本文概述了 fabric 和 Power BI Microsoft Purview 数据丢失防护 (DLP) 策略。 目标受众是 Fabric 管理员、安全性和合规性团队以及 Fabric 数据所有者。 如果你是数据所有者,并且想要了解如何在策略提示告知项目具有 DLP 策略匹配项时如何做出响应,请参阅 响应 Fabric 中的 DLP 策略匹配项。 如果你是 Fabric 管理员或安全性和合规性管理员,并且需要审核 DLP 策略匹配项的警报,请参阅 在 Fabric 中监视 DLP 策略匹配项。
概述
为了帮助组织检测和保护其敏感数据,Fabric 支持Microsoft Purview 数据丢失防护 (DLP) 策略。 当 Fabric 的 DLP 策略检测到包含敏感信息 的受支持项类型 时,该策略会触发配置的作。 这些作可能包括:
- 将策略提示附加到说明敏感内容性质的项。
- 在 Microsoft Purview 门户中的数据丢失防护警报页上为管理员注册 警报 。
- 向管理员和指定用户发送电子邮件警报。
- 限制对项的访问。
有关详细信息,请参阅 Fabric 和 Power BI 的 DLP 策略的工作原理。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
许可和权限
授权
有关许可的信息,请参阅
权限
可以在 活动资源管理器中查看 DLP for Fabric 和 Power BI 中的数据。 四个角色向活动资源管理器授予权限;用于访问数据的帐户必须是其中任何一个帐户的成员。
若要查看活动资源管理器,你的帐户必须是以下任何角色或更高角色的成员。
- 合规性管理员
- 安全管理员
- 合规性数据管理员
重要
Microsoft 建议使用权限最少的角色。 此建议有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。
计费
DLP 评估工作负载会影响容量消耗。 有关如何计量和计费此消耗量的信息,请参阅 了解 Microsoft Purview 计费模型。
Fabric 和 Power BI 的 DLP 策略的工作原理
可以在 Microsoft Purview 门户的数据丢失防护部分中定义 DLP 策略。 在策略中,指定条件,例如要检测的敏感度标签和敏感信息类型。 还可以指定系统在检测到策略匹配时执行的作。
当 DLP 策略评估受支持的项类型时,如果它与 DLP 策略中的条件匹配,则它们检查。 如果存在,则会执行策略的指定作。 DLP 策略从以下作开始:
语义模型:
每当发生以下事件之一时,DLP 策略都会评估语义模型:
- 发布
- Republish
- 按需刷新
- 已计划刷新
注意
如果存在以下任一情况,则不会对语义模型进行 DLP 评估:
- 使用服务主体身份验证的帐户会启动事件 (发布、重新发布、按需刷新、计划刷新) 。
- 语义模型所有者是服务主体。
构造项:
当其中的数据发生更改时,DLP 策略会评估构造项,例如 lakehouse、SQL 数据库或镜像数据库。 更改包括获取新数据、连接新源、添加表、更新现有表等。
当 Fabric DLP 策略标记项时会发生什么情况
当 DLP 策略检测到项的问题时,它会执行以下作:
如果在策略中启用 用户通知 ,则 Fabric 会用一个图标标记项目,该图标指示 DLP 策略检测到该项存在问题。 将鼠标悬停在图标上时,将显示一个悬停卡,提供在侧面板中查看完整详细信息的选项。 有关在侧面板中看到的内容的详细信息,请参阅 响应 Fabric 中的 DLP 冲突。
对于语义模型,打开详细信息页会显示一个策略提示,说明策略冲突以及如何处理检测到的敏感信息类型。 选择“ 全部查看 ”将打开一个侧面板,其中包含所有策略详细信息。
注意
如果隐藏策略提示,则不会将其删除。 下次访问页面时会显示该页。
对于 lakehouse,指示显示在编辑模式下的标头中。 打开浮出控件可以查看有关影响湖屋的政策提示的更多详细信息。 选择“ 全部查看 ”将打开一个侧面板,其中包含所有策略详细信息。
如果在策略中启用警报,则会在 Microsoft Purview 门户中的数据丢失防护 警报 页上记录警报。 如果已配置,则会向管理员和/或指定用户发送电子邮件。 有关详细信息,请参阅 监视和管理 DLP 策略冲突。
支持的作
当 DLP 策略评估语义模型或 lakehouse 并发现它与策略中的条件匹配时,策略的作将生效。 Fabric 和 Power BI 的 DLP 策略支持三项作:
- 通过策略提示通知用户。
- 警报。 管理员和用户可以接收警报电子邮件。 此外,管理员可以在 Purview 门户中的“警报”选项卡上监视和管理 警报 。
- 限制访问。 使用限制访问作配置策略并发生策略匹配时,该策略将限制对数据所有者或组织成员的访问,具体取决于策略配置。 所有其他用户都无法访问该项目。
有关触发 DLP 评估的内容的信息,请参阅 Fabric 和 Power BI 的 DLP 策略的工作原理。
支持的项类型
Fabric 和 Power BI 的 DLP 策略当前支持以下项类型。
- 语义模型
- Lakehouses
- KQL 数据库
- 镜像数据库
- SQL 数据库
有关异常 ,请参阅注意事项和限制 。
支持的条件类型
Fabric 和 Power BI 的 DLP 策略规则支持敏感度标签和敏感信息类型的子集 (将 注意事项和限制) 视为条件。 详细了解 Purview 敏感信息类型和置信度。
为 Fabric 和 Power BI 配置 DLP 策略
有关为 Fabric 或 Power BI 创建 DLP 策略的信息,请参阅帮助防止使用信用卡数字共享 Power BI 报表,并使其适应自己的方案。
注意事项和限制
- DLP 策略适用于工作区。 仅支持在 Fabric 或高级容量中托管的工作区。 有关详细信息,请参阅 Microsoft Fabric 概念和许可证。
- Fabric DLP 策略不支持 DLP 策略模板。 为 Fabric 创建 DLP 策略时,请选择自定义策略选项。
- 通过 DirectQuery 或实时连接连接到数据源的示例语义模型、流数据集或语义模型不支持 Fabric 的 DLP 策略。 此限制包括具有混合存储的语义模型,其中一些数据来自导入模式,一些数据通过 DirectQuery。
- Fabric 的 DLP 策略仅适用于以 Delta 格式存储的 Lakehouse 表/文件夹中的数据。
- Fabric 的 DLP 策略支持除 timestamp_ntz之外的所有基元 Delta 类型。
- 以下 Delta Parquet 数据类型不支持 Fabric 的 DLP 策略:
- Binary、timestamp_ntz、Struct、Array、List、Map、Json、Enum、Interval、Void。
- 使用 LZ4、Zstd 和 Gzip 压缩编解码器的数据。
- DLP for Fabric 不支持 (EDM) 分类器和可训练分类器进行精确数据匹配。 如果在策略条件下选择 EDM 或可训练分类器,则即使语义模型或 lakehouse 包含满足 EDM 或可训练分类器的数据,该策略也不会返回任何结果。 策略中指定的其他分类器返回结果(如果有)。
- 中国北部区域不支持 Fabric 的 DLP 策略。 请参阅 如何查找组织的默认区域 ,了解如何查找组织的默认数据区域。
- 将新租户加入 DLP 可能需要几个小时,具体取决于正在载入的受支持工作区的数量。