Bruge Microsoft Defender for Cloud Apps-kontrolelementer i Power BI

  • Artikel

Ved hjælp af Defender for Cloud Apps med Power BI kan du hjælpe med at beskytte dine Power BI-rapporter, -data og -tjenester mod utilsigtede lækager eller brud. Med Defender for Cloud Apps kan du oprette politikker for betinget adgang for din organisations data ved hjælp af sessionskontrolelementer i realtid i Microsoft Entra ID, der hjælper med at sikre, at din Power BI-analyse er sikker. Når disse politikker er angivet, kan administratorer overvåge brugeradgang og -aktivitet, udføre risikoanalyse i realtid og angive mærkatspecifikke kontrolelementer.

Bemærk

Microsoft Defender for Cloud Apps er nu en del af Microsoft Defender XDR. Du kan få flere oplysninger i Microsoft Defender for Cloud Apps i Microsoft Defender XDR.

Skærmbillede af vinduet Defender for Cloud Apps, der viser katalogsiden for cloudapps med Power BI fremhævet.

Du kan konfigurere Defender til Cloud Apps for alle mulige apps og tjenester, ikke kun Power BI. Du skal konfigurere Defender for Cloud Apps til at arbejde med Power BI for at drage fordel af Defender for Cloud Apps-beskyttelse til dine Power BI-data og -analyser. Du kan få flere oplysninger om Defender for Cloud Apps, herunder en oversigt over, hvordan det fungerer, dashboardet og scorer for apprisici, i dokumentationen til Defender for Cloud Apps .

Defender for Cloud Apps-licenser

Hvis du vil bruge Defender for Cloud Apps med Power BI, skal du bruge og konfigurere relevante Microsoft-sikkerhedstjenester, hvoraf nogle er angivet uden for Power BI. Hvis du vil have Defender for Cloud Apps i din lejer, skal du have en af følgende licenser:

  • Microsoft Defender for Cloud Apps: Leverer Defender for Cloud Apps-funktioner til alle understøttede apps, som er en del af EMS E5- og Microsoft 365 E5-pakkerne.
  • Office 365 Cloud App Security: Leverer kun funktionerne i Defender for Cloud Apps til Office 365, der er en del af Office 365 E5-pakken.

Konfigurer kontrolelementer i realtid for Power BI med Defender for Cloud Apps

Bemærk

Der kræves en Microsoft Entra ID P1-licens for at kunne drage fordel af Defender for Cloud Apps-kontrolelementer i realtid.

I følgende afsnit beskrives trinnene til konfiguration af kontrolelementer i realtid for Power BI med Defender for Cloud Apps.

Angiv sessionspolitikker i Microsoft Entra-id (påkrævet)

De trin, der er nødvendige for at angive sessionskontrolelementer, fuldføres på Portalerne Microsoft Entra ID og Defender for Cloud Apps. I Microsoft Entra Administration kan du oprette en politik for betinget adgang til Power BI og distribuere sessioner, der bruges i Power BI, via Defender for Cloud Apps-tjenesten.

Defender for Cloud Apps fungerer i en omvendt proxyarkitektur og er integreret med Betinget adgang til Microsoft Entra for at overvåge Power BI-brugeraktivitet i realtid. Følgende trin er angivet for at hjælpe dig med at forstå processen, og der er detaljerede trinvise instruktioner i det sammenkædede indhold i hvert af følgende trin. Du kan se en beskrivelse af hele processen under Defender for Cloud Apps.

  1. Opret en testpolitik for betinget adgang til Microsoft Entra
  2. Log på hver app ved hjælp af en bruger, der er begrænset til politikken
  3. Kontrollér, at appsene er konfigureret til at bruge adgangs- og sessionskontrolelementer
  4. Aktivér appen til brug i din organisation
  5. Test installationen

Processen til angivelse af sessionspolitikker er beskrevet detaljeret i Sessionspolitikker.

Du kan definere politikker for registrering af uregelmæssigheder i Power BI, der kan begrænses uafhængigt af hinanden, så de kun gælder for de brugere og grupper, du vil medtage og ekskludere i politikken. Du kan få flere oplysninger under Politikker for registrering af uregelmæssigheder.

Defender for Cloud Apps har to dedikerede, indbyggede registreringer til Power BI. Se Indbyggede registreringer af Defender for Cloud Apps til Power BI.

Følsomhedsmærkater gør det muligt for dig at klassificere og beskytte følsomt indhold, så personer i din organisation kan samarbejde med partnere uden for din organisation, men stadig være omhyggelige og opmærksomme på følsomt indhold og data.

Du kan få oplysninger om processen med at bruge følsomhedsmærkater til Power BI under Følsomhedsmærkater i Power BI. Se eksemplet senere i denne artikel om en Power BI-politik, der er baseret på følsomhedsmærkater.

Brugerdefinerede politikker, der skal advares om mistænkelig brugeraktivitet i Power BI

Defender for Cloud Apps-aktivitetspolitikker gør det muligt for administratorer at definere deres egne brugerdefinerede regler for at hjælpe med at registrere brugeradfærd, der afviger fra normen, og endda muligvis reagere på den automatisk, hvis det virker for farligt. Eksempler:

  • Massiv fjernelse af følsomhedsmærkat. Giv mig f.eks. besked, når følsomhedsmærkater fjernes af en enkelt bruger fra 20 forskellige rapporter i et tidsvindue, der er kortere end 5 minutter.

  • Nedgradering af følsomhedsmærkat. Giv mig f.eks. besked, når en rapport, der havde en meget fortrolig følsomhedsmærkat, nu er klassificeret som offentlig.

Bemærk

De entydige id'er for Power BI-artefakter og følsomhedsmærkater kan findes ved hjælp af REST API'er til Power BI. Se Hent semantiske modeller eller Hent rapporter.

Brugerdefinerede aktivitetspolitikker konfigureres på Defender for Cloud Apps-portalen. Du kan få flere oplysninger under Aktivitetspolitikker.

Indbygget Defender for Cloud Apps-registreringer til Power BI

Defender for Cloud Apps-registreringer gør det muligt for administratorer at overvåge bestemte aktiviteter i en overvåget app. Til Power BI er der i øjeblikket to dedikerede, indbyggede Defender for Cloud Apps-registreringer:

  • Mistænkelig deling – registrerer, når en bruger deler en følsom rapport med en ukendt mail (uden for organisationen). En følsom rapport er en rapport, hvis følsomhedsmærkat er angivet til KUN INTERNT eller højere.

  • Masseandel af rapporter – registrerer, når en bruger deler et stort antal rapporter i en enkelt session.

Indstillinger for disse registreringer konfigureres på Defender for Cloud Apps-portalen. Du kan få flere oplysninger under Usædvanlige aktiviteter (efter bruger).

Rolle som Power BI-administrator i Defender for Cloud Apps

Der oprettes en ny rolle for Power BI-administratorer, når du bruger Defender for Cloud Apps med Power BI. Når du logger på Defender for Cloud Apps-portalen som Power BI-administrator, har du begrænset adgang til data, beskeder, udsatte brugere, aktivitetslogge og andre oplysninger, der er relevante for Power BI.

Overvejelser og begrænsninger

Brug af Defender for Cloud Apps med Power BI er udviklet til at hjælpe med at beskytte din organisations indhold og data med registreringer, der overvåger brugersessioner og deres aktiviteter. Når du bruger Defender for Cloud Apps med Power BI, er der et par overvejelser og begrænsninger, du skal være opmærksom på:

  • Defender for Cloud Apps kan kun fungere på Excel-, PowerPoint- og PDF-filer.
  • Hvis du vil bruge egenskaber for følsomhedsmærkat i dine sessionspolitikker til Power BI, skal du have en Azure Information Protection Premium P1- eller Premium P2-licens. Microsoft Azure Information Protection kan købes enten separat eller via en af Microsoft-licenspakkerne. Du kan finde flere oplysninger under Priser på Azure Information Protection. Derudover skal følsomhedsmærkater være anvendt på dine Power BI-aktiver.
  • Sessionskontrol er tilgængelig for alle browsere på en hvilken som helst større platform på et hvilket som helst operativsystem. Det anbefales, at du bruger den nyeste version af Microsoft Edge, Google Chrome, Mozilla Firefox eller Apple Safari. Offentlige API-kald i Power BI og andre sessioner, der ikke er browserbaserede, understøttes ikke som en del af Defender for Cloud Apps-sessionsstyring. Du kan få flere oplysninger under Understøttede apps og klienter.
  • Hvis du oplever logonproblemer, f.eks. at skulle logge på mere end én gang, kan det være relateret til den måde, nogle apps håndterer godkendelse på. Du kan få flere oplysninger i artiklen Om langsom logon.

Advarsel

I sessionspolitikken fungerer funktionen "beskyt" kun i delen "Handling", hvis der ikke findes en mærkat på elementet. Hvis der allerede findes en mærkat, anvendes handlingen "beskyt" ikke. Du kan ikke tilsidesætte en eksisterende etiket, der allerede er anvendt på et element i Power BI.

Eksempel

I følgende eksempel kan du se, hvordan du opretter en ny sessionspolitik ved hjælp af Defender for Cloud Apps med Power BI.

Først skal du oprette en ny sessionspolitik. Vælg Politikker i navigationsruden i Defender for Cloud Apps-portalen. Vælg derefter Opret politik på siden Politikker, og vælg Sessionspolitik.

Skærmbillede af panelet Defender for Cloud Apps-politikker med politikker, opret politik og sessionspolitik fremhævet.

Opret sessionspolitikken i det vindue, der vises. De nummererede trin beskriver indstillingerne for følgende billede.

  1. Vælg Ingen skabelonrullelisten Politikskabelon.

  2. Angiv et relevant navn til sessionspolitikken under Politiknavn.

  3. Vælg Download af kontrolfil (med inspektion) (til DLP) for sessionskontroltype.

    I afsnittet Aktivitetskilde skal du vælge relevante blokeringspolitikker. Vi anbefaler, at du blokerer ikke-administrerede og ikke-kompatible enheder. Vælg at blokere downloads, når sessionen er i Power BI.

    Skærmbillede af vinduet Defender for Cloud App Security, der viser konfigurationspanelet opret sessionspolitik.

    Der vises flere indstillinger, når du ruller ned. På følgende billede vises disse indstillinger med andre eksempler.

  4. Opret et filter på følsomhedsmærkaten , og vælg Meget fortroligt , eller hvad der passer bedst til din organisation.

  5. Skift kontrolmetoden til ingen.

  6. Vælg indstillingen Bloker , der passer til dine behov.

  7. Opret en besked for en sådan handling.

    Skærmbillede af vinduet Defender for Cloud App Security, der viser de udvidede konfigurationsindstillinger for politikker.

  8. Vælg Opret for at fuldføre sessionspolitikken.

    Skærmbillede af vinduet Defender for Cloud App Security, der viser knappen Opret sessionspolitik.

Relateret indhold

I denne artikel blev det beskrevet, hvordan Defender for Cloud Apps kan levere data- og indholdsbeskyttelse til Power BI. Du kan finde flere oplysninger om Databeskyttelse til Power BI og understøttende indhold til de Azure-tjenester, der aktiverer det, under:

Du kan få oplysninger om Azure- og sikkerhedsartikler under: