Power BI 實作規劃:資訊保護和數據外洩防護

  • 發行項

注意

本文構成Power BI實作規劃系列文章的一部分。 此系列主要著重於 Microsoft Fabric 內的 Power BI 工作負載。 如需系列簡介,請參閱 Power BI 實作規劃

本文介紹 Power BI 資訊保護和數據外洩防護 (DLP) 文章。 這些文章以多個物件為目標:

  • Power BI 系統管理員: 負責監督組織中的 Power BI 的系統管理員。 Power BI 系統管理員必須與資訊安全性小組和其他相關小組共同作業。
  • 卓越中心、IT和 BI 小組: 負責監督組織中的 Power BI 的小組。 他們可能需要與 Power BI 系統管理員、資訊安全小組和其他相關小組共同作業。

重要

信息保護和 DLP 是整個組織的重要工作。 其範圍和影響遠大於Power BI。 這種類型的計劃需要資金、優先順序和規劃。 預期會牽涉到數個跨功能小組進行規劃、使用和監督工作。

身為管理組織 Power BI 的人員,您通常不會直接負責資訊保護和 DLP 的大部分層面。 這些責任可能會落在資訊安全小組和其他系統管理員。

這組文章的重點包括:

  • 原因: 為什麼這些功能對於合規性和稽核很重要。
  • 內容: 端對端程式涉及的概觀。
  • 神秘:哪些小組會參與端對端程式。
  • 必要條件: 在 Power BI 啟用資訊保護和 DLP 功能之前,必須就緒的專案。

重要

Power BI 系統管理員 角色已重新命名。 角色的新名稱是 Fabric 系統管理員

保護組織數據

數據存在於許多應用程式和服務中。 它儲存在源資料庫和檔案中。 它發佈至 Power BI 服務。 它也存在於 Power BI 服務 之外,做為源文件、下載的檔案和導出的數據。 當數據更容易存取且跨更多資源時,您 保護數據 的方式變得越來越重要。

簡言之,保護數據是關於:

  • 保管庫 保護組織數據。
  • 降低未經授權或無意間共用敏感性信息的風險。
  • 加強法規需求的合規性狀態。

保護數據是一個複雜的主題。 概括而言,與 Power BI 相關的主題包括:

  • 使用者所採取的負責任動作: 已收到指引和訓練的使用者,並清楚了解他們預期的行為,可以在道德上採取行動。 他們可以制定一種文化,在工作正常過程中重視安全性、隱私權和合規性。
  • 適當大小的使用者安全性許可權: 在Power BI中,保護數據和報表與這些文章中所述的信息保護和 DLP 活動不同。 Power BI 中的安全性 方法包括工作區角色、共用、應用程式許可權,以及數據列層級安全性 (RLS) 等技術。 安全性規劃文章涵蓋安全性技術,例如工作區角色、應用程式許可權、每個項目共用和 RLS。
  • 數據生命週期管理: 備份和版本控制等程式對於保護數據很重要。 數據記憶體的加密金鑰和地理位置的設定也是考慮。
  • 信息保護: 使用敏感度標籤和分類內容是能夠保護內容的第一步。 本系列文章涵蓋信息保護。
  • 數據外洩防護原則: DLP 是指可降低數據外泄風險的控件和原則。 此系列文章涵蓋數據外洩防護。

信息保護和 DLP 系列文章著重於最後兩個專案符號:資訊保護和 DLP,特別是它們與 Power BI 的關聯性。

建議您也熟悉完整的 Microsoft Purview 資訊保護 架構:瞭解您的數據、保護您的數據、防止數據遺失,以及控管您的數據。

提示

貴組織的 IT 部門將會有已視為資訊保護的現有程式,但此系列文章的範圍不足。 程式可能包括與源資料庫系統相關的高可用性和災害復原工作。 它們也可以包括保護行動裝置。 請務必識別並牽涉到所有規劃工作的相關技術和治理小組。

常見使用案例

Power BI 合規性挑戰和法規報告需求通常是開始使用資訊保護和 DLP 的推動因素。

提示

數據外洩是指未經授權的用戶檢視數據的風險。 參考外部使用者時,通常會使用這個詞彙。 不過,也可以套用至內部使用者。 降低數據外泄的風險通常是資訊保護和 DLP 工作的首要任務。 本節所列的所有使用案例都有助於減少數據外泄。

本節包含一般使用案例,可迫使組織實作信息保護和 DLP。 使用案例主要著重於Power BI,不過組織的優點更為廣泛。

分類並標記資料

組織通常具有分類和標記內容的外部或內部需求。 在 Power BI 中使用敏感度標籤(以及其他組織應用程式和服務中也)是符合合規性需求的關鍵因素。

將敏感度標籤指派給 Power BI 中的內容之後,您就能夠取得有關:

  • 敏感數據是否包含在Power BI工作區中。
  • 特定 Power BI 專案,例如語意模型,先前稱為數據集,是否被視為機密。
  • 神秘 可以存取被視為敏感性的 Power BI 專案。
  • 神秘 已存取 Power BI 服務 中的敏感數據。

