Directivas de prevención de pérdida de datos en Fabric

En este artículo se describen las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) en Fabric. La audiencia de destino es administradores de Fabric, equipos de seguridad y cumplimiento, y propietarios de datos de Fabric.

Información general

Para ayudar a las organizaciones a detectar y proteger sus datos confidenciales, Fabric admite directivas de Prevención de pérdida de datos de Microsoft Purview (DLP). Cuando una directiva DLP para Fabric detecta un tipo de elemento admitido que contiene información confidencial, se puede adjuntar una sugerencia de directiva al elemento que explica la naturaleza del contenido confidencial y se puede registrar una alerta en la página Alertas de prevención de pérdida de datos en la portal de cumplimiento Microsoft Purview para supervisar y administrar por parte de los administradores. Además, las alertas por correo electrónico se pueden enviar a los administradores y usuarios especificados.

En este artículo se describe cómo funciona DLP en Fabric, se enumeran las consideraciones y limitaciones, así como los requisitos de licencia y permisos, y se explica cómo se mide el uso de cpu DLP. Para más información, vea:

Consideraciones y limitaciones

  • Las directivas DLP para Fabric se definen en el portal de cumplimiento Microsoft Purview.

  • Las directivas de DLP se aplican a las áreas de trabajo. Solo se admiten las áreas de trabajo hospedadas en las capacidades Fabric o Premium. Para obtener más información, consulte Conceptos y licencias de Microsoft Fabric.

  • Las cargas de trabajo de evaluación de DLP afectan a la capacidad. Actualmente, DLP para Fabric está disponible sin costo adicional, pero esto está sujeto a cambios. Consulte este documento y el blog de Fabric para obtener actualizaciones.

  • Las plantillas de directiva DLP aún no se admiten para las directivas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción "directiva personalizada".

  • Las reglas de directiva DLP de Fabric admiten actualmente etiquetas de confidencialidad y tipos de información confidencial como condiciones.

  • Las directivas DLP para Fabric no se admiten para modelos semánticos de ejemplo, conjuntos de datos de streaming ni modelos semánticos que se conectan a su origen de datos a través de DirectQuery o conexión dinámica. Esto incluye modelos semánticos con almacenamiento mixto, donde algunos de los datos vienen a través del modo de importación y otros vienen a través de DirectQuery.

  • Las directivas DLP para Fabric solo se aplican a los datos de la carpeta Tablas o tablas de Lakehouse almacenadas en formato Delta.

  • Las directivas DLP para Fabric admiten todos los tipos delta primitivos, excepto timestamp_ntz.

  • Las directivas DLP para Fabric no se admiten para los siguientes tipos de datos de Delta Parquet:

    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Datos con códecs de compresión LZ4, Zstd y Gzip.
  • Los clasificadores de coincidencia de datos exactos (EDM) y clasificadores entrenables no son compatibles con DLP para Fabric. Si selecciona un clasificador EDM o entrenable en la condición de una directiva, la directiva no producirá ningún resultado aunque el modelo semántico o lakehouse contenga datos que satisfagan el clasificador EDM o entrenable. Otros clasificadores especificados en la directiva devolverán resultados, si los hubiera.

  • Las directivas DLP para Fabric no se admiten en la región Norte de China. Vea Procedimiento para buscar la región predeterminada de la organización a fin de obtener información sobre cómo encontrar la región de datos predeterminada de la organización.

  • Las capacidades de Azure no se admiten para DLP en Fabric en los siguientes clústeres:

    • WUS3
    • WUS2
    • SCUS
  • La incorporación de un nuevo inquilino a DLP puede tardar unas horas, en función del número de áreas de trabajo admitidas que se están incorporando.

Licencias y permisos

Licencias de suscripciones/SKU

Antes de empezar a trabajar con DLP for Fabric, debe confirmar la suscripción de Microsoft 365. A la cuenta de administrador que configura las reglas DLP se le debe asignar una de las siguientes licencias:

  • Microsoft 365 E5
  • Cumplimiento de Microsoft 365 E5
  • Microsoft 365 E5 Information Protection y Gobernanza
  • Capacidades de Purview

Permisos

Los datos de DLP para Fabric se pueden ver en el Explorador de actividades. Hay cuatro roles que conceden permiso al Explorador de actividades; la cuenta que use para acceder a los datos debe ser miembro de cualquiera de ellos.

Para ver el Explorador de actividades, la cuenta que usa para acceder a los datos debe ser miembro de cualquiera de los siguientes roles o versiones posteriores.

  • Administrador de cumplimiento
  • Administrador de seguridad
  • Administrador de datos de cumplimiento

Tipos de elementos admitidos

Las directivas DLP para Fabric admiten actualmente los siguientes tipos de elementos.

  • Modelos semánticos
  • Almacenes de lago

Consulte Consideraciones y limitaciones para las excepciones.

Cómo funcionan las directivas DLP para Fabric

Defina una directiva DLP en la sección prevención de pérdida de datos del portal de Microsoft Purview. En la directiva, especifique las etiquetas de confidencialidad o los tipos de información confidencial que quiera detectar. También se especifican las acciones que se producirán cuando la directiva detecte un modelo semántico o lakehouse que contenga datos confidenciales del tipo especificado. Las directivas DLP para Fabric admiten dos acciones:

  • Notificación de usuario mediante sugerencias de directiva.
  • Alertas. Las alertas se pueden enviar por correo electrónico a los administradores y usuarios. Además, los administradores pueden supervisar y administrar alertas en la pestaña Alertas del portal de cumplimiento.

Cuando las directivas DLP evalúan un modelo semántico o una instancia de Lakehouse, si coincide con las condiciones especificadas en una directiva DLP, se producen las acciones especificadas en la directiva. Las directivas DLP se inician mediante las siguientes acciones:

Modelos semánticos:

Un modelo semántico se evalúa con las directivas de DLP cada vez que se produce uno de los siguientes eventos:

  • Publicar
  • Volver a publicar
  • Actualización a petición
  • Actualización programada

Nota:

La evaluación DLP del modelo semántico no se produce si se cumple alguna de las siguientes condiciones:

  • El iniciador del evento (publicar, volver a publicar, actualizar a petición, actualización programada) es una cuenta mediante la autenticación de la entidad de servicio.
  • El propietario del modelo semántico es una entidad de servicio.

Lakehouse:

Una instancia de Lakehouse se evalúa con las directivas DLP Cuando los datos de una instancia de Lakehouse se someten a un cambio, como obtener nuevos datos, conectar un nuevo origen, agregar o actualizar tablas existentes, etc.

¿Qué ocurre cuando un elemento está marcado por una directiva DLP de Fabric?

Cuando una directiva DLP detecta un problema con un elemento:

  • Si la opción "notificación de usuario" está habilitada en la directiva, el elemento se marcará en Fabric con un icono que indica que una directiva DLP ha detectado un problema con el elemento. Mantenga el puntero sobre el icono para mostrar una tarjeta de desplazamiento que proporciona una opción para ver los detalles completos en un panel lateral. Para obtener más información sobre lo que ve en el panel lateral, consulte Responder a una infracción de DLP en Fabric.

    Captura de pantalla del icono de sugerencia de directiva en el centro de datos de OneLake.

    Para los modelos semánticos, al abrir la página de detalles se mostrará una sugerencia de directiva que explica la infracción de directiva y cómo se debe controlar el tipo de información confidencial detectada. Al seleccionar Ver todo se abre un panel lateral con todos los detalles de la directiva.

    Captura de pantalla de la sugerencia de directiva en la página de detalles del modelo semántico.

    Nota:

    Si oculta la sugerencia de directiva, no se elimina. Aparecerá la próxima vez que visite la página.

    En el caso de lakehouses, la indicación aparecerá en el encabezado en modo de edición y la apertura del control flotante permite ver más detalles sobre las sugerencias de directiva que afectan a lakehouse. Al seleccionar Ver todo se abre un panel lateral con todos los detalles de la directiva.

    Captura de pantalla de la sugerencia de directiva en el control flotante del encabezado lakehouse.

  • Si las alertas están habilitadas en la directiva, se registrará una alerta en la página Alertas de prevención de pérdida de datos en el portal de Microsoft Purview y, si está configurado, se enviará un correo electrónico a los administradores o usuarios especificados . Para obtener más información, consulte Supervisión y administración de infracciones de directivas DLP.