Compartir a través de


API de gobernanza y seguridad de datos de Microsoft Purview

Las API de gobernanza y seguridad de datos de Microsoft Purview permiten a los desarrolladores integrar sin problemas las sólidas funcionalidades de protección de Microsoft Purview en sus aplicaciones. Estas API son esenciales para aplicaciones de generación aumentada de recuperación (RAG), aplicaciones de línea de negocio (LOB) y sistemas que controlan datos confidenciales. Proporcionan acceso mediante programación al motor de evaluación de directivas de Microsoft Purview, lo que garantiza una aplicación coherente de las directivas de gobernanza y seguridad de datos en una variedad de aplicaciones.

Los administradores de seguridad y cumplimiento de datos usan Microsoft Purview para administrar, proteger y controlar los datos en función de la exposición de riesgos empresariales y las regulaciones pertinentes para su organización. Al aprovechar estas API, los administradores obtienen visibilidad sobre los datos almacenados e intercambiados dentro de su organización y pueden establecer directivas para aplicar controles que aborden los riesgos identificados de los usuarios y las aplicaciones dentro de su inquilino.

Directivas clave en Microsoft Purview

Directiva de recopilación

Las directivas de recopilación son una herramienta de filtrado y recopilación de eventos en Microsoft Purview que permite supervisar y clasificar eventos de aplicaciones y ubicaciones que se encuentran dentro y fuera de los límites de confianza de su organización. Permiten filtrar qué eventos de orígenes que no son de confianza y de confianza se ingieren en Purview. Una vez ingeridos, los datos se pueden clasificar y usar en varias soluciones que consumen señales de Microsoft Purview, como el Explorador de actividad de Microsoft Purview, Administración de riesgos internos de Microsoft Purview, Microsoft Purview eDiscovery y Administración del ciclo de vida de Microsoft Purview.

La directiva de recopilación es fundamental para las organizaciones, especialmente aquellas que usan aplicaciones de línea de negocio (LOB) personalizadas o aplicaciones de proveedores de terceros. Estos entornos pueden presentar riesgos en los que es posible que los datos no se alineen con los estándares de la organización o puedan infringir involuntariamente los límites de los datos. Una directiva de recopilación ayuda a mitigar estos riesgos al garantizar que las actividades confidenciales se detectan y rigen correctamente, lo que la convierte en un componente clave para mantener el cumplimiento de los requisitos de gobernanza y seguridad de los datos.

Más información sobre las directivas de recopilación

Directiva de prevención de pérdida de datos (DLP)

La directiva prevención de pérdida de datos (DLP) de Microsoft Purview permite a los administradores controlar o restringir el movimiento de datos confidenciales dentro de contextos de aplicación o de usuario específicos. Las directivas DLP pueden ayudar a las organizaciones a evitar la exposición no intencionada de información confidencial.

Por ejemplo, un administrador de seguridad como Joyce podría configurar una directiva DLP para limitar el uso de datos empresariales confidenciales cuando un usuario intenta cargar archivos que contienen estos datos en aplicaciones de inteligencia artificial que no son de nivel empresarial. Esto garantiza que los datos confidenciales permanezcan protegidos, en consonancia con los estándares de gobernanza de datos de la organización y manteniendo el cumplimiento con las directivas de seguridad internas.

Escenarios

Las API de Microsoft Purview ayudan a las aplicaciones a administrar la protección de datos y el cumplimiento en varias fases de la interacción del usuario. Los escenarios principales abordados por estas API incluyen:

Recuperar el ámbito de protección para un usuario o inquilino : las aplicaciones pueden determinar cómo se deben procesar o proteger datos de usuario específicos antes de que se produzca cualquier interacción, lo que garantiza que se establezcan los controles necesarios para evitar la pérdida o pérdida de datos.

Enviar contenido de usuario a Microsoft Purview para su procesamiento : las aplicaciones pueden enviar datos o actividades de usuario a Microsoft Purview, lo que permite a los administradores de cumplimiento detectar interacciones confidenciales. Esto garantiza que los datos se administran para cumplir los requisitos normativos a través de las características de cumplimiento de Microsoft Purview, como auditoría, DSPM para IA, eDiscovery, administración del ciclo de vida de los datos, cumplimiento de comunicaciones y administración de riesgos internos.

Determine si se debe permitir o restringir la actividad del usuario en tiempo de ejecución : las aplicaciones pueden evaluar si se debe permitir o restringir la actividad del usuario durante el tiempo de ejecución, lo que garantiza que el contenido empresarial confidencial está protegido y evita la pérdida o pérdida de datos antes de que se produzca.

Requisitos de la directiva de Microsoft Purview

Microsoft Purview proporciona funcionalidades de cumplimiento de directivas que permiten a los administradores controlar la protección de datos en toda su organización. Los siguientes son los requisitos de directiva clave que se deben configurar:

Directivas de recopilación : los administradores pueden configurar directivas de recopilación que se aplican a todos los usuarios o a los usuarios seleccionados dentro del inquilino. Si no se establece una directiva de recopilación para un usuario o inquilino, la API de ámbitos de protección de proceso puede devolver una respuesta de ámbito vacía.

Directivas de prevención de pérdida de datos (DLP): los administradores pueden configurar directivas DLP que se aplican a todos los usuarios o a los usuarios seleccionados dentro del inquilino. Si una directiva de prevención de pérdida de datos no está configurada para un usuario o inquilino, la API de ámbitos de protección de proceso permite que la aplicación procese el contenido sin conexión, sin que se devuelva ninguna acción DLP a través de la API de contenido de proceso.

Flujo de API para la protección y el cumplimiento de datos

En el siguiente flujo de API se describen los pasos para administrar la protección y el cumplimiento de datos mediante las API de Microsoft Graph:

  1. Llamar periódicamente y almacenar en caché la respuesta de la API de ámbitos de protección de proceso: llame periódicamente a esta API para recuperar el ámbito de protección de un usuario o inquilino y almacenar la respuesta para su posterior procesamiento.

  2. Supervisión de la combinación de ubicación, modo de ejecución y actividades de usuario : en función de la respuesta de la API de ámbitos de protección de proceso , supervise factores clave como la ubicación del usuario, el modo de ejecución y las actividades en curso para evaluar el cumplimiento.

  3. Llamar a la API de contenido de proceso: si se cumplen condiciones específicas, llame a la API de contenido process para determinar la acción adecuada en la actividad. Si el modo de ejecución está establecido en , llamar a evaluateOfflineesta API no pausa la interacción del usuario, pero si el modo no evaluateOfflinees , la interacción del usuario se bloquea hasta que se procesa el contenido.

Ámbito de protección

Las aplicaciones deben cumplir las directivas de gobernanza y protección de datos establecidas por los administradores de seguridad y cumplimiento dentro de una organización. Estas directivas definen cómo se deben administrar los datos y las actividades de usuario y se conocen colectivamente como ámbitos de protección. Las aplicaciones usan la API Ámbitos de protección de proceso para comprender las medidas de protección aplicadas a las interacciones del usuario.

Entre los aspectos clave de los ámbitos de protección se incluyen:

  • Directivas de recopilación : los administradores configuran directivas de recopilación que se aplican a todos los inquilinos o usuarios específicos. Estas directivas determinan la clasificación de los datos y supervisan las actividades del usuario, como cargas o descargas de texto o archivos. Los administradores deben definir y administrar estas directivas para asegurarse de que los datos confidenciales se clasifican y protegen correctamente dentro de la organización.

  • Directivas de prevención de pérdida de datos (DLP): los administradores configuran directivas DLP para controlar cómo se administran los datos confidenciales dentro de la organización. Estas directivas garantizan que los datos confidenciales están protegidos durante diversas actividades e interacciones.

  • Enumeración de ámbitos de protección para usuarios o inquilinos : la API Ámbitos de protección de proceso proporciona una lista de los ámbitos de protección disponibles para un usuario o inquilino. Las aplicaciones usan esta información para determinar qué actividades están sujetas a supervisión y cuáles requieren pasar actividades en curso a la processContent API.

  • Actividad de procesamiento y contenido : la API de contenido de proceso permite a las aplicaciones procesar actividades y contenido en función de los ámbitos de protección definidos. Cuando una actividad está sujeta a supervisión, la aplicación pasa la información de actividad a la API, que devuelve las acciones necesarias para aplicar directivas, como bloquear determinadas acciones.

Identificación de ámbitos de protección para un usuario

La API de ámbitos de protección de proceso permite a las aplicaciones determinar los ámbitos de protección de los usuarios, lo que garantiza que se aplican las directivas de Microsoft Purview adecuadas. La especificación de tipos de actividad y tipos de ubicación en la solicitud permite a las aplicaciones limitar la respuesta para incluir solo los ámbitos de protección pertinentes.

Cuando los usuarios inician sesión en una aplicación, la API recupera los ámbitos de protección específicos de cada usuario. Para determinar con precisión estos ámbitos, las aplicaciones deben proporcionar metadatos de dispositivo y aplicación. Esta información desempeña un papel crucial en la toma de decisiones de directiva correctas basadas en el contexto de la aplicación, lo que garantiza el cumplimiento de los requisitos de gobernanza y seguridad de la organización.

Comportamiento del modo de ejecución

El comportamiento del campo en la executionMode respuesta de la API de ámbitos de protección de proceso define cómo las aplicaciones deben controlar las actividades del usuario en función de las decisiones de ámbito de protección. El modo de ejecución puede influir en cómo interactúa una aplicación con la API de contenido de proceso y si necesita esperar a los resultados antes de decidir sobre la actividad del usuario.

Se esperan los siguientes modos de ejecución y sus comportamientos:

  1. evaluateInline: la aplicación debe esperar a que la API de contenido de proceso genere resultados antes de decidir si se va a permitir o bloquear la actividad del usuario. No se debe realizar ninguna acción hasta que se reciba la respuesta de la API.
  2. evaluateOffline: la aplicación no debe esperar el veredicto de la API de proceso de contenido y puede tomar medidas (por ejemplo, restringir el acceso) inmediatamente sin esperar a la respuesta de la API.
Modo de ejecución Acción Descripción
evaluateInline Ninguno El llamador debe invocar la API de contenido de proceso y esperar a los resultados antes de permitir que continúe la actividad del usuario.
evaluateInline restrictAccess No se esperaba. Las acciones futuras que no interfieren con las actividades del usuario pueden estar presentes (por ejemplo, notificar al usuario).
evaluateOffline restrictAccess El autor de la llamada debe restringir la actividad del usuario y llamar a la API de contenido del proceso independientemente de realizar acciones.
evaluateOffline Ninguno El autor de la llamada no debe restringir la actividad del usuario y debe llamar a la API de contenido del proceso de forma independiente.

Seguridad y gobernanza de datos de Microsoft Purview en Microsoft Graph