Pianificazione dell'implementazione di Power BI: app Defender per il cloud per Power BI

  • Articolo

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sul carico di lavoro di Power BI all'interno di Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo descrive le attività di pianificazione correlate all'implementazione di app Defender per il cloud in relazione al monitoraggio di Power BI. È destinato a:

  • Amministratori di Power BI: amministratori responsabili della supervisione di Power BI nell'organizzazione. Gli amministratori di Power BI devono collaborare con la sicurezza delle informazioni e altri team pertinenti.
  • Centro di eccellenza, TEAM IT e BI: altri responsabili della supervisione di Power BI nell'organizzazione. Potrebbe essere necessario collaborare con gli amministratori di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.

Importante

Il monitoraggio e la prevenzione della perdita dei dati (DLP) sono un'impresa significativa a livello di organizzazione. L'ambito e l'impatto sono molto più grandi di Power BI. Questi tipi di iniziativa richiedono finanziamenti, definizione delle priorità e pianificazione. Si prevede di coinvolgere diversi team interfunzionali nella pianificazione, nell'utilizzo e nelle attività di supervisione.

È consigliabile seguire un approccio graduale e graduale alla distribuzione di app Defender per il cloud per il monitoraggio di Power BI. Per una descrizione dei tipi di fasi di implementazione da considerare, vedere Protezione delle informazioni per Power BI (fasi di implementazione).

Scopo del monitoraggio

Microsoft Defender per il cloud Apps (in precedenza noto come Microsoft Cloud App Security) è un Cloud Access Security Broker (CASB) che supporta varie modalità di distribuzione. Include un'ampia gamma di funzionalità che si estendono ben oltre l'ambito di questo articolo. Alcune funzionalità sono in tempo reale, mentre altre non sono in tempo reale.

Ecco alcuni esempi di monitoraggio in tempo reale che è possibile implementare.

  • Blocca i download dal servizio Power BI: è possibile creare un criterio di sessione per bloccare determinati tipi di attività utente. Ad esempio, quando un utente tenta di scaricare un report dal servizio Power BI a cui è stata assegnata un'etichetta di riservatezza con restrizioni elevata, l'azione di download può essere bloccata in tempo reale.
  • Bloccare l'accesso al servizio Power BI da un dispositivo non gestito: è possibile creare criteri di accesso per impedire agli utenti di accedere a determinate applicazioni, a meno che non usino un dispositivo gestito. Ad esempio, quando un utente tenta di accedere al servizio Power BI dal telefono cellulare personale che può essere bloccato.

Ecco alcuni esempi di altre funzionalità che non sono in tempo reale.

  • Rilevare e avvisare determinate attività nel servizio Power BI: è possibile creare un criterio attività per generare un avviso quando si verificano determinati tipi di attività. Ad esempio, quando si verifica un'attività amministrativa nel servizio Power BI (a indicare che è stata modificata un'impostazione del tenant), è possibile ricevere un avviso di posta elettronica.
  • Monitorare le attività di sicurezza avanzate: è possibile visualizzare e monitorare gli accessi e le attività di sicurezza, le anomalie e le violazioni. Gli avvisi possono essere generati per situazioni come attività sospette, posizioni impreviste o una nuova posizione.
  • Monitorare le attività degli utenti: è possibile visualizzare e monitorare le attività degli utenti. Ad esempio, è possibile assegnare a un amministratore di Power BI l'autorizzazione per visualizzare il log attività di Power BI, oltre alla frequenza di accesso utente all'interno di Defender per il cloud App.
  • Rilevare e avvisare comportamenti insoliti nella servizio Power BI: sono disponibili criteri predefiniti per il rilevamento anomalie. Ad esempio, quando un utente scarica o esporta contenuto dal servizio Power BI molto più spesso dei modelli normali, è possibile ricevere un avviso di posta elettronica.
  • Trovare applicazioni non approvate: è possibile trovare applicazioni non approvate in uso all'interno dell'organizzazione. Ad esempio, si potrebbe essere preoccupati per gli utenti che condividono file (ad esempio file di Power BI Desktop o file di Excel) in un sistema di condivisione file di terze parti. È possibile bloccare l'uso di un'applicazione non approvata e quindi contattare gli utenti per informarli su modi appropriati per condividere e collaborare con altri utenti.

Suggerimento

Il portale in Defender per il cloud App è una posizione comoda per visualizzare attività e avvisi senza creare uno script per estrarre e scaricare i dati. Questo vantaggio include la visualizzazione dei dati dal log attività di Power BI.

Power BI è uno dei numerosi servizi e applicazioni che possono essere integrati con Defender per il cloud App. Se si usa già Defender per il cloud App per altri scopi, può essere usato anche per monitorare Power BI.

I criteri creati nelle app di Defender per il cloud sono una forma di prevenzione della perdita dei dati. L'articolo Prevenzione della perdita dei dati per Power BI illustra i criteri di prevenzione della perdita dei dati per Power BI configurati nella Portale di conformità di Microsoft Purview. È consigliabile usare i criteri di prevenzione della perdita dei dati per Power BI con le funzionalità descritte in questo articolo. Anche se ci sono alcune sovrapposizioni concettualmente, le funzionalità sono diverse.

Attenzione

Questo articolo è incentrato sulle funzionalità di app Microsoft Defender per il cloud che possono essere usate per monitorare e proteggere il contenuto di Power BI. Esistono molte altre funzionalità in Defender per il cloud App che non sono trattate in questo articolo. Assicurarsi di collaborare con altri stakeholder e amministratori di sistema per prendere decisioni appropriate per tutte le applicazioni e i casi d'uso.

Prerequisiti per le app Defender per il cloud per Power BI

A questo scopo, è necessario aver completato i passaggi di pianificazione a livello di organizzazione descritti nell'articolo Prevenzione della perdita dei dati per Power BI . Prima di procedere, è necessario avere chiarezza su:

  • Stato corrente:stato corrente della prevenzione della perdita dei dati nell'organizzazione. È necessario avere una conoscenza della misura in cui la prevenzione della perdita dei dati è già in uso e chi è responsabile della gestione.
  • Obiettivi e requisiti:obiettivi strategici per l'implementazione della prevenzione della perdita dei dati nell'organizzazione. Comprendere gli obiettivi e i requisiti fungerà da guida per le attività di implementazione.

In genere, la protezione delle informazioni è già implementata prima dell'implementazione della prevenzione della perdita dei dati. Se le etichette di riservatezza vengono pubblicate (descritte nell'articolo Protezione delle informazioni per Power BI), possono essere usate in determinati criteri all'interno di app Defender per il cloud.

È possibile che sia già stata implementata la prevenzione della perdita dei dati per Power BI (descritta nell'articolo Prevenzione della perdita dei dati per Power BI ). Queste funzionalità di prevenzione della perdita dei dati sono diverse dalle funzionalità gestite nel Portale di conformità di Microsoft Purview. Tutte le funzionalità DLP descritte in questo articolo vengono gestite nel portale delle app di Defender per il cloud.

Decisioni e azioni chiave

È necessario prendere alcune decisioni chiave prima di essere pronti per configurare i criteri in Defender per il cloud App.

Le decisioni relative ai criteri delle app di Defender per il cloud devono supportare direttamente gli obiettivi e i requisiti per la protezione dei dati identificati in precedenza.

Tipo di criteri e attività

È necessario considerare le attività degli utenti a cui si è interessati a monitorare, bloccare o controllare. Il tipo di criterio in app di Defender per il cloud influisce:

  • Quello che si è in grado di realizzare.
  • Quali attività possono essere incluse nella configurazione.
  • Indica se i controlli verranno eseguiti in tempo reale o meno.

Criteri in tempo reale

I criteri di accesso e i criteri di sessione creati in Defender per il cloud App consentono di monitorare, bloccare o controllare le sessioni utente in tempo reale.

I criteri di accesso e i criteri di sessione consentono di:

  • Rispondere a livello di codice in tempo reale: rilevare, informare e bloccare la condivisione rischiosa, accidentale o inappropriata dei dati sensibili. Queste azioni consentono di:
    • Migliorare la configurazione complessiva della sicurezza del tenant di Power BI, con automazione e informazioni.
    • Abilitare i casi d'uso analitici che coinvolgono dati sensibili in modo da poter essere controllati.
  • Fornire agli utenti notifiche contestuali: questa funzionalità consente di:
    • Aiutare gli utenti a prendere le decisioni corrette durante il normale flusso di lavoro.
    • Guidare gli utenti a seguire i criteri di classificazione e protezione dei dati senza influire sulla produttività.

Per fornire controlli in tempo reale, i criteri di accesso e i criteri di sessione funzionano con Microsoft Entra ID (noto in precedenza come Azure Active Directory), basandosi sulle funzionalità del proxy inverso di Controllo app per l'accesso condizionale. Anziché le richieste e le risposte degli utenti che passano attraverso l'app (il servizio Power BI in questo caso), passano attraverso un proxy inverso (Defender per il cloud App).

Il reindirizzamento non influisce sull'esperienza utente. Tuttavia, l'URL per il servizio Power BI verrà modificato in https://app.powerbi.com.mcas.ms dopo aver configurato Microsoft Entra ID per il controllo delle app per l'accesso condizionale con Power BI. Inoltre, gli utenti riceveranno una notifica quando accedono al servizio Power BI che annuncia che l'app viene monitorata da Defender per il cloud App.

Importante

I criteri di accesso e i criteri di sessione operano in tempo reale. Altri tipi di criteri nelle app di Defender per il cloud comportano un breve ritardo nell'invio di avvisi. La maggior parte degli altri tipi di prevenzione della perdita dei dati e controllo riscontra anche la latenza, tra cui DLP per Power BI e il log attività di Power BI.

Criteri di accesso

Un criterio di accesso creato in Defender per il cloud App controlla se un utente può accedere a un'applicazione cloud come la servizio Power BI. Le organizzazioni che si trovano in settori altamente regolamentati dovranno occuparsi dei criteri di accesso.

Ecco alcuni esempi di come usare i criteri di accesso per bloccare l'accesso alla servizio Power BI.

  • Utente imprevisto: è possibile bloccare l'accesso per un utente che non è membro di un gruppo di sicurezza specifico. Ad esempio, questo criterio può essere utile quando si dispone di un processo interno importante che tiene traccia degli utenti approvati di Power BI tramite un gruppo specifico.
  • Dispositivo non gestito: è possibile bloccare l'accesso per un dispositivo personale non gestito dall'organizzazione.
  • Aggiornamenti necessario: È possibile bloccare l'accesso per un utente che usa un browser o un sistema operativo obsoleto.
  • Posizione: è possibile bloccare l'accesso per una località in cui non si dispone di uffici o utenti o da un indirizzo IP sconosciuto.

Suggerimento

Se si hanno utenti esterni che accedono al tenant di Power BI o ai dipendenti che viaggiano di frequente, ciò può influire sulla modalità di definizione dei criteri di controllo di accesso. Questi tipi di criteri sono in genere gestiti dall'IT.

Criteri di sessione

I criteri di sessione sono utili quando non si vuole consentire o bloccare completamente l'accesso ( operazione che può essere eseguita con un criterio di accesso come descritto in precedenza). In particolare, consente l'accesso per l'utente durante il monitoraggio o la limitazione di ciò che si verifica attivamente durante la sessione.

Ecco alcuni esempi di modi in cui è possibile usare i criteri di sessione per monitorare, bloccare o controllare le sessioni utente nella servizio Power BI.

  • Blocca i download: blocca i download e le esportazioni quando un'etichetta di riservatezza specifica, ad esempio Altamente limitata, viene assegnata all'elemento nel servizio Power BI.
  • Monitorare gli accessi: monitorare quando un utente, che soddisfa determinate condizioni, esegue l'accesso. Ad esempio, l'utente potrebbe essere membro di un gruppo di sicurezza specifico o che usa un dispositivo personale non gestito dall'organizzazione.

Suggerimento

La creazione di criteri di sessione (ad esempio, per impedire i download) per il contenuto assegnato a una determinata etichetta di riservatezza, ad esempio Altamente con restrizioni, è uno dei casi d'uso più efficaci per i controlli sessione in tempo reale con Power BI.

È anche possibile controllare i caricamenti di file con i criteri di sessione. Tuttavia, in genere si vuole incoraggiare gli utenti di business intelligence self-service a caricare il contenuto nella servizio Power BI (invece di condividere i file di Power BI Desktop). Pertanto, considerare attentamente il blocco dei caricamenti di file.

Elenco di controllo: quando si pianificano i criteri in tempo reale in app Defender per il cloud, le decisioni chiave e le azioni includono:

  • Identificare i casi d'uso per bloccare l'accesso: compilare un elenco di scenari per quando è appropriato bloccare l'accesso al servizio Power BI.
  • Identificare i casi d'uso per monitorare gli accessi: compilare un elenco di scenari per il monitoraggio degli accessi al servizio Power BI è appropriato.
  • Identificare i casi d'uso per bloccare i download: determinare quando i download dalla servizio Power BI devono essere bloccati. Determinare quali etichette di riservatezza devono essere incluse.

Criteri attività

I criteri di attività nelle app Defender per il cloud non funzionano in tempo reale.

È possibile configurare un criterio attività per controllare gli eventi registrati nel log attività di Power BI. I criteri possono agire su una singola attività oppure possono agire su attività ripetute da un singolo utente (quando si verifica un'attività specifica più di un numero di volte entro un numero di minuti impostato).

È possibile usare i criteri di attività per monitorare l'attività nei servizio Power BI in modi diversi. Ecco alcuni esempi di ciò che è possibile ottenere.

