Plánovanie implementácie služby Power BI: Ochrana pred únikom údajov pre Power BI

Poznámka

Tento článok je súčasťou série článkov k plánovaniu implementácie služby Power BI. Táto séria sa zameriava predovšetkým na prostredie služby Power BI v rámci služby Microsoft Fabric. Úvod do série nájdete v téme Plánovanie implementácie služby Power BI.

Tento článok popisuje plánovanie aktivít súvisiacich s implementáciou ochrany pred únikom údajov v službe Power BI. Je zameraná na:

• Správcovia služby Power BI: správcovia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii. Správcovia služby Power BI musia spolupracovať s tímami zabezpečenia informácií a inými relevantnými tímami.
• Centrum excelentnosti, IT a tímy BI: ostatní používatelia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii. Možno budú musieť spolupracovať so správcami služby Power BI, tímami zabezpečenia informácií a ďalšími relevantnými tímami.

Dôležité

Ochrana pred únikom údajov je významný podnik v celej organizácii. Jej rozsah a vplyv sú oveľa väčšie ako len v samotnej službe Power BI. Tento typ iniciatívy si vyžaduje financovanie, určenie priority a plánovanie. Očakávajte, že do plánovania, používania a dozoru bude zapojených niekoľko tímov krížovej funkčnosti.

Odporúčame, aby ste postupovali postupne, postupne sa zavádzala DLP pre Power BI. Popis typov fáz zavádzania, ktoré by ste mali zvážiť, nájdete v téme Ochrana informácií pre službu Power BI (fázy zavádzania).

Účel ochrany pred únikom údajov

Ochrana pred únikom údajov (DLP) sa vzťahuje na aktivity a postupy, ktoré zabezpečujú údaje organizácie. Cieľom ochrany pred únikom údajov je znížiť riziko úniku údajov, ku ktorému môže dôjsť, keď sa citlivé údaje zdieľajú s neoprávnenými používateľmi. Hoci správanie zodpovedných používateľov je kľúčovou súčasťou ochrany údajov, DLP zvyčajne odkazuje na automatizované politiky.

DLP vám umožňuje:

• Detegujte a informujte správcov, keď dôjde k riskantnému, neúmyselnému alebo nevhodnému zdieľaní citlivých údajov. Konkrétne vám umožňuje:
  • Zlepšite celkové nastavenie zabezpečenia nájomníka služby Power BI pomocou automatizácie a informácií.
  • Povoliť analytické prípady použitia, ktoré zahŕňajú citlivé údaje.
  • Poskytovať informácie o auditovaní správcom zabezpečenia.
• Poskytnutie kontextových oznámení používateľom. Konkrétne vám umožňuje:
  • Pomôžte používateľom správne rozhodovať sa počas normálneho pracovného postupu.
  • Usmernite používateľov, aby dodržiavali svoju politiku klasifikácie údajov a ochrany bez negatívneho vplyvu na ich produktivitu.

Služby DLP

Všeobecne existujú dve rôzne služby, ktoré môžu implementovať ochranu pred únikom údajov.

• Politiky ochrany pred únikom údajov služby Microsoft Purview pre Power BI
• Microsoft Defender for Cloud Apps

Politiky ochrany pred únikom údajov služby Microsoft Purview pre Power BI

Politika ochrany pred únikom údajov pre službu Power BI je nastavená v portál na správu dodržiavania súladu Microsoft Purview. Dokáže rozpoznať citlivé údaje v sémantickom modeli (predtým známom ako množina údajov), ktorý bol publikovaný v pracovnom priestore Premium v služba Power BI.

Dôležité

V čase, keď sa tento článok týka služby Power BI Premium alebo jej predplatných kapacity (skladové jednotky SKU P). Spoločnosť Microsoft v súčasnosti konsoliduje možnosti nákupu a vyradí skladové jednotky SKU služby Power BI Premium na kapacitu. Noví a existujúci zákazníci by namiesto toho mali zvážiť zakúpenie predplatného kapacity služby Fabric (skladové jednotky F SKU).

Ďalšie informácie nájdete v téme Dôležitá aktualizácia pre licencie Power BI Premium a Power BI Premium: najčastejšie otázky.

Cieľom tohto typu politiky ochrany pred únikom údajov je informovať používateľov a informovať správcov o tom, kde sú uložené citlivé údaje. Politika DLP môže generovať oznámenia používateľov a upozornenia správcu na základe typov citlivých informácií alebo označení citlivosti. Môžete napríklad určiť, či sú informácie o kreditnej karte alebo informácie umožňujúce osobnú identifikáciu (PII) uložené v sémantickom modeli.

Poznámka

Na DLP pre Power BI sa zameriava tento článok.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps je nástroj s mnohými funkciami. Niektoré politiky, ktoré je možné nastaviť v aplikácii Microsoft Defender for Cloud Apps (s integráciou s identifikáciou Microsoft Entra ID – predtým známou ako Azure Active Directory), zahŕňajú DLP. Tieto politiky môžu zablokovať, zaznamenať do denníka alebo upozorniť, keď sa určité aktivity používateľa uskutočnia. Ak sa napríklad používateľ pokúsi stiahnuť zostavu zo služba Power BI, ktoré má priradené označenie citlivosti Vysoko obmedzené, akcia sťahovania je zablokovaná.

