Power BI-Implementierungsplanung: Informationsschutz für Power BI
Hinweis
Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf die Power BI-Erfahrung in Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.
Dieser Artikel beschreibt die Planungsaktivitäten im Zusammenhang mit der Implementierung von Informationsschutz in Power BI. Er richtet sich an:
- Power BI-Administrator*innen: Administrator*innen, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
- Center of Excellence-, IT- und BI-Teams: Andere, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administratoren, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
Wichtig
Informationsschutz und Verhindern von Datenverlust (Data Loss Prevention, DLP) sind eine wichtige Aufgabe für das gesamte Unternehmen. Der Umfang und die Auswirkungen gehen weit über Power BI hinaus. Diese Art von Initiative erfordert Finanzierung, Priorisierung und Planung. Rechnen Sie damit, dass Sie mehrere funktionsübergreifende Teams in Ihre Planungs-, Nutzungs- und Überwachungsbemühungen einbeziehen müssen.
Bezeichnungs- und Klassifizierungsaktivitäten gehen über Power BI und sogar über Datenobjekte hinaus. Die in diesem Artikel besprochenen Entscheidungen gelten für Ressourcen für die gesamte Organisation, einschließlich Dateien und E-Mails, und nicht nur für Power BI. In diesem Artikel werden Themen vorgestellt, die sich auf die Bezeichnung und Klassifizierung im Allgemeinen beziehen, da das Treffen der richtigen organisatorischen Entscheidungen für den Erfolg der Verhinderung von Datenverlust in Power BI entscheidend ist.
Dieser Artikel enthält auch eine einführende Anleitung zum Definieren einer Vertraulichkeitsbezeichnungsstruktur. Aus technischer Sicht ist die Vertraulichkeitsbezeichnungsstruktur eine Voraussetzung für die Implementierung von Vertraulichkeitsbezeichnungen in Power BI. Das Einschließen einiger grundlegender Informationen in diesem Artikel soll Ihnen helfen zu verstehen, worum es geht. Es ist wichtig, dass Sie bei der Planung und Implementierung des Informationsschutzes in der Organisation mit der IT zusammenarbeiten.
Zweck von Vertraulichkeitsbezeichnungen
Bei der Verwendung von Microsoft Purview Information Protection-Vertraulichkeitsbezeichnungen geht es um die Klassifizierung von Inhalten. Stellen Sie sich eine Vertraulichkeitsbezeichnung wie eine Markierung vor, die Sie auf ein Element, eine Datei, eine Website oder ein Datenobjekt anwenden.
Es gibt viele Vorteile bei der Verwendung des Informationsschutzes. Das Klassifizieren und Bezeichnen von Inhalten hilft Organisationen bei Folgendem:
- Verstehen, wo sich vertrauliche Daten befinden.
- Nachverfolgen externer und interner Complianceanforderungen.
- Schützen des Inhalts vor nicht autorisierten Benutzern.
- Informieren der Benutzer über den verantwortungsvollen Umgang mit Daten.
- Implementieren von Echtzeitkontrollen, um das Risiko von Datenlecks zu verringern.
Weitere Anwendungsfälle für den Informationsschutz finden Sie unter Informationsschutz und DLP (Häufige Anwendungsfälle).
Tipp
Es hilft, sich daran zu erinnern, dass Microsoft Purview Information Protection das Produkt ist. Vertraulichkeitsbezeichnungen sind ein spezifisches Feature dieses Produkts.
Eine Vertraulichkeitsbezeichnung ist eine kurze Beschreibung in Klartext. Konzeptionell können Sie sich eine Vertraulichkeitsbezeichnung wie eine Markierung vorstellen. Jedem Element (z. B. einem Power BI-Semantikmodell im Power BI-Dienst) oder jeder Datei (z. B. einer Power BI-Desktopdatei) kann nur eine Bezeichnung zugewiesen werden.
Eine Bezeichnung hat den folgenden Zweck.
- Klassifizierung: Sie bietet eine Klassifizierung zum Beschreiben der Vertraulichkeitsstufe.
- Benutzerschulung und Bewusstsein: Sie hilft Benutzern zu verstehen, wie sie angemessen mit den Inhalten arbeiten.
- Richtlinien: Sie bildet die Grundlage für das Anwenden und Erzwingen von Richtlinien und DLP.
Voraussetzungen für den Power BI-Informationsschutz
Inzwischen sollten Sie die Planungsschritte auf Organisationsebene abgeschlossen haben, die im Artikel Planung des Informationsschutzes auf Organisationsebene beschrieben sind. Bevor Sie fortfahren, sollten Sie Klarheit über Folgendes haben:
- Aktueller Zustand: Der aktuelle Zustand des Informationsschutzes in Ihrer Organisation. Sie sollten ein Verständnis dafür haben, ob Vertraulichkeitsbezeichnungen bereits für Microsoft Office-Dateien verwendet werden. In diesem Fall ist der Umfang der Arbeit zum Hinzufügen von Power BI viel kleiner als bei der erstmaligen Einführung von Informationsschutz in der Organisation.
- Ziele und Anforderungen: Die strategischen Ziele für die Implementierung von Informationsschutz in Ihrer Organisation. Das Verständnis der Ziele und Anforderungen wird als Leitfaden für Ihre Implementierungsbemühungen dienen.
Wenn der Informationsschutz von Ihrer Organisation noch nicht verwendet wird, enthält der Rest dieses Abschnitts Informationen, die Ihnen helfen, mit anderen zusammenzuarbeiten, um den Informationsschutz in Ihrer Organisation einzuführen.
Wenn der Informationsschutz in Ihrer Organisation aktiv verwendet wird, empfehlen wir, diesen Artikel zu verwenden, um zu überprüfen, dass die Voraussetzungen erfüllt sind. Wenn Vertraulichkeitsbezeichnungen aktiv verwendet werden, werden die meisten (oder alle) Aktivitäten in den Rolloutphasen 1 bis 4 (im nächsten Abschnitt) bereits abgeschlossen sein.
Rolloutphasen
Wir empfehlen Ihnen, einen schrittweisen Rolloutplan für die Implementierung und das Testen des Informationsschutzes zu planen und umzusetzen. Das Ziel eines schrittweisen Rolloutplans besteht darin, sich selbst die Möglichkeit zu geben, im Laufe der Zeit zu lernen, sich anzupassen und zu iterieren. Der Vorteil besteht darin, dass in den frühen Phasen (wenn Änderungen wahrscheinlicher sind) weniger Benutzer betroffen sind, bis schließlich der Informationsschutz für alle Benutzer in der Organisation ausgerollt wird.
Die Einführung des Informationsschutzes ist ein wichtiges Unterfangen. Wie im Artikel Planung des Informationsschutzes auf Organisationsebene beschrieben, werden viele dieser Aufgaben bereits abgeschlossen sein, wenn Ihre Organisation Informationsschutz für Microsoft Office-Dokumente bereits implementiert hat.
Dieser Abschnitt bietet eine Übersicht über die Phasen, die sie in Ihren schrittweisen Rolloutplan aufnehmen sollten. Er soll Ihnen ein Gefühl dafür geben, was Sie erwartet. Im restlichen Verlauf dieses Artikels werden weitere Entscheidungskriterien für die wichtigsten Aspekte beschrieben, die sich am direktesten auf Power BI auswirken.
Phase 1: Planen, Entscheiden, Vorbereiten
In der ersten Phase konzentrieren Sie sich auf Planung, Entscheidungsfindung und vorbereitende Aktivitäten. Der Großteil des restlichen Artikels konzentriert sich auf diese erste Phase.
Klären Sie so früh wie möglich, wo die ersten Tests stattfinden werden. Diese Auswahl wird sich darauf auswirken, wo Sie anfänglich einrichten, veröffentlichen und testen. Für erste Tests können Sie einen Nicht-Produktionsmandanten verwenden (sofern Sie über Zugriff auf einen verfügen).
Tipp
Die meisten Organisationen haben Zugriff auf nur einen Mandanten, daher kann es schwierig sein, neue Features isoliert zu erkunden. Für Organisationen, die über einen separaten Entwicklungs- oder Testmandanten verfügen, empfehlen wir, diesen für die erste Testphase zu verwenden. Weitere Informationen zum Verwalten von Mandanten, und wie Sie einen Testmandanten zum Testen neuer Features erstellen können, finden Sie unter Mandanteneinrichtung.
Phase 2: Einrichten von unterstützenden Benutzerressourcen
Die zweite Phase umfasst Schritte zum Einrichten der Ressourcen für die Unterstützung von Benutzern. Zu den Ressourcen gehören Ihre Richtlinie für Datenklassifizierung und Datenschutz sowie die benutzerdefinierte Hilfeseite.
Es ist wichtig, dass einige der Benutzerdokumentationen frühzeitig veröffentlicht werden. Es ist auch wichtig, dass das Team für Benutzersupport frühzeitig vorbereiten wird.
Phase 3: Einrichten von Bezeichnungen und veröffentlichen
Die dritte Phase konzentriert sich auf die Definition von Vertraulichkeitsbezeichnungen. Wenn alle Entscheidungen gefällt wurden, ist die Einrichtung nicht schwierig oder zeitaufwändig. Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Complianceportal im Microsoft 365 Admin Center eingerichtet.
Phase 4: Veröffentlichen einer Bezeichnungsrichtlinie
Bevor eine Bezeichnung verwendet werden kann, müssen Sie diese als Teil einer Bezeichnungsrichtlinie veröffentlichen. Bezeichnungsrichtlinien ermöglichen es bestimmten Benutzern, eine Bezeichnung zu verwenden. Bezeichnungsrichtlinien werden im Microsoft Purview-Complianceportal im Microsoft 365 Admin Center veröffentlicht.
Hinweis
Alles bis zu diesem Punkt sind Voraussetzungen für die Implementierung von Informationsschutz für Power BI.
Phase 5: Aktivieren von Power BI-Mandanteneinstellungen
Im Power BI-Verwaltungsportal gibt es mehrere Mandanteneinstellungen für den Informationsschutz. Sie sind erforderlich, um den Informationsschutz im Power BI-Dienst zu aktivieren.
Wichtig
Sie sollten die Mandanteneinstellungen festlegen, nachdem Sie die Bezeichnungen im Microsoft Purview-Complianceportal eingerichtet und veröffentlicht haben.
Phase 6: Anfängliches Testen
In der sechsten Phase führen Sie erste Tests durch, um zu überprüfen, ob sich alles wie erwartet verhält. Für den Zweck der ersten Tests sollten Sie die Bezeichnungsrichtlinie nur für das Implementierungsteam veröffentlichen.
