Freigeben über

Erste Schritte mit Richtlinien zur Verhinderung von Datenverlust für Fabric und Power BI

Dieser Artikel bietet eine allgemeine Übersicht über Microsoft Purview Data Loss Prevention-Richtlinien (DLP) für Fabric und Power BI. Die Zielgruppe sind Fabric-Administratoren, Sicherheits- und Complianceteams und Fabric-Datenbesitzer. Wenn Sie datenbesitzer sind und wissen möchten, wie Sie reagieren können, wenn ein Richtlinientipp Darauf hinweist, dass Ihr Element eine DLP-Richtlinieneinstimmung aufweist, lesen Sie Antworten auf eine DLP-Richtlinieneinstimmung in Fabric. Wenn Sie Fabric-Administrator oder Sicherheits- und Complianceadministrator sind und Warnungen zu DLP-Richtlinienergebnissen überwachen müssen, finden Sie weitere Informationen unter Überwachen von DLP-Richtlinienergebnissen in Fabric.

Übersicht

Fabric unterstützt Microsoft Purview Data Loss Prevention(DLP)-Richtlinien, um Organisationen dabei zu unterstützen, ihre vertraulichen Daten zu erkennen und zu schützen. Wenn eine DLP-Richtlinie für Fabric einen unterstützten Elementtyp erkennt, der vertrauliche Informationen enthält, löst die Richtlinie die konfigurierten Aktionen aus. Diese Aktionen können Folgendes umfassen:

  • Anfügen eines Richtlinientipps an das Element, in dem die Art des vertraulichen Inhalts erläutert wird.
  • Registrieren einer Warnung für Administratoren auf der Seite "Warnungen zur Verhinderung von Datenverlust" im Microsoft Purview-Portal.
  • Senden von E-Mail-Warnungen an Administratoren und angegebene Benutzer.
  • Einschränken des Zugriffs auf das Element.

Weitere Informationen finden Sie unter Funktionsweise von DLP-Richtlinien für Fabric und Power BI.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Lizenzierung und Berechtigungen

Lizenzierung

Informationen zur Lizenzierung finden Sie unter

Berechtigungen

Sie können Daten aus DLP für Fabric und Power BI im Aktivitäts-Explorer anzeigen. Vier Rollen erteilen dem Aktivitäts-Explorer die Berechtigung; das Konto, das Sie für den Zugriff auf die Daten verwenden, muss Mitglied eines dieser Konten sein.

Um den Aktivitäts-Explorer anzuzeigen, muss Ihr Konto Mitglied einer der folgenden Rollen oder höher sein.

  • Compliance-Administrator
  • Sicherheitsadministrator
  • Compliancedatenadministrator

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Diese Empfehlung trägt dazu bei, die Sicherheit für Ihre organization zu verbessern. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die Sie nur in Szenarien verwenden sollten, in denen eine weniger privilegierte Rolle nicht verwendet werden kann.

Abrechnung

DLP-Auswertungsworkloads wirken sich auf den Kapazitätsverbrauch aus. Informationen dazu, wie dieser Verbrauch gemessen und abgerechnet wird, finden Sie unter Informationen zu Microsoft Purview-Abrechnungsmodellen.

Funktionsweise von DLP-Richtlinien für Fabric und Power BI

Sie definieren eine DLP-Richtlinie im Abschnitt zur Verhinderung von Datenverlust im Microsoft Purview-Portal. In der Richtlinie geben Sie die Bedingungen an, z. B. welche Vertraulichkeitsbezeichnungen und Typen vertraulicher Informationen Sie erkennen möchten. Sie geben auch die Aktionen an, die das System ausführt, wenn es eine Richtlinienentsprechung erkennt.

