次の方法で共有


Power BI 実装計画: Defender for Cloud Apps for Power BI

注意

この記事は、Power BI 実装計画 シリーズの記事の一部です。 このシリーズでは、主に Microsoft Fabric 内での Power BI のエクスペリエンスに焦点を当てます。 シリーズの概要については、「Power BI 実装計画」を参照してください。

この記事では、Power BI の監視に関係がある Defender for Cloud Apps の実装に関連する計画アクティビティについて説明します。 対象ユーザーは次のとおりです。

  • Power BI 管理者: 組織の Power BI 監視を担当する管理者。 Power BI 管理者は、情報セキュリティやその他の関連チームと共同で作業する必要があります。
  • センター オブ エクセレンス、IT、BI チーム: 組織内の Power BI の監視を担当するその他のチーム。 これらのチームは、Power BI 管理者、情報セキュリティ チーム、その他の関連チームと共同で作業することが必要な場合があります。

重要

監視とデータ損失防止 (DLP) は、組織規模で行う重要な作業です。 その範囲と影響は、Power BI だけに留まりません。 このような種類のイニシアティブには、資金、優先順位付け、計画が必要です。 計画、使用、監視の作業には、部門を超えた複数のチームが関与する必要があります。

Power BI を監視するために Defender for Cloud Apps をロールアウトするには、段階的なアプローチに従って徐々に進めていくことをお勧めします。 考慮する必要があるロールアウト フェーズの種類については、Power BI の情報保護 (展開の段階)に関するページを参照してください。

監視の目的

Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security) は、さまざまなデプロイ モードをサポートするクラウド アクセス セキュリティ ブローカー (CASB) です。 これには、この記事の範囲をはるかに超える広範な機能セットがあります。 一部の機能はリアルタイムですが、他の機能はリアルタイムではありません。

次に、実装できるリアルタイム監視の例をいくつか示します。

  • Power BI サービスからのダウンロードをブロックする: 特定の種類のユーザー アクティビティをブロックする "セッション ポリシー" を作成できます。 たとえば、ユーザーが、"高制限" の秘密度ラベルが割り当てられているレポートを Power BI サービスからダウンロードしようとすると、ダウンロード アクションをリアルタイムでブロックできます。
  • アンマネージド デバイスによる Power BI サービスへのアクセスをブロックする: ユーザーがマネージド デバイスを使用していない限り、特定のアプリケーションにアクセスできないようにする "アクセス ポリシー" を作成できます。 たとえば、ユーザーが個人の携帯電話から Power BI サービスにアクセスしようとすると、そのアクションをブロックできます。

次に、他のリアルタイムではない機能の例をいくつか示します。

  • Power BI サービス内の特定のアクティビティを検出して警告する: 特定の種類のアクティビティが発生したときにアラートを生成する "アクティビティ ポリシー" を作成できます。 たとえば、Power BI サービスで "管理アクティビティ" が発生した (テナント設定が変更されたことを示す) 場合、電子メール通知を受信できます。
  • 高度なセキュリティ アクティビティを監視する: サインインとセキュリティのアクティビティ、異常、違反を表示および監視できます。 不審なアクティビティ、予期しない場所、または新しい場所などの状況についてアラートを発生させることができます。
  • ユーザー アクティビティを監視する: ユーザー アクティビティを表示および監視できます。 たとえば、Power BI 管理者には、Defender for Cloud Apps 内のユーザー サインイン頻度に加えて、Power BI アクティビティ ログを表示するアクセス許可を割り当てることができます。
  • Power BI サービスで異常な動作を検出して警告する: 異常検出用の組み込みのポリシーがあります。 たとえば、ユーザーが通常のパターンよりもはるかに頻繁に Power BI サービスからコンテンツをダウンロードまたはエクスポートしている場合、電子メール通知を受信できます。
  • 承認されていないアプリケーションを検出する: 組織内で使用されている承認されていないアプリケーションを検出できます。 たとえば、ユーザーがサード パーティのファイル共有システムでファイル (Power BI Desktop ファイルや Excel ファイルなど) を共有することが懸念される場合があります。 承認されていないアプリケーションの使用をブロックし、ユーザーに連絡して、他のユーザーとの共有や共同作業の適切な方法について教育することができます。

ヒント

Defender for Cloud のポータルは、データを抽出してダウンロードするスクリプトを作成せずにアクティビティとアラートを表示できる便利な場所です。 この利点としては、Power BI アクティビティ ログからのデータの表示があります。

Power BI は、Defender for Cloud Apps と統合できる多くのアプリケーションおよびサービスの 1 つです。 他の目的で Defender for Cloud Apps を既に使用している場合は、Power BI の監視にも使用できます。

Defender for Cloud で作成されたポリシーは DLP の形式です。 Power BI のデータ損失防止に関する記事では、Microsoft Purview コンプライアンス ポータルで設定されている Power BI の DLP ポリシーについて説明しています。 この記事で説明する機能を使用して、Power BI の DLP ポリシーを使用することをお勧めします。 概念的には重複するものもありますが、機能は異なります。

注意事項

この記事では、Power BI コンテンツの監視と保護に使用できる Microsoft Defender for Cloud Apps の機能を重点に取り上げます。 Defender for Cloud Apps には、この記事では取り上げない他の多くの機能があります。 必ず他の利害関係者やシステム管理者と協力して、すべてのアプリケーションとユース ケースに適した意思決定を行ってください。

Power BI 用の Defender for Cloud Apps の前提条件

ここまでで、記事「Power BI のデータ損失防止」で説明されている組織レベルの計画手順を完了しているはずです。 先に進む前に、以下を明確にする必要があります。

  • 現在の状態: 組織内の DLP の現在の状態。 DLP が既に使用されている範囲と、それを管理する担当者を理解している必要があります。
  • 目標と要件: 組織で DLP を実装するための戦略的目標。 目標と要件を理解することは、実装作業のガイドとして役立ちます。

通常、情報保護は、DLP が実装される前に既に実装されています。 秘密度ラベルが公開されている場合 (記事「Power BI の情報保護」で説明されています)、Defender for Cloud Apps 内の特定のポリシーでそれを使用することができます。

既に Power BI の DLP を実装しているかもしれません (記事「Power BI のデータ損失防止」で説明されています)。 これらの DLP 機能は、Microsoft Purview コンプライアンス ポータルで管理される機能とは異なります。 この記事で説明する DLP 機能はすべて、Defender for Cloud Apps ポータルで管理されます。

主な決定事項とアクション

Defender for Cloud Apps でポリシーを設定する準備を行う前に、いくつかの重要な事項を決定する必要があります。

Defender for Cloud Apps ポリシーに関連する決定は、以前に特定したデータを保護するための目標と要件を直接サポートする必要があります。

ポリシーの種類とアクティビティ

どのユーザー アクティビティの監視、ブロック、または制御に関心があるかを検討する必要があります。 Defender for Cloud Apps のポリシーの種類は、以下に影響を与えます。

  • 何を達成できるか。
  • 構成に含めることができるアクティビティは何か。
  • 制御はリアルタイムで発生するかどうか。

リアルタイム ポリシー

Defender for Cloud Apps で作成されたアクセス ポリシーとセッション ポリシーを使用すると、ユーザー セッションをリアルタイムで監視、ブロック、または制御できます。

アクセス ポリシーとセッション ポリシーを使用すると、次のことが可能になります。

  • プログラムでリアルタイムに応答する: 機密データの危険、不注意、または不適切な共有を検出して、通知し、ブロックします。 これらのアクションを使用すると、次のことが可能になります。
    • 自動化と情報を使用して、Power BI テナントの全体的なセキュリティ設定を改善する。
    • 監査可能な方法で機密データを含む分析ユース ケースを実現する。
  • ユーザーにコンテキスト通知を提供する: この機能を使用すると、次のことが可能になります。
    • ユーザーが通常のワークフローで適切な意思決定を行うのを支援する。
    • 生産性に影響を与えずに、データ分類と保護ポリシーに従うようにユーザーを指導する。

リアルタイム制御を提供するために、アクセス ポリシーとセッション ポリシーは Microsoft Entra ID と連携し、 Conditional Access App Control のリバース プロキシ機能に依存します。 ユーザーの要求と応答は、アプリ (この場合は Power BI サービス) を通過する代わりに、リバース プロキシ (Defender for Cloud Apps) を経由します。

リダイレクトはユーザー エクスペリエンスに影響しません。 ただし、Power BI でアプリの条件付きアクセス制御用に Microsoft Entra ID を設定すると、"Power BI サービスの URL" は https://app.powerbi.com.mcas.ms に変更されます。 また、ユーザーは、Power BI サービスにサインインすると、アプリが Defender for Cloud Apps によって監視されていることを知らせる通知を受け取ります。

重要

アクセス ポリシーとセッション ポリシーはリアルタイムで動作します。 Defender for Cloud Apps の他の種類のポリシーでは、アラートが短時間遅延します。 Power BI の DLPPower BI アクティビティ ログなど、他のほとんどの種類の DLP と監査でも待機時間が発生します。