Článok v článku Defender for Cloud Apps for Power BI zahŕňa používanie služby Defender for Cloud Apps na monitorovanie služba Power BI. Zvyšok tohto článku sa zameriava na DLP pre Power BI.

Dôležité

Politiku ochrany pred únikom údajov pre službu Power BI, ktorá je nastavená v portál na správu dodržiavania súladu Microsoft Purview, možno použiť len pre obsah uložený v pracovnom priestore Power BI Premium. Politiky, ktoré sú nastavené v aplikáciách Defender for Cloud Apps, však nemajú podobný predpoklad pre Power BI Premium. Funkčnosť, účel a dostupné akcie sa pre tieto dve súpravy nástrojov líšia. Ak chcete dosiahnuť maximálny efekt, odporúčame zvážiť použitie oboch súprav nástrojov.

Požiadavky na DLP pre Power BI

Už by ste mali dokončiť kroky plánovania na úrovni organizácie, ktoré sú popísané v článku Information Protection for Power BI . Pred pokračovaním by ste mali mať prehľad o:

• Aktuálny stav: aktuálny stav DLP vo vašej organizácii. Mali by ste vedieť, do akej miery sa DLP už používa, a kto je zodpovedný za jej spravovanie.
• Ciele a požiadavky: Strategické ciele implementácie ochrany pred únikom údajov vo vašej organizácii. Pochopenie cieľov a požiadaviek bude slúžiť ako pomôcka pre vaše úsilie o implementáciu.

Zvyčajne implementujete ochranu informácií (ako je popísané v článku Ochrana informácií pre službu Power BI ) ešte pred implementáciou ochrany pred únikom údajov. To však nie je nevyhnutný predpoklad na používanie ochrany pred únikom údajov v službe Power BI. Ak sú označenia citlivosti publikované, možno ich použiť s DLP pre Power BI. S DLP môžete v službe Power BI použiť aj typy citlivých informácií. Oba typy sú popísané v tomto článku.

Kľúčové rozhodnutia a akcie

Zámerom politiky DLP je vytvoriť automatizovanú akciu založenú na pravidlách a podmienkach na základe obsahu, ktorý chcete chrániť. Budete musieť urobiť niekoľko rozhodnutí o pravidlách a podmienkach, ktoré podporia vaše ciele a požiadavky.

Výhodou definovania samostatných pravidiel v rámci jednej politiky ochrany pred únikom údajov je, že môžete povoliť prispôsobené upozornenia alebo oznámenia používateľov.

Zoznam politík ochrany pred únikom údajov má hierarchickú prioritu, ako aj pravidlá politiky ochrany pred únikom údajov, ktoré je potrebné vziať do úvahy. Poradie podľa priority ovplyvní to, ktorá politika sa vyvolá, keď sa vyskytne skôr.

Výstraha

Táto časť nie je úplný zoznam všetkých možných rozhodnutí o DLP pre všetky možné aplikácie. Zabezpečte, aby ste v spolupráci s inými zainteresovanými stranami a správcami systému prijímali rozhodnutia, ktoré fungujú správne vo všetkých aplikáciách a prípadoch použitia. Odporúčame napríklad preskúmať ďalšie politiky ochrany pred únikom údajov na ochranu zdrojových súborov a exportovaných súborov, ktoré sú uložené vo OneDrive alebo SharePointe. Táto množina článkov sa zameriava len na obsah v služba Power BI.

Typ citlivých údajov

Politika DLP pre službu Power BI, ktorá je nastavená v portál na správu dodržiavania súladu Microsoft Purview, môže byť založená na označení citlivosti alebo na type citlivých informácií.

Dôležité

Aj keď môžete priradiť označenia citlivosti väčšine typov položiek v službe Power BI, politiky ochrany pred únikom údajov popísané v tomto článku sú zamerané konkrétne na sémantické modely. Sémantický model musí byť publikovaný v pracovnom priestore Premium.

Označenie citlivosti

Označenia citlivosti môžete použiť na klasifikáciu obsahu od menej citlivého až po citlivejšie.

Keď sa vyvolá politika DLP pre Power BI, pravidlo označenia citlivosti skontroluje sémantické modely (ktoré sú publikované v služba Power BI) z dôvodu prítomnosti určitého označenia citlivosti. Ako je popísané v článku Information Protection for Power BI , označenie môže byť priradené buď používateľovi, alebo automatizovaným procesom (napríklad zdedeným označením alebo predvoleným označením).

Uvádzame niekoľko príkladov, kedy by ste mohli vytvoriť pravidlo DLP na základe označenia citlivosti.

