Power BI-Implementierungsplanung: Überwachung des Informationsschutzes und Verhinderung von Datenverlust für Power BI

  • Artikel

Hinweis

Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf den Power BI-Workload innerhalb von Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.

In diesem Artikel wird die Art der Überwachung beschrieben, die Sie nach der Implementierung des Informationsschutzes und der Verhinderung von Datenverlust (Data Loss Prevention, DLP) durchführen können. Er richtet sich an folgende Personengruppen:

  • Power BI-Administrator*innen: Administrator*innen, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
  • Center of Excellence-, IT- und BI-Teams: Andere, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administratoren, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.

Es ist wichtig zu verstehen, wie Informationsschutz und Verhinderung von Datenverlust in Ihrer Organisation verwendet werden. Sie können dies erreichen, indem Sie eine Überwachung durchführen, die Folgendes ermöglicht:

  • Nachverfolgen von Nutzungsmustern, Aktivitäten und Einführung
  • Unterstützung von Governance- und Sicherheitsanforderungen
  • Ermitteln von Problemen im Zusammenhaltung mit der Nichteinhaltung von Konformität im Hinblick auf bestimmte Anforderungen
  • Dokumentieren des aktuellen Setups
  • Bestimmen von Bildungs- und Schulungsmöglichkeiten für Benutzer

Checkliste – Wenn Sie eine Überprüfung des Informationsschutzes und auf Datenverlust in Erwägung ziehen, sind folgende Entscheidungen und Aktionen wichtig:

  • Entscheiden Sie, was bei der Überwachung die Hauptrolle spielt: Berücksichtigen Sie, was aus Sicht der Überwachung am wichtigsten ist. Priorisieren Sie Risikobereiche, große Ineffizienzen oder die Nichteinhaltung gesetzlicher Anforderungen. Wenn eine Situation entsteht, die verbessert werden kann, sollten Sie die Benutzer über geeignete Vorgehensweisen informieren.
  • Implementieren Sie relevante Überwachungsprozesse: Richten Sie Prozesse zum Extrahieren, Integrieren und Modellieren ein, und erstellen Sie Berichten, damit die Überwachung durchgeführt werden kann.
  • Ergreifen Sie geeignete Maßnahmen: Stellen Sie mithilfe der aus den Überwachungsprozessen gewonnenen Informationen sicher, dass jemand über die Autorität und die Zeit verfügt, geeignete Maßnahmen zu ergreifen. Je nach Situation kann es erforderlich sein, die Inhalten zugewiesenen Vertraulichkeitsbezeichnungen anzupassen. Andere Situationen können ein Training von Benutzern erforderlich machen.

Im weiteren Verlauf dieses Artikels werden nützliche Überwachungsprozesse und Empfehlungen vorgestellt.

Power BI-Aktivitätsprotokoll

Zur Unterstützung des Informationsschutzes können Sie das Power BI-Aktivitätsprotokoll verwenden, um Aktivitäten im Zusammenhang mit Vertraulichkeitsbezeichnungen nachzuverfolgen.

Wenn Sie DLP für Power BI implementiert haben, wird im Aktivitätsprotokoll nachverfolgt, wenn es eine Übereinstimmung mit einer DLP-Regel gibt.

