Planification de l’implémentation de Power BI : Defender for Cloud Apps pour Power BI
Notes
Cet article fait partie de la série d’articles sur la planification de l’implémentation de Power BI. Cette série se concentre principalement sur la charge de travail Power BI au sein de Microsoft Fabric. Pour une introduction à la série, consultez Planification de l’implémentation de Power BI.
Cet article décrit les activités de planification liées à l’implémentation de Defender for Cloud Apps en ce qui concerne la surveillance de Power BI. Il cible :
- Administrateurs Power BI : Les administrateurs chargés de superviser Power BI dans l’organisation. Les administrateurs Power BI ont besoin de collaborer avec les équipes de sécurité de l’information et d’autres équipes pertinentes.
- Centre d’excellence, service informatique et équipes BI : les autres qui sont également responsables de la supervision de Power BI au sein de l’organisation. Ils peuvent devoir collaborer avec les administrateurs Power BI, les équipes de sécurité des informations et d’autres équipes pertinentes.
Important
La surveillance et la protection contre la perte de données (DLP) constituent une entreprise importante à l’échelle de l’organisation. Son étendue et son impact sont bien plus importants que Power BI seul. Ces types d’initiatives nécessitent un financement, une hiérarchisation et une planification. Attendez-vous à impliquer plusieurs équipes interfonctionnelles dans vos efforts de planification, d’utilisation et de supervision.
Nous vous recommandons de suivre une approche graduelle et progressive pour déployer Defender for Cloud Apps pour la surveillance de Power BI. Pour obtenir une description des types de phases de déploiement à prendre en compte, consultez Protection des informations pour Power BI (phases de déploiement).
Objectif de la surveillance
Microsoft Defender for Cloud Apps (anciennement Microsoft Cloud App Security) est un broker de sécurité d'accès au cloud (CASB) qui prend en charge différents modes de déploiement. Il dispose d’un large éventail de fonctionnalités qui s’étendent bien au-delà de la portée de cet article. Certaines fonctionnalités sont en temps réel, tandis que d’autres ne sont pas en temps réel.
Voici quelques exemples de surveillance en temps réel que vous pouvez implémenter.
- Bloquer les téléchargements à partir du service Power BI : vous pouvez créer une stratégie de session pour bloquer certains types d’activités utilisateur. Par exemple, lorsqu’un utilisateur tente de télécharger un rapport à partir du service Power BI auquel une étiquette de confidentialité hautement restreinte a été attribuée, l’action de téléchargement est bloquée.
- Bloquer l’accès aux service Power BI par un appareil non managé : vous pouvez créer une stratégie d’accès pour empêcher les utilisateurs d’accéder à certaines applications, sauf s’ils utilisent un appareil managé. Par exemple, lorsqu’un utilisateur tente d’accéder au service Power BI à partir de son téléphone mobile personnel, cette action peut être bloquée.
Voici quelques exemples d’autres fonctionnalités qui ne sont pas en temps réel.
- Détecter et alerter certaines activités dans le service Power BI : vous pouvez créer une stratégie d’activité pour générer une alerte lorsque certains types d’activités se produisent. Par exemple, lorsqu’une activité administrative se produit dans le service Power BI (indiquant qu’un paramètre de locataire a été modifié), vous pouvez recevoir une alerte par e-mail.
- Surveiller les activités de sécurité avancées : Vous pouvez afficher et surveiller les connexions et les activités de sécurité, les anomalies et les violations. Des alertes peuvent être déclenchées pour des situations telles que des activités suspectes, des emplacements inattendus ou un nouvel emplacement.
- Surveiller les activités des utilisateurs : Vous pouvez afficher et surveiller les activités des utilisateurs. Par exemple, un administrateur Power BI peut se voir attribuer l’autorisation d’afficher le journal d’activité Power BI, en plus de la fréquence de connexion utilisateur dans Defender for Cloud Apps.
- Détecter et alerter les comportements inhabituels dans le service Power BI : il existe des stratégies intégrées pour la détection des anomalies. Par exemple, lorsqu’un utilisateur télécharge ou exporte du contenu à partir du service Power BI beaucoup plus souvent que les modèles normaux, vous pouvez recevoir une alerte par e-mail.
- Rechercher les applications non approuvées : vous pouvez trouver des applications non approuvées en cours d’utilisation dans l’organisation. Par exemple, vous pouvez vous inquiéter du partage de fichiers par des utilisateurs (comme des fichiers Power BI Desktop ou des fichiers Excel) sur un système de partage de fichiers tiers. Vous pouvez bloquer l’utilisation d’une application non approuvée, puis contacter les utilisateurs pour les renseigner sur les façons appropriées de partager et de collaborer avec d’autres utilisateurs.
Conseil
Le portail dans Defender for Cloud Apps est un endroit pratique pour voir les activités et les alertes sans avoir besoin de créer un script pour extraire et télécharger les données. Cet avantage inclut l’affichage des données du journal d’activité Power BI.
