Pianificazione dell'implementazione di Power BI: Prevenzione della perdita dei dati per Power BI

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sul carico di lavoro di Power BI all'interno di Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo descrive le attività di pianificazione correlate all'implementazione della prevenzione della perdita dei dati in Power BI. È destinato a:

• Amministratori di Power BI: amministratori responsabili della supervisione di Power BI nell'organizzazione. Gli amministratori di Power BI devono collaborare con i team di sicurezza delle informazioni e altri team pertinenti.
• Centro di eccellenza, TEAM IT e BI: altri responsabili della supervisione di Power BI nell'organizzazione. Potrebbe essere necessario collaborare con gli amministratori di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.

Importante

La prevenzione della perdita dei dati (DLP) è un'impresa significativa a livello di organizzazione. L'ambito e l'impatto sono molto più grandi di Power BI. Questo tipo di iniziativa richiede finanziamenti, definizione delle priorità e pianificazione. Si prevede di coinvolgere diversi team interfunzionali nelle attività di pianificazione, utilizzo e supervisione.

È consigliabile seguire un approccio graduale e graduale per implementare la prevenzione della perdita dei dati per Power BI. Per una descrizione dei tipi di fasi di implementazione da considerare, vedere Protezione delle informazioni per Power BI (fasi di implementazione).

Scopo della prevenzione della perdita dei dati

La prevenzione della perdita dei dati (DLP) si riferisce a attività e procedure che salvaguardino i dati dell'organizzazione. L'obiettivo della prevenzione della perdita dei dati è ridurre il rischio di perdita di dati, che può verificarsi quando i dati sensibili vengono condivisi con persone non autorizzate. Anche se il comportamento dell'utente responsabile è una parte fondamentale della protezione dei dati, la prevenzione della perdita dei dati si riferisce in genere ai criteri automatizzati.

La prevenzione della perdita dei dati consente di:

• Rilevare e informare gli amministratori quando si è verificata una condivisione rischiosa, involontaria o inappropriata dei dati sensibili. In particolare, consente di:
  • Migliorare la configurazione complessiva della sicurezza del tenant di Power BI, con automazione e informazioni.
  • Abilitare i casi d'uso analitici che coinvolgono dati sensibili.
  • Fornire informazioni di controllo agli amministratori della sicurezza.
• Fornire agli utenti notifiche contestuali. In particolare, consente di:
  • Aiutare gli utenti a prendere le decisioni corrette durante il normale flusso di lavoro.
  • Guidare gli utenti a seguire i criteri di classificazione e protezione dei dati senza influire negativamente sulla produttività.

Servizi DLP

In generale, esistono due servizi diversi che possono implementare la prevenzione della perdita dei dati.

• Criteri di prevenzione della perdita dei dati di Microsoft Purview per Power BI
• Microsoft Defender for Cloud Apps

Criteri di prevenzione della perdita dei dati di Microsoft Purview per Power BI

Un criterio di prevenzione della perdita dei dati per Power BI viene configurato nel Portale di conformità di Microsoft Purview. Può rilevare i dati sensibili in un modello semantico (noto in precedenza come set di dati) pubblicato in un'area di lavoro Premium nel servizio Power BI.

Importante

A volte questo articolo si riferisce a Power BI Premium o alle relative sottoscrizioni di capacità (SKU P). Tenere presente che Microsoft sta attualmente consolidando le opzioni di acquisto e ritirando gli SKU di Power BI Premium per capacità. I clienti nuovi ed esistenti devono invece prendere in considerazione l'acquisto di sottoscrizioni della capacità di Fabric (SKU F).

Per altre informazioni, vedere Aggiornamenti importanti in arrivo per le licenze di Power BI Premium e Domande frequenti su Power BI Premium.

L'obiettivo di questo tipo di criteri di prevenzione della perdita dei dati è quello di informare gli utenti e informare gli amministratori della posizione in cui vengono archiviati i dati sensibili. I criteri di prevenzione della perdita dei dati possono generare notifiche utente e avvisi di amministratore in base ai tipi di informazioni riservate o alle etichette di riservatezza. Ad esempio, è possibile determinare se le informazioni sulla carta di credito o le informazioni personali vengono archiviate in un modello semantico.

Nota

La prevenzione della perdita dei dati per Power BI è l'obiettivo di questo articolo.

Microsoft Defender for Cloud Apps

Microsoft Defender per il cloud App è uno strumento con molte funzionalità. Alcuni criteri che possono essere configurati in Microsoft Defender per il cloud Apps (con integrazione con Microsoft Entra ID, noto in precedenza come Azure Active Directory) includono DLP. Questi criteri possono bloccare, registrare o avvisare quando si verificano determinate attività utente. Ad esempio, quando un utente tenta di scaricare un report dal servizio Power BI a cui è stata assegnata un'etichetta di riservatezza con restrizioni elevata, l'azione di download viene bloccata.

L'articolo app Defender per il cloud per Power BI illustra l'uso di app Defender per il cloud per il monitoraggio del servizio Power BI. La parte restante di questo articolo è incentrata sulla prevenzione della perdita dei dati per Power BI.

Importante

I criteri di prevenzione della perdita dei dati per Power BI configurati nella Portale di conformità di Microsoft Purview possono essere applicati solo per il contenuto archiviato in un'area di lavoro di Power BI Premium. Tuttavia, i criteri configurati in Defender per il cloud App non hanno un prerequisito di Power BI Premium simile. Tenere presente che le funzionalità, lo scopo e le azioni disponibili differiscono per i due set di strumenti. Per ottenere l'effetto massimo, è consigliabile usare entrambi i set di strumenti.

Prerequisiti per la prevenzione della perdita dei dati per Power BI

A questo scopo, è necessario aver completato i passaggi di pianificazione a livello di organizzazione descritti nell'articolo Protezione delle informazioni per Power BI . Prima di procedere, è necessario avere chiarezza su:

• Stato corrente:stato corrente della prevenzione della perdita dei dati nell'organizzazione. È necessario avere una conoscenza della misura in cui la prevenzione della perdita dei dati è già in uso e chi è responsabile della gestione.
• Obiettivi e requisiti:obiettivi strategici per l'implementazione della prevenzione della perdita dei dati nell'organizzazione. Comprendere gli obiettivi e i requisiti fungerà da guida per le attività di implementazione.

In genere, si implementa la protezione delle informazioni (descritta nell'articolo Protezione delle informazioni per Power BI ) prima di implementare la prevenzione della perdita dei dati. Tuttavia, questo non è un prerequisito per l'uso della prevenzione della perdita dei dati per Power BI. Se le etichette di riservatezza vengono pubblicate, possono essere usate con DLP per Power BI. È anche possibile usare tipi di informazioni riservate con DLP per Power BI. Entrambi i tipi sono descritti in questo articolo.

Decisioni e azioni chiave

L'intenzione di un criterio di prevenzione della perdita dei dati è configurare un'azione automatizzata, in base a regole e condizioni, sul contenuto che si intende proteggere. È necessario prendere alcune decisioni sulle regole e le condizioni che supporteranno gli obiettivi e i requisiti.

Il vantaggio di definire regole separate all'interno di un singolo criterio di prevenzione della perdita dei dati è che è possibile abilitare avvisi personalizzati o notifiche utente.

Esiste una precedenza gerarchica all'elenco dei criteri di prevenzione della perdita dei dati, nonché alle regole dei criteri di prevenzione della perdita dei dati, da considerare. La precedenza influirà sui criteri richiamati quando viene rilevato per primo.

Attenzione

Questa sezione non è un elenco completo di tutte le possibili decisioni DLP per tutte le possibili applicazioni. Assicurarsi di collaborare con altri stakeholder e amministratori di sistema per prendere decisioni appropriate per tutte le applicazioni e i casi d'uso. Ad esempio, è consigliabile esaminare altri criteri DLP per proteggere i file di origine e i file esportati archiviati in OneDrive o SharePoint. Questo set di articoli è incentrato solo sul contenuto nel servizio Power BI.

Tipo di dati sensibili

I criteri di prevenzione della perdita dei dati per Power BI configurati nella Portale di conformità di Microsoft Purview possono essere basati su un'etichetta di riservatezza o su un tipo di informazioni riservate.

Importante

Sebbene sia possibile assegnare etichette di riservatezza alla maggior parte dei tipi di elementi in Power BI, i criteri di prevenzione della perdita dei dati descritti in questo articolo sono incentrati in modo specifico sui modelli semantici. Il modello semantico deve essere pubblicato in un'area di lavoro Premium.

Etichetta di riservatezza

È possibile usare le etichette di riservatezza per classificare il contenuto, da meno sensibili a più sensibili.

Quando viene richiamato un criterio di prevenzione della perdita dei dati per Power BI, una regola di etichetta di riservatezza controlla i modelli semantici (pubblicati nella servizio Power BI) per la presenza di una determinata etichetta di riservatezza. Come descritto nell'articolo Information Protection per Power BI , un'etichetta può essere assegnata da un utente o da un processo automatizzato( ad esempio, un'etichetta ereditata o un'etichetta predefinita).

Ecco alcuni esempi di quando è possibile creare una regola DLP basata su un'etichetta di riservatezza.

• Conformità alle normative: si ha un'etichetta di riservatezza riservata ai dati soggetti a un particolare requisito normativo. Si vuole generare un avviso per gli amministratori della sicurezza quando gli utenti assegnano tale etichetta di riservatezza a un modello semantico nella servizio Power BI.
• Promemoria per gli autori di contenuti sui dati riservati: si dispone di un'etichetta di riservatezza usata per i dati riservati. Si vuole generare una notifica utente quando un utente visualizza la pagina dei dettagli del modello semantico all'interno dell'hub dati nella servizio Power BI. Ad esempio, è possibile ricordare agli utenti come gestire in modo appropriato i dati riservati.

Altre considerazioni sulle notifiche e gli avvisi degli utenti sono descritte in questa sezione successiva di questo articolo.

Elenco di controllo : quando si considerano le esigenze per le regole delle etichette di riservatezza, le decisioni chiave e le azioni includono:

• Verificare lo stato corrente della protezione delle informazioni: assicurarsi che le etichette di riservatezza siano distribuite nell'organizzazione e che siano pronte per l'uso da parte dei criteri di prevenzione della perdita dei dati.
• Compilare i casi d'uso per la prevenzione della perdita dei dati in base alle etichette di riservatezza: determinare quali etichette di riservatezza potrebbero trarre vantaggio dalla presenza di criteri DLP. Prendere in considerazione gli obiettivi, le normative e i requisiti interni.
• Classificare in ordine di priorità l'elenco dei casi d'uso per la prevenzione della perdita dei dati in base alle etichette di riservatezza: discutere le priorità principali con il team. Identificare gli elementi da classificare in ordine di priorità nel piano di progetto.

Nota

I criteri di prevenzione della perdita dei dati sono in genere automatizzati. Tuttavia, le azioni degli utenti responsabili svolgono anche un ruolo fondamentale nella protezione dei dati.

Per altre informazioni, vedere Protezione delle informazioni per Power BI (criteri di classificazione e protezione dei dati). Descrive un criterio di governance interno che fornisce indicazioni su ciò che gli utenti possono e non possono eseguire con il contenuto assegnato a una determinata etichetta di riservatezza.

Tipi di informazioni sensibili

Non tutti i tipi di dati sono uguali; alcuni tipi di dati sono intrinsecamente più sensibili di altri. Esistono molti tipi di informazioni sensibili (SIT) diversi. A seconda del settore e dei requisiti di conformità, solo alcuni SIT saranno applicabili all'organizzazione.

Alcuni esempi comuni di SIT includono:

• Passaporto, previdenza sociale e numeri di patente di guida
• Numeri di conto bancario e routing
• Numeri di carta di credito e di debito
• Identificazione fiscale e numeri di ID nazionali
• Numeri di ID integrità e informazioni mediche
• Indirizzi fisici
• Chiavi dell'account, password e stringa di connessione di database

Suggerimento

Se i dati sensibili non hanno valore analitico, chiedere se devono risiedere in un sistema analitico. È consigliabile informare gli autori di contenuti per aiutarli a prendere decisioni valide sui dati da archiviare in Power BI.

I SIT sono classificatori basati su pattern. Cercheranno un criterio noto nel testo usando espressioni regolari.

Nel Portale di conformità di Microsoft Purview sono disponibili molti SIT preconfigurato. Quando soddisfano i requisiti, è consigliabile usare un sit preconfigurato per risparmiare tempo. Si consideri il numero di carta di credito preconfigurato SIT: rileva i modelli corretti per tutti gli emittenti di carte principali, garantisce la validità del checksum e cerca una parola chiave pertinente in prossimità del numero di carta di credito.

Se i SIT preconfigurati non soddisfano le proprie esigenze o si dispone di modelli di dati proprietari, è possibile creare una sit personalizzata. Ad esempio, è possibile creare un sit personalizzato in modo che corrisponda al modello del numero ID dipendente.

Dopo aver configurato la sit, viene richiamato un criterio di prevenzione della perdita dei dati per Power BI quando viene caricato o aggiornato un modello semantico. In quel momento, una regola del tipo di informazioni sensibili verificherà i modelli semantici (nella servizio Power BI) per la presenza di tipi di informazioni riservate.

Ecco alcuni esempi di quando è possibile creare una regola DLP basata su un tipo di informazioni riservate.

