Pianificazione dell'implementazione di Power BI: prevenzione della perdita dei dati per Power BI
Nota
Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sull'esperienza Power BI in Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.
Questo articolo descrive le attività di pianificazione correlate all'implementazione della prevenzione della perdita dei dati (DLP) in Power BI. È destinato a:
- Amministratori Power BI: amministratori responsabili della supervisione di Power BI nell'organizzazione. Gli amministratori di Power BI devono collaborare con i team di sicurezza delle informazioni e altri team pertinenti.
- Center of Excellence, team IT e BI: altri responsabili della supervisione di Power BI nell'organizzazione. Potrebbe essere necessario collaborare con gli amministratori di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.
Importante
La prevenzione della perdita dei dati (DLP) è un'impresa significativa a livello di organizzazione. L'ambito e l'impatto sono molto più grandi rispetto a Power BI. Questo tipo di iniziativa richiede finanziamenti, definizione delle priorità e pianificazione. Si prevede di coinvolgere diversi team interfunzionali nelle attività di pianificazione, utilizzo e supervisione.
È consigliabile seguire un approccio graduale e in più fasi per implementare la DPL per Power BI. Per una descrizione dei tipi di fasi di implementazione da considerare, vedere Protezione delle informazioni per Power BI (fasi di implementazione).
Scopo della prevenzione della perdita dei dati
La prevenzione della perdita dei dati (DLP) si riferisce alle attività e alle procedure che consentono di proteggere i dati nell'organizzazione. L'obiettivo della DLP è ridurre il rischio di perdita di dati, che può verificarsi quando si condividono dati sensibili con persone non autorizzate. Anche se il comportamento responsabile dell'utente è una parte fondamentale della protezione dei dati, la DLP si riferisce in genere ai criteri automatizzati.
La prevenzione della perdita dei dati consente di:
- Rilevare una condivisione rischiosa, involontaria o inappropriata dei dati sensibili e informare gli amministratori quando questo si verifica. In particolare, consente di eseguire queste operazioni:
- Migliorare la configurazione complessiva della sicurezza del tenant di Power BI, con automazione e informazioni.
- Abilitare i casi d'uso analitici che coinvolgono dati sensibili.
- Fornire informazioni di controllo agli amministratori della sicurezza.
- Fornire agli utenti notifiche contestuali. In particolare, consente di eseguire queste operazioni:
- Assistere gli utenti nel prendere le giuste decisioni durante il normale flusso di lavoro.
- Fare in modo che gli utenti seguano i criteri di classificazione e protezione dei dati, senza influire negativamente sulla produttività.
Servizi DLP
In generale, esistono due servizi diversi che possono implementare la prevenzione della perdita dei dati.
- Criteri di prevenzione della perdita dei dati di Microsoft Purview per Power BI
- Microsoft Defender for Cloud Apps
Criteri di prevenzione della perdita dei dati di Microsoft Purview per Power BI
I criteri di prevenzione della perdita dei dati per Power BI vengono configurati nel portale di conformità di Microsoft Purview. Può rilevare i dati sensibili in un modello semantico pubblicato in un'area di lavoro Premium nel servizio Power BI.
Importante
A volte questo articolo si riferisce a Power BI Premium o alle relative sottoscrizioni di capacità (SKU P). Tenere presente che Microsoft sta attualmente consolidando le opzioni di acquisto e ritirando gli SKU di Power BI Premium per capacità. I clienti nuovi ed esistenti devono invece prendere in considerazione l'acquisto di sottoscrizioni con capacità Fabric (SKU F).
Per altre informazioni, vedere Aggiornamento importante disponibile per le licenze Power BI Premium e Domande frequenti su Power BI Premium.
L'obiettivo di questo tipo di criteri DLP è quello di informare gli utenti e gli amministratori della posizione in cui vengono archiviati i dati sensibili. I criteri DLP possono generare notifiche utente e avvisi di amministratore in base al tipo di informazione riservata, o alle etichette di riservatezza. Ad esempio, è possibile determinare se le informazioni sulla carta di credito o le informazioni personali (PII) vengono archiviate in un modello semantico.
Nota
Questo articolo si concentra sulla prevenzione della perdita dei dati per Power BI.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps è uno strumento che ha molte funzionalità. Alcuni criteri che possono essere configurati in Microsoft Defender per il cloud Apps (con integrazione con Microsoft Entra ID) includono DLP. Questi criteri possono bloccare, registrare o avvisare quando si verificano determinate attività utente. Ad esempio, quando un utente tenta di scaricare un report dal servizio Power BI a cui è stata assegnata un'etichetta di riservatezza Altamente Riservato, l'azione di download viene bloccata.
L'articolo Defender for Cloud Apps for Power BI illustra l'uso di Defender for Cloud Apps per il monitoraggio del servizio Power BI. La parte restante di questo articolo è incentrata sulla prevenzione della perdita dei dati per Power BI.
Importante
I criteri DLP per Power BI configurati nel portale di conformità di Microsoft Purview possono essere applicati solo per il contenuto archiviato in un'area di lavoro di Power BI Premium. Tuttavia, i criteri configurati in Defender for Cloud Apps non hanno un prerequisito di Power BI Premium simile. Le funzionalità, lo scopo e le azioni disponibili differiscono per i due set di strumenti. Per ottenere l'effetto massimo, si consiglia di usare entrambi i set di strumenti.
Prerequisiti per la prevenzione della perdita dei dati per Power BI
A questo scopo, è necessario aver completato i passaggi di pianificazione a livello di organizzazione descritti nell'articolo Protezione delle informazioni per Power BI. Prima di procedere, è necessario avere chiarezza su:
- Stato corrente: lo stato corrente della prevenzione della perdita dei dati nell'organizzazione. È necessario avere una conoscenza della misura in cui la prevenzione della perdita dei dati è già in uso e di chi sia il responsabile della relativa gestione.
- Obiettivi e requisiti: gli obiettivi strategici per l'implementazione della prevenzione della perdita dei dati nell'organizzazione. Comprendere gli obiettivi e i requisiti permetterà di seguire le attività di implementazione.
In genere, si implementa la protezione delle informazioni (descritta nell'articolo Protezione delle informazioni per Power BI) prima di implementare la DLP. Tuttavia, questo non è un prerequisito per l'uso della prevenzione della perdita dei dati per Power BI. Se vengono pubblicate le etichette di riservatezza, possono essere usate con DLP per Power BI. È anche possibile usare tipi di informazioni riservate con DLP per Power BI. Entrambi i tipi sono descritti in questo articolo.
Decisioni e azioni principali
L'intenzione di un criterio DLP è configurare un'azione automatizzata, in base a regole e condizioni, sul contenuto che si intende proteggere. È necessario prendere alcune decisioni sulle regole e le condizioni che supporteranno gli obiettivi e i requisiti.
Il vantaggio di definire regole separate all'interno di un singolo criterio DLP è che è possibile abilitare avvisi personalizzati o notifiche utente.
Esiste una precedenza gerarchica da considerare nell'elenco dei criteri DLP, nonché nelle regole dei criteri DLP. La precedenza influirà sui criteri richiamati quando viene rilevato per primo.
Attenzione
Questa sezione non è da intendersi come un elenco esaustivo di tutte le possibili decisioni DLP per tutte le possibili applicazioni. Assicurarsi di collaborare con altri stakeholder e amministratori di sistema per prendere decisioni appropriate per tutte le applicazioni e i casi d'uso. Ad esempio, si consiglia di esaminare altri criteri DLP per proteggere i file di origine e i file esportati archiviati in OneDrive o SharePoint. Questo insieme di articoli si concentra solo sul contenuto nel servizio Power BI.
Tipo di dati sensibili
I criteri DLP per Power BI configurati nel portale di conformità di Microsoft Purview possono essere basati su un'etichetta di riservatezza o su un tipo di informazioni riservate.
Importante
Sebbene sia possibile assegnare etichette di riservatezza alla maggior parte dei tipi di elementi in Power BI, i criteri DLP descritti in questo articolo sono incentrati in modo specifico sui modelli semantici. Il modello semantico deve essere pubblicato in un'area di lavoro Premium.
Etichetta di riservatezza
È possibile usare le etichette di riservatezza per classificare il contenuto, da meno sensibili a più sensibili.
Quando viene richiamato un criterio DLP per Power BI, una regola di etichetta di riservatezza controlla i modelli semantici (pubblicati nel servizio Power BI) per la presenza di una determinata etichetta di riservatezza. Come descritto nell'articolo Protezione delle informazioni per Power BI, un'etichetta può essere assegnata da un utente o da un processo automatizzato (come, ad esempio, un'etichetta ereditata o un'etichetta predefinita).
Ecco alcuni esempi di quando è possibile creare una regola DLP basata su un'etichetta di riservatezza.
- Conformità alle normative: si ha un'etichetta di riservatezza riservata ai dati soggetti a un particolare requisito normativo. Si vuole generare un avviso per gli amministratori della sicurezza quando gli utenti assegnano tale etichetta di riservatezza a un modello semantico nel servizio Power BI.
- Promemoria per gli autori di contenuti sui dati riservati: si dispone di un'etichetta di riservatezza usata per i dati riservati. Si vuole generare una notifica utente quando un utente visualizza la pagina dei dettagli del modello semantico all'interno dell'hub dati nel servizio Power BI. Ad esempio, è possibile ricordare agli utenti come gestire in modo appropriato i dati riservati.
