Планирование реализации Power BI: защита информации для Power BI
Примечание.
Эта статья входит в серию статей по планированию реализации Power BI. В этой серии основное внимание уделяется интерфейсу Power BI в Microsoft Fabric. Общие сведения о серии см. в статье о планировании реализации Power BI.
В этой статье описаны действия по планированию, связанные с реализацией защиты информации в Power BI. Она нацелена на:
- Администраторы Power BI: администраторы, ответственные за надзор за Power BI в организации. Администраторы Power BI должны сотрудничать с информационной безопасностью и другими соответствующими командами.
- Центр превосходства, ИТ-отдела и группы бизнес-аналитики: другие, ответственные за надзор за Power BI в организации. Им может потребоваться совместная работа с администраторами Power BI, группами информационной безопасности и другими соответствующими командами.
Внимание
Защита информации и защита от потери данных (DLP) — это важная организация. Его область и влияние гораздо больше, чем Только Power BI. Для этого типа инициативы требуется финансирование, приоритет и планирование. Ожидается, что в планировании, использовании и надзоре будет задействовано несколько межфункциональными командами.
Действия по маркировке и классификации выходят за рамки Power BI и даже ресурсов данных. Решения, рассмотренные в этой статье, применяются ко всем ресурсам организации, включая файлы и сообщения электронной почты, а не только к Power BI. В этой статье рассматриваются разделы, которые применяются к маркировке и классификации в целом, так как принятие правильных организационных решений критически важно для успешного предотвращения потери данных в Power BI.
В этой статье также содержатся вводные рекомендации по определению структуры меток конфиденциальности. Техническая структура меток конфиденциальности является необходимым условием для реализации меток конфиденциальности в Power BI. Цель включения некоторых основных сведений в этой статье заключается в том, чтобы помочь вам понять, что участвует. Важно сотрудничать с ИТ для планирования и реализации защиты информации в организации.
Назначение меток конфиденциальности
Использование меток конфиденциальности Защита информации Microsoft Purview заключается в классификации содержимого. Представьте метку конфиденциальности, например тег, применяемый к элементу, файлу, сайту или ресурсу данных.
Существует множество преимуществ для использования защиты информации. Классификация и маркировка содержимого помогает организациям:
- Узнайте, где находятся конфиденциальные данные.
- Отслеживайте внешние и внутренние требования к соответствию.
- Защита содержимого от несанкционированных пользователей.
- Узнайте пользователям, как ответственно обрабатывать данные.
- Реализуйте элементы управления в режиме реального времени, чтобы снизить риск утечки данных.
Дополнительные варианты использования для защиты информации см. в разделе "Защита информации" и "Защита от потери данных" (распространенные варианты использования).
Совет
Это помогает помнить, что Защита информации Microsoft Purview является продуктом. Метки конфиденциальности — это определенная функция этого продукта.
Метка конфиденциальности — это краткое описание в чистом тексте. Концептуально можно представить метку конфиденциальности как тег. Для каждого элемента можно назначить только одну метку (например, семантику Power BI в служба Power BI) или каждому файлу (например, файл Power BI Desktop).
Метка имеет следующие цели.
- Классификация. Она предоставляет классификацию для описания уровня конфиденциальности.
- Обучение пользователей и осведомленность: это помогает пользователям понять, как правильно работать с содержимым.
- Политики. Она формирует основу для применения и применения политик и защиты от потери данных.
Предварительные требования для защиты информации Power BI
К настоящему моменту необходимо выполнить действия по планированию на уровне организации, описанные в статье планирования защиты информации на уровне организации. Прежде чем продолжить, вы должны иметь ясность в:
- Текущее состояние: текущее состояние защиты информации в организации. Необходимо понимать, используются ли метки конфиденциальности для файлов Microsoft Office. В этом случае область работы для добавления Power BI гораздо меньше, чем при первом включении защиты информации в организацию.
- Цели и требования : стратегические цели для реализации защиты информации в организации. Понимание целей и требований будет служить руководством для ваших усилий по реализации.
Если защита информации не используется вашей организацией, оставшаяся часть этого раздела содержит сведения, которые помогут вам сотрудничать с другими пользователями, чтобы внедрить защиту информации в вашу организацию.
Если защита информации активно используется в вашей организации, рекомендуется использовать эту статью, чтобы убедиться, что выполнены предварительные требования. Если метки конфиденциальности активно используются, то большинство (или все) действия на этапах развертывания 1–4 (в следующем разделе) уже будут завершены.
Этапы развертывания
Рекомендуется принять постепенный план развертывания для реализации и тестирования защиты информации. Цель постепенного плана развертывания заключается в том, чтобы настроить себя для обучения, настройки и итерации по мере использования. Преимущество заключается в том, что меньше пользователей влияет на ранние этапы (когда изменения более вероятны), пока защита информации в конечном итоге не будет развернута для всех пользователей в организации.
Введение в защиту информации является значительным предприятием. Как описано в статье планирования защиты информации на уровне организации, если ваша организация уже реализовала защиту информации для документов Microsoft Office, многие из этих задач уже будут завершены.
В этом разделе представлен обзор этапов, которые мы рекомендуем включить в план постепенного развертывания. Это должно дать вам смысл того, что ожидать. Оставшаяся часть этой статьи описывает другие критерии принятия решений для ключевых аспектов, влияющих на Power BI напрямую.
Этап 1. Планирование, выбор, подготовка
На первом этапе основное внимание уделяется планированию, принятию решений и подготовительным мероприятиям. Большая часть оставшейся части этой статьи посвящена этому первому этапу.
Как можно раньше проясните, где будет выполняться начальное тестирование. Этот выбор будет влиять на то, где вы изначально настроите, опубликуете и протестируете. Для первоначального тестирования можно использовать нерабочий клиент (если у вас есть доступ к одному).
Совет
Большинство организаций имеют доступ к одному клиенту, поэтому их можно изучить в изолированном режиме. Для тех организаций, у которых есть отдельный клиент разработки или тестирования, рекомендуется использовать его для начального этапа тестирования. Дополнительные сведения об управлении клиентами и создании пробного клиента для тестирования новых функций см. в разделе "Настройка клиента".
Этап 2. Настройка вспомогательных ресурсов пользователей
Второй этап включает шаги по настройке ресурсов для поддержки пользователей. Ресурсы включают политику классификации и защиты данных и пользовательскую страницу справки.
Важно, чтобы часть пользовательской документации была опубликована рано. Кроме того, важно подготовить группу поддержки пользователей.
Этап 3. Настройка меток и публикация
Третий этап посвящен определению меток конфиденциальности. Когда все решения были приняты, настройка не является сложной или потребляющей много времени. Метки конфиденциальности настраиваются в Портал соответствия требованиям Microsoft Purview в Центр администрирования Microsoft 365.
Этап 4. Публикация политики меток
Прежде чем использовать метку, необходимо опубликовать ее в рамках политики меток. Политики меток позволяют определенным пользователям использовать метку. Политики меток публикуются в Портал соответствия требованиям Microsoft Purview в Центр администрирования Microsoft 365.
Примечание.
Все до этого момента является необходимым условием для реализации защиты информации для Power BI.
