Power BI での Microsoft Defender for Cloud Apps の制御の使用
Power BI で Defender for Cloud Apps を使うと、Power BI のレポート、データ、サービスを意図しない漏えいや侵害から保護することができます。 Defender for Cloud Apps を使うと、Microsoft Entra ID のリアルタイム セッション制御を使用して、組織のデータに対して条件付きアクセス ポリシーを作成することができます。これにより、Power BI 分析を確実にセキュリティで保護することができます。 これらのポリシーを設定すると、管理者は、ユーザーのアクセスとアクティビティの監視、リアルタイムのリスク分析の実行、ラベル固有の制御の設定を行うことができます。
Note
Microsoft Defender for Cloud Apps は Microsoft Defender XDR に統合されました。 詳細については、「Microsoft Defender XDR の Microsoft Defender for Cloud Apps」を参照してください。
![Power BI が強調表示された [クラウド アプリ カタログ] ページを示す [Defender for Cloud Apps] ウィンドウのスクリーンショット。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-cloud-apps-catalog.png)
Defender for Cloud Apps は、Power BI だけでなく、あらゆる種類のアプリとサービスに対して構成できます。 Power BI のデータと分析に Defender for Cloud Apps 保護を利用するには、Power BI と連携するように Defender for Cloud Apps を構成する必要があります。 動作の概要、ダッシュボード、アプリのリスク スコアなど、Defender for Cloud Apps について詳しくは、Defender for Cloud Apps のドキュメントをご覧ください。
Defender for Cloud Apps のライセンス
Power BI で Defender for Cloud Apps を使用するには、関連する Microsoft セキュリティ サービスを使用および構成する必要があります。その中には、Power BI の外部で設定されるものもあります。 テナント内で Defender for Cloud Apps を使用するには、次のいずれかのライセンスが必要です。
- Microsoft Defender for Cloud Apps: EMS E5 および Microsoft 365 E5 スイートの一部として、サポートされるすべてのアプリに Defender for Cloud Apps の機能が提供されます。
- Office 365 Cloud App Security: Office 365 E5 suite の一部である Office 365 に対してのみ、Defender for Cloud Apps 機能を提供します。
Defender for Cloud Apps で Power BI のリアルタイム制御を構成する
Note
Defender for Cloud Apps のリアルタイム制御を利用するには、Microsoft Entra ID P1 ライセンスが必要です。
以降のセクションでは、Defender for Cloud Apps を使用して Power BI のリアルタイム制御を構成する手順について説明します。
Microsoft Entra ID でセッション ポリシーを設定する (必須)
セッション制御を設定するために必要な手順は、Microsoft Entra ID と Defender for Cloud Apps のポータルで完了します。 Microsoft Entra 管理センターでは、Power BI 用の条件付きアクセス ポリシーを作成し、Defender for Cloud Apps サービスを介して Power BI で使用されるセッションをルーティングします。
Defender for Cloud Apps は、リバース プロキシ アーキテクチャで動作し、Power BI のユーザー アクティビティをリアルタイムで監視するために Microsoft Entra の条件付きアクセスと統合されています。 プロセスを理解するのに役立つ手順を以下に示します。また、各手順のリンク先の内容には、段階を踏んだ詳細な指示があります。 プロセス全体の説明については、「Defender for Cloud Apps」を参照してください。
- Microsoft Entra 条件付きアクセスのテスト ポリシーを作成する
- ポリシーのスコープに含まれるユーザーを使用して各アプリにサインインする
- アプリがアクセスとセッション制御を使用するように構成されていることを確認する
- 組織で使用するアプリを有効にする
- デプロイをテストする
セッション ポリシーを設定するプロセスについては、「セッション ポリシー」で詳しく説明されています。
異常検出ポリシーを設定して Power BI アクティビティを監視する (推奨)
個別にスコープを指定できる Power BI の異常検出ポリシーを、ポリシーに含めたり除外したりするユーザーおよびグループのみに適用するように定義することができます。 詳しくは、異常検出ポリシーに関する記事をご覧ください。
Defender for Cloud Apps には、Power BI 専用の 2 つの組み込み検出があります。 「Power BI 用の Defender for Cloud Apps の組み込み検出」を参照してください。
Microsoft Purview Information Protection の秘密度ラベルを使用する (推奨)
秘密度ラベルを使用すると、機密性の高いコンテンツを分類して保護することができるため、組織内のユーザーは組織外のパートナーと共同作業を行いながら、機密性の高いコンテンツやデータを慎重に認識できます。
Power BI の秘密度ラベルの使用プロセスの詳細については、「Power BI における秘密度ラベル」を参照してください。 秘密度ラベルに基づいた Power BI ポリシーに関するこの記事の後半にある例を参照してください。
Power BI の疑わしいユーザー アクティビティについてアラートを生成するためのカスタム ポリシー
Defender for Cloud Apps のアクティビティ ポリシーを使用すると、管理者は独自のカスタム ルールを定義して、標準から逸脱したユーザーの動作を検出したり、それが危険すぎると見受けられる場合には自動的に対応したりすることもできます。 例:
大量の秘密度ラベルの削除。 たとえば、1 人のユーザーが 5 分に満たない短い時間枠で 20 個の異なるレポートから秘密度ラベルを削除した場合に、アラートが通知されるようにします。
暗号化秘密度ラベルのダウングレード。 たとえば、極秘の秘密度ラベルが付いたレポートがパブリックに分類された場合に、アラートが通知されるようにします。
注意
Power BI REST API を使用すると、Power BI 成果物と秘密度ラベルの一意識別子 (ID) を見つけることができます。 セマンティック モデルの取得に関するページまたはレポートの取得に関するページを参照してください。
カスタム アクティビティ ポリシーは、Defender for Cloud Apps ポータルで構成します。 詳細については、「アクティビティ ポリシー」を参照してください。
Power BI 用の Defender for Cloud Apps の組み込み検出
