Planung der Power BI-Implementierung: Defender for Cloud-Apps für Power BI
Hinweis
Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf den Power BI-Workload innerhalb von Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.
Dieser Artikel beschreibt die Planungsaktivitäten für die Implementierung von Defender for Cloud-Apps im Bezug auf die Überwachung von Power BI. Er richtet sich an:
- Power BI-Administrator*innen: Administrator*innen, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Power BI-Administratoren müssen mit Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
- Center of Excellence-, IT- und BI-Teams: Andere, die für die Überwachung von Power BI in der Organisation verantwortlich sind. Sie müssen möglicherweise mit Power BI-Administratoren, Informationssicherheitsteams und anderen relevanten Teams zusammenarbeiten.
Wichtig
Die Überwachung und Verhinderung von Datenverlust (DLP) ist ein wichtiges organisationsweites Unterfangen. Der Geltungsbereich und die Auswirkungen gehen weit über Power BI hinaus. Diese Arten von Initiativen erfordern Finanzierung, Priorisierung und Planung. Sie müssen davon ausgehen, dass bei der Planung, Nutzung und Überwachung mehrere funktionsübergreifende Teams involviert sein werden.
Wir empfehlen Ihnen, einen schrittweisen Ansatz zum Rollout von Defender for Cloud-Apps für die Überwachung von Power BI zu verfolgen. Eine Beschreibung der Arten von Rolloutphasen, die Sie berücksichtigen sollten, finden Sie unter Informationsschutz für Power BI (Rolloutphasen).
Zweck der Überwachung
Microsoft Defender for Cloud-Apps (zuvor Microsoft Cloud App Security genannt) ist ein Cloud Access Security Broker (CASB), der verschiedene Bereitstellungsmodi unterstützt. Es verfügt über eine breite Palette von Funktionen, die weit über den Umfang dieses Artikels hinausgehen. Einige Funktionen sind in Echtzeit, während andere nicht in Echtzeit verfügbar sind.
Hier sind einige Beispiele für die Echtzeitüberwachung, die Sie implementieren können.
- Blockieren von Downloads aus dem Power BI-Dienst: Sie können eine Sitzungsrichtlinie erstellen, um bestimmte Arten von Benutzeraktivitäten zu blockieren. Wenn ein Benutzer beispielsweise versucht, einen Bericht aus dem Power BI-Dienst herunterzuladen, dem eine Vertraulichkeitsbezeichnung Stark eingeschränkt zugewiesen wurde, kann der Downloadvorgang in Echtzeit blockiert werden.
- Blockieren des Zugriffs auf den Power BI-Dienst durch ein nicht verwaltetes Gerät: Sie können eine Zugriffsrichtlinie erstellen, um zu verhindern, dass Benutzer auf bestimmte Anwendungen zugreifen, es sei denn, sie verwenden ein verwaltetes Gerät. Wenn ein Benutzer beispielsweise versucht, über sein persönliches Mobiltelefon auf den Power BI-Dienst zuzugreifen, kann diese Aktion blockiert werden.
Hier sind einige Beispiele für andere Funktionen, die nicht in Echtzeit verfügbar sind.
- Erkennen von und Benachrichtigen bei bestimmten Aktivitäten im Power BI-Dienst: Sie können eine Aktivitätsrichtlinie erstellen, um eine Benachrichtigung zu generieren, wenn bestimmte Arten von Aktivitäten auftreten. Wenn beispielsweise eine administrative Aktivität im Power BI-Dienst auftritt (die angibt, dass eine Mandanteneinstellung geändert wurde), können Sie eine E-Mail-Benachrichtigung erhalten.
- Überwachen erweiterter Sicherheitsaktivitäten: Sie können Anmeldungen und Sicherheitsaktivitäten sowie Anomalien und Verstöße anzeigen und überwachen. Benachrichtigungen können für Situationen wie verdächtige Aktivitäten, unerwartete Standorte oder einen neuen Standort ausgelöst werden.
- Überwachen von Benutzeraktivitäten: Sie können Benutzeraktivitäten anzeigen und überwachen. Einem Power BI-Administrator könnte beispielsweise die Berechtigung zugewiesen werden, das Power BI-Aktivitätsprotokoll einzusehen, zusätzlich zur Häufigkeit der Benutzeranmeldung in Defender for Cloud-Apps.
- Erkennen von und Benachrichtigen bei ungewöhnlichem Verhalten im Power BI-Dienst: Es gibt integrierte Richtlinien für die Anomalieerkennung. Wenn ein Benutzer beispielsweise Inhalte aus dem Power BI-Dienst deutlich häufiger herunterlädt oder exportiert, als es dem normalen Muster entspricht, können Sie eine E-Mail-Benachrichtigung erhalten.
- Suchen nicht genehmigter Anwendungen: Sie können nicht genehmigte Anwendungen suchen, die in der Organisation verwendet werden. Sie könnten beispielsweise besorgt sein, dass Benutzer Dateien (wie Power BI Desktop- oder Excel-Dateien) auf einem Dateifreigabesystem eines Drittanbieters gemeinsam nutzen. Sie können die Verwendung einer nicht genehmigten Anwendung blockieren und dann Benutzer kontaktieren, um sie über geeignete Möglichkeiten für die Freigabe und Zusammenarbeit mit anderen zu schulen.
Tipp
Das Portal in Defender for Cloud-Apps ist ein praktischer Ort, um Aktivitäten und Benachrichtigungen anzuzeigen, ohne ein Skript zum Extrahieren und Herunterladen der Daten zu erstellen. Dieser Vorteil umfasst das Anzeigen von Daten aus dem Power BI-Aktivitätsprotokoll.
Power BI ist eine von vielen Anwendungen und Diensten, die in Defender for Cloud-Apps integriert werden können. Wenn Sie Defender for Cloud-Apps bereits für andere Zwecke verwenden, kann es auch zum Überwachen von Power BI verwendet werden.