  • Contenuto con privilegi di visualizzazione utente non autorizzata o imprevista: un utente che non è membro di un gruppo di sicurezza specifico (o un utente esterno) ha visualizzato un report con privilegi elevati fornito al consiglio di amministrazione.
  • Impostazioni del tenant non autorizzate o impreviste: un utente che non è membro di un gruppo di sicurezza specifico, ad esempio il gruppo di Amministrazione istrators di Power BI, ha aggiornato le impostazioni del tenant nella servizio Power BI. È anche possibile scegliere di ricevere una notifica ogni volta che viene aggiornata un'impostazione del tenant.
  • Numero elevato di eliminazioni: un utente ha eliminato più di 20 aree di lavoro o report in un periodo di tempo inferiore a 10 minuti.
  • Numero elevato di download: un utente ha scaricato più di 30 report in un periodo di tempo inferiore a cinque minuti.

I tipi di avvisi dei criteri di attività descritti in questa sezione vengono comunemente gestiti dagli amministratori di Power BI come parte della supervisione di Power BI. Quando si configurano avvisi all'interno di Defender per il cloud App, è consigliabile concentrarsi su situazioni che rappresentano un rischio significativo per l'organizzazione. Questo perché ogni avviso deve essere esaminato e chiuso da un amministratore.

Avviso

Poiché gli eventi del log attività di Power BI non sono disponibili in tempo reale, non possono essere usati per il monitoraggio o il blocco in tempo reale. È tuttavia possibile usare le operazioni del log attività nei criteri attività. Assicurarsi di collaborare con il team addetto alla sicurezza delle informazioni per verificare cosa sia tecnicamente fattibile prima di passare troppo al processo di pianificazione.

Elenco di controllo : quando si pianificano i criteri di attività, le decisioni chiave e le azioni includono:

  • Identificare i casi d'uso per il monitoraggio delle attività: compilare un elenco di attività specifiche dal log attività di Power BI che rappresentano un rischio significativo per l'organizzazione. Determinare se il rischio è correlato a una singola attività o a attività ripetute.
  • Coordinare il lavoro con gli amministratori di Power BI: discutere le attività di Power BI che verranno monitorate nelle app di Defender per il cloud. Assicurarsi che non sia presente una duplicazione del lavoro tra amministratori diversi.

Utenti interessati

Uno dei motivi interessanti per integrare Power BI con Defender per il cloud App consiste nel trarre vantaggio dai controlli in tempo reale quando gli utenti interagiscono con il servizio Power BI. Questo tipo di integrazione richiede il controllo dell'app per l'accesso condizionale in Microsoft Entra ID.

Prima di configurare il controllo delle app di accesso condizionale in Microsoft Entra ID, è necessario considerare quali utenti verranno inclusi. In genere, tutti gli utenti sono inclusi. Tuttavia, potrebbero esserci motivi per escludere utenti specifici.

Suggerimento

Quando si configurano i criteri di accesso condizionale, è probabile che l'amministratore di Microsoft Entra escluda account amministratore specifici. Questo approccio impedirà di bloccare gli amministratori. È consigliabile che gli account esclusi siano amministratori di Microsoft Entra anziché utenti di Power BI standard.

Alcuni tipi di criteri nelle app Defender per il cloud possono essere applicati a determinati utenti e gruppi. Nella maggior parte dei casi, questi tipi di criteri sono applicabili a tutti gli utenti. Tuttavia, è possibile che si verifichi una situazione quando è necessario escludere intenzionalmente determinati utenti.

Elenco di controllo : quando si considerano quali utenti sono interessati, le decisioni chiave e le azioni includono:

  • Considerare quali utenti sono inclusi: verificare se tutti gli utenti verranno inclusi nei criteri di controllo delle app per l'accesso condizionale di Microsoft Entra.
  • Identificare gli account amministratore da escludere: determinare quali account amministratore specifici devono essere esclusi intenzionalmente dai criteri di controllo delle app per l'accesso condizionale di Microsoft Entra.
  • Determinare se determinati criteri di Defender si applicano ai subset di utenti: per casi d'uso validi, valutare se devono essere applicabili a tutti o ad alcuni utenti (quando possibile).

Messaggistica utente

Dopo aver identificato i casi d'uso, è necessario considerare cosa deve accadere quando è presente un'attività utente che corrisponde ai criteri.

Quando un'attività viene bloccata in tempo reale, è importante fornire all'utente un messaggio personalizzato. Il messaggio è utile quando si desidera fornire maggiori indicazioni e consapevolezza agli utenti durante il normale flusso di lavoro. È più probabile che gli utenti leggono e assorbano le notifiche degli utenti quando sono:

  • Specifico: correlare il messaggio al criterio semplifica la comprensione.
  • Praticabile: offrire un suggerimento per le operazioni da eseguire o come trovare altre informazioni.

Alcuni tipi di criteri nelle app di Defender per il cloud possono avere un messaggio personalizzato. Ecco due esempi di notifiche utente.

