Planejamento de implementação do Power BI: planejamento de segurança no nível do locatário
Observação
Este artigo faz parte da série de artigos sobre o Planejamento de implantação do Power BI. Esta série se concentra principalmente na experiência do Power BI no Microsoft Fabric. Para ter uma introdução a essa série, confira Planejamento de implementação do Power BI.
Este artigo sobre o plano de segurança no nível do locatário é direcionado principalmente para:
- Administradores do Fabric: os administradores responsáveis por supervisionar o Power BI na organização.
- Equipe do Centro de Excelência, de TI e de BI: as equipes que também são responsáveis por supervisionar o Power BI. Talvez seja necessário colaborar com administradores do Power BI, equipes de segurança da informação e outras equipes relevantes.
Este artigo também pode ser relevante para criadores de autoatendimento do Power BI que criam, publicam e gerenciam conteúdo em espaços de trabalho.
A série de artigos tem a finalidade de expandir o conteúdo no white paper sobre segurança do Power BI. O white paper de segurança do Power BI tem como foco os principais assuntos técnicos, como autenticação, residência de dados e isolamento de rede. A série de planejamento de implementação fornece considerações e decisões para ajudar você a se planejar para segurança e privacidade.
Como o conteúdo do Power BI pode ser usado e protegido de diferentes maneiras, muitas decisões táticas são tomadas pelos criadores de conteúdo. No entanto, há algumas decisões de planejamento estratégico a serem tomadas no nível do locatário também. Essas decisões de planejamento estratégico são o foco deste artigo.
Recomendamos que você tome as decisões de segurança do nível do locatário o quanto antes, pois elas afetarão todo o restante. Além disso, é mais fácil tomar outras decisões de segurança quando você tem clareza sobre suas metas e objetivos de segurança gerais.
Administração do Power BI
O administrador do Fabric é uma função de alto privilégio que tem um controle significativo sobre o Power BI. Recomendamos considerar cuidadosamente a quem essa função é atribuída, pois um administrador do Fabric pode executar muitas funções de alto nível, incluindo:
- Gerenciamento das configurações de locatário: os administradores podem gerenciar as configurações de locatário no portal de administração. Eles podem habilitar ou desabilitar configurações e permitir ou não usuários ou grupos específicos dentro das configurações. É importante entender que as configurações de locatário têm influência significativa sobre a experiência do usuário.
- Gerenciamento de funções do workspace: os administradores podem atualizar as funções de workspace no portal de administração. Eles podem atualizar a segurança do workspace para acessar quaisquer dados ou conceder direitos a outros usuários para acessar quaisquer dados no serviço do Power BI.
- Acesso a workspace pessoal: os administradores podem acessar o conteúdo e controlar o workspace pessoal de qualquer usuário.
- Acesso a metadados de locatário: os administradores podem acessar metadados de todo o locatário, incluindo logs de atividades do Power BI e eventos de atividade recuperados pelas APIs de administrador do Power BI.
Dica
Como melhor prática, atribua a entre dois e quatro usuários a função de administrador do Fabric. Assim, você pode reduzir riscos enquanto garante que haja cobertura e treinamento cruzado adequados.
Um administrador do Power BI é atribuído a pelo menos uma dessas funções internas:
- Administrador do Fabric
- Administrador do Power Platform
- Administrador Global: essa é uma função de alto privilégio sua atribuição deve ser limitada.
Ao atribuir funções de administrador, recomendamos que você siga as melhores práticas.
Observação
Embora um administrador do Power Platform possa gerenciar o serviço do Power BI, o inverso não é verdadeiro. Alguém com a função de administrador do Fabric não pode gerenciar outros aplicativos no Power Platform.
Lista de verificação: ao planejar quem será um administrador do Fabric, as principais decisões e ações incluem:
- Identificar quem tem a função de administrador no momento: verifique quem está atribuído a uma das funções que pode administrar o Power BI.
- Determinar quem deve gerenciar o Serviço do Power BI: se houver muitos administradores do Power BI, crie um plano para reduzir o número total. Se houver usuários atribuídos como administradores do Power BI que não são adequados para uma função com privilégios tão elevados, crie um plano para resolver o problema.
- Esclarecer funções e responsabilidades: para cada administrador do Power BI, certifique-se de que as respectivas responsabilidades estejam claras. Verifique se o treinamento cruzado apropriado ocorreu.
Estratégias de segurança e privacidade
Você precisará tomar algumas decisões no nível do locatário relacionadas a segurança e privacidade. As táticas adotadas e as decisões tomadas dependerão de:
- Sua cultura de dados. O objetivo é incentivar uma cultura de dados que entenda que a segurança e a proteção de dados são responsabilidade de todos.
- Suas estratégias de gerenciamento e propriedade de conteúdo. O nível de gerenciamento de conteúdo centralizado e descentralizado afeta significativamente a forma como a segurança é tratada.
- Suas estratégias de escopo de distribuição de conteúdo. O número de pessoas que exibirão o conteúdo influencia como a segurança deve ser tratada para o conteúdo.
- Seus requisitos para cumprir regulamentações globais, nacionais/regionais e do setor.
Aqui estão alguns exemplos de estratégias de segurança de alto nível. Você pode optar por tomar decisões que afetam a organização inteira.
- Requisitos de segurança no nível da linha: você pode usar a RLS (segurança no nível da linha) para restringir o acesso a dados para usuários específicos. Isso significa que usuários diferentes veem dados diferentes ao acessar o mesmo relatório. Um modelo semântico do Power BI ou uma fonte de dados (ao usar o logon único) pode impor a RLS. Para saber mais, confira a seção Impor segurança de dados com base na identidade do consumidor no artigo Planejamento de segurança do consumidor de relatórios.
- Capacidade de descoberta de dados: determine até que ponto a capacidade de descoberta de dados deve ser incentivada no Power BI. A descoberta afeta quem pode encontrar modelos semânticos ou datamarts no hub de dados e se autores de conteúdo têm permissão para solicitar acesso a esses itens (usando o fluxo de trabalho Solicitar acesso). Para obter mais informações, consulte o cenário de uso BI de autoatendimento gerenciado personalizável.