アクセス ポリシー

Defender for Cloud Apps で作成されたアクセス ポリシーでは、Power BI サービスなどのクラウド アプリケーションへのサインインをユーザーに許可するかどうかを制御します。 規制の厳しい業界に属する組織は、アクセス ポリシーに関心があります。

次に、アクセス ポリシーを使用して Power BI サービスへのアクセスをブロックする方法の例をいくつか示します。

  • 予期しないユーザー: 特定のセキュリティ グループのメンバーではないユーザーのアクセスをブロックできます。 たとえば、このポリシーは、特定のグループを介して承認された Power BI ユーザーを追跡する重要な内部プロセスがある場合に役立ちます。
  • 管理されていないデバイス: 組織で管理されていない個人用デバイスのアクセスをブロックできます。
  • 更新が必要: 古いブラウザーまたはオペレーティング システムを使用しているユーザーのアクセスをブロックできます。
  • 場所: オフィスやユーザーがいない場所、または不明な IP アドレスからのアクセスをブロックできます。

ヒント

頻繁に移動する Power BI テナントまたは従業員にアクセスする外部ユーザーがいる場合、それが、アクセス制御ポリシーの定義方法に影響を及ぼす可能性があります。 これらの種類のポリシーは、通常、IT によって管理されます。

セッション ポリシー

セッション ポリシーは、アクセスを完全に許可またはブロックしない場合 (前述のとおり、アクセス ポリシーを使用して実行できます) に便利です。 具体的には、セッション ポリシーにより、セッション中にアクティブに発生するものを監視または制限しながら、ユーザーのアクセスを許可できます。

次に、セッション ポリシーを使用して、Power BI サービスのユーザー セッションを監視、ブロック、または制御する方法の例をいくつか示します。

  • ダウンロードをブロックする: "高制限" などの特定の秘密度ラベルが Power BI サービス内の項目に割り当てられている場合は、ダウンロードとエクスポートをブロックします。
  • サインインを監視する: 特定の条件を満たすユーザーがサインインする状況を監視します。 たとえば、ユーザーが特定のセキュリティ グループのメンバーである場合や、組織で管理されていない個人用デバイスを使用している場合などがあります。

ヒント

"高制限" などの特定の秘密度ラベルに割り当てられたコンテンツに対してセッション ポリシー (たとえば、ダウンロードを禁止するため) を作成することは、Power BI によるリアルタイムのセッション制御の最も効果的なユース ケースの 1 つです。

セッション ポリシーを使用してファイルのアップロードを制御することもできます。 ただし、通常は、セルフサービス BI ユーザーに対して、(Power BI Desktop ファイルを共有するのではなく) Power BI サービスにコンテンツをアップロードするように勧めます。 このため、ファイルのアップロードをブロックすることについては慎重に検討してください。

チェックリスト - Defender for Cloud Apps でリアルタイム ポリシーを計画する際の主な決定事項とアクションは次のとおりです。

  • アクセスをブロックするユース ケースを特定する: Power BI サービスへのアクセスをブロックすることが適切なシナリオの一覧をまとめます。
  • サインインを監視するユース ケースを特定する: Power BI サービスへのサインインを監視することが適切なシナリオの一覧をまとめます。
  • ダウンロードをブロックするユース ケースを特定する: Power BI サービスからのダウンロードをブロックする必要がある場合を決定します。 どの秘密度ラベルを含める必要があるかを決定します。

アクティビティ ポリシー

Defender for Cloud Apps のアクティビティ ポリシーは、リアルタイムで動作しません。

アクティビティ ポリシーを設定して、Power BI アクティビティ ログに記録されたイベントを確認できます。 このポリシーは、1 つのアクティビティに対して作用することも、1 人のユーザーによって繰り返されるアクティビティに対して作用することもできます (特定のアクティビティが設定された分数内に、設定された回数を超えて発生する場合)。

アクティビティ ポリシーを使用すると、さまざまな方法で Power BI サービスのアクティビティを監視できます。 次に、実現できる監視の例をいくつか示します。

  • 承認されていない、または予期しないユーザーによる特権コンテンツの表示: 特定のセキュリティ グループのメンバーではないユーザー (または外部ユーザー) が、高度な権限を必要とし、取締役会に提供されるレポートを表示した場合。
  • 承認されていない、または予期しないユーザーによるテナント設定の更新: "Power BI 管理者" グループなどの特定のセキュリティ グループのメンバーではないユーザーが、Power BI サービスのテナント設定を更新した場合。 テナント設定が更新されるたびに通知を受け取ることを選択することもできます。
  • 大量の削除: ユーザーが 10 分未満の期間に 20 を超えるワークスペースまたはレポートを削除した場合。
  • 大量のダウンロード: ユーザーが、5 分未満の期間に 30 を超えるレポートをダウンロードした場合。