Wenn DLP-Richtlinien einen unterstützten Elementtyp auswerten, wird überprüft, ob er den Bedingungen in einer DLP-Richtlinie entspricht. Wenn dies der Fall ist, werden die von der Richtlinie angegebenen Aktionen ausgeführt. DLP-Richtlinien beginnen mit den folgenden Aktionen:

Semantikmodelle:

DLP-Richtlinien werten ein semantisches Modell aus, wenn eines der folgenden Ereignisse auftritt:

  • Veröffentlichen
  • Republish
  • On-Demand-Aktualisierung
  • Geplante Aktualisierung

Hinweis

Die DLP-Auswertung des semantischen Modells erfolgt nicht, wenn einer der folgenden Punkte zutrifft:

  • Ein Konto, das die Dienstprinzipalauthentifizierung verwendet, initiiert das Ereignis (veröffentlichen, erneut veröffentlichen, bedarfsgesteuerte Aktualisierung, geplante Aktualisierung).
  • Der Semantikmodellbesitzer ist ein Dienstprinzipal.

Fabric-Elemente:

DLP-Richtlinien werten ein Fabric-Element aus, z. B. eine Lakehouse-, SQL-Datenbank- oder gespiegelte Datenbank, wenn sich die darin enthaltenen Daten ändern. Änderungen umfassen das Abrufen neuer Daten, das Herstellen einer Verbindung mit einer neuen Quelle, das Hinzufügen von Tabellen, das Aktualisieren vorhandener Tabellen und vieles mehr.

Was geschieht, wenn eine Fabric-DLP-Richtlinie ein Element kennzeichnet?

Wenn eine DLP-Richtlinie ein Problem mit einem Element erkennt, werden die folgenden Aktionen ausgeführt:

  • Wenn Sie die Benutzerbenachrichtigung in der Richtlinie aktivieren, markiert Fabric das Element mit einem Symbol, das angibt, dass eine DLP-Richtlinie ein Problem mit dem Element erkannt hat. Wenn Sie mit dem Mauszeiger auf das Symbol zeigen, wird eine Karte angezeigt, die eine Option bietet, um die vollständigen Details in einem Seitenbereich anzuzeigen. Weitere Informationen dazu, was im Seitenbereich angezeigt wird, finden Sie unter Reagieren auf einen DLP-Verstoß in Fabric.

    Screenshot des Richtlinientippsymbols im OneLake-Datenhub.

    Bei Semantikmodellen wird beim Öffnen der Detailseite ein Richtlinientipp angezeigt, in dem die Richtlinienverletzung und die Art der erkannten vertraulichen Informationen behandelt werden. Wenn Sie Alle anzeigen auswählen, wird ein Seitenbereich mit allen Richtliniendetails geöffnet.

    Screenshot: Richtlinientipp auf der Detailseite des semantischen Modells.

    Hinweis

    Wenn Sie den Richtlinientipp ausblenden, wird er nicht gelöscht. Sie wird angezeigt, wenn Sie die Seite das nächste Mal besuchen.

    Bei Lakehouses wird die Angabe im Bearbeitungsmodus in der Kopfzeile angezeigt. Wenn Sie das Flyout öffnen, können Sie weitere Details zu den Richtlinientipps anzeigen, die sich auf das Lakehouse auswirken. Wenn Sie Alle anzeigen auswählen, wird ein Seitenbereich mit allen Richtliniendetails geöffnet.

    Screenshot: Richtlinientipp im Lakehouse-Header-Flyout

  • Wenn Sie Warnungen in der Richtlinie aktivieren, zeichnet eine Warnung auf der Seite Warnungen zur Verhinderung von Datenverlust im Microsoft Purview-Portal auf. Falls konfiguriert, wird eine E-Mail an Administratoren und/oder angegebene Benutzer gesendet. Weitere Informationen finden Sie unter Überwachen und Verwalten von DLP-Richtlinienverstößen.

