Richtlinien zur Verhinderung von Datenverlust für Power BI (Vorschau)

Um Organisationen dabei zu helfen, ihre vertraulichen Daten zu erkennen und zu schützen, unterstützt Power BI Microsoft Purview Verhinderung von Datenverlust (DLP)-Richtlinien. Wenn eine DLP-Richtlinie für Power BI ein vertrauliches Dataset erkennt, kann ein Richtlinientipp dem Dataset in der Power BI-Dienst angefügt werden, die die Art des vertraulichen Inhalts erläutert, und eine Warnung kann auf der Registerkarte "Warnungen zur Verhinderung von Datenverlust" auf der Registerkarte "Benachrichtigungen zum Datenverlust" im Microsoft Purview-Complianceportal registriert werden. für die Überwachung und Verwaltung durch Administratoren. Darüber hinaus können E-Mail-Benachrichtigungen an Administratoren und angegebene Benutzer gesendet werden.

Überlegungen und Einschränkungen

  • DLP-Richtlinien für Power BI werden im Microsoft Purview-Complianceportal definiert.
  • DLP-Richtlinien gelten für Arbeitsbereiche. Nur arbeitsbereiche, die in Premium Gen2-Kapazitäten gehostet werden, werden unterstützt.
  • Workloads zur DLP-Datasetauswertung wirken sich auf die Kapazität aus. Die Messung wird für DLP-Auswertungsworkloads noch nicht unterstützt.
  • Sowohl klassische als auch neue Erfahrungsarbeitsbereiche werden unterstützt, sofern sie in Premium Gen2-Kapazitäten gehostet werden.
  • DLP-Richtlinienvorlagen werden für Power BI DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Power BI die Option „Benutzerdefinierte Richtlinie“ aus.
  • Power BI DLP-Richtlinienregeln unterstützen derzeit Vertraulichkeitsbezeichnungen und typen vertraulicher Informationen als Bedingungen.
  • DLP-Richtlinien für Power BI werden für Beispieldatasets, Streamingdatasets oder Datasets, die eine Verbindung mit ihrer Datenquelle über DirectQuery oder Liveverbindung herstellen, nicht unterstützt.
  • DLP-Richtlinien für Power BI werden in Sovereign Clouds nicht unterstützt.
  • Derzeit unterstützen DLP-Richtlinien für Power BI das Scannen vertraulicher Informationstypen in daten, die in der Region Südostasien gespeichert sind. Erfahren Sie, wie Sie den Standardbereich Für Ihre Organisation finden, um zu erfahren, wie Sie den Standarddatenbereich Ihrer Organisation finden .

Lizenzierung und Berechtigungen

SKU-/Abonnementlizenzierung

Bevor Sie mit DLP für Power BI beginnen, sollten Sie Ihr Microsoft 365-Abonnement bestätigen. Dem Administratorkonto, mit dem die DLP-Regeln eingerichtet werden, muss eine der folgenden Lizenzen zugewiesen werden:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection und Governance

Berechtigungen

Daten aus DLP für Power BI können im Aktivitäts-Explorer angezeigt werden. Es gibt vier Rollen, die dem Aktivitäts-Explorer Berechtigungen erteilen. Das Konto, das Sie für den Zugriff auf die Daten verwenden, muss über eine dieser Rollen verfügen.

  • Globaler Administrator
  • Complianceadministrator
  • Sicherheitsadministrator
  • Compliancedatenadministrator

Funktionsweise von DLP-Richtlinien für Power BI

Sie definieren eine DLP-Richtlinie im Abschnitt zur Verhinderung von Datenverlust im Complianceportal. In der Richtlinie geben Sie die Vertraulichkeitsbezeichnungen und/oder vertrauliche Infotypen an, die Sie erkennen möchten. Sie geben auch die Aktionen an, die auftreten, wenn die Richtlinie ein Dataset erkennt, das vertrauliche Daten der angegebenen Art enthält. DLP-Richtlinien für Power BI unterstützen zwei Aktionen:

  • Benutzerbenachrichtigung über Richtlinientipps
  • Benachrichtigungen. Benachrichtigungen können per E-Mail an Administratoren und Benutzer gesendet werden. Darüber hinaus können Administratoren Benachrichtigungen auf der Registerkarte Benachrichtigungen im Compliance Center überwachen und verwalten.

