Planning van Power BI-implementatie: preventie van gegevensverlies voor Power BI

  • Artikel

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel worden de planningsactiviteiten beschreven die betrekking hebben op het implementeren van preventie van gegevensverlies (DLP) in Power BI. Het is gericht op:

  • Power BI-beheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Power BI-beheerders moeten samenwerken met informatiebeveiligingsteams en andere relevante teams.
  • Center of Excellence-, IT- en BI-teams: anderen die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Mogelijk moeten ze samenwerken met Power BI-beheerders, informatiebeveiligingsteams en andere relevante teams.

Belangrijk

Preventie van gegevensverlies (DLP) is een belangrijke organisatiebrede onderneming. Het bereik en de impact ervan zijn veel groter dan alleen Power BI. Dit type initiatief vereist financiering, prioriteitstelling en planning. Verwacht dat u verschillende cross-functionele teams in uw planning, gebruik en toezicht wilt betrekken.

We raden u aan een geleidelijke, gefaseerde benadering te volgen om DLP voor Power BI uit te rollen. Zie Informatiebeveiliging voor Power BI (implementatiefasen) voor een beschrijving van de typen implementatiefasen die u moet overwegen.

Doel van DLP

Preventie van gegevensverlies (DLP) verwijst naar activiteiten en praktijken die de gegevens van de organisatie beschermen. Het doel van DLP is het verminderen van het risico op gegevenslekken, wat kan gebeuren wanneer gevoelige gegevens worden gedeeld met onbevoegde personen. Hoewel verantwoordelijk gebruikersgedrag een essentieel onderdeel is van het beveiligen van gegevens, verwijst DLP meestal naar beleidsregels die zijn geautomatiseerd.

Met DLP kunt u het volgende doen:

  • Detecteer en informeer beheerders wanneer risicovolle, onbedoelde of ongepaste delen van gevoelige gegevens is opgetreden. In het bijzonder kunt u het volgende doen:
    • Verbeter de algehele beveiligingsinstellingen van uw Power BI-tenant, met automatisering en informatie.
    • Schakel analytische gebruiksvoorbeelden in waarbij gevoelige gegevens betrokken zijn.
    • Geef controlegegevens aan beveiligingsbeheerders.
  • Gebruikers voorzien van contextuele meldingen. In het bijzonder kunt u het volgende doen:
    • Gebruikers helpen bij het nemen van de juiste beslissingen tijdens hun normale werkstroom.
    • Gebruikers begeleiden bij het volgen van uw beleid voor gegevensclassificatie en -beveiliging zonder dat dit een negatieve invloed heeft op hun productiviteit.

DLP-services

Er zijn in grote lijnen twee verschillende services die preventie van gegevensverlies kunnen implementeren.

  • DLP-beleid voor Microsoft Purview voor Power BI
  • Microsoft Defender for Cloud Apps

DLP-beleid voor Microsoft Purview voor Power BI

Er wordt een DLP-beleid voor Power BI ingesteld in de Microsoft Purview-nalevingsportal. Het kan gevoelige gegevens detecteren in een semantisch model (voorheen een gegevensset genoemd) dat is gepubliceerd naar een Premium-werkruimte in de Power BI-service.

Belangrijk

Soms verwijst dit artikel naar Power BI Premium of de capaciteitsabonnementen (P-SKU's). Houd er rekening mee dat Microsoft momenteel aankoopopties consolideert en de Power BI Premium-SKU's per capaciteit buiten gebruik stelt. Nieuwe en bestaande klanten moeten overwegen om in plaats daarvan F-SKU's (Fabric-capaciteitsabonnementen) aan te schaffen.

Zie Belangrijke update voor Power BI Premium-licenties en veelgestelde vragen over Power BI Premium voor meer informatie.

Het doel van dit type DLP-beleid is om gebruikers bewust te maken van waar gevoelige gegevens worden opgeslagen. Het DLP-beleid kan gebruikersmeldingen en beheerderswaarschuwingen genereren op basis van typen gevoelige informatie of vertrouwelijkheidslabels. U kunt bijvoorbeeld bepalen of creditcardgegevens of persoonsgegevens (PII) zijn opgeslagen in een semantisch model.

Notitie

DLP voor Power BI is de focus van dit artikel.

Microsoft Defender for Cloud Apps

Microsoft Defender voor Cloud Apps is een hulpprogramma met veel mogelijkheden. Sommige beleidsregels die kunnen worden ingesteld in Microsoft Defender voor Cloud-apps (met integratie met Microsoft Entra-id, voorheen bekend als Azure Active Directory) bevatten DLP. Deze beleidsregels kunnen blokkeren, registreren of waarschuwen wanneer bepaalde gebruikersactiviteiten plaatsvinden. Wanneer een gebruiker bijvoorbeeld probeert een rapport te downloaden van de Power BI-service waaraan een vertrouwelijkheidslabel met hoge beperkingen is toegewezen, wordt de downloadactie geblokkeerd.