Während dieser Phase müssen Sie Folgendes testen:
- Microsoft Office-Dateien
- Power BI-Elemente im Power BI-Dienst
- Power BI Desktop-Dateien
- Exportieren von Dateien aus dem Power BI-Dienst
- Andere Bereiche, die in der Konfiguration enthalten sind, z. B. Teams-Websites oder SharePoint
Stellen Sie sicher, dass Sie die Funktionalität und die Benutzererfahrung überprüfen, indem Sie einen Webbrowser und auch mobile Geräte verwenden, die häufig verwendet werden. Aktualisieren Sie Ihre Benutzerdokumentation entsprechend.
Wichtig
Selbst wenn nur wenige Mitglieder des Teams berechtigt sind, eine Vertraulichkeitsbezeichnung festzulegen, werden alle Benutzer Bezeichnungen sehen können, die Inhalten zugewiesen sind. Wenn Sie Ihren eigenen Produktionsmandanten verwenden, könnten sich Benutzer*innen fragen, warum Bezeichnungen im Power BI-Dienst angezeigt werden, die Elementen in einem Arbeitsbereich zugewiesen sind. Seien Sie bereit, die Benutzer zu unterstützen und auf ihre Fragen zu antworten.
Phase 7: Sammeln von Benutzerfeedback
Das Ziel für diese Phase besteht darin, Feedback von einer kleinen Gruppe von wichtigen Benutzern zu erhalten. Das Feedback sollte unklare Bereiche, Lücken in der Bezeichnungsstruktur oder technische Probleme identifizieren. Möglicherweise finden Sie auch Gründe für die Verbesserung der Benutzerdokumentation.
Zu diesem Zweck sollten Sie die Bezeichnungsrichtlinie für eine kleine Teilmenge von Benutzern veröffentlichen (oder erneut veröffentlichen), die bereit sind, Feedback zu geben.
Tipp
Achten Sie darauf, dass Sie in Ihrem Projektplan genügend Zeit einplanen. Für Bezeichnungen und Einstellungen der Bezeichnungsrichtlinie empfiehlt die Produktdokumentation, 24 Stunden zu warten, bis die Änderungen wirksam sind. Diese Zeit ist erforderlich, um sicherzustellen, dass alle Änderungen an die zugehörigen Dienste weitergegeben werden.
Phase 8: Iterativ freigeben
Die Implementierungsphase ist in der Regel ein iterativer Prozess.
Häufig besteht das anfängliche Ziel darin, in einen Zustand zu gelangen, in dem allen Power BI-Inhalten eine Vertraulichkeitsbezeichnung zugewiesen ist. Um dieses Ziel zu erreichen, können Sie eine obligatorische Bezeichnungsrichtlinie oder eine Standardbezeichnungsrichtlinie einführen. Sie können auch die Administrator-APIs für den Informationsschutz verwenden, um Vertraulichkeitsbezeichnungen programmgesteuert festzulegen oder zu entfernen.
Sie können schrittweise weitere Benutzergruppen einschließen, bis die gesamte Organisation enthalten ist. Dieser Prozess umfasst die erneute Veröffentlichung jeder Bezeichnungsrichtlinie für immer größere Gruppen von Benutzern.
Achten Sie während dieses gesamten Prozesses darauf, die Bereitstellung von Anleitungen, Kommunikationen und Training für Ihre Benutzer zu priorisieren, damit diese den Prozess verstehen und wissen, was von ihnen erwartet wird.
Phase 9: Überwachen, Prüfen, Anpassen, Integrieren
Nach dem ersten Rollout müssen weitere Schritte ausgeführt werden. Sie sollten über ein primäres Team verfügen, um Informationsschutzaktivitäten zu überwachen und im Laufe der Zeit zu optimieren. Wenn Bezeichnungen angewendet werden, werden Sie deren Nützlichkeit bewerten und Bereiche für Anpassungen identifizieren können.
Die Überwachung des Informationsschutzes hat viele Aspekte. Weitere Informationen finden Sie unter Überwachung von Informationsschutz und Verhinderung von Datenverlust für Power BI.
Die Investitionen, die Sie in die Einrichtung des Informationsschutzes tätigen, können in DLP-Richtlinien für Power BI verwendet werden, die im Microsoft Purview-Complianceportal eingerichtet sind. Weitere Informationen, einschließlich einer Beschreibung der DLP-Funktionen, finden Sie unter Verhinderung von Datenverlust für Power BI.
Der Informationsschutz kann auch verwendet werden, um Richtlinien in Microsoft Defender for Cloud-Apps zu erstellen. Weitere Informationen, einschließlich einer Beschreibung der Funktionen, die Sie hilfreich finden könnten, finden Sie unter Defender for Cloud Apps für Power BI.
Prüfliste – Bei der Vorbereitung der Rolloutphasen Ihres Informationsschutzes sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Erstellen eines schrittweisen Rolloutplans: Definieren Sie die Phasen für Ihren Rolloutplan. Klären Sie, was die spezifischen Ziele für jede Phase sind.
- Identifizieren, wo getestet werden soll: Bestimmen Sie, wo die anfänglichen Tests durchgeführt werden können. Um die Auswirkungen auf Benutzer zu minimieren, verwenden Sie nach Möglichkeit einen Nicht-Produktionsmandanten.
- Erstellen eines Projektplans: Erstellen Sie einen Projektplan, der alle wichtigen Aktivitäten, den geschätzten Zeitrahmen und die verantwortlichen Personen enthält.
Vertraulichkeitsbezeichnungsstruktur
Die Vertraulichkeitsbezeichnungsstruktur ist eine Voraussetzung für die Implementierung von Vertraulichkeitsbezeichnungen in Power BI. Dieser Abschnitt enthält einige grundlegende Informationen, die Ihnen helfen sollen zu verstehen, was erforderlich ist, wenn Sie an der Erstellung der Bezeichnungsstruktur beteiligt sind.
Dieser Abschnitt enthält keine vollständige Liste aller möglichen Überlegungen zu Vertraulichkeitsbezeichnungen für alle möglichen Anwendungen. Stattdessen liegt der Fokus auf Überlegungen und Aktivitäten, die sich direkt auf die Klassifizierung von Power BI-Inhalten auswirken. Stellen Sie sicher, dass Sie mit anderen Projektbeteiligten und Systemadministratoren zusammenarbeiten, um Entscheidungen zu treffen, die für alle Anwendungen und Anwendungsfälle gut geeignet sind.
Die Grundlage für die Implementierung des Informationsschutzes beginnt mit einem Satz von Vertraulichkeitsbezeichnungen. Das Endziel besteht darin, einen Satz von Vertraulichkeitsbezeichnungen zu erstellen, die für Benutzer klar und einfach zu handhaben sind.
Die Vertraulichkeitsbezeichnungsstruktur, die in einer Organisation verwendet wird, stellt eine Bezeichnungstaxonomie dar. Sie wird auch häufig als Datenklassifizierungstaxonomie bezeichnet, da das Ziel darin besteht, Daten zu klassifizieren. Manchmal wird sie als Schemadefinition bezeichnet.
Es gibt keinen standardisierten oder integrierten Satz von Bezeichnungen. Jede Organisation muss einen Satz von Bezeichnungen definieren und an ihre Bedürfnisse anpassen. Der Prozess des Findens des richtigen Satzes von Bezeichnungen erfordert eine umfangreiche Zusammenarbeit. Er erfordert eine durchdachte Planung, um sicherzustellen, dass die Bezeichnungen die Ziele und Anforderungen erfüllen werden. Denken Sie daran, dass Bezeichnungen auf mehr als nur Power BI-Inhalte angewendet werden.
Tipp
Die meisten Organisationen beginnen damit, Bezeichnungen für Microsoft Office-Dateien zuzuweisen. Sie entwickeln sich dann weiter, um andere Inhalte wie Power BI-Elemente und -Dateien zu klassifizieren.
Eine Bezeichnungsstruktur umfasst Folgendes:
- Bezeichnungen: Bezeichnungen bilden eine Hierarchie. Jede Bezeichnung gibt die Vertraulichkeitsstufe für ein Element, eine Datei oder ein Datenobjekt an. Wir empfehlen Ihnen, zwischen drei und sieben Bezeichnungen zu erstellen. Die Bezeichnungen sollten sich selten ändern.
- Unterbezeichnungen: Unterbezeichnungen weisen auf Variationen im Schutz oder Geltungsbereich innerhalb einer bestimmten Bezeichnung hin. Indem Sie diese in verschiedene Bezeichnungsrichtlinien einschließen, können Sie Unterbezeichnungen auf eine bestimmte Gruppe von Benutzern oder auf Benutzer einschränken, die an einem bestimmten Projekt beteiligt sind.
Tipp
Während Unterbezeichnungen Flexibilität bieten, sollten sie nur maßvoll verwendet werden, um kritische Anforderungen zu erfüllen. Das Erstellen von zu vielen Unterbezeichnungen führt zu einer erhöhten Verwaltung. Sie können Benutzer mit zu vielen Optionen auch überfordern.
Bezeichnungen bilden eine Hierarchie, beginnend mit der am wenigsten vertraulichen Klassifizierung bis zur vertraulichsten Klassifizierung.
Manchmal enthalten Power BI-Inhalte Daten, die sich über mehrere Bezeichnungen erstrecken. Ein semantisches Modell könnte beispielsweise Bestandsinformationen (allgemeine interne Verwendung) und die Verkaufszahlen des aktuellen Quartals (eingeschränkt) enthalten. Bei der Auswahl der Bezeichnung, die dem Power BI-semantischen Modell zugewiesen werden soll, sollte den Benutzern beigebracht werden, die restriktivste Bezeichnung anzuwenden.
Tipp
Im nächsten Abschnitt wird die Richtlinie für Datenklassifizierung und Datenschutz beschrieben, die Benutzern Anleitungen zur Verwendung der einzelnen Bezeichnungen bieten kann.
Wichtig
Das Zuweisen einer Bezeichnung oder einer Unterbezeichnung wirkt sich nicht direkt auf den Zugriff auf Power BI-Inhalte im Power BI-Dienst aus. Stattdessen bietet die Bezeichnung eine nützliche Kategorie, die das Benutzerverhalten steuern kann. Richtlinien zur Verhinderung von Datenverlust können auch auf der zugewiesenen Bezeichnung basieren. Es ändert sich jedoch nichts an der Verwaltung des Zugriffs auf Power BI-Inhalte, außer wenn eine Datei verschlüsselt ist. Weitere Informationen finden Sie unter Verwenden des Verschlüsselungsschutzes.
Gehen Sie mit den von Ihnen erstellten Bezeichnungen bewusst um, da es schwierig ist, eine Bezeichnung zu entfernen oder zu löschen, wenn Sie über die anfängliche Testphase hinausgekommen sind. Da Unterbezeichnungen (optional) für eine bestimmte Gruppe von Benutzern verwendet werden können, können sie sich häufiger ändern als Bezeichnungen.
