Plánování implementace Power BI: Ochrana informací pro Power BI
Poznámka:
Tento článek je součástí řady článků o plánování implementace Power BI. Tato série se zaměřuje především na prostředí Power BI v Rámci Microsoft Fabric. Úvod do série najdete v tématu Plánování implementace Power BI.
Tento článek popisuje plánování aktivit souvisejících s implementací ochrany informací v Power BI. Cílí na:
- Správci Power BI: Správci, kteří jsou zodpovědní za dohled nad Power BI v organizaci. Správci Power BI musí spolupracovat se zabezpečením informací a dalšími relevantními týmy.
- Týmy Center of Excellence, IT a BI: Ostatní, kteří zodpovídají za dohled nad Power BI v organizaci. Možná budou muset spolupracovat se správci Power BI, týmy zabezpečení informací a dalšími relevantními týmy.
Důležité
Ochrana informací a ochrana před únikem informací (DLP) je významným podnikem v celé organizaci. Jeho rozsah a dopad jsou mnohem větší než samotné Power BI. Tento typ iniciativy vyžaduje financování, stanovení priorit a plánování. Počítejte s tím, že do plánování, využití a dohledu zapojte několik týmů napříč funkcemi.
Aktivity označování a klasifikace se rozšiřují nad rámec Power BI a dokonce i datových prostředků. Rozhodnutí probíraná v tomto článku platí pro prostředky pro celou organizaci, včetně souborů a e-mailů, a ne jenom pro Power BI. Tento článek představuje témata, která se obecně týkají označování a klasifikace, protože pro úspěch ochrany před únikem informací v Power BI je důležité učinit správná organizační rozhodnutí.
Tento článek obsahuje také úvodní pokyny k definování struktury popisků citlivosti. Technicky vzato je struktura popisků citlivosti předpokladem pro implementaci popisků citlivosti v Power BI. Účelem zahrnutí některých základníchinformacích Pro plánování a implementaci ochrany informací v organizaci je zásadní spolupracovat s IT.
Účel popisků citlivosti
Použití popisků citlivosti microsoft Purview Information Protection se týká klasifikace obsahu. Popisek citlivosti si můžete představit jako značku, kterou použijete u položky, souboru, webu nebo datového prostředku.
Použití ochrany informací má mnoho výhod. Klasifikace a označování obsahu pomáhá organizacím:
- Zjistěte, kde se nacházejí citlivá data.
- Sledujte požadavky na externí a interní dodržování předpisů.
- Chraňte obsah před neoprávněnými uživateli.
- Informujte uživatele, jak zodpovědně zpracovávat data.
- Implementujte kontroly v reálném čase, abyste snížili riziko úniku dat.
Další případy použití ochrany informací najdete v tématu Ochrana informací a ochrana před únikem informací (běžné případy použití).
Tip
Pomáhá si zapamatovat, že Microsoft Purview Information Protection je produkt. Popisky citlivosti jsou konkrétní funkcí tohoto produktu.
Popisek citlivosti je stručný popis ve formátu prostého textu. Koncepčně si můžete představit popisek citlivosti jako značku. Ke každé položce (jako je sémantický model Power BI v služba Power BI) nebo ke každému souboru (jako je soubor Power BI Desktopu) je možné přiřadit jenom jeden popisek.
Popisek má následující účely.
- Klasifikace: Poskytuje klasifikaci pro popis úrovně citlivosti.
- Vzdělávání a povědomí uživatelů: Pomáhá uživatelům pochopit, jak správně pracovat s obsahem.
- Zásady: Tvoří základ pro použití a vynucování zásad a ochrany před únikem informací.
Požadavky na ochranu informací v Power BI
Teď byste měli mít dokončené kroky plánování na úrovni organizace popsané v článku plánování ochrany informací na úrovni organizace. Než budete pokračovat, měli byste mít přehled o:
- Aktuální stav: Aktuální stav ochrany informací ve vaší organizaci. Měli byste mít přehled o tom, jestli se popisky citlivosti už používají pro systém Microsoft Office soubory. V tomto případě je rozsah práce na přidání Power BI mnohem menší, než když do organizace poprvé přidáváte ochranu informací.
- Cíle a požadavky : Strategické cíle pro implementaci ochrany informací ve vaší organizaci Pochopení cílů a požadavků bude sloužit jako průvodce pro vaše úsilí o implementaci.
Pokud vaše organizace nepoužívá ochranu informací, zbytek této části obsahuje informace, které vám pomůžou spolupracovat s ostatními a zavést ochranu informací ve vaší organizaci.
Pokud se ochrana informací aktivně používá ve vaší organizaci, doporučujeme použít tento článek k ověření splnění požadavků. Pokud se popisky citlivosti aktivně používají, většina (nebo všechny) aktivity ve fázích zavádění 1–4 (v další části) už budou dokončené.
Fáze uvedení
Doporučujeme zavést plán postupného zavedení pro implementaci a testování ochrany informací. Cílem postupného zavedení plánu je nastavit si, abyste se naučili, přizpůsobovali a iterovat při procházení. Výhodou je, že v počátečních fázích dojde k ovlivnění menšího počtu uživatelů (pokud jsou změny pravděpodobnější), dokud se ochrana informací nakonec nesdílí všem uživatelům v organizaci.
Zavedení ochrany informací je významným závazkem. Jak je popsáno v článku plánování ochrany informací na úrovni organizace, pokud už vaše organizace implementovala ochranu informací pro systém Microsoft Office dokumenty, mnoho z těchto úkolů už bude dokončeno.
Tato část obsahuje přehled fází, které doporučujeme zahrnout do plánu postupného zavedení. Měl by vám dát smysl pro to, co očekávat. Zbývající část tohoto článku popisuje další rozhodovací kritéria klíčových aspektů, které ovlivňují Power BI nejvíce přímo.
Fáze 1: Plánování, rozhodnutí, příprava
V první fázi se soustřeďte na plánování, rozhodování a přípravné činnosti. Většina zbytku tohoto článku se zaměřuje na tuto první fázi.
Co nejdříve upřesněte, kde dojde k počátečnímu testování. Tato volba bude mít vliv na to, kde budete původně nastavovat, publikovat a testovat. Pro počáteční testování můžete použít neprodukčního tenanta (pokud k němu máte přístup).
Tip
Většina organizací má přístup k jednomu tenantovi, takže může být obtížné prozkoumat nové funkce izolovaným způsobem. Pro organizace, které mají samostatného tenanta vývoje nebo testování, doporučujeme ho použít pro počáteční fázi testování. Další informace o správě tenantů a vytvoření zkušebního tenanta pro otestování nových funkcí najdete v tématu Nastavení tenanta.
Fáze 2: Nastavení podpůrných uživatelských prostředků
Druhá fáze obsahuje kroky pro nastavení prostředků pro podporu uživatelů. Mezi prostředky patří vaše zásady klasifikace a ochrany dat a vlastní stránka nápovědy.
Je důležité mít určitou uživatelskou dokumentaci publikovanou v rané fázi. Je také důležité, aby se tým podpory uživatelů připravil brzy.
Fáze 3: Nastavení popisků a publikování
Třetí fáze se zaměřuje na definování popisků citlivosti. Při všech rozhodnutích není nastavení obtížné ani časově náročné. Popisky citlivosti jsou nastavené v Portál dodržování předpisů Microsoft Purview v Centrum pro správu Microsoftu 365.
Fáze 4: Publikování zásad popisku
Než bude možné popisek použít, musíte ho publikovat jako součást zásad popisku. Zásady popisků umožňují určitým uživatelům používat popisek. Zásady popisků se publikují v Portál dodržování předpisů Microsoft Purview v Centrum pro správu Microsoftu 365.
Poznámka:
Vše až do této chvíle je předpokladem pro implementaci ochrany informací pro Power BI.
Fáze 5: Povolení nastavení tenanta Power BI
Na portálu pro správu Power BI je několik nastavení tenanta ochrany informací. Musí povolit ochranu informací v služba Power BI.
Důležité
Po nastavení a publikování popisků v Portál dodržování předpisů Microsoft Purview byste měli nastavit nastavení tenanta.
