Planejamento de implementação do Power BI: proteção de informações para o Power BI

  • Artigo

Observação

Este artigo faz parte da série de artigos sobre o Planejamento de implantação do Power BI. Esta série se concentra principalmente na carga de trabalho do Power BI dentro do Microsoft Fabric. Para ter uma introdução a essa série, confira Planejamento de implementação do Power BI.

Este artigo descreve as atividades de planejamento relacionadas à implementação da proteção de informações no Power BI. Ele destina-se a:

  • Administradores do Power BI: os administradores responsáveis por supervisionar o Power BI na organização. Os administradores do Power BI precisam de colaborar com equipes de segurança da informação e outras equipes relevantes.
  • Equipe do Centro de Excelência, de TI e do BI: Outros que também são responsáveis por supervisionar o Power BI na organização. Talvez seja necessário colaborar com administradores do Power BI, equipes de segurança da informação e outras equipes relevantes.

Importante

A proteção de informações e a prevenção contra perda de dados (DLP) é um empreendimento significativo em toda a organização. Seu escopo e impacto são muito maiores do que o Power BI sozinho. Esse tipo de iniciativa requer financiamento, priorização e planejamento. Esteja preparado para envolver várias equipes multifuncionais em seus trabalhos de planejamento, uso e supervisão.

As atividades de rotulagem e classificação vão além do Power BI e até mesmo dos ativos de dados. As decisões discutidas neste artigo se aplicam a ativos de toda a organização, incluindo arquivos e emails, e não apenas ao Power BI. Este artigo apresenta tópicos que se aplicam à rotulagem e à classificação em geral, pois tomar as decisões organizacionais corretas é fundamental para o sucesso da prevenção contra perda de dados no Power BI.

Este artigo também inclui diretrizes introdutórias sobre como definir uma estrutura de rótulo de confidencialidade. Tecnicamente, a estrutura do rótulo de confidencialidade é um pré-requisito para a implementação de rótulos de confidencialidade no Power BI. A finalidade de incluir algumas informações básicas neste artigo é ajudar você a entender o que está envolvido. É crucial colaborar com a equipe de TI para planejar e implementar a proteção de informações na organização.

Finalidade dos rótulos de confidencialidade

O uso dos rótulos de confidencialidade da Proteção de Informações do Microsoft Purview é sobre a classificação de conteúdo. Pense no rótulo de confidencialidade como uma marca que você aplica a um item, arquivo, site ou ativo de dados.

Há muitas vantagens em usar a proteção de informações. Classificar e rotular o conteúdo ajuda as organizações a:

  • Entender onde residem os dados confidenciais.
  • Acompanhar os requisitos de conformidade externa e interna.
  • Proteger o conteúdo de usuários não autorizados.
  • Instruir os usuários sobre como lidar com dados com responsabilidade.
  • Implementar controles em tempo real para reduzir o risco de vazamento de dados.

Para obter mais casos de uso para proteção de informações, consulte Proteção de informações e DLP (casos de uso comuns).

Dica

Isso ajuda a lembrar que a Proteção de Informações do Microsoft Purview é o produto. Os rótulos de confidencialidade são um recurso específico desse produto.

Um rótulo de confidencialidade é uma breve descrição em texto não criptografado. Conceitualmente, um rótulo de confidencialidade é como uma marca. Apenas um rótulo pode ser atribuído a cada item (como um modelo semântico do Power BI, anteriormente conhecido como conjunto de dados, no serviço do Power BI) ou a cada arquivo (como um arquivo do Power BI Desktop).

Um rótulo tem as seguintes finalidades.

  • Classificação: ele fornece uma classificação para descrever o nível de confidencialidade.
  • Educação e conscientização do usuário: ele ajuda os usuários a entender como trabalhar com o conteúdo de forma adequada.
  • Políticas: ele forma a base para aplicar e impor políticas e DLP.

Pré-requisitos para a proteção de informações do Power BI

Agora, você deve ter concluído as etapas de planejamento no nível da organização descritas no artigo Proteção de informações no nível da organização. Antes de continuar, você deve conhecer:

  • Estado atual: o estado atual da proteção de informações em sua organização. Você deve saber se os rótulos de confidencialidade já estão sendo usados em arquivos do Microsoft Office. Nesse caso, o escopo de trabalho para adicionar o Power BI é muito menor do que se você estiver trazendo a proteção de informações para a organização pela primeira vez.
  • Metas e requisitos: as metas estratégicas para implementar a proteção de informações na sua organização. Entender as metas e os requisitos servirá como um guia para seu trabalho de implementação.

Se a sua organização não estiver usando a proteção de informações, o restante desta seção fornecerá informações para ajudá-lo a colaborar com outras pessoas para introduzir a proteção de informações à sua organização.

Se a proteção de informações estiver ativamente em uso em sua organização, recomendamos ler este artigo para verificar se os pré-requisitos foram atendidos. Se os rótulos de confidencialidade estiverem ativamente em uso, a maioria das (ou todas) atividades nas fases de distribuição de 1 a 4 (na próxima seção) já estarão concluídas.

Fases de distribuição

Recomendamos planejar a adoção de um plano de distribuição gradual para implementar e testar a proteção de informações. O objetivo de um plano de distribuição gradual é se organizar para aprender, ajustar e iterar conforme o uso. A vantagem é que menos usuários são afetados durante os estágios iniciais (quando as alterações são mais prováveis), até que a proteção de informações seja eventualmente distribuída para todos os usuários da organização.

Introduzir a proteção de informações é uma tarefa significativa. Conforme descrito no artigo Planejamento de proteção de informações no nível da organização, se sua organização já tiver implementado a proteção de informações em documentos do Microsoft Office, muitas dessas tarefas já estarão concluídas.

Esta seção fornece uma visão geral das fases que recomendamos incluir em seu plano de distribuição gradual. Com ela, você terá uma noção do que esperar. O restante deste artigo descreve outros critérios de tomada de decisão para os principais aspectos que afetam o Power BI de forma mais direta.

Fase 1: planejar, decidir, preparar

Na primeira fase, concentre-se no planejamento, na tomada de decisões e nas atividades preparatórias. A maior parte do restante deste artigo se concentra nesta primeira fase.

O mais cedo possível, defina onde o teste inicial ocorrerá. Essa escolha afetará o local em que você vai configurar, publicar e testar inicialmente. Para o teste inicial, você pode usar um locatário de não produção (se tiver acesso a um).

Dica

Como a maioria das organizações tem acesso a um locatário, pode ser difícil explorar novos recursos de forma isolada. Para as organizações com um locatário de desenvolvimento ou de teste separado, recomendamos usá-lo na fase de teste inicial. Para obter mais informações sobre como gerenciar locatários e como criar um locatário de teste para testar novos recursos, consulte Configuração do locatário.

Fase 2: configurar recursos de suporte ao usuário

A segunda fase inclui etapas para configurar os recursos para dar suporte aos usuários. Os recursos incluem a política de proteção e classificação de dados e a página de ajuda personalizada.

É importante que parte da documentação do usuário seja publicada antecipadamente. Também é importante ter a equipe de suporte ao usuário preparada com antecedência.

Fase 3: configurar rótulos e publicar

A terceira fase se concentra na definição de rótulos de confidencialidade. Quando todas as decisões tiverem sido tomadas, a configuração não será difícil ou demorada. Os rótulos de confidencialidade são configurados no portal de conformidade do Microsoft Purview, no Centro de administração do Microsoft 365.

Fase 4: publicar a política de rótulo

Antes que um rótulo possa ser usado, você deve publicá-lo como parte de uma política de rótulo. As políticas de rótulo permitem que determinados usuários usem um rótulo. As políticas de rótulo são publicadas no portal de conformidade do Microsoft Purview, no Centro de administração do Microsoft 365.

Observação

Tudo até este momento é um pré-requisito para implementar a proteção de informações para o Power BI.

