Leggere in inglese

Condividi tramite


Introduzione ai criteri di prevenzione della perdita dei dati per Fabric e Power BI

Questo articolo descrive i criteri Prevenzione della perdita dei dati Microsoft Purview (DLP) in Fabric. Il gruppo di destinatari è amministratori di Fabric, team di sicurezza e conformità e proprietari dei dati di Fabric.

Panoramica

Per consentire alle organizzazioni di rilevare e proteggere i dati sensibili, Fabric supporta i criteri Prevenzione della perdita dei dati Microsoft Purview (DLP). Quando un criterio DLP per Fabric rileva un tipo di elemento supportato contenente informazioni riservate, è possibile allegare un suggerimento per i criteri all'elemento che spiega la natura del contenuto sensibile e un avviso può essere registrato nella pagina Avvisi di prevenzione della perdita dei dati nel portale di Microsoft Purview per il monitoraggio e la gestione da parte degli amministratori. Inoltre, gli avvisi di posta elettronica possono essere inviati agli amministratori e agli utenti specificati.

Questo articolo descrive il funzionamento della prevenzione della perdita dei dati in Fabric, elenca le considerazioni e le limitazioni, nonché i requisiti di licenza e autorizzazioni e spiega come viene misurato l'utilizzo della CPU DLP. Per altre informazioni, vedere:

Suggerimento

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Considerazioni e limitazioni

  • I criteri DLP per Fabric sono definiti nel portale di Microsoft Purview.
  • I criteri DLP si applicano alle aree di lavoro. Sono supportate solo le aree di lavoro ospitate nelle capacità Fabric o Premium. Per altre informazioni, vedere Concetti e licenze di Microsoft Fabric.
  • I carichi di lavoro di valutazione DLP influiscono sulla capacità. Attualmente, la prevenzione della perdita dei dati per Fabric è disponibile senza costi aggiuntivi, ma è soggetta a modifiche. Controllare questo documento e il blog di Fabric per gli aggiornamenti.
  • I modelli di criteri DLP non sono ancora supportati per i criteri DLP di Fabric. Quando si creano criteri DLP per Fabric, scegliere l'opzione "criteri personalizzati".
  • Le regole dei criteri DLP di Fabric supportano attualmente le etichette di riservatezza e i tipi di informazioni sensibili come condizioni.
  • I criteri DLP per Fabric non sono supportati per modelli semantici di esempio, set di dati di streaming o modelli semantici che si connettono all'origine dati tramite DirectQuery o connessione dinamica. Sono inclusi i modelli semantici con archiviazione mista, in cui alcuni dati vengono forniti tramite la modalità di importazione e altri tramite DirectQuery.
  • I criteri DLP per Fabric si applicano solo ai dati nelle tabelle Lakehouse/cartella archiviate in formato Delta.
  • I criteri DLP per Fabric supportano tutti i tipi Delta primitivi tranne timestamp_ntz.
  • I criteri DLP per Fabric non sono supportati per i tipi di dati Delta Parquet seguenti:
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Dati con codec di compressione LZ4, Zstd e Gzip.
  • I classificatori di corrispondenza dei dati esatti (EDM) e i classificatori sottoponibili a training non sono supportati da DLP per Fabric. Se si seleziona un classificatore EDM o sottoponibile a training nella condizione di un criterio, il criterio non produrrà alcun risultato anche se il modello semantico o lakehouse contiene effettivamente dati che soddisfano il classificatore EDM o sottoponibile a training. Altri classificatori specificati nel criterio restituiscono i risultati, se presenti.
  • I criteri DLP per Fabric non sono supportati nell'area Cina settentrionale. Per informazioni su come trovare l'area dati predefinita dell'organizzazione, vedere Come trovare l'area dati predefinita dell'organizzazione.
  • Le capacità di Azure non sono supportate per la prevenzione della perdita dei dati in Fabric nei cluster seguenti:
    • WUS3
    • WUS2
    • SCUS
  • L'onboarding di un nuovo tenant in DLP può richiedere alcune ore, a seconda del numero di aree di lavoro supportate di cui viene eseguito l'onboarding.

Licenze e autorizzazioni

Licenze per SKU/abbonamenti

Prima di iniziare a usare la prevenzione della perdita dei dati (DLP) per Power BI, è necessario confermarel’abbonamento a Microsoft 365. Per indicazioni complete sulle licenze, vedere Linee guida di Microsoft 365 per sicurezza e conformità.

Autorizzazioni

I dati da DLP per Fabric possono essere visualizzati in Esplora attività. Esistono quattro ruoli che concedono l'autorizzazione a Esplora attività; l'account usato per accedere ai dati deve essere membro di uno qualsiasi di essi.

Per visualizzare Esplora attività, l'account usato per accedere ai dati deve essere un membro di uno dei ruoli seguenti o superiori.

  • Amministratore di conformità
  • Amministratore della sicurezza
  • Amministratore dati di conformità

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere usato solo negli scenari in cui non è possibile usare un ruolo con privilegi inferiori.

