Power BI:n käyttöönoton suunnittelu: Tietojen menetyksen estäminen Power BI:lle
Muistiinpano
Tämä artikkeli on osa Power BI:n käyttöönoton suunnittelun artikkelisarjaa. Tässä sarjassa keskitytään ensisijaisesti Microsoft Fabricin Power BI -kokemukseen. Johdanto sarjaan on artikkelissa Power BI:n käyttöönoton suunnittelu.
Tässä artikkelissa kuvataan suunnittelutoimia, jotka liittyvät tietojen menetyksen estämisen (DLP) käyttöönottoon Power BI:ssä. Se on kohdistettu:
- Power BI -järjestelmänvalvojat: Järjestelmänvalvojat, jotka vastaavat Power BI:n valvonnasta organisaatiossa. Power BI -järjestelmänvalvojien on tehtävä yhteistyötä tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
- Center of Excellence, IT- ja BI-tiimit: Muut, jotka vastaavat Power BI:n valvonnasta organisaatiossa. Heidän täytyy ehkä tehdä yhteistyötä Power BI -järjestelmänvalvojien, tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
Tärkeä
Tietojen menetyksen estäminen (DLP) on merkittävä koko organisaation laajuinen yritys. Sen vaikutus on paljon suurempi kuin pelkästään Power BI:ssä. Tämäntyyppinen aloite edellyttää rahoitusta, priorisointia ja suunnittelua. Voit odottaa, että suunnitteluun, käyttöön ja valvontaan osallistuu useita funktionaalisia tiimejä.
Suosittelemme, että otat DLP:n käyttöön Power BI:n asteittaisen ja vaiheittaisen lähestymistavan. Lisätietoja käyttöönoton vaihetyypeistä on kohdassa Power BI:n tietojen suojaaminen (käyttöönoton vaiheet)..
DLP:n tarkoitus
Tietojen menetyksen estäminen (DLP) viittaa toimintoihin ja käytäntöihin, jotka turvaavat organisaation tiedot. DLP:n tavoitteena on vähentää tietovuodoiden riskiä, joka voi tapahtua, kun arkaluontoisia tietoja jaetaan valtuuttamattomien henkilöiden kanssa. Vaikka vastuullinen käyttäjän toiminta on tärkeä osa tietojen suojausta, DLP viittaa yleensä automatisoituihin käytäntöihin.
DLP-käytännöllä voit tehdä:
- Tunnista ja ilmoita järjestelmänvalvojille, kun arkaluontoisia tietoja on jaettu riskialttiisti, vahingossa tai väärin. Sen avulla voit:
- Paranna Power BI -vuokraajasi yleistä suojauksen määritystä automaatiolla ja tiedoilla.
- Ota käyttöön analyyttisia käyttötapauksia, joissa on arkaluontoisia tietoja.
- Anna valvontatiedot suojauksen järjestelmänvalvojille.
- Tilannekohtaisia ilmoituksia käyttäjille. Sen avulla voit:
- Auta käyttäjiä tekemään oikeat päätökset normaalin työnkulkunsa aikana.
- Opasta käyttäjiä noudattamaan tietojen luokittelu- ja suojauskäytäntöäsi vaikuttamatta kielteisesti heidän tuottavuuteensa.
DLP-palvelut
Yleisesti ottaen on olemassa kaksi eri palvelua, jotka voivat toteuttaa tietojen menetyksen estämisen.
- Microsoft Purview DLP -käytännöt Power BI:lle
- Microsoft Defender for Cloud Apps
Microsoft Purview DLP -käytännöt Power BI:lle
Power BI:n DLP-käytäntö määritetään Microsoft Purview -yhteensopivuusportaalissa. Se voi tunnistaa arkaluonteisia tietoja semanttisessa mallissa, joka on julkaistu Premium-työtilaan Power BI -palvelussa.
Tärkeä
Joskus tämä artikkeli viittaa Power BI Premiumiin tai sen kapasiteettitilauksiin (P-varastointiyksiköt). Ota huomioon, että Microsoft vahvistaa parhaillaan ostovaihtoehtoja ja poistaa käytöstä Kapasiteettikohtaisen Power BI Premiumin. Uusien ja nykyisten asiakkaiden kannattaa harkita Fabric-kapasiteettitilausten (F-varastointiyksiköiden) ostamista.
Lisätietoja on artikkelissa Power BI Premium -käyttöoikeuksien tärkeä päivitys ja Power BI Premiumin usein kysytyt kysymykset.
Tämäntyyppisen DLP-käytännön tavoitteena on lisätä käyttäjille tietoisuutta ja ilmoittaa järjestelmänvalvojille siitä, minne arkaluontoisia tietoja tallennetaan. DLP-käytäntö voi luoda käyttäjäilmoituksia ja järjestelmänvalvojahälytyksiä luottamuksellisten tietotyyppien tai luottamuksellisuustunnisteiden perusteella. Voit esimerkiksi määrittää, tallennetaanko luottokorttitiedot tai henkilökohtaisesti tunnistettavat tiedot (PII) semanttiseen malliin.
Muistiinpano
Tässä artikkelissa keskitytään Power BI:n DLP-käyttöön.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps on työkalu, jossa on monia ominaisuuksia. DLP on joitakin käytäntöjä, jotka voidaan määrittää Microsoft Defender for Cloud Appsissa (microsoft Entra ID -integroinnin kanssa). Nämä käytännöt voivat estää, kirjata tai ilmoittaa, kun tietyt käyttäjän toimet tapahtuvat. Jos käyttäjä esimerkiksi yrittää ladata Power BI -palvelusta raportin, jolle on määritetty erittäin rajoitettu luottamuksellisuustunniste, lataustoiminto estetään.
Defender for Cloud Apps for Power BI:n artikkelissa käsitellään Defender for Cloud Appsin käyttöä Power BI -palvelun valvontaan. Tämän artikkelin loppuosassa keskitytään Power BI:n DLP-tietokantaan.
Tärkeä
Microsoft Purview -yhteensopivuusportaalissa määritettyä Power BI:n DLP-käytäntöä voi käyttää vain sisällölle, joka on tallennettu Power BI Premium -työtilaan. Defender for Cloud Appsissa määritetyillä käytännöillä ei kuitenkaan ole vastaavaa Power BI Premium -edellytystä. Ota huomioon, että toiminnot, tarkoitus ja käytettävissä olevat toiminnot eroavat toisistaan työkalujen välillä. Suosittelemme, että käytät molempia työkalujoukkoja, jotta vaikutus olisi mahdollisimman suuri.
DLP for Power BI:n edellytykset
Nyt sinun olisi pitänyt suorittaa organisaatiotason suunnitteluvaiheet, jotka on kuvattu artikkelissa Power BI:n tietojen suojaaminen. Ennen kuin jatkat, sinun tulee selkeyttää:
- Nykyinen tila: Tämä on DLP:n nykyinen tila organisaatiossasi. Sinun pitäisi ymmärtää, missä määrin DLP on jo käytössä ja kuka on vastuussa sen hallinnasta.
- Tavoitteet ja vaatimukset: Strategiset tavoitteet DLP:n toteuttamiseksi organisaatiossasi. Tavoitteiden ja vaatimusten ymmärtäminen on ohjenuorana toteutuksessasi.
Yleensä otat käyttöön tietojen suojaamisen (kuvattu Artikkelissa Power BI:n tietojen suojaaminen) ennen DLP:n käyttöönottoa. Tämä ei kuitenkaan ole edellytys DLP:n käytölle Power BI:ssä. Jos luottamuksellisuustunnisteet julkaistaan, niitä voidaan käyttää DLP for Power BI:n kanssa. Voit myös käyttää luottamuksellisia tietotyyppejä Power BI:n DLP:n kanssa. Molemmat tyypit kuvataan tässä artikkelissa.
Tärkeimmät päätökset ja toiminnot
DLP-käytännön tarkoituksena on määrittää automatisoitu toiminto, joka perustuu sääntöihin ja ehtoihin ja sisältöön, jota aiot suojata. Sinun on tehtävä joitakin päätöksiä, jotka koskevat tavoitteitasi ja vaatimuksiasi tukevia sääntöjä ja ehtoja.
Yksittäisen DLP-käytännön erillisten sääntöjen etu on, että voit ottaa käyttöön mukautetut hälytykset tai käyttäjäilmoitukset.
DLP-käytäntöjen luettelolla ja DLP-käytäntösäännöillä on hierarkkinen tärkeysjärjestys. Käsittelyjärjestys vaikuttaa siihen, mikä käytäntö käynnistetään, kun se vastaanotetaan ensin.
Varoitus
Tämä osio ei ole tyhjentävä luettelo kaikista mahdollisista DLP-päätöksistä kaikille mahdollisille sovelluksille. Varmista, että teet yhteistyötä muiden sidosryhmien ja järjestelmänvalvojien kanssa tehdäksesi päätöksiä, jotka toimivat hyvin kaikissa sovelluksissa ja käyttötapauksissa. Suosittelemme esimerkiksi, että tutkit DLP-lisäkäytäntöjä OneDriveen tai SharePointiin tallennettujen lähdetiedostojen ja vietyjen tiedostojen suojaamiseksi. Tässä artikkelijoukossa keskitytään vain Power BI -palvelun sisältöön.
Luottamuksellisten tietojen tyyppi
Microsoft Purview -yhteensopivuusportaalissa määritetty Power BI:n DLP-käytäntö voi perustua joko luottamuksellisuustunnisteisiin tai luottamuksellisiin tietotyyppiin.
Tärkeä
Vaikka voit määrittää luottamuksellisuustunnisteita useimmille Power BI:n kohdetyypeille, tässä artikkelissa kuvatut DLP-käytännöt keskittyvät erityisesti semanttisiin malleihin. Semanttinen malli on julkaistava Premium-työtilaan.
Luottamuksellisuustunniste
Luottamuksellisuustunnisteiden avulla voit luokitella sisältöä, joka vaihtelee herkemmästä herkempään.
Kun Power BI:n DLP-käytäntö käynnistetään, luottamuksellisuustunnistesääntö tarkistaa semanttiset mallit (jotka julkaistaan Power BI -palveluun) tietyn luottamuksellisuustunnisteen esiintymisen osalta. Kuten Power BI:n Information Protection -artikkelissa on kuvattu, tunniste voidaan määrittää joko käyttäjän toimesta tai automatisoidulla prosessilla (esimerkiksi perityllä selitteellä tai oletusotsikolla).
Seuraavassa on joitakin esimerkkejä siitä, milloin voit luoda DLP-säännön luottamuksellisuustunnisteen perusteella.
- Säädösten noudattaminen: Sinulla on luottamuksellisuustunniste, joka on varattu tiedoille, joita koskevat tietyt lakisääteiset vaatimukset. Haluat lisätä tietoturvajärjestelmänvalvojille ilmoituksen, kun käyttäjät määrittävät luottamuksellisuustunnisteen semanttiseen malliin Power BI -palvelussa.
- Muistutukset sisällöntekijöille luottamuksellisista tiedoista: Sinulla on luottamuksellisuustunniste, jota käytetään luottamuksellisiin tietoihin. Haluat luoda käyttäjäilmoituksen, kun käyttäjä tarkastelee semanttisen mallin tietosivua Power BI -palvelun tietokeskuksessa . Voit esimerkiksi muistuttaa käyttäjiä siitä, miten luottamuksellisia tietoja käsitellään asianmukaisesti.
Muita käyttäjän ilmoituksiin ja hälytyksiin liittyviä huomioon otettavia seikkoja käsitellään tämän artikkelin seuraavassa osiossa.
Tarkistusluettelo – Kun otetaan huomioon luottamuksellisuustunnistesääntöjen tarpeet, tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Tarkista tietojen suojauksen nykyinen tila: Varmista, että luottamuksellisuustunnisteet on otettu käyttöön organisaatiossa ja että ne ovat valmiita DLP-käytäntöjen käyttöön.
- Käännä DLP:n käyttötapaukset luottamuksellisuustunnisteiden perusteella: Selvitä, mitkä luottamuksellisuustunnisteet hyötyisivät DLP-käytäntöjen käyttöön ottamisesta. Mieti tavoitteitasi, säädöksiäsi ja sisäisiä vaatimuksiasi.
- Priorisoi DLP:n käyttötapausluettelo luottamuksellisuustunnisteiden perusteella: Keskustele tiimisi kanssa tärkeimmistä prioriteeteista. Määritä, mitkä kohteet priorisoidaan projektisuunnitelmassasi.
Muistiinpano
DLP-käytännöt ovat yleensä automatisoituja. Vastuullisilla käyttäjien toimilla on kuitenkin myös ratkaiseva rooli tietojen suojaamisessa.
Lisätietoja on artikkelissa Power BI:n tietojen suojaus (Tietojen luokittelu- ja suojauskäytäntö). Se kuvailee sisäisen hallinnon käytäntöä, joka antaa ohjeita siitä, mitä käyttäjät voivat ja eivät voi tehdä sisällölle, joka on määritetty tietylle luottamuksellisuustunnisteella.
Luottamukselliset tietotyypit
Kaikki tietotyypit eivät ole samoja, vaan ne eivät ole samoja. tietyntyyppiset tiedot ovat luontaisesti herkempiä kuin toiset. On olemassa useita erilaisia luottamuksellisia tietotyyppejä (SIT). Toimialastasi ja vaatimustenmukaisuusvaatimuksista riippuen vain joitakin SIT-suodattimia sovelletaan organisaatioosi.
Yleisiä esimerkkejä SSI:istä ovat:
- Passportin, sosiaaliturvatunnuksen ja kuljettajan lisenssinumerot
- Pankkitili- ja reititysluvut
- Luottokorttien ja pankkikorttien numerot
- Verotunnisteet ja kansalliset tunnusnumerot
- Terveystunnusten numerot ja lääketieteelliset tiedot
- Fyysiset osoitteet
- Tiliavaimet, salasanat ja tietokannan yhteysmerkkijonot
Vihje
Jos luottamuksellisilla tiedoilla ei ole analyyttista arvoa, kysy itseltäsi, pitäisikö niiden sijaita analyyttisessa järjestelmässä. Suosittelemme, että opetat sisällöntuottajat tekemään hyviä päätöksiä siitä, mitä tietoja Power BI:hin tallennetaan.
SSIT-kaaviot ovat kuviopohjaisia luokittajia. He etsivät tunnettua mallia tekstistä käyttämällä säännönmukaisia lausekkeita.
Löydät useita esimääritettyjä SSIT-tietoja Microsoft Purview -yhteensopivuusportaalista. Kun ne täyttävät vaatimuksesi, säästä aikaa käyttämällä etukäteen määritettyä SIT-aikaa. Harkitse luottokortin numeroa , joka on ennalta määritetty SIT: Se havaitsee kaikkien tärkeimpien korttien myöntäjien oikeat mallit, varmistaa tarkistussumman kelpoisuuden ja etsii asianmukaisen avainsanan luottokortin numeron läheisyydestä.
Jos ennalta määritetyt SIT-tunnukset eivät vastaa tarpeitasi tai sinulla on omistusoikeudellisia tietomalleja, voit luoda mukautetun SIT-palvelun. Voit esimerkiksi luoda mukautetun SIT-kohteen, joka vastaa työntekijän tunnusnumeron mallia.
Kun SIT on määritetty, Power BI:n DLP-käytäntö käynnistetään, kun semanttinen malli ladataan tai päivitetään. Tällöin luottamuksellisen tietotyypin sääntö tarkistaa semanttiset mallit (Power BI -palvelussa) arkaluontoisten tietotyyppien esiintymisen.
Seuraavassa on joitakin esimerkkejä siitä, milloin voit luoda DLP-säännön luottamuksellisen tietotyypin perusteella.
- Säädösten noudattaminen: Sinulla on luottamuksellisia tietotyyppejä, jotka ovat sääntelyvaatimusten alaisia. Haluat luoda tietoturvajärjestelmänvalvojille ilmoituksen, kun tällaista tietotyyppiä havaitaan semanttisessa mallissa Power BI -palvelussa.
- Sisäiset vaatimukset: Sinulla on arkaluonteinen tietotyyppi, joka tarvitsee erityiskäsittelyä. Sisäisten vaatimusten täyttämiseksi haluat luoda käyttäjäilmoituksen, kun käyttäjä tarkastelee semanttisen mallin asetuksia tai semanttisen mallin tietosivua tietokeskuksessa (Power BI -palvelussa).
Tarkistusluettelo – Kun otetaan huomioon luottamuksellisten tietotyyppien tarpeet, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:
- Laadi DLP:n käyttötapauksia luottamuksellisten tietotyyppien perusteella: Määritä, mitkä arkaluontoiset tietotyypit hyötyisivät DLP-käytäntöjen käyttöön omisesta. Mieti tavoitteitasi, säädöksiäsi ja sisäisiä vaatimuksiasi.
- Testaa olemassa olevia luottamuksellisia tietotyyppejä: varmista yhdessä tietoturvatiimin kanssa, että ennalta määritetyt SIT-tunnukset vastaavat tarpeitasi. Testitietojen avulla voit varmistaa, että kuviot ja avainsanat on tunnistettu oikein.
- Luo mukautettuja luottamuksellisia tietotyyppejä: Jos sovellettavissa, luo yhdessä tietoturvatiimisi kanssa SIT-suodattimia, jotta niitä voidaan käyttää Power BI:n DLP:ssä.
- Priorisoi käyttötapausluettelo: Keskustele tärkeimmistä prioriteeteista tiimisi kanssa. Määritä, mitkä kohteet priorisoidaan projektisuunnitelmassasi.
Käyttäjän ilmoitukset
Kun olet tunnistanut DLP:n käyttötapauksia luottamuksellisuustunnisteiden ja SSIT-tietojen kanssa, mieti seuraavaksi, mitä tapahtuu, kun DLP-sääntövastaavuus tapahtuu. Siihen liittyy yleensä käyttäjäilmoitus.
DLP-käytäntöjen käyttäjäilmoituksia kutsutaan myös käytäntövihjeiksi. Niistä on hyötyä, kun haluat antaa käyttäjillesi lisää ohjeita ja tietoisuutta heidän työnsä normaalin kurssin aikana. On todennäköisempää, että käyttäjät lukevat ja imevät käyttäjien ilmoituksia, jos ne ovat:
- Tarkka: viestin korrelointi säännölle helpottaa ymmärtämistä huomattavasti.
- Toiminnallinen: Ehdotuksen tarjoaminen siitä, mitä käyttäjän täytyy tehdä tai miten saada lisätietoja.
DLP:n osalta Power BI:ssä käyttäjäilmoitukset näkyvät semanttisen mallin asetuksissa. Ne näkyvät myös tietokeskuksen semanttisen mallin tietosivun yläosassa seuraavassa näyttökuvassa esitetyllä tavalla. Tässä tapauksessa ilmoitus kuuluu: Nämä tiedot sisältävät luottokortteja. Tätä tietotyyppiä ei sallita Power BI:ssä tietojen luokittelu-, suojaus- ja käyttökäytännön mukaisesti.
Voit määrittää yhden tai useamman sääntöjen kullekin DLP-käytännölle. Kullakin säännöllä voi halutessaan olla eri käytäntövihje, joka näytetään käyttäjille.
Katso seuraavaa esimerkkiä siitä, miten voit määrittää DLP-käytännön semanttisiin malleihin tallennettujen taloustietojen tunnistamiseksi Power BI -palvelussa. DLP-käytäntö käyttää SIT-suodattimia, ja siinä on kaksi sääntöä.
- Sääntö 1: Ensimmäinen sääntö havaitsee luottokorttinumerot. Mukautetun käytäntövihjeen tekstinä on: Nämä tiedot sisältävät luottokorttinumerot. Tätä tietotyyppiä ei sallita Power BI:ssä tietojen luokittelu- ja suojauskäytännön mukaisesti.
- Sääntö 2: Toinen sääntö tunnistaa rahoitustilit. Mukautetun käytännön vihjeen tekstinä on: Nämä tiedot sisältävät arkaluonteisia taloustietoja. Se edellyttää Erittäin rajoitetun selitteen käyttöä. Katso vaatimuksia taloustietojen tallennuksesta tietojen luokitus- ja suojauskäytännöstä.
Sääntö 1 on kiireellisempi kuin sääntö 2. Sääntö 1 on tarkoitettu ilmoittamaan, että jokin ongelma edellyttää toimia. Toinen sääntö on tarkempi. Kiireellisissä ongelmissa on hyvä määrittää hälytykset. Järjestelmänvalvojien ilmoitukset esitellään seuraavassa osiossa.
Kun päätät, mitä ilmoituksia käyttäjien tulisi saada, suosittelemme keskittymään vain erittäin tärkeiden ilmoitusten näyttämiseen. Jos käytäntöilmoituksia on liikaa, käyttäjät saattavat hukkua niihin. Tämä johtaa siihen, että joitain ilmoituksia saatetaan jättää huomiotta.
Käyttäjät voivat tehdä toimia ilmoittamalla ongelmasta , kun he uskovat sen olevan epätosi positiivinen (virheellinen). On myös mahdollista antaa käyttäjän ohittaa käytäntö. Näiden toimintojen tarkoituksena on mahdollistaa viestintä Power BI:n käyttäjien ja Power BI:n DLP:tä hallinnoivien suojauksen järjestelmänvalvojien välillä.
Tarkistusluettelo – DLP-käyttäjäilmoituksia harkittaessa tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Päätä, milloin käyttäjäilmoituksia tarvitaan: Määritä jokaiselle luotavalle DLP-säännölle, vaaditaanko mukautettu käyttäjäilmoitus.
- Luo mukautettuja käytäntövihjeitä: Määritä jokaiselle ilmoitukselle, mikä sanoma näytetään käyttäjille. Suunnittele viestin korreloiminen DLP-sääntöön niin, että se on erityinen ja toiminnallinen.
Järjestelmänvalvojan ilmoitus
Hälytyksestä on hyötyä tietyissä DLP-säännöissä, kun haluat seurata tapauksia, joissa käytäntörike on tapahtunut. Kun määrität DLP-käytäntösääntöjä, harkitse, luodaanko hälytyksiä .
Vihje
Ilmoitukset on suunniteltu kiinnimään järjestelmänvalvojan huomio tiettyihin tilanteisiin. Ne sopivat parhaiten, kun aiot tutkia ja ratkaista tärkeitä hälytyksiä aktiivisesti. Löydät kaikki DPS-sääntövastaavuudet toimintojenhallinnasta Microsoft Purview -yhteensopivuusportaalista.
Ilmoitukset ovat hyödyllisiä, kun haluat:
- Varmista, että suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojilla on havaittu jotakin DLP-ilmoitusten hallintakoontinäytön kautta. Vaihtoehtoisesti voit myös lähettää sähköpostiviestin tietylle käyttäjäjoukolle.
- Katso lisätietoja tapahtumasta.
- Määritä tapahtuma jollekulle sen tutkimista varten.
- Hallitse tapahtuman tilaa tai lisää siihen kommentteja.
- Näytä muut saman käyttäjän toimintaa varten luomat hälytykset.
Jokainen ilmoitus voidaan määrittää vakavuustason mukaan, joka voi olla pieni, keskitasoinen tai suuri. Vakavuustaso auttaa asettamaan avoimien hälytysten tarkastelun tärkeysjärjestykseen.
Seuraavassa on kaksi esimerkkiä siitä, miten hälytyksiä voidaan käyttää.
Esimerkki 1: Olet määrittänyt DLP-käytännön semanttisiin malleihin tallennettujen taloustietojen tunnistamiseksi Power BI -palvelussa. DLP-käytäntö käyttää luottamuksellisia tietotyyppejä. Siinä on kaksi sääntöä.
- Sääntö 1: Tämä sääntö tunnistaa luottokorttinumerot. Suuren vakavuuden hälytys on käytössä. Myös sähköpostiviesti luodaan.
- Sääntö 2: Tämä sääntö tunnistaa rahoitustilit. Suuren vakavuuden hälytys on käytössä.
Esimerkki 2: Olet määrittänyt DLP-käytännön, joka käynnistetään, kun erittäin rajoitettu\Executive Committee and Board Members -luottamuksellisuustunniste on määritetty semanttiseen malliin Power BI -palvelussa. Se ei luo käyttäjäilmoitusta. Tässä tilanteessa et ehkä halua luoda hälytystä, koska haluat vain kirjata esiintymän. Tarvittaessa voit hankkia lisätietoja toimintojenhallinnasta.
Kun sähköposti-ilmoitus vaaditaan, suosittelemme, että käytät sähköpostia käyttävää käyttöoikeusryhmää. Voit esimerkiksi käyttää ryhmää nimeltä Suojaus ja tietosuojan järjestelmänvalvojan ilmoitukset.
Vihje
Muista, että Power BI:n DLP-säännöt tarkistetaan aina, kun semanttinen malli ladataan tai päivitetään. Tämä tarkoittaa, että ilmoitus voidaan luoda aina, kun semanttinen malli päivitetään. Tietojen säännöllinen tai usein toistuva päivitys voi aiheuttaa valtavan määrän kirjattuja tapahtumia ja ilmoituksia.
Tarkistusluettelo – Kun harkitset DLP-ilmoituksia järjestelmänvalvojille, tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Päätä, milloin ilmoituksia tarvitaan: Selvitä jokaisen luotavan DLP-säännön kohdalla, mitkä tilanteet oikeuttavat hälytysten käyttöön.
- Selventää rooleja ja vastuita: Selvitä odotukset ja erityiset toimet, jotka on suoritettava ilmoitusta luotaessa.
- Määritä, kuka saa hälytyksiä: Päätä, mitkä suojauksen ja yhteensopivuuden järjestelmänvalvojat käsittelevät avoimia hälytyksiä. Vahvista, että käyttöoikeudet ja käyttöoikeusvaatimukset täyttyvät kullekin järjestelmänvalvojalle, joka käyttää Microsoft Purview -yhteensopivuusportaalia.
- Luo sähköpostiryhmiä: Luo tarvittaessa uusia sähköpostia käyttäviä käyttöoikeusryhmiä ilmoitusten käsittelyä varten.
Työtilat vaikutusalueella
Microsoft Purview -yhteensopivuusportaalissa määritetty Power BI:n DLP-käytäntö on tarkoitettu semanttisten mallien kohdistamiseen. Erityisesti se tukee Premium-työtilaan julkaistujen semanttisten mallien skannaamista.
Voit määrittää DLP-käytännön kaikkien Premium-työtilojen skannaamiseksi. Vaihtoehtoisesti voit sisällyttää tai sulkea pois tiettyjä työtiloja. Voit esimerkiksi sulkea pois tietyt kehitys- tai testityötilat, joita pidetään pienempinä riskeinä (erityisesti, jos ne eivät sisällä todellisia tuotantotietoja). Vaihtoehtoisesti voit luoda erillisiä käytäntöjä tietyille kehitys- tai testityötiloille.
Vihje
Jos päätät, että DLP:hen sisällytetään vain Osa Premium-työtiloistasi, harkitse ylläpidon tasoa. DLP-sääntöjä on helpompi ylläpitää, kun kaikki Premium-työtilat sisällytetään. Jos päätät sisällyttää vain premium-työtilojen alijoukon, varmista, että valvontaprosessi on käytössä, jotta voit nopeasti tunnistaa, puuttuuko uusi työtila DLP-käytännöstä.
Lisätietoja työtilasta on työtilan suunnitteluartikkeleissa .
Tarkistusluettelo – Kun otetaan huomioon, mitkä työtilat sisällytetään DLP:n piiriin, tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Päätä, mitä Premium-työtiloja tulee käyttää DLP:ssä: Harkitse, tuleeko DLP-käytäntöjen vaikuttaa kaikkiin Power BI Premium -työtiloihin vai vain niiden alijoukkoon.
- Luo dokumentaatio työtilan määritykselle: Tiedosto, johon DLP koskee soveltuvissa tapauksissa työtiloja. Sisällytä ehdot ja syyt siihen, miksi työtilat sisällytetään tai jätetään pois.
- Korreloi DLP-päätökset työtilasi hallintoon: Päivitä tarvittaessa työtilan hallintadokumentaatio ja sisällytä tiedot siitä, miten DLP:tä käsitellään.
- Harkitse muita tärkeitä tiedostosijainteja: Määritä Power BI -palvelun lisäksi, täytyykö sinun luoda muita DLP-käytäntöjä, jotta voit suojata OneDriveen tai SharePointiin tallennettuja lähdetiedostoja ja vietyjä tiedostoja.
Käyttöoikeusvaatimukset
DLP:n käyttöön liittyy useita käyttöoikeusvaatimuksia. Microsoft Purview Information Protection -käyttöoikeus vaaditaan järjestelmänvalvojille, jotka perustavat, hallitsevat ja valvovat DLP:tä. Sinulla saattaa jo olla nämä käyttöoikeudet, koska ne sisältyvät joihinkin käyttöoikeuspaikkoihin, kuten Microsoft 365 E5:een. Vaihtoehtoisesti voit ostaa Microsoft 365 E5 -yhteensopivuusominaisuudet erillisenä käyttöoikeutena.
Lisäksi Power BI:n DLP-käytännöt edellyttävät Power BI Premiumia. Tämä käyttöoikeusvaatimus voidaan täyttää Premium-kapasiteetilla tai käyttäjäkohtaisen Premiumin (PPU) käyttöoikeudella.
Vihje
Jos tarvitset selvennyksiä käyttöoikeusvaatimuksiin, ota yhteys Microsoft-tilitiimiin. Huomaa, että Microsoft 365 E5 -yhteensopivuuskäyttöoikeus sisältää muita DLP-ominaisuuksia, jotka ovat tämän artikkelin aihealueella.
Tarkistusluettelo – DLP-käyttöoikeuksien vaatimuksia arvioitaessa tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Tarkista tuotteiden käyttöoikeuksien vaatimukset: Varmista, että olet tarkistanut kaikki DLP:n käyttöoikeusvaatimukset.
- Tarkista Premium-käyttöoikeuden vaatimukset: Varmista, että DLP:lle määritettävät työtilat ovat Premium-työtiloja.
- Hanki lisää käyttöoikeuksia: Jos sovellettavissa, osta lisää käyttöoikeuksia ja avaa niiden toimintojen lukitus, joita aiot käyttää.
- Määritä käyttöoikeudet: Määritä käyttöoikeus kullekin suojaus- ja vaatimustenmukaisuusjärjestelmänvalvojallesi, joka tarvitsee niitä.