Fáze 6: Počáteční testování
V šesté fázi provedete počáteční testy, abyste ověřili, že se vše chová podle očekávání. Pro účely počátečního testování byste měli publikovat zásady popisků jenom pro implementační tým.
Během této fáze nezapomeňte otestovat:
- systém Microsoft Office soubory
- Položky Power BI v služba Power BI
- Soubory Power BI Desktopu
- Export souborů z služba Power BI
- Další obory zahrnuté v konfiguraci, jako jsou weby Teams nebo SharePoint
Nezapomeňte zkontrolovat funkčnost a uživatelské prostředí pomocí webového prohlížeče a také mobilních zařízení, která se běžně používají. Odpovídajícím způsobem aktualizujte uživatelskou dokumentaci .
Důležité
I když má oprávnění k nastavení popisku citlivosti jenom několik členů týmu, budou moct všichni uživatelé zobrazit popisky přiřazené k obsahu. Pokud používáte produkčního tenanta, můžou se uživatelé divit, proč uvidí popisky přiřazené k položkám v pracovním prostoru v služba Power BI. Připravte se na podporu a odpovězte na dotazy uživatelů.
Fáze 7: Shromáždění zpětné vazby uživatelů
Cílem této fáze je získat zpětnou vazbu od malé skupiny klíčových uživatelů. Zpětná vazba by měla identifikovat oblasti nejasnosti, mezery ve struktuře popisků nebo technické problémy. Můžete také najít důvody ke zlepšení uživatelské dokumentace.
K tomuto účelu byste měli publikovat (nebo znovu publikovat) zásady popisků pro malou podmnožinu uživatelů, kteří jsou ochotni poskytnout zpětnou vazbu.
Tip
Nezapomeňte do plánu projektu zohlednit dostatek času. V případě nastavení zásad popisků a popisků doporučujeme, aby se změny projevily po dobu 24 hodin . Tentokrát je potřeba zajistit, aby se všechny změny šířily do souvisejících služeb.
Fáze 8: Iterativní uvolnění
Fáze implementace je obvykle iterativní proces.
Počátečním cílem je často přejít do stavu, kdy má veškerý obsah Power BI přiřazený popisek citlivosti. K dosažení tohoto cíle můžete zavést povinné zásady popisků nebo výchozí zásady popisků. K programovému nastavení nebo odebrání popisků citlivosti můžete použít také rozhraní API pro správu ochrany informací.
Do zahrnutí celé organizace můžete postupně zahrnout více skupin uživatelů. Tento proces zahrnuje opětovné publikování jednotlivých zásad popisků pro stále větší skupiny uživatelů.
V průběhu tohoto procesu nezapomeňte upřednostnit poskytování pokynů, komunikace a školení uživatelům, aby pochopili proces a očekávané informace o nich.
Fáze 9: Monitorování, audit, úprava, integrace
Po počátečním zavedení je potřeba provést další kroky. Měli byste mít primární tým pro monitorování aktivit ochrany informací a jejich ladění v průběhu času. Při použití popisků budete schopni posoudit jejich užitečnost a identifikovat oblasti pro úpravy.
Auditování ochrany informací má mnoho aspektů. Další informace najdete v tématu Auditování ochrany informací a ochrany před únikem informací pro Power BI.
Investice, které provádíte při nastavování ochrany informací, se dají použít v zásadách ochrany před únikem informací pro Power BI, které jsou nastavené v Portál dodržování předpisů Microsoft Purview. Další informace, včetně popisu možností ochrany před únikem informací, najdete v tématu Ochrana před únikem informací pro Power BI.
Ochranu informací je možné použít také k vytváření zásad v programu Microsoft Defender for Cloud Apps. Další informace, včetně popisu funkcí, které můžou být užitečné, najdete v tématu Defender for Cloud Apps for Power BI.
Kontrolní seznam – Při přípravě fází zavádění ochrany informací zahrnují klíčová rozhodnutí a akce:
- Vytvořte plán postupného zavedení: Definujte fáze plánu uvedení. Objasněte, jaké jsou konkrétní cíle pro každou fázi.
- Určete, kde provést testování: Určete, kde je možné provést počáteční testování. Pokud je to možné, minimalizujte dopad na uživatele, použijte neprodukčního tenanta.
- Vytvoření plánu projektu: Vytvořte plán projektu, který zahrnuje všechny klíčové aktivity, odhadovanou časovou osu a kdo bude zodpovědný.
Struktura popisků citlivosti
Struktura popisků citlivosti je předpokladem pro implementaci popisků citlivosti v Power BI. Tato část obsahuje některé základní informace, které vám pomůžou pochopit, co se týká vytváření struktury popisků.
Tato část není vyčerpávající seznam všech možných aspektů popisků citlivosti pro všechny možné aplikace. Místo toho se zaměřuje na aspekty a aktivity, které přímo ovlivňují klasifikaci obsahu Power BI. Ujistěte se, že pracujete s dalšími účastníky a správci systému, abyste mohli rozhodovat, která dobře fungují pro všechny aplikace a případy použití.
Základ pro implementaci ochrany informací začíná sadou popisků citlivosti. Konečným cílem je vytvořit sadu popisků citlivosti, které jsou jasné a jednoduché, aby uživatelé mohli pracovat.
Struktura popisků citlivosti, která se používá v organizaci, představuje taxonomii popisků. Označuje se také jako taxonomie klasifikace dat, protože cílem je klasifikovat data. Někdy se označuje jako definice schématu.
Neexistuje standardní nebo integrovaná sada popisků. Každá organizace musí definovat a přizpůsobit sadu popisků tak, aby vyhovovala jejich potřebám. Proces příchodu na správnou sadu popisků zahrnuje rozsáhlou spolupráci. Vyžaduje promyšlené plánování, aby popisky splňovaly cíle a požadavky. Nezapomeňte, že popisky se použijí na víc než jen na obsah Power BI.
Tip
Většina organizací začíná přiřazením popisků k systém Microsoft Office souborům. Pak se vyvíjejí tak, aby klasifikovaly další obsah, například položky a soubory Power BI.
Struktura popisků zahrnuje:
- Popisky: Popisky tvoří hierarchii. Každý popisek označuje úroveň citlivosti pro položku, soubor nebo datový prostředek. Doporučujeme vytvořit mezi třemi a sedmi popisky. Popisky by se měly zřídka měnit.
- Dílčí popisky: Dílčí popisky označují varianty ochrany nebo rozsahu v rámci konkrétního popisku. Zahrnutím těchto popisků do různých zásad popisků můžete určit rozsah dílčích popisků pro určitou sadu uživatelů nebo pro uživatele zapojené do konkrétního projektu.
Tip
I když dílčí popisky nabízejí flexibilitu, měly by být použity v moderování pouze pro splnění kritických požadavků. Vytvoření příliš velkého počtu dílčích popisků vede ke zvýšení správy. Můžou také zahltit uživatele příliš mnoha možnostmi.
Popisky tvoří hierarchii začínající nejcitlivější klasifikací na nejcitlivější klasifikaci.
Obsah Power BI někdy obsahuje data, která pokrývají více popisků. Sémantický model může například obsahovat informace o inventáři produktů (obecné interní použití) a údaje o prodeji za aktuální čtvrtletí (omezeno). Při výběru popisku, který se má přiřadit k sémantickému modelu Power BI, by se uživatelům mělo naučit používat nejvíce omezující popisek.
Tip
Další část popisuje zásady klasifikace a ochrany dat, které uživatelům poskytnou pokyny, kdy jednotlivé popisky používat.
Důležité
Přiřazení popisku nebo dílčího popisku nemá přímý vliv na přístup k obsahu Power BI v služba Power BI. Místo toho popisek poskytuje užitečnou kategorii, která může vést chování uživatele. Zásady ochrany před únikem informací můžou být také založené na přiřazeného popisku. Způsob, jakým se ale spravuje přístup k obsahu Power BI, se nic nemění, s výjimkou případů, kdy je soubor zašifrovaný. Další informace najdete v tématu Použití ochrany šifrování.