• Dodržiavanie právnych predpisov: Máte označenie citlivosti vyhradené pre údaje, na ktoré sa vzťahujú určité regulačné požiadavky. Chcete zvýšiť upozornenie pre správcov zabezpečenia, keď používatelia priradia toto označenie citlivosti k sémantickému modelu v služba Power BI.
• Pripomenutia pre tvorcov obsahu o dôverných údajoch: Máte označenie citlivosti, ktoré sa používa pre dôverné údaje. Chcete vygenerovať oznámenie používateľa, keď si používateľ zobrazí stránku sémantického modelu s podrobnosťami v rámci údajového centra v služba Power BI. Používateľom môžete napríklad pripomenúť, ako správne narábať s dôvernými údajmi.

Ďalšie informácie o oznámeniach používateľov a upozorneniach sú popísané v tejto nasledujúcej časti tohto článku.

Kontrolný zoznam – pri zvažovaní potrieb pravidiel označenia citlivosti sú kľúčové rozhodnutia a akcie zahrnuté:

• Overenie aktuálneho stavu ochrany informácií: Zabezpečte, aby boli označenia citlivosti nasadené v organizácii a aby boli pripravené na použitie v politikách ochrany pred únikom údajov.
• Kompilovanie prípadov použitia pre DLP na základe označení citlivosti: Zistite, ktoré označenia citlivosti by mohli využívať politiky ochrany pred únikom údajov. Zvážte svoje ciele, predpisy a interné požiadavky.
• Uprednostnenie zoznamu prípadov použitia pre DLP na základe označení citlivosti: Prediskutujte hlavné priority so svojím tímom. Identifikujte, ktoré položky chcete stanoviť ako priority vo vašom projektovom pláne.

Poznámka

Politiky ochrany pred únikom údajov sú zvyčajne automatizované. Zodpovedné akcie používateľov však zohrávajú kľúčovú úlohu aj pri ochrane údajov.

Ďalšie informácie nájdete v téme Information Protection pre Power BI (Politika klasifikácie údajov a ochrany údajov). Popisuje politiku interného riadenia, ktorá poskytuje usmernenie o tom, čo používatelia môžu a nemôžu robiť s obsahom, ktorý bol priradený k určitému označeniu citlivosti.

Typy citlivých informácií

Niektoré typy údajov nie sú rovnaké. určité typy údajov sú vo svojej podstate citlivejšie ako ostatné. Existuje mnoho rôznych typov citlivých informácií (SITs). V závislosti od vášho odvetvia a požiadaviek na dodržiavanie súladu sa na vašu organizáciu budú vzťahovať len niektoré obmedzenia SIT.

Medzi bežné príklady obmedzení sietnových obmedzení (SITs) patria:

• Číslo pasu, sociálneho poistenia a čísla licencií vodiča
• Bankové konto a smerovacie čísla
• Čísla kreditnej karty a debetnej karty
• Daňové identifikačné údaje a vnútroštátne čísla IDENTIFIKÁCIE
• Čísla ID stavu a lekárske informácie
• Fyzické adresy
• Kľúče kont, heslá a databázové reťazec pripojenia

Tip

Ak citlivé údaje nemajú analytickú hodnotu, položte si otázku, či sa majú nachádzať v analytickom systéme. Odporúčame, aby ste informovali svojich tvorcov obsahu, aby im pomohli prijímať dobré rozhodnutia o tom, ktoré údaje chcete uložiť v službe Power BI.

Hodnoty SITs sú klasifikátory založené na vzoroch. Pomocou regulárnych výrazov nájdu v texte známy vzor.

V portál na správu dodržiavania súladu Microsoft Purview nájdete mnoho vopred nakonfigurovaných rozhraní SITs. Ak spĺňajú vaše požiadavky, mali by ste použiť vopred nakonfigurované SIT, aby ste ušetrili čas. Zoberme si číslo kreditnej karty vopred nakonfigurované SIT: Zisťuje správne vzory pre všetkých hlavných vydavateľov kariet, zaisťuje platnosť súčtu a hľadá príslušné kľúčové slovo v blízkosti čísla kreditnej karty.

Ak vopred nakonfigurované rozhrania SITs nevyhovujú vašim potrebám alebo máte vzory vlastníckych údajov, môžete vytvoriť vlastné sedenie. Môžete napríklad vytvoriť vlastné SIT tak, aby sa zhodovala so vzorom čísla ID zamestnanca.

Po nastavení SIT sa politika ochrany pred únikom údajov pre Power BI vyvolá pri nahratí alebo obnovení sémantického modelu. V takom prípade pravidlo typu citlivých informácií skontroluje sémantické modely (vo služba Power BI) z dôvodu výskytu citlivých typov informácií.

Uvádzame niekoľko príkladov, kedy môžete vytvoriť pravidlo DLP založené na citlivom type informácie.

