Planning van Power BI-implementatie: Informatiebeveiliging voor Power BI

  • Artikel

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel worden de planningsactiviteiten beschreven met betrekking tot het implementeren van gegevensbeveiliging in Power BI. Het is gericht op:

  • Power BI-beheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Power BI-beheerders moeten samenwerken met informatiebeveiliging en andere relevante teams.
  • Center of Excellence-, IT- en BI-teams: anderen die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie. Mogelijk moeten ze samenwerken met Power BI-beheerders, informatiebeveiligingsteams en andere relevante teams.

Belangrijk

DLP (Information Protection and Data Loss Prevention) is een belangrijke organisatiebrede onderneming. Het bereik en de impact ervan zijn veel groter dan alleen Power BI. Dit type initiatief vereist financiering, prioriteitstelling en planning. Verwacht dat u verschillende cross-functionele teams in uw planning, gebruik en toezicht wilt betrekken.

Label- en classificatieactiviteiten gaan verder dan Power BI en zelfs gegevensassets. De beslissingen die in dit artikel worden besproken, zijn van toepassing op assets voor de hele organisatie, inclusief bestanden en e-mailberichten, en niet alleen op Power BI. In dit artikel worden onderwerpen geïntroduceerd die van toepassing zijn op labels en classificaties in het algemeen, omdat het nemen van de juiste organisatiebeslissingen essentieel is voor het succes van preventie van gegevensverlies in Power BI.

Dit artikel bevat ook inleidende richtlijnen voor het definiëren van een structuur voor vertrouwelijkheidslabels. Technisch gezien is de structuur van het vertrouwelijkheidslabel een vereiste voor de implementatie van vertrouwelijkheidslabels in Power BI. Het doel van het opnemen van enkele basisinformatie in dit artikel is om u te helpen begrijpen wat er betrokken is. Het is van cruciaal belang dat u samenwerkt met IT voor het plannen en implementeren van gegevensbeveiliging in de organisatie.

Doel van vertrouwelijkheidslabels

Het gebruik van Microsoft Purview Informatiebeveiliging vertrouwelijkheidslabels gaat over het classificeren van inhoud. U kunt een vertrouwelijkheidslabel beschouwen als een tag die u toepast op een item, bestand, site of gegevensasset.

Er zijn veel voordelen aan het gebruik van gegevensbeveiliging. Het classificeren en labelen van inhoud helpt organisaties bij het volgende:

  • Inzicht in waar gevoelige gegevens zich bevinden.
  • Externe en interne nalevingsvereisten bijhouden.
  • Beveilig inhoud tegen onbevoegde gebruikers.
  • Informeer gebruikers over het op verantwoorde wijze verwerken van gegevens.
  • Implementeer realtime-controles om het risico op gegevenslekken te verminderen.

Zie Informatiebeveiliging en DLP (algemene gebruiksvoorbeelden) voor meer gebruiksvoorbeelden voor informatiebeveiliging.

Tip

Het helpt om te onthouden dat Microsoft Purview Informatiebeveiliging het product is. Vertrouwelijkheidslabels zijn een specifieke functie van dat product.

Een vertrouwelijkheidslabel is een korte beschrijving in duidelijke tekst. Conceptueel kunt u een vertrouwelijkheidslabel beschouwen als een tag. Er kan slechts één label worden toegewezen aan elk item (zoals een semantisch Power BI-model, voorheen een gegevensset genoemd Power BI-service) of elk bestand (zoals een Power BI Desktop-bestand).

Een label heeft de volgende doeleinden.

  • Classificatie: Het biedt een classificatie voor het beschrijven van het gevoeligheidsniveau.
  • Gebruikersonderwijs en -bewustzijn: hiermee kunnen gebruikers begrijpen hoe ze op de juiste wijze met de inhoud kunnen werken.
  • Beleid: Het vormt de basis voor het toepassen en afdwingen van beleid en DLP.

Vereisten voor Power BI-gegevensbeveiliging

U moet nu de planningsstappen op organisatieniveau hebben voltooid die worden beschreven in het artikel over de planning van informatiebeveiliging op organisatieniveau. Voordat u doorgaat, moet u duidelijkheid hebben over:

  • Huidige status: de huidige status van gegevensbeveiliging in uw organisatie. U moet weten of vertrouwelijkheidslabels al in gebruik zijn voor Microsoft Office-bestanden. In dit geval is het werkbereik voor het toevoegen van Power BI veel kleiner dan wanneer u voor het eerst gegevensbeveiliging naar de organisatie brengt.
  • Doelstellingen en vereisten : de strategische doelstellingen voor het implementeren van gegevensbescherming in uw organisatie. Het begrijpen van de doelstellingen en vereisten dient als richtlijn voor uw implementatie-inspanningen.

Als gegevensbeveiliging niet door uw organisatie wordt gebruikt, biedt de rest van deze sectie informatie om u te helpen samen te werken met anderen om informatiebeveiliging in uw organisatie te introduceren.

Als gegevensbeveiliging actief in gebruik is binnen uw organisatie, raden we u aan dit artikel te gebruiken om te controleren of aan de vereisten wordt voldaan. Als vertrouwelijkheidslabels actief worden gebruikt, zijn de meeste (of alle) activiteiten in implementatiefasen 1-4 (in de volgende sectie) al voltooid.

Implementatiefasen

U wordt aangeraden een geleidelijk implementatieplan uit te voeren voor het implementeren en testen van gegevensbescherming. Het doel van een geleidelijk implementatieplan is om uzelf in te stellen om te leren, aan te passen en te herhalen wanneer u gaat. Het voordeel is dat in de vroege fasen minder gebruikers worden beïnvloed (wanneer wijzigingen waarschijnlijker zijn), totdat gegevensbeveiliging uiteindelijk wordt geïmplementeerd voor alle gebruikers in de organisatie.

Het introduceren van informatiebescherming is een belangrijke onderneming. Zoals beschreven in het artikel over de planning van gegevensbescherming op organisatieniveau, is veel van deze taken al voltooid als uw organisatie al informatiebeveiliging voor Microsoft Office-documenten heeft geïmplementeerd.

In deze sectie vindt u een overzicht van de fasen die u wordt aangeraden in uw geleidelijke implementatieplan op te nemen. Het zou u een idee moeten geven van wat u kunt verwachten. In de rest van dit artikel worden andere beslissingscriteria beschreven voor de belangrijkste aspecten die van invloed zijn op Power BI.

Fase 1: Plannen, beslissen, voorbereiden

In de eerste fase richt u zich op planning, besluitvorming en voorbereidende activiteiten. De meeste van de rest van dit artikel richt zich op deze eerste fase.

Maak zo snel mogelijk duidelijk waar de eerste test plaatsvindt. Deze keuze is van invloed op de locatie waar u in eerste instantie gaat instellen, publiceren en testen. Voor de eerste test kunt u een niet-productietenant gebruiken (als u toegang hebt tot een tenant).

Tip

De meeste organisaties hebben toegang tot één tenant, zodat het lastig kan zijn om nieuwe functies op een geïsoleerde manier te verkennen. Voor organisaties met een afzonderlijke ontwikkelings- of testtenant raden we u aan deze te gebruiken voor de eerste testfase. Zie Tenant setup voor meer informatie over het beheren van tenants en het maken van een proeftenant om nieuwe functies te testen.

Fase 2: Ondersteunende gebruikersbronnen instellen

De tweede fase bevat stappen voor het instellen van de resources voor ondersteunende gebruikers. Resources omvatten uw beleid voor gegevensclassificatie en -beveiliging en de aangepaste Help-pagina.

Het is belangrijk om een deel van de gebruikersdocumentatie vroeg te laten publiceren. Het is ook belangrijk dat het ondersteuningsteam van de gebruiker vroeg voorbereid is.

Fase 3: labels instellen en publiceren

De derde fase is gericht op het definiëren van vertrouwelijkheidslabels. Wanneer alle beslissingen zijn genomen, is de installatie niet moeilijk of tijdrovend. Vertrouwelijkheidslabels worden ingesteld in de Microsoft Purview-nalevingsportal in de Microsoft 365-beheercentrum.

Fase 4: Labelbeleid publiceren

Voordat een label kan worden gebruikt, moet u het publiceren als onderdeel van een labelbeleid. Met labelbeleid kunnen bepaalde gebruikers een label gebruiken. Labelbeleidsregels worden gepubliceerd in de Microsoft Purview-nalevingsportal in de Microsoft 365-beheercentrum.

Notitie

Alles tot nu toe is een vereiste voor het implementeren van informatiebeveiliging voor Power BI.

Fase 5: Power BI-tenantinstellingen inschakelen

Er zijn verschillende tenantinstellingen voor gegevensbeveiliging in de Power BI-beheerportal. Ze moeten gegevensbeveiliging inschakelen in de Power BI-service.

Belangrijk

U moet de tenantinstellingen instellen nadat u de labels hebt ingesteld en gepubliceerd in de Microsoft Purview-nalevingsportal.