Этап 5. Включение параметров клиента Power BI
На портале администрирования Power BI есть несколько параметров клиента защиты информации. Они необходимы для включения защиты информации в служба Power BI.
Внимание
После настройки и публикации меток в Портал соответствия требованиям Microsoft Purview следует задать параметры клиента.
Этап 6. Начальное тестирование
На шестом этапе вы выполняете начальные тесты, чтобы убедиться, что все работает должным образом. В целях первоначального тестирования следует опубликовать политику меток только для команды реализации.
На этом этапе необходимо проверить следующее:
- Файлы Microsoft Office
- Элементы Power BI в служба Power BI
- файлы Power BI Desktop.
- Экспорт файлов из служба Power BI
- Другие области, включенные в конфигурацию, такие как сайты Teams или SharePoint
Обязательно проверьте функциональные возможности и взаимодействие с пользователем с помощью веб-браузера, а также мобильных устройств, которые часто используются. Обновите документацию пользователя соответствующим образом.
Внимание
Даже если только несколько членов команды авторизованы на задание метки конфиденциальности, все пользователи смогут видеть метки, назначенные содержимому. Если вы используете рабочий клиент, пользователи могут задаться вопросом, почему они видят метки, назначенные элементам в рабочей области в служба Power BI. Будьте готовы к поддержке и ответить на вопросы пользователей.
Этап 7. Сбор отзывов пользователей
Целью этого этапа является получение отзывов от небольшой группы ключевых пользователей. Обратная связь должна определять области путаницы, пробелы в структуре меток или технические проблемы. Вы также можете найти причины улучшения документации пользователя.
Для этого следует опубликовать политику меток (или повторно опубликовать) для небольшого подмножества пользователей, которые готовы предоставить отзывы.
Совет
Обязательно учитывайте достаточно времени в плане проекта. Для параметров политики меток и меток в документации по продукту рекомендуется 24 часа , чтобы изменения вступили в силу. Это время необходимо, чтобы все изменения распространялись через связанные службы.
Этап 8. Выпуск итеративно
Этап реализации обычно является итеративным процессом.
Часто начальная цель заключается в том, чтобы получить состояние, в котором все содержимое Power BI имеет метку конфиденциальности. Для достижения этой цели можно ввести обязательную политику меток или политику меток по умолчанию. Вы также можете использовать API администратора защиты информации для программного задания или удаления меток конфиденциальности.
Вы можете постепенно включать больше групп пользователей до тех пор, пока не будет включена вся организация. Этот процесс включает повторную публикацию каждой политики меток для все более крупных групп пользователей.
На протяжении всего этого процесса обязательно предоставьте приоритеты, предоставляя рекомендации, обмен данными и обучение пользователям, чтобы они понимали процесс и ожидаемые от них действия.
Этап 9. Мониторинг, аудит, корректировка, интеграция
После первоначального развертывания необходимо выполнить другие действия. У вас должна быть основная команда, чтобы отслеживать действия защиты информации и настраивать их с течением времени. По мере применения меток вы сможете оценить их полезность и определить области для корректировки.
Существует множество аспектов аудита защиты информации. Дополнительные сведения см. в статье "Аудит защиты информации и защиты от потери данных" для Power BI.
Инвестиции, которые вы вносите в настройку защиты информации, можно использовать в политиках защиты от потери данных для Power BI, которые настроены в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения, включая описание возможностей защиты от потери данных, см. в разделе "Защита от потери данных" для Power BI.
Защиту информации также можно использовать для создания политик в Microsoft Defender для облака Приложениях. Дополнительные сведения, включая описание возможностей, которые могут оказаться полезными, см. в разделе Defender для облака Приложения для Power BI.
Контрольный список . При подготовке этапов развертывания защиты информации ключевые решения и действия включают:
- Создайте план постепенного развертывания: определите этапы для плана развертывания. Уточняйте, какие цели предназначены для каждого этапа.
- Определите, где выполнять тестирование: определите, где можно выполнить начальное тестирование. Чтобы свести к минимуму влияние на пользователей, по возможности используйте нерабочий клиент.
- Создайте план проекта: создайте план проекта, который включает все ключевые действия, оценочную временную шкалу и кто будет отвечать.
Структура меток конфиденциальности
Структура меток конфиденциальности является обязательным условием для реализации меток конфиденциальности в Power BI. В этом разделе содержатся некоторые основные сведения, которые помогут вам понять, что связано с созданием структуры меток.
Этот раздел не является исчерпывающим списком всех возможных рекомендаций меток конфиденциальности для всех возможных приложений. Вместо этого основное внимание уделяется рекомендациям и действиям, которые непосредственно влияют на классификацию содержимого Power BI. Убедитесь, что вы работаете с другими заинтересованными лицами и системными администраторами, чтобы принимать решения, которые хорошо работают для всех приложений и вариантов использования.
Основа реализации защиты информации начинается с набора меток конфиденциальности. Конечной целью является создание набора меток конфиденциальности, с которыми пользователи могут работать.
Структура меток конфиденциальности, используемая в организации, представляет таксономию метки. Она также часто называется таксономией классификации данных, таксономией, поскольку цель состоит в классификации данных. Иногда это называется определением схемы.
Существует не стандартный или встроенный набор меток. Каждая организация должна определять и настраивать набор меток в соответствии с их потребностями. Процесс прибытия на правильный набор меток включает в себя обширную совместную работу. Он требует тщательного планирования, чтобы гарантировать, что метки будут соответствовать целям и требованиям. Помните, что метки будут применяться не только к содержимому Power BI.
Совет
Большинство организаций начинаются с назначения меток файлам Microsoft Office. Затем они развиваются до классификации другого содержимого, например элементов и файлов Power BI.
Структура меток включает:
- Метки: метки образуют иерархию. Каждая метка указывает уровень конфиденциальности для элемента, файла или ресурса данных. Рекомендуется создавать от трех до семи меток. Метки редко изменяются.
- Вложенные метки: вложенные метки указывают на варианты защиты или области в определенной метке. Включив их в разные политики меток, вы можете ограничить подметки определенным набором пользователей или пользователей, участвующих в определенном проекте.
Совет
Хотя вложенные метки обеспечивают гибкость, они должны использоваться в модерации только для удовлетворения критических требований. Создание слишком большого количества вложенных меток приводит к увеличению управления. Они также могут перегружены пользователями с слишком большим количеством вариантов.
Метки образуют иерархию, начиная с наименее конфиденциальной классификации для наиболее конфиденциальной классификации.
Иногда содержимое Power BI содержит данные, охватывающие несколько меток. Например, семантическая модель может содержать сведения о инвентаризации продуктов (общее внутреннее использование) и текущие показатели продаж за квартал (ограниченный). При выборе метки, назначаемой семантической модели Power BI, пользователям следует научить применять самую ограничивающую метку.
Совет
В следующем разделе описывается политика классификации и защиты данных, которая может предоставить пользователям рекомендации по использованию каждой метки.
Внимание
Назначение метки или подметки напрямую не влияет на доступ к содержимому Power BI в служба Power BI. Вместо этого метка предоставляет полезную категорию, которая может управлять поведением пользователя. Политики защиты от потери данных также могут быть основаны на назначенной метки. Однако управление доступом к содержимому Power BI не изменяется, за исключением случаев, когда файл зашифрован. Дополнительные сведения см. в разделе "Использование защиты шифрования".
