Introducción a las directivas de prevención de pérdida de datos para Fabric y Power BI

En este artículo se proporciona información general sobre las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) para Fabric y Power BI. El público de destino son los administradores de Fabric, los equipos de seguridad y cumplimiento y los propietarios de datos de Fabric. Si es propietario de datos y quiere saber cómo responder cuando una sugerencia de directiva le indica que el elemento tiene una coincidencia de directiva DLP, consulte Responder a una coincidencia de directiva DLP en Fabric. Si es administrador de Fabric o administrador de seguridad y cumplimiento y necesita auditar alertas sobre coincidencias de directiva DLP, consulte Supervisión de coincidencias de directiva DLP en Fabric.

Información general

Para ayudar a las organizaciones a detectar y proteger sus datos confidenciales, Fabric admite las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP). Cuando una directiva DLP para Fabric detecta un tipo de elemento compatible que contiene información confidencial, la directiva desencadena las acciones configuradas. Estas acciones pueden incluir:

• Adjuntar una sugerencia de directiva al elemento que explica la naturaleza del contenido confidencial.
• Registro de una alerta para administradores en la página Alertas de prevención de pérdida de datos en el portal de Microsoft Purview.
• Enviar alertas por correo electrónico a administradores y usuarios especificados.
• Restricción del acceso al elemento.

Para obtener más información, consulte How do DLP policies for Fabric and Power BI work (Cómo funcionan las directivas DLP para Fabric y Power BI).

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Licencias y permisos

Licencias

Para obtener información sobre las licencias, consulte

• planes de Microsoft 365 Enterprise
• Descripciones del servicio de Microsoft 365

Permissions

Puede ver datos de DLP para Fabric y Power BI en el Explorador de actividad. Cuatro roles conceden permiso al Explorador de actividad; la cuenta que use para acceder a los datos debe ser miembro de cualquiera de ellos.

Para ver el Explorador de actividad, la cuenta debe ser miembro de cualquiera de los siguientes roles o superior.

• Administrador de cumplimiento
• Administrador de seguridad
• Administrador de datos de cumplimiento

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esta recomendación ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que solo debe usar en escenarios en los que no se puede usar un rol con privilegios menores.

Facturación

Las cargas de trabajo de evaluación DLP afectan al consumo de capacidad. Para obtener información sobre cómo se mide y factura este consumo, consulte Información sobre los modelos de facturación de Microsoft Purview.

Funcionamiento de las directivas DLP para Fabric y Power BI

Defina una directiva DLP en la sección de prevención de pérdida de datos del portal de Microsoft Purview. En la directiva, especifique las condiciones, como las etiquetas de confidencialidad y los tipos de información confidencial que desea detectar. También se especifican las acciones que realiza el sistema cuando detecta una coincidencia de directiva.

Cuando las directivas DLP evalúan un tipo de elemento compatible, comprueban si coincide con las condiciones de una directiva DLP. Si es así, se llevan a cabo las acciones especificadas de la directiva. Las directivas DLP comienzan con las siguientes acciones:

Modelos semánticos:

Las directivas DLP evalúan un modelo semántico cada vez que se produce uno de los siguientes eventos:

• Publicar
• Republish
• Actualización a petición
• Actualización programada

Nota:

La evaluación DLP del modelo semántico no se produce si se cumple alguna de las siguientes condiciones:

• Una cuenta que usa la autenticación de entidad de servicio inicia el evento (publicar, volver a publicar, actualizar a petición, actualizar programado).
• El propietario del modelo semántico es una entidad de servicio.

Elementos de tejido:

Las directivas DLP evalúan un elemento de Fabric, como un lago, una base de datos SQL o una base de datos reflejada, cuando cambian los datos que contiene. Los cambios incluyen la obtención de nuevos datos, la conexión de un nuevo origen, la adición de tablas, la actualización de tablas existentes, etc.

¿Qué ocurre cuando una directiva DLP de Fabric marca un elemento?

Cuando una directiva DLP detecta un problema con un elemento, realiza las siguientes acciones:

• Si habilita la notificación de usuario en la directiva, Fabric marca el elemento con un icono que indica que una directiva DLP detectó un problema con el elemento. Al mantener el puntero sobre el icono, aparece una tarjeta que proporciona una opción para ver los detalles completos en un panel lateral. Para obtener más información sobre lo que ve en el panel lateral, vea Responder a una infracción dlp en Fabric.

  

  Para los modelos semánticos, al abrir la página de detalles se muestra una sugerencia de directiva que explica la infracción de directiva y cómo controlar el tipo de información confidencial detectada. Al seleccionar Ver todo , se abre un panel lateral con todos los detalles de la directiva.

  

  Nota:

  Si oculta la sugerencia de directiva, no se elimina. Aparecerá la próxima vez que visite la página.

