Compartilhar via


Políticas de prevenção contra perda de dados no Fabric

Este artigo descreve as políticas de DLP (Prevenção Contra Perda de Dados) do Microsoft Purview no Fabric. O público-alvo são administradores do Fabric, equipes de segurança e conformidade e proprietários de dados do Fabric.

Visão geral

Para ajudar as organizações a detectar e proteger seus dados confidenciais, o Fabric dá suporte a políticas de DLP (Prevenção contra Perda de Dados) do Microsoft Purview. Quando uma política DLP para Fabric detecta um tipo de item com suporte contendo informações confidenciais, uma dica de política pode ser anexada ao item que explica a natureza do conteúdo confidencial e um alerta pode ser registrado na página de prevenção contra perda de dados Alertas no portal de conformidade do Microsoft Purview para monitoramento e gerenciamento por administradores. Além disso, alertas de email podem ser enviados para os administradores e usuários especificados.

Este artigo descreve como o DLP no Fabric funciona, lista considerações e limitações, bem como requisitos de licenciamento e permissões, e explica como o uso da CPU DLP é medido. Para saber mais, veja:

Considerações e limitações

  • As políticas DLP para Fabric são definidas no portal de conformidade do Microsoft Purview.

  • As políticas DLP se aplicam aos workspaces. Há suporte apenas para workspaces hospedados em capacidades Fabric ou Premium. Para obter mais informações, consulte Licenças e conceitos do Microsoft Fabric.

  • As cargas de trabalho de avaliação DLP afetam a capacidade. Atualmente, o DLP para Fabric está disponível sem custo adicional, mas isso está sujeito a alterações. Verifique este documento e o blog do Fabric para atualizações.

  • Os modelos de política DLP ainda não têm suporte para políticas DLP do Fabric. Ao criar uma política DLP para o Fabric, escolha a opção "política personalizada".

  • Atualmente, as regras de política DLP do Fabric dão suporte a rótulos de confidencialidade e tipos de informações confidenciais como condições.

  • Não há suporte para políticas DLP para Fabric para modelos semânticos de exemplo, conjuntos de dados de streaming ou modelos semânticos que se conectam à fonte de dados por meio de DirectQuery ou conexão dinâmica. Isso inclui modelos semânticos com armazenamento misto, em que alguns dos dados vêm por meio do modo de importação e alguns vêm por meio do DirectQuery.

  • As políticas DLP para Fabric se aplicam somente aos dados em Tabelas/pasta do Lakehouse armazenadas no formato Delta.

  • As políticas DLP para Fabric suportam todos os tipos Delta primitivos, exceto timestamp_ntz.

  • As políticas DLP para Fabric não têm suporte para os seguintes tipos de dados Delta Parquet:

    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Dados com codecs de compactação LZ4, Zstd e Gzip.
  • Os classificadores de EDM (correspondência exata de dados) e os classificadores treináveis não são compatíveis com o DLP para Fabric. Se você selecionar um EDM ou classificador treinável na condição de uma política, a política não produzirá resultados, mesmo que o modelo semântico ou lakehouse de fato contenha dados que satisfaçam o EDM ou o classificador treinável. Outros classificadores especificados na política retornarão resultados, se houver.

  • As políticas DLP para Fabric não têm suporte na região Norte da China. Confira Como encontrar a região padrão da sua organização para saber como encontrar a região de dados padrão da sua organização.

  • Não há suporte para capacidades do Azure para DLP no Fabric nos seguintes clusters:

    • WUS3
    • WUS2
    • SCUS
  • A integração de um novo locatário à DLP pode levar algumas horas, dependendo do número de workspaces com suporte que estão sendo integrados.

Licenciamento e permissões

Licenciamento de SKU/assinaturas

Antes de começar a usar o DLP para Fabric, você deve confirmar sua assinatura do Microsoft 365. A conta de administrador que configura as regras DLP deve ser atribuída a uma das seguintes licenças:

  • Microsoft 365 E5
  • Conformidade do Microsoft 365 E5
  • Governança e Proteção de Informações do Microsoft 365 E5
  • Capacidades do Purview

Permissões

Os dados do DLP para Fabric podem ser exibidos no Gerenciador de atividades. Há quatro funções que concedem permissão ao Explorador de atividades; A conta que você usa para acessar os dados deve ser membro de qualquer um deles.