Hier sind einige bewährte Methoden zum Definieren einer Bezeichnungsstruktur.
- Verwenden von intuitiven, eindeutigen Begriffen: Klarheit ist wichtig, um sicherzustellen, dass Benutzer wissen, was sie beim Klassifizieren ihrer Daten auswählen sollen. Beispielsweise sind die Bezeichnungen Streng geheim und Streng vertraulich nicht eindeutig.
- Erstellen einer logischen hierarchischen Reihenfolge: Die Reihenfolge der Bezeichnungen ist entscheidend dafür, dass alles gut funktioniert. Denken Sie daran, dass die letzte Bezeichnung in der Liste die vertraulichste ist. Die hierarchische Reihenfolge in Kombination mit gut ausgewählten Begriffen sollte logisch und intuitiv sein, damit Benutzer damit arbeiten können. Eine klare Hierarchie wird auch das Erstellen und Verwalten von Richtlinien vereinfachen.
- Erstellen von nur wenigen Bezeichnungen für die gesamte Organisation: Zu viele Bezeichnungen, aus denen Benutzer wählen können, werden verwirrend sein. Es wird auch zu einer weniger genauen Auswahl der Bezeichnung führen. Wir empfehlen Ihnen, nur wenige Bezeichnungen für den anfängliche Satz zu erstellen.
- Verwenden von aussagekräftigen, generischen Namen: Vermeiden Sie die Verwendung von Branchenjargon oder Akronymen in Ihren Bezeichnungsnamen. Anstatt beispielsweise eine Bezeichnung mit dem Namen Personenbezogene Informationen zu erstellen, verwenden Sie stattdessen Namen wie Streng eingeschränkt oder Streng vertraulich.
- Verwenden von Begriffen, die leicht in andere Sprachen lokalisiert werden können: Für globale Organisationen, die in mehreren Ländern/Regionen tätig sind, ist es wichtig, Begriffe für Bezeichnungen auszuwählen, die nicht verwirrend oder mehrdeutig sind, wenn sie in andere Sprachen übersetzt werden.
Tipp
Wenn Sie merken, dass Sie viele Bezeichnungen planen, die sehr spezifisch sind, machen Sie einen Schritt zurück und überprüfen Ihren Ansatz neu. Komplexität kann zu Verwirrung bei Benutzern, geringerer Akzeptanz und weniger effektivem Informationsschutz führen. Wir empfehlen Ihnen, mit einem anfänglichen Satz von Bezeichnungen zu beginnen (oder die bereits vorhandenen Bezeichnungen zu verwenden). Nachdem Sie mehr Erfahrung gesammelt haben, erweitern Sie den Satz von Bezeichnungen vorsichtig, indem Sie bei Bedarf spezifischere Bezeichnungen hinzufügen.
Prüfliste – Bei der Planung der Struktur der Vertraulichkeitsbezeichnungen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Definieren eines anfänglichen Satzes von Vertraulichkeitsbezeichnungen: Erstellen Sie einen anfänglichen Satz von zwischen drei und sieben Vertraulichkeitsbezeichnungen. Stellen Sie sicher, dass sie für eine breite Palette von Inhalten verwendet werden können. Planen Sie, die anfängliche Liste zu überarbeiten, während Sie die Richtlinie für Datenklassifizierung und Datenschutz abschließen.
- Bestimmen, ob Sie Unterbezeichnungen benötigen: Entscheiden Sie, ob für eine der Bezeichnungen Unterbezeichnungen verwendet werden müssen.
- Überprüfen der Lokalisierung von Bezeichnungsbegriffen: Wenn Bezeichnungen in andere Sprachen übersetzt werden, lassen Sie Muttersprachler bestätigen, dass lokalisierte Bezeichnungen die beabsichtigte Bedeutung vermitteln.
Geltungsbereich der Vertraulichkeitsbezeichnungen
Ein Geltungsbereich für Vertraulichkeitsbezeichnungen schränkt die Verwendung einer Bezeichnung ein. Sie können Power BI zwar nicht direkt angeben, aber Sie können Bezeichnungen auf verschiedene Bereiche anwenden. Mögliche Bereiche sind:
- Elemente (z. B. Im Power BI-Dienst veröffentlichte Elemente sowie Dateien und E-Mails)
- Gruppen und Websites (z. B. ein Teams-Kanal oder eine SharePoint-Website)
- Schematisierte Datenobjekte (unterstützte Quellen, die in der Purview Data Map registriert sind)
Wichtig
Es ist nicht möglich, eine Vertraulichkeitsbezeichnung mit einem Geltungsbereich nur für Power BI zu definieren. Es gibt zwar einige Einstellungen, die speziell für Power BI gelten, aber der Geltungsbereich gehört nicht dazu. Der Geltungsbereich Elemente wird für die Power BI-Dienst verwendet. Vertraulichkeitsbezeichnungen werden anders behandelt als DLP-Richtlinien, die im Artikel Planung der Verhinderung von Datenverlust für Power BI beschrieben werden, da einige Arten von DLP-Richtlinien speziell für Power BI definiert werden können. Wenn Sie beabsichtigen, die Vererbung von Vertraulichkeitsbezeichnungen aus Datenquellen in Power BI zu verwenden, gelten bestimmte Anforderungen für den Geltungsbereich der Bezeichnungen.
Ereignisse im Zusammenhang mit Vertraulichkeitsbezeichnungen werden im Aktivitäts-Explorer aufgezeichnet. Protokollierte Details zu diesen Ereignissen werden erheblich umfangreicher sein, wenn der Geltungsbereich breiter ist. Außerdem sind Sie besser darauf vorbereitet, Daten in einem breiteren Spektrum von Anwendungen und Diensten zu schützen.
Wenn Sie den anfänglichen Satz von Vertraulichkeitsbezeichnungen definieren, sollten Sie erwägen, den anfänglichen Satz von Bezeichnungen für alle Bereiche verfügbar zu machen. Dies deshalb, weil es für Benutzer verwirrend werden kann, wenn sie unterschiedliche Bezeichnungen in verschiedenen Anwendungen und Diensten sehen. Im Laufe der Zeit könnten Sie jedoch Anwendungsfälle für spezifischere Unterbezeichnungen entdecken. Es ist jedoch sicherer, mit einem konsistenten und einfachen Satz von anfänglichen Bezeichnungen zu beginnen.
Der Bereich für Bezeichnungen wird im Microsoft Purview-Complianceportal festgelegt, wenn die Bezeichnung eingerichtet wird.
Prüfliste– Bei der Planung des Bezeichnungsbereichs sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheid zum Bezeichnungsbereich: Besprechen und entscheiden Sie, ob jede Ihrer anfänglichen Bezeichnungen auf alle Bereiche angewendet wird.
- Überprüfen aller Voraussetzungen: Untersuchen Sie die Voraussetzungen und die erforderlichen Einrichtungsschritte, die für jeden Bereich erforderlich sein werden, den Sie verwenden möchten.
Verwendung des Verschlüsselungsschutzes
Es gibt mehrere Optionen für den Schutz mit einer Vertraulichkeitsbezeichnung.
- Verschlüsselung: Verschlüsselungseinstellungen beziehen sich auf Dateien oder E-Mails. Beispielsweise kann eine Power BI Desktop-Datei verschlüsselt sein.
- Markierungen: Beziehen sich auf Kopfzeilen, Fußzeilen und Wasserzeichen. Markierungen sind für Microsoft Office-Dateien nützlich, werden aber in Power BI-Inhalten nicht angezeigt.
Tipp
Wenn jemand eine Bezeichnung als geschützt bezeichnet, bezieht er sich in der Regel auf die Verschlüsselung. Es könnte ausreichen, dass lediglich Bezeichnungen auf höherer Ebene wie Eingeschränkt und Streng eingeschränkt verschlüsselt werden.
Die Verschlüsselung ist eine Möglichkeit, Informationen kryptografisch zu codieren. Die Verschlüsselung hat mehrere wichtige Vorteile.
- Nur autorisierte Benutzer (z. B. interne Benutzer innerhalb Ihrer Organisation) können eine geschützte Datei öffnen, entschlüsseln und lesen.
- Die Verschlüsselung verbleibt bei einer geschützten Datei, auch wenn die Datei an Stellen außerhalb der Organisation gesendet oder umbenannt wird.
- Die Verschlüsselungseinstellung wird aus dem ursprünglichen beschrifteten Inhalt erhalten. Nehmen wir an, dass ein Bericht im Power BI-Dienst die Vertraulichkeitsbezeichnung Streng eingeschränkt aufweist. Wenn er in einen unterstützten Exportpfad exportiert wird, bleibt die Bezeichnung erhalten, und die Verschlüsselung wird auf die exportierte Datei angewendet.
Der Azure Rights Management-Dienst (Azure RMS) wird für den Dateischutz mit Verschlüsselung verwendet. Es gibt einige wichtige Voraussetzungen, die erfüllt sein müssen, um die Azure RMS-Verschlüsselung nutzen zu können.
Wichtig
Es ist eine Einschränkung zu beachten: Ein Offlinebenutzer (ohne Internetverbindung) kann eine verschlüsselte Power BI Desktop-Datei (oder eine andere Art von durch Azure RMS geschützten Datei) nicht öffnen. Das liegt daran, dass Azure RMS synchron überprüfen muss, ob ein Benutzer berechtigt ist, den Dateiinhalt zu öffnen, zu entschlüsseln und anzuzeigen.
Verschlüsselte Bezeichnungen werden je nachdem, wo der Benutzer arbeitet, unterschiedlich gehandhabt.
- Im Power BI-Dienst: Die Verschlüsselungseinstellung hat keine direkte Auswirkung auf den Benutzerzugriff im Power BI-Dienst. Power BI-Standardberechtigungen (z. B. Arbeitsbereichsrollen, App-Berechtigungen oder Freigabeberechtigungen) steuern den Benutzerzugriff im Power BI-Dienst. Vertraulichkeitsbezeichnungen wirken sich nicht auf den Zugriff auf Inhalte innerhalb des Power BI-Dienst aus.
- Power BI Desktop-Dateien: Einer Power BI Desktop-Datei kann eine verschlüsselte Bezeichnung zugewiesen werden. Die Bezeichnung wird auch beibehalten, wenn die Datei aus dem Power BI-Dienst exportiert wird. Nur autorisierte Benutzer werden die Datei öffnen, entschlüsseln und anzeigen können.