Fase 6: Eerste tests

In de zesde fase voert u initiële tests uit om te controleren of alles werkt zoals verwacht. Voor eerste testdoeleinden moet u het labelbeleid alleen publiceren voor het implementatieteam.

Tijdens deze fase moet u het volgende testen:

  • Microsoft Office-bestanden
  • Power BI-items in de Power BI-service
  • Power BI Desktop-bestanden
  • Bestanden uit de Power BI-service exporteren
  • Andere bereiken die zijn opgenomen in de configuratie, zoals Teams-sites of SharePoint

Zorg ervoor dat u de functionaliteit en gebruikerservaring controleert met behulp van een webbrowser en ook mobiele apparaten die vaak worden gebruikt. Werk uw gebruikersdocumentatie dienovereenkomstig bij.

Belangrijk

Zelfs als slechts een paar leden van het team zijn gemachtigd om een vertrouwelijkheidslabel in te stellen, kunnen alle gebruikers labels zien die zijn toegewezen aan inhoud. Als u uw productietenant gebruikt, vragen gebruikers zich misschien af waarom ze labels zien die zijn toegewezen aan items in een werkruimte in de Power BI-service. Wees klaar om vragen van gebruikers te ondersteunen en erop te reageren.

Fase 7: Gebruikersfeedback verzamelen

Het doel van deze fase is om feedback te krijgen van een kleine groep belangrijke gebruikers. De feedback moet verwarringsgebieden, hiaten in de labelstructuur of technische problemen identificeren. Mogelijk vindt u ook redenen om de gebruikersdocumentatie te verbeteren.

Daarom moet u het labelbeleid publiceren (of opnieuw publiceren) naar een kleine subset van gebruikers die bereid zijn feedback te geven.

Tip

Zorg ervoor dat u voldoende tijd in uw projectplan in rekening moet brengen. Voor labels en labelbeleidsinstellingen wordt aanbevolen dat de wijzigingen 24 uur van kracht worden. Deze tijd is vereist om ervoor te zorgen dat alle wijzigingen worden doorgegeven aan gerelateerde services.

Fase 8: Iteratief vrijgeven

De implementatiefase is meestal een iteratief proces.

Het eerste doel is vaak om een status te krijgen waarin aan alle Power BI-inhoud een vertrouwelijkheidslabel is toegewezen. Om dit doel te bereiken, kunt u een verplicht labelbeleid of een standaardlabelbeleid introduceren. U kunt ook de BEHEER-API's voor gegevensbeveiliging gebruiken om vertrouwelijkheidslabels programmatisch in te stellen of te verwijderen.

U kunt geleidelijk meer groepen gebruikers opnemen totdat de hele organisatie is opgenomen. Dit proces omvat het opnieuw publiceren van elk labelbeleid voor steeds grotere groepen gebruikers.

Zorg er tijdens dit proces voor dat u prioriteit geeft aan het verstrekken van richtlijnen, communicatie en training aan uw gebruikers, zodat ze het proces begrijpen en wat van hen wordt verwacht.

Fase 9: Bewaken, controleren, aanpassen, integreren

Er zijn andere stappen die u moet uitvoeren na de eerste implementatie. U moet een primair team hebben om activiteiten voor gegevensbeveiliging te bewaken en deze in de loop van de tijd af te stemmen. Wanneer labels worden toegepast, kunt u de bruikbaarheid ervan beoordelen en gebieden identificeren voor aanpassingen.

Er zijn veel aspecten voor het controleren van gegevensbeveiliging. Zie Controle van gegevensbescherming en preventie van gegevensverlies voor Power BI voor meer informatie.

De investeringen die u maakt bij het instellen van gegevensbeveiliging, kunnen worden gebruikt in DLP-beleid voor Power BI, die zijn ingesteld in de Microsoft Purview-nalevingsportal. Zie Preventie van gegevensverlies voor Power BI voor meer informatie, waaronder een beschrijving van DLP-mogelijkheden.

Informatiebeveiliging kan ook worden gebruikt om beleidsregels te maken in Microsoft Defender voor Cloud Apps. Zie Defender voor Cloud Apps voor Power BI voor meer informatie, inclusief een beschrijving van de mogelijkheden die u mogelijk nuttig vindt.

Controlelijst : bij het voorbereiden van de implementatiefasen voor gegevensbeveiliging zijn de belangrijkste beslissingen en acties:

  • Maak een geleidelijk implementatieplan: Definieer de fasen voor uw implementatieplan. Verduidelijken wat de specifieke doelstellingen voor elke fase zijn.
  • Bepaal waar u tests moet uitvoeren: bepaal waar de eerste tests kunnen worden uitgevoerd. Als u de impact op gebruikers wilt minimaliseren, gebruikt u indien mogelijk een niet-productietenant.
  • Maak een projectplan: bouw een projectplan dat alle belangrijke activiteiten, geschatte tijdlijn en wie verantwoordelijk is.

Structuur van vertrouwelijkheidslabels

De structuur van het vertrouwelijkheidslabel is een vereiste voor het implementeren van vertrouwelijkheidslabels in Power BI. Deze sectie bevat enkele basisinformatie om inzicht te verkrijgen in wat er bij betrokken is als u betrokken bent bij het maken van de labelstructuur.

Deze sectie is geen volledige lijst met alle mogelijke overwegingen voor vertrouwelijkheidslabels voor alle mogelijke toepassingen. In plaats daarvan is de focus op overwegingen en activiteiten die rechtstreeks van invloed zijn op de classificatie van Power BI-inhoud. Zorg ervoor dat u met andere belanghebbenden en systeembeheerders werkt om beslissingen te nemen die goed werken voor alle toepassingen en use cases.

De basis voor het implementeren van informatiebeveiliging begint met een set vertrouwelijkheidslabels. Het einddoel is om een set vertrouwelijkheidslabels te maken die duidelijk en eenvoudig zijn voor gebruikers om mee te werken.

De structuur van het vertrouwelijkheidslabel dat in een organisatie wordt gebruikt, vertegenwoordigt een labeltaxonomie. Het wordt ook wel een taxonomie van gegevensclassificatie genoemd, omdat het doel is om gegevens te classificeren. Soms wordt het een schemadefinitie genoemd.

Er is geen standaardset of ingebouwde labels. Elke organisatie moet een set labels definiëren en aanpassen aan hun behoeften. Het proces van het aankomen bij de juiste set labels omvat uitgebreide samenwerking. Het vereist een doordachte planning om ervoor te zorgen dat de labels voldoen aan doelstellingen en vereisten. Houd er rekening mee dat labels worden toegepast op meer dan alleen Power BI-inhoud.

Tip

De meeste organisaties beginnen met het toewijzen van labels aan Microsoft Office-bestanden. Ze ontwikkelen zich vervolgens tot het classificeren van andere inhoud, zoals Power BI-items en -bestanden.

Een labelstructuur omvat:

  • Labels: Labels vormen een hiërarchie. Elk label geeft het gevoeligheidsniveau voor een item, bestand of gegevensasset aan. U wordt aangeraden tussen drie en zeven labels te maken. De labels moeten zelden veranderen.
  • Sublabels: Sublabels geven variaties in beveiliging of bereik aan binnen een specifiek label. Door ze op te slaan in verschillende labelbeleidsregels, kunt u sublabels beperken tot een bepaalde set gebruikers of gebruikers die betrokken zijn bij een specifiek project.

Tip

Hoewel sublabels flexibiliteit bieden, moeten ze alleen in beheer worden gebruikt om te voldoen aan kritieke vereisten. Het maken van te veel sublabels resulteert in een verhoogd beheer. Ze kunnen gebruikers ook overweldigen met te veel opties.

Labels vormen een hiërarchie, beginnend met de minst gevoelige classificatie voor de meest gevoelige classificatie.

Soms bevat Power BI-inhoud gegevens die meerdere labels omvatten. Een semantisch model kan bijvoorbeeld productinventarisgegevens (algemeen intern gebruik) en de huidige kwartaalcijfers (beperkt) bevatten. Wanneer u kiest welk label moet worden toegewezen aan het semantische Power BI-model, moeten gebruikers het meest beperkende label toepassen.

Tip

In de volgende sectie wordt het beleid voor gegevensclassificatie en -beveiliging beschreven waarmee gebruikers richtlijnen kunnen bieden voor het gebruik van elk label.

Belangrijk

Het toewijzen van een label of sublabel heeft geen rechtstreeks invloed op de toegang tot Power BI-inhoud in de Power BI-service. In plaats daarvan biedt het label een nuttige categorie die gebruikersgedrag kan begeleiden. Beleid voor preventie van gegevensverlies kan ook worden gebaseerd op het toegewezen label. Er wordt echter niets gewijzigd voor de wijze waarop de toegang tot Power BI-inhoud wordt beheerd, behalve wanneer een bestand wordt versleuteld. Zie Het gebruik van versleutelingsbeveiliging voor meer informatie.

Wees bewust met de labels die u maakt, omdat het lastig is om een label te verwijderen of te verwijderen zodra u verder bent dan de eerste testfase. Omdat sublabels (optioneel) kunnen worden gebruikt voor een bepaalde set gebruikers, kunnen ze vaker worden gewijzigd dan labels.

Hier volgen enkele aanbevolen procedures voor het definiëren van een labelstructuur.

  • Gebruik intuïtieve, ondubbelzinnige termen: Duidelijkheid is belangrijk om ervoor te zorgen dat gebruikers weten wat ze moeten kiezen bij het classificeren van hun gegevens. Het hebben van een topgeheimlabel en een zeer vertrouwelijk label is bijvoorbeeld dubbelzinnig.
  • Een logische hiërarchische volgorde maken: de volgorde van de labels is van cruciaal belang om alles goed te laten werken. Houd er rekening mee dat het laatste label in de lijst het gevoeligst is. De hiërarchische volgorde, in combinatie met goed geselecteerde termen, moet logisch en intuïtief zijn voor gebruikers om mee te werken. Een duidelijke hiërarchie maakt beleidsregels ook eenvoudiger te maken en te onderhouden.
  • Maak slechts een paar labels die van toepassing zijn in de hele organisatie: als er te veel labels zijn waaruit gebruikers kunnen kiezen, is dit verwarrend. Het leidt ook tot minder nauwkeurige labelselectie. U wordt aangeraden slechts enkele labels voor de eerste set te maken.
  • Gebruik zinvolle, algemene namen: Vermijd het gebruik van jargon in de branche of acroniem in uw labelnamen. Gebruik bijvoorbeeld namen zoals Zeer beperkt of Zeer vertrouwelijk in plaats van een label te maken met de naam Persoonlijk identificeerbare informatie.
  • Gebruik termen die eenvoudig zijn gelokaliseerd in andere talen: Voor wereldwijde organisaties met bewerkingen in meerdere landen/regio's is het belangrijk om labeltermen te kiezen die niet verwarrend of dubbelzinnig zijn wanneer ze in andere talen worden vertaald.

Tip

Als u van plan bent om veel labels te plannen die zeer specifiek zijn, stapt u terug en bekijkt u uw benadering opnieuw. Complexiteit kan leiden tot verwarring van gebruikers, verminderde acceptatie en minder effectieve informatiebeveiliging. U wordt aangeraden te beginnen met een eerste set labels (of om te gebruiken wat u al hebt). Nadat u meer ervaring hebt opgedaan, vouwt u de set labels voorzichtig uit door specifiekere labels toe te voegen wanneer dat nodig is.

Controlelijst : bij het plannen van de structuur van uw vertrouwelijkheidslabels zijn belangrijke beslissingen en acties:

  • Definieer een eerste set vertrouwelijkheidslabels: maak een eerste set van tussen drie en zeven vertrouwelijkheidslabels. Zorg ervoor dat ze breed worden gebruikt voor een breed scala aan inhoud. Plan om de eerste lijst te herhalen wanneer u het gegevensclassificatie- en beveiligingsbeleid voltooit.
  • Bepaal of u sublabels nodig hebt: bepaal of er sublabels moeten worden gebruikt voor een van de labels.
  • Controleer de lokalisatie van labeltermen: Als labels in andere talen worden vertaald, moeten systeemeigen sprekers bevestigen dat gelokaliseerde labels de beoogde betekenis overbrengen.

Bereik van vertrouwelijkheidslabel

Een bereik voor vertrouwelijkheidslabels beperkt het gebruik van een label. Hoewel u Power BI niet rechtstreeks kunt opgeven, kunt u labels toepassen op verschillende bereiken. Mogelijke bereiken zijn:

  • Items (zoals items die zijn gepubliceerd naar de Power BI-service en bestanden en e-mailberichten)
  • Groepen en sites (zoals een Teams-kanaal of een SharePoint-site)
  • Geschematiseerde gegevensassets (ondersteunde bronnen die zijn geregistreerd in de Purview-gegevenstoewijzing)

Belangrijk

Het is niet mogelijk om alleen een vertrouwelijkheidslabel met een bereik van Power BI te definiëren. Hoewel er enkele instellingen zijn die specifiek van toepassing zijn op Power BI, is het bereik niet een van deze instellingen. Het itembereik wordt gebruikt voor de Power BI-service. Vertrouwelijkheidslabels worden anders verwerkt dan DLP-beleidsregels, die worden beschreven in het artikel Preventie van gegevensverlies voor Power BI-planning , omdat sommige typen DLP-beleidsregels specifiek voor Power BI kunnen worden gedefinieerd. Als u de overname van vertrouwelijkheidslabels van gegevensbronnen in Power BI wilt gebruiken, zijn er specifieke vereisten voor het labelbereik.

Gebeurtenissen met betrekking tot vertrouwelijkheidslabels worden vastgelegd in de activiteitenverkenner. Vastgelegde details van deze gebeurtenissen zijn aanzienlijk uitgebreider wanneer het bereik breder is. U bent ook beter voorbereid om gegevens te beschermen in een breder spectrum van toepassingen en services.

Wanneer u de eerste set vertrouwelijkheidslabels definieert, kunt u overwegen om de eerste set labels beschikbaar te maken voor alle bereiken. Dat komt doordat het verwarrend kan worden voor gebruikers wanneer ze verschillende labels in verschillende toepassingen en services zien. Na verloop van tijd kunt u echter gebruiksvoorbeelden voor specifiekere sublabels ontdekken. Het is echter veiliger om te beginnen met een consistente en eenvoudige set initiële labels.

Het labelbereik wordt ingesteld in de Microsoft Purview-nalevingsportal wanneer het label is ingesteld.

Controlelijst : bij het plannen van het labelbereik zijn belangrijke beslissingen en acties:

  • Bepaal het labelbereik: Bespreek en bepaal of elk van uw eerste labels wordt toegepast op alle bereiken.
  • Bekijk alle vereisten: onderzoek de vereisten en de benodigde installatiestappen die vereist zijn voor elk bereik dat u wilt gebruiken.

Gebruik van versleutelingsbeveiliging

Er zijn meerdere opties voor beveiliging met een vertrouwelijkheidslabel.

  • Versleuteling: versleutelingsinstellingen hebben betrekking op bestanden of e-mailberichten. Een Power BI Desktop-bestand kan bijvoorbeeld worden versleuteld.
  • Markeringen: Verwijst naar kopteksten, voetteksten en watermerken. Markeringen zijn handig voor Microsoft Office-bestanden, maar worden niet weergegeven in Power BI-inhoud.

Tip

Meestal wanneer iemand naar een label verwijst als beveiligd, verwijst deze naar versleuteling. Het kan voldoende zijn dat alleen labels op een hoger niveau, zoals Beperkt en Zeer beperkt, worden versleuteld.

Versleuteling is een manier om informatie cryptografisch te coderen. Versleuteling heeft verschillende belangrijke voordelen.

  • Alleen geautoriseerde gebruikers (bijvoorbeeld interne gebruikers binnen uw organisatie) kunnen een beveiligd bestand openen, ontsleutelen en lezen.
  • Versleuteling blijft behouden met een beveiligd bestand, zelfs wanneer het bestand buiten de organisatie wordt verzonden of de naam ervan wordt gewijzigd.
  • De versleutelingsinstelling wordt verkregen van de oorspronkelijke gelabelde inhoud. Overweeg een rapport in de Power BI-service heeft een vertrouwelijkheidslabel met de naam Zeer beperkt. Als het wordt geëxporteerd naar een ondersteund exportpad, blijft het label intact en wordt versleuteling toegepast op het geëxporteerde bestand.

De Azure Rights Management-service (Azure RMS) wordt gebruikt voor bestandsbeveiliging met versleuteling. Er zijn enkele belangrijke vereisten waaraan moet worden voldaan om Azure RMS-versleuteling te kunnen gebruiken.

Belangrijk

Er is een beperking om rekening mee te houden: een offlinegebruiker (zonder internetverbinding) kan geen versleuteld Power BI Desktop-bestand (of een ander type met Azure RMS beveiligde bestand) openen. Dat komt doordat Azure RMS synchroon moet controleren of een gebruiker gemachtigd is om de bestandsinhoud te openen, te ontsleutelen en weer te geven.

Versleutelde labels worden verschillend verwerkt, afhankelijk van waar de gebruiker werkt.

  • In de Power BI-service: De versleutelingsinstelling heeft geen direct effect op gebruikerstoegang in de Power BI-service. Standaard Power BI-machtigingen (zoals werkruimterollen, app-machtigingen of machtigingen voor delen) beheren gebruikerstoegang in de Power BI-service. Vertrouwelijkheidslabels hebben geen invloed op de toegang tot inhoud binnen de Power BI-service.
  • Power BI Desktop-bestanden: een versleuteld label kan worden toegewezen aan een Power BI Desktop-bestand. Het label wordt ook bewaard wanneer het wordt geëxporteerd uit de Power BI-service. Alleen geautoriseerde gebruikers kunnen het bestand openen, ontsleutelen en weergeven.
  • Geëxporteerde bestanden: Microsoft Excel-, Microsoft PowerPoint- en PDF-bestanden die zijn geëxporteerd uit de Power BI-service hun vertrouwelijkheidslabel behouden, inclusief versleutelingsbeveiliging. Voor ondersteunde bestandsindelingen kunnen alleen geautoriseerde gebruikers het bestand openen, ontsleutelen en weergeven.

Belangrijk

Het is essentieel dat gebruikers het onderscheid tussen de Power BI-service en bestanden begrijpen, die gemakkelijk in de war zijn. We raden u aan een document met veelgestelde vragen, samen met voorbeelden, op te geven om gebruikers te helpen de verschillen te begrijpen.

Als u een beveiligd Power BI Desktop-bestand of een geëxporteerd bestand wilt openen, moet een gebruiker aan de volgende criteria voldoen.

  • Internetverbinding: de gebruiker moet zijn verbonden met internet. Er is een actieve internetverbinding vereist om te communiceren met Azure RMS.
  • RMS-machtigingen: de gebruiker moet RMS-machtigingen hebben, die binnen het label zijn gedefinieerd (in plaats van binnen het labelbeleid). Met RMS-machtigingen kunnen geautoriseerde gebruikers ondersteunde bestandsindelingen ontsleutelen, openen en weergeven.
  • Toegestane gebruiker: Gebruikers of groepen moeten worden opgegeven in het labelbeleid. Normaal gesproken is het toewijzen van geautoriseerde gebruikers alleen vereist voor makers en eigenaren van inhoud, zodat ze labels kunnen toepassen. Bij het gebruik van versleutelingsbeveiliging is er echter een andere vereiste. Elke gebruiker die een beveiligd bestand moet openen, moet worden opgegeven in het labelbeleid. Deze vereiste betekent dat er mogelijk licentieverlening voor gegevensbeveiliging is vereist voor meer gebruikers.

Tip

Met de tenantinstelling Voor werkruimtebeheerders toestaan om automatisch toegepaste vertrouwelijkheidslabels te overschrijven, kunnen werkruimtebeheerders een label wijzigen dat automatisch is toegepast, zelfs als beveiliging (versleuteling) is ingeschakeld voor het label. Deze mogelijkheid is met name handig wanneer een label automatisch is toegewezen of overgenomen, maar de werkruimtebeheerder geen geautoriseerde gebruiker is.

Labelbeveiliging wordt ingesteld in de Microsoft Purview-nalevingsportal wanneer u het label instelt.

Controlelijst : bij het plannen van het gebruik van labelversleuteling zijn belangrijke beslissingen en acties:

  • Bepaal welke labels moeten worden versleuteld: bepaal voor elk vertrouwelijkheidslabel of het moet worden versleuteld (beveiligd). Houd zorgvuldig rekening met de beperkingen die hierbij betrokken zijn.
  • Identificeer de RMS-machtigingen voor elk label: bepaal wat de gebruikersmachtigingen zijn voor toegang tot en interactie met versleutelde bestanden. Maak een toewijzing van gebruikers en groepen voor elk vertrouwelijkheidslabel om u te helpen bij het planningsproces.
  • Vereisten voor RMS-versleuteling controleren en aanpakken: zorg ervoor dat aan de technische vereisten voor het gebruik van Azure RMS-versleuteling wordt voldaan.
  • Plan om grondige tests van versleuteling uit te voeren: vanwege de verschillen tussen Office-bestanden en Power BI-bestanden moet u ervoor zorgen dat u een grondige testfase uitvoert.
  • Opnemen in gebruikersdocumentatie en training: Zorg ervoor dat u richtlijnen opneemt in uw documentatie en training over wat gebruikers moeten verwachten voor bestanden waaraan een vertrouwelijkheidslabel is toegewezen dat is versleuteld.
  • Kennisoverdracht uitvoeren met ondersteuning: Maak specifieke plannen om kennisoverdrachtsessies uit te voeren met het ondersteuningsteam. Vanwege de complexiteit van versleuteling krijgen ze waarschijnlijk vragen van gebruikers.

Overname van labels uit gegevensbronnen

Wanneer u gegevens importeert uit ondersteunde gegevensbronnen (zoals Azure Synapse Analytics, Azure SQL Database of een Excel-bestand), kan een semantisch Power BI-model desgewenst het vertrouwelijkheidslabel overnemen dat op de brongegevens is toegepast. Overname helpt bij het volgende:

  • De consistentie van labelen verhogen.
  • Verminder de gebruikersinspanning bij het toewijzen van labels.
  • Verminder het risico dat gebruikers gevoelige gegevens openen en delen met niet-geautoriseerde gebruikers, omdat deze niet zijn gelabeld.

Tip

Er zijn twee soorten overname voor vertrouwelijkheidslabels. Downstreamovername verwijst naar downstreamitems (zoals rapporten) die automatisch een label overnemen van het semantische Power BI-model. De focus van deze sectie ligt echter op _upstream-overname. Upstream-overname verwijst naar een semantisch Power BI-model dat een label over neemt van een gegevensbron die upstream is van het semantische model.

Bekijk een voorbeeld waarin de werkdefinitie van de organisatie voor het vertrouwelijkheidslabel Zeer beperkt financiële rekeningnummers bevat. Omdat financiële accountnummers worden opgeslagen in een Azure SQL Database, is het vertrouwelijkheidslabel Zeer beperkt toegewezen aan die bron. Wanneer gegevens uit de Azure SQL Database worden geïmporteerd in Power BI, is het de bedoeling dat het semantische model het label overdraft.

U kunt vertrouwelijkheidslabels op verschillende manieren toewijzen aan een ondersteunde gegevensbron.

  • Gegevensdetectie en -classificatie: u kunt een ondersteunde database scannen om kolommen te identificeren die gevoelige gegevens kunnen bevatten. Op basis van de scanresultaten kunt u enkele of alle aanbevelingen voor labels toepassen. Gegevensdetectie en -classificatie worden ondersteund voor databases zoals Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics. SQL Data Discovery & Classification wordt ondersteund voor on-premises SQL Server-databases.
  • Handmatige toewijzingen: u kunt een vertrouwelijkheidslabel toewijzen aan een Excel-bestand. U kunt ook handmatig labels toewijzen aan databasekolommen in Azure SQL Database of SQL Server.
  • Automatisch labelen in Microsoft Purview: Vertrouwelijkheidslabels kunnen worden toegepast op ondersteunde gegevensbronnen die zijn geregistreerd als assets in de Microsoft Purview-gegevenstoewijzing.

Waarschuwing

De details voor het toewijzen van vertrouwelijkheidslabels aan een gegevensbron vallen buiten het bereik van dit artikel. De technische mogelijkheden ontwikkelen zich met betrekking tot wat wordt ondersteund voor overname in Power BI. We raden u aan om een technisch bewijs van concept uit te voeren om uw doelen, gebruiksgemak en of de mogelijkheden aan uw vereisten voldoen.

Overname vindt alleen plaats wanneer u vertrouwelijkheidslabels van gegevensbronnen toepassen op hun gegevens inschakelt in de instelling van de Power BI-tenant. Zie de sectie Tenantinstellingen van Power BI verderop in dit artikel voor meer informatie over tenantinstellingen .

Tip

U moet vertrouwd raken met het overnamegedrag. Zorg ervoor dat u verschillende omstandigheden in uw testplan opneemt.

Controlelijst : bij het plannen van de overname van labels uit gegevensbronnen zijn belangrijke beslissingen en acties:

  • Bepaal of Power BI labels moet overnemen van gegevensbronnen: bepaal of Power BI deze labels moet overnemen. Plan de tenantinstelling in te schakelen om deze mogelijkheid toe te staan.
  • Bekijk de technische vereisten: Bepaal of u extra stappen moet uitvoeren om vertrouwelijkheidslabels toe te wijzen aan gegevensbronnen.
  • Functionaliteit voor labelovername testen: voltooi een technisch bewijs van concept om te testen hoe overname werkt. Controleer of de functie werkt zoals u verwacht in verschillende omstandigheden.
  • Opnemen in gebruikersdocumentatie: Zorg ervoor dat informatie over overname van labels wordt toegevoegd aan richtlijnen die aan gebruikers worden verstrekt. Neem realistische voorbeelden op in de gebruikersdocumentatie.

Gepubliceerd labelbeleid

Nadat u een vertrouwelijkheidslabel hebt gedefinieerd, kan het label worden toegevoegd aan een of meer labelbeleidsregels. Een labelbeleid is de wijze waarop u het label publiceert, zodat het kan worden gebruikt. Hiermee wordt gedefinieerd welke labels kunnen worden gebruikt door welke set geautoriseerde gebruikers. Er zijn ook andere instellingen, zoals het standaardlabel en het verplichte label.

Het gebruik van meerdere labelbeleidsregels kan handig zijn wanneer u verschillende sets gebruikers moet richten. U kunt een vertrouwelijkheidslabel eenmaal definiëren en vervolgens opnemen in een of meer labelbeleidsregels.

Tip

Een vertrouwelijkheidslabel is pas beschikbaar voor gebruik als een labelbeleid dat het label bevat, wordt gepubliceerd in de Microsoft Purview-nalevingsportal.

