Planering av Power BI-implementering: Defender för molnet-appar för Power BI
Kommentar
Den här artikeln är en del av planeringsserien för Power BI-implementering. Den här serien fokuserar främst på Power BI-upplevelsen i Microsoft Fabric. En introduktion till serien finns i Implementeringsplanering för Power BI.
I den här artikeln beskrivs planeringsaktiviteter som rör implementering av Defender för molnet-appar när det gäller övervakning av Power BI. Den riktar sig till:
- Power BI-administratörer: De administratörer som ansvarar för att övervaka Power BI i organisationen. Power BI-administratörer måste samarbeta med informationssäkerhet och andra relevanta team.
- Center of Excellence-, IT- och BI-team: Andra som ansvarar för att övervaka Power BI i organisationen. De kan behöva samarbeta med Power BI-administratörer, informationssäkerhetsteam och andra relevanta team.
Viktigt!
Övervakning och dataförlustskydd (DLP) är ett betydande organisationsomfattande åtagande. Dess omfång och påverkan är mycket större än enbart Power BI. Dessa typer av initiativ kräver finansiering, prioritering och planering. Räkna med att involvera flera tvärfunktionella team i planerings-, användnings- och tillsynsarbetet.
Vi rekommenderar att du följer en stegvis, stegvis metod för att distribuera Defender för molnet-appar för övervakning av Power BI. En beskrivning av de typer av distributionsfaser som du bör överväga finns i Information protection for Power BI (Distributionsfaser).
Syftet med övervakning
Microsoft Defender för molnet Apps (kallades tidigare Microsoft Cloud App Security) är en CLOUD Access Security Broker (CASB) som stöder olika distributionslägen. Den har en bred uppsättning funktioner som sträcker sig långt utanför den här artikelns omfång. Vissa funktioner är realtid medan andra inte är realtid.
Här följer några exempel på realtidsövervakning som du kan implementera.
- Blockera nedladdningar från Power BI-tjänst: Du kan skapa en sessionsprincip för att blockera vissa typer av användaraktiviteter. När en användare till exempel försöker ladda ned en rapport från Power BI-tjänst som har tilldelats en känslighetsetikett med hög begränsning kan nedladdningsåtgärden blockeras i realtid.
- Blockera åtkomst till Power BI-tjänst av en ohanterad enhet: Du kan skapa en åtkomstprincip för att hindra användare från att komma åt vissa program om de inte använder en hanterad enhet. När en användare till exempel försöker komma åt Power BI-tjänst från sin personliga mobiltelefon kan åtgärden blockeras.
Här är några exempel på andra funktioner som inte är realtid.
- Identifiera och varna vissa aktiviteter i Power BI-tjänst: Du kan skapa en aktivitetsprincip för att generera en avisering när vissa typer av aktiviteter inträffar. När till exempel en administrativ aktivitet inträffar i Power BI-tjänst (som anger att en klientinställning har ändrats) kan du få en e-postavisering.
- Övervaka avancerade säkerhetsaktiviteter: Du kan visa och övervaka inloggningar och säkerhetsaktiviteter, avvikelser och överträdelser. Aviseringar kan aktiveras för situationer som misstänkt aktivitet, oväntade platser eller en ny plats.
- Övervaka användaraktiviteter: Du kan visa och övervaka användaraktiviteter. En Power BI-administratör kan till exempel tilldelas behörighet att visa Power BI-aktivitetsloggen, utöver användarinloggningsfrekvensen i Defender för molnet Apps.
- Identifiera och avisera ovanligt beteende i Power BI-tjänst: Det finns inbyggda principer för avvikelseidentifiering. När en användare till exempel laddar ned eller exporterar innehåll från Power BI-tjänst betydligt oftare än vanliga mönster kan du få en e-postavisering.
- Hitta osanktionerade program: Du kan hitta osanktionerade program som används i organisationen. Du kan till exempel bli orolig för användare som delar filer (till exempel Power BI Desktop-filer eller Excel-filer) i ett fildelningssystem från tredje part. Du kan blockera användningen av ett osanktionerat program och sedan kontakta användare för att utbilda dem om lämpliga sätt att dela och samarbeta med andra.
Dricks
Portalen i Defender för molnet Apps är en praktisk plats för att visa aktiviteter och aviseringar utan att skapa ett skript för att extrahera och ladda ned data. Den här fördelen omfattar visning av data från Power BI-aktivitetsloggen.
