Udostępnij za pośrednictwem


Planowanie implementacji usługi Power BI: Ochrona informacji dla usługi Power BI

Uwaga

Ten artykuł stanowi część serii artykułów dotyczących planowania implementacji usługi Power BI. Ta seria koncentruje się głównie na środowisku usługi Power BI w usłudze Microsoft Fabric. Aby zapoznać się z wprowadzeniem do serii, zobacz Planowanie implementacji usługi Power BI.

W tym artykule opisano działania związane z planowaniem związane z wdrażaniem ochrony informacji w usłudze Power BI. Jest ona przeznaczona dla:

  • Administratorzy usługi Power BI: administratorzy, którzy są odpowiedzialni za nadzorowanie usługi Power BI w organizacji. Administratorzy usługi Power BI muszą współpracować z zabezpieczeniami informacji i innymi odpowiednimi zespołami.
  • Centrum doskonałości, IT i zespołów analizy biznesowej: inni, którzy są odpowiedzialni za nadzorowanie usługi Power BI w organizacji. Może być konieczne współpraca z administratorami usługi Power BI, zespołami ds. zabezpieczeń informacji i innymi odpowiednimi zespołami.

Ważne

Ochrona informacji i zapobieganie utracie danych (DLP) to znaczące przedsięwzięcie w całej organizacji. Jego zakres i wpływ są znacznie większe niż sama usługa Power BI. Ten typ inicjatywy wymaga finansowania, priorytetyzacji i planowania. Spodziewaj się, że w planowaniu, użyciu i wysiłkach nadzoru związanych z planowaniem, użyciem i nadzorem należy zaangażować kilka zespołów obejmujących wiele funkcji.

Działania związane z etykietowaniem i klasyfikacją wykraczają poza usługę Power BI, a nawet zasoby danych. Decyzje omówione w tym artykule dotyczą zasobów całej organizacji, w tym plików i wiadomości e-mail, a nie tylko do usługi Power BI. W tym artykule przedstawiono tematy, które mają zastosowanie do etykietowania i klasyfikacji ogólnie, ponieważ podejmowanie odpowiednich decyzji organizacyjnych ma kluczowe znaczenie dla sukcesu zapobiegania utracie danych w usłudze Power BI.

Ten artykuł zawiera również wskazówki wprowadzające dotyczące definiowania struktury etykiet poufności. Technicznie struktura etykiet poufności jest warunkiem wstępnym implementacji etykiet poufności w usłudze Power BI. Celem dołączania niektórych podstawowych informacji w tym artykule jest pomoc w zrozumieniu, co jest związane z tym. Ważne jest, aby współpracować z działem IT w celu planowania i implementowania ochrony informacji w organizacji.

Przeznaczenie etykiet poufności

Korzystanie z etykiet poufności usługi Microsoft Purview Information Protection dotyczy klasyfikowania zawartości. Etykieta poufności jest podobna do tagu stosowanego do elementu, pliku, witryny lub zasobu danych.

Korzystanie z ochrony informacji ma wiele zalet. Klasyfikowanie i etykietowanie zawartości ułatwia organizacjom:

  • Dowiedz się, gdzie znajdują się poufne dane.
  • Śledzenie wymagań dotyczących zgodności zewnętrznej i wewnętrznej.
  • Ochrona zawartości przed nieautoryzowanymi użytkownikami.
  • Poinformuj użytkowników o tym, jak odpowiedzialnie obsługiwać dane.
  • Zaimplementuj mechanizmy kontroli w czasie rzeczywistym, aby zmniejszyć ryzyko wycieku danych.

Aby uzyskać więcej przypadków użycia ochrony informacji, zobacz Ochrona informacji i DLP (typowe przypadki użycia).

Napiwek

Warto pamiętać, że usługa Microsoft Purview Information Protection jest produktem. Etykiety poufności są określoną cechą tego produktu.

Etykieta poufności to krótki opis w postaci zwykłego tekstu. Koncepcyjnie możesz myśleć o etykiecie poufności, takiej jak tag. Do każdego elementu można przypisać tylko jedną etykietę (na przykład semantyczny model usługi Power BI w usługa Power BI) lub każdy plik (na przykład plik programu Power BI Desktop).

Etykieta ma następujące cele.

  • Klasyfikacja: zapewnia klasyfikację do opisywania poziomu poufności.
  • Edukacja i świadomość użytkowników: pomaga użytkownikom zrozumieć, jak odpowiednio pracować z zawartością.
  • Zasady: stanowi podstawę stosowania i wymuszania zasad i DLP.

Wymagania wstępne dotyczące ochrony informacji usługi Power BI

Do tej pory należy wykonać kroki planowania na poziomie organizacji opisane w artykule Planowanie ochrony informacji na poziomie organizacji. Przed kontynuowaniem należy mieć jasność:

  • Bieżący stan: bieżący stan ochrony informacji w organizacji. Należy zrozumieć, czy etykiety poufności są już używane dla plików pakietu Microsoft Office. W takim przypadku zakres pracy w celu dodania usługi Power BI jest znacznie mniejszy niż w przypadku wprowadzenia ochrony informacji do organizacji po raz pierwszy.
  • Cele i wymagania : strategiczne cele wdrażania ochrony informacji w organizacji. Zrozumienie celów i wymagań będzie służyć jako przewodnik po wysiłkach związanych z implementacją.

Jeśli ochrona informacji nie jest używana przez organizację, pozostała część tej sekcji zawiera informacje ułatwiające współpracę z innymi osobami w celu wprowadzenia ochrony informacji do organizacji.

Jeśli ochrona informacji jest aktywnie używana w organizacji, zalecamy użycie tego artykułu w celu sprawdzenia, czy zostały spełnione wymagania wstępne. Jeśli etykiety poufności są aktywnie używane, większość działań (lub wszystkich) w fazach wdrażania 1–4 (w następnej sekcji) będzie już ukończona.

Fazy wdrażania

Zalecamy zaplanowanie wdrożenia stopniowego planu wdrożenia na potrzeby wdrażania i testowania ochrony informacji. Celem stopniowego planowania wdrożenia jest skonfigurowanie się do nauki, dostosowywania i iterowania w miarę przechodzenia. Zaletą jest to, że mniej użytkowników ma wpływ na wczesne etapy (gdy zmiany są bardziej prawdopodobne), dopóki ochrona informacji nie zostanie ostatecznie wdrożona dla wszystkich użytkowników w organizacji.

Wprowadzenie ochrony informacji jest znaczącym przedsięwzięciem. Zgodnie z opisem w artykule Dotyczącym planowania ochrony informacji na poziomie organizacji, jeśli Organizacja wdrożyła już ochronę informacji dla dokumentów pakietu Microsoft Office, wiele z tych zadań zostanie już ukończonych.

Ta sekcja zawiera omówienie faz, które zalecamy uwzględnić w planie stopniowego wdrażania. Powinno to dać poczucie tego, czego się spodziewać. W pozostałej części tego artykułu opisano inne kryteria podejmowania decyzji dotyczące kluczowych aspektów, które mają bezpośredni wpływ na usługę Power BI.

Faza 1. Planowanie, podejmowanie decyzji, przygotowywanie

W pierwszej fazie skoncentruj się na planowaniu, podejmowaniu decyzji i działaniach przygotowawczych. Większość pozostałej części tego artykułu koncentruje się na tej pierwszej fazie.

Jak najszybciej wyjaśnij, gdzie nastąpi wstępne testowanie. Ten wybór będzie mieć wpływ na to, gdzie początkowo skonfigurujesz, opublikujesz i przetestujesz. W przypadku testowania początkowego można użyć dzierżawy nieprodukcyjnej (jeśli masz dostęp do tej dzierżawy).

Napiwek

Większość organizacji ma dostęp do jednej dzierżawy, więc może być trudne do eksplorowania nowych funkcji w izolowany sposób. W przypadku tych organizacji, które mają oddzielną dzierżawę deweloperów lub testowych, zalecamy użycie jej w fazie testowania początkowego. Aby uzyskać więcej informacji na temat zarządzania dzierżawami i sposobu tworzenia dzierżawy w wersji próbnej w celu przetestowania nowych funkcji, zobacz Konfiguracja dzierżawy.

Faza 2. Konfigurowanie pomocniczych zasobów użytkowników

Druga faza obejmuje kroki konfigurowania zasobów dla użytkowników pomocniczych. Zasoby obejmują zasady klasyfikacji i ochrony danych oraz niestandardową stronę pomocy.

Ważne jest, aby niektóre z dokumentacji użytkownika zostały opublikowane wcześnie. Ważne jest również, aby zespół pomocy technicznej użytkowników był przygotowany wcześnie.

Faza 3. Konfigurowanie etykiet i publikowanie

Trzecia faza koncentruje się na definiowaniu etykiet poufności. Po podjęciu wszystkich decyzji konfiguracja nie jest trudna ani czasochłonna. Etykiety poufności są konfigurowane w portal zgodności Microsoft Purview w Centrum administracyjne platformy Microsoft 365.

Faza 4. Zasady publikowania etykiet

Aby można było użyć etykiety, należy opublikować ją w ramach zasad etykiet. Zasady etykiet umożliwiają niektórym użytkownikom używanie etykiety. Zasady etykiet są publikowane w portal zgodności Microsoft Purview w Centrum administracyjne platformy Microsoft 365.

Uwaga

Wszystko do tego momentu jest wymaganiem wstępnym do zaimplementowania ochrony informacji dla usługi Power BI.

