Planlegging av Power BI-implementering: Hindring av tap av data for Power BI

Merk

Denne artikkelen er en del av planleggingsserien for power BI-implementering av artikler. Denne serien fokuserer hovedsakelig på Power BI-opplevelsen i Microsoft Fabric. Hvis du vil ha en innføring i serien, kan du se Planlegging av Power BI-implementering.

Denne artikkelen beskriver planleggingsaktivitetene knyttet til implementering av hindring av datatap (DLP) i Power BI. Det er rettet mot:

• Power BI-administratorer: Administratorene som er ansvarlige for å overvåke Power BI i organisasjonen. Power BI-administratorer må samarbeide med informasjonssikkerhetsteam og andre relevante team.
• Center of Excellence-, IT- og BI-team: Andre som er ansvarlige for å overvåke Power BI i organisasjonen. De må kanskje samarbeide med Power BI-administratorer, informasjonssikkerhetsteam og andre relevante team.

Viktig

Hindring av tap av data (DLP) er et betydelig foretak for hele organisasjonen. Omfanget og virkningen er langt større enn Power BI alene. Denne typen initiativ krever finansiering, prioritering og planlegging. Forvent å involvere flere tverrfunksjonelle team i planleggings-, bruks- og tilsynsarbeidet.

Vi anbefaler at du følger en gradvis, faset tilnærming til utrulling av DLP for Power BI. Hvis du vil ha en beskrivelse av hvilke typer utrullingsfaser du bør vurdere, kan du se Informasjonsbeskyttelse for Power BI (utrullingsfaser).

Formålet med DLP

Hindring av tap av data (DLP) refererer til aktiviteter og praksiser som beskytter organisasjonens data. Målet for DLP er å redusere risikoen for datalekkasje, noe som kan skje når sensitive data deles med uautoriserte personer. Selv om ansvarlig brukeratferd er en viktig del av sikring av data, refererer DLP vanligvis til policyer som er automatiserte.

Med DLP kan du:

• Finn og informer administratorer når det har oppstått risiko, utilsiktet eller upassende deling av sensitive data. Spesielt lar det deg:
  • Forbedre det generelle sikkerhetsoppsettet for Power BI-leieren, med automatisering og informasjon.
  • Aktiver analytiske brukstilfeller som involverer sensitive data.
  • Gi overvåkingsinformasjon til sikkerhetsadministratorer.
• Gi brukere kontekstavhengige varsler. Spesielt lar det deg:
  • Hjelp brukere med å ta de riktige avgjørelsene under den normale arbeidsflyten.
  • Veilede brukere til å følge policyen for dataklassifisering og beskyttelse uten å påvirke produktiviteten negativt.

DLP-tjenester

Generelt sett finnes det to forskjellige tjenester som kan implementere hindring av tap av data.

• Microsoft Purview DLP-policyer for Power BI
• Microsoft Defender for Cloud Apps

Microsoft Purview DLP-policyer for Power BI

En DLP-policy for Power BI er konfigurert i Microsoft Purview-samsvarsportal. Det kan oppdage sensitive data i en semantisk modell (tidligere kjent som et datasett) som er publisert til et Premium-arbeidsområde i Power Bi-tjeneste.

Viktig

Til tider refererer denne artikkelen til Power BI Premium eller dets kapasitetsabonnementer (P SKU-er). Vær oppmerksom på at Microsoft for øyeblikket konsoliderer kjøpsalternativer og trekker tilbake Power BI Premium per kapasitet sKU-er. Nye og eksisterende kunder bør vurdere å kjøpe Fabric-kapasitetsabonnementer (F SKU-er) i stedet.

Hvis du vil ha mer informasjon, kan du se Viktige oppdateringer som kommer til Power BI Premium-lisensiering og vanlige spørsmål om Power BI Premium.

Målet for denne typen DLP-policy er å gjøre brukerne mer oppmerksomme og informere administratorer om hvor sensitive data er lagret. DLP-policyen kan generere brukervarsler og administratorvarsler basert på sensitive informasjonstyper eller følsomhetsetiketter. Du kan for eksempel finne ut om kredittkortinformasjon eller personlig identifiserbar informasjon (PII) lagres i en semantisk modell.