Richtlinien, die in Defender for Cloud-Apps erstellt werden, sind eine Form von DLP. Der Artikel Verhinderung von Datenverlust für Power BI behandelt DLP-Richtlinien für Power BI, die im Microsoft Purview-Complianceportal eingerichtet sind. Wir empfehlen Ihnen, DLP-Richtlinien für Power BI mit den in diesem Artikel beschriebenen Funktionen zu verwenden. Obwohl es einige konzeptionelle Überschneidungen gibt, sind die Funktionen unterschiedlich.
Achtung
Dieser Artikel konzentriert sich auf Funktionen in Microsoft Defender for Cloud-Apps, die zum Überwachen und Schützen von Power BI-Inhalten verwendet werden können. Es gibt viele andere Funktionen in Defender for Cloud-Apps, die in diesem Artikel nicht behandelt werden. Achten Sie darauf, mit anderen Projektbeteiligten und Systemadministratoren zusammenzuarbeiten, um Entscheidungen zu treffen, die für alle Anwendungen und Anwendungsfälle gut geeignet sind.
Voraussetzungen für Defender for Cloud-Apps für Power BI
Inzwischen sollten Sie die Planungsschritte auf Organisationsebene abgeschlossen haben, die im Artikel Verhinderung von Datenverlust für Power BI beschrieben wurden. Bevor Sie fortfahren, sollten Sie Klarheit über Folgendes haben:
- Aktueller Zustand: Der aktuelle Zustand von DLP in Ihrer Organisation. Sie sollten ein Verständnis dafür haben, in welchem Umfang DLP bereits verwendet wird und wer für die Verwaltung verantwortlich ist.
- Ziele und Anforderungen: Die strategischen Ziele für die Implementierung von DLP in Ihrer Organisation. Das Verständnis der Ziele und Anforderungen wird als Leitfaden für Ihre Implementierungsbemühungen dienen.
In der Regel ist der Informationsschutz bereits implementiert, bevor DLP implementiert wird. Wenn Vertraulichkeitsbezeichnungen veröffentlicht werden (beschrieben im Artikel Informationsschutz für Power BI), können sie in bestimmten Richtlinien in Defender for Cloud-Apps verwendet werden.
Möglicherweise haben Sie DLP für Power BI bereits implementiert (beschrieben im Artikel Verhinderung von Datenverlust für Power BI). Diese DLP-Funktionen unterscheiden sich von den Funktionen, die im Microsoft Purview-Complianceportal verwaltet werden. Alle in diesem Artikel beschriebenen DLP-Funktionen werden im Portal von Defender for Cloud-Apps verwaltet.
Wichtige Entscheidungen und Aktionen
Sie müssen einige wichtige Entscheidungen treffen, bevor Sie bereit sind, Richtlinien in Defender for Cloud-Apps einzurichten.
Die Entscheidungen im Zusammenhang mit Defender for Cloud-Apps-Richtlinien sollten direkt die Ziele und Anforderungen zum Schutz der zuvor von Ihnen identifizierten Daten unterstützen.
Richtlinientyp und Aktivitäten
Sie müssen überlegen, welche Benutzeraktivitäten Sie überwachen, blockieren oder kontrollieren möchten. Der Richtlinientyp in Defender for Cloud-Apps beeinflusst Folgendes:
- Was Sie erreichen können.
- Welche Aktivitäten in die Konfiguration einbezogen werden können.
- Ob die Kontrollen in Echtzeit ausgeführt werden oder nicht.
Echtzeitrichtlinien
Mit Zugriffsrichtlinien und Sitzungsrichtlinien, die in Defender for Cloud-Apps erstellt wurden, können Sie Benutzersitzungen in Echtzeit überwachen, blockieren oder kontrollieren.
Zugriffsrichtlinien und Sitzungsrichtlinien ermöglichen Folgendes:
- Programmgesteuerte Reaktion in Echtzeit: Erkennen, informieren und blockieren Sie die riskante, versehentliche oder unangemessene Freigabe vertraulicher Daten. Mit diesen Aktionen können Sie Folgendes tun:
- Verbessern der allgemeinen Sicherheitseinrichtung Ihres Power BI-Mandanten mit Automatisierung und Informationen.
- Aktivieren analytischer Anwendungsfälle, die vertrauliche Daten auf eine Weise einbeziehen, die überwacht werden kann.
- Bereitstellen kontextbezogener Benachrichtigungen für Benutzer: Mit dieser Funktion können Sie Folgendes tun:
- Helfen Sie Benutzern, während ihres normalen Arbeitsablaufs die richtigen Entscheidungen zu treffen.
- Leiten Sie die Benutzer an, Ihre Richtlinien für Datenklassifizierung und Datenschutz zu befolgen, ohne ihre Produktivität zu beeinträchtigen.
Um Echtzeitkontrollen bereitzustellen, arbeiten Zugriffsrichtlinien und Sitzungsrichtlinien mit Microsoft Entra ID (früher als Azure Active Directory bekannt) und nutzen die Reverseproxy-Funktionen der App-Steuerung für bedingten Zugriff. Anstatt dass Benutzeranforderungen und -antworten über die App laufen (in diesem Fall die Power BI-Dienst), durchlaufen sie einen Reverseproxy (Defender for Cloud-Apps).
Die Umleitung wirkt sich nicht auf die Benutzererfahrung aus. Die URL für den Power BI-Dienst wird sich jedoch in https://app.powerbi.com.mcas.ms ändern, sobald Sie Microsoft Entra ID für die App-Steuerung für bedingten Zugriff mit Power BI eingerichtet haben. Außerdem werden Benutzer bei der Anmeldung beim Power BI-Dienst eine Benachrichtigung erhalten, die ankündigt, dass die App von Defender for Cloud-Apps überwacht wird.
Wichtig
Zugriffsrichtlinien und Sitzungsrichtlinien werden in Echtzeit ausgeführt. Andere Richtlinienarten in Defender for Cloud-Apps beinhalten eine kurze Verzögerung bei der Benachrichtigung. Bei den meisten anderen Arten von DLP und Überwachung treten ebenfalls Wartezeiten auf, einschließlich DLP für Power BI und dem Power BI-Aktivitätsprotokoll.