• Súlad s predpismi: Máte typ citlivých informácií, ktorý podlieha regulačným požiadavkám. Chcete vygenerovať upozornenie pre správcov zabezpečenia, keď sa tento typ údajov zistí v rámci sémantického modelu v služba Power BI.
• Interné požiadavky: Máte typ citlivých informácií, ktorý si vyžaduje špeciálne spracovanie. Ak chcete spĺňať interné požiadavky, chcete vygenerovať oznámenie používateľa, keď používateľ zobrazí sémantické nastavenia modelu alebo stránku sémantického modelu s podrobnosťami v centre údajov (v služba Power BI).

Kontrolný zoznam – pri zvažovaní potrieb typov citlivých informácií zahŕňajú kľúčové rozhodnutia a akcie:

• Kompilujte prípady použitia pre DLP založené na citlivých typoch informácií: Určte, ktoré typy citlivých informácií by mohli využívať politiky ochrany pred únikom údajov. Zvážte svoje ciele, predpisy a interné požiadavky.
• Otestovanie existujúcich citlivých typov informácií: V spolupráci s tímom zabezpečenia informácií overte, či vopred nakonfigurované rozhrania SITs spĺňajú vaše potreby. Pomocou testovacích údajov potvrďte, že vzory a kľúčové slová sú správne rozpoznané.
• Vytvorenie vlastných typov citlivých informácií: Ak je to vhodné, pracujte s tímom zabezpečenia informácií na vytváraní identifikátorov SITs, aby ich bolo možné použiť v DLP v službe Power BI.
• Uprednostnenie zoznamu prípadov použitia: Prediskutujte hlavné priority so svojím tímom. Identifikujte, ktoré položky chcete stanoviť ako priority vo vašom projektovom pláne.

Upozornenia používateľa

Keď ste identifikovali prípady použitia pre DLP s označeniami citlivosti a obmedzeniami SIT, mali by ste ďalej zvážiť, čo sa stane, keď sa vyskytne zhoda s pravidlom DLP. Zvyčajne ide o oznámenie používateľa.

Oznámenia používateľov o politikách ochrany pred únikom údajov sú tiež známe ako tipy týkajúce sa politík. Sú užitočné vtedy, keď chcete používateľom počas bežnej práce poskytovať väčší sprievodný materiál a informovanosť. Je pravdepodobnejšie, že používatelia budú čítať a prijímať upozornenia používateľov, ak sú:

• Konkrétne: Korelácia správy k pravidlu uľahčuje pochopenie.
• Akcia: Ponúka návrh, čo používateľ potrebuje urobiť, alebo ako nájsť ďalšie informácie.

V prípade ochrany pred únikom údajov v službe Power BI sa oznámenia používateľa zobrazia v sémantických nastaveniach modelu. Zobrazujú sa aj v hornej časti stránky s podrobnosťami o sémantickom modeli v centre údajov, ako je znázornené na nasledujúcej snímke obrazovky. V tomto prípade bude oznámenie znieť: Tieto údaje obsahujú kreditné karty. Tento typ údajov nie je v službe Power BI povolený v rámci politík klasifikácie údajov, ochrany a používania.

Pre každú politiku ochrany pred únikom údajov môžete definovať aspoň jedno pravidlo. Každé pravidlo môže voliteľne mať iný tip politiky, ktorý sa zobrazí používateľom.

Pozrite si nasledujúci príklad toho, ako by ste mohli definovať politiku DLP na zisťovanie finančných údajov uložených v sémantických modeloch v služba Power BI. Politika DLP používa rozhrania SITs a má dve pravidlá.

• Pravidlo 1: Prvé pravidlo zistí čísla kreditných kariet. Prispôsobený text tipu politiky znie: Tieto údaje obsahujú čísla kreditných kariet. Tento typ údajov nie je v službe Power BI povolený v rámci politiky klasifikácie a ochrany údajov.
• Pravidlo 2: Druhé pravidlo zistí finančné účty. Prispôsobený text tipu politiky znie: Tieto údaje obsahujú citlivé finančné informácie. Vyžaduje sa použitie označenia Vysoko obmedzené. Požiadavky pri ukladaní finančných údajov nájdete v politike klasifikácie údajov a ochrany údajov.

Pravidlo 1 je naliehavejšie ako pravidlo 2. Cieľom pravidla 1 je oznámiť, že sa vyskytol problém, ktorý si vyžaduje akciu. Druhé pravidlo je viac informačné. V prípade naliehavých problémov je vhodné nastaviť upozorňovanie. Upozorňovanie správcov je popísané v nasledujúcej časti.

Pri rozhodovaní o tom, aké oznámenia by mali používatelia dostávať, sa odporúča zamerať sa na zobrazovanie iba veľmi dôležitých oznámení. Ak je príliš veľa oznámení o politikách, používatelia ich môžu zahltiť. Výsledkom je, že niektoré oznámenia sa môžu prehliadnuť.

Používatelia môžu prijať opatrenia nahlásením problému , keď sa domnievajú, že je falošne pozitívny (nesprávne informácie). Takisto je možné povoliť používateľovi prepísať politiku. Tieto možnosti sú určené na to, aby umožňovali komunikáciu medzi používateľmi služby Power BI a správcami zabezpečenia, ktorí spravujú DLP pre Power BI.

Kontrolný zoznam – pri zvážení oznámení používateľov DLP sú kľúčové rozhodnutia a akcie:

• Rozhodnite sa, kedy budú potrebné oznámenia používateľa: Pre každé pravidlo DLP, ktoré chcete vytvoriť, určite, či sa vyžaduje vlastné oznámenie používateľa.
• Vytvorenie prispôsobených tipov pre politiky: Pri každom oznámení definujte, ktorá správa sa má zobraziť používateľom. Plánujete správu priradiť k pravidlu DLP tak, aby bolo konkrétne a použiteľné.

upozorňovanie Spravovanie istrátora

Upozorňovanie je užitočné pre určité pravidlá ochrany pred únikom údajov, ak chcete sledovať incidenty, keď došlo k porušeniu politiky. Pri definovaní pravidiel politiky ochrany pred únikom údajov zvážte, či sa majú vygenerovať upozornenia.

Tip

Upozornenia sú navrhnuté tak, aby upriamia pozornosť správcu na určité situácie. Najvhodnejšie sú vtedy, keď plánujete aktívne skúmať a riešiť dôležité upozornenia. V prieskumníkovi aktivity môžete v portál na správu dodržiavania súladu Microsoft Purview nájsť všetky zhody pravidiel DPS.

Upozorňovanie je užitočné, ak chcete:

• Upovedomte správcov zabezpečenia a dodržiavania súladu, že sa niečo vyskytlo prostredníctvom tabule správy upozornení DLP. Voliteľne môžete odoslať e-mail konkrétnej množine používateľov.
• Pozrite si ďalšie podrobnosti o udalosti, ktorá sa vyskytla.
• Priraďte udalosti niekomu, kto ju má preskúmať.
• Spravujte stav udalosti alebo do nej pridajte komentáre.
• Zobrazenie ďalších upozornení vygenerovaných pre aktivitu tým istým používateľom.

Každé upozornenie môže byť definované úrovňou závažnosti, ktorá môže byť nízka, stredná alebo vysoká. Úroveň závažnosti pomáha uprednostniť kontrolu otvorených upozornení.

Tu sú dva príklady použitia upozornení.

Príklad 1: Definovali ste politiku ochrany pred únikom údajov na zisťovanie finančných údajov uložených v sémantických modeloch v služba Power BI. Politika DLP používa typy citlivých informácií. Má dve pravidlá.

• Pravidlo 1: Toto pravidlo zistí čísla kreditných kariet. Upozorňovanie je povolené s vysokou závažnosťou. Vygeneruje sa aj e-mail.
• Pravidlo 2: Toto pravidlo zistí finančné účty. Upozorňovanie je povolené s vysokou závažnosťou.

Príklad 2: Definovali ste politiku DLP, ktorá sa vyvolá, keď je označenie citlivosti Vysoko obmedzené\Výkonný výbor a členovia rady priradené k sémantickému modelu v služba Power BI. Negeneruje oznámenie používateľa. V takejto situácii možno nebudete chcieť vygenerovať upozornenie, pretože chcete zapísať výskyt iba do denníka. Ak je to potrebné, môžete získať ďalšie informácie z prieskumníka aktivity.

Keď sa vyžaduje e-mailové upozornenie, odporúčame použiť skupinu zabezpečenia s podporou e-mailu. Môžete napríklad použiť skupinu s názvom Zabezpečenie a ochrana osobných údajov Spravovanie upozorňovanie.

Tip

Majte na pamäti, že pravidlá ochrany pred únikom údajov pre Power BI sa kontrolujú pri každom nahratí alebo obnovení sémantického modelu. To znamená, že upozornenie sa môže vygenerovať pri každom obnovení sémantického modelu. Pravidelné alebo časté obnovenia údajov môžu viesť k obrovskému počtu zaznamenaných udalostí a upozornení.

Kontrolný zoznam – pri zvážení upozorňovania na DLP pre správcov sú k nim zahrnuté kľúčové rozhodnutia a akcie:

• Rozhodnite sa, kedy sa vyžadujú upozornenia: Pre každé pravidlo DLP, ktoré chcete vytvoriť, určte, ktoré situácie vyžadujú použitie upozornení.
• Objasnite roly a povinnosti: Určte očakávania a konkrétne akcie, ktoré by sa mali vykonať pri generovaní upozornenia.
• Určenie, kto bude dostávať upozornenia: Rozhodnite sa, ktorí správcovia zabezpečenia a dodržiavania súladu spracujú otvorené upozornenia. Potvrďte, že povolenia a licenčné požiadavky sú splnené pre každého správcu, ktorý bude používať portál na správu dodržiavania súladu Microsoft Purview.
• Vytvorenie e-mailových skupín: Ak je to potrebné, vytvorte nové skupiny zabezpečenia s podporou e-mailu na spracovanie upozornení.

Pracovné priestory v rozsahu

Politika ochrany pred únikom údajov pre službu Power BI, ktorá je nastavená v portál na správu dodržiavania súladu Microsoft Purview, je určená na cieľové sémantické modely. Konkrétne podporuje skenovanie sémantických modelov, ktoré boli publikované v pracovnom priestore Premium.

Politiku ochrany pred únikom údajov môžete nastaviť tak, aby prehľadávala všetky pracovné priestory Premium. Voliteľne môžete vybrať možnosť zahrnúť alebo vylúčiť konkrétne pracovné priestory. Môžete napríklad vylúčiť určité vývojové alebo testovacie pracovné priestory, ktoré sa považujú za nižšie riziko (najmä v prípade, že neobsahujú skutočné produkčné údaje). Prípadne môžete vytvoriť samostatné politiky pre určité vývojové alebo testovacie pracovné priestory.

Tip

Ak sa rozhodnete, že pre DLP bude zahrnutá len podmnožina vašich pracovných priestorov Premium, zvážte úroveň údržby. Keď sú zahrnuté všetky pracovné priestory Premium, pravidlá ochrany pred únikom údajov sa jednoduchšie dodržiavajú. Ak sa rozhodnete zahrnúť iba podmnožinu pracovných priestorov Premium, uistite sa, že máte nastavený proces auditovania, aby ste mohli rýchlo zistiť, či v politike DLP chýba nový pracovný priestor.

Ďalšie informácie o pracovnom priestore nájdete v článkoch o plánovaní pracovného priestoru.

Kontrolný zoznam – pri zvažovaní pracovných priestorov, ktoré sa majú zahrnúť do rozsahu ochrany pred únikom údajov, ku kľúčovým rozhodnutiam a akciám patria:

• Rozhodnite sa, ktoré pracovné priestory Premium sa majú použiť na DLP: Zvážte, či by politiky ochrany pred únikom údajov mali mať vplyv na všetky pracovné priestory služby Power BI Premium alebo len na ich podmnožinu.
• Vytvorenie dokumentácie pre priradenia pracovných priestorov: Ak je to možné, dokumentácia, na pracovné priestory sa vzťahuje DLP. Uveďte kritériá a dôvody, prečo sú pracovné priestory zahrnuté alebo vylúčené.
• Korelujte rozhodnutia DLP s riadením pracovného priestoru: Ak je to vhodné, aktualizujte svoju dokumentáciu o riadení pracovného priestoru a uveďte podrobnosti o spôsobe narábania s DLP.
• Zvážte ďalšie dôležité umiestnenia súborov: Okrem služba Power BI určte, či je potrebné vytvoriť ďalšie politiky ochrany pred únikom údajov na ochranu zdrojových súborov a exportovaných súborov, ktoré sú uložené vo OneDrive alebo SharePointe.

Požiadavky na licencie

Na používanie ochrany pred únikom údajov sa musí spĺňať niekoľko licenčných požiadaviek. Licencia microsoft Purview Information Protection sa vyžaduje pre správcov, ktorí budú nastavovať, spravovať a dohliadať na DLP. Tieto licencie už možno máte, pretože sú zahrnuté v niektorých balíkoch licencií, ako je napríklad Microsoft 365 E5. Možnosti dodržiavania súladu pre Microsoft 365 E5 je možné zakúpiť aj ako samostatnú licenciu.

Politiky ochrany pred únikom údajov pre službu Power BI navyše vyžadujú Power BI Premium. Táto licenčná požiadavka môže byť splnená kapacitou Premium alebo licenciou na Premium na používateľa.

Tip

Ak potrebujete objasnenie licenčných požiadaviek, obráťte sa na tím konta Microsoft. Upozorňujeme, že licencia na dodržiavanie súladu pre Microsoft 365 E5 zahŕňa aj iné možnosti ochrany pred únikom údajov, ktoré sú súčasťou tohto článku.

Kontrolný zoznam – pri vyhodnocovaní licenčných požiadaviek DLP sú kľúčové rozhodnutia a akcie:

• Kontrola licenčných požiadaviek na produkt: Skontrolujte všetky licenčné požiadavky na ochranu pred únikom údajov.
• Kontrola licenčných požiadaviek verzie Premium: Overte, či pracovné priestory, ktoré chcete nakonfigurovať pre DLP, sú pracovnými priestormi Premium.
• Zaobstaranie ďalších licencií: Ak je to vhodné, zakúpte si ďalšie licencie, aby ste mohli odomknúť funkcie, ktoré chcete používať.
• Priradenie licencií: Priraďte licenciu každému správcovi zabezpečenia a dodržiavania súladu, ktorí ju budú potrebovať.

Dokumentácia a školenie používateľov

Pred uverejnením DLP pre Power BI odporúčame vytvoriť a publikovať dokumentáciu používateľov. Stránka SharePointu alebo stránka wiki na centralizovanom portáli môže fungovať dobre, pretože sa bude dať jednoducho udržiavať. Dobrým riešením je aj dokument nahratý do zdieľanej knižnice alebo lokality Teams.

Cieľom dokumentácie je dosiahnutie bezproblémového používateľského prostredia. Príprava používateľskej dokumentácie vám tiež pomôže skontrolovať, či ste všetko zohľadnili.

Uveďte informácie o tom, koho kontaktovať, keď majú používatelia otázky alebo technické problémy. Keďže ochrana informácií je projektom určeným pre celú organizáciu, často ju poskytuje IT oddelenie.

Najčastejšie otázky a príklady sú užitočné najmä pre dokumentáciu používateľov.

Tip

Ďalšie informácie nájdete v téme Information Protection pre Power BI (Politika klasifikácie údajov a ochrany údajov). Popisuje návrhy na vytvorenie politiky klasifikácie údajov a ochrany tak, aby používatelia pochopili, čo môžu a nemôžu robiť s označeniami citlivosti.

Kontrolný zoznam – pri príprave dokumentácie a školení používateľov sú kľúčové rozhodnutia a akcie:

• Aktualizujte dokumentáciu pre tvorcov obsahu a spotrebiteľov: Aktualizujte si najčastejšie otázky a príklady a zahrňte príslušné pokyny týkajúce sa politík ochrany pred únikom údajov.
• Publikovanie spôsobu získania pomoci: Zabezpečte, aby používatelia vedeli, ako získať pomoc, keď zažívajú niečo neočakávané alebo keď tomu nerozumejú.
• Určite, či je potrebné konkrétne školenie: Vytvorte alebo aktualizujte školenia používateľov, aby obsahovali užitočné informácie, najmä ak sa v ňom vyžaduje regulácia.

Podpora používateľov

Je dôležité overiť, kto bude zodpovedný za podporu používateľov. Centralizovanú technickú podporu podporuje bežne DLP.

Možno budete musieť vytvoriť usmernenie pre oddelenie technickej podpory (niekedy známe ako runbook). Možno bude potrebné viesť relácie prenosu vedomostí, aby sa zabezpečilo, že oddelenie technickej podpory je pripravené odpovedať na žiadosti o podporu.

Kontrolný zoznam – pri príprave na funkciu podpory používateľa sú kľúčové rozhodnutia a akcie:

• Identifikujte, kto bude poskytovať podporu používateľov: Keď definujete roly a povinnosti, uistite sa, ako používatelia získajú pomoc s problémami súvisiacimi s DLP.
• Presvedčte sa, že tím podpory používateľov je pripravený: Vytvorte dokumentáciu a vykonajte relácie prenosu vedomostí, aby ste zabezpečili, že oddelenie technickej podpory je pripravené na podporu ochrany pred únikom údajov.
• Komunikácia medzi tímami: Môžete diskutovať o oznámeniach používateľov a procese riešenia upozornení na ochranu pred únikom údajov s tímom podpory, ako aj so správcami služby Power BI a Centrom excelentnosti. Uistite sa, že všetci zúčastnení sú pripravení na potenciálne otázky používateľov služby Power BI.

Súhrn implementácie a testovania

Po vykonaní rozhodnutí a splnení predpokladov je čas začať v službe Power BI implementovať a testovať DLP.

Politiky ochrany pred únikom údajov pre službu Power BI sú nastavené v portál na správu dodržiavania súladu Microsoft Purview (predtým známe ako Centrum dodržiavania súladu pre Microsoft 365) v Centrum spravovania služby Microsoft 365.

Tip

Proces nastavenia DLP pre službu Power BI v portál na správu dodržiavania súladu Microsoft Purview na nastavenie politiky zahŕňa len jeden krok namiesto dvoch. Tento proces sa líši od toho, keď ste nastavili ochranu informácií v portál na správu dodržiavania súladu Microsoft Purview (popisuje sa v článku Ochrana informácií pre službu Power BI). V takom prípade sa na nastavenie označenia a publikovanie politiky označenia používali dva samostatné kroky. V tomto prípade je v procese implementácie len jeden krok.

Nasledujúci kontrolný zoznam obsahuje súhrnný zoznam krokov implementácie od konca. Mnohé z týchto krokov obsahujú ďalšie podrobnosti, ktoré boli popísané v predchádzajúcich častiach tohto článku.

Kontrolný zoznam – pri implementácii DLP do služby Power BI sú tu zahrnuté kľúčové rozhodnutia a akcie:

• Overenie aktuálneho stavu a cieľov: Zabezpečte prehľadnosť aktuálneho stavu ochrany pred únikom údajov na použitie so službou Power BI. Všetky ciele a požiadavky na implementáciu ochrany pred únikom údajov by mali byť jasné a aktívne použité na zavedenie rozhodovacieho procesu.
• Rozhodovanie: revízia a prediskutovanie všetkých požadovaných rozhodnutí. Táto úloha by sa mala uskutočniť ešte pred nastavením čohokoľvek v produkčnom prostredí.
• Kontrola licenčných požiadaviek: Zabezpečte, aby ste pochopili licenčné požiadavky na produkty a licencovanie používateľov. Ak je to potrebné, zaobstaranie a priradenie ďalších licencií.
• Publikovanie dokumentácie používateľov: Publikujte informácie, ktoré používatelia budú musieť odpovedať na otázky a objasniť očakávania. Poskytnite svojim používateľom sprievodný materiál, komunikáciu a školenia, aby boli pripravení.
• Vytvorenie politík ochrany pred únikom údajov: V portál na správu dodržiavania súladu Microsoft Purview vytvorte a nastavte každú politiku ochrany pred únikom údajov. Pozrite si všetky rozhodnutia, ktoré boli v minulosti prijaté na zriadenie pravidiel ochrany pred únikom údajov.
• Počiatočné testovanie: Vykonajte počiatočnú množinu testov, aby sa overilo, či je všetko správne nastavené. Pomocou testovacieho režimu s niektorými vzorovými údajmi môžete určiť, či sa všetko správa podľa očakávania a minimalizuje vplyv na používateľov. Najprv použite malú podmnožinu pracovných priestorov Premium. Ak máte prístup k jednému, zvážte použitie nevýrobného nájomníka.
• Získavanie pripomienok od používateľov: Získajte pripomienky k procesu a používateľskému zážitku. Identifikujte oblasti zámeny alebo neočakávané výsledky s typmi citlivých informácií a inými technickými problémami.
• Pokračovať v iteračných vydaniach: Postupne pridávať do politiky DLP viac pracovných priestorov Premium, až kým nebudú všetky zahrnuté.
• Monitorovanie, ladenie a úprava: Zdroje investícií na časté kontrola zhody politík s upozorneniami a denníkmi auditu. Preskúmajte falošne pozitívne výsledky a v prípade potreby upravte politiky.

Tip

Tieto položky kontrolného zoznamu sú zhrnuté na účely plánovania. Ďalšie podrobnosti o týchto položkách kontrolného zoznamu nájdete v predchádzajúcich častiach tohto článku.

Ďalšie kroky, ktoré treba vykonať po počiatočnom zavedení, nájdete v téme Defender for Cloud Apps so službou Power BI.

Priebežné monitorovanie

Po dokončení implementácie by ste mali upriamiť vašu pozornosť na monitorovanie, presadzovanie a úpravu politík ochrany pred únikom údajov na základe ich používania.

Správcovia služby Power BI, správcovia zabezpečenia a dodržiavania súladu budú musieť spolupracovať z času na čas. V prípade obsahu služby Power BI máte dve cieľové skupiny na monitorovanie.

• Správcovia služby Power BI: Záznam v denníku aktivity služby Power BI sa zaznamená vždy, keď sa zobrazí zhoda s pravidlom DLP. Položka denníka aktivity služby Power BI zaznamenáva podrobnosti o udalosti DLP vrátane používateľa, dátumu a času, názvu položky, pracovného priestoru a kapacity. Obsahuje tiež informácie o politike, ako je napríklad názov politiky, názov pravidla, závažnosť a zhodná podmienka.
• Správcovia zabezpečenia a dodržiavania súladu: Správcovia zabezpečenia a dodržiavania súladu organizácie zvyčajne používajú zostavy, upozornenia a denníky auditu služby Microsoft Purview.

Upozornenie

Monitorovanie ochrany pred únikom údajov pre politiky služby Power BI sa nevyskytuje v reálnom čase, pretože sa môžu vygenerovať denníky a upozornenia DLP. Ak je vaším cieľom vynútenie v reálnom čase, pozrite si tému Defender for Cloud Apps for Power BI (Politiky v reálnom čase).

Kontrolný zoznam – pri monitorovaní ochrany pred únikom údajov pre power BI sú kľúčové rozhodnutia a akcie:

• Overenie rolí a povinností: Skontrolujte, či máte jasnú predstavu o tom, kto je zodpovedný za aké akcie. Ak budú priamo zodpovedné za niektoré aspekty monitorovania ochrany pred únikom údajov, môžete sa vzdelávať a komunikovať so správcami služby Power BI alebo správcami zabezpečenia.
• Vytvorte alebo overte proces kontroly aktivity: Uistite sa, že správcovia zabezpečenia a dodržiavania súladu jasne sledujú očakávania, v ktorých sa bude pravidelne kontrolovať prieskumník aktivít.
• Vytvorte alebo overte proces riešenia upozornení: Zabezpečte, aby správcovia zabezpečenia a dodržiavania súladu mali nastavený proces na preskúmanie a riešenie upozornení DLP pri výskyte zhody politiky.

Tip

Ďalšie informácie o auditovaní nájdete v téme Auditovanie ochrany informácií a ochrany pred únikom údajov pre službu Power BI.

Súvisiaci obsah

V nasledujúcom článku v tejto sérii získate informácie o používaní služby Defender for Cloud Apps so službou Power BI.