Microsoft Cloud App Security-besturingselementen gebruiken in Power BI
Met behulp van Cloud App Security met Power BI kunt u uw Power BI-rapporten, -gegevens en -services beveiligen tegen onbedoelde lekken of inbreuk. Met Cloud App Security kunt u beleid voor voorwaardelijke toegang maken voor de gegevens van uw organisatie, met behulp van realtime sessiebesturingselementen in Azure Active Directory (Azure AD), die ervoor zorgen dat uw Power BI-analyses veilig zijn. Zodra dit beleid is ingesteld, kunnen beveiligingsbeheerders gebruikerstoegang en -activiteit bijhouden, realtime risicoanalyse uitvoeren en labelspecifieke besturingselementen instellen.
U kunt Cloud App Security configureren voor allerlei apps en services, niet alleen Power BI. U moet Cloud App Security configureren om met Power BI te werken, zodat u kunt profiteren van Cloud App Security-beveiligingen voor uw Power BI-gegevens en -analyses. Zie de documentatie over Cloud App Security voor meer informatie over Cloud App Security, inclusief een overzicht van hoe het werkt, het dashboard en app-risicoscores.
Cloud App Security-licenties
Als u Cloud App Security met Power BI wilt gebruiken, moet u relevante Microsoft-beveiligingsservices gebruiken en configureren. Een aantal hiervan worden buiten Power BI ingesteld. U moet over de volgende licenties beschikken om Cloud App Security in uw tenant te kunnen gebruiken:
- Microsoft Cloud App Security: Biedt Cloud App Security-mogelijkheden voor alle ondersteunde apps, onderdeel van de EMS E5-suite en de Microsoft 365 E5-suite.
- Office 365 Cloud App Security: Biedt alleen Cloud App Security-mogelijkheden voor Office 365, onderdeel van de Office 365 E5-suite.
Realtime-besturingselementen voor Power BI configureren met Cloud App Security
Notitie
- Een Azure Active Directory Premium P1 is vereist om te kunnen profiteren van Cloud App Security realtime-besturingselementen.
In de onderstaande secties worden de stappen beschreven voor het configureren van realtime besturingselementen voor Power BI met Cloud App Security.
Sessiebeleidsregels instellen in Azure AD (vereist)
De stappen die moeten worden uitgevoerd om sessiebesturingselementen in te stellen, worden voltooid in de Azure AD- en Cloud App Security-portals. In de Azure AD-portal maakt u een beleid voor voorwaardelijke toegang voor Power BI en leidt u sessies die worden gebruikt in Power BI om via de Cloud App Security-service.
Cloud App Security werkt met behulp van een reverse-proxy-architectuur en wordt geïntegreerd met voorwaardelijke toegang van Azure AD om gebruikersactiviteit in Power BI in realtime bij te houden. U ziet hier de volgende stappen voor meer informatie over het proces. In de gekoppelde inhoud in elk van de volgende stappen vindt u gedetailleerde stapsgewijze instructies. U kunt ook dit Cloud App Security-artikel lezen voor een beschrijving van het volledige proces.
- Een Azure AD-proefbeleid voor voorwaardelijke toegang maken
- Aanmelden bij elke app met behulp van een gebruiker die binnen het bereik van het beleid valt
- Controleren of de apps zijn geconfigureerd op het gebruik van toegangs- en sessiebesturingselementen
- De implementatie testen
Het proces voor het instellen van sessiebeleidsregels wordt in detail beschreven in het artikel Sessiebeleidsregels.
Beleidsregels voor anomaliedetectie instellen om Power BI-activiteiten bij te houden (aanbevolen)
U kunt Power BI-beleidsregels voor anomaliedetectie definiëren waarvoor het bereik onafhankelijk kan worden bepaald, zodat ze alleen van toepassing zijn op de gebruikers en groepen die u in het beleid wilt opnemen of die u van het beleid wilt uitsluiten. Meer informatie.
Cloud App Security heeft ook twee toegewezen, ingebouwde detecties voor Power BI. Zie de sectie later in dit document voor meer informatie.
Vertrouwelijkheidslabels voor Microsoft Information Protection gebruiken (aanbevolen)
Met vertrouwelijkheidslabels kunt u gevoelige inhoud classificeren en beveiligen, zodat mensen in uw organisatie kunnen samenwerken met partners buiten uw organisatie, waarbij ze rekening houden met en zich bewust blijven van gevoelige inhoud en gegevens.
U kunt het artikel over vertrouwelijkheidslabels in Power BI lezen voor meer informatie over het proces van het gebruik van vertrouwelijkheidslabels voor Power BI. Zie hieronder voor een voorbeeld van een Power BI-beleid op basis van vertrouwelijkheidslabels.
Aangepast beleid om te waarschuwen bij verdachte gebruikersactiviteit in Power BI
Cloud App Security-activiteitenbeleid kunnen beheerders hun eigen aangepaste regels definiëren om gebruikersgedrag te detecteren dat afwijkt van de norm, en er zelfs automatisch actie op te ondernemen als dit te gevaarlijk lijkt. Bijvoorbeeld:
Verwijdering van zeer hoge gevoeligheidslabels. Bijvoorbeeld: mij waarschuwen wanneer gevoeligheidslabels door één gebruiker worden verwijderd uit 20 verschillende rapporten in een tijdvenster dat korter is dan 5 minuten.
Downgrade van gevoeligheidslabels versleutelen. Bijvoorbeeld: meld me wanneer een rapport met het vertrouwelijkheidslabel Zeer vertrouwelijk nu is geclassificeerd als Openbaar.
Notitie
- De unieke id's (id's) van Power BI artefacten en gevoeligheidslabels vindt u met behulp van Power BI REST API's. Zie Gegevenssets op halen of Rapporten krijgen.
