共用方式為

設定 Fabric 的數據外洩防護原則

  • 發行項

Fabric 的數據外洩防護原則可藉由偵測所支持項目類型中的敏感數據上傳,協助組織保護其敏感數據。 發生原則違規時,數據擁有者可以看到這一點,而且警示可以傳送給數據擁有者和安全性系統管理員,而且可以調查違規。 如需詳細資訊,請參閱 開始使用 Fabric 和 Power BI 的數據外洩防護原則

本文說明如何設定 Fabric 的 Purview 數據外洩防護 (DLP) 原則。 目標對像是負責組織中數據外洩防護的合規性系統管理員。

必要條件

您用來建立 DLP 原則的帳戶必須是其中一個角色群組的成員

  • 合規性系統管理員
  • 合規性資料管理員
  • 資訊保護
  • 資訊保護系統管理員
  • 安全性系統管理員

SKU/訂用帳戶授權

開始使用 DLP for Fabric 和 Power BI 之前,您應該先確認您的 Microsoft 365 訂閱。 設定 DLP 規則的系統管理員帳戶必須受指派下列其中一個授權:

  • Microsoft 365 E5
  • Microsoft 365 E5 合規性
  • Microsoft 365 E5 資訊保護與治理
  • Purview 容量

設定 Fabric 的 DLP 原則

  1. Microsoft Purview 入口網站中開啟數據外洩防護原則頁面 ,然後選取 [ + 建立原則]。

    D L P 建立原則頁面的螢幕擷取畫面。

    注意

    只有在 符合必要條件時,才能使用 [+ 建立原則 ] 選項。

  2. 選擇 [自訂] 類別,然後選擇 [自訂原則]範本。 完成時,請選取 [下一步]

    D L P 選擇自訂原則頁面的螢幕擷取畫面。

    注意

    目前不支援其他類別或範本。

  3. 為原則命名並提供有意義的描述。 完成時,請選取 [下一步]

    D L P 原則名稱描述區段的螢幕擷取畫面。

  4. 當您進入指派管理單位頁面時,選取 [下一步]。 Fabric 和 Power BI 中的 DLP 不支援管理單位。

    D L P 原則管理單位區段的螢幕擷取畫面。

  5. 選取 [網狀架構] 和 [Power BI 工作區 ] 作為 DLP 原則的位置。 所有其他位置都會停用,因為 Fabric 和 Power BI 的 DLP 原則僅支援此位置。

    D L P 選擇位置頁面的螢幕擷取畫面。

    根據預設,原則會套用至所有工作區。 不過,您可以指定要包含在原則中的特定工作區,以及要從原則中排除的工作區。 若要指定要包含或排除的特定工作區,請選取 [ 編輯]。

    注意

    只有裝載於 Fabric 或 Premium 容量的工作區才支援 DLP 動作。

    啟用 Fabric 和 Power BI 作為原則的 DLP 位置,並選擇要套用原則的工作區之後,請選取 [下一步]。

  6. [定義原則設定] 頁面隨即出現。 選擇 [建立或自訂進階 DLP 規則],開始定義您的原則。

    D L P 建立進階規則頁面的螢幕擷取畫面。

    完成時,請選取 [下一步]

  7. 在 [自訂進階 DLP 規則] 頁面上,您可以開始建立新的規則,或選擇現有規則加以編輯。 請選取建立規則

    D L P 建立進階規則頁面的螢幕擷取畫面。

  8. [建立規則] 頁面隨即出現。 在 [建立規則] 頁面上,提供規則的名稱和描述,然後設定其他區段,如下圖所示。

    D L P 建立進階規則表單的螢幕擷取畫面。

條件

在條件區段中,您會定義原則將套用至 支援專案類型的條件。 條件會在群組中建立。 群組可使您建構複雜的條件。

  1. 開啟條件區段。 如果要建立簡單或複雜條件,請選擇 [新增條件],如果要開始建立複雜條件,則選擇 [新增群組]

    D L P 新增條件內容包含區段的螢幕擷取畫面。

    如需使用條件建立器的詳細資訊,請參閲複雜規則設計

  2. 若選擇了 [新增條件],則接下來選擇 [內容包含],然後選擇 [新增],再選擇 [敏感性資訊類型] 或 [敏感度標籤]

    D L P 新增條件區段的螢幕擷取畫面。

    如果您從 [新增群組] 開始,您最終將進入 [新增條件],之後您將繼續 (如上所述)。

    當您選擇 [敏感性資訊類型] 或 [敏感度標籤]時,您將能夠從出現在側邊欄中的清單選擇您要偵測的特定敏感度標籤或敏感性資訊類型。

    敏感度標籤和敏感性資訊類型選項的螢幕擷取畫面。

    當您選取敏感性資訊類型作為條件時,您必須指定該類型必須偵測的執行個體數目,才能將條件視為符合。 您可以指定 1 到 500 個執行個體。 如果您想要偵測 500 個或更多的唯一執行個體,請輸入從「500」到「任何」的範圍。 您也可以選取比對演算法的信賴程度。 選取信賴等級旁的資訊按鈕,以查看每個等級的定義。