Будьте преднамеренными с создаваемыми метками, так как это сложно удалить или удалить метку после завершения начального этапа тестирования. Так как вложенные метки могут (необязательно) использоваться для определенного набора пользователей, они могут изменяться чаще, чем метки.
Ниже приведены некоторые рекомендации по определению структуры меток.
- Используйте интуитивно понятные, неоднозначные термины. Ясность важна, чтобы пользователи знали, что следует выбирать при классификации своих данных. Например, наличие метки Верхнего секрета и метки строго конфиденциальной является неоднозначным.
- Создание логического иерархического порядка: порядок меток имеет решающее значение для правильной работы всего. Помните, что последняя метка в списке является наиболее конфиденциальной. Иерархический порядок, в сочетании с хорошо выбранными терминами, должен быть логическим и понятным для работы с пользователями. Четкая иерархия также упрощает создание и обслуживание политик.
- Создайте только несколько меток, которые применяются в организации: наличие слишком большого количества меток для пользователей, которые будут выбирать из них, будут запутаться. Это также приведет к менее точному выбору меток. Рекомендуется создать только несколько меток для начального набора.
- Используйте значимые, универсальные имена: избегайте использования отраслевых жаргонов или акронимов в именах меток. Например, вместо создания метки с именем "Личная идентифицируемая информация", вместо этого используйте такие имена, как "Строго ограниченный" или "Строго конфиденциальный".
- Термины, которые легко локализованы на других языках: для глобальных организаций с операциями в нескольких странах или регионах важно выбрать термины метки, которые не будут запутаны или неоднозначны при переводе на другие языки.
Совет
Если вы находитесь в планировании для многих меток, которые являются очень конкретными, шаг назад и переоценивает ваш подход. Сложность может привести к путанице пользователей, сокращению внедрения и менее эффективной защите информации. Рекомендуется начать с начального набора меток (или использовать уже имеющиеся). После получения дополнительных возможностей осторожно разверните набор меток, добавив более конкретные при необходимости.
Контрольный список . При планировании структуры меток конфиденциальности ключевые решения и действия включают:
- Определите начальный набор меток конфиденциальности: создайте начальный набор от трех до семи меток конфиденциальности. Убедитесь, что они имеют широкое использование для широкого спектра содержимого. Планируйте итерацию в исходном списке при завершении политики классификации и защиты данных.
- Определите, нужны ли вложенные метки. Определите, нужно ли использовать вложенные метки для любой из меток.
- Убедитесь, что локализация терминов меток: если метки будут переведены на другие языки, у них есть собственные динамики, подтверждающие, что локализованные метки передают предполагаемое значение.
Область метки конфиденциальности
Область метки конфиденциальности ограничивает использование метки. Хотя вы не можете напрямую указать Power BI, вы можете применять метки к различным областям. Возможные области:
- Элементы (например, элементы, опубликованные в служба Power BI, файлы и сообщения электронной почты)
- Группы и сайты (например, канал Teams или сайт SharePoint)
- Ресурсы данных схемы (поддерживаемые источники, зарегистрированные на карте данных Purview)
Внимание
Невозможно определить метку конфиденциальности только в области Power BI. Хотя существуют некоторые параметры, которые применяются специально к Power BI, область не является одной из них. Область элементов используется для служба Power BI. Метки конфиденциальности обрабатываются по-разному от политик защиты от потери данных, описанных в статье о предотвращении потери данных для планирования Power BI, в том, что некоторые типы политик защиты от потери данных можно определить специально для Power BI. Если вы планируете использовать наследование меток конфиденциальности из источников данных в Power BI, существуют определенные требования для области меток.
События, связанные с метками конфиденциальности, записываются в обозревателе действий. Регистрированные сведения об этих событиях будут значительно более богатыми, если область более широка. Вы также будете лучше готовы защитить данные в широком спектре приложений и служб.
При определении начального набора меток конфиденциальности рекомендуется сделать начальный набор меток доступным для всех областей. Это связано с тем, что это может стать запутанным для пользователей, когда они видят разные метки в разных приложениях и службах. Однако с течением времени можно обнаружить варианты использования для более конкретных вложенных меток. Тем не менее, безопаснее начать с согласованного и простого набора начальных меток.
Область метки устанавливается в Портал соответствия требованиям Microsoft Purview при настройке метки.
Контрольный список . При планировании области метки ключевые решения и действия включают:
- Определите область метки: обсудите и определите, будут ли применяться все начальные метки ко всем областям.
- Просмотрите все предварительные требования: изучите предварительные требования и необходимые действия по настройке, которые потребуются для каждой области, которую вы планируете использовать.
Использование защиты шифрования
Существует несколько вариантов защиты с меткой конфиденциальности.
- Шифрование: параметры шифрования относятся к файлам или сообщениям электронной почты. Например, можно зашифровать файл Power BI Desktop.
- Маркировка: относится к заголовкам, нижним колонтитулам и подложкам. Маркировка полезна для файлов Microsoft Office, но они не отображаются в содержимом Power BI.
Совет
Обычно, когда кто-то ссылается на метку как защищенную, они ссылаются на шифрование. Возможно, достаточно, чтобы шифруются только метки более высокого уровня, такие как ограниченные и строго ограниченные.
Шифрование — это способ криптографического кодирования информации. Шифрование имеет несколько ключевых преимуществ.
- Только авторизованные пользователи (например, внутренние пользователи в организации) могут открывать, расшифровывать и читать защищенный файл.
- Шифрование остается защищенным файлом, даже если файл отправляется за пределы организации или переименовывается.
- Параметр шифрования получен из исходного содержимого с метками. Рассмотрим отчет в служба Power BI метку конфиденциальности с высоким уровнем ограничения. Если он экспортируется в поддерживаемый путь экспорта, метка остается нетронутой и шифрование применяется к экспортируемом файлу.
Служба Управления правами Azure (Azure RMS) используется для защиты файлов с шифрованием. Для использования шифрования Azure RMS необходимо выполнить некоторые важные предварительные требования .
Внимание
Существует ограничение: автономный пользователь (без подключения к Интернету) не может открыть зашифрованный файл Power BI Desktop (или другой тип защищенного файла Azure RMS). Это связано с тем, что Azure RMS должна синхронно проверить, разрешен ли пользователь открывать, расшифровывать и просматривать содержимое файла.
Зашифрованные метки обрабатываются по-разному в зависимости от того, где работает пользователь.
- В служба Power BI. Параметр шифрования не влияет на доступ пользователей в служба Power BI. Стандартные разрешения Power BI (например, роли рабочей области, разрешения приложения или разрешения общего доступа) управляют доступом пользователей в служба Power BI. Метки конфиденциальности не влияют на доступ к содержимому в служба Power BI.
- Файлы Power BI Desktop: зашифрованная метка может быть назначена файлу Power BI Desktop. Метка также сохраняется при экспорте из служба Power BI. Только авторизованные пользователи смогут открывать, расшифровывать и просматривать файл.
