本文提供 Fabric 和 Power BI Microsoft Purview 資料外洩防護 (DLP) 原則的一般概觀。 目標物件是 Fabric 系統管理員、安全性與合規性小組,以及 Fabric 資料擁有者。 如果您是數據擁有者,而且想要瞭解當原則提示告訴您您的專案具有 DLP 原則相符時如何回應,請參閱 回應 Fabric 中的 DLP 原則相符專案。 如果您是 Fabric 系統管理員或安全性與合規性系統管理員,而且需要稽核 DLP 原則相符的警示,請參閱 監視 Fabric 中的 DLP 原則相符專案。
概觀
為了協助組織偵測和保護其敏感性資料,Fabric 支援Microsoft Purview 資料外洩防護 (DLP) 原則。 當 Fabric 的 DLP 原則偵測到包含敏感性資訊的 支援專案類型 時,原則會觸發已設定的動作。 這些動作可能包括:
- 將政策提示附加到解釋敏感內容性質的項目。
- 在 Microsoft Purview 入口網站的 [數據外洩防護 警示 ] 頁面上為系統管理員註冊警示。
- 傳送電子郵件警示給管理員和指定的使用者。
- 限制對項目的存取。
如需詳細資訊,請參閱 Fabric 和 Power BI 的 DLP 原則如何運作。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 的力量更聰明、更快速地工作的新方法。 深入了解 Microsoft Purview 中的 Microsoft Security Copilot。
授權與權限
授權
如需授權的相關資訊,請參閱
權限
您可以在 活動總管中檢視 Fabric 和 Power BI 的 DLP 資料。 四個角色會授與「活動總管」的許可權;您用於存取資料的帳戶必須是其中任何一個的成員。
若要檢視活動總管,您的帳戶必須是下列任何角色或更高角色的成員。
- 合規性系統管理員
- 安全性系統管理員
- 合規性資料管理員
重要事項
Microsoft 建議您使用權限最少的角色。 此建議有助於改善組織的安全性。 全域管理員是高度許可權的角色,您應該只在無法使用較低許可權角色的情況下使用。
計費
DLP 評估工作負載會影響容量耗用量。 如需如何計量和計費此耗用量的資訊,請參閱 瞭解 Microsoft Purview 計費模型。
Fabric 和 Power BI 的 DLP 原則如何運作
您可以在 Microsoft Purview 入口網站的 [資料外洩防護] 區段中定義 DLP 原則。 在原則中,您可以指定條件,例如您要偵測的敏感度標籤和敏感性資訊類型。 您也可以指定系統在偵測到原則相符時所採取的 動作 。
當 DLP 原則評估 支援的項目類型時,會檢查它是否符合 DLP 原則中的條件。 如果發生,則會執行原則的指定動作。 DLP 原則從下列動作開始:
語意模型:
DLP 原則會在發生下列其中一個事件時評估語意模型:
- 發佈
- Republish
- 隨選重新整理
- 排定的重新整理
注意事項
如果下列任一項符合條件,則不會發生語意模型的 DLP 評估:
- 使用服務主體驗證的帳戶會起始事件 (發佈、重新發佈、隨選重新整理、排程重新整理) 。
- 語意模型擁有者是服務主體。
布料項目:
DLP 原則會在 Fabric 專案中的資料變更時評估 Fabric 專案,例如湖屋、SQL 資料庫或鏡像資料庫。 變更包括取得新資料、連線新來源、新增資料表、更新現有資料表等等。
當 Fabric DLP 原則標示專案時會發生什麼事
當 DLP 原則偵測到專案的問題時,它會採取下列動作:
如果您在原則中啟用 使用者通知 ,Fabric 會以圖示標示項目,指出 DLP 原則偵測到項目的問題。 當您將滑鼠停留在圖示上時,會出現一個暫留卡,其中提供在側邊面板中查看完整詳細資料的選項。 如需您在側邊面板中看到內容的詳細資訊,請參閱 回應 Fabric 中的 DLP 違規。
針對語意模型,開啟詳細資料頁面會顯示原則提示,說明原則違規,以及如何處理偵測到的敏感性資訊類型。 選取 [ 檢視全部] 會開啟包含所有原則詳細資料的側邊面板。
注意事項
如果您隱藏政策提示,則不會刪除它。 它會在您下次造訪該頁面時出現。
針對 Lakehouse,指示會顯示在編輯模式的標頭中。 開啟飛出視窗可讓您查看影響湖庫之原則秘訣的詳細資訊。 選取 [ 檢視全部] 會開啟包含所有原則詳細資料的側邊面板。
如果您在原則中啟用警示,警示會記錄在 Microsoft Purview 入口網站中的 [數據外洩防護 警示 ] 頁面上。 如果已設定,則會傳送電子郵件給管理員和/或指定的使用者。 如需詳細資訊,請參閱 監視和管理 DLP 原則違規。
支援的動作
當 DLP 原則評估語意模型或 Lakehouse 並發現它符合原則中的條件時,原則的動作就會生效。 Fabric 和 Power BI 的 DLP 原則支援三個動作:
- 透過原則提示通知使用者。
- 警示。 管理員和使用者可以收到警示電子郵件。 此外,系統管理員可以在 Purview 入口網站的 [警示] 索引標籤上監視和管理警示。
- 限制存取。 當您使用限制存取動作設定原則,且發生原則相符時,原則會根據原則組態,限制資料擁有者或組織成員的存取權。 所有其他使用者都無法存取該項目。
如需觸發 DLP 評估的相關資訊,請參閱 Fabric 和 Power BI 的 DLP 原則如何運作。
支援的項目類型
Fabric 和 Power BI 的 DLP 原則目前支援下列專案類型。
- 語意模型
- 湖屋
- KQL 資料庫
- 鏡像資料庫
- SQL 資料庫
請參閱例外狀況的 考量和限制 。
支援的條件類型
Fabric 和 Power BI 的 DLP 原則規則支援敏感度標籤和敏感性資訊類型的子集 (將 考慮和限制) 視為條件。 深入瞭解 Purview 敏感性資訊類型和信賴層級。
設定 Fabric 和 Power BI 的 DLP 原則
如需建立 Fabric 或 Power BI DLP 原則的相關資訊,請參閱 協助防止與信用卡號碼共用 Power BI 報表,並將其調整為您自己的案例。
考量與限制
- DLP 原則適用於工作區。 僅支援裝載在 Fabric 或進階容量中的工作區。 如需詳細資訊,請參閱 Microsoft Fabric 概念和授權。
- Fabric DLP 原則不支援 DLP 原則範本。 建立 Fabric 的 DLP 原則時,請選擇自訂原則選項。
- 範例語意模型、 串流資料集或透過 DirectQuery 或 即時連線連線到其資料來源的語意模型不支援 Fabric 的 DLP 原則。 此限制包括具有混合儲存體的語意模型,其中部分資料來自匯入模式,而有些則透過 DirectQuery 取得。
- Fabric 的 DLP 原則僅適用於以 Delta 格式儲存的 Lakehouse Tables/ 資料夾中的資料。
- 網狀架構的 DLP 原則支援除 timestamp_ntz之外的所有基本差異類型。
- 下列 Delta Parquet 資料類型不支援 Fabric 的 DLP 原則:
- 二進位、timestamp_ntz、結構、陣列、清單、地圖、json、枚舉、間隔、空。
- 使用 LZ4、Zstd 和 Gzip 壓縮編解碼器的資料。
- 適用於 Fabric 的 DLP 不支援 EDM) 分類器和可定型分類器的精確數據比對 (。 如果您在原則的條件下選取 EDM 或可訓練的分類器,即使語意模型或湖庫包含滿足 EDM 或可訓練分類器的資料,原則也不會傳回任何結果。 原則中指定的其他分類器會傳回結果 (如果有的話)。
- 華北區域不支援 Fabric 的 DLP 原則。 請參閱如何 尋找組織的預設區域 ,以瞭解如何尋找組織的預設資料區域。
- 下列叢集中 Fabric 中的 DLP 不支援 Azure 容量:
- WUS3
- WUS2
- SCUS
- 將新租用戶上線至 DLP 可能需要幾個小時,視要上線的支援工作區數目而定。