Fase 5: habilitar configurações de locatário do Power BI

Há várias configurações de locatário de proteção de informações no portal de administração do Power BI. Elas são necessários para habilitar a proteção de informações no serviço do Power BI.

Importante

Você deve definir as configurações de locatário depois de configurar e publicar os rótulos no portal de conformidade do Microsoft Purview.

Fase 6: teste inicial

Na sexta fase, você executa testes iniciais para verificar se tudo vai se comportar conforme o esperado. Para fins de teste iniciais, você deve publicar a política de rótulo somente para a equipe de implementação.

Durante essa fase, certifique-se de testar:

  • Arquivos do Microsoft Office
  • Itens do Power BI no serviço do Power BI
  • Arquivos do Power BI Desktop
  • A exportação de arquivos do serviço do Power BI
  • Outros escopos incluídos na configuração, como sites do Teams ou do SharePoint

Verifique a funcionalidade e a experiência do usuário usando um navegador da Web e também os dispositivos móveis normalmente usados. Atualize a documentação do usuário adequadamente.

Importante

Mesmo que apenas alguns membros da equipe estejam autorizados a definir um rótulo de confidencialidade, todos os usuários poderão ver os rótulos atribuídos ao conteúdo. Se você estiver usando seu locatário de produção, os usuários poderão se perguntar por que veem rótulos atribuídos a itens em um workspace no serviço do Power BI. Esteja com tudo pronto para dar suporte e responder a perguntas do usuário.

Fase 7: coletar comentários do usuário

O objetivo dessa fase é obter comentários de um pequeno grupo de usuários principais. Os comentários devem identificar áreas de confusão, lacunas na estrutura do rótulo ou problemas técnicos. Você também pode encontrar motivos para melhorar a documentação do usuário.

Para isso, você deve publicar (ou publicar novamente) a política de rótulo em um pequeno subconjunto de usuários que estão dispostos a enviar comentários.

Dica

Considere tempo suficiente em seu plano de projeto. Para configurações de rótulos e política de rótulo, a documentação do produto recomenda esperar 24 horas para que as alterações entrem em vigor. Esse tempo é necessário para garantir que todas as alterações se propaguem através dos serviços relacionados.

Fase 8: liberar de forma iterativa

A fase de implementação geralmente é um processo iterativo.

Geralmente, o objetivo inicial é chegar a um estado em que todo o conteúdo do Power BI tenha um rótulo de confidencialidade atribuído. Para atingir esse objetivo, você pode introduzir uma política de rótulo obrigatória ou uma política de rótulo padrão. Você também pode usar as APIs de administrador da proteção de informações para definir ou remover rótulos de confidencialidade programaticamente.

Você pode incluir gradualmente mais grupos de usuários até que toda a organização seja incluída. Esse processo envolve a republicação de cada política de rótulo para grupos cada vez maiores de usuários.

Ao longo desse processo, certifique-se de priorizar o fornecimento de diretrizes, comunicações e treinamento aos usuários para que eles entendam o processo e o que é esperado deles.

Fase 9: monitorar, auditar, ajustar e integrar

Há outras etapas a serem seguidas após a distribuição inicial. Você deve ter uma equipe principal para monitorar as atividades da proteção de informações e ajustá-las ao longo do tempo. À medida que os rótulos forem aplicados, você poderá avaliar sua utilidade e identificar as áreas que precisam de ajustes.

Há muitos aspectos para auditar a proteção de informações. Para obter mais informações, consulte Auditoria de proteção de informações e prevenção contra perda de dados para o Power BI.

Os investimentos que você faz na configuração da proteção de informações podem ser usados em políticas de DLP para o Power BI, que são configuradas no portal de conformidade do Microsoft Purview. Para obter mais informações, incluindo uma descrição dos recursos de DLP, consulte Prevenção contra perda de dados para o Power BI.

A proteção de informações também pode ser usada para criar políticas no Microsoft Defender para Aplicativos de Nuvem. Para obter mais informações, incluindo uma descrição dos recursos que você pode achar úteis, consulte Aplicativos para Power BI do Microsoft Defender para Nuvem.

Lista de verificação – ao preparar as fases de distribuição da proteção de informações, as principais decisões e ações incluem:

  • Criar um plano de distribuição gradual: defina as fases do plano de distribuição. Esclareça quais são os objetivos específicos para cada fase.
  • Identificar onde realizar os testes: determine onde o teste inicial pode ser feito. Para minimizar o impacto sobre os usuários, use um locatário de não produção, se possível.
  • Criar um plano de projeto: crie um plano de projeto que inclua todas as principais atividades, a linha do tempo estimada e quem será responsável.

Estrutura do rótulo de confidencialidade

A estrutura do rótulo de confidencialidade é um pré-requisito para a implementação de rótulos de confidencialidade no Power BI. Esta seção inclui algumas informações básicas para ajudá-lo a entender o que está compreendido se você estiver envolvido na criação da estrutura de rótulos.

Esta seção não é uma lista completa de todas as considerações de rótulo de confidencialidade possíveis para todos os aplicativos possíveis. Em vez disso, ela foca em considerações e atividades que afetam diretamente a classificação do conteúdo do Power BI. Certifique-se de trabalhar com outros participantes e administradores do sistema para tomar decisões que funcionem bem para todos os aplicativos e casos de uso.

A base para implementar a proteção de informações começa com um conjunto de rótulos de confidencialidade. O objetivo final é criar um conjunto de rótulos de confidencialidade que sejam claros e simples para os usuários trabalharem.

A estrutura do rótulo de confidencialidade usada em uma organização representa uma taxonomia de rótulo. Ela também é conhecida como taxonomia de classificação de dados porque o objetivo é classificar os dados. Às vezes, ela é conhecida como uma definição de esquema.

Não há um conjunto de rótulos padrão ou integrado. Cada organização deve definir e personalizar um conjunto de rótulos para atender às suas necessidades. O processo de chegar ao conjunto certo de rótulos envolve uma vasta colaboração. Requer um planejamento cuidadoso para garantir que os rótulos atendam às metas e aos requisitos. Lembre-se que os rótulos serão aplicados a mais do que apenas conteúdo do Power BI.

Dica

A maioria das organizações começa atribuindo rótulos a arquivos do Microsoft Office. Em seguida, eles evoluem para classificar outros conteúdos, como itens e arquivos do Power BI.

Uma estrutura de rótulo inclui:

  • Rótulos: os rótulos formam uma hierarquia. Cada rótulo indica o nível de confidencialidade de um item, arquivo ou ativo de dados. Recomendamos criar entre três e sete rótulos. Os rótulos raramente devem ser alterados.
  • Sub-rótulos: sub-rótulos indicam variações na proteção ou no escopo dentro de um rótulo específico. Ao incluí-los em políticas de rótulo diferentes, você pode definir o escopo de sub-rótulos para um determinado conjunto de usuários ou usuários envolvidos com um projeto específico.

Dica

Embora os sub-rótulos ofereçam flexibilidade, eles devem ser usados com moderação apenas para atender aos requisitos essenciais. A criação de muitos sub-rótulos resulta no aumento do gerenciamento. Eles também podem sobrecarregar os usuários com muitas opções.

Os rótulos formam uma hierarquia, começando com a classificação menos confidencial para a classificação mais confidencial.

Às vezes, o conteúdo do Power BI contém dados que abrangem vários rótulos. Por exemplo, um modelo semântico pode conter informações de inventário de produtos (Uso Interno Geral) e os números de vendas do trimestre atual (Restrito). Ao escolher qual rótulo atribuir ao modelo semântico do Power BI, os usuários devem aprender a aplicar o rótulo mais restritivo.

Dica

A próxima seção descreve a Política de classificação e proteção de dados que pode fornecer aos usuários diretrizes sobre quando usar cada rótulo.

Importante

Atribuir um rótulo ou um sub-rótulo não afeta diretamente o acesso ao conteúdo do Power BI no serviço do Power BI. Em vez disso, o rótulo fornece uma categoria útil que pode orientar o comportamento do usuário. As políticas de prevenção contra perda de dados também podem ser baseadas no rótulo atribuído. No entanto, nada muda em como o acesso ao conteúdo do Power BI é gerenciado, exceto quando um arquivo é criptografado. Para obter mais informações, consulte Uso da proteção de criptografia.

Seja cuidadoso com os rótulos que você cria porque é desafiador remover ou excluir um rótulo depois que passa da fase de teste inicial. Como os sub-rótulos podem (opcionalmente) ser usados para um determinado conjunto de usuários, eles podem mudar com mais frequência do que os rótulos.

Aqui está a melhor prática para definir uma estrutura de rótulo.

  • Use termos intuitivos e inequívocos: clareza é importante para garantir que os usuários saibam o que escolher ao classificar seus dados. Por exemplo, ter um rótulo Altamente confidencial e um rótulo Muito confidencial é ambíguo.
  • Crie uma ordem hierárquica lógica: a ordem dos rótulos é crucial para tudo funcionar bem. Lembre-se de que o último rótulo na lista é o mais confidencial. A ordem hierárquica, junto com termos bem selecionados, devem ser lógicos e intuitivos para os usuários trabalharem. Uma hierarquia clara também facilitará a criação e a manutenção de políticas.
  • Crie apenas alguns rótulos que se aplicam em toda a organização: ter muitos rótulos para os usuários escolherem será confuso. Isso também levará a uma seleção de rótulo menos precisa. Recomendamos criar apenas alguns rótulos para o conjunto inicial.
  • Use nomes genéricos significativos: evite usar jargões ou acrônimos do setor nos nomes dos rótulo. Por exemplo, em vez de criar um rótulo chamado Informações de Identificação Pessoal, use nomes como Altamente Restrito ou Altamente Confidencial.
  • Use termos que são facilmente localizados em outros idiomas: para organizações globais com operações em vários países/regiões, é importante escolher termos de rótulo que não serão confusos ou ambíguos quando forem traduzidos para outros idiomas.

Dica

Se você estiver planejando muitos rótulos altamente específicos, reavalie sua abordagem. A complexidade pode levar à confusão do usuário, à redução da adoção e ainda tornar a proteção de informações menos eficaz. Recomendamos começar com um conjunto inicial de rótulos (ou use o que já tem). Quando tiver mais experiência, expanda com cautela o conjunto de rótulos adicionando outros mais específicos, quando necessário.

Lista de verificação: ao planejar a estrutura do rótulo de confidencialidade, as principais decisões e ações incluem:

  • Definir um conjunto inicial de rótulos de confidencialidade: crie um conjunto inicial entre três e sete rótulos de confidencialidade. Verifique se eles têm amplo uso para uma grande variedade de conteúdo. Planeje iterar na lista inicial enquanto finaliza a política de classificação e de proteção de dados.
  • Determinar se você precisa de sub-rótulos: decida se há a necessidade de usar sub-rótulos para qualquer um dos rótulos.
  • Verificar a localização dos termos do rótulo: se os rótulos forem traduzidos para outros idiomas, peça que os falantes nativos confirmem que os rótulos localizados transmitem o significado pretendido.

Escopo do rótulo de confidencialidade

Um escopo de rótulo de confidencialidade limita o uso de um rótulo. Embora não seja possível especificar o Power BI diretamente, você pode aplicar rótulos a vários escopos. Os escopos possíveis incluem:

  • Itens (como itens publicados no serviço do Power BI e arquivos e emails)
  • Grupos e sites (como um canal do Teams ou um site do SharePoint)
  • Ativos de dados esquematizados (fontes com suporte registradas no Mapa de Dados do Purview)

Importante

Não é possível definir um rótulo de confidencialidade apenas com um escopo do Power BI. Embora haja algumas configurações que se aplicam especificamente ao Power BI, o escopo não é uma delas. O escopo de itens é usado para o serviço do Power BI. Os rótulos de confidencialidade são tratados de forma diferente das políticas de DLP, que são descritas no artigo Prevenção contra perda de dados para planejamento do Power BI, pois alguns tipos de políticas de DLP podem ser definidos especificamente para o Power BI. Se você pretende usar a herança de rótulo de confidencialidade de fontes de dados no Power BI, há requisitos específicos para o escopo do rótulo.

Eventos relacionados a rótulos de confidencialidade são registrados no gerenciador de atividades. Os detalhes registrados desses eventos serão significativamente mais avançados quando o escopo for mais amplo. Você também estará mais preparado para proteger os dados em um espectro mais amplo de aplicativos e serviços.

Ao definir o conjunto inicial de rótulos de confidencialidade, considere disponibilizar o conjunto inicial de rótulos para todos os escopos. Isso porque pode ser confuso para os usuários quando eles veem rótulos diferentes em diferentes aplicativos e serviços. Ao longo do tempo, no entanto, você pode descobrir casos de uso para sub-rótulos mais específicos. No entanto, é mais seguro começar com um conjunto consistente e simples de rótulos iniciais.

O escopo do rótulo é definido no portal de conformidade do Microsoft Purview quando o rótulo é configurado.

Lista de verificação: ao planejar o escopo do rótulo, as principais decisões e ações incluem:

  • Decidir o escopo do rótulo: discuta e decida se cada um dos seus rótulos iniciais será aplicado a todos os escopos.
  • Analisar todos os pré-requisitos: investigue os pré-requisitos e as etapas de instalação necessárias que serão obrigatórias para cada escopo que você pretende usar.

Uso da proteção de criptografia

Há várias opções de proteção com um rótulo de confidencialidade.

  • Criptografia: as configurações de criptografia pertencem a arquivos ou emails. Por exemplo, um arquivo do Power BI Desktop pode ser criptografado.
  • Marcações: refere-se a cabeçalhos, rodapés e marcas d'água. As marcações são úteis para arquivos do Microsoft Office, mas não são mostradas no conteúdo do Power BI.

Dica

Normalmente, quando alguém se refere a um rótulo como protegido, ele está se referindo à criptografia. Pode ser suficiente que apenas rótulos de nível superior, como Restrito e Altamente Restrito, sejam criptografados.

A criptografia é uma forma de codificar informações criptograficamente. A criptografia tem várias vantagens importantes.

  • Somente usuários autorizados (por exemplo, usuários internos em sua organização) podem abrir, descriptografar e ler um arquivo protegido.
  • A criptografia permanece com um arquivo protegido, mesmo quando o arquivo é enviado para fora da organização ou é renomeado.
  • A configuração da criptografia é obtida do conteúdo original rotulado. Considere que um relatório no serviço do Power BI tem um rótulo de confidencialidade altamente restrito. Se ele for exportado para um caminho de exportação com suporte, o rótulo permanecerá intacto e a criptografia será aplicada no arquivo exportado.

O Azure RMS (Azure AD Rights Management) é usado para proteção de arquivo com criptografia. Há alguns pré-requisitos importantes que devem ser cumpridos para usar a criptografia do Azure RMS.

Importante

Há uma limitação a ser considerada: um usuário offline (sem uma conexão com a Internet) não pode abrir um arquivo criptografado do Power BI Desktop (ou outro tipo de arquivo protegido pelo Azure RMS). Isso ocorre porque o Azure RMS deve verificar de forma síncrona se um usuário está autorizado a abrir, descriptografar e exibir o conteúdo do arquivo.

Os rótulos criptografados são tratados de forma diferente, dependendo de onde o usuário está trabalhando.

