Поделиться через


Настройка политик защиты от потери данных для Fabric

Политики защиты от потери данных для Fabric помогают организациям защитить конфиденциальные данные, обнаруживая отправку конфиденциальных данных в поддерживаемых типах элементов. Когда возникает нарушение политики, владельцы данных могут видеть это, и оповещения могут отправляться владельцам данных и администраторам безопасности, а также могут быть расследованы нарушения. Дополнительные сведения см. в статье Начало работы с политиками защиты от потери данных для Fabric и Power BI.

В этой статье описывается настройка политик защиты от потери данных Purview (DLP) для Fabric. Целевая аудитория — это администраторы соответствия требованиям, которые отвечают за предотвращение потери данных в организации.

Необходимые компоненты

Учетная запись, используемая для создания политик защиты от потери данных, должна быть членом одной из этих групп ролей.

  • Администратор соответствия требованиям
  • Администратор данных соответствия
  • Защита информации
  • Администратор Information Protection
  • Администратор безопасности

Лицензирование SKU/subscriptions

Прежде чем приступить к работе с DLP для Fabric и Power BI, необходимо подтвердить подписку Microsoft 365. Учетная запись администратора, которая настраивает правила защиты от потери данных, должна быть назначена одной из следующих лицензий:

  • Microsoft 365 E5
  • Соответствие требованиям Microsoft 365 E5
  • Microsoft 365 E5 Information Protection и управление
  • Емкости Purview

Настройка политики защиты от потери данных для Fabric

  1. Откройте страницу политик предотвращения потери данных на портале Microsoft Purview и нажмите кнопку +Создать политику.

    Снимок экрана: страница создания политики D L P.

    Примечание.

    Параметр "+ Создать политику " доступен только в том случае, если выполнены предварительные требования.

  2. Выберите пользовательскую категорию и шаблон настраиваемой политики. По завершении нажмите Далее.

    Снимок экрана: страница выбора настраиваемой политики D L P.

    Примечание.

    В настоящее время никакие другие категории или шаблоны не поддерживаются.

  3. Назовите политику и укажите понятное описание. По завершении нажмите Далее.

    Снимок экрана: раздел описания имени политики D L P.

  4. Нажмите кнопку "Далее", когда вы получите страницу "Назначение единиц администрирования". Единицы администрирования не поддерживаются для защиты от потери данных в Fabric и Power BI.

    Снимок экрана: раздел

  5. Выберите рабочие области Fabric и Power BI в качестве расположения политики защиты от потери данных. Все остальные расположения будут отключены, так как политики защиты от потери данных для Fabric и Power BI поддерживают только это расположение.

    Снимок экрана: страница выбора расположения D L P.

    По умолчанию политика будет применяться ко всем рабочим областям. Однако можно указать определенные рабочие области для включения в политику, а также рабочих областей, которые следует исключить из политики. Чтобы указать определенные рабочие области для включения или исключения, нажмите кнопку "Изменить".

    Примечание.

    Действия защиты от потери данных поддерживаются только для рабочих областей, размещенных в емкостях Fabric или Premium.

    После включения Fabric и Power BI в качестве расположения защиты от потери данных для политики и выбора рабочих областей, к которым будет применяться политика, нажмите кнопку "Далее".

  6. Откроется страница "Определение параметров политики". Нажмите кнопку "Создать" или настроить расширенные правила защиты от потери данных, чтобы начать определение политики.

    Снимок экрана: страница создания расширенного правила D L P.

    По завершении нажмите Далее.

  7. На странице "Настройка расширенных правил защиты от потери данных" можно начать создание нового правила или выбрать существующее правило для редактирования. Выберите Создать правило.

    Снимок экрана: страница создания правила D L P.

  8. Появится страница Создание правила. На странице создания правила укажите имя и описание правила, а затем настройте другие разделы, которые описаны на рисунке ниже.

    Снимок экрана: форма создания правила D L P.

Условия

В разделе условий определяются условия, при которых политика будет применяться к поддерживаемым типам элементов. Условия создаются в группах. Группы позволяют создавать сложные условия.

  1. Откройте раздел условий. Выберите " Добавить условие ", если вы хотите создать простое или сложное условие, или добавить группу , если вы хотите приступить к созданию сложного условия.

    Снимок экрана: содержимое о добавлении условий D L P содержит раздел.

    Дополнительные сведения об использовании построителя условий см. в статье "Сложный дизайн правил".

  2. Если выбрано условие "Добавить", выберите "Содержимое" и "Добавить", а затем типы конфиденциальной информации или метки конфиденциальности.

    Снимок экрана: раздел

    Если вы начали работу с группой добавления, вы в конечном итоге получите состояние "Добавить", после чего вы продолжите работу, как описано выше.

    При выборе типов конфиденциальной информации или меток конфиденциальности вы сможете выбрать определенные метки конфиденциальности или типы конфиденциальной информации, которые вы хотите обнаружить в списке, который будет отображаться на боковой панели.

    Снимок экрана: выбор типов конфиденциальности и конфиденциальной информации.

    При выборе типа конфиденциальной информации в качестве условия необходимо указать, сколько экземпляров этого типа необходимо обнаружить, чтобы условие считалось соблюденным. Можно указать от 1 до 500 экземпляров. Если вы хотите обнаружить 500 или более уникальных экземпляров, введите диапазон от "500" до "Any". Вы также можете выбрать степень достоверности в алгоритме сопоставления. Нажмите кнопку сведений рядом с уровнем достоверности, чтобы увидеть определение каждого уровня.

