Power BI 实现规划:信息保护和数据丢失防护

备注

本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划

本文介绍 Power BI 信息保护和数据丢失防护 (DLP) 文章。 所述文章面向以下多种受众:

  • Power BI 管理员:负责监督组织的 Power BI 的管理员。 Power BI 管理员需要与信息安全团队和其他相关团队协作。
  • 卓越中心、IT 和 BI 团队:负责在组织中监督 Power BI 的团队。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。

重要

信息保护和 DLP 是组织范围内的一项重要工作。 它的范围和影响远远超过 Power BI 本身。 这种类型的计划需要资金支持、设定优先级和做好规划。 预期规划、使用和监督工作中涉及多个跨职能团队。

作为组织中的 Power BI 管理者,你通常不直接负责信息保护和 DLP 的大部分事务。 这些责任很可能会划归到信息安全团队和其他系统管理员。

这组文章的重点包括:

  • 为何:为何这些功能对于合规性和审核非常重要。
  • 什么:端到端流程所涉及的步骤的概述。
  • 谁:哪些团队参与端到端流程。
  • 先决条件:在为 Power BI 启用信息保护和 DLP 功能之前需要满足的条件。

重要

Power BI 管理员角色已重命名。 该角色的新名称为 Fabric 管理员

保护组织数据

数据存在于许多应用程序和服务中。 数据存储在源数据库和文件中。 它将发布到 Power BI 服务。 它还以原始文件、下载文件和导出数据的形式存在于 Power BI 服务外部。 当数据变得更容易访问并且跨更多资源时,保护数据的方式就变得越来越重要。

简而言之,保护数据涉及到:

  • 保护组织数据。
  • 降低未经授权或无意中共享敏感信息的风险。
  • 加强监管要求的合规状态。

保护数据是一个复杂的话题。 概括而言,与 Power BI 相关的主题包括:

  • 用户采取的负责任措施:接受过指导和培训并清楚了解组织对他们的期望的用户能够以合乎道德的方式行事。 他们可以在日常工作过程中建立一种看重安全性、隐私性和合规性的文化。
  • 适当的用户安全权限:在 Power BI 中,数据和报表的保护与这些文章中所述的信息保护和 DLP 活动是分开且不同的。 Power BI 中的安全性方法包括工作区角色、共享、应用权限和行级安全性 (RLS) 等技术。 安全性计划一文中介绍了安全技术,例如工作区角色、应用权限、按项共享和 RLS。
  • 数据生命周期管理:备份和版本控制等流程对于数据保护非常重要。 加密密钥的设置和数据存储的地理位置也是考虑因素。
  • 信息保护:使用敏感度标签对内容进行标记和分类是保护内容的第一步。 本文章系列介绍了信息保护。
  • 数据丢失防护策略:DLP 是指可以降低数据泄露风险的控制措施和策略。 本文章系列介绍了数据丢失防护。

信息保护和 DLP 文章系列重点关注最后两个要点:信息保护和 DLP,特别是它们与 Power BI 的关系。

我们还建议你熟悉完整的 Microsoft Purview 信息保护框架:了解数据、保护数据、防止数据丢失以及治理数据。

提示

组织的 IT 部门将实施被视为信息保护流程的现有流程,但这些流程超出了本文章系列的范围。 流程可能包括与源数据库系统相关的高可用性和灾难恢复工作。 它们还可能包括移动设备的保护。 请务必在所有规划工作中确定相关的技术和治理团队并让他们参与进来。

常见用例

Power BI 合规性挑战和监管报告要求通常是开始使用信息保护和 DLP 的驱动因素。

提示

数据泄露是指未经授权的用户查看数据的风险。 在提到外部用户时通常会使用该术语。 但是,它也可以应用于内部用户。 降低数据泄漏风险通常是信息保护和 DLP 工作的重中之重。 本部分列出的所有用例可帮助减少数据泄漏。

本部分包含迫使组织实现信息保护和 DLP 的常见用例。 这些用例的优势集中体现在 Power BI 上,不过它们在组织中的优势要广泛得多。

对数据进行分类并添加标签

组织通常存在对内容进行分类和标记的外部或内部要求。 在 Power BI(以及其他组织应用程序和服务)中使用敏感度标签是满足合规性要求的关键因素。

为 Power BI 中的内容分配敏感度标签后,可以获得以下方面的认知和见解:

  • 敏感数据是否包含在 Power BI 工作区中。
  • 特定 Power BI 项(如语义模型)是否被视为机密项。
  • 谁可以访问敏感的 Power BI 项。
  • 谁访问了 Power BI 服务中的敏感数据。

通过端到端保护,可以(选择性)从数据源自动继承敏感度标签。 标签继承降低了用户访问敏感数据以及向未经授权的用户共享敏感数据的风险,因为未标记这些数据。

从 Power BI 服务导出敏感度标签后,在将内容导出为受支持文件类型时会保留敏感度标签。 导出内容时保留标签是减少数据泄漏的另一个关键因素。

有关标记和分类 Power BI 内容的详细信息,请参阅 Power BI 的信息保护

让用户了解更多内容

如前所述,保护数据的一个方面涉及到用户采取负责任的措施。

由于敏感度标签以纯文本形式清晰显示,它们可以充当对用户很有帮助的提醒。 在用户的日常工作过程中,标签提高了用户应如何根据组织准则和策略与数据交互的意识。

例如,当用户看到“高度机密”敏感度标签时,他们就可以得到提示,应该格外小心地做出如何下载、保存或与他人共享内容的决定。 这样,敏感度标签可帮助用户负责任地处理敏感数据,并降低不慎与未经授权的用户共享这些数据的风险。