Power BI är ett av många program och tjänster som kan integreras med Defender för molnet Apps. Om du redan använder Defender för molnet-appar för andra ändamål kan det också användas för att övervaka Power BI.
Principer som skapas i Defender för molnet-appar är en form av DLP. Artikeln Dataförlustskydd för Power BI beskriver DLP-principer för Power BI som har konfigurerats i efterlevnadsportal i Microsoft Purview. Vi rekommenderar att du använder DLP-principer för Power BI med de funktioner som beskrivs i den här artikeln. Även om det finns en viss överlappning konceptuellt är funktionerna olika.
Varning
Den här artikeln fokuserar på funktioner i Microsoft Defender för molnet appar som kan användas för att övervaka och skydda Power BI-innehåll. Det finns många andra funktioner i Defender för molnet Appar som inte beskrivs i den här artikeln. Se till att samarbeta med andra intressenter och systemadministratörer för att fatta beslut som fungerar bra för alla program och användningsfall.
Krav för Defender för molnet-appar för Power BI
Nu bör du ha slutfört planeringsstegen på organisationsnivå som beskrivs i artikeln Dataförlustskydd för Power BI . Innan du fortsätter bör du ha klarhet om:
- Aktuellt tillstånd: Det aktuella tillståndet för DLP i din organisation. Du bör ha en förståelse för i vilken utsträckning DLP redan används och vem som ansvarar för att hantera den.
- Mål och krav: De strategiska målen för att implementera DLP i din organisation. Att förstå målen och kraven fungerar som en guide för ditt implementeringsarbete.
Vanligtvis implementeras informationsskydd redan innan DLP implementeras. Om känslighetsetiketter publiceras (beskrivs i artikeln Informationsskydd för Power BI) kan de användas i vissa principer i Defender för molnet Appar.
Du kanske redan har implementerat DLP för Power BI (beskrivs i artikeln Dataförlustskydd för Power BI ). Dessa DLP-funktioner skiljer sig från de funktioner som hanteras i efterlevnadsportal i Microsoft Purview. Alla DLP-funktioner som beskrivs i den här artikeln hanteras i portalen Defender för molnet Apps.
Viktiga beslut och åtgärder
Du måste fatta några viktiga beslut innan du är redo att konfigurera principer i Defender för molnet Apps.
Beslut som rör Defender för molnet Apps-principer bör ha direkt stöd för målen och kraven för att skydda de data som du tidigare har identifierat.
Principtyp och aktiviteter
Du måste överväga vilka användaraktiviteter du är intresserad av att övervaka, blockera eller kontrollera. Principtypen i Defender för molnet Apps påverkar:
- Vad du kan åstadkomma.
- Vilka aktiviteter kan ingå i konfigurationen.
- Om kontrollerna ska ske i realtid eller inte.
Realtidsprinciper
Med åtkomstprinciper och sessionsprinciper som skapats i Defender för molnet-appar kan du övervaka, blockera eller kontrollera användarsessioner i realtid.
Med åtkomstprinciper och sessionsprinciper kan du:
- Svara programmatiskt i realtid: Identifiera, informera och blockera riskfylld, oavsiktlig eller olämplig delning av känsliga data. Med de här åtgärderna kan du:
- Förbättra den övergripande säkerhetskonfigurationen för din Power BI-klientorganisation med automatisering och information.
- Aktivera analysanvändningsfall som involverar känsliga data på ett sätt som kan granskas.
- Ge användarna sammanhangsbaserade meddelanden: Med den här funktionen kan du:
- Hjälp användarna att fatta rätt beslut under sitt normala arbetsflöde.
- Vägleda användarna att följa din dataklassificerings- och skyddsprincip utan att påverka deras produktivitet.
För att tillhandahålla realtidskontroller fungerar åtkomstprinciper och sessionsprinciper med Microsoft Entra-ID och förlitar sig på funktionerna för omvänd proxy i appkontrollen för villkorsstyrd åtkomst. I stället för användarbegäranden och svar som går via appen (Power BI-tjänst i det här fallet) går de igenom en omvänd proxy (Defender för molnet Appar).
Omdirigering påverkar inte användarupplevelsen. Url:en för Power BI-tjänst ändras dock till https://app.powerbi.com.mcas.ms när du har konfigurerat Microsoft Entra-ID för appkontroll med villkorsstyrd åtkomst med Power BI. Användarna får också ett meddelande när de loggar in på Power BI-tjänst som meddelar att appen övervakas av Defender för molnet Apps.
Viktigt!
Åtkomstprinciper och sessionsprinciper fungerar i realtid. Andra principtyper i Defender för molnet-appar innebär en kort fördröjning i aviseringar. De flesta andra typer av DLP och granskning har också svarstider, inklusive DLP för Power BI och Power BI-aktivitetsloggen.
Åtkomstprinciper
En åtkomstprincip som skapats i Defender för molnet Apps styr om en användare får logga in på ett molnprogram som Power BI-tjänst. Organisationer som är i strikt reglerade branscher kommer att bry sig om åtkomstprinciper.
Här följer några exempel på hur du kan använda åtkomstprinciper för att blockera åtkomst till Power BI-tjänst.
- Oväntad användare: Du kan blockera åtkomst för en användare som inte är medlem i en specifik säkerhetsgrupp. Den här principen kan till exempel vara till hjälp när du har en viktig intern process som spårar godkända Power BI-användare via en specifik grupp.
- Icke-hanterad enhet: Du kan blockera åtkomst för en personlig enhet som inte hanteras av organisationen.
- Uppdateringar som behövs: Du kan blockera åtkomst för en användare som använder en inaktuell webbläsare eller ett operativsystem.
- Plats: Du kan blockera åtkomst för en plats där du inte har kontor eller användare, eller från en okänd IP-adress.
Dricks
Om du har externa användare som har åtkomst till din Power BI-klientorganisation eller anställda som reser ofta kan det påverka hur du definierar dina principer för åtkomstkontroll. Dessa typer av principer hanteras vanligtvis av IT.
Sessionsprinciper
En sessionsprincip är användbar när du inte vill tillåta eller blockera åtkomst helt (vilket kan göras med en åtkomstprincip enligt beskrivningen ovan). Mer specifikt tillåter det åtkomst för användaren vid övervakning eller begränsning av vad som händer aktivt under sessionen.
Här följer några exempel på hur du kan använda sessionsprinciper för att övervaka, blockera eller kontrollera användarsessioner i Power BI-tjänst.
- Blockera nedladdningar: Blockera nedladdningar och exporter när en specifik känslighetsetikett, till exempel Strikt begränsad, tilldelas objektet i Power BI-tjänst.
- Övervaka inloggningar: Övervaka när en användare som uppfyller vissa villkor loggar in. Användaren kan till exempel vara medlem i en specifik säkerhetsgrupp eller använda en personlig enhet som inte hanteras av organisationen.
Dricks
Att skapa en sessionsprincip (till exempel för att förhindra nedladdningar) för innehåll som har tilldelats en viss känslighetsetikett, till exempel Strikt begränsad, är ett av de mest effektiva användningsfallen för sessionskontroller i realtid med Power BI.
Det går också att styra filuppladdningar med sessionsprinciper. Vanligtvis vill du dock uppmuntra BI-användare med självbetjäning att ladda upp innehåll till Power BI-tjänst (i stället för att dela Power BI Desktop-filer). Tänk därför noga på att blockera filuppladdningar.
Checklista – När du planerar dina realtidsprinciper i Defender för molnet Appar är viktiga beslut och åtgärder:
- Identifiera användningsfall för att blockera åtkomst: Kompilera en lista över scenarier för när det är lämpligt att blockera åtkomst till Power BI-tjänst.
- Identifiera användningsfall för att övervaka inloggningar: Kompilera en lista över scenarier för när övervakning av inloggningar till Power BI-tjänst är lämplig.
- Identifiera användningsfall för att blockera nedladdningar: Bestäm när nedladdningar från Power BI-tjänst ska blockeras. Bestäm vilka känslighetsetiketter som ska ingå.
Aktivitetsprinciper
Aktivitetsprinciper i Defender för molnet Appar fungerar inte i realtid.
Du kan konfigurera en aktivitetsprincip för att kontrollera händelser som registrerats i Power BI-aktivitetsloggen. Principen kan agera på en enskild aktivitet eller fungera på upprepade aktiviteter av en enskild användare (när en specifik aktivitet inträffar mer än ett angivet antal gånger inom ett visst antal minuter).
Du kan använda aktivitetsprinciper för att övervaka aktivitet i Power BI-tjänst på olika sätt. Här är några exempel på vad du kan uppnå.
- Obehörig eller oväntad användare visar privilegierat innehåll: En användare som inte är medlem i en specifik säkerhetsgrupp (eller en extern användare) har visat en mycket privilegierad rapport som tillhandahålls till styrelsen.
- Inställningar för obehöriga eller oväntade användare uppdaterar klientorganisationen: En användare som inte är medlem i en viss säkerhetsgrupp, till exempel gruppen Power BI-administratörer, har uppdaterat klientinställningarna i Power BI-tjänst. Du kan också välja att meddelas när en klientinställning uppdateras.
- Stort antal borttagningar: En användare har tagit bort fler än 20 arbetsytor eller rapporter under en tidsperiod som är mindre än 10 minuter.
- Stort antal nedladdningar: En användare har laddat ned fler än 30 rapporter under en tidsperiod som är mindre än fem minuter.
De typer av aktivitetsprincipaviseringar som beskrivs i det här avsnittet hanteras ofta av Power BI-administratörer som en del av deras tillsyn av Power BI. När du konfigurerar aviseringar i Defender för molnet Apps rekommenderar vi att du fokuserar på situationer som utgör en betydande risk för organisationen. Det beror på att varje avisering måste granskas och stängas av en administratör.
Varning
Eftersom Power BI-aktivitetslogghändelser inte är tillgängliga i realtid kan de inte användas för övervakning eller blockering i realtid. Du kan dock använda åtgärder från aktivitetsloggen i aktivitetsprinciper. Se till att samarbeta med informationssäkerhetsteamet för att kontrollera vad som är tekniskt möjligt innan du kommer för långt in i planeringsprocessen.
Checklista – När du planerar dina aktivitetsprinciper inkluderar viktiga beslut och åtgärder:
- Identifiera användningsfall för aktivitetsövervakning: Kompilera en lista över specifika aktiviteter från Power BI-aktivitetsloggen som utgör en betydande risk för organisationen. Avgör om risken är relaterad till en enskild aktivitet eller upprepade aktiviteter.
- Samordna arbetet med Power BI-administratörer: Diskutera De Power BI-aktiviteter som ska övervakas i Defender för molnet-appar. Se till att det inte finns någon duplicering av arbete mellan olika administratörer.
Användare som påverkas
En av de övertygande anledningarna till att integrera Power BI med Defender för molnet Apps är att dra nytta av realtidskontroller när användarna interagerar med Power BI-tjänst. Den här typen av integrering kräver appkontroll för villkorlig åtkomst i Microsoft Entra-ID.
Innan du konfigurerar appkontroll för villkorlig åtkomst i Microsoft Entra-ID måste du överväga vilka användare som ska ingå. Vanligtvis ingår alla användare. Det kan dock finnas skäl att utesluta specifika användare.
Dricks
När du konfigurerar principen för villkorlig åtkomst är det troligt att Microsoft Entra-administratören utesluter specifika administratörskonton. Den här metoden förhindrar att administratörer låses ut. Vi rekommenderar att de exkluderade kontona är Microsoft Entra-administratörer i stället för vanliga Power BI-användare.
Vissa typer av principer i Defender för molnet Appar kan gälla för vissa användare och grupper. Oftast gäller dessa typer av principer för alla användare. Det är dock möjligt att du stöter på en situation när du avsiktligt behöver undanta vissa användare.
Checklista – När du överväger vilka användare som påverkas omfattar viktiga beslut och åtgärder:
- Överväg vilka användare som ingår: Bekräfta om alla användare kommer att ingå i din appkontrollprincip för villkorsstyrd åtkomst i Microsoft Entra.
- Identifiera vilka administratörskonton som ska undantas: Avgör vilka specifika administratörskonton som avsiktligt ska undantas från microsoft Entra-appkontrollprincipen för villkorsstyrd åtkomst.
- Avgör om vissa Defender-principer gäller för underuppsättningar av användare: För giltiga användningsfall bör du överväga om de ska vara tillämpliga för alla eller vissa användare (när det är möjligt).
Användarmeddelanden
När du har identifierat användningsfall måste du överväga vad som ska hända när det finns användaraktivitet som matchar principen.
När en aktivitet blockeras i realtid är det viktigt att ge användaren ett anpassat meddelande. Meddelandet är användbart när du vill ge användarna mer vägledning och medvetenhet under det normala arbetsflödet. Det är mer troligt att användarna läser och absorberar användarmeddelanden när de:
- Specifikt: Att korrelera meddelandet till principen gör det enkelt att förstå.
- Åtgärdsbar: Erbjuda ett förslag på vad de behöver göra eller hur du hittar mer information.
Vissa typer av principer i Defender för molnet Apps kan ha ett anpassat meddelande. Här är två exempel på användarmeddelanden.