Zugriffsrichtlinien
Eine in Defender for Cloud-Apps erstellte Zugriffsrichtlinie kontrolliert, ob ein Benutzer sich bei einer Cloudanwendung wie dem Power BI-Dienst anmelden darf. Organisationen, die sich in stark regulierten Branchen befinden, werden sich mit Zugriffsrichtlinien auseinandersetzen.
Hier finden Sie einige Beispiele dafür, wie Sie Zugriffsrichtlinien verwenden können, um den Zugriff auf den Power BI-Dienst zu blockieren.
- Unerwarteter Benutzer: Sie können den Zugriff für einen Benutzer blockieren, der nicht Mitglied einer bestimmten Sicherheitsgruppe ist. Diese Richtlinie kann beispielsweise hilfreich sein, wenn Sie über einen wichtigen internen Prozess verfügen, der genehmigte Power BI-Benutzer über eine bestimmte Gruppe nachverfolgt.
- Nicht verwaltetes Gerät: Sie können den Zugriff für ein persönliches Gerät blockieren, das nicht von der Organisation verwaltet wird.
- Updates erforderlich: Sie können den Zugriff für einen Benutzer blockieren, der einen veralteten Browser oder ein veraltetes Betriebssystem verwendet.
- Standort: Sie können den Zugriff für einen Standort blockieren, an dem Sie keine Büros oder Benutzer haben, oder für eine unbekannte IP-Adresse.
Tipp
Wenn Sie externe Benutzer haben, die auf Ihren Power BI-Mandanten zugreifen, oder Mitarbeiter, die häufig reisen, kann sich dies darauf auswirken, wie Sie Ihre Zugriffssteuerungsrichtlinien definieren. Diese Arten der Richtlinien werden in der Regel von der IT verwaltet.
Sitzungsrichtlinien
Eine Sitzungsrichtlinie ist nützlich, wenn Sie den Zugriff nicht vollständig zulassen oder blockieren möchten (was mit einer Zugriffsrichtlinie erfolgen kann, wie zuvor beschrieben). Insbesondere ermöglicht es den Zugriff für den Benutzer, während überwacht oder beschränkt wird, was während seiner Sitzung aktiv auftritt.
Hier finden Sie einige Beispiele für Möglichkeiten, wie Sie Sitzungsrichtlinien verwenden können, um Benutzersitzungen im Power BI-Dienst zu überwachen, zu blockieren oder zu kontrollieren.
- Downloads blockieren: Blockieren Sie Downloads und Exporte, wenn dem Element im Power BI-Dienst eine bestimmte Vertraulichkeitsbezeichnung wie beispielsweise Stark eingeschränkt zugewiesen ist.
- Überwachen von Anmeldungen: Überwachen Sie, wann sich ein Benutzer anmeldet, der bestimmte Bedingungen erfüllt. Beispielsweise kann der Benutzer Mitglied einer bestimmten Sicherheitsgruppe sein oder ein persönliches Gerät verwenden, das nicht von der Organisation verwaltet wird.
Tipp
Das Erstellen einer Sitzungsrichtlinie (z. B. zur Verhinderung von Downloads) für Inhalte, die einer bestimmten Vertraulichkeitsbezeichnung zugewiesen sind, wie beispielsweise Stark eingeschränkt, ist einer der effektivsten Anwendungsfälle für Echtzeitsitzungskontrollen mit Power BI.
Es ist auch möglich, Dateiuploads mit Sitzungsrichtlinien zu kontrollieren. In der Regel möchten Sie Self-Service-BI-Benutzer jedoch dazu ermutigen, Inhalte in die Power BI-Dienst hochzuladen (anstatt Power BI Desktop-Dateien freizugeben). Überlegen Sie daher sorgfältig, ob Sie Dateiuploads blockieren wollen.
Prüfliste – Bei der Planung Ihrer Echtzeitrichtlinien in Defender for Cloud-Apps sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Identifizieren von Anwendungsfällen zum Blockieren des Zugriffs: Stellen Sie eine Liste von Szenarien zusammen, in denen das Blockieren des Zugriffs auf den Power BI-Dienst angemessen ist.
- Identifizieren von Anwendungsfällen zum Überwachen von Anmeldungen: Stellen Sie eine Liste der Szenarien zusammen, in denen die Überwachung von Anmeldungen beim Power BI-Dienst angemessen ist.
- Identifizieren von Anwendungsfällen zum Blockieren von Downloads: Bestimmen Sie, wann Downloads aus dem Power BI-Dienst blockiert werden sollten. Bestimmen Sie, welche Vertraulichkeitsbezeichnungen eingeschlossen werden sollten.
Aktivitätsrichtlinien
Aktivitätsrichtlinien in Defender for Cloud-Apps werden nicht in Echtzeit ausgeführt.
Sie können eine Aktivitätsrichtlinie einrichten, um die im Power BI-Aktivitätsprotokoll aufgezeichneten Ereignisse zu überprüfen. Die Richtlinie kann auf eine einzelne Aktivität oder auf wiederholte Aktivitäten eines einzelnen Benutzers reagieren (wenn eine bestimmte Aktivität mehr als eine festgelegte Anzahl von Malen innerhalb einer festgelegten Anzahl von Minuten auftritt).
Sie können Aktivitätsrichtlinien verwenden, um Aktivitäten im Power BI-Dienst auf unterschiedliche Weise zu überwachen. Hier sind einige Beispiele, was Sie erreichen können.
- Nicht autorisierter oder unerwarteter Benutzer sieht privilegierte Inhalte an: Ein Benutzer, der nicht Mitglied einer bestimmten Sicherheitsgruppe (oder ein externen Benutzer) ist, hat einen hoch privilegierten Bericht angezeigt, der dem Verwaltungsrat zur Verfügung gestellt wird.
- Nicht autorisierter oder unerwartete Benutzer aktualisiert Mandanteneinstellungen: Ein Benutzer, der nicht Mitglied einer bestimmten Sicherheitsgruppe ist, z. B. der Gruppe Power BI-Administratoren, hat die Mandanteneinstellungen im Power BI-Dienst aktualisiert. Sie können auch jederzeit benachrichtigt werden, wenn eine Mandanteneinstellung aktualisiert wird.
