Condividi tramite

Introduzione ai criteri di prevenzione della perdita dei dati per Fabric e Power BI

Questo articolo offre una panoramica generale dei criteri di Prevenzione della perdita dei dati Microsoft Purview (DLP) Fabric e Power BI. Il gruppo di destinatari è amministratori di Fabric, team di sicurezza e conformità e proprietari dei dati di Fabric. Se si è un proprietario dei dati e si vuole sapere come rispondere quando un suggerimento per i criteri indica che l'elemento ha una corrispondenza dei criteri DLP, vedere Rispondere a una corrispondenza di criteri DLP in Fabric. Se si è un amministratore di Fabric o un amministratore di sicurezza e conformità e si deve controllare gli avvisi sulle corrispondenze dei criteri DLP, vedere Monitorare le corrispondenze dei criteri DLP in Fabric.

Panoramica

Per consentire alle organizzazioni di rilevare e proteggere i dati sensibili, Fabric supporta i criteri Prevenzione della perdita dei dati Microsoft Purview (DLP). Quando un criterio DLP per Fabric rileva un tipo di elemento supportato contenente informazioni riservate, vengono attivate le azioni configurate nei criteri. Queste azioni possono includere:

  • Collegamento di un suggerimento per i criteri all'elemento che spiega la natura del contenuto sensibile.
  • Registrazione di un avviso per gli amministratori nella pagina Avvisi di prevenzione della perdita dei dati nel portale di Microsoft Purview.
  • Invio di avvisi di posta elettronica agli amministratori e agli utenti specificati.
  • Limitazione dell'accesso all'elemento.

Per altre informazioni, vedere Come funzionano i criteri DLP per Fabric e Power BI.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Licenze e autorizzazioni

Licenze

Per informazioni sulle licenze, vedere

Autorizzazioni

I dati di DLP per Fabric e Power BI possono essere visualizzati in Esplora attività. Esistono quattro ruoli che concedono l'autorizzazione a Esplora attività; l'account usato per accedere ai dati deve essere membro di uno qualsiasi di essi.

Per visualizzare Esplora attività, l'account usato per accedere ai dati deve essere un membro di uno dei ruoli seguenti o superiori.

  • Amministratore di conformità
  • Amministratore della sicurezza
  • Amministratore dati di conformità

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere usato solo negli scenari in cui non è possibile usare un ruolo con privilegi inferiori.

Fatturazione

I carichi di lavoro di valutazione DLP influiscono sul consumo di capacità. Per informazioni su come viene misurato e fatturato, vedere Informazioni sui modelli di fatturazione di Microsoft Purview.

Funzionamento dei criteri DLP per Fabric e Power BI

I criteri di prevenzione della perdita dei dati vengono definiti nella sezione prevenzione della perdita dei dati del portale di Microsoft Purview. Nei criteri specificare le condizioni, ad esempio le etichette di riservatezza e/o i tipi di informazioni sensibili da rilevare. Si specificano anche le azioni che il sistema eseguirà quando viene rilevata una corrispondenza dei criteri.

Quando un tipo di elemento supportato viene valutato dai criteri DLP, se corrisponde alle condizioni specificate in un criterio DLP, si verificano le azioni specificate nei criteri. I criteri DLP vengono avviati dalle azioni seguenti:

Modelli semantici:

Un modello semantico viene valutato in base ai criteri DLP ogni volta che si verifica uno degli eventi seguenti:

  • Pubblicazione
  • Ripubblicazione
  • Aggiornamento su richiesta
  • Aggiornamento pianificato

Nota

La valutazione DLP del modello semantico non viene eseguita se è vera una delle seguenti condizioni:

  • L'iniziatore dell'evento (pubblicazione, ripubblicazione, aggiornamento su richiesta, aggiornamento pianificato) è un account che usa l'autenticazione dell'entità servizio.
  • Il proprietario del modello semantico è un'entità servizio.

Elementi dell'infrastruttura:

Un elemento di Fabric, ad esempio lakehouse, database SQL o database con mirroring, viene valutato in base ai criteri DLP quando i dati al suo interno subiscono una modifica, ad esempio il recupero di nuovi dati, la connessione di una nuova origine, l'aggiunta o l'aggiornamento di tabelle esistenti e altro ancora.

Cosa accade quando un elemento viene contrassegnato da un criterio DLP di Fabric

Quando un criterio DLP rileva un problema con un elemento:

  • Se nel criterio è abilitata la "notifica utente", l'elemento verrà contrassegnato in Fabric con un'icona che indica che un criterio DLP ha rilevato un problema con l'elemento. Passare il mouse sull'icona per visualizzare una scheda al passaggio del mouse che offre un'opzione per visualizzare i dettagli completi in un pannello laterale. Per altre informazioni su ciò che viene visualizzato nel pannello laterale, vedere Rispondere a una violazione DLP in Fabric.

    Screenshot dell'icona dei suggerimenti per i criteri nell'hub dati di OneLake.

    Per i modelli semantici, l'apertura della pagina dei dettagli mostrerà un suggerimento per i criteri che spiega la violazione dei criteri e come deve essere gestito il tipo di informazioni sensibili rilevate. Selezionando Visualizza tutto viene aperto un pannello laterale con tutti i dettagli dei criteri.