Faza 5. Włączanie ustawień dzierżawy usługi Power BI

W portalu administracyjnym usługi Power BI istnieje kilka ustawień dzierżawy usługi Information Protection. Są one wymagane do włączenia ochrony informacji w usługa Power BI.

Ważne

Ustawienia dzierżawy należy ustawić po skonfigurowaniu i opublikowaniu etykiet w portal zgodności Microsoft Purview.

Faza 6. Wstępne testowanie

W szóstej fazie przeprowadzasz testy początkowe, aby sprawdzić, czy wszystko działa zgodnie z oczekiwaniami. W celach początkowych testowania należy opublikować zasady etykiet tylko dla zespołu implementacji.

W tej fazie należy mieć pewność, że należy przetestować następujące elementy:

  • Pliki pakietu Microsoft Office
  • Elementy usługi Power BI w usługa Power BI
  • Pliki programu Power BI Desktop
  • Eksportowanie plików z usługa Power BI
  • Inne zakresy zawarte w konfiguracji, takie jak witryny usługi Teams lub program SharePoint

Pamiętaj, aby sprawdzić funkcjonalność i środowisko użytkownika przy użyciu przeglądarki internetowej, a także urządzeń przenośnych, które są często używane. Odpowiednio zaktualizuj dokumentację użytkownika.

Ważne

Nawet jeśli tylko kilku członków zespołu ma uprawnienia do ustawiania etykiety poufności, wszyscy użytkownicy będą mogli wyświetlać etykiety przypisane do zawartości. Jeśli używasz dzierżawy produkcyjnej, użytkownicy mogą się zastanawiać, dlaczego widzą etykiety przypisane do elementów w obszarze roboczym w usługa Power BI. Przygotuj się do pomocy technicznej i odpowiadaj na pytania użytkowników.

Faza 7. Zbieranie opinii użytkowników

Celem tej fazy jest uzyskanie opinii od małej grupy kluczowych użytkowników. Opinie powinny identyfikować obszary nieporozumień, luki w strukturze etykiet lub problemy techniczne. Możesz również znaleźć powody, aby ulepszyć dokumentację użytkownika.

W tym celu należy opublikować (lub ponownie opublikować) zasady etykiet dla małego podzbioru użytkowników, którzy chcą przekazać opinię.

Napiwek

Pamiętaj, aby uwzględnić wystarczający czas do planu projektu. W przypadku ustawień zasad etykiet i etykiet dokumentacja produktu zaleca zezwolenie 24 godzin na wprowadzenie zmian. Ten czas jest wymagany, aby upewnić się, że wszystkie zmiany są propagowane do powiązanych usług.

Faza 8. Wydawanie iteracyjne

Faza implementacji jest zwykle procesem iteracyjnym.

Często początkowym celem jest uzyskanie stanu, w którym przypisana jest etykieta poufności dla całej zawartości usługi Power BI. Aby osiągnąć ten cel, można wprowadzić obowiązkowe zasady etykiet lub domyślne zasady etykiet. Możesz również użyć interfejsów API administratora usługi Information Protection do programowego ustawiania lub usuwania etykiet poufności.

Możesz stopniowo dołączać więcej grup użytkowników do momentu dołączenia całej organizacji. Ten proces obejmuje ponowne opublikowanie poszczególnych zasad etykiet w celu coraz większej grupy użytkowników.

W trakcie tego procesu należy określić priorytety dostarczania wskazówek, komunikacji i szkoleń użytkownikom, aby zrozumieli proces i czego się spodziewali.

Faza 9. Monitorowanie, inspekcja, dostosowywanie, integracja

Po początkowym wdrożeniu należy wykonać inne kroki. Musisz mieć zespół podstawowy do monitorowania działań związanych z ochroną informacji i dostrajania ich w czasie. W miarę stosowania etykiet będzie można ocenić ich użyteczność i zidentyfikować obszary pod kątem korekt.

Istnieje wiele aspektów inspekcji ochrony informacji. Aby uzyskać więcej informacji, zobacz Inspekcja ochrony informacji i zapobiegania utracie danych w usłudze Power BI.

Inwestycje w konfigurowanie ochrony informacji mogą być używane w zasadach DLP dla usługi Power BI, które są konfigurowane w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, w tym opis funkcji DLP, zobacz Ochrona przed utratą danych w usłudze Power BI.

Ochrona informacji może również służyć do tworzenia zasad w usłudze Microsoft Defender dla Chmury Apps. Aby uzyskać więcej informacji, w tym opis możliwości, które mogą okazać się przydatne, zobacz Defender dla Chmury Apps for Power BI.

Lista kontrolna — podczas przygotowywania faz wdrażania ochrony informacji kluczowe decyzje i akcje obejmują:

  • Utwórz plan stopniowego wdrażania: zdefiniuj fazy planu wdrożenia. Wyjaśnienie, jakie są konkretne cele dla każdej fazy.
  • Określ, gdzie należy przeprowadzić testowanie: określ, gdzie można przeprowadzić wstępne testowanie. Aby zminimalizować wpływ na użytkowników, użyj dzierżawy nieprodukcyjnej, jeśli jest to możliwe.
  • Utwórz plan projektu: utwórz plan projektu zawierający wszystkie kluczowe działania, szacowaną oś czasu i osoby odpowiedzialne.

Struktura etykiet poufności

Struktura etykiet poufności jest wymaganiem wstępnym do implementowania etykiet poufności w usłudze Power BI. Ta sekcja zawiera kilka podstawowych informacji, które pomogą Ci zrozumieć, co jest związane z tworzeniem struktury etykiet.

Ta sekcja nie jest wyczerpującą listą wszystkich możliwych zagadnień dotyczących etykiet poufności dla wszystkich możliwych aplikacji. Zamiast tego koncentruje się na zagadnieniach i działaniach, które mają bezpośredni wpływ na klasyfikację zawartości usługi Power BI. Upewnij się, że współpracujesz z innymi osobami biorącymi udział w projekcie i administratorami systemu, aby podejmować decyzje, które działają dobrze dla wszystkich aplikacji i przypadków użycia.

Podstawy implementowania ochrony informacji zaczynają się od zestawu etykiet poufności. Celem końcowym jest utworzenie zestawu etykiet poufności, które są jasne i proste dla użytkowników do pracy.

Struktura etykiet poufności używana w organizacji reprezentuje taksonomię etykiet. Jest to również często określane jako taksonomia klasyfikacji danych, ponieważ celem jest klasyfikowanie danych. Czasami jest określany jako definicja schematu.

Nie ma standardowego ani wbudowanego zestawu etykiet. Każda organizacja musi definiować i dostosowywać zestaw etykiet zgodnie z ich potrzebami. Proces dotarcia do odpowiedniego zestawu etykiet obejmuje szeroką współpracę. Wymaga przemyślanego planowania, aby zapewnić, że etykiety spełniają cele i wymagania. Pamiętaj, że etykiety będą stosowane do nie tylko zawartości usługi Power BI.

Napiwek

Większość organizacji zaczyna się od przypisywania etykiet do plików pakietu Microsoft Office. Następnie ewoluują w celu klasyfikowania innej zawartości, takiej jak elementy i pliki usługi Power BI.

Struktura etykiet obejmuje:

  • Etykiety: etykiety tworzą hierarchię. Każda etykieta wskazuje poziom poufności elementu, pliku lub zasobu danych. Zalecamy utworzenie między trzema i siedmioma etykietami. Etykiety powinny rzadko się zmieniać.
  • Etykiety podrzędne: etykiety podrzędne wskazują odmiany ochrony lub zakresu w ramach określonej etykiety. Uwzględniając je w różnych zasadach etykiet, można ograniczyć zakres etykiet do określonego zestawu użytkowników lub użytkowników zaangażowanych w określony projekt.

Napiwek

Chociaż etykiety podrzędne zapewniają elastyczność, powinny być używane w moderacji tylko w celu spełnienia krytycznych wymagań. Utworzenie zbyt wielu etykiet podrzędnych powoduje zwiększenie zarządzania. Mogą również przeciążać użytkowników zbyt wieloma opcjami.

Etykiety tworzą hierarchię, począwszy od najmniej poufnej klasyfikacji do najbardziej poufnej klasyfikacji.

Czasami zawartość usługi Power BI zawiera dane obejmujące wiele etykiet. Na przykład model semantyczny może zawierać informacje o spisie produktów (Ogólne użycie wewnętrzne) i bieżące dane sprzedaży kwartału (ograniczone). Podczas wybierania etykiety, która ma zostać przypisana do modelu semantycznego usługi Power BI, użytkownicy powinni być nauczeni stosowania najbardziej restrykcyjnej etykiety.

Napiwek

W następnej sekcji opisano zasady klasyfikacji i ochrony danych, które mogą zapewnić użytkownikom wskazówki dotyczące tego, kiedy należy używać każdej etykiety.

Ważne

Przypisanie etykiety lub etykiety podrzędnej nie ma bezpośredniego wpływu na dostęp do zawartości usługi Power BI w usługa Power BI. Zamiast tego etykieta udostępnia przydatną kategorię, która może kierować zachowaniem użytkownika. Zasady ochrony przed utratą danych mogą być również oparte na przypisanej etykiecie. Jednak nic się nie zmienia w sposobie zarządzania dostępem do zawartości usługi Power BI, z wyjątkiem sytuacji, gdy plik jest zaszyfrowany. Aby uzyskać więcej informacji, zobacz Korzystanie z ochrony szyfrowania.

Bądź celowy z utworzonymi etykietami, ponieważ usunięcie lub usunięcie etykiety jest trudne po przejściu poza fazę początkowego testowania. Ponieważ etykiety podrzędne mogą (opcjonalnie) być używane dla określonego zestawu użytkowników, mogą one zmieniać się częściej niż etykiety.

Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących definiowania struktury etykiet.

  • Używaj intuicyjnych, jednoznacznych terminów: Jasność jest ważna, aby upewnić się, że użytkownicy wiedzą, co należy wybrać podczas klasyfikowania danych. Na przykład posiadanie etykiety Ściśle tajne i etykieta Wysoce poufne jest niejednoznaczna.
  • Tworzenie logicznej kolejności hierarchicznej: kolejność etykiet ma kluczowe znaczenie dla zapewnienia dobrego działania wszystkich elementów. Pamiętaj, że ostatnia etykieta na liście jest najbardziej wrażliwa. Hierarchiczna kolejność, w połączeniu z dobrze wybranymi terminami, powinna być logiczna i intuicyjna dla użytkowników do pracy. Wyraźna hierarchia ułatwi również tworzenie i konserwację zasad.
  • Utwórz tylko kilka etykiet, które mają zastosowanie w całej organizacji: posiadanie zbyt wielu etykiet dla użytkowników do wyboru będzie mylące. Doprowadzi to również do mniej dokładnego zaznaczenia etykiety. Zalecamy utworzenie zaledwie kilku etykiet dla zestawu początkowego.
  • Użyj znaczących, ogólnych nazw: unikaj używania żargonu branżowego lub akronimów w nazwach etykiet. Na przykład zamiast tworzyć etykietę o nazwie Dane osobowe, zamiast tego należy używać nazw takich jak Wysoce ograniczone lub Wysoce poufne .
  • Używaj terminów, które są łatwo zlokalizowane w innych językach: w przypadku organizacji globalnych z operacjami w wielu krajach/regionach ważne jest, aby wybrać terminy etykiet, które nie będą mylące ani niejednoznaczne w przypadku ich tłumaczenia na inne języki.

Napiwek

Jeśli uważasz, że planujesz wiele etykiet, które są bardzo specyficzne, wróć i ponownie ocenisz swoje podejście. Złożoność może prowadzić do nieporozumień użytkowników, zmniejszenia wdrożenia i mniej efektywnej ochrony informacji. Zalecamy rozpoczęcie od początkowego zestawu etykiet (lub użycia już posiadanych etykiet). Po uzyskaniu większego doświadczenia należy ostrożnie rozwinąć zestaw etykiet, dodając bardziej szczegółowe, jeśli to konieczne.

Lista kontrolna — podczas planowania struktury etykiet poufności kluczowe decyzje i akcje obejmują:

  • Definiowanie początkowego zestawu etykiet poufności: utwórz początkowy zestaw etykiet poufności z zakresu od trzech do siedmiu etykiet poufności. Upewnij się, że mają szerokie zastosowanie do szerokiego zakresu zawartości. Zaplanuj iterację na początkowej liście podczas finalizowania zasad klasyfikacji i ochrony danych.
  • Ustal, czy potrzebujesz etykiet podrzędnych: zdecyduj, czy istnieje potrzeba użycia etykiet podrzędnych dla dowolnej etykiety.
  • Sprawdź lokalizację terminów etykiet: jeśli etykiety zostaną przetłumaczone na inne języki, osoby mówiące natywne potwierdzają, że zlokalizowane etykiety przekazują zamierzone znaczenie.

Zakres etykiety poufności

Zakres etykiety poufności ogranicza użycie etykiety. Chociaż nie można bezpośrednio określić usługi Power BI, można stosować etykiety do różnych zakresów. Możliwe zakresy obejmują:

  • Elementy (takie jak elementy opublikowane w usługa Power BI oraz pliki i wiadomości e-mail)
  • Grupy i witryny (takie jak kanał usługi Teams lub witryna programu SharePoint)
  • Schematyzowane zasoby danych (obsługiwane źródła zarejestrowane w mapie danych usługi Purview)

Ważne

Nie można zdefiniować etykiety poufności tylko z zakresem usługi Power BI. Chociaż istnieją pewne ustawienia, które mają zastosowanie specjalnie do usługi Power BI, zakres nie jest jednym z nich. Zakres elementów jest używany dla usługa Power BI. Etykiety poufności są obsługiwane inaczej niż zasady DLP, które opisano w artykule Ochrona przed utratą danych dla planowania usługi Power BI, w którym niektóre typy zasad DLP można zdefiniować specjalnie dla usługi Power BI. Jeśli zamierzasz używać dziedziczenia etykiet poufności ze źródeł danych w usłudze Power BI, istnieją określone wymagania dotyczące zakresu etykiet.

Zdarzenia związane z etykietami poufności są rejestrowane w Eksploratorze działań. Zarejestrowane szczegóły tych zdarzeń będą znacznie bogatsze, gdy zakres jest szerszy. Będziesz również lepiej przygotowany do ochrony danych w szerszym spektrum aplikacji i usług.

Podczas definiowania początkowego zestawu etykiet poufności rozważ udostępnienie początkowego zestawu etykiet dla wszystkich zakresów. Dzieje się tak, ponieważ może to stać się mylące dla użytkowników, gdy widzą różne etykiety w różnych aplikacjach i usługach. Jednak w czasie można wykryć przypadki użycia dla bardziej szczegółowych etykiet podrzędnych. Jednak bezpieczniej jest zacząć od spójnego i prostego zestawu etykiet początkowych.

Zakres etykiety jest ustawiany w portal zgodności Microsoft Purview podczas konfigurowania etykiety.

Lista kontrolna — podczas planowania zakresu etykiet kluczowe decyzje i akcje obejmują:

  • Zdecyduj zakres etykiety: Omówić i zdecydować, czy każda z początkowych etykiet zostanie zastosowana do wszystkich zakresów.
  • Przejrzyj wszystkie wymagania wstępne: zbadaj wymagania wstępne i niezbędne kroki konfiguracji, które będą wymagane dla każdego zakresu, który ma być używany.

Korzystanie z ochrony przed szyfrowaniem

Istnieje wiele opcji ochrony z etykietą poufności.

  • Szyfrowanie: ustawienia szyfrowania dotyczą plików lub wiadomości e-mail. Na przykład można zaszyfrować plik programu Power BI Desktop.
  • Oznaczenia: odnosi się do nagłówków, stopek i znaków wodnych. Oznaczenia są przydatne w przypadku plików pakietu Microsoft Office, ale nie są wyświetlane w zawartości usługi Power BI.

Napiwek

Zazwyczaj gdy ktoś odwołuje się do etykiety jako chronionej, odnosi się do szyfrowania. Może wystarczyć, że szyfrowane są tylko etykiety wyższego poziomu, takie jak Ograniczone i Wysoce ograniczone.

Szyfrowanie to sposób kryptograficznego kodowania informacji. Szyfrowanie ma kilka kluczowych zalet.

  • Tylko autoryzowani użytkownicy (na przykład użytkownicy wewnętrzni w organizacji) mogą otwierać, odszyfrowywać i odczytywać chroniony plik.
  • Szyfrowanie pozostaje przy użyciu chronionego pliku, nawet jeśli plik jest wysyłany poza organizację lub jest zmieniany.
  • Ustawienie szyfrowania jest uzyskiwane z oryginalnej zawartości oznaczonej etykietą. Rozważmy raport w usługa Power BI ma etykietę poufności o wysokim ograniczeniu. Jeśli zostanie wyeksportowany do obsługiwanej ścieżki eksportu, etykieta pozostanie nienaruszona, a szyfrowanie zostanie zastosowane do wyeksportowanego pliku.

Usługa Azure Rights Management (Azure RMS) służy do ochrony plików za pomocą szyfrowania. Istnieją pewne ważne wymagania wstępne , które należy spełnić w celu korzystania z szyfrowania usługi Azure RMS.

Ważne

Należy wziąć pod uwagę ograniczenie: użytkownik w trybie offline (bez połączenia z Internetem) nie może otworzyć zaszyfrowanego pliku programu Power BI Desktop (lub innego typu pliku chronionego przez usługę Azure RMS). Dzieje się tak dlatego, że usługa Azure RMS musi synchronicznie sprawdzić, czy użytkownik ma uprawnienia do otwierania, odszyfrowywania i wyświetlania zawartości pliku.

Zaszyfrowane etykiety są obsługiwane inaczej w zależności od tego, gdzie użytkownik działa.

  • W usługa Power BI: ustawienie szyfrowania nie ma bezpośredniego wpływu na dostęp użytkowników w usługa Power BI. Standardowe uprawnienia usługi Power BI (takie jak role obszaru roboczego, uprawnienia aplikacji lub uprawnienia do udostępniania) kontrolują dostęp użytkowników w usługa Power BI. Etykiety poufności nie mają wpływu na dostęp do zawartości w usługa Power BI.
  • Pliki programu Power BI Desktop: zaszyfrowana etykieta może być przypisana do pliku programu Power BI Desktop. Etykieta jest również zachowywana podczas eksportowania z usługa Power BI. Tylko autoryzowani użytkownicy będą mogli otwierać, odszyfrowywać i wyświetlać plik.
  • Wyeksportowane pliki: pliki microsoft Excel, Microsoft PowerPoint i PDF wyeksportowane z usługa Power BI zachowują etykietę poufności, w tym ochronę szyfrowania. W przypadku obsługiwanych formatów plików tylko autoryzowani użytkownicy będą mogli otwierać, odszyfrowywać i wyświetlać plik.

Ważne

Ważne jest, aby użytkownicy rozumieli różnice między usługa Power BI i plikami, które są łatwo mylone. Zalecamy udostępnienie dokumentu z często zadawanymi pytaniami wraz z przykładami, aby ułatwić użytkownikom zrozumienie różnic.

Aby otworzyć chroniony plik programu Power BI Desktop lub wyeksportowany plik, użytkownik musi spełnić następujące kryteria.

  • Łączność z Internetem: użytkownik musi być połączony z Internetem. Do komunikowania się z usługą Azure RMS jest wymagane aktywne połączenie internetowe.
  • Uprawnienia usługi RMS: użytkownik musi mieć uprawnienia usługi RMS, które są zdefiniowane w etykiecie (a nie w zasadach etykiet). Uprawnienia usługi RMS umożliwiają autoryzowanym użytkownikom odszyfrowywanie, otwieranie i wyświetlanie obsługiwanych formatów plików.
  • Dozwolony użytkownik: użytkownicy lub grupy muszą być określeni w zasadach etykiet. Zazwyczaj przypisywanie autoryzowanych użytkowników jest wymagane tylko dla twórców i właścicieli zawartości, aby mogli stosować etykiety. Jednak w przypadku korzystania z ochrony szyfrowania istnieje inne wymaganie. Każdy użytkownik, który musi otworzyć chroniony plik, musi być określony w zasadach etykiet. To wymaganie oznacza, że licencjonowanie ochrony informacji może być wymagane dla większej liczby użytkowników.

Napiwek

Ustawienie dzierżawy Zezwalaj administratorom obszarów roboczych na zastępowanie automatycznie zastosowanych etykiet poufności umożliwia administratorom obszarów roboczych zmianę etykiety, która została zastosowana automatycznie, nawet jeśli dla etykiety jest włączona ochrona (szyfrowanie). Ta funkcja jest szczególnie przydatna, gdy etykieta została automatycznie przypisana lub odziedziczona, ale administrator obszaru roboczego nie jest autoryzowanym użytkownikiem.

Ochrona etykiet jest ustawiana w portal zgodności Microsoft Purview podczas konfigurowania etykiety.

Lista kontrolna — podczas planowania użycia szyfrowania etykiet kluczowe decyzje i akcje obejmują:

  • Zdecyduj, które etykiety powinny być szyfrowane: dla każdej etykiety poufności zdecyduj, czy mają być szyfrowane (chronione). Dokładnie zastanów się nad ograniczeniami, które są związane.
  • Zidentyfikuj uprawnienia usługi RMS dla każdej etykiety: określ, jakie uprawnienia użytkownika będą na potrzeby uzyskiwania dostępu do zaszyfrowanych plików i interakcji z nimi. Utwórz mapowanie użytkowników i grup dla każdej etykiety poufności, aby ułatwić proces planowania.
  • Zapoznaj się z wymaganiami wstępnymi dotyczącymi szyfrowania usługi RMS i zapoznaj się z wymaganiami wstępnymi dotyczącymi szyfrowania usługi RMS: Upewnij się, że zostały spełnione wymagania techniczne dotyczące korzystania z szyfrowania usługi Azure RMS.
  • Zaplanuj przeprowadzenie dokładnego testowania szyfrowania: ze względu na różnice między plikami pakietu Office i plikami usługi Power BI upewnij się, że zatwierdzasz dokładną fazę testowania.
  • Dołącz do dokumentacji użytkownika i szkolenia: upewnij się, że dołączysz wskazówki do dokumentacji i szkolenia dotyczące tego, czego użytkownicy powinni oczekiwać w przypadku plików, które mają mieć przypisaną etykietę poufności zaszyfrowaną.
  • Przeprowadzanie transferu wiedzy z pomocą techniczną: Utwórz konkretne plany przeprowadzania sesji transferu wiedzy z zespołem pomocy technicznej. Ze względu na złożoność szyfrowania będą oni prawdopodobnie otrzymywać pytania od użytkowników.

Dziedziczenie etykiet ze źródeł danych

Podczas importowania danych z obsługiwanych źródeł danych (takich jak Azure Synapse Analytics, Azure SQL Database lub plik programu Excel) model semantyczny usługi Power BI może opcjonalnie dziedziczyć etykietę poufności zastosowaną do danych źródłowych. Dziedziczenie pomaga:

  • Podwyższanie spójności etykietowania.
  • Zmniejsz nakład pracy użytkownika podczas przypisywania etykiet.
  • Zmniejsz ryzyko, że użytkownicy uzyskują dostęp do poufnych danych i udostępniają je nieautoryzowanym użytkownikom, ponieważ nie zostały oznaczone etykietą.

Napiwek

Istnieją dwa typy dziedziczenia dla etykiet poufności. Dziedziczenie podrzędne odnosi się do elementów podrzędnych (takich jak raporty), które automatycznie dziedziczą etykietę z modelu semantycznego usługi Power BI. Jednak fokus tej sekcji dotyczy dziedziczenia _nadrzędnego. Dziedziczenie nadrzędne odnosi się do modelu semantycznego usługi Power BI, który dziedziczy etykietę ze źródła danych nadrzędnego z modelu semantycznego.

Rozważmy przykład, w którym definicja robocza organizacji dotycząca etykiety poufności w obszarze Wysoce ograniczona zawiera numery kont finansowych. Ponieważ numery kont finansowych są przechowywane w usłudze Azure SQL Database, etykieta poufności o wysokim ograniczeniu została przypisana do tego źródła. Gdy dane z usługi Azure SQL Database są importowane do usługi Power BI, intencją jest dziedziczenie etykiety przez model semantyczny.

Etykiety poufności można przypisać do obsługiwanego źródła danych na różne sposoby.

  • Odnajdywanie i klasyfikacja danych: możesz przeskanować obsługiwaną bazę danych, aby zidentyfikować kolumny, które mogą zawierać poufne dane. Na podstawie wyników skanowania można zastosować niektóre lub wszystkie zalecenia dotyczące etykiet. Odnajdywanie i klasyfikacja danych jest obsługiwane w przypadku baz danych, takich jak Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics. Odnajdywanie i klasyfikacja danych SQL jest obsługiwane w lokalnych bazach danych programu SQL Server.
  • Przypisania ręczne: etykietę poufności można przypisać do pliku programu Excel. Możesz również ręcznie przypisać etykiety do kolumn bazy danych w usłudze Azure SQL Database lub programie SQL Server.
  • Automatyczne etykietowanie w usłudze Microsoft Purview: etykiety poufności można stosować do obsługiwanych źródeł danych zarejestrowanych jako zasoby w Mapa danych w Microsoft Purview.

Ostrzeżenie

Szczegółowe informacje dotyczące przypisywania etykiet poufności do źródła danych są poza zakresem tego artykułu. Możliwości techniczne ewoluują w odniesieniu do tego, co jest obsługiwane w przypadku dziedziczenia w usłudze Power BI. Zalecamy przeprowadzenie weryfikacji technicznej koncepcji w celu zweryfikowania celów, łatwości użycia i tego, czy możliwości spełniają Twoje wymagania.

Dziedziczenie będzie miało miejsce tylko wtedy, gdy włączysz ustawienie Zastosuj etykiety poufności ze źródeł danych do ich danych w dzierżawie usługi Power BI. Aby uzyskać więcej informacji na temat ustawień dzierżawy, zobacz sekcję Ustawienia dzierżawy usługi Power BI w dalszej części tego artykułu.

Napiwek

Musisz zapoznać się z zachowaniem dziedziczenia. Pamiętaj, aby uwzględnić różne okoliczności w planie testów.

Lista kontrolna — podczas planowania dziedziczenia etykiet ze źródeł danych kluczowe decyzje i akcje obejmują:

  • Zdecyduj, czy usługa Power BI powinna dziedziczyć etykiety ze źródeł danych: zdecyduj, czy usługa Power BI powinna dziedziczyć te etykiety. Zaplanuj włączenie ustawienia dzierżawy, aby zezwolić na tę możliwość.
  • Zapoznaj się z wymaganiami wstępnymi technicznymi: określ, czy należy wykonać dodatkowe kroki w celu przypisania etykiet poufności do źródeł danych.
  • Testowanie funkcji dziedziczenia etykiet: ukończ weryfikację techniczną koncepcji, aby przetestować sposób działania dziedziczenia. Sprawdź, czy funkcja działa zgodnie z oczekiwaniami w różnych okolicznościach.
  • Dołącz do dokumentacji użytkownika: upewnij się, że informacje o dziedziczeniu etykiet są dodawane do wskazówek udostępnianych użytkownikom. Uwzględnij realistyczne przykłady w dokumentacji użytkownika.

Opublikowane zasady etykiet

Po zdefiniowaniu etykiety poufności można dodać etykietę do co najmniej jednej zasady etykiety. Zasady etykiet to sposób publikowania etykiety, aby można było jej używać. Definiuje, które etykiety mogą być używane przez zestaw autoryzowanych użytkowników. Istnieją również inne ustawienia, takie jak etykieta domyślna i obowiązkowa etykieta.

Korzystanie z wielu zasad etykiet może być przydatne, gdy trzeba kierować do różnych zestawów użytkowników. Etykietę poufności można zdefiniować raz, a następnie dołączyć do co najmniej jednej zasady etykiety.

Napiwek

Etykieta poufności nie jest dostępna do użycia, dopóki zasady etykiet zawierające etykietę nie zostaną opublikowane w portal zgodności Microsoft Purview.

Autoryzowani użytkownicy i grupy

Podczas tworzenia zasad etykiet należy wybrać co najmniej jednego użytkownika lub grupy. Zasady etykiet określają, którzy użytkownicy mogą używać etykiety. Umożliwia użytkownikom przypisanie tej etykiety do określonej zawartości, takiej jak plik programu Power BI Desktop, plik programu Excel lub element opublikowany w usługa Power BI.

Zalecamy, aby autoryzowani użytkownicy i grupy były jak najprostsze. Dobrą regułą jest opublikowanie etykiet podstawowych dla wszystkich użytkowników. Czasami jest to odpowiednie, aby etykieta podrzędna została przypisana lub ograniczona do podzbioru użytkowników.

Zalecamy przypisywanie grup zamiast osób, gdy jest to możliwe. Korzystanie z grup upraszcza zarządzanie zasadami i zmniejsza częstotliwość ich ponownego publikowania,

Ostrzeżenie

Autoryzowani użytkownicy i grupy etykiety różnią się od użytkowników przypisanych do usługi Azure RMS dla etykiety chronionej (zaszyfrowanej). Jeśli użytkownik ma problemy z otwarciem zaszyfrowanego pliku, zbadaj uprawnienia szyfrowania dla określonych użytkowników i grup (które są skonfigurowane w ramach konfiguracji etykiety, a nie w zasadach etykiet). W większości sytuacji zalecamy przypisanie tych samych użytkowników do obu tych grup. Ta spójność pozwoli uniknąć nieporozumień i zmniejszyć liczbę biletów pomocy technicznej.

Autoryzowani użytkownicy i grupy są ustawiani w portal zgodności Microsoft Purview po opublikowaniu zasad etykiet.

Lista kontrolna — podczas planowania autoryzowanych użytkowników i grup w zasadach etykiet kluczowe decyzje i akcje obejmują:

  • Określ, które etykiety mają zastosowanie do wszystkich użytkowników: dyskutować i decydować, które etykiety poufności powinny być dostępne do użycia przez wszystkich użytkowników.
  • Określ, które etykiety podrzędne mają zastosowanie do podzestawu użytkowników: Dyskutować i decydować, czy istnieją jakiekolwiek etykiety podrzędne, które będą dostępne do użycia tylko przez określony zestaw użytkowników lub grup.
  • Określ, czy są potrzebne jakiekolwiek nowe grupy: określ, czy należy utworzyć nowe grupy identyfikatorów firmy Microsoft, aby obsługiwać autoryzowanych użytkowników i grupy.
  • Tworzenie dokumentu planowania: jeśli mapowanie autoryzowanych użytkowników na etykiety poufności jest skomplikowane, utwórz mapowanie użytkowników i grup dla poszczególnych zasad etykiet.

Etykieta domyślna zawartości usługi Power BI

Podczas tworzenia zasad etykiet można wybrać etykietę domyślną. Na przykład etykieta Ogólne użycie wewnętrzne może być ustawiona jako etykieta domyślna. To ustawienie będzie miało wpływ na nowe elementy usługi Power BI utworzone w programie Power BI Desktop lub usługa Power BI.

Etykietę domyślną można skonfigurować w zasadach etykiet specjalnie dla zawartości usługi Power BI, która jest oddzielona od innych elementów. Większość decyzji i ustawień dotyczących ochrony informacji jest stosowana szerzej. Jednak domyślne ustawienie etykiety (i obowiązkowe ustawienie etykiety opisane w dalszej części) ma zastosowanie tylko do usługi Power BI.

Napiwek

Chociaż można ustawić różne etykiety domyślne (dla usługi Power BI i zawartości innej niż Power BI), należy rozważyć, czy jest to najlepsza opcja dla użytkowników.

Ważne jest, aby zrozumieć, że nowe domyślne zasady etykiet będą stosowane do zawartości utworzonej lub edytowanej po opublikowaniu zasad etykiet. Nie spowoduje to wstecznego przypisania etykiety domyślnej do istniejącej zawartości. Administrator usługi Power BI może zbiorczo ustawić etykiety poufności przy użyciu interfejsów API ochrony informacji, aby upewnić się, że istniejąca zawartość jest przypisana do domyślnej etykiety poufności.

Domyślne opcje etykiet są ustawiane w portal zgodności Microsoft Purview po opublikowaniu zasad etykiet.

Lista kontrolna — podczas planowania, czy zostanie zastosowana domyślna etykieta zawartości usługi Power BI, kluczowe decyzje i akcje obejmują:

  • Zdecyduj, czy zostanie określona etykieta domyślna: Omówić i zdecydować, czy etykieta domyślna jest odpowiednia. Jeśli tak, określ, która etykieta najlepiej nadaje się jako domyślna.
  • Dołącz do dokumentacji użytkownika: w razie potrzeby upewnij się, że informacje o etykiecie domyślnej zostały wymienione w wskazówkach podanych dla użytkowników. Celem jest zrozumienie, jak określić, czy etykieta domyślna jest odpowiednia, czy też powinna zostać zmieniona.

Obowiązkowe etykietowanie zawartości usługi Power BI

Klasyfikacja danych jest typowym wymaganiem prawnym. Aby spełnić to wymaganie, możesz wymagać od użytkowników etykietowania całej zawartości usługi Power BI. To obowiązkowe wymaganie etykietowania ma zastosowanie, gdy użytkownicy tworzą lub edytują zawartość usługi Power BI.

Możesz zaimplementować obowiązkowe etykiety, etykiety domyślne (opisane w poprzedniej sekcji) lub obie te etykiety. Należy wziąć pod uwagę następujące kwestie.

  • Obowiązkowe zasady etykiet zapewniają, że etykieta nie będzie pusta
  • Obowiązkowe zasady etykiet wymagają od użytkowników wybrania etykiety, jaka powinna być etykieta
  • Obowiązkowe zasady etykiet uniemożliwiają użytkownikom całkowite usunięcie etykiety
  • Domyślne zasady etykiet są mniej uciążliwe dla użytkowników, ponieważ nie wymagają od nich podjęcia działań
  • Domyślne zasady etykiet mogą spowodować błędną etykietę zawartości, ponieważ użytkownik nie wyraził wyraźnego wyboru
  • Włączenie zarówno domyślnych zasad etykiet, jak i obowiązkowych zasad etykiet może zapewnić dodatkowe korzyści

Napiwek

Jeśli zdecydujesz się zaimplementować obowiązkowe etykiety, zalecamy również zaimplementowanie etykiet domyślnych.

Możesz skonfigurować obowiązkowe zasady etykiet specjalnie dla zawartości usługi Power BI. Większość ustawień ochrony informacji jest stosowana szerzej. Jednak obowiązkowe ustawienie etykiety (i domyślne ustawienie etykiety) ma zastosowanie specjalnie do usługi Power BI.

Napiwek

Obowiązkowe zasady etykiet nie mają zastosowania do jednostek usługi ani interfejsów API.

Obowiązkowe opcje etykietowania są ustawiane w portal zgodności Microsoft Purview po opublikowaniu zasad etykiet.

Lista kontrolna — podczas planowania, czy wymagane będzie obowiązkowe etykietowanie zawartości usługi Power BI, kluczowe decyzje i akcje obejmują:

  • Zdecyduj, czy etykiety będą obowiązkowe: dyskutować i decydować, czy obowiązkowe etykiety są niezbędne ze względów zgodności.
  • Dołącz do dokumentacji użytkownika: w razie potrzeby upewnij się, że informacje o obowiązkowych etykietach są dodawane do wskazówek podanych dla użytkowników. Celem jest, aby użytkownicy zrozumieli, czego się spodziewać.

Wymagania dotyczące licencji

Aby pracować z etykietami poufności, należy stosować określone licencje .

Wymagana jest licencja usługi Microsoft Purview Information Protection dla:

  • Administratorzy: administratorzy, którzy będą konfigurować etykiety, zarządzać nimi i nadzorować je.
  • Użytkownicy: twórcy zawartości i właściciele, którzy będą odpowiedzialni za stosowanie etykiet do zawartości. Użytkownicy obejmują również osoby, które muszą odszyfrować, otworzyć i wyświetlić chronione (zaszyfrowane) pliki.

Te możliwości mogą już być dostępne, ponieważ są one zawarte w pakietach licencji, takich jak Microsoft 365 E5. Alternatywnie Zgodność platformy Microsoft 365 E5 możliwości można kupić jako licencję autonomiczną.

Licencja usługi Power BI Pro lub Premium na użytkownika (PPU) jest również wymagana dla użytkowników, którzy będą stosować etykiety poufności i zarządzać nimi w usługa Power BI lub programie Power BI Desktop.

Napiwek

Jeśli potrzebujesz wyjaśnień dotyczących wymagań dotyczących licencjonowania, porozmawiaj z zespołem ds. kont Microsoft. Należy pamiętać, że licencja Zgodność platformy Microsoft 365 E5 zawiera dodatkowe możliwości poza zakresem tego artykułu.

Lista kontrolna — podczas oceniania wymagań licencyjnych dotyczących etykiet poufności kluczowe decyzje i akcje obejmują:

  • Zapoznaj się z wymaganiami dotyczącymi licencjonowania produktów: upewnij się, że zapoznasz się ze wszystkimi wymaganiami dotyczącymi licencjonowania.
  • Zapoznaj się z wymaganiami dotyczącymi licencjonowania użytkowników: sprawdź, czy wszyscy użytkownicy, którzy mają przypisać etykiety, mają licencje usługi Power BI Pro lub PPU.
  • Uzyskiwanie dodatkowych licencji: jeśli ma to zastosowanie, kup więcej licencji, aby odblokować funkcje, które mają być używane.
  • Przypisywanie licencji: przypisywanie licencji do każdego użytkownika, który przypisze, zaktualizuje lub zarządza etykietami poufności. Przypisz licencję do każdego użytkownika, który będzie korzystać z zaszyfrowanych plików.

Ustawienia dzierżawy usługi Power BI

Istnieje kilka ustawień dzierżawy usługi Power BI związanych z ochroną informacji.

Ważne

Ustawienia dzierżawy usługi Power BI na potrzeby ochrony informacji nie powinny być ustawiane do momentu spełnienia wszystkich wymagań wstępnych. Etykiety i zasady etykiet należy skonfigurować i opublikować w portal zgodności Microsoft Purview. Do tej pory nadal jesteś w procesie podejmowania decyzji. Przed ustawieniem ustawień dzierżawy należy najpierw określić proces testowania funkcjonalności za pomocą podzbioru użytkowników. Następnie możesz zdecydować, jak przeprowadzić stopniowe wdrażanie.

Użytkownicy, którzy mogą stosować etykiety

Należy zdecydować, kto będzie mógł stosować etykiety poufności do zawartości usługi Power BI. Ta decyzja określa, jak ustawić ustawienie Zezwalaj użytkownikom na stosowanie etykiet poufności dla ustawienia dzierżawy zawartości.

Zazwyczaj jest to twórca zawartości lub właściciel, który przypisuje etykietę podczas normalnego przepływu pracy. Najprostszym podejściem jest włączenie tego ustawienia dzierżawy, które umożliwia wszystkim użytkownikom usługi Power BI stosowanie etykiet. W takim przypadku standardowe role obszaru roboczego określają, kto może edytować elementy w usługa Power BI (w tym stosowanie etykiety). Dziennik aktywności służy do śledzenia, kiedy użytkownik przypisuje lub zmienia etykietę.

Etykiety ze źródeł danych

Należy zdecydować, czy etykiety poufności mają być dziedziczone z obsługiwanych źródeł danych, które są nadrzędne z usługi Power BI. Jeśli na przykład kolumny w usłudze Azure SQL Database zostały zdefiniowane z etykietą Poufności o wysokim stopniu ograniczenia , semantyczny model usługi Power BI, który importuje dane z tego źródła, odziedziczy etykietę.

Jeśli zdecydujesz się włączyć dziedziczenie z nadrzędnych źródeł danych, ustaw ustawienie Zastosuj etykiety poufności ze źródeł danych na ich dane w dzierżawie usługi Power BI. Zalecamy włączenie dziedziczenia etykiet źródeł danych w celu promowania spójności i zmniejszenia nakładu pracy.

Etykiety dla zawartości podrzędnej

Należy zdecydować, czy etykiety poufności powinny być dziedziczone przez zawartość podrzędną. Jeśli na przykład model semantyczny usługi Power BI ma etykietę poufności w obszarze Wysoce ograniczone, wszystkie raporty podrzędne dziedziczą tę etykietę z modelu semantycznego.

Jeśli zdecydujesz się włączyć dziedziczenie według zawartości podrzędnej, ustaw ustawienie Automatycznie zastosuj etykiety poufności do podrzędnej dzierżawy zawartości. Zalecamy włączenie dziedziczenia przez zawartość podrzędną w celu podwyższenia spójności i zmniejszenia nakładu pracy.

Przesłonięcia administratora obszaru roboczego

To ustawienie dotyczy etykiet, które zostały zastosowane automatycznie (na przykład w przypadku zastosowania etykiet domyślnych lub gdy etykiety są automatycznie dziedziczone). Gdy etykieta ma ustawienia ochrony, usługa Power BI zezwala tylko autoryzowanym użytkownikom na zmianę etykiety. To ustawienie umożliwia administratorom obszarów roboczych zmianę etykiety, która została zastosowana automatycznie, nawet jeśli na etykiecie znajdują się ustawienia ochrony.

Jeśli zdecydujesz się zezwolić na aktualizacje etykiet, ustaw ustawienie Zezwalaj administratorom obszarów roboczych na automatyczne zastępowanie zastosowanych etykiet poufności dzierżawy. To ustawienie dotyczy całej organizacji (nie poszczególnych grup). Umożliwia administratorom obszarów roboczych zmianę etykiet, które zostały automatycznie zastosowane.

Zalecamy rozważenie zezwolenia administratorom obszarów roboczych usługi Power BI na aktualizowanie etykiet. Możesz użyć dziennika aktywności, aby śledzić, kiedy przypisują lub zmieniają etykietę.

Nie zezwalaj na udostępnianie chronionej zawartości

Należy zdecydować, czy chroniona (zaszyfrowana) zawartość może być udostępniana wszystkim w organizacji.

Jeśli zdecydujesz się nie zezwalać na udostępnianie chronionej zawartości, ustaw ustawienie Ogranicz zawartość przy użyciu etykiet chronionych przed udostępnieniem za pośrednictwem linku wszystkim osobom w organizacji w dzierżawie. To ustawienie dotyczy całej organizacji (nie poszczególnych grup).

Zdecydowanie zalecamy włączenie tego ustawienia dzierżawy, aby uniemożliwić udostępnianie chronionej zawartości. Po włączeniu tej opcji nie zezwala na udostępnianie operacji całej organizacji w celu uzyskania bardziej poufnej zawartości (zdefiniowanej przez etykiety, które mają zdefiniowane szyfrowanie). Włączając to ustawienie, zmniejszysz możliwość wycieku danych.

Ważne

Istnieje podobne ustawienie dzierżawy o nazwie Zezwalaj na udostępnianie linków w celu udzielenia dostępu wszystkim w organizacji. Chociaż ma podobną nazwę, jej przeznaczenie jest inne. Definiuje ona, które grupy mogą utworzyć link udostępniania dla całej organizacji, niezależnie od etykiety poufności. W większości przypadków zalecamy ograniczenie tej możliwości w organizacji. Aby uzyskać więcej informacji, zobacz artykuł Report consumer security planning (Planowanie zabezpieczeń konsumentów raportów).

Obsługiwane typy plików eksportu

W portalu administracyjnym usługi Power BI istnieje wiele ustawień eksportu i udostępniania dzierżawy. W większości przypadków zalecamy, aby możliwość eksportowania danych było dostępna dla wszystkich (lub większości) użytkowników, aby nie ograniczać produktywności użytkowników.

Jednak wysoce regulowane branże mogą mieć wymóg ograniczenia eksportu, gdy nie można wymusić ochrony informacji dla formatu danych wyjściowych. Etykieta poufności zastosowana w usługa Power BI jest zgodna z zawartością po wyeksportowaniu do obsługiwanej ścieżki pliku. Zawiera pliki programu Excel, PowerPoint, PDF i Power BI Desktop. Ponieważ etykieta poufności pozostaje w wyeksportowanym pliku, korzyści z ochrony (szyfrowanie, które uniemożliwia nieautoryzowanym użytkownikom otwieranie pliku) są zachowywane dla tych obsługiwanych formatów plików.

Ostrzeżenie

Podczas eksportowania z programu Power BI Desktop do pliku PDF ochrona nie jest zachowywana dla wyeksportowanego pliku. Zalecamy edukować twórców zawartości do eksportowania z usługa Power BI w celu osiągnięcia maksymalnej ochrony informacji.

Nie wszystkie formaty eksportu obsługują ochronę informacji. Nieobsługiwane formaty, takie jak .csv, .xml, mhtml lub pliki .png (dostępne w przypadku korzystania z interfejsu API ExportToFile) mogą być wyłączone w ustawieniach dzierżawy usługi Power BI.

Napiwek

Zalecamy ograniczenie możliwości eksportowania tylko wtedy, gdy musisz spełnić określone wymagania prawne. W typowych scenariuszach zalecamy użycie dziennika aktywności usługi Power BI w celu zidentyfikowania użytkowników wykonujących eksporty. Następnie możesz nauczyć tych użytkowników o bardziej wydajnych i bezpiecznych alternatywach.