  • Worauf sie achten sollten: Sie können bestimmen, wann bestimmte Aktivitäten auftreten, z. B.:
    • Ob Vertraulichkeitsbezeichnungen (durch einen bestimmten Benutzer) angewendet, geändert oder gelöscht wurden
    • Ob Bezeichnungen manuell angewendet wurden
    • Ob Bezeichnungen automatisch angewendet wurden (z. B. durch Vererbung oder eine Bereitstellungspipeline)
    • Ob eine geänderte Bezeichnung (auf eine sensiblere Bezeichnung) upgegraded oder (auf eine weniger vertrauliche Bezeichnung) herabgestuft wurde
    • Wie häufig DLP-Ereignisse ausgelöst werden sowie wo und von welchen Benutzern
  • Aktionen, die Sie ausführen sollten: Stellen Sie sicher, dass Daten regelmäßig von einem Administrator aus den Aktivitätsprotokolldaten extrahiert werden. Er muss über die Berechtigung zum Extrahieren von Metadaten auf Mandantenebene verfügen. Bestimmen Sie, wie Aktivitäten klassifiziert werden, um Ihre Überwachungsanforderungen zu unterstützen. Manche Aktivitäten können eine Überprüfung durch einen Administrator oder Inhaltsbesitzer rechtfertigen (z. B. wenn eine Bezeichnung gelöscht wurde). Andere Aktivitäten können es rechtfertigen, in regelmäßige Überprüfungen einbezogen zu werden (z. B. wenn Bezeichnungen herabgestuft werden oder Übereinstimmungen mit DLP-Regeln auftreten).
  • Wo diese Daten zu finden sind: Power BI-Administratoren können das Power BI-Aktivitätsprotokoll verwenden, um Aktivitäten im Zusammenhang mit Power BI-Inhalten anzuzeigen. Alternativ können Sie Ihren Power BI-Administratoren in Defender for Cloud-Apps eine eingeschränkte Ansicht gewähren, damit sie Aktivitätsprotokoll-, Anmelde- sowie andere Ereignisse im Zusammenhang mit dem Power BI-Dienst sehen können.

Power BI-Schutzmetriken

Der Bericht zu Datenschutzmetriken ist ein dedizierter Bericht im Power BI-Verwaltungsportal. Er fasst zusammen, wie Inhalten in Ihrem Power BI-Mandanten Vertraulichkeitsbezeichnungen zugewiesen werden.

  • Worauf sie achten sollten: Sie können schnell erkennen, wie häufig im Power BI-Dienst einzelne Elementtypen Vertraulichkeitsbezeichnungen (z. B. semantisches Modell oder Bericht) erhalten.
  • Aktionen, die Sie ausführen sollten: Lesen Sie diesen Bericht, um sich darüber zu informieren, wie viele Inhalte keine Bezeichnung erhalten haben.
  • Wo diese Daten zu finden sind: Power BI-Administratoren finden den Bericht zu Datenschutzmetriken im Power BI-Verwaltungsportal.

Tipp

Der Bericht zu Datenschutzmetriken ist ein zusammenfassender Bericht. Sie können auch die im nächsten Abschnitt beschriebenen Scanner-APIs verwenden, um eine tiefergehende Analyse durchzuführen.

Power BI-Scanner-APIs

Mithilfe der Power BI-Scanner-APIs können Sie die Metadaten in Ihrem Power BI-Mandanten überprüfen. Die Metadaten von Power BI-Elementen, z. B. semantische Modelle und Berichte, können Ihnen helfen, Self-Service-Benutzeraktivitäten zu überwachen und zu überprüfen.

Beispielsweise entdecken Sie vielleicht, dass Inhalten in einem Arbeitsbereich für Finanzen drei verschiedenen Vertraulichkeitsbezeichnungen zugewiesen wurden. Wenn eine dieser Bezeichnungen nicht für Finanzdaten geeignet ist, können Sie geeignetere Bezeichnungen zuweisen.

  • Worauf sie achten sollten: Sie können einen Bestand von Power BI-Elementen in Ihrem Mandanten erstellen, einschließlich der Vertraulichkeitsbezeichnung für jedes Element.
  • Aktionen, die Sie ausführen sollten: Erstellen Sie einen Prozess, um Ihren Mandanten wöchentlich oder monatlich zu überprüfen. Verwenden Sie die von den Scanner-APIs abgerufenen Metadaten, um zu verstehen, wie Power BI-Inhalte gekennzeichnet wurden. Führen Sie eine genauere Untersuchung durch, wenn Sie feststellen, dass einige Bezeichnungen die Erwartungen an den Arbeitsbereich nicht erfüllen. Korrelieren Sie Metadaten aus den Scanner-APIs mit Ereignissen aus dem Power BI-Aktivitätsprotokoll, um zu ermitteln, wann eine Vertraulichkeitsbezeichnung von einem bestimmten Benutzer zugewiesen, geändert oder gelöscht wurde.
  • Wo diese Daten zu finden sind: Power BI-Administratoren können die Power BI-Scanner-APIs verwenden, um eine Momentaufnahme der Vertraulichkeitsbezeichnungen abzurufen, die auf sämtliche Power BI-Inhalte angewendet wurden. Wenn Sie lieber eigene Bestandsberichte erstellen möchten, können Sie die APIs direkt verwenden, indem Sie Skripts schreiben. Alternativ können Sie die APIs indirekt verwenden, indem Sie Power BI in Microsoft Purview Data Map registrieren (das die Power BI-Scanner-APIs verwendet, um den Power BI-Mandanten zu überprüfen).