Geautoriseerde gebruikers en groepen

Wanneer u een labelbeleid maakt, moeten een of meer gebruikers of groepen worden geselecteerd. Het labelbeleid bepaalt welke gebruikers het label kunnen gebruiken. Hiermee kunnen gebruikers dat label toewijzen aan specifieke inhoud, zoals een Power BI Desktop-bestand, een Excel-bestand of een item dat is gepubliceerd naar de Power BI-service.

U wordt aangeraden de geautoriseerde gebruikers en groepen zo eenvoudig mogelijk te houden. Een goede vuistregel is dat de primaire labels voor alle gebruikers moeten worden gepubliceerd. Soms is het geschikt voor een sublabel dat aan een subset van gebruikers moet worden toegewezen of scoped.

We raden u aan om indien mogelijk groepen toe te wijzen in plaats van personen. Het gebruik van groepen vereenvoudigt het beheer van het beleid en vermindert hoe vaak het opnieuw moet worden gepubliceerd,

Waarschuwing

Geautoriseerde gebruikers en groepen voor een label verschillen van de gebruikers die zijn toegewezen aan Azure RMS voor een beveiligd (versleuteld) label. Als een gebruiker problemen ondervindt bij het openen van een versleuteld bestand, onderzoekt u de versleutelingsmachtigingen voor specifieke gebruikers en groepen (die zijn ingesteld in de labelconfiguratie, in plaats van binnen het labelbeleid). In de meeste gevallen raden we u aan om dezelfde gebruikers aan beide toe te wijzen. Deze consistentie voorkomt verwarring en vermindert ondersteuningstickets.

Geautoriseerde gebruikers en groepen worden ingesteld in de Microsoft Purview-nalevingsportal wanneer het labelbeleid wordt gepubliceerd.

Controlelijst : bij het plannen van geautoriseerde gebruikers en groepen in uw labelbeleid zijn belangrijke beslissingen en acties:

  • Bepaal welke labels van toepassing zijn op alle gebruikers: bespreek en bepaal welke vertrouwelijkheidslabels beschikbaar moeten zijn voor gebruik door alle gebruikers.
  • Bepaal welke sublabels van toepassing zijn op een subset van gebruikers: Bespreek en bepaal of er sublabels beschikbaar zijn voor gebruik door een specifieke set gebruikers of groepen.
  • Bepaal of er nieuwe groepen nodig zijn: Bepaal of er nieuwe Microsoft Entra ID-groepen (voorheen Azure Active Directory genoemd) moeten worden gemaakt om de geautoriseerde gebruikers en groepen te ondersteunen.
  • Een planningsdocument maken: als de toewijzing van geautoriseerde gebruikers aan vertrouwelijkheidslabels ingewikkeld is, maakt u een toewijzing van gebruikers en groepen voor elk labelbeleid.

Standaardlabel voor Power BI-inhoud

Wanneer u een labelbeleid maakt, kunt u een standaardlabel kiezen. Het label Algemeen intern gebruik kan bijvoorbeeld worden ingesteld als het standaardlabel. Deze instelling is van invloed op nieuwe Power BI-items die zijn gemaakt in Power BI Desktop of de Power BI-service.

U kunt het standaardlabel instellen in het labelbeleid, specifiek voor Power BI-inhoud, dat losstaat van andere items. De meeste beslissingen en instellingen voor gegevensbescherming zijn breder van toepassing. De standaardlabelinstelling (en de verplichte labelinstelling die hierna wordt beschreven), is echter alleen van toepassing op Power BI.

Tip

Hoewel u verschillende standaardlabels (voor Power BI- en niet-Power BI-inhoud) kunt instellen, kunt u overwegen of dit de beste optie is voor gebruikers.

Het is belangrijk om te weten dat een nieuw standaardlabelbeleid van toepassing is op inhoud die is gemaakt of bewerkt nadat het labelbeleid is gepubliceerd. Het standaardlabel wordt niet met terugwerkende kracht toegewezen aan bestaande inhoud. Uw Power BI-beheerder kan de API's voor gegevensbeveiliging gebruiken om vertrouwelijkheidslabels bulksgewijs in te stellen om ervoor te zorgen dat bestaande inhoud wordt toegewezen aan een standaard vertrouwelijkheidslabel.

De standaardlabelopties worden ingesteld in de Microsoft Purview-nalevingsportal wanneer het labelbeleid wordt gepubliceerd.

Controlelijst : bij het plannen of een standaardlabel voor Power BI-inhoud wordt toegepast, zijn belangrijke beslissingen en acties:

  • Bepaal of een standaardlabel wordt opgegeven: Bespreek en bepaal of een standaardlabel geschikt is. Zo ja, bepaal dan welk label het meest geschikt is als de standaardwaarde.
  • Opnemen in gebruikersdocumentatie: Zorg er indien nodig voor dat informatie over het standaardlabel wordt vermeld in de richtlijnen voor gebruikers. Het doel is dat gebruikers begrijpen hoe ze kunnen bepalen of het standaardlabel geschikt is of of het moet worden gewijzigd.

Verplichte labeling van Power BI-inhoud

Gegevensclassificatie is een algemene wettelijke vereiste. Als u aan deze vereiste wilt voldoen, kunt u ervoor kiezen dat gebruikers alle Power BI-inhoud moeten labelen. Deze verplichte labelvereiste wordt van kracht wanneer gebruikers Power BI-inhoud maken of bewerken.

U kunt ervoor kiezen om verplichte labels, standaardlabels (zoals beschreven in de vorige sectie) of beide te implementeren. Houd rekening met de volgende punten.

  • Een verplicht labelbeleid zorgt ervoor dat het label niet leeg is
  • Voor een verplicht labelbeleid moeten gebruikers kiezen wat het label moet zijn
  • Een verplicht labelbeleid voorkomt dat gebruikers een label volledig verwijderen
  • Een standaardlabelbeleid is minder intrusief voor gebruikers, omdat het niet vereist dat ze actie ondernemen
  • Een standaardlabelbeleid kan resulteren in inhoud die onjuist is gelabeld, omdat een gebruiker niet uitdrukkelijk de keuze heeft gemaakt
  • Het inschakelen van zowel een standaardlabelbeleid als een verplicht labelbeleid kan aanvullende voordelen bieden

Tip

Als u ervoor kiest om verplichte labels te implementeren, wordt u aangeraden ook standaardlabels te implementeren.

U kunt het verplichte labelbeleid specifiek instellen voor Power BI-inhoud. De meeste instellingen voor gegevensbeveiliging zijn breder van toepassing. De verplichte labelinstelling (en standaardlabelinstelling) is echter specifiek van toepassing op Power BI.

Tip

Een verplicht labelbeleid is niet van toepassing op service-principals of API's.

De verplichte labelopties worden ingesteld in de Microsoft Purview-nalevingsportal wanneer het labelbeleid wordt gepubliceerd.

Controlelijst : bij het plannen of verplicht labelen van Power BI-inhoud vereist is, zijn belangrijke beslissingen en acties:

  • Bepaal of labels verplicht zijn: Bespreek en bepaal of verplichte labels nodig zijn om nalevingsredenen.
  • Opnemen in gebruikersdocumentatie: Zorg er indien nodig voor dat informatie over verplichte labels wordt toegevoegd aan richtlijnen voor gebruikers. Het doel is dat gebruikers begrijpen wat ze kunnen verwachten.

Licentievereisten

Er moeten specifieke licenties zijn om te kunnen werken met vertrouwelijkheidslabels.

Er is een Microsoft Purview Informatiebeveiliging licentie vereist voor:

  • Beheer istrators: De beheerders die labels instellen, beheren en controleren.
  • Gebruikers: de makers en eigenaren van inhoud die verantwoordelijk zijn voor het toepassen van labels op inhoud. Gebruikers bevatten ook degenen die beveiligde (versleutelde) bestanden moeten ontsleutelen, openen en weergeven.

Mogelijk hebt u deze mogelijkheden al omdat ze zijn opgenomen in licentiesuites, zoals Microsoft 365 E5. U kunt ook microsoft 365 E5 Compliance-mogelijkheden aanschaffen als een zelfstandige licentie.

Een PPU-licentie (Power BI Pro of Premium Per User) is ook vereist voor gebruikers die vertrouwelijkheidslabels toepassen en beheren in de Power BI-service of Power BI Desktop.

Tip

Neem contact op met uw Microsoft-accountteam als u meer informatie nodig hebt over licentievereisten. Houd er rekening mee dat de Microsoft 365 E5 Compliance-licentie aanvullende mogelijkheden bevat die buiten het bereik van dit artikel vallen.

Controlelijst : bij het evalueren van licentievereisten voor vertrouwelijkheidslabels zijn belangrijke beslissingen en acties:

  • Controleer de productlicentievereisten: Zorg ervoor dat u alle licentievereisten controleert.
  • Bekijk de licentievereisten voor gebruikers: controleer of alle gebruikers die u verwacht labels toe te wijzen Power BI Pro- of PPU-licenties hebben.
  • Extra licenties aanschaffen: koop indien van toepassing meer licenties om de functionaliteit te ontgrendelen die u wilt gebruiken.
  • Licenties toewijzen: wijs een licentie toe aan elke gebruiker die vertrouwelijkheidslabels toewijst, bijwerkt of beheert. Wijs een licentie toe aan elke gebruiker die met versleutelde bestanden werkt.

Instellingen voor Power BI-tenant

Er zijn verschillende Power BI-tenantinstellingen die betrekking hebben op gegevensbeveiliging.

Belangrijk

De Instellingen van de Power BI-tenant voor gegevensbeveiliging moeten pas worden ingesteld nadat aan alle vereisten is voldaan. De labels en het labelbeleid moeten worden ingesteld en gepubliceerd in de Microsoft Purview-nalevingsportal. Tot nu toe zit u nog steeds in het besluitvormingsproces. Voordat u de tenantinstellingen instelt, moet u eerst een proces bepalen voor het testen van de functionaliteit met een subset gebruikers. Vervolgens kunt u beslissen hoe u een geleidelijke implementatie uitvoert.

Gebruikers die labels kunnen toepassen

U moet bepalen wie vertrouwelijkheidslabels mag toepassen op Power BI-inhoud. Met deze beslissing wordt bepaald hoe u de instelling Toestaan dat gebruikers vertrouwelijkheidslabels toepassen voor de tenantinstelling voor inhoudinstelt.

Dit is doorgaans de maker of eigenaar van de inhoud die het label toewijst tijdens de normale werkstroom. De eenvoudigste aanpak is om deze tenantinstelling in te schakelen, zodat alle Power BI-gebruikers labels kunnen toepassen. In dit geval bepalen standaardwerkruimterollen wie items in de Power BI-service kan bewerken (inclusief het toepassen van een label). U kunt het activiteitenlogboek gebruiken om bij te houden wanneer een gebruiker een label toewijst of wijzigt.

Labels uit gegevensbronnen

U moet beslissen of vertrouwelijkheidslabels moeten worden overgenomen van ondersteunde gegevensbronnen die upstream zijn vanuit Power BI. Als bijvoorbeeld kolommen in een Azure SQL Database zijn gedefinieerd met het vertrouwelijkheidslabel Zeer beperkt , wordt dat label overgenomen door een semantisch Power BI-model waarmee gegevens uit die bron worden geïmporteerd.

Als u besluit overname vanuit upstream-gegevensbronnen in te schakelen, stelt u de vertrouwelijkheidslabels van gegevensbronnen toepassen in op hun gegevens in de instelling van de Power BI-tenant. We raden u aan om overname van gegevensbronlabels in te schakelen om consistentie te bevorderen en de inspanning te verminderen.

Labels voor downstream-inhoud

U moet beslissen of vertrouwelijkheidslabels moeten worden overgenomen door downstream-inhoud. Als een semantisch Power BI-model bijvoorbeeld een vertrouwelijkheidslabel met hoge beperkingen heeft, nemen alle downstreamrapporten dit label over van het semantische model.

Als u besluit overname door downstream-inhoud in te schakelen, stelt u de instelling Voor het automatisch toepassen van vertrouwelijkheidslabels in op de tenantinstelling voor downstreaminhoud. U wordt aangeraden overname door downstreaminhoud in te schakelen om consistentie te bevorderen en de inspanning te verminderen.

Overschrijvingen van werkruimtebeheerder

Deze instelling is van toepassing op labels die automatisch zijn toegepast (bijvoorbeeld wanneer standaardlabels worden toegepast of wanneer labels automatisch worden overgenomen). Wanneer een label beveiligingsinstellingen heeft, kunnen alleen geautoriseerde gebruikers het label wijzigen door Power BI. Met deze instelling kunnen werkruimtebeheerders een label wijzigen dat automatisch is toegepast, zelfs als het label beveiligingsinstellingen bevat.

Als u besluit labelupdates toe te staan, stelt u in dat werkruimtebeheerders automatisch toegepaste tenantinstelling voor vertrouwelijkheidslabelsmoeten overschrijven. Deze instelling is van toepassing op de hele organisatie (geen afzonderlijke groepen). Hiermee kunnen werkruimtebeheerders labels wijzigen die automatisch zijn toegepast.

U wordt aangeraden power BI-werkruimtebeheerders toe te staan labels bij te werken. U kunt het activiteitenlogboek gebruiken om bij te houden wanneer ze een label toewijzen of wijzigen.

Delen van beveiligde inhoud niet toestaan

U moet beslissen of beveiligde (versleutelde) inhoud kan worden gedeeld met iedereen in uw organisatie.

Als u besluit het delen van beveiligde inhoud niet toe te staan, stelt u in dat inhoud met beveiligde labels niet kan worden gedeeld via een koppeling met iedereen in de tenantinstelling van uw organisatie. Deze instelling is van toepassing op de hele organisatie (geen afzonderlijke groepen).

We raden u ten zeerste aan deze tenantinstelling in te schakelen om het delen van beveiligde inhoud niet toe te laten. Wanneer deze optie is ingeschakeld, worden bewerkingen voor delen met de hele organisatie voor meer gevoelige inhoud (gedefinieerd door de labels waarvoor versleuteling is gedefinieerd) niet toegezet. Door deze instelling in te schakelen, vermindert u de kans op gegevenslekken.

Belangrijk

Er is een vergelijkbare tenantinstelling met de naam Deelbare koppelingen toestaan om toegang te verlenen aan iedereen in uw organisatie. Hoewel het een vergelijkbare naam heeft, is het doel ervan anders. Hiermee wordt gedefinieerd welke groepen een koppeling voor delen kunnen maken voor de hele organisatie, ongeacht het vertrouwelijkheidslabel. In de meeste gevallen raden we u aan deze mogelijkheid te beperken in uw organisatie. Zie het artikel Over de planning van consumentenbeveiliging voor meer informatie.

Ondersteunde exportbestandstypen

In de Power BI-beheerportal zijn er veel tenantinstellingen voor exporteren en delen. In de meeste gevallen raden we u aan om de mogelijkheid om gegevens te exporteren beschikbaar zijn voor alle (of de meeste) gebruikers, zodat de productiviteit van gebruikers niet wordt beperkt.

Sterk gereglementeerde branches kunnen echter een vereiste hebben om de export te beperken wanneer gegevensbeveiliging niet kan worden afgedwongen voor de uitvoerindeling. Een vertrouwelijkheidslabel dat wordt toegepast in de Power BI-service volgt de inhoud wanneer deze wordt geëxporteerd naar een ondersteund bestandspad. Het bevat Excel-, PowerPoint-, PDF- en Power BI Desktop-bestanden. Omdat het vertrouwelijkheidslabel bij het geëxporteerde bestand blijft, blijven de beveiligingsvoordelen (versleuteling die voorkomt dat onbevoegde gebruikers het bestand openen) behouden voor deze ondersteunde bestandsindelingen.

Waarschuwing

Wanneer u exporteert van Power BI Desktop naar een PDF-bestand, wordt de beveiliging niet bewaard voor het geëxporteerde bestand. We raden u aan uw makers van inhoud te informeren over het exporteren van de Power BI-service om maximale gegevensbeveiliging te bereiken.

Niet alle exportindelingen bieden ondersteuning voor gegevensbeveiliging. Niet-ondersteunde indelingen, zoals .csv, .xml, .mhtml of .png bestanden (beschikbaar bij het gebruik van de ExportToFile-API) zijn mogelijk uitgeschakeld in de instellingen van de Power BI-tenant.

Tip

U wordt aangeraden de exportmogelijkheden alleen te beperken wanneer u moet voldoen aan specifieke wettelijke vereisten. In typische scenario's raden we u aan het Power BI-activiteitenlogboek te gebruiken om te bepalen welke gebruikers exports uitvoeren. Vervolgens kunt u deze gebruikers leren over efficiëntere en veilige alternatieven.

Controlelijst : wanneer u plant hoe tenantinstellingen worden ingesteld in de Power BI-beheerportal, zijn belangrijke beslissingen en acties:

  • Bepaal welke gebruikers vertrouwelijkheidslabels kunnen toepassen: bespreek en bepaal of vertrouwelijkheidslabels door alle gebruikers (op basis van standaard Power BI-beveiliging) of alleen door bepaalde groepen gebruikers kunnen worden toegewezen aan Power BI-inhoud.
  • Bepalen of labels moeten worden overgenomen van upstream-gegevensbronnen: Bespreek en bepaal of labels uit gegevensbronnen automatisch moeten worden toegepast op Power BI-inhoud die gebruikmaakt van de gegevensbron.
  • Bepalen of labels moeten worden overgenomen door downstreamitems: Bespreek en bepaal of labels die zijn toegewezen aan bestaande semantische Power BI-modellen automatisch moeten worden toegepast op gerelateerde inhoud.
  • Bepaal of power BI-werkruimtebeheerders labels kunnen overschrijven: Bespreek en bepaal of het geschikt is voor werkruimtebeheerders om beveiligde labels te wijzigen die automatisch zijn toegewezen.
  • Bepalen of beveiligde inhoud kan worden gedeeld met de hele organisatie: Bespreek en bepaal of koppelingen voor delen voor personen in uw organisatie kunnen worden gemaakt wanneer een beveiligd (versleuteld) label is toegewezen aan een item in de Power BI-service.
  • Bepaal welke exportindelingen zijn ingeschakeld: identificeer wettelijke vereisten die van invloed zijn op welke exportindelingen beschikbaar zijn. Bespreek en bepaal of gebruikers alle exportindelingen in de Power BI-service kunnen gebruiken. Bepaal of bepaalde indelingen moeten worden uitgeschakeld in de tenantinstellingen wanneer de exportindeling geen ondersteuning biedt voor gegevensbeveiliging.

Beleid voor gegevensclassificatie en -beveiliging

Het instellen van uw labelstructuur en het publiceren van uw labelbeleid zijn de eerste stappen. Er is echter meer te doen om uw organisatie te helpen bij het classificeren en beveiligen van gegevens. Het is essentieel dat u gebruikers richtlijnen geeft over wat wel en niet kan worden gedaan met inhoud die is toegewezen aan een bepaald label. Hier vindt u een beleid voor gegevensclassificatie en -beveiliging handig. U kunt het beschouwen als uw labelrichtlijnen.

Notitie

Een beleid voor gegevensclassificatie en -beveiliging is een intern governancebeleid. U kunt ervoor kiezen om het iets anders te noemen. Wat belangrijk is, is dat het documentatie is die u maakt en aan uw gebruikers verstrekt, zodat ze weten hoe ze de labels effectief kunnen gebruiken. Omdat het labelbeleid een specifieke pagina in de Microsoft Purview-nalevingsportal is, probeert u te voorkomen dat uw interne governancebeleid met dezelfde naam wordt aangeroepen.

U wordt aangeraden iteratief uw beleid voor gegevensclassificatie en -beveiliging te maken terwijl u in het besluitvormingsproces zit. Dit betekent dat alles duidelijk is gedefinieerd wanneer het tijd is om de vertrouwelijkheidslabels in te stellen.

Hier volgen enkele belangrijke gegevens die u kunt opnemen in uw beleid voor gegevensclassificatie en -beveiliging.

  • Beschrijving van het label: Geef buiten de labelnaam een volledige beschrijving van het label op. De beschrijving moet duidelijk maar kort zijn. Hier volgen enkele voorbeeldbeschrijvingen:
    • Algemeen intern gebruik - voor privé, interne, zakelijke gegevens
    • Beperkt - voor gevoelige bedrijfsgegevens die schadelijk zouden zijn als er inbreuk wordt uitgevoerd of onderhevig is aan wettelijke of nalevingsvereisten
  • Voorbeelden: Geef voorbeelden om uit te leggen wanneer het label moet worden gebruikt. Hier volgen enkele voorbeelden:
    • Algemeen intern gebruik : voor de meeste interne communicatie, niet-gevoelige ondersteuningsgegevens, enquêtereacties, beoordelingen, beoordelingen en onnauwkeurige locatiegegevens
    • Beperkt : voor persoonlijke gegevens (PII)-gegevens, zoals naam, adres, telefoon, e-mail, nummer van de overheid, ras of etniciteit. Omvat leveranciers- en partnercontracten, niet-openbare financiële gegevens, werknemers- en hr-gegevens (HR). Omvat ook eigendomsinformatie, intellectueel eigendom en nauwkeurige locatiegegevens.
  • Label vereist: Beschrijft of het toewijzen van een label verplicht is voor alle nieuwe en gewijzigde inhoud.
  • Standaardlabel: Beschrijft of dit label een standaardlabel is dat automatisch wordt toegepast op nieuwe inhoud.
  • Toegangsbeperkingen: aanvullende informatie die aangeeft of interne en/of externe gebruikers inhoud mogen zien die aan dit label is toegewezen. Hier volgen enkele voorbeelden:
    • Alle gebruikers, waaronder interne gebruikers, externe gebruikers en derden met actieve geheimhoudingsovereenkomsten (NDA's) hebben toegang tot deze informatie.
    • Interne gebruikers hebben alleen toegang tot deze informatie. Geen partners, leveranciers, contractanten of derden, ongeacht de status van de NDA of vertrouwelijkheidsovereenkomst.
    • Interne toegang tot informatie is gebaseerd op taakrolautorisatie.
  • Versleutelingsvereisten: Beschrijft of gegevens moeten worden versleuteld in rust en in transit. Deze informatie correleert met de wijze waarop het vertrouwelijkheidslabel is ingesteld en heeft invloed op het beveiligingsbeleid dat kan worden geïmplementeerd voor bestandsversleuteling (RMS).
  • Toegestane en/of offlinetoegang voor downloads: Hierin wordt beschreven of offlinetoegang is toegestaan. Er kan ook worden gedefinieerd of downloads zijn toegestaan voor organisatie- of persoonlijke apparaten.
  • Een uitzondering aanvragen: beschrijft of een gebruiker een uitzondering kan aanvragen voor het standaardbeleid en hoe dat kan.
  • Controlefrequentie: hiermee geeft u de frequentie van nalevingsbeoordelingen op. Hogere gevoelige labels moeten vaker en grondiger controleprocessen omvatten.
  • Andere metagegevens: voor een gegevensbeleid zijn meer metagegevens vereist, zoals beleidseigenaar, fiatteur en ingangsdatum.

Tip

Wanneer u uw beleid voor gegevensclassificatie en -beveiliging maakt, moet u zich richten op een eenvoudige verwijzing voor gebruikers. Het moet zo kort en duidelijk mogelijk zijn. Als het te complex is, nemen gebruikers niet altijd de tijd om het te begrijpen.

Een manier om de implementatie van een beleid, zoals het beleid voor gegevensclassificatie en -beveiliging, te automatiseren, is met de gebruiksvoorwaarden van Microsoft Entra. Wanneer een gebruiksrechtovereenkomstbeleid is ingesteld, moeten gebruikers het beleid bevestigen voordat ze de Power BI-service voor het eerst mogen bezoeken. Het is ook mogelijk om ze te vragen om het weer eens te worden op terugkerende basis, bijvoorbeeld om de 12 maanden.

Controlelijst : bij het plannen van het interne beleid voor het bepalen van verwachtingen voor het gebruik van vertrouwelijkheidslabels zijn belangrijke beslissingen en acties onder andere:

  • Maak een beleid voor gegevensclassificatie en -beveiliging: Maak voor elk vertrouwelijkheidslabel in uw structuur een gecentraliseerd beleidsdocument. In dit document moet worden gedefinieerd wat er wel of niet kan worden gedaan met inhoud waaraan elk label is toegewezen.
  • Consensus verkrijgen over het beleid voor gegevensclassificatie en -beveiliging: zorg ervoor dat alle benodigde personen in het team dat u hebt samengesteld, akkoord zijn gegaan met de bepalingen.
  • Overweeg hoe u uitzonderingen voor het beleid kunt afhandelen: Organisaties met hoge decentralisatie moeten overwegen of er uitzonderingen kunnen optreden. Hoewel het beter is om een gestandaardiseerd gegevensclassificatie- en beveiligingsbeleid te hebben, bepaalt u hoe u uitzonderingen gaat aanpakken wanneer er nieuwe aanvragen worden gedaan.
  • Bedenk waar u uw interne beleid kunt vinden: Denk na over waar het beleid voor gegevensclassificatie en -beveiliging moet worden gepubliceerd. Zorg ervoor dat alle gebruikers er eenvoudig toegang toe hebben. Plan deze op te nemen op de aangepaste Help-pagina wanneer u het labelbeleid publiceert.

Gebruikersdocumentatie en -training

Voordat u de functionaliteit voor gegevensbeveiliging uitrolt, wordt u aangeraden richtlijnen te maken en te publiceren voor uw gebruikers. Het doel van de documentatie is om een naadloze gebruikerservaring te realiseren. Als u de richtlijnen voor uw gebruikers voorbereidt, kunt u er ook voor zorgen dat u alles hebt overwogen.

U kunt de richtlijnen publiceren als onderdeel van de aangepaste Help-pagina van het vertrouwelijkheidslabel. Een SharePoint-pagina of wikipagina in uw gecentraliseerde portal kan goed werken, omdat deze eenvoudig te onderhouden is. Een document dat is geüpload naar een gedeelde bibliotheek of Teams-site is ook een goede aanpak. De URL voor de aangepaste Help-pagina wordt opgegeven in de Microsoft Purview-nalevingsportal wanneer u het labelbeleid publiceert.

Tip

De aangepaste Help-pagina is een belangrijke resource. Koppelingen naar het programma worden beschikbaar gesteld in verschillende toepassingen en services.

De gebruikersdocumentatie moet het eerder beschreven gegevensclassificatie- en beveiligingsbeleid bevatten. Dat interne beleid is gericht op alle gebruikers. Geïnteresseerde gebruikers zijn makers van inhoud en consumenten die inzicht moeten krijgen in de gevolgen voor labels die door andere gebruikers zijn toegewezen.

Naast het beleid voor gegevensclassificatie en -beveiliging raden we u aan richtlijnen voor uw makers en eigenaren van inhoud voor te bereiden over:

  • Labels weergeven: informatie over wat elk label betekent. Correleer elk label met uw beleid voor gegevensclassificatie en -beveiliging.
  • Labels toewijzen: richtlijnen voor het toewijzen en beheren van labels. Neem informatie op die ze moeten weten, zoals verplichte labels, standaardlabels en hoe labelovername werkt.
  • Werkstroom: Suggesties voor het toewijzen en controleren van labels als onderdeel van hun normale werkstroom. Labels kunnen worden toegewezen in Power BI Desktop zodra de ontwikkeling begint, waardoor het oorspronkelijke Power BI Desktop-bestand tijdens het ontwikkelingsproces wordt beschermd.
  • Situatiemeldingen: bewustzijn over door het systeem gegenereerde meldingen die gebruikers kunnen ontvangen. Een SharePoint-site wordt bijvoorbeeld toegewezen aan een bepaald vertrouwelijkheidslabel, maar er is een afzonderlijk bestand toegewezen aan een gevoeliger (hoger) label. De gebruiker die het hogere label heeft toegewezen, ontvangt een e-mailmelding dat het label dat aan het bestand is toegewezen, niet compatibel is met de site waar het is opgeslagen.

Neem informatie op over wie gebruikers contact moeten opnemen als ze vragen of technische problemen hebben. Omdat informatiebeveiliging een organisatiebreed project is, wordt er vaak ondersteuning geboden door IT.

Veelgestelde vragen en voorbeelden zijn vooral nuttig voor gebruikersdocumentatie.

Tip

Sommige wettelijke vereisten omvatten een specifiek trainingsonderdeel.

Controlelijst : bij het voorbereiden van gebruikersdocumentatie en -training zijn belangrijke beslissingen en acties:

  • Bepaal welke informatie moet worden opgenomen: Bepaal welke informatie moet worden opgenomen, zodat alle relevante doelgroepen begrijpen wat er van hen wordt verwacht als het gaat om het beveiligen van gegevens namens de organisatie.
  • De aangepaste Help-pagina publiceren: een aangepaste Help-pagina maken en publiceren. Neem richtlijnen op over labelen in de vorm van veelgestelde vragen en voorbeelden. Neem een koppeling op voor toegang tot het beleid voor gegevensclassificatie en -beveiliging.
  • Publiceer het beleid voor gegevensclassificatie en -beveiliging: publiceer het beleidsdocument dat definieert wat precies kan of niet kan worden gedaan met inhoud die aan elk label is toegewezen.
  • Bepaal of specifieke training nodig is: maak of werk uw gebruikerstraining bij om nuttige informatie op te nemen, met name als er een wettelijke vereiste is om dit te doen.

Gebruikersondersteuning

Het is belangrijk om te controleren wie verantwoordelijk is voor gebruikersondersteuning. Het is gebruikelijk dat vertrouwelijkheidslabels worden ondersteund door een gecentraliseerde IT-helpdesk.

Mogelijk moet u richtlijnen maken voor de helpdesk (ook wel een runbook genoemd). Mogelijk moet u ook kennisoverdrachtsessies uitvoeren om ervoor te zorgen dat de helpdesk gereed is om te reageren op ondersteuningsaanvragen.

Controlelijst : bij het voorbereiden van de functie voor gebruikersondersteuning zijn belangrijke beslissingen en acties:

  • Bepaal wie gebruikersondersteuning biedt: wanneer u rollen en verantwoordelijkheden definieert, moet u aangeven hoe gebruikers hulp krijgen bij problemen met betrekking tot gegevensbeveiliging.
  • Zorg ervoor dat het ondersteuningsteam van de gebruiker gereed is: maak documentatie en voer kennisoverdrachtsessies uit om ervoor te zorgen dat de helpdesk gereed is om informatiebeveiliging te ondersteunen. Benadruk complexe aspecten die gebruikers kunnen verwarren, zoals versleutelingsbeveiliging.
  • Communiceren tussen teams: bespreek het proces en de verwachtingen met het ondersteuningsteam, evenals uw Power BI-beheerders en Center of Excellence. Zorg ervoor dat iedereen die betrokken is voorbereid op potentiële vragen van Power BI-gebruikers.

Implementatieoverzicht

Nadat aan de beslissingen is voldaan en aan de vereisten is voldaan, is het tijd om te beginnen met het implementeren van gegevensbeveiliging volgens uw geleidelijke implementatieplan.

De volgende controlelijst bevat een overzicht van de end-to-end implementatiestappen. Veel van de stappen bevatten andere details die in eerdere secties van dit artikel zijn besproken.

Controlelijst : bij het implementeren van gegevensbeveiliging zijn belangrijke beslissingen en acties:

  • Controleer de huidige status en doelstellingen: Zorg ervoor dat u duidelijkheid hebt over de huidige status van gegevensbeveiliging in de organisatie. Alle doelstellingen en vereisten voor het implementeren van gegevensbescherming moeten duidelijk en actief worden gebruikt om het besluitvormingsproces te stimuleren.
  • Beslissingen nemen: bekijk en bespreek alle vereiste beslissingen. Deze taak moet plaatsvinden voordat u iets in de productieomgeving instelt.
  • Bekijk de licentievereisten: zorg ervoor dat u de productlicenties en gebruikerslicentievereisten begrijpt. U kunt indien nodig meer licenties aanschaffen en toewijzen.
  • Gebruikersdocumentatie publiceren: uw beleid voor gegevensclassificatie en -beveiliging publiceren. Maak een aangepaste Help-pagina met de relevante informatie die gebruikers nodig hebben.
  • Bereid het ondersteuningsteam voor: Voer kennisoverdrachtsessies uit om ervoor te zorgen dat het ondersteuningsteam klaar is om vragen van gebruikers af te handelen.
  • Maak de vertrouwelijkheidslabels: stel elk van de vertrouwelijkheidslabels in de Microsoft Purview-nalevingsportal in.
  • Een beleid voor vertrouwelijkheidslabels publiceren: een labelbeleid maken en publiceren in de Microsoft Purview-nalevingsportal. Begin met testen met een kleine groep gebruikers.
  • Stel de instellingen voor de Power BI-tenant in: Stel in de Power BI-beheerportal de tenantinstellingen voor gegevensbeveiliging in.
  • Voer de eerste tests uit: voer een eerste set tests uit om te controleren of alles goed werkt. Gebruik een niet-productietenant voor de eerste test, indien beschikbaar.
  • Feedback van gebruikers verzamelen: Publiceer het labelbeleid naar een kleine subset van gebruikers die bereid zijn de functionaliteit te testen. Ontvang feedback over het proces en de gebruikerservaring.
  • Doorgaan met iteratieve releases: publiceer het labelbeleid naar andere groepen gebruikers. Onboarding van meer groepen gebruikers totdat de hele organisatie is opgenomen.

Tip

Deze controlelijstitems worden samengevat voor planningsdoeleinden. Zie de vorige secties van dit artikel voor meer informatie over deze controlelijstitems.

Doorlopende bewaking

Nadat u de implementatie hebt voltooid, moet u uw aandacht richten op het bewaken en afstemmen van vertrouwelijkheidslabels.

Power BI-beheerders en beveiligings- en nalevingsbeheerders moeten van tijd tot tijd samenwerken. Voor Power BI-inhoud zijn er twee doelgroepen die zich bezig houden met bewaking.

  • Power BI-beheerders: een vermelding in het Power BI-activiteitenlogboek wordt vastgelegd telkens wanneer een vertrouwelijkheidslabel wordt toegewezen of gewijzigd. De vermelding van het activiteitenlogboek registreert details van de gebeurtenis, waaronder gebruiker, datum en tijd, itemnaam, werkruimte en capaciteit. Andere gebeurtenissen in het activiteitenlogboek (zoals wanneer een rapport wordt bekeken) bevatten de vertrouwelijkheidslabel-id die aan het item is toegewezen.
  • Beveiligings- en nalevingsbeheerders: de beveiligings- en nalevingsbeheerders van de organisatie gebruiken doorgaans Microsoft Purview-rapporten, -waarschuwingen en -auditlogboeken.

Controlelijst : bij het bewaken van gegevensbeveiliging zijn belangrijke beslissingen en acties onder andere:

  • Controleer de rollen en verantwoordelijkheden: zorg ervoor dat u weet wie verantwoordelijk is voor welke acties. Informeer en communiceer met uw Power BI-beheerders of beveiligingsbeheerders, als ze rechtstreeks verantwoordelijk zijn voor bepaalde aspecten.
  • Maak of valideer uw proces voor het controleren van activiteiten: zorg ervoor dat de beveiligings- en nalevingsbeheerders duidelijk zijn in de verwachtingen voor het regelmatig controleren van de activiteitenverkenner.

Tip

Zie Controle van gegevensbescherming en preventie van gegevensverlies voor Power BI voor meer informatie over controle.

Gerelateerde inhoud

In het volgende artikel in deze reeks leert u meer over preventie van gegevensverlies voor Power BI.