Altre considerazioni sulle notifiche e gli avvisi degli utenti sono descritte nella sezione successiva di questo articolo.
Elenco di controllo: quando si considerano le esigenze per le regole delle etichette di riservatezza, le decisioni e le azioni principali includono:
- Verificare lo stato corrente della protezione delle informazioni: assicurarsi che le etichette di riservatezza siano distribuite nell'organizzazione e che siano pronte per l'uso da parte dei criteri DLP.
- Compilare i casi d'uso per la prevenzione della perdita dei dati in base alle etichette di riservatezza: determinare quali etichette di riservatezza potrebbero trarre vantaggio dai criteri DLP. Prendere in considerazione gli obiettivi, le normative e i requisiti interni.
- Classificare in ordine di priorità l'elenco dei casi d'uso per la prevenzione della perdita dei dati in base alle etichette di riservatezza: discutere le priorità principali con il team. Identificare gli elementi da classificare in ordine di priorità nel piano di progetto.
Nota
I criteri DLP sono in genere automatizzati. Tuttavia, anche le azioni degli utenti responsabili svolgono un ruolo fondamentale nella protezione dei dati.
Per maggiori informazioni, vedere Protezione delle informazioni per Power BI (classificazione dei dati e criteri di protezione). Descrive un criterio di governance interno che fornisce indicazioni su ciò che gli utenti possono e non possono fare con il contenuto assegnato a una determinata etichetta di riservatezza.
Tipi di informazioni sensibili
Non tutti i tipi di dati sono uguali; alcuni tipi di dati sono intrinsecamente più sensibili di altri. Esistono diversi tipi di informazioni sensibili (SIT). A seconda del settore e dei requisiti di conformità, solo alcuni SIT saranno applicabili all'organizzazione.
Alcuni esempi comuni di SIT includono:
- Passaporto, previdenza sociale e numeri di patente di guida
- Numeri di conto bancario e routing
- Numeri di carta di credito e di debito
- Identificazione fiscale e numeri di ID nazionali
- Numeri della tessera sanitaria e informazioni mediche
- Indirizzi fisici
- Chiavi dell'account, password e stringhe di connessione del database
Suggerimento
Se i dati sensibili non hanno valore analitico, chiedersi se devono risiedere in un sistema analitico. Si consiglia di informare gli autori di contenuti per aiutarli a prendere decisioni valide sui dati da archiviare in Power BI.
I SIT sono classificatori basati su modelli. Cercheranno un criterio noto nel testo usando espressioni regolari.
Nel portale di conformità di Microsoft Purview sono disponibili molti SIT preconfigurati. Se soddisfano i requisiti, è consigliabile usare un SIT preconfigurato per risparmiare tempo. Si consideri il SIT preconfigurato numero di carta di credito: rileva i modelli corretti per tutti gli emittenti di carte principali, garantisce la validità del checksum e cerca una parola chiave pertinente in prossimità del numero di carta di credito.
Se i SIT preconfigurati non soddisfano le proprie esigenze o se si dispone di modelli di dati proprietari, si può creare un SIT personalizzato. Ad esempio, è possibile creare un SIT personalizzato in modo che corrisponda al modello del numero ID dipendente.
Dopo aver configurato il SIT, viene richiamato un criterio di prevenzione della perdita dei dati per Power BI quando viene caricato o aggiornato un modello semantico. In quel momento, una regola del tipo di informazioni sensibili verificherà i modelli semantici (nel servizio Power BI) per la presenza di tipi di informazioni riservate.
Ecco alcuni esempi di quando creare una regola DLP basata su un tipo di informazioni riservate.
- Conformità alle normative: si dispone di un tipo di informazioni riservate soggetto ai requisiti normativi. Si vuole generare un avviso per gli amministratori della sicurezza quando tale tipo di dati viene rilevato all'interno di un modello semantico nel servizio Power BI.
- Requisiti interni: si dispone di un tipo di informazioni sensibili che richiede una gestione speciale. Per soddisfare i requisiti interni, si vuole generare una notifica utente quando un utente visualizza le impostazioni del modello semantico o la pagina dei dettagli del modello semantico nell'hub dati (nel servizio Power BI).
Elenco di controllo: quando si considerano le esigenze per i tipi di informazioni riservate, le decisioni e le azioni principali includono:
- Compilare i casi d'uso per la prevenzione della perdita dei dati in base ai tipi di informazioni riservate: determinare quali tipi di informazioni riservate potrebbero trarre vantaggio dalla presenza di criteri DLP. Prendere in considerazione gli obiettivi, le normative e i requisiti interni.
- Testare i tipi di informazioni sensibili esistenti: collaborare con il team di sicurezza delle informazioni per verificare che i SIT preconfigurati soddisfino le proprie esigenze. Usare i dati di test per verificare che i modelli e le parole chiave siano stati rilevati correttamente.
