Stratégies de protection contre la perte de données dans Fabric

Cet article décrit les stratégies Protection contre la perte de données Microsoft Purview (DLP) dans Fabric. Le public cible est les administrateurs fabric, les équipes de sécurité et de conformité et les propriétaires de données Fabric.

Vue d’ensemble

Pour aider les organisations à détecter et protéger leurs données sensibles, Fabric prend en charge les stratégies Protection contre la perte de données Microsoft Purview (DLP). Lorsqu’une stratégie DLP pour Fabric détecte un type d’élément pris en charge contenant des informations sensibles, un conseil de stratégie peut être attaché à l’élément qui explique la nature du contenu sensible, et une alerte peut être inscrite sur la page Alertes de protection contre la perte de données dans le portail de conformité Microsoft Purview pour la surveillance et la gestion par les administrateurs. De plus, des alertes peuvent être envoyées par e-mail aux administrateurs et aux utilisateurs spécifiés.

Cet article décrit le fonctionnement de DLP dans Fabric, répertorie les considérations et limitations, ainsi que les exigences relatives aux licences et autorisations, et explique comment l’utilisation du processeur DLP est mesurée. Pour plus d’informations, consultez l’article suivant :

• Configurez une stratégie DLP pour Fabric pour voir comment configurer des stratégies DLP pour Fabric.
• Répondez à une violation de stratégie DLP dans Fabric pour voir comment répondre lorsqu’un conseil de stratégie vous indique que votre modèle lakehouse ou sémantique a une violation de stratégie DLP.
• Surveillez les violations de stratégie DLP dans Fabric pour voir comment vous connecter au portail Microsoft Purview pour afficher des détails sur les alertes de violation DLP.

Observations et limitations

• Les stratégies DLP pour Fabric sont définies dans le portail de conformité Microsoft Purview.

• Les stratégies DLP s’appliquent aux espaces de travail. Seuls les espaces de travail hébergés dans les capacités Fabric ou Premium sont pris en charge. Pour plus d’informations, consultez Concepts et licences Microsoft Fabric.

• Les charges de travail d’évaluation DLP ont un impact sur la capacité. Actuellement, DLP pour Fabric est disponible sans frais supplémentaires, mais il est susceptible de changer. Consultez ce document et le blog Fabric pour connaître les mises à jour.

• Les modèles de stratégie DLP ne sont pas encore pris en charge pour les stratégies DLP Fabric. Lorsque vous créez une stratégie DLP pour Fabric, choisissez l’option « stratégie personnalisée ».

• Les règles de stratégie DLP fabric prennent actuellement en charge les étiquettes de confidentialité et les types d’informations sensibles en tant que conditions.

• Les stratégies DLP pour Fabric ne sont pas prises en charge pour les exemples de modèles sémantiques, les jeux de données de streaming ou les modèles sémantiques qui se connectent à leur source de données via DirectQuery ou une connexion active. Cela inclut des modèles sémantiques avec un stockage mixte, où certaines données sont livrées via le mode d’importation et celles-ci sont effectuées via DirectQuery.

• Les stratégies DLP pour Fabric s’appliquent uniquement aux données dans les tables Lakehouse/dossier stockés au format Delta.

• Les stratégies DLP pour Fabric prennent en charge tous les types Delta primitifs, sauf timestamp_ntz.

• Les stratégies DLP pour Fabric ne sont pas prises en charge pour les types de données Delta Parquet suivants :

  • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
  • Données avec les codecs de compression LZ4, Zstd et Gzip.

• Les classifieurs EDM (Exact Data Match) et les classifieurs pouvant être entraînés ne sont pas pris en charge par DLP pour Fabric. Si vous sélectionnez un classifieur EDM ou trainable dans la condition d’une stratégie, la stratégie ne génère aucun résultat même si le modèle sémantique ou lakehouse contient en fait des données qui répondent au classifieur EDM ou trainable. Les autres classifieurs spécifiés dans la stratégie retournent des résultats, le cas échéant.

• Les stratégies DLP pour Fabric ne sont pas prises en charge dans la région Chine Nord. Découvrez comment trouver la région par défaut de votre organisation pour savoir comment trouver la région de données par défaut de votre organisation.

• Les capacités Azure ne sont pas prises en charge pour DLP dans Fabric dans les clusters suivants :

  • WUS3
  • WUS2
  • SCUS

• L’intégration d’un nouveau locataire à DLP peut prendre quelques heures, en fonction du nombre d’espaces de travail pris en charge qui sont intégrés.

Licences et autorisations

Licence de références SKU/d’abonnements

Avant de commencer à utiliser DLP pour Fabric, vous devez confirmer votre abonnement Microsoft 365. Une des licences suivantes doit être affectée au compte d’administrateur qui définit les règles DLP :

• Microsoft 365 E5
• Conformité Microsoft 365 E5
• Protection et gouvernance des informations – Microsoft 365 E5
• Capacités Purview

autorisations

Les données de DLP pour Fabric peuvent être consultées dans l’Explorateur d’activités. Il existe quatre rôles qui accordent l’autorisation à l’Explorateur d’activités ; le compte que vous utilisez pour accéder aux données doit être membre de l’un d’entre eux.

Pour afficher l’Explorateur d’activités, le compte que vous utilisez pour accéder aux données doit être membre de l’un des rôles suivants ou version ultérieure.

• Administrateur de conformité
• Administrateur de sécurité
• Administrateur des données de conformité

Types d’éléments pris en charge

Les stratégies DLP pour Fabric prennent actuellement en charge les types d’éléments suivants.

• Modèles sémantiques
• Lakehouses

Consultez considérations et limitations relatives aux exceptions.

Comment fonctionnent les stratégies DLP pour Fabric

Vous définissez une stratégie DLP dans la section protection contre la perte de données du portail Microsoft Purview. Dans la stratégie, vous spécifiez les étiquettes de confidentialité et/ou les types d’informations sensibles que vous souhaitez détecter. Vous spécifiez également les actions qui se produisent lorsque la stratégie détecte un modèle sémantique ou un lakehouse qui contient des données sensibles du type que vous avez spécifié. Les stratégies DLP pour Fabric prennent en charge deux actions :

• Notification de l’utilisateur par le biais de conseils de stratégie.
• Alertes. Des alertes peuvent être envoyées par e-mail aux administrateurs et aux utilisateurs. De plus, les administrateurs peuvent surveiller et gérer les alertes sous l’onglet Alertes du portail de conformité.

Lorsqu’un modèle sémantique ou lakehouse est évalué par des stratégies DLP, s’il correspond aux conditions spécifiées dans une stratégie DLP, les actions spécifiées dans la stratégie se produisent. Les stratégies DLP sont lancées par les actions suivantes :

Modèles sémantiques :

Un modèle sémantique est évalué par rapport aux stratégies DLP chaque fois qu’un des événements suivants se produit :

• Publier
• Republier
• Actualisation à la demande
• Actualisation planifiée

Remarque

L’évaluation DLP du modèle sémantique ne se produit pas si l’un des éléments suivants est vrai :

• L’initiateur de l’événement (publier, republier, actualiser à la demande, actualisation planifiée) est un compte utilisant l’authentification du principal de service.
• Le propriétaire du modèle sémantique est un principal de service.

Lakehouse :

Un lakehouse est évalué par rapport aux stratégies DLP lorsque les données d’un lakehouse subissent une modification, comme l’obtention de nouvelles données, la connexion d’une nouvelle source, l’ajout ou la mise à jour de tables existantes, etc.

Que se passe-t-il lorsqu’un élément est marqué par une stratégie DLP Fabric

Lorsqu’une stratégie DLP détecte un problème avec un élément :

• Si la « notification utilisateur » est activée dans la stratégie, l’élément est marqué dans Fabric avec une icône qui indique qu’une stratégie DLP a détecté un problème avec l’élément. Pointez sur l’icône pour afficher une carte de pointage qui fournit une option permettant d’afficher les détails complets dans un panneau latéral. Pour plus d’informations sur ce que vous voyez dans le volet latéral, consultez Répondre à une violation DLP dans Fabric.

  

  Pour les modèles sémantiques, l’ouverture de la page de détails affiche un conseil de stratégie qui explique la violation de la stratégie et la façon dont le type d’informations sensibles détectées doit être géré. La sélection de l’affichage ouvre tous un panneau latéral avec tous les détails de la stratégie.

  

  Remarque

  Si vous masquez le conseil de stratégie, il n’est pas supprimé. Vous le verrez la prochaine fois que vous visiterez la page.

  Pour les lakehouses, l’indication s’affiche dans l’en-tête en mode édition et l’ouverture du menu volant permet d’afficher plus de détails sur les conseils de stratégie affectant le lakehouse. La sélection de l’affichage ouvre tous un panneau latéral avec tous les détails de la stratégie.

  

• Si des alertes sont activées dans la stratégie, une alerte est enregistrée sur la page Alertes de protection contre la perte de données dans le portail Microsoft Purview et (si configurée) un e-mail est envoyé aux administrateurs et/ou aux utilisateurs spécifiés. Pour plus d’informations, consultez Surveiller et gérer les violations de stratégie DLP.

Contenu connexe

• Configurez une stratégie DLP pour Fabric.
• Répondre à une violation de stratégie DLP dans Fabric.
• Surveiller et gérer les violations de stratégie DLP
• En savoir plus sur la protection contre la perte de données