Planowanie implementacji usługi Power BI: Ochrona informacji i zapobieganie utracie danych

  • Artykuł

Uwaga

Ten artykuł stanowi część serii artykułów dotyczących planowania implementacji usługi Power BI. Ta seria koncentruje się głównie na obciążeniu usługi Power BI w usłudze Microsoft Fabric. Aby zapoznać się z wprowadzeniem do serii, zobacz Planowanie implementacji usługi Power BI.

W tym artykule przedstawiono artykuły dotyczące ochrony informacji i ochrony przed utratą danych (DLP) usługi Power BI. Te artykuły są przeznaczone dla wielu odbiorców:

  • Administratorzy usługi Power BI: administratorzy, którzy są odpowiedzialni za nadzorowanie usługi Power BI w organizacji. Administratorzy usługi Power BI muszą współpracować z zespołami ds. zabezpieczeń informacji i innymi odpowiednimi zespołami.
  • Centrum doskonałości, IT i zespoły ds. analizy biznesowej: zespoły odpowiedzialne za nadzorowanie usługi Power BI w organizacji. Może być konieczne współpraca z administratorami usługi Power BI, zespołami ds. zabezpieczeń informacji i innymi odpowiednimi zespołami.

Ważne

Ochrona informacji i DLP to znaczące przedsięwzięcie w całej organizacji. Jego zakres i wpływ są znacznie większe niż sama usługa Power BI. Ten typ inicjatywy wymaga finansowania, priorytetyzacji i planowania. Spodziewaj się, że w planowaniu, użyciu i wysiłkach nadzoru związanych z planowaniem, użyciem i nadzorem należy zaangażować kilka zespołów obejmujących wiele funkcji.

Jako osoba zarządzaca usługą Power BI w organizacji zwykle nie będziesz bezpośrednio odpowiadać za większość aspektów ochrony informacji i DLP. Prawdopodobnie te obowiązki spadną do zespołu ds. zabezpieczeń informacji i innych administratorów systemu.

Ten zestaw artykułów koncentruje się na następujących artykułach:

  • Dlaczego: Dlaczego te możliwości są ważne dla zgodności i inspekcji.
  • Co: Omówienie kompleksowego procesu.
  • KtoTo: Które zespoły uczestniczą w kompleksowej procedurze.
  • Wymagania wstępne: elementy, które muszą być spełnione przed włączeniem funkcji ochrony informacji i DLP dla usługi Power BI.

Ważne

Nazwa roli administratora usługi Power BI została zmieniona. Nowa nazwa roli to Administrator sieci szkieletowej.

Ochrona danych organizacji

Dane istnieją w wielu aplikacjach i usługach. Jest on przechowywany w źródłowych bazach danych i plikach. Jest on publikowany w usługa Power BI. Istnieje również poza usługa Power BI jako oryginalnych plików, pobranych plików i wyeksportowanych danych. Gdy dane stają się bardziej dostępne i mają więcej zasobów, sposób ochrony danych staje się coraz ważniejszy.

Krótko mówiąc, ochrona danych dotyczy:

  • Sejf ochrona danych organizacji.
  • Zmniejszenie ryzyka nieautoryzowanego lub niezamierzonego udostępniania poufnych informacji.
  • Wzmocnienie stanu zgodności dla wymagań prawnych.

Ochrona danych jest złożonym tematem. Ogólne tematy dotyczące usługi Power BI obejmują:

  • Odpowiedzialne działania podejmowane przez użytkowników: użytkownicy, którzy otrzymali wskazówki i szkolenia, i jasno rozumieją, czego się spodziewają, mogą działać etycznie. Mogą wprowadzić kulturę, która ceni bezpieczeństwo, prywatność i zgodność podczas normalnego przebiegu pracy.
  • Uprawnienia zabezpieczeń użytkowników o odpowiednim rozmiarze: w usłudze Power BI zabezpieczanie danych i raportów jest oddzielone od działań ochrony informacji i DLP opisanych w tych artykułach. Metody zabezpieczeń w usłudze Power BI obejmują techniki, takie jak role obszaru roboczego, udostępnianie, uprawnienia aplikacji i zabezpieczenia na poziomie wiersza. Techniki zabezpieczeń, takie jak role obszaru roboczego, uprawnienia aplikacji, udostępnianie poszczególnych elementów i zabezpieczenia na poziomie wiersza, są omówione w artykułach dotyczących planowania zabezpieczeń.
  • Zarządzanie cyklem życia danych: procesy, takie jak kopie zapasowe i kontrola wersji, są ważne dla ochrony danych. Należy również wziąć pod uwagę konfigurację kluczy szyfrowania i lokalizacji geograficznych dla magazynu danych.
  • Ochrona informacji: Etykietowanie i klasyfikowanie zawartości przy użyciu etykiet poufności jest pierwszym krokiem w kierunku zapewnienia jej ochrony. Ochrona informacji jest omówiona w tej serii artykułów.
  • Zasady ochrony przed utratą danych: DLP odnosi się do mechanizmów kontroli i zasad, które zmniejszają ryzyko wycieku danych. Zapobieganie utracie danych zostało omówione w tej serii artykułów.

