在 Power BI 中使用 Microsoft Defender for Cloud Apps 控件

  • 项目

通过将 Defender for Cloud Apps 与 Power BI 结合使用,有助于保护 Power BI 报表、数据和服务免遭意外泄露或破坏。 使用 Defender for Cloud Apps,可以为组织的数据制定条件访问策略,方法是使用 Azure Microsoft Entra ID 中的实时会话控件来帮助确保你的 Power BI 分析是安全的。 设置好这些策略后,管理员可以监视用户访问和活动,执行实时风险分析,并设置标签特定的控件。

注意

Microsoft Defender for Cloud Apps 现在是 Microsoft Defender XDR 的一部分。 有关详细信息,请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps

Defender for Cloud Apps 窗口的屏幕截图,其中显示了“云应用目录”页,并突出显示了 Power BI。

你可为各种应用和服务(而不仅是 Power BI)配置 Defender for Cloud Apps。 需要将 Defender for Cloud Apps 配置为与 Power BI 配合使用,以便为你的 Power BI 数据和分析提供 Defender for Cloud Apps 保护。 有关 Defender for Cloud Apps 的详细信息(包括其工作原理、仪表板和应用风险评分概述),请参阅 Defender for Cloud Apps 文档。

Defender for Cloud Apps 许可

要将 Defender for Cloud Apps 与 Power BI 结合使用,必须使用和配置相关的 Microsoft 安全服务,其中一些要在 Power BI 外部设置。 要在租户中拥有 Defender for Cloud Apps,必须具有以下任一许可证

  • Microsoft Defender for Cloud Apps:为所有支持的应用(包含在 EMS E5 和 Microsoft 365 E5 套件中)提供 Defender for Cloud Apps 功能。
  • Office 365 Cloud App Security:仅为 Office 365(包含在 Office 365 E5 套件中)提供 Cloud App Security 功能。

使用 Defender for Cloud Apps 配置适用于 Power BI 的实时控件

注意

需要 Microsoft Entra ID P1 许可证才能利用 Defender for Cloud Apps 实时控件。

以下各部分介绍了使用 Defender for Cloud Apps 配置适用于 Power BI 的实时控件的步骤。

在 Microsoft Entra ID 中设置会话策略(必需)

在 Microsoft Entra ID 和 Defender for Cloud Apps 门户中完成会话控件设置所需的步骤。 在 Microsoft Entra 管理中心,可为 Power BI 创建条件访问策略,并通过 Defender for Cloud Apps 服务路由在 Power BI 中使用的会话。

Defender for Cloud Apps 使用反向代理体系结构运行,并且集成了 Microsoft Entra 条件访问,可实时监视 Power BI 用户活动。 本文提供了以下步骤来帮助你了解该过程,每个步骤的链接内容中还提供了详细的分步说明。 有关整个过程的说明,请参阅 Defender for Cloud Apps

  1. 创建 Microsoft Entra 条件访问测试策略
  2. 使用策略范围内的用户登录到每个应用
  3. 验证应用是否已配置为使用访问和会话控件
  4. 启用应用以在组织中使用
  5. 测试部署

会话策略中详细介绍了设置会话策略的过程。

可以定义独立确定范围的异常 Power BI 检测策略,以便仅将其应用于要在策略中包括和排除的用户和组。 有关详细信息,请参阅异常情况检测策略

Defender for Cloud Apps 有两个专用于 Power BI 的内置检测。 请参阅适用于 Power BI 的内置 Defender for Cloud Apps 检测

敏感度标签可对敏感内容进行分类,并帮助保护这些内容,以便组织中的用户可以与组织外的合作伙伴协作,同时注意敏感内容和数据。

有关使用 Power BI 的敏感度标签的过程的信息,请参阅 Power BI 中的敏感度标签。 请参阅本文后面的基于敏感度标签的 Power BI 策略的示例

用于对 Power BI 中可疑用户活动发出警报的自定义策略

使用 Defender for Cloud Apps 活动策略,管理员可以定义自己的自定义规则,以帮助检测偏离标准的用户行为,甚至可能会自动采取行动(如果它看起来太危险)。 例如:

  • 删除大量敏感度标签。 例如:当一个用户在不到 5 分钟的时段内从 20 个不同的报表中删除敏感度标签时,向我发出警报。

  • 加密敏感度标签降级。 例如:当具有“高度机密”敏感度标签的报表现在分类为“公开”时,向我发出警报。

注意

可以使用 Power BI REST API 找到 Power BI 项目和敏感性标签的唯一标识符 (ID)。 请参阅获取语义模型获取报表

自定义活动策略在 Defender for Cloud Apps 门户中配置。 有关详细信息,请参阅活动策略

适用于 Power BI 的内置 Defender for Cloud Apps 检测

通过 Defender for Cloud Apps 检测,管理员可以监视受监视应用的特定活动。 对于 Power BI,当前有两个专用的内置 Defender for Cloud Apps 检测:

  • 可疑的共享 - 检测用户与不熟悉的(组织外部)电子邮件共享敏感报表的行为。 敏感报表是将敏感度标签设置为“仅限内部”或更高级别的报表。

  • 批量共享报表 - 检测用户在单个会话中共享大量报表的行为。

在 Defender for Cloud Apps 门户中配置这些检测的设置。 有关详细信息,请参阅异常活动(按用户)

Defender for Cloud Apps 中的 Power BI 管理员角色

将 Defender for Cloud Apps 与 Power BI 结合使用时,会为 Power BI 管理员创建新的角色。 以 Power BI 管理员身份登录到 Defender for Cloud Apps 门户时,对 Power BI 相关的数据、警报、存在风险的用户、活动日志和其他信息的访问受到限制。

注意事项和限制

将 Defender for Cloud Apps 与 Power BI 结合使用,可帮助保护组织的内容和数据,并提供用于监视用户会话及其活动的检测。 结合使用 Defender for Cloud Apps 与 Power BI 时,应注意以下几个注意事项和限制:

  • Defender for Cloud Apps 只能在 Excel、PowerPoint 和 PDF 文件上运行。
  • 如果要在 Power BI 的会话策略中使用敏感度标签功能,需要 Azure 信息保护高级版 P1 或高级版 P2 许可证。 Microsoft Azure 信息保护可以单独进行购买,也可以通过一个 Microsoft 许可套件进行购买。 有关详细信息,请参阅 Azure 信息保护定价。 此外,必须在 Power BI 资产上应用敏感度标签。
  • 会话控制可用于任何操作系统中任何主要平台上的任何浏览器。 我们建议使用最新版本的 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Apple Safari。 Power BI 公共 API 调用和其他不基于浏览器的会话不会作为 Defender for Cloud Apps 会话控件的一部分受到支持。 有关详细信息,请参阅支持的应用和客户端
  • 如果遇到登录问题,例如需要登录多次,这可能与一些应用处理身份验证的方式有关。 有关详细信息,请参阅故障排除文章登录缓慢

注意

在会话策略的“操作”部分中,“保护”功能仅对不带标签的项有效。 如果标签已存在,则不会应用“保护”操作;无法在 Power BI 中替代已应用于项的现有标签。

示例

下面的示例演示如何结合使用 Defender for Cloud Apps 和 Power BI 创建新的会话策略。

首先,创建新的会话策略。 在 Defender for Cloud Apps 门户的导航窗格中选择“策略”。 然后在策略页上,选择“创建策略”,并选择“会话策略”。

Defender for Cloud Apps 策略面板的屏幕截图,其中突出显示了“策略”、“创建策略”和“会话策略”。

在出现的窗口中,创建会话策略。 已编号的步骤描述了下图的设置。

  1. 在“策略模板”下拉列表中,选择“无模板”。

  2. 对于“策略名称”,为会话策略提供相关名称。

  3. 对于“会话控制类型”,选择“控制文件下载(含检查)”(对于 DLP)。

    对于“活动源”部分,选择相关阻止策略。 我们建议阻止非托管和不合规的设备。 选择会话在 Power BI 中时阻止下载。

    Defender for Cloud App Security 窗口的屏幕截图,其中显示了“创建会话策略”配置面板。

    向下滚动时,可以显示更多选项。 下图显示了这些选项,还提供了其他示例。

  4. 在“敏感度标签”上创建筛选器,并选择“高度机密”或最适合组织的任何选项。

  5. 将“检查方法”更改为“无”。

  6. 选择满足你需求的“阻止”选项。

  7. 为此类操作创建警报。

    Defender for Cloud App Security 窗口的屏幕截图,其中显示了展开的策略配置选项。

  8. 选择“创建”以完成会话策略。

    Defender for Cloud App Security 窗口的屏幕截图,其中显示了创建会话策略的按钮。

相关内容

本文介绍了 Defender for Cloud Apps 如何为 Power BI 提供数据和内容保护。 若要详细了解 Power BI 的数据保护以及启用它的 Azure 服务的支持内容,请参阅:

有关 Azure 和安全文章的信息,请参阅: