開始使用 Fabric 和 Power BI 的數據外洩防護原則

本文說明在 Fabric 中 Microsoft Purview 資料外洩防護 (DLP) 原則。 目標對像是網狀架構系統管理員、安全性與合規性小組，以及 Fabric 數據擁有者。

概觀

為了協助組織偵測並保護其敏感數據，Fabric 支援 Microsoft Purview 資料外洩防護 (DLP) 原則。 當 Fabric 的 DLP 原則偵測到包含敏感性資訊 的支持項目類型 時，原則提示可以附加至說明敏感性內容本質的專案，而且可以在 Microsoft Purview 入口網站的數據外洩防護 警示 頁面上註冊警示，以供系統管理員監視和管理。 此外，電子郵件警示可以傳送給系統管理員和指定的使用者。

本文說明 Fabric 中的 DLP 運作方式、列出考慮和限制，以及授權和許可權需求，並說明 DLP CPU 使用量的計量方式。 如需詳細資訊，請參閱：

• 回應 Fabric 中的 DLP 原則違規 ，以查看當原則提示告訴您的 Lakehouse 或語意模型有 DLP 原則違規時如何回應。
• 監視 Fabric 中的 DLP 原則違規 ，以查看如何登入 Microsoft Purview 入口網站，以查看有關 DLP 違規警示的詳細數據。

提示

開始使用 Microsoft Security Copilot，以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。

考量與限制

• Microsoft Purview 入口網站中定義了 Fabric 的 DLP 原則。
• DLP 原則適用於工作區。 僅支援裝載於 Fabric 或 Premium 容量中的工作區。 如需詳細資訊， 請參閱 Microsoft Fabric 概念和授權。
• DLP 評估工作負載會影響容量。 目前，DLP for Fabric 不需額外費用即可使用，但可能會有所變更。 請查看此檔和 Fabric 部落格以取得更新。
• 網狀架構 DLP 原則尚不支援 DLP 原則範本。 建立 Fabric 的 DLP 原則時，請選擇 [自定義原則] 選項。
• 網狀架構 DLP 原則規則目前支援敏感度標籤和敏感性資訊類型作為條件。
• 透過 DirectQuery 或即時連線連線到其數據源的範例語意模型、串流數據集或語意模型不支援 Fabric 的 DLP 原則。 這包括具有混合記憶體的語意模型，其中有些數據是透過匯入模式傳送，有些則是透過 DirectQuery。
• Fabric 的 DLP 原則僅適用於以 Delta 格式儲存的 Lakehouse 數據表/資料夾中的數據。
• Fabric 的 DLP 原則支援所有基本差異類型，但 timestamp_ntz除外。
• 下列 Delta Parquet 資料類型不支援 Fabric 的 DLP 原則：
  • Binary、timestamp_ntz、Struct、Array、List、Map、Json、Enum、Interval、Void。
  • 使用 LZ4、Zstd 和 Gzip 壓縮編解碼器的數據。
• DLP for Fabric 不支援完全 (EDM) 分類器和可訓練分類器的數據比對。 如果您在原則的條件中選取EDM或可訓練分類器，即使語意模型或Lakehouse確實包含滿足EDM或可訓練分類器的數據，原則也不會產生任何結果。 如果有任何結果，原則中指定的其他分類器將會傳回結果。
• 中國北部區域不支援 Fabric 的 DLP 原則。 請參閱 如何尋找組織的預設區域 ，以瞭解如何尋找組織的預設數據區域。
• 在下列叢集中，Fabric 中的 DLP 不支援 Azure 容量：
  • WUS3
  • WUS2
  • SCUS
• 根據要上線的支援工作區數目，將新的租用戶上線至 DLP 可能需要數小時的時間。

授權與權限

SKU/訂閱授權

開始使用適用於 Power BI 的 DLP 之前，您應先確認 Microsoft 365 訂閱。 如需完整授權的指南，請參閱 Microsoft 365 安全性與合規性的授權指南。