S popisky, které vytvoříte, buďte záměrní, protože po dokončení počáteční fáze testování je obtížné popisek odebrat nebo odstranit. Protože dílčí popisky se dají (volitelně) použít pro určitou sadu uživatelů, můžou se měnit častěji než popisky.
Tady je několik osvědčených postupů pro definování struktury popisků.
- Používejte intuitivní, jednoznačné termíny: Srozumitelnost je důležitá, aby uživatelé věděli, co si mají vybrat při klasifikaci dat. Například popisek s nejvyšším tajemstvím a vysoce důvěrný popisek je nejednoznačný.
- Vytvoření logického hierarchického pořadí: Pořadí popisků je zásadní pro to, aby všechno fungovalo dobře. Nezapomeňte, že poslední popisek v seznamu je nejcitlivější. Hierarchické pořadí v kombinaci s dobře vybranými termíny by mělo být logické a intuitivní, aby uživatelé mohli pracovat. Jasná hierarchie také usnadňuje vytváření a údržbu zásad.
- Vytvořte jen několik popisků, které platí pro celou organizaci: Příliš mnoho popisků, ze kterého si uživatelé můžou vybírat, bude matoucí. Povede také k méně přesnému výběru popisků. Doporučujeme vytvořit jen několik popisků pro počáteční sadu.
- Používejte smysluplné obecné názvy: Vyhněte se použití oborových žargonů nebo zkratek v názvech štítků. Například místo vytváření popisku s názvem Identifikovatelné osobní údaje použijte místo toho jména, jako je vysoce omezený nebo vysoce důvěrný .
- Výrazy, které jsou snadno lokalizovány do jiných jazyků: Pro globální organizace s provozem ve více zemích nebo oblastech je důležité zvolit termíny popisků, které nebudou matoucí nebo nejednoznačné, když se přeloží do jiných jazyků.
Tip
Pokud zjistíte, že plánujete mnoho popisků, které jsou vysoce specifické, vraťte se zpět a znovu vyhodnocujte svůj přístup. Složitost může vést k nejasnostem uživatelů, snížení přijetí a méně efektivní ochraně informací. Doporučujeme začít počáteční sadou popisků (nebo použít to, co už máte). Jakmile získáte více zkušeností, opatrně rozšiřte sadu popisků přidáním konkrétnějších popisků v případě potřeby.
Kontrolní seznam – Při plánování struktury popisků citlivosti zahrnují klíčová rozhodnutí a akce:
- Definujte počáteční sadu popisků citlivosti: Vytvořte počáteční sadu mezi třemi a sedmi popisky citlivosti. Ujistěte se, že mají široké využití pro širokou škálu obsahu. Při dokončení klasifikace dat a zásad ochrany naplánujte iteraci počátečního seznamu.
- Určete, jestli potřebujete dílčí popisky: Rozhodněte se, jestli pro některý z popisků potřebujete použít dílčí popisky.
- Ověřte lokalizaci termínů štítků: Pokud se popisky přeloží do jiných jazyků, ověřte, že lokalizované popisky vyjadřují zamýšlený význam.
Rozsah popisků citlivosti
Rozsah popisku citlivosti omezuje použití popisku. Power BI sice nemůžete přímo zadat, ale popisky můžete použít pro různé obory. Mezi možné obory patří:
- Položky (například položky publikované v služba Power BI a soubory a e-maily)
- Skupiny a weby (například kanál Teams nebo sharepointový web)
- Schématizované datové prostředky (podporované zdroje zaregistrované v mapě dat Purview)
Důležité
Popisek citlivosti není možné definovat jenom s rozsahem Power BI. I když existují některá nastavení, která platí speciálně pro Power BI, obor není jedním z nich. Rozsah položek se používá pro služba Power BI. Popisky citlivosti se zpracovávají jinak než zásady ochrany před únikem informací, které jsou popsány v článku o ochraně před únikem informací pro plánování Power BI v tom, že některé typy zásad ochrany před únikem informací je možné definovat speciálně pro Power BI. Pokud máte v úmyslu použít dědičnost popisků citlivosti ze zdrojů dat v Power BI, pro obor popisku existují specifické požadavky .
Události související s popisky citlivosti se zaznamenávají v Průzkumníku aktivit. Protokolované podrobnosti o těchto událostech budou výrazně bohatší, pokud je rozsah širší. Budete také lépe připraveni chránit data v širším spektru aplikací a služeb.
Při definování počáteční sady popisků citlivosti zvažte zpřístupnění počáteční sady popisků pro všechny obory. Je to proto, že uživatelům může být matoucí, když uvidí různé popisky v různých aplikacíchach V průběhu času ale můžete zjistit případy použití pro konkrétnější dílčí popisky. Je ale bezpečnější začít konzistentní a jednoduchou sadou počátečních popisků.
Obor popisku se nastaví v Portál dodržování předpisů Microsoft Purview při nastavení popisku.
Kontrolní seznam – Při plánování rozsahu popisků zahrnují klíčová rozhodnutí a akce:
- Rozhodněte se o rozsahu popisku: Prodiskutujte a rozhodněte se, jestli se všechny počáteční popisky použijí pro všechny obory.
- Projděte si všechny požadavky: Prozkoumejte požadavky a nezbytné kroky nastavení, které budou vyžadovány pro každý obor, který chcete použít.
Použití ochrany šifrování
Existuje několik možností ochrany popiskem citlivosti.
- Šifrování: Nastavení šifrování se týká souborů nebo e-mailů. Soubor Power BI Desktopu je například možné zašifrovat.
- Označení: Odkazuje na záhlaví, zápatí a vodoznaky. Označení jsou užitečná pro systém Microsoft Office soubory, ale nezobrazují se v obsahu Power BI.
Tip
Obvykle když někdo odkazuje na popisek jako chráněný, odkazuje na šifrování. Může být dostačující, aby se zašifrovaly jenom popisky vyšší úrovně, jako je Restricted a Highly Restricted.
Šifrování je způsob, jak kryptograficky kódovat informace. Šifrování má několik klíčových výhod.
- Chráněný soubor můžou otevírat, dešifrovat a číst jenom autorizovaní uživatelé (například interní uživatelé ve vaší organizaci).
- Šifrování zůstává u chráněného souboru, i když se soubor odešle mimo organizaci nebo se přejmenuje.
- Nastavení šifrování se získá z původního označeného obsahu. Zvažte sestavu v služba Power BI má popisek citlivosti s vysokou přesností. Pokud se exportuje do podporované cesty exportu, popisek zůstane nedotčený a u exportovaného souboru se použije šifrování.
Služba Azure Rights Management (Azure RMS) se používá k ochraně souborů pomocí šifrování. Existuje několik důležitých předpokladů , které je potřeba splnit, aby bylo možné použít šifrování Azure RMS.
Důležité
Existuje omezení: Offline uživatel (bez připojení k internetu) nemůže otevřít šifrovaný soubor Power BI Desktopu (nebo jiný typ souboru chráněného službou Azure RMS). Důvodem je to, že Azure RMS musí synchronně ověřit, jestli má uživatel oprávnění k otevření, dešifrování a zobrazení obsahu souboru.
Šifrované popisky se zpracovávají jinak v závislosti na tom, kde uživatel pracuje.
- V služba Power BI: Nastavení šifrování nemá přímý vliv na uživatelský přístup v služba Power BI. Standardní oprávnění Power BI (například role pracovního prostoru, oprávnění aplikace nebo oprávnění ke sdílení) řídí přístup uživatelů v služba Power BI. Popisky citlivosti nemají vliv na přístup k obsahu v rámci služba Power BI.
- Soubory Power BI Desktopu: Šifrovaný popisek se dá přiřadit k souboru Power BI Desktopu. Popisek se zachová i při exportu z služba Power BI. Soubor budou moct otevřít, dešifrovat a zobrazit jenom autorizovaní uživatelé.
- Exportované soubory: Soubory Microsoft Excelu, Microsoft PowerPointu a PDF exportované z služba Power BI si zachovají popisek citlivosti včetně ochrany šifrování. U podporovaných formátů souborů budou moct soubor otevřít, dešifrovat a zobrazit jenom autorizovaní uživatelé.
Důležité
Je důležité, aby uživatelé pochopili rozdíly mezi služba Power BI a soubory, které jsou snadno zmatené. Doporučujeme, abyste společně s příklady poskytli dokument s nejčastějšími dotazy, který uživatelům pomůže pochopit rozdíly.
Pokud chcete otevřít chráněný soubor Power BI Desktopu nebo exportovaný soubor, musí uživatel splňovat následující kritéria.
- Připojení k internetu: Uživatel musí být připojený k internetu. K komunikaci se službou Azure RMS se vyžaduje aktivní připojení k internetu.
- Oprávnění RMS: Uživatel musí mít oprávnění RMS, která jsou definovaná v rámci popisku (nikoli v rámci zásad popisku). Oprávnění RMS umožňují autorizovaným uživatelům dešifrovat, otevřít a zobrazit podporované formáty souborů.
- Povolený uživatel: V zásadách popisku musí být zadáni uživatelé nebo skupiny. Přiřazení autorizovaných uživatelů se obvykle vyžaduje jenom pro tvůrce obsahu a vlastníky, aby mohli používat popisky. Pokud však používáte ochranu šifrování, existuje další požadavek. Každý uživatel, který musí otevřít chráněný soubor, musí být zadaný v zásadách popisku. Tento požadavek znamená, že licencování ochrany informací může být vyžadováno pro více uživatelů.
Tip
Nastavení Povolit správcům pracovního prostoru přepsat automaticky použité popisky citlivosti umožňuje správcům pracovního prostoru změnit popisek, který se automaticky použil, i když je pro popisek povolená ochrana (šifrování). Tato funkce je užitečná hlavně v případě, že byl popisek automaticky přiřazen nebo zděděný, ale správce pracovního prostoru není autorizovaným uživatelem.
Ochrana štítků se nastavuje v Portál dodržování předpisů Microsoft Purview při nastavování popisku.
Kontrolní seznam – Při plánování použití šifrování popisků zahrnují rozhodnutí o klíči a akce:
- Rozhodněte se, které popisky mají být šifrované: U každého popisku citlivosti se rozhodněte, jestli má být zašifrovaný (chráněný). Pečlivě zvažte omezení, která se týkají.
- Určete oprávnění RMS pro každý popisek: Určete, jaká uživatelská oprávnění budou pro přístup k šifrovaným souborům a interakci s nimi. Vytvořte mapování uživatelů a skupin pro každý popisek citlivosti, které vám pomůže s plánováním.
- Zkontrolujte a vyřešte požadavky na šifrování RMS: Ujistěte se, že jsou splněné technické požadavky pro použití šifrování Azure RMS.
- Naplánujte důkladné testování šifrování: Vzhledem k rozdílům mezi soubory Office a soubory Power BI se ujistěte, že jste se zavázali k důkladné fázi testování.
- Zahrnout do uživatelské dokumentace a školení: Ujistěte se, že do dokumentace zahrnete pokyny a školení o tom, co by uživatelé měli očekávat pro soubory, které mají přiřazený popisek citlivosti, který je šifrovaný.
- Proveďte přenos znalostí s podporou: Naplánujte si konkrétní plány na vedení relací přenosu znalostí s týmem podpory. Kvůli složitosti šifrování budou pravděpodobně dostávat dotazy od uživatelů.
Dědičnost popisků ze zdrojů dat
Při importu dat z podporovaných zdrojů dat (například Azure Synapse Analytics, Azure SQL Database nebo excelového souboru) může sémantický model Power BI volitelně dědit popisek citlivosti použitý u zdrojových dat. Dědičnost pomáhá:
- Zvýšení konzistence popisků
- Snižte uživatelské úsilí při přiřazování popisků.
- Snižte riziko, že uživatelé přistupují k citlivým datům a sdílejí je s neoprávněnými uživateli, protože se neoznačí.
Tip
Existují dva typy dědičnosti popisků citlivosti. Dědičnost podřízenosti odkazuje na podřízené položky (například sestavy), které automaticky dědí popisek z sémantického modelu Power BI. Zaměřuje se však na dědičnost _upstreamu. Nadřazená dědičnost odkazuje na sémantický model Power BI, který dědí popisek ze zdroje dat, který je nadřazený z sémantického modelu.
Představte si příklad, kdy pracovní definice organizace pro popisek citlivosti vysoce omezený zahrnuje čísla finančních účtů. Vzhledem k tomu, že čísla finančních účtů jsou uložená ve službě Azure SQL Database, přiřadí se k danému zdroji popisek citlivosti s vysokou přesností . Při importu dat z Azure SQL Database do Power BI je záměrem sémantického modelu dědit popisek.
Popisky citlivosti můžete k podporovanému zdroji dat přiřadit různými způsoby.
- Zjišťování a klasifikace dat: Můžete zkontrolovat podporovanou databázi a identifikovat sloupce, které můžou obsahovat citlivá data. Na základě výsledků kontroly můžete použít některá nebo všechna doporučení popisku. Zjišťování a klasifikace dat se podporuje pro databáze, jako jsou Azure SQL Database, Azure SQL Managed Instance a Azure Synapse Analytics. Zjišťování a klasifikace dat SQL se podporuje pro místní databáze SQL Serveru.
- Ruční přiřazení: Popisek citlivosti můžete přiřadit k excelovém souboru. Můžete také ručně přiřadit popisky ke sloupcům databáze ve službě Azure SQL Database nebo SQL Serveru.
- Automatické popisování v Microsoft Purview: Popisky citlivosti je možné použít u podporovaných zdrojů dat registrovaných jako prostředky v Mapa dat Microsoft Purview.
Upozorňující
Podrobnosti o tom, jak přiřadit popisky citlivosti ke zdroji dat, jsou mimo rozsah pro tento článek. Technické schopnosti se vyvíjejí s ohledem na to, co je v Power BI podporováno pro dědičnost. Doporučujeme, abyste provedli technickou kontrolu konceptu, abyste ověřili své cíle, snadné použití a to, jestli možnosti splňují vaše požadavky.
Dědičnost nastane, jenom když povolíte popisky citlivosti ze zdrojů dat v nastavení tenanta Power BI. Další informace o nastavení tenanta najdete v části Nastavení tenanta Power BI dále v tomto článku.
Tip
Budete se muset seznámit s chováním dědičnosti. Nezapomeňte do testovacího plánu zahrnout různé okolnosti.
Kontrolní seznam – Při plánování dědičnosti popisků ze zdrojů dat zahrnují klíčová rozhodnutí a akce:
- Rozhodněte se, jestli má Power BI dědit popisky ze zdrojů dat: Rozhodněte se, jestli má Power BI tyto popisky dědit. Pokud chcete tuto funkci povolit, naplánujte nastavení tenanta.
- Zkontrolujte technické požadavky: Určete, jestli potřebujete provést další kroky pro přiřazení popisků citlivosti ke zdrojům dat.
- Funkce dědičnosti popisků testů: Dokončete technický test konceptu a otestujte, jak dědičnost funguje. Ověřte, že funkce funguje podle očekávání za různých okolností.
- Zahrnout do uživatelské dokumentace: Ujistěte se, že informace o dědičnosti popisků jsou přidány do pokynů poskytovaných uživatelům. Do uživatelské dokumentace uveďte reálné příklady.
Publikované zásady popisků
Jakmile definujete popisek citlivosti, můžete ho přidat do jedné nebo více zásad popisku. Zásada popisku je způsob, jakým popisek publikujete, aby ho bylo možné použít. Definuje, které popisky je možné použít pomocí sady autorizovaných uživatelů. Existují i další nastavení, například výchozí popisek a povinný popisek.
Použití více zásad popisků může být užitečné, když potřebujete cílit na různé sady uživatelů. Popisek citlivosti můžete definovat jednou a pak zahrnout do jedné nebo více zásad popisku.
Tip
Popisek citlivosti není k dispozici pro použití, dokud se v Portál dodržování předpisů Microsoft Purview nepublikuje zásada popisku obsahující popisek.
