通过

为 Fabric 配置数据丢失防护策略

  • 项目

Fabric 的数据丢失防护策略通过检测支持的项类型的敏感数据上传来帮助组织保护其敏感数据。 发生策略违规时,数据所有者可以看到这一点,可以向数据所有者和安全管理员发送警报,并且可以调查违规行为。 有关详细信息,请参阅 Fabric 数据丢失防护策略概述

本文介绍如何为 Fabric 配置 Purview 数据丢失防护 (DLP) 策略。 目标受众是负责组织中数据丢失防护的合规性管理员。

先决条件

用于创建 DLP 策略的帐户必须是这些角色组之一的成员

  • 合规性管理员
  • 合规性数据管理员
  • 信息保护
  • Azure 信息保护管理员
  • 安全管理员

SKU/订阅许可

在开始使用 Fabric 和 Power BI 的 DLP 之前,你应确认你的 Microsoft 365 订阅。 必须为设置 DLP 规则的管理员帐户分配以下其中一个许可证:

  • Microsoft 365 E5
  • Microsoft 365 E5 符合性
  • Microsoft 365 E5 信息保护与治理
  • Purview 功能

为 Fabric 配置 DLP 策略

  1. 在 Microsoft Purview 门户中打开“数据丢失防护策略页”,然后选择“+ 创建策略”。

    DLP 的“创建策略”页面的屏幕截图。

    注意

    仅当满足先决条件时,“+ 创建策略”选项才可用。

  2. 选择“自定义”类别,然后选择“自定义策略”模板。 完成后,选择“下一步”

    DLP 的“选择自定义策略”页面的屏幕截图。

    注意

    当前不支持任何其他类别或模板。

  3. 为策略命名,并提供有意义的说明。 完成后,选择“下一步”

    DLP 的“策略名称说明”部分的屏幕截图。

  4. 到达“分配管理单元”页面后,选择“下一步”。 Fabric 和 Power BI 中的 DLP 不支持管理单元。

    DLP 策略管理单元部分的屏幕截图。

  5. 选择“Fabric 和 Power BI 工作区”作为 DLP 策略的位置。 将禁用所有其他位置,因为 Fabric 和 Power BI 的 DLP 策略仅支持此位置。

    DLP 的“选择位置”页面的屏幕截图。

    默认情况下,策略将应用于所有工作区。 但是,可以指定要包含在策略中的特定工作区以及要从策略中排除的工作区。 若要指定要包含或排除的特定工作区,请选择“编辑”。

    注意

    DLP 操作仅支持在 Fabric 或高级容量中托管的工作区。

    将 Fabric 和 Power BI 启用为策略的 DLP 位置并选择策略将应用到的工作区后,选择“下一步”。

  6. 此时将显示“定义策略设置”页。 选择“创建或自定义高级 DLP 规则”,开始定义策略。

    DLP 的“创建高级规则”页面的屏幕截图。

    完成后,选择“下一步”

  7. 在“自定义高级 DLP 规则”页上,可开始创建新规则或选择现有规则进行编辑。 选择“创建规则”。

    DLP 的“创建规则”页面的屏幕截图。

  8. 将显示“创建规则”页面。 在“创建规则”页上,提供规则的名称和说明,然后配置其他部分,如下图所述。

    DLP 的“创建规则”窗体的屏幕截图。

条件

在条件部分中,定义策略应用于受支持的项类型的条件。 条件是在组中创建的。 通过组,可创建复杂的条件。

  1. 打开“条件”部分。 如果要创建简单或复杂的条件,请选择“添加条件”;如果要开始创建复杂条件,请选择“添加组”。

    DLP 的“添加条件”-“内容包含”部分的屏幕截图。

    有关使用条件生成器的详细信息,请参阅复杂规则设计

  2. 如果选择了“添加条件”,接下来请依次选择“内容包含”、“添加”和“敏感信息类型”或“敏感度标签”。

    DLP 的“添加条件”部分的屏幕截图。

    如果从“添加组”开始,则最终将转到“添加条件”,然后继续执行上述操作。

    当你选择“敏感信息类型”或“敏感度标签”时,可以从侧栏中显示的列表中选择要检测的特定敏感度标签或敏感信息类型。

    敏感度标签和敏感信息类型选择的屏幕截图。

    选择敏感信息类型作为条件时,需要指定必须检测到多少个该类型的实例才能被认为满足条件。 可以指定 1 到 500 个实例。 如果要检测 500 个或更多唯一实例,请输入“500”到“任意”的范围。 你还可以在匹配算法中选择置信度。 选择可信度旁边的信息按钮,可以查看每个级别的定义。

    敏感信息类型的置信度设置的屏幕截图。

    可向组中添加其他敏感度标签或敏感信息类型。 在组名称的右侧,可指定“任意一个”或“全部”。 这决定了是否需要匹配组中的所有项或任意项,条件才能成立。 如果指定了多个敏感度标签,则只能选择“其中任何一个”,因为 Fabric 和 Power BI 项不能应用多个标签。

    下图显示了一个包含两个敏感度标签条件的组(名为“默认”)。 “任意一个”的逻辑是对于某个组来说,匹配该组中任意一个敏感度标签即表示满足条件。

    DLP 的“条件组”部分的屏幕截图。

    可以使用“快速摘要”切换开关来获取用一句话总结的规则逻辑。

    DLP 条件快速摘要的屏幕截图。

    可创建多个组,并且可通过 AND 或 OR 逻辑来控制组之间的逻辑。

    下图显示了一个规则,它包含两个按 OR 逻辑联接的组。

    具有两个组的规则的屏幕截图。

    下面是显示为快速摘要的同一规则。

    具有两个组的规则快速摘要的屏幕截图。

操作

如果希望策略限制对触发策略的项的访问,请展开“限制访问或加密 Microsoft 365 位置的内容”部分,然后选择“阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件以及 Power BI 项”。 然后选择是阻止所有人还是仅阻止你组织中的人。

启用限制访问操作时,会自动允许用户替代

注意

限制访问操作仅对语义模型强制执行。

用户通知

在“用户通知”部分配置策略提示。 打开切换开关,选中“在 Office 365 服务中用策略提示或电子邮件通知来通知用户”复选框,然后选择“策略提示”复选框。 在出现的文本框中编写策略提示。

DLP 的“用户通知”部分的屏幕截图。

用户替代

如果启用了用户通知,并选择了“在 Office 365 服务中用策略提示来通知用户”复选框,则出现 DLP 策略违规的项的所有者(即具有项所在工作区中的管理员或成员角色的用户)将能够在“数据丢失防护策略侧窗格”中响应违规行为,可通过策略提示的按钮或链接显示。 他们拥有的响应选项的选择取决于你在“用户替代”部分中所做的选择。

DLP 的“用户替代”部分的屏幕截图。

下面介绍了这些选项。

  • 允许来自 M365 服务的覆盖。 允许 Power BI、Exchange、SharePoint、OneDrive 和 Teams 中的用户覆盖策略限制 (如果你启用了用户通知并选中了“使用策略提示通知 Office 365 服务中的用户”复选框,该选项将自动选中):用户将能够将问题报告为误报或覆盖相应策略。

  • “需要提供业务理由才能覆盖”:用户将能够将问题报告为误报或覆盖相应策略。 如果选择替代,则需要提供业务理由。

  • “如果用户将问题报告为误报,则自动覆盖相应规则”:用户将能够将问题报告为误报并自动覆盖相应策略,或者也可以直接覆盖相应策略而不将问题报告为误报。

  • 如果你同时选中“如果用户将问题报告为误报,则自动覆盖相应规则”和“需要提供业务理由才能覆盖”,用户将能够将问题报告为误报并自动覆盖相应策略,或者也可以直接覆盖相应策略而不将问题报告为误报,但后者需要他们提供业务理由。

替代某个策略意味着从现在起,该策略将不再检查项中的敏感数据。

将问题报告为误报意味着数据所有者认为策略错误地将非敏感数据标识为了敏感数据。 你可以使用误报来微调规则。

用户执行的所有操作都会记录下来以便进行报告。

事件报告

分配将显示在此策略生成的警报中的严重性级别。 启用(这是默认设置)或禁用向管理员发送电子邮件通知,指定要向其发送电子邮件通知的用户或组,并配置关于何时发生通知的详细信息。

DLP 的“事件报告”部分的屏幕截图。

附加选项

DLP 的“其他选项”部分的屏幕截图。

注意事项和限制

  • Fabric DLP 策略尚不支持 DLP 策略模板。 为 Fabric 创建 DLP 策略时,请选择“自定义策略”选项。
  • Fabric DLP 策略规则目前支持将敏感度标签和敏感信息类型作为条件。

相关内容