- Große Anzahl von Löschvorgängen: Ein Benutzer hat mehr als 20 Arbeitsbereiche oder Berichte in einem Zeitraum von weniger als 10 Minuten gelöscht.
- Große Anzahl von Downloads: Ein Benutzer hat mehr als 30 Berichte in einem Zeitraum von weniger als fünf Minuten heruntergeladen.
Die in diesem Abschnitt beschriebenen Arten von Aktivitätsrichtlinienbenachrichtigungen werden häufig von Power BI-Administratoren im Rahmen ihrer Überwachung von Power BI behandelt. Beim Einrichten von Benachrichtigungen in Defender for Cloud-Apps empfehlen wir Ihnen, sich auf Situationen konzentrieren, die ein erhebliches Risiko für die Organisation darstellen. Wir empfehlen dies deshalb, weil jede Benachrichtigung von einem Administrator überprüft und geschlossen werden muss.
Warnung
Da Power BI-Aktivitätsprotokollereignisse nicht in Echtzeit verfügbar sind, können sie nicht für die Überwachung oder Blockierung in Echtzeit verwendet werden. Sie können jedoch Vorgänge aus dem Aktivitätsprotokoll in Aktivitätsrichtlinien verwenden. Stellen Sie sicher, dass Sie mit Ihrem Informationssicherheitsteam zusammenarbeiten, um zu überprüfen, was technisch möglich ist, bevor Sie zu weit in den Planungsprozess einsteigen.
Prüfliste – Bei der Planung von Aktivitätsrichtlinien sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Identifizieren von Anwendungsfällen für die Aktivitätsüberwachung: Stellen Sie eine Liste bestimmter Aktivitäten aus dem Power BI-Aktivitätsprotokoll zusammen, die ein erhebliches Risiko für die Organisation darstellen. Bestimmen Sie, ob sich das Risiko auf eine einzelne Aktivität oder wiederholte Aktivitäten bezieht.
- Koordinieren des Aufwands mit Power BI-Administratoren: Besprechen Sie die Power BI-Aktivitäten, die in Defender for Cloud-Apps überwacht werden. Stellen Sie sicher, dass es keine Duplizierung des Aufwands zwischen verschiedenen Administratoren gibt.
Betroffene Benutzer
Einer der wichtigen Gründe für die Integration von Power BI in Defender for Cloud-Apps besteht darin, von Echtzeitkontrollen zu profitieren, wenn Benutzer mit dem Power BI-Dienst interagieren. Diese Art der Integration erfordert die App-Steuerung für bedingten Zugriff in Microsoft Entra ID.
Bevor Sie die App-Steuerung für bedingten Zugriff in Microsoft Entra ID einrichten, müssen Sie überlegen, welche Benutzer einbezogen werden. In der Regel sind alle Benutzer eingeschlossen. Es kann jedoch Gründe geben, bestimmte Benutzer auszuschließen.
Tipp
Beim Einrichten der Richtlinie für bedingten Zugriff ist es wahrscheinlich, dass Ihr Microsoft Entra-Administrator bestimmte Administratorkonten ausschließen wird. Dieser Ansatz wird verhindern, dass Administratoren ausgesperrt werden. Wir empfehlen Ihnen, dass es sich bei den ausgeschlossenen Konten um Microsoft Entra-Administratoren und nicht um standardmäßige Power BI-Benutzer handelt.
Bestimmte Richtlinienarten in Defender for Cloud-Apps können für bestimmte Benutzer und Gruppen gelten. In den meisten Fällen gelten diese Arten von Richtlinien für alle Benutzer. Es ist jedoch möglich, dass Sie auf eine Situation stoßen, in der Sie bestimmte Benutzer absichtlich ausschließen müssen.
Prüfliste – Bei der Überlegung, welche Benutzer betroffen sind, sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überlegen Sie, welche Benutzer enthalten sind: Bestätigen Sie, ob alle Benutzer in Ihre App-Steuerungsrichtlinie für bedingten Zugriff von Microsoft Entra aufgenommen werden.
- Identifizieren, welche Administratorkonten ausgeschlossen werden sollten: Bestimmen Sie, welche bestimmten Administratorkonten absichtlich von der Microsoft Entra-Richtlinie für die App-Steuerung für bedingten Zugriff ausgeschlossen werden sollten.
- Bestimmen, ob bestimmte Defender-Richtlinien für Teilmengen von Benutzern gelten: Bei gültigen Anwendungsfällen sollten Sie überlegen, ob sie für alle oder einige Benutzer gelten sollten (wenn möglich).
Benutzerbenachrichtigung
Nachdem Sie Anwendungsfälle identifiziert haben, müssen Sie überlegen, was passieren soll, wenn Benutzeraktivitäten mit der Richtlinie übereinstimmen.
Wenn eine Aktivität in Echtzeit blockiert wird, ist es wichtig, dem Benutzer eine benutzerdefinierte Nachricht bereitzustellen. Die Nachricht ist nützlich, wenn Sie Ihren Benutzern während ihres normalen Arbeitsablaufs mehr Anleitung und Bewusstsein bieten möchten. Es ist wahrscheinlicher, dass Benutzer Benachrichtigungen lesen und aufnehmen werden, wenn sie wie folgt sind:
- Spezifisch: Das Korrelieren der Nachricht mit der Richtlinie erleichtert das Verständnis.
- Umsetzbar: Das Anbieten eines Vorschlags, was der Benutzer tun muss, oder wie weitere Informationen zu finden sind.
Einige Richtlinienarten in Defender for Cloud-Apps können eine benutzerdefinierte Nachricht enthalten. Hier sind zwei Beispiele für Benutzerbenachrichtigungen.