Lista kontrolna — podczas planowania sposobu konfigurowania ustawień dzierżawy w portalu administracyjnym usługi Power BI kluczowe decyzje i akcje obejmują:

  • Zdecyduj, którzy użytkownicy mogą stosować etykiety poufności: dyskutować i decydować, czy etykiety poufności mogą być przypisane do zawartości usługi Power BI przez wszystkich użytkowników (na podstawie standardowych zabezpieczeń usługi Power BI) lub tylko przez niektóre grupy użytkowników.
  • Ustal, czy etykiety powinny być dziedziczone z nadrzędnych źródeł danych: Omówienie i określenie, czy etykiety ze źródeł danych powinny być automatycznie stosowane do zawartości usługi Power BI korzystającej ze źródła danych.
  • Ustal, czy etykiety powinny być dziedziczone przez elementy podrzędne: Omówienie i określenie, czy etykiety przypisane do istniejących modeli semantycznych usługi Power BI powinny być automatycznie stosowane do powiązanej zawartości.
  • Zdecyduj, czy administratorzy obszarów roboczych usługi Power BI mogą zastąpić etykiety: Omówienie i podjęcie decyzji, czy administratorzy obszarów roboczych mają możliwość zmiany etykiet chronionych, które zostały przypisane automatycznie.
  • Ustal, czy chroniona zawartość może być udostępniana całej organizacji: dyskutować i decydować, czy można utworzyć linki udostępniania dla "osób w organizacji", gdy etykieta chroniona (zaszyfrowana) została przypisana do elementu w usługa Power BI.
  • Zdecyduj, które formaty eksportu są włączone: zidentyfikuj wymagania prawne, które będą mieć wpływ na dostępne formaty eksportu. Dyskutować i decydować, czy użytkownicy będą mogli używać wszystkich formatów eksportu w usługa Power BI. Ustal, czy niektóre formaty muszą być wyłączone w ustawieniach dzierżawy, gdy format eksportu nie obsługuje ochrony informacji.

Zasady klasyfikacji i ochrony danych

Skonfigurowanie struktury etykiet i opublikowanie zasad etykiet są niezbędne w pierwszych krokach. Istnieje jednak więcej możliwości, aby pomóc organizacji w klasyfikowaniu i ochronie danych. Ważne jest, aby zapewnić użytkownikom wskazówki dotyczące tego, co może i nie można zrobić z zawartością przypisaną do określonej etykiety. W tym miejscu przydają się zasady klasyfikacji i ochrony danych. Możesz traktować ją jako wytyczne dotyczące etykiet.

Uwaga

Zasady klasyfikacji i ochrony danych są zasadami wewnętrznego ładu. Możesz nazwać to coś innego. Ważne jest to, że jest to dokumentacja, którą tworzysz i udostępniasz użytkownikom, aby wiedzieli , jak efektywnie używać etykiet. Ponieważ zasady etykiet są konkretną stroną w portal zgodności Microsoft Purview, spróbuj uniknąć wywoływania wewnętrznych zasad ładu o tej samej nazwie.

Zalecamy iteracyjne tworzenie zasad klasyfikacji i ochrony danych podczas podejmowania decyzji. Oznacza to, że wszystko jest jasno zdefiniowane, gdy nadszedł czas na skonfigurowanie etykiet poufności.

Poniżej przedstawiono niektóre kluczowe informacje, które można uwzględnić w zasadach klasyfikacji i ochrony danych.

  • Opis etykiety: Poza nazwą etykiety podaj pełny opis etykiety. Opis powinien być jeszcze krótki. Oto kilka przykładowych opisów:
    • Ogólne użycie wewnętrzne — dla prywatnych, wewnętrznych, danych biznesowych
    • Ograniczone — w przypadku poufnych danych biznesowych, które mogłyby spowodować szkodę w przypadku naruszenia zabezpieczeń lub podlega wymaganiom prawnym lub zgodności
  • Przykłady: podaj przykłady ułatwiające wyjaśnienie, kiedy należy używać etykiety. Oto kilka przykładów:
    • Ogólne użycie wewnętrzne — w przypadku większości wewnętrznych komunikacji, danych pomocy technicznej niewrażliwych, odpowiedzi na ankiety, przeglądy, oceny i nieprecyzyjne dane lokalizacji
    • Ograniczone — w przypadku danych osobowych, takich jak imię i nazwisko, adres, telefon, adres e-mail, numer identyfikacyjny rządu, rasa lub pochodzenie etniczne. Obejmuje umowy dostawców i partnerów, dane finansowe, dane finansowe, pracowników i zasoby ludzkie (HR). Obejmuje również zastrzeżone informacje, własność intelektualną i dokładne dane dotyczące lokalizacji.
  • Wymagana etykieta: opisuje, czy przypisywanie etykiety jest obowiązkowe dla całej nowej i zmienionej zawartości.
  • Etykieta domyślna: opisuje, czy ta etykieta jest etykietą domyślną, która jest automatycznie stosowana do nowej zawartości.
  • Ograniczenia dostępu: Dodatkowe informacje, które wyjaśniają, czy użytkownicy wewnętrzni i/lub zewnętrzni mogą wyświetlać zawartość przypisaną do tej etykiety. Oto kilka przykładów:
    • Wszyscy użytkownicy, w tym użytkownicy wewnętrzni, użytkownicy zewnętrzni i osoby trzecie z aktywnymi umowami o zachowaniu poufności (NDA) mogą uzyskiwać dostęp do tych informacji.
    • Użytkownicy wewnętrzni mogą uzyskiwać dostęp tylko do tych informacji. Brak partnerów, dostawców, wykonawców lub stron trzecich, niezależnie od statusu umowy o zachowaniu poufności.
    • Wewnętrzny dostęp do informacji jest oparty na autoryzacji roli zadania.
  • Wymagania dotyczące szyfrowania: opisuje, czy dane są wymagane do szyfrowania magazynowanych i przesyłanych. Te informacje będą korelować z konfiguracją etykiety poufności i będą wpływać na zasady ochrony, które można zaimplementować na potrzeby szyfrowania plików (RMS).
  • Dozwolone pobieranie i/lub dostęp w trybie offline: opisuje, czy dostęp w trybie offline jest dozwolony. Może również określić, czy pobieranie jest dozwolone na urządzeniach organizacyjnych lub osobistych.
  • Jak zażądać wyjątku: opisuje, czy użytkownik może zażądać wyjątku do standardowych zasad i jak można to zrobić.
  • Częstotliwość inspekcji: określa częstotliwość przeglądów zgodności. Większe etykiety poufne powinny obejmować częstsze i dokładne procesy inspekcji.
  • Inne metadane: zasady danych wymagają większej liczby metadanych, takich jak właściciel zasad, osoba zatwierdzająca i data wejścia w życie.

Napiwek

Podczas tworzenia zasad klasyfikacji i ochrony danych skoncentruj się na prostym odwołaniu dla użytkowników. Powinno być tak krótkie i jasne, jak to możliwe. Jeśli jest zbyt złożona, użytkownicy nie zawsze będą zająć trochę czasu, aby go zrozumieć.

Jednym ze sposobów automatyzacji implementacji zasad, takich jak zasady klasyfikacji danych i ochrony, jest użycie warunków użytkowania firmy Microsoft. Po skonfigurowaniu zasad użytkowania użytkownicy muszą potwierdzić zasady, zanim będą mogli odwiedzić usługa Power BI po raz pierwszy. Można również poprosić ich o ponowne zaakceptowanie na zasadzie cyklicznej, na przykład co 12 miesięcy.

Lista kontrolna — podczas planowania zasad wewnętrznych w celu nadzorowania oczekiwań dotyczących użycia etykiet poufności kluczowe decyzje i akcje obejmują:

  • Tworzenie zasad klasyfikacji i ochrony danych: dla każdej etykiety poufności w strukturze utwórz scentralizowany dokument zasad. Ten dokument powinien określać, co można zrobić z zawartością przypisaną do każdej etykiety lub której nie można wykonać.
  • Uzyskaj konsensus w sprawie zasad klasyfikacji i ochrony danych: upewnij się, że wszystkie niezbędne osoby w zespole, które zebrałeś, zgodziły się na postanowienia.
  • Zastanów się, jak obsługiwać wyjątki od zasad: Organizacje o wysokim poziomie decentralizacji powinny rozważyć, czy mogą wystąpić wyjątki. Chociaż preferowane jest posiadanie ustandaryzowanych zasad klasyfikacji i ochrony danych, zdecyduj, w jaki sposób będziesz rozwiązywać wyjątki po wysłaniu nowych żądań.
  • Rozważ lokalizację zasad wewnętrznych: zastanów się, gdzie powinny zostać opublikowane zasady klasyfikacji i ochrony danych. Upewnij się, że wszyscy użytkownicy mogą łatwo uzyskać do niego dostęp. Zaplanuj uwzględnienie go na niestandardowej stronie pomocy podczas publikowania zasad etykiet.

Dokumentacja użytkownika i szkolenie

Przed wdrożeniem funkcji ochrony informacji zalecamy utworzenie i opublikowanie dokumentacji wskazówek dla użytkowników. Celem dokumentacji jest osiągnięcie bezproblemowego środowiska użytkownika. Przygotowanie wskazówek dla użytkowników pomoże Ci również upewnić się, że wszystko zostało przemyślane.

Wskazówki można opublikować w ramach niestandardowej strony pomocy etykiety poufności. Strona programu SharePoint lub strona typu wiki w scentralizowanym portalu może działać dobrze, ponieważ łatwo będzie ją zachować. Dobrym rozwiązaniem jest również dokument przekazany do biblioteki udostępnionej lub witryny usługi Teams. Adres URL niestandardowej strony pomocy jest określony w portal zgodności Microsoft Purview podczas publikowania zasad etykiet.

Napiwek

Niestandardowa strona pomocy jest ważnym zasobem. Linki do niego są udostępniane w różnych aplikacjach i usługach.

Dokumentacja użytkownika powinna zawierać opisane wcześniej zasady klasyfikacji i ochrony danych. Te zasady wewnętrzne są przeznaczone dla wszystkich użytkowników. Zainteresowani użytkownicy obejmują twórców zawartości i użytkowników, którzy muszą zrozumieć implikacje dotyczące etykiet przypisanych przez innych użytkowników.

Oprócz zasad klasyfikacji i ochrony danych zalecamy przygotowanie wskazówek dla twórców zawartości i właścicieli:

  • Wyświetlanie etykiet: informacje o tym, co oznacza każda etykieta. Skoreluj każdą etykietę z zasadami klasyfikacji i ochrony danych.
  • Przypisywanie etykiet: wskazówki dotyczące przypisywania etykiet i zarządzania nimi. Dołącz informacje, które muszą wiedzieć, takie jak obowiązkowe etykiety, etykiety domyślne i sposób działania dziedziczenia etykiet.
  • Przepływ pracy: sugestie dotyczące przypisywania i przeglądania etykiet w ramach normalnego przepływu pracy. Etykiety można przypisywać w programie Power BI Desktop natychmiast po rozpoczęciu programowania, co chroni oryginalny plik programu Power BI Desktop podczas procesu programowania.
  • Powiadomienia sytuacyjne: świadomość powiadomień generowanych przez system, które użytkownicy mogą otrzymywać. Na przykład witryna programu SharePoint jest przypisana do określonej etykiety poufności, ale pojedynczy plik został przypisany do etykiety bardziej wrażliwej (wyższej). Użytkownik, który przypisał wyższą etykietę, otrzyma powiadomienie e-mail, że etykieta przypisana do pliku jest niezgodna z witryną, w której jest przechowywana.

Dołącz informacje o tym, z kim użytkownicy powinni się skontaktować, jeśli mają pytania lub problemy techniczne. Ponieważ ochrona informacji jest projektem obejmującym całą organizację, pomoc techniczna jest często zapewniana przez dział IT.

Często zadawane pytania i przykłady są szczególnie przydatne w przypadku dokumentacji użytkownika.

Napiwek

Niektóre wymagania prawne obejmują określony składnik trenowania.

Lista kontrolna — podczas przygotowywania dokumentacji i szkolenia użytkownika kluczowe decyzje i akcje obejmują:

  • Zidentyfikuj informacje, które należy uwzględnić: określ, jakie informacje powinny zostać uwzględnione, aby wszyscy odpowiedni odbiorcy zrozumieli, czego oczekuje się od nich, jeśli chodzi o ochronę danych w imieniu organizacji.
  • Publikowanie niestandardowej strony pomocy: tworzenie i publikowanie niestandardowej strony pomocy. Dołącz wskazówki dotyczące etykietowania w postaci często zadawanych pytań i przykładów. Dołącz link, aby uzyskać dostęp do zasad klasyfikacji i ochrony danych.
  • Publikowanie zasad klasyfikacji i ochrony danych: opublikuj dokument zasad, który definiuje dokładnie, co może lub nie można zrobić z zawartością przypisaną do każdej etykiety.
  • Ustal, czy jest wymagane określone szkolenie: utwórz lub zaktualizuj szkolenie użytkownika, aby uwzględnić przydatne informacje, zwłaszcza jeśli wymagane jest wymaganie prawne.

Wsparcie użytkownika

Ważne jest, aby sprawdzić, kto będzie odpowiedzialny za pomoc techniczną użytkowników. Często etykiety poufności są obsługiwane przez scentralizowaną pomoc techniczną IT.

Może być konieczne utworzenie wskazówek dla działu pomocy technicznej (czasami nazywanego elementem Runbook). Może być również konieczne przeprowadzenie sesji transferu wiedzy, aby upewnić się, że dział pomocy technicznej jest gotowy do odpowiadania na żądania pomocy technicznej.

Lista kontrolna — podczas przygotowywania do funkcji obsługi użytkownika kluczowe decyzje i akcje obejmują:

  • Zidentyfikuj, kto zapewni pomoc techniczną dla użytkowników: podczas definiowania ról i obowiązków należy uwzględnić sposób, w jaki użytkownicy uzyskają pomoc dotyczącą problemów związanych z ochroną informacji.
  • Upewnij się, że zespół pomocy technicznej użytkownika jest gotowy: utwórz dokumentację i przeprowadź sesje transferu wiedzy, aby upewnić się, że dział pomocy technicznej jest gotowy do obsługi ochrony informacji. Podkreśl złożone aspekty, które mogą mylić użytkowników, takie jak ochrona szyfrowania.
  • Komunikacja między zespołami: omówienie procesu i oczekiwań z zespołem pomocy technicznej, a także administratorów usługi Power BI i Centrum doskonałości. Upewnij się, że wszyscy zaangażowani są przygotowani na potencjalne pytania od użytkowników usługi Power BI.

Podsumowanie implementacji

Po podjęciu decyzji i spełnieniu wymagań wstępnych nadszedł czas, aby rozpocząć wdrażanie ochrony informacji zgodnie z planem stopniowego wdrażania.

Poniższa lista kontrolna zawiera podsumowaną listę kompleksowej procedury implementacji. Wiele kroków zawiera inne szczegóły omówione w poprzednich sekcjach tego artykułu.

Lista kontrolna — podczas implementowania ochrony informacji kluczowe decyzje i akcje obejmują:

  • Sprawdź bieżący stan i cele: upewnij się, że masz jasność co do bieżącego stanu ochrony informacji w organizacji. Wszystkie cele i wymagania dotyczące wdrażania ochrony informacji powinny być jasne i aktywnie wykorzystywane do podejmowania decyzji.
  • Podejmowanie decyzji: Przejrzyj i omówi wszystkie wymagane decyzje. To zadanie powinno wystąpić przed skonfigurowaniem niczego w środowisku produkcyjnym.
  • Zapoznaj się z wymaganiami dotyczącymi licencjonowania: Upewnij się, że rozumiesz wymagania dotyczące licencjonowania produktów i licencjonowania użytkowników. W razie potrzeby zaopatryj się i przypisz więcej licencji.
  • Publikowanie dokumentacji użytkownika: Publikowanie zasad klasyfikacji i ochrony danych. Utwórz niestandardową stronę pomocy zawierającą odpowiednie informacje, których będą potrzebować użytkownicy.
  • Przygotuj zespół pomocy technicznej: przeprowadź sesje transferu wiedzy, aby upewnić się, że zespół pomocy technicznej jest gotowy do obsługi pytań od użytkowników.
  • Utwórz etykiety poufności: skonfiguruj każdą z etykiet poufności w portal zgodności Microsoft Purview.
  • Publikowanie zasad etykiet poufności: utwórz i opublikuj zasady etykiet w portal zgodności Microsoft Purview. Zacznij od testowania z małą grupą użytkowników.
  • Ustaw ustawienia dzierżawy usługi Power BI: w portalu administracyjnym usługi Power BI ustaw ustawienia dzierżawy usługi Information Protection.
  • Wykonywanie testów początkowych: wykonaj początkowy zestaw testów, aby sprawdzić, czy wszystko działa poprawnie. Użyj dzierżawy nieprodukcyjnej do testowania początkowego, jeśli jest dostępna.
  • Zbieraj opinie użytkowników: opublikuj zasady etykiet w małym podzestawie użytkowników, którzy chcą przetestować funkcje. Uzyskaj opinię na temat procesu i środowiska użytkownika.
  • Kontynuuj wydania iteracyjne: opublikuj zasady etykiet w innych grupach użytkowników. Dołączanie większej liczby grup użytkowników do momentu dołączenia całej organizacji.

Napiwek

Te elementy listy kontrolnej są podsumowane do celów planowania. Aby uzyskać więcej informacji na temat tych elementów listy kontrolnej, zobacz poprzednie sekcje tego artykułu.

Ciągłe monitorowanie

Po zakończeniu implementacji należy zwrócić uwagę na monitorowanie i dostrajanie etykiet poufności.

Administratorzy usługi Power BI i administratorzy zabezpieczeń i zgodności będą musieli współpracować od czasu do czasu. W przypadku zawartości usługi Power BI istnieją dwie grupy odbiorców, którzy są zainteresowani monitorowaniem.

  • Administratorzy usługi Power BI: wpis w dzienniku aktywności usługi Power BI jest rejestrowany za każdym razem, gdy etykieta poufności jest przypisywana lub zmieniana. Wpis dziennika aktywności rejestruje szczegóły zdarzenia, w tym użytkownika, daty i godziny, nazwy elementu, obszaru roboczego i pojemności. Inne zdarzenia dziennika aktywności (takie jak wyświetlanie raportu) będą zawierać identyfikator etykiety poufności przypisany do elementu.
  • Administratorzy zabezpieczeń i zgodności: administratorzy zabezpieczeń i zgodności organizacji zwykle używają raportów, alertów i dzienników inspekcji usługi Microsoft Purview.

Lista kontrolna — podczas monitorowania ochrony informacji kluczowe decyzje i akcje obejmują:

  • Weryfikowanie ról i obowiązków: Upewnij się, że masz pewność, kto jest odpowiedzialny za jakie działania. Edukuj i komunikują się z administratorami usługi Power BI lub administratorami zabezpieczeń, jeśli będą oni bezpośrednio odpowiedzialni za niektóre aspekty.
  • Utwórz lub zweryfikuj proces przeglądania działań: upewnij się, że administratorzy zabezpieczeń i zgodności są jasne w zakresie oczekiwań dotyczących regularnego przeglądania Eksploratora działań.

Napiwek

Aby uzyskać więcej informacji na temat inspekcji, zobacz Inspekcja ochrony informacji i zapobiegania utracie danych w usłudze Power BI.

W następnym artykule z tej serii dowiesz się więcej o zapobieganiu utracie danych w usłudze Power BI.