• Conformità alle normative: si dispone di un tipo di informazioni riservate soggetto ai requisiti normativi. Si vuole generare un avviso per gli amministratori della sicurezza quando tale tipo di dati viene rilevato all'interno di un modello semantico nella servizio Power BI.
• Requisiti interni: si dispone di un tipo di informazioni sensibili che richiede una gestione speciale. Per soddisfare i requisiti interni, si vuole generare una notifica utente quando un utente visualizza le impostazioni del modello semantico o la pagina dei dettagli del modello semantico nell'hub dati (nella servizio Power BI).

Elenco di controllo : quando si considerano le esigenze per i tipi di informazioni riservate, le decisioni chiave e le azioni includono:

• Compilare i casi d'uso per la prevenzione della perdita dei dati in base ai tipi di informazioni riservate: determinare quali tipi di informazioni riservate potrebbero trarre vantaggio dalla presenza di criteri DLP. Prendere in considerazione gli obiettivi, le normative e i requisiti interni.
• Testare i tipi di informazioni sensibili esistenti: collaborare con il team di sicurezza delle informazioni per verificare che i SIT preconfigurati soddisfino le proprie esigenze. Usare i dati di test per verificare che i modelli e le parole chiave siano stati rilevati correttamente.
• Creare tipi di informazioni sensibili personalizzati: se applicabile, collaborare con il team di sicurezza delle informazioni per creare SIT in modo che possano essere usati in DLP per Power BI.
• Classificare in ordine di priorità l'elenco dei casi d'uso: discutere le priorità principali con il team. Identificare gli elementi da classificare in ordine di priorità nel piano di progetto.

Notifiche utente

Dopo aver identificato i casi d'uso per la prevenzione della perdita dei dati con etichette di riservatezza e SIT, è consigliabile considerare cosa accade quando si verifica una corrispondenza di una regola DLP. In genere, comporta una notifica dell'utente.

Le notifiche utente per i criteri di prevenzione della perdita dei dati sono note anche come suggerimenti per i criteri. Sono utili quando vuoi fornire maggiori indicazioni e consapevolezza agli utenti durante il normale corso del loro lavoro. È più probabile che gli utenti leggono e assorbano le notifiche degli utenti se sono:

• Specifico: correlare il messaggio alla regola semplifica la comprensione.
• Praticabile: offrire un suggerimento per le operazioni che l'utente deve eseguire o come trovare altre informazioni.

Per la prevenzione della perdita dei dati in Power BI, le notifiche utente vengono visualizzate nelle impostazioni del modello semantico. Vengono visualizzate anche nella parte superiore della pagina dei dettagli del modello semantico nell'hub dati, come illustrato nello screenshot seguente. In questo caso, la notifica legge: questi dati contengono carte di credito. Questo tipo di dati non è consentito in Power BI in base ai criteri di classificazione, protezione e utilizzo dei dati.

È possibile definire una o più regole per ogni criterio di prevenzione della perdita dei dati. Ogni regola può facoltativamente avere un suggerimento per i criteri diverso che verrà visualizzato agli utenti.

Si consideri l'esempio seguente di come definire un criterio DLP per rilevare i dati finanziari archiviati all'interno di modelli semantici nella servizio Power BI. I criteri di prevenzione della perdita dei dati usano i SIT e hanno due regole.

• Regola 1: la prima regola rileva i numeri di carta di credito. Il testo personalizzato del suggerimento per i criteri legge: questi dati contengono numeri di carta di credito. Questo tipo di dati non è consentito in Power BI in base ai criteri di classificazione e protezione dei dati.
• Regola 2: la seconda regola rileva i conti finanziari. Il testo personalizzato del suggerimento per i criteri legge: questi dati contengono informazioni finanziarie riservate. Richiede l'uso dell'etichetta con restrizioni elevata. Per i requisiti per l'archiviazione dei dati finanziari, fare riferimento ai criteri di classificazione e protezione dei dati.

La regola 1 è più urgente della regola 2. La regola 1 è destinata a comunicare che c'è un problema che richiede un'azione. La seconda regola è più informativa. Per problemi urgenti, è consigliabile configurare gli avvisi. Gli avvisi per gli amministratori sono descritti nella sezione successiva.

Quando si decide quali notifiche gli utenti devono ricevere, è consigliabile concentrarsi sulla visualizzazione solo di notifiche estremamente importanti. Se sono presenti troppe notifiche sui criteri, gli utenti potrebbero diventare sopraffatti da loro. Il risultato è che alcune notifiche potrebbero essere trascurate.

Gli utenti possono intervenire segnalando un problema quando ritengono che si tratti di un falso positivo (identificato in modo errato). È anche possibile consentire all'utente di eseguire l'override del criterio. Queste funzionalità consentono la comunicazione tra gli utenti di Power BI e gli amministratori della sicurezza che gestiscono la prevenzione della perdita dei dati per Power BI.

Elenco di controllo : quando si valutano le notifiche utente DLP, le decisioni chiave e le azioni includono:

• Decidere quando sono necessarie le notifiche utente: per ogni regola DLP che si intende creare, determinare se è necessaria una notifica utente personalizzata.
• Creare suggerimenti per i criteri personalizzati: per ogni notifica, definire il messaggio da visualizzare agli utenti. Pianificare la correlazione del messaggio con la regola DLP in modo che sia specifica e praticabile.

avvisi di Amministrazione istrator

L'invio di avvisi è utile per determinate regole di prevenzione della perdita dei dati quando si vuole tenere traccia degli eventi imprevisti quando si è verificata una violazione dei criteri. Quando si definiscono le regole dei criteri di prevenzione della perdita dei dati, valutare se gli avvisi devono essere generati.

Suggerimento

Gli avvisi sono progettati per richiamare l'attenzione di un amministratore su determinate situazioni. Sono più adatti quando si intende analizzare e risolvere attivamente gli avvisi importanti. Tutte le corrispondenze delle regole dps sono disponibili in Esplora attività nella Portale di conformità di Microsoft Purview.

L'invio di avvisi è utile quando si vuole:

• Rendere gli amministratori della sicurezza e della conformità consapevoli che si è verificato un evento tramite il dashboard di gestione degli avvisi DLP. Facoltativamente, è anche possibile inviare un messaggio di posta elettronica a un set specifico di utenti.
• Per un evento che si è verificato, vedere altri dettagli.
• Assegnare un evento a un utente per esaminarlo.
• Gestire lo stato di un evento o aggiungervi commenti.
• Visualizzare gli altri avvisi generati per l'attività dallo stesso utente.

Ogni avviso può essere definito da un livello di gravità, che può essere basso, medio o alto. Il livello di gravità consente di classificare in ordine di priorità la revisione degli avvisi aperti.

Di seguito sono riportati due esempi di come usare gli avvisi.

Esempio 1: è stato definito un criterio di prevenzione della perdita dei dati per rilevare i dati finanziari archiviati nei modelli semantici nella servizio Power BI. I criteri di prevenzione della perdita dei dati usano tipi di informazioni riservate. Ha due regole.

• Regola 1: questa regola rileva i numeri di carta di credito. L'invio di avvisi è abilitato con una gravità elevata. Viene generato anche un messaggio di posta elettronica.
• Regola 2: questa regola rileva i conti finanziari. L'invio di avvisi è abilitato con una gravità elevata.

Esempio 2: è stato definito un criterio di prevenzione della perdita dei dati che viene richiamato quando l'etichetta di riservatezza Dei membri del comitato esecutivo e del comitato con restrizioni elevata viene assegnata a un modello semantico nel servizio Power BI. Non genera una notifica utente. In questo caso, potrebbe non essere necessario generare un avviso perché si vuole registrare solo l'occorrenza. Se necessario, è possibile ottenere altre informazioni da Esplora attività.

Quando è necessario un avviso di posta elettronica, è consigliabile usare un gruppo di sicurezza abilitato alla posta elettronica. Ad esempio, è possibile usare un gruppo denominato Sicurezza e privacy Amministrazione avvisi.

Suggerimento

Tenere presente che le regole di prevenzione della perdita dei dati per Power BI vengono controllate ogni volta che viene caricato o aggiornato un modello semantico. Ciò significa che è possibile generare un avviso ogni volta che il modello semantico viene aggiornato. Gli aggiornamenti dei dati regolari o frequenti possono comportare un numero eccessivo di eventi e avvisi registrati.

Elenco di controllo : quando si considerano gli avvisi DLP per gli amministratori, le decisioni chiave e le azioni includono:

• Decidere quando sono necessari gli avvisi: per ogni regola DLP che si intende creare, determinare le situazioni che giustificano l'uso degli avvisi.
• Chiarire ruoli e responsabilità: determinare le aspettative e le azioni specifiche che devono essere eseguite quando viene generato un avviso.
• Determinare chi riceverà gli avvisi: decidere quali amministratori di sicurezza e conformità gestiranno gli avvisi aperti. Verificare che le autorizzazioni e i requisiti di licenza siano soddisfatti per ogni amministratore che userà il Portale di conformità di Microsoft Purview.
• Creare gruppi di posta elettronica: se necessario, creare nuovi gruppi di sicurezza abilitati alla posta elettronica per gestire gli avvisi.

Aree di lavoro nell'ambito

Un criterio di prevenzione della perdita dei dati per Power BI configurato nella Portale di conformità di Microsoft Purview è destinato ai modelli semantici di destinazione. In particolare, supporta l'analisi di modelli semantici pubblicati in un'area di lavoro Premium.

È possibile configurare i criteri di prevenzione della perdita dei dati per analizzare tutte le aree di lavoro Premium. Facoltativamente, è possibile scegliere di includere o escludere aree di lavoro specifiche. Ad esempio, è possibile escludere determinate aree di lavoro di sviluppo o test considerate più basse (in particolare se non contengono dati di produzione reali). In alternativa, è possibile creare criteri separati per determinate aree di lavoro di sviluppo o test.

Suggerimento

Se si decide che solo un subset delle aree di lavoro Premium verrà incluso per la prevenzione della perdita dei dati, prendere in considerazione il livello di manutenzione. Le regole di prevenzione della perdita dei dati sono più facili da gestire quando vengono incluse tutte le aree di lavoro Premium. Se si decide di includere solo un subset di aree di lavoro Premium, assicurarsi di disporre di un processo di controllo in modo da poter identificare rapidamente se manca una nuova area di lavoro nei criteri di prevenzione della perdita dei dati.

Per altre informazioni sull'area di lavoro, vedere gli articoli sulla pianificazione dell'area di lavoro.

Elenco di controllo : quando si considerano le aree di lavoro da includere nell'ambito per la prevenzione della perdita dei dati, le decisioni chiave e le azioni includono:

• Decidere quali aree di lavoro Premium devono avere la prevenzione della perdita dei dati: valutare se i criteri di prevenzione della perdita dei dati devono influire su tutte le aree di lavoro di Power BI Premium o solo su un sottoinsieme.
• Creare la documentazione per le assegnazioni di aree di lavoro: se applicabile, documentare le aree di lavoro soggette alla prevenzione della perdita dei dati. Includere i criteri e i motivi per cui le aree di lavoro sono incluse o escluse.
• Correlare le decisioni DLP con la governance dell'area di lavoro: se applicabile, aggiornare la documentazione sulla governance dell'area di lavoro per includere informazioni dettagliate sulla gestione della prevenzione della perdita dei dati.
• Prendere in considerazione altri percorsi di file importanti: oltre al servizio Power BI, determinare se è necessario creare altri criteri DLP per proteggere i file di origine e i file esportati archiviati in OneDrive o SharePoint.

Requisiti di licenza

Per usare la prevenzione della perdita dei dati, esistono diversi requisiti di licenza. È necessaria una licenza di Microsoft Purview Information Protection per gli amministratori che configureranno, gestiranno e sovrintenderanno alla prevenzione della perdita dei dati. Queste licenze potrebbero essere già disponibili perché sono incluse in alcune suite di licenze, ad esempio Microsoft 365 E5. In alternativa, le funzionalità di conformità di Microsoft 365 E5 possono essere acquistate come licenza autonoma.

Inoltre, i criteri di prevenzione della perdita dei dati per Power BI richiedono Power BI Premium. Questo requisito di licenza può essere soddisfatto con una capacità Premium o una licenza Premium per utente (PPU).

Suggerimento

Se sono necessari chiarimenti sui requisiti di licenza, rivolgersi al team dell'account Microsoft. Si noti che la licenza microsoft 365 E5 Compliance include altre funzionalità DLP che non rientrano nell'ambito di questo articolo.

Elenco di controllo : quando si valutano i requisiti di licenza DLP, le decisioni chiave e le azioni includono:

• Esaminare i requisiti di licenza dei prodotti: assicurarsi di aver esaminato tutti i requisiti di licenza per la prevenzione della perdita dei dati.
• Esaminare i requisiti di licenza Premium: verificare che le aree di lavoro da configurare per DLP siano aree di lavoro Premium.
• Acquistare licenze aggiuntive: se applicabile, acquistare altre licenze per sbloccare le funzionalità che si intende usare.
• Assegnare licenze: assegnare una licenza a ognuno degli amministratori di sicurezza e conformità che ne avranno bisogno.

Documentazione e formazione per gli utenti

Prima di distribuire DLP per Power BI, è consigliabile creare e pubblicare la documentazione degli utenti. Una pagina di SharePoint o una pagina wiki nel portale centralizzato può funzionare correttamente perché sarà facile da gestire. Anche un documento caricato in una raccolta condivisa o in un sito di Teams è una buona soluzione.

L'obiettivo della documentazione è quello di ottenere un'esperienza utente senza problemi. La preparazione della documentazione utente consentirà anche di assicurarsi di aver preso in considerazione tutti gli elementi.

Includere informazioni su chi contattare quando gli utenti hanno domande o problemi tecnici. Poiché la protezione delle informazioni è un progetto a livello di organizzazione, il supporto viene spesso fornito dall'IT.

Le domande frequenti e gli esempi sono particolarmente utili per la documentazione degli utenti.

Suggerimento

Per altre informazioni, vedere Protezione delle informazioni per Power BI (criteri di classificazione e protezione dei dati). Descrive i suggerimenti per la creazione di criteri di classificazione e protezione dei dati in modo che gli utenti comprendano cosa possono e non possono fare con le etichette di riservatezza.

Elenco di controllo : quando si preparano la documentazione e il training degli utenti, le decisioni chiave e le azioni includono:

• Aggiornare la documentazione per creatori di contenuti e consumer: aggiornare le domande frequenti ed esempi in modo da includere indicazioni pertinenti sui criteri DLP.
• Pubblicare la guida: assicurarsi che gli utenti sappiano come ottenere assistenza quando riscontrano qualcosa di imprevisto o che non capiscono.
• Determinare se è necessario un training specifico: creare o aggiornare il training degli utenti in modo da includere informazioni utili, soprattutto se è necessario un requisito normativo.

Supporto per gli utenti

È importante verificare chi sarà responsabile del supporto tecnico degli utenti. È comune che la prevenzione della perdita dei dati sia supportata da un help desk IT centralizzato.

Potrebbe essere necessario creare linee guida per l'help desk (talvolta noto come runbook). Potrebbe anche essere necessario eseguire sessioni di trasferimento delle informazioni per assicurarsi che l'help desk sia pronto per rispondere alle richieste di supporto.

Elenco di controllo : quando si prepara per la funzione di supporto utente, le decisioni chiave e le azioni includono:

• Identificare chi fornirà supporto per gli utenti: quando si definiscono ruoli e responsabilità, assicurarsi di tenere conto del modo in cui gli utenti riceveranno assistenza per i problemi relativi alla prevenzione della perdita dei dati.
• Assicurarsi che il team di supporto degli utenti sia pronto: creare la documentazione e condurre sessioni di trasferimento delle informazioni per assicurarsi che l'help desk sia pronto per supportare la prevenzione della perdita dei dati.
• Comunicare tra i team: discutere le notifiche degli utenti e il processo per risolvere gli avvisi DLP con il team di supporto, nonché gli amministratori di Power BI e il Centro di eccellenza. Assicurarsi che tutti gli utenti coinvolti siano preparati per le potenziali domande degli utenti di Power BI.

Riepilogo dell'implementazione e dei test

Dopo aver preso le decisioni e aver soddisfatto i prerequisiti, è il momento di iniziare a implementare e testare la prevenzione della perdita dei dati per Power BI.

I criteri di prevenzione della perdita dei dati per Power BI vengono configurati nel Portale di conformità di Microsoft Purview (in precedenza noto come Centro conformità Microsoft 365) nel interfaccia di amministrazione di Microsoft 365.

Suggerimento

Il processo di configurazione della prevenzione della perdita dei dati per Power BI nel Portale di conformità di Microsoft Purview prevede un solo passaggio, anziché due, per configurare i criteri. Questo processo è diverso da quando si configura la protezione delle informazioni nel Portale di conformità di Microsoft Purview (descritto nell'articolo Protezione delle informazioni per Power BI). In tal caso, sono stati eseguiti due passaggi distinti per configurare l'etichetta e pubblicare un criterio di etichetta. In questo caso per la prevenzione della perdita dei dati, è presente un solo passaggio nel processo di implementazione.

L'elenco di controllo seguente include un elenco riepilogato dei passaggi di implementazione end-to-end. Molti dei passaggi includono altri dettagli illustrati nelle sezioni precedenti di questo articolo.

Elenco di controllo : quando si implementa la prevenzione della perdita dei dati per Power BI, le decisioni chiave e le azioni includono:

• Verificare lo stato e gli obiettivi correnti: assicurarsi di avere chiarezza sullo stato corrente della prevenzione della perdita dei dati per l'uso con Power BI. Tutti gli obiettivi e i requisiti per l'implementazione della prevenzione della perdita dei dati devono essere chiari e attivamente usati per guidare il processo decisionale.
• Prendere decisioni: esaminare e discutere tutte le decisioni necessarie. Questa attività deve essere eseguita prima di configurare qualsiasi elemento nell'ambiente di produzione.
• Esaminare i requisiti di licenza: assicurarsi di comprendere i requisiti di licenza dei prodotti e delle licenze utente. Se necessario, procurarsi e assegnare più licenze.
• Pubblicare la documentazione dell'utente: pubblicare informazioni che gli utenti dovranno rispondere alle domande e chiarire le aspettative. Fornire indicazioni, comunicazioni e formazione agli utenti in modo che siano preparati.
• Creare criteri di prevenzione della perdita dei dati: nella Portale di conformità di Microsoft Purview creare e configurare ogni criterio di prevenzione della perdita dei dati. Fare riferimento a tutte le decisioni prese in precedenza per la configurazione delle regole DLP.
• Eseguire test iniziali: eseguire un set iniziale di test per verificare che tutto sia configurato correttamente. Usare la modalità di test con alcuni dati di esempio per determinare se tutto si comporta come previsto, riducendo al minimo l'impatto sugli utenti. Usare inizialmente un piccolo subset di aree di lavoro Premium. È consigliabile usare un tenant non di produzione quando si ha accesso a uno.
• Raccogliere commenti e suggerimenti degli utenti: ottenere commenti e suggerimenti sul processo e sull'esperienza utente. Identificare aree di confusione o risultati imprevisti con tipi di informazioni sensibili e altri problemi tecnici.
• Continuare le versioni iterative: aggiungere gradualmente altre aree di lavoro Premium ai criteri di prevenzione della perdita dei dati fino a quando non vengono incluse tutte.
• Monitorare, ottimizzare e regolare: investire le risorse per esaminare gli avvisi e i log di controllo corrispondenti ai criteri in modo frequente. Analizzare i falsi positivi e modificare i criteri quando necessario.

Suggerimento

Questi elementi di elenco di controllo sono riepilogati a scopo di pianificazione. Per altri dettagli su questi elementi dell'elenco di controllo, vedere le sezioni precedenti di questo articolo.

Per altri passaggi da eseguire oltre l'implementazione iniziale, vedere app Defender per il cloud con Power BI.

Monitoraggio continuo

Dopo aver completato l'implementazione, è necessario indirizzare l'attenzione al monitoraggio, all'applicazione e alla modifica dei criteri di prevenzione della perdita dei dati in base al loro uso.

Gli amministratori e gli amministratori di sicurezza e conformità di Power BI dovranno collaborare di tanto in tanto. Per il contenuto di Power BI sono disponibili due gruppi di destinatari per il monitoraggio.

• Amministratori di Power BI: viene registrata una voce nel log attività di Power BI ogni volta che è presente una corrispondenza con una regola DLP. La voce del log attività di Power BI registra i dettagli dell'evento DLP, tra cui utente, data e ora, nome dell'elemento, area di lavoro e capacità. Include anche informazioni sui criteri, ad esempio il nome del criterio, il nome della regola, la gravità e la condizione corrispondente.
• Amministratori di sicurezza e conformità: gli amministratori di sicurezza e conformità dell'organizzazione useranno in genere report, avvisi e log di controllo di Microsoft Purview.

Avviso

Il monitoraggio per i criteri di Power BI per la prevenzione della perdita dei dati non si verifica in tempo reale perché richiede tempo per generare i log e gli avvisi DLP. Se l'obiettivo è l'applicazione in tempo reale, vedere app Defender per il cloud per Power BI (criteri in tempo reale).

Elenco di controllo : quando si monitora la prevenzione della perdita dei dati per Power BI, le decisioni chiave e le azioni includono:

• Verificare ruoli e responsabilità: assicurarsi di essere chiari su chi è responsabile delle azioni. Informare e comunicare con gli amministratori di Power BI o gli amministratori della sicurezza, se saranno direttamente responsabili di alcuni aspetti del monitoraggio della prevenzione della perdita dei dati.
• Creare o convalidare il processo per l'attività di revisione: assicurarsi che gli amministratori di sicurezza e conformità siano chiari sulle aspettative per esaminare regolarmente Esplora attività.
• Creare o convalidare il processo per la risoluzione degli avvisi: assicurarsi che gli amministratori di sicurezza e conformità dispongano di un processo per analizzare e risolvere gli avvisi DLP quando si verifica una corrispondenza dei criteri.

Suggerimento

Per altre informazioni sul controllo, vedere Controllo della protezione delle informazioni e prevenzione della perdita dei dati per Power BI.

Contenuto correlato

Nell'articolo successivo di questa serie vengono fornite informazioni sull'uso di app Defender per il cloud con Power BI.