通过

Power BI 实现规划:租户级监视

  • 项目

备注

本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划

这篇关于租户级监视的文章主要面向:

  • Power BI 管理员:负责监督组织的 Power BI 的管理员。 Power BI 管理员可能需要与 IT 团队、信息安全团队、内部审核团队和其他相关团队协作。
  • 卓越中心、IT 和 BI 团队:还负责监督 Power BI 的团队。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。

术语“审核”和“监视”密切相关。

  • 审核:为了解系统、其用户活动和相关流程而执行的操作。 审核活动可以是手动、自动或二者相结合。 审核过程可能侧重于一个特定方面(例如,审核工作区的安全性),也可能是指一个端到端的审核解决方案。 审核解决方案包括提取、存储和转换数据,以便对其进行分析并据此采取操作。
  • 监视:告诉你正在发生的情况的进行中的活动。 监视通常涉及警报和自动化,但有时监视是手动完成的。 你可以为选择要审核的过程设置监视(例如,当特定租户设置发生更改时显示的通知)。

本文介绍了可用于监视 Power BI 租户的不同方式。

注意

如需详细了解如何跟踪用户执行的活动,请参阅租户级审核

监视和保护内容

与信息保护和数据丢失防护相关的监视方面有多个。

Power BI 的信息保护

信息保护侧重于保护组织数据、降低共享敏感信息的风险,以及加强法规要求方面的合规性状态。 信息保护从使用敏感度标签开始。

对内容进行分类并加标签时,它有助于组织实现以下目标:

  • 了解敏感数据所在的位置。
  • 跟踪外部和内部合规性要求。
  • 保护内容不受未经授权用户的侵害。
  • 告知用户如何负责任地处理数据。
  • 实现实时控制,降低数据泄露的风险。

提示

有关实现敏感度标签的信息,请参阅 Power BI 的信息保护

Power BI 的数据丢失防护

数据丢失防护 (DLP) 是指保护组织数据的活动和做法。 DLP 的目标是降低数据泄露的风险,当与未经授权的人员共享敏感数据时,便可能会发生数据泄露。 虽然负责任的用户行为是数据保护的关键部分,但 DLP 通常指的是自动执行的策略。

DLP 允许你:

  • 在发生有风险的、无意或不当的敏感数据共享时,检测该行为并通知管理员。 具体而言,它允许管理员实现以下目标:
    • 通过自动化和信息改进 Power BI 租户的整体安全设置。
    • 启用涉及敏感数据的分析用例。
    • 向安全管理员提供审核信息。
  • 向用户提供上下文通知。 具体而言,它支持用户实现以下目标:
    • 在其正常工作流程中做出正确的决策。
    • 遵循数据分类和保护策略,而不对其工作效率产生负面影响。

提示

有关实现 DLP 的详细信息,请参阅 Power BI 的数据丢失防护

监视安全和威胁

与安全和威胁相关的监视方面有多个。

适用于 Power BI 的 Defender for Cloud Apps

Microsoft Defender for Cloud Apps 是一款云访问安全代理 (CASB),允许管理员实现以下目标:

  • 监视活动情况,并基于特定活动发出警报。
  • 创建 DLP 策略。
  • 检测异常行为和风险会话。
  • 限制应用程序执行的活动(通过 Microsoft Entra 条件访问应用控制)。

Defender for Cloud Apps 提供了一些功能强大的 Power BI 监视和保护功能。 例如,可以:

  • 通过分配特定的敏感度标签,禁止所有(或某些)用户从 Power BI 服务下载文件。
  • 在检测到管理活动时(例如在 Power BI 服务中更新租户设置时)接收警报。
  • 检测何时发生了可疑或异常行为,例如 Power BI 服务中出现大型文件下载或共享操作数量异常。
  • 在活动日志中搜索与具有特定敏感度标签的内容相关的特定活动,例如从 Power BI 服务中导出数据。
  • 在发生有风险的会话(例如,当同一用户帐户在短时间内从不同地理区域进行连接时)时接收通知。
  • 确定预定义安全组之外的人何时查看了 Power BI 服务中的特定内容。

有关详细信息,请参阅 Defender for Cloud Apps for Power BI

Microsoft Sentinel

Microsoft Sentinel 是一项安全信息和事件管理 (SIEM) 服务。 通过这项 Azure 服务,你可以:

  • 收集用户、设备、应用程序和基础结构的日志和安全数据。 你可以从 Power BI 服务和整个企业的许多其他领域捕获日志和用户活动。
  • 检测潜在威胁。 你可以创建规则和警报来细化要跟踪的重要内容。自动化的威胁情报也同样存在,这有助于减少人工操作。
  • 分析数据并调查事件的范围和根本原因。 你可以使用内置的可视化工具或 Kusto 查询语言 (KQL) 查询。 还可以使用 Power BI 来直观显示和分析收集的数据。
  • 响应安全事件和威胁。 你可以直接处理响应。 或者,也可以使用 playbook(即基于 Azure 逻辑应用的工作流)来自动执行响应和修正。

Microsoft Sentinel 将其数据存储在 Azure Log Analytics(Azure Monitor 的一个组件)中。 它基于与语义模型事件日志相同的体系结构 ,该日志捕获为语义模型发生的用户生成和系统生成的活动。

你可以通过两种不同的方式将 Microsoft Sentinel 与 Power BI 配合使用。

  • 在 Sentinel 中使用 Power BI 数据连接器:Power BI 审核日志中的一部分属性将流式传输到 Azure Log Analytics (Azure Monitor)。 这是获取审核日志以跟踪 Power BI 环境中的用户活动的一种方法。 有关详细信息,请参阅租户级审核
  • 将 Power BI 用作分析工具:Power BI 将连接到 Microsoft Sentinel(以及相应地,Azure Monitor 和 Azure Log Analytics)从各种数据连接器收集的数据。 然后,可以使用标准 Power BI 功能来对数据进行建模、分析和直观呈现。 有关详细信息,请参阅基于 Microsoft Sentinel 数据创建 Power BI 报表

重要

Microsoft Sentinel、Azure Monitor、Azure Log Analytics 和 Defender for Cloud Apps 是独立的服务。 它们有自己的定价模型和安全模型,这些模型与 Power BI 是分开的。 Power BI 管理员不会自动获得这些服务的访问权限。 建议与基础结构团队合作,规划最适合使用的服务。

有关捕获用户活动的不同选项的详细信息,请参阅租户级审核

监视 Power BI 服务运行状况

可用于获取有关服务运行状况、事件和问题的信息的方法有多种。

提示

在向 Microsoft 提交 Power BI 支持请求之前,建议先使用本节中列出的资源进行检查。

Power BI 支持站点

当服务明显中断或降级时,Power BI 管理员和用户应参阅 Power BI 支持站点。 这是一个公开的网站,其中显示了与 Power BI 的高优先级问题相关的信息。 此网站会显示以下内容:

  • Power BI 服务的状态。
  • 服务级中断或降级通知。
  • 用于促进广泛了解的信息性消息。

Power BI 支持服务状态页面的屏幕截图。

注意

Microsoft 通常会在 Microsoft 365 管理中心而不是 Power BI 支持站点中传达与国家/区域云相关的问题。 如果使用的是国家/区域云,请与 Microsoft 365 管理员协作来监视 Power BI 问题。

有关 Power BI 支持服务的详细信息,请参阅如何联系支持人员

有关如何为组织中的用户提供支持的详细信息,请参阅用户支持

Power BI 电子邮件通知

你可以通过电子邮件接收警报通知,这样系统便可以在 Power BI 租户中发生服务中断或降级时通知你。 这些通知仅适用于高级工作区。

重要

有时本文指的是 Power BI Premium 或其容量订阅 (P SKU)。 请注意,Microsoft 目前正在合并购买选项并停用 Power BI Premium Per Capacity SKU。 新客户和现有客户应考虑改为购买 Fabric 容量订阅 (F SKU)。

有关详细信息,请参阅 Power BI Premium 许可即将进行的重要更新Power BI Premium 常见问题解答

若要设置电子邮件警报,请启用“接收服务中断或事件的电子邮件通知”租户设置。 由于它的目的是发送电子邮件,因此必须将已启用邮件的安全组分配给此设置。 建议使用诸如“Power BI 系统支持”之类的组名称。 请添加 Power BI 管理员、卓越中心 (COE) 的关键人员,以及处理此组的用户支持的技术支持人员

