Partager via

Utilisation des contrôles Microsoft Defender for Cloud Apps dans Power BI

En utilisant les applications Defender pour le cloud avec Power BI, vous pouvez protéger vos rapports, données et services Power BI contre les fuites et les violations imprévisibles. Les applications Defender pour le cloud vous permettent de créer des stratégies d’accès conditionnel pour les données de votre organisation. Vous utilisez pour cela les contrôles de session en temps réel dans Microsoft Entra ID, qui contribuent à garantir la sécurité de votre analyse Power BI. Une fois ces stratégies définies, les administrateurs peuvent analyser l’accès et l’activité des utilisateurs, effectuer une analyse des risques en temps réel et définir des contrôles spécifiques aux étiquettes.

Remarque

Microsoft Defender pour Cloud Apps fait désormais partie de Microsoft Defender XDR. Pour plus d’informations, consultez Microsoft Defender pour cloud Apps dans Microsoft Defender XDR.

Capture d’écran de la fenêtre Defender for Cloud Apps montrant la page catalogue d’applications cloud avec Power BI mis en surbrillance.

Vous pouvez configurer Defender for Cloud Apps pour tous types d’applications et de services, et pas seulement Power BI. Vous devrez paramétrer Defender for Cloud Apps de sorte qu’il fonctionne avec Power BI afin de tirer parti des protections de Defender for Cloud Apps pour vos données et votre analytique Power BI. Pour plus d’informations sur Defender pour Cloud Apps, notamment une vue d’ensemble de son fonctionnement, du tableau de bord et des scores de risque d’application, consultez la documentation Defender for Cloud Apps .

Licences Defender for Cloud Apps

Pour utiliser Defender for Cloud Apps avec Power BI, vous devez utiliser et configurer les services de sécurité Microsoft appropriés, dont certains sont définis en dehors de Power BI. Pour que Defender pour Cloud Apps soit dans votre locataire, vous devez disposer de l’une des licences suivantes :

  • Microsoft Defender for Cloud Apps : fournit des fonctionnalités Defender for Cloud Apps pour toutes les applications prises en charge, dans le cadre des suites EMS E5 et Microsoft 365 E5.
  • Sécurité des applications cloud Office 365 : fournit des fonctionnalités de Defender for Cloud Apps pour Office 365 uniquement, qui fait partie de la suite Office 365 E5.

Configuration de contrôles en temps réel pour Power BI avec Defender for Cloud Apps

Remarque

Une licence Microsoft Entra ID P1 est nécessaire pour tirer parti des contrôles en temps réel de Defender for Cloud Apps.

Dans les sections suivantes est décrite la procédure de configuration des contrôles en temps réel pour Power BI avec les applications Defender pour le cloud.

Définir des stratégies de session dans Microsoft Entra ID (obligatoire)

La procédure à suivre pour définir des contrôles de session est effectuée sur les portails Microsoft Entra ID et Defender for Cloud Apps. Sur le centre d’administration Microsoft Entra, vous créez une stratégie d’accès conditionnel pour Power BI et routez les sessions utilisées dans Power BI à travers le service Defender for Cloud Apps.

Defender for Cloud Apps fonctionne sur une architecture de proxy inverse et offre une intégration avec l’accès conditionnel Microsoft Entra pour analyser en temps réel l’activité des utilisateurs de Power BI. Les étapes suivantes sont fournies pour vous aider à comprendre le processus. Des instructions pas à pas détaillées sont fournies dans le contenu lié de chacune des étapes suivantes. Pour obtenir une description de l’ensemble du processus, consultez Defender pour Cloud Apps.

  1. Créer une stratégie de test d’accès conditionnel Microsoft Entra
  2. Se connecter à chaque application à l’aide d’un utilisateur étendu à la stratégie
  3. Vérifier que les applications sont configurées pour utiliser les contrôles d’accès et de session
  4. Activer l’application à utiliser dans votre organisation
  5. Tester le déploiement

Le processus de définition des stratégies de session est décrit en détail dans les stratégies de session.

Vous pouvez définir des stratégies de détection des anomalies Power BI qui peuvent être étendues indépendamment, afin qu’elles s’appliquent uniquement aux utilisateurs et groupes que vous voulez inclure et exclure dans la stratégie. Pour plus d’informations, consultez stratégies de détection d’anomalies.

Les applications Defender pour le cloud comportent également deux détections dédiées et intégrées pour Power BI. Consultez les détections intégrées de Defender pour les applications Cloud dans Power BI.

Les étiquettes de sensibilité vous permettent de classifier et de protéger du contenu sensible, afin que les membres de votre organisation puissent collaborer avec des partenaires en dehors de votre organisation, tout en restant vigilant et conscient du contenu et des données sensibles.

Pour plus d’informations sur le processus d’utilisation d’étiquettes de confidentialité pour Power BI, consultez étiquettes de confidentialité dans Power BI. Consultez l’exemple plus loin dans cet article d’une stratégie Power BI basée sur des étiquettes de confidentialité.

Stratégies personnalisées pour alerter sur une activité suspecte de l’utilisateur dans Power BI

Les stratégies d’activité de Defender for Cloud Apps permettent aux administrateurs de définir leurs propres règles personnalisées pour détecter les comportements utilisateur qui sortent de la norme, voire y réagir automatiquement s’ils semblent trop dangereux. Par exemple :

  • Suppression massive d’étiquettes de confidentialité. Par exemple : m’avertir quand des étiquettes de confidentialité sont supprimées par un seul utilisateur dans 20 rapports différents dans une fenêtre de temps inférieure à 5 minutes.

  • Rétrogradation d’une étiquette de confidentialité de chiffrement. Par exemple, alertez-moi lorsqu’un rapport qui avait une étiquette de confidentialité hautement confidentielle est maintenant classifié comme public.

Remarque

Les identificateurs uniques (ID) des artefacts Power BI et des étiquettes de confidentialité sont disponibles à l’aide d’API REST Power BI. Consultez Obtenir des modèles sémantiques ou obtenir des rapports.

Les stratégies d’activité personnalisées sont configurées sur le portail Defender for Cloud Apps. Pour plus d’informations, consultez Stratégies d’activité.

Détections intégrées de Defender for Cloud Apps pour Power BI

Les détections de Defender for Cloud Apps permettent aux administrateurs de superviser des activités spécifiques d’une application analysée. Pour Power BI, il existe actuellement deux détections dédiées et intégrées de Defender for Cloud Apps :

  • Partage suspect : détecte lorsqu’un utilisateur partage un rapport sensible avec un e-mail inconnu (externe à l’organisation). Un rapport sensible est un rapport dont l’étiquette de confidentialité est définie sur INTERNAL-ONLY ou une version ultérieure.

  • Partage de masse de rapports : détecte lorsqu’un utilisateur partage un grand nombre de rapports dans une même session.

Les paramètres de ces détections sont configurés sur le portail Defender for Cloud Apps. Pour plus d’informations, consultez activités inhabituelles (par utilisateur).

Rôle d’administrateur Power BI dans Defender for Cloud Apps

Un nouveau rôle est créé pour les administrateurs Power BI qui utilisent Defender for Cloud Apps avec Power BI. Lorsque vous vous connectez en tant qu’administrateur Power BI au portail Defender for Cloud Apps, vous avez un accès limité aux données, aux alertes, aux utilisateurs à risque, aux journaux d’activité et à d’autres informations pertinentes pour Power BI.

Considérations et limitations

L’utilisation de Defender for Cloud Apps avec Power BI est conçue pour garantir la sécurité du contenu et des données de votre organisation, avec des détections qui supervisent les sessions utilisateur et leurs activités. Quand vous utilisez les applications Defender pour le cloud avec Power BI, vous devez garder à l’esprit plusieurs points et limitations :

  • Defender for Cloud Apps ne peut fonctionner que sur des fichiers Excel, PowerPoint et PDF.
  • Si vous voulez utiliser des fonctionnalités d’étiquettes de confidentialité dans vos stratégies de session pour Power BI, vous devez disposer d’une licence Azure Information Protection Premium P1 ou Premium P2. Vous pouvez acheter Microsoft Azure Information Protection en autonome ou par le biais de l’une des suites de licences Microsoft. Pour plus d’informations, consultez la tarification d’Azure Information Protection. De plus, les étiquettes de sensibilité doivent avoir été appliquées sur vos ressources Power BI.
  • Le contrôle de session est disponible pour n’importe quel navigateur sur toute plateforme principale d’un système d’exploitation. Nous vous recommandons d’utiliser la dernière version de Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Les appels d’API publics Power BI et les autres sessions hors navigateur ne sont pas pris en charge dans le cadre du contrôle de session Defender for Cloud Apps. Pour plus d’informations, consultez Applications et clients pris en charge.
  • Si vous rencontrez des difficultés de connexion, par exemple si vous devez vous connecter plusieurs fois, cela peut être lié à la façon dont certaines applications gèrent l’authentification. Pour plus d’informations, consultez l’article de résolution des problèmes de connexion lente.

Attention

Dans la partie « Action » de la stratégie de session, la fonctionnalité « Protéger » ne fonctionne que s’il n’existe aucune étiquette sur l’élément. Dans le cas contraire, elle ne s’applique pas. Vous ne pouvez pas remplacer une étiquette existante qui a déjà été appliquée à un élément dans Power BI.

Exemples

L’exemple suivant montre comment créer une stratégie de session en utilisant Defender for Cloud Apps avec Power BI.

Tout d’abord, créez une stratégie de session. Dans le portail Defender for Cloud Apps , sélectionnez Stratégies dans le volet de navigation. Ensuite, dans la page stratégies, sélectionnez Créer une stratégie et choisissez Stratégie de session.

Capture d’écran du panneau des stratégies de Defender pour les applications cloud avec les stratégies, la création d'une stratégie et la stratégie de session mises en surbrillance.

Dans la fenêtre qui s’affiche, créez la stratégie de session. Les étapes numérotées décrivent les paramètres de l’image suivante.

  1. Dans la liste déroulante Modèle de stratégie, choisissez Aucun modèle.

  2. Pour la Nom de la stratégie, indiquez un nom pertinent pour votre stratégie de session.

  3. Pour le type de contrôle session, sélectionnez Téléchargement du fichier de contrôle (avec inspection) (pour DLP).

    Pour la section Source de l’activité , choisissez les stratégies de blocage pertinentes. Nous vous recommandons de bloquer les appareils non gérés et non conformes. Choisissez de bloquer les téléchargements quand la session se trouve dans Power BI.

    Capture d’écran de la fenêtre de Defender pour Cloud App Security montrant le panneau de configuration de la stratégie de création de session.

    D’autres options s’affichent lorsque vous faites défiler vers le bas. L’image suivante présente ces options, avec d’autres exemples.

  4. Créez un filtre sur l’étiquette de confidentialité et choisissez Hautement confidentiel ou tout ce qui convient le mieux à votre organisation.

  5. Remplacez la méthode d'inspection par aucune.

  6. Choisissez l’option Bloquer qui répond à vos besoins.

  7. Créez une alerte pour une telle action.

    Capture d’écran de la fenêtre Defender pour Cloud App Security montrant les options de configuration de stratégie développées.

  8. Sélectionnez Créer pour terminer la politique de session.

    Capture d’écran de la fenêtre Defender pour Cloud App Security montrant le bouton créer une stratégie de session.

Contenu connexe

Dans cet article, nous avons vu comment Defender for Cloud Apps peut fournir des protections des données et du contenu pour Power BI. Pour plus d’informations sur La protection des données pour Power BI et le contenu de prise en charge des services Azure qui l’activent, consultez :

Pour plus d’informations sur Azure et des articles sur la sécurité, consultez :

  • Last updated on