有关详细信息,请参阅 Power BI 的信息保护

检测敏感数据

检测敏感数据存储位置的功能是数据泄漏的另一个重要方面。

在数据集已发布到 Power BI 服务并且位于高级工作区中时,你可以使用 Power BI 的 DLP 来检测其中是否存在特定敏感信息类型。 此功能有助于查找存储在 Power BI 语义模型中的敏感数据(例如财务数据或个人数据)。

重要

有时本文指的是 Power BI Premium 或其容量订阅 (P SKU)。 请注意,Microsoft 目前正在合并购买选项并停用 Power BI Premium Per Capacity SKU。 新客户和现有客户应考虑改为购买 Fabric 容量订阅 (F SKU)。

有关详细信息,请参阅 Power BI Premium 许可即将进行的重要更新Power BI Premium 常见问题解答

安全管理员可以使用这种类型的 Power BI DLP 策略来监视和检测将未经授权的敏感数据上传到 Power BI 服务的情况。 他们可以依赖于警报快速采取行动。 策略提示还可用于指导内容创建者和所有者正确处理敏感数据。 有关 Power BI 的 DLP 的详细信息,请参阅 Power BI 的数据丢失防护

提示

对数据进行适当分类后,可以关联、分析和报告这些数据。 在大多数情况下,需要关联多个源的数据才能完全了解形势。 可以使用 Power BI 扫描程序 APIPower BI 活动日志等工具来捕获数据。 有关这些主题以及 Microsoft Purview 合规性门户中的审核日志的详细信息,请参阅审核 Power BI 的信息保护和数据丢失防护

使用数据加密

使用敏感度标签分类的文件可以(选择性)附带保护。 使用加密保护某个文件时,可以降低数据泄露和过度共享的风险。 无论设备或用户如何,加密设置都会跟随该文件。 未经授权的用户(组织内部和外部)无法打开、解密或查看文件内容。

重要

在实现加密时,应了解一些权衡取舍。 有关详细信息,包括加密注意事项,请参阅 Power BI 的信息保护

有关可以实现的、用于减少数据泄漏的控制类型的详细信息,请参阅适用于 Power BI 的 Defender for Cloud Apps

实时控制活动

若要增强 Power BI 中的现有安全设置,可以实现实时控制以降低数据泄漏的风险。

例如,可以限制用户从 Power BI 服务下载高度敏感的数据和报表。 当允许某人自行查看内容时,这种类型的实时控制很有用,但应防止他们下载内容或将其分发给其他人。

有关可以实现的控制类型的详细信息,请参阅适用于 Power BI 的 Defender for Cloud Apps

提示

有关加强 Power BI 合规性的其他注意事项,请参阅安全性计划一文。

信息保护和 DLP 服务

许多与信息保护和 DLP 相关的功能与服务已更名,现在是 Microsoft Purview 的一部分。 Microsoft 365 安全性与合规性功能也已成了 Microsoft Purview 的一部分。

与本文章系列最相关的功能和服务包括:

  • Microsoft Purview 信息保护(以前称为 Microsoft 信息保护):Microsoft Purview 信息保护包括发现、分类和保护数据的功能。 关键原则是,数据在分类后可以得到更好的保护。 用于数据分类的关键构建基块是敏感度标签,Power BI 的信息保护一文对此做了介绍。
  • Microsoft Purview 合规性门户(以前称为 Microsoft 365 合规中心):门户是设置敏感度标签的位置。 还可以在门户中设置 Power BI 的 DLP,Power BI 的数据丢失防护一文对此做了介绍。
  • Microsoft Purview 数据丢失防护(以前称为 Office 365 数据丢失防护):DLP 活动注重于减少数据泄漏。 通过使用敏感度标签或敏感信息类型,Microsoft Purview 数据丢失防护策略可帮助组织查找敏感数据并对其进行保护。 Power BI 的数据丢失防护一文中介绍了与 Power BI 相关的功能。
  • Microsoft Defender for Cloud Apps(以前称为 Microsoft Cloud App Security):Microsoft Defender for Cloud Apps(在单独的应用程序中定义)中的策略也有助于保护数据,包括实时控制。 适用于 Power BI 的 Defender for Cloud Apps 一文中介绍了与 Power BI 相关的功能。

上面的列表并不详尽。 Microsoft Purview 包含广泛的功能,这远远超出了本文章系列的范围。 例如,Microsoft Purview 数据编目和治理功能就非常重要;但是,它们并不直接属于本文章系列的介绍范围。

提示

如果你对服务、功能或许可有任何疑问,请联系 Microsoft 客户团队。 最适合与他们澄清哪些解决方案适合你的组织。

有关信息保护和 DLP 的余下内容已整理成以下文章:

本系列的下一篇文章中,了解如何通过 Power BI 的组织级规划活动开始使用信息保护。