Exempel 1: Du kan definiera en princip för sessionskontroll i realtid som förhindrar alla exporter och nedladdningar när känslighetsetiketten för Power BI-objektet (till exempel en rapport eller semantisk modell) är inställd på Strikt begränsad. Det anpassade blockmeddelandet i Defender för molnet Apps lyder: Filer med en strikt begränsad etikett tillåts inte laddas ned från Power BI-tjänst. Visa innehållet online i Power BI-tjänst. Kontakta Power BI-supportteamet med eventuella frågor.
Exempel 2: Du kan definiera en åtkomstprincip i realtid som hindrar en användare från att logga in på Power BI-tjänst när de inte använder en dator som hanteras av organisationen. Det anpassade blockmeddelandet i Defender för molnet Apps lyder: Power BI-tjänst kanske inte nås på en personlig enhet. Använd den enhet som tillhandahålls av organisationen. Kontakta Power BI-supportteamet med eventuella frågor.
Checklista – När du överväger användarmeddelanden i Defender för molnet Appar är viktiga beslut och åtgärder:
- Bestäm när ett anpassat blockmeddelande behövs: För varje princip som du tänker skapa ska du avgöra om ett anpassat blockmeddelande krävs.
- Skapa anpassade blockmeddelanden: För varje princip definierar du vilket meddelande som ska visas för användarna. Planera att relatera varje meddelande till principen så att den är specifik och åtgärdsbar.
Administratörsaviseringar
Aviseringar är användbara när du vill göra dina säkerhets- och efterlevnadsadministratörer medvetna om att en principöverträdelse har inträffat. När du definierar principer i Defender för molnet Appar bör du överväga om aviseringar ska genereras. Mer information finns i aviseringstyper i Defender för molnet-appar.
Du kan också konfigurera en avisering för att skicka ett e-postmeddelande till flera administratörer. När en e-postavisering krävs rekommenderar vi att du använder en e-postaktiverad säkerhetsgrupp. Du kan till exempel använda en grupp med namnet Säkerhets- och efterlevnadsadministratörsaviseringar.
För situationer med hög prioritet kan du skicka aviseringar via sms. Du kan också skapa anpassad aviseringsautomatisering och arbetsflöden genom att integrera med Power Automate.
Du kan konfigurera varje avisering med låg, medelhög eller hög allvarlighetsgrad. Allvarlighetsgraden är användbar när du prioriterar granskningen av öppna aviseringar. En administratör måste granska och vidta åtgärder för varje avisering. En avisering kan stängas som sann positiv, falsk positiv eller godartad.
Här är två exempel på administratörsaviseringar.
Exempel 1: Du kan definiera en princip för sessionskontroll i realtid som förhindrar alla exporter och nedladdningar när känslighetsetiketten för Power BI-objektet (till exempel en rapport eller semantisk modell) är inställd på Strikt begränsad. Det har ett användbart anpassat blockmeddelande för användaren. I den här situationen finns det dock inget behov av att generera en avisering.
Exempel 2: Du kan definiera en aktivitetsprincip som spårar om en extern användare har visat en mycket privilegierad rapport som tillhandahålls till styrelsen. En varning med hög allvarlighetsgrad kan ställas in för att säkerställa att aktiviteten undersöks snabbt.
Dricks
Exempel 2 visar skillnaderna mellan informationsskydd och säkerhet. Dess aktivitetsprincip kan hjälpa dig att identifiera scenarier där BI-användare med självbetjäning har behörighet att hantera säkerhet för innehåll. Ändå kan dessa användare vidta åtgärder som inte rekommenderas av organisationspolicyn. Vi rekommenderar att du konfigurerar dessa typer av principer endast under specifika omständigheter när informationen är särskilt känslig.
Checklista – När du överväger aviseringar för administratörer i Defender för molnet-appar är viktiga beslut och åtgärder:
- Bestäm när aviseringar krävs: För varje princip som du tänker skapa ska du bestämma vilka situationer som ska motiveras med hjälp av aviseringar.
- Förtydliga roller och ansvarsområden: Fastställa förväntningar och vilken åtgärd som ska vidtas när en avisering genereras.
- Ta reda på vem som får aviseringar: Bestäm vilka säkerhets- och efterlevnadsadministratörer som ska granska och vidta öppna aviseringar. Bekräfta att behörigheter och licensieringskrav uppfylls för varje administratör som ska använda Defender för molnet-appar.
- Skapa en ny grupp: När det behövs skapar du en ny e-postaktiverad säkerhetsgrupp som ska användas för e-postaviseringar.
