Creazione dello schema per i tipi di informazioni sensibili basati sulla corrispondenza esatta dei dati

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Si applica a

• Esperienza classica di creazione del tipo di informazioni sensibili (SIT, Sensitive Information Type) ed EDM (Exact Data Match).

Usare lo schema esatto della corrispondenza dei dati e lo strumento modello di tipo di informazioni riservate

Se non si ha familiarità con SITS basato su EDM o la relativa implementazione, è necessario acquisire familiarità con:

• Informazioni sui tipi di informazioni riservate
• Informazioni sui tipi di informazioni sensibili basate sulla corrispondenza esatta dei dati
• Introduzione ai tipi di informazioni sensibili basati sulla corrispondenza esatta dei dati

Un singolo schema EDM può essere usato in più tipi di informazioni sensibili che usano la stessa tabella dati sensibili. È possibile creare fino a 10 schemi EDM diversi in un tenant di Microsoft 365.

Usare lo strumento Schema corrispondenza dati e tipo di informazioni riservate

È possibile usare questo strumento per semplificare il processo di creazione del file di schema.

Prerequisiti

• Eseguire la procedura descritta in Esportare i dati di origine per il tipo esatto di informazioni sensibili basate sulla corrispondenza dei dati.

Usare lo schema esatto della corrispondenza dei dati e lo strumento modello di tipo di informazioni riservate

Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.

Portale di Microsoft Purview

1. Accedere al portale >di Microsoft Purview Information Protection >ClassifiersEDM classifiers>EDM schemas> (disponibile quando la nuova esperienza EMD è disattivata).

2. Scegliere Crea schema EDM per aprire il riquadro a comparsa di configurazione dello strumento schema.

   

3. Immettere il Nome e la Descrizione appropriati.

4. Scegliere Ignora delimitatori e punteggiatura per tutti i campi dello schema se si vuole applicare il comportamento Ignora... per l'intero schema. Per altre informazioni sulla configurazione di EDM per ignorare maiuscole e minuscole o delimitatori, vedere Uso dei campi caseInsensitive e ignoreDelimiters per altri dettagli su questa funzionalità.

5. Immettere i valori desiderati per il campo n.1 dello schema e aggiungere più campi secondo necessità. Ogni campo dello schema deve essere identico alle intestazioni di colonna nel file di origine delle informazioni riservate.

6. Se si desidera, impostare i valori per campo per gli elementi seguenti:

   • Campo ricercabile
   • Il campo non fa distinzione tra maiuscole e minuscole
   • Scegliere delimitatori e punteggiatura da ignorare per questo campo
   • Immettere delimitatori personalizzati e punteggiatura per questo campo

   Importante

   Almeno uno, ma non più di dieci, dei campi dello schema deve essere designato come ricercabile.

7. Scegliere Salva. Lo schema è ora elencato e disponibile per l'uso.

   Importante

   Se si vuole rimuovere uno schema già associato a un sit EDM, è prima necessario eliminare il SIT EDM. L'eliminazione di uno schema a cui è associato un archivio dati comporta anche l'eliminazione dell'archivio dati entro 24 ore.

Portale di conformità

1. Aprire Portale di conformità di Microsoft Purview>Classificatori>di classificazione>EDM classificatori> EDM(disponibili quando l'opzione Nuova esperienza EMD è disattivata).

2. Scegliere Crea schema EDM per aprire il riquadro a comparsa di configurazione dello strumento schema.

   

3. Immettere il Nome e la Descrizione appropriati.

4. Scegliere Ignora delimitatori e punteggiatura per tutti i campi dello schema se si vuole applicare il comportamento Ignora... per l'intero schema. Per altre informazioni sulla configurazione di EDM per ignorare maiuscole e minuscole o delimitatori, vedere Uso dei campi caseInsensitive e ignoreDelimiters per altri dettagli su questa funzionalità.

5. Immettere i valori desiderati per il campo n.1 dello schema e aggiungere più campi secondo necessità. Ogni campo dello schema deve essere identico alle intestazioni di colonna nel file di origine delle informazioni riservate.