Käyttäjädokumentaatio ja koulutus
Suosittelemme, että luot ja julkaiset käyttäjädokumentaation ennen DLP:n käyttöönottoa Power BI:ssä. Keskitetyn portaalin SharePoint-sivu tai wiki-sivu voi toimia hyvin, koska se on helppo ylläpitää. Myös jaettuun kirjastoon tai Teams-sivustoon ladattu tiedosto on hyvä ratkaisu.
Ohjeiden tavoitteena on saada saumaton käyttökokemus. Myös käyttäjädokumentaation valmisteleminen auttaa sinua varmistamaan, että olet huomioinut kaiken.
Sisällytä tietoja siitä, keneen ottaa yhteyttä, kun käyttäjillä on kysyttävää tai teknisiä ongelmia. Koska tietojen suojaus on koko organisaation laajuinen projekti, IT-organisaatio tarjoaa usein tukea.
Usein kysytyt kysymykset ja esimerkit ovat erityisen hyödyllisiä käyttäjädokumentaatiossa.
Vihje
Lisätietoja on artikkelissa Power BI:n tietojen suojaus (Tietojen luokittelu- ja suojauskäytäntö). Artikkelissa kuvataan ehdotuksia tietojen luokitus- ja suojauskäytännön luomiseksi, jotta käyttäjät ymmärtävät, mitä he voivat ja eivät voi tehdä luottamuksellisuustunnisteilla.
Tarkistusluettelo – Kun valmistellaan käyttäjädokumentaatiota ja koulutusta, tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Päivitä sisällöntuottajien ja kuluttajien dokumentaatio: Päivitä usein kysytyt kysymykset ja esimerkit sisältämään tarvittavat ohjeet DLP-käytäntöihin.
- Julkaise ohjeet ohjeiden hankkimiseen: Varmista, että käyttäjät tietävät, miten he saavat apua, kun heillä ilmenee jotakin odottamatonta tai etteivät he ymmärrä sitä.
- Määritä, tarvitaanko tiettyä koulutusta: Luo tai päivitä käyttäjän koulutus, jotta se sisältää hyödyllisiä tietoja, erityisesti jos siihen liittyy sääntelyvaatimus.
Käyttäjätuki
On tärkeää varmistaa, kuka vastaa käyttäjätukesta. On yleistä, että keskitetty IT-tukipalvelu tukee DLP:tä.
Sinun täytyy ehkä luoda ohjeita tukipalvelulle (kutsutaan joskus runbookiksi). Sinun on ehkä myös suoritettava tiedonsiirtoistuntoja varmistaaksesi, että tukipalvelu on valmis vastaamaan tukipyyntöihin.
Tarkistusluettelo – Kun valmistaudut käyttäjän tukitoimintoon, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Määritä, kuka antaa käyttäjätukea: Kun määrität rooleja ja vastuita, varmista, että huomioit, miten käyttäjät saavat apua DLP:hen liittyvissä ongelmissa.
- Varmista, että käyttäjätukitiimi on valmis: Luo dokumentaatio ja suorita tiedonsiirtoistuntoja varmistaaksesi, että tukipalvelu on valmis tukemaan DLP:tä.
- Viestintä tiimien välillä: Keskustele käyttäjien ilmoituksista ja prosessista DLP-ilmoitusten ratkaisemiseksi tukitiimin sekä Power BI -järjestelmänvalvojiesi ja Center of Excellencen kanssa. Varmista, että kaikki mukana olevat ovat valmiita Power BI -käyttäjien mahdollisiin kysymyksiin.
Toteutus- ja testausyhteenveto
Kun päätökset on tehty ja edellytykset on täytetty, on aika aloittaa DLP:n käyttöönotto ja testaus Power BI:tä varten.
Power BI:n DLP-käytännöt määritetään Microsoft Purview -yhteensopivuusportaalissa (tunnettiin aiemmin nimellä Microsoft 365 -yhteensopivuuskeskus) Microsoft 365 -hallintakeskuksessa.
Vihje
DLP:n määrittämiseen Power BI:lle Microsoft Purview -yhteensopivuusportaalissa liittyy vain yksi vaihe kahden sijaan käytännön määrittämiseen. Tämä prosessi eroaa siitä, kun m määrittät tietojen suojaamisen Microsoft Purview -yhteensopivuusportaalissa (kuvattu artikkelissa Power BI:n tietojen suojaaminen). Tässä tapauksessa oli kaksi erillistä vaihetta selitteen määrittämiseen ja otsikkokäytännön julkaisemiseen. Tässä tapauksessa DLP:n tapauksessa toteutusprosessissa on vain yksi vaihe.
Seuraava tarkistusluettelo sisältää yhteenvedon kaikista päästä päähän -toteutusvaiheista. Monissa vaiheissa on myös muita tietoja, jotka on kuvattu tämän artikkelin aiemmissa osioissa.
Tarkistusluettelo – Kun otat DLP:n käyttöön Power BI:lle, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Tarkista nykyiset tilat ja tavoitteet: Varmista, että olet selvillä DLP:n nykyisestä tilasta Power BI:ssä käyttöä varten. Kaikkien DLP:n toteutusta koskevien tavoitteiden ja vaatimusten on oltava selkeitä ja niitä tulee käyttää aktiivisesti päätöksentekoprosessin ohjaamiseen.
- Tee päätöksiä: Tarkastele ja keskustele kaikista tarvittavista päätöksistä. Tämän pitäisi tapahtua ennen kuin mitään määritettäessä mitään tuotannossa.
- Tarkista käyttöoikeusvaatimukset: Varmista, että ymmärrät tuotteiden käyttöoikeus- ja käyttöoikeusvaatimukset. Hanki ja määritä tarvittaessa lisää käyttöoikeuksia.
- Julkaise käyttäjädokumentaatio: Julkaise tietoja, joita käyttäjien täytyy vastata kysymyksiin ja selventää odotuksia. Anna ohjeita, viestintää ja koulutusta käyttäjillesi, jotta he voivat valmistautua.
- DLP-käytäntöjen luominen: Luo ja määritä kukin DLP-käytäntö Microsoft Purview -yhteensopivuusportaalissa. Katso kaikki DLP-sääntöjen määrittämistä koskevat aiemmin tehdyt päätökset.
- Suorita alkutestaus: Suorita ensimmäinen testijoukko sen varmistamiseksi, että kaikki on määritetty oikein. Käytä testitilaa joidenkin mallitietojen kanssa määrittämään, toimiiko kaikki odottamallasi tavalla ja minimoimaan vaikutukset käyttäjiin. Käytä aluksi pientä Premium-työtilojen alijoukkoa. Jos sinulla on käyttöoikeus vuokraajaan, jotka eivät ole tuotannossa, harkitse käyttöoikeutta.
- Palautteen kerääminen käyttäjälle: Pyydä palautetta prosessista ja käyttökokemuksesta. Tunnista sekaannusten tai odottamattomien tulosten alueet, joissa on arkaluonteisia tietotyyppejä, ja muita teknisiä ongelmia.
- Jatka toistuvia julkaisuja: lisää vähitellen lisää Premium-työtiloja DLP-käytäntöön, kunnes ne kaikki sisältyvät mukaan.
- Valvo, hienosäädä ja säädä: Sijoita resursseja, jotta voit tarkistaa käytäntövastaavuuden hälytyksiä ja valvontalokeja usein. Tutki vääriä positiivisia tietoja ja mukauta käytäntöjä tarvittaessa.
Vihje
Näistä tarkistusluettelon kohteista tehdään yhteenveto suunnittelua varten. Lisätietoja näistä tarkistusluettelon kohteista on tämän artikkelin aiemmissa osissa.
Jos haluat tehdä muita toimia alkuperäisen käyttöönoton jälkeen, katso Defender for Cloud Apps ja Power BI.
Jatkuva seuranta
Kun olet suorittanut toteutuksen, kiinnitä huomiosi DLP-käytäntöjen valvontaan, valvontaan ja muuttamiseen niiden käytön mukaan.
Power BI -järjestelmänvalvojien sekä suojauksen ja yhteensopivuuden järjestelmänvalvojien on tehtävä ajoittain yhteistyötä. Power BI -sisällössä on kaksi käyttäjäryhmää seurantaa varten.
- Power BI -järjestelmänvalvojat: Power BI:n toimintolokiin kirjataan merkintä aina, kun DLP-sääntö täsmää. Power BI:n toimintolokin merkintä tallentaa DLP-tapahtuman tiedot, mukaan lukien käyttäjän, päivämäärän ja ajan, kohteen nimen, työtilan ja kapasiteetin. Se sisältää myös tietoja käytännöstä, kuten käytännön nimen, säännön nimen, vakavuuden ja vastaavan ehdon.
- Suojauksen ja yhteensopivuuden järjestelmänvalvojat: Organisaation suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojat käyttävät yleensä Microsoft Purview -raportteja, -hälytyksiä ja -valvontalokeja.
Varoitus
DLP:n valvonta Power BI -käytännöissä ei tapahdu reaaliajassa, koska DLP-lokien ja hälytysten luontiin kuluu aikaa. Jos tavoitteenasi on reaaliaikainen pakottaminen, katso Defender for Cloud Apps for Power BI (reaaliaikaiset käytännöt).
Tarkistusluettelo – Kun valvot DLP:tä Power BI:ssä, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Tarkista roolit ja vastuut: Varmista, että olet selvillä siitä, kuka on vastuussa mistäkin toiminnosta. Opeta ja kommunikoi Power BI -järjestelmänvalvojien tai suojauksen järjestelmänvalvojien kanssa, jos he vastaavat suoraan joistakin DLP-valvonnan näkökohdista.
- Luo tai vahvista prosessi toiminnan tarkistamista varten: Varmista, että suojauksen ja yhteensopivuuden järjestelmänvalvojat ovat selvillä toiminnoista, jotka koskevat toimintojen hallinnan säännöllistä tarkistusta.
- Luo tai vahvista prosessi ilmoitusten ratkaisemiseksi: Varmista, että suojauksen ja vaatimustenmukaisuuden järjestelmänvalvojilla on prosessi käynnissä DLP-ilmoitusten tutkimiseksi ja ratkaisemiseksi, kun käytäntövastaavuus tapahtuu.
Vihje
Lisätietoja valvonnasta on ohjeartikkelissa Tietojen suojaamisen valvonta ja tietojen menetyksen estäminen Power BI:ssä.
Liittyvä sisältö
Tämän sarjan seuraavassa artikkelissa on tietoja Defender for Cloud Appsin käyttämisestä Power BI:n kanssa.