權限

您可以 在活動總管中檢視來自 Fabric DLP 的數據。 有四個角色會將許可權授與活動總管;您用來存取資料的帳戶必須是其中任何一個成員。

若要檢視活動總管，您用來存取數據的帳戶必須是下列任一角色或以上角色的成員。

• 合規性系統管理員
• 安全性系統管理員
• 合規性資料管理員

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色，只能在無法使用較低許可權角色的情況下使用。

支援的項目類型

Fabric 的 DLP 原則目前支援 (預覽) 下列項目類型。

• 語意模型
• Lakehouses

請參閱例外 狀況的考慮和限制 。

Fabric 的 DLP 原則如何運作

您可以在 Microsoft Purview 入口網站的數據外洩防護區段中定義 DLP 原則。 在原則中，您可以指定要偵測的敏感度標籤和/或敏感性資訊類型。 您也可以指定當原則偵測到語意模型或 Lakehouse，其中包含您指定之類型的敏感數據時，將會發生的動作。 Fabric 的 DLP 原則支援三個動作：

• 透過原則提示的使用者通知。

• 警示。 可以透過電子郵件將警示傳送給系統管理員和使用者。 此外，系統管理員可以在 Purview 入口網站的 [ 警示 ] 索引標籤上監視和管理警示。

• 限制存取。 當 支援的專案類型 違反以限制存取動作設定的原則時，會根據原則的設定方式，限制數據擁有者或組織成員存取專案。 所有其他使用者都將失去該專案的存取權。

  注意事項

  限制存取動作只會在語意模型上強制執行。

當語意模型或 Lakehouse 由 DLP 原則評估時，如果符合 DLP 原則中指定的條件，就會發生原則中指定的動作。 DLP 原則是由下列動作起始：

語意模型：

每當發生下列其中一個事件時，就會根據 DLP 原則評估語意模型：

• 發佈
• Republish
• 隨選重新整理
• 排定的重新整理

注意事項

如果下列任一項成立，就不會進行語意模型的 DLP 評估：

• 事件 (發佈、重新發佈、隨選重新整理、排程重新整理) 的啟動器是使用服務主體驗證的帳戶。
• 語意模型擁有者是服務主體。

Lakehouse：

當 Lakehouse 內的數據發生變更時，會根據 DLP 原則評估 Lakehouse，例如取得新數據、連接新的來源、新增或更新現有數據表等等。

當網狀架構 DLP 原則標幟專案時會發生什麼事

當 DLP 原則偵測到項目的問題時：

• 如果原則中已啟用「使用者通知」，則專案會在 Fabric 中標示為圖示，指出 DLP 原則偵測到該專案發生問題。 將滑鼠停留在圖示上方，以顯示暫留卡片，以提供在側邊面板中查看完整詳細數據的選項。 如需您在側邊面板中看到內容的詳細資訊，請參閱 在 Fabric 中回應 DLP 違規。

  

  針對語意模型，開啟詳細數據頁面會顯示原則提示，說明原則違規，以及應如何處理偵測到的敏感性信息類型。 選 取 [檢視全部 ] 會開啟側邊面板，其中包含所有原則詳細數據。

  

  注意事項

  如果您隱藏原則提示，則不會刪除。 下次您造訪頁面時會出現此內容。

  針對 Lakehouse，指示會出現在編輯模式的標頭中，而開啟飛出視窗可讓您查看影響 Lakehouse 之原則提示的更多詳細數據。 選 取 [檢視全部 ] 會開啟側邊面板，其中包含所有原則詳細數據。

  

• 如果在原則中啟用警示，警示會記錄在 Microsoft Purview 入口網站的數據外洩防護 警示 頁面上， (如果已設定) 電子郵件會傳送給系統管理員和/或指定的使用者。 如需詳細資訊，請 參閱監視和管理 DLP 原則違規。

設定 Power BI/Fabric 的 DLP 原則

遵循 建立和部署數據外洩防護 原則中的程式，並使用自定義範本。

重要事項

當您為 Power BI/Fabric 選取 DLP 原則的位置時，請只選取 Power BI/網狀架構位置。 請勿選取任何其他位置，不支援此設定。

另請參閱

• 深入了解資料外洩防護
• 在 Power BI 套用敏感度標籤
• Power BI 中敏感度標籤的稽核架構
• 設定 Fabric 的 DLP 原則。
• 回應 Fabric 中的 DLP 原則違規。
• 監視和管理 DLP 原則違規
• 深入了解資料外洩防護