Planlægning af Power BI-implementering: Defender for Cloud Apps til Power BI

Bemærk

Denne artikel er en del af power BI-implementeringsplanlægningsserierne. I denne serie fokuseres der primært på Power BI-oplevelsen i Microsoft Fabric. Du kan få en introduktion til serien under Planlægning af implementering af Power BI.

I denne artikel beskrives de planlægningsaktiviteter, der er relateret til implementering af Defender for Cloud Apps, i forhold til overvågning af Power BI. Den er målrettet til:

• Power BI-administratorer: De administratorer, der er ansvarlige for at styre Power BI i organisationen. Power BI-administratorer skal samarbejde med informationssikkerhed og andre relevante teams.
• Center of Excellence, IT og BI-teams: Andre, der er ansvarlige for at lede Power BI i organisationen. De skal muligvis samarbejde med Power BI-administratorer, informationssikkerhedsteams og andre relevante teams.

Vigtigt

Overvågning og forebyggelse af datatab (DLP) er en vigtig virksomhed for hele organisationen. Dens omfang og virkning er langt større end Power BI alene. Disse typer initiativer kræver finansiering, prioritering og planlægning. Forvent at involvere flere tværfunktionelle teams i planlægnings-, brugs- og tilsynsindsatsen.

Vi anbefaler, at du følger en gradvis og trinvis tilgang til udrulning af Defender for Cloud Apps til overvågning af Power BI. Du kan se en beskrivelse af de typer udrulningsfaser, du skal overveje, under Information Protection for Power BI (Udrulningsfaser)....

Formålet med overvågningen

Microsoft Defender for Cloud Apps (tidligere kendt som Microsoft Cloud App Security) er en CASB (Cloud Access Security Broker), der understøtter forskellige udrulningstilstande. Den har et bredt sæt funktioner, der strækker sig langt ud over denne artikels anvendelsesområde. Nogle funktioner er i realtid, mens andre ikke er i realtid.

Her er nogle eksempler på overvågning i realtid, som du kan implementere.

• Bloker downloads fra Power BI-tjenesten: Du kan oprette en sessionspolitik for at blokere visse typer brugeraktiviteter. Når en bruger f.eks. forsøger at downloade en rapport fra Power BI-tjeneste, der er blevet tildelt en meget begrænset følsomhedsmærkat, kan downloadhandlingen blokeres i realtid.
• Bloker adgang til Power BI-tjenesten af en ikke-administreret enhed: Du kan oprette en adgangspolitik for at forhindre brugerne i at få adgang til visse programmer, medmindre de bruger en administreret enhed. Når en bruger f.eks. forsøger at få adgang til Power BI-tjeneste fra sin personlige mobiltelefon, kan handlingen blokeres.

Her er nogle eksempler på andre funktioner, der ikke er i realtid.

• Registrer og giv besked om visse aktiviteter i Power BI-tjenesten: Du kan oprette en aktivitetspolitik til at generere en besked, når der forekommer visse typer aktiviteter. Når der f.eks. forekommer en administrativ aktivitet i Power BI-tjeneste (hvilket angiver, at en lejerindstilling er blevet ændret), kan du modtage en mailbesked.
• Overvåg avancerede sikkerhedsaktiviteter: Du kan få vist og overvåge logon- og sikkerhedsaktiviteter, uregelmæssigheder og overtrædelser. Beskeder kan udløses i situationer som mistænkelig aktivitet, uventede placeringer eller en ny placering.
• Overvåg brugeraktiviteter: Du kan få vist og overvåge brugeraktiviteter. En Power BI-administrator kan f.eks. tildeles tilladelse til at få vist Power BI-aktivitetsloggen ud over brugerlogføring i Defender for Cloud Apps.
• Registrer og giv besked om usædvanlig funktionsmåde i Power BI-tjenesten: Der er indbyggede politikker for registrering af uregelmæssigheder. Når en bruger f.eks. downloader eller eksporterer indhold fra Power BI-tjeneste betydeligt oftere end normale mønstre, kan du modtage en mailbesked.
• Find ikke-sanktionerede programmer: Du kan finde ikke-sanktionerede programmer, der er i brug i organisationen. Du kan f.eks. blive bekymret for brugere, der deler filer (f.eks. Power BI Desktop-filer eller Excel-filer) på et fildelingssystem fra tredjepart. Du kan blokere brugen af et ikke-godkendt program og derefter kontakte brugerne for at få dem til at lære, hvordan de kan dele og samarbejde med andre.

Tip

Portalen i Defender for Cloud Apps er et praktisk sted at få vist aktiviteter og beskeder uden at oprette et script til at udtrække og downloade dataene. Denne fordel omfatter visning af data fra Power BI-aktivitetsloggen.

Power BI er et af mange programmer og tjenester, der kan integreres med Defender for Cloud Apps. Hvis du allerede bruger Defender for Cloud Apps til andre formål, kan det også bruges til at overvåge Power BI.

Politikker, der er oprettet i Defender for Cloud Apps, er en form for DLP. Artiklen Forebyggelse af datatab i Power BI dækker DLP-politikker for Power BI, der er konfigureret i Microsoft Purview-compliance-portal. Vi anbefaler, at du bruger DLP-politikker til Power BI med de funktioner, der er beskrevet i denne artikel. Selvom der er nogle overlapninger konceptuelt, er funktionerne forskellige.

Advarsel

I denne artikel fokuseres der på funktioner i Microsoft Defender for Cloud Apps , der kan bruges til at overvåge og beskytte Power BI-indhold. Der er mange andre funktioner i Defender for Cloud Apps, der ikke er omfattet af denne artikel. Sørg for at samarbejde med andre interessenter og systemadministratorer om at træffe beslutninger, der fungerer godt for alle programmer og use cases.

Forudsætninger for Defender for Cloud Apps for Power BI

På nuværende tidspunkt skulle du have fuldført de planlægningstrin på organisationsniveau, der blev beskrevet i artiklen Forebyggelse af datatab for Power BI . Før du fortsætter, skal du have klarhed over:

• Aktuel tilstand: Den aktuelle tilstand af DLP i din organisation. Du skal have en forståelse af, i hvilket omfang DLP allerede er i brug, og hvem der er ansvarlig for at administrere den.
• mål og krav: De strategiske mål til implementering af DLP i din organisation. At forstå målene og kravene fungerer som en vejledning til din implementeringsindsats.

Som regel er beskyttelse af oplysninger allerede implementeret, før DLP implementeres. Hvis følsomhedsmærkater publiceres (beskrevet i artiklen Information protection for Power BI ), kan de bruges i visse politikker i Defender for Cloud Apps.

Du har måske allerede implementeret DLP til Power BI (beskrevet i artiklen Forebyggelse af datatab for Power BI ). Disse DLP-funktioner er forskellige fra de funktioner, der administreres i Microsoft Purview-compliance-portal. Alle DLP-funktioner, der er beskrevet i denne artikel, administreres på Defender for Cloud Apps-portalen.

Vigtige beslutninger og handlinger

Du skal træffe nogle vigtige beslutninger, før du er klar til at konfigurere politikker i Defender for Cloud Apps.

De beslutninger, der er relateret til Defender for Cloud Apps-politikker, bør direkte understøtte målene og kravene til beskyttelse af de data, du tidligere har identificeret.

Politiktype og -aktiviteter

Du skal overveje, hvilke brugeraktiviteter du er interesseret i at overvåge, blokere eller styre. Politiktypen i Defender for Cloud Apps påvirker:

• Det, du kan opnå.
• Hvilke aktiviteter kan inkluderes i konfigurationen.
• Angiver, om kontrolelementerne vil forekomme i realtid eller ej.

Politikker i realtid

Adgangspolitikker og sessionspolitikker, der er oprettet i Defender for Cloud Apps, giver dig mulighed for at overvåge, blokere eller styre brugersessioner i realtid.

Adgangspolitikker og sessionspolitikker giver dig mulighed for at:

• reagerer programmatisk i realtid: Registrer, informér og bloker risikofulde, utilsigtede eller upassende deling af følsomme data. Disse handlinger giver dig mulighed for at:
  • Gør den overordnede sikkerhedskonfiguration af din Power BI-lejer bedre med automatisering og oplysninger.
  • Aktivér analytiske use cases, der involverer følsomme data, på en måde, der kan overvåges.
• Giv brugerne kontekstafhængige meddelelser: Denne funktion giver dig mulighed for at:
  • Hjælp brugerne med at træffe de rigtige beslutninger under deres normale arbejdsproces.
  • Guide brugerne til at følge din politik for dataklassificering og beskyttelse uden at påvirke deres produktivitet.

Hvis du vil angive kontrolelementer i realtid, skal adgangspolitikker og sessionspolitikker arbejde sammen med Microsoft Entra ID og være afhængige af de omvendte proxyfunktioner i appen Betinget adgang. I stedet for brugeranmodninger og svar, der går gennem appen (Power BI-tjeneste i dette tilfælde), gennemgår de en omvendt proxy (Defender for Cloud Apps).

Omdirigering påvirker ikke brugeroplevelsen. URL-adressen til Power BI-tjenestehttps://app.powerbi.com.mcas.msnår du har konfigureret Microsoft Entra ID for appkontrol med betinget adgang med Power BI. Brugerne modtager også en meddelelse, når de logger på Power BI-tjeneste, der meddeler, at appen overvåges af Defender for Cloud Apps.

Vigtigt

Adgangspolitikker og sessionspolitikker fungerer i realtid. Andre politiktyper i Defender for Cloud Apps medfører en kort forsinkelse i beskederne. De fleste andre typer DLP og overvågning oplever også ventetid, herunder DLP til Power BI og Power BI-aktivitetsloggen.

Adgangspolitikker

En adgangspolitik, der er oprettet i Defender for Cloud Apps, styrer, om en bruger har tilladelse til at logge på et cloudprogram som Power BI-tjeneste. Organisationer, der befinder sig i stærkt regulerede brancher, beskæftiger sig med adgangspolitikker.

Her er nogle eksempler på, hvordan du kan bruge adgangspolitikker til at blokere adgang til Power BI-tjeneste.

• Uventet bruger: Du kan blokere adgangen for en bruger, der ikke er medlem af en bestemt sikkerhedsgruppe. Denne politik kan f.eks. være nyttig, når du har en vigtig intern proces, der sporer godkendte Power BI-brugere via en bestemt gruppe.
• ikke-administreret enhed: Du kan blokere adgang for en personlig enhed, der ikke administreres af organisationen.
• nødvendige opdateringer: Du kan blokere adgangen for en bruger, der bruger en forældet browser eller et forældet operativsystem.
• Placering: Du kan blokere adgangen for en placering, hvor du ikke har kontorer eller brugere, eller fra en ukendt IP-adresse.

Tip

Hvis du har eksterne brugere, der har adgang til din Power BI-lejer eller medarbejdere, der rejser ofte, kan det påvirke, hvordan du definerer politikker for adgangskontrol. Disse typer politikker administreres normalt af it-tjenesten.

Sessionspolitikker

En sessionspolitik er nyttig, når du ikke vil tillade eller blokere adgang helt (hvilket kan gøres med en adgangspolitik som beskrevet tidligere). Det giver specifikt adgang for brugeren under overvågning eller begrænsning af, hvad der aktivt sker i løbet af deres session.

Her er nogle eksempler på, hvordan du kan bruge sessionspolitikker til at overvåge, blokere eller styre brugersessioner i Power BI-tjeneste.

• Bloker downloads: Bloker downloads og eksporter, når der tildeles en bestemt følsomhedsmærkat, f.eks. yderst begrænsede, til elementet i Power BI-tjenesten.
• Overvåg logon: Overvåg, når en bruger, der opfylder visse betingelser, logger på. Brugeren kan f.eks. være medlem af en bestemt sikkerhedsgruppe, eller vedkommende bruger en personlig enhed, der ikke administreres af organisationen.

Tip

Oprettelse af en sessionspolitik (f.eks. for at forhindre downloads) for indhold, der er tildelt til en bestemt følsomhedsmærkat, f.eks . Meget begrænset, er en af de mest effektive anvendelsesekseler for sessionskontrolobjekter i realtid med Power BI.

Det er også muligt at styre filoverførsler med sessionspolitikker. Du vil dog typisk opfordre selvbetjente BI-brugere til at uploade indhold til Power BI-tjeneste (i stedet for at dele Power BI Desktop-filer). Derfor skal du overveje at blokere filoverførsler.

Tjekliste – Når du planlægger dine politikker i realtid i Defender for Cloud Apps, omfatter vigtige beslutninger og handlinger:

• Identificer use cases til at blokere adgang: Kompiler en liste over scenarier, når du blokerer adgangen til Power BI-tjenesten, er relevant.
• Identificer use cases til at overvåge logons: Kompiler en liste over scenarier, hvor det er relevant at overvåge logon til Power BI-tjenesten.
• Identificer use cases til at blokere downloads: Find ud af, hvornår downloads fra Power BI-tjenesten skal blokeres. Find ud af, hvilke følsomhedsmærkater der skal medtages.

Aktivitetspolitikker

Aktivitetspolitikker i Defender for Cloud Apps fungerer ikke i realtid.

Du kan konfigurere en aktivitetspolitik for at kontrollere hændelser, der er registreret i Power BI-aktivitetsloggen. Politikken kan fungere på en enkelt aktivitet, eller den kan reagere på gentagne aktiviteter af en enkelt bruger (når en bestemt aktivitet forekommer mere end et angivet antal gange inden for et angivet antal minutter).

Du kan bruge aktivitetspolitikker til at overvåge aktivitet i Power BI-tjeneste på forskellige måder. Her er nogle eksempler på, hvad du kan opnå.