Unterstützte Aktionen

Wenn DLP-Richtlinien ein semantisches Modell oder Lakehouse auswerten und feststellen, dass es den Bedingungen in der Richtlinie entspricht, werden die Aktionen der Richtlinie wirksam. DLP-Richtlinien für Fabric und Power BI unterstützen drei Aktionen:

  • Benutzerbenachrichtigungen über Richtlinientipps.
  • Benachrichtigungen. Administratoren und Benutzer können Warnungs-E-Mails erhalten. Darüber hinaus können Administratoren Warnungen auf der Registerkarte Warnungen im Purview-Portal überwachen und verwalten.
  • Zugriff einschränken. Wenn Sie eine Richtlinie mit der Aktion Zugriff einschränken konfigurieren und eine Richtlinienentsprechung auftritt, schränkt die Richtlinie den Zugriff auf die Datenbesitzer oder auf Mitglieder der organization ein, abhängig von der Richtlinienkonfiguration. Alle anderen Benutzer verlieren den Zugriff auf das Element.

Informationen dazu, was die DLP-Auswertung auslöst, finden Sie unter Funktionsweise von DLP-Richtlinien für Fabric und Power BI.

Unterstützte Elementtypen

DLP-Richtlinien für Fabric und Power BI unterstützen derzeit die folgenden Elementtypen.

  • Semantische Modelle
  • Seehäuser
  • KQL-Datenbanken
  • Gespiegelte Datenbanken
  • SQL-Datenbanken

Weitere Informationen finden Sie unter Überlegungen und Einschränkungen für Ausnahmen.

Unterstützte Bedingungstypen

DLP-Richtlinienregeln für Fabric und Power BI unterstützen Vertraulichkeitsbezeichnungen und eine Teilmenge vertraulicher Informationstypen (siehe Überlegungen und Einschränkungen) als Bedingungen. Erfahren Sie mehr über Purview-Typen und Zuverlässigkeitsstufen für vertrauliche Informationen.

Konfigurieren einer DLP-Richtlinie für Fabric und Power BI

Informationen zum Erstellen einer DLP-Richtlinie für Fabric oder Power BI finden Sie unter Verhindern der Freigabe von Power BI-Berichten mit Guthaben Karte Zahlen, und passen Sie sie an Ihr eigenes Szenario an.

Überlegungen und Einschränkungen

  • DLP-Richtlinien gelten für Arbeitsbereiche. Es werden nur Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden. Weitere Informationen finden Sie unter Microsoft Fabric-Konzepte und -Lizenzen.
  • DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die Option benutzerdefinierte Richtlinie aus.
  • DLP-Richtlinien für Fabric werden für Semantikbeispielmodelle, Streamingdatasets oder Semantikmodelle, die über DirectQuery oder Liveverbindung eine Verbindung mit ihrer Datenquelle herstellen, nicht unterstützt. Diese Einschränkung umfasst semantische Modelle mit gemischtem Speicher, bei denen einige der Daten über den Importmodus und einige über DirectQuery übermittelt werden.
  • DLP-Richtlinien für Fabric gelten nur für Daten in Lakehouse Tables/-Ordnern, die im Delta-Format gespeichert sind.
  • DLP-Richtlinien für Fabric unterstützen alle primitiven Delta-Typen mit Ausnahme von timestamp_ntz.
  • DLP-Richtlinien für Fabric werden für die folgenden Delta Parquet-Datentypen nicht unterstützt:
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Daten mit LZ4-, Zstd- und Gzip-Komprimierungscodecs.
  • EDM-Klassifizierer (Exact Data Match) und trainierbare Klassifizierer werden von DLP für Fabric nicht unterstützt. Wenn Sie einen EDM- oder trainierbaren Klassifizierer in der Bedingung einer Richtlinie auswählen, gibt die Richtlinie keine Ergebnisse zurück, auch wenn das semantische Modell oder Lakehouse Daten enthält, die dem EDM oder trainierbaren Klassifizierer entsprechen. Andere in der Richtlinie angegebene Klassifizierer geben ggf. Ergebnisse zurück.
  • DLP-Richtlinien für Fabric werden in der Region China, Norden nicht unterstützt. Unter Suchen der Standardregion für Ihre organization erfahren Sie, wie Sie den Standarddatenbereich Ihrer organization finden.
  • Das Onboarding eines neuen Mandanten in DLP kann je nach Anzahl der unterstützten Arbeitsbereiche, die integriert werden, einige Stunden dauern.

Siehe auch

  • Last updated on