Para exibir o Explorador de atividades, a conta que você usa para acessar os dados deve ser membro de qualquer uma das funções a seguir ou superiores.

  • Administrador de conformidade
  • Administrador de segurança
  • Administrador de dados de conformidade

Tipos de item com suporte

As políticas DLP para Fabric atualmente oferecem suporte aos seguintes tipos de item.

  • Modelos semânticos
  • Lakehouses

Consulte Considerações e limitações para obter exceções.

Como funcionam as políticas DLP para o Fabric

Você define uma política DLP na seção de prevenção contra perda de dados do portal do Microsoft Purview. Na política, você especifica os rótulos de confidencialidade e/ou tipos de informações confidenciais que deseja detectar. Você também especifica as ações que acontecerão quando a política detectar um modelo semântico ou lakehouse que contenha dados confidenciais do tipo especificado. As políticas DLP para Fabric dão suporte a duas ações:

  • Notificação do usuário por meio de dicas de política.

  • Alertas. Os alertas podem ser enviados por email aos administradores e usuários. Além disso, os administradores podem monitorar e gerenciar os alertas na guia Alertas no portal de conformidade.

  • Restringir acesso. Quando um modelo semântico viola uma política configurada com uma ação de restrição de acesso, o acesso ao modelo semântico será restrito, seja aos proprietários dos dados ou aos membros da organização, dependendo de como a política está configurada. Todos os outros usuários perderão o acesso ao modelo semântico.

    Observação

    No momento, o acesso restrito é imposto apenas em modelos semânticos. Quando uma violação de uma política que tem a ação de restrição de acesso é detectada em um lakehouse, a política é acionada, mas o acesso ao lakehouse não é bloqueado. Em vez disso, a violação é tratada como uma violação regular, com uma dica de política e um alerta.

Quando um modelo semântico ou lakehouse é avaliado por políticas DLP, se ele corresponder às condições especificadas em uma política DLP, as ações especificadas na política ocorrerão. As políticas DLP são iniciadas pelas seguintes ações:

Modelos semânticos:

Um modelo semântico é avaliado em relação às políticas DLP sempre que ocorre um dos seguintes eventos:

  • Publicação
  • Republicar
  • Atualização sob demanda
  • Atualização agendada

Observação

A avaliação DLP do modelo semântico não ocorrerá se uma das seguintes opções for verdadeira:

  • O iniciador do evento (publicar, republicar, atualizar sob demanda, atualização agendada) é uma conta que usa a autenticação da entidade de serviço.
  • O proprietário do modelo semântico é uma entidade de serviço.

Lakehouse:

Um lakehouse é avaliado em relação às políticas DLP quando os dados em um lakehouse sofrem uma alteração, como obter novos dados, conectar uma nova fonte, adicionar ou atualizar tabelas existentes e muito mais.

O que acontece quando um item é sinalizado por uma política DLP do Fabric

Quando uma política DLP detecta um problema com um item:

  • Se a "notificação do usuário" estiver habilitada na política, o item será marcado no Fabric com um ícone que indica que uma política DLP detectou um problema com o item. Passe o mouse sobre o ícone para exibir um cartão de foco que fornece uma opção para ver todos os detalhes em um painel lateral. Para obter mais informações sobre o que você vê no painel lateral, consulte Responder a uma violação de DLP no Fabric.

    Captura de tela do ícone de dica de política no hub de dados do OneLake.

    Para modelos semânticos, abrir a página de detalhes mostrará uma dica de política que explica a violação da política e como o tipo de informação confidencial detectada deve ser tratada. Selecionar Exibir tudo abre um painel lateral com todos os detalhes da política.

    Captura de tela da dica de política na página de detalhes do modelo semântico.

    Observação

    Se você ocultar a dica de política, ela não será excluída. Ela será exibida na próxima vez que você acessar a página.

    Para lakehouses, a indicação aparecerá no cabeçalho no modo de edição, e abrir o fly-out possibilita ver mais detalhes sobre as dicas de política que afetam o lakehouse. Selecionar Exibir tudo abre um painel lateral com todos os detalhes da política.

    Captura de tela da dica de política no submenu de cabeçalho do lakehouse.

  • Se os alertas estiverem habilitados na política, um alerta será registrado na página Alertas prevenção contra perda de dados no portal do Microsoft Purview e (se configurado) um email será enviado aos administradores e/ou usuários especificados. Para obter mais informações, consulte Monitorar e gerenciar violações de política DLP.