- Exportierte Dateien: Microsoft Excel-, Microsoft PowerPoint- und PDF-Dateien, die aus dem Power BI-Dienst exportiert werden, behalten ihre Vertraulichkeitsbezeichnung einschließlich Verschlüsselungsschutz bei. Bei unterstützten Dateiformaten werden nur autorisierte Benutzer die Datei öffnen, entschlüsseln und anzeigen können.
Wichtig
Es ist wichtig, dass Benutzer die Unterschiede zwischen dem Power BI-Dienst und den Power BI-Dateien verstehen, die leicht verwechselt werden können. Wie empfehlen Ihnen, ein Dokument mit häufig gestellten Fragen zusammen mit Beispielen bereitzustellen, damit Benutzer die Unterschiede verstehen können.
Um eine geschützte Power BI Desktop-Datei oder eine exportierte Datei zu öffnen, muss ein Benutzer die folgenden Kriterien erfüllen.
- Internetkonnektivität: Der Benutzer muss mit dem Internet verbunden sein. Für die Kommunikation mit Azure RMS ist eine aktive Internetverbindung erforderlich.
- RMS-Berechtigungen: Der Benutzer muss über RMS-Berechtigungen verfügen, die innerhalb der Bezeichnung (und nicht innerhalb der Bezeichnungsrichtlinie) definiert sind. RMS-Berechtigungen ermöglichen autorisierten Benutzern das Entschlüsseln, Öffnen und Anzeigen unterstützter Dateiformate.
- Zulässiger Benutzer: Benutzer oder Gruppen müssen in der Bezeichnungsrichtlinie angegeben sein. Normalerweise ist das Zuweisen autorisierter Benutzer nur für Inhaltsersteller und Inhaltsbesitzer erforderlich, damit sie Bezeichnungen anwenden können. Bei Verwendung des Verschlüsselungsschutzes gibt es jedoch eine weitere Anforderung. Jeder Benutzer, der eine geschützte Datei öffnen muss, muss in der Bezeichnungsrichtlinie angegeben sein. Bei dieser Anforderung könnte die Informationsschutzlizenzierung für mehr Benutzer*innen erforderlich sein.
Tipp
Die Mandanteneinstellung Arbeitsbereichsadministratoren dürfen automatisch angewendete Vertraulichkeitsbezeichnungen außer Kraft setzen ermöglicht es Arbeitsbereichsadministratoren, eine Bezeichnung zu ändern, die automatisch angewendet wurde, auch wenn der Schutz (die Verschlüsselung) für die Bezeichnung aktiviert ist. Diese Funktion ist besonders hilfreich, wenn eine Bezeichnung automatisch zugewiesen oder geerbt wurde, der Arbeitsbereichsadministrator jedoch kein autorisierter Benutzer ist.
Der Bezeichnungsschutz wird im Microsoft Purview-Complianceportal festgelegt, wenn Sie die Bezeichnung einrichten.
Prüfliste – Bei der Planung der Verwendung der Bezeichnungsverschlüsselung sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, welche Bezeichnungen verschlüsselt werden sollen: Entscheiden Sie für jede Vertraulichkeitsbezeichnung, ob sie verschlüsselt (geschützt) werden soll. Berücksichtigen Sie sorgfältig die damit verbundenen Einschränkungen.
- Identifizieren der RMS-Berechtigungen für jede Bezeichnung: Bestimmen Sie, welche Benutzerberechtigungen für den Zugriff auf und die Interaktion mit verschlüsselten Dateien gelten sollen. Erstellen Sie eine Zuordnung von Benutzern und Gruppen für jede Vertraulichkeitsbezeichnung, um den Planungsprozess zu unterstützen.
- Überprüfen und Adressieren der Voraussetzungen für die RMS-Verschlüsselung: Stellen Sie sicher, dass die technischen Voraussetzungen für die Verwendung der Azure RMS-Verschlüsselung erfüllt sind.
- Planen der Durchführung gründlicher Tests der Verschlüsselung: Stellen Sie aufgrund der Unterschiede zwischen Office-Dateien und Power BI-Dateien sicher, dass Sie zu einer gründlichen Testphase bereit sind.
- Einfügen in die Benutzerdokumentation und das Benutzertraining: Stellen Sie sicher, dass Sie In Ihrer Dokumentation Anleitungen und Training dazu einfügen, was Benutzer für Dateien erwarten sollten, denen eine Vertraulichkeitsbezeichnung zugewiesen ist, die verschlüsselt ist.
- Durchführung von Wissenstransfer mit dem Supportteam: Erstellen Sie spezifische Pläne für die Durchführung von Wissenstransfersitzungen mit dem Supportteam. Aufgrund der Komplexität der Verschlüsselung erhalten sie wahrscheinlich Fragen von Benutzern.
Vererbung von Bezeichnungen aus Datenquellen
Beim Importieren von Daten aus unterstützten Datenquellen (z. B. Azure Synapse Analytics, Azure SQL-Datenbank oder eine Excel-Datei) kann ein Power BI-semantisches Modell optional die auf die Quelldaten angewendete Vertraulichkeitsbezeichnung erben. Vererbung hilft bei:
- Fördern der Konsistenz der Bezeichnungszuweisung.
- Reduzieren des Benutzeraufwands beim Zuweisen von Bezeichnungen.
- Verringern des Risikos, dass Benutzer auf vertrauliche Daten zugreifen und diese mit nicht autorisierten Benutzern teilen, da sie nicht bezeichnet waren.
Tipp
Es gibt zwei Arten von Vererbung für Vertraulichkeitsbezeichnungen. Downstreamvererbung bezieht sich auf nachgelagerte Elemente (z. B. Berichte), die automatisch eine Bezeichnung von ihrem Power BI-semantischem Modell erben. Der Schwerpunkt dieses Abschnitts liegt jedoch auf der _Upstreamvererbung. Upstream-Vererbung bezieht sich auf ein semantisches Modell in Power BI, das eine Beschriftung von einer Datenquelle erbt, die dem semantischen Modell vorgelagert ist.
Betrachten Sie ein Beispiel, bei dem die Arbeitsdefinition der Organisation für die Vertraulichkeitsbezeichnung Streng eingeschränkt Finanzkontonummern umfasst. Da Finanzkontonummern in einer Azure SQL-Datenbank gespeichert werden, wurde dieser Quelle die Vertraulichkeitsbezeichnung Streng eingeschränkt zugewiesen. Wenn Daten aus der Azure SQL-Datenbank in Power BI importiert werden, soll das semantische Modell die Bezeichnung erben.
Sie können einer unterstützten Datenquelle auf unterschiedliche Weise Vertraulichkeitsbezeichnungen zuweisen.
- Datenermittlung und Datenklassifizierung: Sie können eine unterstützte Datenbank überprüfen, um Spalten zu identifizieren, die vertrauliche Daten enthalten könnten. Basierend auf den Scanergebnissen können Sie einige oder alle Empfehlungen für Bezeichnungen anwenden. Datenermittlung und Datenklassifizierung wird für Datenbanken wie Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. SQL-Datenermittlung und Datenklassifizierung wird für lokale SQL Server-Datenbanken unterstützt.
- Manuelle Zuweisungen: Sie können einer Excel-Datei eine Vertraulichkeitsbezeichnung zuweisen. Sie könnten außerdem Datenbankspalten in Azure SQL-Datenbank oder SQL Server manuell Bezeichnungen zuweisen.
- Automatische Bezeichnung in Microsoft Purview: Vertraulichkeitsbezeichnungen können auf unterstützte Datenquellen angewendet werden, die in der Microsoft Purview Data Map als Objekte registriert sind.
Warnung
Die Details, wie man einer Datenquelle Vertraulichkeitsbezeichnungen zuweist, sind nicht Gegenstand dieses Artikels. Die technischen Funktionen entwickeln sich in Bezug auf die Unterstützung für die Vererbung in Power BI weiter. Wir empfehlen Ihnen, dass Sie einen technischen Proof of Concept durchführen, um Ihre Ziele und die Benutzerfreundlichkeit zu überprüfen und festzustellen, ob die Funktionen Ihren Anforderungen entsprechen.
Die Vererbung erfolgt nur, wenn Sie die Vertraulichkeitsbezeichnungen aus Datenquellen in der Power BI-Mandanteneinstellung auf ihre Daten anwenden aktivieren. Weitere Informationen zu Mandanteneinstellungen finden Sie weiter unten in diesem Artikel im Abschnitt Power BI-Mandanteneinstellungen.
Tipp
Sie müssen sich mit dem Vererbungsverhalten vertraut machen. Stellen Sie sicher, dass Sie verschiedene Umstände in Ihren Testplan einbeziehen.
Prüfliste – Bei der Planung der Vererbung von Bezeichnungen aus Datenquellen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, ob Power BI Bezeichnungen von Datenquellen erben soll: Entscheiden Sie, ob Power BI diese Bezeichnungen erben soll. Planen Sie, die Mandanteneinstellung zu aktivieren, um diese Funktion zuzulassen.
- Überprüfen der technischen Voraussetzungen: Bestimmen Sie, ob Sie zusätzliche Schritte ausführen müssen, um Datenquellen Vertraulichkeitsbezeichnungen zuzuweisen.
- Testen der Funktionalität zur Vererbung von Bezeichnungen: Schließen Sie einen technischen Proof of Concept ab, um zu testen, wie die Vererbung funktioniert. Vergewissern Sie sich, dass das Feature unter verschiedenen Umständen wie von Ihnen erwartet funktioniert.
- Einfügen in die Benutzerdokumentation: Stellen Sie sicher, dass Informationen zur Vererbung in die Anleitungen für die Benutzer aufgenommen werden. Fügen Sie realistische Beispiele in die Benutzerdokumentation ein.
Veröffentlichte Bezeichnungsrichtlinien
Nachdem Sie eine Vertraulichkeitsbezeichnung definiert haben, kann die Bezeichnung einer oder mehreren Bezeichnungsrichtlinien hinzugefügt werden. Mit einer Bezeichnungsrichtlinie veröffentlichen Sie die Bezeichnung, damit sie verwendet werden kann. Sie definiert, welche Bezeichnungen von welcher Gruppe autorisierter Benutzer verwendet werden können. Es gibt auch andere Einstellungen, z. B. die Standardbezeichnung und die obligatorische Bezeichnung.
Die Verwendung mehrerer Bezeichnungsrichtlinien kann hilfreich sein, wenn Sie verschiedene Gruppen von Benutzern ansprechen müssen. Sie können eine Vertraulichkeitsbezeichnung einmal definieren und dann in eine oder mehrere Bezeichnungsrichtlinien einschließen.
Tipp
Eine Vertraulichkeitsbezeichnung ist erst verfügbar, wenn eine Bezeichnungsrichtlinie, welche die Bezeichnung enthält, im Microsoft Purview-Complianceportal veröffentlicht wird.
