Partilhar via

Introdução às políticas de prevenção de perda de dados para Recursos de Infraestrutura e Power BI

  • Artigo

Este artigo descreve Prevenção Contra Perda de Dados do Microsoft Purview políticas (DLP) nos Recursos de Infraestrutura. A audiência de destino é Administradores de recursos de infraestrutura, equipas de segurança e conformidade e proprietários de dados dos Recursos de Infraestrutura.

Visão Geral

Para ajudar as organizações a detetar e proteger os respetivos dados confidenciais, o Fabric suporta políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP). Quando uma política DLP para Recursos de Infraestrutura deteta um tipo de item suportado que contém informações confidenciais, pode ser anexada uma sugestão de política ao item que explica a natureza dos conteúdos confidenciais e pode ser registado um alerta na página Alertas de prevenção de perda de dados no portal do Microsoft Purview para monitorização e gestão por administradores. Além disso, os alertas por email podem ser enviados para administradores e usuários especificados.

Este artigo descreve como funciona o DLP nos Recursos de Infraestrutura, apresenta uma lista de considerações e limitações, bem como requisitos de licenciamento e permissões, e explica como a utilização da CPU DLP é limitada. Para saber mais, confira:

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Considerações e limitações

  • As políticas DLP para Recursos de Infraestrutura são definidas no portal do Microsoft Purview.
  • As políticas DLP se aplicam aos espaços de trabalho. Apenas são suportadas áreas de trabalho alojadas nas capacidades Recursos de Infraestrutura ou Premium. Para obter mais informações, veja Conceitos e licenças do Microsoft Fabric.
  • As cargas de trabalho de avaliação DLP afetam a capacidade. Atualmente, o DLP para Recursos de Infraestrutura está disponível sem custos adicionais, mas está sujeito a alterações. Consulte este documento e o blogue recursos de infraestrutura para obter atualizações.
  • Os modelos de política DLP ainda não são suportados para políticas DLP de Recursos de Infraestrutura. Ao criar uma política DLP para Recursos de Infraestrutura, escolha a opção "política personalizada".
  • As regras de política DLP dos recursos de infraestrutura suportam atualmente etiquetas de confidencialidade e tipos de informações confidenciais como condições.
  • As políticas DLP para Recursos de Infraestrutura não são suportadas para modelos semânticos de exemplo, conjuntos de dados de transmissão em fluxo ou modelos semânticos que se ligam à respetiva origem de dados através do DirectQuery ou da ligação em direto. Isto inclui modelos semânticos com armazenamento misto, onde alguns dos dados são fornecidos através do modo de importação e alguns são fornecidos através do DirectQuery.
  • As políticas DLP para Recursos de Infraestrutura aplicam-se apenas a dados em Tabelas do Lakehouse/pasta armazenada no formato Delta.
  • As políticas DLP para Recursos de Infraestrutura suportam todos os tipos primitivos de Delta, exceto timestamp_ntz.
  • As políticas DLP para Recursos de Infraestrutura não são suportadas para os seguintes tipos de dados do Delta Parquet:
    • Binário, timestamp_ntz, Estrutura, Matriz, Lista, Mapa, Json, Enumeração, Intervalo, Vazio.
    • Dados com codecs de compressão LZ4, Zstd e Gzip.
  • Os classificadores exatos de correspondência de dados (EDM) e classificadores treináveis não são suportados pelo DLP para Recursos de Infraestrutura. Se selecionar um EDM ou um classificador treinável na condição de uma política, a política não produzirá resultados, mesmo que o modelo semântico ou lakehouse contenha dados que satisfaçam o EDM ou o classificador treinável. Outros classificadores especificados na política irão devolver resultados, se existirem.
  • As políticas DLP para Recursos de Infraestrutura não são suportadas na região Norte da China. Veja Como localizar a região predefinida da sua organização para saber como encontrar a região de dados predefinida da sua organização.
  • As capacidades do Azure não são suportadas para DLP nos Recursos de Infraestrutura nos seguintes clusters:
    • WUS3
    • WUS2
    • SCUS
  • A inclusão de um novo inquilino no DLP pode demorar algumas horas, consoante o número de áreas de trabalho suportadas que estão a ser integradas.

Licenciamento e permissões

Licenciamento SKU/assinaturas

Antes de começar a usar a DLP para Power BI, confirme sua assinatura Microsoft 365. Para obter diretrizes completas de licenciamento, confira Diretrizes Microsoft 365 para segurança e conformidade.

Permissões

Os dados do DLP para Recursos de Infraestrutura podem ser visualizados no Explorador de atividades. Existem quatro funções que concedem permissão ao Explorador de atividades; a conta que utiliza para aceder aos dados tem de ser membro de qualquer uma delas.

Para ver o Explorador de atividades, a conta que utiliza para aceder aos dados tem de ser membro de qualquer uma das seguintes funções ou acima.

  • Administrador de conformidade
  • Administrador de segurança
  • Administrador de dados de conformidade

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que só deve ser utilizada em cenários em que não é possível utilizar uma função com privilégios menores.

Tipos de itens suportados

As políticas DLP para Recursos de Infraestrutura suportam atualmente (pré-visualização) os seguintes tipos de itens.

  • Modelos semânticos
  • Lakehouses

Veja Considerações e limitações para obter exceções.

Como funcionam as políticas DLP para Recursos de Infraestrutura

Define uma política DLP na secção prevenção de perda de dados do portal do Microsoft Purview. Na política, especifique as etiquetas de confidencialidade e/ou os tipos de informações confidenciais que pretende detetar. Também especifica as ações que ocorrerão quando a política detetar um modelo semântico ou lakehouse que contenha dados confidenciais do tipo que especificou. As políticas DLP para Recursos de Infraestrutura suportam três ações:

  • Notificação do usuário por meio de dicas de política.

  • Alertas. Os alertas podem ser enviados por email para administradores e usuários. Além disso, os administradores podem monitorizar e gerir alertas no separador Alertas no portal do Purview.

  • Restringir o acesso. Quando um tipo de item suportado viola uma política configurada com a ação de acesso restrito, o acesso ao item é restrito, quer para os proprietários de dados, quer para os membros da organização, dependendo da forma como a política é configurada. Todos os outros utilizadores perderão o acesso ao item.

    Observação

    A ação restringir o acesso só é imposta em modelos semânticos.

Quando um modelo semântico ou lakehouse é avaliado pelas políticas DLP, se corresponder às condições especificadas numa política DLP, ocorrem as ações especificadas na política. As políticas DLP são iniciadas pelas seguintes ações:

Modelos semânticos:

Um modelo semântico é avaliado em relação às políticas DLP sempre que ocorre um dos seguintes eventos:

  • Publicar
  • Republish
  • Atualização sob demanda
  • Atualização agendada

Observação

A avaliação DLP do modelo semântico não ocorre se um dos seguintes casos for verdadeiro:

  • O iniciador do evento (publicar, publicar novamente, atualização a pedido, atualização agendada) é uma conta que utiliza a autenticação do principal de serviço.
  • O proprietário do modelo semântico é um principal de serviço.

Lakehouse:

Um lakehouse é avaliado em relação a políticas DLP Quando os dados num lakehouse são alterados, como obter novos dados, ligar uma nova origem, adicionar ou atualizar tabelas existentes, etc.

O que acontece quando um item é sinalizado por uma política DLP de Recursos de Infraestrutura

Quando uma política DLP deteta um problema com um item:

  • Se a "notificação do utilizador" estiver ativada na política, o item será marcado em Recursos de Infraestrutura com um ícone que indica que uma política DLP detetou um problema com o item. Paire o cursor sobre o ícone para apresentar um card que fornece uma opção para ver os detalhes completos num painel lateral. Para obter mais informações sobre o que vê no painel lateral, veja Responder a uma violação de DLP nos Recursos de Infraestrutura.

    Captura de ecrã do ícone de sugestão de política no hub de dados do OneLake.

    Para modelos semânticos, abrir a página de detalhes mostrará uma sugestão de política que explica a violação da política e como o tipo de informações confidenciais detetadas deve ser processado. Selecionar Ver todos abre um painel lateral com todos os detalhes da política.

    Captura de ecrã a mostrar a sugestão de política na página de detalhes do modelo semântico.

    Observação

    Se você ocultar a dica de política, ela não será excluída. Ela será exibida na próxima vez que você visitar a página.

    Para lakehouses, a indicação aparecerá no cabeçalho no modo de edição e abrir a lista de opções torna possível ver mais detalhes sobre as sugestões de política que afetam o lakehouse. Selecionar Ver todos abre um painel lateral com todos os detalhes da política.

    Captura de ecrã a mostrar a sugestão de política na lista de opções de cabeçalho lakehouse.

  • Se os alertas estiverem ativados na política, será registado um alerta na página Alertas de prevenção de perda de dados no portal do Microsoft Purview e (se configurado) será enviado um e-mail aos administradores e/ou utilizadores especificados. Para obter mais informações, veja Monitorizar e gerir violações de políticas DLP.

Configurar uma política DLP para o Power BI/Fabric

Siga os procedimentos em Criar e Implementar políticas de prevenção de perda de dados e utilize o modelo personalizado.

Importante

Quando selecionar as localizações da sua política DLP para o Power BI/Fabric, selecione apenas a localização do Power BI/Fabric. Não selecione nenhum outro local, não há suporte para essa configuração.

Confira também