Share via

Planning voor Power BI-implementatie: Defender voor Cloud-apps voor Power BI

  • Artikel

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel worden de planningsactiviteiten beschreven die betrekking hebben op het implementeren van Defender voor Cloud-apps, omdat het betrekking heeft op het bewaken van Power BI. Het is gericht op:

  • Power BI-beheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Power BI-beheerders moeten samenwerken met informatiebeveiliging en andere relevante teams.
  • Center of Excellence-, IT- en BI-teams: anderen die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Mogelijk moeten ze samenwerken met Power BI-beheerders, informatiebeveiligingsteams en andere relevante teams.

Belangrijk

DLP (Monitoring and Data Loss Prevention) is een belangrijke organisatiebrede onderneming. Het bereik en de impact ervan zijn veel groter dan alleen Power BI. Voor dit soort initiatieven is financiering, prioriteitstelling en planning vereist. Verwacht dat er verschillende cross-functionele teams betrokken zijn bij het plannen, gebruiken en toezicht.

We raden u aan een geleidelijke, gefaseerde benadering te volgen voor het implementeren van Defender voor Cloud-apps voor het bewaken van Power BI. Zie Informatiebeveiliging voor Power BI (implementatiefasen) voor een beschrijving van de typen implementatiefasen die u moet overwegen.

Doel van bewaking

Microsoft Defender voor Cloud Apps (voorheen Bekend als Microsoft Cloud App Security) is een CASB (Cloud Access Security Broker) die ondersteuning biedt voor verschillende implementatiemodi. Het bevat een breed scala aan mogelijkheden die ruim buiten het bereik van dit artikel vallen. Sommige mogelijkheden zijn realtime, terwijl andere niet realtime zijn.

Hier volgen enkele voorbeelden van realtime bewaking die u kunt implementeren.

  • Downloads van het Power BI-service blokkeren: u kunt een sessiebeleid maken om bepaalde typen gebruikersactiviteiten te blokkeren. Wanneer een gebruiker bijvoorbeeld probeert een rapport te downloaden van de Power BI-service waaraan een vertrouwelijkheidslabel met hoge beperkingen is toegewezen, kan de downloadactie in realtime worden geblokkeerd.
  • Toegang tot het Power BI-service blokkeren door een niet-beheerd apparaat: u kunt een toegangsbeleid maken om te voorkomen dat gebruikers toegang krijgen tot bepaalde toepassingen, tenzij ze een beheerd apparaat gebruiken. Wanneer een gebruiker bijvoorbeeld probeert toegang te krijgen tot de Power BI-service vanaf zijn persoonlijke mobiele telefoon, kan deze actie worden geblokkeerd.

Hier volgen enkele voorbeelden van andere mogelijkheden die niet realtime zijn.

  • Bepaalde activiteiten in de Power BI-service detecteren en waarschuwen: u kunt een activiteitenbeleid maken om een waarschuwing te genereren wanneer bepaalde typen activiteiten plaatsvinden. Wanneer bijvoorbeeld een beheeractiviteit plaatsvindt in de Power BI-service (waarmee wordt aangegeven dat een tenantinstelling is gewijzigd), kunt u een e-mailwaarschuwing ontvangen.
  • Geavanceerde beveiligingsactiviteiten bewaken: u kunt aanmeldingen en beveiligingsactiviteiten, afwijkingen en schendingen bekijken en bewaken. Waarschuwingen kunnen worden gegenereerd voor situaties zoals verdachte activiteiten, onverwachte locaties of een nieuwe locatie.
  • Gebruikersactiviteiten bewaken: u kunt gebruikersactiviteiten bekijken en bewaken. Aan een Power BI-beheerder kan bijvoorbeeld een machtiging worden toegewezen om het Power BI-activiteitenlogboek weer te geven, naast de aanmeldingsfrequentie van gebruikers binnen Defender voor Cloud Apps.
  • Ongebruikelijk gedrag detecteren en waarschuwen in de Power BI-service: er zijn ingebouwde beleidsregels voor anomaliedetectie. Wanneer een gebruiker bijvoorbeeld inhoud downloadt of exporteert van de Power BI-service aanzienlijk vaker dan normale patronen, kunt u een e-mailwaarschuwing ontvangen.
  • Niet-opgegeven toepassingen zoeken: u kunt niet-opgegeven toepassingen vinden die in de organisatie worden gebruikt. U kunt zich bijvoorbeeld zorgen maken over gebruikers die bestanden delen (zoals Power BI Desktop-bestanden of Excel-bestanden) op een systeem voor het delen van bestanden van derden. U kunt het gebruik van een niet-opgegeven toepassing blokkeren en vervolgens contact opnemen met gebruikers om hen te informeren over de juiste manieren om met anderen te delen en samen te werken.

Tip

De portal in Defender voor Cloud Apps is een handige plek om activiteiten en waarschuwingen weer te geven zonder een script te maken om de gegevens te extraheren en te downloaden. Dit voordeel omvat het weergeven van gegevens uit het Power BI-activiteitenlogboek.

Power BI is een van de vele toepassingen en services die kunnen worden geïntegreerd met Defender voor Cloud Apps. Als u al Defender voor Cloud Apps gebruikt voor andere doeleinden, kan deze ook worden gebruikt om Power BI te bewaken.

Beleidsregels die zijn gemaakt in Defender voor Cloud-apps zijn een vorm van DLP. Het artikel Preventie van gegevensverlies voor Power BI bevat informatie over DLP-beleid voor Power BI dat is ingesteld in de Microsoft Purview-nalevingsportal. U wordt aangeraden DLP-beleid voor Power BI te gebruiken met de mogelijkheden die in dit artikel worden beschreven. Hoewel er conceptueel wat overlap is, zijn de mogelijkheden anders.

Let op

Dit artikel is gericht op mogelijkheden in Microsoft Defender voor Cloud Apps die kunnen worden gebruikt voor het bewaken en beveiligen van Power BI-inhoud. Er zijn veel andere mogelijkheden in Defender voor Cloud Apps die niet in dit artikel worden behandeld. Zorg ervoor dat u met andere belanghebbenden en systeembeheerders beslissingen neemt die goed werken voor alle toepassingen en use cases.

Vereisten voor Defender voor Cloud-apps voor Power BI

U moet nu de planningsstappen op organisatieniveau hebben voltooid die zijn beschreven in het artikel Preventie van gegevensverlies voor Power BI . Voordat u doorgaat, moet u duidelijkheid hebben over:

  • Huidige status: de huidige status van DLP in uw organisatie. U moet weten in hoeverre DLP al in gebruik is en wie verantwoordelijk is voor het beheren ervan.
  • Doelstellingen en vereisten: de strategische doelen voor het implementeren van DLP in uw organisatie. Het begrijpen van de doelstellingen en vereisten dient als richtlijn voor uw implementatie-inspanningen.

Gegevensbeveiliging wordt meestal al geïmplementeerd voordat DLP wordt geïmplementeerd. Als vertrouwelijkheidslabels worden gepubliceerd (beschreven in het artikel Informatiebeveiliging voor Power BI), kunnen ze worden gebruikt in bepaalde beleidsregels binnen Defender voor Cloud Apps.

Mogelijk hebt u DLP voor Power BI al geïmplementeerd (beschreven in het artikel Preventie van gegevensverlies voor Power BI ). Deze DLP-mogelijkheden verschillen van de mogelijkheden die worden beheerd in de Microsoft Purview-nalevingsportal. Alle DLP-mogelijkheden die in dit artikel worden beschreven, worden beheerd in de portal Defender voor Cloud Apps.

Belangrijke beslissingen en acties

U moet enkele belangrijke beslissingen nemen voordat u klaar bent om beleidsregels in te stellen in Defender voor Cloud Apps.

De beslissingen met betrekking tot Defender voor Cloud Apps-beleid moeten rechtstreeks ondersteuning bieden voor de doelstellingen en vereisten voor het beveiligen van de gegevens die u eerder hebt geïdentificeerd.

Beleidstype en activiteiten

U moet rekening houden met de gebruikersactiviteiten die u wilt bewaken, blokkeren of beheren. Het beleidstype in Defender voor Cloud Apps beïnvloedt:

  • Wat u kunt bereiken.
  • Welke activiteiten kunnen worden opgenomen in de configuratie.
  • Of de besturingselementen nu in realtime plaatsvinden of niet.

Realtime beleid

Met toegangsbeleid en sessiebeleid dat is gemaakt in Defender voor Cloud Apps kunt u gebruikerssessies in realtime bewaken, blokkeren of beheren.

Met toegangsbeleid en sessiebeleid kunt u het volgende doen:

  • Programmatisch reageren in realtime: risicovolle, onbedoelde of ongepaste delen van gevoelige gegevens detecteren, informeren en blokkeren. Met deze acties kunt u het volgende doen:
    • Verbeter de algehele beveiligingsinstellingen van uw Power BI-tenant, met automatisering en informatie.
    • Schakel analytische use cases in waarbij gevoelige gegevens worden gebruikt op een manier die kan worden gecontroleerd.
  • Gebruikers voorzien van contextuele meldingen: met deze mogelijkheid kunt u het volgende doen:
    • Gebruikers helpen bij het nemen van de juiste beslissingen tijdens hun normale werkstroom.
    • Gebruikers begeleiden bij het volgen van uw beleid voor gegevensclassificatie en -beveiliging zonder dat dit van invloed is op hun productiviteit.

Om realtime besturingselementen te bieden, werken toegangsbeleid en sessiebeleid met Microsoft Entra-id (voorheen Azure Active Directory genoemd), afhankelijk van de mogelijkheden voor reverse proxy van App Control voor voorwaardelijke toegang. In plaats van aanvragen en antwoorden van gebruikers via de app (in dit geval de Power BI-service), doorlopen ze een omgekeerde proxy (Defender voor Cloud Apps).

Omleiding heeft geen invloed op de gebruikerservaring. De URL voor de Power BI-service wordt echter gewijzigd https://app.powerbi.com.mcas.ms in zodra u Microsoft Entra ID hebt ingesteld voor app-beheer voor voorwaardelijke toegang met Power BI. Gebruikers ontvangen ook een melding wanneer ze zich aanmelden bij de Power BI-service die aankondigt dat de app wordt bewaakt door Defender voor Cloud Apps.

Belangrijk

Toegangsbeleid en sessiebeleid werken in realtime. Andere beleidstypen in Defender voor Cloud-apps hebben een korte vertraging bij het waarschuwen nodig. De meeste andere typen DLP en controle ervaren ook latentie, waaronder DLP voor Power BI en het Power BI-activiteitenlogboek.

Toegangsbeleid

Een toegangsbeleid dat is gemaakt in Defender voor Cloud Apps bepaalt of een gebruiker zich mag aanmelden bij een cloudtoepassing zoals de Power BI-service. Organisaties die zich in sterk gereglementeerde branches bevinden, hebben betrekking op toegangsbeleid.

Hier volgen enkele voorbeelden van hoe u toegangsbeleid kunt gebruiken om de toegang tot de Power BI-service te blokkeren.

  • Onverwachte gebruiker: u kunt de toegang blokkeren voor een gebruiker die geen lid is van een specifieke beveiligingsgroep. Dit beleid kan bijvoorbeeld nuttig zijn wanneer u een belangrijk intern proces hebt waarmee goedgekeurde Power BI-gebruikers via een specifieke groep worden bijgehouden.
  • Niet-beheerd apparaat: u kunt de toegang blokkeren voor een persoonlijk apparaat dat niet wordt beheerd door de organisatie.
  • Updates die nodig zijn: u kunt de toegang blokkeren voor een gebruiker die een verouderde browser of een verouderd besturingssysteem gebruikt.
  • Locatie: U kunt de toegang blokkeren voor een locatie waar u geen kantoren of gebruikers hebt, of vanaf een onbekend IP-adres.

Tip

Als u externe gebruikers hebt die toegang hebben tot uw Power BI-tenant of werknemers die vaak reizen, kan dit van invloed zijn op de wijze waarop u uw beleid voor toegangsbeheer definieert. Deze typen beleidsregels worden meestal beheerd door IT.

Sessiebeleid

Een sessiebeleid is handig wanneer u de toegang niet volledig wilt toestaan of blokkeren (wat kan worden gedaan met een toegangsbeleid zoals eerder is beschreven). Het biedt de gebruiker toegang tijdens het bewaken of beperken van wat er actief gebeurt tijdens hun sessie.

Hier volgen enkele voorbeelden van manieren waarop u sessiebeleid kunt gebruiken om gebruikerssessies in de Power BI-service te bewaken, blokkeren of beheren.

  • Downloads blokkeren: Downloads en exports blokkeren wanneer een specifiek vertrouwelijkheidslabel, zoals Zeer beperkt, wordt toegewezen aan het item in de Power BI-service.
  • Aanmeldingen bewaken: controleer wanneer een gebruiker, die aan bepaalde voorwaarden voldoet, zich aanmeldt. De gebruiker kan bijvoorbeeld lid zijn van een specifieke beveiligingsgroep of een persoonlijk apparaat gebruiken dat niet wordt beheerd door de organisatie.

Tip

Het maken van een sessiebeleid (bijvoorbeeld om downloads te voorkomen) voor inhoud die is toegewezen aan een bepaald vertrouwelijkheidslabel, zoals Zeer beperkt, is een van de meest effectieve gebruiksvoorbeelden voor realtime sessiebesturingselementen met Power BI.

Het is ook mogelijk om bestandsuploads te beheren met sessiebeleid. Doorgaans wilt u echter selfservice BI-gebruikers aanmoedigen om inhoud te uploaden naar de Power BI-service (in plaats van Power BI Desktop-bestanden te delen). Denk daarom goed na over het blokkeren van bestandsuploads.

Controlelijst : bij het plannen van uw realtime beleid in Defender voor Cloud Apps zijn belangrijke beslissingen en acties onder andere:

  • Gebruiksvoorbeelden identificeren om de toegang te blokkeren: Compileer een lijst met scenario's voor het blokkeren van de toegang tot de Power BI-service is geschikt.
  • Gebruiksvoorbeelden identificeren voor het controleren van aanmeldingen: Compileer een lijst met scenario's voor het bewaken van aanmeldingen bij de Power BI-service is geschikt.
  • Gebruiksvoorbeelden identificeren om downloads te blokkeren: bepaal wanneer downloads van de Power BI-service moeten worden geblokkeerd. Bepaal welke vertrouwelijkheidslabels moeten worden opgenomen.

Activiteitbeleid

Activiteitenbeleid in Defender voor Cloud-apps werken niet in realtime.

U kunt een activiteitenbeleid instellen om gebeurtenissen te controleren die zijn vastgelegd in het Power BI-activiteitenlogboek. Het beleid kan reageren op één activiteit of kan reageren op herhaalde activiteiten door één gebruiker (wanneer een specifieke activiteit meer dan een bepaald aantal keren binnen een bepaald aantal minuten plaatsvindt).

U kunt activiteitenbeleid gebruiken om activiteiten in de Power BI-service op verschillende manieren te controleren. Hier volgen enkele voorbeelden van wat u kunt bereiken.