• Uautoriseret eller uventet bruger får vist privilegeret indhold: En bruger, der ikke er medlem af en bestemt sikkerhedsgruppe (eller en ekstern bruger), har fået vist en meget privilegeret rapport, der er givet til bestyrelsen.
• Uautoriseret eller uventet bruger opdaterer lejerindstillinger: En bruger, der ikke er medlem af en bestemt sikkerhedsgruppe, f.eks. Power BI-administratorer gruppe, har opdateret lejerindstillingerne i Power BI-tjenesten. Du kan også vælge at få besked, når en lejerindstilling opdateres.
• Stort antal sletninger: En bruger har slettet mere end 20 arbejdsområder eller rapporter i en tidsperiode, der er mindre end 10 minutter.
• Et stort antal downloads: En bruger har downloadet mere end 30 rapporter i en tidsperiode, der er mindre end fem minutter.

De typer aktivitetspolitikbeskeder, der er beskrevet i dette afsnit, håndteres ofte af Power BI-administratorer som en del af deres tilsyn med Power BI. Når du konfigurerer beskeder i Defender for Cloud Apps, anbefaler vi, at du fokuserer på situationer, der udgør en betydelig risiko for organisationen. Det skyldes, at hver besked skal gennemses og lukkes af en administrator.

Advarsel!

Da hændelser i Power BI-aktivitetsloggen ikke er tilgængelige i realtid, kan de ikke bruges til overvågning eller blokering i realtid. Du kan dog bruge handlinger fra aktivitetsloggen i aktivitetspolitikker. Sørg for at samarbejde med dit informationssikkerhedsteam for at kontrollere, hvad der er teknisk muligt, før du kommer for langt ind i planlægningsprocessen.

Tjekliste – Når du planlægger dine aktivitetspolitikker, omfatter vigtige beslutninger og handlinger:

• Identificer use cases til aktivitetsovervågning: Kompiler en liste over specifikke aktiviteter fra Power BI-aktivitetsloggen, der udgør en betydelig risiko for organisationen. Bestem, om risikoen er relateret til en enkelt aktivitet eller gentagne aktiviteter.
• Koordinat indsats med Power BI-administratorer: Diskuter de Power BI-aktiviteter, der overvåges i Defender for Cloud Apps. Sørg for, at der ikke er en duplikering af indsatsen mellem forskellige administratorer.

Brugere, der er påvirket

En af de overbevisende grunde til at integrere Power BI med Defender for Cloud Apps er at drage fordel af kontrolelementer i realtid, når brugerne interagerer med Power BI-tjeneste. Denne type integration kræver appkontrol med betinget adgang i Microsoft Entra ID.

Før du konfigurerer kontrolelementet for appen betinget adgang i Microsoft Entra-id, skal du overveje, hvilke brugere der medtages. Normalt er alle brugere inkluderet. Der kan dog være grunde til at udelukke bestemte brugere.

Tip

Når du konfigurerer politikken for betinget adgang, er det sandsynligt, at din Microsoft Entra-administrator ekskluderer bestemte administratorkonti. Denne fremgangsmåde forhindrer, at administratorer låses ude. Vi anbefaler, at de udeladte konti er Microsoft Entra-administratorer i stedet for Power BI-standardbrugere.

Visse typer politikker i Defender for Cloud Apps kan gælde for visse brugere og grupper. Disse typer politikker gælder oftest for alle brugere. Det er dog muligt, at du oplever en situation, hvor du skal udelukke bestemte brugere med vilje.

Tjekliste – Når du overvejer, hvilke brugere der påvirkes, omfatter vigtige beslutninger og handlinger:

• Overvej, hvilke brugere der er inkluderet: Bekræft, om alle brugere skal medtages i din microsoft Entra-politik for kontrol af betinget adgang.
• Identificer, hvilke administratorkonti der skal udelades: Find ud af, hvilke specifikke administratorkonti der skal udelukkes målrettet fra microsoft Entra-politikken for kontrol af appen Betinget adgang.
• Find ud af, om visse Defender-politikker gælder for undersæt af brugere,: Overvej, om de skal gælde for alle eller nogle brugere (når det er muligt) for gyldige use cases.

Brugerbeskeder

Når du har identificeret use cases, skal du overveje, hvad der skal ske, når der er brugeraktivitet, der stemmer overens med politikken.

Når en aktivitet blokeres i realtid, er det vigtigt at give brugeren en tilpasset meddelelse. Meddelelsen er nyttig, når du vil give dine brugere mere vejledning og opmærksomhed under deres normale arbejdsproces. Det er mere sandsynligt, at brugerne læser og absorberer brugermeddelelser, når de er:

• Specifik: Hvis du korrelerer meddelelsen med politikken, er det nemt at forstå.
• Handlingsrettet: Tilbyder et forslag til, hvad de skal gøre, eller hvordan du finder flere oplysninger.