Autorisierte Benutzer und Gruppen
Wenn Sie eine Bezeichnungsrichtlinie erstellen, müssen mindestens ein Benutzer oder eine Gruppe ausgewählt werden. Die Bezeichnungsrichtlinie bestimmt, welche Benutzer die Bezeichnung verwenden können. Sie erlaubt Benutzern, diese Bezeichnung bestimmten Inhalten zuweisen, z. B. einer Power BI Desktop-Datei, einer Excel-Datei oder einem im Power BI-Dienst veröffentlichten Element.
Wir empfehlen Ihnen, die autorisierten Benutzer und Gruppen so einfach wie möglich zu halten. Als Faustregel gilt, dass die primären Bezeichnungen für alle Benutzer veröffentlicht werden. Manchmal ist es angebracht, eine Unterbezeichnung einer Teilmenge von Benutzern zuzuweisen oder auf diese zu beschränken.
Wir empfehlen Ihnen, nach Möglichkeit Gruppen anstelle von Einzelpersonen zuzuweisen. Die Verwendung von Gruppen vereinfacht die Verwaltung der Richtlinie und reduziert, wie oft sie neu veröffentlicht werden muss,
Warnung
Autorisierte Benutzer und Gruppen für eine Bezeichnung unterscheiden sich von den Benutzern, die Azure RMS für eine geschützte (verschlüsselte) Bezeichnung zugewiesen sind. Wenn ein Benutzer Probleme beim Öffnen einer verschlüsselten Datei hat, untersuchen Sie die Verschlüsselungsberechtigungen für bestimmte Benutzer und Gruppen (die innerhalb der Bezeichnungskonfiguration und nicht innerhalb der Bezeichnungsrichtlinie eingerichtet werden). In den meisten Fällen empfehlen wir, beiden die gleichen Benutzer zuzuweisen. Diese Konsistenz wird Verwechslungen verhindern und Supporttickets reduzieren.
Autorisierte Benutzer und Gruppen werden im Microsoft Purview-Complianceportal festgelegt, wenn die Bezeichnungsrichtlinie veröffentlicht wird.
Prüfliste – Bei der Planung für autorisierte Benutzer und Gruppen in Ihrer Bezeichnungsrichtlinie sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Bestimmen, welche Bezeichnungen für alle Benutzer gelten: Besprechen und entscheiden Sie, welche Vertraulichkeitsbezeichnungen für alle Benutzer verfügbar sein sollen.
- Bestimmen, welche Unterbezeichnungen für eine Teilmenge von Benutzern gelten: Besprechen und entscheiden Sie, ob Unterbezeichnungen vorhanden sind, die nur für einer bestimmten Gruppe von Benutzern oder Gruppen verfügbar sein werden.
- Ermitteln Sie, ob neue Gruppen erforderlich sind: Ermitteln Sie, ob neue Microsoft Entra-ID-Gruppen erstellt werden müssen, um die autorisierten Benutzer und Gruppen zu unterstützen.
- Erstellen eines Planungsdokuments: Wenn die Zuordnung autorisierter Benutzer zu Vertraulichkeitsbezeichnungen kompliziert ist, erstellen Sie eine Zuordnung von Benutzern und Gruppen für jede Bezeichnungsrichtlinie.
Standardbezeichnung für Power BI-Inhalt
Beim Erstellen einer Bezeichnungsrichtlinie können Sie eine Standardbezeichnung auswählen. Beispielsweise könnte die Bezeichnung Allgemeiner interner Gebrauch als Standardbezeichnung festgelegt werden. Diese Einstellung wird sich auf neue Power BI-Elemente auswirken, die entweder in Power BI Desktop oder im Power BI-Dienst erstellt werden.
Sie können die Standardbezeichnung in der Bezeichnungsrichtlinie speziell für Power BI-Inhalte einrichten, die von anderen Elementen getrennt sind. Die meisten Entscheidungen und Einstellungen für den Informationsschutz gelten in einem größeren Rahmen. Die Standardbezeichnungseinstellung (und die obligatorische Bezeichnungseinstellung, die als Nächstes beschrieben wird) gilt jedoch nur für Power BI.
Tipp
Sie können zwar verschiedene Standardbezeichnungen (für Power BI- und Nicht-Power BI-Inhalte) festlegen, aber überlegen Sie, ob dies für Benutzer die beste Option ist.
Es ist wichtig zu verstehen, dass eine neue Standardbezeichnungsrichtlinie für Inhalte gelten wird, die erstellt oder bearbeitet wurden, nachdem die Bezeichnungsrichtlinie veröffentlicht wurde. Sie wird die Standardbezeichnung nicht rückwirkend auf vorhandene Inhalten zuweisen. Ihr Power BI-Administrator kann die Informationsschutz-APIs verwenden, um Vertraulichkeitsbezeichnungen in einem Massenvorgang festzulegen, um sicherzustellen, dass vorhandene Inhalte einer Standard-Vertraulichkeitsbezeichnung zugewiesen werden.
Die Optionen für die Standardbezeichnung werden im Microsoft Purview-Complianceportal festgelegt, wenn die Bezeichnungsrichtlinie veröffentlicht wird.
Prüfliste – Bei der Planung, ob eine Standardbezeichnung für Power BI-Inhalte angewendet werden wird, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, ob eine Standardbezeichnung angegeben wird: Besprechen und entscheiden Sie, ob eine Standardbezeichnung angemessen ist. Wenn ja, bestimmen Sie, welche Bezeichnung am besten als Standard geeignet ist.
- Einfügen in die Benutzerdokumentation: Stellen Sie bei Bedarf sicher, dass Informationen zur Standardbezeichnung in der Anleitung für Benutzer erwähnt werden. Das Ziel besteht darin, dass Benutzer verstehen, wie sie bestimmen können, ob die Standardbezeichnung geeignet ist, oder ob sie geändert werden soll.
Obligatorisches Bezeichnen von Power BI-Inhalten
Die Datenklassifizierung ist eine allgemeine gesetzliche Anforderung. Um diese Anforderung zu erfüllen, können Sie festlegen, dass Benutzer alle Power BI-Inhalte bezeichnen müssen. Diese Anforderung an die obligatorische Bezeichnung wird wirksam, wenn Benutzer Power BI-Inhalte erstellen oder bearbeiten.
Sie können obligatorische Bezeichnungen, Standardbezeichnungen (im vorherigen Abschnitt beschrieben) oder beides implementieren. Sie sollten die folgenden Punkte berücksichtigen.
- Eine obligatorische Bezeichnungsrichtlinie stellt sicher, dass die Bezeichnung nicht leer ist
- Eine obligatorische Bezeichnungsrichtlinie erfordert, dass Benutzer auswählen, wie die Bezeichnung aussehen soll
- Eine obligatorische Bezeichnungsrichtlinie verhindert, dass Benutzer eine Bezeichnung vollständig entfernen
- Eine Standardbezeichnungsrichtlinie ist für Benutzer weniger aufdringlich, da sie nicht gezwungen sind, Maßnahmen zu ergreifen
- Eine Standardbezeichnungsrichtlinie kann zu Inhalten führen, die falsch gekennzeichnet sind, da ein Benutzer die Wahl nicht ausdrücklich getroffen hat
- Das Aktivieren einer Standardbezeichnungsrichtlinie und einer obligatorischen Bezeichnungsrichtlinie kann sich ergänzende Nutzen bieten
Tipp
Wenn Sie obligatorische Bezeichnungen implementieren möchten, empfehlen wir, dass Sie auch Standardbezeichnungen implementieren.
Sie können die obligatorische Bezeichnungsrichtlinie spezifisch für Power BI-Inhalte einrichten. Die meisten Informationsschutzeinstellungen gelten in einem größeren Rahmen. Die obligatorische Bezeichnungseinstellung (und die Standardbezeichnungseinstellung) gilt jedoch spezifisch für Power BI.
Tipp
Eine obligatorische Bezeichnungsrichtlinie kann für Dienstprinzipale oder APIs nicht angewendet werden.
Die Standardbezeichnungsoptionen werden im Microsoft Purview-Complianceportal festgelegt, wenn die Bezeichnungsrichtlinie veröffentlicht wird.
Prüfliste – Bei der Planung, ob das obligatorische Bezeichnen von Power BI-Inhalten erforderlich sein wird, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, ob Bezeichnungen obligatorisch sein werden: Besprechen und entscheiden Sie, ob obligatorische Bezeichnungen aus Compliancegründen erforderlich sind.
- Einfügen in die Benutzerdokumentation: Stellen Sie bei Bedarf sicher, dass Informationen zu obligatorischen Bezeichnungen den Anleitungen für Benutzer hinzugefügt werden. Ziel ist es, dass die Benutzer verstehen, was sie erwartet.
Lizenzanforderungen
Für die Arbeit mit Vertraulichkeitsbezeichnungen müssen bestimmte Lizenzen vorhanden sein.
Eine Microsoft Purview Information Protection-Lizenz ist erforderlich für:
- Administratoren: Die Administratoren, die Bezeichnungen einrichten, verwalten und überwachen werden.
- Benutzer: Die Ersteller und Besitzer von Inhalten, die für das Anwenden von Bezeichnungen auf Inhalte verantwortlich sein werden. „Benutzer“ schließt auch diejenigen Personen ein, die geschützte (verschlüsselte) Dateien entschlüsseln, öffnen und anzeigen müssen.
Möglicherweise verfügen Sie bereits über diese Funktionen, da sie in Lizenzsammlungen enthalten sind, z. B. in Microsoft 365 E5. Alternativ können Microsoft 365 E5 Compliance-Funktionen als eigenständige Lizenz erworben werden.
Eine Power BI Pro- oder Premium pro Benutzer (PPU)-Lizenz ist auch für Benutzer erforderlich, die Vertraulichkeitsbezeichnungen im Power BI-Dienst oder in Power BI Desktop anwenden und verwalten werden.
Tipp
Wenn Sie Erläuterungen zu den Lizenzierungsanforderungen benötigen, wenden Sie sich an Ihr Microsoft-Kontoteam. Beachten Sie, dass die Microsoft 365 E5 Compliance-Lizenz zusätzliche Funktionen enthält, die in diesem Artikel nicht behandelt werden.
Prüfliste – Beim Auswerten von Lizenzanforderungen für Vertraulichkeitsbezeichnung sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überprüfen der Produktlizenzierungsanforderungen Stellen Sie sicher, dass Sie alle Lizenzierungsanforderungen überprüfen.
- Überprüfen der Benutzerlizenzierungsanforderungen: Vergewissern Sie sich, dass alle Benutzer, die wahrscheinlich Bezeichnungen zuweisen werden, über Power BI Pro- oder PPU-Lizenzen verfügen.
- Erwerben zusätzlicher Lizenzen: Erwerben Sie allenfalls weitere Lizenzen, um die Funktionalität zu entsperren, die Sie verwenden möchten.
- Zuweisen von Lizenzen: Weisen Sie jedem Benutzer eine Lizenz zu, der Vertraulichkeitsbezeichnungen zuweisen, aktualisieren oder verwalten wird. Weisen Sie jedem Benutzer, der mit verschlüsselten Dateien interagieren wird, eine Lizenz zu.
Power BI-Mandanteneinstellungen
Es gibt mehrere Power BI-Mandanteneinstellungen, die sich auf den Informationsschutz beziehen.
Wichtig
Die Power BI-Mandanteneinstellungen für den Informationsschutz sollten erst festgelegt werden, wenn alle Voraussetzungen erfüllt sind. Die Bezeichnungen und die Bezeichnungsrichtlinien sollten eingerichtet und im Microsoft Purview-Complianceportal veröffentlicht sein. Bis zu diesem Zeitpunkt sind Sie immer noch im Entscheidungsprozess. Bevor Sie die Mandanteneinstellungen festlegen, sollten Sie zunächst einen Prozess zum Testen der Funktionalität mit einer Teilmenge von Benutzern bestimmen. Dann können Sie entscheiden, wie Sie einen schrittweisen Rollout durchführen.
Benutzer, die Bezeichnungen anwenden können
Sie sollten entscheiden, wer Vertraulichkeitsbezeichnungen auf Power BI-Inhalte anwenden darf. Diese Entscheidung bestimmt, wie Sie festlegen, dass Benutzer Vertraulichkeitsbezeichnungen für die Einstellung des Inhaltsmandanten anwenden können.
In der Regel ist es der Ersteller oder Besitzer des Inhalts, der die Bezeichnung während ihres normalen Arbeitsablaufs zuweist. Der einfachste Ansatz besteht darin, diese Mandanteneinstellung zu aktivieren, die es allen Power BI-Benutzer erlaubt, Bezeichnungen anzuwenden. In diesem Fall werden Standardarbeitsbereichsrollen bestimmen, wer Elemente im Power BI-Dienst bearbeiten kann (einschließlich des Anwendens einer Bezeichnung). Sie können das Aktivitätsprotokoll verwenden, um nachzuverfolgen, wann ein Benutzer eine Bezeichnung zuweist oder ändert.
Bezeichnungen aus Datenquellen
Sie sollten entscheiden, ob Vertraulichkeitsbezeichnungen von unterstützten Datenquellen geerbt werden sollen, die Power BI vorgelagert sind. Wenn beispielsweise Spalten in einer Azure SQL-Datenbank mit der Vertraulichkeitsbezeichnung Streng eingeschränkt definiert wurden, dann wird ein Power BI-semantische Modell, das Daten aus dieser Quelle importiert, diese Bezeichnung erben.
Wenn Sie die Vererbung von vorgelagerten Datenquellen aktivieren möchten, legen Sie die Vertraulichkeitsbezeichnungen aus Datenquellen in der Power BI-Mandanteneinstellung auf ihre Daten fest. Wir empfehlen Ihnen, die Vererbung von Datenquellenbezeichnungen zu aktivieren, um die Konsistenz zu fördern und den Aufwand zu reduzieren.
Bezeichnungen für nachgelagerte Inhalte
Sie sollten entscheiden, ob Vertraulichkeitsbezeichnungen von nachgelagerten Inhalten geerbt werden sollen. Wenn beispielsweise ein Power BI-semantisches Modell über die Vertraulichkeitsbezeichnung Stark eingeschränkt verfügt, werden alle nachgelagerten Berichte diese Bezeichnung vom semantischen Modell erben.
Wenn Sie die Vererbung nachgelagerten Inhalten aktivieren möchten, legen Sie die Vertraulichkeitsbezeichnungen automatisch auf die Einstellung des nachgelagerten Inhaltsmandanten fest. Wir empfehlen Ihnen, die Vererbung an nachgelagerte Inhalte zu aktivieren, um die Konsistenz zu fördern und den Aufwand zu reduzieren.
Außerkraftsetzungen des Arbeitsbereichsadministrators
Diese Einstellung gilt für Bezeichnungen, die automatisch angewendet wurden (z. B. wenn Standardbezeichnungen angewendet werden oder wenn Bezeichnungen automatisch geerbt werden). Wenn eine Bezeichnung über Schutzeinstellungen verfügt, erlaubt Power BI nur autorisierten Benutzern, die Bezeichnung zu ändern. Diese Einstellung ermöglicht es Arbeitsbereichsadministratoren, eine Bezeichnung zu ändern, die automatisch angewendet wurde, auch wenn Schutzeinstellungen für die Bezeichnung vorhanden sind.
Wenn Sie Bezeichnungsupdates zulassen möchten, legen Sie die Mandanteneinstellung für vertraulichkeitsbezeichnungen automatisch angewendete Arbeitsbereichsadministratoren fest. Diese Einstellung gilt für die gesamte Organisation (nicht einzelne Gruppen). Sie ermöglicht Arbeitsbereichsadministratoren das Ändern von Bezeichnungen, die automatisch angewendet wurden.
Wir empfehlen Ihnen zu erwägen, Power BI-Arbeitsbereichsadministratoren das Aktualisieren von Bezeichnungen zu gestatten. Sie können das Aktivitätsprotokoll verwenden, um nachzuverfolgen, wann sie eine Bezeichnung zuweisen oder ändern.
Freigabe geschützter Inhalte nicht zulassen
Sie sollten entscheiden, ob geschützte (verschlüsselte) Inhalte für alle Personen in Ihrer Organisation freigegeben werden können.
Wenn Sie die Freigabe geschützter Inhalte nicht zulassen möchten, legen Sie den Inhalt mit geschützten Bezeichnungen so fest, dass sie über einen Link mit allen Personen in Ihrer Organisationsmandanteneinstellung freigegeben werden. Diese Einstellung gilt für die gesamte Organisation (nicht einzelne Gruppen).
Wir empfehlen Ihnen dringend, diese Mandanteneinstellung zu aktivieren, um die Freigabe geschützter Inhalte nicht zuzulassen. Wenn diese Option aktiviert ist, werden Freigabevorgänge für vertraulichere Inhalte (definiert durch die Bezeichnungen, für welche die Verschlüsselung definiert ist) für die gesamte Organisation nicht zugelassen. Wenn Sie diese Einstellung aktivieren, verringern Sie die Gefahr von Datenlecks.
Wichtig
Es gibt eine ähnliche Mandanteneinstellung mit dem Namen Freigegebene Links zulassen, um allen Benutzern in Ihrer Organisation Zugriff zu gewähren. Obwohl sie einen ähnlichen Namen hat, ist ihr Zweck unterschiedlich. Sie definiert, welche Gruppen unabhängig von der Vertraulichkeitsbezeichnung einen Freigabelink für die gesamte Organisation erstellen können. In den meisten Fällen empfehlen wir, dass diese Funktion in Ihrer Organisation eingeschränkt ist. Weitere Informationen finden Sie im Artikel Planung der Sicherheit für Berichtsconsumer.
Unterstützte Exportdateitypen
Im Power BI-Verwaltungsportal gibt es viele Mandanteneinstellungen für das Exportieren und die Freigabe. In den meisten Fällen empfehlen wir, dass die Möglichkeit zum Exportieren von Daten für alle (oder die meisten) Benutzer verfügbar ist, um die Produktivität der Benutzer nicht einzuschränken.
In stark regulierten Branchen könnte jedoch die Anforderung bestehen, Exporte einzuschränken, wenn der Informationsschutz für das Ausgabeformat nicht erzwungen werden kann. Eine Vertraulichkeitsbezeichnung, die im Power BI-Dienst angewendet wird, folgt dem Inhalt, wenn er in einen unterstützten Dateipfad exportiert wird. Dies schließt Excel-, PowerPoint-, PDF- und Power BI Desktop-Dateien ein. Da die Vertraulichkeitsbezeichnung bei der exportierten Datei verbleibt, bleiben die Schutzvorteile (Verschlüsselung, die verhindert, dass nicht autorisierte Benutzer die Datei öffnen) für diese unterstützten Dateiformate erhalten.
Warnung
Beim Exportieren von Power BI Desktop in eine PDF-Datei wird der Schutz für die exportierte Datei nicht beibehalten. Wir empfehlen Ihnen, Ihre Inhaltsersteller für das Exportieren aus dem Power BI-Dienst zu schulen, um einen maximalen Informationsschutz zu erreichen.
Nicht alle Exportformate unterstützen den Informationsschutz. Nicht unterstützte Formate wie CSV-, XML-, MHTML- oder PNG-Dateien (verfügbar bei Verwendung der ExportToFile-API) könnten in den Power BI-Mandanteneinstellungen deaktiviert sein.
Tipp
Wir empfehlen Ihnen, Exportfunktionen nur dann einzuschränken, wenn Sie bestimmte gesetzliche Anforderungen erfüllen müssen. In typischen Szenarien empfehlen wir, das Power BI-Aktivitätsprotokoll zu verwenden, um zu ermitteln, welche Benutzer Exporte ausführen. Anschließend können Sie diese Benutzer über effizientere und sicherere Alternativen informieren.
Prüfliste – Bei der Planung, wie Mandanteneinstellungen im Power BI-Verwaltungsportal eingerichtet werden, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, welche Benutzer Vertraulichkeitsbezeichnungen anwenden können: Besprechen und entscheiden Sie, ob Vertraulichkeitsbezeichnungen für Power BI-Inhalte von allen Benutzern (basierend auf der standardmäßigen Power BI-Sicherheit) oder nur von bestimmten Benutzergruppen zugewiesen werden können.
- Bestimmen, ob Bezeichnungen von Upstream-Datenquellen geerbt werden sollen: Besprechen und entscheiden Sie, ob Bezeichnungen aus Datenquellen automatisch auf Power BI-Inhalte angewendet werden sollen, welche die Datenquelle verwenden.
- Bestimmen, ob Bezeichnungen von nachgelagerten Elementen geerbt werden sollen: Diskutieren und entscheiden Sie, ob Bezeichnungen, die vorhandenen Power BI-semantischen Modellen zugewiesen sind, automatisch auf verwandte Inhalte angewendet werden sollen.
- Entscheiden, ob Power BI-Arbeitsbereichsadministratoren Bezeichnungen außer Kraft setzen können: Besprechen und entscheiden Sie, ob es sinnvoll ist, dass Arbeitsbereichsadministratoren geschützte Bezeichnungen, die automatisch zugewiesen wurden, ändern können.