    Screenshot del suggerimento per i criteri nella pagina dei dettagli del modello semantico.

    Nota

    Se si nasconde il suggerimento per i criteri, questo non viene eliminato. Verrà visualizzato la volta successiva che si visita la pagina.

    Per le lakehouse, l'indicazione verrà visualizzata nell'intestazione in modalità di modifica e l'apertura del riquadro a comparsa consente di visualizzare altri dettagli sui suggerimenti per i criteri che interessano la lakehouse. Selezionando Visualizza tutto viene aperto un pannello laterale con tutti i dettagli dei criteri.

    Screenshot della descrizione dei criteri nel riquadro a comparsa dell'intestazione lakehouse.

  • Se gli avvisi sono abilitati nei criteri, verrà registrato un avviso nella pagina Avvisi di prevenzione della perdita dei dati nel portale di Microsoft Purview e, se configurato, verrà inviato un messaggio di posta elettronica agli amministratori e/o agli utenti specificati. Per altre informazioni, vedere Monitorare e gestire le violazioni dei criteri DLP.

Azioni supportate

Quando un modello semantico o lakehouse viene valutato dai criteri DLP, se corrisponde alle condizioni specificate in un criterio DLP, si verificano le azioni specificate nei criteri. I criteri DLP per Fabric e Power BI supportano tre azioni:

  • Notifica utente tramite suggerimenti per i criteri.
  • Avvisi. Gli avvisi possono essere inviati tramite posta elettronica ad amministratori e utenti. Inoltre, gli amministratori possono monitorare e gestire gli avvisi nella scheda Avvisi nel portale di Purview.
  • Limitare l'accesso. Quando un criterio viene configurato con l'azione limita l'accesso, in caso di corrispondenza dei criteri, l'accesso all'elemento viene limitato, ai proprietari dei dati o ai membri dell'organizzazione, a seconda della configurazione dei criteri. Tutti gli altri utenti perdono l'accesso all'elemento.

Per informazioni sui trigger della valutazione DLP, vedere Funzionamento dei criteri DLP per Fabric e Power BI.

Tipi di elementi supportati

I criteri DLP per Fabric e Power BI supportano attualmente (anteprima) i tipi di elemento seguenti.

  • Modelli semantici
  • Lakehouses
  • Database KQL
  • Database con mirroring
  • Database SQL

Vedere Considerazioni e limitazioni per le eccezioni.

Tipi di condizione supportati

Le regole dei criteri DLP per Fabric e Power BI supportano le etichette di riservatezza e un subset di tipi di informazioni sensibili (vedere considerazioni e limitazioni) come condizioni.

Configurare criteri DLP per Fabric e Power BI

Per informazioni sulla creazione di criteri DLP per Fabric o Power BI, vedere Creare e distribuire criteri di prevenzione della perdita dei dati. In particolare, seguire le procedure descritte in Scenario 8 Blocca i report di Power BI con numeri di carta di credito e adattarli al proprio scenario specifico.

Considerazioni e limitazioni

  • I criteri DLP si applicano alle aree di lavoro. Sono supportate solo le aree di lavoro ospitate nelle capacità Fabric o Premium. Per altre informazioni, vedere Concetti e licenze di Microsoft Fabric.
  • I modelli di criteri DLP non sono ancora supportati per i criteri DLP di Fabric. Quando si creano criteri DLP per Fabric, scegliere l'opzione "criteri personalizzati".
  • I criteri DLP per Fabric non sono supportati per modelli semantici di esempio, set di dati di streaming o modelli semantici che si connettono all'origine dati tramite DirectQuery o connessione dinamica. Sono inclusi i modelli semantici con archiviazione mista, in cui alcuni dati vengono forniti tramite la modalità di importazione e altri tramite DirectQuery.
  • I criteri DLP per Fabric si applicano solo ai dati nelle tabelle Lakehouse/cartella archiviate in formato Delta.
  • I criteri DLP per Fabric supportano tutti i tipi Delta primitivi tranne timestamp_ntz.
  • I criteri DLP per Fabric non sono supportati per i tipi di dati Delta Parquet seguenti:
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Dati con codec di compressione LZ4, Zstd e Gzip.
  • I classificatori di corrispondenza dei dati esatti (EDM) e i classificatori sottoponibili a training non sono supportati da DLP per Fabric. Se si seleziona un classificatore EDM o sottoponibile a training nella condizione di un criterio, il criterio non produrrà alcun risultato anche se il modello semantico o lakehouse contiene effettivamente dati che soddisfano il classificatore EDM o sottoponibile a training. Altri classificatori specificati nel criterio restituiscono i risultati, se presenti.
  • I criteri DLP per Fabric non sono supportati nell'area Cina settentrionale. Per informazioni su come trovare l'area dati predefinita dell'organizzazione, vedere Come trovare l'area dati predefinita dell'organizzazione.
  • Le capacità di Azure non sono supportate per la prevenzione della perdita dei dati in Fabric nei cluster seguenti:
    • WUS3
    • WUS2
    • SCUS
  • L'onboarding di un nuovo tenant in DLP può richiedere alcune ore, a seconda del numero di aree di lavoro supportate di cui viene eseguito l'onboarding.

Vedere anche