Autorizovaní uživatelé a skupiny
Při vytváření zásad popisku je nutné vybrat jednoho nebo více uživatelů nebo skupin. Zásady popisku určují, kteří uživatelé můžou popisek používat. Umožňuje uživatelům přiřadit tento popisek ke konkrétnímu obsahu, jako je soubor Power BI Desktopu, excelový soubor nebo položka publikovaná do služba Power BI.
Doporučujeme udržovat autorizované uživatele a skupiny co nejjednodušší. Dobrým pravidlem je publikování primárních popisků pro všechny uživatele. Někdy je vhodné, aby se dílčí popisek přiřadil podmnožině uživatelům nebo jeho rozsahu.
Doporučujeme přiřadit skupiny místo jednotlivců, kdykoli je to možné. Používání skupin zjednodušuje správu zásad a snižuje, jak často je potřeba je znovu publikovat,
Upozorňující
Autorizovaní uživatelé a skupiny pro popisek se liší od uživatelů přiřazených k Azure RMS pro chráněný (šifrovaný) popisek. Pokud má uživatel problémy s otevřením šifrovaného souboru, prozkoumejte oprávnění šifrování pro konkrétní uživatele a skupiny (které jsou nastavené v rámci konfigurace popisku, a ne v zásadách popisků). Ve většině případů doporučujeme přiřadit stejné uživatele oběma uživatelům. Tato konzistence zabrání nejasnostem a omezí lístky podpory.
Autorizovaní uživatelé a skupiny jsou při publikování zásad popisku nastaveni v Portál dodržování předpisů Microsoft Purview.
Kontrolní seznam – Při plánování autorizovaných uživatelů a skupin v zásadách popisku zahrnují klíčová rozhodnutí a akce:
- Určete, které popisky se vztahují na všechny uživatele: Diskutujte a rozhodněte, které popisky citlivosti mají být dostupné pro použití všemi uživateli.
- Určete, které dílčí popisky se vztahují na podmnožinu uživatelů: Diskutujte a rozhodněte se, jestli jsou k dispozici nějaké dílčí popisky, které budou k dispozici pouze pro konkrétní sadu uživatelů nebo skupin.
- Určete, jestli jsou potřeba nějaké nové skupiny: Určete, jestli se budou muset vytvořit nové skupiny MICROSOFT Entra ID, které budou podporovat oprávněné uživatele a skupiny.
- Vytvořte plánovací dokument: Pokud je mapování autorizovaných uživatelů na popisky citlivosti složité, vytvořte mapování uživatelů a skupin pro každou zásadu popisku.
Výchozí popisek obsahu Power BI
Při vytváření zásad popisku můžete zvolit výchozí popisek. Například popisek Pro obecné interní použití může být nastavený jako výchozí popisek. Toto nastavení ovlivní nové položky Power BI vytvořené v Power BI Desktopu nebo služba Power BI.
Výchozí popisek můžete nastavit v zásadách popisků speciálně pro obsah Power BI, který je oddělený od ostatních položek. Většina rozhodnutí a nastavení ochrany informací se používá obecněji. Výchozí nastavení popisku (a povinné nastavení popisku popsaného dále) se ale vztahuje jenom na Power BI.
Tip
I když můžete nastavit různé výchozí popisky (pro power BI a obsah mimo Power BI), zvažte, jestli je to nejlepší možnost pro uživatele.
Je důležité si uvědomit, že po publikování zásady popisku se nová výchozí zásada popisku použije na obsah vytvořený nebo upravený. Nebude zpětně přiřazovat výchozí popisek k existujícímu obsahu. Správce Power BI může pomocí rozhraní API ochrany informací nastavit popisky citlivosti hromadně, aby se zajistilo, že je existující obsah přiřazený k výchozímu popisku citlivosti.
Výchozí možnosti popisků se nastavují v Portál dodržování předpisů Microsoft Purview při publikování zásady popisku.
Kontrolní seznam – Při plánování, jestli se použije výchozí popisek pro obsah Power BI, zahrnují klíčová rozhodnutí a akce:
- Rozhodněte se, jestli se má zadat výchozí popisek: Diskutujte a rozhodněte se, jestli je výchozí popisek vhodný. Pokud ano, určete, který popisek je nejvhodnější jako výchozí.
- Zahrnout do uživatelské dokumentace: V případě potřeby se ujistěte, že informace o výchozím popisku jsou uvedené v pokynech pro uživatele. Cílem je, aby uživatelé pochopili, jak určit, jestli je výchozí popisek vhodný nebo jestli se má změnit.
Povinné popisování obsahu Power BI
Klasifikace dat je běžným zákonným požadavkem. Pokud chcete tento požadavek splnit, můžete vyžadovat, aby uživatelé označili veškerý obsah Power BI. Tento povinný požadavek na označování se projeví, když uživatelé vytvářejí nebo upravují obsah Power BI.
Můžete se rozhodnout implementovat povinné popisky, výchozí popisky (popsané v předchozí části) nebo obojí. Měli byste zvážit následující body.
- Zásada povinného popisku zajistí, že popisek nebude prázdný.
- Zásada povinného popisku vyžaduje, aby uživatelé zvolili, co má být popisek.
- Zásady povinného popisku brání uživatelům úplně odebrat popisek.
- Výchozí zásada popisku je pro uživatele méně rušivá, protože nevyžaduje, aby podnikli akci.
- Výchozí zásada popisku může vést k nesprávnému označení obsahu, protože uživatel výslovně nevybral tuto volbu.
- Povolení výchozí zásady popisků i povinné zásady popisků můžou poskytovat doplňkové výhody.
Tip
Pokud se rozhodnete implementovat povinné popisky, doporučujeme implementovat také výchozí popisky.
Zásady povinného popisku můžete nastavit speciálně pro obsah Power BI. Většina nastavení ochrany informací se používá obecněji. Povinné nastavení popisku (a výchozí nastavení popisku) se ale vztahuje konkrétně na Power BI.
Tip
Povinné zásady popisků se nevztahují na instanční objekty ani rozhraní API.
Možnosti povinného popisování jsou nastaveny v Portál dodržování předpisů Microsoft Purview při publikování zásady popisku.
Kontrolní seznam – Při plánování, jestli se bude vyžadovat povinné označování obsahu Power BI, zahrnují klíčová rozhodnutí a akce:
- Rozhodněte se, jestli budou popisky povinné: Diskutujte a rozhodněte se, jestli jsou povinné popisky z důvodů dodržování předpisů nezbytné.
- Zahrnout do uživatelské dokumentace: V případě potřeby zajistěte, aby byly do pokynů pro uživatele přidány informace o povinných popiscích. Cílem je, aby uživatelé pochopili, co mají očekávat.
Požadavky na licencování
Aby bylo možné pracovat s popisky citlivosti, musí být zavedeny konkrétní licence .
- Správci: Správci, kteří budou nastavovat, spravovat a dohlížet na popisky.
- Uživatelé: Tvůrci a vlastníci obsahu, kteří budou zodpovědní za použití popisků na obsah. Uživatelé také zahrnují uživatele, kteří potřebují dešifrovat, otevřít a zobrazit chráněné (šifrované) soubory.
Tyto funkce už můžete mít, protože jsou součástí licenčních sad, jako je Microsoft 365 E5. Možnosti dodržování předpisů Microsoftu 365 E5 se dají zakoupit jako samostatná licence.
Licence Power BI Pro nebo Premium na uživatele (PPU) se vyžaduje také pro uživatele, kteří budou používat a spravovat popisky citlivosti v služba Power BI nebo Power BI Desktopu.
Tip
Pokud potřebujete objasnit licenční požadavky, obraťte se na svůj tým účtů Microsoft. Mějte na paměti, že licence Microsoft 365 E5 Compliance zahrnuje další funkce, které jsou mimo rozsah pro tento článek.
Kontrolní seznam – Při vyhodnocování licenčních požadavků pro popisky citlivosti patří klíčová rozhodnutí a akce:
- Kontrola licenčních požadavků na produkty: Ujistěte se, že zkontrolujete všechny licenční požadavky.
- Zkontrolujte licenční požadavky uživatelů: Ověřte, že všichni uživatelé, u kterých očekáváte přiřazení popisků, mají licence Power BI Pro nebo PPU.