    敏感性資訊類型信賴等級設定的螢幕擷取畫面。

    您可以將其他敏感度標籤或敏感性資訊類型新增至群組。 在群組名稱的右邊,您可以指定這些的任何這些全部。 這會決定符合群組中所有或任何項目,是保留條件的必要項。 如果您指定了多個敏感度標籤,您就只能選擇 [任何],因為 Fabric 和 Power BI 項目無法套用多個標籤。

    下圖顯示包含兩個敏感度標籤條件的群組 (預設值)。 邏輯 其中任何一個表示群組中任何一個敏感度標籤的相符專案會 針對該群組構成 true

    D L P 條件群組區段的螢幕擷取畫面。

    您可以使用 [ 快速摘要 ] 切換來取得句子中摘要的規則邏輯。

    D L P 條件快速摘要的螢幕擷取畫面。

    您可以建立多個群組,而且您可以使用 ANDOR 邏輯來控制群組之間的邏輯。

    下圖顯示規則,其包含兩個群組,由 OR 邏輯聯結。

    螢幕擷取畫面顯示具有兩個群組的規則。

    這是作為快速摘要顯示的相同規則。

    兩個群組規則快速摘要的螢幕擷取畫面。

動作

如果您想要讓原則限制對觸發原則之專案的存取,請展開 [限制存取或加密Microsoft 365 位置] 區段中的內容,然後選取 [封鎖使用者接收電子郵件],或存取共用的 SharePoint、OneDrive 和 Teams 檔案,以及 Power BI 專案。 然後選擇是否要封鎖組織中的所有人或只有人員。

當您啟用限制存取動作時, 系統會自動允許使用者覆寫

注意

限制存取動作只會在語意模型上強制執行。

使用者通知

[使用者通知] 區段是您設定原則提示的位置。 開啟切換開關,選取 [在 Office 365 服務中使用原則提示或電子郵件通知 通知] 複選框,然後選取 [ 原則提示 ] 複選框。 在出現的文字框中撰寫您的原則提示。

D L P 使用者通知區段的螢幕擷取畫面。

使用者覆寫

如果您啟用使用者通知,並選取 [在 Office 365 服務中以原則提示通知使用者] 複選框,則具有 DLP 原則違規的項目擁有者(也就是專案所在工作區中具有系統管理員或成員角色的使用者)將能夠回應數據外泄防護原則側窗格上的違規。 他們可以從原則提示上的按鈕或鏈接顯示。 他們所擁有的回應選項選擇取決於您在 [使用者覆寫 ] 區段中所做的選擇。

D L P 使用者覆寫區段的螢幕擷取畫面。

選項如下所述。

  • 允許 M365 服務的覆寫。 允許 Power BI、Exchange、SharePoint、OneDrive 和 Teams 中的使用者覆寫原則限制 (當您啟用使用者通知並選取 [藉由原則提示通知 Office 365 服務中的使用者] 核取方塊時,會自動選取):使用者將能够將問題報告為誤判或覆寫原則。

  • 需要業務理由才能覆寫:使用者將能够將問題報告為誤判或覆寫原則。 如果他們選擇覆寫,將需要提供業務理由。

  • 如果報告為誤判,則自動覆寫規則:使用者將能够將問題報告為誤判並自動覆寫原則,或者他們可以只覆寫原則而不將其報告為誤判。

  • 如果您同時選取 [如果報告為誤判則自動覆寫規則] 和 [要求業務理由覆寫],則使用者將能够將問題報告為誤判並自動覆寫原則,或者他們可以只覆寫原則而不將其報告為誤判,但他們必須提供業務理由。

覆寫原則表示從現在開始,原則將不再檢查專案是否有敏感數據。

將問題報告為誤判表示資料擁有者認為原則錯誤地將非敏感性資料識別為敏感性。 您可以使用誤判來微調您的規則。

會記錄使用者採取的任何動作以供報告。

事件報告

指派將在此原則產生的警示中顯示的嚴重性層級。 對系統管理員啟用 (預設) 或停用電子郵件通知、指定電子郵件通知的使用者或群組,以及設定何時發生通知的詳細資料。

D L P 事件報告區段的螢幕擷取畫面。

其他選項

D L P 新增選項區段的螢幕擷取畫面。

考量與限制

  • 網狀架構 DLP 原則尚不支援 DLP 原則範本。 建立 Fabric 的 DLP 原則時,請選擇 自定義原則 選項。
  • 網狀架構 DLP 原則規則目前支援敏感度標籤和敏感性資訊類型作為條件。

相關內容