在 Power BI 中使用 適用於雲端的 Microsoft Defender Apps 控制件
藉由搭配Power BI使用 適用於雲端的 Defender Apps,您可以協助保護 Power BI 報表、資料和服務免於意外外洩或缺口。 透過 適用於雲端的 Defender Apps,您可以使用 Microsoft Entra ID 中的即時會話控件,為組織的數據建立條件式存取原則,以協助確保 Power BI 分析安全。 設定這些原則之後,系統管理員可以監視使用者存取和活動、執行實時風險分析,以及設定標籤特定的控制件。
注意
適用於雲端的 Microsoft Defender 應用程式現在是的一部分Microsoft Defender 全面偵測回應。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的 適用於雲端的 Microsoft Defender Apps。
![[適用於雲端的 Defender 應用程式] 視窗的螢幕快照,其中顯示已醒目提示 Power BI 的雲端應用程式類別目錄頁面。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-cloud-apps-catalog.png)
您可以設定各種應用程式和服務的 適用於雲端的 Defender 應用程式,而不只是 Power BI。 您必須設定 適用於雲端的 Defender Apps 與 Power BI 搭配運作,以受益於 Power BI 數據和分析 適用於雲端的 Defender Apps 保護。 如需 適用於雲端的 Defender 應用程式的詳細資訊,包括其運作方式、儀錶板和應用程式風險分數的概觀,請參閱 適用於雲端的 Defender Apps 檔。
適用於雲端的 Defender Apps 授權
若要搭配Power BI 使用 適用於雲端的 Defender Apps,您必須使用並設定相關的 Microsoft 安全性服務,其中有些是在 Power BI 外部設定。 若要在租用戶中擁有 適用於雲端的 Defender 應用程式,您必須擁有下列其中一個授權:
- 適用於雲端的 Microsoft Defender 應用程式:為所有支援的應用程式、EMS E5 和 Microsoft 365 E5 套件的一部分,提供 適用於雲端的 Defender Apps 功能。
- Office 365 雲端 App 安全性:僅提供 Office 365 的 適用於雲端的 Defender Apps 功能,這是 Office 365 E5 套件的一部分。
使用 適用於雲端的 Defender Apps 設定 Power BI 的即時控制件
注意
需要 Microsoft Entra ID P1 授權,才能受益於 適用於雲端的 Defender Apps 實時控件。
下列各節說明使用 適用於雲端的 Defender Apps 設定 Power BI 實時控制件的步驟。
在 Microsoft Entra ID 中設定工作階段原則 (必要)
設定會話控件所需的步驟會在 Microsoft Entra ID 和 適用於雲端的 Defender Apps 入口網站中完成。 在 Microsoft Entra 系統管理中心,您可以建立 Power BI 的條件式存取原則,並透過 適用於雲端的 Defender Apps 服務路由傳送 Power BI 中使用的會話。
適用於雲端的 Defender Apps 會在反向 Proxy 架構中運作,並與 Microsoft Entra 條件式存取整合,以即時監視 Power BI 用戶活動。 下列步驟可協助您瞭解此程式,並在下列步驟中的鏈接內容中提供詳細的逐步指示。 如需整個程式的描述,請參閱 適用於雲端的 Defender Apps。
設定會話原則的程式會在會話原則中詳細說明。
設定異常偵測原則以監視 Power BI 活動(建議)
您可以定義可獨立設定範圍的異常 Power BI 偵測原則,使其只套用至您想要在原則中包含和排除的使用者和群組。 如需詳細資訊,請參閱異常偵測原則。
適用於雲端的 Defender Apps 有兩個專用的內建 Power BI 偵測。 請參閱 Power BI 的內建 適用於雲端的 Defender 應用程式偵測。
使用來自 Microsoft Purview 資訊保護 的敏感度標籤(建議)
敏感度標籤可讓您分類及協助保護敏感性內容,讓組織中的人員可以與組織外部的合作夥伴共同作業,但仍要小心並注意敏感性內容和數據。
如需使用Power BI敏感度標籤程序的相關信息,請參閱 Power BI中的敏感度標籤。 請參閱本文稍後的範例,以敏感度標籤為基礎的Power BI原則。
在 Power BI 中警示可疑用戶活動的自定義原則
適用於雲端的 Defender Apps 活動原則可讓系統管理員定義自己的自定義規則,以協助偵測偏離規範的用戶行為,甚至可能自動採取行動,如果看起來太危險。 例如:
大量敏感度標籤移除。 例如,當單一使用者從時間範圍少於 5 分鐘的不同報表中移除敏感度卷標時,請提醒我。
加密敏感度標籤降級。 例如,當具有 高度機密 敏感度卷標的報表現在分類為 [公用] 時,請提醒我。
注意
您可以使用 Power BI REST API 找到 Power BI 成品和敏感度標籤的唯一標識碼(識別符)。 請參閱 取得語意模型 或 取得報表。
自定義活動原則會在 適用於雲端的 Defender Apps 入口網站中設定。 如需詳細資訊,請參閱 活動原則。
Power BI 的內建 適用於雲端的 Defender 應用程式偵測
適用於雲端的 Defender 應用程式偵測可讓系統管理員監視受監視應用程式的特定活動。 針對 Power BI,目前有兩個專用的內建 適用於雲端的 Defender 應用程式偵測:
可疑共用 – 偵測使用者何時與不熟悉(組織外部)電子郵件共用敏感性報告。 敏感性報表是一份報表,其敏感度標籤設定為 僅限內部 或更高。
大量共享報表 – 偵測使用者何時在單一會話中共用大量報表。
這些偵測的 設定 會在 適用於雲端的 Defender Apps 入口網站中設定。 如需詳細資訊,請參閱異常活動(依使用者)。
適用於雲端的 Defender Apps 中的 Power BI 系統管理員角色
使用 適用於雲端的 Defender Apps 搭配 Power BI 時,會為 Power BI 系統管理員建立新的角色。 當您以 Power BI 系統管理員身分登入 適用於雲端的 Defender Apps 入口網站時,您只能存取數據、警示、有風險的使用者、活動記錄,以及其他與 Power BI 相關的資訊。
考量與限制
搭配 Power BI 使用 適用於雲端的 Defender Apps 的設計目的是協助保護組織的內容和數據,並偵測監視用戶會話及其活動。 當您搭配 Power BI 使用 適用於雲端的 Defender Apps 時,您應該記住一些考慮和限制:
- 適用於雲端的 Defender Apps 只能在 Excel、PowerPoint 和 PDF 檔案上運作。
- 如果您想要在Power BI 的工作階段原則中使用敏感度標籤功能,您需要 Azure 資訊保護 進階版 P1 或 進階版 P2 授權。 Microsoft Azure 資訊保護 可以獨立或透過其中一個 Microsoft 授權套件購買。 如需詳細資訊,請參閱 Azure 資訊保護 定價。 此外,敏感度標籤必須已套用到 Power BI 資產上。
- 任何主要平台上之任何作業系統的任何瀏覽器都提供工作階段控制項。 建議您使用最新版本的 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Apple Safari。 適用於雲端的 Defender Apps 會話控件中不支援 Power BI 公用 API 呼叫和其他非瀏覽器型會話。 如需詳細資訊,請參閱 支援的應用程式和用戶端。
- 如果您遇到登入困難,例如必須多次登入,這可能與某些應用程式處理驗證的方式有關。 如需詳細資訊,請參閱疑難解答文章 慢速登入。
警告
在會話原則的 「動作」部分中,只有在專案上沒有標籤時,「保護」功能才能運作。 如果標籤已經存在,則「保護」動作將不會套用;您無法覆寫已套用至 Power BI 中項目的現有標籤。
範例
下列範例示範如何使用 適用於雲端的 Defender Apps 搭配 Power BI 建立新的會話原則。
首先,建立新的會話原則。 在 適用於雲端的 Defender 應用程式入口網站中,選取瀏覽窗格上的 [原則]。 然後在 [原則] 頁面上,選取 [建立原則 ],然後選擇 [ 會話原則]。
在出現的視窗中,建立會話原則。 編號的步驟描述下圖的設定。
在 [原則 範本 ] 下拉式清單中,選擇 [沒有範本]。
針對 [ 原則名稱],提供會話原則的相關名稱。
針對 [工作階段控件類型],選取 [ 控制檔案下載] (檢查) (針對 DLP)。
針對 [ 活動來源] 區段,選擇相關的封鎖原則。 建議您封鎖未受管理且不符合規範的裝置。 選擇在會話位於Power BI時封鎖下載。
![顯示 [建立會話原則設定] 面板的 [適用於雲端的 Defender App Security] 視窗螢幕快照。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-create-policy-configure-name.png)
當您向下捲動時,會出現更多選項。 下圖顯示這些選項,以及其他範例。
在 [敏感度] 標籤上建立篩選,然後選擇 [高度機密] 或最適合您組織的任何專案。
將 [檢查] 方法 變更為 [無]。
選擇 [封鎖] 選項以符合您的需求。
建立這類動作的警示。
選取 [建立] 以完成會話原則。
![顯示 [建立會話原則] 按鈕的 [適用於雲端的 Defender App Security] 視窗螢幕快照。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-create-policy-configure-save.png)
相關內容
本文說明 適用於雲端的 Defender Apps 如何為 Power BI 提供數據和內容保護。 如需 Power BI 資料保護及支援啟用 Power BI 之 Azure 服務內容的詳細資訊,請參閱:
如需 Azure 和安全性文章的相關信息,請參閱:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應