Configuración de directivas de prevención de pérdida de datos para Fabric

Las directivas de prevención de pérdida de datos para Fabric ayudan a las organizaciones a proteger sus datos confidenciales detectando la carga de datos confidenciales en los tipos de elementos compatibles. Cuando se produce una infracción de la directiva, los propietarios de los datos pueden verlo indicado, y se pueden enviar alertas a los propietarios de los datos y a los administradores de seguridad, e investigar las infracciones. Para obtener más información, consulte Introducción a las directivas de prevención de pérdida de datos para Fabric y Power BI.

En este artículo se describe cómo configurar directivas de prevención de pérdida de datos (DLP) de Purview para Fabric. El público objetivo es los administradores de cumplimiento responsables de la prevención de pérdida de datos en su organización.

Requisitos previos

La cuenta que use para crear directivas DLP debe ser miembro de uno de estos grupos de roles

  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Protección de la Información
  • Administrador de Information Protection
  • Administrador de seguridad

Licencias de suscripciones/SKU

Antes de empezar a trabajar con DLP para Fabric y Power BI, debe confirmar su suscripción a Microsoft 365. A la cuenta de administrador que configura las reglas DLP se le debe asignar una de las siguientes licencias:

  • Microsoft 365 E5
  • Cumplimiento de Microsoft 365 E5
  • Microsoft 365 E5 Protección de Información y Gobernanza
  • Capacidades de Purview

Configuración de una directiva DLP para Fabric

  1. Abra la página de directivas de prevención de pérdida de datos en el portal de Microsoft Purview y seleccione + Crear directiva.

    Captura de pantalla de la página de creación de una directiva de DLP.

    Nota:

    La opción + Crear directiva solo está disponible si se cumplen los requisitos previos.

  2. Elija la categoría Personalizado y, después, la plantilla Directiva personalizada. Cuando termine, seleccione Siguiente.

    Captura de pantalla de la página para elegir una política personalizada de DLP.

    Nota:

    Actualmente no se admiten otras categorías o plantillas.

  3. Asigne un nombre a la directiva y proporcione una descripción significativa. Cuando termine, seleccione Siguiente.

    Captura de pantalla de la sección de descripción del nombre de la directiva de DLP.

  4. Seleccione Siguiente cuando llegue a la página Asignar unidades de administración. Las unidades administrativas no son compatibles con DLP en Fabric y Power BI.

    Captura de pantalla de la sección de unidades de administración de políticas D L P.

  5. Seleccione Áreas de trabajo de Fabric y Power BI como ubicación de la directiva DLP. Todas las demás ubicaciones se deshabilitarán, ya que las directivas DLP para Fabric y Power BI solo admiten esta ubicación.

    Captura de pantalla de la página para elegir la ubicación de D L P.

    De forma predeterminada, la directiva se aplicará a todas las áreas de trabajo. Sin embargo, puede especificar áreas de trabajo concretas que se incluirán en la directiva, así como áreas de trabajo que se excluirán de la directiva. Para especificar áreas de trabajo específicas para su inclusión o exclusión, seleccione Editar.

    Nota:

    Las acciones de DLP solo se admiten para los espacios de trabajo hospedados en entornos Fabric o Premium.

    Después de habilitar Fabric y Power BI como la ubicación DLP de la directiva y elegir las áreas de trabajo a las que se aplicará la directiva, seleccione Siguiente.

  6. Aparecerá la página Definir configuración de directiva. Elija Crear o personalizar reglas de DLP avanzadas para empezar a definir la directiva.

    Captura de pantalla de la página de creación de regla avanzada de DLP.

    Cuando termine, seleccione Siguiente.

  7. En la página Personalizar reglas de DLP avanzadas, puede empezar a crear una regla o elegir una regla existente para editarla. Seleccione Crear regla.

    Captura de pantalla de la página de creación de regla DLP.

  8. Aparece la página Crear regla. En la página Crear regla, proporcione un nombre y una descripción para la regla y, a continuación, configure las demás secciones, que se describen después de la imagen siguiente.

    Captura de pantalla del formulario para crear una regla de DLP.

Condiciones

En la sección de condición, definirá las condiciones en las que se aplicará la directiva a tipos de elementos admitidos. Las condiciones se crean en grupos. Los grupos hacen posible construir condiciones complejas.

  1. Abra la sección de condiciones. Elija Agregar condición si desea crear una condición simple o compleja, o Agregar grupo si desea empezar a crear una condición compleja.

    Captura de pantalla de la sección que contiene las condiciones de adición de contenido de DLP.

    Para más información sobre el uso del generador de condiciones, consulte Diseño de reglas complejas.

  2. Si eligió Agregar condición, a continuación seleccione Contenido contiene, luego Agregar, y luego Tipos de información sensibles o Etiquetas de sensibilidad.

    Captura de pantalla de la sección para agregar condiciones en DLP.

    Si comenzó con Agregar grupo, finalmente llegará a Agregar condición, después de lo cual continuará como se ha descrito anteriormente.

    Al elegir Tipos de información confidencial o Etiquetas de confidencialidad, podrá elegir las etiquetas de confidencialidad concretas o los tipos de información confidencial que quiera detectar en una lista que aparecerá en una barra lateral.

    Captura de pantalla de las opciones Etiquetas de confidencialidad y Tipos de información confidencial.

    Al seleccionar un tipo de información confidencial como condición, debe especificar cuántas instancias de ese tipo se deben detectar para que la condición se considere como cumplida. Puede especificar de 1 a 500 instancias. Si desea detectar 500 o más instancias únicas, introduzca un rango de '500' a 'cualquiera'. También puede seleccionar el grado de confianza en el algoritmo coincidente. Seleccione el botón de información situado junto al nivel de confianza para ver la definición de cada nivel.

    Captura de pantalla del valor Nivel de confianza para tipos de información confidencial.

    Puede agregar etiquetas de confidencialidad o tipos de información confidencial adicionales al grupo. A la derecha del nombre del grupo, puede especificar Cualquiera de estos o Todos estos. Esto determina si se necesitan coincidencias en todos o en cualquiera de los elementos del grupo para que la condición se cumpla. Si ha especificado más de una etiqueta de confidencialidad, solo podrá elegir Cualquiera de ellas, ya que los elementos de Fabric y Power BI no pueden tener más de una etiqueta aplicada.

    La imagen siguiente muestra un grupo (Default) que contiene dos condiciones de etiqueta de sensibilidad. La lógica de cualquiera de estos significa que una coincidencia con cualquiera de las etiquetas de sensibilidad del grupo constituye verdadero para ese grupo.

    Captura de pantalla de la sección de grupo de condiciones de DLP.

    Puede usar el botón de alternancia Resumen rápido para obtener la lógica de la regla resumida en una oración.

    Captura de pantalla del resumen rápido de las condiciones D L P.

    Puede crear más de un grupo y controlar la lógica entre los grupos con la lógica AND u OR.

    En la imagen siguiente se muestra una regla que contiene dos grupos, unidos por la lógica OR.

    Captura de pantalla de una regla con dos grupos.

    Esta es la misma regla que se muestra como un resumen rápido.

    Pantalla de resumen rápido de regla con dos grupos.

Acciones

Si desea que la directiva restrinja el acceso a los elementos que desencadenan la directiva, expanda la sección Restringir acceso o cifre el contenido en ubicaciones de Microsoft 365 y seleccione Impedir que los usuarios reciban correo electrónico, o accedan a archivos compartidos de SharePoint, OneDrive y Teams y elementos de Power BI. A continuación, elija si quiere bloquear a todos o solo a personas ajenas a su organización.

Al habilitar la acción de restringir el acceso, se permiten automáticamente las sobrescrituras de usuario.

Notificaciones de usuario

La sección de notificaciones de usuario es donde configuras el aviso de políticas. Active el botón de alternancia, marque la casilla Notificar a los usuarios en el servicio de Office 365 con un consejo de políticas o notificaciones por correo electrónico y luego seleccione la casilla Consejos de políticas. Escriba la sugerencia de directiva en el cuadro de texto que aparece.

Captura de pantalla de la sección de notificación de usuario de DLP.

Sobrescrituras de usuario

Si habilitó las notificaciones de usuario y seleccionó la casilla de verificación Notificar a los usuarios en el servicio Office 365 con un aviso de directiva, los propietarios de elementos que tengan infracciones de la directiva DLP (propietarios, es decir, usuarios con rol de administrador o miembro en el espacio de trabajo donde se encuentra el elemento) podrán responder a las infracciones en el panel lateral Directivas de prevención de pérdida de datos, que pueden mostrar desde un botón o un vínculo en el aviso de directiva. La selección de opciones de respuesta que tienen depende de las opciones que elija en la sección Invalidaciones de usuario.

Captura de pantalla de la sección de anulaciones de usuario de DLP.

Se describen todas las opciones a continuación.

  • Permitir invalidaciones de servicios M365. Permite a los usuarios de Power BI, Exchange, SharePoint, OneDrive y Teams invalidar las restricciones de directiva (se selecciona automáticamente cuando ha habilitado las notificaciones de usuario y ha seleccionado la casilla Notificar a los usuarios en el servicio Office 365 con un consejo de directiva): los usuarios podrán informar el problema como un falso positivo o anular la directiva.

  • Requerir una justificación comercial para invalidar: los usuarios podrán reportar el problema como falso positivo o anular la directiva. Si deciden invalidar, deberán proporcionar una justificación empresarial.

  • Invalidar la regla automáticamente si la notifica como un falso positivo: los usuarios podrán notificar el problema como falso positivo e invalidar automáticamente la directiva, o simplemente pueden invalidar la directiva sin notificarla como falso positivo.

  • Si selecciona Invalidar la regla automáticamente si la notifica como un falso positivo y Requerir una justificación comercial para invalidar, los usuarios podrán notificar el problema como un falso positivo e invalidar automáticamente la directiva, o simplemente pueden invalidar la directiva sin notificarla como un falso positivo, pero tendrán que proporcionar una justificación comercial.

La invalidación de una directiva significa que, a partir de ahora, la directiva ya no comprobará el elemento en busca de datos confidenciales.

Notificar un problema como falso positivo significa que el propietario de los datos cree que la directiva ha identificado erróneamente datos no confidenciales como confidenciales. Puede usar falsos positivos para afinar sus reglas.

Cualquier acción que realice el usuario se registra para informar.

Informes de incidentes

Asigne un nivel de gravedad que se mostrará en las alertas generadas a partir de esta directiva. Habilite (valor predeterminado) o deshabilite la notificación por correo electrónico a los administradores, especifique usuarios o grupos para la notificación por correo electrónico y configure los detalles sobre cuándo se producirá la notificación.

Captura de pantalla de la sección de informe de incidentes DLP.

Opciones adicionales

Captura de pantalla de la sección de opciones adicionales de DLP.

Consideraciones y limitaciones

  • Las plantillas de políticas DLP todavía no se admiten para las políticas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción directiva personalizada.
  • Las reglas de directiva DLP de Fabric admiten actualmente etiquetas de confidencialidad y tipos de información confidencial como condiciones.

Contenido relacionado

  • Last updated on