共用方式為

Fabric 中的數據外洩防護原則

  • 發行項

本文說明 Fabric 中的 Microsoft Purview 資料外洩防護 (DLP) 原則。 目標對像是網狀架構系統管理員、安全性和合規性小組,以及網狀架構數據擁有者。

概觀

為了協助組織偵測及保護其敏感數據,Fabric 支援 Microsoft Purview 資料外洩防護 (DLP) 原則。 當 Fabric 的 DLP 原則偵測到包含敏感性資訊的受支援專案類型時,原則提示可以附加至說明敏感性內容本質的專案,而且可以在系統管理員監視和管理 Microsoft Purview 合規性入口網站 的 [數據外泄防護警示] 頁面上註冊警示。 此外,電子郵件警示也可以傳送給系統管理員和指定的使用者。

本文說明 Fabric 中的 DLP 運作方式、列出考慮和限制,以及授權和許可權需求,並說明 DLP CPU 使用量的計量方式。 如需詳細資訊,請參閱

  • 設定 Fabric 的 DLP 原則,以查看如何設定 Fabric 的 DLP 原則。
  • 回應 Fabric 中的 DLP 原則違規,以查看當原則提示告訴您 Lakehouse 或語意模型發生 DLP 原則違規時,如何回應。
  • 監視 Fabric 中的 DLP 原則違規,以查看如何登入 Microsoft Purview 入口網站,以查看 DLP 違規警示的詳細數據。

考量與限制

  • 網狀架構的 DLP 原則定義於 Microsoft Purview 合規性入口網站 中。

  • DLP 原則適用於工作區。 僅支援裝載在 Fabric 或 Premium 容量中的工作區。 如需詳細資訊,請參閱 Microsoft Fabric 概念和授權

  • DLP 評估工作負載會影響容量。 目前,DLP for Fabric 不需額外費用,但可能會有所變更。 請檢查這份檔和網狀架構部落格,以取得更新。

  • 網狀架構 DLP 原則尚不支援 DLP 原則範本。 建立 Fabric 的 DLP 原則時,請選擇 [自定義原則] 選項。

  • 網狀架構 DLP 原則規則目前支援敏感度標籤和敏感性資訊類型作為條件。

  • 對於透過 DirectQuery即時連線連線到數據源的範例語意模型、串流數據集或語意模型,不支援 Fabric 的 DLP 原則。 這包括具有混合儲存體的語意模型,其中有些資料是透過匯入模式提供,有些則透過 DirectQuery 提供。

  • Fabric 的 DLP 原則僅適用於儲存為 Delta 格式之 Lakehouse Tables/ 資料夾中的數據。

  • Fabric 的 DLP 原則支援除了timestamp_ntz以外的所有基本差異類型。

  • 下列 Delta Parquet 資料類型不支援 Fabric 的 DLP 原則:

    • Binary、timestamp_ntz、結構、陣列、List、Map、Json、Enum、Interval、Void。
    • 具有 LZ4、Zstd 和 Gzip 壓縮編解碼器的數據。

  • DLP for Fabric 不支援精確數據比對 (EDM) 分類器和可訓練分類器。 如果您在原則的條件中選取EDM或可定型分類器,即使語意模型或Lakehouse實際上包含滿足EDM或可定型分類器的數據,原則也不會產生任何結果。 原則中指定的其他分類器將會傳回結果 (若有的話)。

  • 中國北方地區不支援 Fabric 的 DLP 原則。 請參閱 如何尋找貴組織的預設區域 以了解如何尋找貴組織的預設資料區域。

  • 下列叢集中 Fabric 中的 DLP 不支援 Azure 容量:

    • WUS3
    • WUS2
    • SCUS

  • 將新的租用戶上線至 DLP 可能需要數小時的時間,視所上線的受支援工作區數目而定。

授權和權限

SKU/訂用帳戶授權

開始使用 DLP for Fabric 之前,您應該先確認 您的 Microsoft 365 訂閱。 設定 DLP 規則的系統管理員帳戶必須受指派下列其中一個授權:

  • Microsoft 365 E5
  • Microsoft 365 E5 合規性
  • Microsoft 365 E5 資訊保護與治理
  • Purview 容量

權限

您可以從 DLP for Fabric 檢視活動總管中的數據。 有四個角色會將許可權授與活動總管;您用來存取資料的帳戶必須是其中任何一個成員。

若要檢視活動總管,您用來存取數據的帳戶必須是下列任何角色或更新版本的成員。

  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性資料管理員

支援的項目類型

Fabric 的 DLP 原則目前支援下列項目類型。

  • 語意模型
  • Lakehouse

請參閱 例外狀況的考慮和限制

Fabric 的 DLP 原則如何運作

您可以在 Microsoft Purview 入口網站的數據外洩防護區段中定義 DLP 原則。 在原則中,您可以指定您想要偵測的敏感度標籤和/或敏感性資訊類型。 您也會指定當原則偵測到語意模型或 Lakehouse 時所發生的動作,其中包含您所指定之類型的敏感數據。 Fabric 的 DLP 原則支援兩個動作:

  • 透過原則提示的使用者通知。
  • 警示。 警示可以透過電子郵件傳送給系統管理員和使用者。 此外,系統管理員可以在合規性入口網站的 [警示] 索引標籤上監視和管理警示。

當 DLP 原則評估語意模型或 Lakehouse 時,如果它符合 DLP 原則中指定的條件,就會發生原則中指定的動作。 DLP 原則是由下列動作所起始:

語意模型

每當發生下列其中一個事件時,就會針對 DLP 原則評估語意模型:

  • 發佈
  • 重新發佈
  • 隨選重新整理
  • 已排程的重新整理

注意

如果下列任一項為 true,則不會發生語意模型的 DLP 評估:

  • 事件 (發佈、重新發佈、隨選重新整理、排程重新整理) 的啟動者是使用服務主體驗證的帳戶。
  • 語意模型擁有者是服務主體。

Lakehouse

Lakehouse 會根據 DLP 原則評估當 Lakehouse 中的數據進行變更時,例如取得新數據、連接新來源、新增或更新現有數據表等等。

當項目標幟為網狀架構 DLP 原則時會發生什麼事

當 DLP 原則偵測到項目的問題時:

  • 如果在原則中啟用「使用者通知」,該專案將會在 Fabric 中標示為圖示,指出 DLP 原則偵測到專案有問題。 將滑鼠停留在圖示上方以顯示暫留卡片,以提供在側邊面板中查看完整詳細數據的選項。 如需您在側邊面板中看到之內容的詳細資訊,請參閱 在 Fabric 中回應 DLP 違規。

    OneLake 數據中樞中原則提示圖示的螢幕快照。

    針對語意模型,開啟詳細數據頁面會顯示原則提示,說明原則違規,以及如何處理偵測到的敏感性信息類型。 選取 [檢視全部 ] 會開啟側邊面板,其中包含所有原則詳細數據。

    螢幕擷取畫面顯示語意模型詳細資料頁面上的原則提示。

    注意

    如果您隱藏原則提示,它就不會遭到刪除。 下次瀏覽頁面時,它會出現。

    對於 Lakehouse,指示會出現在編輯模式的標頭中,而開啟飛出視窗可讓您查看影響湖屋之原則提示的更多詳細數據。 選取 [檢視全部 ] 會開啟側邊面板,其中包含所有原則詳細數據。

    Lakehouse 標頭飛出視窗中原則提示的螢幕快照。

  • 如果在原則中啟用警示,則會在 Microsoft Purview 入口網站的 [數據外泄防護 警示 ] 頁面上記錄警示,且 (如果已設定)電子郵件會傳送給系統管理員和/或指定的使用者。 如需詳細資訊,請參閱 監視和管理 DLP 原則違規

相關內容