Esempio 1: è possibile definire criteri di controllo sessione in tempo reale che impediscono tutte le esportazioni e i download quando l'etichetta di riservatezza per l'elemento di Power BI (ad esempio un report o un modello semantico, noto in precedenza come set di dati) è impostata su Altamente limitato. Il messaggio di blocco personalizzato in Defender per il cloud app legge: i file con un'etichetta con restrizioni elevata non possono essere scaricati dalla servizio Power BI. Visualizzare il contenuto online nella servizio Power BI. Per eventuali domande, contattare il team di supporto di Power BI.

Esempio 2: è possibile definire criteri di accesso in tempo reale che impediscono a un utente di accedere al servizio Power BI quando non usano un computer gestito dall'organizzazione. Messaggio di blocco personalizzato nelle letture delle app di Defender per il cloud: il servizio Power BI potrebbe non essere accessibile in un dispositivo personale. Usare il dispositivo fornito dall'organizzazione. Per eventuali domande, contattare il team di supporto di Power BI.

Elenco di controllo: quando si considerano i messaggi utente in Defender per il cloud App, le decisioni e le azioni principali includono:

  • Decidere quando è necessario un messaggio di blocco personalizzato: per ogni criterio che si intende creare, determinare se sarà necessario un messaggio di blocco personalizzato.
  • Creare messaggi di blocco personalizzati: per ogni criterio, definire il messaggio da visualizzare agli utenti. Pianificare la correlazione di ogni messaggio con i criteri in modo che sia specifico e interattivo.

avvisi di Amministrazione istrator

L'invio di avvisi è utile quando si vuole rendere gli amministratori della sicurezza e della conformità consapevoli che si è verificata una violazione dei criteri. Quando si definiscono i criteri nelle app di Defender per il cloud, valutare se gli avvisi devono essere generati. Per altre informazioni, vedere Tipi di avviso in app Defender per il cloud.

Facoltativamente, è possibile configurare un avviso per inviare un messaggio di posta elettronica a più amministratori. Quando è necessario un avviso di posta elettronica, è consigliabile usare un gruppo di sicurezza abilitato alla posta elettronica. Ad esempio, è possibile usare un gruppo denominato Sicurezza e conformità Amministrazione avvisi.

Per situazioni con priorità elevata, è possibile inviare avvisi tramite SMS. È anche possibile creare flussi di lavoro e automazione degli avvisi personalizzati tramite l'integrazione con Power Automate.

È possibile configurare ogni avviso con gravità bassa, media o alta. Il livello di gravità è utile quando si assegna la priorità alla revisione degli avvisi aperti. Un amministratore dovrà esaminare e intervenire per ogni avviso. Un avviso può essere chiuso come vero positivo, falso positivo o non dannoso.

Ecco due esempi di avvisi di amministratore.

Esempio 1: è possibile definire criteri di controllo sessione in tempo reale che impediscono tutte le esportazioni e i download quando l'etichetta di riservatezza per l'elemento di Power BI (ad esempio un report o un modello semantico) è impostata su Altamente limitato. Ha un messaggio di blocco personalizzato utile per l'utente. Tuttavia, in questa situazione non è necessario generare un avviso.

Esempio 2: è possibile definire un criterio di attività che tiene traccia del fatto che un utente esterno abbia visualizzato un report con privilegi elevati fornito al consiglio di amministrazione. È possibile configurare un avviso di gravità elevata per assicurarsi che l'attività venga esaminata tempestivamente.

Suggerimento

Nell'esempio 2 sono evidenziate le differenze tra protezione delle informazioni e sicurezza. I criteri di attività consentono di identificare gli scenari in cui gli utenti bi self-service hanno l'autorizzazione per gestire la sicurezza per il contenuto. Tuttavia, questi utenti possono intraprendere azioni scoraggiate dai criteri dell'organizzazione. È consigliabile configurare questi tipi di criteri solo in circostanze specifiche quando le informazioni sono particolarmente sensibili.

Elenco di controllo: quando si valuta l'invio di avvisi per gli amministratori in app Defender per il cloud, le decisioni e le azioni principali includono:

  • Decidere quando sono necessari gli avvisi: per ogni criterio che si intende creare, decidere quali situazioni giustificano l'uso degli avvisi.
  • Chiarire ruoli e responsabilità: determinare le aspettative e l'azione da intraprendere quando viene generato un avviso.
  • Determinare chi riceverà gli avvisi: decidere quali amministratori di sicurezza e conformità esamineranno e eseguiranno gli avvisi aperti. Verificare che le autorizzazioni e i requisiti di licenza siano soddisfatti per ogni amministratore che userà Defender per il cloud App.
  • Creare un nuovo gruppo: quando necessario, creare un nuovo gruppo di sicurezza abilitato alla posta elettronica da usare per le notifiche tramite posta elettronica.