提示

当需要通知内部用户时,我们建议让 COE 发送使用非技术语言的自定义消息。 这样,该消息可以包含其他上下文,并使用首选的通信平台,例如 Teams 频道。

有关详细信息,请参阅启用服务中断通知

Power BI 已知问题

Power BI 管理员和用户还可以检查 Power BI 已知问题页面。 此页面包含有关当前处于活动状态的已知问题和最近关闭的已知问题的信息。

已知问题可能包括其他客户向 Microsoft 支持部门报告的软件 bug。 问题还可能包括我们有意提供的功能,但由于 Microsoft 支持部门收到了大量票证,因此需要做出解释。

Microsoft 365 管理中心

Microsoft 365 管理中心将显示 Microsoft 365 服务的服务运行状况信息、事件摘要和咨询消息。 此外,Power BI 服务的服务事件和某些类型的主要更新也会发布在 Microsoft 365 管理中心中。

提示

具有足够权限的管理员可以访问 M365。 Power BI 管理员只能有限地查看 M365 服务运行状况和 M365 消息中心。

有两种类型的消息。

  • 公告消息:问题仅影响某些客户。 相应服务可用,但问题可能是间歇性的,或者范围和用户影响有限。
  • 活动事件:目前,问题导致服务或主要功能对多个客户不可用或严重降级。

Microsoft 365 服务运行状况

Microsoft 365 服务运行状况页面将显示有关公告和事件的通知。 它还包含有关活动事件的信息,包括:

  • 说明
  • 用户影响
  • 状态
  • 持续时间(如果已结束)或预估解决时间(如果处于开放状态)
  • 下一次状态更新(如果处于开放状态)
  • 根本原因(如果已结束)

问题历史记录页面将显示过去 30 天内已解决的事件和公告。

Microsoft 365 消息中心

Microsoft 365 消息中心将发布对 Microsoft 365 服务的计划更改,以便管理员能够提前做好准备。 对于活动事件,每条消息都将包含指向 Microsoft 365 服务运行状况页面(如前所述)中的更多详细信息的链接。

有时,消息是基于 Microsoft 收集的遥测数据。 例如,Microsoft 的遥测将知道用户是使用哪种类型的浏览器连接到 Power BI 服务的。 如果检测到使用的是 Internet Explorer,你可能会收到一条消息,提醒你 Power BI 不再支持该浏览器。

一条 Microsoft 365 消息中心通知的屏幕截图,该通知说明了 Power BI 不再支持 Internet Explorer。

Power BI 问题站点

你可以查看公开的 Power BI 问题站点。 在这里,用户可以公开报告他们遇到的问题。

监视更新和修补程序

通过管理如何在用户计算机上安装 Power BI Desktop,可以控制安装更新和修补程序的时间。 但是,你无法控制何时在租户中发布对 Power BI 服务的更改。

建议密切监视 Power BI 服务和 Power BI Desktop 的版本。 通过监视版本,可确保做好准备、测试关键功能更改,以及向用户宣布重要更改。

更新

Power BI 服务是一种持续且频繁更新的云服务。 Power BI Desktop 必须安装在 Windows 计算机上,通常每月更新一次(修补程序除外,这一点将在下文中进行说明)。 Microsoft 会在 Power BI 博客上发布发行公告。

有关版本号的信息以及指向当前版本的详细信息的链接,请参阅 Power BI 中的新增功能

有关以前版本的信息,请参阅 Power BI 更新存档

QFE 发布

根据严重程度的不同,Microsoft 可能会执行快速修复工程 (QFE) 发布(通常称为“bug 修复”或“修补程序”)。 当 Power BI Desktop 在正常的每月发布节奏之外进行更新时,就会出现 QFE 发布。