Nogle typer politikker i Defender for Cloud Apps kan have en tilpasset meddelelse. Her er to eksempler på brugermeddelelser.

eksempel 1: Du kan definere en sessionskontrolpolitik i realtid, der forhindrer alle eksporter og downloads, når følsomhedsmærkaten for Power BI-elementet (f.eks. en rapport eller semantisk model) er indstillet til Yderst begrænsede. Den tilpassede blokmeddelelse i Defender for Cloud Apps læser: Filer med mærkaten Yderst begrænset må ikke downloades fra Power BI-tjeneste. Se indholdet online i Power BI-tjeneste. Kontakt Power BI-supportteamet, hvis du har spørgsmål.

eksempel 2: Du kan definere en adgangspolitik i realtid, der forhindrer en bruger i at logge på Power BI-tjenesten, når vedkommende ikke bruger en computer, der administreres af organisationen. Den tilpassede blokeringsmeddelelse i Defender for Cloud Apps læses: Der er muligvis ikke adgang til Power BI-tjeneste på en personlig enhed. Brug den enhed, der leveres af organisationen. Kontakt Power BI-supportteamet, hvis du har spørgsmål.

Tjekliste – Når du overvejer brugermeddelelser i Defender for Cloud Apps, omfatter vigtige beslutninger og handlinger:

• Beslut, hvornår der skal bruges en brugerdefineret blokeringsmeddelelse: For hver politik, du vil oprette, skal du afgøre, om der kræves en brugerdefineret blokmeddelelse.
• Opret brugerdefinerede blokeringsmeddelelser: Definer, hvilken meddelelse der skal vises til brugerne for hver politik. Planlæg at relatere hver meddelelse til politikken, så den er specifik og handlingsvenlig.

Administratorbeskeder

Besked er nyttig, når du vil gøre administratorer af sikkerhed og overholdelse af angivne standarder opmærksomme på, at der er opstået en politikovertrædelse. Når du definerer politikker i Defender for Cloud Apps, skal du overveje, om der skal genereres beskeder. Du kan få flere oplysninger under Beskedtyper i Defender for Cloud Apps.

Du kan eventuelt konfigurere en besked for at sende en mail til flere administratorer. Når der kræves en mailbesked, anbefaler vi, at du bruger en mailaktiveret sikkerhedsgruppe. Du kan f.eks. bruge en gruppe med navnet Security and Compliance Admin Alerting.

I situationer med høj prioritet er det muligt at sende beskeder via sms. Det er også muligt at oprette automatisering af brugerdefinerede beskeder og arbejdsprocesser ved at integrere med Power Automate.

Du kan konfigurere hver besked med lav, mellem eller høj alvorsgrad. Alvorsgradsniveauet er nyttigt, når du prioriterer gennemgangen af åbne beskeder. En administrator skal gennemse og udføre hver besked. En besked kan lukkes som sand positiv, falsk positiv eller godartet.

Her er to eksempler på administratorbeskeder.

eksempel 1: Du kan definere en sessionskontrolpolitik i realtid, der forhindrer alle eksporter og downloads, når følsomhedsmærkaten for Power BI-elementet (f.eks. en rapport eller semantisk model) er indstillet til Yderst begrænsede. Den har en nyttig brugerdefineret blokmeddelelse for brugeren. I denne situation er der dog ikke behov for at generere en besked.

eksempel 2: Du kan definere en aktivitetspolitik, der sporer, om en ekstern bruger har fået vist en meget privilegeret rapport, der er givet til bestyrelsen. Der kan oprettes en advarsel med høj alvorsgrad for at sikre, at aktiviteten straks undersøges.

Tip

Eksempel 2 fremhæver forskellene mellem beskyttelse af oplysninger og sikkerhed. Dens aktivitetspolitik kan hjælpe med at identificere scenarier, hvor selvbetjente BI-brugere har tilladelse til at administrere sikkerhed for indhold. Disse brugere kan dog foretage handlinger, der afskrækkes af organisationens politik. Vi anbefaler, at du kun konfigurerer disse typer politikker under bestemte omstændigheder, når oplysningerne er særligt følsomme.

Tjekliste – Når administratorer i Defender for Cloud Apps skal have besked, omfatter vigtige beslutninger og handlinger:

• Beslut, hvornår der kræves beskeder: For hver politik, du vil oprette, skal du beslutte, hvilke situationer der berettiger til brug af beskeder.
• Tydeliggør roller og ansvarsområder: Bestem forventninger og den handling, der skal udføres, når der genereres en besked.
• Find ud af, hvem der skal modtage beskeder: Beslut, hvilke sikkerheds- og overholdelsesadministratorer der skal gennemse, og beslut, hvilke beskeder der skal åbnes. Bekræft, at tilladelser og licenskrav er opfyldt for hver administrator, der skal bruge Defender for Cloud Apps.
• Opret en ny gruppe: Opret en ny mailaktiveret sikkerhedsgruppe, der skal bruges til mailmeddelelser.