  • Onbevoegde of onverwachte gebruikers zien bevoegde inhoud: een gebruiker die geen lid is van een specifieke beveiligingsgroep (of een externe gebruiker) heeft een rapport met hoge bevoegdheden bekeken dat aan de raad van bestuur wordt verstrekt.
  • Niet-geautoriseerde of onverwachte gebruiker werkt tenantinstellingen bij: een gebruiker die geen lid is van een specifieke beveiligingsgroep, zoals de power BI-groep Beheer istrators, heeft de tenantinstellingen in de Power BI-service bijgewerkt. U kunt er ook voor kiezen een melding te ontvangen wanneer een tenantinstelling wordt bijgewerkt.
  • Groot aantal verwijderingen: een gebruiker heeft meer dan 20 werkruimten of rapporten verwijderd in een periode die minder dan 10 minuten is.
  • Groot aantal downloads: een gebruiker heeft meer dan 30 rapporten gedownload in een periode die minder dan vijf minuten is.

De typen waarschuwingen voor activiteitenbeleid die in deze sectie worden beschreven, worden meestal verwerkt door Power BI-beheerders als onderdeel van hun toezicht op Power BI. Bij het instellen van waarschuwingen binnen Defender voor Cloud Apps raden we u aan zich te richten op situaties die een aanzienlijk risico voor de organisatie vertegenwoordigen. Dat komt doordat elke waarschuwing moet worden gecontroleerd en gesloten door een beheerder.

Waarschuwing

Omdat power BI-activiteitenlogboekgebeurtenissen niet in realtime beschikbaar zijn, kunnen ze niet worden gebruikt voor realtime bewaking of blokkering. U kunt echter bewerkingen uit het activiteitenlogboekbeleid gebruiken. Zorg ervoor dat u met uw informatiebeveiligingsteam werkt om te controleren wat technisch haalbaar is voordat u te ver gaat in het planningsproces.

Controlelijst : bij het plannen van uw activiteitenbeleid zijn belangrijke beslissingen en acties:

  • Gebruiksvoorbeelden identificeren voor activiteitenbewaking: Compileer een lijst met specifieke activiteiten uit het Power BI-activiteitenlogboek dat een aanzienlijk risico voor de organisatie vertegenwoordigt. Bepaal of het risico betrekking heeft op één activiteit of herhaalde activiteiten.
  • Werk samen met Power BI-beheerders: bespreek de Power BI-activiteiten die worden bewaakt in Defender voor Cloud-apps. Zorg ervoor dat er geen dubbele inspanning tussen verschillende beheerders is.

Aantal gebruikers

Een van de aantrekkelijke redenen om Power BI te integreren met Defender voor Cloud Apps is om te profiteren van realtime besturingselementen wanneer gebruikers communiceren met de Power BI-service. Voor dit type integratie is app-beheer voor voorwaardelijke toegang vereist in Microsoft Entra ID.

Voordat u app-beheer voor voorwaardelijke toegang instelt in Microsoft Entra ID, moet u overwegen welke gebruikers worden opgenomen. Meestal zijn alle gebruikers inbegrepen. Er kunnen echter redenen zijn om specifieke gebruikers uit te sluiten.

Tip

Wanneer u het beleid voor voorwaardelijke toegang instelt, is het waarschijnlijk dat uw Microsoft Entra-beheerder specifieke beheerdersaccounts uitsluit. Deze aanpak voorkomt dat beheerders worden vergrendeld. Het is raadzaam dat de uitgesloten accounts Microsoft Entra-beheerders zijn in plaats van standaard Power BI-gebruikers.

Bepaalde typen beleidsregels in Defender voor Cloud Apps kunnen worden toegepast op bepaalde gebruikers en groepen. Meestal zijn deze typen beleidsregels van toepassing op alle gebruikers. Het is echter mogelijk dat u een situatie tegenkomt wanneer u bepaalde gebruikers doelbewust moet uitsluiten.

Controlelijst : wanneer u rekening houdt met welke gebruikers dit doen, zijn belangrijke beslissingen en acties:

  • Overweeg welke gebruikers zijn opgenomen: Controleer of alle gebruikers worden opgenomen in uw app-beheerbeleid voor voorwaardelijke toegang van Microsoft Entra.
  • Bepaal welke beheerdersaccounts moeten worden uitgesloten: bepaal welke specifieke beheerdersaccounts doelbewust moeten worden uitgesloten van het app-beheerbeleid voor voorwaardelijke toegang van Microsoft Entra.
  • Bepaal of bepaalde Defender-beleidsregels van toepassing zijn op subsets van gebruikers: Voor geldige use cases moet u overwegen of ze van toepassing moeten zijn op alle of sommige gebruikers (indien mogelijk).

Gebruikersberichten

Als u gebruiksvoorbeelden hebt geïdentificeerd, moet u overwegen wat er moet gebeuren wanneer er gebruikersactiviteiten zijn die overeenkomen met het beleid.

Wanneer een activiteit in realtime wordt geblokkeerd, is het belangrijk dat de gebruiker een aangepast bericht krijgt. Het bericht is handig als u tijdens hun normale werkstroom meer richtlijnen en bewustzijn wilt bieden aan uw gebruikers. Het is waarschijnlijker dat gebruikers gebruikers meldingen lezen en absorberen wanneer ze:

  • Specifiek: door het bericht aan het beleid te correleren, is het eenvoudig te begrijpen.
  • Actie mogelijk: het aanbieden van een suggestie voor wat ze moeten doen of hoe u meer informatie kunt vinden.

Sommige typen beleidsregels in Defender voor Cloud Apps kunnen een aangepast bericht hebben. Hier volgen twee voorbeelden van gebruikersmeldingen.

Voorbeeld 1: U kunt een realtime sessiebeheerbeleid definiëren dat alle exports en downloads voorkomt wanneer het vertrouwelijkheidslabel voor het Power BI-item (zoals een rapport of semantisch model, voorheen een gegevensset genoemd) is ingesteld op Zeer beperkt. Het aangepaste blokbericht in Defender voor Cloud Apps leest: Bestanden met een label Met hoge beperkingen kunnen niet worden gedownload van de Power BI-service. Bekijk de inhoud online in de Power BI-service. Neem contact op met het ondersteuningsteam van Power BI met eventuele vragen.

Voorbeeld 2: U kunt een realtime toegangsbeleid definiëren dat voorkomt dat een gebruiker zich aanmeldt bij de Power BI-service wanneer deze geen computer gebruikt die wordt beheerd door de organisatie. Het aangepaste blokbericht in Defender voor Cloud Apps leest: de Power BI-service is mogelijk niet toegankelijk op een persoonlijk apparaat. Gebruik het apparaat dat is geleverd door de organisatie. Neem contact op met het ondersteuningsteam van Power BI met eventuele vragen.

Controlelijst: bij het overwegen van gebruikersberichten in Defender voor Cloud Apps zijn belangrijke beslissingen en acties:

  • Bepaal wanneer een aangepast blokbericht nodig is: voor elk beleid dat u wilt maken, bepaalt u of een aangepast blokbericht vereist is.
  • Aangepaste blokberichten maken: definieer voor elk beleid welk bericht moet worden weergegeven aan gebruikers. Plan om elk bericht aan het beleid te koppelen, zodat het specifiek en uitvoerbaar is.

waarschuwingen voor Beheer istrator

Waarschuwingen zijn handig als u ervoor wilt zorgen dat uw beveiligings- en nalevingsbeheerders zich bewust zijn van een beleidsschending. Wanneer u beleidsregels definieert in Defender voor Cloud Apps, moet u overwegen of er waarschuwingen moeten worden gegenereerd. Zie waarschuwingstypen in Defender voor Cloud Apps voor meer informatie.

U kunt eventueel een waarschuwing instellen om een e-mailbericht naar meerdere beheerders te verzenden. Wanneer een e-mailwaarschuwing is vereist, wordt u aangeraden een beveiligingsgroep met e-mail te gebruiken. U kunt bijvoorbeeld een groep met de naam Beveiliging en naleving gebruiken Beheer Waarschuwingen.

Voor situaties met hoge prioriteit is het mogelijk om waarschuwingen per sms-bericht te verzenden. Het is ook mogelijk om aangepaste waarschuwingsautomatisering en werkstromen te maken door te integreren met Power Automate.

U kunt elke waarschuwing instellen met een lage, gemiddelde of hoge ernst. Het ernstniveau is handig bij het prioriteren van de beoordeling van geopende waarschuwingen. Een beheerder moet elke waarschuwing controleren en er actie op ondernemen. Een waarschuwing kan worden gesloten als terecht-positief, fout-positief of goedaardig.

Hier volgen twee voorbeelden van beheerderswaarschuwingen.

Voorbeeld 1: U kunt een realtime sessiebeheerbeleid definiëren dat alle exports en downloads voorkomt wanneer het vertrouwelijkheidslabel voor het Power BI-item (zoals een rapport of semantisch model) is ingesteld op Zeer beperkt. Het heeft een nuttig aangepast blokbericht voor de gebruiker. In deze situatie is er echter geen noodzaak om een waarschuwing te genereren.

Voorbeeld 2: U kunt een activiteitenbeleid definiëren dat bijhoudt of een externe gebruiker een rapport met hoge bevoegdheden heeft bekeken dat aan de raad van bestuur wordt verstrekt. Er kan een waarschuwing met hoge ernst worden ingesteld om ervoor te zorgen dat de activiteit onmiddellijk wordt onderzocht.

Tip

In voorbeeld 2 worden de verschillen tussen gegevensbescherming en beveiliging gemarkeerd. Het activiteitenbeleid kan helpen bij het identificeren van scenario's waarbij selfservice BI-gebruikers gemachtigd zijn om beveiliging voor inhoud te beheren. Deze gebruikers kunnen echter acties ondernemen die worden afgeraden door het organisatiebeleid. U wordt aangeraden dit soort beleidsregels alleen in specifieke omstandigheden in te stellen wanneer de informatie bijzonder gevoelig is.

Controlelijst: wanneer u waarschuwingen overweegt voor beheerders in Defender voor Cloud Apps, zijn belangrijke beslissingen en acties:

  • Bepaal wanneer waarschuwingen vereist zijn: bepaal voor elk beleid dat u wilt maken welke situaties het gebruik van waarschuwingen rechtvaardigen.
  • Rollen en verantwoordelijkheden verduidelijken: Bepaal de verwachtingen en de actie die moet worden uitgevoerd wanneer een waarschuwing wordt gegenereerd.
  • Bepalen wie waarschuwingen ontvangt: bepaal welke beveiligings- en nalevingsbeheerders waarschuwingen zullen controleren en actie ondernemen om waarschuwingen te openen. Controleer of aan de machtigingen en licentievereisten wordt voldaan voor elke beheerder die Defender voor Cloud Apps gaat gebruiken.
  • Een nieuwe groep maken: Maak indien nodig een nieuwe beveiligingsgroep met e-mail die kan worden gebruikt voor e-mailmeldingen.

Naamconventie voor beleid

Voordat u beleidsregels maakt in Defender voor Cloud Apps, is het een goed idee om eerst een naamconventie te maken. Een naamconventie is handig wanneer er veel soorten beleidsregels zijn voor veel soorten toepassingen. Het is ook handig wanneer Power BI-beheerders betrokken raken bij het bewaken.

Tip

Overweeg Defender voor Cloud Apps toegang te verlenen tot uw Power BI-beheerders. Gebruik de beheerdersrol, waarmee het activiteitenlogboek, aanmeldingsgebeurtenissen en gebeurtenissen met betrekking tot de Power BI-service kunnen worden weergegeven.

Overweeg een naamconventiesjabloon met tijdelijke aanduidingen voor onderdelen: <Toepassing> - <Beschrijving> - <Actie> - <Type beleid>

Hier volgen enkele voorbeelden van naamconventies.

Type beleid Real-time Beleidsnaam
Sessiebeleid Ja Power BI - Zeer beperkt label - Downloads blokkeren - RT
Toegangsbeleid Ja Alle - Onbeheerd apparaat - Toegang blokkeren - RT
Beleid voor activiteiten Nee Power BI - Beheer istratieve activiteit
Beleid voor activiteiten Nee Power BI - Leidinggevend rapport externe gebruikersweergaven

De onderdelen van de naamconventie zijn onder andere:

  • Toepassing: de naam van de toepassing. Het Power BI-voorvoegsel helpt bij het groeperen van alle Power BI-specifieke beleidsregels wanneer deze worden gesorteerd. Sommige beleidsregels zijn echter van toepassing op alle cloud-apps in plaats van alleen de Power BI-service.
  • Beschrijving: Het beschrijvingsgedeelte van de naam varieert het meest. Dit kan betrekking hebben op vertrouwelijkheidslabels of het type activiteit dat wordt bijgehouden.
  • Actie: (optioneel) In de voorbeelden heeft één sessiebeleid een actie van Downloads blokkeren. Normaal gesproken is een actie alleen nodig wanneer het een realtime beleid is.
  • Type beleid: (optioneel) In het voorbeeld geeft het RT-achtervoegsel aan dat het een realtime beleid is. Aangeven of het realtime of niet helpt om verwachtingen te beheren.

Er zijn andere kenmerken die niet hoeven te worden opgenomen in de beleidsnaam. Deze kenmerken omvatten het ernstniveau (laag, gemiddeld of hoog) en de categorie (zoals detectie van bedreigingen of DLP). Beide kenmerken kunnen worden gefilterd op de pagina Waarschuwingen.

Tip

U kunt de naam van een beleid wijzigen in Defender voor Cloud Apps. Het is echter niet mogelijk om de naam van het ingebouwde anomaliedetectiebeleid te wijzigen. Het verdachte Delen van Power BI-rapporten is bijvoorbeeld een ingebouwd beleid dat niet kan worden hernoemd.

Controlelijst : als u de naamconventie van het beleid overweegt, zijn belangrijke beslissingen en acties onder andere:

  • Kies een naamconventie: gebruik uw eerste beleid om een consistente naamconventie tot stand te brengen die direct moet worden geïnterpreteerd. Richt u op het gebruik van een consistent voor- en achtervoegsel.
  • Documenteer de naamconventie: geef referentiedocumentatie over de naamgevingsconventie voor beleid op. Zorg ervoor dat uw systeembeheerders op de hoogte zijn van de naamconventie.
  • Bestaande beleidsregels bijwerken: werk alle bestaande Defender-beleidsregels bij om te voldoen aan de nieuwe naamconventie.

Licentievereisten

Er moeten specifieke licenties zijn om een Power BI-tenant te bewaken. Beheer istrators moeten een van de volgende licenties hebben.

  • Microsoft Defender voor Cloud Apps: Biedt Defender voor Cloud Apps-mogelijkheden voor alle ondersteunde toepassingen (inclusief de Power BI-service).
  • Office 365 Cloud App Security: biedt Defender voor Cloud-apps voor Office 365-apps die deel uitmaken van de Office 365 E5-suite (inclusief de Power BI-service).

Als gebruikers ook realtime toegangsbeleid of sessiebeleid in Defender voor Cloud Apps moeten gebruiken, hebben ze een Microsoft Entra ID P1-licentie nodig.

Tip

Neem contact op met uw Microsoft-accountteam als u meer informatie nodig hebt over licentievereisten.

Controlelijst : bij het evalueren van licentievereisten zijn belangrijke beslissingen en acties:

  • Controleer de productlicentievereisten: zorg ervoor dat u alle licentievereisten voor het werken met Defender voor Cloud Apps hebt gecontroleerd.
  • Extra licenties aanschaffen: koop indien van toepassing meer licenties om de functionaliteit te ontgrendelen die u wilt gebruiken.
  • Licenties toewijzen: wijs een licentie toe aan al uw beveiligings- en nalevingsbeheerders die Defender voor Cloud Apps gebruiken.

Gebruikersdocumentatie en -training

Voordat u Defender voor Cloud Apps uitrolt, wordt u aangeraden gebruikersdocumentatie te maken en publiceren. Een SharePoint-pagina of wikipagina in uw gecentraliseerde portal kan goed werken, omdat deze eenvoudig te onderhouden is. Een document dat is geüpload naar een gedeelde bibliotheek of Teams-site is ook een goede oplossing.

Het doel van de documentatie is om een naadloze gebruikerservaring te realiseren. Als u gebruikersdocumentatie voorbereidt, kunt u er ook voor zorgen dat u alles hebt overwogen.

Neem informatie op over wie contact moet opnemen wanneer gebruikers vragen of technische problemen hebben.

Veelgestelde vragen en voorbeelden zijn vooral nuttig voor gebruikersdocumentatie.

Controlelijst : bij het voorbereiden van gebruikersdocumentatie en -training zijn belangrijke beslissingen en acties:

  • Documentatie bijwerken voor makers en consumenten van inhoud: Werk uw veelgestelde vragen en voorbeelden bij om relevante informatie over beleidsregels op te nemen die gebruikers kunnen tegenkomen.
  • Publiceren hoe u hulp krijgt: zorg ervoor dat uw gebruikers weten hoe ze hulp kunnen krijgen wanneer ze iets onverwachts ervaren of dat ze het niet begrijpen.
  • Bepaal of specifieke training nodig is: maak of werk uw gebruikerstraining bij om nuttige informatie op te nemen, met name als er een wettelijke vereiste is om dit te doen.

Gebruikersondersteuning

Het is belangrijk om te controleren wie verantwoordelijk is voor gebruikersondersteuning. Het is gebruikelijk dat het gebruik van Defender voor Cloud Apps voor het bewaken van Power BI wordt uitgevoerd door een gecentraliseerde IT-helpdesk.

Mogelijk moet u documentatie maken voor de helpdesk en enkele kennisoverdrachtsessies uitvoeren om ervoor te zorgen dat de helpdesk gereed is om te reageren op ondersteuningsaanvragen.

Controlelijst : bij het voorbereiden van de functie voor gebruikersondersteuning zijn belangrijke beslissingen en acties:

  • Bepaal wie gebruikersondersteuning biedt: wanneer u rollen en verantwoordelijkheden definieert, moet u rekening houden met hoe gebruikers hulp krijgen bij problemen die ze kunnen tegenkomen.
  • Zorg ervoor dat het ondersteuningsteam van de gebruiker gereed is: maak documentatie en voer kennisoverdrachtsessies uit om ervoor te zorgen dat de helpdesk klaar is om deze processen te ondersteunen.
  • Communiceren tussen teams: bespreek berichten die gebruikers kunnen zien en het proces om openstaande waarschuwingen op te lossen met uw Power BI-beheerders en Center of Excellence. Zorg ervoor dat iedereen die betrokken is voorbereid op potentiële vragen van Power BI-gebruikers.

Implementatieoverzicht

Nadat de beslissingen zijn genomen en er een implementatieplan is voorbereid, is het tijd om de implementatie te starten.

Als u realtime-beleid (sessiebeleid of toegangsbeleid) wilt gebruiken, moet u het app-beheer voor voorwaardelijke toegang van Microsoft Entra instellen. U moet de Power BI-service instellen als een catalogus-app die wordt beheerd door Defender voor Cloud Apps.

Wanneer het app-beheer voor voorwaardelijke toegang van Microsoft Entra is ingesteld en getest, kunt u vervolgens beleidsregels maken in Defender voor Cloud Apps.

Belangrijk

We raden u aan deze functionaliteit eerst aan een klein aantal testgebruikers te introduceren. Er is ook een modus met alleen bewaking die nuttig kan zijn om deze functionaliteit op een ordelijke manier te introduceren.

De volgende controlelijst bevat een overzicht van de end-to-end implementatiestappen. Veel van de stappen bevatten andere details die in eerdere secties van dit artikel zijn besproken.

Controlelijst: bij het implementeren van Defender voor Cloud-apps met Power BI zijn belangrijke beslissingen en acties:

  • Controleer de huidige status en doelstellingen: zorg ervoor dat u de huidige status van DLP duidelijk hebt voor gebruik met Power BI. Alle doelstellingen en vereisten voor het implementeren van DLP moeten duidelijk en actief worden gebruikt om het besluitvormingsproces te stimuleren.
  • Voer het besluitvormingsproces uit: Bekijk en bespreek alle vereiste beslissingen. Deze taak moet plaatsvinden voordat u iets in de productieomgeving instelt.
  • Bekijk de licentievereisten: zorg ervoor dat u de productlicenties en gebruikerslicentievereisten begrijpt. Indien nodig kunt u meer licenties aanschaffen en toewijzen.
  • Gebruikersdocumentatie publiceren: publiceer informatie die gebruikers nodig hebben om vragen te beantwoorden en verwachtingen te verduidelijken. Bied richtlijnen, communicatie en training aan uw gebruikers, zodat ze voorbereid zijn.
  • Maak een Beleid voor voorwaardelijke toegang van Microsoft Entra: maak een beleid voor voorwaardelijke toegang in Microsoft Entra ID om realtime besturingselementen in te schakelen voor het bewaken van de Power BI-service. Schakel eerst het beleid voor voorwaardelijke toegang van Microsoft Entra in voor enkele testgebruikers.
  • Power BI instellen als een verbonden app in Defender voor Cloud Apps: Power BI toevoegen of controleren als een verbonden app in Defender voor Cloud Apps voor app-beheer voor voorwaardelijke toegang.
  • Voer de eerste tests uit: meld u aan bij de Power BI-service als een van de testgebruikers. Controleer of de toegang werkt. Controleer ook of het weergegeven bericht u informeert dat de Power BI-service wordt bewaakt door Defender voor Cloud Apps.
  • Een realtime-beleid maken en testen: Gebruik de use cases die al zijn gecompileerd, maak een toegangsbeleid of een sessiebeleid in Defender voor Cloud Apps.
  • Voer als testgebruiker een actie uit waarmee het realtimebeleid wordt geactiveerd. Controleer of de actie is geblokkeerd (indien van toepassing) en of de verwachte waarschuwingsberichten worden weergegeven.
  • Feedback van gebruikers verzamelen: feedback krijgen over het proces en de gebruikerservaring. Identificeer verwarringsgebieden, onverwachte resultaten met typen gevoelige informatie en andere technische problemen.
  • Doorgaan met iteratieve releases: voeg geleidelijk meer beleidsregels toe in Defender voor Cloud Apps totdat alle gebruiksvoorbeelden worden aangepakt.
  • Bekijk de ingebouwde beleidsregels: zoek het ingebouwde beleid voor anomaliedetectie in Defender voor Cloud Apps (met Power BI in hun naam). Werk zo nodig de waarschuwingsinstellingen voor het ingebouwde beleid bij.
  • Ga verder met een bredere implementatie: ga door met uw iteratieve implementatieplan. Werk het beleid voor voorwaardelijke toegang van Microsoft Entra bij zodat dit van toepassing is op een bredere set gebruikers, indien van toepassing. Werk afzonderlijke beleidsregels in Defender voor Cloud Apps bij zodat deze naar wens van toepassing zijn op een bredere groep gebruikers.
  • Controleren, afstemmen en aanpassen: investeer resources om waarschuwingen en auditlogboeken regelmatig te controleren op basis van beleidsovereenkomsten. Onderzoek eventuele fout-positieven en pas beleidsregels indien nodig aan.

Tip

Deze controlelijstitems worden samengevat voor planningsdoeleinden. Zie de vorige secties van dit artikel voor meer informatie over deze controlelijstitems.

Zie de stappen voor het implementeren van catalogus-apps voor meer specifieke informatie over het implementeren van Power BI als een catalogustoepassing in Defender voor Cloud Apps.

Doorlopende bewaking

Nadat u de implementatie hebt voltooid, moet u uw aandacht richten op bewaking, afdwingen en aanpassen van Defender voor Cloud Apps-beleid op basis van hun gebruik.

Power BI-beheerders en beveiligings- en nalevingsbeheerders moeten van tijd tot tijd samenwerken. Voor Power BI-inhoud zijn er twee doelgroepen voor bewaking.

  • Power BI-beheerders: naast waarschuwingen die worden gegenereerd door Defender voor Cloud Apps, worden activiteiten uit het Power BI-activiteitenlogboek ook weergegeven in de portal Defender voor Cloud Apps.
  • Beveiligings- en nalevingsbeheerders: de beveiligings- en nalevingsbeheerders van de organisatie gebruiken doorgaans Defender voor Cloud Apps-waarschuwingen.

Het is mogelijk om uw Power BI-beheerders een beperkte weergave te bieden in Defender voor Cloud-apps. Er wordt een scoped rol gebruikt om het activiteitenlogboek, aanmeldingsgebeurtenissen en gebeurtenissen met betrekking tot de Power BI-service weer te geven. Deze mogelijkheid is handig voor Power BI-beheerders.

Controlelijst- Bij het bewaken van Defender voor Cloud Apps zijn belangrijke beslissingen en acties onder andere:

  • Controleer de rollen en verantwoordelijkheden: zorg ervoor dat u weet wie verantwoordelijk is voor welke acties. Informeer en communiceer met uw Power BI-beheerders als ze verantwoordelijk zijn voor elk aspect van bewaking.
  • Toegang beheren voor Power BI-beheerders: voeg uw Power BI-beheerders toe aan de rol van beheerder in Defender voor Cloud Apps. Communiceer met hen zodat ze op de hoogte zijn van wat ze kunnen doen met deze extra informatie.
  • Maak of valideer uw proces voor het controleren van activiteiten: zorg ervoor dat uw beveiligings- en nalevingsbeheerders duidelijk zijn over de verwachtingen voor het regelmatig controleren van de activiteitenverkenner.
  • Maak of valideer uw proces voor het oplossen van waarschuwingen: zorg ervoor dat uw beveiligings- en nalevingsbeheerders een proces hebben om openstaande waarschuwingen te onderzoeken en op te lossen.

Gerelateerde inhoud

In het volgende artikel in deze reeks leert u meer over controle voor informatiebeveiliging en preventie van gegevensverlies voor Power BI.