- Dados que têm permissão para serem armazenados no Power BI: determine se há tipos de dados que não devem ser armazenados no Power BI. Por exemplo, você pode especificar que determinados tipos de informações confidenciais, como números de conta bancária ou números de seguro social, não podem ser armazenados em um modelo semântico. Para saber mais, consulte o artigo Proteção de informações e prevenção contra perda de dados.
- Rede privada de entrada: determine se há requisitos para isolamento de rede usando pontos de extremidade privados para acessar o Power BI. Quando você usa o Link Privado do Azure, o tráfego de dados é enviado usando o backbone da rede privada da Microsoft em vez de passar pela Internet.
- Rede privada de saída: determine se mais segurança é necessária ao se conectar a fontes de dados. O gateway de dados de VNet (rede virtual) permite a conectividade de saída segura do Power BI a fontes de dados em uma VNet. Você pode usar um gateway de dados de VNet do Azure quando o conteúdo é armazenado em um workspace Premium.
Importante
Ao considerar o isolamento de rede, trabalhe com as equipes de rede e infraestrutura de TI antes de alterar qualquer uma das configurações de locatário do Power BI. O Link Privado do Azure permite a segurança de entrada aprimorada por meio de pontos de extremidade privados, enquanto um gateway de VNet do Azure permite maior segurança de saída ao se conectar a fontes de dados. O gateway de VNet do Azure é gerenciado pela Microsoft em vez de ser gerenciado pelo cliente e, portanto, elimina a sobrecarga de instalação e monitoramento de gateways locais.
Algumas de suas decisões no nível organizacional resultarão em políticas de governança firmes, especialmente quando relacionadas à conformidade. Outras decisões de nível organizacional podem resultar em diretrizes que você pode fornecer aos criadores de conteúdo responsáveis por gerenciar e proteger seu próprio conteúdo. As políticas e diretrizes resultantes devem ser incluídas em seu portal centralizado, materiais de treinamento e plano de comunicação.
Dica
Consulte os outros artigos desta série para obter sugestões adicionais relacionadas ao planejamento de segurança para consumidores de relatório e criadores de conteúdo.
Lista de verificação – ao planejar suas estratégias de segurança de alto nível, as principais decisões e ações incluem:
- Identificar requisitos regulatórios relacionados à segurança: investigue e documente cada requisito, incluindo como você garantirá a conformidade.
- Identificar estratégias de segurança de alto nível: determine quais requisitos de segurança são importantes o suficiente para que sejam incluídos em uma política de governança.
- Colaborar com outros administradores: entre em contato com os administradores de sistema relevantes para discutir como atender aos requisitos de segurança e quais pré-requisitos técnicos existem. Planeje fazer uma prova de conceito técnica.
- Atualizar as configurações de locatário do Power BI: defina cada configuração de locatário relevante do Power BI. Agende revisões de acompanhamento regularmente.
- Criar e publicar diretrizes do usuário: crie documentação para as estratégias de segurança de alto nível. Inclua detalhes sobre o processo e como um usuário pode solicitar uma isenção do processo padrão. Disponibilize essas informações em um portal centralizado e nos materiais de treinamento.
- Atualizar materiais de treinamento: para as estratégias de segurança de alto nível, determine quais requisitos ou diretrizes você deve incluir nos materiais de treinamento do usuário.
Integração com o Microsoft Entra ID
A segurança do Power BI é criada com base em um locatário do Microsoft Entra. Os seguintes conceitos do Microsoft Entra são relevantes para a segurança de um locatário do Power BI.
- Acesso do usuário: o acesso ao serviço do Power BI requer uma conta de usuário (além de uma licença do Power BI: Gratuita, Power BI Pro ou Premium por Usuário – PPU). Você pode adicionar usuários internos e usuários convidados ao Microsoft Entra ID ou eles podem ser sincronizados com um AD (Active Directory) local. Para saber mais sobre usuários convidados, consulte Estratégia para usuários externos.
- Grupos de segurança: grupos de segurança do Microsoft Entra são necessários ao disponibilizar determinados recursos nas configurações de locatário do Power BI. Você também pode precisar de grupos para proteger efetivamente o conteúdo do espaço de trabalho do Power BI ou para distribuir conteúdo. Para obter mais informações, consulte Estratégia para usar grupos.
- Políticas de acesso condicional: você pode configurar o acesso condicional ao serviço do Power BI e ao aplicativo móvel do Power BI. O acesso condicional do Microsoft Entra pode restringir a autenticação em várias situações. Por exemplo, você pode impor políticas que:
- Exigem autenticação multifator para alguns ou para todos os usuários.
- Permitem somente dispositivos em conformidade com as políticas organizacionais.
- Permitem conectividade de uma rede específica ou de intervalos de IP.
- Bloqueiam a conectividade de um computador não ingressado no domínio.
- Bloqueiam a conectividade para um logon arriscado.
- Permitem que apenas determinados tipos de dispositivos se conectem.
- Permitem ou negam condicionalmente o acesso ao Power BI para usuários específicos.
- Entidades de serviço: Talvez seja necessário criar um registro de aplicativo do Microsoft Entra para provisionar uma entidade de serviço. A autenticação com uma entidade de serviço é uma prática recomendada quando um administrador do Power BI deseja executar scripts agendados autônomos que extraem dados usando as APIs de administrador do Power BI. As entidades de serviço também são úteis ao inserir conteúdo do Power BI em um aplicativo personalizado.
- Políticas em tempo real: Você pode optar por configurar controle de sessão em tempo real ou políticas de controle de acesso, que envolve o Microsoft Entra ID e Aplicativos do Microsoft Defender para Nuvem. Por exemplo, você poderá proibir o download de um relatório no serviço do Power BI quando ele tiver um rótulo de confidencialidade específico. Para saber mais, consulte os artigos sobre proteção de informações e prevenção contra perda de dados.
Pode ser difícil encontrar o equilíbrio certo entre acesso irrestrito e acesso excessivamente restritivo (o que frustra os usuários). A melhor estratégia é trabalhar com o administrador do Microsoft Entra para entender o que está configurado no momento. Tente permanecer responsivo às necessidades da empresa enquanto continua atento às restrições necessárias.
Dica
Muitas organizações têm um ambiente do Active Directory (AD) local que sincronizam com o Microsoft Entra ID na nuvem. Essa configuração é conhecida como uma solução de identidade híbrida, que está fora do escopo deste artigo. O conceito importante a ser entendido é que os usuários, grupos e entidades de serviço devem existir no Microsoft Entra ID para que serviços baseados em nuvem, como o Power BI, funcionem. Ter uma solução de identidade híbrida funcionará para o Power BI. Recomendamos conversar com os administradores do Microsoft Entra sobre a melhor solução para sua organização.
Lista de verificação – ao identificar as necessidades de integração do Microsoft Entra, as principais decisões e ações incluem:
- Trabalhe com os administradores do Microsoft Entra: colabore com seus administradores do Microsoft Entra para descobrir quais políticas existentes do Microsoft Entra estão em vigor. Determine se há políticas (atuais ou planejadas) que afetarão a experiência do usuário no serviço do Power BI e/ou nos aplicativos móveis do Power BI.
- Decidir quando o acesso do usuário versus a entidade de serviço deve ser usado: para operações automatizadas, decida quando usar uma entidade de serviço em vez do acesso do usuário.
- Criar ou atualizar as diretrizes do usuário: determine se há tópicos de segurança que você precisará documentar para a comunidade de usuários do Power BI. Assim, eles saberão o que esperar ao usar grupos e políticas de acesso condicional.
Estratégia para usuários externos
O Power BI dá suporte ao Microsoft Entra Business-to-Business (B2B). Usuários externos, por exemplo, de uma empresa parceira ou cliente, podem ser inseridos como usuários convidados no Microsoft Entra ID para fins de colaboração. Os usuários externos podem trabalhar com o Power BI e muitos outros serviços do Azure e do Microsoft 365.
Importante
O white paper do Microsoft Entra B2B é o melhor recurso para aprender sobre estratégias para lidar com usuários externos. Este artigo está limitado a descrever as considerações mais importantes que são relevantes para o planejamento.
Há vantagens quando um usuário externo é de outra organização que também tem o Microsoft Entra ID configurado.
- O locatário inicial gerencia as credenciais: o locatário inicial do usuário permanece no controle de sua identidade e do gerenciamento de credenciais. Você não precisa sincronizar identidades.
- O locatário inicial gerencia o status do usuário: quando um usuário sai da organização e a conta é removida ou desabilitada, com efeito imediato, o usuário não tem mais acesso ao conteúdo do Power BI. É uma vantagem significativa porque talvez você não saiba quando alguém deixou a organização.
- Flexibilidade para licenciamento de usuários: há opções de licenciamento econômicas. Um usuário externo pode já ter uma licença do Power BI Pro ou PPU, e nesse caso você não precisa atribuir uma a ele. Também é possível conceder a eles acesso ao conteúdo em um workspace de capacidade Premium ou capacidade Fabric F64 ou superior atribuindo-lhes uma licença do Fabric (gratuito).
Importante
Às vezes, este artigo se refere ao Power BI Premium ou às suas assinaturas de capacidade (P SKUs). Lembre-se de que a Microsoft está consolidando atualmente as opções de compra e desativando os SKUs do Power BI Premium por capacidade. Em vez disso, os clientes novos e existentes devem considerar a compra de SKUs (assinaturas de capacidade do Fabric).
Para obter mais informações, consulte Atualização importante chegando ao de licenciamento do Power BI Premium e Perguntas frequentes do Power BI Premium.
Configurações de chave
Há dois aspectos para habilitar e gerenciar como o acesso de usuários externos funcionará:
- Configurações do Microsoft Entra que são gerenciadas por um administrador do Microsoft Entra. Essas configurações do Microsoft Entra são um pré-requisito.
- Configurações de locatário do Power BI gerenciadas por um administrador do Power BI no portal de administração. Essas configurações controlarão a experiência do usuário no serviço do Power BI.
Processo de convite
Há duas maneiras de convidar usuários para seu locatário.
- Convites planejados: você pode configurar usuários externos antecipadamente no Microsoft Entra ID. Dessa forma, a conta de convidado estará pronta sempre que um usuário do Power BI precisar usá-la para atribuir permissões (por exemplo, permissões de aplicativo). Embora exija algum planejamento antecipado, é o processo mais consistente porque todos os recursos de segurança do Power BI têm suporte. Um administrador pode usar o PowerShell para adicionar com eficiência um grande número de usuários externos.
- Convites ad hoc: uma conta de convidado pode ser gerada automaticamente no Microsoft Entra ID no momento em que um usuário do Power BI compartilha ou distribui conteúdo para um usuário externo (que não foi configurado anteriormente). Essa abordagem é útil quando você não sabe antecipadamente quem serão os usuários externos. No entanto, primeiro essa funcionalidade deve ser habilitada no Microsoft Entra ID. A abordagem de convite ad hoc funciona para permissões por item ad hoc e permissões de aplicativo.
Dica
Nem todas as opções de segurança no serviço do Power BI dão suporte ao disparo de um convite ad hoc. Por esse motivo, há uma experiência de usuário inconsistente ao atribuir permissões (por exemplo, segurança de workspace, permissões por item e permissões de aplicativo). Sempre que possível, recomendamos que você use a abordagem de convite planejada, pois isso resulta em uma experiência de usuário consistente.
ID de locatário do cliente
Cada locatário do Microsoft Entra tem um GUID (identificador global exclusivo) conhecido como ID do locatário. No Power BI, ele é conhecido como a CTID (ID de locatário do cliente). A CTID permite que o serviço do Power BI localize conteúdo da perspectiva de um locatário organizacional diferente. Você precisa acrescentar a CTID às URLs ao compartilhar conteúdo com um usuário externo.
Veja um exemplo de como anexar a CTID a uma URL: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456
Quando precisar fornecer a CTID de sua organização a um usuário externo, você poderá encontrá-la no serviço do Power BI abrindo a janela de diálogo Sobre o Power BI. O recurso está disponível no menu Suporte e Ajuda (?) localizado na parte superior direita do serviço do Power BI. A CTID é acrescentada ao final da URL do locatário.
Identidade visual organizacional
Quando o acesso de convidados externos ocorre com frequência na organização, é uma boa ideia usar a identidade visual personalizada. Ela ajuda os usuários a identificar qual locatário organizacional eles estão acessando. Os elementos de identidade visual personalizados incluem um logotipo, uma imagem de capa e a cor do tema.
A captura de tela a seguir mostra a aparência do serviço do Power BI quando acessado por uma conta de convidado. Ela inclui uma opção de Conteúdo de convidado, que fica disponível quando a CTID é acrescentada à URL.
Compartilhamento de dados externos
Algumas organizações têm o requisito de fazer mais do que compartilhar relatórios com usuários externos. Elas pretendem compartilhar modelos semânticos com usuários externos, como parceiros, clientes ou fornecedores.
A meta do compartilhamento de modelo semântico in loco (também conhecido como compartilhamento de modelo semântico entre locatários) é permitir que usuários externos criem os próprios relatórios personalizados e modelos compostos usando dados que você cria, gerencia e fornece. O modelo semântico compartilhado original (criado por você) permanece em seu locatário do Power BI. Os relatórios e modelos dependentes são armazenados no locatário do Power BI do usuário externo.
Há vários aspectos de segurança a se levar em consideração para fazer com que o compartilhamento de modelo semântico in loco funcione.
- Configuração de locatário: permitir que usuários convidados trabalhem com modelos semânticos compartilhados nos próprios locatários: essa configuração especifica se o recurso de compartilhamento de dados externos pode ser usado. Ela precisa ser habilitada para que qualquer uma das outras duas configurações (mostradas a seguir) entre em vigor. Ela é habilitada ou desabilitada para toda a organização pelo administrador do Power BI.
- Configuração de locatário: Permitir que usuários específicos ativem o compartilhamento de dados externos: essa configuração especifica quais grupos de usuários podem compartilhar dados externamente. Os grupos de usuários permitidos aqui poderão usar a terceira configuração (descrita a seguir). Essa configuração é gerenciada pelo administrador do Power BI.
- Configuração de modelo semântico: Compartilhamento externo: essa configuração especifica se esse modelo semântico específico pode ser usado por usuários externos. Essa configuração é gerenciada por criadores de conteúdo e proprietários de cada modelo semântico específico.
- Permissão de modelo semântico: Leitura e Compilação: as permissões de modelo semântico padrão para dar suporte aos criadores de conteúdo ainda estão em vigor.
Importante
Normalmente, o termo consumidor é usado para se referir a usuários somente exibição que consomem conteúdo produzido por outras pessoas na organização. No entanto, com o compartilhamento de modelo semântico no local, há um produtor do modelo semântico e um consumidor do modelo semântico. Nessa situação, o consumidor do modelo semântico geralmente é um criador de conteúdo na outra organização.
Se a segurança no nível da linha for especificada para o modelo semântico, ela será respeitada para usuários externos. Para saber mais, confira a seção Impor segurança de dados com base na identidade do consumidor no artigo Planejamento de segurança do consumidor de relatórios.
Assinaturas de usuário externo
É mais comum que usuários externos sejam gerenciados como usuários convidados no Microsoft Entra ID, conforme descrito anteriormente. Além dessa abordagem comum, o Power BI fornece outros recursos para distribuir assinaturas de relatório para usuários fora da organização.
A configuração de locatário Permitir que assinaturas de email sejam enviadas a usuários externos do Power BI especifica se os usuários têm permissão para enviar assinaturas de email para usuários externos que ainda não são usuários convidados do Microsoft Entra. Recomendamos que você defina essa configuração de locatário de modo alinhado ao nível de restrição, ou flexibilidade, com que sua organização prefere gerenciar contas de usuário externas.
Dica
Os administradores podem verificar quais usuários externos estão recebendo assinaturas usando a API Obter Assinaturas de Relatório como Administrador. O endereço de email do usuário externo é mostrado. O tipo de entidade de segurança é não resolvido porque o usuário externo não está configurado no Microsoft Entra ID.
Lista de verificação – ao planejar como lidar com usuários convidados externos, as principais decisões e ações incluem:
- Identificar os requisitos para usuários externos no Power BI: determine quais casos de uso existem para colaboração externa. Esclareça os cenários para usar o Power BI com o Azure AD B2B. Determine se a colaboração com usuários externos é uma ocorrência comum ou rara.
- Determinar as configurações atuais do Microsoft Entra: colabore com o administrador do Microsoft Entra para descobrir como a colaboração externa está configurada no momento. Determine qual será o impacto sobre o uso de B2B com o Power BI.
- Decidir como convidar usuários externos: colabore com seus administradores do Microsoft Entra para decidir como as contas de convidado serão criadas no Microsoft Entra ID. Decida se convites ad hoc serão permitidos. Decida até que ponto a abordagem de convite planejado será usada. Verifique se todo o processo foi compreendido e documentado.
- Criar e publicar diretrizes do usuário sobre usuários externos: crie uma documentação para os criadores de conteúdo que os orientará sobre como compartilhar conteúdo com usuários externos (especialmente quando o processo de convite planejado for necessário). Inclua informações sobre as limitações que os usuários externos enfrentarão se eles pretenderem que esses usuários externos editem e gerenciem conteúdo. Publique essas informações no portal centralizado e nos materiais de treinamento.
- Determinar como lidar com o compartilhamento de dados externos: decida se o compartilhamento de dados externos deve ser permitido e se ele é limitado a um conjunto específico de criadores de conteúdo aprovados. Defina as configurações de locatário Permitir que usuários convidados trabalhem com modelos semânticos compartilhados nos próprios locatários e Permitir que usuários específicos ativem o compartilhamento de dados externos para se alinha à sua decisão. Forneça informações sobre o compartilhamento de dados externos para os criadores de modelo semântico. Publique essas informações no portal centralizado e nos materiais de treinamento.
- Determinar como lidar com licenças do Power BI para usuários externos: se o usuário convidado não tiver uma licença do Power BI, decida sobre o processo para atribuir uma a ele. Certifique-se de que o processo seja documentado.
- Inclua a CTID na documentação relevante do usuário: registre a URL que acrescenta a ID do locatário (CTID) na documentação do usuário. Inclua exemplos para criadores e consumidores de como usar URLs que acrescentam a CTID.
- Configurar identidade visual personalizada no Power BI: no portal do administrador, configure uma identidade visual personalizada para ajudar os usuários externos a identificar o locatário organizacional que estão acessando.
- Verificar ou atualizar as configurações do locatário: verifique como as configurações de locatário estão definidas no serviço do Power BI. Atualize-as conforme necessário com base nas decisões tomadas para gerenciar o acesso do usuário externo.
Estratégia para locais de arquivo
Há diferentes tipos de arquivos que devem ser armazenados adequadamente. Portanto, é importante ajudar os usuários a entender as expectativas de onde arquivos e dados devem estar localizados.
Pode haver risco associado a arquivos do Power BI Desktop e pastas de trabalho do Excel, pois eles podem conter dados importados. Esses dados podem incluir informações do cliente, PII (informações de identificação pessoal), informações proprietárias ou dados sujeitos a requisitos regulatórios ou de conformidade.
Dica
É fácil deixar passar batidos os arquivos armazenados fora do serviço do Power BI. Recomendamos que você os considere quando estiver planejando a segurança.
Aqui estão alguns dos tipos de arquivos que podem estar envolvidos em uma implementação do Power BI.
- Arquivos de origem
- Arquivos do Power BI Desktop: os arquivos originais (.pbix) do conteúdo publicado no serviço do Power BI. Quando o arquivo contém um modelo de dados, ele pode conter dados importados.
- Pastas de trabalho do Excel: as pastas de trabalho do Excel (.xlsx) podem incluir conexões com modelos semânticos no serviço do Power BI. Elas também podem conter dados exportados. Podem até ser pastas de trabalho originais para conteúdo publicado no serviço do Power BI (como um item de pasta de trabalho em um espaço de trabalho).
- Arquivos de relatório paginados: os arquivos de relatório originais (.rdl) para conteúdo publicado no serviço do Power BI.
- Arquivos de dados de origem: arquivos simples (por exemplo, .csv ou .txt) ou pastas de trabalho do Excel que contêm dados de origem que foram importados para um modelo do Power BI.
- Arquivos exportados e outros arquivos
- Arquivos do Power BI Desktop: os arquivos .pbix que foram baixados do serviço do Power BI.
- Arquivos do PowerPoint e PDF: as apresentações do PowerPoint (.pptx) e os documentos PDF baixados do serviço do Power BI.
- Arquivos do Excel e CSV: dados exportados de relatórios no serviço do Power BI.
- Arquivos de relatório paginados: os arquivos exportados de relatórios paginados no serviço do Power BI. Há suporte para Excel, PDF e PowerPoint. Também existem outros formatos de arquivo de exportação para relatórios paginados, incluindo Word, XML ou arquivo Web. Ao usar os arquivos de exportação para a API de relatórios, também há suporte para formatos de imagem.
- Arquivos de email: imagens e anexos de email para assinaturas.
Você precisará tomar algumas decisões sobre onde os usuários podem ou não armazenar arquivos. Normalmente, esse processo envolve a criação de uma política de governança que os usuários podem consultar. Os locais para arquivos de origem e arquivos exportados devem ser protegidos para garantir o acesso apropriado por usuários autorizados.
Aqui estão algumas recomendações para trabalhar com arquivos.
- Armazenar arquivos em uma biblioteca compartilhada: use um site do Teams, uma biblioteca do SharePoint ou uma biblioteca compartilhada do OneDrive para trabalho ou escola. Evite usar bibliotecas e unidades pessoais. Verifique se o local de armazenamento foi copiado em backup. Verifique também se o local de armazenamento tem o controle de versão habilitado para que seja possível reverter para uma versão anterior.
- Usar o serviço do Power BI o máximo possível: sempre que possível, use o serviço do Power BI para compartilhamento e distribuição de conteúdo. Dessa forma, sempre há auditoria completa do acesso. O armazenamento e o compartilhamento de arquivos em um sistema de arquivos devem ser reservados ao pequeno número de usuários que estão colaborando no conteúdo.
- Não usar email: desestimule o uso de email para compartilhar arquivos. Quando alguém envia por email uma pasta de trabalho do Excel ou um arquivo do Power BI Desktop para 10 usuários, isso resulta em 10 cópias do arquivo. Há sempre o risco de incluir um endereço de email incorreto (interno ou externo). Além disso, há um risco maior de o arquivo ser encaminhado para outra pessoa. (Para minimizar esse risco, trabalhe com o administrador do Exchange Online para implementar regras para bloquear anexos com base em condições de tamanho ou de tipo de extensão de arquivo. Outras estratégias de prevenção contra perda de dados do Power BI são descritas nos artigos de proteção de informações e prevenção contra perda de dados.)
- Usar arquivos de modelo: ocasionalmente, há uma necessidade legítima de compartilhar um arquivo do Power BI Desktop com outra pessoa. Nesse caso, considere criar e compartilhar um arquivo de modelo do Power BI Desktop (.pbit). Um arquivo de modelo contém apenas metadados, portanto, é menor do que o arquivo de origem. Essa técnica exigirá que o destinatário insira credenciais de fonte de dados para atualizar os dados do modelo.
Há configurações de locatário no portal do administrador que controlam quais formatos de exportação os usuários têm permissão para usar ao exportar do serviço do Power BI. É importante examinar e definir essas configurações. É uma atividade complementar ao planejamento dos locais de arquivo que devem ser usados para os arquivos exportados.
Dica
Determinados formatos de exportação dão suporte à proteção de informações de ponta a ponta usando criptografia. Devido a requisitos regulatórios, algumas organizações têm uma necessidade válida de restringir quais formatos de exportação os usuários podem usar. O artigo Proteção de informações para o Power BI descreve fatores a serem considerados ao decidir quais formatos de exportação habilitar ou desabilitar nas configurações de locatário. Na maioria dos casos, recomendamos que você restrinja os recursos de exportação somente quando precisar atender a requisitos regulatórios específicos. Você pode usar o log de atividades do Power BI para identificar quais usuários estão executando muitas exportações. Em seguida, você pode ensinar esses usuários sobre alternativas mais eficientes e seguras.
Lista de verificação – ao planejar locais de arquivo, as principais decisões e ações incluem:
- Identificar onde os arquivos devem estar localizados: decida onde os arquivos devem ser armazenados. Determine se há locais específicos que não devem ser usados.
- Criar e publicar documentação sobre locais de arquivo: crie a documentação do usuário que esclarece as responsabilidades por gerenciar e proteger arquivos. Ela também deve descrever os locais em que os arquivos devem (ou não devem) ser armazenados. Publique essas informações no portal centralizado e nos materiais de treinamento.
- Definir as configurações de locatário para exportações: examine e defina cada configuração de locatário relacionada aos formatos de exportação aos quais deseja dar suporte.
Estratégia para usar grupos
É recomendável usar grupos de segurança do Microsoft Entra para proteger o conteúdo do Power BI pelos motivos a seguir.
- Manutenção reduzida: a associação ao grupo de segurança pode ser modificada sem a necessidade de modificar as permissões para o conteúdo do Power BI. Novos usuários podem ser adicionados ao grupo e usuários desnecessários podem ser removidos dele.
- Maior precisão: como as alterações de associação de grupo são feitas uma vez, isso resulta em atribuições de permissão mais precisas. Se um erro for detectado, ele poderá ser corrigido com mais facilidade.
- Delegação: você pode delegar a responsabilidade de gerenciar a associação de grupo ao proprietário do grupo.
Decisões de grupo de alto nível
Há algumas decisões estratégicas a serem tomadas sobre como os grupos serão usados.
Permissão para criar e gerenciar grupos
Há duas decisões importantes a serem tomadas sobre a criação e o gerenciamento de grupos.
- Quem tem permissão para criar um grupo? Normalmente, somente a TI pode criar grupos de segurança. No entanto, é possível adicionar usuários à função interna Administrador de grupos do Microsoft Entra. Dessa forma, determinados usuários confiáveis, como campeões do Power BI ou membros satélites do COE, podem criar grupos para a unidade de negócios.
- Quem tem permissão para gerenciar membros de um grupo? É comum que a TI gerencie a associação de grupo. No entanto, é possível especificar um ou mais proprietários de grupo que têm permissão para adicionar e remover membros do grupo. O uso do gerenciamento de grupos de autoatendimento é útil quando uma equipe descentralizada ou membros satélites do COE têm permissão para gerenciar a associação de grupos específicos do Power BI.
Dica
Permitir o gerenciamento de grupos de autoatendimento e especificar proprietários de grupos descentralizados são ótimas maneiras de equilibrar a eficiência e a velocidade da governança.
Planejando grupos do Power BI
É importante que você crie uma estratégia de alto nível para usar grupos para proteger o conteúdo do Power BI e muitos outros usos.
Casos de uso variados para grupos
Considere os casos de uso a seguir para grupos.
Caso de uso | Descrição | Nome do grupo de exemplo |
---|---|---|
Comunicar-se com o COE (Centro de Excelência) do Power BI | Inclui todos os usuários associados ao COE, incluindo todos os membros principais e satélites do COE. Dependendo de suas necessidades, você também pode criar um grupo separado apenas para os membros principais. É provável que seja um grupo do Microsoft 365 correlacionado a um site do Teams. | • Centro de Excelência do Power BI |
Comunicar-se com a equipe de liderança do Power BI | Inclui o patrocinador executivo e representantes de unidades de negócios que colaboram na liderança da iniciativa do Power BI na organização. | • Comitê diretor do Power BI |
Comunicar-se com a comunidade de usuários do Power BI | Inclui todos os usuários que recebem qualquer tipo de licença de usuário do Power BI. É útil para fazer comunicados para todos os usuários do Power BI na organização. É provável que seja um grupo do Microsoft 365 correlacionado a um site do Teams. | • Comunidade do Power BI |
Suporte à comunidade de usuários do Power BI | Inclui usuários do suporte técnico que interagem diretamente com a comunidade de usuários para lidar com problemas de suporte do Power BI. Esse endereço de email (e o site do Teams, se aplicável) ficam disponíveis e visíveis para a população de usuários. | • Suporte ao usuário do Power BI |
Fornecer suporte escalonado | Inclui usuários específicos, geralmente do COE do Power BI, que fornecem suporte escalonado. Esse endereço de email (e o site do Teams, se aplicável) normalmente é privado, para uso somente pela equipe de suporte ao usuário. | • Suporte ao usuário escalonado do Power BI |
Administrar o serviço do Power BI | Inclui usuários específicos que têm permissão para administrar o serviço do Power BI. Opcionalmente, os membros desse grupo podem ser correlacionados à função no Microsoft 365 para simplificar o gerenciamento. | • Administradores do Power BI |
Notificar recursos permitidos e distribuições graduais de recursos | Inclui usuários permitidos para uma configuração de locatário específica no portal de administração (se o recurso for limitado) ou se o recurso deve ser distribuído gradualmente para grupos de usuários. Muitas das configurações de locatário exigirão que você crie um grupo específico do Power BI. | • Criadores de espaço de trabalho do Power BI • Compartilhamento de dados externos do Power BI |
Gerenciar gateways de dados | Inclui um ou mais grupos de usuários que têm permissão para administrar um cluster de gateway. Pode haver vários grupos desse tipo quando há vários gateways ou quando equipes descentralizadas gerenciam gateways. | • Administradores de gateway do Power BI • Criadores da fonte de dados do gateway do Power BI • Proprietários da fonte de dados do gateway do Power BI • Usuários da fonte de dados do gateway do Power BI |
Como gerenciar capacidades Premium | Inclui usuários com permissão para gerenciar uma capacidade Premium. Pode haver vários grupos desse tipo quando há várias capacidades ou quando equipes descentralizadas gerenciam capacidades. | • Colaboradores de capacidade do Power BI |
Proteger workspaces, aplicativos e itens | Muitos grupos baseados em áreas de atuação e que têm acesso permitido para gerenciar a segurança de funções de workspace do Power BI, permissões de aplicativo e permissões por item. | • Administradores do espaço de trabalho do Power BI • Membros do espaço de trabalho do Power BI • Colaboradores do espaço de trabalho do Power BI Visualizadores do espaço de trabalho do Power BI • Visualizadores de aplicativos do Power BI |
Implantar conteúdo | Inclui os usuários que podem implantar conteúdo usando um pipeline de implantação do Power BI. Esse grupo é usado em conjunto com permissões de workspace. | • Administradores do pipeline de implantação do Power BI |
Automatizar operações administrativas | Inclui as entidades de serviço que têm permissão para usar APIs do Power BI para fins administrativos ou de inserção. | • Entidades de serviço do Power BI |
Grupos para configurações de locatário do Power BI
Dependendo dos processos internos que tem em vigor, você precisará de outros grupos. Esses grupos são úteis ao gerenciar as configurações de locatário. Veja alguns exemplos.
- Criadores de workspace do Power BI: útil quando você precisa limitar quem pode criar workspaces. É usado para definir a configuração de locatário Criar workspaces.
- Especialistas no assunto de certificação do Power BI: útil para especificar quem tem permissão para usar o endosso certificado para conteúdo. É usado para definir a configuração de locatário de Certificação.
- Criadores de conteúdo aprovados pelo Power BI: útil quando você precisa de aprovação, treinamento ou confirmação de política para instalação do Power BI Desktop ou para obter uma licença do Power BI Pro ou PPU. Elas são usadas por configurações de locatário que incentivam recursos de criação de conteúdo, como Permitir conexões DirectQuery a modelos semânticos do Power BI, Efetuar push de aplicativos para usuários finais, Permitir pontos de extremidade XMLA e outros.
- Usuários de ferramentas externas do Power BI: útil quando você permite o uso de ferramentas externas para um grupo seleto de usuários. É usado pela política de grupo ou quando instalações ou solicitações de software devem ser controladas cuidadosamente.
- Desenvolvedores personalizados do Power BI: útil quando você precisa controlar quem tem permissão para inserir conteúdo em outros aplicativos fora do Power BI. É usado para definir a configuração de locatário Inserir conteúdo em aplicativos.
- Publicação pública no Power BI: útil quando você precisa limitar quem pode publicar dados publicamente. É usado para definir a configuração de locatário Publicar na Web.
- Compartilhamento do Power BI com toda a organização: útil quando você precisa restringir quem pode compartilhar um link com todos na organização. É usado para definir a configuração de locatário Permitir links compartilháveis para conceder acesso a todos na organização.
- Compartilhamento de dados externos do Power BI: útil quando você precisa permitir que determinados usuários compartilhem modelos semânticos com usuários externos. É usado para definir a configuração de locatário Permitir que usuários específicos ativem o compartilhamento de dados externos.
- Acesso de usuário convidado do Power BI licenciado: útil quando você precisa agrupar usuários externos aprovados que recebem uma licença da organização. É usado para definir a configuração de locatário Permitir que usuários convidados do Microsoft Entra acessem o Power BI.
- BYOL de acesso de usuário convidado do Power BI: útil quando você precisa agrupar usuários externos aprovados que trazem a própria licença (BYOL) da organização inicial deles. É usado para definir a configuração de locatário Permitir que usuários convidados do Microsoft Entra acessem o Power BI.
Dica
Para ver considerações sobre como usar grupos ao planejar o acesso ao workspace, consulte o artigo Planejamento no nível do workspace. Para obter informações sobre como planejar a proteção de workspaces, aplicativos e itens, consulte o artigo Planejamento de segurança do consumidor de relatórios.
Tipo de grupo
Você pode criar diferentes tipos de grupos.
- Grupo de segurança: um grupo de segurança é a melhor opção quando o objetivo principal é conceder acesso a um recurso.
- Grupo de segurança habilitado para email: quando você precisa conceder acesso a um recurso e distribuir mensagens para todo o grupo por email, um grupo de segurança habilitado para email é uma boa opção.
- Grupo do Microsoft 365: Esse tipo de grupo tem um site do Teams e um endereço de email. É a melhor opção quando o objetivo principal é comunicação ou colaboração em um site do Teams. Um grupo do Microsoft 365 tem apenas membros e proprietários; não há uma função de visualizador. Por esse motivo, a principal finalidade dele é a colaboração. Esse tipo de grupo era conhecido como grupo do Office 365, grupo moderno ou grupo unificado.
- Grupo de distribuição: você pode usar um grupo de distribuição para enviar uma notificação de transmissão para uma lista de usuários. Hoje, esse é considerado um conceito herdado que fornece compatibilidade com versões anteriores. Para novos casos de uso, recomendamos que você crie um grupo de segurança habilitado para email.
Quando você solicita um novo grupo ou pretende usar um grupo existente, é importante estar ciente de seu tipo. O tipo de grupo pode determinar como ele é usado e gerenciado.
- Permissões do Power BI: nem todos os tipos de grupo têm suporte para todos os tipos de operação de segurança. Os grupos de segurança (incluindo grupos de segurança habilitados para email) oferecem a cobertura mais alta quando se trata de definir opções de segurança do Power BI. A documentação da Microsoft geralmente recomenda grupos do Microsoft 365. No entanto, no caso do Power BI, eles não são tão capazes quanto os grupos de segurança. Para obter mais informações sobre as permissões do Power BI, consulte os artigos posteriores desta série sobre planejamento de segurança.
- Configurações de locatário do Power BI: você só pode usar grupos de segurança (incluindo grupos de segurança habilitados para email) ao permitir ou não permitir que grupos de usuários trabalhem com as configurações de locatário do Power BI.
- Recursos avançados do Microsoft Entra: determinados tipos de recursos avançados não têm suporte para todos os tipos de grupo. Por exemplo, os grupos do Microsoft 365 não oferecem suporte ao aninhamento de grupos dentro de um grupo. Embora alguns tipos de grupo ofereçam suporte à associação de grupo dinâmico com base em atributos de usuário no Microsoft Entra ID, não há suporte a grupos que usam associação dinâmica para o Power BI.
- Gerenciado de forma diferente: sua solicitação para criar ou gerenciar um grupo pode ser encaminhada para um administrador diferente com base no tipo de grupo (grupos de segurança habilitados para email e grupos de distribuição são gerenciados no Exchange). Portanto, o processo interno será diferente dependendo do tipo de grupo.
Convenção de nomenclatura de grupos
É provável que você acabe com muitos grupos no Microsoft Entra ID para dar suporte à implementação do Power BI. Portanto, é importante ter um padrão acordado sobre como os grupos são nomeados. Uma boa convenção de nomenclatura ajudará a determinar a finalidade do grupo e a torná-lo mais simples de gerenciar.
Considere usar a seguinte convenção de nomenclatura padrão: <Prefixo><Finalidade>– <Tópico/Escopo/Departamento><[Ambiente]>
A lista a seguir descreve cada parte da convenção de nomenclatura.
- Prefixo: usado para agrupar todos os grupos do Power BI. Quando o grupo for usado por mais de uma ferramenta analítica, o prefixo pode ser apenas BI, em vez de Power BI. Nesse caso, o texto que descreve a finalidade será mais genérico para que se relacione a mais de uma ferramenta analítica.
- Finalidade: a finalidade varia. Pode ser para uma função de workspace, permissões de aplicativo, permissões no nível do item, segurança no nível de linha ou outra finalidade. Às vezes, várias finalidades podem ser atendidas com um só grupo.
- Tópico/Escopo/Departamento: usado para esclarecer a quem o grupo se aplica. Geralmente descreverá a associação ao grupo. Também pode se referir a quem gerencia o grupo. Às vezes, um só grupo pode ser usado para várias finalidades. Por exemplo, uma coleção de workspaces financeiros pode ser gerenciada com um grupo.
- Ambiente: opcional. Útil para diferenciar entre desenvolvimento, teste e produção.
Aqui estão alguns exemplos de nomes de grupo que aplicam a convenção de nomenclatura padrão.
- Administradores de workspace do Power BI – Finanças [Desenvolvimento]
- Membros do workspace do Power BI – Finanças [Desenvolvimento]
- Colaboradores do workspace do Power BI – Finanças [Desenvolvimento]
- Visualizadores do workspace do Power BI – Finanças [Desenvolvimento]
- Visualizadores de aplicativos do Power BI – Finanças
- Administradores de gateway do Power BI – Enterprise BI
- Administradores de gateway do Power BI – Finanças
Decisões por grupo
Ao planejar de quais grupos você precisará, várias decisões devem ser tomadas.
Quando um criador ou proprietário de conteúdo solicita um novo grupo, o ideal é que ele use um formulário para fornecer as informações a seguir.
- Nome e finalidade: um nome de grupo sugerido e sua finalidade pretendida. Considere incluir Power BI (ou apenas BI quando você tiver várias ferramentas de BI) no nome do grupo para indicar claramente o escopo do grupo.
- Endereço de email: um endereço de email quando a comunicação também é necessária para os membros do grupo. Nem todos os tipos de grupos precisam ser habilitados para email.
- Tipo de grupo: as opções incluem grupo de segurança, grupo de segurança habilitado para email, grupo do Microsoft 365 e grupo de distribuição.
- Proprietário do grupo: quem tem permissão para ser proprietário do grupo e gerenciar os membros dele.
- Associação de grupo: os usuários que deverão ser membros do grupo. Considere se usuários externos e usuários internos podem ser adicionados ou se há uma justificativa para colocar usuários externos em um grupo diferente.
- Uso da atribuição de membro do grupo just-in-time: você pode usar o Privileged Identity Management (PIM) para permitir acesso just-in-time a um grupo por um período definido. Esse serviço pode ser útil quando os usuários precisam de acesso temporário. O PIM também é útil para administradores do Power BI que precisam de acesso ocasional.
Dica
Grupos existentes baseados no esquema organizacional nem sempre funcionam bem para fins do Power BI. Use grupos existentes quando eles atenderem às suas necessidades. No entanto, esteja preparado para criar grupos específicos do Power BI quando a necessidade surgir.
Lista de verificação – ao criar uma estratégia de como usar grupos, as principais decisões e ações incluem:
- Decidir sobre a estratégia para o uso de grupos: determine os casos de uso e as finalidades necessárias para usar grupos. Seja específico sobre quando a segurança deve ser aplicada usando contas de usuário versus quando um grupo é necessário ou preferencial.
- Criar uma convenção de nomenclatura para grupos específicos do Power BI: verifique se uma convenção de nomenclatura consistente está em uso para os grupos que darão suporte à comunicação, aos recursos, à administração ou à segurança do Power BI.
- Decidir quem tem permissão para criar grupos: esclareça se todos os casos de criação de grupo precisam passar pela TI. Ou se determinados indivíduos (como membros satélites do COE) podem receber permissão para criar grupos para a unidade de negócios.
- Criar um processo de como solicitar um novo grupo: crie um formulário para os usuários solicitarem a criação de um grupo. Verifique se há um processo em vigor para responder rapidamente a novas solicitações. Tenha em mente que, se as solicitações forem atrasadas, os usuários poderão se sentir tentados a começar a atribuir permissões a contas individuais.
- Decidir quando o gerenciamento de grupo descentralizado é permitido: para grupos que se aplicam a uma equipe específica, decida quando é aceitável que um proprietário de grupo (fora da TI) gerencie membros no grupo.
- Decidir se a associação de grupo just-in-time será usada: determine se o Privileged Identity Management será útil. Nesse caso, determine para quais grupos ele pode ser usado (como o grupo de administradores do Power BI).
- Examinar quais grupos existem: determine quais grupos existentes podem ser usados e quais precisam ser criados.
- Examinar cada configuração de locatário: para cada configuração de locatário, determine se ela será permitida ou não para um conjunto específico de usuários. Determine se um grupo precisa ser criado para definir a configuração do locatário.
- Criar e publicar diretrizes para usuários sobre grupos: inclua a documentação para criadores de conteúdo que inclua requisitos ou preferências para usar grupos. Certifique-se de que eles saibam o que pedir quando solicitarem um novo grupo. Publique essas informações no portal centralizado e nos materiais de treinamento.
Conteúdo relacionado
No próximo artigo desta série, saiba mais sobre maneiras de fornecer conteúdo com segurança a consumidores de relatório somente leitura.