共用方式為

Power BI 實作規劃:組織層級的資訊保護

  • 發行項

注意

本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃

本文說明 Power BI 中資訊保護的初始評估和準備活動。 其目標為:

  • Power BI 管理員:負責監督組織中 Power BI 的管理員。 Power BI 管理員必須與資訊安全性和其他相關小組共同作業。
  • 卓越中心、IT 和 BI 小組:這些小組負責監督組織中的 Power BI。 他們可能需要與 Power BI 管理員、資訊安全小組和其他相關小組共同作業。

重要

資訊保護和資料外洩防護 (DLP) 是整個組織的重要工作。 其範圍和影響遠大於 Power BI 本身。 這種類型的計劃需要資金、優先順序和規劃。 預期會牽涉到數個跨職能小組進行規劃、使用和監督工作。

目前的狀態評估

開始任何設定活動之前,請先評估組織內目前發生的情況。 了解目前實作 (或計劃實作) 資訊保護的程度是非常重要的。

一般來說,敏感度標籤有兩種使用情況。

  • 目前正在使用敏感度標籤:在此案例中,已設定敏感度標籤並用於對 Microsoft Office 檔案進行分類。 在此情況下,使用 Power BI 敏感度標籤所需的工作量將會顯著減少。 時間會更短,更容易快速設定。
  • 尚未使用敏感度標籤:在此案例中,敏感度標籤未用於 Microsoft Office 檔案。 在此情況下,需要全組織專案,以實作敏感度標籤。 對於某些組織來說,此專案可能代表大量的工作和相當長的時間投資。 這是因為標籤目的在供整個組織內的各種應用程式 (而不是一個應用程式,例如 Power BI) 使用。

下圖顯示如何在整個組織中廣泛使用敏感度標籤。

圖表顯示敏感度標籤的使用方式。下表會說明此圖中的項目。

上圖說明下列項目:

項目 說明
項目 1. 敏感度標籤是在 Microsoft Purview 合規性入口網站中進行設定。
項目 2. 敏感度標籤可以套用至許多類型的項目和檔案,例如Microsoft Office 檔案、Power BI 服務中的項目、Power BI Desktop 檔案和電子郵件。
項目 3. 敏感度標籤可以套用至 Teams 網站、SharePoint 網站和 Microsoft 365 群組。
項目 4. 敏感度標籤可以套用至 Microsoft Purview 資料對應中註冊的結構描述化資料資產。

在圖表中,請注意 Power BI 服務和 Power BI Desktop 檔案中的項目只是允許指派敏感度標籤的許多資源之一。 敏感度標籤在 Microsoft Purview 資訊保護中集中定義。 定義後,整個組織中所有受支援的應用程式都會使用相同的標籤。 無法定義僅在一個應用程式 (例如 Power BI) 中使用的標籤。 因此,您的規劃流程需要考量更廣泛的使用情境來定義可在多種情境中使用的標籤。 因為資訊保護的目的在跨應用程式和服務一致地使用,因此先評估目前現有的敏感度標籤是非常重要的。

Power BI 的資訊保護文章中會說明實作敏感度標籤的活動。

注意

敏感度標籤是實作資訊保護的第一個建置組塊。 DLP 會在設定資訊保護之後發生。

檢查清單 - 在評估組織中資訊保護和 DLP 的目前狀態時,關鍵決策和行動包括:

  • 確定目前是否正在使用資訊保護:了解目前啟用了哪些功能、如何使用這些功能、由哪些應用程式以及由誰使用。
  • 確定目前負責資訊保護的人員:在評估目前的功能時,確定目前負責的人員。 讓該小組參與所有日後活動。
  • 合併資訊保護專案:如果適用,合併目前使用的資訊保護方法。 如果可能的話,整合專案和小組以獲得效率和一致性。

小組人員配置

如前所述,設定的許多資訊保護和 DLP 功能將對整個組織產生影響 (遠遠超出 Power BI)。 這就是為什麼建立一個包含所有相關人員的小組非常重要。 小組對於定義目標 (在下一節中說明) 和指導整體工作來說非常重要。

當您為小組定義角色和職責時,建議您納入能夠有效傳達需求並與專案關係人進行良好溝通的人員。

您的小組應包括涉及組織中不同個人和團體的相關專案關係人,包括:

  • 資訊安全長 / 資料保護長
  • 資訊安全 / 網路安全小組
  • 法務
  • 法規遵循
  • 風險管理
  • 企業資料控管委員會
  • 資料長 / 分析長
  • 內部稽核小組
  • 分析卓越中心 (COE)
  • 企業分析 / 商業智慧 (BI) 小組
  • 來自關鍵業務部門的資料管理員和網域資料擁有者

您的小組也應該包含下列系統管理員:

  • Microsoft Purview 系統管理員
  • Microsoft 365 管理員
  • Microsoft Entra ID (先前稱為 Azure Active Directory) 系統管理員
  • Defender for Cloud Apps 系統管理員
  • Power BI 管理員

提示

請預期資訊保護的規劃和實作將是一項共同作業,需要時間才能完成。

規劃和實作資訊保護的工作通常是大多數人的兼任責任。 這通常是眾多緊迫優先事項之一。 因此,設立執行發起人將有助於確立優先事項、設定期限並提供策略指導。

與跨組織邊界的不同職務小組合作時,必須確立角色和職責,以避免誤解和延誤。

檢查清單 - 在組成資訊保護小組時,關鍵決策和行動包括:

  • 組成小組:讓所有相關的技術和非技術專案關係人參與其中。
  • 決定執行發起人是誰:確保您清楚誰是規劃和實作工作的領導者。 讓此人 (或團體) 參與決定優先順序、募資、達成共識和決策。
  • 釐清角色和職責:確保所有相關人員都清楚自己的角色和職責。
  • 制定溝通計畫:考量您將如何以及何時與整個組織的使用者進行溝通。

目標和需求

考量實作資訊保護和 DLP 的目標非常重要。 您組成的小組中,不同的專案關係人可能有不同的觀點和關注領域。

此時,我們建議您專注於策略目標。 如果您的小組已從定義實作層級詳細資料開始,建議您退一步並定義策略目標。 明確的策略目標將有助於您更順利地實作。

您的資訊保護和 DLP 需求可能包括以下目標。

  • 自助使用者支援:允許自助 BI 內容建立者和擁有進行共同作業、共用並盡可能提高工作效率 - 所有這些都在管理小組建立的保護範圍內。 目標是平衡自助 BI 與集中式 BI,讓自助使用者輕鬆做正確的事情,而不會對他們的生產力造成負面影響。
  • 重視保護可信任資料的資料文化:以低摩擦且不影響使用者工作效率的方式實作資訊保護。 當以平衡的方式實作時,使用者更有可能在您的系統內工作而不是在系統周圍工作。 使用者教育和使用者支援非常重要。
  • 風險降低: 降低組織風險以保護組織。 降低風險的目標通常包括將在組織外部外洩資料的可能性降到最低以及保護資料免遭未經授權的存取。
  • 合規性:支援產業、區域和政府法規的合規性工作。 此外,組織還可能必須符合關鍵的内部治理和安全性要求。
  • 稽核性和意識:了解敏感性資料在整個組織中的位置以及誰在使用這些資料。

請注意,引進資訊保護的措施是涉及安全性和隱私權的其他相關方法的補充。 協調資訊保護措施與其他工作,例如:

  • Power BI 內容的存取角色、權限、共用和列層級安全性 (RLS)
  • 資料落地需求
  • 網路安全性需求
  • 資料加密需求
  • 資料編目措施

如需在 Power BI 中保護內容的詳細資訊,請參閱安全性規劃文章。

檢查清單 - 考量資訊保護目標時,關鍵決策和動作包括:

  • 確定適用的資料隱私權法規和風險:確保您的小組了解您所在產業或地理區域的組織須遵守的資料隱私權法規。 如有必要,請進行資料隱私權風險評估。
  • 討論並釐清您的目標:與相關專案關係人和感興趣的人進行初步討論。 確定您清楚了解資訊保護的策略目標。 確定您可以將這些目標傳達為商務需求。
  • 核准、記錄並排定目標優先順序:確定您的策略目標已記錄並排定優先順序。 當您需要做出複雜的決策、排定優先順序或權衡取捨時,請參閱這些目標。
  • 驗證並記錄法規和商務需求:務必記錄所有資料隱私權法規和商務需求。 請參閱它們以了解優先順序和合規性需求。
  • 開始建立計劃:使用優先的策略目標和記錄的需求開始制定專案計劃。

相關內容

本系列的下一篇文章中,了解用於 Power BI 的資料資產的標籤和分類。