Beispiel 1: Sie können eine Richtlinie für die Echtzeitsitzungssteuerung definieren, die alle Exporte und Downloads verhindert, wenn die Vertraulichkeitsbezeichnung für das Power BI-Element (z. B. ein Bericht oder ein semantisches Modell, zuvor als Dataset bezeichnet) auf streng eingeschränkt festgelegt ist. Die benutzerdefinierte Sperrnachricht in Defender for Cloud-Apps lautet: Dateien mit der Bezeichnung „Streng eingeschränkt" dürfen nicht aus dem Power BI-Dienst heruntergeladen werden. Bitte sehen Sie sich die Inhalte online im Power BI-Dienst an. Wenden Sie sich bei Fragen an das Power BI-Supportteam.
Beispiel 2: Sie können eine Echtzeitzugriffsrichtlinie definieren, die verhindert, dass sich ein Benutzer beim Power BI-Dienst anmeldet, wenn er keinen Computer verwendet, der von der Organisation verwaltet wird. Die angepasste Blocknachricht in Defender für Cloud Apps liest Folgendes: Auf den Power BI-Dienst kann möglicherweise nicht auf einem persönlichen Gerät zugegriffen werden. Verwenden Sie das von der Organisation bereitgestellte Gerät. Wenden Sie sich bei allen Fragen an das Power BI-Supportteam.
Prüfliste – Bei den Überlegungen hinsichtlich Benutzernachrichten in Defender for Cloud-Apps sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, wann eine benutzerdefinierte Sperrnachricht erforderlich ist: Bestimmen Sie für jede Richtlinie, die Sie erstellen möchten, ob eine benutzerdefinierte Sperrnachricht erforderlich sein wird.
- Erstellen von benutzerdefinierten Sperrnachrichten: Definieren Sie für jede Richtlinie, welche Meldung Benutzern angezeigt werden soll. Planen Sie, jede Nachricht mit der Richtlinie in Verbindung zu bringen, sodass sie spezifisch und umsetzbar ist.
Administratorbenachrichtigung
Das Benachrichtigen ist nützlich, wenn Sie Ihre Sicherheits- und Complianceadministratoren darauf aufmerksam machen möchten, dass ein Richtlinienverstoß aufgetreten ist. Wenn Sie Richtlinien in Defender for Cloud-Apps definieren, sollten Sie überlegen, ob Benachrichtigungen generiert werden sollen. Weitere Informationen finden Sie unter Benachrichtigungsarten in Defender for Cloud-Apps.
Optional können Sie eine Benachrichtigung einrichten, um eine E-Mail an mehrere Administratoren zu senden. Wenn eine E-Mail-Benachrichtigung erforderlich ist, empfehlen wir Ihnen, eine E-Mail-fähige Sicherheitsgruppe zu verwenden. Beispielsweise können Sie eine Gruppe mit dem Namen Benachrichtigung für Sicherheits-und Datenschutzadministratoren verwenden.
In Situationen mit hoher Priorität ist es möglich, Benachrichtigungen per SMS zu senden. Es ist auch möglich, Automatisierung und Workflows für die benutzerdefinierte Benachrichtigung zu erstellen, indem Sie dies in Power Automate integrieren.
Sie können jede Benachrichtigung mit einem niedrigen, mittleren oder hohen Schweregrad einrichten. Der Schweregrad ist hilfreich, wenn Sie die Überprüfung offener Benachrichtigungen priorisieren. Ein Administrator wird jede Benachrichtigung überprüfen und bearbeiten müssen. Eine Benachrichtigung kann als True Positive, False Positive oder gutartig geschlossen werden.
Hier sind zwei Beispiele für Administratorbenachrichtigungen.
Beispiel 1: Sie können eine Echtzeit-Sitzungssteuerungsrichtlinie definieren, die alle Exporte und Downloads verhindert, wenn die Vertraulichkeitsbezeichnung für das Power BI-Element (z. B. ein Bericht oder ein semantisches Modell) auf Streng eingeschränkt festgelegt ist. Es enthält eine hilfreiche benutzerdefinierte Sperrnachricht für den Benutzer. In dieser Situation ist es jedoch nicht erforderlich, eine Benachrichtigung zu generieren.
Beispiel 2: Sie können eine Aktivitätsrichtlinie definieren, die nachverfolgt, ob ein externer Benutzer einen hoch privilegierten Bericht angezeigt hat, der dem Verwaltungsrat zur Verfügung gestellt wird. Eine Benachrichtigung mit hohem Schweregrad kann eingerichtet werden, um sicherzustellen, dass die Aktivität sofort untersucht wird.
Tipp
In Beispiel 2 werden die Unterschiede zwischen Informationsschutz und Sicherheit hervorgehoben. Die Aktivitätsrichtlinie kann dazu beitragen, Szenarien zu identifizieren, in denen Self-Service-BI-Benutzer über die Berechtigung zum Verwalten der Sicherheit für Inhalte verfügen. Dennoch können diese Benutzer Maßnahmen durchführen, die gemäß der Organisationsrichtlinie unerwünscht sind. Wir empfehlen Ihnen, diese Arten von Richtlinien nur unter bestimmten Umständen einzurichten, wenn die Informationen besonders vertraulich sind.
Prüfliste – Bei den Überlegungen zur Benachrichtigung von Administratoren in Defender for Cloud-Apps sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Entscheiden, wann Benachrichtigungen erforderlich sind: Entscheiden Sie für jede Richtlinie, die Sie erstellen möchten, welche Situationen die Verwendung von Benachrichtigungen rechtfertigen.
- Klären von Rollen und Verantwortlichkeiten: Bestimmen Sie die Erwartungen und die Aktionen, die ausgeführt werden sollen, wenn eine Benachrichtigung generiert wird.
- Bestimmen, wer Benachrichtigungen empfangen wird: Entscheiden Sie, welche Sicherheits- und Complianceadministratoren offene Benachrichtigungen überprüfen und bearbeiten werden. Vergewissern Sie sich, dass die Berechtigungs- und Lizenzierungsanforderungen für jeden Administrator erfüllt sind, der Defender for Cloud-Apps verwenden wird.
- Erstellen einer neuen Gruppe: Erstellen Sie bei Bedarf eine neue E-Mail-fähige Sicherheitsgruppe, die für E-Mail-Benachrichtigungen verwendet werden soll.
Richtliniennamenskonvention
Bevor Sie Richtlinien in Defender for Cloud-Apps erstellen, sollten Sie zunächst eine Namenskonvention erstellen. Eine Namenskonvention ist hilfreich, wenn es viele Arten von Richtlinien für viele Arten von Anwendungen gibt. Sie ist auch nützlich, wenn Power BI-Administratoren in die Überwachung einbezogen werden.
Tipp
Erwägen Sie, Ihren Power BI-Administratoren Zugriff auf Defender for Cloud-Apps zu gewähren. Verwenden Sie die Administratorrolle, mit der das Aktivitätsprotokoll, Anmeldeereignisse und Ereignisse im Zusammenhang mit dem Power BI-Dienst angezeigt werden können.
Betrachten Sie eine Vorlage für eine Namenskonvention, die Platzhalter für Komponenten enthält: <Anwendung> – <Beschreibung> – <Aktion> – <Richtlinientyp>
Hier finden Sie einige Beispiele für die Namenskonvention.
| Typ der Richtlinie | Echtzeit | Richtlinienname |
|---|---|---|
| Sitzungsrichtlinie | Ja | Power BI – Bezeichnung „Stark eingeschränkt“ – Downloads blockieren – RT |
| Zugriffsrichtlinie | Ja | Alle – Nicht verwaltetes Gerät – Zugriff blockieren – RT |
| Aktivitätsrichtlinie | Nein | Power BI – Verwaltungsaktivität |
| Aktivitätsrichtlinie | Nein | Power BI – Externer Benutzer sieht Geschäftsleitungsbericht an |
Zu den Komponenten der Namenskonvention gehören:
- Anwendung: Der Anwendungsname. Das Power BI-Präfix hilft bei der Gruppierung aller Power BI-spezifischen Richtlinien, wenn sie sortiert werden. Einige Richtlinien werden jedoch für alle Cloud-Apps und nicht nur für den Power BI-Dienst gelten.
- Beschreibung: Der Beschreibungsteil des Namens wird am stärksten variieren. Er kann Vertraulichkeitsbezeichnungen enthalten, die betroffen sind, oder die Art der Aktivität, die nachverfolgt wird.
- Aktion: (Optional) In den Beispielen enthält eine Sitzungsrichtlinie eine Aktion zum Blockieren von Downloads. Normalerweise ist eine Aktion nur erforderlich, wenn es sich um eine Echtzeitrichtlinie handelt.
- Art der Richtlinie: (Optional) Im Beispiel gibt das RT-Suffix an, dass es sich um eine Echtzeitrichtlinie handelt. Die Festlegung, ob es sich um Echtzeit handelt oder nicht, hilft bei der Verwaltung der Erwartungen.
Es gibt andere Attribute, die nicht im Richtliniennamen enthalten sein müssen. Diese Attribute umfassen den Schweregrad (niedrig, mittel oder hoch) und die Kategorie (z. B. Bedrohungserkennung oder DLP). Beide Attribute können auf der Benachrichtigungsseite gefiltert werden.
Tipp
Sie können eine Richtlinie in Defender for Cloud-Apps umbenennen. Es ist jedoch nicht möglich, die integrierten Richtlinien zur Anomalieerkennung umzubenennen. Beispielsweise ist die Richtlinie Verdächtige Power BI-Berichtsfreigabe eine integrierte Richtlinie, die nicht umbenannt werden kann.
Prüfliste – Bei den Überlegungen zur Richtliniennamenskonvention sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Auswählen einer Namenskonvention: Verwenden Sie Ihre ersten Richtlinien, um eine konsistente Namenskonvention einzurichten, die einfach zu interpretieren ist. Konzentrieren Sie sich auf die Verwendung eines konsistenten Präfixes und Suffixes.
- Dokumentieren der Namenskonvention: Stellen Sie eine Referenzdokumentation zur Richtliniennamenskonvention bereit. Stellen Sie sicher, dass Ihre Systemadministratoren sich der Namenskonvention bewusst sind.
- Aktualisieren vorhandener Richtlinien: Aktualisieren Sie alle vorhandenen Defender-Richtlinien, um die neue Namenskonvention einzuhalten.
Lizenzanforderungen
Zum Überwachen eines Power BI-Mandanten müssen bestimmte Lizenzen vorhanden sein. Administratoren müssen über eine der folgenden Lizenzen verfügen.
- Microsoft Defender for Cloud-Apps: Stellt Defender for Cloud-Apps-Funktionen für alle unterstützten Anwendungen (einschließlich den Power BI-Dienst) bereit.
- Office 365-Cloud-App-Sicherheit: Stellt Defender for Cloud-Apps-Funktionen für Office 365-Apps bereit, die Teil der Office 365 E5-Suite sind (einschließlich den Power BI-Dienst).
Wenn Benutzer außerdem Echtzeitzugriffsrichtlinien oder Sitzungsrichtlinien in Defender for Cloud-Apps verwenden müssen, werden sie eine Microsoft Entra ID P1-Lizenz benötigen.
Tipp
Wenn Sie Erläuterungen zu den Lizenzierungsanforderungen benötigen, wenden Sie sich an Ihr Microsoft-Kontoteam.
Prüfliste – Beim Auswerten von Lizenzanforderungen sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überprüfen der Lizenzierungsanforderungen für das Produkt: Stellen Sie sicher, dass Sie alle Lizenzierungsanforderungen für Defender for Cloud-Apps überprüft haben.
- Erwerben zusätzlicher Lizenzen: Kaufen Sie allenfalls weitere Lizenzen, um die Funktionalität zu entsperren, die Sie verwenden möchten.
- Lizenzen zuweisen: Weisen Sie jedem Ihrer Sicherheits- und Complianceadministratoren eine Lizenz zu, der Defender for Cloud-Apps verwenden wird.
Benutzerdokumentation und Training
Vor dem Rollout von Defender for Cloud-Apps empfehlen wir Ihnen, Benutzerdokumentationen zu erstellen und zu veröffentlichen. Eine SharePoint-Seite oder eine Wiki-Seite in Ihrem zentralisierten Portal kann gut funktionieren, da sie einfach zu verwalten sein wird. Ein Dokument, das in eine freigegebene Bibliothek oder eine Teams-Website hochgeladen wurde, ist ebenfalls eine gute Lösung.
Das Ziel der Dokumentation ist es, eine nahtlose Benutzererfahrung zu erreichen. Das Vorbereiten der Benutzerdokumentation wird Ihnen auch dabei helfen, sicherzustellen, dass Sie alles berücksichtigt haben.
Schließen Sie Informationen darüber ein, an wen sich die Benutzer bei Fragen oder technischen Problemen wenden können.
Häufig gestellte Fragen und Beispiele sind besonders hilfreich für die Benutzerdokumentation.
Prüfliste – Bei der Vorbereitung der Benutzerdokumentation und dem Benutzertraining sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Aktualisieren der Dokumentation für Inhaltsersteller und Consumer: Aktualisieren Sie Ihre häufig gestellten Fragen und Beispiele, um relevante Informationen zu DLP-Richtlinien aufzunehmen, denen Benutzer begegnen könnten.
- Veröffentlichen, wie Hilfe erhalten wird: Stellen Sie sicher, dass Ihre Benutzer wissen, wie sie Hilfe erhalten, wenn sie etwas Unerwartetes erleben oder etwas nicht verstehen.
- Ermitteln, ob ein bestimmtes Training erforderlich ist: Erstellen oder aktualisieren Sie Ihr Benutzertraining, um hilfreiche Informationen einzuschließen, insbesondere, wenn hierfür eine gesetzliche Anforderung besteht.
Unterstützung für Benutzer
Es ist wichtig, zu überprüfen, wer für den Benutzersupport verantwortlich sein wird. Es ist üblich, dass die Verwendung von Defender for Cloud-Apps für die Überwachung von Power BI von einem zentralisierten IT-Helpdesk durchgeführt wird.
Möglicherweise müssen Sie eine Dokumentation für den Helpdesk erstellen und einige Wissenstransfersitzungen durchführen, um sicherzustellen, dass der Helpdesk bereit ist, auf Supportanfragen zu reagieren.
Prüfliste – Bei der Vorbereitung der Benutzerunterstützungsfunktion sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Identifizieren, wer Benutzersupport bereitstellen wird: Bei der Definition von Rollen und Zuständigkeiten sollten Sie berücksichtigen, wie die Benutzer Hilfe bei Problemen erhalten werden, die möglicherweise auftauchen.
- Sicherstellen, dass das Benutzersupportteam bereit ist: Erstellen Sie eine Dokumentation, und führen Sie Sitzungen zum Wissenstransfer durch, um sicherzustellen, dass der Helpdesk bereit ist, diese Prozesse zu unterstützen.
- Kommunikation zwischen Teams: Besprechen Sie Nachrichten, die Benutzern möglicherweise angezeigt werden, und den Prozess zum Auflösen von offenen Benachrichtigungen mit Ihren Power BI-Administratoren und dem Center of Excellence. Stellen Sie sicher, dass alle Beteiligten auf potenzielle Fragen von Power BI-Benutzern vorbereitet sind.
Implementierungszusammenfassung
Nachdem die Entscheidungen getroffen und ein Rolloutplan erstellt wurde, ist es an der Zeit, mit der Implementierung zu beginnen.
Wenn Sie Echtzeitrichtlinien (Sitzungsrichtlinien oder Zugriffsrichtlinien) verwenden möchten, besteht Ihre erste Aufgabe darin, die App-Steuerung für bedingten Zugriff in Microsoft Entra einzurichten. Sie müssen den Power BI-Dienst als Katalog-App einrichten, die von Defender for Cloud-Apps kontrolliert werden wird.
Wenn die App-Steuerung für bedingten Zugriff in Microsoft Entra eingerichtet und getestet ist, können Sie Richtlinien in Defender for Cloud-Apps erstellen.
Wichtig
Wir empfehlen Ihnen, diese Funktionalität zuerst für eine kleine Anzahl von Testbenutzern einzuführen. Es gibt auch einen reinen Überwachungsmodus, den Sie möglicherweise hilfreich finden, um diese Funktionalität in geordneter Weise einzuführen.
Die folgende Prüfliste enthält eine zusammengefasste Liste der End-to-End-Implementierungsschritte. Viele der Schritte enthalten weitere Details, die in den vorherigen Abschnitten dieses Artikels behandelt wurden.
Prüfliste – Bei der Implementierung von Defender for Cloud-Apps mit Power BI sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überprüfen des aktuellen Zustands und der Ziele: Stellen Sie sicher, dass Sie Klarheit über den aktuellen Status von DLP für die Verwendung mit Power BI haben. Alle Ziele und Anforderungen für die Implementierung von DLP sollten klar sein und aktiv in den Entscheidungsprozess einfließen.
- Durchführen des Entscheidungsprozesses: Überprüfen und besprechen Sie alle erforderlichen Entscheidungen. Diese Aufgabe sollte durchgeführt werden, bevor Sie irgendetwas in der Produktion einrichten.
- Überprüfen der Lizenzierungsanforderungen: Stellen Sie sicher, dass Sie die Anforderungen für Produkt- und Benutzerlizenzierung verstehen. Erwerben Sie bei Bedarf weitere Lizenzen und weisen diese zu.
- Veröffentlichen der Benutzerdokumentation: Veröffentlichen Sie Informationen, die Benutzer benötigen werden, um Fragen zu beantworten und Erwartungen zu klären. Stellen Sie Ihren Benutzern Anleitungen, Kommunikationen und Training bereit, damit sie vorbereitet sind.
- Erstellen einer Microsoft Entra-Richtlinie für bedingten Zugriff: Erstellen Sie eine Richtlinie für bedingten Zugriff in Microsoft Entra ID, um Echtzeitkontrollen für die Überwachung des Power BI-Diensts zu aktivieren. Aktivieren Sie zunächst die Microsoft Entra-Richtlinie für bedingten Zugriff für einige Testbenutzer.
- Festlegen von Power BI als verbundene App in Defender for Cloud-Apps: Fügen Sie Power BI als verbundene App in Defender for Cloud-Apps für die App-Steuerung mit bedingtem Zugriff hinzu, oder stellen Sie sicher, dass es entsprechend angezeigt wird.
- Durchführen der anfänglichen Tests: Melden Sie sich beim Power BI-Dienst als einer der Testbenutzer an. Überprüfen Sie, ob der Zugriff funktioniert. Überprüfen Sie auch, dass die angezeigte Meldung Sie darüber informiert, dass die Power BI-Dienst von Defender for Cloud-Apps überwacht wird.
- Erstellen und Testen einer Echtzeitrichtlinie: Erstellen Sie mithilfe der bereits zusammengestellten Anwendungsfälle eine Zugriffsrichtlinie oder eine Sitzungsrichtlinie in Defender for Cloud-Apps.
- Durchführen der anfänglichen Tests: Führen Sie als Testbenutzer eine Aktion aus, welche die Echtzeitrichtlinie auslösen wird. Vergewissern Sie sich, dass die Aktion blockiert ist (falls zutreffend) und die erwarteten Warnmeldungen angezeigt werden.
- Sammeln von Benutzerfeedback: Erhalten Sie Feedback zum Prozess und zur Benutzererfahrung. Identifizieren Sie Unklarheiten, unerwartete Ergebnisse mit Typen vertraulicher Informationen und andere technische Probleme.
- Fortsetzen der iterative Releases: Fügen Sie schrittweise weitere Richtlinien in Defender for Cloud-Apps hinzu, bis alle Anwendungsfälle behandelt sind.
- Überprüfen der integrierten Richtlinien: Suchen Sie die integrierten Richtlinien für Anomalieerkennung in Defender for Cloud-Apps (die Power BI in ihrem Namen haben). Aktualisieren Sie bei Bedarf die Benachrichtigungseinstellungen für die integrierten Richtlinien.
- Fortfahren mit einem umfassenderen Rollout: Arbeiten Sie weiter an Ihrem iterativen Einführungsplan. Aktualisieren Sie die Microsoft Entra-Richtlinie für bedingten Zugriff, um sie bei Bedarf auf eine breitere Gruppe von Benutzern anzuwenden. Aktualisieren Sie einzelne Richtlinien in Defender for Cloud-Apps, um sie bei Bedarf auf eine breitere Gruppe von Benutzern anzuwenden.
- Überwachen, Optimieren und Anpassen: Investieren Sie Ressourcen, um Richtlinienübereinstimmungsbenachrichtigungen und Überwachungsprotokolle regelmäßig zu überprüfen. Untersuchen Sie alle False Positives, und passen Sie die Richtlinien bei Bedarf an.
Tipp
Diese Prüflistenelemente werden zu Planungszwecken zusammengefasst. Weitere Informationen zu diesen Prüflistenelementen finden Sie in den vorherigen Abschnitten dieses Artikels.
Ausführlichere Informationen zum Bereitstellen von Power BI als Kataloganwendung in Defender for Cloud-Apps finden Sie in unter Schritte zum Bereitstellen von Katalog-Apps.
Fortlaufende Überwachung
Nachdem Sie die Implementierung abgeschlossen haben, sollten Sie Ihre Aufmerksamkeit auf die Überwachung, Erzwingung und Anpassung von Defender for Cloud-Apps-Richtlinien basierend auf deren Nutzung lenken.
Power BI-Administratoren und Sicherheits- und Complianceadministratoren werden von Zeit zu Zeit zusammenarbeiten müssen. Für Power BI-Inhalte gibt es zwei Zielgruppen für die Überwachung.
- Power BI-Administratoren: Zusätzlich zu den von Defender for Cloud-Apps generierten Benachrichtigungen werden auch Aktivitäten aus dem Power BI-Aktivitätsprotokoll im Defender for Cloud-Apps-Portal angezeigt.
- Sicherheits- und Complianceadministratoren: Die Sicherheits- und Complianceadministratoren der Organisation werden in der Regel Defender for Cloud-Apps-Benachrichtigungen verwenden.
Es ist möglich, Ihren Power BI-Administratoren eine eingeschränkte Ansicht in Defender for Cloud-Apps bereitzustellen. Es verwendet eine bereichsbezogene Rolle, um das Aktivitätsprotokoll, Anmeldeereignisse und Ereignisse im Zusammenhang mit dem Power BI-Dienst anzuzeigen. Diese Funktion ist eine Erleichterung für Power BI-Administratoren.
Prüfliste – Bei der Überwachung von Defender for Cloud-Apps sind folgende wichtigen Entscheidungen und Aktionen zu berücksichtigen:
- Überprüfen von Rollen und Zuständigkeiten: Stellen Sie sicher, dass Sie sich darüber im Klaren sind, wer für welche Aktionen verantwortlich ist. Schulen Sie Ihre Power BI-Administratoren, und kommunizieren Sie mit ihnen, wenn sie für einen Aspekt der Überwachung verantwortlich sind.
- Verwalten des Zugriffs für Power BI-Administratoren: Fügen Sie Ihre Power BI-Administratoren der bereichsbezogenen Administratorrolle in Defender for Cloud-Apps hinzu. Kommunizieren Sie mit ihnen, damit sie wissen, was sie mit diesen zusätzlichen Informationen tun können.
- Erstellen oder validieren Ihres Prozesses für die Überprüfung von Aktivitäten: Stellen Sie sicher, dass Ihre Sicherheits- und Complianceadministratoren sich der Erwartungen an die regelmäßige Überprüfung des Aktivitäts-Explorers bewusst sind.
- Erstellen oder validieren Ihres Prozesses zum Auflösen von Benachrichtigungen: Stellen Sie sicher, dass Ihre Sicherheits- und Complianceadministratoren über einen Prozess verfügen, um offene Benachrichtigungen auflösen.
Zugehöriger Inhalt
Im nächsten Artikel dieser Reihe erfahren Sie mehr über die Überwachung des Informationsschutzes und der Verhinderung von Datenverlust für Power BI.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für