Power BI 實作規劃:Power BI 的 Defender for Cloud Apps
注意
本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃。
本文說明與實作 Defender for Cloud Apps 相關的規劃活動,因為它與監視 Power BI 有關。 其目標為:
- Power BI 管理員:負責監督組織中 Power BI 的管理員。 Power BI 管理員必須與資訊安全性和其他相關小組共同作業。
- 卓越中心、IT和 BI 團隊:這些人負責監督組織中的 Power BI。 他們可能需要與 Power BI 管理員、資訊安全小組和其他相關小組共同作業。
重要
監視與資料外洩防護 (DLP) 是整個組織的重要工作。 其範圍和影響遠大於 Power BI 本身。 這些類型的專案需要資金、排列優先順序和規劃。 預期會牽涉到數個跨職能小組進行規劃、使用和監督工作。
建議您遵循漸進式的階段式方法,推出 Defender for Cloud Apps 以監視 Power BI。 如需您應該考慮的推出階段類型描述,請參閱 Power BI 的資訊保護 (推出階段)。
監視目的
Microsoft Defender for Cloud Apps (先前稱為 Microsoft 雲端 App 安全性) 是支援各種部署模式的雲端存取安全性代理程式 (CASB)。 它有一組廣泛的功能,遠超出本文的範圍。 有些功能是即時的,有些功能是非即時的。
以下是您可以實作的一些即時監視範例。
- 封鎖從 Power BI 服務下載:您可以建立工作階段原則來封鎖特定類型的使用者活動。 例如,當使用者嘗試從已指派高度限制敏感度標籤的 Power BI 服務下載報表時,系統可以即時封鎖下載動作。
- 禁止非受控裝置存取 Power BI 服務:您可以建立存取原則,以防止使用者存取特定應用程式,除非他們使用的是受控裝置。 例如,當使用者嘗試從其個人行動電話存取 Power BI 服務時,可以封鎖該動作。
以下是其他非即時功能的一些範例。
- 偵測並警示 Power BI 服務中的特定活動:您可以建立活動原則,以在發生特定類型的活動時產生警示。 例如,當 Power BI 服務中發生系統管理活動時 (表示租用戶設定已變更),您可以收到電子郵件警示。
- 監視進階安全性活動:您可以檢視及監視登入與安全性活動、異常和違規。 針對可疑活動、非預期位置或新位置等情況,可能會引發警示。
- 監視使用者活動:您可以檢視和監視使用者活動。 例如,除了 Defender for Cloud Apps 內的使用者登入頻率之外,Power BI 系統管理員也可以獲指派檢視 Power BI 活動記錄的權限。
- 在 Power BI 服務中偵測並警示異常行為:有內建的異常偵測原則。 例如,當使用者從 Power BI 服務下載或匯出內容的頻率比一般模式要高得多時,您可以收到電子郵件警示。
- 尋找未經批准的應用程式:您可以在組織內找到未批准的使用中應用程式。 例如,您可能會擔心第三方檔案共用系統上的使用者共用檔案 (例如 Power BI Desktop 檔案或 Excel 檔案)。 您可以封鎖使用未經批准的應用程式,然後連絡使用者,讓他們了解與其他人共用和共同作業的適當方式。
提示
Defender for Cloud Apps 中的入口網站是一個檢視活動和警示的便捷位置,無需建立指令碼來擷取和下載資料。 這項優點包括檢視 Power BI 活動記錄中的資料。
Power BI 是可與 Defender for Cloud Apps 整合的許多應用程式和服務之一。 如果您已經針對其他用途使用 Defender for Cloud Apps,其也可用來監視 Power BI。
在 Defender for Cloud Apps 中建立的原則是 DLP 的形式。 Power BI 的資料外洩防護一文涵蓋在 Microsoft Purview 合規性入口網站中所設定 Power BI 的 DLP 原則。 我們建議您針對 Power BI 使用 DLP 原則搭配本文所述的功能。 雖然概念上有些重疊,但功能並不相同。
