Power BI 的數據外洩防護原則

  • 發行項

為了協助組織偵測及保護其敏感數據,Power BI 支援 Microsoft Purview 資料外洩防護 (DLP) 原則。 當 Power BI 的 DLP 原則偵測到敏感性語意模型時,原則提示可以附加至 Power BI 服務 中說明敏感性內容本質的原則提示,而且可以在系統管理員監視和管理 Microsoft Purview 合規性入口網站 的數據外洩防護警示頁面上註冊警示。 此外,電子郵件警示也可以傳送給系統管理員和指定的使用者。

本文說明 Power BI 中的 DLP 運作方式、列出考慮和限制,以及授權和許可權需求,並說明 DLP CPU 使用量的計量方式。 如需詳細資訊,請參閱:

  • 設定 Power BI 的 DLP 原則,以瞭解如何設定 Power BI 的 DLP 原則。
  • 回應 Power BI 中的 DLP 原則違規,以查看當原則提示告訴您語意模型發生 DLP 原則違規時,如何回應。

考量與限制

  • Power BI 的 DLP 原則定義於 Microsoft Purview 合規性入口網站 中。
  • DLP 原則適用於工作區。 僅支援裝載於 進階版 容量中的工作區。
  • DLP 語意模型評估工作負載會影響容量。 如需詳細資訊,請參閱 DLP 原則評估 的 CPU 計量。
  • Power BI DLP 原則尚不支援 DLP 原則範本。 建立 Power BI 的 DLP 原則時,請選擇 [自定義原則] 選項。
  • Power BI DLP 原則規則目前支援敏感度標籤和敏感性資訊類型作為條件。
  • Power BI 的 DLP 原則不支援透過 DirectQuery 或即時連線連接到其數據源的範例語意模型、串流數據集或語意模型。 這包括具有混合記憶體的語意模型,其中有些數據是透過匯入模式提供,有些則透過 DirectQuery 來提供。
  • Power BI 的 DLP 不支援精確數據比對 (EDM) 分類器和可訓練分類器。 如果您在原則條件中選取EDM或可定型分類器,即使語意模型實際上包含滿足EDM或可定型分類器的數據,原則也不會產生任何結果。 原則中指定的其他分類器會傳回結果,如果有的話。
  • 中國北方地區不支援 Power BI 的 DLP 原則。 請參閱 如何尋找組織 的預設區域,以瞭解如何尋找組織的預設數據區域。

授權和許可權

SKU/訂用帳戶授權

開始使用適用於 Power BI 的 DLP 之前,您應該先確認您的 Microsoft 365 訂閱。 設定 DLP 規則的系統管理員帳戶必須指派下列其中一個授權:

  • Microsoft 365 E5
  • Microsoft 365 E5 合規性
  • Microsoft 365 E5 資訊保護 與治理

權限

Power BI 的 DLP 數據可以在活動總管中檢視。 有四個角色會將許可權授與活動總管;您用來存取資料的帳戶必須是其中任何一個成員。

  • 全域管理員
  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性資料管理員

DLP 原則評估的CPU計量

DLP 原則評估會使用與所評估語意模型所在工作區相關聯的進階容量 CPU。 評估的CPU耗用量會計算為觸發評估之動作所耗用的30%CPU。 例如,如果重新整理動作花費 30 毫秒的 CPU,DLP 掃描會花費 9 毫秒。 此修正 DLP 評估額外 30% 的 CPU 耗用量,可協助您預測 DLP 原則對整體容量 CPU 使用率的影響,並在組織中推出 DLP 原則時執行容量規劃。

使用 Power BI 進階版 容量計量應用程式來監視 DLP 原則的 CPU 使用量。 如需詳細資訊,請參閱 使用 Microsoft Fabric 容量計量應用程式

注意

具有 PPU 授權的使用者不會產生上述 DLP 原則評估成本,因為這些成本會由 PPU 授權預先支付。

Power BI 的 DLP 原則如何運作

您可以在合規性入口網站的數據外洩防護區段中定義 DLP 原則。 在原則中,您可以指定您想要偵測的敏感度標籤和/或敏感性資訊類型。 您也會指定當原則偵測到包含您所指定類型敏感數據的語意模型時所發生的動作。 Power BI 的 DLP 原則支援兩個動作:

  • 透過原則提示的使用者通知。
  • 警示。 警示可以透過電子郵件傳送給系統管理員和使用者。 此外,系統管理員可以監視和管理合規性入口網站中 [警示 ] 索引標籤上的警示。

當 DLP 原則評估語意模型時,如果它符合 DLP 原則中指定的條件,就會發生原則中指定的動作。 每當發生下列其中一個事件時,就會根據 DLP 原則評估語意模型:

  • 發佈
  • 重新發佈
  • 隨選重新整理
  • 已排程的重新整理

注意

如果下列任一項為 true,則不會發生語意模型的 DLP 評估:

  • 事件的啟動器(發佈、重新發佈、隨選重新整理、排程重新整理)是使用服務主體驗證的帳戶。
  • 語意模型擁有者是服務主體。

當語意模型標幟為 Power BI DLP 原則時會發生什麼事

當 DLP 原則偵測到語意模型的問題時:

  • 如果在原則中啟用「使用者通知」,語意模型將會在 Power BI 服務 中標示為盾牌,指出 DLP 原則偵測到語意模型的問題。

    Screenshot of policy tip badge on semantic model in lists.

    開啟語意模型詳細數據頁面,以查看說明原則違規的原則提示,以及應如何處理偵測到的敏感性信息類型。

    Screenshot of policy tip on semantic model details page.

    注意

    如果您隱藏原則提示,則不會刪除。 下次瀏覽頁面時,它會出現。

  • 如果在原則中啟用警示,則會在合規性入口網站的數據外洩防護 [警示 ] 頁面上記錄警示,且 (如果已設定)電子郵件會傳送給系統管理員和/或指定的使用者。 下圖顯示 合規性入口網站中數據外泄防護區段中的 [警示 ] 頁面。 若要前往 [ 警示 ] 頁面,請在合規性入口網站中,展開 [數據外泄防護 解決方案],然後選擇 [ 警示]。

    Screenshot of Alerts tab in the compliance portal.

監視和管理原則警示

登入 Microsoft Purview 合規性入口網站,展開 [數據外泄防護] 解決方案,然後選擇 [警示]。

Screenshot of D L P Alerts tab.

選取警示以開始向下切入其詳細數據,並查看管理選項。

相關內容