- Kupte si další licence: Pokud je to možné, kupte si další licence, abyste mohli odemknout funkce, které chcete použít.
- Přiřazení licencí: Přiřaďte licenci každému uživateli, který bude přiřazovat, aktualizovat nebo spravovat popisky citlivosti. Každému uživateli, který bude pracovat se šifrovanými soubory, přiřaďte licenci.
Nastavení tenanta Power BI
K dispozici je několik nastavení tenanta Power BI, která souvisejí s ochranou informací.
Důležité
Nastavení tenanta Power BI pro ochranu informací by se nemělo nastavit, dokud nebudou splněny všechny požadavky. Popisky a zásady popisků by se měly nastavit a publikovat v Portál dodržování předpisů Microsoft Purview. Do této doby jste stále v rozhodovacím procesu. Před nastavením nastavení tenanta byste nejprve měli určit proces, jak otestovat funkčnost s podmnožinou uživatelů. Pak se můžete rozhodnout, jak provést postupné zavedení.
Uživatelé, kteří můžou použít popisky
Měli byste se rozhodnout, kdo bude moct používat popisky citlivosti na obsah Power BI. Toto rozhodnutí určí, jak nastavíte nastavení Povolit uživatelům použít popisky citlivosti pro nastavení tenanta obsahu.
Obvykle je to tvůrce obsahu nebo vlastník, který přiřazuje popisek během svého normálního pracovního postupu. Nejjednodušším přístupem je povolit toto nastavení tenanta, které umožňuje všem uživatelům Power BI používat popisky. V tomto případě budou standardní role pracovního prostoru určovat, kdo může upravovat položky v služba Power BI (včetně použití popisku). Protokol aktivit můžete použít ke sledování, kdy uživatel přiřadí nebo změní popisek.
Popisky ze zdrojů dat
Měli byste se rozhodnout, jestli chcete, aby popisky citlivosti byly zděděné z podporovaných zdrojů dat, které jsou nadřazené z Power BI. Pokud jsou například sloupce ve službě Azure SQL Database definované s popiskem citlivosti s vysokou přesností , pak zdědí tento popisek sémantický model Power BI, který importuje data z daného zdroje.
Pokud se rozhodnete povolit dědičnost z nadřazených zdrojů dat, nastavte v nastavení tenanta Power BI popisky citlivosti ze zdrojů dat. Doporučujeme povolit dědičnost popisků zdrojů dat, abyste podpořili konzistenci a snížili úsilí.
Popisky podřízeného obsahu
Měli byste se rozhodnout, jestli mají být popisky citlivosti zděděné podřízeným obsahem. Pokud má například sémantický model Power BI popisek citlivosti s vysokou přesností, zdědí všechny podřízené sestavy tento popisek z sémantického modelu.
Pokud se rozhodnete povolit dědičnost podřízeným obsahem, nastavte u podřízeného tenanta tenanta popisky citlivosti Automaticky použít popisky citlivosti. Doporučujeme povolit dědičnost podřízeným obsahem, abyste podpořili konzistenci a snížili úsilí.
Přepsání správce pracovního prostoru
Toto nastavení platí pro popisky, které se použily automaticky (například při použití výchozích popisků nebo při automatickém zdědění popisků). Pokud má popisek nastavení ochrany, Power BI umožňuje měnit popisek jenom autorizovaným uživatelům. Toto nastavení umožňuje správcům pracovního prostoru změnit popisek, který se použil automaticky, i když je u popisku nastavená ochrana.
Pokud se rozhodnete povolit aktualizace popisků, nastavte možnost Povolit správcům pracovního prostoru přepsat automaticky použité nastavení tenanta popisků citlivosti. Toto nastavení platí pro celou organizaci (ne pro jednotlivé skupiny). Umožňuje správcům pracovního prostoru měnit popisky, které se automaticky použily.
Doporučujeme, abyste správcům pracovních prostorů Power BI umožnili aktualizovat popisky. Protokol aktivit můžete použít ke sledování, kdy přiřazují nebo mění popisek.
Zakázání sdílení chráněného obsahu
Měli byste se rozhodnout, jestli se chráněný (šifrovaný) obsah dá sdílet se všemi ve vaší organizaci.
Pokud se rozhodnete zakázat sdílení chráněného obsahu, nastavte možnost Omezit obsah s chráněnými popisky, aby se nesdílel prostřednictvím odkazu se všemi v nastavení tenanta vaší organizace. Toto nastavení platí pro celou organizaci (ne pro jednotlivé skupiny).
Důrazně doporučujeme povolit toto nastavení tenanta a zakázat sdílení chráněného obsahu. Pokud je tato možnost povolená, zakáže operace sdílení s celou organizací pro citlivější obsah (definované popisky, které mají definované šifrování). Povolením tohoto nastavení snížíte možnost úniku dat.
Důležité
Existuje podobné nastavení tenanta s názvem Povolit odkazy ke sdílení, které umožňuje udělit přístup všem uživatelům ve vaší organizaci. I když má podobný název, jeho účel se liší. Definuje, které skupiny můžou vytvořit odkaz pro sdílení pro celou organizaci bez ohledu na popisek citlivosti. Ve většině případů doporučujeme tuto funkci ve vaší organizaci omezit. Další informace najdete v článku o plánování zabezpečení uživatelů sestav.
Podporované typy souborů exportu
Na portálu pro správu Power BI existuje mnoho nastavení exportu a sdílení tenanta. Ve většině případů doporučujeme, aby možnost exportu dat byla dostupná pro všechny (nebo většinu) uživatelů, aby nebyla omezena produktivita uživatelů.
Vysoce regulovaná odvětví ale můžou mít požadavek na omezení exportů, pokud není možné vynutit ochranu informací pro výstupní formát. Popisek citlivosti použitý v služba Power BI se řídí obsahem při exportu do podporované cesty k souboru. Obsahuje soubory Excelu, PowerPointu, PDF a Power BI Desktopu. Vzhledem k tomu, že popisek citlivosti zůstane s exportovaným souborem, zachovají se u těchto podporovaných formátů souborů výhody ochrany (šifrování, které brání neoprávněným uživatelům v otevírání souboru).
Upozorňující
Při exportu z Power BI Desktopu do souboru PDF se ochrana pro exportovaný soubor nezachová. Doporučujeme informovat tvůrce obsahu, aby export z služba Power BI dosáhli maximální ochrany informací.
Ne všechny formáty exportu podporují ochranu informací. Nepodporované formáty, jako jsou .csv, .xml, .mhtml nebo .png soubory (dostupné při použití rozhraní API ExportToFile), můžou být v nastavení tenanta Power BI zakázané.
Tip
Doporučujeme omezit možnosti exportu jenom v případech, kdy potřebujete splnit konkrétní zákonné požadavky. V typických scénářích doporučujeme použít protokol aktivit Power BI k identifikaci uživatelů, kteří provádějí exporty. Tyto uživatele pak můžete naučit efektivnější a bezpečnější alternativy.
Kontrolní seznam – Při plánování nastavení tenanta na portálu pro správu Power BI zahrnují klíčová rozhodnutí a akce:
- Rozhodněte se, kteří uživatelé můžou používat popisky citlivosti: Diskutujte a rozhodněte se, jestli se popisky citlivosti dají přiřadit k obsahu Power BI všemi uživateli (na základě standardního zabezpečení Power BI) nebo jenom určitými skupinami uživatelů.
- Určete, jestli mají být popisky zděděné z nadřazených zdrojů dat: Diskutujte a rozhodněte se, jestli se popisky ze zdrojů dat mají automaticky použít na obsah Power BI, který používá zdroj dat.
- Určete, jestli mají být popisky zděděné podřízenými položkami: Diskutujte a rozhodněte se, jestli se mají popisky přiřazené existujícím sémantickým modelům Power BI automaticky použít na související obsah.
- Rozhodněte se, jestli můžou správci pracovního prostoru Power BI přepsat popisky: Diskutujte a rozhodněte se, jestli je vhodné, aby správci pracovního prostoru mohli měnit chráněné popisky, které byly automaticky přiřazeny.