Seria artykułów dotyczących ochrony informacji i DLP koncentruje się na dwóch ostatnich punktach: ochronie informacji i DLP, a w szczególności o sposobie ich powiązania z usługą Power BI.

Zalecamy również zapoznanie się z pełną strukturą usługi Microsoft Purview Information Protection : znajomość Twoich danych, ochrona danych, zapobieganie utracie danych i zarządzanie danymi.

Napiwek

Dział IT Twojej organizacji będzie miał istniejące procesy, które są uznawane za ochronę informacji, ale nie są one w zakresie tej serii artykułów. Procesy mogą obejmować wysoką dostępność i odzyskiwanie po awarii związane z źródłowymi systemami baz danych. Mogą one również obejmować ochronę urządzeń przenośnych. Pamiętaj, aby zidentyfikować i zaangażować odpowiednie zespoły ds. technologii i ładu we wszystkich wysiłkach związanych z planowaniem.

Typowe przypadki użycia

Często czynnikiem wpływającym na wprowadzenie do ochrony informacji i DLP są wyzwania związane ze zgodnością usługi Power BI i wymaganiami dotyczącymi raportowania przepisów prawnych.

Napiwek

Wyciek danych odnosi się do ryzyka wyświetlania danych przez nieautoryzowanych użytkowników. Termin jest często używany podczas odwoływania się do użytkowników zewnętrznych. Może jednak dotyczyć również użytkowników wewnętrznych. Zmniejszenie ryzyka wycieku danych jest zwykle priorytetem dla ochrony informacji i działań DLP. Wszystkie przypadki użycia wymienione w tej sekcji mogą pomóc zmniejszyć wyciek danych.

Ta sekcja zawiera typowe przypadki użycia, które mogłyby zmusić organizację do zaimplementowania ochrony informacji i DLP. Przypadki użycia koncentrują się głównie na usłudze Power BI, chociaż zalety organizacji są znacznie szersze.

Klasyfikowanie i etykietowanie danych

Organizacje często mają wymagania zewnętrzne lub wewnętrzne dotyczące klasyfikowania i etykietowania zawartości. Użycie etykiet poufności w usłudze Power BI (a także w innych aplikacjach i usługach organizacyjnych) jest kluczowym czynnikiem spełniającym wymagania dotyczące zgodności.

Po przypisaniu etykiety poufności do zawartości w usłudze Power BI możesz uzyskać wiedzę i szczegółowe informacje na temat:

  • Określa, czy dane poufne znajdują się w obszarze roboczym usługi Power BI.
  • To, czy określony element usługi Power BI, taki jak model semantyczny — wcześniej znany jako zestaw danych, jest uważany za poufny.
  • KtoTo mogą uzyskiwać dostęp do elementów usługi Power BI, które są uznawane za poufne.
  • KtoTo uzyskał dostęp do poufnych danych w usługa Power BI.

Dzięki kompleksowej ochronie etykiety poufności mogą (opcjonalnie) być automatycznie dziedziczone ze źródeł danych. Dziedziczenie etykiet zmniejsza ryzyko, że użytkownicy uzyskują dostęp do poufnych danych i udostępniają je nieautoryzowanym użytkownikom, ponieważ nie zostały one oznaczone etykietą.

Po wyeksportowaniu z usługa Power BI etykiety poufności są zachowywane podczas eksportowania zawartości do obsługiwanych typów plików. Przechowywanie etykiety podczas eksportowania zawartości jest kolejnym kluczowym czynnikiem w zmniejszaniu wycieku danych.