- Экспортированные файлы: Microsoft Excel, Microsoft PowerPoint и PDF-файлы, экспортированные из служба Power BI сохраняют метку конфиденциальности, включая защиту шифрования. Для поддерживаемых форматов файлов только авторизованные пользователи смогут открывать, расшифровывать и просматривать файл.
Внимание
Важно, чтобы пользователи понимали различия между служба Power BI и файлами, которые легко запутаны. Мы рекомендуем предоставить часто задаваемый документ вместе с примерами, чтобы помочь пользователям понять различия.
Чтобы открыть защищенный файл Power BI Desktop или экспортируемый файл, пользователь должен соответствовать следующим критериям.
- Подключение к Интернету: пользователь должен быть подключен к Интернету. Для взаимодействия с Azure RMS требуется активное подключение к Интернету.
- Разрешения RMS: у пользователя должны быть разрешения RMS, определенные в метках (а не в политике меток). Разрешения RMS позволяют авторизованным пользователям расшифровывать, открывать и просматривать поддерживаемые форматы файлов.
- Разрешенный пользователь: пользователи или группы должны быть указаны в политике меток. Как правило, назначение авторизованных пользователей требуется только для создателей контента и владельцев, чтобы они могли применять метки. Однако при использовании защиты шифрования существует другое требование. Каждый пользователь, который должен открыть защищенный файл, должен быть указан в политике меток. Это требование означает, что для дополнительных пользователей может потребоваться лицензирование защиты информации.
Совет
Разрешить администраторам рабочей области переопределить автоматически примененные метки конфиденциальности для параметра клиента позволяет администраторам рабочей области изменять метку, которая была применена автоматически, даже если для метки включена защита (шифрование). Эта возможность особенно полезна, если метка была автоматически назначена или унаследована, но администратор рабочей области не является авторизованным пользователем.
Защита меток устанавливается в Портал соответствия требованиям Microsoft Purview при настройке метки.
Контрольный список . При планировании использования шифрования меток ключевые решения и действия включают:
- Определите, какие метки следует шифровать: для каждой метки конфиденциальности определите, следует ли шифровать (защищать). Тщательно рассмотрим ограничения, которые участвуют.
- Определите разрешения RMS для каждой метки: определите, какие разрешения пользователя будут использоваться для доступа к зашифрованным файлам и взаимодействия с ними. Создайте сопоставление пользователей и групп для каждой метки конфиденциальности, чтобы помочь в процессе планирования.
- Проверка и устранение предварительных требований шифрования RMS. Убедитесь, что выполнены технические предварительные требования для использования шифрования Azure RMS.
- Планирование тщательного тестирования шифрования: из-за различий между файлами Office и файлами Power BI убедитесь, что вы выполняете тщательную проверку.
- Включите в документацию пользователей и обучение. Убедитесь, что вы включаете в документацию инструкции и учебные материалы о том, какие пользователи должны ожидать от файлов, назначенных метке конфиденциальности, зашифрованной.
- Проведение передачи знаний с поддержкой: создание конкретных планов для проведения сеансов передачи знаний с помощью группы поддержки. Из-за сложности шифрования они, скорее всего, получат вопросы от пользователей.
Наследование меток из источников данных
При импорте данных из поддерживаемых источников данных (например, Azure Synapse Analytics, База данных SQL Azure или файла Excel) семантическая модель Power BI может при необходимости наследовать метку конфиденциальности, примененную к исходным данным. Наследование помогает:
- Повышение согласованности меток.
- Уменьшите усилия пользователей при назначении меток.
- Уменьшите риск доступа пользователей к конфиденциальным данным и совместного доступа к ним с несанкционированными пользователями, так как они не были помечены.
Совет
Существует два типа наследования меток конфиденциальности. Наследование внизу ссылается на подчиненные элементы (например, отчеты), которые автоматически наследуют метку из своей семантической модели Power BI. Однако основное внимание в этом разделе уделяется наследованию _upstream. Вышестоящее наследование относится к семантической модели Power BI, которая наследует метку из источника данных, вышестоящего из семантической модели.
Рассмотрим пример, в котором рабочее определение организации для метки конфиденциальности строго ограниченного уровня включает номера финансовых счетов. Так как номера финансовых счетов хранятся в База данных SQL Azure, метка конфиденциальности с высоким уровнем ограничения была назначена источнику. Когда данные из База данных SQL Azure импортируются в Power BI, цель состоит в том, чтобы семантическая модель наследовала метку.
Метки конфиденциальности можно назначать поддерживаемым источникам данных разными способами.
- Обнаружение и классификация данных: можно проверить поддерживаемую базу данных, чтобы определить столбцы, которые могут содержать конфиденциальные данные. На основе результатов сканирования можно применить некоторые или все рекомендации по меткам. Обнаружение и классификация данных поддерживается для баз данных, таких как База данных SQL Azure, Управляемый экземпляр SQL Azure и Azure Synapse Analytics. Для локальных баз данных SQL Server поддерживается обнаружение и классификация данных SQL.
- Назначения вручную. Вы можете назначить метку конфиденциальности файлу Excel. Вы также можете вручную назначить метки столбцам базы данных в База данных SQL Azure или SQL Server.
- Автоматическая маркировка в Microsoft Purview: метки конфиденциальности можно применять к поддерживаемым источникам данных, зарегистрированным в качестве ресурсов в Схема данных Microsoft Purview.
Предупреждение
Сведения о том, как назначать метки конфиденциальности источнику данных, не относятся к этой статье. Технические возможности развиваются в связи с тем, что поддерживается для наследования в Power BI. Мы рекомендуем провести техническое подтверждение концепции для проверки целей, простоты использования и соответствия возможностей вашим требованиям.
Наследование произойдет только в том случае, если вы включите метки конфиденциальности из источников данных к их данным в параметре клиента Power BI. Дополнительные сведения о параметрах клиента см . в разделе параметров клиента Power BI далее в этой статье.
Совет
Вам потребуется ознакомиться с поведением наследования. Обязательно включите в план тестирования различные обстоятельства.
Контрольный список . При планировании наследования меток из источников данных ключевые решения и действия включают:
- Определите, следует ли Power BI наследовать метки из источников данных: решите, следует ли наследовать эти метки Power BI. Запланируйте включение параметра клиента, чтобы разрешить эту возможность.
- Просмотрите технические предварительные требования. Определите, нужно ли выполнять дополнительные действия, чтобы назначить метки конфиденциальности источникам данных.
- Функциональные возможности наследования меток: выполните техническое подтверждение концепции, чтобы проверить, как работает наследование. Убедитесь, что функция работает так, как ожидается в различных обстоятельствах.
- Включите в документацию пользователя: убедитесь, что сведения о наследовании меток добавляются в рекомендации, предоставленные пользователям. Включите реалистичные примеры в документацию пользователя.
Опубликованные политики меток
После определения метки конфиденциальности метку можно добавить в одну или несколько политик меток. Политика меток — это способ публикации метки, чтобы ее можно было использовать. Он определяет, какие метки можно использовать с помощью набора авторизованных пользователей. Существуют и другие параметры, такие как метка по умолчанию и обязательная метка.
Использование нескольких политик меток может оказаться полезным, если необходимо использовать различные наборы пользователей. Вы можете определить метку конфиденциальности один раз, а затем включить в одну или несколько политик меток.
