Delen via


Beleid ter preventie van gegevensverlies in Fabric

In dit artikel worden Microsoft Purview-preventie van gegevensverlies beleidsregels (DLP) in Fabric beschreven. De doelgroep is Fabric-beheerders, beveiligings- en nalevingsteams en eigenaren van infrastructuurgegevens.

Overzicht

Om organisaties te helpen hun gevoelige gegevens te detecteren en te beschermen, ondersteunt Fabric Microsoft Purview-preventie van gegevensverlies (DLP)-beleid. Wanneer een DLP-beleid voor Fabric een ondersteund itemtype met gevoelige informatie detecteert, kan er een beleidstip worden gekoppeld aan het item waarin de aard van de gevoelige inhoud wordt uitgelegd en kan een waarschuwing worden geregistreerd op de pagina Waarschuwingen voor preventie van gegevensverlies in de Microsoft Purview-nalevingsportal voor bewaking en beheer door beheerders. Daarnaast kunnen e-mailwaarschuwingen worden verzonden naar beheerders en opgegeven gebruikers.

In dit artikel wordt beschreven hoe DLP in Fabric werkt, overwegingen en beperkingen, evenals licentie- en machtigingsvereisten, en wordt uitgelegd hoe het CPU-gebruik van DLP wordt gemeten. Zie voor meer informatie:

Overwegingen en beperkingen

  • DLP-beleid voor Fabric wordt gedefinieerd in de Microsoft Purview-nalevingsportal.

  • DLP-beleid is van toepassing op werkruimten. Alleen werkruimten die worden gehost in Fabric- of Premium-capaciteiten, worden ondersteund. Zie Microsoft Fabric-concepten en -licenties voor meer informatie.

  • DLP-evaluatieworkloads zijn van invloed op de capaciteit. Op dit moment is DLP for Fabric gratis beschikbaar, maar dit is onderhevig aan wijzigingen. Raadpleeg dit document en het Fabric-blog voor updates.

  • DLP-beleidssjablonen worden nog niet ondersteund voor DLP-beleid voor fabric. Wanneer u een DLP-beleid voor Fabric maakt, kiest u de optie Aangepast beleid.

  • DLP-beleidsregels voor fabric ondersteunen momenteel vertrouwelijkheidslabels en typen gevoelige informatie als voorwaarden.

  • DLP-beleid voor Fabric wordt niet ondersteund voor semantische voorbeeldmodellen, streaminggegevenssets of semantische modellen die verbinding maken met hun gegevensbron via DirectQuery of live-verbinding. Dit omvat semantische modellen met gemengde opslag, waarbij sommige gegevens worden geleverd via de importmodus en sommige via DirectQuery.

  • DLP-beleid voor Fabric is alleen van toepassing op gegevens in Lakehouse Tables/folder die is opgeslagen in Delta-indeling.

  • DLP-beleid voor Fabric ondersteunt alle primitieve Delta-typen, behalve timestamp_ntz.

  • DLP-beleid voor Fabric wordt niet ondersteund voor de volgende Delta Parquet-gegevenstypen:

    • Binair, timestamp_ntz, Struct, Matrix, Lijst, Kaart, Json, Enum, Interval, Void.
    • Gegevens met LZ4-, Zstd- en Gzip-compressiecodecs.
  • Exacte gegevensovereenkomsten (EDM) classificaties en trainbare classificaties worden niet ondersteund door DLP for Fabric. Als u een EDM of trainbare classificatie selecteert in de voorwaarde van een beleid, levert het beleid geen resultaten op, zelfs als het semantische model of lakehouse in feite gegevens bevat die voldoen aan de EDM of trainbare classificatie. Andere classificaties die in het beleid zijn opgegeven, retourneren resultaten, indien van toepassing.

  • DLP-beleid voor Fabric wordt niet ondersteund in de regio China - noord. Zie Hoe u de standaardregio voor uw organisatie kunt vinden voor informatie over het vinden van de standaardgegevensregio van uw organisatie.

  • Azure-capaciteiten worden niet ondersteund voor DLP in Fabric in de volgende clusters:

    • WUS3
    • WUS2
    • SCUS
  • Het onboarden van een nieuwe tenant naar DLP kan enkele uren duren, afhankelijk van het aantal ondersteunde werkruimten dat wordt uitgevoerd.

Licenties en machtigingen

Licentieverlening voor SKU/abonnementen

Voordat u aan de slag gaat met DLP for Fabric, moet u uw Microsoft 365-abonnement bevestigen. Aan het beheerdersaccount waarmee de DLP-regels worden ingesteld, moet een van de volgende licenties worden toegewezen:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection & Governance
  • Purview-capaciteiten

Machtigingen

Gegevens uit DLP for Fabric kunnen worden weergegeven in Activiteitenverkenner. Er zijn vier rollen die machtigingen verlenen aan Activity Explorer; het account dat u gebruikt voor toegang tot de gegevens, moet lid zijn van een van deze accounts.