6. Se si desidera, impostare i valori per campo per gli elementi seguenti:

   • Campo ricercabile
   • Il campo non fa distinzione tra maiuscole e minuscole
   • Scegliere delimitatori e punteggiatura da ignorare per questo campo
   • Immettere delimitatori personalizzati e punteggiatura per questo campo

   Importante

   Almeno uno, ma non più di dieci, dei campi dello schema deve essere designato come ricercabile.

7. Scegliere Salva. Lo schema è ora elencato e disponibile per l'uso.

   Importante

   Se si vuole rimuovere uno schema già associato a un sit EDM, è prima necessario eliminare il SIT EDM. L'eliminazione di uno schema a cui è associato un archivio dati comporta anche l'eliminazione dell'archivio dati entro 24 ore.

Esportazione del file di schema EDM in formato XML

Se lo schema EDM è stato creato nello strumento schema EDM, è necessario esportare il file di schema in formato XML. Sarà necessario il file XML per completare l'hash e caricare la tabella dell'origine delle informazioni riservate per la fase dei tipi di informazioni sensibili corrispondenti ai dati esatti .

1. Connettersi a PowerShell per Sicurezza e conformità.

2. Per esportare il file di schema EDM, usare questa sintassi:

   $Schema = Get-DlpEdmSchema -Identity "[your EDM Schema name]"
   Set-Content -Path ".\Schemafile.xml" -Value $Schema.EdmSchemaXML
   

3. Salvare questo file per usarlo in un secondo momento.

Creare e caricare manualmente il file di schema esatto della corrispondenza dei dati

Durante la creazione del file di schema, le intestazioni di colonna (campi dati) devono rispettare i requisiti di denominazione seguenti:

• Deve iniziare con una lettera e deve essere costituito da almeno tre caratteri alfanumerici.
• Deve includere solo caratteri alfanumerici.

Usare la sintassi seguente per ogni campo colonna/dati:

<Field name="FieldName" searchable="true/false" caseInsensitive="true/false" ignoredDelimiters="delimiter characters" />

Uso dei campi caseInsensitive e ignoredDelimiters

L'esempio XML dello schema seguente usa i caseInsensitive campi e ignoredDelimiters .

Quando si include il caseInsensitive campo impostato sul valore di nella definizione dello true schema, EDM non esclude un elemento in base alle differenze tra maiuscole e minuscole. Ad esempio, EDM vede i valori FOO-1234 e fOo-1234 identici per il PatientID campo.

Quando si include il ignoredDelimiters campo con caratteri supportati, EDM ignora tali caratteri. Pertanto, EDM considera i valori FOO-1234 e FOO#1234 identici per il PatientID campo.

In questo esempio, in cui vengono usati entrambi caseInsensitive e ignoredDelimiters , EDM vede FOO-1234 e fOo#1234 come identici e classifica l'elemento come tipo di informazioni riservate del record del paziente.

Entrambi questi parametri vengono usati in base al campo.

Importante

Se si configurano gli spazi da ignorare, questo sarà efficace solo per le colonne di campi primari e per le quali è definito un tipo di informazioni riservate in grado di rilevare stringhe di più parole. In caso contrario, il confronto verrà eseguito con ogni singola parola nel contenuto analizzato.

Il ignoredDelimiters flag supporta qualsiasi carattere non alfanumerico, di seguito sono riportati alcuni esempi:

• .
• -
• /
• _
• *
• ^
• #
• !
• ?
• [
• ]
• {
• }
• \
• ~
• ;

Il contrassegno ignoredDelimiters non supporta:

• Caratteri 0-9
• A-Z
• a-z
• "
• ,

Importante

Quando si definisce il tipo di informazioni riservate EDM, ignoredDelimiters non influirà sul modo in cui il tipo di informazioni riservate di classificazione associato all'elemento primario in un modello EDM identifica il contenuto in un elemento. Pertanto, se si configura ignoredDelimiters per un campo ricercabile, è necessario assicurarsi che il tipo di informazioni riservate usato per un elemento primario basato su tale campo selezioni le stringhe con e senza i caratteri presenti.

