Настройка политик защиты от потери данных для Fabric
Политики защиты от потери данных для Fabric помогают организациям защитить конфиденциальные данные, обнаруживая отправку конфиденциальных данных в поддерживаемых типах элементов. Когда возникает нарушение политики, владельцы данных могут видеть это, и оповещения могут отправляться владельцам данных и администраторам безопасности, а также могут быть расследованы нарушения. Дополнительные сведения см. в статье Начало работы с политиками защиты от потери данных для Fabric и Power BI.
В этой статье описывается настройка политик защиты от потери данных Purview (DLP) для Fabric. Целевая аудитория — это администраторы соответствия требованиям, которые отвечают за предотвращение потери данных в организации.
Необходимые компоненты
Учетная запись, используемая для создания политик защиты от потери данных, должна быть членом одной из этих групп ролей.
- Администратор соответствия требованиям
- Администратор данных соответствия
- Защита информации
- Администратор Information Protection
- Администратор безопасности
Лицензирование SKU/subscriptions
Прежде чем приступить к работе с DLP для Fabric и Power BI, необходимо подтвердить подписку Microsoft 365. Учетная запись администратора, которая настраивает правила защиты от потери данных, должна быть назначена одной из следующих лицензий:
- Microsoft 365 E5
- Соответствие требованиям Microsoft 365 E5
- Microsoft 365 E5 Information Protection и управление
- Емкости Purview
Настройка политики защиты от потери данных для Fabric
Откройте страницу политик предотвращения потери данных на портале Microsoft Purview и нажмите кнопку +Создать политику.
Примечание.
Параметр "+ Создать политику " доступен только в том случае, если выполнены предварительные требования.
Выберите пользовательскую категорию и шаблон настраиваемой политики. По завершении нажмите Далее.
Примечание.
В настоящее время никакие другие категории или шаблоны не поддерживаются.
Назовите политику и укажите понятное описание. По завершении нажмите Далее.
Нажмите кнопку "Далее", когда вы получите страницу "Назначение единиц администрирования". Единицы администрирования не поддерживаются для защиты от потери данных в Fabric и Power BI.
Выберите рабочие области Fabric и Power BI в качестве расположения политики защиты от потери данных. Все остальные расположения будут отключены, так как политики защиты от потери данных для Fabric и Power BI поддерживают только это расположение.
По умолчанию политика будет применяться ко всем рабочим областям. Однако можно указать определенные рабочие области для включения в политику, а также рабочих областей, которые следует исключить из политики. Чтобы указать определенные рабочие области для включения или исключения, нажмите кнопку "Изменить".
Примечание.
Действия защиты от потери данных поддерживаются только для рабочих областей, размещенных в емкостях Fabric или Premium.
После включения Fabric и Power BI в качестве расположения защиты от потери данных для политики и выбора рабочих областей, к которым будет применяться политика, нажмите кнопку "Далее".
Откроется страница "Определение параметров политики". Нажмите кнопку "Создать" или настроить расширенные правила защиты от потери данных, чтобы начать определение политики.
По завершении нажмите Далее.
На странице "Настройка расширенных правил защиты от потери данных" можно начать создание нового правила или выбрать существующее правило для редактирования. Выберите Создать правило.
Появится страница Создание правила. На странице создания правила укажите имя и описание правила, а затем настройте другие разделы, которые описаны на рисунке ниже.
Условия
В разделе условий определяются условия, при которых политика будет применяться к поддерживаемым типам элементов. Условия создаются в группах. Группы позволяют создавать сложные условия.
Откройте раздел условий. Выберите " Добавить условие ", если вы хотите создать простое или сложное условие, или добавить группу , если вы хотите приступить к созданию сложного условия.
Дополнительные сведения об использовании построителя условий см. в статье "Сложный дизайн правил".
Если выбрано условие "Добавить", выберите "Содержимое" и "Добавить", а затем типы конфиденциальной информации или метки конфиденциальности.
Если вы начали работу с группой добавления, вы в конечном итоге получите состояние "Добавить", после чего вы продолжите работу, как описано выше.
При выборе типов конфиденциальной информации или меток конфиденциальности вы сможете выбрать определенные метки конфиденциальности или типы конфиденциальной информации, которые вы хотите обнаружить в списке, который будет отображаться на боковой панели.
При выборе типа конфиденциальной информации в качестве условия необходимо указать, сколько экземпляров этого типа необходимо обнаружить, чтобы условие считалось соблюденным. Можно указать от 1 до 500 экземпляров. Если вы хотите обнаружить 500 или более уникальных экземпляров, введите диапазон от "500" до "Any". Вы также можете выбрать степень достоверности в алгоритме сопоставления. Нажмите кнопку сведений рядом с уровнем достоверности, чтобы увидеть определение каждого уровня.
В группу можно добавить дополнительные метки конфиденциальности или типы конфиденциальной информации. Справа от имени группы можно указать любое из них или все из них. Это определяет, требуются ли совпадения для всех или любых элементов в группе для удержания условия. Если вы указали несколько меток конфиденциальности, вы сможете выбрать только любой из них, так как элементы Fabric и Power BI не могут применять несколько меток.
На рисунке ниже показана группа (по умолчанию), содержащая два условия метки конфиденциальности. Логика Любого из этих значений означает, что совпадение на любой из меток конфиденциальности в группе является истинным для этой группы.
Чтобы получить логику правила, суммированного в предложении, можно использовать быстрый переключатель.
Вы можете создать несколько групп и управлять логикой между группами с помощью ЛОГИКИ AND или OR .
На рисунке ниже показано правило, содержащее две группы, присоединенные к логике OR .
Ниже приведено то же правило, что и краткая сводка.
Действия
Если вы хотите ограничить доступ к элементам, которые активируют политику, разверните раздел "Ограничить доступ" или зашифруйте содержимое в расположениях Microsoft 365 и выберите "Запретить пользователям получать электронную почту" или получать доступ к общим файлам SharePoint, OneDrive и Teams и элементам Power BI. Затем выберите, следует ли блокировать всех или только пользователей в вашей организации.
При включении действия ограничения доступа пользователь переопределяется автоматически.
Примечание.
Действие ограничения доступа применяется только для семантических моделей.
Уведомления пользователя
В разделе уведомлений пользователей вы настроите подсказку политики. Включите переключатель, установите флажок "Уведомить пользователей в службе Office 365" с подсказкой политики или Уведомления по электронной почте, а затем установите флажок "Советы по политике". Напишите подсказку политики в появившемся текстовом поле.
Пользовательские переопределения
Если вы включили уведомления пользователей и выбрали пользователей уведомления в службе Office 365 с флажком подсказки политики, владельцы элементов с нарушениями политики защиты от потери данных (владельцы , то есть пользователи с ролью администратора или участника в рабочей области, где находится элемент) смогут реагировать на нарушения на боковой панели политик защиты от потери данных. которые они могут отображать из кнопки или ссылки на подсказке политики. Выбор параметров ответа зависит от выбора, который вы выбрали в разделе "Переопределения пользователей ".
Ниже описаны параметры.
Разрешить переопределение из служб M365. Позволяет пользователям в Power BI, Exchange, SharePoint, OneDrive и Teams переопределить ограничения политики (автоматически выбрано, когда вы включили уведомления пользователей и выбрали Уведомлять пользователей в службе Office 365 с помощью флажка подсказки политики): пользователи смогут сообщить о проблеме как ложноположительное или переопределить политику.
Требовать, чтобы бизнес-обоснование переопределяется: пользователи смогут сообщить о проблеме как ложноположительное или переопределить политику. Если они решили переопределить, им потребуется предоставить бизнес-обоснование.
Переопределите правило автоматически, если они сообщают о нем как ложноположительное срабатывание: пользователи смогут сообщить о проблеме как ложноположительное и автоматически переопределить политику, или они могут просто переопределить политику, не сообщая о ней как ложное срабатывание.
Если вы выбираете правило автоматически, если они сообщают о нем как ложноположительное срабатывание и требуется переопределить бизнес-обоснование, пользователи смогут сообщить о проблеме как ложноположительное и автоматически переопределить политику, или они могут просто переопределить политику, не сообщая о ней как ложное положительное, но они должны предоставить бизнес-обоснование.
Переопределение политики означает, что с этого момента политика больше не будет проверять элемент для конфиденциальных данных.
Сообщение о проблеме как ложное положительное означает, что владелец данных считает, что политика ошибочно определила конфиденциальные данные как конфиденциальные. Для точной настройки правил можно использовать ложные срабатывания.
Любое действие, которое пользователь принимает, регистрируется для создания отчетов.
Отчет об инцидентах
Назначьте уровень серьезности, который будет отображаться в оповещениях, созданных из этой политики. Включите (по умолчанию) или отключите уведомление по электронной почте администраторам, укажите пользователей или группы для уведомлений по электронной почте и настройте сведения о том, когда будет происходить уведомление.
Дополнительные параметры
Рекомендации и ограничения
- Шаблоны политик защиты от потери данных пока не поддерживаются для политик защиты от потери данных в Структуре. При создании политики защиты от потери данных для Fabric выберите параметр настраиваемой политики .
- Правила политики защиты от потери данных в Структуре в настоящее время поддерживают метки конфиденциальности и типы конфиденциальной информации в качестве условий.