Power BI-Implementierungsplanung: Verhinderung von Datenverlust für Power BI

  • Artikel

Hinweis

Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf den Power BI-Workload innerhalb von Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.

Dieser Artikel beschreibt die Planungsaktivitäten im Zusammenhang mit der Implementierung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) in Power BI. Er richtet sich an:

  • Power BI-Administrator*innen: Administrator*innen, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
  • Center of Excellence-, IT- und BI-Teams: Andere, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administratoren, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.

Wichtig

Die Verhinderung von Datenverlust (DLP) ist ein bedeutendes organisationsweites Unterfangen. Der Umfang und die Auswirkungen sind weitaus größer als Power BI allein. Diese Art von Initiative erfordert Finanzierung, Priorisierung und Planung. Rechnen Sie damit, dass Sie mehrere funktionsübergreifende Teams in Ihre Planungs-, Nutzungs- und Überwachungsbemühungen einbeziehen müssen.

Wir empfehlen Ihnen, beim Rollout von DLP für Power BI einen schrittweisen Ansatz zu verfolgen. Eine Beschreibung der Arten von Rolloutphasen, die Sie berücksichtigen sollten, finden Sie unter Informationsschutz für Power BI (Rolloutphasen).

Zweck von DLP

Verhinderung von Datenverlust (DLP) bezieht sich auf Aktivitäten und Methoden, welche die Daten der Organisation schützen. Das Ziel von DLP besteht darin, das Risiko von Datenlecks zu verringern, die auftreten können, wenn vertrauliche Daten für nicht autorisierte Personen freigeben werden. Obwohl verantwortungsvolles Benutzerverhalten ein wichtiger Bestandteil des Schutzes von Daten ist, bezieht sich DLP in der Regel auf automatisierte Richtlinien.

Mit DLP haben Sie folgende Möglichkeiten:

  • Erkennen Sie, wenn eine riskante, unbeabsichtigte oder unangemessene Freigabe vertraulicher Daten aufgetreten ist, und informieren Sie Administratoren. Dieser ermöglicht Ihnen Folgendes:
    • Verbessern der allgemeinen Sicherheitseinrichtung Ihres Power BI-Mandanten mit Automatisierung und Informationen.
    • Aktivieren analytischer Anwendungsfälle, die vertrauliche Daten betreffen.
    • Bereitstellen von Überwachungsinformationen für Sicherheitsadministratoren.
  • Stellen Sie Benutzern kontextbezogene Benachrichtigungen bereit. Dieser ermöglicht Ihnen Folgendes:

DLP-Dienste

Ganz allgemein gibt es zwei verschiedene Dienste, welche die Verhinderung von Datenverlust implementieren können.

  • Microsoft Purview DLP-Richtlinien für Power BI
  • Microsoft Defender for Cloud Apps

Microsoft Purview DLP-Richtlinien für Power BI

Eine DLP-Richtlinie für Power BI wird im Microsoft Purview-Complianceportal eingerichtet. Es kann vertrauliche Daten in einem Semantikmodell (früher als Dataset bezeichnet) erkennen, das in einem Premium-Arbeitsbereich im Power BI-Dienst veröffentlicht wurde.

Das Ziel dieser Art von DLP-Richtlinie besteht darin, die Benutzer zu sensibilisieren und Administratoren darüber zu informieren, wo vertrauliche Daten gespeichert sind. Die DLP-Richtlinie kann Benutzerbenachrichtigungen und Administratorwarnungen basierend auf Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen generieren. Sie können beispielsweise feststellen, ob Kreditkarteninformationen oder personenbezogene Informationen (Personally Identifiable Information, PII) in einem Semantikmodell gespeichert werden.

Hinweis

DLP für Power BI bildet den Schwerpunkt dieses Artikels.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud-Apps ist ein Tool mit vielen Funktionen. Einige Richtlinien, die in Microsoft Defender for Cloud Apps (mit Integration in Microsoft Entra ID – ehemals Azure Active Directory) eingerichtet werden können, beinhalten DLP. Diese Richtlinien können blockieren, protokollieren oder benachrichtigen, wenn bestimmte Benutzeraktivitäten auftreten. Wenn ein Benutzer beispielsweise versucht, einen Bericht aus dem Power BI-Dienst herunterzuladen, dem eine Vertraulichkeitsbezeichnung Stark Eingeschränkt zugewiesen wurde, wird der Downloadvorgang blockiert.

Der Artikel Defender for Cloud-Apps für Power BI behandelt die Verwendung von Defender for Cloud-Apps zum Überwachen des Power BI-Diensts. Im weiteren Verlauf dieses Artikels liegt der Schwerpunkt auf DLP für Power BI.

Wichtig

Eine DLP-Richtlinie für Power BI, die im Microsoft Purview-Complianceportal eingerichtet ist, kann nur auf Inhalte angewendet werden, die in einem Power BI Premium-Arbeitsbereich gespeichert sind. Richtlinien, die in Defender for Cloud-Apps eingerichtet sind, haben jedoch keine ähnlichen Power BI Premium-Voraussetzungen. Beachten Sie, dass sich die Funktionalität, der Zweck und die verfügbaren Aktionen für die beiden Toolsets unterscheiden. Um eine maximale Wirkung zu erzielen, empfehlen wir Ihnen, beide Toolsets zu verwenden.