Microsoft Purview-Aktivitäts-Explorer

Der Aktivitäts-Explorer im Microsoft Purview-Complianceportal aggregiert nützliche Überwachungsdaten. Diese Daten können Ihnen helfen, die Aktivitäten in Anwendungen und Diensten zu verstehen.

Tipp

Der Aktivitäts-Explorer macht nur bestimmte Typen von Power BI-Ereignissen verfügbar. Planen Sie, sowohl das Power BI-Aktivitätsprotokoll als auch den Aktivitäts-Explorer zu verwenden, um Ereignisse anzuzeigen.

  • Worauf sie achten sollten: Sie können den Aktivitäts-Explorer verwenden, um Aktivitäten im Bezug auf Vertraulichkeitsbezeichnungen aus verschiedenen Anwendungen anzuzeigen, einschließlich Teams, SharePoint Online, OneDrive, Exchange Online und Power BI. Es ist auch möglich, zu erkennen, wann und wo eine Datei von einem bestimmten Benutzer gelesen wurde. Bestimmte Arten von DLP-Richtlinienereignissen werden auch im Aktivitäts-Explorer angezeigt. Wenn eine Begründung angegeben wird, um eine Änderung der Vertraulichkeitsbezeichnung zu erklären, können Sie die Ursache im Aktivitäts-Explorer anzeigen.
  • Aktionen, die Sie ausführen sollten: Überprüfen Sie regelmäßig Ereignisse des Aktivitäts-Explorers, um zu ermitteln, ob es Gründe oder Ereignisse gibt, die eine weitere Untersuchung erforderlich machen. Manche Ereignisse können eine Überprüfung durch einen Administrator oder Inhaltsbesitzer rechtfertigen (z. B. wenn eine Bezeichnung entfernt wurde). Andere Ereignisse können die Aufnahme in regelmäßige Überprüfungen rechtfertigen (z. B. wenn Bezeichnungen herabgestuft werden).
  • Wo diese Daten zu finden sind: Microsoft 365-Administratoren können den Aktivitäts-Explorer im Microsoft Purview-Complianceportal verwenden, um alle Aktivitäten für Vertraulichkeitsbezeichnungen anzuzeigen.

Microsoft Purview-Inhalts-Explorer

Der Inhalts-Explorer im Microsoft Purview-Complianceportal bietet eine Momentaufnahme, die für ein breites Spektrum an Anwendungen und Diensten zeigt, wo sich vertrauliche Informationen befinden.

Tipp

Es ist nicht möglich, im Inhalts-Explorer Power BI Desktop-Dateien (PBIX) anzuzeigen. Sie können den Inhalts-Explorer jedoch verwenden, um bestimmte Typen von unterstützten Dateien anzuzeigen, die aus dem Power BI-Dienst exportiert wurden, z. B. Excel-Dateien.

  • Worauf sie achten sollten: Sie können den Inhalts-Explorer verwenden, um zu ermitteln, welche vertraulichen Daten an verschiedenen Orten wie Teams, SharePoint Online, OneDrive und Exchange Online zu finden sind.
  • Aktionen, die Sie ausführen sollten: Überprüfen Sie den Inhalts-Explorer, wenn Sie ein verstehen möchten, welche Inhalte vorhanden sind und wo sie sich befinden. Verwenden Sie diese Informationen, um die von Ihnen getroffenen Entscheidungen zu bewerten und zu entscheiden, ob weitere Maßnahmen ergriffen werden sollten.
  • Wo diese Daten zu finden sind: Microsoft 365-Administratoren können den Inhalts-Explorer im Microsoft Purview-Complianceportal verwenden, um zu ermitteln, wo sich vertrauliche Daten derzeit befinden.

Zugehöriger Inhalt

Weitere Überlegungen, Aktionen, Entscheidungskriterien und Empfehlungen für Power BI-Implementierungsentscheidungen finden Sie in den einzelnen Themenbereichen zur Power BI-Implementierungsplanung.