警告
本文著重於 Microsoft Defender for Cloud Apps 中的功能,可用來監視及保護 Power BI 內容。 本文未涵蓋 Defender for Cloud Apps 中的許多其他功能。 請確保與其他專案關係人和系統管理員合作,以做出適合所有應用程式和使用案例的決策。
適用於 Power BI 的 Defender for Cloud Apps 必要條件
現在,您應該已完成 Power BI 的資料外洩防護一文中所述的組織層級規劃步驟。 在繼續之前,您應該清楚了解:
通常,已在實作 DLP 之前實作資訊保護。 如果發佈了敏感度標籤 (如 Power BI 的資訊保護一文所述),這些標籤可以在 Defender for Cloud Apps 內的特定原則中使用。
您可能已經針對 Power BI 實作 DLP (如 Power BI 的資料外洩防護一文所述)。 這些 DLP 功能與 Microsoft Purview 合規性入口網站中管理的功能不同。 本文所述的所有 DLP 功能都是在 Defender for Cloud Apps 入口網站中管理。
關鍵決策和動作
您必須先做出一些關鍵決策,才能準備好在 Defender for Cloud Apps 中設定原則。
與 Defender for Cloud Apps 原則相關的決策應該直接支援保護您先前所識別資料的目標和需求。
原則類型和活動
您必須考慮您想要監視、封鎖或控制哪些使用者活動。 Defender for Cloud Apps 中的原則類型會影響:
- 您可以完成哪些工作。
- 哪些活動可以包含在組態中。
- 控制措施是否會即時發生。
即時原則
在 Defender for Cloud Apps 中建立的存取原則和工作階段原則可讓您即時監視、封鎖或控制使用者工作階段。
存取原則和工作階段原則可讓您:
- 以程式設計方式即時回應:偵測、通知和封鎖有風險、意外或不適當的敏感性資料共用。 這些動作可讓您:
- 使用自動化和資訊改善 Power BI 租用戶的整體安全性設定。
- 以可稽核的方式啟用涉及敏感性資料的分析使用案例。
- 為使用者提供內容相關的通知:這項功能可讓您:
- 協助使用者在其正常工作流程期間做出正確的決策。
- 引導使用者遵循您的資料分類和保護原則,而不會對生產力造成影響。
為了提供即時控制措施,存取原則和工作階段原則會使用 Microsoft Entra ID (先前稱為 Azure Active Directory),並依賴條件式存取應用程式控制的反向 Proxy 功能。 使用者要求和回應不會流經應用程式 (在此案例中為 Power BI 服務),而是經過反向 Proxy ( Defender for Cloud Apps)。
重新導向不會影響使用者體驗。 不過,在您使用 Power BI 針對條件式存取應用程式控制設定 Microsoft Entra ID 之後,Power BI 服務的 URL 將會變更為 https://app.powerbi.com.mcas.ms。 此外,當使用者登入 Power BI 服務時會收到通知,宣告應用程式是由 Defender for Cloud Apps 監視。
重要
存取原則和工作階段原則會即時運作。 Defender for Cloud Apps 中的其他原則類型涉及警示的短暫延遲。 大部分其他類型的 DLP 和稽核也會經歷延遲,包括 Power BI 的 DLP 和 Power BI 活動記錄。
存取原則
在 Defender for Cloud Apps 中建立的存取原則可控制是否允許使用者登入 Power BI 服務之類的雲端應用程式。 高度管制產業中的組織會關注存取原則。
以下是一些範例,說明如何使用存取原則來封鎖對 Power BI 服務的存取。
- 非預期的使用者:您可以封鎖非特定安全性群組成員的使用者存取。 例如,當您有一個重要的內部程序,可透過特定群組追蹤已核准的 Power BI 使用者時,此原則可能會很有幫助。
- 非受控裝置:您可以封鎖組織未管理之個人裝置的存取。
- 需要更新:您可以封鎖使用過期瀏覽器或作業系統的使用者存取。
- 位置:您可以封鎖沒有辦公室或使用者,或來自未知 IP 位址的位置存取。
提示
如果您有外部使用者可存取經常旅行的 Power BI 租用戶或員工,ˊ這可能會影響您定義存取控制原則的方式。 這些類型的原則通常是由 IT 管理。
工作階段原則
當您不想完全允許或封鎖存取時,工作階段原則很有用 (這可以使用先前所述的存取原則來完成)。 具體而言,它可讓使用者在監視或限制其工作階段期間主動發生的情況時存取。
以下是您可以使用工作階段原則來監視、封鎖或控制 Power BI 服務中使用者工作階段的一些範例方式。
- 封鎖下載:當特定敏感度標籤,例如高度限制指派給 Power BI 服務中的項目時封鎖下載和匯出。
- 監視登入:監視符合特定條件的使用者何時登入。 例如,使用者可能是特定安全性群組的成員,或者他們使用的是組織所未管理的個人裝置。
提示
針對指派給特定敏感度標籤如高度限制的內容建立工作階段原則 (例如,防止下載),是使用 Power BI 進行即時工作階段控制措施的最有效使用案例之一。
您也可以使用工作階段原則來控制檔案上傳。 不過,通常您想要鼓勵自助 BI 使用者將內容上傳至 Power BI 服務 (而不是共用 Power BI Desktop 檔案)。 因此,請仔細考慮封鎖檔案上傳。
檢查清單 - 在 Defender for Cloud Apps 中規劃即時原則時,關鍵決策和動作包括:
- 識別封鎖存取的使用案例:編譯封鎖 Power BI 服務存取為適當時的案例清單。
- 識別用來監視登入的使用案例:編譯監視 Power BI 服務登入為適當時的案例清單。
- 識別封鎖下載的使用案例:判斷何時應封鎖從 Power BI 服務的下載。 判斷應包含哪些敏感度標籤。
活動原則
Defender for Cloud Apps 中的活動原則不會即時運作。
您可以設定活動原則來檢查 Power BI 活動記錄中記錄的事件。 此原則可以處理單一活動,也可以針對單一使用者重複的活動 (當特定活動在一定分鐘數內的發生次數超過一定次數時) 採取行動。
您可以使用活動原則,以不同方式監視 Power BI 服務中的活動。 以下是您可以達成的一些範例。
- 未經授權或非預期的使用者檢視特殊權限內容:不是特定安全性群組成員的使用者 (或外部使用者) 已檢視提供給董事會的高度特殊權限報告。
- 未經授權或非預期的使用者更新租用戶設定:不是特定安全性群組成員的使用者,例如 Power BI 系統管理員群組,已更新 Power BI 服務中的租用戶設定。 您也可以選擇在更新租用戶設定時收到通知。
- 大量刪除:使用者已在少於 10 分鐘的一段時間內刪除超過 20 個工作區或報表。
- 大量下載:使用者在少於五分鐘的一段時間內已下載超過 30 個報表。
本節所述的活動原則警示類型通常是由 Power BI 系統管理員處理,以作為其 Power BI 監督的一部分。 在 Defender for Cloud Apps 內設定警示時,建議您專注於對組織呈現重大風險的情況。 這是因為系統管理員必須檢閱和關閉每個警示。
警告
由於 Power BI 活動記錄事件無法即時使用,因此無法用於即時監視或封鎖。 不過,您可以在活動原則中使用活動記錄的作業。 請務必與資訊安全小組合作,在規劃程序進展太快之前,先確認技術上可行的內容。
檢查清單 - 規劃活動原則時,關鍵決策和動作包括:
- 識別活動監視的使用案例:從 Power BI 活動記錄編譯呈現組織重大風險的特定活動清單。 判斷風險與單一活動或重複活動有關。
- 與 Power BI 系統管理員協調工作:討論將在 Defender for Cloud Apps 中監視的 Power BI 活動。 請確定不同系統管理員之間沒有重複的工作。
受到影響的使用者
整合 Power BI 與 Defender for Cloud Apps 的其中一個令人信服的原因,就是當使用者與 Power BI 服務互動時,受益於即時控制。 這種類型的整合需要 Microsoft Entra ID 中的條件式存取應用程式控制。
在 Microsoft Entra ID 中設定條件式存取應用程式控制之前,您必須考慮要包含哪些使用者。 通常會包含所有使用者。 不過,可能會有理由排除特定使用者。
提示
設定條件式存取原則時,您的 Microsoft Entra 系統管理員可能會排除特定的系統管理員帳戶。 這種方法會防止鎖定系統管理員。 我們建議排除的帳戶是 Microsoft Entra 系統管理員,而不是標準 Power BI 使用者。
Defender for Cloud Apps 中的特定原則類型可以套用至特定使用者和群組。 大部分情況下,這些類型的原則適用於所有使用者。 不過,當您需要有目的地排除特定使用者時,可能會遇到這種情況。
檢查清單 - 考慮哪些使用者受到影響時,關鍵決策和動作包括:
- 考慮包含哪些使用者:確認所有使用者是否會包含在您的Microsoft Entra 條件式存取應用程式控制原則中。
- 識別應該排除的系統管理員帳戶:判斷哪些特定系統管理員帳戶應該有目的地從 Microsoft Entra 條件式存取應用程式控制原則中排除。
- 判斷特定 Defender 原則是否適用於一部分使用者:針對有效的使用案例,考慮是否應該適用於所有或部分使用者 (可能的話)。
使用者傳訊
識別使用案例之後,您必須考慮在使用者活動符合原則時應該會發生什麼情況。
當活動即時封鎖時,請務必為使用者提供自訂的訊息。 當您想要在一般工作流程期間為使用者提供更多指導和認知時,訊息會很有用。 當使用者符合下列情況時,更可能會讀取和吸收使用者通知:
- 具體:將訊息與原則相互關聯,以便可以輕鬆了解。
- 可採取動作:提供使用者需要執行的動作,或如何尋找詳細資訊的相關建議。
Defender for Cloud Apps 中的某些原則類型可以有自訂的訊息。 以下是使用者通知的兩個範例。
範例 1:您可以定義即時工作階段控制原則,以防止 Power BI 項目的敏感度標籤 (例如報表或語意模型,先前稱為資料集) 設定為高度限制時,防止所有匯出和下載。 Defender for Cloud Apps 中的自訂封鎖訊息會顯示:不允許從 Power BI 服務下載具有高度限制標籤的檔案。請在 Power BI 服務中線上檢視內容。如有任何問題,請連絡 Power BI 支援小組。
範例 2:您可以定義即時存取原則,以防止使用者在未使用組織所管理的電腦時登入 Power BI 服務。 Defender for Cloud Apps 中的自訂封鎖訊息會顯示:Power BI 服務可能無法在個人裝置上存取。請使用組織提供的裝置。如有任何問題,請連絡 Power BI 支援小組。
檢查清單 - 在 Defender for Cloud Apps 中考慮使用者訊息時,關鍵決策和動作包括:
- 決定何時需要自訂的區塊訊息:針對您想要建立的每個原則,判斷是否需要自訂的區塊訊息。
- 建立自訂的封鎖訊息:針對每個原則,定義應該向使用者顯示的訊息。 規劃將每個訊息與原則產生關聯,使其成為具體且可採取動作。
系統管理員警示
當您想要讓安全性與合規性系統管理員知道發生原則違規時,警示很有用。 當您在 Defender for Cloud Apps 中定義原則時,請考慮是否應該產生警示。 如需詳細資訊,請參閱 Defender for Cloud Apps 中的警示類型。
您可以選擇性地設定警示,以將電子郵件傳送給多個系統管理員。 需要電子郵件警示時,建議您使用已啟用郵件功能的安全性群組。 例如,您可以使用名為「安全性與合規性管理員警示」的群組。
針對高優先順序的情況,可以透過簡訊傳送警示。 您也可以藉由與 Power Automate 整合來建立自訂警示自動化和工作流程。
您可以使用低、中或高嚴重性來設定每個警示。 排列檢閱未解決警示的優先順序時,嚴重性等級很有幫助。 系統管理員必須檢閱每個警示並採取動作。 警示可以關閉為確判為真、誤判或良性。
以下是系統管理員警示的兩個範例。