- Určete, jestli se chráněný obsah dá sdílet s celou organizací: Prodiskutujte a rozhodněte se, jestli se dají vytvořit odkazy pro sdílení "lidí ve vaší organizaci", když je chráněný (šifrovaný) popisek přiřazen k položce v služba Power BI.
- Rozhodněte se, které formáty exportu jsou povolené: Určete zákonné požadavky, které budou mít vliv na dostupné formáty exportu. Diskutujte a rozhodněte se, jestli budou moct uživatelé používat všechny formáty exportu v služba Power BI. Určete, jestli je potřeba určité formáty zakázat v nastavení tenanta, pokud formát exportu nepodporuje ochranu informací.
Zásady klasifikace a ochrany dat
Nejprve je potřeba nastavit strukturu popisků a publikovat zásady štítků. S klasifikací a ochranoudatýchch dat je ale potřeba udělat víc, aby mohla vaše organizace úspěšně klasifikovat a chránit data. Je důležité, abyste uživatelům poskytli pokyny k tomu, co může a nejde udělat s obsahem přiřazeným k určitému popisku. To je místo, kde najdete klasifikaci dat a zásady ochrany, jsou užitečné. Můžete si ho představit jako pokyny pro popisky.
Poznámka:
Klasifikace dat a zásady ochrany jsou interními zásadami zásad správného řízení. Můžete se rozhodnout, že ho pojmenujete jinak. Záleží na tom, že je to dokumentace, kterou vytvoříte a poskytnete uživatelům, aby věděli , jak popisky efektivně používat. Vzhledem k tomu, že zásady popisků jsou konkrétní stránkou v Portál dodržování předpisů Microsoft Purview, zkuste se vyhnout volání interních zásad správného řízení stejným názvem.
Při rozhodování doporučujeme, abyste iterativním způsobem vytvořili zásady klasifikace a ochrany dat. Bude to znamenat, že všechno je jasně definované, když je čas nastavit popisky citlivosti.
Tady jsou některé klíčové informace, které můžete zahrnout do klasifikace dat a zásady ochrany.
- Popis popisku: Za názvem popisku zadejte úplný popisek. Popis by měl být ještě stručný. Tady je několik ukázkových popisů:
- Obecné interní použití – pro privátní, interní, obchodní data
- Omezeno – pro citlivá obchodní data, která by způsobila škodu, pokud by byla ohrožena nebo podléhá zákonným požadavkům nebo požadavkům na dodržování předpisů
- Příklady: Uveďte příklady, které vám pomůžou vysvětlit, kdy popisek použít. Tady je několik příkladů:
- Obecné interní použití – pro většinu interní komunikace, necitlivá data podpory, odpovědi na průzkumy, recenze, hodnocení a nepřesné údaje o poloze
- Omezeno – pro identifikovatelné osobní údaje (PII), jako jsou jméno, adresa, telefon, e-mail, číslo ID státní správy, rasa nebo etnika. Zahrnuje smlouvy dodavatelů a partnerů, neveřejná finanční data, data zaměstnanců a lidských zdrojů (HR). Zahrnuje také proprietární informace, duševní vlastnictví a přesné údaje o poloze.
- Povinný popisek: Popisuje, jestli je přiřazení popisku povinné pro veškerý nový a změněný obsah.
- Výchozí popisek: Popisuje, jestli je tento popisek výchozím popiskem, který se automaticky použije u nového obsahu.
- Omezení přístupu: Další informace, které upřesňují, jestli mají interní nebo externí uživatelé povoleno zobrazovat obsah přiřazený k tomuto popisku. Tady je několik příkladů:
- K tomuto informacím mají přístup všichni uživatelé, včetně interních uživatelů, externích uživatelů a třetích stran s aktivními smlouvami o nedostupných informacích.
- K informacím mají přístup jenom interní uživatelé. Bez ohledu na stav smlouvy NDA ani smlouvy o důvěrnosti nejsou partneři, dodavatelé, dodavatelé ani třetí strany.
- Interní přístup k informacím je založený na autorizaci role úlohy.
- Požadavky na šifrování: Popisuje, jestli se data vyžadují k šifrování neaktivních uložených dat a přenášených dat. Tyto informace budou korelovat s nastavením popisku citlivosti a ovlivní zásady ochrany, které je možné implementovat pro šifrování souborů (RMS).
- Povolené stahování nebo offline přístup: Popisuje, jestli je povolený offline přístup. Může také definovat, jestli jsou stahování povolená pro organizační nebo osobní zařízení.
- Jak požádat o výjimku: Popisuje, jestli si uživatel může vyžádat výjimku ze standardní zásady a jak to lze provést.
- Frekvence auditu: Určuje frekvenci kontrol dodržování předpisů. Popisky s vyšší citlivostí by měly zahrnovat častější a důkladnější procesy auditování.
- Další metadata: Zásady dat vyžadují další metadata, například vlastníka zásad, schvalovatele a datum účinnosti.
Tip
Při vytváření klasifikace dat a zásad ochrany se zaměřte na to, aby byl pro uživatele jednoduchým odkazem. Mělo by to být co nejkratší a co nejjasnější. Pokud je příliš složitý, uživatelé nebudou vždy potřebovat čas, aby ho pochopili.
Jedním ze způsobů, jak automatizovat implementaci zásady, jako je klasifikace dat a zásady ochrany, je s podmínkami použití microsoft Entra. Když je nastavená zásada použití, musí uživatelé zásadu potvrdit, než budou moct poprvé navštívit služba Power BI. Je také možné požádat je, aby se shodovali opakovaně, například každých 12 měsíců.
Kontrolní seznam – Při plánování interních zásad pro řízení očekávání při používání popisků citlivosti zahrnují klíčová rozhodnutí a akce:
- Vytvořte klasifikaci dat a zásady ochrany: Pro každý popisek citlivosti ve vaší struktuře vytvořte centralizovaný dokument zásad. Tento dokument by měl definovat, co může nebo nejde udělat s obsahem přiřazeným jednotlivým popiskům.
- Získejte konsensus o klasifikaci a zásadách ochrany dat: Zajistěte, aby všichni potřební lidé v týmu, který jste vytvořili, souhlasili s ustanoveními.
- Zvažte, jak zpracovávat výjimky zásad: Vysoce decentralizované organizace by měly zvážit, jestli by mohly vzniknout výjimky. I když je vhodnější mít standardizovanou klasifikaci dat a zásady ochrany, rozhodněte se, jak budete řešit výjimky při vytváření nových požadavků.
- Zvažte, kde najít interní zásady: Pomyslete si, kde by se měla publikovat klasifikace dat a zásady ochrany. Zajistěte, aby k němu všichni uživatelé měli snadný přístup. Naplánujte jeho zahrnutí na vlastní stránku nápovědy při publikování zásad popisku.
Uživatelská dokumentace a školení
Před zavedením funkcí ochrany informací doporučujeme vytvořit a publikovat dokumentaci k pokynům pro uživatele. Cílem dokumentace je dosáhnout bezproblémového uživatelského prostředí. Příprava pokynů pro vaše uživatele vám také pomůže zajistit, abyste všechno zvážili.
Pokyny můžete publikovat jako součást vlastní stránky nápovědy popisku citlivosti. Sharepointová stránka nebo wikistrána na centralizovaném portálu může dobře fungovat, protože bude snadno udržovatelná. Dobrým přístupem je také dokument nahraný do sdílené knihovny nebo webu Teams. Adresa URL vlastní stránky nápovědy se zadává v Portál dodržování předpisů Microsoft Purview při publikování zásady popisku.
Tip
Stránka vlastní nápovědy je důležitým prostředkem. Odkazy na ni jsou dostupné v různých aplikacích a službách.
Uživatelská dokumentace by měla obsahovat klasifikaci dat a zásady ochrany popsané výše. Na tuto interní zásadu cílí všichni uživatelé. Mezi zúčastněné uživatele patří tvůrci obsahu a spotřebitelé, kteří potřebují pochopit důsledky pro popisky přiřazené jinými uživateli.