Wenn ein Dataset von DLP-Richtlinien ausgewertet wird und die in einer DLP-Richtlinie angegebenen Bedingungen erfüllt, werden die in der Richtlinie angegebenen Aktionen ausgeführt. Ein Dataset wird anhand von DLP-Richtlinien ausgewertet, wenn eins der folgenden Ereignisse eintritt:

  • Veröffentlichen
  • Erneut veröffentlichen
  • Bedarfsgesteuerte Aktualisierung
  • Geplante Aktualisierung

Hinweis

Die DLP-Auswertung des Datasets erfolgt nicht, wenn einer der folgenden Punkte zutrifft:

  • Der Auslöser des Ereignisses ist ein Dienstprinzipal
  • Der Besitzer des Datasets ist entweder ein Dienstprinzipal oder ein B2B-Benutzer

Was geschieht, wenn ein Dataset durch eine Power BI DLP-Richtlinie gekennzeichnet wird

Folgendes geschieht, wenn eine DLP-Richtlinie ein Problem bei einem Dataset erkennt:

  • Wenn „Benutzerbenachrichtigung“ in der Richtlinie aktiviert ist, wird das Dataset im Power BI-Dienst mit einem Schutz markiert, der angibt, dass eine DLP-Richtlinie bei dem Dataset ein Problem erkannt hat.

    Screenshot of policy tip badge on dataset in lists.

    Öffnen Sie die Detailseite des Datasets, um einen Richtlinienhinweis anzuzeigen, der den Richtlinienverstoß und die Behandlung des erkannten Typs vertraulicher Informationen erläutert.

    Screenshot of policy tip on dataset details page.

    Hinweis

    Wenn Sie den Richtlinienhinweis ausblenden, wird er nicht gelöscht. Bei Ihrem nächsten Aufsuchen der Seite wird er wieder angezeigt.

  • Wenn Benachrichtigungen in der Richtlinie aktiviert sind, wird eine Benachrichtigung auf der Registerkarte Benachrichtigungen zur Verhinderung von Datenverlust im Compliance Center aufgezeichnet, und eine E-Mail wird an Administratoren und/oder angegebene Benutzer gesendet (sofern konfiguriert). Die folgende Abbildung zeigt die Registerkarte Benachrichtigungen im Abschnitt zur Verhinderung von Datenverlust im Compliance Center.

    Screenshot of Alerts tab in the compliance center.

Konfigurieren einer DLP-Richtlinie für Power BI

  1. Melden Sie sich bei der Microsoft Purview-Complianceportal an.

  2. Wählen Sie im Navigationsbereich die Lösung zur Verhinderung von Datenverlust aus, wählen Sie die Registerkarte Richtlinien und dann Richtlinie erstellen aus.

    Screenshot of D L P create policy page.

  3. Wählen Sie die Kategorie Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus.

    Hinweis

    Zurzeit werden keine anderen Kategorien oder Vorlagen unterstützt.

    Screenshot of D L P choose custom policy page.

    Klicken Sie anschließend auf Weiter.

  4. Benennen Sie die Richtlinie, und geben Sie eine aussagekräftige Beschreibung an.

    Screenshot of D L P policy name description section.

    Klicken Sie anschließend auf Weiter.

  5. Aktivieren Sie Power BI als Speicherort für die DLP-Richtlinie. Deaktivieren Sie alle anderen Speicherorte. Aktuell muss für DLP-Richtlinien für Power BI Power BI als einziger Speicherort angeben sein.

    Screenshot of D L P choose location page.