Tipi di elementi supportati

I criteri DLP per Fabric supportano attualmente (anteprima) i tipi di elemento seguenti.

  • Modelli semantici
  • Lakehouses

Vedere Considerazioni e limitazioni per le eccezioni.

Come funzionano i criteri DLP per Fabric

I criteri di prevenzione della perdita dei dati vengono definiti nella sezione prevenzione della perdita dei dati del portale di Microsoft Purview. Nei criteri specificare le etichette di riservatezza e/o i tipi di informazioni sensibili da rilevare. Si specificano anche le azioni che si verificheranno quando i criteri rilevano un modello semantico o lakehouse che contiene dati sensibili del tipo specificato. I criteri DLP per Fabric supportano tre azioni:

  • Notifica utente tramite suggerimenti per i criteri.

  • Avvisi. Gli avvisi possono essere inviati tramite posta elettronica ad amministratori e utenti. Inoltre, gli amministratori possono monitorare e gestire gli avvisi nella scheda Avvisi nel portale di Purview.

  • Limitare l'accesso. Quando un tipo di elemento supportato viola un criterio configurato con l'azione di limitazione dell'accesso, l'accesso all'elemento è limitato, ai proprietari dei dati o ai membri dell'organizzazione, a seconda della configurazione dei criteri. Tutti gli altri utenti perderanno l'accesso all'elemento.

    Nota

    L'azione limita l'accesso viene applicata solo ai modelli semantici.

Quando un modello semantico o lakehouse viene valutato dai criteri DLP, se corrisponde alle condizioni specificate in un criterio DLP, si verificano le azioni specificate nei criteri. I criteri DLP vengono avviati dalle azioni seguenti:

Modelli semantici:

Un modello semantico viene valutato in base ai criteri DLP ogni volta che si verifica uno degli eventi seguenti:

  • Pubblicazione
  • Ripubblicazione
  • Aggiornamento su richiesta
  • Aggiornamento pianificato

Nota

La valutazione DLP del modello semantico non viene eseguita se è vera una delle seguenti condizioni:

  • L'iniziatore dell'evento (pubblicazione, ripubblicazione, aggiornamento su richiesta, aggiornamento pianificato) è un account che usa l'autenticazione dell'entità servizio.
  • Il proprietario del modello semantico è un'entità servizio.

Lakehouse:

Una lakehouse viene valutata in base ai criteri DLP Quando i dati all'interno di una lakehouse vengono sottoposti a una modifica, ad esempio il recupero di nuovi dati, la connessione di una nuova origine, l'aggiunta o l'aggiornamento di tabelle esistenti e altro ancora.

Cosa accade quando un elemento viene contrassegnato da un criterio DLP di Fabric

Quando un criterio DLP rileva un problema con un elemento:

  • Se nel criterio è abilitata la "notifica utente", l'elemento verrà contrassegnato in Fabric con un'icona che indica che un criterio DLP ha rilevato un problema con l'elemento. Passare il mouse sull'icona per visualizzare una scheda al passaggio del mouse che offre un'opzione per visualizzare i dettagli completi in un pannello laterale. Per altre informazioni su ciò che viene visualizzato nel pannello laterale, vedere Rispondere a una violazione DLP in Fabric.

    Screenshot dell'icona dei suggerimenti per i criteri nell'hub dati di OneLake.

    Per i modelli semantici, l'apertura della pagina dei dettagli mostrerà un suggerimento per i criteri che spiega la violazione dei criteri e come deve essere gestito il tipo di informazioni sensibili rilevate. Selezionando Visualizza tutto viene aperto un pannello laterale con tutti i dettagli dei criteri.

    Screenshot del suggerimento per i criteri nella pagina dei dettagli del modello semantico.

    Nota

    Se si nasconde il suggerimento per i criteri, questo non viene eliminato. Verrà visualizzato la volta successiva che si visita la pagina.

    Per le lakehouse, l'indicazione verrà visualizzata nell'intestazione in modalità di modifica e l'apertura del riquadro a comparsa consente di visualizzare altri dettagli sui suggerimenti per i criteri che interessano la lakehouse. Selezionando Visualizza tutto viene aperto un pannello laterale con tutti i dettagli dei criteri.

    Screenshot della descrizione dei criteri nel riquadro a comparsa dell'intestazione lakehouse.

  • Se gli avvisi sono abilitati nei criteri, verrà registrato un avviso nella pagina Avvisi di prevenzione della perdita dei dati nel portale di Microsoft Purview e, se configurato, verrà inviato un messaggio di posta elettronica agli amministratori e/o agli utenti specificati. Per altre informazioni, vedere Monitorare e gestire le violazioni dei criteri DLP.

Configurare criteri DLP per Power BI/Fabric

Seguire le procedure in Creare e distribuire criteri di prevenzione della perdita dei dati e usare il modello personalizzato.

Importante

Quando si selezionano le posizioni per i criteri DLP per Power BI/Fabric, selezionare solo la posizione di Power BI/Fabric. Non selezionare altre posizioni, questa configurazione non è supportata.

Vedere anche