Совет
Метка конфиденциальности недоступна для использования, пока не будет опубликована политика меток, содержащая метку в Портал соответствия требованиям Microsoft Purview.
Авторизованные пользователи и группы
При создании политики меток необходимо выбрать одного или нескольких пользователей или групп. Политика меток определяет, какие пользователи могут использовать метку. Он позволяет пользователям назначать эту метку определенному содержимому, например файлу Power BI Desktop, файлу Excel или элементу, опубликованному в служба Power BI.
Рекомендуется максимально просто сохранить авторизованных пользователей и групп. Хорошее правило для публикации основных меток для всех пользователей. Иногда она подходит для назначения подметки или области для подмножества пользователей.
Рекомендуется назначать группы вместо отдельных пользователей по возможности. Использование групп упрощает управление политикой и уменьшает частоту повторной публикации.
Предупреждение
Авторизованные пользователи и группы для метки отличаются от пользователей, назначенных Azure RMS для защищенной (зашифрованной) метки. Если у пользователя возникли проблемы с открытием зашифрованного файла, изучите разрешения шифрования для определенных пользователей и групп (которые настраиваются в конфигурации меток, а не в политике меток). В большинстве случаев рекомендуется назначить одинаковых пользователей обоим пользователям. Эта согласованность позволит избежать путаницы и сократить билеты в службу поддержки.
Авторизованные пользователи и группы задаются в Портал соответствия требованиям Microsoft Purview при публикации политики меток.
Контрольный список . При планировании авторизованных пользователей и групп в политике меток ключевые решения и действия включают:
- Определите, какие метки применяются ко всем пользователям: обсудите и определите, какие метки конфиденциальности должны быть доступны для использования всеми пользователями.
- Определите, какие вложенные метки применяются к подмножествам пользователей: обсудите и определите, есть ли какие-либо вложенные метки, которые будут доступны только для определенного набора пользователей или групп.
- Определите, необходимы ли новые группы: определите, должны ли создаваться новые группы идентификаторов Microsoft Entra для поддержки авторизованных пользователей и групп.
- Создайте документ планирования. Если сопоставление авторизованных пользователей с метками конфиденциальности сложно, создайте сопоставление пользователей и групп для каждой политики меток.
Метка по умолчанию для содержимого Power BI
При создании политики меток можно выбрать метку по умолчанию. Например, метка общего использования может быть задана как метка по умолчанию. Этот параметр влияет на новые элементы Power BI, созданные в Power BI Desktop или в служба Power BI.
Метку по умолчанию можно настроить в политике меток специально для содержимого Power BI, которое отличается от других элементов. Большинство решений и параметров защиты информации применяются более широко. Однако параметр метки по умолчанию (и параметр обязательной метки, описанный далее) применяется только к Power BI.
Совет
Хотя вы можете задать разные метки по умолчанию (для содержимого Power BI и не Power BI), рассмотрите, является ли это лучшим вариантом для пользователей.
Важно понимать, что новая политика меток по умолчанию будет применяться к содержимому, созданному или измененном, после публикации политики меток. Он не будет ретроактивно назначать метку по умолчанию существующему содержимому. Администратор Power BI может использовать API защиты информации для массовой настройки меток конфиденциальности, чтобы убедиться, что существующее содержимое назначено метке конфиденциальности по умолчанию.
Параметры метки по умолчанию задаются в Портал соответствия требованиям Microsoft Purview при публикации политики меток.
Контрольный список . При планировании применения метки по умолчанию для содержимого Power BI ключевые решения и действия включают:
- Определите, будет ли указана метка по умолчанию: обсудите и определите, подходит ли метка по умолчанию. Если да, определите, какая метка лучше всего подходит в качестве значения по умолчанию.
- Включить в документацию пользователя: при необходимости убедитесь, что сведения о метке по умолчанию упоминаются в руководстве, предоставленном пользователям. Цель заключается в том, чтобы пользователи понимали, как определить, подходит ли метка по умолчанию или должна ли она быть изменена.
Обязательное добавление меток в содержимое Power BI
Классификация данных является общим нормативным требованием. Чтобы выполнить это требование, можно выбрать, чтобы пользователи могли пометить все содержимое Power BI. Это обязательное требование маркировки вступает в силу при создании или изменении содержимого Power BI.
Вы можете реализовать обязательные метки, метки по умолчанию (описанные в предыдущем разделе) или оба. Следует рассмотреть следующие моменты.
- Политика обязательных меток гарантирует, что метка не будет пуста
- Политика обязательных меток требует, чтобы пользователи выбрали, какой метка должна быть
- Политика обязательных меток запрещает пользователям полностью удалять метку.
- Политика меток по умолчанию менее навязчива для пользователей, так как для них не требуется принимать меры
- Политика меток по умолчанию может привести к содержимому, которое неправильно помечено, так как пользователь не явно принял выбор
- Включение политики меток по умолчанию и обязательной политики меток может обеспечить дополнительные преимущества.
Совет
Если вы решили реализовать обязательные метки, рекомендуется также реализовать метки по умолчанию.
Политику обязательных меток можно настроить специально для содержимого Power BI. Большинство параметров защиты информации применяются более широко. Однако обязательный параметр метки (и параметр метки по умолчанию) применяется специально к Power BI.
Совет
Политика обязательных меток не применима к субъектам-службам или API.
Обязательные параметры маркировки задаются в Портал соответствия требованиям Microsoft Purview при публикации политики меток.
Контрольный список . При планировании обязательной маркировки содержимого Power BI ключевые решения и действия включают:
- Определите, будут ли метки обязательными: обсудите и решите, необходимы ли обязательные метки по соображениям соответствия требованиям.
- Включите в документацию пользователя: при необходимости убедитесь, что сведения об обязательных метках добавляются в рекомендации, предоставленные пользователям. Цель заключается в том, чтобы пользователи понимали, что ожидать.
Требования к лицензированию
Для работы с метками конфиденциальности должны быть применены определенные лицензии .
Для Защита информации Microsoft Purview лицензии требуется:
- Администраторы: администраторы, которые будут настраивать, управлять и контролировать метки.
- Пользователи: создатели содержимого и владельцы, которые будут отвечать за применение меток к содержимому. Пользователи также включают тех, кто должен расшифровать, открыть и просмотреть защищенные (зашифрованные) файлы.
Возможно, у вас уже есть эти возможности, так как они включены в наборы лицензий, например Microsoft 365 E5. Кроме того, Соответствие требованиям Microsoft 365 E5 возможности можно приобрести как автономную лицензию.
Лицензия Power BI Pro или Premium на пользователя (PPU) также необходима для пользователей, которые будут применять метки конфиденциальности и управлять ими в служба Power BI или Power BI Desktop.
Совет
Если вам нужны уточнения о требованиях к лицензированию, обратитесь к группе учетных записей Майкрософт. Имейте в виду, что лицензия Соответствие требованиям Microsoft 365 E5 включает дополнительные возможности, которые недоступны для этой статьи.
Контрольный список . При оценке требований лицензирования для меток конфиденциальности ключевые решения и действия включают:
- Проверьте требования к лицензированию продукта: убедитесь, что вы просматриваете все требования к лицензированию.