使用端對端保護,敏感度標籤可以自動繼承自數據源。 標籤繼承可降低使用者存取和共用敏感數據的風險,因為未加上標籤。

從 Power BI 服務 匯出時,當內容匯出至支援的檔類型時,會保留敏感度標籤。 匯出內容時標籤的保留是減少數據外洩的另一個關鍵因素。

如需標籤和分類 Power BI 內容的詳細資訊,請參閱 Power BI 的資訊保護。

教育使用者

如先前所述,保護數據的其中一個層面涉及使用者所採取的負責任動作。

由於敏感度標籤會以純文字清楚顯示,因此會作為使用者有用的提醒。 在工作正常過程中,標籤會根據組織指導方針和原則,提高使用者應如何與數據互動的認知。

例如,當使用者看到 「高度機密 」敏感度標籤時,應該提示他們特別小心他們關於下載、儲存或與其他人共用內容的決定。 如此一來,敏感度標籤可協助使用者負責處理敏感數據,並降低與未經授權的使用者錯誤共享的風險。

如需詳細資訊,請參閱 Power BI的資訊保護。

偵測敏感數據

偵測儲存敏感數據的能力是數據外泄的另一個重要層面。

當數據集發佈至 Power BI 服務 且位於 進階版 工作區時,您可以使用適用於 Power BI 的 DLP 來偵測其中某些敏感性資訊類型是否存在。 這項功能有助於尋找儲存在Power BI語意模型中的敏感數據(例如財務數據或個人資料)。

重要

本文有時是指 Power BI 進階版 或其容量訂用帳戶(P SKU)。 請注意,Microsoft 目前正在合併購買選項,並淘汰每個容量 SKU 的 Power BI 進階版。 新的和現有的客戶應該考慮改為購買網狀架構容量訂用帳戶(F SKU)。

如需詳細資訊,請參閱 Power BI 進階版 授權的重要更新和 Power BI 進階版 常見問題

此類型的Power BI DLP原則可讓安全性系統管理員監視及偵測未經授權的敏感數據上傳至 Power BI 服務。 他們可以依賴警示來快速採取行動。 原則秘訣也可用來引導內容建立者和擁有者瞭解如何正確處理敏感數據。 如需 Power BI DLP 的詳細資訊,請參閱 Power BI 的數據外洩防護。

提示

正確分類的數據可讓您將其相互關聯、分析和報告。 在大部分情況下,您必須讓多個來源的數據相互關聯,以形成完整的瞭解。 您可以使用 Power BI 掃描器 APIPower BI 活動記錄等工具來擷取數據。 如需這些主題的詳細資訊,以及 Microsoft Purview 合規性入口網站 中的稽核記錄,請參閱稽核 Power BI 的資訊保護和數據外洩防護。

使用數據加密

使用敏感度標籤分類的檔案可以包含保護。 當檔案受到加密保護時,可降低數據外泄和過度共享的風險。 不論裝置或用戶為何,加密設定都會遵循檔案。 未經授權的使用者(組織內部和外部)無法開啟、解密或檢視檔案內容。

重要

實作加密時,您應該瞭解一些取捨。 如需包括加密考慮的詳細資訊,請參閱 Power BI 的信息保護。

如需您可以實作以減少數據外泄之控件類型的詳細資訊,請參閱 適用於雲端的 Defender Apps for Power BI

即時控制活動

若要增強Power BI 中現有的安全性設定,您可以實作即時控制項,以降低資料外泄的風險。

例如,您可以限制使用者從 Power BI 服務 下載高度敏感數據和報表。 當有人可以自行檢視內容時,這種類型的即時控件很有説明,但應該防止他們下載並散發給其他人。

如需您可以實作之控件類型的詳細資訊,請參閱 適用於雲端的 Defender Apps for Power BI

提示

如需加強Power BI合規性的其他考慮,請參閱 安全性規劃 文章。

信息保護和 DLP 服務

許多與資訊保護和 DLP 相關的功能和服務已重新命名,現在已形成 Microsoft Purview 的一部分。 Microsoft 365 安全性與合規性功能也已成為 Microsoft Purview 的一部分。

與這一系列文章最相關的功能和服務包括:

  • Microsoft Purview 資訊保護(先前稱為 Microsoft 資訊保護):Microsoft Purview 資訊保護 包含探索、分類和保護數據的功能。 關鍵原則是,數據分類后可以受到更好的保護。 分類數據的主要建置組塊是敏感度標籤,如 Power BI 的資訊保護一文所述
  • Microsoft Purview 合規性入口網站(先前稱為 Microsoft 365 合規性中心):入口網站是您設定敏感度標籤的位置。 這也是您為 DLP 設定 Power BI 的位置,如 Power BI 數據外洩防護一文所述
  • Microsoft Purview 資料外洩防護(先前稱為 Office 365 數據外泄防護):D LP 活動主要著重於減少數據外泄。 藉由使用敏感度標籤或敏感性資訊類型,Microsoft Purview 資料外洩防護 原則可協助組織找出敏感數據並加以保護。 Power BI 的相關功能會在Power BI的數據外洩防護一文中說明。
  • 適用於雲端的 Microsoft Defender Apps(先前稱為 Microsoft 雲端 App 安全性):適用於雲端的 Microsoft Defender 應用程式中的原則(定義於個別應用程式中)也有助於保護數據,包括即時控件。 Power BI 相關功能會在適用於 Power BI 的 適用於雲端的 Defender Apps 一文中說明。

上述清單並不詳盡。 Microsoft Purview 包含一組廣泛的功能,遠遠超出這一系列文章的範圍。 例如,Microsoft Purview 數據目錄和治理功能很重要;不過,它們不直接位於這一系列文章的範圍內。

提示

如果您有關於服務、功能或授權的問題,請連絡您的 Microsoft 帳戶小組。 他們處於最佳位置,可釐清貴組織可用的功能。

資訊保護和 DLP 內容的其餘部分會組織成下列文章:

相關內容

在本系列中的下一篇文章中,瞭解如何開始使用Power BI的組織層級規劃活動的信息保護。