Het artikel Defender voor Cloud Apps voor Power BI bevat informatie over het gebruik van Defender voor Cloud-apps voor het bewaken van de Power BI-service. De rest van dit artikel is gericht op DLP voor Power BI.

Belangrijk

Een DLP-beleid voor Power BI dat is ingesteld in de Microsoft Purview-nalevingsportal kan alleen worden toegepast op inhoud die is opgeslagen in een Power BI Premium-werkruimte. Beleidsregels die zijn ingesteld in Defender voor Cloud Apps hebben echter geen vergelijkbare Vereisten voor Power BI Premium. Houd er rekening mee dat de functionaliteit, het doel en de beschikbare acties verschillen voor de twee hulpprogrammasets. Om maximaal effect te bereiken, raden we u aan om beide toolsets te gebruiken.

Vereisten voor DLP voor Power BI

U moet nu de planningsstappen op organisatieniveau hebben voltooid die worden beschreven in het artikel Informatiebeveiliging voor Power BI . Voordat u doorgaat, moet u duidelijkheid hebben over:

  • Huidige status: de huidige status van DLP in uw organisatie. U moet weten in hoeverre DLP al in gebruik is en wie verantwoordelijk is voor het beheren ervan.
  • Doelstellingen en vereisten: de strategische doelen voor het implementeren van DLP in uw organisatie. Het begrijpen van de doelstellingen en vereisten dient als richtlijn voor uw implementatie-inspanningen.

Normaal gesproken implementeert u gegevensbeveiliging (beschreven in het artikel Informatiebeveiliging voor Power BI ) voordat u DLP implementeert. Dit is echter geen vereiste voor het gebruik van DLP voor Power BI. Als vertrouwelijkheidslabels worden gepubliceerd, kunnen ze worden gebruikt met DLP voor Power BI. U kunt ook typen gevoelige informatie gebruiken met DLP voor Power BI. Beide typen worden beschreven in dit artikel.

Belangrijke beslissingen en acties

Het doel van een DLP-beleid is het instellen van een geautomatiseerde actie, op basis van regels en voorwaarden, op de inhoud die u wilt beveiligen. U moet enkele beslissingen nemen over de regels en voorwaarden die uw doelstellingen en vereisten ondersteunen.

Het voordeel van het definiëren van afzonderlijke regels binnen één DLP-beleid is dat u aangepaste waarschuwingen of gebruikersmeldingen kunt inschakelen.

Er is een hiërarchische prioriteit aan de lijst met DLP-beleidsregels, evenals aan DLP-beleidsregels, die u kunt overwegen. De prioriteit is van invloed op welk beleid wordt aangeroepen wanneer dit voor het eerst wordt aangetroffen.

Let op

Deze sectie is geen volledige lijst met alle mogelijke DLP-beslissingen voor alle mogelijke toepassingen. Zorg ervoor dat u met andere belanghebbenden en systeembeheerders werkt om beslissingen te nemen die goed werken voor alle toepassingen en use cases. We raden u bijvoorbeeld aan aanvullende DLP-beleidsregels te onderzoeken voor het beveiligen van bronbestanden en geëxporteerde bestanden die zijn opgeslagen in OneDrive of SharePoint. Deze reeks artikelen richt zich alleen op inhoud in de Power BI-service.

Type gevoelige gegevens

Een DLP-beleid voor Power BI dat is ingesteld in de Microsoft Purview-nalevingsportal kan worden gebaseerd op een vertrouwelijkheidslabel of een type gevoelige informatie.

Belangrijk

Hoewel u gevoeligheidslabels kunt toewijzen aan de meeste typen items in Power BI, zijn de DLP-beleidsregels die in dit artikel worden beschreven, specifiek gericht op semantische modellen. Het semantische model moet worden gepubliceerd naar een Premium-werkruimte.

Vertrouwelijkheidslabel

U kunt vertrouwelijkheidslabels gebruiken om inhoud te classificeren, variërend van minder gevoelig tot gevoeliger.

Wanneer een DLP-beleid voor Power BI wordt aangeroepen, controleert een vertrouwelijkheidslabelregel semantische modellen (die worden gepubliceerd naar de Power BI-service) voor de aanwezigheid van een bepaald vertrouwelijkheidslabel. Zoals beschreven in het artikel Informatiebeveiliging voor Power BI , kan een label worden toegewezen door een gebruiker of door een geautomatiseerd proces (bijvoorbeeld een overgenomen label of een standaardlabel).

Hier volgen enkele voorbeelden van wanneer u een DLP-regel kunt maken op basis van een vertrouwelijkheidslabel.