  En el caso de lakehouses, la indicación aparece en el encabezado en modo de edición. Al abrir el control flotante, es posible ver más detalles sobre las sugerencias de directiva que afectan al lago. Al seleccionar Ver todo , se abre un panel lateral con todos los detalles de la directiva.

  

• Si habilita las alertas en la directiva, se registra una alerta en la página Alertas de prevención de pérdida de datos en el portal de Microsoft Purview. Si está configurado, un correo electrónico envía a los administradores o usuarios especificados. Para obtener más información, consulte Supervisión y administración de infracciones de directiva DLP.

Acciones admitidas

Cuando las directivas DLP evalúan un modelo semántico o lakehouse y encuentran que coincide con las condiciones de la directiva, las acciones de la directiva surten efecto. Las directivas DLP para Fabric y Power BI admiten tres acciones:

• Notificación del usuario a través de sugerencias de directiva.
• Alertas. Los administradores y los usuarios pueden recibir correos electrónicos de alerta. Además, los administradores pueden supervisar y administrar alertas en la pestaña Alertas del portal de Purview.
• Restringir el acceso. Al configurar una directiva con la acción restringir el acceso y se produce una coincidencia de directiva, la directiva restringe el acceso a los propietarios de datos o a los miembros de la organización, en función de la configuración de la directiva. Todos los demás usuarios pierden el acceso al elemento.

Para obtener información sobre qué desencadena la evaluación DLP, consulte Cómo funcionan las directivas DLP para Fabric y Power BI.

Tipos de elementos admitidos

Las directivas DLP para Fabric y Power BI admiten actualmente los siguientes tipos de elementos.

• Modelos semánticos
• Lakehouses
• Bases de datos KQL
• Bases de datos reflejadas
• Bases de datos SQL

Consulte Consideraciones y limitaciones para conocer las excepciones.

Tipos de condición admitidos

Las reglas de directiva DLP para Fabric y Power BI admiten etiquetas de confidencialidad y un subconjunto de tipos de información confidencial (consulte consideraciones y limitaciones) como condiciones. Obtenga más información sobre los tipos de información confidencial de Purview y los niveles de confianza.

Configuración de una directiva DLP para Fabric y Power BI

Para obtener información sobre cómo crear una directiva DLP para Fabric o Power BI, consulte Ayuda para evitar el uso compartido de informes de Power BI con números de tarjeta de créditoy adaptarlo a su propio escenario.

Consideraciones y limitaciones

• Las directivas DLP se aplican a las áreas de trabajo. Solo se admiten áreas de trabajo hospedadas en capacidades Fabric o Premium. Para obtener más información, consulte Conceptos y licencias de Microsoft Fabric.
• Las plantillas de directiva DLP no se admiten para las directivas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción de directiva personalizada.
• Las directivas DLP para Fabric no se admiten para modelos semánticos de ejemplo, conjuntos de datos de streaming o modelos semánticos que se conectan a su origen de datos a través de DirectQuery o conexión dinámica. Esta limitación incluye modelos semánticos con almacenamiento mixto, donde algunos de los datos se incluyen a través del modo de importación y otros se incluyen a través de DirectQuery.
• Las directivas DLP para Fabric solo se aplican a los datos de las tablas o carpetas de Lakehouse almacenadas en formato Delta.
• Las directivas DLP para Fabric admiten todos los tipos delta primitivos excepto timestamp_ntz.
• Las directivas DLP para Fabric no se admiten para los siguientes tipos de datos de Delta Parquet:
  • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
  • Datos con códecs de compresión LZ4, Zstd y Gzip.
• DLP for Fabric no admite clasificadores de coincidencia exacta de datos (EDM) y clasificadores entrenables. Si selecciona un clasificador EDM o entrenable en la condición de una directiva, la directiva no devuelve ningún resultado aunque el modelo semántico o lakehouse contenga datos que satisfagan el EDM o el clasificador que se puede entrenar. Otros clasificadores especificados en la directiva devuelven resultados, si los hubiera.
• Las directivas DLP para Fabric no se admiten en la región Norte de China. Consulte Búsqueda de la región predeterminada de su organización para obtener información sobre cómo buscar la región de datos predeterminada de la organización.
• Las capacidades de Azure no se admiten para DLP en Fabric en los clústeres siguientes:
  • WUS3
  • WUS2
  • SCUS
• La incorporación de un nuevo inquilino a DLP puede tardar unas horas, en función del número de áreas de trabajo admitidas que se van a incorporar.

Vea también

• Obtenga más información acerca de la prevención contra la pérdida de datos
• Etiquetas de confidencialidad en Power BI
• Esquema de auditoría para etiquetas de confidencialidad en Power BI
• Configure una directiva DLP para Fabric.
• Responder a una infracción de directiva DLP en Fabric.
• Supervisión y administración de infracciones de directiva DLP
• Obtenga más información acerca de la prevención contra la pérdida de datos