Power BI 数据丢失防护策略

为了帮助组织检测和保护敏感数据，Power BI 支持 Microsoft Purview 数据丢失防护 (DLP) 策略。 当用于 Power BI 的 DLP 策略检测到敏感语义模型时，会在 Power BI 服务中将一个策略提示附加到该语义模型来解释敏感内容的性质，并且会在 Microsoft Purview 合规性门户的数据丢失防护“警报”页中注册一条警报，便于管理员进行监视和管理。 此外，还可向管理员和指定的用户发送电子邮件警报。

本文介绍了 Power BI 中的 DLP 的工作原理，列出了注意事项和限制以及许可和权限要求，并且介绍了 DLP CPU 使用情况的计量方式。 有关详细信息，请参阅：

• 为 Power BI 配置 DLP 策略，以查看如何为 Power BI 配置 DLP 策略。
• 响应 Power BI 中的 DLP 策略冲突，查看当策略提示告知语义模型中出现 DLP 策略冲突时该如何响应。

注意事项和限制

• 用于 Power BI 的 DLP 策略是在 Microsoft Purview 合规性门户中定义的。
• DLP 策略应用于工作区。 仅支持托管在 Premium 容量中的工作区。
• DLP 语义模型评估工作负载会影响容量。 有关详细信息，请参阅用于 DLP 策略评估的 CPU 计量。
• Power BI DLP 策略尚不支持 DLP 策略模板。 为 Power BI 创建 DLP 策略时，请选择“自定义策略”选项。
• Power BI DLP 策略规则目前支持将敏感度标签和敏感信息类型作为条件。
• 用于 Power BI 的 DLP 策略不支持示例语义模型、流式处理语义模型，或通过 DirectQuery 或实时连接连接到其数据源的语义模型。 这包括具有混合存储的语义模型，其中一些数据通过导入模式进入，另一些数据则通过 DirectQuery 进入。
• DLP for Power BI 不支持 精确数据匹配 (EDM) 分类器和可训练分类器。 如果在策略的条件中选择 EDM 分类器或可训练的分类器，则即使语义模型确实包含满足 EDM 分类器或可训练的分类器的数据，该策略也不会产生任何结果。 策略中指定的其他分类器将返回结果（如果有）。
• 中国北部区域不支持 Power BI 的 DLP 策略。 请参阅如何查找组织的默认区域，了解如何查找组织的默认数据区域。

许可和权限

SKU/订阅许可

开始使用 DLP for Power BI 之前，应确认 Microsoft 365 订阅。 必须为设置 DLP 规则的管理员帐户分配以下其中一个许可证：

• Microsoft 365 E5
• Microsoft 365 E5 符合性
• Microsoft 365 E5 信息保护与治理

权限

可以在活动资源管理器中查看 DLP for Power BI 的数据。 有四个角色向活动资源管理器授予权限；用于访问数据的帐户必须是其中任一角色的成员。

• 全局管理员
• 法规管理员
• 安全管理员
• 合规性数据管理员

用于 DLP 策略评估的 CPU 计量

DLP 策略评估使用与要评估的语义模型所在的工作区关联的高级容量中的 CPU。 评估的 CPU 消耗量计算为触发评估的操作所占用 CPU 的 30%。 例如，如果刷新操作需要 30 毫秒的 CPU，则 DLP 扫描将再耗用 9 毫秒。 这个用于 DLP 评估的固定 30% 额外 CPU 消耗量有助于预测 DLP 策略对总体容量 CPU 利用率的影响，并在组织中推出 DLP 策略时执行容量计划。

使用 Power BI Premium 容量指标应用监视 DLP 策略的 CPU 使用率。 有关详细信息，请参阅“使用 Microsoft Fabric 容量指标”应用。

注意

拥有 PPU 许可证的用户不会产生上述 DLP 策略评估成本，因为这些费用前期由 PPU 许可证支付。

Power BI DLP 策略的工作原理

在合规性门户的“数据丢失防护”部分中定义 DLP 策略。 在策略中，指定要检测的敏感度标签和/或敏感信息类型。 此外，还可以指定当策略检测到包含你指定的敏感数据类型的语义模型时将发生的操作。 Power BI DLP 策略支持两个操作：

• 通过策略提示通知用户。
• 警报。 可通过电子邮件向管理员和用户发送警报。 此外，管理员还可在合规性门户中的“警报”选项卡上监视和管理警报。

当 DLP 策略评估语义模型时，如果它与 DLP 策略中指定的条件匹配，则会发生策略中指定的操作。 每当发生下列任一事件时，都将按照 DLP 策略评估语义模型：

• 发布
• 重新发布
• 按需刷新
• 计划的刷新

注意

如果满足以下任一条件，则不对语义模型执行 DLP 评估：

• 事件（发布、重新发布、按需刷新、计划刷新）的发起者是使用服务主体身份验证的帐户。
• 语义模型所有者是服务主体。

当语义模型被 Power BI DLP 策略标记时会发生什么

当 DLP 策略检测到语义模型的问题时：

• 如果在策略中启用了“用户通知”，则将在 Power BI 服务中为该语义模型标记一个盾牌，表示 DLP 策略检测到该语义模型存在问题。

  

  打开语义模型详细信息页来查看策略提示，该提示说明了策略违规情况，并指出应如何处理检测到的敏感信息类型。

  

  注意

  如果隐藏策略提示，该提示不会被删除。 它将在下一次访问页面时显示。

• 如果在策略中启用了警报，则会在合规性门户的数据丢失防护“警报”页上记录警报；如果配置了电子邮件，还将向管理员和/或指定的用户发送电子邮件。 下图显示了合规性门户的“数据丢失防护”部分中的“警报”页。 若要转到“警报”页，请在合规性门户中展开“数据丢失防护”解决方案，然后选择“警报”。

  

监视和管理策略警报

登录到 Microsoft Purview 合规性门户，展开“数据丢失防护”解决方案，然后选择“警报”。

选择警报，开始向下钻取到其详细信息并查看管理选项。

相关内容

• 为 Power BI 配置 DLP 策略。
• 响应 Power BI 中的 DLP 策略冲突。
• Power BI 实现规划：Power BI 的数据丢失防护
• 了解数据丢失防护