    Снимок экрана: параметр уровня достоверности для типов конфиденциальной информации.

    В группу можно добавить дополнительные метки конфиденциальности или типы конфиденциальной информации. Справа от имени группы можно указать любое из них или все из них. Это определяет, требуются ли совпадения для всех или любых элементов в группе для удержания условия. Если вы указали несколько меток конфиденциальности, вы сможете выбрать только любой из них, так как элементы Fabric и Power BI не могут применять несколько меток.

    На рисунке ниже показана группа (по умолчанию), содержащая два условия метки конфиденциальности. Логика Любого из этих значений означает, что совпадение на любой из меток конфиденциальности в группе является истинным для этой группы.

    Снимок экрана: раздел группы условий D L P.

    Чтобы получить логику правила, суммированного в предложении, можно использовать быстрый переключатель.

    Снимок экрана: краткий обзор условий D L P.

    Вы можете создать несколько групп и управлять логикой между группами с помощью ЛОГИКИ AND или OR .

    На рисунке ниже показано правило, содержащее две группы, присоединенные к логике OR .

    Снимок экрана: правило с двумя группами.

    Ниже приведено то же правило, что и краткая сводка.

    Снимок экрана: краткая сводка правила с двумя группами.

Действия

Если вы хотите ограничить доступ к элементам, которые активируют политику, разверните раздел "Ограничить доступ" или зашифруйте содержимое в расположениях Microsoft 365 и выберите "Запретить пользователям получать электронную почту" или получать доступ к общим файлам SharePoint, OneDrive и Teams и элементам Power BI. Затем выберите, следует ли блокировать всех или только пользователей в вашей организации.

При включении действия ограничения доступа пользователь переопределяется автоматически.

Примечание.

Действие ограничения доступа применяется только для семантических моделей.

Уведомления пользователя

В разделе уведомлений пользователей вы настроите подсказку политики. Включите переключатель, установите флажок "Уведомить пользователей в службе Office 365" с подсказкой политики или Уведомления по электронной почте, а затем установите флажок "Советы по политике". Напишите подсказку политики в появившемся текстовом поле.

Снимок экрана: раздел уведомления пользователя D L P.

Пользовательские переопределения

Если вы включили уведомления пользователей и выбрали пользователей уведомления в службе Office 365 с флажком подсказки политики, владельцы элементов с нарушениями политики защиты от потери данных (владельцы , то есть пользователи с ролью администратора или участника в рабочей области, где находится элемент) смогут реагировать на нарушения на боковой панели политик защиты от потери данных. которые они могут отображать из кнопки или ссылки на подсказке политики. Выбор параметров ответа зависит от выбора, который вы выбрали в разделе "Переопределения пользователей ".

Снимок экрана: раздел переопределения пользователя D L P.

Ниже описаны параметры.

  • Разрешить переопределение из служб M365. Позволяет пользователям в Power BI, Exchange, SharePoint, OneDrive и Teams переопределить ограничения политики (автоматически выбрано, когда вы включили уведомления пользователей и выбрали Уведомлять пользователей в службе Office 365 с помощью флажка подсказки политики): пользователи смогут сообщить о проблеме как ложноположительное или переопределить политику.

  • Требовать, чтобы бизнес-обоснование переопределяется: пользователи смогут сообщить о проблеме как ложноположительное или переопределить политику. Если они решили переопределить, им потребуется предоставить бизнес-обоснование.

  • Переопределите правило автоматически, если они сообщают о нем как ложноположительное срабатывание: пользователи смогут сообщить о проблеме как ложноположительное и автоматически переопределить политику, или они могут просто переопределить политику, не сообщая о ней как ложное срабатывание.

  • Если вы выбираете правило автоматически, если они сообщают о нем как ложноположительное срабатывание и требуется переопределить бизнес-обоснование, пользователи смогут сообщить о проблеме как ложноположительное и автоматически переопределить политику, или они могут просто переопределить политику, не сообщая о ней как ложное положительное, но они должны предоставить бизнес-обоснование.

Переопределение политики означает, что с этого момента политика больше не будет проверять элемент для конфиденциальных данных.

Сообщение о проблеме как ложное положительное означает, что владелец данных считает, что политика ошибочно определила конфиденциальные данные как конфиденциальные. Для точной настройки правил можно использовать ложные срабатывания.

Любое действие, которое пользователь принимает, регистрируется для создания отчетов.

Отчет об инцидентах

Назначьте уровень серьезности, который будет отображаться в оповещениях, созданных из этой политики. Включите (по умолчанию) или отключите уведомление по электронной почте администраторам, укажите пользователей или группы для уведомлений по электронной почте и настройте сведения о том, когда будет происходить уведомление.

Снимок экрана: раздел отчета об инциденте D L P.

Дополнительные параметры

Снимок экрана: раздел дополнительных параметров D L P.

Рекомендации и ограничения

  • Шаблоны политик защиты от потери данных пока не поддерживаются для политик защиты от потери данных в Структуре. При создании политики защиты от потери данных для Fabric выберите параметр настраиваемой политики .
  • Правила политики защиты от потери данных в Структуре в настоящее время поддерживают метки конфиденциальности и типы конфиденциальной информации в качестве условий.