Il numero di colonne nella tabella di origine delle informazioni riservate e il numero di campi nello schema devono corrispondere, l'ordine non è importante.

I caratteri usati come separatori di token si comportano in modo diverso rispetto agli altri delimitatori. Ecco alcuni esempi:

• \ (spazio)
• \T
• ,
• .
• ;
• ?
• !
• \R
• \n

Quando si include un separatore di token, EDM interrompe il token in cui si trova il separatore. Ad esempio, EDM visualizza il valore Middle-Last Name in Middle-Last e Name per il LastName campo. Se l'oggetto ignoredDelimiters è incluso per il LastName campo con il carattere '-', l'azione viene eseguita solo dopo l'interruzione del valore. Alla fine, EDM visualizzerà i valori MiddleLast e Name seguenti.

Per usare i caratteri seguenti come separatori di token e non come ignoredDelimitersseparatori di token, è necessario associare al campo un separatore SIT corrispondente al formato corrispondente. Ad esempio, un sit che rileva una stringa di più parole con trattini deve essere associato al LastName campo.

• .
• ;
• !
• ?
• \

È possibile associare SIT a elementi secondari usando PowerShell.

1. Definire lo schema in formato XML (simile all'esempio seguente). Denominare questo file di schemaedm.xml e quindi configurarlo in modo che, per ogni colonna nella tabella di origine delle informazioni riservate, sia presente una riga che usa la sintassi:

   \<Field name="" searchable=""/\>.

   • Usare i nomi delle colonne per i valori dei nomi dei campi.
   • Usare searchable="true" per i campi in cui si vuole eseguire la ricerca e i campi primari fino a un massimo di cinque campi. Almeno un campo deve essere disponibile per la ricerca.

   Ad esempio, il file XML seguente definisce lo schema per un database di record del paziente, con cinque campi specificati come ricercabili: PatientID, MRN, SSN, Phonee DOB.

   (È possibile copiare, modificare e usare l'esempio.)

   <EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
         <DataStore name="PatientRecords" description="Schema for patient records" version="1">
               <Field name="PatientID" searchable="true" caseInsensitive="true" ignoredDelimiters="-,/,*,#,^" />
               <Field name="MRN" searchable="true" />
               <Field name="FirstName" />
               <Field name="LastName" />
               <Field name="SSN" searchable="true" />
               <Field name="Phone" searchable="true" />
               <Field name="DOB" searchable="true" />
               <Field name="Gender" />
               <Field name="Address" />
         </DataStore>
   </EdmSchema>
   

   Dopo aver creato il file di schema EDM in formato XML, è necessario caricarlo nel servizio cloud.

2. Connettersi a PowerShell per Sicurezza e conformità.

3. Per caricare lo schema del database, eseguire il comando seguente:

   New-DlpEdmSchema -FileData ([System.IO.File]::ReadAllBytes('.\\edm.xml')) -Confirm:$true
   

   Verrà richiesto di confermare, come indicato di seguito:

   Conferma

   Eseguire questa azione?

   Verrà importato il nuovo schema EDM per l'archivio dati 'patientrecords'.

   [Y] Sì [A] Sì a Tutti [N] No [L] No a Tutti [?] Guida (il valore predefinito è "Y"):

   Consiglio

   Se si desidera che le modifiche vengano apportate senza conferma, non usare -Confirm:$true nel passaggio 3.

Nota

L'aggiornamento dello schema EDM impiega tra i 10 e i 60 minuti con aggiunte. Completare l'aggiornamento prima di eseguire i passaggi che usano le aggiunte.

Passaggio successivo

• Eseguire l'hashing e caricare la tabella di origine delle informazioni sensibili per i tipi di informazioni sensibili corrispondenti ai dati esatti