Usar os controles do Microsoft Defender for Cloud Apps no Power BI

Usando o Microsoft Defender for Cloud Apps com Power BI, você pode ajudar a proteger seus relatórios, dados e serviços do Power BI contra vazamentos ou violações indesejados. Com o Microsoft Defender for Cloud Apps, você pode criar políticas de acesso condicional para os dados da sua organização usando controles de sessão em tempo real no Microsoft Entra ID, que ajudam a garantir que suas análises do Power BI sejam seguras. Após essas políticas serem definidas, os administradores poderão monitorar o acesso e a atividade do usuário, executar a análise de risco em tempo real e definir controles específicos do rótulo.

Observação

O Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft Defender XDR. Para obter mais informações, confira Microsoft Defender para Aplicativos de Nuvem no Microsoft Defender XDR.

Você pode configurar o Defender for Cloud Apps para todos os tipos de aplicativos e serviços, não apenas para o Power BI. Você precisará configurar o Defender for Cloud Apps para trabalhar com o Power BI para se beneficiar das proteções do Defender for Cloud Apps para seus dados e análises do Power BI. Para obter mais informações sobre o Defender for Cloud Apps, incluindo uma visão geral de como ele funciona, do dashboard e das pontuações de risco do aplicativo, confira a documentação do Defender for Cloud Apps.

Licenciamento do Defender for Cloud Apps

Para usar o Defender for Cloud Apps com o Power BI, você precisa usar e configurar os serviços de segurança da Microsoft relevantes, alguns dos quais são definidos fora do Power BI. Para ter o Defender for Cloud Apps no seu locatário, você precisa ter uma das seguintes licenças:

• Microsoft Defender for Cloud Apps: Fornece funcionalidades do Defender for Cloud Apps para todos os aplicativos com suporte, como parte dos conjuntos de aplicativos do EMS E5 e do Microsoft 365 E5.
• Office 365 Cloud App Security: Fornece as funcionalidades do Defender for Cloud Apps apenas para o Office 365, como parte do pacote do Office 365 E5.

Configurar controles em tempo real para o Power BI com o Defender for Cloud Apps

Observação

Uma licença do Microsoft Entra ID P1 é necessária para se beneficiar dos controles em tempo real do Defender for Cloud Apps.

As seções a seguir descrevem as etapas para configurar controles em tempo real para o Power BI com o Defender for Cloud Apps.

Definir políticas de sessão no Microsoft Entra ID (obrigatório)

As etapas necessárias para definir os controles de sessão são concluídas nos portais do Microsoft Entra ID e do Defender for Cloud Apps. No centro de administração do Microsoft Entra, você cria uma política de acesso condicional para o Power BI e encaminha as sessões usadas no Power BI por meio do serviço do Defender for Cloud Apps.

O Defender for Cloud Apps opera em uma arquitetura de proxy reverso e é integrado ao Acesso Condicional do Microsoft Entra para monitorar a atividade do usuário do Power BI em tempo real. As etapas a seguir são fornecidas para ajudar você a entender o processo, e instruções passo a passo detalhadas são fornecidas no conteúdo vinculado em cada uma delas. Para obter uma descrição de todo o processo, confira Defender for Cloud Apps.

1. Criar uma política de teste de Acesso Condicional do Microsoft Entra
2. Entrar em cada aplicativo usando um usuário com escopo para a política
3. Verificar se os aplicativos estão configurados para usar controles de acesso e de sessão
4. Habilitar o aplicativo para uso em sua organização
5. Testar a implantação

O processo de configuração das políticas de sessão é descrito em detalhes nas Políticas de sessão.

Definir políticas de detecção de anomalias para monitorar atividades do Power BI (recomendado)

Você pode definir políticas de detecção de anomalias no Power BI que podem ter escopo independente, para que sejam aplicadas apenas aos usuários e grupos que você deseja incluir na política ou excluir dela. Confira mais informações em Políticas de detecção de anomalias.

O Defender for Cloud Apps tem duas detecções internas e dedicadas para o Power BI. Confira Detecções internas do Defender for Cloud Apps para Power BI.

Usar rótulos de confidencialidade da Proteção de Informações do Microsoft Purview (recomendado)

Os rótulos de confidencialidade permitem que você classifique e ajude a proteger conteúdos confidenciais, para que as pessoas de sua organização possam colaborar com parceiros fora dela e, ainda assim, serem cuidadosas e permanecerem cientes quanto a conteúdos e dados confidenciais.

Para obter mais informações sobre o processo de usar rótulos de confidencialidade para o Power BI, confira Rótulos de confidencialidade no Power BI. Confira o exemplo mais adiante neste artigo de uma política do Power BI com base em rótulos de confidencialidade.

Políticas personalizadas para alertar sobre atividades suspeitas do usuário no Power BI

As políticas de atividade do Defender for Cloud Apps permitem que os administradores definam regras personalizadas, a fim de ajudar a detectar comportamentos do usuário que se desviam da norma e até mesmo adotar medidas quanto a eles automaticamente, se parecerem muito perigosos. Por exemplo:

• Remoção em massa de rótulos de confidencialidade. Por exemplo: alertar quando rótulos de confidencialidade forem removidos por um mesmo usuário de 20 relatórios diferentes em uma janela de tempo menor que 5 minutos.

• Downgrade da criptografia do rótulo de confidencialidade. Por exemplo: alertar quando um relatório que tinha um rótulo de confidencialidade Altamente confidencial passar a ser classificado como Público.

Observação

As IDs (identificadores exclusivos) dos rótulos de confidencialidade e artefatos do Power BI podem ser encontradas usando as APIs REST do Power BI. Confira Obter modelos semânticos ou Obter relatórios.

As políticas de atividades personalizadas são configuradas no portal do Defender for Cloud Apps. Para obter mais informações, confira Políticas de atividade.

Detecções internas do Defender for Cloud Apps para Power BI

As detecções do Defender for Cloud Apps permitem que os administradores monitorem atividades específicas de um aplicativo monitorado. Para o Power BI, atualmente há duas detecções internas dedicadas do Defender for Cloud Apps:

• Compartilhamento suspeito – detecta quando um usuário compartilha um relatório confidencial com um email desconhecido (externo à organização). Um relatório confidencial é um relatório cujo rótulo de confidencialidade está definido como SOMENTE INTERNO ou superior.

• Compartilhamento em massa de relatórios – detecta quando um usuário compartilha um número grande de relatórios em uma única sessão.

As configurações dessas detecções são definidas no portal do Defender for Cloud Apps. Para obter mais informações, confira Atividades incomuns (por usuário).

Função de administrador do Power BI no Defender for Cloud Apps

Uma função é criada para os administradores do Power BI ao usar o Defender for Cloud Apps com o Power BI. Quando entra como administrador do Power BI no portal do Defender for Cloud Apps, você tem acesso limitado a dados, bem como a alertas, usuários em risco, logs de atividades e outras informações relevantes do Power BI.

Considerações e limitações

O uso do Defender for Cloud Apps com o Power BI tem a finalidade de ajudar a proteger o conteúdo e os dados de sua organização, com detecções que monitoram as sessões do usuário e suas atividades. Ao usar o Defender for Cloud Apps com o Power BI, há algumas considerações e limitações que você deve ter em mente:

• O Defender for Cloud Apps pode operar apenas em arquivos do Excel, do PowerPoint e PDF.
• Se quiser usar as funcionalidades de rótulos de confidencialidade em suas políticas de sessão para o Power BI, você precisará de uma licença Premium P1 ou Premium P2 da Proteção de Informações do Azure. A Proteção de Informações do Microsoft Azure pode ser adquirida de forma independente ou por meio de um dos pacotes de licenciamento da Microsoft. Para obter mais informações, confira Preços de Proteção de Informações do Azure. Além disso, os rótulos de confidencialidade precisam ter sido aplicados a seus ativos do Power BI.
• O controle de sessão está disponível para qualquer navegador, em qualquer plataforma principal e em qualquer sistema operacional. Recomendamos usar a versão mais recente do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. As chamadas à API pública do Power BI e outras sessões não baseadas em navegador não têm suporte como parte do controle de sessão do Defender for Cloud Apps. Para obter mais informações, confira Aplicativos e clientes com suporte.
• Se você tiver dificuldades para entrar, como, por exemplo, ter que entrar mais de uma vez, isso pode estar relacionado à maneira como alguns aplicativos lidam com a autenticação. Para obter mais informações, confira o artigo de solução de problemas Logon lento.

Cuidado

Na política da sessão, na parte "Ação", a funcionalidade de "proteger" só funcionará se não houver nenhum rótulo no item. Se já houver um rótulo, a ação de "proteger" não se aplicará; não é possível substituir um rótulo existente que já foi aplicado a um item no Power BI.

Exemplo

O exemplo a seguir mostra como criar uma política de sessão usando o Defender for Cloud Apps com o Power BI.

Primeiro, crie uma nova política de sessão. No portal do Defender for Cloud Apps, selecione Políticas no painel de navegação. Na página de políticas, selecione Criar política e escolha Política de sessão.

Na janela que aparece, crie a política de sessão. As etapas numeradas descrevem as configurações da imagem a seguir.

1. Na lista suspensa Modelo de política, escolha Nenhum modelo.

2. Em Nome da política, forneça um nome relevante para sua política de sessão.

3. Para o Tipo de controle de sessão, selecione Controlar download de arquivo (com inspeção) (para DLP).

   Para a seção Origem da atividade, escolha as políticas de bloqueio relevantes. Recomendamos bloquear dispositivos não gerenciados e não compatíveis. Opte por bloquear downloads quando a sessão estiver no Power BI.

   

   Mais opções aparecem quando você rola para baixo. A imagem a seguir mostra essas opções, com outros exemplos.

4. Crie um filtro no Rótulo de confidencialidade e escolha Altamente confidencial ou o que for mais adequado à sua organização.

5. Altere o Método de inspeção para nenhum.

6. Escolha a opção Bloquear que atende às suas necessidades.

7. Crie um alerta para tal ação.

   

8. Selecione Criar para completar a política de sessão.

   

Conteúdo relacionado

Este artigo descreveu como o Defender for Cloud Apps pode fornecer proteção de dados e de conteúdo para o Power BI. Para obter mais informações sobre a Proteção de Dados para Power BI e o conteúdo de suporte para os serviços do Azure que o habilitam, confira:

• Rótulos de confidencialidade no Power BI
• Habilitar rótulos de confidencialidade no Power BI
• Como aplicar rótulos de confidencialidade no Power BI

Para obter informações sobre o Azure e artigos de segurança, confira:

• Proteger aplicativos com o Controle de Aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de Nuvem
• Implantar o controle de aplicativos de acesso condicional para aplicativos de catálogo com o Microsoft Entra ID
• Políticas de sessão
• Saiba mais sobre rótulos de confidencialidade
• Relatório de métricas de proteção de dados
• Planejamento de implementação do Power BI: Aplicativos do Defender para Nuvem para Power BI