  • No serviço do Power BI: a configuração de criptografia não tem um efeito direto sobre o acesso do usuário no serviço do Power BI. As permissões padrão do Power BI (como funções de espaço de trabalho, permissões de aplicativo ou permissões de compartilhamento) controlam o acesso do usuário no serviço do Power BI. Os rótulos de confidencialidade não afetam o acesso ao conteúdo no serviço do Power BI.
  • Arquivos do Power BI Desktop: um rótulo criptografado pode ser atribuído a um arquivo do Power BI Desktop. O rótulo também é mantido quando é exportado do serviço do Power BI. Somente usuários autorizados poderão abrir, descriptografar e exibir o arquivo.
  • Arquivos exportados: os arquivos do Microsoft Excel, Microsoft PowerPoint e PDF exportados do serviço do Power BI mantêm seu rótulo de confidencialidade, incluindo a proteção de criptografia. Para formatos de arquivo com suporte, somente usuários autorizados poderão abrir, descriptografar e exibir o arquivo.

Importante

É fundamental que os usuários entendam as distinções entre os arquivos e o serviço do Power BI, que são facilmente confundidos. Recomendamos fornecer um documento de perguntas frequentes, junto com exemplos, para ajudar os usuários a entender as diferenças.

Para abrir um arquivo protegido do Power BI Desktop ou um arquivo exportado, o usuário deve cumprir os critérios a seguir.

  • Conectividade com a Internet: o usuário deve estar conectado à Internet. Uma conexão à Internet ativa é necessária para se comunicar com o Azure RMS.
  • Permissões do RMS: o usuário deve ter permissões do RMS, que são definidas dentro do rótulo (em vez de dentro da política de rótulo). As permissões do RMS permitem que os usuários autorizados descriptografem, abram e exibam formatos de arquivo com suporte.
  • Usuário permitido: os usuários ou grupos devem ser especificados na política de rótulo. Normalmente, a atribuição de usuários autorizados só é necessária para criadores e proprietários de conteúdo para que eles possam aplicar rótulos. No entanto, ao usar a proteção de criptografia, há outro requisito. Cada usuário que precisa abrir um arquivo protegido deve ser especificado na política de rótulo. Esse requisito significa que licenciamento de proteção de informações pode ser necessário para mais usuários.

Dica

A configuração de locatário Permitir que os administradores do espaço de trabalho substituam rótulos de confidencialidade aplicados automaticamente permite que os administradores do espaço de trabalho alterem um rótulo que foi aplicado automaticamente, mesmo que a proteção (criptografia) esteja habilitada para o rótulo. Essa funcionalidade é particularmente útil quando um rótulo foi atribuído ou herdado automaticamente, mas o administrador do espaço de trabalho não é um usuário autorizado.

A proteção de rótulo é definida no portal de conformidade do Microsoft Purview quando você configura o rótulo.

Lista de verificação: ao planejar o uso da criptografia de rótulo, as principais decisões e ações incluem:

  • Decidir quais rótulos devem ser criptografados: para cada rótulo de confidencialidade, decida se ele deve ser criptografado (protegido). Considere cuidadosamente as limitações implicadas.
  • Identificar as permissões do RMS para cada rótulo: determine quais serão as permissões de usuário para acessar e interagir com arquivos criptografados. Crie um mapeamento de usuários e grupos para cada rótulo de confidencialidade para ajudar no processo de planejamento.
  • Analisar e cumprir os pré-requisitos de criptografia do RMS: verifique se os pré-requisitos técnicos para usar a criptografia do Azure RMS foram atendidos.
  • Planejar realizar testes completos de criptografia: devido às diferenças entre arquivos do Office e arquivos do Power BI, realize uma fase completa de teste.
  • Incluir na documentação e no treinamento do usuário: inclua diretrizes em sua documentação e treinamento sobre o que os usuários devem esperar de arquivos atribuídos a um rótulo de confidencialidade criptografado.
  • Realizar a transferência de conhecimento com suporte: faça planos específicos para realizar sessões de transferência de conhecimento com a equipe de suporte. Devido à complexidade da criptografia, eles provavelmente receberão perguntas dos usuários.

Herança de rótulos de fontes de dados

Ao importar dados de fontes de dados com suporte (como Azure Synapse Analytics, Banco de Dados SQL do Azure ou um arquivo do Excel), um modelo semântico do Power BI pode, opcionalmente, herdar o rótulo de confidencialidade aplicado aos dados de origem. A herança ajuda a:

  • Promover a consistência da rotulagem.
  • Reduzir o trabalho do usuário ao atribuir rótulos.
  • Reduzir o risco de usuários acessarem e compartilharem dados confidenciais com usuários não autorizados porque eles não foram rotulados.

Dica

Há dois tipos de herança para rótulos de confidencialidade. A herança downstream refere-se a itens downstream (como relatórios) que herdam automaticamente um rótulo do seu modelo semântico do Power BI. No entanto, o foco desta seção é na herança upstream. A herança upstream refere-se a um modelo semântico do Power BI que herda um rótulo de uma fonte de dados upstream do modelo semântico.

Considere um exemplo em que a definição de trabalho da organização para o rótulo de confidencialidade altamente restrito inclui números de conta financeira. Como os números de contas financeiras são armazenados em um banco de dados SQL do Azure, o rótulo de confidencialidade Altamente Restrito foi atribuído a essa fonte. Quando os dados do Banco de Dados SQL do Azure são importados para o Power BI, a intenção é que o modelo semântico herde o rótulo.

Você pode atribuir rótulos de confidencialidade a uma fonte de dados com suporte de várias maneiras.

  • Descoberta e classificação de dados: Você pode verificar um banco de dados com suporte para identificar colunas que possam conter dados confidenciais. Com base nos resultados do exame, você pode aplicar algumas ou todas as recomendações de rótulo. A Descoberta e Classificação de Dados é compatível com bancos de dados como o Banco de Dados SQL do Azure, Instância Gerenciada de SQL do Azure e ao Azure Synapse Analytics. A Descoberta e Classificação de Dados SQL é compatível com bancos de dados do SQL Server locais.
  • Atribuições manuais: você pode atribuir um rótulo de confidencialidade a um arquivo do Excel. Você também pode atribuir manualmente rótulos a colunas de banco de dados no Banco de Dados SQL do Azure ou no SQL Server.
  • Rotulagem automática no Microsoft Purview: os rótulos de confidencialidade podem ser aplicados a fontes de dados com suporte registradas como ativos no Mapa de Dados do Microsoft Purview.

Aviso

Os detalhes de como atribuir rótulos de confidencialidade a uma fonte de dados estão fora do escopo deste artigo. As funcionalidades técnicas estão evoluindo em relação ao que tem suporte para herança no Power BI. Recomendamos realizar uma prova técnica de conceito para verificar suas metas, facilidade de uso e se os recursos atendem às suas necessidades.

A herança ocorrerá somente quando você habilitar a configuração de locatárioAplicar rótulos de confidencialidade de fontes de dados a seus dados no Power BI. Para obter informações sobre as configurações de locatário, consulte a seção Configurações de locatário do Power BI mais adiante neste artigo.

Dica

Você precisará se familiarizar com o comportamento de herança. Inclua várias circunstâncias em seu plano de teste.

Lista de verificação: ao planejar a herança de rótulos de fontes de dados, as principais decisões e ações incluem:

  • Decidir se o Power BI deve herdar rótulos de fontes de dados: decida se o Power BI deve herdar esses rótulos. Planeje habilitar a configuração de locatário para permitir essa funcionalidade.
  • Analisar os pré-requisitos técnicos: determine se você precisa executar etapas adicionais para atribuir rótulos de confidencialidade a fontes de dados.
  • Testar a funcionalidade de herança de rótulo: conclua uma prova técnica de conceito para testar como a herança funciona. Verifique se o recurso funciona conforme o esperado em várias circunstâncias.
  • Incluir na documentação do usuário: Verifique se as informações sobre herança de rótulos foram adicionadas às diretrizes fornecidas aos usuários. Inclua exemplos realistas na documentação do usuário.

Políticas de rótulo publicadas

Depois de definir um rótulo de confidencialidade, o rótulo pode ser adicionado a uma ou a mais políticas de rótulo. Uma política de rótulo é como você publica o rótulo para que ele possa ser usado. Ele define quais rótulos podem ser usados pelo conjunto de usuários autorizados. Também há outras configurações, como o rótulo padrão e o rótulo obrigatório.