  • Naleving van regelgeving: u hebt een vertrouwelijkheidslabel dat is gereserveerd voor gegevens die onderhevig zijn aan een bepaalde wettelijke vereiste. U wilt een waarschuwing voor uw beveiligingsbeheerders genereren wanneer gebruikers dat vertrouwelijkheidslabel toewijzen aan een semantisch model in de Power BI-service.
  • Herinneringen voor makers van inhoud over vertrouwelijke gegevens: u hebt een vertrouwelijkheidslabel dat wordt gebruikt voor vertrouwelijke gegevens. U wilt een gebruikersmelding genereren wanneer een gebruiker de pagina met semantische modeldetails in de gegevenshub in de Power BI-service bekijkt. U kunt bijvoorbeeld gebruikers eraan herinneren hoe vertrouwelijke gegevens op de juiste wijze moeten worden verwerkt.

Andere overwegingen over gebruikersmeldingen en waarschuwingen worden beschreven in deze volgende sectie van dit artikel.

Controlelijst : als u rekening houdt met de behoeften voor regels voor vertrouwelijkheidslabels, zijn belangrijke beslissingen en acties:

  • Controleer de huidige status van informatiebeveiliging: zorg ervoor dat vertrouwelijkheidslabels in de organisatie zijn geïmplementeerd en dat ze gereed zijn voor gebruik door DLP-beleid.
  • Gebruiksvoorbeelden voor DLP compileren op basis van vertrouwelijkheidslabels: bepaal welke vertrouwelijkheidslabels baat hebben bij het toepassen van DLP-beleid. Houd rekening met uw doelen, voorschriften en interne vereisten.
  • Geef prioriteit aan de lijst met use cases voor DLP op basis van vertrouwelijkheidslabels: Bespreek de belangrijkste prioriteiten met uw team. Bepaal welke items u prioriteit wilt geven aan uw projectplan.

Notitie

DLP-beleid wordt doorgaans geautomatiseerd. Verantwoordelijke gebruikersacties spelen echter ook een cruciale rol bij het beveiligen van gegevens.

Zie Informatiebeveiliging voor Power BI (beleid voor gegevensclassificatie en -beveiliging) voor meer informatie. Hierin wordt een intern governancebeleid beschreven dat richtlijnen biedt voor wat gebruikers wel en niet kunnen doen met inhoud die is toegewezen aan een bepaald vertrouwelijkheidslabel.

Typen gevoelige informatie

Niet alle typen gegevens zijn hetzelfde; bepaalde typen gegevens zijn inherent gevoeliger dan andere. Er zijn veel verschillende typen gevoelige informatie (SIT's). Afhankelijk van uw branche en de nalevingsvereisten, zijn er slechts enkele SIT's van toepassing op uw organisatie.

Enkele veelvoorkomende voorbeelden van SIT's zijn:

  • Paspoort, sociale zekerheid en rijbewijsnummers
  • Bankrekening- en routeringsnummers
  • Creditcard- en betaalpasnummers
  • Belastingidentificatie en nationale id-nummers
  • Gezondheids-id-nummers en medische gegevens
  • Fysieke adressen
  • Accountsleutels, wachtwoorden en database-verbindingsreeks s

Tip

Als gevoelige gegevens geen analytische waarde hebben, vraagt u zich af of deze zich in een analytisch systeem moeten bevinden. We raden u aan uw makers van inhoud te informeren om hen te helpen goede beslissingen te nemen over welke gegevens moeten worden opgeslagen in Power BI.

SIT's zijn classificaties op basis van patronen. Ze zoeken naar een bekend patroon in tekst met behulp van reguliere expressies.

In de Microsoft Purview-nalevingsportal vindt u veel vooraf geconfigureerde SID's. Wanneer deze voldoen aan uw vereisten, moet u een vooraf geconfigureerde SIT gebruiken om tijd te besparen. Houd rekening met het vooraf geconfigureerde SIT-nummer van de creditcard: Het detecteert de juiste patronen voor alle grote kaartverleners, zorgt voor de geldigheid van de controlesom en zoekt naar een relevant trefwoord in nabijheid van het creditcardnummer.

Als de vooraf geconfigureerde SIT's niet aan uw behoeften voldoen of als u eigen gegevenspatronen hebt, kunt u een aangepaste SIT maken. U kunt bijvoorbeeld een aangepaste SIT maken die overeenkomt met het patroon van uw werknemers-id-nummer.

Zodra de SIT is ingesteld, wordt een DLP-beleid voor Power BI aangeroepen wanneer een semantisch model wordt geüpload of vernieuwd. Op dat moment controleert een regel voor het type gevoelige informatie semantische modellen (in de Power BI-service) op de aanwezigheid van typen gevoelige informatie.

Hier volgen enkele voorbeelden van wanneer u een DLP-regel kunt maken op basis van een type gevoelige informatie.