Namngivningskonvention för princip
Innan du skapar principer i Defender för molnet Apps är det en bra idé att först skapa en namngivningskonvention. En namngivningskonvention är användbar när det finns många typer av principer för många typer av program. Det är också användbart när Power BI-administratörer deltar i övervakningen.
Dricks
Överväg att ge Defender för molnet Apps åtkomst till dina Power BI-administratörer. Använd administratörsrollen, som gör det möjligt att visa aktivitetsloggen, inloggningshändelser och händelser som är relaterade till Power BI-tjänst.
Överväg en mall för namngivningskonvention som innehåller platshållare för komponenter: <Program> – <Beskrivning> – <Åtgärd> – <Typ av princip>
Här följer några exempel på namngivningskonventioner.
Typ av princip | Realtid | Principnamn |
---|---|---|
Sessionsprincip | Ja | Power BI – Strikt begränsad etikett – Blockera nedladdningar – RT |
Åtkomstprincip | Ja | Alla – Ohanterad enhet – Blockera åtkomst – RT |
Aktivitetsprincip | Nej | Power BI – Administrativ aktivitet |
Aktivitetsprincip | Nej | Power BI – Extern användare visar exekutiv rapport |
Komponenterna i namngivningskonventionen är:
- Program: Programnamnet. Power BI-prefixet hjälper till att gruppera alla Power BI-specifika principer när de sorteras. Vissa principer gäller dock för alla molnappar snarare än bara Power BI-tjänst.
- Beskrivning: Beskrivningsdelen av namnet varierar mest. Det kan innehålla känslighetsetiketter som påverkas eller vilken typ av aktivitet som spåras.
- Åtgärd: (Valfritt) I exemplen har en sessionsprincip en åtgärd som blockerar nedladdningar. Vanligtvis är en åtgärd bara nödvändig när det är en realtidsprincip.
- Typ av princip: (Valfritt) I exemplet anger RT-suffixet att det är en realtidsprincip. Att ange om det är realtid eller inte hjälper till att hantera förväntningar.
Det finns andra attribut som inte behöver ingå i principnamnet. Dessa attribut omfattar allvarlighetsgrad (låg, medel eller hög) och kategorin (till exempel hotidentifiering eller DLP). Båda attributen kan filtreras på aviseringssidan.
Dricks
Du kan byta namn på en princip i Defender för molnet Apps. Det går dock inte att byta namn på de inbyggda avvikelseidentifieringsprinciperna. Till exempel är den misstänkta Power BI-rapportdelningen en inbyggd princip som inte kan byta namn.
Checklista – När du överväger namngivningskonventionen för principer inkluderar viktiga beslut och åtgärder:
- Välj en namngivningskonvention: Använd dina första principer för att upprätta en konsekvent namngivningskonvention som ska tolkas direkt. Fokusera på att använda ett konsekvent prefix och suffix.
- Dokumentera namngivningskonventionen: Ange referensdokumentation om namngivningskonventionen för principer. Kontrollera att systemadministratörerna är medvetna om namngivningskonventionen.
- Uppdatera befintliga principer: Uppdatera befintliga Defender-principer så att de följer den nya namngivningskonventionen.
Licensieringskrav
Specifika licenser måste finnas för att övervaka en Power BI-klientorganisation. Administratörer måste ha någon av följande licenser.
- Microsoft Defender för molnet Apps: Tillhandahåller funktioner för Defender för molnet appar för alla program som stöds (inklusive Power BI-tjänst).
- Office 365 Cloud App Security: Tillhandahåller funktioner för Defender för molnet-appar för Office 365-appar som ingår i Office 365 E5-paketet (inklusive Power BI-tjänst).
Om användarna behöver använda principer för realtidsåtkomst eller sessionsprinciper i Defender för molnet Appar behöver de dessutom en Microsoft Entra ID P1-licens.
Dricks
Om du behöver klargöranden om licensieringskrav kan du prata med ditt Microsoft-kontoteam.
Checklista – När du utvärderar licenskrav omfattar viktiga beslut och åtgärder:
- Granska produktlicenskraven: Kontrollera att du har granskat alla licensieringskrav för att arbeta med Defender för molnet-appar.
- Skaffa ytterligare licenser: Köp om tillämpligt fler licenser för att låsa upp de funktioner som du tänker använda.
- Tilldela licenser: Tilldela en licens till var och en av dina säkerhets- och efterlevnadsadministratörer som ska använda Defender för molnet-appar.
Användardokumentation och utbildning
Innan du distribuerar Defender för molnet Appar rekommenderar vi att du skapar och publicerar användardokumentation. En SharePoint-sida eller en wiki-sida i den centraliserade portalen kan fungera bra eftersom den blir lätt att underhålla. Ett dokument som laddats upp till ett delat bibliotek eller en Teams-webbplats är också en bra lösning.
Målet med dokumentationen är att uppnå en smidig användarupplevelse. När du förbereder användardokumentationen ser du också till att du har övervägt allt.
Inkludera information om vem som ska kontaktas när användare har frågor eller tekniska problem.
Vanliga frågor och svar och exempel är särskilt användbara för användardokumentation.
Checklista – När du förbereder användardokumentation och utbildning är viktiga beslut och åtgärder:
- Uppdatera dokumentationen för innehållsskapare och konsumenter: Uppdatera vanliga frågor och svar och exempel för att inkludera relevant information om principer som användare kan stöta på.
- Publicera hur du får hjälp: Se till att användarna vet hur de får hjälp när de upplever något oväntat eller som de inte förstår.
- Fastställ om specifik utbildning behövs: Skapa eller uppdatera användarutbildningen så att den innehåller användbar information, särskilt om det finns ett regelkrav för att göra det.
Användarsupport
Det är viktigt att kontrollera vem som ansvarar för användarsupporten. Det är vanligt att en central IT-supportavdelning använder Defender för molnet-appar för att övervaka Power BI.
Du kan behöva skapa dokumentation för supportavdelningen och genomföra vissa kunskapsöverföringssessioner för att säkerställa att supportavdelningen är redo att svara på supportförfrågningar.
Checklista – När du förbereder dig för användarsupportfunktionen inkluderar viktiga beslut och åtgärder:
- Identifiera vem som ska ge användarsupport: När du definierar roller och ansvarsområden måste du ta hänsyn till hur användarna får hjälp med problem som de kan stöta på.
- Se till att användarsupportteamet är redo: Skapa dokumentation och genomföra kunskapsöverföringssessioner för att säkerställa att supportavdelningen är redo att stödja dessa processer.
- Kommunicera mellan team: Diskutera meddelanden som användarna kan se och processen för att lösa öppna aviseringar med dina Power BI-administratörer och Center of Excellence. Se till att alla inblandade är förberedda på potentiella frågor från Power BI-användare.
Sammanfattning av implementering
När besluten har fattats och en distributionsplan har förberetts är det dags att starta implementeringen.
Om du tänker använda realtidsprinciper (sessionsprinciper eller åtkomstprinciper) är din första uppgift att konfigurera appkontroll för villkorsstyrd åtkomst i Microsoft Entra. Du måste konfigurera Power BI-tjänst som en katalogapp som ska styras av Defender för molnet Appar.
När appkontrollen för villkorsstyrd åtkomst i Microsoft Entra har konfigurerats och testats kan du sedan skapa principer i Defender för molnet-appar.
Viktigt!
Vi rekommenderar att du introducerar den här funktionen för ett litet antal testanvändare först. Det finns också ett läge som endast övervakare som du kan ha nytta av för att introducera den här funktionen på ett ordnat sätt.
Följande checklista innehåller en sammanfattad lista över implementeringsstegen från slutpunkt till slutpunkt. Många av stegen innehåller annan information som beskrivs i tidigare avsnitt i den här artikeln.
Checklista – När du implementerar Defender för molnet-appar med Power BI är viktiga beslut och åtgärder:
- Kontrollera aktuellt tillstånd och mål: Kontrollera att du har klarhet i det aktuella tillståndet för DLP för användning med Power BI. Alla mål och krav för att implementera DLP bör vara tydliga och användas aktivt för att driva beslutsprocessen.
- Genomför beslutsprocessen: Granska och diskutera alla beslut som krävs. Den här uppgiften bör utföras innan du konfigurerar något i produktion.
- Granska licenskraven: Se till att du förstår kraven på produktlicensiering och användarlicensiering. Om det behövs kan du skaffa och tilldela fler licenser.
- Publicera användardokumentation: Publicera information som användarna behöver för att besvara frågor och klargöra förväntningarna. Ge vägledning, kommunikation och utbildning till dina användare så att de är förberedda.
- Skapa en princip för villkorsstyrd åtkomst i Microsoft Entra: Skapa en princip för villkorlig åtkomst i Microsoft Entra-ID för att aktivera realtidskontroller för övervakning av Power BI-tjänst. Aktivera först microsoft entra-principen för villkorsstyrd åtkomst för några testanvändare.
- Ange Power BI som en ansluten app i Defender för molnet-appar: Lägg till eller kontrollera att Power BI visas som en ansluten app i Defender för molnet Appar för appkontroll för villkorsstyrd åtkomst.
- Utför inledande testning: Logga in på Power BI-tjänst som en av testanvändarna. Kontrollera att åtkomsten fungerar. Kontrollera också att meddelandet som visas informerar dig om att Power BI-tjänst övervakas av Defender för molnet Apps.
- Skapa och testa en realtidsprincip: Skapa en åtkomstprincip eller en sessionsprincip i Defender för molnet Appar med hjälp av de användningsfall som redan har sammanställts.
- Utför inledande testning: Som testanvändare utför du en åtgärd som utlöser realtidsprincipen. Kontrollera att åtgärden är blockerad (om det är lämpligt) och att de förväntade aviseringsmeddelandena visas.
- Samla in användarfeedback: Få feedback om processen och användarupplevelsen. Identifiera områden med förvirring, oväntade resultat med typer av känslig information och andra tekniska problem.
- Fortsätt iterativa versioner: Lägg gradvis till fler principer i Defender för molnet-appar tills alla användningsfall har åtgärdats.
- Granska de inbyggda principerna: Leta upp de inbyggda avvikelseidentifieringsprinciperna i Defender för molnet-appar (som har Power BI i namnet). Uppdatera aviseringsinställningarna för de inbyggda principerna när det behövs.
- Fortsätt med en bredare distribution: Fortsätt att arbeta med din iterativa distributionsplan. Uppdatera microsoft Entra-principen för villkorsstyrd åtkomst så att den tillämpas på en bredare uppsättning användare efter behov. Uppdatera enskilda principer i Defender för molnet-appar så att de tillämpas på en bredare uppsättning användare efter behov.
- Övervaka, justera och justera: Investera resurser för att granska principmatchningsaviseringar och granskningsloggar regelbundet. Undersök eventuella falska positiva identifieringar och justera principer vid behov.
Dricks
Dessa checklistobjekt sammanfattas i planeringssyfte. Mer information om dessa checklistobjekt finns i föregående avsnitt i den här artikeln.
Mer specifik information om hur du distribuerar Power BI som ett katalogprogram i Defender för molnet Appar finns i stegen för att distribuera katalogappar.
Löpande övervakning
När du har slutfört implementeringen bör du rikta din uppmärksamhet mot övervakning, framtvingande och justering av Defender för molnet Apps-principer baserat på deras användning.
Power BI-administratörer och säkerhets- och efterlevnadsadministratörer måste samarbeta då och då. För Power BI-innehåll finns det två målgrupper för övervakning.
- Power BI-administratörer: Förutom aviseringar som genereras av Defender för molnet Appar visas även aktiviteter från Power BI-aktivitetsloggen i Defender för molnet Apps-portalen.
- Säkerhets- och efterlevnadsadministratörer: Organisationens säkerhets- och efterlevnadsadministratörer använder vanligtvis Defender för molnet Apps-aviseringar.
Det är möjligt att ge dina Power BI-administratörer en begränsad vy i Defender för molnet Appar. Den använder en begränsad roll för att visa aktivitetsloggen, inloggningshändelser och händelser som är relaterade till Power BI-tjänst. Den här funktionen är en bekvämlighet för Power BI-administratörer.
Checklista – När du övervakar Defender för molnet appar är viktiga beslut och åtgärder:
- Verifiera roller och ansvarsområden: Se till att du är tydlig med vem som ansvarar för vilka åtgärder. Utbilda och kommunicera med dina Power BI-administratörer om de ansvarar för någon aspekt av övervakningen.
- Hantera åtkomst för Power BI-administratörer: Lägg till dina Power BI-administratörer i den begränsade administratörsrollen i Defender för molnet Apps. Kommunicera med dem så att de är medvetna om vad de kan göra med den här extra informationen.
- Skapa eller verifiera din process för granskning av aktivitet: Kontrollera att säkerhets- och efterlevnadsadministratörerna är tydliga med förväntningarna på att regelbundet granska aktivitetsutforskaren.
- Skapa eller verifiera processen för att lösa aviseringar: Se till att dina säkerhets- och efterlevnadsadministratörer har en process för att undersöka och lösa öppna aviseringar.
Relaterat innehåll
I nästa artikel i den här serien får du lära dig mer om granskning för informationsskydd och dataförlustskydd för Power BI.