有关以前的 QFE 发布的历史记录,请参阅 Power BI Desktop 的更改日志

监视 Power BI 公告

为了在组织中有效地支持 Power BI,应持续关注公告和新功能。

Power BI 发布计划

你可以在发布计划中找到未来功能的公共路线图,包括预计日期。

有时候,即将到来的改变非常重要,你需要提前做好规划。 规划周期每年分为两个半期:4 月至 9 月,以及 10 月至次年 3 月。

Power BI 博客

请订阅 Power BI 博客,关注有关重要公告和新版本的文章。 一些博客文章还提供了有关即将推出的功能的信息,可以帮助你提前进行规划。

提示

阅读每月博客文章公告尤为重要。 其中包括对 Power BI 服务、Power BI Desktop 和 Power BI 移动应用的新功能和计划更改的摘要。

Power BI 创意

请考虑定期检查“Power BI 创意”网站。 此网站会告知你其他客户请求的最佳创意。 你还可以通过提交新创意并投票支持自己想要支持的已发布创意来影响 Power BI 的未来方向。

Azure 状态页面将显示 Azure 服务的状态。 有许多 Azure 服务可能会与 Power BI 租户集成。

与 Power BI 集成的常见 Azure 服务包括:

  • Microsoft Entra ID: Power BI 租户 依赖于 Microsoft Entra ID 进行标识和访问管理。
  • Azure Power BI Embedded:Azure Power BI Embedded支持为客户在应用中以编程方式嵌入 Power BI 内容。 Power BI Embedded 还适用于为 Power BI Premium 容量启用了自动扩缩的客户。 有关何时使用 Power BI Embedded 的详细信息,请参阅为客户嵌入内容使用方案。
  • Azure 存储帐户:Azure Data Lake Storage Gen2 (ADLS Gen2) 可用于工作区级数据存储,包括数据流存储和语义模型备份。 有关数据流存储的详细信息,请参阅自助式数据准备使用方案。
  • Azure Log Analytics:可以启用工作区审核来捕获语义模型事件日志。 有关详细信息,请参阅数据级审核
  • Azure 文件存储:为工作区启用大型语义模型格式时,数据将存储在 Azure 文件存储服务中。
  • 数据源:Power BI 可能连接到许多类型的数据源。 数据源可以是 Azure Analysis Services、Azure SQL 数据库、Azure Synapse Analytics、Azure 存储等。
  • 虚拟机:Power BI 的数据网关可以在 Azure 中的虚拟机 (VM) 上运行。 或者,用作 Power BI 数据源的数据库(包含数据)可能在 Azure 中的 VM 上运行。
  • 虚拟网络数据网关:可以实施虚拟网络 (VNet) 数据网关,以安全地访问专用网络中的数据源。
  • Azure 密钥保管库:使用 Azure 密钥保管库的一种常见方法是,将其用于 Power BI 服务中静态数据的加密密钥客户管理。 有关更多信息,请参阅适用于 Power BI 的自带加密密钥
  • Microsoft Purview:供 Microsoft Purview 信息保护服务使用,或供 Microsoft Purview 数据目录服务用于扫描 Power BI 租户,以提取元数据。

清单 - 规划租户级监视时,关键的决策和操作包括:

  • 培训管理员和关键人员:请确保 Power BI 管理员和 COE 中的关键人员了解可用于监视服务运行状况、更新和公告的资源。
  • 创建监视计划:确定监视服务运行状况、更新和公告的方式和人员。 确保针对如何收集、沟通、规划和处理信息有明确的要求。
  • 创建用户通信计划:阐明在哪些情况下需要与组织中的其他人进行沟通。 确定如何以及谁将负责与组织中的用户进行沟通,以及在何种情况下进行沟通。
  • 确定谁应接收电子邮件通知:确定发生 Power BI 问题时,谁应接收 Microsoft 的电子邮件通知。 更新“接收服务中断或事件的电子邮件通知”租户设置,使其与你的决策保持一致。
  • 查看管理员角色:查看在 M365 管理中心内查看服务运行状况所需的角色和权限。
  • 调查信息保护和 DLP 要求:了解在 Microsoft Purview 信息保护中使用敏感度标签来对数据进行分类的要求(信息保护的第一个构成要素)。 考虑为 Power BI 实施 DLP 的要求,以及相关的监视过程。
  • 调查 Defender for Cloud Apps 功能:了解使用 Microsoft Defender for Cloud Apps 监视用户行为和活动的要求。

相关内容

有关有助于做出 Power BI 实现决策的更多注意事项、操作、决策标准和建议,请参阅 Power BI 实现计划