Navngivningskonvention for politik

Før du opretter politikker i Defender for Cloud Apps, er det en god idé først at oprette en navngivningskonvention. En navngivningskonvention er nyttig, når der er mange typer politikker for mange typer programmer. Det er også nyttigt, når Power BI-administratorer bliver involveret i overvågning.

Tip

Overvej at give Defender for Cloud Apps adgang til dine Power BI-administratorer. Brug administratorrollen, som gør det muligt at få vist aktivitetsloggen, logonhændelser og hændelser, der er relateret til Power BI-tjeneste.

Overvej en skabelon til navngivningskonvention, der indeholder komponentpladsholdere: <Program> - <Beskrivelse> - <Handling> - <Politiktype>

Her er nogle eksempler på navngivningskonventioner.

Politiktype	Realtid	Politiknavn
Sessionspolitik	Ja	Power BI – Meget begrænset mærkat – Bloker downloads – RT
Adgangspolitik	Ja	Alle – Ikke-administreret enhed – Bloker adgang – RT
Aktivitetspolitik	Nr.	Power BI – Administrativ aktivitet
Aktivitetspolitik	Nr.	Power BI – rapport over eksterne brugervisninger

Komponenterne i navngivningskonventionen omfatter:

• Program: Programnavnet. Power BI-præfikset hjælper med at gruppere alle Power BI-specifikke politikker sammen, når de sorteres. Nogle politikker gælder dog for alle cloudapps i stedet for blot Power BI-tjeneste.
• Beskrivelse: Beskrivelsesdelen af navnet varierer mest. Det kan omfatte følsomhedsmærkater, der påvirkes, eller den type aktivitet, der spores.
• Handling: (Valgfrit) I eksemplerne har én sessionspolitik en handling på Bloker downloads. Normalt er en handling kun nødvendig, når det er en politik i realtid.
• Politiktype: (Valgfrit) I eksemplet angiver det RT-suffiks, at det er en politik i realtid. Angivelse af, om det er realtid eller ej, hjælper med at administrere forventninger.

Der er andre attributter, der ikke behøver at være inkluderet i politiknavnet. Disse attributter omfatter alvorsgradsniveauet (lav, mellem eller høj) og kategorien (f.eks. trusselsregistrering eller DLP). Begge attributter kan filtreres på siden med beskeder.

Tip

Du kan omdøbe en politik i Defender for Cloud Apps. Det er dog ikke muligt at omdøbe de indbyggede politikker for registrering af uregelmæssigheder. Deling af mistænkelig Power BI-rapport er f.eks. en indbygget politik, der ikke kan omdøbes.

Tjekliste – Når du overvejer navngivningskonventionen for politik, omfatter vigtige beslutninger og handlinger:

• Vælg en navngivningskonvention: Brug dine første politikker til at oprette en ensartet navngivningskonvention, der er ligetil at fortolke. Fokuser på at bruge et konsistent præfiks og suffiks.
• Dokumentér navngivningskonventionen: Angiv referencedokumentation om navngivningskonventionen for politik. Sørg for, at systemadministratorerne er opmærksomme på navngivningskonventionen.
• Opdater eksisterende politikker: Opdater alle eksisterende Defender-politikker for at overholde den nye navngivningskonvention.

Licenskrav

Der skal være specifikke licenser på plads for at overvåge en Power BI-lejer. Administratorer skal have en af følgende licenser.

• Microsoft Defender for Cloud Apps: Leverer defender for Cloud Apps-funktioner til alle understøttede programmer (herunder Power BI-tjenesten).
• Office 365 Cloud App Security: Indeholder funktioner til Defender for Cloud Apps til Office 365-apps, der er en del af Office 365 E5-pakken (herunder Power BI-tjenesten).

Hvis brugerne skal bruge adgangspolitikker i realtid eller sessionspolitikker i Defender for Cloud Apps, skal de også bruge en Microsoft Entra ID P1-licens.

Tip

Hvis du har brug for oplysninger om licenskrav, skal du tale med dit Microsoft-kontoteam.

Tjekliste – Når du evaluerer licenskrav, omfatter vigtige beslutninger og handlinger:

• Gennemse krav til produktlicenser: Sørg for, at du har gennemset alle licenskravene for at arbejde med Defender for Cloud Apps.
• Få flere licenser: Hvis det er relevant, skal du købe flere licenser for at låse op for den funktionalitet, du vil bruge.
• Tildel licenser: Tildel en licens til hver af dine sikkerheds- og overholdelsesadministratorer, der skal bruge Defender for Cloud Apps.

