通过

Fabric 和 Power BI 的数据丢失防护策略入门

  • 项目

本文介绍 Fabric 中Microsoft Purview 数据丢失防护 (DLP) 策略。 目标受众是 Fabric 管理员、安全性和合规性团队以及 Fabric 数据所有者。

概述

为了帮助组织检测和保护其敏感数据,Fabric 支持Microsoft Purview 数据丢失防护 (DLP) 策略。 当用于 Fabric 的 DLP 策略检测到包含敏感信息 的支持项类型 时,可以将策略提示附加到说明敏感内容性质的项,并且可以在 Microsoft Purview 门户的数据丢失防护 警报 页上注册警报,供管理员进行监视和管理。 此外,可以向管理员和指定用户发送电子邮件警报。

本文介绍 Fabric 中的 DLP 的工作原理,列出了注意事项和限制以及许可和权限要求,并说明如何对 DLP CPU 使用率进行计量。 有关更多信息,请参阅:

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

注意事项和限制

  • Fabric 的 DLP 策略在 Microsoft Purview 门户中定义。
  • DLP 策略适用于工作区。 仅支持在 Fabric 或高级容量中托管的工作区。 有关详细信息,请参阅 Microsoft Fabric 概念和许可证
  • DLP 评估工作负载会影响容量。 目前,DLP for Fabric 免费提供,但可能会发生更改。 查看此文档和 Fabric 博客以获取更新。
  • 构造 DLP 策略尚不支持 DLP 策略模板。 为 Fabric 创建 DLP 策略时,请选择“自定义策略”选项。
  • 构造 DLP 策略规则当前支持敏感度标签和敏感信息类型作为条件。
  • 通过 DirectQuery实时连接连接到数据源的示例语义模型、流数据集或语义模型不支持 Fabric 的 DLP 策略。 这包括具有混合存储的语义模型,其中一些数据通过导入模式提供,一些数据通过 DirectQuery。
  • Fabric 的 DLP 策略仅适用于以 Delta 格式存储的 Lakehouse 表/文件夹中的数据。
  • Fabric 的 DLP 策略支持除 timestamp_ntz之外的所有基元 Delta 类型。
  • 以下 Delta Parquet 数据类型不支持 Fabric 的 DLP 策略:
    • Binary、timestamp_ntz、Struct、Array、List、Map、Json、Enum、Interval、Void。
    • 使用 LZ4、Zstd 和 Gzip 压缩编解码器的数据。
  • DLP for Fabric 不支持 (EDM) 分类器和可训练分类器进行精确数据匹配。 如果在策略条件下选择 EDM 或可训练分类器,则即使语义模型或 lakehouse 确实包含满足 EDM 或可训练分类器的数据,该策略也不会产生任何结果。 策略中指定的其他分类器将返回结果(如果有)。
  • 中国北部区域不支持 Fabric 的 DLP 策略。 请参阅 如何查找组织的默认区域 ,了解如何查找组织的默认数据区域。
  • 以下群集中的 Fabric 中的 DLP 不支持 Azure 容量:
    • WUS3
    • WUS2
    • SCUS
  • 将新租户加入 DLP 可能需要几个小时,具体取决于正在载入的受支持工作区的数量。

许可和权限

SKU/订阅许可

开始使用 DLP for Power BI 之前,应确认 Microsoft 365订阅。 有关完整许可指南,请参阅 有关安全性和合规性的Microsoft 365 指南

权限

可以在 活动资源管理器中查看 DLP for Fabric 中的数据。 有四个角色向活动资源管理器授予权限;用于访问数据的帐户必须是其中任何一个帐户的成员。

若要查看活动资源管理器,用于访问数据的帐户必须是以下任何角色或更高角色的成员。

  • 合规性管理员
  • 安全管理员
  • 合规性数据管理员

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。

支持的项类型

Fabric 的 DLP 策略目前支持 (预览 版) 以下项类型。

  • 语义模型
  • Lakehouses

有关异常 ,请参阅注意事项和限制

Fabric 的 DLP 策略的工作原理

可以在 Microsoft Purview 门户的数据丢失防护部分中定义 DLP 策略。 在策略中,指定要检测的敏感度标签和/或敏感信息类型。 还可以指定当策略检测到语义模型或湖屋时将发生的操作,该模型或湖屋包含你指定的类型的敏感数据。 Fabric 的 DLP 策略支持三个操作:

  • 通过策略提示通知用户。

  • 警报。 可以通过电子邮件发送警报给管理员和用户。 此外,管理员可以在 Purview 门户中的“警报”选项卡上监视和管理 警报

  • 限制访问。 当 受支持的项类型 违反配置了限制访问操作的策略时,数据所有者或组织成员将限制对该项的访问,具体取决于策略的配置方式。 所有其他用户都将失去对项目的访问权限。

    注意

    限制访问操作仅在语义模型上强制执行。

当 DLP 策略评估语义模型或 lakehouse 时,如果它与 DLP 策略中指定的条件匹配,则会发生策略中指定的操作。 DLP 策略通过以下操作启动:

语义模型

每当发生以下事件之一时,都会根据 DLP 策略评估语义模型:

  • 发布
  • Republish
  • 按需刷新
  • 已计划刷新

注意

如果存在以下任一情况,则不会对语义模型进行 DLP 评估:

  • 事件发起方 (发布、重新发布、按需刷新、计划刷新) 是使用服务主体身份验证的帐户。
  • 语义模型所有者是服务主体。

Lakehouse

当湖屋中的数据发生更改(例如获取新数据、连接新源、添加或更新现有表等)时,会根据 DLP 策略评估 lakehouse。

当项被构造 DLP 策略标记时会发生什么情况

当 DLP 策略检测到项问题时:

  • 如果在策略中启用了“用户通知”,则会在 Fabric 中标记项目,并显示一个图标,指示 DLP 策略检测到该项目的问题。 将鼠标悬停在图标上可显示悬停卡,该卡提供在侧面板中查看完整详细信息的选项。 有关在侧面板中看到的内容的详细信息,请参阅 响应 Fabric 中的 DLP 冲突

    OneLake 数据中心内策略提示图标的屏幕截图。

    对于语义模型,打开详细信息页将显示策略提示,说明策略冲突以及如何处理检测到的敏感信息类型。 选择“ 全部查看 ”将打开一个侧面板,其中包含所有策略详细信息。

    语义模型详细信息页上的策略提示的屏幕截图。

    注意

    如果隐藏策略提示,则不会将其删除。 下次访问页面时会显示该页面。

    对于 lakehouse,指示将以编辑模式显示在标头中,打开浮出控件可查看有关影响 lakehouse 的策略提示的更多详细信息。 选择“ 全部查看 ”将打开一个侧面板,其中包含所有策略详细信息。

    lakehouse 标头浮出控件中的策略提示的屏幕截图。

  • 如果在策略中启用了警报,则会在 Microsoft Purview 门户的数据丢失防护 警报 页上记录警报,如果配置) 则会向管理员和/或指定用户发送电子邮件, (。 有关详细信息,请参阅 监视和管理 DLP 策略冲突

为 Power BI/Fabric 配置 DLP 策略

按照 创建和部署数据丢失防护策略 中的过程操作,并使用自定义模板。

重要

为 Power BI/Fabric 选择 DLP 策略的位置时,请仅选择 Power BI/Fabric 位置。 请勿选择任何其他位置,此配置不受支持。

另请参阅