Voraussetzungen für DLP für Power BI

Inzwischen sollten Sie die Planungsschritte auf Organisationsebene abgeschlossen haben, die im Artikel Informationsschutz für Power BI beschrieben sind. Bevor Sie fortfahren, sollten Sie Klarheit über Folgendes haben:

  • Aktueller Zustand: Der aktuelle Zustand von DLP in Ihrer Organisation. Sie sollten ein Verständnis dafür haben, in welchem Umfang DLP bereits verwendet wird und wer für die Verwaltung verantwortlich ist.
  • Ziele und Anforderungen: Die strategischen Ziele für die Implementierung von DLP in Ihrer Organisation. Das Verständnis der Ziele und Anforderungen wird als Leitfaden für Ihre Implementierungsbemühungen dienen.

In der Regel implementieren Sie Informationsschutz (beschrieben im Artikel Informationsschutz für Power BI), bevor Sie DLP implementieren. Dies ist jedoch keine Voraussetzung für die Verwendung von DLP für Power BI. Wenn Vertraulichkeitsbezeichnungen veröffentlicht werden, können sie mit DLP für Power BI verwendet werden. Sie können auch Typen vertraulicher Informationen mit DLP für Power BI verwenden. Beide Typen werden in diesem Artikel beschrieben.

Wichtige Entscheidungen und Aktionen

Der Zweck einer DLP-Richtlinie besteht darin, eine automatisierte Aktion basierend auf Regeln und Bedingungen für den Inhalt einzurichten, den Sie schützen wollen. Sie werden einige Entscheidungen zu den Regeln und Bedingungen treffen müssen, die Ihre Ziele und Anforderungen unterstützen werden.

Der Vorteil des Definierens separater Regeln innerhalb einer einzelnen DLP-Richtlinie besteht darin, dass Sie benutzerdefinierte Warnungen oder Benutzerbenachrichtigungen ermöglichen können.

Es gibt eine hierarchische Rangfolge für die Liste der DLP-Richtlinien sowie für DLP-Richtlinienregeln, die berücksichtigt werden müssen. Die Rangfolge wird sich darauf auswirken, welche Richtlinie aufgerufen wird, wenn sie zuerst gefunden wird.

Achtung

Dieser Abschnitt enthält keine vollständige Liste aller möglichen DLP-Entscheidungen für alle möglichen Anwendungen. Stellen Sie sicher, dass Sie mit anderen Projektbeteiligten und Systemadministratoren zusammenarbeiten, um Entscheidungen zu treffen, die für alle Anwendungen und Anwendungsfälle gut geeignet sind. Wir empfehlen beispielsweise, zusätzliche DLP-Richtlinien zum Schutz von Quelldateien und exportierten Dateien zu untersuchen, die in OneDrive oder SharePoint gespeichert sind. Diese Artikelreihe konzentriert sich nur auf Inhalte im Power BI-Dienst.

Arten vertraulicher Daten

Eine DLP-Richtlinie für Power BI, die im Microsoft Purview-Complianceportal eingerichtet ist, kann entweder auf einer Vertraulichkeitsbezeichnung oder einem Typ vertraulicher Informationen basieren.

Wichtig

Obwohl Sie den meisten Arten von Elementen in Power BI Vertraulichkeitsbezeichnungen zuweisen können, konzentrieren sich die in diesem Artikel beschriebenen DLP-Richtlinien speziell auf Semantikmodelle. Das Semantikmodell muss in einem Premium-Arbeitsbereich veröffentlicht werden.

Vertraulichkeitsbezeichnung

Sie können Vertraulichkeitsbezeichnungen verwenden, um Inhalte zu klassifizieren, die von weniger vertraulich bis hin zu sehr vertraulich reichen.

Wenn eine DLP-Richtlinie für Power BI aufgerufen wird, überprüft eine Regel für Vertraulichkeitsbezeichnungen die Semantikmodelle (die im Power BI-Dienst veröffentlicht werden) auf das Vorhandensein einer bestimmten Vertraulichkeitsbezeichnung. Wie im Artikel Informationsschutz für Power BI beschrieben, kann eine Bezeichnung entweder durch einen Benutzer oder einen automatisierten Prozess (z. B. eine geerbte Bezeichnung oder eine Standardbezeichnung) zugewiesen werden.

Hier finden Sie einige Beispiele dafür, wann Sie eine DLP-Regel basierend auf einer Vertraulichkeitsbezeichnung erstellen könnten.

  • Einhaltung gesetzlicher Vorschriften: Sie verfügen über eine Vertraulichkeitsbezeichnung, die für Daten reserviert ist, die einer bestimmten gesetzlichen Anforderung unterliegen. Sie wollen eine Warnung für Ihre Sicherheitsadministratoren auslösen, wenn Benutzer diese Vertraulichkeitsbezeichnung einem Semantikmodell im Power BI-Dienst zuweisen.
  • Erinnerungen für Inhaltsersteller zu vertraulichen Daten: Sie verfügen über eine Vertraulichkeitsbezeichnung, die für vertrauliche Daten verwendet wird. Sie wollen eine Benutzerbenachrichtigung generieren, wenn ein Benutzer die Seite mit den Semantikmodelldetails im Datenhub im Power BI-Dienst anzeigt. Sie könnten Benutzer beispielsweise daran erinnern, wie vertrauliche Daten angemessen behandelt werden.