Convenzione di denominazione dei criteri

Prima di creare criteri in app di Defender per il cloud, è consigliabile creare prima una convenzione di denominazione. Una convenzione di denominazione è utile quando sono presenti molti tipi di criteri per molti tipi di applicazioni. È utile anche quando gli amministratori di Power BI diventano coinvolti nel monitoraggio.

Suggerimento

Valutare la possibilità di concedere alle app di Defender per il cloud l'accesso agli amministratori di Power BI. Usare il ruolo di amministratore, che consente di visualizzare il log attività, gli eventi di accesso e gli eventi correlati alla servizio Power BI.

Si consideri un modello di convenzione di denominazione che include segnaposto dei componenti: <Applicazione> - <Descrizione> - <Azione> - <Tipo di criterio>

Ecco alcuni esempi di convenzioni di denominazione.

Tipo di criterio In tempo reale Nome del criterio
Criteri della sessione Power BI - Etichetta con restrizioni elevata - Bloccare i download - RT
Criteri di accesso All - Dispositivo non gestito - Blocca l'accesso - RT
Criteri attività No Power BI - Attività Amministrazione istrative
Criteri attività No Power BI - Report esecutivo visualizzazioni utente esterne

I componenti della convenzione di denominazione includono:

  • Applicazione: nome dell'applicazione. Il prefisso di Power BI consente di raggruppare tutti i criteri specifici di Power BI quando vengono ordinati. Tuttavia, alcuni criteri verranno applicati a tutte le app cloud anziché solo alle servizio Power BI.
  • Descrizione: la parte di descrizione del nome varia di più. Può includere etichette di riservatezza interessate o il tipo di attività monitorata.
  • Azione: (facoltativo) Negli esempi, un criterio di sessione ha un'azione blocca i download. In genere, un'azione è necessaria solo quando si tratta di criteri in tempo reale.
  • Tipo di criterio: (facoltativo) Nell'esempio, il suffisso RT indica che si tratta di un criterio in tempo reale. Designando se è in tempo reale o meno aiuta a gestire le aspettative.

Esistono altri attributi che non devono essere inclusi nel nome del criterio. Questi attributi includono il livello di gravità (basso, medio o alto) e la categoria (ad esempio il rilevamento delle minacce o la prevenzione della perdita dei dati). Entrambi gli attributi possono essere filtrati nella pagina degli avvisi.

Suggerimento

È possibile rinominare un criterio in app di Defender per il cloud. Tuttavia, non è possibile rinominare i criteri di rilevamento anomalie predefiniti. Ad esempio, la condivisione di report di Power BI sospetta è un criterio predefinito che non può essere rinominato.

Elenco di controllo : quando si considera la convenzione di denominazione dei criteri, le decisioni chiave e le azioni includono:

  • Scegliere una convenzione di denominazione: usare i primi criteri per stabilire una convenzione di denominazione coerente che sia semplice da interpretare. Concentrarsi sull'uso di un prefisso e un suffisso coerenti.
  • Documentare la convenzione di denominazione: fornire la documentazione di riferimento sulla convenzione di denominazione dei criteri. Assicurarsi che gli amministratori di sistema siano a conoscenza della convenzione di denominazione.
  • Aggiornare i criteri esistenti: aggiornare i criteri di Defender esistenti in modo che siano conformi alla nuova convenzione di denominazione.

Requisiti di licenza

Per monitorare un tenant di Power BI, è necessario disporre di licenze specifiche. Amministrazione istrator deve avere una delle licenze seguenti.

  • app Microsoft Defender per il cloud: Fornisce Defender per il cloud funzionalità delle app per tutte le applicazioni supportate (incluso il servizio Power BI).
  • Office 365 Cloud App Security: fornisce funzionalità di app Defender per il cloud per le app di Office 365 che fanno parte della famiglia di prodotti Office 365 E5 (incluso il servizio Power BI).

Inoltre, se gli utenti devono usare criteri di accesso in tempo reale o criteri di sessione in Defender per il cloud Apps, avranno bisogno di una licenza microsoft Entra ID P1.

Suggerimento

Se sono necessari chiarimenti sui requisiti di licenza, rivolgersi al team dell'account Microsoft.

Elenco di controllo : quando si valutano i requisiti di licenza, le decisioni chiave e le azioni includono:

  • Esaminare i requisiti di licenza dei prodotti: assicurarsi di aver esaminato tutti i requisiti di licenza per l'uso delle app Defender per il cloud.
  • Acquistare licenze aggiuntive: se applicabile, acquistare altre licenze per sbloccare le funzionalità che si intende usare.
  • Assegnare licenze: assegnare una licenza a ognuno degli amministratori di sicurezza e conformità che useranno Defender per il cloud App.

Documentazione e formazione per gli utenti

Prima di implementare Defender per il cloud App, è consigliabile creare e pubblicare la documentazione degli utenti. Una pagina di SharePoint o una pagina wiki nel portale centralizzato può funzionare correttamente perché sarà facile da gestire. Anche un documento caricato in una raccolta condivisa o in un sito di Teams è una buona soluzione.

L'obiettivo della documentazione è quello di ottenere un'esperienza utente senza problemi. La preparazione della documentazione utente consentirà anche di assicurarsi di aver preso in considerazione tutti gli elementi.

Includere informazioni su chi contattare quando gli utenti hanno domande o problemi tecnici.

Le domande frequenti e gli esempi sono particolarmente utili per la documentazione degli utenti.

Elenco di controllo : quando si preparano la documentazione e il training degli utenti, le decisioni chiave e le azioni includono:

  • Aggiornare la documentazione per creatori di contenuti e consumer: aggiornare le domande frequenti e gli esempi per includere informazioni pertinenti sui criteri che potrebbero verificarsi dagli utenti.
  • Pubblicare la guida: assicurarsi che gli utenti sappiano come ottenere assistenza quando riscontrano qualcosa di imprevisto o che non capiscono.
  • Determinare se è necessario un training specifico: creare o aggiornare il training degli utenti in modo da includere informazioni utili, soprattutto se è necessario un requisito normativo.

Supporto per gli utenti

È importante verificare chi sarà responsabile del supporto tecnico degli utenti. È comune che l'uso di app Defender per il cloud per monitorare Power BI venga eseguito da un help desk IT centralizzato.

Potrebbe essere necessario creare la documentazione per l'help desk e condurre alcune sessioni di trasferimento delle conoscenze per assicurarsi che l'help desk sia pronto per rispondere alle richieste di supporto.

Elenco di controllo : quando si prepara per la funzione di supporto utente, le decisioni chiave e le azioni includono:

  • Identificare chi fornirà supporto per gli utenti: quando si definiscono ruoli e responsabilità, assicurarsi di tenere conto del modo in cui gli utenti riceveranno assistenza per i problemi che potrebbero verificarsi.
  • Assicurarsi che il team di supporto utenti sia pronto: creare la documentazione e condurre sessioni di trasferimento delle informazioni per assicurarsi che l'help desk sia pronto per supportare questi processi.
  • Comunicare tra team: discutere i messaggi che gli utenti potrebbero visualizzare e il processo per risolvere gli avvisi aperti con gli amministratori di Power BI e Centro di eccellenza. Assicurarsi che tutti gli utenti coinvolti siano preparati per le potenziali domande degli utenti di Power BI.

Riepilogo dell'implementazione

Dopo aver preso le decisioni e aver preparato un piano di implementazione, è il momento di avviare l'implementazione.

Se si intende usare criteri in tempo reale (criteri di sessione o criteri di accesso), la prima attività consiste nel configurare il controllo delle app per l'accesso condizionale di Microsoft Entra. Dovrai configurare il servizio Power BI come app del catalogo che verrà controllata da Defender per il cloud App.

Quando il controllo app per l'accesso condizionale di Microsoft Entra viene configurato e testato, è possibile creare criteri in Defender per il cloud App.

Importante

È consigliabile introdurre prima questa funzionalità a un numero ridotto di utenti di test. Esiste anche una modalità di sola monitoraggio che potrebbe risultare utile per introdurre questa funzionalità in modo ordinato.

L'elenco di controllo seguente include un elenco riepilogato dei passaggi di implementazione end-to-end. Molti dei passaggi includono altri dettagli illustrati nelle sezioni precedenti di questo articolo.

Elenco di controllo: quando si implementano app Defender per il cloud con Power BI, le decisioni e le azioni principali includono:

  • Verificare lo stato e gli obiettivi correnti: assicurarsi di avere chiarezza sullo stato corrente della prevenzione della perdita dei dati per l'uso con Power BI. Tutti gli obiettivi e i requisiti per l'implementazione della prevenzione della perdita dei dati devono essere chiari e attivamente usati per guidare il processo decisionale.
  • Eseguire il processo decisionale: esaminare e discutere tutte le decisioni necessarie. Questa attività deve essere eseguita prima di configurare qualsiasi elemento nell'ambiente di produzione.
  • Esaminare i requisiti di licenza: assicurarsi di comprendere i requisiti di licenza dei prodotti e delle licenze utente. Se necessario, procurarsi e assegnare più licenze.
  • Pubblicare la documentazione dell'utente: pubblicare informazioni che gli utenti dovranno rispondere alle domande e chiarire le aspettative. Fornire indicazioni, comunicazioni e formazione agli utenti in modo che siano preparati.
  • Creare un criterio di accesso condizionale di Microsoft Entra: creare un criterio di accesso condizionale in Microsoft Entra ID per abilitare i controlli in tempo reale per il monitoraggio del servizio Power BI. In un primo momento, abilitare i criteri di accesso condizionale di Microsoft Entra per alcuni utenti di test.
  • Impostare Power BI come app connessa in app Defender per il cloud: aggiungere o verificare che Power BI venga visualizzato come app connessa in Defender per il cloud App per il controllo delle app per l'accesso condizionale.
  • Eseguire test iniziali: accedere al servizio Power BI come utente di test. Verificare che l'accesso funzioni. Verificare anche che il messaggio visualizzato informa che il servizio Power BI è monitorato da Defender per il cloud App.
  • Creare e testare criteri in tempo reale: usando i casi d'uso già compilati, creare criteri di accesso o criteri di sessione in Defender per il cloud App.
  • Eseguire test iniziali: come utente di test, eseguire un'azione che attiverà i criteri in tempo reale. Verificare che l'azione sia bloccata (se appropriata) e che vengano visualizzati i messaggi di avviso previsti.
  • Raccogliere commenti e suggerimenti degli utenti: ottenere commenti e suggerimenti sul processo e sull'esperienza utente. Identificare aree di confusione, risultati imprevisti con tipi di informazioni sensibili e altri problemi tecnici.
  • Continuare le versioni iterative: aggiungere gradualmente altri criteri nelle app Defender per il cloud fino a quando non vengono risolti tutti i casi d'uso.
  • Esaminare i criteri predefiniti: individuare i criteri di rilevamento anomalie predefiniti in app Defender per il cloud (con Power BI nel nome). Aggiornare le impostazioni di avviso per i criteri predefiniti, se necessario.
  • Procedere con un'implementazione più ampia: continuare a usare il piano di implementazione iterativo. Aggiornare i criteri di accesso condizionale di Microsoft Entra da applicare a un set più ampio di utenti, in base alle esigenze. Aggiornare i singoli criteri in Defender per il cloud App da applicare a un set più ampio di utenti, in base alle esigenze.
  • Monitorare, ottimizzare e regolare: investire le risorse per esaminare gli avvisi e i log di controllo corrispondenti ai criteri in modo frequente. Esaminare eventuali falsi positivi e modificare i criteri quando necessario.

Suggerimento

Questi elementi di elenco di controllo sono riepilogati a scopo di pianificazione. Per altri dettagli su questi elementi dell'elenco di controllo, vedere le sezioni precedenti di questo articolo.

Per informazioni più specifiche sulla distribuzione di Power BI come applicazione del catalogo in app Defender per il cloud, vedere la procedura per distribuire le app del catalogo.

Monitoraggio continuo

Dopo aver completato l'implementazione, è necessario indirizzare l'attenzione al monitoraggio, all'applicazione e alla modifica dei criteri delle app Defender per il cloud in base all'utilizzo.

Gli amministratori e gli amministratori di sicurezza e conformità di Power BI dovranno collaborare di tanto in tanto. Per il contenuto di Power BI sono disponibili due gruppi di destinatari per il monitoraggio.

  • Amministratori di Power BI: oltre agli avvisi generati da app Defender per il cloud, le attività del log attività di Power BI vengono visualizzate anche nel portale delle app di Defender per il cloud.
  • Amministratori della sicurezza e della conformità: gli amministratori di sicurezza e conformità dell'organizzazione useranno in genere gli avvisi delle app Defender per il cloud.

È possibile fornire agli amministratori di Power BI una visualizzazione limitata in Defender per il cloud App. Usa un ruolo con ambito per visualizzare il log attività, gli eventi di accesso e gli eventi correlati alla servizio Power BI. Questa funzionalità è utile per gli amministratori di Power BI.

Elenco di controllo: quando si monitora Defender per il cloud le app, le decisioni chiave e le azioni includono:

  • Verificare ruoli e responsabilità: assicurarsi di essere chiari su chi è responsabile delle azioni. Informare e comunicare con gli amministratori di Power BI se saranno responsabili di qualsiasi aspetto del monitoraggio.
  • Gestire l'accesso per gli amministratori di Power BI: aggiungere gli amministratori di Power BI al ruolo di amministratore con ambito in Defender per il cloud App. Comunicare con loro in modo che siano consapevoli di ciò che possono fare con queste informazioni aggiuntive.
  • Creare o convalidare il processo per l'attività di revisione: assicurarsi che gli amministratori di sicurezza e conformità siano chiari sulle aspettative per esaminare regolarmente Esplora attività.
  • Creare o convalidare il processo per la risoluzione degli avvisi: assicurarsi che gli amministratori di sicurezza e conformità dispongano di un processo per analizzare e risolvere gli avvisi aperti.

Contenuto correlato

Nell'articolo successivo di questa serie vengono fornite informazioni sul controllo per la protezione delle informazioni e la prevenzione della perdita dei dati per Power BI.