Merk

DLP for Power BI er fokus for denne artikkelen.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps er et verktøy med mange funksjoner. Noen policyer som kan konfigureres i Microsoft Defender for Cloud Apps (med integrasjon med Microsoft Entra ID – tidligere kjent som Azure Active Directory), inkluderer DLP. Disse policyene kan blokkere, logge eller varsle når bestemte brukeraktiviteter skjer. Når en bruker for eksempel prøver å laste ned en rapport fra Power Bi-tjeneste som er tilordnet en svært begrenset følsomhetsetikett, blokkeres nedlastingshandlingen.

Artikkelen Defender for Cloud Apps for Power BI dekker bruk av Defender for Cloud Apps for å overvåke Power Bi-tjeneste. Resten av denne artikkelen fokuserer på DLP for Power BI.

Viktig

En DLP-policy for Power BI som er konfigurert i Microsoft Purview-samsvarsportal kan bare brukes for innhold som er lagret i et Power BI Premium-arbeidsområde. Policyer som er konfigurert i Defender for Cloud Apps, har imidlertid ikke en lignende Forutsetning for Power BI Premium. Vær oppmerksom på at funksjonalitet, formål og tilgjengelige handlinger varierer for de to verktøysettene. For å oppnå maksimal effekt anbefaler vi at du vurderer å bruke begge verktøysettene.

Forutsetninger for DLP for Power BI

Nå skal du ha fullført planleggingstrinnene på organisasjonsnivå som er beskrevet i artikkelen Informasjonsbeskyttelse for Power BI . Før du fortsetter, bør du ha klarhet i:

• Gjeldende tilstand: Gjeldende tilstand for DLP i organisasjonen. Du bør ha en forståelse i hvilken grad DLP allerede er i bruk, og hvem som er ansvarlig for å administrere det.
• Mål og krav: De strategiske målene for å implementere DLP i organisasjonen. Å forstå målene og kravene vil fungere som en veiledning for implementeringsarbeidet.

Vanligvis implementerer du informasjonsbeskyttelse (beskrevet i Informasjonsbeskyttelse for Power BI-artikkelen ) før du implementerer DLP. Det er imidlertid ikke en forutsetning for å bruke DLP for Power BI. Hvis følsomhetsetiketter publiseres, kan de brukes med DLP for Power BI. Du kan også bruke sensitive informasjonstyper med DLP for Power BI. Begge typene er beskrevet i denne artikkelen.

Viktige beslutninger og handlinger

Hensikten med en DLP-policy er å konfigurere en automatisert handling, basert på regler og betingelser, på innholdet du har tenkt å beskytte. Du må ta noen avgjørelser om reglene og betingelsene som støtter dine mål og krav.

Fordelen med å definere separate regler i én enkelt DLP-policy er at du kan aktivere tilpassede varsler eller brukervarsler.

Det er en hierarkisk prioritet for listen over DLP-policyer, i tillegg til DLP-policyregler, å vurdere. Prioriteten vil påvirke hvilken policy som aktiveres når den oppstår først.

Forsiktig!

Denne delen er ikke en omfattende liste over alle mulige DLP-beslutninger for alle mulige programmer. Sørg for at du samarbeider med andre interessenter og systemansvarlige for å ta avgjørelser som fungerer bra for alle programmer og brukstilfeller. Vi anbefaler for eksempel at du undersøker flere DLP-policyer for å beskytte kildefiler og eksporterte filer som er lagret i OneDrive eller SharePoint. Dette settet med artikler fokuserer bare på innhold i Power Bi-tjeneste.

Type sensitive data

En DLP-policy for Power BI som er konfigurert i Microsoft Purview-samsvarsportal, kan være basert på en følsomhetsetikett eller en sensitiv informasjonstype.

Viktig

Selv om du kan tilordne følsomhetsetiketter til de fleste typer elementer i Power BI, er DLP-policyene som er beskrevet i denne artikkelen, spesielt fokusert på semantiske modeller. Den semantiske modellen må publiseres til et Premium-arbeidsområde.

Følsomhetsetikett

Du kan bruke følsomhetsetiketter til å klassifisere innhold, alt fra mindre følsomt til mer følsomt.

Når en DLP-policy for Power BI aktiveres, kontrollerer en følsomhetsetikettregel semantiske modeller (som publiseres til Power Bi-tjeneste) for tilstedeværelsen av en bestemt følsomhetsetikett. Som beskrevet i Informasjonsbeskyttelse for Power BI-artikkelen , kan en etikett tilordnes enten av en bruker eller av en automatisert prosess (for eksempel en arvet etikett eller en standardetikett).

Her er noen eksempler på når du kan opprette en DLP-regel basert på en følsomhetsetikett.

• Forskriftssamsvar: Du har en følsomhetsetikett som er reservert for data som er underlagt et bestemt forskriftsmessig krav. Du vil varsle sikkerhetsadministratorer når brukere tilordner følsomhetsetiketten til en semantisk modell i Power Bi-tjeneste.
• Påminnelser for innholdsopprettere om konfidensielle data: Du har en følsomhetsetikett som brukes til konfidensielle data. Du vil generere et brukervarsel når en bruker viser siden for semantiske modelldetaljer i datahuben i Power Bi-tjeneste. Du kan for eksempel minne brukerne på hvordan de skal håndtere konfidensielle data på riktig måte.

Andre vurderinger om brukervarsler og varsler er beskrevet i denne neste delen av denne artikkelen.

Sjekkliste – Når du vurderer behovene for følsomhetsetikettregler, omfatter viktige beslutninger og handlinger:

• Kontroller gjeldende tilstand for informasjonsbeskyttelse: Kontroller at følsomhetsetiketter distribueres i organisasjonen, og at de er klare for bruk av DLP-policyer.
• Kompiler brukstilfeller for DLP basert på følsomhetsetiketter: Bestem hvilke følsomhetsetiketter som vil ha nytte av å ha DLP-policyer på plass. Vurder dine mål, forskrifter og interne krav.
• Prioriter listen over brukstilfeller for DLP basert på følsomhetsetiketter: Diskuter de viktigste prioriteringene med teamet. Identifiser hvilke elementer som skal prioriteres i prosjektplanen.

Merk

DLP-policyer er vanligvis automatiserte. Ansvarlige brukerhandlinger spiller imidlertid også en avgjørende rolle i beskyttelsen av data.

Hvis du vil ha mer informasjon, kan du se Informasjonsbeskyttelse for Power BI (policy for dataklassifisering og beskyttelse). Den beskriver en intern styringspolicy som gir veiledning om hva brukere kan og ikke kan gjøre med innhold som er tilordnet en bestemt følsomhetsetikett.

Sensitive informasjonstyper

Ikke alle typer data er like. visse typer data er iboende mer følsomme enn andre. Det finnes mange forskjellige sensitive informasjonstyper (SITer). Avhengig av bransje- og samsvarskravene gjelder bare enkelte SITer for organisasjonen.

Noen vanlige eksempler på SITer inkluderer:

• Pass, personnummer og førerkortnumre
• Bankkonto- og rutingnumre
• Kredittkort- og debetkortnumre
• Skatteidentifikasjon og nasjonale ID-numre
• Helse-ID-numre og medisinsk informasjon
• Fysiske adresser
• Kontonøkler, passord og database tilkoblingsstreng

Tips

Hvis sensitive data ikke har analytisk verdi, kan du spørre deg selv om de skal ligge i et analytisk system. Vi anbefaler at du lærer opp innholdsoppretterne dine for å hjelpe dem med å ta gode beslutninger om hvilke data som skal lagres i Power BI.

SITer er mønsterbaserte klassifiserere. De vil se etter et kjent mønster i tekst ved hjelp av vanlige uttrykk.

Du finner mange forhåndskonfigurerte SITer i Microsoft Purview-samsvarsportal. Når de oppfyller kravene dine, bør du bruke en forhåndskonfigurert SIT for å spare tid. Vurder kredittkortnummeret som er forhåndskonfigurert SIT: Den oppdager de riktige mønstrene for alle viktige kortutstedere, sikrer gyldigheten av sjekksummen og søker etter et relevant nøkkelord i nærheten av kredittkortnummeret.

Hvis de forhåndskonfigurerte SITene ikke oppfyller dine behov, eller du har proprietære datamønstre, kan du opprette en egendefinert SIT. Du kan for eksempel opprette en egendefinert SIT for å samsvare med mønsteret for ansatt-ID-nummeret.

Når SIT er konfigurert, aktiveres en DLP-policy for Power BI når en semantisk modell lastes opp eller oppdateres. På dette tidspunktet vil en sensitiv informasjonstyperegel kontrollere semantiske modeller (i Power Bi-tjeneste) for tilstedeværelse av sensitive informasjonstyper.

Her er noen eksempler på når du kan opprette en DLP-regel basert på en sensitiv informasjonstype.

• Forskriftssamsvar: Du har en sensitiv informasjonstype som er underlagt forskriftsmessige krav. Du vil generere et varsel for sikkerhetsadministratorene når denne typen data oppdages i en semantisk modell i Power Bi-tjeneste.
• Interne krav: Du har en sensitiv informasjonstype som trenger spesiell håndtering. Hvis du vil oppfylle interne krav, vil du generere et brukervarsel når en bruker viser semantiske modellinnstillinger eller siden for semantiske modelldetaljer i datahuben (i Power Bi-tjeneste).

Sjekkliste – Når du vurderer behovene for sensitive informasjonstyper, omfatter viktige beslutninger og handlinger:

• Kompiler brukstilfeller for DLP basert på sensitive informasjonstyper: Bestem hvilke sensitive informasjonstyper som vil ha nytte av å ha DLP-policyer på plass. Vurder dine mål, forskrifter og interne krav.
• Test eksisterende sensitive informasjonstyper: Samarbeid med informasjonssikkerhetsteamet for å bekrefte at de forhåndskonfigurerte SITene oppfyller dine behov. Bruk testdata til å bekrefte at mønstre og nøkkelord oppdages på riktig måte.
• Opprett egendefinerte sensitive informasjonstyper: Hvis aktuelt, kan du samarbeide med informasjonssikkerhetsteamet for å opprette SIT-er, slik at de kan brukes i DLP for Power BI.
• Prioriter listen over brukstilfeller: Diskuter de viktigste prioriteringene med teamet. Identifiser hvilke elementer som skal prioriteres i prosjektplanen.

Brukervarsler

Når du har identifisert brukstilfeller for DLP med følsomhetsetiketter og SITer, bør du vurdere hva som skjer når en DLP-regel samsvarer. Vanligvis innebærer det et brukervarsel.

Brukervarsler for DLP-policyer kalles også policytips. De er nyttige når du ønsker å gi mer veiledning og bevissthet til brukerne i løpet av det normale løpet av arbeidet. Det er mer sannsynlig at brukere vil lese og absorbere brukervarsler hvis de er:

• Spesifikk: Korreler meldingen til regelen gjør det langt enklere å forstå.
• Handlingsvennlig: Tilbyr et forslag til hva brukeren trenger å gjøre, eller hvordan du finner mer informasjon.

For DLP i Power BI vises brukervarsler i innstillingene for semantisk modell. De vises også øverst på siden for semantiske modelldetaljer i datahuben, som vist i følgende skjermbilde. I dette tilfellet lyder varselet: Disse dataene inneholder kredittkort. Denne typen data er ikke tillatt i Power BI i henhold til policyen for dataklassifisering, beskyttelse og bruk.

Du kan definere én eller flere regler for hver DLP-policy. Hver regel kan eventuelt ha et annet policytips som vises for brukere.

Vurder følgende eksempel på hvordan du kan definere en DLP-policy for å oppdage økonomiske data som er lagret i semantiske modeller i Power Bi-tjeneste. DLP-policyen bruker SITer, og den har to regler.

• Regel 1: Den første regelen oppdager kredittkortnumre. Den tilpassede policytipsteksten lyder: Disse dataene inneholder kredittkortnumre. Denne typen data er ikke tillatt i Power BI i henhold til policyen for dataklassifisering og beskyttelse.
• Regel 2: Den andre regelen oppdager finansielle kontoer. Den tilpassede policytipsteksten lyder: Disse dataene inneholder sensitiv økonomisk informasjon. Det krever bruk av svært begrenset etikett. Se policyen for dataklassifisering og beskyttelse for krav ved lagring av økonomiske data.

Regel 1 haster mer enn regel 2. Regel 1 er ment å formidle at det er et problem som krever handling. Den andre regelen er mer informasjonsmessig. For hasteproblemer er det lurt å konfigurere varsling. Varsling for administratorer er beskrevet i neste del.

Når du bestemmer hvilke varsler brukerne skal motta, anbefaler vi at du fokuserer på å vise bare svært viktige varsler. Hvis det er for mange policyvarsler, kan brukere bli overveldet av dem. Resultatet er at noen varsler kan overses.

Brukere kan gjøre noe ved å rapportere et problem når de mener det er en falsk positiv (feilidentifisert). Det er også mulig å la brukeren overstyre policyen. Disse funksjonene er ment å tillate kommunikasjon mellom Power BI-brukere og sikkerhetsadministratorer som administrerer DLP for Power BI.

Sjekkliste – Når du vurderer DLP-brukervarsler, omfatter viktige beslutninger og handlinger:

• Bestem når brukervarsler er nødvendige: For hver DLP-regel du har tenkt å opprette, må du avgjøre om det kreves et egendefinert brukervarsel.
• Opprett tilpassede policytips: For hvert varsel definerer du hvilken melding som skal vises for brukerne. Planlegg å koordinere meldingen til DLP-regelen slik at den er spesifikk og gjennomførbar.

Administratorvarsler

Varsling er nyttig for bestemte DLP-regler når du vil spore hendelser når det oppstod et brudd på policyen. Når du definerer DLP-policyregler, bør du vurdere om varsler skal genereres .

Tips

Varsler er utformet for å gjøre en administrator oppmerksom på visse situasjoner. De passer best når du har tenkt å undersøke og løse viktige varsler aktivt. Du finner alle DPS-regelsamsvar i aktivitetsutforskeren i Microsoft Purview-samsvarsportal.

Varsling er nyttig når du vil:

• Gjør sikkerhets- og samsvarsadministratorene oppmerksomme på at det oppstod noe via instrumentbordet for DLP-varslingsbehandling. Du kan også sende en e-postmelding til et bestemt sett med brukere.
• Se flere detaljer for en hendelse som oppstod.
• Tilordne en hendelse til noen for å undersøke den.
• Administrer statusen for en hendelse, eller legg til kommentarer i den.
• Vis andre varsler som er generert for aktivitet av samme bruker.

Hvert varsel kan defineres av et alvorlighetsnivå, som kan være lavt, middels eller høyt. Alvorsgradsnivået bidrar til å prioritere gjennomgang av åpne varsler.

Her er to eksempler på hvordan varsler kan brukes.

Eksempel 1: Du har definert en DLP-policy for å oppdage økonomiske data som er lagret i semantiske modeller i Power Bi-tjeneste. DLP-policyen bruker sensitive informasjonstyper. Den har to regler.

• Regel 1: Denne regelen oppdager kredittkortnumre. Varsling er aktivert med høy alvorlighetsgrad. Det genereres også en e-postmelding.
• Regel 2: Denne regelen oppdager finansielle kontoer. Varsling er aktivert med høy alvorlighetsgrad.

Eksempel 2: Du har definert en DLP-policy som aktiveres når følsomhetsetiketten Svært begrenset\Sentralstyre og styremedlemmer tilordnes en semantisk modell i Power Bi-tjeneste. Det genererer ikke et brukervarsel. I denne situasjonen vil du kanskje ikke generere et varsel fordi du bare vil logge forekomsten. Hvis det er nødvendig, kan du få mer informasjon fra aktivitetsutforskeren.

Når det kreves et e-postvarsel, anbefaler vi at du bruker en e-postaktivert sikkerhetsgruppe. Du kan for eksempel bruke en gruppe kalt Varsler for sikkerhets- og personvernadministrator.

Tips

Husk at DLP-regler for Power BI kontrolleres hver gang en semantisk modell lastes opp eller oppdateres. Det betyr at et varsel kan genereres hver gang den semantiske modellen oppdateres. Regelmessige eller hyppige dataoppdateringer kan føre til et overveldende antall loggførte hendelser og varsler.

Sjekkliste – Når du vurderer DLP-varsling for administratorer, omfatter viktige beslutninger og handlinger:

• Bestem når varsler kreves: For hver DLP-regel du har tenkt å opprette, må du avgjøre hvilke situasjoner som garanterer bruk av varsler.
• Klargjør roller og ansvarsområder: Bestem forventningene og de spesifikke handlingene som skal utføres når et varsel genereres.
• Bestem hvem som skal motta varsler: Bestem hvilke sikkerhets- og samsvarsadministratorer som skal håndtere åpne varsler. Bekreft at tillatelser og lisensieringskrav oppfylles for hver administrator som skal bruke Microsoft Purview-samsvarsportal.
• Opprett e-postgrupper: Opprett om nødvendig nye e-postaktiverte sikkerhetsgrupper for å håndtere varsling.

Arbeidsområder i omfang

En DLP-policy for Power BI som er konfigurert i Microsoft Purview-samsvarsportal er ment å målrette mot semantiske modeller. Nærmere bestemt støtter den skanning av semantiske modeller som har blitt publisert til et Premium-arbeidsområde.

Du kan konfigurere DLP-policyen til å skanne alle Premium-arbeidsområder. Du kan også velge å inkludere, eller ekskludere, bestemte arbeidsområder. Du kan for eksempel ekskludere visse utviklings- eller testarbeidsområder som anses som lavere risiko (spesielt hvis de ikke inneholder reelle produksjonsdata). Alternativt kan du opprette separate policyer for bestemte utviklings- eller testarbeidsområder.

Tips

Hvis du bestemmer deg for at bare et delsett av Premium-arbeidsområdene skal inkluderes for DLP, bør du vurdere vedlikeholdsnivået. DLP-regler er enklere å vedlikeholde når alle Premium-arbeidsområder er inkludert. Hvis du bestemmer deg for å inkludere bare et delsett av Premium-arbeidsområder, må du kontrollere at du har en revisjonsprosess på plass, slik at du raskt kan identifisere om et nytt arbeidsområde mangler i DLP-policyen.

Hvis du vil ha mer informasjon om arbeidsområdet, kan du se planleggingsartiklene for arbeidsområdet.

Sjekkliste – Når du vurderer hvilke arbeidsområder som skal inkluderes i omfanget for DLP, omfatter viktige beslutninger og handlinger:

• Bestem hvilke Premium-arbeidsområder som skal ha DLP brukt: Vurder om DLP-policyene skal påvirke alle Power BI Premium-arbeidsområder eller bare et delsett av dem.
• Opprett dokumentasjon for arbeidsområdetilordninger: Hvis aktuelt, kan du dokumentere hvilke arbeidsområder som er underlagt DLP. Inkluder vilkårene og årsakene til at arbeidsområder inkluderes eller utelates.
• Korreler DLP-beslutninger med styringen for arbeidsområdet: Hvis aktuelt, kan du oppdatere dokumentasjonen for arbeidsområdestyring for å inkludere detaljer om hvordan DLP håndteres.
• Vurder andre viktige filplasseringer: I tillegg til Power Bi-tjeneste må du avgjøre om det er nødvendig å opprette andre DLP-policyer for å beskytte kildefiler og eksporterte filer som er lagret i OneDrive eller SharePoint.

Lisensieringskrav

Hvis du vil bruke DLP, finnes det flere lisensieringskrav. En Microsoft Purview informasjonsbeskyttelse lisens kreves for administratorer som skal konfigurere, administrere og overvåke DLP. Du har kanskje allerede disse lisensene fordi de er inkludert i noen lisenser, for eksempel Microsoft 365 E5. Alternativt kan Microsoft 365 E5-samsvarsfunksjoner kjøpes som en frittstående lisens.

DLP-policyer for Power BI krever også Power BI Premium. Dette lisensieringskravet kan oppfylles med en Premium-kapasitet eller en Premium Per User (PPU)-lisens.

Tips

Hvis du trenger avklaringer om lisensieringskrav, kan du snakke med Microsoft-kontoteamet. Vær oppmerksom på at Microsoft 365 E5 Compliance-lisensen inneholder andre DLP-funksjoner som er utenfor omfanget for denne artikkelen.

Sjekkliste – Når du evaluerer DLP-lisensieringskrav, omfatter viktige beslutninger og handlinger:

• Se gjennom kravene til produktlisensiering: Sørg for at du har gjennomgått alle lisensieringskravene for DLP.
• Se gjennom premium lisensieringskrav: Kontroller at arbeidsområdene du vil konfigurere for DLP, er Premium-arbeidsområder.
• Anskaffe flere lisenser: Hvis aktuelt, kan du kjøpe flere lisenser for å låse opp funksjonaliteten du har tenkt å bruke.
• Tilordne lisenser: Tilordne en lisens til hver av sikkerhets- og samsvarsadministratorene som trenger en.

Brukerdokumentasjon og opplæring

Før du ruller ut DLP for Power BI, anbefaler vi at du oppretter og publiserer brukerdokumentasjon. En SharePoint-side eller en wiki-side i den sentraliserte portalen kan fungere bra fordi det vil være enkelt å vedlikeholde. Et dokument som er lastet opp til et delt bibliotek eller Teams-nettsted, er også en god løsning.

Målet med dokumentasjonen er å oppnå en sømløs brukeropplevelse. Klargjøring av brukerdokumentasjon vil også hjelpe deg med å sørge for at du har vurdert alt.

Inkluder informasjon om hvem som skal kontaktes når brukere har spørsmål eller tekniske problemer. Siden informasjonsbeskyttelse er et prosjekt for hele organisasjonen, gis det ofte støtte fra IT.

Vanlige spørsmål og eksempler er spesielt nyttige for brukerdokumentasjon.

Tips

Hvis du vil ha mer informasjon, kan du se Informasjonsbeskyttelse for Power BI (policy for dataklassifisering og beskyttelse). Den beskriver forslag for å opprette en policy for dataklassifisering og beskyttelse, slik at brukerne forstår hva de kan og ikke kan gjøre med følsomhetsetiketter.

Sjekkliste – Når du forbereder brukerdokumentasjon og opplæring, omfatter viktige beslutninger og handlinger:

• Oppdater dokumentasjon for innholdsopprettere og forbrukere: Oppdater vanlige spørsmål og eksempler for å inkludere relevant veiledning om DLP-policyer.
• Publiser hvordan du får hjelp: Sørg for at brukerne vet hvordan de får hjelp når de opplever noe uventet eller at de ikke forstår.
• Bestem om spesifikk opplæring er nødvendig: Opprett eller oppdater brukeropplæringen for å inkludere nyttig informasjon, spesielt hvis det er et forskriftsmessig krav til å gjøre det.

Brukerstøtte

Det er viktig å bekrefte hvem som er ansvarlig for brukerstøtte. Det er vanlig at DLP støttes av en sentralisert IT-brukerstøtte.

Det kan hende du må opprette veiledning for brukerstøtte (noen ganger kalt en runbook). Du må kanskje også gjennomføre kunnskapsoverføringsøkter for å sikre at brukerstøtten er klar til å svare på støtteforespørsler.

Sjekkliste – Når du forbereder brukerstøttefunksjonen, omfatter viktige beslutninger og handlinger:

• Identifiser hvem som skal gi brukerstøtte: Når du definerer roller og ansvarsområder, må du passe på å ta hensyn til hvordan brukere får hjelp med problemer relatert til DLP.
• Sørg for at brukerstøtteteamet er klar: Opprett dokumentasjon og utfør kunnskapsoverføringsøkter for å sikre at brukerstøtteavdelingen er klar til å støtte DLP.
• Kommuniser mellom team: Diskuter brukervarsler og prosessen for å løse DLP-varsler med kundestøtteteamet, samt Power BI-administratorer og Kompetansesenteret. Kontroller at alle involverte er forberedt på potensielle spørsmål fra Power BI-brukere.

Sammendrag av implementering og testing

Etter at beslutningene er tatt og forutsetningene er oppfylt, er det på tide å begynne å implementere og teste DLP for Power BI.

DLP-policyer for Power BI er konfigurert i Microsoft Purview-samsvarsportal (tidligere kjent som Samsvarssenter for Microsoft 365) i Administrasjonssenter for Microsoft 365.

Tips

Prosessen med å konfigurere DLP for Power BI i Microsoft Purview-samsvarsportal innebærer bare ett trinn, i stedet for to, for å konfigurere policyen. Denne prosessen er forskjellig fra når du konfigurerer informasjonsbeskyttelse i Microsoft Purview-samsvarsportal (beskrevet i Informasjonsbeskyttelse for Power BI-artikkelen). I så fall var det to separate trinn for å konfigurere etiketten og publisere en etikettpolicy. I dette tilfellet for DLP er det bare ett trinn i implementeringsprosessen.

Følgende sjekkliste inneholder en oppsummert liste over trinnene for ende-til-ende-implementering. Mange av trinnene har andre detaljer som ble dekket i tidligere deler av denne artikkelen.

Sjekkliste – Når du implementerer DLP for Power BI, omfatter viktige beslutninger og handlinger:

• Bekreft gjeldende tilstand og mål: Sørg for at du har klarhet i gjeldende tilstand for DLP for bruk med Power BI. Alle mål og krav for implementering av DLP bør være klare og aktivt brukt til å drive beslutningsprosessen.
• Ta avgjørelser: Se gjennom og diskuter alle beslutningene som kreves. Denne aktiviteten bør skje før du konfigurerer noe i produksjon.
• Se gjennom lisensieringskravene: Sørg for at du forstår kravene til produktlisensiering og brukerlisensiering. Om nødvendig kan du anskaffe og tilordne flere lisenser.
• Publiser brukerdokumentasjon: Publiser informasjon om at brukere må svare på spørsmål og klargjøre forventningene. Gi veiledning, kommunikasjon og opplæring til brukerne slik at de er forberedt.
• Opprett DLP-policyer: Opprett og konfigurer hver DLP-policy i Microsoft Purview-samsvarsportal. Se alle avgjørelsene som tidligere ble tatt for å konfigurere DLP-reglene.
• Utfør første testing: Utfør et første sett med tester for å bekrefte at alt er riktig konfigurert. Bruk testmodus med noen eksempeldata for å finne ut om alt fungerer som forventet, samtidig som du minimerer innvirkningen på brukerne. Bruk et lite delsett av Premium-arbeidsområder i utgangspunktet. Vurder å bruke en ikke-produksjonsleieren når du har tilgang til en.
• Samle inn tilbakemeldinger fra brukere: Få tilbakemelding om prosessen og brukeropplevelsen. Identifiser områder med forvirring, eller uventede resultater med sensitive informasjonstyper og andre tekniske problemer.
• Fortsett iterative versjoner: Legg gradvis til flere Premium-arbeidsområder i DLP-policyen til alle er inkludert.
• Overvåk, juster og juster: Invester ressurser for å se gjennom varsler og overvåkingslogger for policyer ofte. Undersøk falske positiver og juster policyer når det er nødvendig.

Tips

Disse sjekklisteelementene er oppsummert for planleggingsformål. Hvis du vil ha mer informasjon om disse sjekklisteelementene, kan du se de forrige delene av denne artikkelen.

Hvis du vil ha andre trinn å gjøre utover den første utrullingen, kan du se Defender for Cloud Apps med Power BI.

Kontinuerlig overvåking

Når du har fullført implementeringen, bør du rette oppmerksomheten mot overvåking, håndheve og justere DLP-policyer basert på bruken deres.

Power BI-administratorer og sikkerhets- og samsvarsadministratorer må samarbeide fra tid til annen. For Power BI-innhold er det to målgrupper for overvåking.

• Power BI-administratorer: En oppføring i Power BI-aktivitetsloggen registreres hver gang en DLP-regel samsvarer. Oppføring av aktivitetsloggen for Power BI registrerer detaljer om DLP-hendelsen, inkludert bruker, dato og klokkeslett, elementnavn, arbeidsområde og kapasitet. Den inneholder også informasjon om policyen, for eksempel policynavnet, regelnavnet, alvorsgraden og den samsvarende betingelsen.
• Sikkerhets- og samsvarsadministratorer: Organisasjonens sikkerhets- og samsvarsadministratorer bruker vanligvis Microsoft Purview-rapporter, varsler og overvåkingslogger.

Advarsel!

Overvåking for DLP for Power BI-policyer forekommer ikke i sanntid fordi det tar tid før DLP-logger og varsler genereres. Hvis målet ditt er håndhevelse i sanntid, kan du se Defender for Cloud Apps for Power BI (policyer i sanntid).

Sjekkliste – Når du overvåker DLP for Power BI, omfatter viktige beslutninger og handlinger:

• Bekreft roller og ansvarsområder: Sørg for at du er tydelig på hvem som er ansvarlig for hvilke handlinger. Lær opp og kommuniser med Power BI-administratorer eller sikkerhetsadministratorer hvis de er direkte ansvarlige for enkelte aspekter ved DLP-overvåking.
• Opprett eller valider prosessen for gjennomgang av aktivitet: Kontroller at sikkerhets- og samsvarsadministratorene er tydelige på forventningene til regelmessig gjennomgang av aktivitetsutforskeren.
• Opprett eller valider prosessen for å løse varsler: Kontroller at sikkerhets- og samsvarsadministratorer har en prosess for å undersøke og løse DLP-varsler når et policysamsvar oppstår.

Tips

Hvis du vil ha mer informasjon om overvåking, kan du se Overvåking av informasjonsbeskyttelse og hindring av tap av data for Power BI.

Relatert innhold

I den neste artikkelen i denne serien kan du lære mer om hvordan du bruker Defender for Cloud Apps med Power BI.