Configurare i criteri di prevenzione della perdita dei dati per Fabric

I criteri di prevenzione della perdita dei dati per Fabric consentono alle organizzazioni di proteggere i dati sensibili rilevando il caricamento dei dati sensibili nei tipi di elementi supportati. Quando si verifica una violazione dei criteri, i proprietari dei dati possono visualizzare questo elemento indicato e gli avvisi possono essere inviati ai proprietari dei dati e agli amministratori della sicurezza e possono essere analizzate le violazioni. Per ulteriori informazioni, vedere Per iniziare con i criteri di prevenzione della perdita dei dati per Fabric e Power BI.

Questo articolo descrive come configurare i criteri di prevenzione della perdita dei dati di Purview per Fabric. Il gruppo di destinatari è gli amministratori di conformità responsabili della prevenzione della perdita dei dati nell'organizzazione.

Prerequisiti

L'account usato per creare criteri di prevenzione della perdita dei dati deve essere membro di uno di questi gruppi di ruoli

• Amministratore di conformità
• Amministratore dei dati sulla conformità
• Protezione delle informazioni
• Information Protection Admin
• Amministratore della sicurezza

Licenze sottoscrizioni/SKU

Prima di iniziare a usare DLP per Fabric e Power BI, è necessario confermare l'abbonamento a Microsoft 365. All'account amministratore che configura le regole DLP deve essere assegnata una delle licenze seguenti:

• Microsoft 365 E5
• Microsoft 365 E5 Compliance
• Governance & Information Protection di Microsoft 365 E5
• Capacità di Purview

Configurare un criterio di prevenzione della perdita dei dati per Fabric

1. Aprire la pagina dei criteri di prevenzione della perdita dei dati nel portale di Microsoft Purview e selezionare + Crea criteri.

   

   Nota

   L'opzione + Crea criteri è disponibile solo se sono stati soddisfatti i prerequisiti.

2. Scegliere la categoria Personalizzato e quindi il modello di Criteri personalizzati. Al termine scegliere Avanti.

   

   Nota

   Non sono attualmente supportate altre categorie o modelli.

3. Assegnare un nome al criterio e fornire una descrizione significativa. Al termine scegliere Avanti.

   

4. Selezionare Avanti quando si arriva alla pagina Assegna unità di amministrazione. Le unità di amministrazione non sono supportate per la prevenzione della perdita dei dati in Infrastruttura e Power BI.

   

5. Selezionare Infrastruttura e aree di lavoro di Power BI come percorso per i criteri di prevenzione della perdita dei dati. Tutte le altre posizioni verranno disabilitate, perché i criteri di prevenzione della perdita dei dati per Fabric e Power BI supportano solo questa posizione.

   

   Per impostazione predefinita, i criteri verranno applicati a tutte le aree di lavoro. È tuttavia possibile specificare aree di lavoro specifiche da includere nei criteri e nelle aree di lavoro da escludere dai criteri. Per specificare aree di lavoro specifiche per l'inclusione o l'esclusione, selezionare Modifica.

   Nota

   Le azioni DLP sono supportate solo per le aree di lavoro ospitate in capacità Fabric o Premium.

   Dopo aver abilitato Infrastruttura e Power BI come percorso di prevenzione della perdita dei dati per i criteri e aver scelto le aree di lavoro a cui verranno applicati i criteri, selezionare Avanti.

6. Verrà visualizzata la pagina Definisci impostazioni dei criteri. Scegliere Crea o personalizza regole avanzate di prevenzione della perdita dei dati per iniziare a definire i criteri.

   

   Al termine scegliere Avanti.

7. Nella pagina Personalizza regole avanzate di prevenzione della perdita dei dati è possibile iniziare a creare una nuova regola o scegliere una regola esistente da modificare. Seleziona Crea regola.

   

8. Verrà visualizzata la pagina Crea regola. Nella pagina Crea regola specificare un nome e una descrizione per la regola e quindi configurare le altre sezioni descritte seguendo l'immagine seguente.

   

Condizioni

Nella sezione condizione si definiscono le condizioni in base alle quali i criteri verranno applicati ai tipi di elemento supportati. Le condizioni vengono create in gruppi. I gruppi consentono di costruire condizioni complesse.

1. Aprire la sezione condizioni. Scegliere Aggiungi condizione se si desidera creare una condizione semplice o complessa, oppure Aggiungi gruppo se si desidera iniziare a creare una condizione complessa.

   

   Per altre informazioni sull'uso del generatore di condizioni, vedere Progettazione di regole complesse.

2. Se è stato selezionato Aggiungi condizione, scegliere Il contenuto contiene, poi Aggiungi e quindi Tipi di informazioni sensibili oppure Etichette di riservatezza.

   

   Se si è iniziato con Aggiungi gruppo, si arriverà a Aggiungi condizione, dopodiché si continua come descritto in precedenza.

   Scegliendo Tipi di informazioni sensibili o Etichette di riservatezza, sarà possibile scegliere le specifiche etichette di riservatezza o i tipi di informazioni sensibili che si vogliono rilevare da un elenco che verrà visualizzato in una barra laterale.

   

   Quando si seleziona un tipo di informazioni sensibili come condizione, è necessario specificare il numero di istanze di tale tipo da rilevare affinché la condizione venga considerata soddisfatta. È possibile specificare da 1 a 500 istanze. Se si desidera rilevare 500 o più istanze univoche, immettere un intervallo compreso tra '500' e 'Any'. È anche possibile selezionare il grado di attendibilità nell'algoritmo corrispondente. Selezionare il pulsante info accanto al livello di confidenza per visualizzare la definizione di ogni livello.

   

   È possibile aggiungere altre etichette di riservatezza o tipi di informazioni sensibili al gruppo. A destra del nome del gruppo, è possibile specificare Uno qualsiasi o Tutti. Questo determina se sono necessarie le corrispondenze a tutti o solo ad alcuni degli elementi del gruppo, per mantenere la condizione. Se è stata specificata più di un'etichetta di riservatezza, sarà possibile scegliere Uno qualsiasi di questi elementi, poiché gli elementi di Fabric e Power BI non possono avere più di un'etichetta applicata.

   L'immagine seguente mostra un gruppo (impostazione predefinita) che contiene due condizioni di etichetta di riservatezza. La logica Uno qualsiasi di questi significa che una corrispondenza su una qualsiasi delle etichette di riservatezza nel gruppo costituisce vera per tale gruppo.

   

   È possibile usare l'interruttore Riepilogo rapido per ottenere la logica della regola riepilogata in una frase.

   

   È possibile creare più di un gruppo e controllare la logica tra i gruppi con la logica E oppure O.

   L'immagine seguente mostra una regola contenente due gruppi, uniti dalla logica OR.

   

   Ecco la stessa regola mostrata come riepilogo rapido.

   

Azioni

Se si vuole che i criteri limitino l'accesso agli elementi che attivano i criteri, espandere la sezione Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365 e selezionare Impedisci agli utenti di ricevere posta elettronica o di accedere ai file di SharePoint, OneDrive e Teams condivisi e agli elementi di Power BI. Scegliere quindi se bloccare tutti o solo gli utenti dell'organizzazione.

Quando si abilita l'azione limita l'accesso, le sostituzioni utente vengono consentite automaticamente.

Nota

L'azione limita l'accesso viene applicata solo ai modelli semantici.

Notifiche utente

La sezione notifiche utente è la posizione in cui si configura il suggerimento per i criteri. Attivare l'interruttore, selezionare la casella di controllo Notifica utenti nel servizio Office 365 con un suggerimento per i criteri o notifiche tramite posta elettronica e quindi selezionare la casella di controllo Suggerimenti per i criteri. Scrivere il suggerimento per i criteri nella casella di testo visualizzata.

Eseguire l'override dell’utente

Se sono state abilitate le notifiche utente e sono state selezionate le caselle di controllo Notifica utenti nel servizio Office 365 con una descrizione dei criteri, i proprietari di elementi con violazioni dei criteri di prevenzione della perdita dei dati (ovvero i proprietari con un ruolo amministratore o membro nell'area di lavoro in cui si trova l'elemento) potranno rispondere alle violazioni nel riquadro laterale Criteri di prevenzione della perdita dei dati, che possono essere visualizzati da un pulsante o da un collegamento nel suggerimento per i criteri. La selezione delle opzioni di risposta dipende dalle scelte effettuate nella sezione Override utente.

Tutte le opzioni sono descritte di seguito.

• Consenti override dai servizi M365. Consente agli utenti di Power BI, Exchange, SharePoint, OneDrive e Teams di eseguire l'override delle restrizioni dei criteri (selezionato automaticamente quando sono state abilitate le notifiche utente ed è stato selezionato Notificare gli utenti nel servizio Office 365 con una casella di controllo suggerimento per i criteri): gli utenti potranno segnalare il problema come falso positivo o eseguire l'override dei criteri.

• Richiedi una motivazione aziendale per eseguire l'override: gli utenti potranno segnalare il problema come falso positivo o eseguire l'override dei criteri. Se scelgono di eseguire l'override, dovranno fornire una motivazione aziendale.

• Eseguire l'override automatico della regola se questa viene segnalata come falso positivo: gli utenti potranno segnalare il problema come falso positivo ed eseguire l'override automatico del criterio, oppure semplicemente eseguire l'override del criterio senza segnalarlo come falso positivo.

• Se si seleziona sia Eseguire l'override automatico della regola se questa viene segnalata come falso positivo sia Richiedi una motivazione aziendale per eseguire l'override, gli utenti potranno segnalare il problema come falso positivo ed eseguire l'override automatico del criterio, oppure semplicemente eseguire l'override del criterio senza segnalarlo come falso positivo, ma dovranno fornire una motivazione aziendale.

L'override di un criterio significa che da ora in poi il criterio non verificherà più l'elemento per i dati sensibili.

La segnalazione di un problema come falso positivo significa che il proprietario dei dati ritiene che il criterio abbia erroneamente identificato i dati non sensibili come sensibili. È possibile usare falsi positivi per ottimizzare le regole.

Qualsiasi azione da parte dell'utente viene registrata per la creazione di report.

Report degli incidenti

Assegnare un livello di gravità che verrà visualizzato negli avvisi generati da questo criterio. Abilitare (impostazione predefinita) o disabilitare la notifica tramite posta elettronica agli amministratori, specificare utenti o gruppi per la notifica tramite posta elettronica e configurare i dettagli su quando si verificherà la notifica.

Opzioni aggiuntive

Considerazioni e limitazioni

• I modelli di criteri DLP non sono ancora supportati per i criteri di prevenzione della perdita dei dati dell'infrastruttura. Quando si creano criteri di prevenzione della perdita dei dati per Infrastruttura, scegliere l'opzione dei criteri personalizzati.
• Le regole dei criteri di prevenzione della perdita dei dati dell'infrastruttura supportano attualmente le etichette di riservatezza e i tipi di informazioni sensibili come condizioni.

Contenuto correlato

• Creare e distribuire criteri di prevenzione della perdita dei dati
• Introduzione ai criteri di prevenzione della perdita dei dati per Infrastruttura e Power BI
• Rispondere a una violazione dei criteri di prevenzione della perdita dei dati
• Monitorare le violazioni dei criteri di prevenzione della perdita dei dati