Defender for Cloud Apps の検出を使用すると、管理者は監視対象のアプリの特定のアクティビティを監視することができます。 Power BI については、現在、次の 2 つの専用の組み込み Defender for Cloud Apps 検出があります。
疑わしい共有 – ユーザーが (組織の外部の) 不明な電子メールと機密性の高いレポートを共有した場合に検出されます。 機密性の高いレポートとは、秘密度ラベルが [INTERNAL-ONLY](内部のみ) 以上に設定されているレポートです。
レポートの大量共有 – ユーザーが大量のレポートを 1 つのセッションで共有した場合に検出されます。
これらの検出の設定は、Defender for Cloud Apps ポータルで構成します。 詳細については、「通常とは異なるアクティビティ (ユーザー別)」を参照してください。
Defender for Cloud Apps での Power BI 管理者ロール
Power BI と共に Defender for Cloud Apps を使用すると、Power BI 管理者用に新しいロールが作成されます。 Defender for Cloud Apps ポータルに Power BI 管理者としてサインインすると、Power BI に関連するデータ、アラート、危険にさらされているユーザー、アクティビティ ログ、その他の情報へのアクセスが制限されます。
考慮事項と制限事項
Power BI での Defender for Cloud Apps の使用は、ユーザー セッションとそれらのアクティビティを監視する検出を使用して、組織のコンテンツとデータをセキュリティで保護するために設計されています。 Power BI で Defender for Cloud Apps を使用する場合、注意すべきいくつかの考慮事項と制限事項があります。
- Defender for Cloud Apps では、Excel、PowerPoint、PDF ファイルのみを操作できます。
- Power BI のセッション ポリシーで秘密度ラベル機能を使用する場合は、Azure Information Protection Premium P1 または Premium P2 のライセンスが必要です。 Microsoft Azure Information Protection は、スタンドアロンとして、またはいずれかの Microsoft ライセンス スイートを介して購入できます。 詳細については、「Azure Information Protection の価格」を参照してください。 また、ご使用の Power BI 資産に秘密度ラベルが適用されている必要があります。
- セッション制御は、任意のオペレーティング システムの主要なプラットフォーム上で任意のブラウザーで使用できます。 最新バージョンの Microsoft Edge、Google Chrome、Mozilla Firefox、または Apple Safari を使用することをお勧めします。 Power BI のパブリック API 呼び出しと、他のブラウザーベースではないセッションは、Defender for Cloud Apps のセッション制御の一部としてサポートされていません。 詳細については、「サポートされているアプリとクライアント」を参照してください。
- 複数回のサインインが必要であるなど、サインインに関する問題が発生した場合、それは一部のアプリによる認証処理の方法に関連している可能性があります。 詳細については、トラブルシューティングの記事「ログインが遅い」を参照してください。
注意事項
セッション ポリシーの "アクション" 部分の "保護" 機能は、項目にラベルが存在しない場合にのみ機能します。 ラベルが既に存在する場合、"保護" アクションは適用されません。Power BI の項目に既に適用されている既存のラベルをオーバーライドすることはできません。
例
次の例では、Power BI で Defender for Cloud Apps を使用して新しいセッション ポリシーを作成する方法を示します。
まず、新しいセッション ポリシーを作成します。 Defender for Cloud Apps ポータルのナビゲーション ウィンドウで [ポリシー] を選びます。 次に、ポリシーのページで、[ポリシーの作成] を選択し、[セッションポリシー] を選びます。
![[ポリシー]、[ポリシーの作成]、[セッション ポリシー]が強調表示されている Defender for Cloud Apps [ポリシー] パネルのスクリーンショット。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-create-policy.png)
表示されるウィンドウで、セッション ポリシーを作成します。 番号付きの手順は、次の画像の設定を示しています。
[ポリシー テンプレート] ドロップダウンで、[テンプレートなし] を選択します。
[ポリシー名] に、セッション ポリシーに関連する名前を指定します。
[セッション制御の種類] で、[ファイル ダウンロードの制御 (検査を含む)] を選びます (DLP の場合)。
[アクティビティ ソース] セクションで、関連するブロック ポリシーを選択します。 アンマネージド デバイスと非準拠デバイスをブロックすることをお勧めします。 セッションが Power BI のときにダウンロードをブロックすることを選択します。
![[セッション ポリシーの作成] 構成パネルを示す [Defender for Cloud App Security] ウィンドウのスクリーンショット。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-create-policy-configure-name.png)
下にスクロールすると、オプションがさらに表示されます。 次の図に、これらのオプションと他の例を示します。
[秘密度ラベル] でフィルターを作成し、[極秘] または組織に最適なものを選びます。
[検査方法] を [なし] に変更します。
ご自分のニーズに合った [ブロック] オプションを選択します。
このようなアクションに対するアラートを作成します。
![展開されたポリシー構成オプションを示す [Defender for Cloud App Security] ウィンドウのスクリーンショット。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-create-policy-configure-inspection-method.png)
[作成] を選択してセッション ポリシーを完成させます。
![[セッション ポリシーの作成] ボタンを示す [Defender for Cloud App Security] ウィンドウのスクリーンショット。](media/service-security-using-defender-for-cloud-apps-controls/defender-for-cloud-apps-controls-create-policy-configure-save.png)
関連するコンテンツ
この記事では、Defender for Cloud Apps で Power BI のデータとコンテンツを保護する方法について説明しました。 Power BI のデータ保護の詳細と、それを有効にする Azure サービスのサポート コンテンツについては、次を参照してください。
Azure の情報やセキュリティに関する記事については、次を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示