Aby uzyskać więcej informacji na temat etykietowania i klasyfikowania zawartości usługi Power BI, zobacz Information protection for Power BI (Ochrona informacji dla usługi Power BI).

Edukuj użytkowników

Jak wspomniano wcześniej, jednym z aspektów ochrony danych jest odpowiedzialne działania podejmowane przez użytkowników.

Ponieważ etykiety poufności są wyraźnie wyświetlane w postaci zwykłego tekstu, służą one jako przydatne przypomnienia dla użytkowników. Podczas normalnego przebiegu pracy etykiety zwiększają świadomość sposobu interakcji użytkowników z danymi zgodnie z wytycznymi organizacji i zasadami.

Na przykład gdy użytkownik widzi etykietę Wysoce poufne , powinien monitować ich o podjęcie dodatkowych decyzji dotyczących pobierania, zapisywania lub udostępniania zawartości innym osobom. W ten sposób etykiety poufności pomagają użytkownikom w odpowiedzialnym obsłudze poufnych danych i zmniejszają ryzyko, że są one udostępniane przez pomyłkę nieautoryzowanym użytkownikom.

Aby uzyskać więcej informacji, zobacz Information protection for Power BI (Ochrona informacji dla usługi Power BI).

Wykrywanie poufnych danych

Możliwość wykrywania miejsca przechowywania poufnych danych jest kolejnym ważnym aspektem wycieku danych.

Gdy zestaw danych został opublikowany w usługa Power BI i znajduje się w obszarze roboczym Premium, możesz użyć funkcji DLP dla usługi Power BI, aby wykryć istnienie niektórych typów poufnych informacji w nim. Ta funkcja jest przydatna do znajdowania poufnych danych (takich jak dane finansowe lub dane osobowe), które są przechowywane w modelach semantycznych usługi Power BI.

Ważne

Czasami w tym artykule opisano usługę Power BI Premium lub jej subskrypcje pojemności (jednostki SKU P). Należy pamiętać, że firma Microsoft obecnie konsoliduje opcje zakupu i cofnie usługę Power BI Premium na jednostki SKU pojemności. Nowi i istniejący klienci powinni rozważyć zakup subskrypcji pojemności sieci szkieletowej (jednostki SKU F).

Aby uzyskać więcej informacji, zobacz Ważne aktualizacje dostępne w licencjonowaniu usługi Power BI Premium i Power BI Premium — często zadawane pytania.

Ten typ zasad DLP dla usługi Power BI umożliwia administratorom zabezpieczeń monitorowanie i wykrywanie, kiedy nieautoryzowane poufne dane są przekazywane do usługa Power BI. Mogą one zależeć od alertów, aby działały szybko. Porady dotyczące zasad są również używane do kierowania twórcami zawartości i właścicielami, jak prawidłowo obsługiwać poufne dane. Aby uzyskać więcej informacji na temat DLP dla usługi Power BI, zobacz Zapobieganie utracie danych w usłudze Power BI.

Napiwek

Prawidłowe sklasyfikowanie danych umożliwia skorelowanie, analizowanie i raportowanie na nim. W większości przypadków należy skorelować dane z wielu źródeł, aby utworzyć pełne zrozumienie. Dane można przechwycić przy użyciu narzędzi, takich jak interfejsy API skanera usługi Power BI i dziennik aktywności usługi Power BI. Aby uzyskać więcej informacji na temat tych tematów, a także dzienników inspekcji w portal zgodności Microsoft Purview, zobacz Inspekcja ochrony informacji i ochrony przed utratą danych w usłudze Power BI.

Korzystanie z szyfrowania danych

Pliki sklasyfikowane za pomocą etykiety poufności mogą (opcjonalnie) zawierać ochronę. Gdy plik jest chroniony za pomocą szyfrowania, zmniejsza ryzyko wycieku danych i nadmiernego udostępniania. Ustawienie szyfrowania jest zgodne z plikiem, niezależnie od urządzenia lub użytkownika. Nieautoryzowani użytkownicy (wewnętrzni i zewnętrzni w organizacji) nie mogą otwierać, odszyfrowywać ani wyświetlać zawartości pliku.

Ważne

Istnieją kompromisy, które należy zrozumieć podczas implementowania szyfrowania. Aby uzyskać więcej informacji, w tym zagadnienia dotyczące szyfrowania, zobacz Information protection for Power BI (Ochrona informacji dla usługi Power BI).

Aby uzyskać więcej informacji na temat typów kontrolek, które można zaimplementować w celu zmniejszenia wycieku danych, zobacz Defender dla Chmury Apps for Power BI.

Działanie sterujące w czasie rzeczywistym

Aby rozszerzyć istniejące ustawienia zabezpieczeń w usłudze Power BI, możesz zaimplementować mechanizmy kontroli w czasie rzeczywistym, aby zmniejszyć ryzyko wycieku danych.

Można na przykład ograniczyć użytkownikom pobieranie wysoce poufnych danych i raportów z usługa Power BI. Ten typ kontrolki w czasie rzeczywistym jest pomocny, gdy ktoś może wyświetlać zawartość samodzielnie, ale nie należy ich pobierać i dystrybuować do innych osób.

Aby uzyskać więcej informacji na temat typów kontrolek, które można zaimplementować, zobacz Defender dla Chmury Apps for Power BI.

Napiwek

Aby zapoznać się z dodatkowymi zagadnieniami dotyczącymi wzmacniania zgodności usługi Power BI, zobacz artykuły dotyczące planowania zabezpieczeń.

Usługi ochrony informacji i DLP

Wiele funkcji i usług związanych z ochroną informacji i DLP zostało przemianowanych i teraz stanowi część usługi Microsoft Purview. Funkcje zabezpieczeń i zgodności platformy Microsoft 365 stały się również częścią usługi Microsoft Purview.

Funkcje i usługi, które są najbardziej istotne dla tej serii artykułów, to:

  • Microsoft Purview Information Protection (wcześniej znana jako Microsoft Information Protection): Usługa Microsoft Purview Information Protection obejmuje możliwości odnajdywania, klasyfikowania i ochrony danych. Kluczową zasadą jest to, że dane mogą być lepiej chronione po sklasyfikowaniu. Kluczowe bloki konstrukcyjne do klasyfikowania danych to etykiety poufności, które opisano w artykule Information protection for Power BI (Ochrona informacji dla usługi Power BI ).
  • portal zgodności Microsoft Purview (dawniej nazywane centrum zgodności platformy Microsoft 365): w portalu są konfigurowane etykiety poufności. Jest to również miejsce, w którym skonfigurowano usługę Power BI dla DLP, która została opisana w artykule Ochrona przed utratą danych dla usługi Power BI .
  • Ochrona przed utratą danych w Microsoft Purview (wcześniej znana jako Zapobieganie utracie danych w usłudze Office 365): działania DLP koncentrują się głównie na zmniejszaniu wycieków danych. Korzystając z etykiet poufności lub typów informacji poufnych, Ochrona przed utratą danych w Microsoft Purview zasady ułatwiają organizacji lokalizowanie poufnych danych i ich ochronę. Możliwości związane z usługą Power BI zostały opisane w artykule Ochrona przed utratą danych w usłudze Power BI .
  • Microsoft Defender dla Chmury Apps (wcześniej znane jako Microsoft Cloud App Security): zasady w aplikacjach Microsoft Defender dla Chmury (które są zdefiniowane w oddzielnej aplikacji) również pomagają chronić dane, w tym mechanizmy kontroli w czasie rzeczywistym. Możliwości związane z usługą Power BI zostały opisane w artykule Defender dla Chmury Apps for Power BI.

Powyższa lista nie jest wyczerpująca. Usługa Microsoft Purview zawiera szeroki zestaw możliwości, które znacznie przekraczają zakres tej serii artykułów. Na przykład funkcje katalogowania danych i ładu usługi Microsoft Purview są ważne; jednak nie są one bezpośrednio objęte zakresem tej serii artykułów.

Napiwek

Jeśli masz pytania dotyczące usług, funkcji lub licencjonowania, skontaktuj się z zespołem ds. kont Microsoft. Są one w najlepszej sytuacji, aby wyjaśnić, co jest dostępne dla Twojej organizacji.

Pozostała część zawartości ochrony informacji i DLP jest zorganizowana w następujące artykuły:

Powiązana zawartość

W następnym artykule z tej serii dowiesz się, jak rozpocząć pracę z ochroną informacji przy użyciu działań związanych z planowaniem na poziomie organizacji dla usługi Power BI.