    Standardmäßig gilt die Richtlinie für alle Arbeitsbereiche. Alternativ können Sie bestimmte Arbeitsbereiche angeben, die in die Richtlinie eingeschlossen werden sollen, sowie Arbeitsbereiche, die von der Richtlinie ausgeschlossen werden sollen.

    Hinweis

    DLP-Aktionen werden nur für Arbeitsbereiche unterstützt, die in Premium Gen2-Kapazitäten gehostet werden.

    Wenn Sie Arbeitsbereiche auswählen oder Arbeitsbereiche ausschließenauswählen, können Sie in einem Dialogfeld eine Liste der eingeschlossenen (oder ausgeschlossenen) Arbeitsbereiche erstellen. Sie müssen Arbeitsbereiche nach der Objekt-ID des Arbeitsbereichs angeben. Klicken Sie auf das Infosymbol, um Informationen zum Suchen von Objekt-IDs von Arbeitsbereichen zu erhalten.

    Screenshot of D L P choose workspaces dialog.

    Nachdem Sie Power BI als DLP-Speicherort für die Richtlinie aktiviert und ausgewählt haben, für welche Arbeitsbereiche die Richtlinie gelten soll, klicken Sie auf Weiter.

  6. Die Seite Richtlinieneinstellungen definieren wird angezeigt. Wählen Sie Erweiterte DLP-Regeln erstellen oder anpassen aus, um mit dem Definieren Ihrer Richtlinie zu beginnen.

    Screenshot of D L P create advanced rule page.

    Klicken Sie anschließend auf Weiter.

  7. Auf der Seite Erweiterte DLP-Regeln anpassen können Sie entweder mit dem Erstellen einer neuen Regel beginnen oder eine vorhandene Regel zur Bearbeitung auswählen. Klicken Sie auf Regel erstellen.

    Screenshot of D L P create rule page.

  8. Die Seite Regel erstellen wird angezeigt. Geben Sie auf der Seite „Regel erstellen“ einen Namen und eine Beschreibung für die Regel an, und konfigurieren Sie dann die anderen Abschnitte, die im Anschluss an die folgende Abbildung beschrieben werden.

    Screenshot of D L P create rule form.

Bedingungen

Im Bedingungsabschnitt definieren Sie die Bedingungen, unter denen die Richtlinie auf ein Dataset angewendet wird. Bedingungen werden in Gruppen erstellt. Gruppen ermöglichen das Erstellen komplexer Bedingungen.

  1. Öffnen Sie den Abschnitt Bedingungen, wählen Sie Bedingung hinzufügen und dann Inhalt enthält aus.

    Screenshot of D L P add conditions content contains section.

    Dadurch wird die erste Gruppe geöffnet (mit dem Namen „Standard“ – Sie können dies ändern).

  2. Wählen Sie "Hinzufügen" aus, und wählen Sie dann entweder vertrauliche Infotypen oder Vertraulichkeitsbezeichnungen aus.

    Screenshot of D L P add conditions section.

    Hinweis

    Derzeit unterstützen DLP-Richtlinien für Power BI das Scannen vertraulicher Informationstypen in daten, die in der Region Südostasien gespeichert sind. Erfahren Sie, wie Sie den Standardbereich Für Ihre Organisation finden, um zu erfahren, wie Sie den Standarddatenbereich Ihrer Organisation finden .

    Wenn Sie entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen auswählen, können Sie die bestimmten Vertraulichkeitsbezeichnungen oder vertraulichen Infotypen auswählen, die aus einer Liste erkannt werden sollen, die in einer Querleiste angezeigt wird.

    Screenshot of sensitivity-label and sensitive info types choices.