- Bestimmen, ob geschützte Inhalte für die gesamte Organisation freigegeben werden können: Besprechen Sie, ob Freigabelinks für „Personen in Ihrer Organisation“ erstellt werden können, wenn einem Element im Power BI-Dienst eine geschützte (verschlüsselte) Bezeichnung zugewiesen wurde.
- Entscheiden, welche Exportformate aktiviert sind: Identifizieren Sie gesetzliche Anforderungen, die sich darauf auswirken werden, welche Exportformate verfügbar sind. Besprechen und entscheiden Sie, ob Benutzer in der Lage sein werden, alle Exportformate im Power BI-Dienst zu verwenden. Bestimmen Sie, ob bestimmte Formate in den Mandanteneinstellungen deaktiviert werden müssen, wenn das Exportformat den Informationsschutz nicht unterstützt.
Datenklassifizierungs- und -schutzrichtlinie
Das Einrichten Ihrer Bezeichnungsstruktur und die Veröffentlichung Ihrer Bezeichnungsrichtlinien sind notwendige erste Schritte. Es gibt jedoch noch mehr zu tun, um Ihrer Organisation zu helfen, beim Klassifizieren und Schützen von Daten erfolgreich zu sein. Es ist wichtig, dass Sie Benutzern Anleitungen dazu geben, was mit Inhalten, die einer bestimmten Bezeichnung zugewiesen wurden, getan werden kann und was nicht. Dies ist der Punkt, wo Sie eine Richtlinie für Datenklassifizierung und Datenschutz als hilfreich empfinden werden. Sie können sich dies als Ihre Bezeichnungsanleitungen vorstellen.
Hinweis
Eine Richtlinie für Datenklassifizierung und Datenschutz ist eine interne Governancerichtlinie. Sie können sie allenfalls anders benennen. Wichtig ist, dass es sich um eine Dokumentation handelt, die Sie erstellen und ihren Benutzern zur Verfügung stellen, damit diese wissen, wie sie die Bezeichnungen effektiv verwenden können. Da es sich bei der Bezeichnungsrichtlinie um eine bestimmte Seite im Microsoft Purview-Complianceportal handelt, sollten Sie vermeiden, Ihrer internen Governancerichtlinie den gleichen Namen zu geben.
Wir empfehlen Ihnen, Ihre Richtlinie für Datenklassifizierung und Datenschutz iterativ zu erstellen, während Sie sich im Entscheidungsprozess befindet. Dies bedeutet, dass alles klar definiert sein wird, wenn es an der Zeit ist, die Vertraulichkeitsbezeichnungen einzurichten.
Im Folgenden finden Sie einige der wichtigsten Informationen, die Sie in Ihre Richtlinie für Datenklassifizierung und Datenschutz aufnehmen können.
- Beschreibung der Bezeichnung: Geben Sie über den Bezeichnungsnamen hinaus eine vollständige Beschreibung der Bezeichnung an. Die Beschreibung sollte klar aber kurz sein. Hier sind einige Beispielbeschreibungen:
- Allgemeine interne Verwendung – für private, interne, geschäftliche Daten
- Eingeschränkt – für vertrauliche Geschäftsdaten, die im Falle einer Kompromittierung Schaden anrichten würden, oder für Daten, die gesetzlichen Vorschriften oder Complianceanforderungen unterliegen
- Beispiele: Stellen Sie Beispiele bereit, um zu erläutern, wann die Bezeichnung verwendet werden soll. Im Folgenden finden Sie einige Beispiele:
- Allgemeine interne Verwendung – für die meisten internen Kommunikationen, nicht vertrauliche Supportdaten, Umfrageantworten, Reviews, Bewertungen und ungenaue Standortdaten
- Eingeschränkt : Für personenbezogene Informationen (Personally Identifiable Information, PII) wie Name, Adresse, Telefon, E-Mail, Behörden-ID, Rasse oder ethnische Zugehörigkeit. Umfasst Daten aus Lieferanten- und Partnerverträgen, nicht öffentlichen Finanzdaten, von Mitarbeitern und der Personalabteilung (Human Resource, HR). Umfasst auch proprietäre Informationen, geistiges Eigentum und präzise Standortdaten.
- Bezeichnung erforderlich: Beschreibt, ob das Zuweisen einer Bezeichnung für alle neuen und geänderten Inhalte obligatorisch ist.
- Standardbezeichnung: Beschreibt, ob es sich bei dieser Bezeichnung um eine Standardbezeichnung handelt, die automatisch auf neue Inhalte angewendet wird.
- Zugriffsbeschränkungen: Zusätzliche Informationen, die klären, ob interne und/oder externe Benutzer Inhalte anzeigen dürfen, die dieser Bezeichnung zugewiesen sind. Im Folgenden finden Sie einige Beispiele:
- Alle Benutzer*innen, einschließlich interner und externer Benutzer*innen sowie Dritter, die über aktive Vertraulichkeitsvereinbarungen (Non-Disclosure Agreements, NDAs) verfügen, können auf diese Informationen zugreifen.
- Lediglich interne Benutzer*innen können auf diese Informationen zugreifen. Keine Partner, Lieferanten, Auftragnehmer oder Dritte, unabhängig von NDA-oder Vertraulichkeitsvereinbarungsstatus.
- Der interne Zugriff auf Informationen basiert auf der Autorisierung der Arbeitsrolle.
- Verschlüsselungsanforderungen: Beschreibt, ob Daten im Ruhezustand und während der Übertragung verschlüsselt sein müssen. Diese Informationen hängen mit der Einrichtung der Vertraulichkeitsbezeichnung zusammen und wirken sich auf die Schutzrichtlinien aus, die für die Dateiverschlüsselung (Rights Management Services, RMS) implementiert werden können.
- Zulässige Downloads und/oder Offlinezugriff: Beschreibt, ob der Offlinezugriff zulässig ist. Es kann auch definieren, ob Downloads auf Organisations- oder persönliche Geräte zulässig sind.
- Anfordern einer Ausnahme: Beschreibt, ob ein Benutzer eine Ausnahme für die Standardrichtlinie anfordern kann und wie dies erfolgen kann.
- Überwachungshäufigkeit: Gibt die Häufigkeit von Complianceüberprüfungen an. Für vertraulichere Bezeichnungen sollten häufigere und gründlichere Überwachungsprozesse durchgeführt werden.
- Andere Metadaten: Eine Datenrichtlinie erfordert weitere Metadaten, z. B. einen Richtlinienbesitzer, einen genehmigenden Benutzer und ein Gültigkeitsdatum.
Tipp
Konzentrieren Sie sich beim Erstellen Ihrer Richtlinie für Datenklassifizierung und Datenschutz darauf, sie zu einer einfachen Referenz für Benutzer zu machen. Sie sollte so kurz und klar wie möglich sein. Wenn sie zu komplex ist, nehmen sich Benutzer nicht immer die Zeit, sie zu verstehen.
Eine Möglichkeit zum Automatisieren der Implementierung einer Richtlinie, z. B. der Richtlinie für Datenklassifizierung und Datenschutz, ist die Verwendung der Microsoft Entra-Nutzungsbedingungen. Wenn eine Richtlinie für Nutzungsbedingungen eingerichtet wird, müssen Benutzer die Richtlinie bestätigen, bevor sie den Power BI-Dienst zum ersten Mal aufrufen dürfen. Es ist auch möglich, sie aufzufordern, in regelmäßigen Abständen erneut zuzustimmen, zum Beispiel alle 12 Monate.
Prüfliste – Bei der Planung der internen Richtlinie zur Steuerung der Erwartungen an die Verwendung von Vertraulichkeitsbezeichnungen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Erstellen einer Richtlinie für Datenklassifizierung und Datenschutz: Erstellen Sie für jede Vertraulichkeitsbezeichnung in Ihrer Struktur ein zentralisiertes Richtliniendokument. In diesem Dokument sollte definiert werden, was mit Inhalten geschehen oder nicht geschehen kann, die den einzelnen Bezeichnungen zugewiesen wurden.
- Erzielen eines Konsens über die Richtlinie für Datenklassifizierung und Datenschutz: Stellen Sie sicher, dass alle erforderlichen Personen im von Ihnen zusammengestellten Team den Bestimmungen zugestimmt haben.
- Überlegen, wie Ausnahmen von der Richtlinie behandelt werden: Stark dezentralisierte Organisationen sollten überlegen, ob Ausnahmen auftreten könnten. Obwohl es vorzuziehen ist, eine standardisierte Richtlinie für Datenklassifizierung und Datenschutz zu haben, entscheiden Sie, wie Sie Ausnahmen behandeln, wenn neue Anforderungen gestellt werden.
- Überlegen, wo Ihre interne Richtlinie aufbewahrt werden soll: Überlegen Sie sich, wo die Richtlinie für Datenklassifizierung und Datenschutz veröffentlicht werden soll. Stellen Sie sicher, dass alle Benutzer problemlos darauf zugreifen können. Planen Sie, die Richtlinie auf der benutzerdefinierten Hilfeseite einzuschließen, wenn Sie die Bezeichnungsrichtlinie veröffentlichen.
Benutzerdokumentation und Training
Vor dem Rollout der Informationsschutzfunktionen empfehlen wir, eine Anleitungsdokumentation für Ihre Benutzer zu erstellen und zu veröffentlichen. Das Ziel der Dokumentation ist es, eine nahtlose Benutzererfahrung zu erreichen. Die Vorbereitung der Anleitungen für Ihre Benutzer wird Ihnen auch dabei helfen, sicherzustellen, dass Sie an alles gedacht haben.
Sie können die Anleitung als Teil der benutzerdefinierten Hilfeseite der Vertraulichkeitsbezeichnung veröffentlichen. Eine SharePoint-Seite oder eine Wiki-Seite in Ihrem zentralisierten Portal kann gut funktionieren, da sie einfach zu verwalten sein wird. Ein Dokument, das in eine freigegebene Bibliothek oder eine Teams-Website hochgeladen wird, ist ebenfalls ein guter Ansatz. Die URL für die benutzerdefinierte Hilfeseite wird im Microsoft Purview-Complianceportal angegeben, wenn Sie die Bezeichnungsrichtlinie veröffentlichen.
Tipp
Die benutzerdefinierte Hilfeseite ist eine wichtige Ressource. Links zu ihr werden in verschiedenen Anwendungen und Diensten zur Verfügung gestellt.
Die Benutzerdokumentation sollte die zuvor beschriebene Richtlinie für Datenklassifizierung und Datenschutz enthalten. Diese interne Richtlinie richtet sich an alle Benutzer. Interessierte Benutzer umfassen Inhaltsersteller und Consumer, welche die Auswirkungen auf Bezeichnungen verstehen müssen, die von anderen Benutzern zugewiesen wurden.
Zusätzlich zur Richtlinie für Datenklassifizierung und Datenschutz empfehlen wir Ihnen, folgende Anleitungen für Ihre Inhaltsersteller und Inhaltsbesitzer vorzubereiten:
- Anzeigen von Bezeichnungen: Informationen darüber, was jede Bezeichnung bedeuten. Korrelieren Sie jede Bezeichnung mit Ihrer Richtlinie für Datenklassifizierung und Datenschutz.
- Zuweisen von Bezeichnungen: Anleitung zum Zuweisen und Verwalten von Bezeichnungen. Schließen Sie Informationen ein, welche die Benutzer kennen müssen, z. B. obligatorische Bezeichnungen, Standardbezeichnungen und die Funktionsweise der Bezeichnungsvererbung.
- Workflow: Vorschläge zum Zuweisen und Überprüfen von Bezeichnungen als Teil des normalen Workflows. Bezeichnungen können in Power BI Desktop zugewiesen werden, sobald die Entwicklung beginnt, wodurch die ursprüngliche Power BI Desktop-Datei während des Entwicklungsprozesses geschützt wird.
- Situationsbezogene Benachrichtigungen: Bewusstsein für systemgenerierte Benachrichtigungen, die Benutzer möglicherweise erhalten. Beispielsweise wird einer SharePoint-Website eine bestimmte Vertraulichkeitsbezeichnung zugewiesen, aber einer einzelnen Datei wurde eine vertraulichere (höhere) Bezeichnung zugewiesen. Der Benutzer, der die höhere Bezeichnung zugewiesen hat, wird eine E-Mail-Benachrichtigung erhalten, dass die der Datei zugewiesene Bezeichnung nicht kompatibel ist mit der Website, auf der sie gespeichert ist.
Schließen Sie Informationen dazu ein, an wen sich Benutzer bei Fragen oder technischen Problemen wenden sollten. Da Informationsschutz ein organisationsweites Projekt ist, wird der Support häufig von der IT bereitgestellt.
Häufig gestellte Fragen und Beispiele sind besonders hilfreich für die Benutzerdokumentation.
Tipp
Einige gesetzliche Anforderungen umfassen eine bestimmte Trainingskomponente.
Prüfliste – Bei der Vorbereitung der Benutzerdokumentation und dem Benutzertraining sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Ermitteln, welche Informationen enthalten sein sollen: Legen Sie fest, welche Informationen eingeschlossen werden sollen, damit alle relevanten Zielgruppen verstehen, was von ihnen erwartet wird, wenn es um den Schutz von Daten im Auftrag der Organisation geht.
- Veröffentlichen der benutzerdefinierten Hilfeseite: Erstellen und veröffentlichen Sie eine benutzerdefinierte Hilfeseite. Fügen Sie Anleitungen zum Bezeichnen in Form von häufig gestellten Fragen und Beispielen hinzu. Fügen Sie einen Link ein, um auf die Richtlinie für Datenklassifizierung und Datenschutz zuzugreifen.
- Veröffentlichen der Richtlinie für Datenklassifizierung und Datenschutz: Veröffentlichen Sie das Richtliniendokument, das definiert, was genau mit Inhalten geschehen kann oder nicht, die den einzelnen Bezeichnungen zugewiesen wurden.
- Ermitteln, ob ein bestimmtes Training erforderlich ist: Erstellen oder aktualisieren Sie Ihr Benutzertraining, um hilfreiche Informationen einzuschließen, insbesondere, wenn hierfür eine gesetzliche Anforderung besteht.
Unterstützung für Benutzer
Es ist wichtig, zu überprüfen, wer für den Benutzersupport verantwortlich sein wird. Es ist üblich, dass Vertraulichkeitsbezeichnungen von einem zentralen IT-Helpdesk unterstützt werden.
Möglicherweise müssen Sie Anleitungen für den Helpdesk erstellen (manchmal auch als Runbook bezeichnet). Möglicherweise müssen Sie außerdem Sitzungen zum Wissenstransfer durchführen, um sicherzustellen, dass der Helpdesk bereit ist, um auf Supportanfragen zu reagieren.
Prüfliste – Bei der Vorbereitung der Benutzerunterstützungsfunktion sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Identifizieren, wer Benutzersupport bereitstellen wird: Bei der Definition von Rollen und Zuständigkeiten sollten Sie berücksichtigen, wie die Benutzer bei Problemen im Zusammenhang mit DLP Hilfe erhalten werden.
- Sicherstellen, dass das Benutzersupportteam bereit ist: Erstellen Sie eine Dokumentation, und führen Sie Sitzungen zum Wissenstransfer durch, um sicherzustellen, dass der Helpdesk bereit ist, den Informationsschutz zu unterstützen. Heben Sie komplexe Aspekte hervor, die Benutzer verwirren könnten, z. B. den Verschlüsselungsschutz.
- Kommunikation zwischen Teams: Besprechen Sie den Prozess und die Erwartungen mit dem Supportteam, sowie mit Ihren Power BI-Administratoren und dem Center of Excellence. Stellen Sie sicher, dass alle Beteiligten auf potenzielle Fragen von Power BI-Benutzern vorbereitet sind.
Implementierungszusammenfassung
Nachdem die Entscheidungen getroffen und die Voraussetzungen erfüllt wurden, ist es an der Zeit, mit der Implementierung des Informationsschutzes gemäß Ihrem schrittweisen Rolloutplan zu beginnen.
Die folgende Prüfliste enthält eine zusammengefasste Liste der End-to-End-Implementierungsschritte. Viele der Schritte enthalten weitere Details, die in den vorherigen Abschnitten dieses Artikels behandelt wurden.
Prüfliste – Bei der Implementierung des Informationsschutzes sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überprüfen des aktuellen Zustands und der Ziele: Stellen Sie sicher, dass Sie Klarheit über den aktuellen Zustand des Informationsschutzes in der Organisation haben. Alle Ziele und Anforderungen für die Implementierung des Informationsschutzes sollten klar sein und aktiv in den Entscheidungsprozess einfließen.
- Entscheidungen treffen: Überprüfen und besprechen Sie alle erforderlichen Entscheidungen. Diese Aufgabe sollte durchgeführt werden, bevor Sie irgendetwas in der Produktion einrichten.
- Überprüfen der Lizenzierungsanforderungen: Stellen Sie sicher, dass Sie die Anforderungen für Produkt- und Benutzerlizenzierung verstehen. Erwerben Sie bei Bedarf weitere Lizenzen und weisen diese zu.
- Veröffentlichen der Benutzerdokumentation: Veröffentlichen Sie Ihre Richtlinie für Datenklassifizierung und Datenschutz. Erstellen Sie eine benutzerdefinierte Hilfeseite, welche die relevanten Informationen enthält, die Benutzer benötigen werden.
- Vorbereiten des Supportteams: Führen Sie Sitzungen zum Wissenstransfer durch, um sicherzustellen, dass das Supportteam bereit ist, Fragen von Benutzern zu bearbeiten.
- Erstellen der Vertraulichkeitsbezeichnungen: Richten Sie jede der Vertraulichkeitsbezeichnungen im Microsoft Purview-Complianceportal ein.
- Veröffentlichen einer Richtlinie für Vertraulichkeitsbezeichnungen: Erstellen und veröffentlichen Sie eine Bezeichnungsrichtlinie im Microsoft Purview-Complianceportal. Beginnen Sie mit dem Testen mit einer kleinen Gruppe von Benutzern.
- Festlegen der Einstellungen des Power BI-Mandanten: Legen Sie im Power BI-Verwaltungsportal die Mandanteneinstellungen für den Informationsschutz fest.
- Durchführen der ersten Tests: Führen Sie eine erste Reihe von Tests durch, um zu überprüfen, ob alles ordnungsgemäß funktioniert. Verwenden Sie einen Nichtproduktionsmandanten für erste Tests, sofern verfügbar.
- Sammeln von Benutzerfeedback: Veröffentlichen Sie die Bezeichnungsrichtlinie für eine kleine Teilmenge von Benutzern, die bereit sind, die Funktionalität zu testen. Erhalten Sie Feedback zum Prozess und zur Benutzererfahrung.
- Fortsetzen der iterative Releases: Veröffentlichen Sie die Bezeichnungsrichtlinie für andere Gruppen von Benutzern. Integrieren Sie weitere Benutzergruppen, bis die gesamte Organisation enthalten ist.
Tipp
Diese Prüflistenelemente werden zu Planungszwecken zusammengefasst. Weitere Informationen zu diesen Prüflistenelementen finden Sie in den vorherigen Abschnitten dieses Artikels.
Fortlaufende Überwachung
Nachdem Sie die Implementierung abgeschlossen haben, sollten Sie ihr Augenmerk auf die Überwachung und Optimierung von Vertraulichkeitsbezeichnungen richten.
Power BI-Administratoren und Sicherheits- und Complianceadministratoren werden von Zeit zu Zeit zusammenarbeiten müssen. Für Power BI-Inhalte gibt es zwei Zielgruppen, die sich mit der Überwachung befassen.
- Power BI-Administratoren: Jedes Mal, wenn eine Vertraulichkeitsbezeichnung zugewiesen oder geändert wird, wird ein Eintrag im Power BI-Aktivitätsprotokoll aufgezeichnet. Der Aktivitätsprotokolleintrag zeichnet Details des Ereignisses auf, einschließlich Benutzer, Datum und Uhrzeit, Elementname, Arbeitsbereich und Kapazität. Andere Aktivitätsprotokollereignisse (z. B. wenn ein Bericht angezeigt wird) werden die ID der Vertraulichkeitsbezeichnung beinhalten, die dem Element zugewiesen ist.
- Sicherheits- und Complianceadministratoren: Die Sicherheits- und Complianceadministratoren der Organisation werden in der Regel Microsoft Purview-Berichte, Warnungen und Überwachungsprotokolle verwenden.
Prüfliste – Bei der Überwachung des Informationsschutzes sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überprüfen von Rollen und Zuständigkeiten: Stellen Sie sicher, dass Sie sich darüber im Klaren sind, wer für welche Aktionen verantwortlich ist. Schulen Sie Ihre Power BI-Administratoren oder Sicherheitsadministratoren, und kommunizieren Sie mit ihnen, wenn diese für einige Aspekte direkt verantwortlich sind.
- Erstellen oder validieren Ihres Prozesses für die Überprüfung von Aktivitäten: Stellen Sie sicher, dass die Sicherheits- und Complianceadministratoren sich der Erwartungen an die regelmäßige Überprüfung des Aktivitäts-Explorers bewusst sind.
Tipp
Weitere Informationen zur Überwachung finden Sie unter Überwachung von Informationsschutz und Verhinderung von Datenverlust für Power BI.
Zugehöriger Inhalt
Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Verhinderung von Datenverlust für Power BI.