Power BI est l’une des nombreuses applications et services qui peuvent être intégrés à Defender for Cloud Apps. Si vous utilisez déjà Defender for Cloud Apps à d’autres fins, vous pouvez également l’utiliser pour surveiller Power BI.
Les stratégies créées dans Defender for Cloud Apps sont une forme de DLP. L’article Protection contre la perte de données pour Power BI couvre les stratégies DLP pour Power BI qui sont configurées dans le portail de conformité Microsoft Purview. Nous vous recommandons d’utiliser des stratégies DLP pour Power BI avec les fonctionnalités décrites dans cet article. Bien qu’il existe des chevauchements conceptuels, les fonctionnalités sont différentes.
Attention
Cet article se concentre sur les fonctionnalités de Microsoft Defender for Cloud Apps qui peuvent être utilisées pour surveiller et protéger le contenu Power BI. Il existe de nombreuses autres fonctionnalités dans Defender for Cloud Apps qui ne sont pas couvertes dans cet article. Veillez à collaborer avec d’autres parties prenantes et administrateurs système pour prendre des décisions qui fonctionnent bien pour toutes les applications et les cas d’usage.
Microsoft Defender for Cloud Apps pour Power BI
À ce stade, vous devez avoir effectué les étapes de planification de niveau organisation décrites dans l’article Protection des informations pour Power BI. Avant de continuer, vous devez avoir des précisions sur :
- État actuel : L’état actuel de DLP dans votre organisation. Vous devez comprendre dans quelle mesure DLP est déjà utilisé et qui est responsable de sa gestion.
- Objectifs et exigences : Les objectifs stratégiques de l’implémentation de DLP dans votre organisation. La compréhension des objectifs et des exigences servira de guide pour vos efforts d’implémentation.
En règle générale, la protection des informations est déjà implémentée avant l’implémentation de DLP. Si des étiquettes de confidentialité sont publiées (décrites dans l’article Protection des informations pour Power BI ), elles peuvent être utilisées dans certaines stratégies dans Defender for Cloud Apps.
Vous avez peut-être déjà implémenté DLP pour Power BI (décrit dans l’article Protection contre la perte de données pour Power BI ). Ces fonctionnalités DLP sont différentes des fonctionnalités gérées dans le portail de conformité Microsoft Purview. Toutes les fonctionnalités DLP décrites dans cet article sont gérées dans le portail Defender for Cloud Apps.
Décisions et actions clés
Vous devez prendre des décisions clés avant d’être prêt à configurer des stratégies dans Defender for Cloud Apps.
Les décisions relatives aux stratégies Defender for Cloud Apps doivent prendre en charge directement les objectifs et les exigences en matière de protection des données que vous avez précédemment identifiées.
Type de stratégie et activités
Vous devez prendre en compte les activités utilisateur qui vous intéressent à la surveillance, au blocage ou au contrôle. Le type de stratégie dans Defender for Cloud Apps influence :
- Ce que vous êtes en mesure d’accomplir.
- Quelles activités peuvent être incluses dans la configuration.
- Si les contrôles se produisent en temps réel ou non.
Stratégies en temps réel
Les stratégies d’accès et les stratégies de session créées dans Defender for Cloud Apps vous permettent de surveiller, de bloquer ou de contrôler les sessions utilisateur en temps réel.
Les stratégies d’accès et les stratégies de session vous permettent de :
- Répondre par programmation en temps réel : Détecter, informer et bloquer le partage à risque, par inadvertance ou inapproprié de données sensibles. Ces actions vous permettent de :
- Améliorer la configuration globale de la sécurité de votre locataire Power BI, avec l’automatisation et les informations.
- Activer les cas d’usage analytiques qui impliquent des données sensibles d’une manière qui peut être auditée.
- Fournir aux utilisateurs des notifications contextuelles : Cette fonctionnalité vous permet de :
- Aidez les utilisateurs à prendre les bonnes décisions pendant leur flux de travail normal.
- Respecter votre stratégie de classification et de protection des données, sans affecter négativement leur productivité.
Pour fournir des contrôles en temps réel, les stratégies d’accès et les stratégies de session fonctionnent avec Microsoft Entra ID (précédemment appelé Azure Active Directory) en s’appuyant sur les fonctionnalités de proxy inverse du Contrôle d’application par accès conditionnel. Au lieu que les requêtes et réponses des utilisateurs passent par l’application (le service Power BI dans ce cas), ils passent par un proxy inverse (Defender for Cloud Apps).
La redirection n’affecte pas l’expérience utilisateur. Toutefois, l’URL du service Power BI passe à https://app.powerbi.com.mcas.ms une fois que vous avez configuré Microsoft Entra ID pour le contrôle d’application par accès conditionnel avec Power BI. En outre, les utilisateurs recevront une notification lorsqu’ils se connectent à l’service Power BI qui annonce que l’application est surveillée par Defender for Cloud Apps.
Important
Les stratégies d’accès et les stratégies de session fonctionnent en temps réel. D’autres types de stratégies dans Defender for Cloud Apps impliquent un court délai d’alerte. La plupart des autres types de DLP et d’audit connaissent également une latence, notamment DLP pour Power BI et le journal d’activité Power BI.
Stratégies d’accès
Une stratégie d’accès créée dans Defender for Cloud Apps contrôle si un utilisateur est autorisé à se connecter à une application cloud comme le service Power BI. Les organisations qui se trouvent dans des secteurs hautement réglementés seront concernées par les stratégies d’accès.
Voici quelques exemples de la façon dont vous pouvez utiliser des stratégies d’accès pour bloquer l’accès au service Power BI.
- Utilisateur inattendu : Vous pouvez bloquer l’accès pour un utilisateur qui n’est pas membre d’un groupe de sécurité spécifique. Par exemple, cette stratégie peut être utile lorsque vous disposez d’un processus interne important qui effectue le suivi des utilisateurs Power BI approuvés via un groupe spécifique.
- Appareil non géré : Vous pouvez bloquer l’accès pour un appareil personnel qui n’est pas géré par l’organisation.
- Mises à jour nécessaire : Vous pouvez bloquer l’accès pour un utilisateur qui utilise un navigateur ou un système d’exploitation obsolète.
- Emplacement: Vous pouvez bloquer l’accès à un emplacement où vous n’avez pas de bureaux ou d’utilisateurs, ou à partir d’une adresse IP inconnue.
Conseil
Si vous avez des utilisateurs externes qui accèdent à votre locataire Power BI ou des employés qui voyagent fréquemment, cela peut affecter la façon dont vous définissez vos stratégies de contrôle d’accès. Ces types de stratégies sont généralement gérés par le service informatique.
Stratégies de session
Une stratégie de session est utile lorsque vous ne souhaitez pas autoriser ou bloquer complètement l’accès (ce qui peut être fait avec une stratégie d’accès comme décrit précédemment). Plus précisément, il autorise l’accès pour l’utilisateur tout en surveillant ou en limitant ce qui se produit activement pendant sa session.
Voici quelques exemples de façons d’utiliser des stratégies de session pour surveiller, bloquer ou contrôler les sessions utilisateur dans le service Power BI.
- Bloquer les téléchargements : Bloquer les téléchargements et les exportations lorsqu’une étiquette de confidentialité spécifique, telle que Hautement restreinte, est affectée à l’élément dans le service Power BI.
- Surveiller les connexions : Surveillez quand un utilisateur, qui remplit certaines conditions, se connecte. Par exemple, l’utilisateur peut être membre d’un groupe de sécurité spécifique ou utiliser un appareil personnel qui n’est pas géré par l’organisation.
Conseil
La création d’une stratégie de session (par exemple, pour empêcher les téléchargements) pour le contenu affecté à une étiquette de confidentialité particulière, comme Hautement restreint, est l’un des cas d’utilisation les plus efficaces pour les contrôles de session en temps réel avec Power BI.
Il est également possible de contrôler les chargements de fichiers avec des stratégies de session. Toutefois, vous souhaitez généralement encourager les utilisateurs bi en libre-service à charger du contenu sur le service Power BI (au lieu de partager Power BI Desktop fichiers). Par conséquent, réfléchissez soigneusement au blocage des téléchargements de fichiers.
Liste de vérification - Lors de la planification de vos stratégies en temps réel dans Defender for Cloud Apps, les décisions et actions clés sont les suivantes :
- Identifiez les cas d’usage pour bloquer l’accès : Compilez une liste de scénarios pour quand le blocage de l’accès au service Power BI est approprié.
- Identifiez les cas d’usage pour surveiller les connexions : Compilez une liste de scénarios pour quand la surveillance des connexions à l’service Power BI est appropriée.
- Identifiez les cas d’usage pour bloquer les téléchargements : Déterminez quand les téléchargements à partir du service Power BI doivent être bloqués. Déterminez les étiquettes de confidentialité à inclure.
Stratégies des activités
Les stratégies d’activité dans Defender for Cloud Apps ne fonctionnent pas en temps réel.
Vous pouvez configurer une stratégie d’activité pour vérifier les événements enregistrés dans le journal d’activité Power BI. La stratégie peut agir sur une seule activité ou sur des activités répétées d’un seul utilisateur (lorsqu’une activité spécifique se produit plus d’un nombre défini de fois dans un nombre défini de minutes).
Vous pouvez utiliser des stratégies d’activité pour surveiller l’activité dans le service Power BI de différentes manières. Voici quelques exemples de ce que vous pouvez réaliser.
- Un utilisateur non autorisé ou inattendu affiche du contenu privilégié : Un utilisateur qui n’est pas membre d’un groupe de sécurité spécifique (ou d’un utilisateur externe) a consulté un rapport hautement privilégié fourni au conseil d’administration.