Weitere Überlegungen zu Benutzerbenachrichtigungen und Warnungen werden in diesem nächsten Abschnitt dieses Artikels beschrieben.

Prüfliste – Bei der Prüfung der Notwendigkeit von Regeln für Vertraulichkeitsbezeichnungen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Überprüfen des aktuellen Zustands des Informationsschutzes: Stellen Sie sicher, dass Vertraulichkeitsbezeichnungen in der Organisation bereitgestellt sind und von DLP-Richtlinien verwendet werden können.
  • Kompilieren von Anwendungsfällen für DLP basierend auf Vertraulichkeitsbezeichnungen: Ermitteln Sie, welche Vertraulichkeitsbezeichnungen von vorhandenen DLP-Richtlinien profitieren würden. Berücksichtigen Sie Ihre Ziele, Vorschriften und internen Anforderungen.
  • Priorisieren der Liste der Anwendungsfälle für DLP basierend auf Vertraulichkeitsbezeichnungen: Diskutieren Sie die wichtigsten Prioritäten mit Ihrem Team. Identifizieren Sie, welche Elemente in Ihrem Projektplan priorisiert werden sollen.

Hinweis

DLP-Richtlinien sind in der Regel automatisiert. Verantwortungsvolle Benutzeraktionen spielen jedoch auch eine entscheidende Rolle beim Schützen von Daten.

Weitere Informationen finden Sie unter Informationsschutz für Power BI (Richtlinie für Datenklassifizierung und Datenschutz). Er beschreibt eine interne Governancerichtlinie, die Anleitungen darüber bereitstellt, was Benutzer mit Inhalten, denen eine bestimmte Vertraulichkeitsbezeichnung zugewiesen wurde, tun dürfen und was nicht.

Typen vertraulicher Informationen

Nicht alle Arten von Daten sind gleich. Bestimmte Arten von Daten sind von Natur aus vertraulicher als andere. Es gibt viele verschiedene Typen vertraulicher Informationen (Sensitive Information Types, SITs). Abhängig von Ihrer Branche und den Complianceanforderungen werden nur einige SITs für Ihre Organisation anwendbar sein.

Einige häufige Beispiele für SITs sind:

  • Reisepass-, Sozialversicherungs- und Führerscheinnummern
  • Bankkonto- und Routingnummern
  • Kredit- und Debitkartennummern
  • Steueridentifikations- und nationale ID-Nummern
  • Gesundheits-ID-Nummern und medizinische Informationen
  • Physische Adressen
  • Kontoschlüssel, Kennwörter und Datenbankverbindungszeichenfolgen

Tipp

Wenn vertrauliche Daten keinen analytischen Wert haben, fragen Sie sich, ob sie sich in einem Analysesystem befinden sollten. Wir empfehlen, dass Sie Ihre Inhaltsersteller schulen, damit sie eine gute Entscheidung darüber treffen können, welche Daten in Power BI gespeichert werden sollen.

SITs sind auf Mustern basierende Klassifizierer. Sie werden mittels regulären Ausdrücken nach einem bekannten Muster im Text suchen.

Im Microsoft Purview-Complianceportal werden Sie viele vorkonfigurierte SITs finden. Wenn vorkonfigurierte SITs Ihre Anforderungen erfüllen, sollten Sie eine davon verwenden, um Zeit zu sparen. Nehmen wir den vorkonfigurierten SIT für die Kreditkartennummer: Er erkennt die richtigen Muster für alle wichtigen Kartenaussteller, stellt die Gültigkeit der Prüfsumme sicher und sucht nach einem relevanten Schlüsselwort in der Nähe der Kreditkartennummer.

Wenn die vorkonfigurierten SITs Ihren Anforderungen nicht genügen oder Sie über proprietäre Datenmuster verfügen, können Sie eine benutzerdefinierte SIT erstellen. Sie können beispielsweise eine benutzerdefinierte SIT erstellen, die dem Muster Ihrer Mitarbeiter-ID-Nummer entspricht.

Nachdem die SIT eingerichtet ist, wird eine DLP-Richtlinie für Power BI aufgerufen, wenn ein Semantikmodell hochgeladen oder aktualisiert wird. Zu diesem Zeitpunkt wird eine Regel für Typen vertraulicher Informationen die Semantikmodelle (im Power BI-Dienst) auf das Vorhandensein von Typen vertraulicher Informationen überprüfen.

Hier sind einige Beispiele dafür, wann Sie eine DLP-Regel basierend auf einem Typ vertraulicher Informationen erstellen könnten.

  • Einhaltung gesetzlicher Vorschriften: Sie verfügen über einen Typ vertraulicher Informationen, der gesetzlichen Anforderungen unterliegt. Sie wollen eine Warnung für Ihre Sicherheitsadministratoren generieren, wenn diese Art von Daten in einem Semantikmodell im Power BI-Dienst erkannt wird.
  • Interne Anforderungen: Sie verfügen über einen Typ vertraulicher Informationen, der eine besondere Behandlung erfordert. Um interne Anforderungen zu erfüllen, wollen Sie eine Benutzerbenachrichtigung generieren, wenn ein Benutzer die Semantikmodelleinstellungen oder die Seite mit den Semantikmodelldetails im Datenhub (im Power BI-Dienst) anzeigt.