Als u de Activiteitenverkenner wilt weergeven, moet het account dat u gebruikt voor toegang tot de gegevens lid zijn van een van de volgende rollen of hoger.

  • Beheerder voor naleving
  • Beveiligingsbeheerder
  • Beheerder van nalevingsgegevens

Ondersteunde itemtypen

DLP-beleid voor Fabric ondersteunt momenteel de volgende itemtypen.

  • Semantische modellen
  • Lakehouses

Zie Overwegingen en beperkingen voor uitzonderingen.

Hoe werkt DLP-beleid voor Fabric?

U definieert een DLP-beleid in de sectie preventie van gegevensverlies van de Microsoft Purview-portal. In het beleid geeft u de vertrouwelijkheidslabels en/of typen gevoelige informatie op die u wilt detecteren. U geeft ook de acties op die optreden wanneer het beleid een semantisch model of lakehouse detecteert dat gevoelige gegevens bevat van het type dat u hebt opgegeven. DLP-beleid voor Fabric ondersteunt twee acties:

  • Gebruikersmelding via beleidstips.
  • Waarschuwingen. Waarschuwingen kunnen per e-mail worden verzonden naar beheerders en gebruikers. Daarnaast kunnen beheerders waarschuwingen controleren en beheren op het tabblad Waarschuwingen in de complianceportal.

Wanneer een semantisch model of lakehouse wordt geëvalueerd door DLP-beleid, als dit overeenkomt met de voorwaarden die zijn opgegeven in een DLP-beleid, vinden de acties die in het beleid zijn opgegeven, voor. DLP-beleid wordt gestart door de volgende acties:

Semantische modellen:

Een semantisch model wordt geëvalueerd op basis van DLP-beleid wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Publiceren
  • Opnieuw publiceren
  • Vernieuwing op aanvraag
  • Geplande vernieuwing

Notitie

DLP-evaluatie van het semantische model vindt niet plaats als een van de volgende voorwaarden waar is:

  • De initiator van de gebeurtenis (publiceren, opnieuw publiceren, vernieuwen op aanvraag, geplande vernieuwing) is een account met behulp van service-principal-verificatie.
  • De semantische modeleigenaar is een service-principal.

Lakehouse:

Een lakehouse wordt geëvalueerd op basis van DLP-beleid wanneer de gegevens in een lakehouse een wijziging ondergaan, zoals het ophalen van nieuwe gegevens, het verbinden van een nieuwe bron, het toevoegen of bijwerken van bestaande tabellen en meer.

Wat gebeurt er wanneer een item wordt gemarkeerd door een Fabric DLP-beleid

Wanneer een DLP-beleid een probleem met een item detecteert:

  • Als 'gebruikersmelding' is ingeschakeld in het beleid, wordt het item gemarkeerd in Fabric met een pictogram dat aangeeft dat een DLP-beleid een probleem met het item heeft gedetecteerd. Beweeg de muisaanwijzer over het pictogram om een aanwijskaart weer te geven die een optie biedt om de volledige details in een zijpaneel weer te geven. Zie Reageren op een DLP-schending in Fabric voor meer informatie over wat u in het zijpaneel ziet.

    Schermopname van het pictogram beleidstip in de OneLake-gegevenshub.

    Voor semantische modellen toont het openen van de detailpagina een beleidstip waarin de beleidsschending wordt uitgelegd en hoe het type gedetecteerde gevoelige informatie moet worden verwerkt. Als u Alles weergeven selecteert, wordt een zijpaneel met alle beleidsdetails geopend.

    Schermopname van beleidstip op de pagina met details van het semantische model.

    Notitie

    Als u de beleidstip verbergt, wordt deze niet verwijderd. Deze wordt weergegeven wanneer u de pagina de volgende keer bezoekt.

    Voor lakehouses wordt de indicatie weergegeven in de koptekst in de bewerkingsmodus en het openen van de fly out maakt het mogelijk om meer informatie te zien over de beleidstips die van invloed zijn op het lakehouse. Als u Alles weergeven selecteert, wordt een zijpaneel met alle beleidsdetails geopend.

    Schermopname van beleidstip in flyout van lakehouse-header.

  • Als waarschuwingen zijn ingeschakeld in het beleid, wordt er een waarschuwing vastgelegd op de pagina Waarschuwingen voor preventie van gegevensverlies in de Microsoft Purview-portal en (indien geconfigureerd) wordt een e-mailbericht verzonden naar beheerders en/of opgegeven gebruikers. Zie DLP-beleidsschendingen bewaken en beheren voor meer informatie.