为 Power BI 配置 DLP 策略
本文介绍如何为 Power BI 配置数据丢失防护 (DLP) 策略。
先决条件
开始使用 DLP for Power BI 之前,应确认 Microsoft 365 订阅。 必须为设置 DLP 规则的管理员帐户分配以下其中一个许可证:
- Microsoft 365 E5
- Microsoft 365 E5 符合性
- Microsoft 365 E5 信息保护与治理
配置策略
在导航窗格中展开“数据丢失防护”解决方案,选择“策略”,然后选择“创建策略”。
选择“自定义”类别,然后选择“自定义策略”模板。
注意
当前不支持任何其他类别或模板。
完成后,选择“下一步”。
为策略命名,并提供有意义的说明。
完成后,选择“下一步”。
到达“分配管理单元”页面后,选择“下一步”。
启用 Power BI 作为 DLP 策略的位置。 禁用其他所有位置。 目前,Power BI DLP 策略必须将 Power BI 指定为唯一位置。
默认情况下,策略将应用于所有工作区。 或者,你可指定要包含在策略中的特定工作区,以及要从策略中排除的工作区。
注意
只有托管在 Premium 容量中的工作区才能执行 DLP 操作。
如果选择“选择工作区”或“排除工作区”,则会出现一个对话框,可在其中创建要包含(或排除)的工作区。
可以按工作区名称或用户电子邮件地址搜索工作区。 按用户的电子邮件地址进行搜索时,该用户的“我的工作区”将列为“personalWorkspace - <电子邮件地址>”,然后你可以选择它。
启用 Power BI 作为策略的 DLP 位置并选择将应用策略的工作区后,选择“下一步”。
此时将显示“定义策略设置”页。 选择“创建或自定义高级 DLP 规则”,开始定义策略。
完成后,选择“下一步”。
在“自定义高级 DLP 规则”页上,可开始创建新规则或选择现有规则进行编辑。 选择“创建规则”。
将显示“创建规则”页面。 在“创建规则”页上,提供规则的名称和说明,然后配置其他部分,如下图所述。
条件
在“条件”部分中,定义策略应用于语义模型所依据的条件。 条件是在组中创建的。 通过组,可创建复杂的条件。
打开“条件”部分。 如果要创建简单或复杂的条件,请选择“添加条件”;如果要开始创建复杂条件,请选择“添加组”。
有关使用条件生成器的详细信息,请参阅复杂规则设计。
如果选择了“添加条件”,接下来请依次选择“内容包含”、“添加”和“敏感信息类型”或“敏感度标签”。
如果从“添加组”开始,则最终将转到“添加条件”,然后继续执行上述操作。
如果从“添加组”开始,则最终将转到“添加条件”,然后继续执行上述操作。
当你选择“敏感信息类型”或“敏感度标签”时,可以从侧栏中显示的列表中选择要检测的特定敏感度标签或敏感信息类型。
选择敏感信息类型作为条件时,需要指定必须检测到多少个该类型的实例才能被认为满足条件。 可以指定 1 到 500 个实例。 如果要检测 500 个或更多唯一实例,请输入“500”到“任意”的范围。 你还可以在匹配算法中选择置信度。 选择可信度旁边的信息按钮,可以查看每个级别的定义。
可向组中添加其他敏感度标签或敏感信息类型。 在组名称的右侧,可指定“任意一个”或“全部”。 这决定了是否需要匹配组中的所有项或任意项,条件才能成立。 如果你指定了多个敏感度标签,则只能选择“任意”,因为语义模型不能应用多个标签。
下图显示了一个包含两个敏感度标签条件的组(名为“默认”)。 “任意一个”的逻辑是对于某个组来说,匹配该组中任意一个敏感度标签即表示满足条件。
可以使用“快速摘要”切换开关来将规则逻辑概括为一句话。
可创建多个组,并且可通过 AND 或 OR 逻辑来控制组之间的逻辑。
下图显示了一个规则,它包含两个按 OR 逻辑联接的组。
下面是显示为快速摘要的同一规则。
操作
保护操作当前不可用于 Power BI DLP 策略。
用户通知
在“用户通知”部分配置策略提示。 打开切换开关,选中“使用策略提示在 Office 365 服务中通知用户”和“策略提示”复选框,并在文本框中编写策略提示。
用户替代
如果你启用了用户通知,并且选中了“使用策略提示通知 Office 365 服务中的用户”复选框,则语义模型所有者(在语义模型所在的工作区中具有“管理员”或“成员”角色的用户)将能够在“数据丢失防护策略”侧窗格(可以通过策略提示上的按钮显示该窗格)上对违规行为做出响应。 他们拥有的选项取决于你在“用户覆盖”部分中所做的选择。
下面介绍了这些选项。
允许来自 M365 服务的覆盖。 允许 Power BI、Exchange、SharePoint、OneDrive 和 Teams 中的用户覆盖策略限制 (如果你启用了用户通知并选中了“使用策略提示通知 Office 365 服务中的用户”复选框,该选项将自动选中):用户将能够将问题报告为误报或覆盖相应策略。
“需要提供业务理由才能覆盖”:用户将能够将问题报告为误报或覆盖相应策略。 如果选择替代,则需要提供业务理由。
“如果用户将问题报告为误报,则自动覆盖相应规则”:用户将能够将问题报告为误报并自动覆盖相应策略,或者也可以直接覆盖相应策略而不将问题报告为误报。
如果你同时选中“如果用户将问题报告为误报,则自动覆盖相应规则”和“需要提供业务理由才能覆盖”,用户将能够将问题报告为误报并自动覆盖相应策略,或者也可以直接覆盖相应策略而不将问题报告为误报,但后者需要他们提供业务理由。
替代一个策略意味着该策略将从现在起不再检查语义模型中的敏感数据。
将问题报告为误报意味着数据所有者认为策略错误地将非敏感数据标识为了敏感数据。 你可以使用误报来微调规则。
用户执行的所有操作都会记录下来以便进行报告。
事件报告
分配将显示在此策略生成的警报中的严重性级别。 启用(这是默认设置)或禁用向管理员发送电子邮件通知,指定要向其发送电子邮件通知的用户或组,并配置关于何时发生通知的详细信息。
其他选项