Prüfliste – Bei der Prüfung der Notwendigkeit von Regeln für Typen vertraulicher Informationen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Kompilieren von Anwendungsfällen für DLP basierend auf Typen vertraulicher Informationen: Ermitteln Sie, welche Typen vertraulicher Informationen von vorhandenen DLP-Richtlinien profitieren würden. Berücksichtigen Sie Ihre Ziele, Vorschriften und internen Anforderungen.
  • Testen vorhandener Typen vertraulicher Informationen: Arbeiten Sie mit dem Informationssicherheitsteam zusammen, um zu überprüfen, ob die vorkonfigurierten SITs Ihren Anforderungen entsprechen werden. Verwenden Sie Testdaten, um zu bestätigen, dass Muster und Schlüsselwörter ordnungsgemäß erkannt wurden.
  • Erstellen benutzerdefinierter Typen vertraulicher Informationen: Arbeiten Sie allenfalls mit Ihrem Informationssicherheitsteam zusammen, um SITs zu erstellen, damit sie in DLP für Power BI verwendet werden können.
  • Priorisieren der Liste der Anwendungsfälle: Diskutieren Sie die wichtigsten Prioritäten mit Ihrem Team. Identifizieren Sie, welche Elemente in Ihrem Projektplan priorisiert werden sollen.

Benutzerbenachrichtigungen

Wenn Sie Anwendungsfälle für DLP mit Vertraulichkeitsbezeichnungen und SITs identifiziert haben, sollten Sie als Nächstes überlegen, was geschieht, wenn eine DLP-Regelüberstimmung auftritt. In der Regel handelt es sich dabei um eine Benutzerbenachrichtigung.

Benutzerbenachrichtigungen für DLP-Richtlinien sind auch als Richtlinientipps bekannt. Sie sind nützlich, wenn Sie Ihren Benutzern während des normalen Arbeitstags mehr Anleitung und Bewusstsein bieten möchten. Es ist wahrscheinlicher, dass Benutzer Benachrichtigungen lesen und aufnehmen werden, wenn sie Folgendes sind:

  • Spezifisch: Das Korrelieren der Nachricht mit der Regel erleichtert das Verständnis.
  • Umsetzbar: Das Anbieten eines Vorschlags, was der Benutzer tun muss oder wie weitere Informationen zu finden sind.

Für DLP in Power BI werden Benutzerbenachrichtigungen in den Semantikmodelleinstellungen angezeigt. Sie werden auch oben auf der Detailseite des Semantikmodells im Datenhub angezeigt, wie im folgenden Screenshot zu sehen ist. In diesem Fall lautet die Benachrichtigung: Diese Daten enthalten Kreditkarten. Diese Art von Daten ist in Power BI gemäß der Richtlinie für Datenklassifizierung, Datenschutz und Datennutzung nicht zulässig.

Screenshot zeigt eine DLP-Benutzerbenachrichtigung oben auf der Seite „Datenhub“.

Sie können eine oder mehrere Regeln für jede DLP-Richtlinie definieren. Jede Regel kann optional über einen anderen Richtlinientipp verfügen, der Benutzern angezeigt wird.

Sehen Sie sich das folgende Beispiel an, wie Sie eine DLP-Richtlinie zum Erkennen von Finanzdaten definieren können, die in Semantikmodellen im Power BI-Dienst gespeichert sind. Die DLP-Richtlinie verwendet SITs und hat zwei Regeln.

  • Regel 1: Die erste Regel erkennt Kreditkartennummern. Der Text des benutzerdefinierten Richtlinientipps lautet: Diese Daten enthalten Kreditkartennummern. Diese Art von Daten ist in Power BI gemäß der Richtlinie für Datenklassifizierung und Datenschutz nicht zulässig.
  • Regel 2: Die zweite Regel erkennt Finanzkonten. Der Text des benutzerdefinierten Richtlinientipps lautet: Diese Daten enthalten vertrauliche Finanzinformationen. Sie erfordern die Verwendung der Bezeichnung „Stark Eingeschränkt". Die Anforderungen beim Speichern von Finanzdaten finden Sie in der Richtlinie für Datenklassifizierung und Datenschutz.

Die Regel 1 ist dringender als die Regel 2. Die Regel 1 soll vermitteln, dass es ein Problem gibt, das eine Aktion erfordert. Die zweite Regel dient mehr zur Information. Bei dringenden Problemen ist es eine gute Idee, eine Benachrichtigung einzurichten. Die Benachrichtigung für Administratoren wird im nächsten Abschnitt beschrieben.

Bei der Entscheidung, welche Benachrichtigungen Benutzer erhalten sollen, sollten Sie sich darauf konzentrieren, nur sehr wichtige Benachrichtigungen anzuzeigen. Wenn zu viele Richtlinienbenachrichtigungen vorhanden sind, werden Benutzer möglicherweise überfordert. Das Ergebnis ist, dass einige Benachrichtigungen möglicherweise übersehen werden.

Benutzer können Maßnahmen ergreifen, indem sie ein Problem melden , wenn sie glauben, dass es sich um ein False Positive (falsch identifiziert) handelt. Es ist auch möglich, dem Benutzer zu erlauben, die Richtlinie zu überschreiben. Diese Funktionen sollen die Kommunikation zwischen Power BI-Benutzern und den Sicherheitsadministratoren ermöglichen, die DLP für Power BI verwalten.