    Wenn Sie einen Typ vertraulicher Informationen als Bedingung auswählen, müssen Sie angeben, wie viele Instanzen dieses Typs erkannt werden müssen, damit die Bedingung als erfüllt betrachtet werden kann. Sie können zwischen 1 und 500 Instanzen angeben. Wenn Sie 500 oder mehr eindeutige Instanzen erkennen möchten, geben Sie einen Bereich von "500" in "Any" ein. Sie können auch den Konfidenzgrad im übereinstimmenden Algorithmus auswählen. Klicken Sie auf die Infoschaltfläche neben der Konfidenzstufe, um die Definition der einzelnen Ebenen anzuzeigen.

    Screenshot of confidence level setting for sensitive info types.

    Sie können der Gruppe zusätzliche Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen hinzufügen. Rechts neben dem Gruppennamen können Sie Beliebige hiervon oder Alle hiervon angeben. Dadurch wird bestimmt, ob Übereinstimmungen für alle oder alle Elemente in der Gruppe erforderlich sind, damit die Bedingung gehalten werden kann. Wenn Sie mehrere Vertraulichkeitsbezeichnungen angegeben haben, können Sie nur eine dieser Bezeichnungen auswählen, da Datasets nicht mehr als eine Bezeichnung angewendet werden können.

    Die Abbildung unten zeigt eine Gruppe (Standard), die zwei Bedingungen für Vertraulichkeitsbezeichnungen enthält. Die Logik „Beliebige hiervon“ bedeutet, dass eine Übereinstimmung mit einer der Vertraulichkeitsbezeichnungen in der Gruppe ein „true“ für diese Gruppe bewirkt.

    Screenshot of D L P conditions group section.

    Sie können mehrere Gruppen erstellen und die Logik zwischen den Gruppen mit AND- oder OR-Logik steuern.

    Die Abbildung unten zeigt eine Regel, die zwei Gruppen enthält, die mit OR-Logik verbunden sind.

    Screenshot of rule with two groups.

Ausnahmen

Wenn das Dataset über eine Vertraulichkeitsbezeichnung oder einen vertraulichen Informationstyp verfügt, der einer der definierten Ausnahmen entspricht, wird die Regel nicht auf das Dataset angewendet.

Ausnahmen werden auf die gleiche Weise wie die oben beschriebenen Bedingungen konfiguriert.

Screenshot of D L P exceptions section.

Aktionen

Schutzaktionen sind zurzeit für DLP-Richtlinien von Power BI nicht verfügbar.

Screenshot of D L P policy actions section.

Benutzerbenachrichtigungen

Sie konfigurieren Ihren Richtlinientipp im Abschnitt „Benutzerbenachrichtigungen“. Aktivieren Sie den Umschalter, aktivieren Sie die Kontrollkästchen Benutzer im Office 365-Dienst mit einem Richtlinientipp benachrichtigen, und Richtlinientipps, und schreiben Sie Ihren Richtlinientipp in das Textfeld.

Screenshot of D L P user notification section.

Außerkraftsetzungen durch Benutzer

Die Außerkraftsetzung durch Benutzer ist zurzeit für DLP-Richtlinien von Power BI nicht verfügbar.

Screenshot of D L P user overrides section.

Vorfallsberichte

Weisen Sie einen Schweregrad zu, der in den aus dieser Richtlinie generierten Benachrichtigungen angezeigt wird. Aktivieren (Standard) oder deaktivieren Sie E-Mail-Benachrichtigungen für Administratoren, geben Sie Benutzer oder Gruppen für E-Mail-Benachrichtigungen an, und konfigurieren Sie Details dazu, wann die Benachrichtigung erfolgt.

Screenshot of D L P incident report section.

Zusätzliche Optionen

Screenshot of D L P additional options section.

Überwachen und Verwalten von Richtlinienbenachrichtigungen

Melden Sie sich bei der Microsoft Purview-Complianceportal an, und navigieren Sie zu Warnungen zur Verhinderung von > Datenverlust.

Screenshot of D L P Alerts tab.

Klicken Sie auf eine Benachrichtigung, um einen Drilldown zu den Details zu starten und Verwaltungsoptionen anzuzeigen.

Nächste Schritte