Power BI에서 Microsoft Defender for Cloud Apps 컨트롤 사용

Power BI와 클라우드 앱용 Defender를 함께 사용하면 의도하지 않은 유출이나 위반으로부터 Power BI 보고서, 데이터, 서비스를 보호할 수 있습니다. 클라우드용 Defender 앱을 사용하면 Microsoft Entra ID의 실시간 세션 컨트롤을 사용하여 조직의 데이터에 대한 조건부 액세스 정책을 만들어 Power BI 분석의 보안을 보장할 수 있습니다. 이런 정책을 설정하면 관리자가 사용자 액세스 및 활동을 모니터링하고, 실시간 위험 분석을 수행하며, 레이블 관련 제어를 설정할 수 있습니다.

참고 항목

클라우드용 Microsoft Defender 앱은 이제 Microsoft Defender XDR. 자세한 내용은 Microsoft Defender XDR의 클라우드용 Microsoft Defender 앱을 참조하세요.

Power BI뿐만 아니라 모든 종류의 앱과 서비스에 대해 Defender for Cloud Apps를 구성할 수 있습니다. Power BI 데이터 및 분석에 Defender for Cloud Apps 보호 기능을 활용하려면 Power BI에서 작동하도록 Defender for Cloud Apps를 구성해야 합니다. 작동 방식 개요, 대시보드, 앱 위험 점수를 포함한 Defender for Cloud Apps에 대한 자세한 내용은 Defender for Cloud Apps 설명서를 참조하세요.

Defender for Cloud Apps 라이선스

Power BI와 Defender for Cloud Apps를 함께 사용하려면 관련된 Microsoft 보안 서비스를 사용 및 구성해야 하며, 일부 서비스는 Power BI 외부에서 설정됩니다. 테넌트에 Defender for Cloud Apps를 포함하려면 다음 라이선스 중 하나가 있어야 합니다.

• Microsoft Defender for Cloud Apps: EMS E5 및 Microsoft 365 E5 제품군의 일부로 제공되는 모든 지원 앱에 대해 Defender for Cloud Apps 기능을 제공합니다.
• Office 365 Cloud App Security: Office 365 E5 제품군의 일부인 Office 365에만 Defender for Cloud Apps 기능을 제공합니다.

Defender for Cloud Apps를 사용하여 Power BI에 대한 실시간 제어 구성

참고 항목

클라우드용 Defender 앱 실시간 컨트롤을 활용하려면 Microsoft Entra ID P1 라이선스가 필요합니다.

다음 섹션에서는 클라우드 앱용 Defender를 사용하여 Power BI에 대한 실시간 제어를 구성하는 단계를 설명합니다.

Microsoft Entra ID에서 세션 정책 설정(필수)

세션 컨트롤을 설정하는 데 필요한 단계는 Microsoft Entra ID 및 클라우드용 Defender Apps 포털에서 완료됩니다. Microsoft Entra 관리 센터에서 Power BI에 대한 조건부 액세스 정책을 만들고 클라우드용 Defender Apps 서비스를 통해 Power BI에서 사용되는 세션을 라우팅합니다.

클라우드용 Defender 앱은 역방향 프록시 아키텍처에서 작동하며 Microsoft Entra 조건부 액세스와 통합되어 Power BI 사용자 활동을 실시간으로 모니터링합니다. 다음 단계는 프로세스에 대한 이해를 돕기 위해 여기에 제공되었으며, 자세한 단계별 지침은 각 단계에 연결된 콘텐츠에서 제공됩니다. 전체 프로세스에 대한 설명은 클라우드 앱용 Defender를 참조하세요.

1. Microsoft Entra 조건부 액세스 테스트 정책 만들기
2. 정책으로 범위가 지정된 사용자를 사용하여 각 앱에 로그인
3. 앱이 액세스 및 세션 제어를 사용하도록 구성되었는지 확인
4. 조직에서 사용할 앱 활성화
5. 배포 테스트

세션 정책 설정 프로세스는 세션 정책 문서에서 자세히 설명합니다.

변칙 검색 정책을 설정하여 Power BI 활동 모니터링(권장)

정책에 포함하고 제외하려는 사용자 및 그룹에만 적용되도록 개별적으로 범위를 지정할 수 있는 Power BI 변칙 검색 정책을 정의할 수 있습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

클라우드 앱용 Defender에는 Power BI 전용의 두 가지 기본 제공 검색도 있습니다. Power BI 전용의 클라우드 앱용 기본 제공 Defender 검색을 참조하세요.

Microsoft Purview Information Protection의 민감도 레이블 사용(권장)

민감도 레이블을 사용하면 조직의 사용자가 조직 외부의 파트너와 협업하면서 중요한 콘텐츠와 데이터를 신중하게 파악할 수 있도록 중요한 콘텐츠를 분류하고 보호할 수 있습니다.

Power BI에서 민감도 레이블을 사용하는 방법에 대한 자세한 내용은 Power BI에서 민감도 레이블을 참조하세요. 민감도 레이블에 따른 Power BI 정책의 예제는 이 문서의 뒷부분을 참조하세요.

Power BI에서 의심스러운 사용자 활동을 경고하는 사용자 지정 정책

Defender for Cloud Apps 활동 정책을 사용하면 관리자가 사용자 지정 규칙을 정의하여 표준에서 벗어나는 사용자 동작을 검색하고 너무 위험해 보이는 경우 자동으로 조치를 취하도록 할 수 있습니다. 예시:

• 민감도 레이블 대규모 제거. 예를 들어 단일 사용자가 5분 미만의 시간에 20개의 다른 보고서에서 민감도 레이블을 제거하는 경우 경고합니다.

• 민감도 레이블 암호화 다운그레이드. 예: 민감도 레이블이 극비였던 보고서가 이제 퍼블릭으로 분류되는 경우 경고합니다.

참고 항목

Power BI 아티팩트의 고유 식별자(ID)와 민감도 레이블은 Power BI REST API를 사용하여 확인할 수 있습니다. 의미 체계 모델 가져오기 또는 보고서 가져오기를 참조하세요.

사용자 지정 활동 정책은 Defender for Cloud Apps 포털에서 구성됩니다. 자세한 내용은 활동 정책을 참조하세요.

Power BI용 기본 Defender for Cloud Apps 검색

Defender for Cloud Apps 검색을 통해 관리자는 모니터링되는 앱의 특정 활동을 모니터링할 수 있습니다. 현재 Power BI 전용의 두 가지 기본 제공 Defender for Cloud Apps 검색이 지원됩니다.

• 의심스러운 공유 – 사용자가 익숙하지 않은(조직 외부) 메일을 사용하여 중요한 보고서를 공유하는 경우를 검색합니다. 중요한 보고서는 민감도 레이블이 내부 전용 이상으로 설정되어 있는 보고서입니다.

• 대량 보고서 공유 – 사용자가 단일 세션에서 대량의 보고서를 공유하는 경우를 검색합니다.

이러한 검색의 설정은 Defender for Cloud Apps 포털에서 구성합니다. 자세한 내용은 비정상적인 활동(사용자별)을 참조하세요.

Defender for Cloud Apps의 Power BI 관리자 역할

Power BI에서 Defender for Cloud Apps를 사용하는 경우 Power BI 관리자의 새 역할이 만들어집니다. 클라우드 앱용 Defender 포털에 Power BI 관리자로 로그인하면 Power BI 관련 데이터, 경고, 위험에 노출된 사용자, 활동 로그 및 기타 정보에 대한 액세스가 제한됩니다.

고려 사항 및 제한 사항

Power BI와 Defender for Cloud Apps를 함께 사용하면 사용자 세션 및 해당 활동을 모니터링하는 검색을 통해 조직의 콘텐츠와 데이터를 보호할 수 있습니다. Power BI와 클라우드 앱용 Defender를 함께 사용하는 경우 다음과 같은 몇 가지 고려 사항과 제한 사항에 유의해야 합니다.

• Defender for Cloud Apps는 Excel, PowerPoint 및 PDF 파일에서만 작동합니다.
• Power BI에 대한 세션 정책에 민감도 레이블 기능을 사용하려는 경우 Azure Information Protection Premium P1 또는 Premium P2 라이선스가 있어야 합니다. Microsoft Azure Information Protection은 독립 실행형으로 구입하거나 Microsoft 라이선스 제품군 중 하나를 통해 구입할 수 있습니다. 자세한 내용은 Azure Information Protection 가격 책정을 참조하세요. 또한 Power BI 자산에 민감도 레이블이 적용되어 있어야 합니다.
• 세션 제어는 모든 운영 체제의 모든 주요 플랫폼에서 모든 브라우저를 통해 사용할 수 있습니다. 최신 버전의 Microsoft Edge, Google Chrome, Mozilla Firefox 또는 Apple Safari를 사용하는 것이 좋습니다. Power BI 퍼블릭 API 호출 및 브라우저 기반이 아닌 기타 세션은 Defender for Cloud Apps 세션 컨트롤의 일부로 지원되지 않습니다. 자세한 내용은 지원되는 앱 및 클라이언트를 참조하세요.
• 두 번 이상 로그인해야 하는 등의 로그인 문제가 발생하는 경우 일부 앱이 인증을 처리하는 방식과 관련이 있을 수 있습니다. 자세한 내용은 문제 해결 문서 느린 로그인을 참조하세요.

주의

세션 정책의 “작업” 부분에서 “보호” 기능은 항목에 레이블이 없는 경우에만 적용됩니다. 레이블이 이미 있으면 “보호” 작업이 적용되지 않습니다. Power BI에서 항목에 이미 적용된 기존 레이블은 재정의할 수 없습니다.

예시

다음 예제는 Power BI와 Defender for Cloud Apps를 사용하여 새 세션 정책을 만드는 방법을 보여 줍니다.

먼저 새 세션 정책을 만듭니다. Defender for Cloud Apps 포털의 탐색 창에서 정책을 선택합니다. 그런 다음, 정책 페이지에서 정책 만들기를 선택하고 세션 정책을 선택합니다.

표시되는 창에서 세션 정책을 만듭니다. 번호가 매겨진 단계는 다음 이미지의 설정을 설명합니다.

1. 정책 템플릿 드롭다운에서 템플릿 없음을 선택합니다.

2. 정책 이름에 세션 정책에 적합한 이름을 입력합니다.

3. 세션 제어 유형에서 DLP에 대해 제어 파일 다운로드됨(검사 포함)을 선택합니다.

   활동 원본 섹션에서 적절한 차단 정책을 선택합니다. 비관리형 디바이스와 비규격 디바이스를 차단하는 것이 좋습니다. 세션이 Power BI에 있을 때 다운로드를 차단하려면 선택합니다.

   

   아래로 스크롤하면 더 많은 옵션이 표시됩니다. 다음 이미지는 이런 옵션과 추가 예제를 보여 줍니다.

4. 민감도 레이블에 대한 필터를 만들고 극비 또는 조직에 가장 적합한 것을 선택합니다.

5. 검사 방법을 ‘없음’으로 변경합니다.

6. 요구 사항에 맞는 차단 옵션을 선택합니다.

7. 이런 작업에 대한 경고를 만듭니다.

   

8. 만들기를 선택하여 세션 정책을 완료합니다.

   

관련 콘텐츠

이 문서에서는 Defender for Cloud Apps를 통해 Power BI에 데이터 및 콘텐츠 보호 기능을 제공할 수 있는 방법을 설명합니다. Power BI의 데이터 보호 및 이를 사용하도록 설정하는 Azure 서비스의 지원 콘텐츠에 대한 자세한 내용은 다음을 참조하세요.

• Power BI의 민감도 레이블
• Power BI에서 민감도 레이블 사용
• Power BI에서 민감도 레이블을 적용하는 방법

Azure 및 보안 문서에 대한 자세한 내용은 다음을 참조하세요.

• Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호
• Microsoft Entra ID를 사용하여 카탈로그 앱에 대한 조건부 액세스 앱 제어 배포
• 세션 정책
• 민감도 레이블에 대해 알아보기
• 데이터 보호 메트릭 보고서
• Power BI 구현 계획: Power BI용 클라우드용 Defender 앱