- Просмотрите требования к лицензированию пользователей. Убедитесь, что все пользователи, которые вы ожидаете назначить метки, имеют лицензии Power BI Pro или PPU.
- Приобретение дополнительных лицензий: при необходимости приобретите дополнительные лицензии для разблокировки функциональных возможностей, которые вы планируете использовать.
- Назначение лицензий. Назначение лицензии каждому пользователю, который назначит, обновит или управляет метками конфиденциальности. Назначьте лицензию каждому пользователю, который будет взаимодействовать с зашифрованными файлами.
Параметры клиента Power BI
Существует несколько параметров клиента Power BI, связанных с защитой информации.
Внимание
Параметры клиента Power BI для защиты информации не должны быть заданы до тех пор, пока не будут выполнены все предварительные требования. Метки и политики меток должны быть настроены и опубликованы в Портал соответствия требованиям Microsoft Purview. До этого момента вы все еще находитесь в процессе принятия решений. Перед настройкой параметров клиента необходимо сначала определить процесс тестирования функциональности с подмножеством пользователей. Затем вы можете решить, как сделать постепенное развертывание.
Пользователи, которые могут применять метки
Вы должны решить, кто будет разрешен применять метки конфиденциальности к содержимому Power BI. Это решение определяет способ установки меток конфиденциальности пользователей для параметра клиента содержимого.
Обычно это создатель контента или владелец, который назначает метку во время нормального рабочего процесса. Самый простой подход — включить этот параметр клиента, который позволяет всем пользователям Power BI применять метки. В этом случае стандартные роли рабочей области определяют, кто может изменять элементы в служба Power BI (включая применение метки). Журнал действий можно использовать для отслеживания, когда пользователь назначает или изменяет метку.
Метки из источников данных
Следует решить, следует ли наследовать метки конфиденциальности от поддерживаемых источников данных, которые находятся вышестоящими из Power BI. Например, если столбцы в База данных SQL Azure определены с меткой строго ограниченной конфиденциальности, то семантическая модель Power BI, которая импортирует данные из этого источника, наследует метку.
Если вы решите включить наследование из вышестоящих источников данных, задайте метки конфиденциальности из источников данных к их данным в параметре клиента Power BI. Рекомендуется включить наследование меток источника данных для повышения согласованности и сокращения усилий.
Метки для нижнего содержимого
Следует решить, должны ли метки конфиденциальности наследоваться нижестоящим содержимым. Например, если семантическая модель Power BI имеет метку конфиденциальности строго ограниченного уровня, все подчиненные отчеты наследуют эту метку от семантической модели.
Если вы решите включить наследование по нижестоящему содержимому, задайте автоматически примененные метки конфиденциальности к параметру клиента нижестоящего содержимого. Рекомендуется включить наследование по нижестоящему содержимому, чтобы повысить согласованность и сократить усилия.
Администратор рабочей области переопределяет
Этот параметр применяется для меток, которые были применены автоматически (например, когда применяются метки по умолчанию или когда метки автоматически наследуются). Если метка имеет параметры защиты, Power BI позволяет только авторизованным пользователям изменять метку. Этот параметр позволяет администраторам рабочей области изменять метку, которая была применена автоматически, даже если в метках есть параметры защиты.
Если вы решите разрешить обновления меток, задайте администраторам рабочей области возможность переопределить параметр клиента автоматически примененных меток конфиденциальности. Этот параметр применяется ко всей организации (а не к отдельным группам). Это позволяет администраторам рабочей области изменять метки, которые были автоматически применены.
Рекомендуется разрешить администраторам рабочей области Power BI обновлять метки. Журнал действий можно использовать для отслеживания при назначении или изменении метки.
Запретить общий доступ к защищенному содержимому
Вы должны решить, можно ли предоставлять доступ к защищенному (зашифрованном) содержимому всем пользователям в вашей организации.
Если вы решите запретить общий доступ к защищенному содержимому, задайте для параметра клиента организации доступ к защищенному содержимому с защищенными метками. Этот параметр применяется ко всей организации (а не к отдельным группам).
Настоятельно рекомендуется включить этот параметр клиента, чтобы запретить общий доступ к защищенному содержимому. Если этот параметр включен, он запрещает операции совместного использования со всей организацией для более конфиденциального содержимого (определяется метками, определенными шифрованием). Включив этот параметр, вы уменьшите вероятность утечки данных.
Внимание
Существует аналогичный параметр клиента с именем Allow shareable links to grant access to grant to everyone in your organization. Хотя он имеет аналогичное имя, его назначение отличается. Он определяет, какие группы могут создавать ссылку для общего доступа для всей организации независимо от метки конфиденциальности. В большинстве случаев мы рекомендуем ограничить эту возможность в организации. Дополнительные сведения см. в статье о планировании безопасности потребителей отчетов.
Поддерживаемые типы файлов экспорта
На портале администрирования Power BI существует множество параметров экспорта и общего доступа к клиенту. В большинстве случаев рекомендуется, чтобы возможность экспорта данных была доступна всем (или большинству) пользователей, чтобы не ограничивать производительность пользователей.
Тем не менее, строго регулируемые отрасли могут иметь требование ограничить экспорт, если защита информации не может быть применена для формата выходных данных. Метка конфиденциальности, применяемая в служба Power BI, следует содержимому при экспорте в поддерживаемый путь к файлу. Он включает файлы Excel, PowerPoint, PDF и Power BI Desktop. Так как метка конфиденциальности остается в экспортируемом файле, преимущества защиты (шифрование, которое запрещает несанкционированным пользователям открывать файл) сохраняются для этих поддерживаемых форматов файлов.
Предупреждение
При экспорте из Power BI Desktop в PDF-файл защита не сохраняется для экспортированного файла. Мы рекомендуем обучить создателей содержимого экспортировать из служба Power BI максимальной защиты информации.
Не все форматы экспорта поддерживают защиту информации. Неподдерживаемые форматы, такие как .csv, .xml, MHTML или .png-файлы (доступные при использовании API ExportToFile), могут быть отключены в параметрах клиента Power BI.
Совет
Рекомендуется ограничить возможности экспорта только в том случае, если необходимо соответствовать определенным нормативным требованиям. В типичных сценариях рекомендуется использовать журнал действий Power BI, чтобы определить, какие пользователи выполняют экспорт. Затем вы можете научить этих пользователей более эффективным и безопасным альтернативам.
Контрольный список . При планировании настройки параметров клиента на портале администрирования Power BI ключевые решения и действия включают:
- Решите, какие пользователи могут применять метки конфиденциальности: обсудите и определите, могут ли метки конфиденциальности назначаться содержимому Power BI всеми пользователями (на основе стандартной безопасности Power BI) или только определенными группами пользователей.
- Определите, следует ли наследовать метки из вышестоящих источников данных: обсудите и определите, следует ли автоматически применять метки из источников данных к содержимому Power BI, использующему источник данных.
- Определите, должны ли метки наследоваться подчиненными элементами: обсудите и определите, должны ли метки, назначенные существующим семантические модели Power BI, автоматически применяться к связанному содержимому.
- Определите, могут ли администраторы рабочей области Power BI переопределить метки: обсудите и решите, подходит ли администраторы рабочей области для изменения защищенных меток, которые были автоматически назначены.
- Определите, можно ли предоставить общий доступ к защищенному содержимому всей организации: обсудите и решите, можно ли создавать ссылки на общий доступ для "людей в вашей организации", когда защищенная (зашифрованная) метка была назначена элементу в служба Power BI.
- Определите, какие форматы экспорта включены: определите нормативные требования, влияющие на доступные форматы экспорта. Обсудите и определите, смогут ли пользователи использовать все форматы экспорта в служба Power BI. Определите, нужно ли отключать определенные форматы в параметрах клиента, если формат экспорта не поддерживает защиту информации.
Политика классификации и защиты данных
Сначала необходимо настроить структуру меток и опубликовать политики меток. Однако для успешной классификации и защиты данных в вашей организации необходимо сделать больше. Важно предоставить пользователям рекомендации о том, что может и не может быть сделано с содержимым, назначенным определенной меткой. Вот где вы найдете политику классификации и защиты данных полезно. Вы можете подумать об этом как о рекомендациях по метки.
Примечание.
Политика классификации и защиты данных — это внутренняя политика управления. Вы можете назвать его другим. Что важно, это документация, которую вы создаете и предоставляете пользователям, чтобы они знали , как эффективно использовать метки. Так как политика меток является определенной страницей в Портал соответствия требованиям Microsoft Purview, попробуйте избежать вызова внутренней политики управления с тем же именем.
Мы рекомендуем итеративно создать политику классификации и защиты данных во время принятия решений. Это будет означать, что все четко определено, когда пришло время настроить метки конфиденциальности.
Ниже приведены некоторые ключевые фрагменты информации, которые можно включить в политику классификации и защиты данных.
- Описание метки: за пределами имени метки укажите полное описание метки. Описание должно быть ясно еще кратко. Ниже приведены некоторые примеры описаний:
- Общее внутреннее использование — для частных, внутренних, бизнес-данных
- Ограниченный — для конфиденциальных бизнес-данных, которые могут причинить вред, если скомпрометировано или соответствует нормативным или нормативным требованиям.
- Примеры. Укажите примеры, которые помогут объяснить, когда следует использовать метку. Ниже приведены некоторые примеры.
- Общее внутреннее использование — для большинства внутренних коммуникаций, нечувствительных данных поддержки, ответов опросов, отзывов, рейтингов и нерекомендуемых данных о расположении
- Ограниченный — для персональных данных (PII), таких как имя, адрес, телефон, электронная почта, номер идентификатора правительства, раса или этническое происхождение. Включает контракты поставщика и партнера, не являющиеся общедоступными финансовыми данными, сотрудниками и данными о персонале (HR). Также включает в себя конфиденциальную информацию, интеллектуальную собственность и точные данные о расположении.
- Требуется метка: описывает, является ли назначение метки обязательным для всех новых и измененных содержимого.
- Метка по умолчанию: описывает, является ли эта метка меткой по умолчанию, которая автоматически применяется к новому содержимому.
- Ограничения доступа. Дополнительные сведения, которые определяют, разрешены ли внутренние и/или внешние пользователи видеть содержимое, назначенное этой меткой. Ниже приведены некоторые примеры.
- Все пользователи, включая внутренних пользователей, внешних пользователей и третьих сторон с активными соглашениями о неразглашении (NDAS), могут получить доступ к этой информации.
- Внутренние пользователи могут получить доступ только к этой информации. Нет партнеров, поставщиков, подрядчиков или третьих сторон независимо от состояния соглашения о конфиденциальности или NDA.
- Внутренний доступ к информации основан на авторизации роли задания.
- Требования к шифрованию. Описывает, требуются ли данные для шифрования неактивных и передаваемых данных. Эти сведения соотносятся с настройкой метки конфиденциальности и повлияют на политики защиты, которые могут быть реализованы для шифрования файлов (RMS).
- Скачивание разрешенного и /или автономного доступа: описывает, разрешен ли автономный доступ. Он также может определить, разрешены ли скачивание для организационных или личных устройств.
- Как запросить исключение: описывает, может ли пользователь запросить исключение стандартной политики и как это можно сделать.
- Частота аудита: указывает частоту проверок соответствия требованиям. Более высокие конфиденциальные метки должны включать более частые и тщательные процессы аудита.
- Другие метаданные: для политики данных требуется больше метаданных, таких как владелец политики , утверждающий и действующий день.
Совет
При создании политики классификации и защиты данных сосредоточьтесь на том, чтобы сделать ее простой ссылкой для пользователей. Это должно быть как можно короче и ясно. Если это слишком сложно, пользователи не всегда будут занимать время, чтобы понять его.
Одним из способов автоматизации реализации политики, такой как политика классификации данных и защиты, является использование Microsoft Entra. Когда политика использования настроена, пользователи должны подтвердить политику, прежде чем они смогут посетить служба Power BI в первый раз. Кроме того, можно попросить их снова согласиться на регулярной основе, например каждые 12 месяцев.
Контрольный список . При планировании внутренней политики для управления ожиданиями использования меток конфиденциальности, ключевых решений и действий включают:
- Создайте политику классификации и защиты данных: для каждой метки конфиденциальности в структуре создайте централизованный документ политики. Этот документ должен определить, что можно или невозможно сделать с содержимым, назначаемого каждой меткой.
- Получите консенсус по политике классификации и защиты данных: убедитесь, что все необходимые сотрудники команды, которую вы собрали, согласились с положениями.
- Рассмотрим, как обрабатывать исключения в политике: высоко децентрализованные организации должны учитывать, могут ли возникать исключения. Хотя предпочтительнее иметь стандартизованную политику классификации и защиты данных, решите, как устранять исключения при создании новых запросов.
- Рассмотрим, где следует найти внутреннюю политику: предоставьте некоторое мнение о том, где должна быть опубликована политика классификации данных и защиты. Убедитесь, что все пользователи могут легко получить к нему доступ. Планируйте его включить на настраиваемую страницу справки при публикации политики меток.
Документация и обучение пользователей
Прежде чем развертывать функциональные возможности защиты информации, рекомендуется создавать и публиковать документацию по рекомендациям для пользователей. Цель документации — обеспечить простой пользовательский интерфейс. Подготовка руководства для пользователей также поможет вам убедиться, что вы рассмотрели все.
Инструкции можно опубликовать на странице пользовательской справки метки конфиденциальности. Страница SharePoint или вики-страница на централизованном портале может работать хорошо, так как это будет легко поддерживать. Документ, отправленный в общую библиотеку или сайт Teams, также является хорошим подходом. URL-адрес настраиваемой страницы справки указывается в Портал соответствия требованиям Microsoft Purview при публикации политики меток.
Совет
Пользовательская страница справки является важным ресурсом. Ссылки на него доступны в различных приложениях и службах.
Документация пользователя должна включать в себя политику классификации и защиты данных, описанную ранее. Эта внутренняя политика ориентирована на всех пользователей. Заинтересованные пользователи включают создателей контента и потребителей, которые должны понимать последствия для меток, назначенных другими пользователями.