Prüfliste – Wenn Sie DLP-Benutzerbenachrichtigungen in Betracht ziehen, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Entscheiden, wann Benutzerbenachrichtigungen erforderlich sind: Bestimmen Sie für jede DLP-Regel, die Sie erstellen wollen, ob eine angepasste Benutzerbenachrichtigung erforderlich ist.
  • Erstellen benutzerdefinierte Richtlinientipps: Definieren Sie für jede Benachrichtigung, welche Nachricht Benutzern angezeigt werden soll. Planen Sie, die Nachricht mit der DLP-Regel zu korrelieren, sodass sie spezifisch und umsetzbar ist.

Administratorbenachrichtigung

Die Benachrichtigung ist für bestimmte DLP-Regeln nützlich, wenn Sie Vorfälle nachverfolgen wollen, wenn ein Richtlinienverstoß aufgetreten ist. Überlegen Sie beim Definieren von DLP-Richtlinienregeln, ob Warnungen generiert werden sollen.

Tipp

Warnungen sollen einen Administrator auf bestimmte Situationen aufmerksam machen. Sie eignen sich am besten, wenn Sie beabsichtigen, wichtige Warnungen aktiv zu untersuchen und zu beheben. Sie können alle DPS-Regelübereinstimmungen im Aktivitäts-Explorer im Microsoft Purview-Complianceportal finden.

Die Benachrichtigung ist nützlich, wenn Sie Folgendes tun wollen:

  • Informieren Sie Ihre Sicherheits- und Complianceadministratoren über das Dashboard der DLP-Warnungsverwaltung darüber, dass etwas passiert ist. Optional können Sie auch eine E-Mail an eine bestimmte Gruppe von Benutzern senden.
  • Weitere Informationen zu einem aufgetretenen Ereignis finden Sie hier.
  • Weisen Sie jemandem ein Ereignis zu, um es zu untersuchen.
  • Verwalten Sie die Status eines Ereignisses, oder fügen Sie Kommentare hinzu.
  • Zeigen Sie andere Warnungen an, die für Aktivitäten desselben Benutzers generiert wurden.

Jede Warnung kann durch einen Schweregrad definiert werden, der niedrig, mittel oder hoch sein kann. Der Schweregrad hilft bei der Priorisierung der Überprüfung offener Warnungen.

Hier sind zwei Beispiele, wie Warnungen verwendet werden können.

Beispiel 1: Sie haben eine DLP-Richtlinie zum Erkennen von Finanzdaten definiert, die in Semantikmodellen im Power BI-Dienst gespeichert sind. Die DLP-Richtlinie verwendet Typen vertraulicher Informationen. Sie verfügt über zwei Regeln.

  • Regel 1: Diese Regel erkennt Kreditkartennummern. Die Benachrichtigung ist mit einem hohen Schweregrad aktiviert. Eine E-Mail wird ebenfalls generiert.
  • Regel 2: Die zweite Regel erkennt Finanzkonten. Die Benachrichtigung ist mit einem hohen Schweregrad aktiviert.

Beispiel 2: Sie haben eine DLP-Richtlinie definiert, die aufgerufen wird, wenn die Vertraulichkeitsbezeichnung Stark Eingeschränkt\Geschäftsleitungsausschuss und Verwaltungsratsmitglieder einem Semantikmodell im Power BI-Dienst zugewiesen wird. Sie generiert keine Benutzerbenachrichtigung. In dieser Situation möchten Sie möglicherweise keine Warnung generieren, da Sie nur das Vorkommen protokollieren möchten. Bei Bedarf können Sie weitere Informationen aus dem Aktivitäts-Explorer abrufen.

Wenn eine E-Mail-Warnung erforderlich ist, empfehlen wir, eine E-Mail-fähige Sicherheitsgruppe zu verwenden. Beispielsweise können Sie eine Gruppe mit dem Namen Benachrichtigung für Sicherheits-und Datenschutzadministratoren verwenden.

Tipp

Beachten Sie, dass DLP-Regeln für Power BI jedes Mal überprüft werden, wenn ein Semantikmodell hochgeladen oder aktualisiert wird. Das bedeutet, dass bei jeder Aktualisierung des Semantikmodells eine Warnung generiert werden könnte. Regelmäßige oder häufige Datenaktualisierungen könnten zu einer überwältigenden Anzahl protokollierter Ereignisse und Warnungen führen.

Prüfliste – Wenn Sie die DLP-Benachrichtigung für Administratoren in Betracht ziehen, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Entscheiden, wann Warnungen erforderlich sind: Bestimmen Sie für jede DLP-Regel, die Sie erstellen möchten, welche Situationen die Verwendung von Warnungen rechtfertigen.
  • Klären von Rollen und Verantwortlichkeiten: Bestimmen Sie die Erwartungen und die spezifischen Aktionen, die ausgeführt werden sollen, wenn eine Warnung generiert wird.
  • Bestimmen, wer Warnungen empfangen wird: Entscheiden Sie, welche Sicherheits- und Complianceadministratoren offene Warnungen behandeln werden. Vergewissern Sie sich, dass Berechtigungen und Lizenzierungsanforderungen für jeden Administrator erfüllt sind, der das Microsoft Purview-Complianceportal verwenden wird.
  • Erstellen von E-Mail-Gruppen: Erstellen Sie bei Bedarf neue E-Mail-fähige Sicherheitsgruppen, um die Benachrichtigung zu verarbeiten.

Arbeitsbereiche im Geltungsbereich

Eine DLP-Richtlinie für Power BI, die im Microsoft Purview-Compliance-Portal eingerichtet ist, ist auf Semantikmodelle ausgerichtet. Insbesondere unterstützt sie das Scannen von Semantikmodellen, die in einem Premium-Arbeitsbereich veröffentlicht wurden.

Sie können die DLP-Richtlinie so einrichten, dass alle Premium-Arbeitsbereiche überprüft werden. Optional können Sie bestimmte Arbeitsbereiche einbeziehen oder ausschließen. Beispielsweise könnten Sie bestimmte Entwicklungs- oder Testarbeitsbereiche ausschließen, die als geringeres Risiko betrachtet werden (insbesondere, wenn sie keine realen Produktionsdaten enthalten). Alternativ könnten Sie separate Richtlinien für bestimmte Entwicklungs- oder Testarbeitsbereiche erstellen.

Tipp

Wenn Sie sich dafür entscheiden, nur eine Teilmenge Ihrer Premium-Arbeitsbereiche für DLP einzuschließen, sollten Sie den Wartungsaufwand berücksichtigen. DLP-Regeln sind einfacher zu verwalten, wenn alle Premium-Arbeitsbereiche enthalten sind. Wenn Sie sich dafür entscheiden nur eine Teilmenge von Premium-Arbeitsbereichen einzuschließen, stellen Sie sicher, dass Sie über einen Überwachungsprozess verfügen, damit Sie schnell feststellen können, ob ein neuer Arbeitsbereich in der DLP-Richtlinie fehlt.

Weitere Informationen zu Arbeitsbereichen finden Sie in den Artikeln zur Arbeitsbereichsplanung.

Prüfliste – Bei der Prüfung, welche Arbeitsbereiche in den DLP-Bereich einbezogen werden sollen, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Entscheiden, für welche Premium-Arbeitsbereiche DLP angewendet werden soll: Überlegen Sie, ob die DLP-Richtlinien alle Power BI Premium-Arbeitsbereiche oder nur eine Teilmenge davon betreffen sollen.
  • Erstellen einer Dokumentation für Arbeitsbereichszuweisungen: Dokumentieren Sie allenfalls, welche Arbeitsbereiche DLP unterliegen. Geben Sie die Kriterien und Gründe an, warum Arbeitsbereiche einbezogen oder ausgeschlossen werden.
  • Korrelieren der DLP-Entscheidungen mit Ihrer Arbeitsbereichsgovernance: Aktualisieren Sie allenfalls ihre Dokumentation zur Arbeitsbereichsgovernance, um Details zur Behandlung von DLP einzuschließen.
  • Berücksichtigen anderer wichtige Dateispeicherorte: Bestimmen Sie zusätzlich zum Power BI-Dienst, ob andere DLP-Richtlinien zum Schutz von Quelldateien und exportierten Dateien, die in OneDrive oder SharePoint gespeichert sind, erstellt werden müssen.

Lizenzanforderungen

Für die Verwendung von DLP gibt es mehrere Lizenzierungsanforderungen. Für die Administratoren, die DLP einrichten, verwalten und überwachen werden, ist eine Microsoft Purview Information Protection-Lizenz erforderlich. Möglicherweise verfügen Sie bereits über diese Lizenzen, da sie in einigen Lizenzsammlungen enthalten sind, z. B. Microsoft 365 E5. Alternativ können Microsoft 365 E5 Compliance-Funktionen als eigenständige Lizenz erworben werden.

Außerdem erfordern DLP-Richtlinien für Power BI Power BI Premium. Diese Lizenzierungsanforderung kann mit einer Premium-Kapazität oder einer Premium pro Benutzer (PPU)-Lizenz erfüllt werden.

Tipp

Wenn Sie Erläuterungen zu den Lizenzierungsanforderungen benötigen, wenden Sie sich an Ihr Microsoft-Kontoteam. Beachten Sie, dass die Microsoft 365 E5-Compliancelizenz andere DLP-Funktionen enthält, die in diesem Artikel nicht beschrieben werden.

Prüfliste – Beim Auswerten von DLP-Lizenzanforderungen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Überprüfen der Lizenzierungsanforderungen für das Produkt: Stellen Sie sicher, dass Sie alle Lizenzierungsanforderungen für DLP überprüft haben.
  • Überprüfen der Premium-Lizenzierungsanforderungen: Stellen Sie sicher, dass die Arbeitsbereiche, die Sie für DLP konfigurieren wollen, Premium-Arbeitsbereiche sind.
  • Erwerben zusätzlicher Lizenzen: Erwerben Sie allenfalls weitere Lizenzen, um die Funktionalität zu entsperren, die Sie verwenden möchten.
  • Lizenzen zuweisen: Weisen Sie jedem Ihrer Sicherheits- und Complianceadministratoren eine Lizenz zu, der eine benötigen wird.

Benutzerdokumentation und Training

Vor dem Rollout von DLP für Power BI empfehlen wir Ihnen, eine Benutzerdokumentation zu erstellen und zu veröffentlichen. Eine SharePoint-Seite oder eine Wiki-Seite in Ihrem zentralisierten Portal kann gut funktionieren, da sie einfach zu verwalten sein wird. Ein Dokument, das in eine freigegebene Bibliothek oder eine Teams-Website hochgeladen wurde, ist ebenfalls eine gute Lösung.

Das Ziel der Dokumentation ist es, eine nahtlose Benutzererfahrung zu erreichen. Das Vorbereiten der Benutzerdokumentation wird Ihnen auch dabei helfen, sicherzustellen, dass Sie alles berücksichtigt haben.

Schließen Sie Informationen darüber ein, an wen sich die Benutzer bei Fragen oder technischen Problemen wenden können. Da es sich beim Informationsschutz um ein organisationsweites Projekt handelt, wird der Support häufig von der IT bereitgestellt.

Häufig gestellte Fragen und Beispiele sind besonders hilfreich für die Benutzerdokumentation.

Tipp

Weitere Informationen finden Sie unter Informationsschutz für Power BI (Richtlinie für Datenklassifizierung und Datenschutz). Es werden Vorschläge zum Erstellen einer Richtlinie für Datenklassifizierung und Datenschutz beschrieben, damit Benutzer verstehen, was sie mit Vertraulichkeitsbezeichnungen tun können und was nicht.

Prüfliste – Bei der Vorbereitung der Benutzerdokumentation und dem Benutzertraining sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Aktualisieren der Dokumentation für Inhaltsersteller und Consumer: Aktualisieren Sie Ihre häufig gestellten Fragen und Beispiele, um relevante Anleitungen zu DLP-Richtlinien aufzunehmen.
  • Veröffentlichen, wie Hilfe erhalten wird: Stellen Sie sicher, dass Ihre Benutzer wissen, wie sie Hilfe erhalten, wenn sie etwas Unerwartetes erleben oder etwas nicht verstehen.
  • Ermitteln, ob ein bestimmtes Training erforderlich ist: Erstellen oder aktualisieren Sie Ihr Benutzertraining, um hilfreiche Informationen einzuschließen, insbesondere, wenn hierfür eine gesetzliche Anforderung besteht.

Unterstützung für Benutzer

Es ist wichtig, zu überprüfen, wer für den Benutzersupport verantwortlich sein wird. Häufig wird DLP von einem zentralen IT-Helpdesk unterstützt.

Möglicherweise müssen Sie Anleitungen für den Helpdesk erstellen (manchmal auch als Runbook bezeichnet). Möglicherweise müssen Sie außerdem Sitzungen zum Wissenstransfer durchführen, um sicherzustellen, dass der Helpdesk bereit ist, um auf Supportanfragen zu reagieren.

Prüfliste – Bei der Vorbereitung der Benutzerunterstützungsfunktion sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Identifizieren, wer Benutzersupport bereitstellen wird: Bei der Definition von Rollen und Zuständigkeiten sollten Sie berücksichtigen, wie die Benutzer Hilfe bei Problemen im Zusammenhang mit DLP erhalten.
  • Sicherstellen, dass das Benutzersupportteam bereit ist: Erstellen Sie eine Dokumentation, und führen Sie Sitzungen zum Wissenstransfer durch, um sicherzustellen, dass der Helpdesk bereit ist, DLP zu unterstützen.
  • Kommunikation zwischen Teams: Besprechen Sie Benutzerbenachrichtigungen und den Prozess zum Auflösen von DLP-Warnungen mit dem Supportteam, sowie mit Ihren Power BI-Administratoren und dem Center of Excellence. Stellen Sie sicher, dass alle Beteiligten auf potenzielle Fragen von Power BI-Benutzern vorbereitet sind.

Zusammenfassung der Implementierung und Tests

Nachdem die Entscheidungen getroffen und die Voraussetzungen erfüllt wurden, ist es an der Zeit, mit der Implementierung und dem Testen von DLP für Power BI zu beginnen.

DLP-Richtlinien für Power BI werden im Microsoft Purview-Complianceportal (früher als Microsoft 365 Compliance Center bezeichnet) im Microsoft 365-Admin Center eingerichtet.

Tipp

Der Prozess zum Einrichten von DLP für Power BI im Microsoft Purview-Complianceportal umfasst nur einen Schritt statt zwei, um die Richtlinie einzurichten. Dieser Prozess unterscheidet sich vom Einrichten des Informationsschutzes im Microsoft Purview-Complianceportal (beschrieben im Artikel Informationsschutz für Power BI). In jenem Fall gab es zwei separate Schritte, um die Bezeichnung einzurichten und eine Bezeichnungsrichtlinie zu veröffentlichen. In diesem Fall für DLP gibt es nur einen Schritt im Implementierungsprozess.

Die folgende Prüfliste enthält eine zusammengefasste Liste der End-to-End-Implementierungsschritte. Viele der Schritte enthalten weitere Details, die in den vorherigen Abschnitten dieses Artikels behandelt wurden.

Prüfliste – Bei der Implementierung von DLP für Power BI sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Überprüfen des aktuellen Zustands und der Ziele: Stellen Sie sicher, dass Sie Klarheit über den aktuellen Status von DLP für die Verwendung mit Power BI haben. Alle Ziele und Anforderungen für die Implementierung von DLP sollten klar sein und aktiv in den Entscheidungsprozess einfließen.
  • Entscheidungen treffen: Überprüfen und besprechen Sie alle erforderlichen Entscheidungen. Diese Aufgabe sollte durchgeführt werden, bevor Sie irgendetwas in der Produktion einrichten.
  • Überprüfen der Lizenzierungsanforderungen: Stellen Sie sicher, dass Sie die Anforderungen für Produkt- und Benutzerlizenzierung verstehen. Erwerben Sie bei Bedarf weitere Lizenzen und weisen diese zu.
  • Veröffentlichen der Benutzerdokumentation: Veröffentlichen Sie Informationen, die Benutzer benötigen werden, um Fragen zu beantworten und Erwartungen zu klären. Stellen Sie Ihren Benutzern Anleitungen, Kommunikationen und Training bereit, damit sie vorbereitet sind.
  • Erstellen von DLP-Richtlinien: Erstellen Sie im Microsoft Purview-Complianceportal alle DLP-Richtlinien und richten diese ein. Berücksichtigen Sie alle zuvor getroffenen Entscheidungen zur Einrichtung der DLP-Regeln.
  • Durchführen der ersten Tests: Führen Sie eine erste Reihe von Tests durch, um zu überprüfen, ob alles ordnungsgemäß eingerichtet ist. Verwenden Sie den Testmodus mit einigen Beispieldaten, um festzustellen, ob sich alles wie erwartet verhält, und minimieren Sie gleichzeitig die Auswirkungen auf die Benutzer. Verwenden Sie zunächst eine kleine Teilmenge von Premium-Arbeitsbereichen. Erwägen Sie die Verwendung eines Nicht-Produktionsmandanten, wenn Sie Zugriff auf einen solchen haben.
  • Sammeln von Benutzerfeedback: Erhalten Sie Feedback zum Prozess und zur Benutzererfahrung. Identifizieren Sie Bereiche, in denen es zu Unklarheiten oder unerwarteten Ergebnissen mit Typen vertraulicher Informationen kommt, sowie andere technische Probleme.
  • Iterative Releases fortsetzen: Fügen Sie der DLP-Richtlinie schrittweise weitere Premium-Arbeitsbereiche hinzu, bis alle enthalten sind.
  • Überwachen, Optimieren und Anpassen: Investieren Sie Ressourcen, um Richtlinienübereinstimmungswarnungen und Überwachungsprotokolle regelmäßig zu überprüfen. Untersuchen Sie die False Positives, und passen Sie die Richtlinien bei Bedarf an.

Tipp

Diese Prüflistenelemente werden zu Planungszwecken zusammengefasst. Weitere Informationen zu diesen Prüflistenelementen finden Sie in den vorherigen Abschnitten dieses Artikels.

Weitere Schritte, die über den ersten Rollout hinausgehen, finden Sie unter Defender for Cloud-Apps mit Power BI.

Fortlaufende Überwachung

Nachdem Sie die Implementierung abgeschlossen haben, sollten Sie Ihre Aufmerksamkeit auf die Überwachung, Erzwingung und Anpassung von DLP-Richtlinien basierend auf deren Verwendung lenken.

Power BI-Administratoren und Sicherheits- und Complianceadministratoren werden von Zeit zu Zeit zusammenarbeiten müssen. Für Power BI-Inhalte gibt es zwei Zielgruppen für die Überwachung.

  • Power BI-Administratoren: Jedes Mal, wenn es DLP-Regelübereinstimmung gibt, wird ein Eintrag im Power BI-Aktivitätsprotokoll aufgezeichnet. Der Power BI-Aktivitätsprotokolleintrag zeichnet Details des DLP-Ereignisses auf, einschließlich Benutzer, Datum und Uhrzeit, Elementname, Arbeitsbereich und Kapazität. Er enthält auch Informationen zur Richtlinie, z. B. den Richtliniennamen, den Regelnamen, den Schweregrad und die Vergleichsbedingung.
  • Sicherheits- und Complianceadministratoren: Die Sicherheits- und Complianceadministratoren der Organisation werden in der Regel Microsoft Purview-Berichte, Warnungen und Überwachungsprotokolle verwenden.

Warnung

Die Überwachung für DLP für Power BI-Richtlinien erfolgt nicht in Echtzeit, da es Zeit braucht, bis DLP-Protokolle und Warnungen generiert sind. Wenn Ihr Ziel die Echtzeiterzwingung ist, lesen Sie Defender for Cloud-Apps für Power BI (Echtzeitrichtlinien).

Prüfliste – Bei der Überwachung von DLP für Power BI sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:

  • Überprüfen von Rollen und Zuständigkeiten: Stellen Sie sicher, dass Sie sich darüber im Klaren sind, wer für welche Aktionen verantwortlich ist. Informieren Sie Ihre Power BI-Administratoren oder Sicherheitsadministratoren und kommunizieren Sie mit ihnen, wenn sie für einige Aspekte der DLP-Überwachung direkt verantwortlich sein werden.
  • Erstellen oder validieren Ihres Prozesses für die Überprüfung von Aktivitäten: Stellen Sie sicher, dass die Sicherheits- und Complianceadministratoren sich der Erwartungen an die regelmäßige Überprüfung des Aktivitäts-Explorers bewusst sind.
  • Erstellen oder validieren Ihres Prozesses zum Auflösen von Warnungen: Stellen Sie sicher, dass Ihre Sicherheits- und Complianceadministratoren über einen Prozess verfügen, um DLP-Warnungen zu untersuchen und aufzulösen, wenn eine Richtlinieneinstimmung auftritt.

Tipp

Weitere Informationen zur Überwachung finden Sie unter Überwachung von Informationsschutz und Verhinderung von Datenverlust für Power BI.

Zugehöriger Inhalt

Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Verwendung von Defender for Cloud-Apps mit Power BI.