範例 1:您可以在 Power BI 項目的敏感度標籤 (例如報表或語意模型) 設定為高度限制時,定義防止所有導出和下載的即時工作階段控制原則。 它有一個適用於使用者的實用自訂區塊訊息。 不過,在此情況下不需要產生警示。
範例 2:您可以定義活動原則,以追蹤外部使用者是否已檢視提供給董事會的高度特殊權限報告。 您可以設定高嚴重性警示,以確保會立即調查活動。
提示
範例 2 強調資訊保護和安全性之間的差異。 其活動原則可協助識別自助 BI 使用者有權管理內容安全性的案例。 然而,這些使用者可能會採取組織原則所不建議的動作。 建議您只有在資訊特別敏感時,才在特定情況下設定這些類型的原則。
檢查清單 - 考慮針對 Defender for Cloud Apps 中的系統管理員發出警示時,關鍵決策和動作包括:
- 決定何時需要警示:針對您想要建立的每個原則,決定哪些情況需要使用警示。
- 釐清角色和責任:判斷產生警示時的預期情況及應採取的動作。
- 判斷誰會收到警示:決定哪些安全性與合規性系統管理員將檢閱未解決的警示並採取行動。 針對將使用 Defender for Cloud Apps 的每個系統管理員,確認符合權限和授權需求。
- 建立新的群組:如有必要,請建立已啟用郵件功能的新安全性群組,以用於電子郵件通知。
原則命名慣例
在 Defender for Cloud Apps 中建立原則之前,最好先建立命名慣例。 當許多類型的應用程式有許多類型的原則時,命名慣例會很有幫助。 當 Power BI 系統管理員參與監視時,它也很有用。
提示
請考慮將 Defender for Cloud Apps 存取權授與 Power BI 系統管理員。 使用系統管理員角色,其允許檢視與 Power BI 服務相關的活動記錄、登入事件和事件。
請考慮包含元件預留位置的命名慣例範本:<應用程式> - <描述> - <動作> - <原則類型>
以下是一些命名慣例範例。
| 原則的類型 | 即時 | 原則名稱 |
|---|---|---|
| 工作階段原則 | Yes | Power BI - 高度限制標籤 - 封鎖下載 - RT |
| 存取原則 | Yes | 全部 - 非受控裝置 - 封鎖存取 - RT |
| 活動原則 | No | Power BI - 系統管理活動 |
| 活動原則 | No | Power BI - 外部使用者檢視執行報表 |
命名慣例的元件包括:
- 應用程式:應用程式名稱。 Power BI 前置詞有助於在排序時將所有 Power BI 專用原則分組在一起。 不過,某些原則會套用至所有雲端應用程式,而不只是 Power BI 服務。
- 描述:名稱的描述部分會有所不同。 它可能包含受影響的敏感度標籤或所追蹤的活動類型。
- 動作:(選擇性) 在範例中,一個工作階段原則具有 [封鎖下載] 動作。通常,只有在原則是即時原則時才需要採取動作。
- 原則類型:(選擇性) 在範例中,RT 尾碼表示原則是即時原則。 無論是否即時,指定都有助於管理預期情況。
還有其他屬性不需要包含在原則名稱中。 這些屬性包括嚴重性等級 (低、中或高),以及類別 (例如威脅偵測或 DLP)。 這兩個屬性都可以在警示頁面上進行篩選。
提示
您可以在 Defender for Cloud Apps 中重新命名原則。 不過,無法重新命名內建異常偵測原則。 例如,「可疑的 Power BI 報表共用」是無法重新命名的內建原則。
檢查清單 - 考慮原則命名慣例時,關鍵決策和動作包括:
- 選擇命名慣例:使用您的第一個原則來建立容易解譯的一致命名慣例。 專注於使用一致的前置詞和尾碼。
- 記載命名慣例:提供原則命名慣例的相關參考文件。 請確定系統管理員知道命名慣例。
- 更新現有的原則:更新任何現有的 Defender 原則,以符合新的命名慣例。
授權需求
必須有特定的授權才能監視 Power BI 租用戶。 系統管理員必須擁有下列其中一個授權。
- Microsoft Defender for Cloud Apps:為所有支援的應用程式提供 Defender for Cloud Apps 功能 (包括 Power BI 服務)。
- Office 365 雲端 App 安全性:為屬於 Office 365 E5 套件的 Office 365 應用程式提供 Defender for Cloud Apps 功能 (包括 Power BI 服務)。
此外,如果使用者需要在 Defender for Cloud Apps 中使用即時存取原則或工作階段原則,則需要 Microsoft Entra ID P1 授權。
提示
如果您需要有關授權需求的詳細說明,請與您的 Microsoft 帳戶小組交談。
檢查清單 - 評估授權需求時,關鍵決策和動作包括:
- 檢閱產品授權需求:確定您已檢閱搭配使用 Defender for Cloud Apps 的所有授權需求。
- 採購其他授權:請視需要購買更多授權,以解除鎖定您想要使用的功能。
- 指派授權:將授權指派給每位將使用 Defender for Cloud Apps 的安全性與合規性系統管理員。
使用者文件和訓練
在推出 Defender for Cloud Apps 之前,建議您建立及發佈使用者文件。 集中式入口網站中的 SharePoint 頁面或 Wiki 頁面可能很有幫助,因為它很容易維護。 上傳至共用文件庫或 Teams 網站的文件也是很好的解決方案。
文件的目標是要達成順暢的使用者體驗。 準備使用者文件也可協助您確定已考慮所有項目。
包含使用者有問題或技術問題時該連絡的人員相關資訊。
常見問題集和範例對於使用者文件特別有幫助。
檢查清單 - 準備使用者文件和訓練時,關鍵決策和動作包括:
- 內容建立者和取用者的更新文件:更新您的常見問題集和範例,以包含使用者可能會遇到的原則相關資訊。
- 發佈取得協助的方式:請確定您的使用者知道在遇到非預期或無法理解的內容時如何取得協助。
- 判斷是否需要特定訓練:建立或更新您的使用者訓練以包含有用的資訊,特別是如果有法規要求這樣做。
使用者支援
請務必確認誰將負責使用者支援。 使用 Defender for Cloud Apps 監視 Power BI 通常是由集中式 IT 技術支援中心來完成。
您可能需要建立技術支援中心的文件,並舉行一些知識轉移研討會,以確保技術支援中心已準備好回應支援要求。
檢查清單 - 準備使用者支援職能時,關鍵決策和動作包括:
- 識別誰將提供使用者支援:當您定義角色和責任時,請務必納入使用者如何取得可能遇到問題的協助。
- 請確定使用者支援小組已準備就緒:建立文件並進行知識轉移研討會,以確保技術支援中心已準備好支援這些程序。
- 小組之間的通訊:討論使用者可能會看到的郵件,以及與 Power BI 系統管理員和卓越中心解決未解決警示的程序。 請確定參與的每個人都已為 Power BI 使用者的潛在問題做好準備。
實作摘要
決定完成並備妥了推出計劃之後,是時候開始實作了。
如果您想要使用即時原則 (工作階段原則或存取原則),您的第一個工作是設定Microsoft Entra 條件式存取應用程式控制。 您必須將 Power BI 服務設定為將由 Defender for Cloud Apps 所控制的目錄應用程式。
設定及測試 Microsoft Entra 條件式存取應用程式控制時,您可以在 Defender for Cloud Apps 中建立原則。
重要
建議您先將這項功能介紹給少數測試使用者。 另外也有一個僅限監視模式,您可能會發現有助於以井然有序的方式引進這項功能。
下列檢查清單包含端對端實作步驟的摘要清單。 許多步驟都有本文前幾節所涵蓋的其他詳細資料。
檢查清單 - 使用 Power BI 實作 Defender for Cloud Apps 時,關鍵決策和動作包括:
- 確認目前的狀態和目標:請確定您清楚了解 DLP 的目前狀態,以便與 Power BI 搭配使用。 實作 DLP 的所有目標和需求都應該明確,並主動地用來推動決策程序。
- 執行決策程序:檢閱並討論所需的所有決策。 在生產環境中設定任何功能之前,應該先執行這項工作。
- 檢閱授權需求:確定您了解產品授權和使用者授權需求。 如有必要,請採購並指派更多授權。
- 發佈使用者文件:發佈使用者需要回答問題並釐清預期情況的資訊。 為您的使用者提供指導、通訊和訓練,讓他們做好準備。
- 建立 Microsoft Entra 條件式存取原則:在 Microsoft Entra ID 中建立條件式存取原則,以啟用監視 Power BI 服務的即時控制措施。 首先,為一些測試使用者啟用 Microsoft Entra 條件式存取原則。
- 在 Defender for Cloud Apps 中將 Power BI 設定為已連線的應用程式:新增或確認 Power BI 在 Defender for Cloud Apps 中顯示為已連線的應用程式,以進行條件式存取應用程式控制。
- 執行初始測試:以其中一個測試使用者身分登入 Power BI 服務。 確認存取是否正常運作。 此外,請確認顯示的訊息會通知您 Power BI 服務由 Defender for Cloud Apps 監視。
- 建立及測試即時原則:使用已編譯的使用案例,在 Defender for Cloud Apps 中建立存取原則或工作階段原則。
- 執行初始測試:以測試使用者身分,執行將觸發即時原則的動作。 確認已封鎖動作 (如果適當),並顯示預期的警示訊息。
- 收集使用者意見反應:取得關於程序和使用者體驗的意見反應。 識別具有敏感性資訊類型和其他技術問題的混淆、非預期結果區域。
- 繼續反覆發行:在 Defender for Cloud Apps 中逐步新增更多原則,直到解決所有使用案例為止。
- 檢閱內建原則:在 Defender for Cloud Apps 中找出內建的異常偵測原則 (其名稱中有 Power BI)。 視需要更新內建原則的警示設定。
- 繼續進行更廣泛的推出:繼續執行反覆推出計劃。 更新 Microsoft Entra 條件式存取原則,以適當地套用至一組更廣泛的使用者。 更新 Defender for Cloud Apps 中的個別原則,以適當地套用至一組更廣泛的使用者。
- 監視、微調和調整:投資資源以定期檢閱原則比對警示和稽核記錄。 視需要調查任何誤判並調整原則。
提示
這些檢查清單項目可供摘要以用於規劃目的。 如需這些檢查清單項目的更多詳細資料,請參閱本文的上一節。
如需在 Defender for Cloud Apps 中將 Power BI 部署為目錄應用程式的更多具體資訊,請參閱部署目錄應用程式的步驟。
持續監視
完成實作之後,您應該將注意力轉向至監視、強制執行及根據其使用情況調整 Defender for Cloud Apps 原則。
Power BI 管理員和安全性與合規性系統管理員將需要不定時共同作業。 針對 Power BI 內容,有兩個對象可供監視。
- Power BI 系統管理員:除了 Defender for Cloud Apps 所產生的警示之外,Power BI 活動記錄中的活動也會顯示在 Defender for Cloud Apps 入口網站中。
- 安全性與合規性系統管理員:組織的安全性和合規性系統管理員通常會使用 Defender for Cloud Apps 警示。
您可以在 Defender for Cloud Apps 中提供 Power BI 系統管理員有限檢視。 它會使用限域角色來檢視與 Power BI 服務相關的活動記錄、登入事件和事件。 此功能是基於 Power BI 系統管理員的便利性。
檢查清單 - 監視 Defender for Cloud Apps 時,關鍵決策和動作包括:
- 確認角色和責任:確定您清楚哪些人員負責哪些動作。 如果您的 Power BI 系統管理員負責監視的任何層面,請進行指導並與其溝通。
- 管理 Power BI 系統管理員的存取權:將 Power BI 系統管理員新增至 Defender for Cloud Apps 中的限域系統管理員角色。 與他們溝通,讓他們知道可以使用這項額外資訊做什麼。
- 建立或驗證檢閱活動的程序:確定您的安全性與合規性系統管理員已清楚了解定期檢閱活動總管的預期內容。
- 建立或驗證解決警示的程序:確定您的安全性與合規性系統管理員有一個程序,以調查並解決未解決的警示。
相關內容
在本系列中的下一篇文章中,了解如何稽核 Power BI 的資訊保護和資料外洩防護。