Usar várias políticas de rótulo pode ser útil quando você precisa direcionar diferentes conjuntos de usuários. Você pode definir um rótulo de confidencialidade uma vez e, em seguida, incluir em uma ou mais políticas de rótulo.

Dica

Um rótulo de confidencialidade não estará disponível para uso até que uma política de rótulo que contenha o rótulo seja publicada no portal de conformidade do Microsoft Purview.

Usuários e grupos autorizados

Quando você cria uma política de rótulo, você deve selecionar no mínimo um usuário ou um grupo. A política de rótulo determina quais usuários podem usar o rótulo. Ele permite que os usuários atribuam esse rótulo ao conteúdo específico, como um arquivo do Power BI Desktop, um arquivo do Excel ou um item publicado no serviço do Power BI.

É recomendável manter os usuários e grupos autorizados o mais simples possível. Uma boa regra geral é que os rótulos primários sejam publicados para todos os usuários. Às vezes, é apropriado que um sub-rótulo seja atribuído, ou com escopo, a um subconjunto de usuários.

Recomendamos atribuir grupos em vez de pessoas sempre que possível. O uso de grupos simplifica o gerenciamento da política e reduz a frequência com que ela precisa ser republicada.

Aviso

Usuários e grupos autorizados para um rótulo são diferentes dos usuários atribuídos ao Azure RMS para um rótulo protegido (criptografado). Se um usuário estiver tendo problemas para abrir um arquivo criptografado, investigue as permissões de criptografia para usuários e grupos específicos (que são configurados dentro da configuração de rótulo, em vez de dentro da política de rótulo). Na maioria das situações, recomendamos atribuir os mesmos usuários a ambos. Essa consistência evitará confusão e reduzirá os tíquetes de suporte.

Os usuários e grupos autorizados são definidos no portal de conformidade do Microsoft Purview quando a política de rótulo é publicada.

Lista de verificação: ao planejar usuários e grupos autorizados em sua política de rótulo, as principais decisões e ações incluem:

  • Determinar quais rótulos se aplicam a todos os usuários: discuta e decida quais rótulos de confidencialidade devem estar disponíveis para uso por todos os usuários.
  • Determinar quais sub-rótulos se aplicam a um subconjunto de usuários: discuta e decida se há sub-rótulos que estarão disponíveis para uso apenas por um conjunto específico de usuários ou grupos.
  • Identificar se novos grupos são necessários: determine se novos grupos do Microsoft Entra ID (anteriormente conhecido como Azure Active Directory) precisarão ser criados para dar suporte aos usuários e grupos autorizados.
  • Criar um documento de planejamento: se o mapeamento de usuários autorizados para rótulos de confidencialidade for complicado, crie um mapeamento de usuários e grupos para cada política de rótulo.

Conteúdo de rótulo padrão para o Power BI

Ao criar uma política de rótulo, você pode escolher um rótulo padrão. Por exemplo, o rótulo Uso Interno Geral pode ser definido como o rótulo padrão. Essa configuração afetará os novos itens do Power BI criados no Power BI Desktop ou no serviço do Power BI.

Você pode configurar o rótulo padrão na política de rótulo especificamente para o conteúdo do Power BI, que é separado de outros itens. A maioria das decisões e configurações de proteção de informações se aplica de forma mais ampla. No entanto, a configuração de rótulo padrão (e a configuração de rótulo obrigatório descrita a seguir) se aplica somente ao Power BI.

Dica

Embora você possa definir rótulos padrão diferentes (para conteúdo do Power BI e para conteúdo que não é do Power BI), considere se essa é a melhor opção para os usuários.

É importante entender que uma nova política de rótulo padrão será aplicada ao conteúdo criado ou editado depois que a política de rótulo for publicada. Ele não atribuirá retroativamente o rótulo padrão ao conteúdo existente. O administrador do Power BI pode usar as APIs de proteção de informações para definir rótulos de confidencialidade em massa para garantir que o conteúdo existente seja atribuído a um rótulo de confidencialidade padrão.

As opções de rótulo padrão são definidas no portal de conformidade do Microsoft Purview quando a política de rótulo é publicada.

Lista de verificação: ao planejar se um rótulo padrão para conteúdo do Power BI será aplicado, as principais decisões e ações incluem:

  • Decidir se um rótulo padrão será especificado: discuta e decida se um rótulo padrão é apropriado. Nesse caso, determine qual rótulo é mais adequado como o padrão.
  • Incluir na documentação do usuário: se necessário, verifique se as informações do rótulo padrão são mencionadas nas diretrizes fornecidas para os usuários. O objetivo é que os usuários entendam como determinar se o rótulo padrão é apropriado ou se ele deve ser alterado.

Rotulagem obrigatória de conteúdo do Power BI

A classificação de dados é um requisito regulatório comum. Para atender a esse requisito, você pode optar por exigir que os usuários rotulem todo o conteúdo do Power BI. Esse requisito de rotulagem obrigatória entra em vigor quando os usuários criam ou editam o conteúdo do Power BI.

Você pode optar por implementar rótulos obrigatórios, rótulos padrão (descritos na seção anterior) ou ambos. Você deve considerar os pontos a seguir.

  • Uma política de rótulo obrigatória garante que o rótulo não fique vazio
  • Uma política de rótulo obrigatório exige que os usuários escolham qual deve ser o rótulo
  • Uma política de rótulo obrigatória impede que os usuários removam completamente um rótulo
  • Uma política de rótulo padrão é menos intrusiva para os usuários porque não exige que eles executem uma ação
  • Uma política de rótulo padrão pode resultar em conteúdo rotulado incorretamente, pois um usuário não fez a escolha expressamente
  • Habilitar uma política de rótulo padrão e uma política de rótulo obrigatório pode fornecer benefícios complementares

Dica

Se você optar por implementar rótulos obrigatórios, recomendamos também implementar rótulos padrão.

Você pode configurar a política de rótulo obrigatória especificamente para o conteúdo do Power BI. A maioria das configurações de proteção de informações se aplica de forma mais ampla. No entanto, a configuração de rótulo obrigatório (e a configuração de rótulo padrão) se aplica especificamente ao Power BI.

Dica

Uma política de rótulo obrigatório não é aplicável a entidades de serviço ou APIs.

As opções de rotulagem obrigatória são definidas no portal de conformidade do Microsoft Purview quando a política de rótulo é publicada.

Lista de verificação: ao planejar se a rotulagem obrigatória do conteúdo do Power BI será necessária, as principais decisões e ações incluem:

  • Decidir se os rótulos serão obrigatórios: discuta e decida se os rótulos obrigatórios são necessários por motivos de conformidade.
  • Incluir na documentação do usuário: se necessário, verifique se as informações sobre rótulos obrigatórios são adicionadas às diretrizes fornecidas aos usuários. O objetivo é que o usuários entendam o que esperar.

Requisitos de licenciamento

Você deve ter licenças específicas para trabalhar com rótulos de confidencialidade.

Uma licença de Proteção de Informações do Microsoft Purview é necessária para:

  • Administradores: os administradores que vão configurar, gerenciar e supervisionar os rótulos.
  • Usuários: os criadores e proprietários de conteúdo que serão responsáveis por aplicar rótulos ao conteúdo. Os usuários também incluem aqueles que precisam descriptografar, abrir e exibir arquivos protegidos (criptografados).

Talvez você já tenha essas licenças porque elas estão incluídas em alguns conjuntos de licenças, como a do Microsoft 365 E5. Como alternativa, os recursos de Conformidade do Microsoft 365 E5 podem ser comprados como uma licença autônoma.

Uma licença PPU (Premium por Usuário) ou Power BI Pro também é necessária para usuários que aplicarão e gerenciarão rótulos de confidencialidade no serviço do Power BI ou no Power BI Desktop.

