共用方式為

Power BI 實作規劃:稽核 Power BI 的資訊保護和資料外洩防護

  • 發行項

注意

本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃

本文描述您在實作資訊保護和資料外洩防護 (DLP) 之後可以執行的稽核類型。 其目標為:

  • Power BI 管理員:負責監督組織中 Power BI 的管理員。 Power BI 管理員必須與資訊安全性和其他相關小組共同作業。
  • 卓越中心、IT和 BI 團隊:這些人負責監督組織中的 Power BI。 他們可能需要與 Power BI 管理員、資訊安全小組和其他相關小組共同作業。

請務必了解組織中如何使用資訊保護和資料外洩防護。 您可以藉由執行稽核來實現此目的,其中可以:

  • 追蹤使用模式、活動和採用
  • 支援治理和安全性需求
  • 尋找特定需求的不合規範問題
  • 記錄目前設定
  • 識別使用者教育和訓練機會

檢查清單 - 考慮稽核資訊保護和 DLP 時,關鍵決策和動作包括:

  • 決定什麼對稽核最重要:從稽核觀點考慮什麼最重要。 優先處理風險、主要效率不佳或不符合法規需求的區域。 當出現可以改善的情況時,請教育使用者正確的做事方式。
  • 實作相關的稽核流程:準備好流程以擷取、整合、建模和建立報表,以便可以進行稽核。
  • 採取適當的動作:使用從稽核流程取得的資訊,確定某人具有授權和時間來採取適當的動作。 根據情況,其可能會涉及調整哪些敏感度標籤指派給內容。 其他情況可能涉及使用者教育或訓練。

本文的其餘部分描述有用的稽核流程和建議。

Power BI 活動記錄

為了協助進行資訊保護,您可以使用 Power BI 活動記錄,追蹤與敏感度標籤相關的活動

當您實作了適用於 Power BI 的 DLP 時,活動記錄會追蹤何時有 DLP 規則相符項目。

  • 要尋找的內容:您可以判斷何時發生特定活動,例如:
    • 已套用、變更、刪除敏感度標籤,以及由哪些使用者執行這些動作
    • 是否已手動套用標籤
    • 是否已自動套用標籤 (例如,透過繼承或部署管線)
    • 變更的標籤是否已升級 (升級為較敏感的標籤) 或已降級 (降級為較不敏感的標籤)
    • 觸發 DLP 事件的頻率、觸發位置,以及由哪些使用者觸發
  • 要採取的動作:確定有權擷取租用戶層級中繼資料的管理員會定期擷取活動記錄資料中的資料。 決定如何分類活動以支援您的稽核需求。 某些活動可能需要管理員或內容擁有者進行檢閱 (例如,刪除標籤時)。 其他活動可能需要包含在定期稽核檢閱中 (例如,當標籤降級或 DLP 規則相符項目出現時)。
  • 尋找此資料的位置:Power BI 管理員可以使用 Power BI 活動記錄,檢視與 Power BI 內容相關的活動。 或者,在 Defender for Cloud Apps 中,您可以授與 Power BI 管理員有限的檢視權,以便他們可以查看活動記錄事件、登入事件,以及與 Power BI 服務相關的其他事件。

Power BI 保護計量

資料保護計量報表是 Power BI 管理入口網站中的專用報表。 其會摘要如何將敏感度標籤指派給 Power BI 租用戶中的內容。

  • 要尋找的內容:您可以快速了解將敏感度標籤套用至 Power BI 服務中每個項目類型 (例如,語意模型或報表) 的頻率。
  • 要採取的動作:檢閱此報告以熟悉多少內容未套用標籤。
  • 尋找此資料的位置:Power BI 管理員可以在 Power BI 管理入口網站中找到資料保護計量報表。

提示

資料保護計量報表是摘要報表。 您也可以使用下一節所述的掃描器 API,執行更深入的分析。

Power BI 掃描器 API

Power BI 掃描器 API 可讓您掃描 Power BI 租用戶中的中繼資料。 Power BI 項目 (例如語意模型和報表) 的中繼資料可協助您監視並檢閱自助式使用者活動。

例如,您可能探索到財務工作區中的內容已指派給三個不同的敏感度標籤。 如果其中任一標籤不適用於財務資料,您可以套用更合適的標籤。

  • 要尋找的內容:您可以在租用戶中建立 Power BI 項目的庫存,包括每個項目的敏感度標籤。
  • 要採取的動作:建立一個流程,每周或每個月掃描您的租用戶。 使用掃描器 API 擷取的中繼資料,了解 Power BI 內容的標記方式。 如果您發現某些標籤不符合工作區的預期,請進一步調查。 使來自掃描器 API 的中繼資料與來自 Power BI 活動記錄的事件相互關聯,以判斷何時已套用、變更、刪除敏感度標籤,以及由哪個使用者執行這些動作。
  • 尋找此資料的位置:Power BI 管理員可以使用 Power BI 掃描器 API,擷取套用至所有 Power BI 內容的敏感度標籤快照集。 如果您偏好建置自己的庫存報表,則可以撰寫指令碼來直接使用 API。 或者,您也可以在 Microsoft Purview 資料對應中註冊 Power BI 來間接使用 API (這會使用 Power BI 掃描器 API 掃描 Power BI 租用戶)。

Microsoft Purview 活動總管

Microsoft Purview 合規性入口網站中的活動總管會彙總有用的稽核資料。 此資料可協助您了解跨應用程式和服務的活動。

提示

活動總管只會公開特定類型的 Power BI 事件。 規劃同時使用 Power BI 活動記錄和活動總管來查看檢視事件。

  • 要尋找的內容:您可以使用活動總管,檢視來自各種應用程式的敏感度標籤活動,包括 Teams、SharePoint Online、OneDrive、Exchange Online 和 Power BI。 也可以查看檔案何時讀取、其讀取位置,以及由哪個使用者讀取。 活動總管中也會顯示特定類型的 DLP 原則事件。 提供理由來說明敏感度標籤的變更時,您可以在活動總管中檢視原因。
  • 要採取的動作:定期檢閱活動總管事件,以識別是否有關注區域或需要進一步調查的事件。 某些事件可能需要管理員或內容擁有者進行檢閱 (例如,移除標籤時)。 其他事件可能需要包含在定期稽核檢閱中 (例如,當標籤降級時)。
  • 尋找此資料的位置:Microsoft 365 管理員可以在 Microsoft Purview 合規性入口網站中使用活動總管,檢視所有敏感度標籤活動。

Microsoft Purview 內容總管

Microsoft Purview 合規性入口網站中的內容總管,提供敏感性資訊位於各種應用程式和服務的快照集。

提示

您無法在內容總管中查看 Power BI Desktop (.pbix) 檔案。 不過,您可以使用內容總管來查看特定類型的支援檔案,這些檔案是從 Power BI 服務匯出的,例如 Excel 檔案。

  • 要尋找的內容:您可以使用內容總管來判斷在 Teams、SharePoint Online、OneDrive 和 Exchange Online 等各種位置找到哪些敏感性資料。
  • 要採取的動作:當您需要了解存在的內容及其所在位置時,請檢閱內容總管。 使用此資訊來評估您所做的決策,以及是否應該採取其他動作。
  • 尋找此資料的位置:Microsoft 365 管理員可以在 Microsoft Purview 合規性入口網站中使用內容總管,尋找敏感性資料目前所在的位置。

相關內容

如需更多考量、動作、決策準則和建議,以協助您進行 Power BI 實作決策,請參閱 Power BI 實作規劃主題領域