このセクションで説明する種類のアクティビティ ポリシー アラートは、通常、Power BI 管理者によって Power BI の監視の一環として処理されます。 Defender for Cloud Apps 内でアラートを設定する場合は、組織にとって重大なリスクを表す状況に焦点を当てることをお勧めします。 これは、各アラートを管理者が確認して閉じる必要があるためです。

警告

Power BI アクティビティ ログ イベントはリアルタイムでは使用できないため、リアルタイムの監視やブロックには使用できません。 ただし、アクティビティ ポリシーでアクティビティ ログの操作を使用することはできます。 計画プロセスに取り掛かる前に、必ず情報セキュリティ チームと協力して、技術的に実現可能なことを確認してください。

チェックリスト - アクティビティ ポリシーを計画する際の主な決定事項とアクションは次のとおりです。

  • アクティビティ監視のユース ケースを特定する: Power BI アクティビティ ログから、組織にとって重大なリスクを表す特定のアクティビティの一覧をまとめます。 リスクが 1 つのアクティビティまたは繰り返されるアクティビティのどちらに関連しているかを判断します。
  • Power BI 管理者と作業を調整する: Defender for Cloud Apps で監視される Power BI アクティビティについて話し合います。 さまざまな管理者間で作業の重複がないことを確認します。

影響を受けるユーザー

Power BI と Defender for Cloud Apps を統合するための説得力のある理由の 1 つは、ユーザーが Power BI サービスを操作するときにリアルタイムで制御できるという利点があることです。 この種の統合には、Microsoft Entra ID のアプリの条件付きアクセス制御が必要です。

Microsoft Entra ID でアプリの条件付きアクセス制御ポリシーを設定する前に、どのユーザーを含めるかを検討する必要があります。 通常、すべてのユーザーを含めます。 ただし、特定のユーザーを除外する理由が生じる場合もあります。

ヒント

条件付きアクセス ポリシーを設定する際には、多くの場合、Microsoft Entra 管理者は特定の管理者アカウントを除外します。 この方法では、管理者をロックアウトできなくなります。 除外するアカウントは、標準の Power BI ユーザーではなく Microsoft Entra 管理者にすることをお勧めします。

Defender for Cloud Apps の特定の種類のポリシーは、特定のユーザーとグループに適用できます。 ほとんどの場合、これらの種類のポリシーはすべてのユーザーに適用されます。 ただし、特定のユーザーを意図的に除外する必要がある状況が発生する可能性があります。

チェックリスト - 影響を受けるユーザーを検討する際の主な決定事項とアクションは次のとおりです。

  • どのユーザーを含めるかの検討: Microsoft Entra 条件付きアクセス アプリ制御ポリシーにすべてのユーザーを含めるかどうかを確認します。
  • 除外する必要がある管理者アカウントの特定: Microsoft Entra 条件付きアクセス アプリ制御ポリシーから意図的に除外する必要がある特定の管理者アカウントを決定します。
  • 特定の Defender ポリシーをユーザーのサブセットに適用するかどうかを決定する: 有効なユース ケースについては、すべてのユーザーまたは一部のユーザーのどちらに適用する必要があるかを検討します (可能な場合)。

ユーザー メッセージング

ユース ケースを特定したら、ポリシーに一致するユーザー アクティビティがある場合に必要な対処方法を検討する必要があります。

アクティビティをリアルタイムでブロックする場合は、カスタマイズされたメッセージをユーザーに提供することが重要です。 このメッセージは、通常のワークフロー中にユーザーにより多くのガイダンスを提供し、ユーザーの認識を高める場合に役立ちます。 メッセージが次の場合、ユーザーがユーザー通知を読み、その意味を理解する可能性が高くなります。

  • 具体的: メッセージをポリシーに関連付けると、理解しやすくなります。
  • 実践的: 何を行う必要があるか、またはより多くの情報を見つける方法について提案を提供します。

Defender for Cloud Apps の一部の種類のポリシーには、カスタマイズされたメッセージを含めることができます。 次に、ユーザー通知の 2 つの例を示します。

例 1: Power BI の項目 (レポートやセマンティック モデルなど) の秘密度ラベルが [機密] に設定されている場合、すべてのエクスポートとダウンロードを防止するリアルタイム セッション制御ポリシーを定義できます。 Defender for Cloud Apps のカスタマイズされたブロック メッセージは、"高制限のラベルが割り当てられたファイルは、Power BI サービスからダウンロードできません。Power BI サービスでコンテンツをオンラインで表示してください。質問がある場合は、Power BI サポート チームにお問い合わせください" となります。

例 2: 組織で管理されているコンピューターを使用していないユーザーが Power BI サービスにサインインできないようにするリアルタイム アクセス ポリシーを定義できます。 Defender for Cloud Apps のカスタマイズされたブロック メッセージは、"個人用デバイスでは、Power BI サービスにアクセスできません。組織から提供されるデバイスを使用してください。質問がある場合は、Power BI サポート チームにお問い合わせください" となります。

チェックリスト - Defender for Cloud Apps でユーザー メッセージを検討する際の主な決定事項とアクションは次のとおりです。

  • カスタマイズされたブロック メッセージが必要な場合を決定する: 作成するポリシーごとに、カスタマイズされたブロック メッセージが必要かどうかを決定します。
  • カスタマイズされたブロック メッセージを作成する: ポリシーごとに、ユーザーに表示する必要があるメッセージを定義します。 各メッセージをポリシーに関連付けて、具体的で実践的なメッセージになるように計画します。

管理者のアラート

アラートは、ポリシー違反が発生したことをセキュリティ管理者とコンプライアンス管理者に認識させる場合に役立ちます。 Defender for Cloud Apps でポリシーを定義する場合は、アラートを生成する必要があるかどうかを検討します。 詳細については、Defender for Cloud Apps の「アラートの種類」を参照してください。

必要に応じて、複数の管理者に電子メールを送信するようにアラートを設定できます。 電子メール通知が必要な場合は、メールが有効なセキュリティ グループを使用することをお勧めします。 たとえば、Security and Compliance Admin Alerting という名前のグループを使用できます。

優先度の高い状況では、テキスト メッセージでアラートを送信できます。 Power Automate と統合することで、カスタム アラートの自動化とワークフローを作成することもできます。

各アラートには、低、中、または高の重大度を設定できます。 重大度レベルは、開いているアラートのレビューに優先順位を付ける場合に役立ちます。 管理者は、各 アラートを確認して対処する必要があります。 アラートは、真陽性、偽陽性、または無害として閉じることができます。

次に、管理者アラートの 2 つの例を示します。

例 1: Power BI の項目 (レポートやセマンティック モデルなど) の秘密度ラベルが [機密] に設定されている場合、すべてのエクスポートとダウンロードを防止するリアルタイム セッション制御ポリシーを定義できます。 ユーザーに役立つカスタマイズされたブロック メッセージがあります。 ただし、このような状況では、アラートを生成する必要はありません。

例 2: 外部ユーザーが、高度な権限を必要とし、取締役会に提供されるレポートを表示したかどうかを追跡するアクティビティ ポリシーを定義できます。 アクティビティが迅速に調査されるように、重大度の高いアラートを設定できます。

ヒント

例 2 は、情報保護とセキュリティの違いを強調しています。 そのアクティビティ ポリシーは、セルフサービス BI ユーザーがコンテンツのセキュリティを管理するアクセス許可を持つシナリオを特定するのに役立ちます。 しかし、これらのユーザーは、組織のポリシーによって推奨されていないアクションを実行する可能性があります。 これらの種類のポリシーは、情報が特に機密性の高い特定の状況でのみ設定することをお勧めします。

チェックリスト - Defender for Cloud Apps の管理者に対するアラートを検討する際の主な決定事項とアクションは次のとおりです。

  • アラートが必要な場合を決定する: 作成するポリシーごとに、アラートを使用して保証する状況を決定します。
  • 役割と責任を明確にする: 期待値と、アラートが生成されたときに実行する必要があるアクションを決定します。
  • アラートを受け取るユーザーを決定する: 開いているアラートを確認して対処するセキュリティ管理者とコンプライアンス管理者を決定します。 Defender for Cloud Apps を使用する管理者ごとに、アクセス許可とライセンス要件が満たされていることを確認します。
  • 新しいグループを作成する: 必要に応じて、メール通知に使用する、メールが有効な新しいセキュリティ グループを作成します。

ポリシーの名前付け規則

Defender for Cloud Apps でポリシーを作成する前に、まず、名前付け規則を作成することをお勧めします。 名前付け規則は、さまざまな種類のアプリケーション用にさまざまな種類のポリシーがある場合に役立ちます。 また、Power BI 管理者が監視に関与する場合にも役立ちます。

ヒント

Power BI 管理者に Defender for Cloud Apps へのアクセス権を付与することを検討してください。 管理者ロールを使用すると、アクティビティ ログ、サインイン イベント、Power BI サービスに関連するイベントを表示できます。

コンポーネント プレースホルダー (<アプリケーション> - <説明> - <アクション> - <ポリシーの種類>) を含む名前付け規則テンプレートを検討します。

次に、名前付け規則の例をいくつか示します。

ポリシーの種類 リアルタイム ポリシー名
セッション ポリシー はい Power BI - 高制限ラベル - ダウンロードを禁止する - RT
アクセス ポリシー はい すべて - アンマネージド デバイス - アクセスをブロックする - RT
アクティビティ ポリシー いいえ Power BI - 管理者アクティビティ
アクティビティ ポリシー いいえ Power BI - 外部ユーザーがエグゼクティブ レポートを表示

名前付け規則のコンポーネントは次のとおりです。

  • アプリケーション: アプリケーション名。 Power BI プレフィックスは、並べ替え時にすべての Power BI 固有のポリシーをまとめてグループ化するのに役立ちます。 ただし、一部のポリシーは、Power BI サービスだけでなく、すべてのクラウド アプリに適用されます。
  • 説明: 名前の説明部分は最も異なります。 影響を受ける秘密度ラベルや追跡対象のアクティビティの種類が含まれる場合があります。
  • アクション: (省略可能) 例では、1 つのセッション ポリシーに "ダウンロードを禁止する" アクションが含まれています。通常、アクションはリアルタイム ポリシーの場合にのみ必要です。
  • ポリシーの種類: (省略可能) この例では、RT サフィックスはリアルタイム ポリシーであることを示します。 リアルタイムかどうかを指定すると、期待値を管理するのに役立ちます。

ポリシー名に含める必要のないその他の属性があります。 これらの属性としては、重大度レベル (低、中、高) とカテゴリ (脅威検出や DLP など) があります。 どちらの属性も、アラート ページでフィルター処理できます。

ヒント

Defender for Cloud Apps でポリシーの名前を変更できます。 ただし、組み込みの異常検出ポリシーの名前を変更することはできません。 たとえば、"疑わしい Power BI レポート共有" は、名前を変更できない組み込みポリシーです。

チェックリスト - ポリシーの名前付け規則を検討する際の主な決定事項とアクションは次のとおりです。

  • 名前付け規則を選択する: 最初のポリシーを使用して、解釈しやすい一貫した名前付け規則を確立します。 一貫性のあるプレフィックスとサフィックスの使用に重点を置きます。
  • 名前付け規則を文書化する: ポリシーの名前付け規則に関するリファレンス ドキュメントを提供します。 システム管理者が名前付け規則を認識していることを確認します。
  • 既存のポリシーを更新する: 新しい名前付け規則に準拠するように、既存の Defender ポリシーを更新します。

ライセンスの要件

Power BI テナントを監視するには、特定のライセンスが必要になります。 管理者は、次のいずれかのライセンスを持っている必要があります。

  • Microsoft Defender for Cloud Apps: サポートされているすべてのアプリケーション (Power BI サービスを含む) 用の Defender for Cloud Apps 機能を提供します。
  • Office 365 Cloud App Security: Office 365 E5 スイートの一部である Office 365 アプリ (Power BI サービスを含む) 用の Defender for Cloud Apps 機能を提供します。

また、ユーザーが Defender for Cloud Apps でリアルタイム アクセス ポリシーまたはセッション ポリシーを使う必要がある場合、Microsoft Entra ID P1 ライセンスが必要になります。

ヒント

ライセンス要件について明確にする必要がある場合は、Microsoft アカウント チームにお問い合わせください。

チェックリスト - ライセンス要件を評価する際の主な決定事項とアクションは次のとおりです。

  • 製品ライセンス要件を確認する: 必ず Defender for Cloud Apps を使用するためのすべてのライセンス要件を確認します。
  • 追加のライセンスを調達する: 必要に応じて、ライセンスをさらに購入して、使用する機能のロックを解除します。
  • ライセンスを割り当てる: Defender for Cloud Apps を使用する各セキュリティおよびコンプライアンス管理者にライセンスを割り当てます。

ユーザーのドキュメントとトレーニング

Defender for Cloud Apps をロールアウトする前に、ユーザー ドキュメントを作成して公開することをお勧めします。 一元化されたポータルの SharePoint ページまたは Wiki ページは、保守が容易になるため有用です。 共有ライブラリまたは Teams サイトにアップロードされたドキュメントも適切なソリューションです。

ドキュメントの目的は、シームレスなユーザー エクスペリエンスを実現することです。 ユーザー ドキュメントを準備することは、すべてを考慮したことを確認するためにも役立ちます。

ユーザーに質問や技術的な問題が生じた場合の連絡先に関する情報を含めます。

FAQ と例は、ユーザー ドキュメントに特に役立ちます。

チェックリスト - ユーザーのドキュメントとトレーニングを準備する際の主な決定事項とアクションは次のとおりです。

  • コンテンツ作成者とコンシューマー向けのドキュメントを更新する: FAQ と例を更新して、ユーザーが目にする可能性のあるポリシーに関する関連情報を含めます。
  • ヘルプを取得する方法を公開する: ユーザーが予期しない、または理解できない問題が発生した場合にユーザーがヘルプを取得する方法を確実に知ることができるようにします。
  • 特定のトレーニングが必要かどうかを判断する: ユーザー トレーニングを作成または更新して、特に規制要件がある場合に役立つ情報を含めます。

ユーザー サポート

ユーザー サポートの担当者を確認することが重要です。 Defender for Cloud Apps を使用して Power BI を監視することは、一元化された IT ヘルプ デスクによって行われるのが一般的です。

ヘルプ デスクのドキュメントを作成し、ナレッジ転送セッションを実施してサポート リクエストに確実に対応できるようにすることが必要な場合があります。

チェックリスト - ユーザー サポート機能を準備する際の主な決定事項とアクションは次のとおりです。

  • ユーザー サポートを提供するユーザーを特定する: ロールと責任を定義する場合、発生する可能性のある問題についてユーザーがヘルプを取得する方法を必ず考慮します。
  • ユーザー サポート チームの準備を確実に整える: ドキュメントを作成し、ナレッジ転送セッションを実施して、ヘルプ デスクがこれらのプロセスをサポートする準備を確実に整えます。
  • チーム間でコミュニケーションを取る: Power BI 管理者およびセンター オブ エクセレンスと、ユーザーに表示される可能性があるメッセージや開かれたアラートを解決するプロセスについて話し合います。 Power BI ユーザーからの潜在的な質問に対して、関係者全員の準備が整っていることを確認します。

実装の概要

決定して、ロールアウト計画が準備できたら、実装を開始します。

リアルタイム ポリシー (セッション ポリシーまたはアクセス ポリシー) を使う場合、最初の作業は、Microsoft Entra のアプリの条件付きアクセス制御を設定することです。 Defender for Cloud Apps によって制御されるカタログ アプリとして Power BI サービスを設定する必要があります。

Microsoft Entra 条件付きアクセス アプリ制御の設定とテストが完了したら、Defender for Cloud Apps でポリシーを作成できます。

重要

この機能は、最初に少数のテスト ユーザーに導入することをお勧めします。 また、この機能を順序に従って導入するのに役立つモニター専用モードもあります。

次のチェックリストには、エンド ツー エンドの実装手順を要約した一覧が含まれています。 これらの手順の多くについては、この記事の前のセクションで詳細に説明しています。

チェックリスト - Power BI を使用して Defender for Cloud Apps を実装する際の主な決定事項とアクションは次のとおりです。

  • 現在の状態と目標を確認する: 必ず、Power BI で使用する DLP の現在の状態を明確にします。 DLP を実装するためのすべての目標と要件を明確にして積極的に使用し、意思決定プロセスを推進する必要があります。
  • 意思決定プロセスを実行する: 必要なすべての決定事項を確認し、話し合います。 この作業は、運用環境で何かを設定する前に行う必要があります。
  • ライセンス要件を確認する: 製品ライセンスとユーザー ライセンスの要件を確実に理解します。 必要に応じて、より多くのライセンスを調達して割り当てます。
  • ユーザー ドキュメントを公開する: ユーザーが質問に回答し、期待を明確にするために必要な情報を公開します。 ユーザーが準備できるように、ガイダンス、コミュニケーション、トレーニングをユーザーに提供します。
  • Microsoft Entra 条件付きアクセス ポリシーの作成: Microsoft Entra ID で条件付きアクセス ポリシーを作成して、Power BI サービスを監視するためのリアルタイム制御を有効にします。 最初は、少数のテスト ユーザーに対して Microsoft Entra 条件付きアクセス ポリシーを有効にします。
  • Defender for Cloud Apps で Power BI を接続アプリとして設定する: アプリの条件付きアクセス制御用の Defender for Cloud Apps で、Power BI を接続アプリとして追加するか、またはそのように表示されることを確認します。
  • 最初のテストを実行する: テスト ユーザーの 1 人として Power BI サービスにサインインします。 アクセスが機能することを確認します。 また、表示されたメッセージによって、Power BI サービスが Defender for Cloud Apps によって監視されていることが通知されることも確認します。
  • リアルタイム ポリシーを作成してテストする: 既にまとめられているユース ケースを使用して、Defender for Cloud Apps でアクセス ポリシーまたはセッション ポリシーを作成します。
  • 最初のテストを実行する: テスト ユーザーとして、リアルタイム ポリシーをトリガーするアクションを実行します。 アクションがブロックされていること (該当する場合) と、想定されたアラート メッセージが表示されることを確認します。
  • ユーザーのフィードバックを収集する: プロセスとユーザー エクスペリエンスに関するフィードバックを取得します。 混乱の領域、機密情報の種類に関する予期しない結果、その他の技術的な問題を特定します。
  • 反復リリースを継続する: すべてのユース ケースが解決されるまで、ポリシーを Defender for Cloud Apps に段階的に追加します。
  • 組み込みのポリシーを確認する: Defender for Cloud Apps で組み込みの異常検出ポリシー (名前に Power BI が含まれているもの) を見つけます。 必要に応じて、組み込みポリシーのアラート設定を更新します。
  • より広範なロールアウトを続行する: 反復的なロールアウト計画を引き続き実行します。 適切に Microsoft Entra 条件付きアクセス ポリシーを更新して、より広範なユーザー セットに適用します。 必要に応じて、Defender for Cloud Apps の個々のポリシーを更新して、より広範なユーザーセットに適用します。
  • 監視、調整、改良する: リソースを投資して、ポリシー一致アラートと監査ログを頻繁に確認します。 偽陽性を調査し、必要に応じてポリシーを調整します。

ヒント

これらのチェックリスト項目は、計画目的でまとめられています。 これらのチェックリスト項目の詳細については、この記事の前のセクションを参照してください。

Defender for Cloud Apps で Power BI をカタログ アプリケーションとしてデプロイする方法の詳細については、カタログ アプリをデプロイする手順に関するページを参照してください。

継続的な監視

実装が完了したら、使用に基づいて Defender for Cloud Apps ポリシーの監視、適用、調整に注意を向ける必要があります。

Power BI 管理者とセキュリティおよびコンプライアンス管理者は、随時共同作業を行う必要があります。 Power BI コンテンツの場合、監視対象ユーザーは次の 2 名です。

  • Power BI 管理者: Defender for Cloud Apps によって生成されたアラートに加えて、Power BI アクティビティ ログからのアクティビティも Defender for Cloud Apps ポータルに表示されます。
  • セキュリティ管理者とコンプライアンス管理者: 組織のセキュリティ管理者とコンプライアンス管理者は、通常、Defender for Cloud Apps アラートを使用します。

Defender for Cloud Apps では、Power BI 管理者に 限られたビューを提供できます。 "スコープ付きロール" を使用して、アクティビティ ログ、サインイン イベント、Power BI サービスに関連するイベントを表示します。 この機能は、Power BI 管理者にとって便利です。

チェックリスト - Defender for Cloud Apps を監視する際の主な決定事項とアクションは次のとおりです。

  • ロールと責任を確認する: 必ず、どのアクションに対して誰が責任を負うのかを明確にします。 Power BI 管理者が監視の何らかの側面を担当する場合は、教育し、連絡を取ります。
  • Power BI 管理者のアクセスを管理する: Defender for Cloud Apps のスコープ付き管理者ロールに Power BI 管理者を追加します。 Power BI 管理者がこの追加情報を使用して何ができるかを認識できるように、連絡を取ります。
  • アクティビティを確認するためのプロセスを作成または検証する: アクティビティ エクスプローラーを定期的に確認する必要性について、セキュリティ管理者とコンプライアンス管理者が明確に理解していることを確認します。
  • アラートを解決するためのプロセスを作成または検証する: セキュリティ管理者とコンプライアンス管理者が、開かれているアラートを調査して解決するプロセスを用意していることを確認します。

このシリーズの次の記事では、Power BI の情報保護とデータ損失防止の監査について説明します。