predeterminada de su organización para obtener información sobre cómo buscar la región de datos predeterminada de la organización.
Las capacidades de Azure no se admiten para DLP en Fabric en los clústeres siguientes:
- WUS3
- WUS2
- SCUS
La incorporación de un nuevo inquilino a DLP puede tardar unas horas, en función del número de áreas de trabajo admitidas que se van a incorporar.

Licencias y permisos

Licencias de SKU/suscripciones

Antes de empezar a trabajar con DLP para Power BI, debe confirmar la suscripción de Microsoft 365. Para obtener instrucciones completas sobre licencias, consulte Guía de seguridad y cumplimiento normativo para Microsoft 365.

Permisos

Los datos de DLP para Fabric se pueden ver en el Explorador de actividad. Hay cuatro roles que conceden permiso al Explorador de actividad; la cuenta que use para acceder a los datos debe ser miembro de cualquiera de ellos.

Para ver el Explorador de actividad, la cuenta que se usa para acceder a los datos debe ser miembro de cualquiera de los siguientes roles o superior.

Administrador de cumplimiento
Administrador de seguridad
Administrador de datos de cumplimiento

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con privilegios elevados que solo se debe usar en escenarios en los que no se puede usar un rol con privilegios menores.

Tipos de elementos admitidos

Las directivas DLP para Fabric admiten actualmente (versión preliminar) los siguientes tipos de elementos.

Modelos semánticos
Lakehouses

Consulte Consideraciones y limitaciones para conocer las excepciones.

Cómo funcionan las directivas DLP para Fabric

Defina una directiva DLP en la sección de prevención de pérdida de datos del portal de Microsoft Purview. En la directiva, especifique las etiquetas de confidencialidad o los tipos de información confidencial que desea detectar. También especifica las acciones que se producirán cuando la directiva detecte un modelo semántico o un lago que contenga datos confidenciales del tipo especificado. Las directivas DLP para Fabric admiten tres acciones:

Notificación de usuario a través de sugerencias de directiva.
Alertas. Las alertas se pueden enviar por correo electrónico a los administradores y usuarios. Además, los administradores pueden supervisar y administrar alertas en la pestaña Alertas del portal de Purview.
Restringir el acceso. Cuando un tipo de elemento compatible infringe una directiva configurada con la acción restringir el acceso, el acceso al elemento está restringido, ya sea a los propietarios de datos o a los miembros de la organización, en función de cómo se configure la directiva. Todos los demás usuarios perderán el acceso al elemento.

Nota:

La acción restringir el acceso solo se aplica en los modelos semánticos.

Cuando las directivas DLP evalúan un modelo semántico o lakehouse, si coincide con las condiciones especificadas en una directiva DLP, se producen las acciones especificadas en la directiva. Las directivas DLP se inician mediante las siguientes acciones:

Modelos semánticos:

Un modelo semántico se evalúa con directivas DLP cada vez que se produce uno de los eventos siguientes:

Publicar
Republish
Actualización a petición
Actualización programada

Nota:

La evaluación DLP del modelo semántico no se produce si se cumple alguna de las siguientes condiciones:

El iniciador del evento (publicar, volver a publicar, actualizar a petición, actualizar programado) es una cuenta que usa la autenticación de entidad de servicio.
El propietario del modelo semántico es una entidad de servicio.

Lakehouse:

Una instancia de lakehouse se evalúa con respecto a las directivas DLP Cuando los datos dentro de un lakehouse experimentan un cambio, como obtener nuevos datos, conectar un nuevo origen, agregar o actualizar tablas existentes, etc.

¿Qué ocurre cuando una directiva DLP de Fabric marca un elemento?

Cuando una directiva DLP detecta un problema con un elemento:

Si la "notificación de usuario" está habilitada en la directiva, el elemento se marcará en Tejido con un icono que indica que una directiva DLP ha detectado un problema con el elemento. Mantenga el puntero sobre el icono para mostrar una tarjeta con el puntero que proporciona una opción para ver los detalles completos en un panel lateral. Para obtener más información sobre lo que ve en el panel lateral, vea Responder a una infracción dlp en Fabric.

Para los modelos semánticos, al abrir la página de detalles se mostrará una sugerencia de directiva que explica la infracción de directiva y cómo se debe controlar el tipo de información confidencial detectada. Al seleccionar Ver todo , se abre un panel lateral con todos los detalles de la directiva.

Nota:

Si oculta la sugerencia de directiva, no se elimina. Aparecerá la próxima vez que visite la página.

En el caso de lakehouses, la indicación aparecerá en el encabezado en modo de edición y la apertura del control flotante permite ver más detalles sobre las sugerencias de directiva que afectan al lago. Al seleccionar Ver todo , se abre un panel lateral con todos los detalles de la directiva.
Si las alertas están habilitadas en la directiva, se registrará una alerta en la página Alertas de prevención de pérdida de datos del portal de Microsoft Purview y, si se configura, se enviará un correo electrónico a los administradores o usuarios especificados. Para obtener más información, consulte Supervisión y administración de infracciones de directiva DLP.

Configuración de una directiva DLP para Power BI/Fabric

Siga los procedimientos descritos en Crear e implementar directivas de prevención de pérdida de datos y use la plantilla personalizada.