  • Naleving van regelgeving: u hebt een type gevoelige informatie die onderhevig is aan wettelijke vereisten. U wilt een waarschuwing genereren voor uw beveiligingsbeheerders wanneer dat type gegevens wordt gedetecteerd in een semantisch model in de Power BI-service.
  • Interne vereisten: u hebt een type gevoelige informatie waarvoor speciale verwerking nodig is. Als u wilt voldoen aan interne vereisten, wilt u een gebruikersmelding genereren wanneer een gebruiker de semantische modelinstellingen of de pagina met semantische modeldetails in de gegevenshub (in de Power BI-service) bekijkt.

Controlelijst : als u rekening houdt met de behoeften voor typen gevoelige informatie, zijn belangrijke beslissingen en acties:

  • Gebruiksvoorbeelden voor DLP compileren op basis van typen gevoelige informatie: bepaal welke typen gevoelige informatie baat hebben bij het toepassen van DLP-beleid. Houd rekening met uw doelen, voorschriften en interne vereisten.
  • Test bestaande typen gevoelige informatie: werk samen met het informatiebeveiligingsteam om te controleren of de vooraf geconfigureerde SID's aan uw behoeften voldoen. Gebruik testgegevens om te controleren of patronen en trefwoorden correct worden gedetecteerd.
  • Aangepaste typen gevoelige informatie maken: indien van toepassing, neem contact op met uw gegevensbeveiligingsteam om SIT's te maken, zodat ze kunnen worden gebruikt in DLP voor Power BI.
  • Geef prioriteit aan de lijst met gebruiksvoorbeelden: Bespreek de belangrijkste prioriteiten met uw team. Bepaal welke items u prioriteit wilt geven aan uw projectplan.

Gebruikersmeldingen

Wanneer u use cases voor DLP met vertrouwelijkheidslabels en SID's hebt geïdentificeerd, moet u overwegen wat er gebeurt wanneer een DLP-regel overeenkomt. Normaal gesproken gaat het om een melding van een gebruiker.

Gebruikersmeldingen voor DLP-beleid worden ook wel beleidstips genoemd. Ze zijn handig als u tijdens de normale gang van hun werk meer begeleiding en bewustzijn wilt bieden aan uw gebruikers. Het is waarschijnlijker dat gebruikers gebruikersmeldingen lezen en absorberen als ze:

  • Specifiek: het correleren van het bericht aan de regel maakt het veel gemakkelijker te begrijpen.
  • Actie mogelijk: het aanbieden van een suggestie voor wat de gebruiker moet doen of hoe u meer informatie kunt vinden.

Voor DLP in Power BI worden gebruikersmeldingen weergegeven in de semantische modelinstellingen. Ze worden ook boven aan de pagina met semantische modeldetails in de gegevenshub weergegeven, zoals wordt weergegeven in de volgende schermopname. In dit geval leest de melding: Deze gegevens bevatten creditcards. Dit type gegevens is niet toegestaan in Power BI volgens het beleid voor gegevensclassificatie, beveiliging en gebruik.

Schermopname van een melding van een DLP-gebruiker boven aan de data hub-pagina.

U kunt een of meer regels definiëren voor elk DLP-beleid. Elke regel kan eventueel een andere beleidstip hebben die voor gebruikers wordt weergegeven.

Bekijk het volgende voorbeeld van hoe u een DLP-beleid kunt definiëren voor het detecteren van financiële gegevens die zijn opgeslagen in semantische modellen in de Power BI-service. Het DLP-beleid maakt gebruik van SIT's en heeft twee regels.

  • Regel 1: Met de eerste regel worden creditcardnummers gedetecteerd. De tekst voor aangepaste beleidstips leest: deze gegevens bevatten creditcardnummers. Dit type gegevens is niet toegestaan in Power BI volgens het beleid voor gegevensclassificatie en -beveiliging.
  • Regel 2: De tweede regel detecteert financiële rekeningen. De aangepaste tekst voor beleidstips leest: deze gegevens bevatten gevoelige financiële informatie. Hiervoor is het gebruik van het label Zeer beperkt vereist. Raadpleeg het beleid voor gegevensclassificatie en -beveiliging voor vereisten bij het opslaan van financiële gegevens.

Regel 1 is dringender dan regel 2. Regel 1 is bedoeld om te communiceren dat er een probleem is waarvoor actie is vereist. De tweede regel is meer informatief. Voor dringende problemen is het een goed idee om waarschuwingen in te stellen. Waarschuwingen voor beheerders worden beschreven in de volgende sectie.

Wanneer u besluit welke meldingen gebruikers moeten ontvangen, raden we u aan zich te richten op het weergeven van alleen zeer belangrijke meldingen. Als er te veel beleidsmeldingen zijn, kunnen gebruikers overweldigd raken door hen. Het resultaat is dat sommige meldingen mogelijk over het hoofd worden gezien.

