Använda Microsoft Cloud App Security-kontroller i Power BI
När du använder Cloud App Security med Power BI kan du skydda dina Power BI-rapporter, data och tjänster från oönskade läckor och intrång. Med Cloud App Security kan du skapa principer för villkorlig åtkomst för din organisations data med hjälp av sessionskontroller i realtid i Azure Active Directory (Azure AD) som hjälper dig att skydda dina Power BI-analys. När de här policyerna har ställts in så kan administratörer övervaka användarnas åtkomst och aktiviteter, utföra riskanalyser i realtid och ställa in etikettspecifika kontroller.
Du kan konfigurera Cloud App Security för alla typer av appar och tjänster, inte bara för Power BI. Du måste konfigurera Cloud App Security för Power BI innan du kan använda Cloud App Security-skyddet för dina Power BI-data och analyser. I dokumentationen till Cloud App Security ges en översikt av hur tjänsten fungerar, instrumentpanelen och appars riskpoäng.
Licenser för Cloud App Security
Om du vill använda Cloud App Security med Power BI måste du använda och konfigurera de relevanta Microsoft-säkerhetstjänsterna, och vissa av dem konfigureras utanför Power BI. Du måste ha någon av följande licenser för att kunna använda Cloud App Security i din klientorganisation:
- Microsoft Cloud App Security: Ger Cloud App Security-funktioner för alla appar som stöds, ingår i paketen EMS E5 och Microsoft 365 E5.
- Office 365 Cloud App Security: Ger endast Cloud App Security-funktioner för Office 365, ingår i paketet Office 365 E5.
Konfigurera realtidskontroller för Power BI med Cloud App Security
Anteckning
- En Azure Active Directory Premium P1 licens krävs för att dra nytta Cloud App Security av kontroller i realtid.
I avsnitten nedan beskrivs stegen för att konfigurera realtidskontroller för Power BI med Cloud App Security.
Ställa in sessionsprinciper i Azure AD (obligatoriskt)
Du utför stegen som krävs för att ställa in sessionskontroller i portalerna för Azure AD och Cloud App Security. I Azure AD-portalen skapar du en princip för villkorsstyrd åtkomst för Power BI och dirigerar sedan sessionerna som används i Power BI via Cloud App Security-tjänsten.
Cloud App Security fungerar enligt en arkitektur med omvänd proxy och är integrerat med den villkorsstyrda åtkomsten i Azure AD så att Power BI-användarnas aktivitet kan övervakas i realtid. Vi visar de här stegen för att du ska förstå processen. Detaljerade, stegvisa instruktioner finns i innehållet som länkas i respektive steg. Du kan också läsa den här artikeln om Cloud App Security som beskriver processen i sin helhet.
- Skapa en testpolicy för villkorsstyrd åtkomst i Azure AD
- Logga in i varje app med en användare som omfattas av policyn
- Kontrollera att apparna är konfigurerade att använda åtkomst- och sessionskontroller
- Testa distributionen
Processen att ställa in sessionspolicyer beskrivs i detalj i artikeln Sessionspolicyer.
Ställa in principer för avvikelseidentifiering i övervakningen av Power BI-aktiviteter (rekommenderas)
Du kan definiera policyer för identifiering av avvikelser i Power BI och ange definitionsområdena individuellt, så att de endast gäller de användare och grupper du vill inkludera och exkludera i policyn. Läs mer.
Cloud App Security har även två särskilda, inbyggda identifieringar för Power BI. Läs mer i avsnittet senare i det här dokumentet.
Använd känslighetsetiketter från Microsoft Information Protection (rekommenderas)
Med känslighetsetiketter kan du klassificera och skydda känsligt innehåll så att personer i organisationen kan samarbeta med partners utanför organisationen, samtidigt som de skyddar och är försiktiga med känsliga uppgifter och data.
I artikeln om känslighetsetiketter i Power BI beskrivs hur du använder känslighetsetiketter i Power BI. Här kan du se ett exempel på en Power BI-policy baserad på känslighetsetiketter.
Anpassade principer för att varna om misstänkt användaraktivitet i Power BI
Cloud App Security kan administratörer definiera sina egna anpassade regler för att identifiera användarbeteende som avviker från normen och till och med agera på det automatiskt, om det verkar vara för riskabelt. Exempel:
Massiv borttagning av känslighetsetiketter. Till exempel: meddela mig när känslighetsetiketter tas bort av en enskild användare från 20 olika rapporter i ett tidsfönster som är kortare än 5 minuter.
Kryptering av känslighetsetikett nedgradering. Till exempel: varna mig när en rapport med känslighetsetiketten "Mycket konfidentiell" nu klassificeras som "Offentlig".
Anteckning
- De unika identifierarna (ID:n) för Power BI artefakter och känslighetsetiketter finns med hjälp av Power BI REST-API:er. Se Hämta datauppsättningar eller Hämta rapporter.
Anpassade aktivitetsprinciper konfigureras i Cloud App Security portalen. Läs mer.
Inbyggda identifieringar för Power BI i Cloud App Security
Med Cloud App Security-identifieringar kan administratörer övervaka specifika aktiviteter i en app som övervakas. För Power BI finns det för närvarande två särskilda, inbyggda Cloud App Security-identifieringar:
Misstänkt delning – identifierar när en användare delar en känslig rapport med en okänd e-postadress (utanför organisationen). En känslig rapport är en rapport med en känslighetsetikett på nivån INTERNAL-ONLY eller högre.
Massdelning av rapporter – identifierar när en användare delar ett mycket stort antal rapporter under en enda session.
Du kan konfigurera inställningar för de här identifieringarna i Cloud App Security-portalen. Läs mer.
Rollen Power BI-administratör i Cloud App Security
Det skapas en ny roll för Power BI-administratörer när du använder Cloud App Security med Power BI. När du loggar in som Power BI-administratör i Cloud App Security-portalen har du begränsad åtkomst till data, varningar, riskanvändare, aktivitetsloggar och annan information som är relevant för Power BI.
Överväganden och begränsningar
Syftet med att använda Cloud App Security med Power BI är att du ska kunna skydda organisationens innehåll och data, med hjälp av identifieringar som övervakar användarnas sessioner och aktiviteter. När du använder Cloud App Security med Power BI finns det några överväganden och begränsningar som du bör ha i åtanke:
- Cloud App Security fungerar bara för Excel-, PowerPoint- och PDF-filer.
- Om du vill använda känslighetsetiketter i dina sessionspolicyer för Power BI måste du ha en Premium P1- eller Premium P2-licens för Azure Information Protection. Du kan antingen köpa Microsoft Azure Information Protection separat eller via något av Microsofts licenspaket. Läs mer i Prissättning för Azure Information Protection. Dessutom måste känslighetsetiketter ha tillämpats på dina Power BI-tillgångar.
- Sessionskontroll är tillgänglig för alla webbläsare på alla större plattformar i alla operativsystem. Vi rekommenderar att du använder Internet Explorer 11, Microsoft Edge (senaste), Google Chrome (senaste), Mozilla Firefox (senaste) eller Apple Safari (senaste). Offentliga API-anrop i Power BI och andra icke-webbläsarbaserade sessioner stöds inte som en del av sessionskontroll för Cloud App Security. Se mer information.
Varning
- I avsnittet ”Åtgärd” i sessionspolicyn så fungerar bara funktionen ”skydda” om objektet inte har någon etikett. Om objektet redan har en etikett fungerar inte åtgärden ”skydda”. Du kan inte åsidosätta en befintlig etikett som redan tillämpats på ett objekt i Power BI.
Exempel
I det här exemplet ser du hur du skapar en ny sessionspolicy med hjälp av Cloud App Security med Power BI.
Skapa först en ny sessionspolicy. Välj Principer på den vänstra menyn i Cloud App Security-portalen.
Välj listrutan Skapa princip i fönstret som öppnas.
Välj Sessionspolicy i listan med alternativ i listrutan.
Skapa sessionspolicyn i fönstret som öppnas. De numrerade stegen beskriver inställningarna i följande bild.
I listrutan Principmall väljer du Ingen mall.
I rutan Principnamn anger du ett relevant namn för sessionspolicyn.
I Sessionskontrolltyp väljer du Kontrollera filhämtningen (med DLP) .
I avsnittet Aktivitetskälla väljer du relevanta policyer för blockering. Vi rekommenderar att du blockerar ohanterade och inkompatibla enheter. Välj att blockera nedladdningar när sessionen hålls i Power BI.
När du bläddrar nedåt ser du fler alternativ. I den här bilden ser du de alternativen och ytterligare exempel.
Sätt Sekretessetikett till mycket konfidentiell eller vad som passar bäst för din organisation.
Ändra Inspektionsmetod till ingen.
Välj det alternativ för Blockera som passar dina behov.
Se till att du skapar en avisering för sådana åtgärder.
Slutligen väljer du knappen Skapa för att skapa sessionspolicyn.
Nästa steg
I den här artikeln har vi gått igenom hur Cloud App Security kan skydda dina data och ditt innehåll i Power BI. Du kanske också är intresserad av följande artiklar, som beskriver olika dataskydd i Power BI och relaterat innehåll för de Azure-tjänster som tillhandahåller skydden.
- Översikt över känslighetsetiketter i Power BI
- Aktivera känslighetsetiketter i Power BI
- Använda känslighetsetiketter i Power BI
Du kanske också är intresserad av följande artiklar om säkerhet i Azure: