Planejamento da implementação do Power BI: Proteção de informações para o Power BI
Nota
Este artigo faz parte da série de artigos de planejamento de implementação do Power BI. Esta série se concentra principalmente na experiência do Power BI no Microsoft Fabric. Para obter uma introdução à série, consulte Planejamento de implementação do Power BI.
Este artigo descreve as atividades de planejamento relacionadas à implementação da proteção de informações no Power BI. Destina-se a:
- Administradores do Power BI: os administradores responsáveis por supervisionar o Power BI na organização. Os administradores do Power BI precisam colaborar com a segurança das informações e outras equipes relevantes.
- Equipes do Centro de Excelência, TI e BI: outras responsáveis pela supervisão do Power BI na organização. Eles podem precisar colaborar com administradores do Power BI, equipes de segurança da informação e outras equipes relevantes.
Importante
A proteção de informações e a prevenção contra perda de dados (DLP) são um empreendimento significativo em toda a organização. Seu escopo e impacto são muito maiores do que o Power BI sozinho. Esse tipo de iniciativa requer financiamento, priorização e planejamento. Espere envolver várias equipes multifuncionais em seus esforços de planejamento, uso e supervisão.
As atividades de rotulagem e classificação vão além do Power BI e até mesmo dos ativos de dados. As decisões discutidas neste artigo aplicam-se a ativos de toda a organização, incluindo ficheiros e e-mails, e não apenas ao Power BI. Este artigo apresenta tópicos que se aplicam à rotulagem e classificação em geral, porque tomar as decisões organizacionais corretas é fundamental para o sucesso da prevenção de perda de dados no Power BI.
Este artigo também inclui orientações introdutórias sobre a definição de uma estrutura de rótulo de sensibilidade. Tecnicamente, a estrutura de rótulos de sensibilidade é um pré-requisito para a implementação de rótulos de sensibilidade no Power BI. O objetivo de incluir algumas informações básicas neste artigo é ajudá-lo a entender o que está envolvido. É crucial que você colabore com a TI para planejar e implementar a proteção de informações na organização.
Finalidade dos rótulos sensíveis
O uso de rótulos de sensibilidade da Proteção de Informações do Microsoft Purview tem a ver com a classificação do conteúdo. Pense em um rótulo de confidencialidade como uma tag que você aplica a um item, arquivo, site ou ativo de dados.
Há muitas vantagens em usar a proteção de informações. Classificar e rotular conteúdo ajuda as organizações a:
- Entenda onde residem os dados confidenciais.
- Acompanhe os requisitos de conformidade externos e internos.
- Proteja o conteúdo de usuários não autorizados.
- Educar os utilizadores sobre como lidar com os dados de forma responsável.
- Implemente controles em tempo real para reduzir o risco de vazamento de dados.
Para obter mais casos de uso para proteção de informações, consulte Proteção de informações e DLP (Casos de uso comuns).
Gorjeta
Isso ajuda a lembrar que o Microsoft Purview Information Protection é o produto. Os rótulos de sensibilidade são uma característica específica desse produto.
Um rótulo de sensibilidade é uma breve descrição em texto não criptografado. Conceitualmente, você pode pensar em um rótulo de sensibilidade como uma tag. Apenas um rótulo pode ser atribuído a cada item (como um modelo semântico do Power BI no serviço do Power BI) ou a cada arquivo (como um arquivo do Power BI Desktop).
Um rótulo tem as seguintes finalidades.
- Classificação: Fornece uma classificação para descrever o nível de sensibilidade.
- Educação e conscientização do usuário: ajuda os usuários a entender como trabalhar adequadamente com o conteúdo.
- Políticas: Constitui a base para a aplicação e execução de políticas e DLP.
Pré-requisitos para a proteção de informações do Power BI
Até agora, você deve ter concluído as etapas de planejamento no nível da organização descritas no artigo Planejamento da proteção de informações no nível da organização. Antes de prosseguir, deve ter clareza sobre:
- Estado atual: o estado atual da proteção de informações em sua organização. Você deve entender se os rótulos de sensibilidade já estão em uso para arquivos do Microsoft Office. Nesse caso, o escopo do trabalho para adicionar o Power BI é muito menor do que se você estivesse trazendo proteção de informações para a organização pela primeira vez.
- Objetivos e requisitos : Os objetivos estratégicos para implementar a proteção de informações em sua organização. Compreender os objetivos e requisitos servirá como um guia para seus esforços de implementação.
Se a proteção de informações não estiver em uso pela sua organização, o restante desta seção fornecerá informações para ajudá-lo a colaborar com outras pessoas para introduzir a proteção de informações em sua organização.
Se a proteção de informações estiver em uso ativo em sua organização, recomendamos que você use este artigo para verificar se os pré-requisitos foram atendidos. Se os rótulos de sensibilidade estiverem ativamente em uso, a maioria (ou todas) as atividades nas fases de implantação 1 a 4 (na próxima seção) já estarão concluídas.
Fases de implementação
Recomendamos que você planeje adotar um plano de implantação gradual para implementar e testar a proteção de informações. O objetivo de um plano de implantação gradual é preparar-se para aprender, ajustar e iterar à medida que avança. A vantagem é que menos usuários são afetados durante os estágios iniciais (quando as alterações são mais prováveis), até que a proteção das informações seja finalmente implementada para todos os usuários da organização.
A introdução da proteção da informação é um empreendimento importante. Conforme descrito no artigo Planejamento da proteção de informações no nível da organização, se sua organização já implementou a proteção de informações para documentos do Microsoft Office, muitas dessas tarefas já estarão concluídas.
Esta seção fornece uma visão geral das fases que recomendamos que você inclua em seu plano de implantação gradual. Deve dar-lhe uma noção do que esperar. O restante deste artigo descreve outros critérios de tomada de decisão para os principais aspetos que afetam o Power BI mais diretamente.
Fase 1: Planear, decidir, preparar
Na primeira fase, concentre-se no planejamento, na tomada de decisões e nas atividades preparatórias. A maior parte do restante deste artigo concentra-se nesta primeira fase.
O mais cedo possível, esclareça onde ocorrerá o teste inicial. Essa escolha afetará onde você inicialmente configurará, publicará e testará. Para o teste inicial, você pode usar um locatário que não seja de produção (se tiver acesso a um).
Gorjeta
A maioria das organizações tem acesso a um inquilino, por isso pode ser um desafio explorar novos recursos de forma isolada. Para as organizações que têm um locatário de desenvolvimento ou teste separado, recomendamos que você o use para a fase inicial de teste. Para obter mais informações sobre como gerenciar locatários e como criar um locatário de avaliação para testar novos recursos, consulte Configuração do locatário.
Fase 2: Configurar recursos de suporte ao usuário
A segunda fase inclui etapas para configurar os recursos de suporte aos usuários. Os recursos incluem a sua política de classificação e proteção de dados e a página de ajuda personalizada.
É importante ter parte da documentação do usuário publicada com antecedência. Também é importante ter a equipe de suporte ao usuário preparada com antecedência.
Fase 3: Configurar rótulos e publicar
A terceira fase centra-se na definição de rótulos de sensibilidade. Quando todas as decisões foram tomadas, a configuração não é difícil ou demorada. Os rótulos de sensibilidade são configurados no portal de conformidade do Microsoft Purview no centro de administração do Microsoft 365.
Fase 4: Publicar política de rótulos
Antes que um rótulo possa ser usado, você deve publicá-lo como parte de uma política de rótulo. As políticas de rótulo permitem que determinados usuários usem um rótulo. As políticas de rótulo são publicadas no portal de conformidade do Microsoft Purview no centro de administração do Microsoft 365.
Nota
Tudo até este ponto é um pré-requisito para implementar a proteção de informações para o Power BI.
Fase 5: Habilitar configurações de locatário do Power BI
Há várias configurações de locatário de proteção de informações no portal de administração do Power BI. Eles são necessários para habilitar a proteção de informações no serviço do Power BI.
Importante
Você deve definir as configurações do locatário depois de configurar e publicar os rótulos no portal de conformidade do Microsoft Purview.
Fase 6: Testes iniciais
Na sexta fase, você executa testes iniciais para verificar se tudo se comporta conforme o esperado. Para fins de teste inicial, você deve publicar a política de rótulo somente para a equipe de implementação.
Durante esta fase, certifique-se de testar:
- Arquivos do Microsoft Office
- Itens do Power BI no serviço do Power BI
- Arquivos do Power BI Desktop
- Exportando arquivos do serviço do Power BI
- Outros escopos incluídos na configuração, como sites do Teams ou do SharePoint
Certifique-se de verificar a funcionalidade e a experiência do usuário usando um navegador da Web e também dispositivos móveis que são comumente usados. Atualize a documentação do usuário de acordo.
Importante
Mesmo que apenas alguns membros da equipe estejam autorizados a definir um rótulo de sensibilidade, todos os usuários poderão ver os rótulos atribuídos ao conteúdo. Se você estiver usando seu locatário de produção, os usuários podem se perguntar por que eles veem rótulos atribuídos a itens em um espaço de trabalho no serviço do Power BI. Esteja pronto para dar suporte e responder às perguntas dos usuários.
Fase 7: Recolher feedback dos utilizadores
O objetivo desta fase é obter feedback de um pequeno grupo de utilizadores-chave. As reações devem identificar áreas de confusão, lacunas na estrutura do rótulo ou problemas técnicos. Você também pode encontrar motivos para melhorar a documentação do usuário.
Para isso, você deve publicar (ou republicar) a política de rótulos para um pequeno subconjunto de usuários que estejam dispostos a fornecer comentários.
Gorjeta
Certifique-se de considerar tempo suficiente em seu plano de projeto. Para configurações de rótulos e políticas de rótulos, a documentação do produto recomenda que as alterações entrem em vigor em 24 horas . Esse tempo é necessário para garantir que todas as alterações se propaguem para serviços relacionados.
Fase 8: Lançamento iterativo
A fase de implementação é geralmente um processo iterativo.
Muitas vezes, o objetivo inicial é chegar a um estado em que todo o conteúdo do Power BI tenha um rótulo de sensibilidade atribuído. Para atingir esse objetivo, você pode introduzir uma política de rótulo obrigatório ou uma política de rótulo padrão. Você também pode usar as APIs de administração de proteção de informações para definir ou remover rótulos de sensibilidade de forma programática.
Você pode incluir gradualmente mais grupos de usuários até que toda a organização seja incluída. Esse processo envolve a republicação de cada política de rótulo para grupos cada vez maiores de usuários.
Ao longo desse processo, certifique-se de priorizar o fornecimento de orientação, comunicações e treinamento aos seus usuários para que eles entendam o processo e o que é esperado deles.
Fase 9: Monitorizar, auditar, ajustar, integrar
Há outras etapas a serem feitas após a distribuição inicial. Você deve ter uma equipe principal para monitorar as atividades de proteção de informações e ajustá-las ao longo do tempo. À medida que os rótulos são aplicados, você poderá avaliar sua utilidade e identificar áreas para ajustes.
Há muitos aspetos na auditoria da proteção de informações. Para obter mais informações, consulte Auditoria da proteção de informações e prevenção contra perda de dados para o Power BI.
Os investimentos feitos na configuração da proteção de informações podem ser usados em políticas de DLP para o Power BI, que são configuradas no portal de conformidade do Microsoft Purview. Para obter mais informações, incluindo uma descrição dos recursos de DLP, consulte Prevenção de perda de dados para o Power BI.
A proteção de informações também pode ser usada para criar políticas no Microsoft Defender for Cloud Apps. Para obter mais informações, incluindo uma descrição dos recursos que você pode achar úteis, consulte Defender for Cloud Apps for Power BI.
Lista de verificação - Ao preparar as fases de implementação da proteção de informações, as principais decisões e ações incluem:
- Crie um plano de distribuição gradual: defina as fases do seu plano de implantação. Clarificar quais são os objetivos específicos para cada fase.
- Identificar onde fazer o teste: determine onde o teste inicial pode ser feito. Para minimizar o impacto sobre os usuários, use um locatário que não seja de produção, se possível.
- Criar um plano de projeto: crie um plano de projeto que inclua todas as atividades-chave, cronograma estimado e quem será responsável.
Estrutura do rótulo de sensibilidade
A estrutura de rótulos de sensibilidade é um pré-requisito para implementar rótulos de sensibilidade no Power BI. Esta seção inclui algumas informações básicas para ajudá-lo a entender o que está envolvido na criação da estrutura do rótulo.
Esta seção não é uma lista exaustiva de todas as possíveis considerações de rótulo de sensibilidade para todos os aplicativos possíveis. Em vez disso, seu foco está em considerações e atividades que afetam diretamente a classificação do conteúdo do Power BI. Certifique-se de trabalhar com outras partes interessadas e administradores de sistema para tomar decisões que funcionem bem para todos os aplicativos e casos de uso.
A base para implementar a proteção de informações começa com um conjunto de rótulos de sensibilidade. O objetivo final é criar um conjunto de rótulos de sensibilidade que sejam claros e diretos para os usuários trabalharem.
A estrutura de rótulo de sensibilidade usada em uma organização representa uma taxonomia de rótulo. Também é comumente referida como uma taxonomia de classificação de dados porque o objetivo é classificar os dados. Às vezes, é referido como uma definição de esquema.
Não existe um conjunto de etiquetas padrão ou incorporado. Cada organização deve definir e personalizar um conjunto de rótulos para atender às suas necessidades. O processo para chegar ao conjunto certo de rótulos envolve uma ampla colaboração. Exige um planeamento ponderado para garantir que os rótulos cumprem os objetivos e os requisitos. Lembre-se, os rótulos serão aplicados a mais do que apenas conteúdo do Power BI.
Gorjeta
A maioria das organizações começa atribuindo rótulos a arquivos do Microsoft Office. Em seguida, eles evoluem para classificar outros conteúdos, como itens e arquivos do Power BI.
Uma estrutura de rótulo inclui:
- Rótulos: Os rótulos formam uma hierarquia. Cada rótulo indica o nível de sensibilidade de um item, arquivo ou ativo de dados. Recomendamos que crie entre três e sete etiquetas. Os rótulos raramente devem mudar.
- Subrótulos: Os subrótulos indicam variações na proteção ou no âmbito de um rótulo específico. Ao incluí-los em diferentes políticas de rótulos, você pode definir o escopo de subrótulos para um determinado conjunto de usuários ou para usuários envolvidos com um projeto específico.
Gorjeta
Embora os subrótulos ofereçam flexibilidade, devem ser utilizados com moderação apenas para satisfazer requisitos críticos. A criação de demasiados subrótulos resulta num aumento da gestão. Eles também podem sobrecarregar os usuários com muitas opções.
Os rótulos formam uma hierarquia, começando com a classificação menos sensível até a classificação mais sensível.
Às vezes, o conteúdo do Power BI contém dados que abrangem vários rótulos. Por exemplo, um modelo semântico pode conter informações de estoque de produtos (Uso Interno Geral) e os números de vendas do trimestre atual (Restrito). Ao escolher qual rótulo atribuir ao modelo semântico do Power BI, os usuários devem ser ensinados a aplicar o rótulo mais restritivo.
Gorjeta
A próxima seção descreve a política de classificação e proteção de dados que pode fornecer aos usuários orientações sobre quando usar cada rótulo.
Importante
A atribuição de um rótulo ou subrótulo não afeta diretamente o acesso ao conteúdo do Power BI no serviço do Power BI. Em vez disso, o rótulo fornece uma categoria útil que pode orientar o comportamento do usuário. As políticas de prevenção de perda de dados também podem ser baseadas no rótulo atribuído. No entanto, nada muda na forma como o acesso ao conteúdo do Power BI é gerido, exceto quando um ficheiro é encriptado. Para obter mais informações, consulte Uso da proteção de criptografia.
Seja deliberado com os rótulos que você cria, pois é difícil remover ou excluir um rótulo depois de passar da fase inicial de testes. Como os subrótulos podem (opcionalmente) ser usados para um determinado conjunto de usuários, eles podem ser alterados com mais frequência do que os rótulos.
Aqui estão algumas práticas recomendadas para definir uma estrutura de rótulo.
- Use termos intuitivos e inequívocos: a clareza é importante para garantir que os usuários saibam o que escolher ao classificar seus dados. Por exemplo, ter um rótulo Top Secret e um rótulo Highly Confidential é ambíguo.
- Crie uma ordem hierárquica lógica: A ordem dos rótulos é crucial para que tudo funcione bem. Lembre-se que o último rótulo da lista é o mais sensível. A ordem hierárquica, em combinação com termos bem selecionados, deve ser lógica e intuitiva para os usuários trabalharem. Uma hierarquia clara também facilitará a criação e a manutenção de políticas.
- Crie apenas alguns rótulos que se aplicam a toda a organização: Ter muitos rótulos para os usuários escolherem será confuso. Isso também levará a uma seleção de rótulos menos precisa. Recomendamos que você crie apenas alguns rótulos para o conjunto inicial.
- Use nomes genéricos significativos: evite usar jargões ou siglas do setor nos nomes dos rótulos. Por exemplo, em vez de criar um rótulo chamado Informações de Identificação Pessoal, use nomes como Altamente Restrito ou Altamente Confidencial .
- Use termos que são facilmente localizados em outros idiomas: para organizações globais com operações em vários países/regiões, é importante escolher termos de rótulo que não sejam confusos ou ambíguos quando forem traduzidos para outros idiomas.
Gorjeta
Se você está planejando muitos rótulos que são altamente específicos, recue e reavalie sua abordagem. A complexidade pode levar à confusão do usuário, à redução da adoção e à proteção menos eficaz das informações. Recomendamos que comece com um conjunto inicial de etiquetas (ou utilize as que já tem). Depois de ganhar mais experiência, expanda cautelosamente o conjunto de rótulos, adicionando rótulos mais específicos quando necessário.
Lista de verificação - Ao planejar sua estrutura de rótulo de sensibilidade, as principais decisões e ações incluem:
- Definir um conjunto inicial de rótulos de sensibilidade: crie um conjunto inicial de entre três e sete rótulos de sensibilidade. Garantir que eles tenham ampla utilização para uma ampla gama de conteúdos. Planeje iterar na lista inicial à medida que finaliza a classificação de dados e a política de proteção.
- Determine se você precisa de subrótulos: decida se há necessidade de usar subrótulos para qualquer um dos rótulos.
- Verificar a localização dos termos dos rótulos: se os rótulos forem traduzidos para outros idiomas, peça aos falantes nativos que confirmem que os rótulos localizados transmitem o significado pretendido.
Escopo do rótulo de sensibilidade
Um escopo de rótulo de sensibilidade limita o uso de um rótulo. Embora não seja possível especificar o Power BI diretamente, você pode aplicar rótulos a vários escopos. Os escopos possíveis incluem:
- Itens (como itens publicados no serviço Power BI e arquivos e emails)
- Grupos e sites (como um canal do Teams ou um site do SharePoint)
- Ativos de dados esquematizados (fontes suportadas que são registradas no Mapa de Dados Purview)
Importante
Não é possível definir um rótulo de sensibilidade apenas com um escopo do Power BI. Embora existam algumas configurações que se aplicam especificamente ao Power BI, o escopo não é uma delas. O escopo dos itens é usado para o serviço do Power BI. Os rótulos de sensibilidade são tratados de forma diferente das políticas de DLP, descritas no artigo Prevenção de perda de dados para planejamento do Power BI, em que alguns tipos de políticas de DLP podem ser definidos especificamente para o Power BI. Se você pretende usar a herança de rótulo de confidencialidade de fontes de dados no Power BI, há requisitos específicos para o escopo do rótulo.
Os eventos relacionados a rótulos de sensibilidade são registrados no explorador de atividades. Os detalhes registrados desses eventos serão significativamente mais ricos quando o escopo for mais amplo. Você também estará mais bem preparado para proteger dados em um espectro mais amplo de aplicativos e serviços.
Ao definir o conjunto inicial de rótulos de sensibilidade, considere tornar o conjunto inicial de rótulos disponível para todos os escopos. Isso porque pode se tornar confuso para os usuários quando eles veem rótulos diferentes em aplicativos e serviços diferentes. Com o tempo, no entanto, você pode descobrir casos de uso para subrótulos mais específicos. No entanto, é mais seguro começar com um conjunto consistente e simples de rótulos iniciais.
O escopo do rótulo é definido no portal de conformidade do Microsoft Purview quando o rótulo é configurado.
Lista de verificação - Ao planejar o escopo do rótulo, as principais decisões e ações incluem:
- Decida o escopo do rótulo: discuta e decida se cada um dos rótulos iniciais será aplicado a todos os escopos.
- Revise todos os pré-requisitos: investigue os pré-requisitos e as etapas de configuração necessárias que serão necessárias para cada escopo que você pretende usar.
Utilização da proteção contra encriptação
Existem várias opções de proteção com um rótulo de sensibilidade.
- Encriptação: As definições de encriptação pertencem a ficheiros ou e-mails. Por exemplo, um arquivo do Power BI Desktop pode ser criptografado.
- Marcações: refere-se a cabeçalhos, rodapés e marcas d'água. As marcações são úteis para arquivos do Microsoft Office, mas não são mostradas no conteúdo do Power BI.
Gorjeta
Normalmente, quando alguém se refere a um rótulo como protegido, está se referindo à criptografia. Pode ser suficiente que apenas rótulos de nível superior, como Restrito e Altamente Restrito, sejam criptografados.
A encriptação é uma forma de codificar informação criptograficamente. A encriptação tem várias vantagens fundamentais.
- Apenas utilizadores autorizados (por exemplo, utilizadores internos na sua organização) podem abrir, desencriptar e ler um ficheiro protegido.
- A criptografia permanece com um arquivo protegido, mesmo quando o arquivo é enviado para fora da organização ou é renomeado.
- A configuração de criptografia é obtida a partir do conteúdo rotulado original. Considere que um relatório no serviço do Power BI tem um rótulo de sensibilidade de Altamente Restrito. Se for exportado para um caminho de exportação suportado, o rótulo permanecerá intacto e a criptografia será aplicada no arquivo exportado.
O Azure Rights Management Service (Azure RMS) é usado para proteção de arquivos com criptografia. Há alguns pré-requisitos importantes que devem ser atendidos para usar a criptografia do Azure RMS.
Importante
Há uma limitação a considerar: um utilizador offline (sem uma ligação à Internet) não pode abrir um ficheiro encriptado do Power BI Desktop (ou outro tipo de ficheiro protegido pelo Azure RMS). Isso ocorre porque o Azure RMS deve verificar de forma síncrona se um usuário está autorizado a abrir, descriptografar e exibir o conteúdo do arquivo.
As etiquetas encriptadas são tratadas de forma diferente, dependendo do local onde o utilizador está a trabalhar.
- No serviço Power BI: A configuração de criptografia não tem um efeito direto no acesso do usuário no serviço do Power BI. As permissões padrão do Power BI (como funções de espaço de trabalho, permissões de aplicativo ou permissões de compartilhamento) controlam o acesso do usuário no serviço do Power BI. Os rótulos de sensibilidade não afetam o acesso ao conteúdo no serviço do Power BI.
- Arquivos do Power BI Desktop: um rótulo criptografado pode ser atribuído a um arquivo do Power BI Desktop. O rótulo também é mantido quando é exportado do serviço do Power BI. Apenas utilizadores autorizados poderão abrir, desencriptar e visualizar o ficheiro.
- Arquivos exportados: os arquivos Microsoft Excel, Microsoft PowerPoint e PDF exportados do serviço Power BI mantêm seu rótulo de sensibilidade, incluindo proteção de criptografia. Para formatos de ficheiro suportados, apenas utilizadores autorizados poderão abrir, desencriptar e visualizar o ficheiro.
Importante
É fundamental que os usuários entendam as distinções entre o serviço do Power BI e os arquivos, que são facilmente confundidos. Recomendamos que forneça um documento de FAQs, juntamente com exemplos, para ajudar os utilizadores a compreender as diferenças.
Para abrir um arquivo protegido do Power BI Desktop ou um arquivo exportado, um usuário deve atender aos seguintes critérios.
- Conectividade com a Internet: O usuário deve estar conectado à Internet. É necessária uma ligação ativa à Internet para comunicar com o Azure RMS.
- Permissões do RMS: o usuário deve ter permissões do RMS, que são definidas dentro do rótulo (e não dentro da política de rótulo). As permissões do RMS permitem aos utilizadores autorizados desencriptar, abrir e visualizar formatos de ficheiro suportados.
- Usuário permitido: usuários ou grupos devem ser especificados na política de rótulo. Normalmente, a atribuição de usuários autorizados só é necessária para criadores e proprietários de conteúdo para que eles possam aplicar rótulos. No entanto, ao usar a proteção de criptografia, há outro requisito. Cada usuário que precisa abrir um arquivo protegido deve ser especificado na política de rótulo. Este requisito significa que o licenciamento da proteção de informações pode ser necessário para mais utilizadores.
Gorjeta
A configuração de locatário Permitir que os administradores do espaço de trabalho substituam rótulos de sensibilidade aplicados automaticamente permite que os administradores do espaço de trabalho alterem um rótulo que foi aplicado automaticamente, mesmo que a proteção (criptografia) esteja habilitada para o rótulo. Esse recurso é particularmente útil quando um rótulo foi atribuído ou herdado automaticamente, mas o administrador do espaço de trabalho não é um usuário autorizado.
A proteção de rótulo é definida no portal de conformidade do Microsoft Purview quando você configura o rótulo.
Lista de verificação - Ao planejar o uso da criptografia de rótulos, as principais decisões e ações incluem:
- Decida quais rótulos devem ser criptografados: Para cada rótulo de sensibilidade, decida se ele deve ser criptografado (protegido). Considere cuidadosamente as limitações envolvidas.
- Identificar as permissões do RMS para cada rótulo: determine quais serão as permissões do usuário para acessar e interagir com arquivos criptografados. Crie um mapeamento de usuários e grupos para cada rótulo de sensibilidade para ajudar no processo de planejamento.
- Revise e resolva os pré-requisitos de criptografia do RMS: verifique se os pré-requisitos técnicos para usar a criptografia do Azure RMS foram atendidos.
- Planejar a realização de testes completos de criptografia: devido às diferenças entre arquivos do Office e arquivos do Power BI, certifique-se de se comprometer com uma fase de teste completa.
- Incluir na documentação e no treinamento do usuário: certifique-se de incluir orientações em sua documentação e treinamento sobre o que os usuários devem esperar para arquivos aos quais é atribuído um rótulo de confidencialidade criptografado.
- Realizar a transferência de conhecimento com suporte: Faça planos específicos para conduzir sessões de transferência de conhecimento com a equipe de suporte. Devido à complexidade da criptografia, eles provavelmente receberão perguntas dos usuários.
Herança de rótulos de fontes de dados
Ao importar dados de fontes de dados com suporte (como o Azure Synapse Analytics, o Banco de Dados SQL do Azure ou um arquivo do Excel), um modelo semântico do Power BI pode, opcionalmente, herdar o rótulo de confidencialidade aplicado aos dados de origem. A herança ajuda a:
- Promover a consistência da rotulagem.
- Reduza o esforço do usuário ao atribuir rótulos.
- Reduza o risco de usuários acessarem e compartilharem dados confidenciais com usuários não autorizados porque eles não foram rotulados.
Gorjeta
Existem dois tipos de herança para rótulos de sensibilidade. Herança downstream refere-se a itens downstream (como relatórios) que herdam automaticamente um rótulo de seu modelo semântico do Power BI. No entanto, o foco desta seção está na herança _upstream. A herança upstream refere-se a um modelo semântico do Power BI que herda um rótulo de uma fonte de dados que está a montante do modelo semântico.
Considere um exemplo em que a definição de trabalho da organização para o rótulo de sensibilidade de Altamente Restrito inclui números de contas financeiras. Como os números de conta financeira são armazenados em um Banco de Dados SQL do Azure, o rótulo de sensibilidade Altamente Restrita foi atribuído a essa fonte. Quando os dados do Banco de Dados SQL do Azure são importados para o Power BI, a intenção é que o modelo semântico herde o rótulo.
Você pode atribuir rótulos de sensibilidade a uma fonte de dados suportada de diferentes maneiras.
- Descoberta e classificação de dados: você pode verificar um banco de dados suportado para identificar colunas que possam conter dados confidenciais. Com base nos resultados da verificação, você pode aplicar algumas ou todas as recomendações do rótulo. A Descoberta de Dados e a Classificação têm suporte para bancos de dados como o Banco de Dados SQL do Azure, a Instância Gerenciada SQL do Azure e o Azure Synapse Analytics. O SQL Data Discovery & Classification tem suporte para bancos de dados SQL Server locais.
- Atribuições manuais: você pode atribuir um rótulo de sensibilidade a um arquivo do Excel. Você também pode atribuir manualmente rótulos a colunas de banco de dados no Banco de Dados SQL do Azure ou no SQL Server.
- Rotulagem automática no Microsoft Purview: os rótulos de sensibilidade podem ser aplicados a fontes de dados com suporte registradas como ativos no Mapa de Dados do Microsoft Purview.
Aviso
Os detalhes sobre como atribuir rótulos de confidencialidade a uma fonte de dados estão fora do escopo deste artigo. Os recursos técnicos estão evoluindo em relação ao que é suportado para herança no Power BI. Recomendamos que você realize uma prova técnica de conceito para verificar seus objetivos, facilidade de uso e se os recursos atendem às suas necessidades.
A herança acontecerá somente quando você habilitar a configuração Aplicar rótulos de confidencialidade de fontes de dados aos seus dados no locatário do Power BI. Para obter mais informações sobre configurações de locatário, consulte a seção Configurações de locatário do Power BI mais adiante neste artigo.
Gorjeta
Você precisará se familiarizar com o comportamento da herança. Certifique-se de incluir várias circunstâncias no seu plano de teste.
Lista de verificação - Ao planejar a herança de rótulos de fontes de dados, as principais decisões e ações incluem:
- Decidir se o Power BI deve herdar rótulos de fontes de dados: decida se o Power BI deve herdar esses rótulos. Planeje habilitar a configuração do locatário para permitir esse recurso.
- Revise os pré-requisitos técnicos: determine se você precisa executar etapas adicionais para atribuir rótulos de confidencialidade a fontes de dados.
- Testar a funcionalidade de herança de rótulo: preencha uma prova técnica de conceito para testar como a herança funciona. Verifique se o recurso funciona como esperado em várias circunstâncias.
- Incluir na documentação do usuário: certifique-se de que as informações sobre herança de rótulos sejam adicionadas às orientações fornecidas aos usuários. Inclua exemplos realistas na documentação do usuário.
Políticas de rótulos publicados
Depois de definir um rótulo de sensibilidade, o rótulo pode ser adicionado a uma ou mais políticas de rótulo. Uma política de rótulo é como você publica o rótulo para que ele possa ser usado. Ele define quais rótulos podem ser usados por qual conjunto de usuários autorizados. Há outras configurações também, como o rótulo padrão e rótulo obrigatório.
O uso de várias políticas de rótulo pode ser útil quando você precisa segmentar diferentes conjuntos de usuários. Você pode definir um rótulo de confidencialidade uma vez e, em seguida, incluir em uma ou mais políticas de rótulo.
Gorjeta
Um rótulo de confidencialidade não estará disponível para uso até que uma política de rótulo que contenha o rótulo seja publicada no portal de conformidade do Microsoft Purview.
Utilizadores e grupos autorizados
Quando você cria uma política de rótulo, um ou mais usuários ou grupos devem ser selecionados. A política de rótulo determina quais usuários podem usar o rótulo. Ele permite que os usuários atribuam esse rótulo a conteúdo específico, como um arquivo do Power BI Desktop, um arquivo do Excel ou um item publicado no serviço do Power BI.
Recomendamos que você mantenha os usuários e grupos autorizados o mais simples possível. Uma boa regra geral é que os rótulos principais sejam publicados para todos os usuários. Às vezes, é apropriado que um subrótulo seja atribuído, ou com escopo, a um subconjunto de usuários.
Recomendamos que você atribua grupos em vez de indivíduos sempre que possível. A utilização de grupos simplifica a gestão da política e reduz a frequência com que é necessário republicá-la,
Aviso
Os usuários e grupos autorizados para um rótulo são diferentes dos usuários atribuídos ao Azure RMS para um rótulo protegido (criptografado). Se um usuário estiver tendo problemas para abrir um arquivo criptografado, investigue as permissões de criptografia para usuários e grupos específicos (que são configurados dentro da configuração de rótulo, em vez de dentro da política de rótulo). Na maioria das situações, recomendamos que você atribua os mesmos usuários a ambos. Essa consistência evitará confusão e reduzirá os tíquetes de suporte.
Os usuários e grupos autorizados são definidos no portal de conformidade do Microsoft Purview quando a política de rótulo é publicada.
Lista de verificação - Ao planejar usuários e grupos autorizados em sua política de rótulos, as principais decisões e ações incluem:
- Determinar quais rótulos se aplicam a todos os usuários: discuta e decida quais rótulos de sensibilidade devem estar disponíveis para uso por todos os usuários.
- Determinar quais subrótulos se aplicam a um subconjunto de usuários: discuta e decida se há subrótulos que estarão disponíveis para uso apenas por um conjunto específico de usuários ou grupos.
- Identificar se novos grupos são necessários: determine se novos grupos de ID do Microsoft Entra precisarão ser criados para dar suporte aos usuários e grupos autorizados.
- Criar um documento de planejamento: se o mapeamento de usuários autorizados para rótulos confidenciais for complicado, crie um mapeamento de usuários e grupos para cada política de rótulo.
Rótulo padrão para conteúdo do Power BI
Ao criar uma política de rótulo, você pode escolher um rótulo padrão. Por exemplo, o rótulo de uso interno geral pode ser definido como o rótulo padrão. Essa configuração afetará os novos itens do Power BI criados no Power BI Desktop ou no serviço do Power BI.
Você pode configurar o rótulo padrão na política de rótulo especificamente para o conteúdo do Power BI, que é separado de outros itens. A maioria das decisões e configurações de proteção de informações se aplica de forma mais ampla. No entanto, a configuração de rótulo padrão (e a configuração de rótulo obrigatório descrita a seguir) se aplica somente ao Power BI.
Gorjeta
Embora você possa definir diferentes rótulos padrão (para conteúdo do Power BI e não do Power BI), considere se essa é a melhor opção para os usuários.
É importante entender que uma nova política de rótulo padrão será aplicada ao conteúdo criado ou editado após a publicação da política de rótulo. Ele não atribuirá retroativamente o rótulo padrão ao conteúdo existente. O administrador do Power BI pode usar as APIs de proteção de informações para definir rótulos de confidencialidade em massa para garantir que o conteúdo existente seja atribuído a um rótulo de confidencialidade padrão.
As opções de rótulo padrão são definidas no portal de conformidade do Microsoft Purview quando a política de rótulo é publicada.
Lista de verificação - Ao planejar se um rótulo padrão para o conteúdo do Power BI será aplicado, as principais decisões e ações incluem:
- Decidir se um rótulo padrão será especificado: discuta e decida se um rótulo padrão é apropriado. Em caso afirmativo, determine qual rótulo é mais adequado como padrão.
- Incluir na documentação do usuário: Se necessário, certifique-se de que as informações sobre o rótulo padrão sejam mencionadas nas orientações fornecidas aos usuários. O objetivo é que os usuários entendam como determinar se o rótulo padrão é apropriado ou se deve ser alterado.
Rotulagem obrigatória de conteúdo do Power BI
A classificação dos dados é um requisito regulamentar comum. Para atender a esse requisito, você pode optar por exigir que os usuários rotulem todo o conteúdo do Power BI. Este requisito de etiquetagem obrigatório entra em vigor quando os utilizadores criam ou editam conteúdo do Power BI.
Você pode optar por implementar rótulos obrigatórios, rótulos padrão (descritos na seção anterior) ou ambos. Você deve considerar os seguintes pontos.
- Uma política de rótulos obrigatórios garante que o rótulo não ficará vazio
- Uma política de rótulos obrigatórios exige que os utilizadores escolham qual deve ser o rótulo
- Uma política de etiquetas obrigatórias impede os utilizadores de remover totalmente uma etiqueta
- Uma política de rótulo padrão é menos invasiva para os usuários porque não exige que eles tomem medidas
- Uma política de rótulo padrão pode resultar em conteúdo rotulado incorretamente, uma vez que um usuário não fez a escolha expressamente
- Habilitar uma política de rótulo padrão e uma política de rótulo obrigatório pode fornecer benefícios complementares
Gorjeta
Se optar por implementar etiquetas obrigatórias, recomendamos que também implemente etiquetas predefinidas.
Você pode configurar a política de rótulo obrigatório especificamente para o conteúdo do Power BI. A maioria das configurações de proteção de informações se aplica de forma mais ampla. No entanto, a configuração de rótulo obrigatório (e a configuração de rótulo padrão) se aplica especificamente ao Power BI.
Gorjeta
Uma política de rótulo obrigatório não é aplicável a entidades de serviço ou APIs.
As opções de rotulagem obrigatórias são definidas no portal de conformidade do Microsoft Purview quando a política de rótulo é publicada.
Lista de verificação - Ao planejar se a rotulagem obrigatória do conteúdo do Power BI será necessária, as principais decisões e ações incluem:
- Decidir se os rótulos serão obrigatórios: discuta e decida se os rótulos obrigatórios são necessários por razões de conformidade.
- Incluir na documentação do utilizador: Se necessário, certifique-se de que as informações sobre etiquetas obrigatórias são acrescentadas às orientações fornecidas aos utilizadores. O objetivo é que os usuários entendam o que esperar.
Requisitos de licenciamento
Licenças específicas devem estar em vigor para trabalhar com rótulos de sensibilidade.
É necessária uma licença do Microsoft Purview Information Protection para:
- Administradores: os administradores que configurarão, gerenciarão e supervisionarão rótulos.
- Usuários: os criadores e proprietários de conteúdo que serão responsáveis por aplicar rótulos ao conteúdo. Os utilizadores também incluem aqueles que precisam de desencriptar, abrir e visualizar ficheiros protegidos (encriptados).
Talvez você já tenha esses recursos porque eles estão incluídos em pacotes de licenças, como o Microsoft 365 E5. Como alternativa, os recursos de conformidade do Microsoft 365 E5 podem ser adquiridos como uma licença autônoma.
Uma licença do Power BI Pro ou Premium Por Usuário (PPU) também é necessária para usuários que aplicarão e gerenciarão rótulos de confidencialidade no serviço do Power BI ou no Power BI Desktop.
Gorjeta
Se precisar de esclarecimentos sobre os requisitos de licenciamento, fale com a equipa da sua conta Microsoft. Lembre-se de que a licença de conformidade do Microsoft 365 E5 inclui recursos adicionais que estão fora do escopo deste artigo.
Lista de verificação - Ao avaliar os requisitos de licenciamento para rótulos sensíveis, as principais decisões e ações incluem:
- Revise os requisitos de licenciamento do produto: certifique-se de revisar todos os requisitos de licenciamento.
- Revise os requisitos de licenciamento do usuário: verifique se todos os usuários que você espera atribuir rótulos têm licenças do Power BI Pro ou PPU.
- Obter licenças adicionais: Se aplicável, adquira mais licenças para desbloquear a funcionalidade que pretende utilizar.
- Atribuir licenças: atribua uma licença a cada usuário que atribuirá, atualizará ou gerenciará rótulos de confidencialidade. Atribua uma licença a cada utilizador que irá interagir com ficheiros encriptados.
Configurações de locatário do Power BI
Há várias configurações de locatário do Power BI relacionadas à proteção de informações.
Importante
As configurações de locatário do Power BI para proteção de informações não devem ser definidas até que todos os pré-requisitos sejam atendidos. Os rótulos e as políticas de rótulos devem ser configurados e publicados no portal de conformidade do Microsoft Purview. Até este momento, você ainda está no processo de tomada de decisão. Antes de definir as configurações de locatário, você deve primeiro determinar um processo para testar a funcionalidade com um subconjunto de usuários. Em seguida, você pode decidir como fazer uma implantação gradual.
Utilizadores que podem aplicar etiquetas
Você deve decidir quem terá permissão para aplicar rótulos de confidencialidade ao conteúdo do Power BI. Essa decisão determinará como você define a configuração Permitir que os usuários apliquem rótulos de sensibilidade para locatário de conteúdo.
Normalmente, é o criador ou proprietário de conteúdo que atribui o rótulo durante seu fluxo de trabalho normal. A abordagem mais direta é habilitar essa configuração de locatário, que permite que todos os usuários do Power BI apliquem rótulos. Nesse caso, as funções de espaço de trabalho padrão determinarão quem pode editar itens no serviço do Power BI (incluindo a aplicação de um rótulo). Você pode usar o registro de atividades para controlar quando um usuário atribui ou altera um rótulo.
Rótulos de fontes de dados
Você deve decidir se deseja que os rótulos de confidencialidade sejam herdados de fontes de dados com suporte que estão upstream do Power BI. Por exemplo, se as colunas em um Banco de Dados SQL do Azure tiverem sido definidas com o rótulo de sensibilidade Altamente Restrita, um modelo semântico do Power BI que importe dados dessa fonte herdará esse rótulo.
Se você decidir habilitar a herança de fontes de dados upstream, defina a configuração Aplicar rótulos de confidencialidade de fontes de dados aos seus dados no locatário do Power BI. Recomendamos que você planeje habilitar a herança de rótulos de fonte de dados para promover a consistência e reduzir o esforço.
Etiquetas para conteúdos a jusante
Você deve decidir se os rótulos de sensibilidade devem ser herdados pelo conteúdo a jusante. Por exemplo, se um modelo semântico do Power BI tiver um rótulo de sensibilidade de Altamente Restrito, todos os relatórios downstream herdarão esse rótulo do modelo semântico.
Se você decidir habilitar a herança por conteúdo downstream, defina a configuração Aplicar automaticamente rótulos de sensibilidade ao locatário de conteúdo downstream. Recomendamos que você planeje habilitar a herança por conteúdo downstream para promover a consistência e reduzir o esforço.
Substituições do administrador do espaço de trabalho
Essa configuração se aplica a rótulos que foram aplicados automaticamente (como quando rótulos padrão são aplicados ou quando rótulos são herdados automaticamente). Quando um rótulo tem configurações de proteção, o Power BI permite que apenas usuários autorizados alterem o rótulo. Essa configuração permite que os administradores do espaço de trabalho alterem um rótulo que foi aplicado automaticamente, mesmo que haja configurações de proteção no rótulo.
Se você decidir permitir atualizações de rótulos, defina a configuração de locatário Permitir que os administradores do espaço de trabalho substituam os rótulos de sensibilidade aplicados automaticamente. Essa configuração se aplica a toda a organização (não a grupos individuais). Ele permite que os administradores do espaço de trabalho alterem os rótulos que foram aplicados automaticamente.
Recomendamos que você considere permitir que os administradores do espaço de trabalho do Power BI atualizem rótulos. Você pode usar o registro de atividades para acompanhar quando eles atribuem ou alteram um rótulo.
Não permitir a partilha de conteúdo protegido
Você deve decidir se o conteúdo protegido (criptografado) pode ser compartilhado com todos na sua organização.
Se você decidir não permitir o compartilhamento de conteúdo protegido, defina a configuração Restringir o compartilhamento de conteúdo com rótulos protegidos por meio de link com todos os locatários da sua organização. Essa configuração se aplica a toda a organização (não a grupos individuais).
É altamente recomendável que você planeje habilitar essa configuração de locatário para não permitir o compartilhamento de conteúdo protegido. Quando habilitado, ele não permite operações de compartilhamento com toda a organização para conteúdo mais confidencial (definido pelos rótulos que têm criptografia definida). Ao ativar essa configuração, você reduzirá a possibilidade de vazamento de dados.
Importante
Há uma configuração de locatário semelhante chamada Permitir links compartilháveis para conceder acesso a todos na sua organização. Embora tenha um nome semelhante, a sua finalidade é diferente. Ele define quais grupos podem criar um link de compartilhamento para toda a organização, independentemente do rótulo de sensibilidade. Na maioria dos casos, recomendamos que esse recurso seja limitado em sua organização. Para obter mais informações, consulte o artigo Relatar planejamento de segurança do consumidor.
Tipos de arquivo de exportação suportados
No portal de administração do Power BI, há muitas configurações de locatário de exportação e compartilhamento. Na maioria das circunstâncias, recomendamos que a capacidade de exportar dados esteja disponível para todos (ou a maioria) dos usuários para não limitar a produtividade do usuário.
No entanto, indústrias altamente regulamentadas podem ter um requisito para restringir as exportações quando a proteção de informações não pode ser aplicada para o formato de saída. Um rótulo de sensibilidade aplicado no serviço do Power BI segue o conteúdo quando ele é exportado para um caminho de arquivo com suporte. Inclui ficheiros Excel, PowerPoint, PDF e Power BI Desktop. Como o rótulo de sensibilidade permanece com o arquivo exportado, os benefícios de proteção (criptografia que impede que usuários não autorizados abram o arquivo) são mantidos para esses formatos de arquivo suportados.
Aviso
Ao exportar do Power BI Desktop para um arquivo PDF, a proteção não é mantida para o arquivo exportado. Recomendamos que você eduque seus criadores de conteúdo a exportar do serviço do Power BI para obter a máxima proteção das informações.
Nem todos os formatos de exportação suportam a proteção de informações. Formatos sem suporte, como arquivos .csv, .xml, .mhtml ou .png (disponíveis ao usar a API ExportToFile) podem ser desabilitados nas configurações de locatário do Power BI.
Gorjeta
Recomendamos que você restrinja os recursos de exportação somente quando precisar atender a requisitos regulatórios específicos. Em cenários típicos, recomendamos que você use o log de atividades do Power BI para identificar quais usuários estão executando exportações. Você pode então ensinar esses usuários sobre alternativas mais eficientes e seguras.
Lista de verificação - Ao planejar como as configurações de locatário serão configuradas no portal de administração do Power BI, as principais decisões e ações incluem:
- Decidir quais usuários podem aplicar rótulos de sensibilidade: discuta e decida se os rótulos de sensibilidade podem ser atribuídos ao conteúdo do Power BI por todos os usuários (com base na segurança padrão do Power BI) ou apenas por determinados grupos de usuários.
- Determinar se os rótulos devem ser herdados de fontes de dados upstream: discuta e decida se os rótulos de fontes de dados devem ser aplicados automaticamente ao conteúdo do Power BI que usa a fonte de dados.
- Determinar se os rótulos devem ser herdados por itens a jusante: discuta e decida se os rótulos atribuídos a modelos semânticos existentes do Power BI devem ser aplicados automaticamente ao conteúdo relacionado.
- Decidir se os administradores de espaço de trabalho do Power BI podem substituir rótulos: discuta e decida se é apropriado que os administradores de espaço de trabalho possam alterar rótulos protegidos que foram atribuídos automaticamente.
- Determine se o conteúdo protegido pode ser compartilhado com toda a organização: discuta e decida se os links de compartilhamento para "pessoas em sua organização" podem ser criados quando um rótulo protegido (criptografado) tiver sido atribuído a um item no serviço do Power BI.
- Decida quais formatos de exportação estão habilitados: identifique os requisitos regulatórios que afetarão quais formatos de exportação estão disponíveis. Discuta e decida se os usuários poderão usar todos os formatos de exportação no serviço do Power BI. Determine se determinados formatos precisam ser desabilitados nas configurações do locatário quando o formato de exportação não oferece suporte à proteção de informações.
Política de classificação e proteção de dados
Configurar a estrutura do rótulo e publicar as políticas do rótulo são os primeiros passos necessários. No entanto, há mais a fazer para ajudar sua organização a ser bem-sucedida na classificação e proteção de dados. É fundamental que você forneça orientação aos usuários sobre o que pode e o que não pode ser feito com o conteúdo atribuído a um determinado rótulo. É aí que você encontrará uma política de classificação e proteção de dados útil. Você pode pensar nisso como suas diretrizes de rótulo.
Nota
Uma política de classificação e proteção de dados é uma política de governança interna. Você pode optar por chamá-lo de algo diferente. O que importa é que é a documentação que você cria e fornece aos seus usuários para que eles saibam como usar os rótulos de forma eficaz. Como a política de rótulo é uma página específica no portal de conformidade do Microsoft Purview, tente evitar chamar sua política de governança interna pelo mesmo nome.
Recomendamos que você crie iterativamente sua política de classificação e proteção de dados enquanto estiver no processo de tomada de decisão. Isso significa que tudo está claramente definido quando é hora de configurar os rótulos de sensibilidade.
Aqui estão algumas das principais informações que você pode incluir em sua política de classificação e proteção de dados.
- Descrição do rótulo: Para além do nome do rótulo, forneça uma descrição completa do mesmo. A descrição deve ser clara, mas breve. Aqui estão alguns exemplos de descrições:
- Uso Interno Geral - para dados privados, internos e corporativos
- Restrito - para dados comerciais confidenciais que causariam danos se comprometidos ou estão sujeitos a requisitos regulatórios ou de conformidade
- Exemplos: Forneça exemplos para ajudar a explicar quando usar o rótulo. Eis alguns exemplos:
- Uso interno geral - para a maioria das comunicações internas, dados de suporte não confidenciais, respostas a pesquisas, avaliações, classificações e dados de localização imprecisos
- Restrito - para dados de informações de identificação pessoal (PII), como nome, endereço, telefone, e-mail, número de identificação do governo, raça ou etnia. Inclui contratos de fornecedores e parceiros, dados financeiros não públicos, dados de funcionários e de recursos humanos (RH). Também inclui informações proprietárias, propriedade intelectual e dados de localização precisos.
- Rótulo necessário: descreve se a atribuição de um rótulo é obrigatória para todo o conteúdo novo e alterado.
- Rótulo padrão: descreve se esse rótulo é um rótulo padrão que é aplicado automaticamente ao novo conteúdo.
- Restrições de acesso: informações adicionais que esclarecem se os utilizadores internos e/ou externos têm permissão para ver o conteúdo atribuído a esta etiqueta. Eis alguns exemplos:
- Todos os usuários, incluindo usuários internos, usuários externos e terceiros com acordos de não divulgação (NDAs) ativos em vigor podem acessar essas informações.
- Os utilizadores internos apenas podem aceder a esta informação. Nenhum parceiro, fornecedor, contratante ou terceiro, independentemente do status de NDA ou contrato de confidencialidade.
- O acesso interno às informações é baseado na autorização da função de trabalho.
- Requisitos de criptografia: descreve se os dados precisam ser criptografados em repouso e em trânsito. Essas informações serão correlacionadas à forma como o rótulo de confidencialidade é configurado e afetarão as políticas de proteção que podem ser implementadas para criptografia de arquivo (RMS).
- Downloads permitidos e/ou acesso offline: descreve se o acesso off-line é permitido. Também pode definir se os downloads são permitidos para dispositivos organizacionais ou pessoais.
- Como solicitar uma exceção: descreve se um usuário pode solicitar uma exceção à política padrão e como isso pode ser feito.
- Frequência da auditoria: especifica a frequência das revisões de conformidade. Os rótulos mais sensíveis devem envolver processos de auditoria mais frequentes e exaustivos.
- Outros metadados: uma política de dados requer mais metadados, como proprietário da política, aprovador e data de vigência.
Gorjeta
Ao criar sua política de classificação e proteção de dados, concentre-se em torná-la uma referência direta para os usuários. Deve ser o mais curto e claro possível. Se for muito complexo, os usuários nem sempre terão tempo para entendê-lo.
Uma maneira de automatizar a implementação de uma política, como a política de classificação e proteção de dados, é com os termos de uso do Microsoft Entra. Quando uma política de termos de uso é configurada, os usuários precisam reconhecer a política antes de terem permissão para visitar o serviço do Power BI pela primeira vez. Também é possível pedir-lhes que voltem a concordar de forma recorrente, por exemplo, de 12 em 12 meses.
Lista de verificação - Ao planejar a política interna para reger as expectativas de uso de rótulos de sensibilidade, as principais decisões e ações incluem:
- Crie uma política de classificação e proteção de dados: para cada rótulo de confidencialidade em sua estrutura, crie um documento de política centralizado. Este documento deve definir o que pode ou não ser feito com o conteúdo atribuído a cada rótulo.
- Obter consenso sobre a classificação de dados e política de proteção: Certifique-se de que todas as pessoas necessárias na equipe que você montou concordaram com as disposições.
- Considere como lidar com exceções à política: organizações altamente descentralizadas devem considerar se exceções podem surgir. Embora seja preferível ter uma classificação padronizada e uma política de proteção de dados, decida como você abordará as exceções quando novas solicitações forem feitas.
- Considere onde localizar sua política interna: pense um pouco onde a classificação de dados e a política de proteção devem ser publicadas. Certifique-se de que todos os usuários possam acessá-lo facilmente. Planeje incluí-lo na página de ajuda personalizada quando publicar a política de rótulo.
Documentação e formação do utilizador
Antes de implementar a funcionalidade de proteção de informações, recomendamos que você crie e publique documentação de orientação para seus usuários. O objetivo da documentação é alcançar uma experiência de usuário perfeita. Preparar a orientação para seus usuários também ajudará você a ter certeza de que considerou tudo.
Você pode publicar as diretrizes como parte da página de ajuda personalizada do rótulo de sensibilidade. Uma página do SharePoint ou uma página wiki no seu portal centralizado pode funcionar bem porque será fácil de manter. Um documento carregado em uma biblioteca compartilhada ou site do Teams também é uma boa abordagem. A URL da página de ajuda personalizada é especificada no portal de conformidade do Microsoft Purview quando você publica a política de rótulo.
Gorjeta
A página de ajuda personalizada é um recurso importante. Os links para ele são disponibilizados em vários aplicativos e serviços.
A documentação do utilizador deve incluir a política de classificação e proteção de dados descrita anteriormente. Essa política interna destina-se a todos os utilizadores. Os usuários interessados incluem criadores de conteúdo e consumidores que precisam entender as implicações para os rótulos que foram atribuídos por outros usuários.
Além da política de classificação e proteção de dados, recomendamos que você prepare orientações para seus criadores e proprietários de conteúdo sobre:
- Visualização de etiquetas: informações sobre o significado de cada etiqueta. Correlacione cada etiqueta com a sua política de classificação e proteção de dados.
- Atribuição de etiquetas: Orientações sobre como atribuir e gerir etiquetas. Inclua informações que eles precisarão saber, como rótulos obrigatórios, rótulos padrão e como funciona a herança de rótulos.
- Fluxo de trabalho: sugestões de como atribuir e revisar rótulos como parte de seu fluxo de trabalho normal. Os rótulos podem ser atribuídos no Power BI Desktop assim que o desenvolvimento começa, o que protege o arquivo original do Power BI Desktop durante o processo de desenvolvimento.
- Notificações situacionais: conhecimento sobre notificações geradas pelo sistema que os usuários podem receber. Por exemplo, um site do SharePoint é atribuído a um determinado rótulo de sensibilidade, mas um arquivo individual foi atribuído a um rótulo mais sensível (superior). O usuário que atribuiu o rótulo superior receberá uma notificação por e-mail de que o rótulo atribuído ao arquivo é incompatível com o site onde ele está armazenado.
Inclua informações sobre quem os usuários devem contatar se tiverem dúvidas ou problemas técnicos. Como a proteção de informações é um projeto que abrange toda a organização, o suporte geralmente é fornecido pela TI.
Perguntas frequentes e exemplos são especialmente úteis para a documentação do usuário.
Gorjeta
Alguns requisitos regulamentares incluem uma componente de formação específica.
Lista de verificação - Ao preparar a documentação e o treinamento do usuário, as principais decisões e ações incluem:
- Identifique quais informações incluir: determine quais informações devem ser incluídas para que todos os públicos relevantes entendam o que é esperado deles quando se trata de proteger dados em nome da organização.
- Publicar a página de ajuda personalizada: crie e publique uma página de ajuda personalizada. Inclua orientações sobre rotulagem na forma de perguntas frequentes e exemplos. Inclua um link para acessar a política de classificação e proteção de dados.
- Publicar a política de classificação e proteção de dados: publique o documento de política que define o que exatamente pode ou não ser feito com o conteúdo atribuído a cada rótulo.
- Determine se o treinamento específico é necessário: crie ou atualize seu treinamento de usuário para incluir informações úteis, especialmente se houver um requisito regulatório para fazê-lo.
Suporte de utilizador
É importante verificar quem será responsável pelo suporte ao usuário. É comum que os rótulos de sensibilidade sejam suportados por um help desk de TI centralizado.
Talvez seja necessário criar orientações para o suporte técnico (às vezes conhecido como runbook). Também pode ser necessário realizar sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para responder às solicitações de suporte.
Lista de verificação - Ao preparar-se para a função de apoio ao utilizador, as principais decisões e ações incluem:
- Identificar quem fornecerá suporte ao usuário: ao definir funções e responsabilidades, certifique-se de incluir como os usuários obterão ajuda para problemas relacionados à proteção de informações.
- Garantir que a equipe de suporte ao usuário esteja pronta: crie documentação e conduza sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para oferecer suporte à proteção de informações. Enfatize aspetos complexos que podem confundir os usuários, como a proteção de criptografia.
- Comunique-se entre equipes: discuta o processo e as expectativas com a equipe de suporte, bem como seus administradores do Power BI e o Centro de Excelência. Certifique-se de que todos os envolvidos estão preparados para possíveis perguntas dos usuários do Power BI.
Resumo da execução
Depois que as decisões forem tomadas e os pré-requisitos forem atendidos, é hora de começar a implementar a proteção de informações de acordo com seu plano de implantação gradual.
A lista de verificação a seguir inclui uma lista resumida das etapas de implementação de ponta a ponta. Muitas das etapas têm outros detalhes que foram abordados nas seções anteriores deste artigo.
Lista de verificação - Ao implementar a proteção de informações, as principais decisões e ações incluem:
- Verificar o estado atual e as metas: certifique-se de ter clareza sobre o estado atual da proteção de informações na organização. Todos os objetivos e requisitos para implementar a proteção de informações devem ser claros e usados ativamente para conduzir o processo de tomada de decisão.
- Tomar decisões: Rever e discutir todas as decisões que são necessárias. Esta tarefa deve ocorrer antes de configurar qualquer coisa na produção.
- Revise os requisitos de licenciamento: certifique-se de entender os requisitos de licenciamento de produtos e de usuário. Adquira e atribua mais licenças, se necessário.
- Publicar documentação do usuário: publique sua política de classificação e proteção de dados. Crie uma página de ajuda personalizada que contenha as informações relevantes de que os usuários precisarão.
- Prepare a equipe de suporte: conduza sessões de transferência de conhecimento para garantir que a equipe de suporte esteja pronta para lidar com as perguntas dos usuários.
- Crie os rótulos de sensibilidade: configure cada um dos rótulos de sensibilidade no portal de conformidade do Microsoft Purview.
- Publicar uma política de rótulo de confidencialidade: crie e publique uma política de rótulo no portal de conformidade do Microsoft Purview. Comece testando com um pequeno grupo de usuários.
- Definir as configurações do locatário do Power BI: no portal de administração do Power BI, defina as configurações do locatário de proteção de informações.
- Executar testes iniciais: execute um conjunto inicial de testes para verificar se tudo está funcionando corretamente. Use um locatário que não seja de produção para testes iniciais, se disponível.
- Coletar comentários dos usuários: publique a política de rótulo para um pequeno subconjunto de usuários que estejam dispostos a testar a funcionalidade. Obter feedback sobre o processo e a experiência do usuário.
- Continuar versões iterativas: publique a política de rótulo para outros grupos de usuários. Integre mais grupos de usuários até que toda a organização seja incluída.
Gorjeta
Esses itens da lista de verificação são resumidos para fins de planejamento. Para obter mais detalhes sobre esses itens da lista de verificação, consulte as seções anteriores deste artigo.
Monitorização contínua
Depois de concluir a implementação, você deve direcionar sua atenção para o monitoramento e ajuste de rótulos de sensibilidade.
Os administradores do Power BI e os administradores de segurança e conformidade precisarão colaborar periodicamente. Para o conteúdo do Power BI, há dois públicos preocupados com o monitoramento.
- Administradores do Power BI: uma entrada no log de atividades do Power BI é registrada sempre que um rótulo de confidencialidade é atribuído ou alterado. A entrada do log de atividades registra detalhes do evento, incluindo usuário, data e hora, nome do item, espaço de trabalho e capacidade. Outros eventos de log de atividades (como quando um relatório é exibido) incluirão o ID do rótulo de confidencialidade atribuído ao item.
- Administradores de segurança e conformidade: os administradores de segurança e conformidade da organização normalmente usam relatórios, alertas e logs de auditoria do Microsoft Purview.
Lista de verificação - Ao monitorar a proteção de informações, as principais decisões e ações incluem:
- Verificar funções e responsabilidades: certifique-se de que tem clareza sobre quem é responsável por quais ações. Eduque e comunique com os seus administradores do Power BI ou administradores de segurança, caso estes sejam diretamente responsáveis por alguns aspetos.
- Crie ou valide seu processo de revisão de atividades: certifique-se de que os administradores de segurança e conformidade estejam claros sobre as expectativas de revisão regular do explorador de atividades.
Gorjeta
Para obter mais informações sobre auditoria, consulte Auditoria de proteção de informações e prevenção de perda de dados para o Power BI.
Conteúdos relacionados
No próximo artigo desta série, saiba mais sobre a prevenção de perda de dados para o Power BI.