В дополнение к политике классификации и защиты данных рекомендуется подготовить рекомендации для создателей и владельцев содержимого:
- Просмотр меток: сведения о том, что означает каждая метка. Сопоставляйте каждую метку с политикой классификации и защиты данных.
- Назначение меток: руководство по назначению меток и управлению ими. Включите сведения, которые они должны знать, такие как обязательные метки, метки по умолчанию и способ наследования меток.
- Рабочий процесс: рекомендации по назначению и проверке меток в рамках обычного рабочего процесса. Метки можно назначить в Power BI Desktop сразу после начала разработки, которая защищает исходный файл Power BI Desktop во время процесса разработки.
- Ситуационные уведомления: осведомленность о системных уведомлениях, которые могут получать пользователи. Например, сайт SharePoint назначается определенной меткой конфиденциальности, но отдельный файл был назначен более конфиденциальной (более высокой) метки. Пользователь, которому назначена более высокая метка, получит уведомление по электронной почте о том, что метка, назначенная файлу, несовместима с сайтом, в котором он хранится.
Включите сведения о том, кто должен связаться с пользователями, если у них возникли вопросы или технические проблемы. Так как защита информации является проектом всей организации, поддержка часто предоставляется ИТ-службой.
Часто задаваемые вопросы и примеры особенно полезны для пользовательской документации.
Совет
Некоторые нормативные требования включают определенный компонент обучения.
Контрольный список . При подготовке пользовательской документации и обучения ключевые решения и действия включают:
- Определите, какие сведения следует включить: определите, какие сведения следует включить, чтобы все соответствующие аудитории понимали, что ожидается от них, когда речь идет о защите данных от имени организации.
- Опубликуйте пользовательскую страницу справки: создайте и опубликуйте пользовательскую страницу справки. Включите рекомендации по маркировке в виде часто задаваемых вопросы и примеров. Включите ссылку для доступа к политике классификации и защиты данных.
- Опубликуйте политику классификации и защиты данных: опубликуйте документ политики, определяющий, что именно можно или невозможно сделать с содержимым, назначенным каждой меткой.
- Определите, требуется ли определенное обучение: создайте или обновите обучение пользователей, чтобы включить полезную информацию, особенно если это необходимо сделать.
Поддержка пользователей
Важно проверить, кто будет отвечать за поддержку пользователей. Обычно метки конфиденциальности поддерживаются централизованной ИТ-службой технической поддержки.
Возможно, вам потребуется создать рекомендации для службы технической поддержки (иногда называется runbook). Кроме того, может потребоваться провести сеансы передачи знаний, чтобы служба технической поддержки готова реагировать на запросы на поддержку.
Контрольный список . При подготовке к функции поддержки пользователей ключевые решения и действия включают:
- Определите, кто будет предоставлять поддержку пользователей: при определении ролей и обязанностей убедитесь, что пользователи получат помощь по проблемам, связанным с защитой информации.
- Убедитесь, что группа поддержки пользователей готова: создайте документацию и проводите сеансы передачи знаний, чтобы служба поддержки была готова к поддержке защиты информации. Выделите сложные аспекты, которые могут запутать пользователей, таких как защита шифрования.
- Обмен данными между командами: обсудите процесс и ожидания с помощью группы поддержки, а также администраторов Power BI и Центра превосходства. Убедитесь, что все участники подготовлены к потенциальным вопросам от пользователей Power BI.
Сводка по реализации
После принятия решений и предварительных требований пришло время начать реализацию защиты информации в соответствии с планом постепенного развертывания.
Следующий контрольный список содержит сводный список комплексных шагов реализации. Многие из шагов содержат другие сведения, описанные в предыдущих разделах этой статьи.
Контрольный список . При реализации защиты информации ключевые решения и действия включают:
- Проверьте текущее состояние и цели. Убедитесь, что у вас есть ясность о текущем состоянии защиты информации в организации. Все цели и требования к реализации защиты информации должны быть четкими и активно использованы для принятия решений.
- Принятие решений: просмотрите и обсудите все необходимые решения. Эта задача должна выполняться до настройки всех компонентов в рабочей среде.
- Просмотрите требования к лицензированию: убедитесь, что вы понимаете требования к лицензированию и лицензированию пользователей. При необходимости приобретите и назначьте дополнительные лицензии.
- Публикация пользовательской документации. Публикация политики классификации и защиты данных. Создайте пользовательскую страницу справки, содержащую соответствующие сведения, необходимые пользователям.
- Подготовьте группу поддержки: проводите сеансы передачи знаний, чтобы убедиться, что группа поддержки готова к обработке вопросов от пользователей.
- Создайте метки конфиденциальности: настройте каждую метку конфиденциальности в Портал соответствия требованиям Microsoft Purview.
- Публикация политики меток конфиденциальности: создание и публикация политики меток в Портал соответствия требованиям Microsoft Purview. Начните с тестирования с небольшой группой пользователей.
- Задайте параметры клиента Power BI: на портале администрирования Power BI задайте параметры клиента защиты информации.
- Выполните начальное тестирование: выполните начальный набор тестов, чтобы убедиться, что все работает правильно. При наличии используйте нерабочий клиент для первоначального тестирования.
- Сбор отзывов пользователей. Опубликуйте политику меток в небольшом подмножестве пользователей, которые готовы протестировать функциональные возможности. Получите отзыв о процессе и пользовательском интерфейсе.
- Продолжайте итеративные выпуски: публикация политики меток в других группах пользователей. Подключение дополнительных групп пользователей до тех пор, пока не будет включена вся организация.
Совет
Эти контрольные списки суммируются в целях планирования. Дополнительные сведения об этих контрольных элементах см. в предыдущих разделах этой статьи.
Постоянный мониторинг
После завершения реализации следует обратить внимание на мониторинг и настройку меток конфиденциальности.
Администраторы Power BI и администраторы безопасности и соответствия требованиям должны сотрудничать со временем. Для содержимого Power BI есть две аудитории, которые обеспокоены мониторингом.
- Администраторы Power BI. Запись в журнале действий Power BI записывается при каждом назначении или изменении метки конфиденциальности. Запись журнала действий записывает сведения о событии, включая пользователя, дату и время, имя элемента, рабочую область и емкость. Другие события журнала действий (например, при просмотре отчета) будут содержать идентификатор метки конфиденциальности, назначенный элементу.
- Администраторы безопасности и соответствия требованиям. Администраторы безопасности и соответствия организации обычно используют отчеты, оповещения и журналы аудита Microsoft Purview.
Контрольный список . При мониторинге защиты информации ключевые решения и действия включают:
- Проверьте роли и обязанности. Убедитесь, что вы четко знаете, кто отвечает за какие действия. Обучите и общаться с администраторами Power BI или администраторами безопасности, если они будут напрямую отвечать за некоторые аспекты.
- Создайте или проверьте процесс проверки действий. Убедитесь, что администраторы безопасности и соответствия четко соответствуют ожиданиям регулярного просмотра обозревателя действий.
Совет
Дополнительные сведения об аудите см. в статье "Аудит защиты информации и защиты от потери данных" для Power BI.
Связанный контент
В следующей статье этой серии вы узнаете о предотвращении потери данных для Power BI.