Aangepaste activiteitenbeleidsregels worden geconfigureerd in de Cloud App Security portal. Meer informatie.
Ingebouwde Cloud App Security-detecties voor Power BI
Met behulp van Cloud App Security-detecties kunnen beheerders specifieke activiteiten van een bewaakte app bijhouden. Voor Power BI zijn er momenteel twee toegewezen, ingebouwde Cloud App Security-detecties:
Verdachte share: detecteert wanneer een gebruiker een gevoelig rapport deelt met een onbekend e-mailadres (van buiten de organisatie). Een gevoelig rapport is een rapport waarvan het vertrouwelijkheidslabel is ingesteld op ALLEEN INTERN of hoger.
Massaal delen van rapporten: detecteert wanneer een gebruiker een groot aantal rapporten in één sessie deelt.
Instellingen voor deze detecties worden geconfigureerd in de Cloud App Security-portal. Meer informatie.
De Power BI-beheerdersrol in Cloud App Security
Er is een nieuwe rol gemaakt voor Power BI-beheerders wanneer ze Cloud App Security met Power BI gebruiken. Wanneer u zich als een Power BI-beheerder bij de Cloud App Security-portal aanmeldt, hebt u beperkte toegang tot voor Power BI relevante gegevens, waarschuwingen, gebruikers die risico lopen, activiteitenlogboeken en andere informatie.
Overwegingen en beperkingen
Het gebruik van Cloud App Security met Power BI is ontworpen om inhoud en gegevens van uw organisatie te beveiligen, met detecties waarmee gebruikerssessies en hun activiteiten worden bijgehouden. Wanneer u Cloud App Security met Power BI gebruikt, zijn er een aantal overwegingen en beperkingen waarmee u rekening moet houden:
- Cloud App Security werkt alleen voor Excel-, PowerPoint- en PDF-bestanden.
- Als u de mogelijkheden van vertrouwelijkheidslabels in uw sessiebeleidsregels voor Power BI wilt gebruiken, moet u over een Azure Information Protection Premium P1- of Premium P2-licentie beschikken. Microsoft Azure Information Protection kan ofwel als zelfstandig product als via een van de Microsoft-licentiesuites worden aangeschaft. Zie Prijzen voor Azure Information Protection voor meer informatie. Daarnaast moeten vertrouwelijkheidslabels zijn toegepast op uw Power BI-assets.
- Sessiebeheer is beschikbaar voor elke browser op een belangrijk platform van elk besturingssysteem. Het wordt aanbevolen om Internet Explorer 11, Microsoft Edge (meest recente versie), Google Chrome (meest recente versie), Mozilla Firefox (meest recente versie) of Apple Safari (meest recente versie) te gebruiken. Openbare API-aanroepen van Power BI en andere sessies zonder browser worden niet ondersteund als onderdeel van het Cloud App Security-sessiebeheer. Meer details bekijken.
Waarschuwing
- In het sessiebeleid werkt de mogelijkheid 'beveiligen' (in het gedeelte 'actie') alleen als het item niet van labels is voorzien. Als er al een label bestaat, wordt de actie 'beveiligen' niet toegepast; u kunt een bestaand label dat al op een item in Power BI is toegepast, niet overschrijven.
Voorbeeld
In het volgende voorbeeld ziet u hoe u een nieuw sessiebeleid maakt met behulp van Cloud App Security met Power BI.
Maak eerst een nieuw sessiebeleid. Selecteer Beleidsregels in het linkermenu in de Cloud App Security-portal.
Selecteer het vervolgkeuzemenu Beleid maken in het venster dat wordt weergegeven.
In de lijst met opties in het vervolgkeuzemenu selecteert u Sessiebeleid.
In het venster dat wordt weergegeven, maakt u het sessiebeleid. Met de genummerde stappen worden instellingen voor de volgende afbeelding beschreven.
In het vervolgkeuzemenu Beleidssjabloon kiest u Geen sjabloon.
Geef in het vak Beleidsnaam een relevante naam voor uw sessiebeleid op.
Als Sessiebeheertype selecteert u Beheerbestand gedownload (met DLP) .
Voor de sectie Bron van activiteit sectie kiest u relevante beleidsregels voor blokkeren. Het wordt aanbevolen onbeheerde en niet-compatibele apparaten te blokkeren. Kies ervoor om downloads te blokkeren wanneer de sessie in Power BI wordt uitgevoerd.
Wanneer u omlaag bladert, ziet u meer opties. In de volgende afbeelding ziet u die opties, met extra voorbeelden.
Kies Vertrouwelijkheidslabel als Zeer vertrouwelijk of de optie die het beste bij uw organisatie past.
Wijzig de Inspectiemethode in geen.
Kies de optie voor Blokkeren die het beste bij uw behoeften past.
Zorg ervoor dat u een waarschuwing voor zo'n actie maakt.
Zorg er tot slot voor dat u op de knop Maken drukt om het sessiebeleid te maken.
Volgende stappen
In dit artikel wordt beschreven hoe Cloud App Security gegevens- en inhoudsbeveiligingen voor Power BI kan bieden. U bent mogelijk ook geïnteresseerd in de volgende artikelen, waarin gegevensbeveiliging voor Power BI en ondersteunende inhoud voor de Azure-services die dat inschakelen, wordt beschreven.
- Overzicht van vertrouwelijkheidslabels in Power BI
- Vertrouwelijkheidslabels inschakelen in Power BI
- Vertrouwelijkheidslabels toepassen in Power BI
U bent mogelijk ook geïnteresseerd in de volgende artikelen over Azure en beveiliging: