การวางแผนการใช้งาน Power BI: Defender สําหรับ Cloud Apps สําหรับ Power BI
หมายเหตุ
บทความนี้เป็นส่วนหนึ่งของ ชุดการวางแผน การใช้งาน Power BI ของบทความ ชุดข้อมูลนี้มุ่งเน้นปริมาณงาน Power BI ภายใน Microsoft Fabric เป็นหลัก สําหรับบทนําสู่ชุดข้อมูล โปรดดู ที่ การวางแผนการใช้งาน Power BI
บทความนี้อธิบายกิจกรรมการวางแผนที่เกี่ยวข้องกับการใช้งาน Defender สําหรับ Cloud Apps เนื่องจากเกี่ยวข้องกับการตรวจสอบ Power BI ซึ่งมีการกําหนดเป้าหมายที่:
- ผู้ดูแลระบบ Power BI: ผู้ดูแลระบบที่มีหน้าที่ดูแล Power BI ในองค์กร ผู้ดูแลระบบ Power BI จําเป็นต้องทํางานร่วมกับความปลอดภัยของข้อมูลและทีมที่เกี่ยวข้องอื่น ๆ
- ศูนย์แห่งความเป็นเลิศทีมไอทีและ BI: ผู้อื่นที่รับผิดชอบในการตรวจสอบ Power BI ในองค์กร พวกเขาอาจจําเป็นต้องทํางานร่วมกับผู้ดูแลระบบ Power BI ทีมรักษาความปลอดภัยของข้อมูล และทีมอื่น ๆ ที่เกี่ยวข้อง
สำคัญ
การตรวจสอบและป้องกันการสูญหายของข้อมูล (DLP) เป็นการดําเนินการที่มีความสําคัญทั่วทั้งองค์กร ขอบเขตและผลกระทบของมันมีค่ามากกว่า Power BI เพียงอย่างเดียว โครงการประเภทนี้จําเป็นต้องมีเงินทุน การจัดลําดับความสําคัญ และการวางแผน คาดว่าจะเกี่ยวข้องกับทีมข้ามหลายทีมในการวางแผนการใช้งานและความพยายามในการมองข้าม
เราขอแนะนําให้คุณปฏิบัติตามขั้นตอนที่ทีละน้อยเพื่อเผยแพร่ Defender สําหรับ Cloud Apps สําหรับการตรวจสอบ Power BI สําหรับคําอธิบายประเภทของระยะการเผยแพร่ที่คุณควรพิจารณา โปรดดู การป้องกันข้อมูลสําหรับ Power BI (ขั้นตอนการเผยแพร่)
วัตถุประสงค์ในการตรวจสอบ
Microsoft Defender สําหรับ Cloud Apps (เดิมชื่อ Microsoft Cloud App Security) เป็น Cloud Access Security Broker (CASB) ที่สนับสนุนโหมดการปรับใช้ต่าง ๆ มีชุดความสามารถที่ขยายกว้างเกินกว่าขอบเขตของบทความนี้ ความสามารถบางอย่างเป็นแบบเรียลไทม์ในขณะที่ความสามารถอื่นไม่ได้แบบเรียลไทม์
นี่คือตัวอย่างบางส่วนของการตรวจสอบแบบเรียลไทม์ที่คุณสามารถใช้ได้
- บล็อกการดาวน์โหลดจากบริการของ Power BI: คุณสามารถสร้างนโยบายเซสชันเพื่อบล็อกกิจกรรมของผู้ใช้บางชนิดได้ ตัวอย่างเช่น เมื่อผู้ใช้พยายามดาวน์โหลดรายงานจากบริการของ Power BI ที่ได้รับการกําหนดป้ายชื่อระดับความลับที่มีข้อจํากัดสูง การดําเนินการดาวน์โหลดสามารถบล็อกได้ในแบบเรียลไทม์
- บล็อกการเข้าถึงบริการของ Power BI โดยอุปกรณ์ที่ไม่มีการจัดการ: คุณสามารถสร้างนโยบายการเข้าถึงเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงแอปพลิเคชันบางตัวเว้นแต่ว่าพวกเขากําลังใช้อุปกรณ์ที่มีการจัดการ ตัวอย่างเช่น เมื่อผู้ใช้พยายามเข้าถึงบริการของ Power BI จากโทรศัพท์มือถือส่วนบุคคลของพวกเขา ซึ่งการดําเนินการนั้นสามารถถูกบล็อกได้
นี่คือตัวอย่างบางส่วนของความสามารถอื่น ๆ ที่ไม่ใช่แบบเรียลไทม์
- ตรวจจับและแจ้งเตือนกิจกรรมบางอย่างในบริการของ Power BI: คุณสามารถสร้างนโยบายกิจกรรมเพื่อสร้างการแจ้งเตือนเมื่อกิจกรรมบางชนิดเกิดขึ้น ตัวอย่างเช่น เมื่อกิจกรรมการจัดการเกิดขึ้นในบริการของ Power BI (ระบุว่าการตั้งค่าผู้เช่ามีการเปลี่ยนแปลง) คุณจะได้รับการแจ้งเตือนทางอีเมล
- ตรวจสอบกิจกรรมการรักษาความปลอดภัยขั้นสูง: คุณสามารถดูและตรวจสอบการลงชื่อเข้าใช้และกิจกรรมการรักษาความปลอดภัย ความผิดปกติ และการละเมิดได้ คุณสามารถยกการแจ้งเตือนสําหรับสถานการณ์ต่าง ๆ เช่น กิจกรรมที่น่าสงสัย สถานที่ที่ไม่คาดคิด หรือตําแหน่งที่ตั้งใหม่
- ตรวจสอบกิจกรรมของผู้ใช้: คุณสามารถดูและตรวจสอบกิจกรรมของผู้ใช้ ตัวอย่างเช่น ผู้ดูแลระบบ Power BI อาจได้รับสิทธิ์ในการดูบันทึกกิจกรรม Power BI นอกเหนือจากความถี่ในการลงชื่อเข้าใช้ของผู้ใช้ภายใน Defender สําหรับ Cloud Apps
- ตรวจจับและแจ้งเตือนพฤติกรรมผิดปกติในบริการของ Power BI: มีนโยบายในตัวสําหรับการตรวจหาสิ่งผิดปกติ ตัวอย่างเช่น เมื่อผู้ใช้ดาวน์โหลดหรือส่งออกเนื้อหาจากบริการของ Power BI บ่อยกว่ารูปแบบปกติอย่างมาก คุณสามารถรับการแจ้งเตือนทางอีเมลได้
- ค้นหาแอปพลิเคชันที่ยังไม่ได้รับคําตอบ: คุณสามารถค้นหาแอปพลิเคชันที่ไม่ได้สมารถใช้งานภายในองค์กรได้ ตัวอย่างเช่น คุณอาจกังวลเกี่ยวกับผู้ใช้ที่แชร์ไฟล์ (เช่น ไฟล์ Power BI Desktop หรือไฟล์ Excel) บนระบบการแชร์ไฟล์ของบุคคลที่สาม คุณสามารถบล็อกการใช้แอปพลิเคชันที่ไม่ได้ทํางานแล้วจึงติดต่อผู้ใช้เพื่อให้ความรู้เกี่ยวกับวิธีการที่เหมาะสมในการแชร์และทํางานร่วมกับผู้อื่น
เคล็ดลับ
พอร์ทัลใน Defender for Cloud Apps คือสถานที่ที่สะดวกในการดูกิจกรรมและการแจ้งเตือนโดยไม่ต้องสร้างสคริปต์เพื่อแยกและดาวน์โหลดข้อมูล ประโยชน์นี้รวมถึงการดูข้อมูลจากบันทึกกิจกรรม Power BI
Power BI เป็นหนึ่งในแอปพลิเคชันและบริการมากมายที่สามารถรวมเข้ากับ Defender สําหรับ Cloud Apps ถ้าคุณกําลังใช้ Defender สําหรับ Cloud Apps เพื่อวัตถุประสงค์อื่น ๆ คุณสามารถใช้เพื่อตรวจสอบ Power BI ได้เช่นกัน
นโยบายที่สร้างขึ้นใน Defender สําหรับ Cloud Apps เป็นรูปแบบของ DLP บทความการป้องกันการสูญหายของข้อมูลสําหรับ Power BI ครอบคลุมนโยบาย DLP สําหรับ Power BI ที่ถูกตั้งค่าในพอร์ทัลการปฏิบัติตามข้อบังคับของ Microsoft Purview เราขอแนะนําให้คุณใช้นโยบาย DLP สําหรับ Power BI ด้วยความสามารถที่อธิบายไว้ในบทความนี้ แม้ว่าจะมีแนวคิดที่ทับซ้อนกันแต่ความสามารถนั้นแตกต่างกัน
ข้อควรระวัง
บทความนี้มุ่งเน้นไปที่ความสามารถใน Microsoft Defender สําหรับ Cloud Apps ที่สามารถใช้ในการตรวจสอบและปกป้องเนื้อหา Power BI มีความสามารถอื่น ๆ อีกมากมายใน Defender สําหรับ Cloud Apps ที่ไม่ได้ครอบคลุมในบทความนี้ ตรวจสอบให้แน่ใจว่าได้ทํางานกับผู้เกี่ยวข้องและผู้ดูแลระบบคนอื่น ๆ เพื่อตัดสินใจที่ทํางานได้ดีสําหรับแอปพลิเคชันทั้งหมดและกรณีการใช้งาน
ข้อกําหนดเบื้องต้นสําหรับ Defender สําหรับ Cloud Apps สําหรับ Power BI
ในตอนนี้ คุณควรดําเนินการขั้นตอนการวางแผนระดับองค์กรที่อธิบายไว้ในบทความการป้องกันการสูญหายของ ข้อมูลสําหรับ Power BI เสร็จสมบูรณ์แล้ว ก่อนดําเนินการ คุณควรมีความชัดเจนเกี่ยวกับ:
- สถานะปัจจุบัน: สถานะปัจจุบันของ DLP ในองค์กรของคุณ คุณควรมีความเข้าใจว่า DLP มีการใช้งานขอบเขตใดอยู่แล้ว และผู้ที่มีหน้าที่รับผิดชอบในการจัดการ
- เป้าหมายและข้อกําหนด: เป้าหมายเชิงกลยุทธ์สําหรับการใช้งาน DLP ในองค์กรของคุณ การทําความเข้าใจเป้าหมายและข้อกําหนดจะทําหน้าที่เป็นแนวทางสําหรับความพยายามในการนําไปปฏิบัติของคุณ
โดยทั่วไปแล้ว การปกป้องข้อมูลจะถูกนํามาใช้ก่อนที่จะมีการใช้งาน DLP ถ้ามีการเผยแพร่ป้ายชื่อระดับความลับ (อธิบายไว้ใน บทความ การปกป้องข้อมูลสําหรับ Power BI ) ป้ายชื่อระดับความลับดังกล่าวสามารถใช้ได้ในนโยบายบางอย่างภายใน Defender สําหรับ Cloud Apps
คุณอาจมีการใช้ DLP สําหรับ Power BI อยู่แล้ว (อธิบายไว้ในบทความ การป้องกันการสูญหายของ ข้อมูลสําหรับ Power BI ) ความสามารถ DLP เหล่านั้นจะแตกต่างกับความสามารถที่ได้รับการจัดการในพอร์ทัลการปฏิบัติตามข้อบังคับของ Microsoft Purview ความสามารถ DLP ทั้งหมดที่อธิบายไว้ในบทความนี้ได้รับการจัดการในพอร์ทัล Defender for Cloud Apps
การตัดสินใจและการดําเนินการที่สําคัญ
คุณจะต้องทําการตัดสินใจที่สําคัญก่อนที่คุณจะพร้อมที่จะตั้งค่านโยบายใน Defender สําหรับ Cloud Apps
การตัดสินใจที่เกี่ยวข้องกับนโยบาย Defender สําหรับ Cloud Apps ควรสนับสนุน เป้าหมายและข้อกําหนด สําหรับการปกป้องข้อมูลที่คุณได้ระบุไว้ก่อนหน้านี้โดยตรง
ประเภทนโยบายและกิจกรรม
คุณจะต้องพิจารณาว่ากิจกรรมของผู้ใช้ใดที่คุณสนใจในการตรวจสอบ การบล็อก หรือการควบคุม ชนิดนโยบายใน Defender สําหรับ Cloud Apps มีผลต่อ:
- สิ่งที่คุณสามารถทําได้
- กิจกรรมใดสามารถรวมอยู่ในการกําหนดค่าได้
- ไม่ว่าตัวควบคุมจะเกิดขึ้นในแบบเรียลไทม์หรือไม่
นโยบายแบบเรียลไทม์
นโยบายการเข้าถึงและนโยบายเซสชันที่สร้างขึ้นใน Defender สําหรับ Cloud Apps ช่วยให้คุณสามารถตรวจสอบ บล็อก หรือควบคุมเซสชันของผู้ใช้ในแบบเรียลไทม์
นโยบายการเข้าถึงและนโยบายเซสชันช่วยให้คุณสามารถ:
- ตอบสนองตามเวลาจริงทางโปรแกรม: ตรวจจับ แจ้ง และบล็อกความเสี่ยง ไม่ตั้งใจ หรือไม่เหมาะสมการแชร์ของข้อมูลที่ละเอียดอ่อน การดําเนินการเหล่านี้ช่วยให้คุณสามารถ:
- ปรับปรุงการตั้งค่าความปลอดภัยโดยรวมของผู้เช่า Power BI ของคุณ ด้วยระบบอัตโนมัติและข้อมูล
- เปิดใช้งานกรณีการใช้งานเชิงวิเคราะห์ที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนในลักษณะที่สามารถตรวจสอบได้
- ให้การแจ้งเตือนตามบริบทแก่ผู้ใช้: ความสามารถนี้ช่วยให้คุณสามารถ:
- ช่วยให้ผู้ใช้ทําการตัดสินใจที่ถูกต้องในระหว่างเวิร์กโฟลว์ปกติของพวกเขา
- แนะนําผู้ใช้ให้ปฏิบัติตามนโยบายการจัดประเภทข้อมูลและการป้องกันของคุณโดยไม่ส่งผลกระทบต่อประสิทธิภาพการทํางานของพวกเขา
เพื่อให้การควบคุมแบบเรียลไทม์ นโยบายการเข้าถึงและนโยบายเซสชันทํางานกับ Microsoft Entra ID (ก่อนหน้านี้เรียกว่า Azure Active Directory) โดยขึ้นอยู่กับความสามารถของพร็อกซีแบบย้อนกลับของ การควบคุมแอปการเข้าถึงแบบมีเงื่อนไข แทนที่จะร้องขอและตอบกลับผู้ใช้ผ่านแอป (ในกรณีนี้คือบริการของ Power BI) พวกเขาจะเข้าผ่านพร็อกซีแบบย้อนกลับ (Defender สําหรับ Cloud Apps)
การเปลี่ยนเส้นทางไม่มีผลต่อประสบการณ์การใช้งานของผู้ใช้ อย่างไรก็ตาม URL สําหรับบริการของ Power BI จะเปลี่ยนไปhttps://app.powerbi.com.mcas.msเมื่อคุณได้ตั้งค่า Microsoft Entra ID สําหรับการควบคุมการเข้าถึงแอปแบบมีเงื่อนไขด้วย Power BI นอกจากนี้ ผู้ใช้จะได้รับการแจ้งเตือนเมื่อพวกเขาลงชื่อเข้าใช้บริการของ Power BI ที่ประกาศว่าแอปได้รับการตรวจสอบโดย Defender สําหรับ Cloud Apps
สำคัญ
นโยบายการเข้าถึงและนโยบายเซสชันทํางานในแบบเรียลไทม์ นโยบายประเภทอื่น ๆ ใน Defender สําหรับ Cloud Apps เกี่ยวข้องกับการหน่วงเวลาสั้น ๆ ในการแจ้งเตือน DLP และการตรวจสอบประเภทอื่น ๆ ส่วนใหญ่ยังมีประสบการณ์เวลาแฝง รวมถึง DLP สําหรับ Power BI และบันทึกกิจกรรม Power BI
นโยบายการเข้าถึง
นโยบายการเข้าถึงที่สร้างขึ้นใน Defender สําหรับ Cloud Apps จะควบคุมว่าผู้ใช้ได้รับอนุญาตให้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์อย่างเช่นบริการของ Power BI ได้หรือไม่ องค์กรที่อยู่ในอุตสาหกรรมที่มีการควบคุมระดับสูงจะเกี่ยวข้องกับนโยบายการเข้าถึง
นี่คือตัวอย่างบางส่วนของวิธีที่คุณอาจใช้นโยบายการเข้าถึงเพื่อบล็อกการเข้าถึงบริการของ Power BI
- ผู้ใช้ที่ไม่คาดคิด: คุณสามารถบล็อกการเข้าถึงสําหรับผู้ใช้ที่ไม่ใช่สมาชิกของกลุ่มความปลอดภัยเฉพาะ ตัวอย่างเช่น นโยบายนี้อาจเป็นประโยชน์เมื่อคุณมีกระบวนการภายในที่สําคัญที่ติดตามผู้ใช้ Power BI ที่ได้รับการอนุมัติผ่านกลุ่มใดกลุ่มหนึ่ง
- อุปกรณ์ที่ไม่มีการจัดการ: คุณสามารถบล็อกการเข้าถึงสําหรับอุปกรณ์ส่วนบุคคลที่องค์กรไม่ได้จัดการ
- จําเป็นต้องมีการอัปเดต: คุณสามารถบล็อกการเข้าถึงสําหรับผู้ใช้ที่ใช้เบราว์เซอร์หรือระบบปฏิบัติการที่ล้าสมัย
- ตําแหน่งที่ตั้ง: คุณสามารถบล็อกการเข้าถึงสําหรับตําแหน่งที่ตั้งที่คุณไม่มีสํานักงานหรือผู้ใช้ หรือจากที่อยู่ IP ที่ไม่รู้จัก
เคล็ดลับ
ถ้าคุณมีผู้ใช้ภายนอกที่เข้าถึงผู้เช่า Power BI หรือพนักงานที่เดินทางบ่อย นั่นอาจส่งผลต่อวิธีที่คุณกําหนดนโยบายการควบคุมการเข้าถึงของคุณ นโยบายประเภทเหล่านี้มักจัดการโดยไอที
นโยบายเซสชัน
นโยบายเซสชันมีประโยชน์เมื่อคุณไม่ต้องการอนุญาตหรือบล็อกการเข้าถึงโดยสมบูรณ์ (ซึ่งสามารถทําได้ด้วยนโยบายการเข้าถึงตามที่อธิบายไว้ก่อนหน้านี้) โดยเฉพาะจะช่วยให้ผู้ใช้เข้าถึงในขณะที่ตรวจสอบหรือจํากัดสิ่งที่เกิดขึ้นในระหว่างเซสชันของพวกเขา
ต่อไปนี้เป็นตัวอย่างของวิธีที่คุณสามารถใช้นโยบายเซสชันเพื่อตรวจสอบ บล็อก หรือควบคุมเซสชันของผู้ใช้ในบริการของ Power BI
- บล็อกการดาวน์โหลด: บล็อกการดาวน์โหลดและส่งออกเมื่อกําหนดป้ายชื่อระดับความลับเฉพาะ เช่น ถูกจํากัดอย่างมาก จะถูกกําหนดให้กับรายการในบริการของ Power BI
- ตรวจสอบการลงชื่อเข้าใช้: ตรวจสอบเมื่อผู้ใช้ตรงตามเงื่อนไขบางอย่าง ลงชื่อเข้าใช้ ตัวอย่างเช่น ผู้ใช้อาจเป็นสมาชิกของกลุ่มความปลอดภัยเฉพาะ หรือพวกเขากําลังใช้อุปกรณ์ส่วนบุคคลที่ไม่ได้จัดการโดยองค์กร
เคล็ดลับ
การสร้างนโยบายเซสชัน (ตัวอย่างเช่น เพื่อป้องกันการดาวน์โหลด) สําหรับเนื้อหาที่กําหนดให้กับป้ายชื่อระดับความลับเฉพาะ เช่น จํากัดอย่างมาก เป็นหนึ่งในกรณีการใช้งานที่มีประสิทธิภาพที่สุดสําหรับตัวควบคุมเซสชันแบบเรียลไทม์ด้วย Power BI
นอกจากนี้ยังสามารถควบคุมการอัปโหลดไฟล์ด้วยนโยบายเซสชันได้ อย่างไรก็ตาม โดยทั่วไปแล้ว คุณต้องการกระตุ้นให้ผู้ใช้ BI แบบบริการตนเองอัปโหลดเนื้อหาไปยังบริการของ Power BI (แทนการแชร์ไฟล์ Power BI Desktop) ดังนั้น ให้คิดอย่างรอบคอบเกี่ยวกับการบล็อกการอัปโหลดไฟล์
รายการ ตรวจสอบ - เมื่อวางแผนนโยบายแบบเรียลไทม์ของคุณใน Defender สําหรับ Cloud Apps การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ระบุกรณีการใช้งานเพื่อบล็อกการเข้าถึง: รวบรวมรายการสถานการณ์สําหรับเมื่อบล็อกการเข้าถึงบริการของ Power BI นั้นเหมาะสม
- ระบุกรณีการใช้งานเพื่อตรวจสอบการลงชื่อเข้าใช้: รวบรวมรายการสถานการณ์สมมติสําหรับเมื่อตรวจสอบการลงชื่อเข้าใช้บริการของ Power BI เหมาะสม
- ระบุกรณีการใช้งานเพื่อบล็อกการดาวน์โหลด: ระบุว่าควรบล็อกการดาวน์โหลดจากบริการของ Power BI เมื่อใด กําหนดป้ายชื่อระดับความลับที่ควรรวมไว้
นโยบายกิจกรรม
นโยบาย กิจกรรมใน Defender สําหรับ Cloud Apps ไม่ทํางานในแบบเรียลไทม์
คุณสามารถตั้งค่านโยบายกิจกรรมเพื่อตรวจสอบเหตุการณ์ที่บันทึกไว้ในบันทึกกิจกรรม Power BI ได้ นโยบายสามารถดําเนินการในกิจกรรมเดียว หรือสามารถดําเนินการในกิจกรรมซ้ํา ๆ โดยผู้ใช้คนเดียว (เมื่อกิจกรรมเฉพาะเกิดขึ้นมากกว่าจํานวนครั้งที่กําหนดไว้ภายในจํานวนนาทีที่กําหนด)
คุณสามารถใช้นโยบายกิจกรรมเพื่อตรวจสอบกิจกรรมในบริการของ Power BI ด้วยวิธีต่างๆ นี่คือตัวอย่างบางส่วนของสิ่งที่คุณสามารถทําได้
- ผู้ใช้ที่ไม่ได้รับอนุญาตหรือที่ไม่คาดคิดจะดูเนื้อหาที่มีสิทธิ์พิเศษ: ผู้ใช้ที่ไม่ใช่สมาชิกของกลุ่มความปลอดภัยเฉพาะ (หรือผู้ใช้ภายนอก) ได้ดูรายงานที่มีสิทธิ์พิเศษสูงที่มอบให้กับคณะกรรมการ
- การอัปเดตการตั้งค่าผู้เช่าของผู้ใช้ที่ไม่ได้รับอนุญาตหรือที่ไม่คาดคิด: ผู้ใช้ที่ไม่ใช่สมาชิกของกลุ่มความปลอดภัยเฉพาะ เช่น กลุ่มผู้ดูแลระบบ Power BI ได้รับการอัปเดตการตั้งค่าผู้เช่าในบริการของ Power BI คุณยังสามารถเลือกรับการแจ้งเตือนทุกครั้งที่มีการอัปเดตการตั้งค่าผู้เช่า
- การลบจํานวนมาก: ผู้ใช้ลบพื้นที่ทํางานหรือรายงานมากกว่า 20 รายการในช่วงเวลาน้อยกว่า 10 นาที
- การดาวน์โหลดจํานวนมาก: ผู้ใช้ดาวน์โหลดรายงานมากกว่า 30 รายงานในช่วงเวลาที่น้อยกว่าห้านาที
ชนิดของการแจ้งเตือนนโยบายกิจกรรมที่อธิบายไว้ในส่วนนี้มักจัดการโดยผู้ดูแลระบบ Power BI ในฐานะส่วนหนึ่งของการกํากับดูแล Power BI เมื่อตั้งค่าการแจ้งเตือนภายใน Defender สําหรับ Cloud Apps เราขอแนะนําให้คุณมุ่งเน้นไปที่สถานการณ์ที่แสดงความเสี่ยงที่สําคัญต่อองค์กร นั่นเป็นเพราะว่าการแจ้งเตือนแต่ละรายการจะต้องได้รับการตรวจสอบและปิดโดยผู้ดูแลระบบ
คำเตือน
เนื่องจากเหตุการณ์การบันทึกกิจกรรมของ Power BI ไม่พร้อมใช้งานในแบบเรียลไทม์ จึงไม่สามารถใช้สําหรับการตรวจสอบหรือบล็อกแบบเรียลไทม์ได้ อย่างไรก็ตาม คุณสามารถใช้การดําเนินการจากบันทึกกิจกรรมในนโยบายกิจกรรมได้ ตรวจสอบให้แน่ใจว่าได้ทํางานร่วมกับทีมรักษาความปลอดภัยของข้อมูลเพื่อตรวจสอบว่าอะไรเป็นไปได้ทางเทคนิคก่อนที่คุณจะเข้าสู่กระบวนการวางแผนมากเกินไป
รายการ ตรวจสอบ - เมื่อวางแผนนโยบายกิจกรรม การตัดสินใจและการดําเนินการที่สําคัญของคุณ ประกอบด้วย:
- ระบุกรณีการใช้งานสําหรับการตรวจสอบกิจกรรม: รวบรวมรายการกิจกรรมเฉพาะจากบันทึกกิจกรรม Power BI ที่แสดงความเสี่ยงที่สําคัญต่อองค์กร พิจารณาว่าความเสี่ยงเกี่ยวข้องกับกิจกรรมเดียวหรือกิจกรรมที่ซ้ํากันหรือไม่
- ประสานงานกับผู้ดูแลระบบ Power BI: พูดคุยเกี่ยวกับกิจกรรม Power BI ที่จะตรวจสอบใน Defender สําหรับ Cloud Apps ตรวจสอบให้แน่ใจว่าไม่มีการทําซ้ําความพยายามระหว่างผู้ดูแลระบบที่แตกต่างกัน
ผู้ใช้ที่ได้รับผลกระทบ
หนึ่งในเหตุผลที่น่าสนใจในการผสานรวม Power BI กับ Defender สําหรับ Cloud Apps คือการใช้ประโยชน์จากตัวควบคุมแบบเรียลไทม์เมื่อผู้ใช้โต้ตอบกับบริการของ Power BI การรวมประเภทนี้จําเป็นต้องมี การควบคุม แอปการเข้าถึงแบบมีเงื่อนไขใน Microsoft Entra ID
ก่อนที่จะตั้งค่าการควบคุมการเข้าถึงแอปแบบมีเงื่อนไขใน Microsoft Entra ID คุณจะต้องพิจารณาว่าผู้ใช้รายใดจะถูกรวมอยู่ด้วย โดยปกติแล้ว จะรวมผู้ใช้ทั้งหมดด้วย อย่างไรก็ตาม อาจมีเหตุผลในการแยกผู้ใช้ที่เฉพาะเจาะจงออก
เคล็ดลับ
เมื่อตั้งค่านโยบายการเข้าถึงแบบมีเงื่อนไข เป็นไปได้ว่าผู้ดูแลระบบ Microsoft Entra ของคุณจะไม่รวมบัญชีผู้ดูแลระบบเฉพาะรายใดบัญชีหนึ่ง วิธีการดังกล่าวจะป้องกันไม่ให้ผู้ดูแลระบบล็อก เราขอแนะนําให้บัญชีที่ถูกแยกออกเป็นผู้ดูแลระบบ Microsoft Entra แทนที่จะเป็นผู้ใช้ Power BI มาตรฐาน
นโยบายบางประเภทใน Defender สําหรับ Cloud Apps สามารถนําไปใช้กับผู้ใช้และกลุ่มบางกลุ่มได้ นโยบายประเภทเหล่านี้ใช้ได้กับผู้ใช้ทั้งหมดบ่อยที่สุด อย่างไรก็ตาม อาจเป็นไปได้ว่าคุณจะพบสถานการณ์ที่คุณจะต้องแยกผู้ใช้บางรายออก
รายการตรวจสอบ - เมื่อพิจารณาว่าผู้ใช้รายใดได้รับผลกระทบ การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- พิจารณาว่าผู้ใช้รายใดถูกรวมอยู่: ยืนยันว่าผู้ใช้ทั้งหมดจะถูกรวมอยู่ในนโยบายการควบคุมการเข้าถึงแอปแบบมีเงื่อนไขของ Microsoft Entra ของคุณหรือไม่
- ระบุบัญชีผู้ดูแลระบบที่ควรแยกออก: กําหนดว่าบัญชีผู้ดูแลระบบบัญชีใดควรถูกแยกออกจากนโยบายการควบคุมการเข้าถึงแอปแบบมีเงื่อนไขของ Microsoft Entra อย่างตั้งใจ
- พิจารณาว่านโยบาย Defender บางฉบับใช้กับชุดย่อยของผู้ใช้หรือไม่: สําหรับกรณีการใช้งานที่ถูกต้องให้พิจารณาว่าควรใช้กับผู้ใช้ทั้งหมดหรือบางคน (เมื่อเป็นไปได้)
การรับส่งข้อความของผู้ใช้
เมื่อระบุกรณีการใช้งานแล้ว คุณจะต้องพิจารณาว่าสิ่งใดจะเกิดขึ้นเมื่อมีกิจกรรมของผู้ใช้ที่ตรงกับนโยบาย
เมื่อกิจกรรมถูกบล็อกในแบบเรียลไทม์ สิ่งสําคัญคือให้ข้อความแบบกําหนดเองแก่ผู้ใช้ ข้อความจะมีประโยชน์เมื่อคุณต้องการให้คําแนะนําและการตระหนักแก่ผู้ใช้ของคุณมากขึ้นระหว่างเวิร์กโฟลว์ปกติ มีแนวโน้มที่ผู้ใช้จะอ่านและดูดซับการแจ้งเตือนผู้ใช้เมื่อพวกเขากําลัง:
- เฉพาะ: เชื่อมโยงข้อความกับนโยบายทําให้ง่ายต่อการทําความเข้าใจ
- สามารถดําเนินการได้: เสนอคําแนะนําสําหรับสิ่งที่พวกเขาต้องทําหรือวิธีการค้นหาข้อมูลเพิ่มเติม
นโยบายบางประเภทใน Defender สําหรับ Cloud Apps สามารถมีข้อความที่กําหนดเองได้ นี่คือสองตัวอย่างของการแจ้งเตือนผู้ใช้
ตัวอย่างที่ 1: คุณสามารถกําหนดนโยบายการควบคุมเซสชันแบบเรียลไทม์ที่ป้องกันการส่งออกและดาวน์โหลดทั้งหมดเมื่อป้ายชื่อระดับความลับสําหรับรายการ Power BI (เช่น รายงานหรือแบบจําลองความหมาย ก่อนหน้านี้เรียกว่าชุดข้อมูล) ถูกตั้งค่า เป็น จํากัดสูง ข้อความบล็อกแบบกําหนดเองใน Defender สําหรับ Cloud Apps อ่าน: ไฟล์ที่มีป้ายชื่อที่ถูกจํากัดสูงไม่ได้รับอนุญาตให้ดาวน์โหลดจากบริการของ Power BI โปรดดูเนื้อหาออนไลน์ในบริการของ Power BI ติดต่อทีมสนับสนุน Power BI เพื่อสอบถามข้อมูลเพิ่มเติม
ตัวอย่างที่ 2: คุณสามารถกําหนดนโยบายการเข้าถึงแบบเรียลไทม์ที่ป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Power BI เมื่อไม่ได้ใช้เครื่องที่จัดการโดยองค์กร ข้อความบล็อกแบบกําหนดเองใน Defender สําหรับ Cloud Apps จะอ่าน: บริการของ Power BI อาจไม่สามารถเข้าถึงได้บนอุปกรณ์ส่วนบุคคล โปรดใช้อุปกรณ์ที่ให้มาโดยองค์กร ติดต่อทีมสนับสนุน Power BI เพื่อสอบถามข้อมูลเพิ่มเติม
รายการตรวจสอบ - เมื่อพิจารณาข้อความผู้ใช้ใน Defender สําหรับ Cloud Apps การตัดสินใจที่สําคัญและการดําเนินการรวมถึง:
- ตัดสินใจว่าเมื่อใดที่ต้องการบล็อกข้อความที่กําหนดเอง: สําหรับแต่ละนโยบายที่คุณต้องการสร้าง กําหนดว่าจะต้องใช้ข้อความบล็อกที่กําหนดเองหรือไม่
- สร้างข้อความที่บล็อกที่กําหนดเอง: สําหรับแต่ละนโยบาย ให้กําหนดว่าข้อความใดควรแสดงให้ผู้ใช้ดู วางแผนการเชื่อมโยงแต่ละข้อความไปยังนโยบายเพื่อให้มีความเฉพาะเจาะจงและสามารถดําเนินการได้
การแจ้งเตือนจากผู้ดูแลระบบ
การแจ้งเตือนจะเป็นประโยชน์เมื่อคุณต้องการทําให้ผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบของคุณทราบว่ามีการละเมิดนโยบายเกิดขึ้น เมื่อคุณกําหนดนโยบายใน Defender สําหรับ Cloud Apps ให้พิจารณาว่าควรสร้างการแจ้งเตือนหรือไม่ สําหรับข้อมูลเพิ่มเติม ดู ชนิด การแจ้งเตือนใน Defender สําหรับ Cloud Apps
อีกทางหนึ่งคือ คุณสามารถตั้งค่าการแจ้งเตือนเพื่อส่งอีเมลไปยังผู้ดูแลระบบหลายคนได้ เมื่อจําเป็นต้องมีการแจ้งเตือนทางอีเมล เราขอแนะนําให้คุณใช้กลุ่มความปลอดภัยที่เปิดใช้งานเมล ตัวอย่างเช่น คุณอาจใช้กลุ่มที่ชื่อ ว่าการแจ้งเตือนผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบ
สําหรับสถานการณ์ที่มีลําดับความสําคัญสูง คุณสามารถส่งการแจ้งเตือนทางข้อความได้ นอกจากนี้ยังเป็นไปได้ที่จะสร้างการแจ้งเตือนอัตโนมัติและเวิร์กโฟลว์แบบกําหนดเองโดยการรวมกับ Power Automate
คุณสามารถตั้งค่าการแจ้งเตือนแต่ละรายการด้วยความรุนแรงต่ํา กลาง หรือสูงได้ ระดับความรุนแรงจะมีประโยชน์เมื่อจัดลําดับความสําคัญของการตรวจสอบการแจ้งเตือนที่เปิดอยู่ ผู้ดูแลระบบจะต้องตรวจทานและดําเนินการกับการแจ้งเตือนแต่ละรายการ การแจ้งเตือนสามารถปิดได้ทั้งค่าบวกจริง บวกเท็จ หรือเป็นภัยพิบัจ
นี่คือสองตัวอย่างของการแจ้งเตือนผู้ดูแลระบบ
ตัวอย่างที่ 1: คุณสามารถกําหนดนโยบายการควบคุมเซสชันแบบเรียลไทม์ที่ป้องกันการส่งออกและดาวน์โหลดทั้งหมดเมื่อป้ายชื่อระดับความลับสําหรับรายการ Power BI (เช่นรายงานหรือแบบจําลองความหมาย) ถูกตั้งค่า เป็น จํากัดระดับสูง มีข้อความบล็อกแบบกําหนดเองที่เป็นประโยชน์สําหรับผู้ใช้ อย่างไรก็ตาม ในสถานการณ์นี้ไม่จําเป็นต้องสร้างการแจ้งเตือน
ตัวอย่างที่ 2: คุณสามารถกําหนดนโยบายกิจกรรมที่ติดตามว่าผู้ใช้ภายนอกได้ดูรายงานที่มีสิทธิ์พิเศษสูงที่มอบให้กับคณะกรรมการหรือไม่ คุณสามารถตั้งค่าการแจ้งเตือนความรุนแรงสูงเพื่อให้แน่ใจว่ากิจกรรมนั้นได้รับการตรวจสอบทันที
เคล็ดลับ
ตัวอย่างที่ 2 เน้นความแตกต่างระหว่างการปกป้องข้อมูลและความปลอดภัย นโยบายกิจกรรมสามารถช่วยระบุสถานการณ์ที่ผู้ใช้ BI แบบบริการตนเองมีสิทธิ์ในการจัดการความปลอดภัยสําหรับเนื้อหา แต่ผู้ใช้เหล่านี้สามารถดําเนินการที่ไม่สนับสนุนโดยนโยบายขององค์กรได้ เราขอแนะนําให้คุณตั้งค่านโยบายประเภทเหล่านี้เฉพาะในกรณีเฉพาะเมื่อข้อมูลมีความอ่อนไหวเป็นพิเศษ
รายการ ตรวจสอบ - เมื่อพิจารณาการแจ้งเตือนสําหรับผู้ดูแลระบบใน Defender สําหรับ Cloud Apps การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ตัดสินใจว่าต้องใช้การแจ้งเตือนเมื่อใด: สําหรับแต่ละนโยบายที่คุณต้องการสร้าง ตัดสินใจว่าสถานการณ์ใดที่รับประกันโดยใช้การแจ้งเตือน
- ชี้แจงบทบาทและความรับผิดชอบ: กําหนดความคาดหวังและการดําเนินการที่ควรดําเนินการเมื่อสร้างการแจ้งเตือน
- กําหนดว่าใครจะได้รับการแจ้งเตือน: ตัดสินใจว่าผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบคนใดที่จะตรวจทานและเปิดการแจ้งเตือนการดําเนินการ ยืนยันสิทธิ์และข้อกําหนดสิทธิ์การใช้งานสําหรับผู้ดูแลระบบแต่ละรายที่จะใช้ Defender สําหรับ Cloud Apps
- สร้างกลุ่มใหม่: เมื่อจําเป็น ให้สร้างกลุ่มความปลอดภัยที่เปิดใช้งานอีเมลใหม่เพื่อใช้สําหรับการแจ้งเตือนทางอีเมล
แบบแผนการตั้งชื่อนโยบาย
ก่อนที่คุณจะสร้างนโยบายใน Defender สําหรับ Cloud Apps คุณควรสร้างแบบแผนการตั้งชื่อก่อน มาตรฐานการตั้งชื่อจะมีประโยชน์เมื่อมีนโยบายหลายชนิดสําหรับแอปพลิเคชันหลายชนิด นอกจากนี้ยังมีประโยชน์เมื่อผู้ดูแลระบบ Power BI มีส่วนร่วมในการตรวจสอบ
เคล็ดลับ
พิจารณาการให้อนุญาต Defender สําหรับ Cloud Apps ให้เข้าถึงผู้ดูแลระบบ Power BI ของคุณ ใช้บทบาทผู้ดูแลระบบซึ่งอนุญาตให้ดูบันทึกกิจกรรม การลงชื่อเข้าใช้เหตุการณ์ และเหตุการณ์ที่เกี่ยวข้องกับบริการของ Power BI
พิจารณาเทมเพลตแบบแผนการตั้งชื่อที่มีตัวแทนข้อความคอมโพเนนต์: <แอปพลิเคชัน> - <คําอธิบาย> - <การดําเนินการ> - <ชนิดของนโยบาย>
ต่อไปนี้คือตัวอย่างการตั้งชื่อบางอย่าง
| ประเภทนโยบาย | แบบ เรี ยล ไทม์ | ชื่อนโยบาย |
|---|---|---|
| นโยบายเซสชัน | ใช่ | Power BI - ป้ายชื่อที่ถูกจํากัดอย่างมาก - บล็อกการดาวน์โหลด - RT |
| นโยบายการเข้าถึง | ใช่ | ทั้งหมด - อุปกรณ์ที่ไม่มีการจัดการ - บล็อกการเข้าถึง - RT |
| นโยบายกิจกรรม | ไม่ | Power BI - กิจกรรมการจัดการ |
| นโยบายกิจกรรม | ไม่ | Power BI - รายงานผู้บริหารมุมมองผู้ใช้ภายนอก |
ส่วนประกอบของแบบแผนการตั้งชื่อประกอบด้วย:
- แอปพลิเคชัน: ชื่อแอปพลิเคชัน คํา นําหน้า Power BI ช่วยในการจัดกลุ่มนโยบายเฉพาะของ Power BI ทั้งหมดเข้าด้วยกันเมื่อเรียงลําดับ อย่างไรก็ตาม นโยบายบางอย่างจะนําไปใช้กับแอประบบคลาวด์ทั้งหมดแทนที่จะเป็นเพียงบริการของ Power BI
- คําอธิบาย: ส่วนคําอธิบายของชื่อจะแตกต่างกันมากที่สุด ซึ่งอาจรวมถึงป้ายชื่อระดับความลับที่ได้รับผลกระทบหรือชนิดของกิจกรรมที่กําลังติดตาม
- การดําเนินการ: (ไม่บังคับ) ในตัวอย่าง นโยบายเซสชันหนึ่งมีการดําเนินการ ดาวน์โหลด บล็อก โดยปกติการดําเนินการจําเป็นเมื่อเป็นนโยบายแบบเรียลไทม์เท่านั้น
- ชนิดของนโยบาย: (ไม่บังคับ) ในตัวอย่าง คําต่อท้าย RT ระบุว่าเป็นนโยบายแบบเรียลไทม์ การกําหนดว่ามันเป็นแบบเรียลไทม์หรือไม่ช่วยจัดการความคาดหวัง
มีแอตทริบิวต์อื่น ๆ ที่ไม่จําเป็นต้องรวมอยู่ในชื่อนโยบาย แอตทริบิวต์เหล่านี้รวมถึงระดับความรุนแรง (ต่ํา ปานกลาง หรือสูง) และประเภท (เช่น การตรวจจับภัยคุกคามหรือ DLP) คุณสามารถกรองแอตทริบิวต์ทั้งสองบนหน้าการแจ้งเตือนได้
เคล็ดลับ
คุณสามารถเปลี่ยนชื่อนโยบายใน Defender สําหรับ Cloud Apps อย่างไรก็ตาม ไม่สามารถเปลี่ยนชื่อนโยบายการตรวจหาสิ่งผิดปกติที่มีอยู่ภายในได้ ตัวอย่างเช่น การแชร์ รายงาน Power BI ที่น่าสงสัยเป็นนโยบายที่มีอยู่แล้วภายในที่ไม่สามารถเปลี่ยนชื่อได้
รายการ ตรวจสอบ - เมื่อพิจารณามาตรฐานการตั้งชื่อนโยบาย การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- เลือกมาตรฐานการตั้งชื่อ: ใช้นโยบายแรกของคุณเพื่อสร้างมาตรฐานการตั้งชื่อที่สอดคล้องกันซึ่งตรงไปตรงมาในการแปล มุ่งเน้นไปที่การใช้คํานําหน้าและคําต่อท้ายที่สอดคล้องกัน
- จัดทําเอกสารแบบแผนการตั้งชื่อ: ให้เอกสารอ้างอิงเกี่ยวกับมาตรฐานการตั้งชื่อนโยบาย ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบของคุณทราบถึงมาตรฐานการตั้งชื่อ
- อัปเดตนโยบายที่มีอยู่: อัปเดตนโยบายของ Defender ที่มีอยู่เพื่อให้สอดคล้องกับข้อกําหนดการตั้งชื่อใหม่
ข้อกำหนดในการให้สิทธิการใช้งาน
สิทธิ์การใช้งานเฉพาะจะต้องอยู่ในที่สําหรับตรวจสอบผู้เช่า Power BI ผู้ดูแลระบบต้องมีสิทธิการใช้งานใดสิทธิการใช้งานหนึ่งต่อไปนี้
- Microsoft Defender สําหรับแอป Cloud: ให้ความสามารถของ Defender สําหรับ Cloud Apps สําหรับแอปพลิเคชันที่ได้รับการสนับสนุนทั้งหมด (รวมถึงบริการของ Power BI)
- Office 365 Cloud App Security: มีความสามารถของ Defender สําหรับ Cloud Apps สําหรับแอป Office 365 ที่เป็นส่วนหนึ่งของชุดโปรแกรม Office 365 E5 (รวมถึงบริการของ Power BI)
นอกจากนี้ หากผู้ใช้จําเป็นต้องใช้นโยบายการเข้าถึงแบบเรียลไทม์หรือนโยบายเซสชันใน Defender สําหรับ Cloud Apps พวกเขาจะต้องมี สิทธิ์การใช้งาน Microsoft Entra ID P1
เคล็ดลับ
ถ้าคุณต้องการการชี้แจงเกี่ยวกับข้อกําหนดสิทธิ์การใช้งาน ให้พูดคุยกับทีมบัญชี Microsoft ของคุณ
รายการ ตรวจสอบ - เมื่อประเมินข้อกําหนดสิทธิ์การใช้งาน การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ตรวจสอบข้อกําหนดสิทธิ์การใช้งานผลิตภัณฑ์: ตรวจสอบให้แน่ใจว่าคุณได้ตรวจทานข้อกําหนดสิทธิ์การใช้งานทั้งหมดสําหรับการทํางานกับ Defender สําหรับ Cloud Apps แล้ว
- จัดหาสิทธิ์การใช้งานเพิ่มเติม: ซื้อสิทธิ์การใช้งานเพิ่มเติมเพื่อปลดล็อกฟังก์ชันการทํางานที่คุณต้องการใช้ ถ้าเกี่ยวข้อง
- มอบหมายสิทธิ์การใช้งาน: กําหนดสิทธิ์การใช้งานให้กับผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบแต่ละรายของคุณที่จะใช้ Defender สําหรับ Cloud Apps
เอกสารประกอบของผู้ใช้และการฝึกอบรม
ก่อนที่จะเผยแพร่ Defender สําหรับ Cloud Apps เราขอแนะนําให้คุณสร้างและเผยแพร่เอกสารประกอบผู้ใช้ หน้า SharePoint หรือหน้า wiki ในพอร์ทัลส่วนกลางของคุณสามารถทํางานได้ดีเนื่องจากจะดูแลรักษาได้ง่าย เอกสารที่อัปโหลดไปยังไลบรารีที่ใช้ร่วมกันหรือไซต์ Teams เป็นโซลูชันที่ดีเช่นกัน
เป้าหมายของเอกสารคือเพื่อให้ได้รับประสบการณ์ผู้ใช้ที่ราบรื่น การเตรียมเอกสารผู้ใช้จะช่วยให้คุณมั่นใจได้ว่าคุณได้พิจารณาทุกอย่างแล้ว
รวมข้อมูลเกี่ยวกับบุคคลที่จะติดต่อเมื่อผู้ใช้มีคําถามหรือปัญหาทางเทคนิค
คําถามที่พบบ่อยและตัวอย่างจะเป็นประโยชน์อย่างยิ่งสําหรับเอกสารประกอบผู้ใช้
รายการตรวจสอบ - เมื่อเตรียมเอกสารประกอบผู้ใช้และการฝึกอบรม การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- อัปเดตเอกสารสําหรับผู้สร้างเนื้อหาและผู้บริโภค: อัปเดตคําถามที่พบบ่อยและตัวอย่างของคุณเพื่อรวมข้อมูลที่เกี่ยวข้องเกี่ยวกับนโยบายที่ผู้ใช้อาจพบ
- เผยแพร่วิธีการรับความช่วยเหลือ: ตรวจสอบให้แน่ใจว่าผู้ใช้ของคุณทราบวิธีการรับความช่วยเหลือเมื่อพวกเขากําลังประสบกับบางสิ่งที่ไม่คาดคิดหรือพวกเขาไม่เข้าใจ
- พิจารณาว่าจําเป็นต้องใช้การฝึกอบรมที่เฉพาะเจาะจงหรือไม่: สร้างหรืออัปเดตการฝึกอบรมผู้ใช้ของคุณเพื่อรวมข้อมูลที่เป็นประโยชน์โดยเฉพาะอย่างยิ่งหากมีข้อกําหนดด้านการกํากับดูแลในการทําเช่นนั้น
การสนับสนุนผู้ใช้
สิ่งสําคัญคือต้องตรวจสอบว่าใครจะเป็นผู้รับผิดชอบ การสนับสนุนผู้ใช้ เป็นเรื่องปกติที่ใช้ Defender สําหรับ Cloud Apps เพื่อตรวจติดตาม Power BI ที่ดําเนินการโดยฝ่ายช่วยเหลือด้าน IT แบบรวมศูนย์
คุณอาจต้องสร้างเอกสารสําหรับเจ้าหน้าที่ให้ความช่วยเหลือและดําเนินการเซสชันการถ่ายโอนความรู้บางอย่างเพื่อให้แน่ใจว่าฝ่ายช่วยเหลือพร้อมที่จะตอบสนองคําขอการสนับสนุน
รายการตรวจสอบ - เมื่อเตรียมการสําหรับฟังก์ชันการสนับสนุนผู้ใช้ การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ระบุว่าใครจะให้การสนับสนุนผู้ใช้: เมื่อคุณกําลังกําหนดบทบาทและความรับผิดชอบ ตรวจสอบให้แน่ใจว่าบัญชีสําหรับวิธีที่ผู้ใช้จะได้รับความช่วยเหลือเกี่ยวกับปัญหาที่พวกเขาอาจพบ
- ตรวจสอบให้แน่ใจว่าทีมสนับสนุนผู้ใช้พร้อมแล้ว: สร้างเอกสารและดําเนินการถ่ายทอดความรู้เพื่อให้แน่ใจว่าฝ่ายช่วยเหลือพร้อมที่จะสนับสนุนกระบวนการเหล่านี้
- ติดต่อสื่อสารระหว่างทีม: พูดคุยเกี่ยวกับข้อความที่ผู้ใช้อาจเห็นและกระบวนการในการแก้ไขปัญหาการแจ้งเตือนแบบเปิดกับผู้ดูแลระบบ Power BI และศูนย์แห่งความเป็นเลิศ ตรวจสอบให้แน่ใจว่าทุกคนที่เกี่ยวข้องได้เตรียมพร้อมสําหรับคําถามที่อาจเกิดขึ้นจากผู้ใช้ Power BI
ข้อมูลสรุปการใช้งาน
หลังจากทําการตัดสินใจแล้วและได้เตรียมแผนการเผยแพร่แล้ว ถึงเวลาเริ่มการใช้งาน
ถ้าคุณต้องการใช้นโยบายแบบเรียลไทม์ (นโยบายเซสชันหรือนโยบายการเข้าถึง) งานแรกของคุณคือการตั้งค่าการควบคุมการเข้าถึงแอปแบบมีเงื่อนไขของ Microsoft Entra คุณจะต้องตั้งค่าบริการของ Power BI เป็นแอปแค็ตตาล็อกที่จะถูกควบคุมโดย Defender สําหรับ Cloud Apps
เมื่อตัวควบคุมการเข้าถึงแอปแบบมีเงื่อนไขของ Microsoft Entra ถูกตั้งค่าและทดสอบแล้ว คุณสามารถสร้างนโยบายใน Defender สําหรับ Cloud Apps ได้
สำคัญ
เราขอแนะนําให้คุณแนะนําฟังก์ชันนี้ให้กับผู้ใช้ทดสอบจํานวนเล็กน้อยก่อน นอกจากนี้ยังมีโหมดเฉพาะจอภาพที่คุณอาจพบว่าเป็นประโยชน์ในการแนะนําฟังก์ชันการทํางานนี้ตามลําดับ
รายการตรวจสอบต่อไปนี้มีรายการสรุปของขั้นตอนการใช้งานแบบ end-to-end ขั้นตอนจํานวนมากมีรายละเอียดอื่น ๆ ที่ครอบคลุมในส่วนก่อนหน้าของบทความนี้
รายการตรวจสอบ - เมื่อใช้ Defender สําหรับ Cloud Apps ด้วย Power BI การตัดสินใจและการดําเนินการที่สําคัญรวมถึง:
- ตรวจสอบสถานะและเป้าหมายปัจจุบัน: ตรวจสอบให้แน่ใจว่าคุณมีความชัดเจนในสถานะปัจจุบันของ DLP สําหรับใช้กับ Power BI เป้าหมายและข้อกําหนดทั้งหมดสําหรับการนํา DLP ไปใช้ควรมีความชัดเจนและกระตือรือร้นเพื่อขับเคลื่อนกระบวนการตัดสินใจ
- ดําเนินการในกระบวนการตัดสินใจ: ตรวจสอบและพูดคุยเกี่ยวกับการตัดสินใจทั้งหมดที่จําเป็น งานนี้ควรเกิดขึ้นก่อนที่จะตั้งค่าสิ่งใดๆ ในการผลิต
- ตรวจสอบข้อกําหนดสิทธิ์การใช้งาน: ตรวจสอบให้แน่ใจว่าคุณเข้าใจข้อกําหนดสิทธิ์การใช้งานผลิตภัณฑ์และสิทธิการใช้งานของผู้ใช้ หากจําเป็น ให้จัดหาและกําหนดสิทธิการใช้งานเพิ่มเติม
- เผยแพร่เอกสารผู้ใช้: เผยแพร่ข้อมูลที่ผู้ใช้จะต้องตอบคําถามและชี้แจงความคาดหวัง ให้คําแนะนํา การสื่อสาร และการฝึกอบรมแก่ผู้ใช้ของคุณเพื่อให้พวกเขาเตรียมพร้อม
- สร้างนโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra: สร้างนโยบายการเข้าถึงแบบมีเงื่อนไขใน Microsoft Entra ID เพื่อเปิดใช้งานตัวควบคุมแบบเรียลไทม์สําหรับการตรวจสอบบริการของ Power BI ในตอนแรก ให้เปิดใช้งานนโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra สําหรับผู้ใช้ทดสอบสองสามคน
- ตั้งค่า Power BI เป็นแอปที่เชื่อมต่อใน Defender สําหรับ Cloud Apps: เพิ่มหรือตรวจสอบว่า Power BI ปรากฏเป็นแอปที่เชื่อมต่อใน Defender สําหรับ Cloud Apps สําหรับการควบคุมการเข้าถึงแอปแบบมีเงื่อนไข
- ดําเนินการทดสอบเบื้องต้น: ลงชื่อเข้าใช้บริการของ Power BI ในฐานะหนึ่งในผู้ใช้ทดสอบ ตรวจสอบว่าการเข้าถึงทํางานหรือไม่ นอกจากนี้ตรวจสอบว่าข้อความที่แสดงแจ้งให้คุณทราบว่าบริการของ Power BI ได้รับการตรวจสอบโดย Defender สําหรับ Cloud Apps
- สร้างและทดสอบนโยบายแบบเรียลไทม์: การใช้กรณีการใช้งานที่มีการคอมไพล์แล้ว สร้างนโยบายการเข้าถึงหรือนโยบายเซสชันใน Defender สําหรับ Cloud Apps
- ดําเนินการทดสอบเบื้องต้น: ในฐานะผู้ใช้ทดสอบ ให้ดําเนินการกระทําที่จะทริกเกอร์นโยบายแบบเรียลไทม์ ตรวจสอบว่าการดําเนินการถูกบล็อค (ถ้าเหมาะสม) และข้อความแจ้งเตือนที่คาดไว้จะแสดงขึ้นมา
- รวบรวมคําติชมของผู้ใช้: รับคําติชมเกี่ยวกับกระบวนการและประสบการณ์ของผู้ใช้ ระบุพื้นที่ของความสับสน ผลลัพธ์ที่ไม่คาดคิดกับชนิดข้อมูลที่ละเอียดอ่อน และปัญหาทางเทคนิคอื่น ๆ
- เผยแพร่อย่างต่อเนื่อง: ค่อยๆ เพิ่มนโยบายเพิ่มเติมใน Defender สําหรับ Cloud Apps จนกว่ากรณีการใช้งานทั้งหมดจะได้รับการแก้ไข
- ตรวจทานนโยบายที่มีอยู่ภายใน: ค้นหานโยบายการตรวจหาความผิดปกติที่มีอยู่ภายในใน Defender สําหรับ Cloud Apps (ที่มี Power BI อยู่ในชื่อของพวกเขา) อัปเดตการตั้งค่าการแจ้งเตือนสําหรับนโยบายที่มีอยู่ภายในเมื่อจําเป็น
- ดําเนินการต่อด้วยการใช้งานที่กว้างขึ้น: ทํางานต่อผ่านแผนการเผยแพร่ซ้ําของคุณ ปรับปรุงนโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra เพื่อนําไปใช้กับชุดผู้ใช้ที่กว้างขึ้นตามความเหมาะสม ปรับปรุงนโยบายส่วนบุคคลใน Defender สําหรับ Cloud Apps เพื่อนําไปใช้กับผู้ใช้ชุดที่กว้างขึ้นตามความเหมาะสม
- ตรวจสอบ ปรับแต่ง และปรับ: ลงทุนทรัพยากรเพื่อทบทวนการแจ้งเตือนนโยบายและบันทึกการตรวจสอบเป็นประจํา ตรวจสอบผลบวกเท็จและปรับนโยบายเมื่อจําเป็น
เคล็ดลับ
รายการตรวจสอบเหล่านี้ได้รับการสรุปสําหรับการวางแผน สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับรายการในรายการตรวจสอบเหล่านี้ ดูส่วนก่อนหน้าของบทความนี้
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับใช้ Power BI เป็นแอปพลิเคชันแค็ตตาล็อกใน Defender สําหรับ Cloud Apps โปรดดู ขั้นตอนในการปรับใช้แอปแค็ตตาล็อก
การตรวจสอบอย่างต่อเนื่อง
หลังจากคุณดําเนินการเสร็จเรียบร้อยแล้ว คุณควรมุ่งความสนใจไปที่การตรวจสอบ การบังคับใช้ และการปรับนโยบาย Defender สําหรับ Cloud Apps ตามการใช้งานของพวกเขา
ผู้ดูแลระบบ Power BI และผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบจะต้องทํางานร่วมกันเป็นครั้งคราว สําหรับเนื้อหา Power BI มีผู้ชมสองรายสําหรับการตรวจสอบ
- ผู้ดูแลระบบ Power BI: นอกเหนือจากการแจ้งเตือนที่สร้างขึ้นโดย Defender สําหรับ Cloud Apps กิจกรรมจากบันทึกกิจกรรม Power BI ยังแสดงในพอร์ทัล Defender สําหรับ Cloud Apps
- ผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบ: ผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบขององค์กรมักใช้การแจ้งเตือน Defender สําหรับ Cloud Apps
คุณสามารถให้มุมมองแบบจํากัดแก่ผู้ดูแลระบบ Power BI ของคุณใน Defender for Cloud Apps ใช้บทบาทที่กําหนดขอบเขตเพื่อดูบันทึกกิจกรรม เหตุการณ์การลงชื่อเข้าใช้ และเหตุการณ์ที่เกี่ยวข้องกับบริการของ Power BI ความสามารถนี้เป็นความสะดวกสําหรับผู้ดูแลระบบ Power BI
รายการตรวจสอบ - เมื่อตรวจสอบ Defender สําหรับ Cloud Apps การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ตรวจสอบบทบาทและความรับผิดชอบ: ตรวจสอบให้แน่ใจว่าคุณเป็นผู้รับผิดชอบสําหรับการดําเนินการใด ให้ความรู้และสื่อสารกับผู้ดูแลระบบ Power BI ของคุณหากพวกเขาจะเป็นผู้รับผิดชอบในการตรวจสอบทุกแง่มุม
- จัดการการเข้าถึงสําหรับผู้ดูแลระบบ Power BI: เพิ่มผู้ดูแลระบบ Power BI ของคุณไปยังบทบาทผู้ดูแลระบบที่กําหนดขอบเขตใน Defender สําหรับ Cloud Apps ติดต่อสื่อสารกับพวกเขาเพื่อให้พวกเขาตระหนักถึงสิ่งที่พวกเขาสามารถทําได้ด้วยข้อมูลเพิ่มเติมนี้
- สร้างหรือตรวจสอบกระบวนการของคุณสําหรับการตรวจสอบกิจกรรม: ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบของคุณมีความชัดเจนตามความคาดหวังสําหรับการตรวจทานตัวสํารวจกิจกรรมเป็นประจํา
- สร้างหรือตรวจสอบความถูกต้องของกระบวนการของคุณในการแก้ไขการแจ้งเตือน: ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบความปลอดภัยและการปฏิบัติตามกฎระเบียบของคุณมีกระบวนการตรวจสอบและแก้ไขการแจ้งเตือนที่เปิดอยู่
เนื้อหาที่เกี่ยวข้อง
ใน บทความถัดไปในชุดนี้ คุณจะได้เรียนรู้เกี่ยวกับการตรวจสอบเพื่อการปกป้องข้อมูลและการป้องกันข้อมูลสูญหายสําหรับ Power BI
คำติชม
เร็วๆ นี้: ตลอดปี 2024 เราจะขจัดปัญหา GitHub เพื่อเป็นกลไกคำติชมสำหรับเนื้อหา และแทนที่ด้วยระบบคำติชมใหม่ สำหรับข้อมูลเพิ่มเติม ให้ดู: https://aka.ms/ContentUserFeedback
ส่งและดูข้อคิดเห็นสำหรับ