Udostępnij za pośrednictwem


Konfigurowanie zasad DLP dla usługi Power BI

W tym artykule opisano sposób konfigurowania zasad ochrony przed utratą danych (DLP) dla usługi Power BI.

Wymagania wstępne

Przed rozpoczęciem pracy z funkcją DLP dla usługi Power BI należy potwierdzić subskrypcję platformy Microsoft 365. Konto administratora, które konfiguruje reguły DLP, musi mieć przypisaną jedną z następujących licencji:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection & Governance

Konfigurowanie zasad

  1. Zaloguj się do portal zgodności Microsoft Purview.

  2. Rozwiń rozwiązanie ochrony przed utratą danych w okienku nawigacji, wybierz pozycję Zasady, a następnie wybierz pozycję Utwórz zasady.

    Screenshot of D L P create policy page.

  3. Wybierz kategorię Niestandardowa, a następnie szablon Zasady niestandardowe.

    Uwaga

    Obecnie nie są obsługiwane żadne inne kategorie ani szablony.

    Screenshot of D L P choose custom policy page.

    Po zakończeniu wybierz przycisk Dalej.

  4. Nadaj zasadom nazwę i podaj opis opisowy.

    Screenshot of D L P policy name description section.

    Po zakończeniu wybierz przycisk Dalej.

  5. Wybierz pozycję Dalej , gdy zostanie wyświetlona strona Przypisywanie jednostek administracyjnych.

    Screenshot of D L P policy admin units section.

  6. Włącz usługę Power BI jako lokalizację zasad DLP. Wyłącz wszystkie inne lokalizacje. Obecnie zasady DLP dla usługi Power BI muszą określać usługę Power BI jako jedyną lokalizację.

    Screenshot of D L P choose location page.

    Domyślnie zasady będą stosowane do wszystkich obszarów roboczych. Alternatywnie można określić określone obszary robocze do uwzględnienia w zasadach, a także obszary robocze, które mają zostać wykluczone z zasad.

    Uwaga

    Akcje DLP są obsługiwane tylko w przypadku obszarów roboczych hostowanych w pojemnościach Premium.

    Jeśli wybierzesz pozycję Wybierz obszary robocze lub Wyklucz obszary robocze, okno dialogowe umożliwi wybranie obszarów roboczych, które mają zostać dołączone (lub wykluczone).

    Obszary robocze można wyszukiwać według nazwy obszaru roboczego lub adresu e-mail użytkownika. Podczas wyszukiwania według adresu e-mail użytkownika obszar Mój obszar roboczy tego użytkownika będzie wyświetlany jako osobistyWorkspace — <adres> e-mail, a następnie możesz go wybrać.

    Screenshot of D L P choose workspaces dialog.

    Po włączeniu usługi Power BI jako lokalizacji DLP dla zasad i wybraniu obszarów roboczych, do których będą stosowane zasady, wybierz przycisk Dalej.

  7. Zostanie wyświetlona strona Definiowanie ustawień zasad. Wybierz pozycję Utwórz lub dostosuj zaawansowane reguły DLP, aby rozpocząć definiowanie zasad.

    Screenshot of D L P create advanced rule page.

    Po zakończeniu wybierz przycisk Dalej.

  8. Na stronie Dostosowywanie zaawansowanych reguł DLP można rozpocząć tworzenie nowej reguły lub wybrać istniejącą regułę do edycji. Wybierz Utwórz regułę.

    Screenshot of D L P create rule page.

  9. Zostanie wyświetlona strona Tworzenie reguły. Na stronie tworzenie reguły podaj nazwę i opis reguły, a następnie skonfiguruj pozostałe sekcje opisane poniżej.

    Screenshot of D L P create rule form.

Warunki

W sekcji warunek zdefiniujesz warunki, w których zasady będą stosowane do modelu semantycznego. Warunki są tworzone w grupach. Grupy umożliwiają konstruowanie złożonych warunków.

  1. Otwórz sekcję warunków. Wybierz pozycję Dodaj warunek , jeśli chcesz utworzyć prosty lub złożony warunek lub Dodaj grupę , jeśli chcesz rozpocząć tworzenie złożonego warunku.

    Screenshot of D L P add conditions content contains section.

    Aby uzyskać więcej informacji na temat korzystania z konstruktora warunków, zobacz Projekt reguły złożonej.

  2. Jeśli wybierzesz pozycję Dodaj warunek, wybierz pozycję Zawartość zawiera, a następnie dodaj, a następnie typy informacji poufnych lub etykiety poufności.

    Jeśli rozpoczniesz pracę z dodawaniem grupy, w końcu przejdziesz do sekcji Dodaj warunek, po czym będziesz kontynuować zgodnie z powyższym opisem.

    Screenshot of D L P add conditions section.

    Jeśli rozpoczniesz pracę z dodawaniem grupy, w końcu przejdziesz do sekcji Dodaj warunek, po czym będziesz kontynuować zgodnie z powyższym opisem.

    Po wybraniu typów informacji poufnych lub etykiet poufności będzie można wybrać określone etykiety poufności lub typy informacji poufnych, które mają zostać wykryte z listy, która będzie wyświetlana na pasku bocznym.

    Screenshot of sensitivity-label and sensitive info types choices.

    Po wybraniu typu informacji poufnych jako warunku należy określić liczbę wystąpień tego typu, aby warunek został uznany za spełniony. Można określić od 1 do 500 wystąpień. Jeśli chcesz wykryć 500 lub więcej unikatowych wystąpień, wprowadź zakres "500" na "Any". Możesz również wybrać stopień zaufania do zgodnego algorytmu. Wybierz przycisk informacji obok poziomu ufności, aby wyświetlić definicję każdego poziomu.

    Screenshot of confidence level setting for sensitive info types.

    Do grupy można dodać dodatkowe etykiety poufności lub poufne typy informacji. Po prawej stronie nazwy grupy możesz określić dowolną z tych wartości lub Wszystkie. Określa to, czy dopasowania dla wszystkich lub dowolnego elementu w grupie są wymagane do przechowywania warunku. Jeśli określono więcej niż jedną etykietę poufności, będzie można wybrać tylko dowolną z nich, ponieważ modele semantyczne nie mogą mieć zastosowanej więcej niż jednej etykiety.

    Na poniższej ilustracji przedstawiono grupę (domyślną), która zawiera dwa warunki etykiety poufności. Logika Dowolna z tych metod oznacza, że dopasowanie na dowolnej z etykiet poufności w grupie stanowi "true" dla tej grupy.

    Screenshot of D L P conditions group section.

    Możesz użyć przełącznika Szybkie podsumowanie, aby uzyskać logikę reguły podsumowanej w zdaniu.

    Screenshot of D L P conditions quick summary.

    Można utworzyć więcej niż jedną grupę i kontrolować logikę między grupami za pomocą operatorów AND lub lub logiki.

    Na poniższej ilustracji przedstawiono regułę zawierającą dwie grupy połączone za pomocą logiki OR .

    Screenshot of rule with two groups.

    Oto ta sama reguła, która jest wyświetlana jako krótkie podsumowanie.

    Screenshot of quick summary of rule with two groups.

Akcje

Akcje ochrony są obecnie niedostępne dla zasad DLP usługi Power BI.

Screenshot of D L P policy actions section.

Powiadomienia użytkownika

Sekcja powiadomień użytkownika to miejsce, w którym konfigurujesz poradę dotyczącą zasad. Włącz przełącznik, zaznacz pole wyboru Powiadom użytkowników w usłudze Office 365 z poradami dotyczącymi zasad i poradami dotyczącymi zasad, a następnie napisz poradę dotyczącą zasad w polu tekstowym.

Screenshot of D L P user notification section.

Przesłonięcia użytkowników

Jeśli włączono powiadomienia użytkowników i wybrano pole wyboru Powiadom użytkowników w usłudze Office 365 z polem wyboru porada dotycząca zasad, właściciele modelu semantycznego (użytkownicy z rolą Administracja lub członka w obszarze roboczym, w którym znajduje się model semantyczny), będą mogli reagować na naruszenia w okienku po stronie zasad ochrony przed utratą danych, które mogą być wyświetlane za pomocą przycisku na poradzie zasad. Dostępne opcje zależą od wybranych opcji w sekcji Przesłonięcia użytkownika.

Screenshot of D L P user overrides section.

Opcje zostały opisane poniżej.

  • Zezwalaj na przesłonięcia z usług M365. Umożliwia użytkownikom usług Power BI, Exchange, SharePoint, OneDrive i Teams zastąpienie ograniczeń zasad (automatycznie wybierane po włączeniu powiadomień użytkownika i wybraniu opcji Powiadamianie użytkowników w usłudze Office 365 przy użyciu pola wyboru porad dotyczących zasad): użytkownicy będą mogli zgłosić problem jako fałszywie dodatni lub zastąpić zasady.

  • Wymagaj uzasadnienia biznesowego, aby zastąpić: użytkownicy będą mogli zgłosić problem jako fałszywie dodatni lub zastąpić zasady. Jeśli zdecydują się zastąpić, będą musieli podać uzasadnienie biznesowe.

  • Przesłaniaj regułę automatycznie, jeśli zgłaszają ją jako wynik fałszywie dodatni: użytkownicy będą mogli zgłosić problem jako wynik fałszywie dodatni i automatycznie zastąpić zasady lub po prostu zastąpić zasady bez zgłaszania jej jako wyników fałszywie dodatnich.

  • W przypadku wybrania obu opcji Zastąpisz regułę automatycznie, jeśli zgłaszają ją jako wynik fałszywie dodatni i Wymagaj uzasadnienia biznesowego, użytkownicy będą mogli zgłosić problem jako fałszywie dodatni i automatycznie zastąpić zasady lub po prostu zastąpić zasady bez zgłaszania jej jako fałszywie dodatniego, ale będą musieli podać uzasadnienie biznesowe.

Zastąpienie zasad oznacza, że od tej pory zasady nie będą już sprawdzać modelu semantycznego pod kątem poufnych danych.

Zgłaszanie problemu jako fałszywie dodatniego oznacza, że właściciel danych uważa, że zasady błędnie zidentyfikowały dane niewrażliwe jako poufne. Możesz użyć wyników fałszywie dodatnich, aby dostosować reguły.

Każda akcja wykonywana przez użytkownika jest rejestrowana w celu raportowania.

Raporty o zdarzeniach

Przypisz poziom ważności, który będzie wyświetlany w alertach generowanych na podstawie tych zasad. Włącz (ustawienie domyślne) lub wyłącz powiadomienie e-mail administratorom, określ użytkowników lub grupy na potrzeby powiadomień e-mail i skonfiguruj szczegóły dotyczące tego, kiedy nastąpi powiadomienie.

Screenshot of D L P incident report section.

Opcje dodatkowe

Screenshot of D L P additional options section.