- Un utilisateur non autorisé ou inattendu met à jour les paramètres du locataire : Un utilisateur qui n’est pas membre d’un groupe de sécurité spécifique, comme le groupe Administrateurs Power BI, a mis à jour les paramètres du locataire dans le service Power BI. Vous pouvez également choisir d’être averti chaque fois qu’un paramètre de locataire est mis à jour.
- Grand nombre de suppressions : Un utilisateur a supprimé plus de 20 espaces de travail ou rapports au cours d’une période inférieure à 10 minutes.
- Grand nombre de téléchargements : Un utilisateur a téléchargé plus de 30 rapports au cours d’une période inférieure à cinq minutes.
Les types d’alertes de stratégie d’activité décrits dans cette section sont généralement gérés par les administrateurs Power BI dans le cadre de leur supervision de Power BI. Lorsque vous configurez des alertes dans Defender for Cloud Apps, nous vous recommandons de vous concentrer sur les situations qui représentent un risque important pour le organisation. En effet, chaque alerte doit être examinée et fermée par un administrateur.
Avertissement
Étant donné que les événements de journal d’activité Power BI ne sont pas disponibles en temps réel, ils ne peuvent pas être utilisés pour la surveillance ou le blocage en temps réel. Vous pouvez toutefois utiliser les opérations du journal d’activité dans les stratégies d’activité. Veillez à travailler avec votre équipe de sécurité des informations pour vérifier ce qui est techniquement possible avant d’aller trop loin dans le processus de planification.
Liste de vérification - Lors de la planification de vos stratégies d’activité, les décisions et actions clés sont les suivantes :
- Identifiez les cas d’usage pour la surveillance de l’activité : Compilez une liste d’activités spécifiques à partir du journal d’activité Power BI qui représentent un risque important pour l’organisation. Déterminez si le risque est lié à une activité unique ou à des activités répétées.
- Coordonnez les efforts avec les administrateurs Power BI : Discutez des activités Power BI qui seront surveillées dans Defender for Cloud Apps. Assurez-vous qu’il n’y a pas de duplication d’efforts entre différents administrateurs.
Utilisateurs affectés
L’une des raisons convaincantes d’intégrer Power BI à Defender for Cloud Apps est de tirer parti des contrôles en temps réel lorsque les utilisateurs interagissent avec le service Power BI. Ce type d’intégration nécessite un contrôle d’application par accès conditionnel dans Microsoft Entra ID.
Avant de configurer un contrôle d’application par accès conditionnel dans Microsoft Entra ID, vous devez déterminer les utilisateurs qui sont inclus. En règle générale, tous les utilisateurs sont inclus. Toutefois, il peut y avoir des raisons d’exclure des utilisateurs spécifiques.
Conseil
Lors de la configuration de la stratégie d’accès conditionnel, il est probable que votre administrateur Microsoft Entra exclue des comptes administrateur spécifiques. Cette approche empêche le verrouillage des administrateurs. Nous recommandons que les comptes exclus soient des administrateurs Microsoft Entra plutôt que des utilisateurs Power BI standard.
Certains types de stratégies dans Defender for Cloud Apps peuvent s’appliquer à certains utilisateurs et groupes. Le plus souvent, ces types de stratégies s’appliquent à tous les utilisateurs. Toutefois, il est possible que vous rencontriez une situation où vous devrez exclure délibérément certains utilisateurs.
Liste de vérification - Lorsque vous envisagez quels utilisateurs sont concernés, les décisions et actions clés sont les suivantes :
- Déterminez les utilisateurs qui sont inclus : vérifiez si tous les utilisateurs sont inclus dans votre stratégie de contrôle d’application par accès conditionnel Microsoft Entra.
- Identifiez les comptes administrateur qui doivent être exclus : déterminez quels comptes administrateur spécifiques doivent être volontairement exclus de la stratégie de contrôle d’application par accès conditionnel Microsoft Entra.
- Déterminez si certaines stratégies Defender s’appliquent à des sous-ensembles d’utilisateurs : Pour les cas d’usage valides, déterminez s’ils doivent s’appliquer à tous ou à certains utilisateurs (si possible).
Messagerie utilisateur
Après avoir identifié des cas d’usage, vous devez tenir compte de ce qui doit se produire lorsque l’activité de l’utilisateur correspond à la stratégie.
Lorsqu’une activité est bloquée en temps réel, il est important de fournir à l’utilisateur un message personnalisé. Le message est utile lorsque vous souhaitez fournir davantage d’aide et de sensibilisation à vos utilisateurs pendant leur flux de travail normal. Il est plus probable que les utilisateurs lisent et absorbent les notifications utilisateur lorsqu’ils sont :
- Spécifique : La corrélation du message à la stratégie facilite sa compréhension.
- Actionable : Proposer une suggestion sur ce que l’utilisateur doit faire ou sur la façon de trouver plus d’informations.
Certains types de stratégies dans Defender for Cloud Apps peuvent avoir un message personnalisé. Voici deux exemples de notifications utilisateur.
Exemple 1 : Vous pouvez définir une stratégie de contrôle de session en temps réel qui empêche les exportations et téléchargements lorsque l’étiquette de confidentialité de l’élément Power BI (comme un rapport ou un modèle sémantique–précédemment appelé jeu de données) est définie sur Hautement restreint. Le message de bloc personnalisé dans Defender for Cloud Apps indique : Les fichiers avec une étiquette hautement restreinte ne sont pas autorisés à être téléchargés à partir du service Power BI. Consultez le contenu en ligne dans le service Power BI. Contactez l’équipe du support technique Power BI pour toute question.
Exemple 2 : Vous pouvez définir une stratégie d’accès en temps réel qui empêche un utilisateur de se connecter au service Power BI lorsqu’il n’utilise pas une machine gérée par l’organisation. Le message de bloc personnalisé dans Defender for Cloud Apps indique ce qui suit : le service Power BI n’est peut-être pas accessible sur un appareil personnel. Veuillez utiliser l’appareil fourni par l’organisation. Contactez l’équipe du support technique Power BI si vous avez des questions.
Liste de vérification - Lorsque vous envisagez les messages utilisateur dans Defender for Cloud Apps, les décisions et actions clés sont les suivantes :
- Déterminez quand un message de bloc personnalisé est nécessaire : Pour chaque stratégie que vous envisagez de créer, déterminez si un message de bloc personnalisé sera nécessaire.
- Créez des messages de blocs personnalisés : Pour chaque stratégie, définissez le message à afficher pour les utilisateurs. Planifiez de lier chaque message à la stratégie afin qu’elle soit spécifique et actionnable.
Alertes d’administrateur
L’alerte est utile lorsque vous souhaitez informer vos administrateurs de la sécurité et de la conformité qu’une violation de stratégie s’est produite. Lorsque vous définissez des stratégies dans Defender for Cloud Apps, déterminez si des alertes doivent être générées. Pour plus d’informations, consultez Types d’alerte dans Defender for Cloud Apps.
Si vous le souhaitez, vous pouvez configurer une alerte pour envoyer un e-mail à plusieurs administrateurs. Lorsqu’une alerte par e-mail est requise, nous vous recommandons d’utiliser un groupe de sécurité à extension messagerie. Par exemple, vous pouvez utiliser un groupe nommé Alertes administratives de sécurité et de confidentialité.
Pour les situations à haute priorité, il est possible d’envoyer des alertes par sms. Il est également possible de créer une automatisation et des workflows d’alerte personnalisés en s’intégrant à Power Automate.
Vous pouvez configurer chaque alerte avec une gravité faible, moyenne ou élevée. Le niveau de gravité est utile lors de la hiérarchisation de l’examen des alertes ouvertes. Un administrateur doit passer en revue et actionner chaque alerte. Une alerte peut être fermée comme étant vraie positive, fausse positive ou bénigne.
Voici deux exemples d’alertes d’administrateur.
Exemple 1 : Vous pouvez définir une stratégie de contrôle de session en temps réel qui empêche les exportations et téléchargements lorsque l’étiquette de confidentialité de l’élément Power BI (comme un rapport ou un modèle sémantique) est définie sur Hautement restreint. Un message de bloc personnalisé utile pour l’utilisateur est disponible. Toutefois, dans ce cas, il n’est pas nécessaire de générer une alerte.
Exemple 2 : Vous pouvez définir une stratégie d’activité qui vérifie si un utilisateur externe a consulté un rapport hautement privilégié fourni au conseil d’administration. Une alerte de gravité élevée peut être configurée pour garantir que l’activité est rapidement examinée.
Conseil
L’exemple 2 met en évidence les différences entre la protection des informations et la sécurité. Sa stratégie d’activité peut aider à identifier les scénarios dans lesquels les utilisateurs décisionnels en libre-service ont l’autorisation de gérer la sécurité du contenu. Pourtant, ces utilisateurs peuvent prendre des mesures qui sont découragées par la stratégie organisationnelle. Nous vous recommandons de configurer ces types de stratégies uniquement dans des circonstances spécifiques où les informations sont particulièrement sensibles.
Liste de vérification - Lorsque vous envisagez d’alerter les administrateurs dans Defender for Cloud Apps, les décisions et actions clés sont les suivantes :
- Déterminez quand les alertes sont requises : Pour chaque règle DLP que vous envisagez de créer, déterminez les situations qui justifient l’utilisation d’alertes.
- Clarifiez les rôles et les responsabilités : Déterminez les attentes et les actions spécifiques qui doivent être effectuées lorsqu’une alerte est générée.
- Déterminez qui recevra les alertes : Déterminez quels administrateurs de sécurité et de conformité géreront les alertes ouvertes. Vérifiez que les autorisations et les licences requises sont remplies pour chaque administrateur qui utilisera Defender for Cloud Apps.
- Créez un groupe : Le cas échéant, créez un nouveau groupe de sécurité avec fonction de messagerie à utiliser pour les notifications par courrier électronique.
Convention de nommage de stratégie
Avant de créer des stratégies dans Defender for Cloud Apps, il est judicieux de créer d’abord une convention de nommage. Une convention de nommage est utile lorsqu’il existe de nombreux types de stratégies pour de nombreux types d’applications. Il est également utile lorsque les administrateurs Power BI s’impliquent dans la supervision.
Conseil
Envisagez d’accorder l’accès à Defender for Cloud Apps à vos administrateurs Power BI. Utilisez le rôle d’administrateur, qui permet d’afficher le journal d’activité, les événements de connexion et les événements liés au service Power BI.
Envisagez un modèle de convention de nommage qui inclut des espaces réservés de composant : <Application> - <Description> - <Action> - <Type de stratégie>
Voici quelques exemples de convention de nommage.
| Type de stratégie | Temps réel | Nom de la stratégie |
|---|---|---|
| Stratégie de session | Oui | Power BI - Étiquette hautement restreinte - Bloquer les téléchargements - RT |
| Stratégie d’accès | Oui | Tout - Appareil non managé - Bloquer l’accès - RT |
| Stratégie d’activité | Non | Power BI - Activité administrative |
| Stratégie d’activité | Non | Power BI - Rapport exécutif sur les vues d’un utilisateur externe |
Les composants de la convention de nommage sont les suivants :
- Application : Nom de l’application. Le préfixe Power BI permet de regrouper toutes les stratégies spécifiques à Power BI lorsqu’elles sont triées. Toutefois, certaines stratégies s’appliqueront à toutes les applications cloud plutôt qu’au seul service Power BI.
- Description : La partie description du nom varie le plus. Il peut s’agir d’étiquettes de confidentialité affectées ou du type d’activité suivi.
- Action : (Facultatif) Dans les exemples, une stratégie de session a une action Bloquer les téléchargements. En règle générale, une action n’est nécessaire que lorsqu’il s’agit d’une stratégie en temps réel.
- Type de stratégie : (Facultatif) Dans l’exemple, le suffixe RT indique qu’il s’agit d’une stratégie en temps réel. Le fait de déterminer si la situation est en temps réel ou non permet de gérer les attentes.
Il existe d’autres attributs qui n’ont pas besoin d’être inclus dans le nom de la stratégie. Ces attributs incluent le niveau de gravité (faible, moyen ou élevé) et la catégorie (par exemple, détection des menaces ou DLP). Les deux attributs peuvent être filtrés sur la page alertes.
Conseil
Vous pouvez renommer une stratégie dans Defender for Cloud Apps. Toutefois, il n’est pas possible de renommer les stratégies intégrées de détection des anomalies. Par exemple, le partage de rapports Power BI suspects est une stratégie intégrée qui ne peut pas être renommée.
Liste de vérification - Lorsque vous envisagez de créer des conventions d’affectation de noms d’espace de travail, les décisions clés et les actions incluent :
- Choisissez une convention de nommage : Utilisez vos premières stratégies pour établir une convention de nommage cohérente qui est directe à interpréter. Concentrez-vous sur l’utilisation d’un préfixe et d’un suffixe cohérents.
- Documentez la convention de nommage : Fournissez une documentation de référence sur la convention de nommage de stratégie. Assurez-vous que vos administrateurs système sont conscients de la convention de nommage.
- Mettre à jour les stratégies existantes : Mettez à jour toutes les stratégies Defender existantes pour qu’elles soient conformes à la nouvelle convention de nommage.
Exigences en termes de licence
Des licences spécifiques doivent être en place pour surveiller un locataire Power BI. Les administrateurs doivent disposer de l’une des licences suivantes.
- Microsoft Defender for Cloud Apps : Fournit des fonctionnalités Defender for Cloud Apps pour toutes les applications prises en charge (y compris les service Power BI).
- Sécurité des applications cloud Office 365 : Fournit des fonctionnalités Defender for Cloud Apps pour les applications Office 365 qui font partie de la suite Office 365 E5 (y compris le service Power BI).
En outre, si des utilisateurs doivent utiliser des stratégies d’accès en temps réel ou des stratégies de session dans Defender for Cloud Apps, ils auront besoin d’une licence Microsoft Entra ID P1.
Conseil
Si vous avez besoin de clarifications sur les exigences de licence, contactez votre équipe de compte Microsoft.
Liste de vérification - Voici les décisions et actions clés à prendre en compte pour identifier les exigences et les priorités :
- Passez en revue les exigences de licence des produits : Vérifiez que vous avez examiné toutes les exigences de licence pour travailler avec Defender for Cloud Apps.
- Procurez-vous des licences supplémentaires : Le cas échéant, achetez d’autres licences pour déverrouiller la fonctionnalité que vous envisagez d’utiliser.
- Attribuez des licences : Attribuez une licence à chacun de vos administrateurs de sécurité et de conformité qui en auront besoin.
Documentation et formation de l’utilisateur
Avant de déployer Defender for Cloud Apps, nous vous recommandons de créer et de publier la documentation utilisateur. Une page SharePoint ou une page wiki dans votre portail centralisé peut fonctionner correctement, car elle sera facile à gérer. Un document chargé sur une bibliothèque partagée ou un site Teams est également une bonne solution.
L’objectif de la documentation est d’obtenir une expérience utilisateur transparente. La préparation de la documentation utilisateur vous permet également de vous assurer que vous avez tout pris en compte.
Incluez des informations sur les personnes à contacter lorsque les utilisateurs ont des questions ou des problèmes techniques.
Les questions fréquentes (FAQ) et les exemples sont particulièrement utiles pour la documentation utilisateur.
Liste de vérification - Lors de la préparation de la documentation utilisateur et de la formation, les décisions et actions clés sont les suivantes :
- Mettre à jour la documentation pour les créateurs et les consommateurs de contenu : Mettez à jour vos FAQ et exemples pour inclure des informations pertinentes sur les stratégies que les utilisateurs peuvent rencontrer.
- Publiez comment obtenir de l’aide : Assurez-vous que vos utilisateurs savent comment obtenir de l’aide lorsqu’ils rencontrent quelque chose d’inattendu ou qu’ils ne comprennent pas.
- Déterminez si une formation spécifique est nécessaire : Créez ou mettez à jour votre formation utilisateur pour inclure des informations utiles, en particulier s’il existe une exigence réglementaire.
Service client
Il est important de vérifier qui sera responsable du support utilisateur. Il est courant que l’utilisation de Defender for Cloud Apps pour surveiller Power BI est effectuée par un support technique informatique centralisé.
Vous devrez peut-être créer de la documentation pour le support technique et organiser des sessions de transfert des connaissances pour vous assurer que le support technique est prêt à répondre aux demandes de support.
Liste de vérification : lors de la préparation de la fonction de support utilisateur, les décisions et actions clés incluent :
- Identifiez qui prendra en charge le support utilisateur : Lorsque vous définissez des rôles et des responsabilités, veillez à tenir compte de la façon dont les utilisateurs obtiendront de l’aide pour résoudre les problèmes qu’ils peuvent rencontrer.
- Vérifiez que l’équipe de support utilisateur est prête : Créez de la documentation et organisez des sessions de transfert des connaissances pour vous assurer que le support technique est prêt à prendre en charge ces processus.
- Communiquez entre les équipes : Discutez des messages que les utilisateurs peuvent voir et du processus de résolution des alertes ouvertes avec vos administrateurs Power BI et le Centre d’excellence. Assurez-vous que toutes les personnes impliquées sont préparées aux questions potentielles des utilisateurs Power BI.
Récapitulatif de l’implémentation
Une fois que les décisions ont été prises et qu’un plan de déploiement a été préparé, il est temps de commencer l’implémentation.
Si vous envisagez d’utiliser des stratégies en temps réel (stratégies de session ou stratégies d’accès), votre première tâche consiste à configurer le contrôle d’application par accès conditionnel Microsoft Entra. Vous devez configurer le service Power BI en tant qu’application de catalogue qui sera contrôlée par Defender for Cloud Apps.
Lorsque le contrôle d’application par accès conditionnel Microsoft Entra est configuré et testé, vous pouvez ensuite créer des stratégies dans Defender for Cloud Apps.
Important
Nous vous recommandons d’abord d’introduire cette fonctionnalité à un petit nombre d’utilisateurs de test. Il existe également un mode moniteur uniquement qui peut vous aider à introduire cette fonctionnalité de manière ordonnée.
La liste de vérification suivante comprend une liste résumée des étapes d’implémentation de bout en bout. La plupart des étapes ont d’autres détails qui ont été abordés dans les sections précédentes de cet article.
Liste de vérification - Lors de la mise en œuvre de Defender for Cloud Apps pour Power BI, les décisions et actions clés sont les suivantes :
- Vérifiez l’état actuel et les objectifs : Assurez-vous que vous êtes clair sur l’état actuel de DLP à utiliser avec Power BI. Tous les objectifs et exigences pour l’implémentation de la DLP doivent être clairs et activement utilisés pour diriger le processus de prise de décision.
- Effectuez le processus de prise de décision : Passez en revue et discutez de toutes les décisions requises. Cette tâche doit se produire avant de configurer quoi que ce soit en production.
- Passez en revue les exigences de licence : Assurez-vous de bien comprendre les exigences relatives aux licences de produits et aux licences utilisateur. Si nécessaire, procurez-vous et attribuez plus de licences.
- Publiez la documentation utilisateur : Publiez les informations dont les utilisateurs auront besoin pour répondre aux questions et clarifier leurs attentes. Fournissez des conseils, des communications et de la formation à vos utilisateurs afin qu’ils soient prêts.
- Créez une stratégie d’accès conditionnel Microsoft Entra : créez une stratégie d’accès conditionnel dans Microsoft Entra ID afin d’activer des contrôles en temps réel pour la supervision du service Power BI. Dans un premier temps, activez la stratégie d’accès conditionnel Microsoft Entra pour quelques utilisateurs test.
- Définissez Power BI en tant qu’application connectée dans Defender for Cloud Apps : Ajoutez ou vérifiez que Power BI apparaît en tant qu’application connectée dans Defender for Cloud Apps pour le contrôle d’application à accès conditionnel.
- Effectuez les tests initiaux : Connectez-vous au service Power BI en tant qu’utilisateur de test. Vérifiez que l’accès fonctionne. Vérifiez également que le message affiché vous informe que le service Power BI est surveillé par Defender for Cloud Apps.
- Créez et testez une stratégie en temps réel : À l’aide des cas d’usage déjà compilés, créez une stratégie d’accès ou une stratégie de session dans Defender for Cloud Apps.
- Effectuez les tests initiaux : En tant qu’utilisateur de test, effectuez une action qui déclenchera la stratégie en temps réel. Vérifiez que l’action est bloquée (le cas échéant) et que les messages d’alerte attendus sont affichés.
- Recueillez les commentaires des utilisateurs : Obtenez des commentaires sur le processus et l’expérience utilisateur. Identifiez les zones de confusion, les résultats inattendus avec des types d’informations sensibles et d’autres problèmes techniques.
- Poursuivez les mises en production itératives : Ajoutez progressivement d’autres stratégies dans Defender for Cloud Apps jusqu’à ce que tous les cas d’usage soient traités.
- Passez en revue les stratégies intégrées : Recherchez les stratégies de détection d’anomalie intégrées dans Defender for Cloud Apps (qui ont Power BI dans leur nom). Mettez à jour les paramètres d’alerte pour les stratégies intégrées, si nécessaire.
- Procédez à un déploiement plus large : Continuez à utiliser votre plan de déploiement itératif. Mettez à jour la stratégie d’accès conditionnel Microsoft Entra pour qu’elle s’applique à un ensemble plus large d’utilisateurs, le cas échéant. Mettez à jour les stratégies individuelles dans Defender for Cloud Apps pour qu’elles s’appliquent à un ensemble plus large d’utilisateurs, le cas échéant.
- Surveillez, réglez et ajustez : Investissez des ressources pour examiner fréquemment les alertes de correspondance de stratégie et les journaux d’audit. Examinez les faux positifs et ajustez les stratégies si nécessaire.
Conseil
Ces éléments de liste de vérification sont résumés à des fins de planification. Pour plus d’informations sur ces éléments de liste de vérification, consultez les sections précédentes de cet article.
Pour plus d’informations sur le déploiement de Power BI en tant qu’application catalogue dans Defender for Cloud Apps, consultez les étapes de déploiement d’applications catalogue.
Surveillance continue
Une fois l’implémentation terminée, vous devez vous intéresser à la supervision, à l’application et à l’ajustement des stratégies Defender for Cloud Apps en fonction de leur utilisation.
Les administrateurs Power BI et les administrateurs de sécurité et de conformité devront collaborer de temps à autre. Pour le contenu Power BI, il existe deux audiences pour la supervision.
- Administrateurs Power BI : En plus des alertes générées par Defender for Cloud Apps, les activités du journal d’activité Power BI sont également affichées dans le portail Defender for Cloud Apps.
- Administrateurs de la sécurité et de la conformité : Les administrateurs de la sécurité et de la conformité de l’organisation utilisent généralement des alertes Defender for Cloud Apps.
Il est possible de fournir à vos administrateurs Power BI une vue limitée dans Defender for Cloud Apps. Il utilise un rôle délimité pour afficher le journal d’activité, les événements de connexion et les événements liés au service Power BI. Cette fonctionnalité est pratique pour les administrateurs Power BI.
Liste de vérification - Lors de la surveillance de Defender for Cloud Apps, les décisions et actions clés sont les suivantes :
- Vérifiez les rôles et les responsabilités : Assurez-vous que vous êtes clair sur qui est responsable des actions. Informez vos administrateurs Power BI et communiquez avec eux s’ils sont responsables de n’importe quel aspect de la surveillance.
- Gérer l’accès pour les administrateurs Power BI : Ajoutez vos administrateurs Power BI au rôle d’administrateur étendu dans Defender for Cloud Apps. Communiquez avec eux afin qu’ils sachent ce qu’ils peuvent faire avec ces informations supplémentaires.
- Créez ou validez votre processus de révision de l’activité : Assurez-vous que vos administrateurs de la sécurité et de la conformité sont clairs sur les attentes en matière de révision régulière de l’explorateur d’activités.
- Créez ou validez votre processus de résolution des alertes : Assurez-vous que vos administrateurs de sécurité et de conformité disposent d’un processus pour examiner et résoudre les alertes ouvertes.
Contenu connexe
Dans l’article suivant de cette série, découvrez l’audit pour la protection des informations et la protection contre la perte de données pour Power BI.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour