Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Durch die Verwendung von Defender for Cloud Apps mit Power BI können Sie Ihre Power BI-Berichte, -Daten und -Dienste vor unbeabsichtigten Lecks oder Sicherheitsverletzungen schützen. Mit Defender for Cloud Apps können Sie über Echtzeit-Sitzungssteuerelemente in Microsoft Entra ID Richtlinien für den bedingten Zugriff auf Ihre Organisationsdaten erstellen und so die Sicherheit Ihrer Power BI-Analysen gewährleisten. Sobald diese Richtlinien festgelegt wurden, können Administratoren den Zugriff und die Aktivitäten der Benutzer überwachen, Risikoanalysen in Echtzeit durchführen und bezeichnungsspezifische Steuerelemente festlegen.
Hinweis
Microsoft Defender für Cloud-Apps ist jetzt Teil von Microsoft Defender XDR. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.
Sie können Defender for Cloud Apps nicht nur für Power BI, sondern auch für beliebige Arten von Anwendungen und Diensten konfigurieren. Sie müssen Defender for Cloud Apps für die Zusammenarbeit mit Power BI konfigurieren, um von den Defender for Cloud Apps-Sicherheitsfunktionen für Ihre Power BI-Daten und -Analysen zu profitieren. Weitere Informationen zu Defender für Cloud-Apps, einschließlich einer Übersicht über die Funktionsweise, das Dashboard und app-Risikobewertungen, finden Sie in der Dokumentation zu Defender for Cloud Apps .
Lizenzierung von Defender for Cloud Apps
Um Defender for Cloud Apps mit Power BI nutzen zu können, müssen Sie die relevanten Microsoft-Sicherheitsdienste verwenden und konfigurieren, von denen einige außerhalb von Power BI eingerichtet werden. Um Defender für Cloud-Apps in Ihrem Mandanten zu haben, müssen Sie über eine der folgenden Lizenzen verfügen:
- Microsoft Defender for Cloud Apps: Stellt Defender for Cloud Apps-Funktionen für alle unterstützten Apps bereit, die Teil der EMS E5- und Microsoft 365 E5-Suiten sind.
- Office 365 Cloud App Security: Bietet Defender for Cloud Apps-Funktionen nur für Office 365 im Rahmen der Office 365 E5-Suite.
Konfigurieren von Echtzeit-Steuerelementen für Power BI mit Defender for Cloud Apps
Hinweis
Sie benötigen eine Microsoft Entra ID P1-Lizenz, um die Echtzeit-Steuerelemente von Defender for Cloud Apps nutzen zu können.
In den folgenden Abschnitten werden die Schritte zum Konfigurieren von Echtzeit-Steuerelementen für Power BI mit Defender for Cloud Apps beschrieben.
Festlegen von Sitzungsrichtlinien in Microsoft Entra ID (erforderlich)
Die Schritte zum Festlegen von Sitzungssteuerelementen werden in den Microsoft Entra ID- und Defender for Cloud Apps-Portalen ausgeführt. Im Microsoft Entra Admin Center erstellen Sie eine Richtlinie für bedingten Zugriff für Power BI und leiten die in Power BI verwendeten Sitzungen über den Defender for Cloud Apps-Dienst weiter.
Defender for Cloud Apps arbeitet mit einer Reverseproxyarchitektur und ist in den bedingten Microsoft Entra-Zugriff integriert, um Power BI-Benutzeraktivitäten in Echtzeit zu überwachen. Die folgenden Schritte dienen dem besseren Verständnis des Prozesses. Detaillierte Schritt-für-Schritt-Anleitungen finden Sie in den verlinkten Inhalten in den einzelnen Schritten. Eine Beschreibung des gesamten Prozesses finden Sie unter Defender for Cloud Apps.
- Erstellen einer Microsoft Entra-Testrichtlinie für bedingten Zugriff
- Anmelden bei jeder App mit einem Benutzernamen, der an die Richtlinie gebunden ist
- Überprüfen, ob die Apps für die Verwendung von Zugriffs- und Sitzungssteuerelementen konfiguriert sind
- Aktivieren der App für die Verwendung in Ihrer Organisation
- Testen der Bereitstellung
Der Prozess zum Festlegen von Sitzungsrichtlinien wird in Sitzungsrichtlinien ausführlich beschrieben.
Festlegen von Richtlinien zur Anomalieerkennung zum Überwachen von Power BI-Aktivitäten (empfohlen)
Power BI-Richtlinien zur Anomalieerkennung können individuell festgelegt werden, sodass sie sich nur auf die Benutzer und Gruppen bezieht, die Sie in der Richtlinie ein- und ausschließen möchten. Weitere Informationen finden Sie unter Anomalieerkennungsrichtlinien.
Defender for Cloud Apps umfasst zwei dedizierte, integrierte Erkennungsfunktionen für Power BI. Siehe Integrierte Erkennung von Defender for Cloud Apps für Power BI.
Verwenden Sie die Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection (empfohlen)
Mithilfe von Vertraulichkeitsbezeichnungen können Sie sensible Inhalte klassifizieren und schützen, sodass die Mitarbeiter in Ihrer Organisation mit externen Partnern zusammenarbeiten und gleichzeitig den Schutz vertraulicher Inhalte und Daten gewährleisten können.
Informationen zum Verwenden von Vertraulichkeitsbezeichnungen für Power BI finden Sie unter Vertraulichkeitsbezeichnungen in Power BI. Siehe später in diesem Artikel ein Beispiel für eine Power BI-Richtlinie basierend auf Vertraulichkeitsbezeichnungen.
Benutzerdefinierte Richtlinien zum Senden von Warnung bei verdächtigen Benutzeraktivitäten in Power BI
Mithilfe der Defender for Cloud Apps-Aktivitätsrichtlinien können Administratoren eigene, benutzerdefinierte Regeln definieren, um ein von der Norm abweichendes Benutzerverhalten zu erkennen und gegebenenfalls sogar automatisch darauf zu reagieren, wenn es als gefährlich eingestuft wird. Beispiel:
Entfernen von großen Vertraulichkeitsbezeichnungen – Beispiel: Warnen, wenn Vertraulichkeitsbezeichnungen von einem einzelnen Benutzer in einem Zeitfenster von weniger als 5 Minuten aus 20 verschiedenen Berichten entfernt werden.
Herabstufen der Vertraulichkeitsbezeichnungen für Verschlüsselungen – Benachrichtigen Sie mich beispielsweise, wenn ein Bericht mit der Vertraulichkeitsbezeichnung Streng vertraulich jetzt als Öffentlich eingestuft wird.
Hinweis
Die eindeutigen IDs (IDs) von Power BI-Artefakten und Vertraulichkeitsbezeichnungen finden Sie mithilfe von Power BI-REST-APIs. Siehe "Semantikmodelle abrufen " oder "Berichte abrufen".
Benutzerdefinierte Aktivitätsrichtlinien werden im Defender für Cloud Apps-Portal konfiguriert. Weitere Informationen finden Sie unter "Aktivitätsrichtlinien".
Integrierte Defender for Cloud Apps-Erkennungen für Power BI
Mithilfe von Defender for Cloud Apps-Erkennungen können Administratoren bestimmte Aktivitäten einer überwachten App überwachen. Für Power BI gibt es derzeit zwei dedizierte, integrierte Defender for Cloud Apps-Erkennungen:
Verdächtige Freigabe – erkennt, wenn eine benutzende Person einen vertraulichen Bericht mit einer unbekannten E-Mail-Adresse (außerhalb der Organisation) teilt. Ein vertraulicher Bericht ist ein Bericht, dessen Vertraulichkeitsbezeichnung auf "NUR INTERN " oder höher festgelegt ist.
Massenfreigabe von Berichten – erkennt, wenn ein Benutzer eine riesige Anzahl von Berichten in einer einzigen Sitzung teilt.
Die Einstellungen für diese Erkennungen werden im Defender for Cloud Apps-Portal konfiguriert. Weitere Informationen finden Sie unter Ungewöhnliche Aktivitäten (nach Benutzer).
Power BI-Administratorrolle in Defender for Cloud Apps
Bei der Verwendung von Defender for Cloud Apps mit Power BI wird für Power BI-Administratoren eine neue Rolle erstellt. Wenn Sie sich als Power BI-Administrator beim Defender for Cloud Apps-Portal anmelden, haben Sie eingeschränkten Zugriff auf Daten, Warnungen, Risikobenutzer, Aktivitätsprotokolle und andere für Power BI relevante Informationen.
Überlegungen und Einschränkungen
Durch die Verwendung von Defender for Cloud Apps mit Power BI können Sie anhand von Erkennungen zur Überwachung von Benutzersitzungen und deren Aktivitäten die Inhalte und Daten Ihrer Organisation schützen. Bei der Verwendung von Defender for Cloud Apps mit Power BI sind einige Überlegungen und Einschränkungen zu berücksichtigen:
- Defender for Cloud Apps kann nur für Excel-, PowerPoint-und PDF-Dateien verwendet werden.
- Wenn Sie die Funktionen der Vertraulichkeitsbezeichnungen in Ihren Sitzungsrichtlinien für Power BI verwenden möchten, benötigen Sie eine Azure Information Protection Premium P1- oder Premium P2-Lizenz. Microsoft Azure Information Protection kann entweder als eigenständige Version oder über eines der Microsoft-Lizenzpakete erworben werden. Weitere Informationen finden Sie unter Azure Information Protection-Preise. Außerdem müssen Vertraulichkeitsbezeichnungen auf Ihre Power BI-Objekte angewendet werden.
- Die Sitzungssteuerung steht für jeden Browser auf jeder gängigen Plattform unter jedem Betriebssystem zur Verfügung. Es wird empfohlen, die neueste Version von Microsoft Edge, Google Chrome, Mozilla Firefox oder Apple Safari zu verwenden. Öffentliche API-Aufrufe von Power BI und andere nicht browserbasierte Sitzungen werden im Rahmen der Defender for Cloud Apps-Sitzungssteuerung nicht unterstützt. Weitere Informationen finden Sie unter "Unterstützte Apps und Clients".
- Wenn Sie Schwierigkeiten bei der Anmeldung haben, z. B. da Sie sich mehr als einmal anmelden müssen, könnte dies mit der Art und Weise zusammenhängen, wie einige Apps die Authentifizierung handhaben. Weitere Informationen finden Sie im Artikel zur Problembehandlung bei der langsamen Anmeldung.
Achtung
Die Funktion „protect“ im Abschnitt „Action“ der Sitzungsrichtlinie funktioniert nur, wenn das Element keine Bezeichnung aufweist. Wenn eine Bezeichnung vorhanden ist, wird die Aktion „protect“ nicht angewendet. Eine vorhandene Bezeichnung, die bereits für ein Element in Power BI angewendet wurde, kann nicht überschrieben werden.
Beispiel
Im folgenden Beispiel wird gezeigt, wie Sie mit Defender for Cloud Apps und Power BI eine neue Sitzungsrichtlinie erstellen.
Erstellen Sie zunächst eine neue Sitzungsrichtlinie. Wählen Sie im Defender for Cloud Apps-Portaldie Option "Richtlinien " im Navigationsbereich aus. Wählen Sie dann auf der Seite "Richtlinien" die Option "Richtlinie erstellen " und dann "Sitzungsrichtlinie" aus.
Die Sitzungsrichtlinie wird im angezeigten Fenster erstellt. Die nummerierten Schritten beschreiben die Einstellungen in der folgenden Abbildung.
Wählen Sie im Dropdownmenü "Richtlinienvorlage" die Option "Keine Vorlage" aus.
Geben Sie für den Richtliniennamen einen relevanten Namen für Ihre Sitzungsrichtlinie an.
Wählen Sie für den SitzungssteuerungstypSteuerung des Dateidownloads (mit Überprüfung) (für DLP) aus.
Wählen Sie für den Abschnitt "Aktivitätsquelle " relevante Blockierungsrichtlinien aus. Es wird empfohlen, nicht verwaltete und nicht kompatible Geräte zu blockieren. Legen Sie fest, das Downloads blockiert werden, wenn die Sitzung in Power BI ausgeführt wird.
Wenn Sie nach unten scrollen, werden weitere Optionen angezeigt. In der folgenden Abbildung werden diese Optionen zusammen mit weiteren Beispielen gezeigt.
Erstellen Sie einen Filter auf der Vertraulichkeitsbezeichnung und wählen Sie Streng vertraulich oder eine andere Option, die am besten zu Ihrer Organisation passt.
Ändern Sie die Inspektionsmethodein keine.
Wählen Sie die Option " Blockieren" aus, die Ihren Anforderungen entspricht.
Erstellen Sie für eine solche Aktion eine Warnung.
Wählen Sie "Erstellen" aus, um die Sitzungsrichtlinie abzuschließen.
Zugehöriger Inhalt
In diesem Artikel wurde beschrieben, wie Defender for Cloud Apps den Schutz von Daten und Inhalten für Power BI gewährleisten kann. Weitere Informationen zu Data Protection for Power BI und unterstützenden Inhalten für die Azure-Dienste, die sie aktivieren, finden Sie unter:
- Vertraulichkeitsbezeichnungen in Power BI
- Aktivieren von Vertraulichkeitsbezeichnungen in Power BI
- Anwenden von Empfindlichkeitsbezeichnungen in Power BI
Informationen zu Azure und Sicherheitsartikeln finden Sie unter:
- Schützen Sie Apps mit der bedingten Zugriffssteuerung von Microsoft Defender für Cloud-Apps
- Bereitstellen der App-Steuerung für bedingten Zugriff für Katalog-Apps mit Microsoft Entra-ID
- Sitzungsrichtlinien
- Informationen zu Empfindlichkeitskennzeichnungen
- Planung der Power BI-Implementierung: Defender für Cloud-Apps für Power BI