Dica

Se você precisar de esclarecimentos sobre os requisitos de licenciamento, fale com sua equipe de conta Microsoft. Lembre-se de que a licença de Conformidade do Microsoft 365 E5 inclui recursos adicionais que estão fora do escopo deste artigo.

Lista de verificação: ao avaliar os requisitos de licenciamento para rótulos de confidencialidade, as principais decisões e ações incluem:

  • Analisar os requisitos de licenciamento do produto: verifique se você analisou todos os requisitos de licenciamento.
  • Analisar os requisitos de licenciamento do usuário: verifique se todos os usuários que você espera atribuir rótulos têm licenças do Power BI Pro ou PPU.
  • Obter licenças adicionais: se aplicável, adquira mais licenças para desbloquear a funcionalidade que você pretende usar.
  • Atribuir licenças: atribua uma licença a cada usuário que vai atribuir, atualizar ou gerenciar rótulos de confidencialidade. Atribua uma licença a cada usuário que vai interagir com arquivos criptografados.

Configurações de locatário do Power BI

Há várias configurações de locatário do Power BI relacionadas à proteção de informações.

Importante

As configurações de locatário do Power BI para proteção de informações não devem ser definidas até que todos os pré-requisitos sejam atendidos. Os rótulos e as políticas de rótulo devem ser configurados e publicados no portal de conformidade do Microsoft Purview. Até esse momento, você ainda está no processo de tomada de decisão. Antes de definir as configurações de locatário, primeiro você deve determinar um processo para testar a funcionalidade com um subconjunto de usuários. Em seguida, você pode decidir como fazer uma distribuição gradual.

Usuários que podem aplicar rótulos

Você deve decidir quem terá permissão para aplicar rótulos de confidencialidade ao conteúdo do Power BI. Essa decisão determinará como você definirá a configuração de locatárioPermitir que os usuários apliquem rótulos de confidencialidade ao conteúdo.

Normalmente, é o criador ou proprietário de conteúdo que atribui o rótulo durante o fluxo de trabalho normal. A abordagem mais simples é habilitar essa configuração de locatário, que permite que todos os usuários do Power BI apliquem rótulos. Nesse caso, as funções de espaço de trabalho padrão determinarão quem pode editar itens no serviço do Power BI (incluindo a aplicação de um rótulo). Você pode usar o log de atividades para acompanhar quando um usuário atribui ou altera um rótulo.

Rótulos de fontes de dados

Você deve decidir se deseja que os rótulos de confidencialidade sejam herdados de fontes de dados com suporte upstream do Power BI. Por exemplo, se colunas em um Banco de Dados SQL do Azure tiverem sido definidas com o rótulo de confidencialidade Altamente Restrito, um modelo semântico do Power BI que importa dados dessa fonte herdará esse rótulo.

Se você decidir habilitar a herança de fontes de dados upstream, defina a configuração de locatárioAplicar rótulos de confidencialidade de fontes de dados aos seus dados do Power BI. Recomendamos planejar habilitar a herança de rótulos da fonte de dados para promover a consistência e reduzir o trabalho.

Rótulos para conteúdo downstream

Você deve decidir se os rótulos de confidencialidade devem ser herdados pelo conteúdo downstream. Por exemplo, se um modelo semântico do Power BI tiver um rótulo de confidencialidade Altamente Restrito, todos os relatórios downstream herdarão esse rótulo do modelo semântico.

Se você decidir habilitar a herança por conteúdo downstream, defina a configuração de locatárioAplicar automaticamente rótulos de confidencialidade ao conteúdo downstream. Recomendamos planejar habilitar a herança por conteúdo downstream para promover a consistência e reduzir o trabalho.

Substituições do administrador do espaço de trabalho

Essa configuração se aplica a rótulos que foram aplicados automaticamente (como quando os rótulos padrão são aplicados ou quando os rótulos são herdados automaticamente). Quando um rótulo tem configurações de proteção, o Power BI permite que apenas usuários autorizados alterem o rótulo. Essa configuração permite que os administradores do espaço de trabalho alterem um rótulo que foi aplicado automaticamente, mesmo que haja configurações de proteção no rótulo.

Se você decidir permitir atualizações de rótulo, defina a configuração de locatárioPermitir que administradores de espaço de trabalho substituam rótulos de confidencialidade aplicados automaticamente. Essa configuração se aplica a toda a organização (não a grupos individuais). Ele permite que os administradores do espaço de trabalho alterem rótulos que foram aplicados automaticamente.

Recomendamos considerar permitir que os administradores do espaço de trabalho do Power BI atualizem os rótulos. Você pode usar o log de atividades para acompanhar quando eles atribuem ou alteram um rótulo.

Proibir o compartilhamento de conteúdo protegido

Você deve decidir se o conteúdo protegido (criptografado) pode ser compartilhado com todos em sua organização.

Se você decidir proibir o compartilhamento de conteúdo protegido, defina a configuração de locatárioRestringir que conteúdo com rótulos protegidos seja compartilhado por meio de link com todos da sua organização. Essa configuração se aplica a toda a organização (não a grupos individuais).

É altamente recomendável que você planeje habilitar essa configuração de locatário para não permitir o compartilhamento de conteúdo protegido. Quando habilitado, ele proíbe o compartilhamento de operações com toda a organização para conteúdo mais confidencial (definido pelos rótulos que têm criptografia definida). Ao habilitar essa configuração, você reduzirá a possibilidade de vazamento de dados.

Importante

Há uma configuração de locatário chamada Permitir links compartilháveis para conceder acesso a todos na organização. Embora tenha um nome semelhante, sua finalidade é diferente. Ela define quais grupos podem criar um link de compartilhamento para toda a organização, independentemente do rótulo de confidencialidade. Na maioria dos casos, recomendamos que essa capacidade seja limitada em sua organização. Para saber mais, confira o artigo Planejamento de segurança do consumidor de relatórios.

Tipos de arquivo de exportação com suporte

No portal de administração do Power BI, há muitas configurações de locatário de exportação e de compartilhamento. Na maioria das circunstâncias, recomendamos que a capacidade de exportar dados esteja disponível para todos (ou a maioria) os usuários para não limitar a produtividade do usuário.

No entanto, setores altamente regulamentados podem ter um requisito para restringir as exportações quando a proteção de informações não pode ser imposta para o formato de saída. Um rótulo de confidencialidade aplicado no serviço do Power BI segue o conteúdo quando ele é exportado para um caminho de arquivo com suporte. Ele inclui arquivos do Excel, PowerPoint, PDF, e Power BI Desktop. Como o rótulo de confidencialidade permanece com o arquivo exportado, os benefícios de proteção (criptografia que impede que usuários não autorizados abram o arquivo) são mantidos para esses formatos de arquivo com suporte.

Aviso

Ao exportar do Power BI Desktop para um arquivo PDF, a proteção não é mantida para o arquivo exportado. Recomendamos instruir seus criadores de conteúdo a exportar do serviço do Power BI para alcançar a melhor proteção de informações.

Nem todos os formatos de exportação dão suporte à proteção de informações. Formatos sem suporte, como arquivos .csv, .xml, .mhtml ou .png (disponíveis ao usar a API ExportToFile) podem estar desabilitados nas configurações de locatário do Power BI.

Dica

Recomendamos restringir os recursos de exportação somente quando precisar cumprir com os requisitos regulatórios específicos. Em cenários típicos, recomendamos usar o log de atividades do Power BI para identificar quais usuários estão realizando exportações. Em seguida, você pode ensinar esses usuários sobre alternativas mais eficientes e seguras.

Lista de verificação: ao planejar como as configurações de locatário serão configuradas no portal de administração do Power BI, as principais decisões e ações incluem:

  • Decidir quais usuários podem aplicar rótulos de confidencialidade: discuta e decida se os rótulos de confidencialidade podem ser atribuídos ao conteúdo do Power BI por todos os usuários (com base na segurança padrão do Power BI) ou apenas por determinados grupos de usuários.
  • Determinar se os rótulos devem ser herdados de fontes de dados upstream: discuta e decida se os rótulos de fontes de dados devem ser aplicados automaticamente ao conteúdo do Power BI que usa a fonte de dados.
  • Determinar se os rótulos devem ser herdados por itens downstream: discuta e decida se os rótulos atribuídos aos modelos semânticos existentes do Power BI devem ser aplicados automaticamente ao conteúdo relacionado.
  • Decidir se os administradores de espaço de trabalho do Power BI podem substituir rótulos: discuta e decida se é apropriado que os administradores do espaço de trabalho possam alterar rótulos protegidos que foram atribuídos automaticamente.
  • Determinar se o conteúdo protegido pode ser compartilhado com toda a organização: discuta e decida se o compartilhamento de links para "pessoas em sua organização" pode ser criado quando um rótulo protegido (criptografado) tiver sido atribuído a um item no serviço do Power BI.
  • Decidir quais formatos de exportação estão habilitados: identifique os requisitos regulatórios que afetarão quais formatos de exportação estão disponíveis. Discuta e decida se os usuários poderão usar todos os formatos de exportação no serviço do Power BI. Determine se determinados formatos precisam ser desabilitados nas configurações de locatário quando o formato de exportação não dá suporte à proteção de informações.

Política de classificação e proteção de dados

A configuração da estrutura do rótulo e a publicação das políticas de rótulo são as primeiras etapas necessárias. No entanto, há mais trabalho a ser feito para ajudar sua organização a ter êxito na classificação e proteção de dados. É fundamental fornecer diretrizes aos usuários sobre o que pode ou não ser feito com o conteúdo atribuído a um determinado rótulo. É aí que você vai considerar uma política de classificação e proteção de dados útil. Você pode pensar nisso como as diretrizes de rótulo.

Observação

Uma política de proteção e classificação de dados é uma política de governança interna. Você pode escolher chamá-la de algo diferente. O importante é a documentação que você cria e fornece aos usuários para que eles saibam como usar os rótulos com eficiência. Como a política de rótulo é uma página específica no portal de conformidade do Microsoft Purview, tente evitar chamar sua política de governança interna pelo mesmo nome.

Recomendamos criar iterativamente sua política de classificação e proteção de dados enquanto estiver no processo de tomada de decisão. Isso significa que tudo está claramente definido quando é hora de configurar os rótulos de confidencialidade.

Aqui estão algumas das principais informações que você pode incluir em sua política de classificação e proteção de dados.

  • Descrição do rótulo: além do nome do rótulo, forneça uma descrição completa do rótulo. A descrição deve ser clara, mas breve. Veja a seguir algumas descrições de exemplo:
    • Uso Interno Geral: para dados privados, internos e comerciais
    • Restrito: para dados comerciais confidenciais que causariam danos se comprometidos ou estão sujeitos a requisitos regulatórios ou de conformidade
  • Exemplos: exemplifique quando usar o rótulo. Aqui estão alguns exemplos:
    • Uso Interno Geral: para a maioria das comunicações internas, dados de suporte não confidenciais, respostas de pesquisa, revisões, classificações e dados de localização imprecisos
    • Restrito: para dados de PII (informações de identificação pessoal), como nome, endereço, telefone, e-mail, número de identidade do governo, raça ou etnia. Inclui contratos de fornecedores e parceiros, dados financeiros não públicos, dados de funcionários e RH (recursos humanos). Também inclui informações proprietárias, propriedade intelectual e dados de localização precisos.
  • Rótulo necessário: descreve se a atribuição de um rótulo é obrigatória para todo o conteúdo novo e alterado.
  • Rótulo padrão: descreve se esse rótulo é um rótulo padrão que é aplicado automaticamente ao novo conteúdo.
  • Restrições de acesso: informações adicionais que esclarecem se usuários internos e/ou externos têm permissão para ver o conteúdo atribuído a esse rótulo. Aqui estão alguns exemplos:
    • Todos os usuários, incluindo usuários internos, usuários externos e terceiros com NDA (contrato de confidencialidade) ativo em vigor, podem acessar essas informações.
    • Apenas os usuários internos podem acessar essas informações. Parceiros, fornecedores, prestadores de serviços ou terceiros não podem, independentemente do status do NDA ou do contrato de confidencialidade.
    • O acesso interno às informações é baseado na autorização da função de trabalho.
  • Requisitos de criptografia: descreve se os dados devem ser criptografados em repouso e em trânsito. Essas informações serão correlacionadas à forma como o rótulo de confidencialidade é configurado e afetarão as políticas de proteção que podem ser implementadas para criptografia de arquivo (RMS).
  • Downloads permitidos e/ou acesso offline: descreve se o acesso offline é permitido. Ele também pode definir se os downloads são permitidos para dispositivos organizacionais ou pessoais.
  • Como solicitar uma exceção: descreve se um usuário pode solicitar uma exceção à política padrão e como isso pode ser feito.
  • Frequência de auditoria: especifica a frequência das revisões de conformidade. Rótulos com mais confidencialidade devem envolver processos de auditoria mais frequentes e completos.
  • Outros metadados: uma política de dados requer mais metadados, como proprietário da política, aprovador e data de efetivação.

Dica

Ao criar sua política de proteção e classificação de dados, concentre-se em torná-la uma referência simples para os usuários. Deve ser a mais curta e breve possível. Se for muito complexa, os usuários nem sempre terão tempo para entendê-la.

Uma forma de automatizar a implementação de uma política, como, por exemplo, a política de classificação e proteção de dados, é usando os termos de uso do Microsoft Entra. Quando uma política de termos de uso é configurada, os usuários são obrigados a reconhecer a política antes de poderem acessar o serviço do Power BI pela primeira vez. Também é possível pedir que eles concordem novamente de forma recorrente, por exemplo, a cada 12 meses.

Lista de verificação: ao planejar a política interna para controlar as expectativas de uso de rótulos de confidencialidade, as principais decisões e ações incluem:

  • Criar uma política de classificação e proteção de dados: para cada rótulo de confidencialidade em sua estrutura, crie um documento de política centralizado. Este documento deve definir o que pode ou não ser feito com o conteúdo que foi atribuído a cada rótulo.
  • Chegar em um consenso sobre a política de classificação e proteção de dados: verifique se todas as pessoas necessárias na equipe que você reuniu concordaram com as provisões.
  • Considere como lidar com exceções à política: organizações altamente descentralizadas devem considerar se as exceções podem surgir. Embora seja preferível ter uma política de proteção e classificação de dados padronizada, decida como você abordará exceções quando novas solicitações forem feitas.
  • Considerar onde estabelecer sua política interna: considere onde a política de classificação e proteção de dados deve ser publicada. Verifique se todos os usuários podem acessá-la facilmente. Planeje incluí-la na página de ajuda personalizada ao publicar a política de rótulo.

Documentação e treinamento do usuário

Antes de distribuir a funcionalidade de proteção de informações, recomendamos criar e publicar a documentação de diretrizes para seus usuários. O objetivo da documentação é alcançar uma experiência de usuário perfeita. Preparar as diretrizes para seus usuários também ajudará você a ter certeza de que considerou tudo.

Você pode publicar as diretrizes como parte da página de ajuda personalizada do rótulo de confidencialidade. Uma página do SharePoint ou uma página wiki em seu portal centralizado pode funcionar bem porque será fácil de manter. Um documento carregado em uma biblioteca compartilhada ou site do Teams também é uma boa solução. A URL da página de ajuda personalizada é especificada no portal de conformidade do Microsoft Purview quando você publica a política de rótulo.

Dica

A página de ajuda personalizada é um recurso importante. Os links para ela são disponibilizados em vários aplicativos e serviços.

A documentação do usuário deve incluir a política de classificação e proteção de dados descrita anteriormente. Essa política interna é direcionada a todos os usuários. Os usuários interessados incluem criadores de conteúdo e consumidores que precisam entender as implicações para rótulos que foram atribuídos por outros usuários.

Além da política de classificação e proteção de dados, recomendamos preparar diretrizes para seus criadores de conteúdo e proprietários sobre:

  • Exibição de rótulos: informações sobre o que cada rótulo significa. Correlacione cada rótulo com sua política de classificação e proteção de dados.
  • Atribuição de rótulos: diretrizes sobre como atribuir e gerenciar rótulos. Inclua informações que eles precisarão saber, como rótulos obrigatórios, rótulos padrão e como funciona a herança de rótulo.
  • Fluxo de trabalho: sugestões de como atribuir e analisar rótulos como parte do seu fluxo de trabalho normal. Os rótulos podem ser atribuídos no Power BI Desktop assim que o desenvolvimento começar, o que protege o arquivo original do Power BI Desktop durante o processo de desenvolvimento.
  • Notificações situacionais: conscientização sobre as notificações geradas pelo sistema que os usuários podem receber. Por exemplo, um site do SharePoint é atribuído a um determinado rótulo de confidencialidade, mas um arquivo individual foi atribuído a um rótulo mais confidencial (superior). O usuário que atribuiu o rótulo superior receberá uma notificação por email informando que o rótulo atribuído ao arquivo é incompatível com o site onde ele está armazenado.

Inclua informações sobre com quem os usuários devem falar em caso de dúvidas ou problemas técnicos. Como a proteção de informações é um projeto de toda a organização, o suporte geralmente é fornecido pela TI.

Perguntas frequentes e exemplos são especialmente úteis para a documentação do usuário.

Dica

Alguns requisitos regulatórios incluem um componente de treinamento específico.

Lista de verificação: ao preparar a documentação e o treinamento do usuário, as principais decisões e ações incluem:

  • Identificar quais informações incluir: determine quais informações devem ser incluídas para que todas as audiências relevantes entendam o que é esperado delas quando se trata de proteger dados em nome da organização.
  • Publicar a página de ajuda personalizada: crie e publique uma página de ajuda personalizada. Inclua diretrizes sobre rotulagem na forma de perguntas frequentes e exemplos. Inclua um link para acessar a política de classificação e proteção de dados.
  • Publicar a política de classificação e proteção de dados: publique o documento da política que define o que exatamente pode ou não ser feito com o conteúdo atribuído a cada rótulo.
  • Determinar se é necessário treinamento específico: crie ou atualize o treinamento do usuário para incluir informações úteis, principalmente se houver um requisito regulatório para fazer isso.

Suporte ao usuário

É importante verificar quem será responsável pelo suporte ao usuário. É comum que os rótulos de confidencialidade tenham o suporte da ajuda centralizada de TI.

Talvez seja necessário criar diretrizes para o suporte técnico (às vezes conhecido como runbook). Talvez você também precise realizar sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para responder às solicitações de suporte.

Lista de verificação: ao se preparar para a função de suporte ao usuário, as principais decisões e ações incluem:

  • Identificar quem fornecerá suporte ao usuário: quando você estiver definindo funções e responsabilidades, certifique-se de incluir como os usuários obterão ajuda com problemas relacionados à proteção de informações.
  • Certificar-se de que a equipe de suporte ao usuário está pronta: crie a documentação e realize sessões de transferência de conhecimento para garantir que o suporte técnico esteja pronto para dar suporte à proteção de informações. Enfatize aspectos complexos que podem confundir os usuários, como a proteção de criptografia.
  • Comunicar-se entre as equipes: discuta os processos e as expectativas com a equipe de suporte, bem como com seus administradores do Power BI e do Centro de Excelência. Garanta que todos os envolvidos estejam preparados para possíveis perguntas de usuários do Power BI.

Resumo da implementação

Depois que as decisões forem tomadas e os pré-requisitos forem atendidos, é hora de começar a implementar a proteção de informações de acordo com seu plano de distribuição gradual.

A lista de verificação a seguir inclui uma lista resumida das etapas de implementação do começo ao fim. Muitas das etapas têm outras informações que foram abordadas nas seções anteriores deste artigo.

Lista de verificação: ao implementar a proteção de informações, as principais decisões e ações incluem:

  • Verificar o estado e as metas atuais: verifique se você tem conhecimento sobre o estado atual de proteção de informações na organização. Todas as metas e os requisitos para implementar a proteção de informações devem ser claros e usados ativamente para impulsionar o processo de tomada de decisão.
  • Tomar decisões: analise e discuta todas as decisões necessárias. Essa tarefa deve ocorrer antes de configurar qualquer coisa em produção.
  • Analisar os requisitos de licenciamento: entenda os requisitos de licenciamento de produtos e licenciamento de usuário. Se necessário, obtenha e atribua mais licenças.
  • Publicar a documentação do usuário: publique sua política de classificação e proteção de dados. Crie uma página de ajuda personalizada com as informações relevantes que os usuários precisarão.
  • Preparar a equipe de suporte: realize sessões de transferência de conhecimento para garantir que a equipe de suporte esteja pronta para lidar com as perguntas dos usuários.
  • Criar os rótulos de confidencialidade: configure cada um dos rótulos de confidencialidade no portal de conformidade do Microsoft Purview.
  • Publicar uma política de rótulo de confidencialidade: crie e publique uma política de rótulo no portal de conformidade do Microsoft Purview. Comece testando com um pequeno grupo de usuários.
  • Definir as configurações de locatário do Power BI: no portal de administração do Power BI, defina as configurações do locatário de proteção de informações.
  • Executar os testes iniciais: execute um conjunto inicial de testes para verificar se tudo está funcionando corretamente. Use um locatário de não produção para o teste inicial, se disponível.
  • Coletar comentários do usuário: publique a política de rótulo em um pequeno subconjunto de usuários dispostos a testar a funcionalidade. Colete comentários sobre o processo e a experiência do usuário.
  • Continuar as versões iterativas: publique a política de rótulo em outros grupos de usuários. Integre mais grupos de usuários até que toda a organização seja incluída.

Dica

Os itens desta lista de verificação estão resumidos para fins de planejamento. Para obter mais informações sobre os itens desta lista de verificação, consulte as seções anteriores deste artigo.

Monitoramento contínuo

Depois de concluir a implementação, você deve direcionar sua atenção para o monitoramento e ajuste dos rótulos de confidencialidade.

Os administradores do Power BI e os administradores de segurança e conformidade precisarão colaborar periodicamente. Para o conteúdo do Power BI, há duas audiências preocupadas com o monitoramento.

  • Administradores do Power BI: uma entrada no log de atividades do Power BI é registrada sempre que um rótulo de confidencialidade é atribuído ou alterado. A entrada do log de atividades registra detalhes do evento, incluindo usuário, data e hora, nome do item, espaço de trabalho e capacidade. Outros eventos do log de atividades (como quando um relatório é exibido) incluirão a ID do rótulo de confidencialidade atribuída ao item.
  • Administradores de segurança e conformidade: os administradores de segurança e conformidade da organização normalmente usarão relatórios, alertas e logs de auditoria do Microsoft Purview.

Lista de verificação: ao monitorar a proteção de informações, as principais decisões e ações incluem:

  • Verificar funções e responsabilidades: certifique-se de que você tenha conhecimento sobre quem é responsável por quais ações. Instrua e comunique-se com seus administradores de segurança ou administradores do Power BI, se eles serão diretamente responsáveis por alguns aspectos.
  • Criar ou validar seu processo para analisar a atividade: verifique se os administradores de segurança e conformidade conhecem as expectativas para analisar o gerenciador de atividades regularmente.

Dica

Para obter mais informações sobre auditoria, consulte Auditoria de proteção de informações e prevenção contra perda de dados para o Power BI.

Conteúdo relacionado

No próximo artigo desta série, saiba mais sobre a prevenção contra perda de dados para o Power BI.