Kromě zásad klasifikace a ochrany dat doporučujeme, abyste připravili pokyny pro tvůrce obsahu a vlastníky těchto informací:
- Zobrazení popisků: Informace o tom, co každý popisek znamená. Korelujte každý popisek s klasifikací dat a zásadami ochrany.
- Přiřazování popisků: Pokyny k přiřazování a správě popisků Uveďte informace, které budou potřebovat vědět, například povinné popisky, výchozí popisky a jak dědičnost popisků funguje.
- Pracovní postup: Návrhy, jak přiřadit a zkontrolovat popisky jako součást jejich normálního pracovního postupu. Popisky je možné přiřadit v Power BI Desktopu hned po zahájení vývoje, což chrání původní soubor Power BI Desktopu během procesu vývoje.
- Situační oznámení: Povědomí o systémově generovaných oznámeních, která mohou uživatelé obdržet. Například sharepointový web je přiřazen k určitému popisku citlivosti, ale jednotlivým souborům byl přiřazen citlivější (vyšší) popisek. Uživatel, který přiřadil vyšší popisek, obdrží e-mailové oznámení, že popisek přiřazený k souboru není kompatibilní s webem, na kterém je uložený.
Uveďte informace o tom, na koho by se uživatelé měli obrátit, pokud mají dotazy nebo technické problémy. Vzhledem k tomu, že ochrana informací je projektem pro celou organizaci, je podpora často poskytována IT.
Nejčastější dotazy a příklady jsou užitečné zejména pro uživatelskou dokumentaci.
Tip
Některé zákonné požadavky zahrnují konkrétní komponentu trénování.
Kontrolní seznam – Při přípravě uživatelské dokumentace a školení patří klíčová rozhodnutí a akce:
- Určete, jaké informace se mají zahrnout: Určete, jaké informace by se měly zahrnout, aby všichni relevantní cílová skupina pochopili, co se od nich očekává, pokud jde o ochranu dat jménem organizace.
- Publikování vlastní stránky nápovědy: Vytvoření a publikování vlastní stránky nápovědy Uveďte pokyny k označování ve formě nejčastějších dotazů a příkladů. Připojte odkaz pro přístup ke klasifikaci dat a zásadám ochrany.
- Publikujte klasifikaci dat a zásadu ochrany: Publikujte dokument zásad, který definuje, co přesně může nebo nejde udělat s obsahem přiřazeným každému popisku.
- Určete, jestli je potřeba konkrétní školení: Vytvořte nebo aktualizujte školení uživatelů tak, aby obsahovalo užitečné informace, zejména pokud existuje zákonný požadavek.
Podpora uživatelů
Je důležité ověřit, kdo bude zodpovědný za uživatelskou podporu. Popisky citlivosti jsou běžně podporované centralizovaným oddělením technické podpory IT.
Možná budete muset vytvořit pokyny pro helpdesk (někdy označovaný jako runbook). Možná budete také muset provést relace přenosu znalostí, abyste zajistili, že helpdesk bude připravený reagovat na žádosti o podporu.
Kontrolní seznam – Při přípravě na funkci podpory uživatelů zahrnují klíčová rozhodnutí a akce:
- Určete, kdo bude poskytovat uživatelskou podporu: Při definování rolí a zodpovědností nezapomeňte uvést, jak uživatelé získají pomoc s problémy souvisejícími s ochranou informací.
- Ujistěte se, že je tým podpory uživatelů připravený: Vytvořte dokumentaci a proveďte relace přenosu znalostí, abyste měli jistotu, že je helpdesk připravený na podporu ochrany informací. Zvýrazněte složité aspekty, které můžou uživatele zmást, například ochranu šifrování.
- Komunikace mezi týmy: Prodiskutujte proces a očekávání s týmem podpory a také správci Power BI a center of Excellence. Ujistěte se, že jsou všichni zapojení připraveni na potenciální dotazy od uživatelů Power BI.
Souhrn implementace
Po provedení rozhodnutí a splnění požadavků je čas začít implementovat ochranu informací podle plánu postupného zavedení.
Následující kontrolní seznam obsahuje souhrnný seznam kompletních kroků implementace. Mnoho kroků obsahuje další podrobnosti, které byly popsány v předchozích částech tohoto článku.
Kontrolní seznam – Při implementaci ochrany informací patří klíčová rozhodnutí a akce:
- Ověřte aktuální stav a cíle: Ujistěte se, že máte přehled o aktuálním stavu ochrany informací v organizaci. Všechny cíle a požadavky na implementaci ochrany informací by měly být jasné a aktivně využívány k řízení rozhodovacího procesu.
- Rozhodování: Zkontrolujte a proberte všechna potřebná rozhodnutí. K této úloze by mělo dojít před nastavením čehokoli v produkčním prostředí.
- Zkontrolujte licenční požadavky: Ujistěte se, že rozumíte licenčním požadavkům na produkty a licencování uživatelů. V případě potřeby si opatřte a přiřaďte další licence.
- Publikovat uživatelskou dokumentaci: Publikujte klasifikaci dat a zásady ochrany. Vytvořte vlastní stránku nápovědy, která obsahuje relevantní informace, které budou uživatelé potřebovat.
- Připravte tým podpory: Proveďte relace přenosu znalostí, abyste zajistili, že tým podpory je připravený na zpracování otázek od uživatelů.
- Vytvořte popisky citlivosti: Nastavte všechny popisky citlivosti v Portál dodržování předpisů Microsoft Purview.
- Publikování zásad popisku citlivosti: Vytvoření a publikování zásad popisku v Portál dodržování předpisů Microsoft Purview Začněte testováním s malou skupinou uživatelů.
- Nastavte nastavení tenanta Power BI: Na portálu pro správu Power BI nastavte nastavení tenanta ochrany informací.
- Provedení počátečního testování: Provedením počáteční sady testů ověřte, že všechno funguje správně. Pokud je k dispozici, použijte neprodukčního tenanta pro počáteční testování.
- Shromážděte zpětnou vazbu uživatelů: Publikujte zásady popisku na malou podmnožinu uživatelů, kteří jsou ochotni funkci otestovat. Získejte zpětnou vazbu k procesu a uživatelskému prostředí.
- Pokračovat v iterativních verzích: Publikujte zásadu popisku pro ostatní skupiny uživatelů. Připojte více skupin uživatelů, dokud nebude zahrnuta celá organizace.
Tip
Tyto položky kontrolního seznamu jsou shrnuty pro účely plánování. Další podrobnosti o těchto položkách kontrolního seznamu najdete v předchozích částech tohoto článku.
Průběžné monitorování
Po dokončení implementace byste měli nasměrovat pozornost na monitorování a ladění popisků citlivosti.
Správci Power BI a správci zabezpečení a dodržování předpisů budou muset čas od času spolupracovat. U obsahu Power BI existují dvě cílové skupiny, které se zabývají monitorováním.
- Správci Power BI: Záznam v protokolu aktivit Power BI se zaznamená při každém přiřazení nebo změně popisku citlivosti. Položka protokolu aktivit zaznamenává podrobnosti o události, včetně uživatele, data a času, názvu položky, pracovního prostoru a kapacity. Jiné události protokolu aktivit (například při zobrazení sestavy) budou obsahovat ID popisku citlivosti, které je přiřazené k položce.
- Správci zabezpečení a dodržování předpisů: Správci zabezpečení a dodržování předpisů organizace obvykle používají sestavy, výstrahy a protokoly auditu Microsoft Purview.
Kontrolní seznam – Při monitorování ochrany informací patří klíčová rozhodnutí a akce:
- Ověření rolí a zodpovědností: Ujistěte se, že máte jasné, kdo je zodpovědný za jaké akce. Informujte a komunikujte se správci Power BI nebo správci zabezpečení, pokud budou přímo zodpovědní za některé aspekty.
- Vytvoření nebo ověření procesu kontroly aktivity: Ujistěte se, že správci zabezpečení a dodržování předpisů mají jasná očekávání při pravidelné kontrole Průzkumníka aktivit.
Tip
Další informace o auditování najdete v tématu Auditování ochrany informací a ochrany před únikem informací pro Power BI.
Související obsah
V dalším článku této série se dozvíte o ochraně před únikem informací pro Power BI.