Brugerdokumentation og oplæring

Før du udruller Defender for Cloud Apps, anbefaler vi, at du opretter og udgiver brugerdokumentation. En SharePoint-side eller en wikiside på din centraliserede portal kan fungere godt, fordi det er nemt at vedligeholde. Et dokument, der er uploadet til et delt bibliotek eller et Teams-websted, er også en god løsning.

Formålet med dokumentationen er at opnå en problemfri brugeroplevelse. Forberedelse af brugerdokumentation hjælper dig også med at sikre, at du har overvejet alt.

Medtag oplysninger om, hvem der skal kontaktes, når brugerne har spørgsmål eller tekniske problemer.

Ofte stillede spørgsmål og eksempler er især nyttige i brugerdokumentationen.

Tjekliste – Når du forbereder brugerdokumentation og -oplæring, omfatter vigtige beslutninger og handlinger:

• opdateringsdokumentation for indholdsforfattere og forbrugere: Opdater ofte stillede spørgsmål og eksempler, så de indeholder relevante oplysninger om politikker, som brugerne kan støde på.
• Publicer, hvordan du får hjælp: Sørg for, at dine brugere ved, hvordan de får hjælp, når de oplever noget uventet, eller som de ikke forstår.
• Find ud af, om der er behov for specifik oplæring: Opret eller opdater din brugeruddannelse, så den indeholder nyttige oplysninger, især hvis der er et lovmæssigt krav om at gøre det.

Brugersupport

Det er vigtigt at bekræfte, hvem der er ansvarlig for brugersupport. Det er almindeligt, at brug af Defender for Cloud Apps til at overvåge Power BI udføres af en centraliseret it-helpdesk.

Du skal muligvis oprette dokumentation til helpdesk og udføre nogle videnoverførselssessioner for at sikre, at helpdesk er klar til at besvare supportanmodninger.

Tjekliste – Når du forbereder dig på brugersupportfunktionen, omfatter vigtige beslutninger og handlinger:

• Identificer, hvem der skal yde brugersupport: Når du definerer roller og ansvarsområder, skal du sørge for at tage højde for, hvordan brugerne får hjælp til problemer, som de kan støde på.
• Sørg for, at brugersupportteamet er klar: Opret dokumentation, og udfør vidensoverførselssessioner for at sikre, at helpdesk er klar til at understøtte disse processer.
• Kommuniker mellem teams: Diskuter meddelelser, som brugerne kan se, og processen til løsning af åbne beskeder med dine Power BI-administratorer og Center of Excellence. Sørg for, at alle involverede er forberedt på potentielle spørgsmål fra Power BI-brugere.

Oversigt over implementering

Når beslutningerne er truffet, og der er udarbejdet en udrulningsplan, er det tid til at starte implementeringen.

Hvis du vil bruge politikker i realtid (sessionspolitikker eller adgangspolitikker), er din første opgave at konfigurere kontrolelementet Microsoft Entra-app til betinget adgang. Du skal konfigurere Power BI-tjeneste som en katalogapp, der styres af Defender for Cloud Apps.

Når kontrolelementet Til betinget adgang til Microsoft Entra konfigureres og testes, kan du derefter oprette politikker i Defender for Cloud Apps.

Vigtigt

Vi anbefaler, at du introducerer denne funktionalitet til et lille antal testbrugere først. Der er også en tilstand kun for overvågning, som du kan finde nyttig til at introducere denne funktionalitet på en ordnet måde.

Følgende tjekliste indeholder en opsummeret liste over implementeringstrinnene fra ende til anden. Mange af trinnene indeholder andre oplysninger, der blev beskrevet i tidligere afsnit i denne artikel.

Tjekliste – Når du implementerer Defender for Cloud Apps med Power BI, omfatter vigtige beslutninger og handlinger:

• Kontrollér den aktuelle tilstand og de aktuelle mål: Kontrollér, at du har klarhed over den aktuelle tilstand for DLP til brug sammen med Power BI. Alle mål og krav til implementering af DLP skal være tydelige og aktivt bruges til at drive beslutningsprocessen.
• Udfør beslutningsprocessen: Gennemse og diskuter alle de nødvendige beslutninger. Denne opgave skal udføres, før du konfigurerer noget i produktionen.
• Gennemse licenskrav: Sørg for, at du forstår kravene til produktlicenser og brugerlicenser. Hvis det er nødvendigt, skal du anskaffe og tildele flere licenser.
• Publicer brugerdokumentation: Publicer oplysninger, som brugerne skal bruge til at besvare spørgsmål og klargøre forventninger. Giv dine brugere vejledning, kommunikation og oplæring, så de er forberedt.
• Opret en Microsoft Entra-politik for betinget adgang: Opret en politik for betinget adgang i Microsoft Entra ID for at aktivere kontrolelementer i realtid til overvågning af Power BI-tjenesten. Først skal du aktivere Microsoft Entra-politikken for betinget adgang for nogle få testbrugere.
• Angiv Power BI som en tilsluttet app i Defender for Cloud Apps: Tilføj eller bekræft, at Power BI vises som en tilsluttet app i Defender for Cloud Apps til appstyring med betinget adgang.
• Udfør indledende test: Log på Power BI-tjenesten som en af testbrugerne. Kontrollér, at adgangen fungerer. Kontrollér også, at den viste meddelelse informerer dig om, at Power BI-tjeneste overvåges af Defender for Cloud Apps.
• Opret og test en politik i realtid: Brug de use cases, der allerede er kompileret, til at oprette en adgangspolitik eller en sessionspolitik i Defender for Cloud Apps.
• Udfør indledende test: Udfør som testbruger en handling, der udløser politikken i realtid. Kontrollér, at handlingen er blokeret (hvis det er relevant), og at de forventede beskeder vises.
• Indsaml brugerfeedback: Få feedback om processen og brugeroplevelsen. Identificer forvirringsområder, uventede resultater med følsomme informationstyper og andre tekniske problemer.
• Fortsæt iterative udgivelser: Tilføj gradvist flere politikker i Defender for Cloud Apps, indtil alle use cases er behandlet.
• Gennemse de indbyggede politikker: Find de indbyggede politikker for registrering af uregelmæssigheder i Defender for Cloud Apps (der har Power BI i deres navn). Opdater beskedindstillingerne for de indbyggede politikker, når det er nødvendigt.
• Fortsæt med en bredere udrulnings-: Fortsæt med at arbejde dig igennem din iterative udrulningsplan. Opdater microsoft entra-politikken for betinget adgang, så den gælder for et bredere sæt brugere efter behov. Opdater individuelle politikker i Defender for Cloud Apps, så de gælder for et bredere sæt brugere efter behov.
• Overvåg, tilpas og juster: Invester ressourcer for at gennemse beskeder om politikmatch og overvågningslogge hyppigt. Undersøg eventuelle falske positiver, og juster politikker, når det er nødvendigt.

Tip

Disse kontrollisteelementer opsummeres til planlægningsformål. Du kan finde flere oplysninger om disse kontrollisteelementer i de forrige afsnit i denne artikel.

Du kan finde mere specifikke oplysninger om installation af Power BI som et katalogprogram i Defender for Cloud Apps i trinnene til installation af katalogapps.

Løbende overvågning

Når du har fuldført implementeringen, skal du rette din opmærksomhed mod overvågning, gennemtvingelse og justering af Defender for Cloud Apps-politikker baseret på deres brug.

Power BI-administratorer og administratorer af sikkerhed og overholdelse af angivne standarder skal samarbejde fra tid til anden. For Power BI-indhold er der to målgrupper til overvågning.

• Power BI-administratorer: Ud over beskeder, der genereres af Defender for Cloud Apps, vises aktiviteter fra Power BI-aktivitetsloggen også på Defender for Cloud Apps-portalen.
• administratorer af sikkerhed og overholdelse af angivne standarder: Organisationens sikkerheds- og overholdelsesadministratorer bruger typisk Defender for Cloud Apps-beskeder.

Det er muligt at give dine Power BI-administratorer en begrænset visning i Defender for Cloud Apps. Den bruger en begrænset rolle til at få vist aktivitetsloggen, logonhændelser og hændelser, der er relateret til Power BI-tjeneste. Denne funktion er praktisk for Power BI-administratorer.

Tjekliste – Når du overvåger Defender for Cloud Apps, omfatter vigtige beslutninger og handlinger:

• Bekræft roller og ansvarsområder: Sørg for, at du er klar over, hvem der er ansvarlig for hvilke handlinger. Oplær og kommuniker med dine Power BI-administratorer, hvis de er ansvarlige for alle aspekter af overvågning.
• Administrer adgang for Power BI-administratorer: Føj dine Power BI-administratorer til rollen som administrator i Defender for Cloud Apps. Kommuniker med dem, så de er opmærksomme på, hvad de kan gøre med disse ekstra oplysninger.
• Opret eller valider din proces til gennemsyn af aktivitet: Sørg for, at dine sikkerheds- og overholdelsesadministratorer er klar over forventningerne til regelmæssigt at gennemse aktivitetsoversigten.
• Opret eller valider din proces til løsning af beskeder: Sørg for, at administratorer af sikkerhed og overholdelse af angivne standarder har en proces på plads til at undersøge og løse åbne beskeder.

Relateret indhold

I den næste artikel i denne serie kan du få mere at vide om overvågning af beskyttelse af oplysninger og forebyggelse af datatab i Power BI.