Gebruikers kunnen actie ondernemen door een probleem te melden wanneer ze geloven dat het een fout-positief is (verkeerd geïdentificeerd). Het is ook mogelijk om toe te staan dat de gebruiker het beleid overschrijft. Deze mogelijkheden zijn bedoeld om communicatie mogelijk te maken tussen Power BI-gebruikers en de beveiligingsbeheerders die DLP voor Power BI beheren.

Controlelijst : bij het overwegen van DLP-gebruikersmeldingen zijn belangrijke beslissingen en acties:

  • Bepaal wanneer gebruikersmeldingen nodig zijn: voor elke DLP-regel die u wilt maken, bepaalt u of een aangepaste gebruikersmelding vereist is.
  • Aangepaste beleidstips maken: definieer voor elke melding welk bericht aan gebruikers moet worden weergegeven. Plan het bericht te correleren met de DLP-regel, zodat het specifiek en uitvoerbaar is.

waarschuwingen voor Beheer istrator

Waarschuwingen zijn handig voor bepaalde DLP-regels wanneer u incidenten wilt bijhouden wanneer er een beleidsschending is opgetreden. Wanneer u DLP-beleidsregels definieert, moet u overwegen of waarschuwingen moeten worden gegenereerd.

Tip

Waarschuwingen zijn ontworpen om de aandacht van een beheerder te vestigen op bepaalde situaties. Ze zijn het meest geschikt wanneer u van plan bent om belangrijke waarschuwingen actief te onderzoeken en op te lossen. U vindt alle DPS-regelovereenkomsten in de activiteitenverkenner in de Microsoft Purview-nalevingsportal.

Waarschuwingen zijn handig als u het volgende wilt doen:

  • Zorg ervoor dat uw beveiligings- en nalevingsbeheerders zich bewust zijn van wat er is gebeurd via het DLP-dashboard voor waarschuwingsbeheer. U kunt eventueel ook een e-mailbericht verzenden naar een specifieke set gebruikers.
  • Zie meer informatie voor een gebeurtenis die is opgetreden.
  • Wijs een gebeurtenis toe aan iemand om deze te onderzoeken.
  • Beheer de status van een gebeurtenis of voeg er opmerkingen aan toe.
  • Bekijk andere waarschuwingen die zijn gegenereerd voor activiteit door dezelfde gebruiker.

Elke waarschuwing kan worden gedefinieerd met een ernstniveau, dat laag, gemiddeld of hoog kan zijn. Het ernstniveau helpt bij het prioriteren van de beoordeling van geopende waarschuwingen.

Hier volgen twee voorbeelden van hoe waarschuwingen kunnen worden gebruikt.

Voorbeeld 1: U hebt een DLP-beleid gedefinieerd voor het detecteren van financiële gegevens die zijn opgeslagen in semantische modellen in de Power BI-service. Het DLP-beleid maakt gebruik van typen gevoelige informatie. Het heeft twee regels.

  • Regel 1: Met deze regel worden creditcardnummers gedetecteerd. Waarschuwingen worden ingeschakeld met een hoge ernst. Er wordt ook een e-mailbericht gegenereerd.
  • Regel 2: Met deze regel worden financiële rekeningen gedetecteerd. Waarschuwingen worden ingeschakeld met een hoge ernst.

Voorbeeld 2: U hebt een DLP-beleid gedefinieerd dat wordt aangeroepen wanneer het vertrouwelijkheidslabel Zeer beperkt\Executive Committee en Board Members wordt toegewezen aan een semantisch model in de Power BI-service. Er wordt geen gebruikersmelding gegenereerd. In dit geval wilt u mogelijk geen waarschuwing genereren omdat u alleen het exemplaar wilt registreren. Indien nodig kunt u meer informatie verkrijgen via de activiteitenverkenner.

Wanneer een e-mailwaarschuwing is vereist, wordt u aangeraden een beveiligingsgroep met e-mail te gebruiken. U kunt bijvoorbeeld een groep gebruiken met de naam Beveiliging en Privacy Beheer Waarschuwingen.

Tip

Houd er rekening mee dat DLP-regels voor Power BI telkens worden gecontroleerd wanneer een semantisch model wordt geüpload of vernieuwd. Dit betekent dat er telkens een waarschuwing kan worden gegenereerd wanneer het semantische model wordt vernieuwd. Regelmatige of frequente gegevensvernieuwing kan leiden tot een overweldigend aantal vastgelegde gebeurtenissen en waarschuwingen.

Controlelijst : bij het overwegen van DLP-waarschuwingen voor beheerders zijn belangrijke beslissingen en acties:

  • Bepaal wanneer waarschuwingen vereist zijn: bepaal voor elke DLP-regel die u wilt maken welke situaties het gebruik van waarschuwingen rechtvaardigen.
  • Rollen en verantwoordelijkheden verduidelijken: Bepaal de verwachtingen en de specifieke acties die moeten worden uitgevoerd wanneer een waarschuwing wordt gegenereerd.
  • Bepalen wie waarschuwingen ontvangt: bepaal welke beveiligings- en nalevingsbeheerders geopende waarschuwingen verwerken. Controleer of aan de machtigingen en licentievereisten wordt voldaan voor elke beheerder die de Microsoft Purview-nalevingsportal gebruikt.
  • E-mailgroepen maken: maak zo nodig nieuwe beveiligingsgroepen met e-mail om waarschuwingen af te handelen.

Werkruimten binnen bereik

Een DLP-beleid voor Power BI dat is ingesteld in de Microsoft Purview-nalevingsportal is bedoeld voor semantische modellen. Het ondersteunt met name het scannen van semantische modellen die zijn gepubliceerd naar een Premium-werkruimte.

U kunt het DLP-beleid instellen om alle Premium-werkruimten te scannen. U kunt er desgewenst voor kiezen om specifieke werkruimten op te nemen of uit te sluiten. U kunt bijvoorbeeld bepaalde ontwikkel- of testwerkruimten uitsluiten die als lager risico worden beschouwd (met name als ze geen echte productiegegevens bevatten). U kunt ook afzonderlijke beleidsregels maken voor bepaalde ontwikkel- of testwerkruimten.

Tip

Als u besluit dat slechts een subset van uw Premium-werkruimten wordt opgenomen voor DLP, moet u rekening houden met het onderhoudsniveau. DLP-regels zijn eenvoudiger te onderhouden wanneer alle Premium-werkruimten zijn opgenomen. Als u besluit alleen een subset van Premium-werkruimten op te nemen, moet u ervoor zorgen dat u een controleproces hebt, zodat u snel kunt vaststellen of er een nieuwe werkruimte ontbreekt in het DLP-beleid.

Zie de artikelen over werkruimteplanning voor meer informatie over werkruimten.

Controlelijst : wanneer u overweegt welke werkruimten moeten worden opgenomen in het bereik voor DLP, zijn belangrijke beslissingen en acties:

  • Bepaal welke Premium-werkruimten moeten worden toegepast op DLP: Overweeg of het DLP-beleid van invloed moet zijn op alle Power BI Premium-werkruimten of alleen op een subset ervan.
  • Documentatie maken voor werkruimtetoewijzingen: Documenteer indien van toepassing welke werkruimten onderhevig zijn aan DLP. Neem de criteria en redenen op waarom werkruimten worden opgenomen of uitgesloten.
  • DLP-beslissingen correleren met uw werkruimtebeheer: werk, indien van toepassing, de documentatie voor werkruimtebeheer bij met details over hoe DLP wordt verwerkt.
  • Houd rekening met andere belangrijke bestandslocaties: naast de Power BI-service moet u andere DLP-beleidsregels maken om bronbestanden en geëxporteerde bestanden te beveiligen die zijn opgeslagen in OneDrive of SharePoint.

Licentievereisten

Als u DLP wilt gebruiken, zijn er verschillende licentievereisten. Er is een Microsoft Purview Informatiebeveiliging-licentie vereist voor de beheerders die DLP instellen, beheren en controleren. Mogelijk hebt u deze licenties al omdat ze zijn opgenomen in sommige licentiesuites, zoals Microsoft 365 E5. U kunt ook microsoft 365 E5 Compliance-mogelijkheden aanschaffen als een zelfstandige licentie.

DLP-beleid voor Power BI vereist ook Power BI Premium. Aan deze licentievereiste kan worden voldaan met een Premium-capaciteit of een PPU-licentie (Premium Per User).

Tip

Neem contact op met uw Microsoft-accountteam als u meer informatie nodig hebt over licentievereisten. Houd er rekening mee dat de Microsoft 365 E5-compliancelicentie andere DLP-mogelijkheden bevat die buiten het bereik van dit artikel vallen.

Controlelijst : bij het evalueren van DLP-licentievereisten zijn belangrijke beslissingen en acties:

  • Controleer de productlicentievereisten: zorg ervoor dat u alle licentievereisten voor DLP hebt gecontroleerd.
  • Bekijk de Premium-licentievereisten: controleer of de werkruimten die u wilt configureren voor DLP Premium-werkruimten zijn.
  • Extra licenties aanschaffen: koop indien van toepassing meer licenties om de functionaliteit te ontgrendelen die u wilt gebruiken.
  • Licenties toewijzen: wijs een licentie toe aan al uw beveiligings- en nalevingsbeheerders die er een nodig hebben.

Gebruikersdocumentatie en -training

Voordat u DLP voor Power BI uitrolt, wordt u aangeraden gebruikersdocumentatie te maken en publiceren. Een SharePoint-pagina of wikipagina in uw gecentraliseerde portal kan goed werken, omdat deze eenvoudig te onderhouden is. Een document dat is geüpload naar een gedeelde bibliotheek of Teams-site is ook een goede oplossing.

Het doel van de documentatie is om een naadloze gebruikerservaring te realiseren. Als u gebruikersdocumentatie voorbereidt, kunt u er ook voor zorgen dat u alles hebt overwogen.

Neem informatie op over wie contact moet opnemen wanneer gebruikers vragen of technische problemen hebben. Omdat informatiebeveiliging een organisatiebreed project is, wordt er vaak ondersteuning geboden door IT.

Veelgestelde vragen en voorbeelden zijn vooral nuttig voor gebruikersdocumentatie.

Tip

Zie Informatiebeveiliging voor Power BI (beleid voor gegevensclassificatie en -beveiliging) voor meer informatie. Het beschrijft suggesties voor het maken van een beleid voor gegevensclassificatie en -beveiliging, zodat gebruikers begrijpen wat ze wel en niet kunnen doen met vertrouwelijkheidslabels.

Controlelijst : bij het voorbereiden van gebruikersdocumentatie en -training zijn belangrijke beslissingen en acties:

  • Documentatie bijwerken voor makers en consumenten van inhoud: Werk uw veelgestelde vragen en voorbeelden bij om relevante richtlijnen over DLP-beleid op te nemen.
  • Publiceren hoe u hulp krijgt: zorg ervoor dat uw gebruikers weten hoe ze hulp kunnen krijgen wanneer ze iets onverwachts ervaren of dat ze het niet begrijpen.
  • Bepaal of specifieke training nodig is: maak of werk uw gebruikerstraining bij om nuttige informatie op te nemen, met name als er een wettelijke vereiste is om dit te doen.

Gebruikersondersteuning

Het is belangrijk om te controleren wie verantwoordelijk is voor gebruikersondersteuning. Het is gebruikelijk dat DLP wordt ondersteund door een gecentraliseerde IT-helpdesk.

Mogelijk moet u richtlijnen maken voor de helpdesk (ook wel een runbook genoemd). Mogelijk moet u ook kennisoverdrachtsessies uitvoeren om ervoor te zorgen dat de helpdesk gereed is om te reageren op ondersteuningsaanvragen.

Controlelijst : bij het voorbereiden van de functie voor gebruikersondersteuning zijn belangrijke beslissingen en acties:

  • Bepaal wie gebruikersondersteuning biedt: wanneer u rollen en verantwoordelijkheden definieert, moet u rekening houden met hoe gebruikers hulp krijgen bij problemen met betrekking tot DLP.
  • Zorg ervoor dat het ondersteuningsteam van de gebruiker gereed is: maak documentatie en voer kennisoverdrachtsessies uit om ervoor te zorgen dat de helpdesk gereed is voor ondersteuning van DLP.
  • Communiceren tussen teams: bespreekt gebruikersmeldingen en het proces om DLP-waarschuwingen op te lossen met het ondersteuningsteam, evenals uw Power BI-beheerders en Center of Excellence. Zorg ervoor dat iedereen die betrokken is voorbereid op potentiële vragen van Power BI-gebruikers.

Samenvatting van implementatie en testen

Nadat aan de beslissingen is voldaan en aan de vereisten is voldaan, is het tijd om DLP voor Power BI te implementeren en testen.

DLP-beleid voor Power BI wordt ingesteld in de Microsoft Purview-nalevingsportal (voorheen bekend als het Microsoft 365-compliancecentrum) in de Microsoft 365-beheercentrum.

Tip

Het proces voor het instellen van DLP voor Power BI in de Microsoft Purview-nalevingsportal omvat slechts één stap, in plaats van twee, om het beleid in te stellen. Dit proces verschilt van wanneer u gegevensbeveiliging instelt in de Microsoft Purview-nalevingsportal (beschreven in het artikel Informatiebeveiliging voor Power BI). In dat geval zijn er twee afzonderlijke stappen voor het instellen van het label en het publiceren van een labelbeleid. In dit geval is er slechts één stap in het implementatieproces.

De volgende controlelijst bevat een overzicht van de end-to-end implementatiestappen. Veel van de stappen bevatten andere details die in eerdere secties van dit artikel zijn besproken.

Controlelijst : bij het implementeren van DLP voor Power BI zijn belangrijke beslissingen en acties:

  • Controleer de huidige status en doelstellingen: zorg ervoor dat u de huidige status van DLP duidelijk hebt voor gebruik met Power BI. Alle doelstellingen en vereisten voor het implementeren van DLP moeten duidelijk en actief worden gebruikt om het besluitvormingsproces te stimuleren.
  • Beslissingen nemen: bekijk en bespreek alle vereiste beslissingen. Deze taak moet plaatsvinden voordat u iets in de productieomgeving instelt.
  • Bekijk de licentievereisten: zorg ervoor dat u de productlicenties en gebruikerslicentievereisten begrijpt. Indien nodig kunt u meer licenties aanschaffen en toewijzen.
  • Gebruikersdocumentatie publiceren: publiceer informatie die gebruikers nodig hebben om vragen te beantwoorden en verwachtingen te verduidelijken. Bied richtlijnen, communicatie en training aan uw gebruikers, zodat ze voorbereid zijn.
  • DLP-beleid maken: maak en stel elk DLP-beleid in de Microsoft Purview-nalevingsportal in. Raadpleeg alle eerder gemaakte beslissingen voor het instellen van de DLP-regels.
  • Voer de eerste tests uit: voer een eerste set tests uit om te controleren of alles correct is ingesteld. Gebruik de testmodus met enkele voorbeeldgegevens om te bepalen of alles zich gedraagt zoals verwacht, terwijl de impact op gebruikers wordt geminimaliseerd. Gebruik in eerste instantie een kleine subset van Premium-werkruimten. Overweeg om een niet-productietenant te gebruiken wanneer u toegang tot een tenant hebt.
  • Feedback van gebruikers verzamelen: feedback krijgen over het proces en de gebruikerservaring. Identificeer verwarringsgebieden of onverwachte resultaten met typen gevoelige informatie en andere technische problemen.
  • Doorgaan met iteratieve releases: Voeg geleidelijk meer Premium-werkruimten toe aan het DLP-beleid totdat ze allemaal zijn opgenomen.
  • Controleren, afstemmen en aanpassen: investeer resources om waarschuwingen en auditlogboeken regelmatig te controleren op basis van beleidsovereenkomsten. Onderzoek fout-positieven en pas zo nodig beleidsregels aan.

Tip

Deze controlelijstitems worden samengevat voor planningsdoeleinden. Zie de vorige secties van dit artikel voor meer informatie over deze controlelijstitems.

Zie Defender voor Cloud Apps met Power BI voor andere stappen die u buiten de eerste implementatie kunt uitvoeren.

Doorlopende bewaking

Nadat u de implementatie hebt voltooid, moet u uw aandacht richten op bewaking, afdwingen en aanpassen van DLP-beleid op basis van hun gebruik.

Power BI-beheerders en beveiligings- en nalevingsbeheerders moeten van tijd tot tijd samenwerken. Voor Power BI-inhoud zijn er twee doelgroepen voor bewaking.

  • Power BI-beheerders: een vermelding in het Power BI-activiteitenlogboek wordt vastgelegd telkens wanneer er een overeenkomst met een DLP-regel is. De vermelding in het Power BI-activiteitenlogboek registreert details van de DLP-gebeurtenis, waaronder gebruiker, datum en tijd, itemnaam, werkruimte en capaciteit. Het bevat ook informatie over het beleid, zoals de beleidsnaam, regelnaam, ernst en de overeenkomende voorwaarde.
  • Beveiligings- en nalevingsbeheerders: de beveiligings- en nalevingsbeheerders van de organisatie gebruiken doorgaans Microsoft Purview-rapporten, -waarschuwingen en -auditlogboeken.

Waarschuwing

Bewaking voor DLP voor Power BI-beleid vindt niet in realtime plaats omdat het lang duurt voordat DLP-logboeken en -waarschuwingen worden gegenereerd. Als uw doel realtime afdwinging is, raadpleegt u Defender voor Cloud Apps voor Power BI (realtime-beleid).

Controlelijst : bij het bewaken van DLP voor Power BI zijn belangrijke beslissingen en acties:

  • Controleer de rollen en verantwoordelijkheden: zorg ervoor dat u weet wie verantwoordelijk is voor welke acties. Informeer en communiceer met uw Power BI-beheerders of beveiligingsbeheerders, als ze rechtstreeks verantwoordelijk zijn voor bepaalde aspecten van DLP-bewaking.
  • Maak of valideer uw proces voor het controleren van activiteiten: zorg ervoor dat de beveiligings- en nalevingsbeheerders duidelijk zijn over de verwachtingen voor het regelmatig controleren van de activiteitenverkenner.
  • Maak of valideer uw proces voor het oplossen van waarschuwingen: zorg ervoor dat uw beveiligings- en nalevingsbeheerders een proces hebben om DLP-waarschuwingen te onderzoeken en op te lossen wanneer er een beleidsovereenkomst optreedt.

Tip

Zie Controle van gegevensbescherming en preventie van gegevensverlies voor Power BI voor meer informatie over controle.

Gerelateerde inhoud

In het volgende artikel in deze reeks leert u meer over het gebruik van Defender voor Cloud Apps met Power BI.