Partilhar via


Políticas de prevenção contra perda de dados na malha

Este artigo descreve as políticas de prevenção de perda de dados (DLP) do Microsoft Purview na malha. O público-alvo são administradores de malha, equipes de segurança e conformidade e proprietários de dados de malha.

Descrição geral

Para ajudar as organizações a detetar e proteger seus dados confidenciais, o Fabric oferece suporte às políticas de Prevenção de Perda de Dados (DLP) do Microsoft Purview. Quando uma política de DLP para Fabric deteta um tipo de item suportado contendo informações confidenciais, uma dica de política pode ser anexada ao item que explica a natureza do conteúdo confidencial e um alerta pode ser registrado na página Alertas de prevenção contra perda de dados no portal de conformidade do Microsoft Purview para monitoramento e gerenciamento por administradores. Além disso, alertas por e-mail podem ser enviados para administradores e usuários especificados.

Este artigo descreve como a DLP na malha funciona, lista considerações e limitações, bem como requisitos de licenciamento e permissões, e explica como o uso da CPU DLP é limitado. Para obter mais informações, consulte:

Considerações e limitações

  • As políticas de DLP para Fabric são definidas no portal de conformidade do Microsoft Purview.

  • As políticas de DLP aplicam-se a espaços de trabalho. Apenas espaços de trabalho hospedados em capacidades Fabric ou Premium são suportados. Para obter mais informações, consulte Conceitos e licenças do Microsoft Fabric.

  • As cargas de trabalho de avaliação DLP afetam a capacidade. Atualmente, o DLP for Fabric está disponível sem custo adicional, mas isso está sujeito a alterações. Consulte este documento e o blog do Fabric para obter atualizações.

  • Os modelos de política de DLP ainda não são suportados para políticas de DLP de malha. Ao criar uma política de DLP para o Fabric, escolha a opção "política personalizada".

  • Atualmente, as regras de política de DLP de malha oferecem suporte a rótulos de sensibilidade e tipos de informações confidenciais como condições.

  • Não há suporte para políticas de DLP para malha para modelos semânticos de exemplo, conjuntos de dados de streaming ou modelos semânticos que se conectam à fonte de dados via DirectQuery ou conexão ao vivo. Isso inclui modelos semânticos com armazenamento misto, onde alguns dos dados vêm via modo de importação e alguns vêm via DirectQuery.

  • As políticas de DLP para Fabric aplicam-se somente aos dados na pasta Lakehouse Tables/ armazenados no formato Delta.

  • As políticas de DLP para malha suportam todos os tipos Delta primitivos, exceto timestamp_ntz.

  • Não há suporte para políticas de DLP para Fabric para os seguintes tipos de dados Delta Parquet:

    • Binário, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Dados com codecs de compressão LZ4, Zstd e Gzip.
  • Classificadores de correspondência exata de dados (EDM) e classificadores treináveis não são suportados pelo DLP for Fabric. Se você selecionar um EDM ou classificador treinável na condição de uma política, a política não produzirá resultados, mesmo que o modelo semântico ou lakehouse de fato contenha dados que satisfaçam o EDM ou o classificador treinável. Outros classificadores especificados na política retornarão resultados, se houver.

  • As políticas de DLP para Fabric não são suportadas na região Norte da China. Consulte Como localizar a região padrão da sua organização para saber como localizar a região de dados padrão da sua organização.

  • As capacidades do Azure não são suportadas para DLP no Fabric nos seguintes clusters:

    • WUS3
    • WUS2
    • SCUS
  • A integração de um novo locatário ao DLP pode levar algumas horas, dependendo do número de espaços de trabalho suportados que estão sendo integrados.

Licenciamento e permissões

Licenciamento de SKU/assinaturas

Antes de começar a usar o DLP para Fabric, você deve confirmar sua assinatura do Microsoft 365. A conta de administrador que configura as regras de DLP deve receber uma das seguintes licenças:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Proteção de informações do Microsoft 365 E5 & Governança
  • Capacidades de alçada

Permissões

Os dados do DLP for Fabric podem ser visualizados no Activity explorer. Há quatro funções que concedem permissão ao Activity explorer; A conta que você usa para acessar os dados deve ser membro de qualquer um deles.

Para exibir o Activity explorer, a conta que você usa para acessar os dados deve ser membro de qualquer uma das seguintes funções ou acima.

  • Administrador de Conformidade
  • Administrador de segurança
  • Administrador de dados de conformidade

Tipos de itens suportados

Atualmente, as políticas de DLP para Fabric suportam os seguintes tipos de item.

  • Modelos semânticos
  • Casas dos lagos

Consulte Considerações e limitações para exceções.

Como funcionam as políticas de DLP para o Fabric

Você define uma política de DLP na seção de prevenção de perda de dados do portal Microsoft Purview. Na política, você especifica os rótulos de confidencialidade e/ou os tipos de informações confidenciais que deseja detetar. Você também especifica as ações que acontecerão quando a política detetar um modelo semântico ou lakehouse que contenha dados confidenciais do tipo especificado. As políticas de DLP para Fabric suportam duas ações:

  • Notificação do usuário por meio de dicas de política.

  • Alertas. Os alertas podem ser enviados por e-mail para administradores e usuários. Além disso, os administradores podem monitorar e gerenciar alertas na guia Alertas no portal de conformidade.

  • Restrinja o acesso. Quando um modelo semântico viola uma política configurada com uma ação de acesso restrito, o acesso ao modelo semântico será restrito, seja aos proprietários de dados ou aos membros da organização, dependendo de como a política está configurada. Todos os outros usuários perderão o acesso ao modelo semântico.

    Nota

    Atualmente, a restrição de acesso é imposta apenas em modelos semânticos. Quando uma violação de uma política que tem a ação de restringir acesso é detetada em uma casa do lago, a política é acionada, mas o acesso à casa do lago não é bloqueado. Em vez disso, a violação é tratada como uma violação regular, com uma dica de política e um alerta.

Quando um modelo semântico ou lakehouse é avaliado por políticas DLP, se corresponder às condições especificadas em uma política DLP, as ações especificadas na política ocorrem. As políticas de DLP são iniciadas pelas seguintes ações:

Modelos semânticos:

Um modelo semântico é avaliado em relação às políticas de DLP sempre que ocorre um dos seguintes eventos:

  • Publicar
  • Voltar a publicar
  • Atualização a pedido
  • Atualização agendada

Nota

A avaliação DLP do modelo semântico não ocorrerá se uma das seguintes situações for verdadeira:

  • O iniciador do evento (publicar, republicar, atualizar sob demanda, atualização agendada) é uma conta que usa a autenticação da entidade de serviço.
  • O proprietário do modelo semântico é uma entidade de serviço.

Casa do lago:

Uma lakehouse é avaliada em relação às políticas de DLP Quando os dados dentro de uma lakehouse passam por uma alteração, como obter novos dados, conectar uma nova fonte, adicionar ou atualizar tabelas existentes e muito mais.

O que acontece quando um item é sinalizado por uma política de DLP de malha

Quando uma política de DLP deteta um problema com um item:

  • Se a "notificação do usuário" estiver habilitada na política, o item será marcado na Malha com um ícone que indica que uma política DLP detetou um problema com o item. Passe o cursor sobre o ícone para exibir um cartão de foco que fornece uma opção para ver todos os detalhes em um painel lateral. Para obter mais informações sobre o que você vê no painel lateral, consulte Responder a uma violação de DLP na malha.

    Captura de tela do ícone de dica de política no hub de dados do OneLake.

    Para modelos semânticos, abrir a página de detalhes mostrará uma dica de política que explica a violação da política e como o tipo de informação confidencial detetada deve ser tratada. Selecionar Ver tudo abre um painel lateral com todos os detalhes da política.

    Captura de tela da dica de política na página de detalhes do modelo semântico.

    Nota

    Se você ocultar a dica de política, ela não será excluída. Ele aparecerá na próxima vez que você visitar a página.

    Para lakehouses, a indicação aparecerá no cabeçalho no modo de edição, e abrir o fly out torna possível ver mais detalhes sobre as dicas de política que afetam o lakehouse. Selecionar Ver tudo abre um painel lateral com todos os detalhes da política.

    Captura de tela da dica de política no submenu de cabeçalho lakehouse.

  • Se os alertas estiverem habilitados na política, um alerta será registrado na página Alertas de prevenção contra perda de dados no portal Microsoft Purview e (se configurado) um email será enviado para administradores e/ou usuários especificados. Para obter mais informações, consulte Monitorar e gerenciar violações de política DLP.