Configuración de directivas de prevención de pérdida de datos para Fabric

Las directivas de prevención de pérdida de datos para Fabric ayudan a las organizaciones a proteger sus datos confidenciales mediante la detección de la carga de datos confidenciales en tipos de elementos admitidos. Cuando se produce una infracción de directiva, los propietarios de datos pueden ver esto indicado y las alertas se pueden enviar a propietarios de datos y administradores de seguridad, y se pueden investigar infracciones. Para obtener más información, consulte Introducción a las directivas de prevención de pérdida de datos para Fabric.

En este artículo se describe cómo configurar directivas de prevención de pérdida de datos (DLP) de Purview para Fabric. El público objetivo es los administradores de cumplimiento responsables de la prevención de pérdida de datos en su organización.

Requisitos previos

La cuenta que usa para crear directivas DLP debe ser miembro de uno de estos grupos de roles.

  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Information Protection
  • Administrador de Information Protection
  • Administrador de seguridad

Licencias de suscripciones/SKU

Antes de empezar a trabajar con DLP para Fabric y Power BI, debe confirmar la suscripción de Microsoft 365. A la cuenta de administrador que configura las reglas DLP se le debe asignar una de las siguientes licencias:

  • Microsoft 365 E5
  • Cumplimiento de Microsoft 365 E5
  • Microsoft 365 E5 Information Protection y Gobernanza
  • Capacidades de Purview

Configuración de una directiva DLP para Fabric

  1. Abra la página directivas de prevención de pérdida de datos en el portal de Microsoft Purview y seleccione + Crear directiva.

    Captura de pantalla de la página de creación de una directiva de DLP.

    Nota:

    La opción + Crear directiva solo está disponible si se han cumplido los requisitos previos.

  2. Elija la categoría Personalizado y, después, la plantilla Directiva personalizada. Cuando termine, seleccione Siguiente.

    Captura de pantalla de la página de elección de directiva personalizada de DLP.

    Nota:

    Actualmente no se admiten otras categorías o plantillas.

  3. Asigne un nombre a la directiva y proporcione una descripción significativa. Cuando termine, seleccione Siguiente.

    Captura de pantalla de la sección de descripción del nombre de la directiva de DLP.

  4. Seleccione Siguiente cuando llegue a la página Asignar unidades de administración. Las unidades de administración no se admiten para DLP en Fabric y Power BI.

    Captura de pantalla de la sección de unidades de administración de la política D L P.

  5. Seleccione Tejido y áreas de trabajo de Power BI como ubicación de la directiva DLP. Todas las demás ubicaciones se deshabilitarán, ya que las directivas DLP para Fabric y Power BI solo admiten esta ubicación.

    Captura de pantalla de la página de elección de la ubicación de la directiva de DLP.

    De forma predeterminada, la directiva se aplicará a todas las áreas de trabajo. Sin embargo, puede especificar áreas de trabajo concretas que se incluirán en la directiva, así como áreas de trabajo que se excluirán de la directiva. Para especificar áreas de trabajo específicas para la inclusión o exclusión, seleccione Editar.

    Nota:

    Las acciones DLP solo se admiten para las áreas de trabajo hospedadas en las capacidades Fabric o Premium.

    Después de habilitar Fabric y Power BI como ubicación DLP de la directiva y de elegir las áreas de trabajo a las que se aplicará la directiva, seleccione Siguiente.

  6. Aparecerá la página Definir configuración de directiva. Elija Crear o personalizar reglas de DLP avanzadas para empezar a definir la directiva.

    Captura de pantalla de la página creación de una regla avanzada de una directiva de DLP.

    Cuando termine, seleccione Siguiente.

  7. En la página Personalizar reglas de DLP avanzadas, puede empezar a crear una regla o elegir una regla existente para editarla. Seleccione Crear regla.

    Captura de pantalla de la página creación de una regla de una directiva de DLP.

  8. Aparece la página Crear regla. En la página Crear regla, proporcione un nombre y una descripción para la regla y, a continuación, configure las demás secciones, que se describen después de la imagen siguiente.

    Captura de pantalla del formulario creación de una regla de una directiva de DLP.

Condiciones

En la sección condición, se definen las condiciones en las que se aplicará la directiva a los tipos de elementos admitidos. Las condiciones se crean en grupos. Los grupos hacen posible construir condiciones complejas.

  1. Abra la sección de condiciones. Elija Agregar condición si desea crear una condición simple o compleja, o Agregar grupo si desea empezar a crear una condición compleja.

    Captura de pantalla de la sección de adición de condiciones sobre el contenido de una directiva de DLP.

    Para más información sobre el uso del generador de condiciones, consulte Diseño de reglas complejas.

  2. Si eligió Agregar condición, a continuación seleccione Contenido contiene, luego Agregar, y luego Tipos de información sensibles o Etiquetas de sensibilidad.

    Captura de pantalla de la sección de adición de condiciones de una directiva de DLP.

    Si comenzó con Agregar grupo, finalmente llegará a Agregar condición, después de lo cual continuará como se ha descrito anteriormente.

    Al elegir Tipos de información confidencial o Etiquetas de confidencialidad, podrá elegir las etiquetas de confidencialidad concretas o los tipos de información confidencial que quiera detectar en una lista que aparecerá en una barra lateral.

    Captura de pantalla de las opciones Etiquetas de confidencialidad y Tipos de información confidencial.

    Al seleccionar un tipo de información confidencial como condición, debe especificar cuántas instancias de ese tipo se deben detectar para que la condición se considere como cumplida. Puede especificar de 1 a 500 instancias. Si quiere detectar 500 o más instancias únicas, escriba un intervalo de "500" en "Cualquiera". También puede seleccionar el grado de confianza en el algoritmo coincidente. Seleccione el botón de información situado junto al nivel de confianza para ver la definición de cada nivel.

    Captura de pantalla del valor Nivel de confianza para tipos de información confidencial.

    Puede agregar etiquetas de confidencialidad o tipos de información confidencial adicionales al grupo. A la derecha del nombre del grupo, puede especificar Cualquiera de estos o Todos estos. Esto determina si se necesitan coincidencias en todos o en cualquiera de los elementos del grupo para que la condición se mantenga. Si especificó más de una etiqueta de confidencialidad, solo podrá elegir Cualquiera de estos elementos, ya que los elementos fabric y Power BI no pueden tener más de una etiqueta aplicada.

    En la imagen siguiente se muestra un grupo (valor predeterminado) que contiene dos condiciones de etiqueta de confidencialidad. La lógica Cualquiera de estos significa que una coincidencia de cualquiera de las etiquetas de confidencialidad del grupo constituye true para ese grupo.

    Captura de pantalla de la sección de un grupo de condiciones de una directiva de DLP.

    Puede usar el botón de alternancia Resumen rápido para obtener la lógica de la regla resumida en una oración.

    Captura de pantalla del resumen rápido de las condiciones D L P.

    Puede crear más de un grupo y controlar la lógica entre los grupos con la lógica AND u OR.

    En la imagen siguiente se muestra una regla que contiene dos grupos, unidos por la lógica OR.

    Captura de pantalla de una regla con dos grupos.

    Esta es la misma regla que se muestra como un resumen rápido.

    Pantalla de resumen rápido de regla con dos grupos.

Acciones

Las acciones de protección no están disponibles para las directivas DLP de Fabric y Power BI.

Captura de pantalla de la sección acciones de directiva DLP.

Notificaciones de usuario

La sección de notificaciones de usuario es donde se configura la sugerencia de directiva. Active el botón de alternancia, active la casilla Notificar a los usuarios en el servicio de Office 365 con una sugerencia de directiva o notificaciones por correo electrónico y, a continuación, active la casilla Sugerencias de directiva. Escriba la sugerencia de directiva en el cuadro de texto que aparece.

Captura de pantalla de la sección de notificación al usuario de una directiva de DLP.

Invalidaciones de usuario

Si ha habilitado las notificaciones de usuario y ha seleccionado la casilla Notificar usuarios en el servicio de Office 365 con una sugerencia de directiva, los propietarios de elementos que tienen infracciones de directiva DLP (propietarios, es decir, usuarios con un rol de administrador o miembro en el área de trabajo donde se encuentra el elemento) podrán responder a infracciones en el panel lateral directivas de prevención de pérdida de datos, que pueden mostrar desde un botón o un vínculo en la sugerencia de directiva. La selección de opciones de respuesta que tienen depende de las opciones que realice en la sección Invalidaciones de usuario.

Captura de pantalla de la sección de invalidación de usuarios de una directiva de DLP.

Se describen todas las opciones a continuación.

  • Permitir invalidaciones de servicios M365. Permite a los usuarios de Power BI, Exchange, SharePoint, OneDrive y Teams invalidar las restricciones de directiva (se selecciona automáticamente cuando ha habilitado las notificaciones de usuario y ha seleccionado la casilla Notificar a los usuarios en Office 365 servicio con una sugerencia de directiva): los usuarios podrán notificar el problema como un falso positivo o invalidar la directiva.

  • Requerir una justificación comercial para invalidar: los usuarios podrán notificar el problema como falso positivo o la invalidación de la directiva. Si decide invalidar, deberá proporcionar una justificación empresarial.

  • Invalidar la regla automáticamente si la notifica como un falso positivo: los usuarios podrán notificar el problema como falso positivo e invalidar automáticamente la directiva, o simplemente pueden invalidar la directiva sin notificarla como falso positivo.

  • Si selecciona Invalidar la regla automáticamente si la notifica como un falso positivo y Requerir una justificación comercial para invalidar, los usuarios podrán notificar el problema como un falso positivo e invalidar automáticamente la directiva, o simplemente pueden invalidar la directiva sin notificarla como un falso positivo, pero tendrán que proporcionar una justificación comercial.

La invalidación de una directiva significa que, a partir de ahora, la directiva ya no comprobará el elemento en busca de datos confidenciales.

Notificar un problema como falso positivo significa que el propietario de los datos cree que la directiva ha identificado erróneamente datos no confidenciales como confidenciales. Puede usar falsos positivos para ajustar las reglas.

Cualquier acción que realice el usuario se registra para informar.

Informes de incidentes

Asigne un nivel de gravedad que se mostrará en las alertas generadas a partir de esta directiva. Habilite (valor predeterminado) o deshabilite la notificación por correo electrónico a los administradores, especifique usuarios o grupos para la notificación por correo electrónico y configure los detalles sobre cuándo se producirá la notificación.

Captura de pantalla de la sección de informe de incidentes de una directiva de DLP.

Opciones adicionales

Captura de pantalla de la sección de opciones adicionales de una directiva de DLP.

Consideraciones y limitaciones

  • Las plantillas de directiva DLP aún no se admiten para las directivas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción directiva personalizada.
  • Las reglas de directiva DLP de Fabric admiten actualmente etiquetas de confidencialidad y tipos de información confidencial como condiciones.