- Creare tipi di informazioni sensibili personalizzati: se applicabile, collaborare con il team di sicurezza delle informazioni per creare SIT in modo che possano essere usati in DLP per Power BI.
- Classificare in ordine di priorità l'elenco dei casi d'uso: discutere le priorità principali con il team. Identificare gli elementi da classificare in ordine di priorità nel piano di progetto.
Notifiche utente
Dopo aver identificato i casi d'uso per la prevenzione della perdita dei dati con etichette di riservatezza e SIT, vedere cosa accade quando si verifica una corrispondenza di una regola DLP. In genere, l'utente riceve una notifica.
Le notifiche utente per i criteri di prevenzione della perdita dei dati sono note anche come suggerimenti per i criteri. Sono utili quando si vogliono fornire maggiori indicazioni e informazioni agli utenti durante il normale corso del loro lavoro. È più probabile che gli utenti leggano e assorbano le notifiche quando sono:
- Specifiche: quando il messaggio è correlato alla regola, la comprensione è più semplice.
- Eseguibili: offrire un suggerimento per le operazioni che l'utente deve eseguire o su come trovare ulteriori informazioni.
Per la prevenzione della perdita dei dati in Power BI, le notifiche utente compaiono nelle impostazioni del modello semantico. Vengono visualizzate anche nella parte superiore della pagina dei dettagli del modello semantico nell'hub dati, come illustrato nello screenshot seguente. In questo caso, la notifica dice: questi dati contengono carte di credito. Questo tipo di dati non è consentito in Power BI in base ai criteri di classificazione, protezione e utilizzo dei dati.
È possibile definire una o più regole per ogni criterio DLP. Ogni regola può opzionalmente avere un suggerimento per i criteri diverso che verrà visualizzato agli utenti.
Si consideri l'esempio seguente di come è possibile definire criteri DLP per rilevare i dati finanziari archiviati all'interno di modelli semantici nel servizio Power BI. I criteri DLP usano i SIT e hanno due regole.
- Regola 1: la prima regola rileva i numeri di carta di credito. Il testo personalizzato del suggerimento per i criteri dice: questi dati contengono numeri di carta di credito. Questo tipo di dati non è consentito in Power BI per la classificazione dei dati e i criteri di protezione.
- Regola 2: la seconda regola rileva i conti finanziari. Il testo personalizzato del suggerimento per i criteri dice: questi dati contengono informazioni finanziarie riservate. Richiede l'uso dell'etichetta Altamente Riservato. Per i requisiti per l’archiviazione dei dati finanziari, fare riferimento alla classificazione dei dati e ai criteri di protezione.
La regola 1 è più urgente della regola 2. La regola 1 ha lo scopo di comunicare l’esistenza di un problema che richiede un'azione. La seconda regola è più informativa. Per problemi urgenti, è consigliabile configurare gli avvisi. Gli avvisi per gli amministratori sono descritti nella sezione successiva.
Quando si decide quali notifiche devono ricevere gli utenti, è consigliabile concentrarsi sulla visualizzazione solo di notifiche estremamente importanti. Gli utenti potrebbero ricevere un numero elevato di notifiche sui criteri. Il rischio è che alcune di queste notifiche vengano ignorate.
Gli utenti possono intervenire segnalando un problema quando ritengono che si tratti di un falso positivo (identificato in modo errato). È anche possibile permettere all'utente di eseguire l'override del criterio. Queste funzionalità consentono la comunicazione tra gli utenti di Power BI e gli amministratori della sicurezza che gestiscono la prevenzione della perdita dei dati per Power BI.
Elenco di controllo: quando si valutano le notifiche utente DLP, le decisioni e le azioni principali includono:
- Decidere quando sono necessarie le notifiche utente: per ogni regola DLP che si intende creare, valutare se è necessaria una notifica utente personalizzata.
- Creare suggerimenti per i criteri personalizzati: per ogni notifica, definire il messaggio da mostrare agli utenti. Decidere la correlazione del messaggio con la regola DLP, in modo che sia specifica e praticabile.
Avvisi dell'amministratore
L'invio di avvisi è utile per determinate regole DLP quando si vuole tenere traccia degli incidenti nel momento in cui si verifica una violazione dei criteri. Quando si definiscono le regole dei criteri di prevenzione della perdita dei dati, valutare se devono essere generati degli avvisi.
Suggerimento
Gli avvisi sono pensati per richiamare l'attenzione dell’amministratore su determinate situazioni. Sono più adatti quando si intende analizzare e risolvere attivamente gli avvisi importanti. Tutte le corrispondenze delle regole DPS sono disponibili in Esplora attività nel portale di conformità di Microsoft Purview.
Gli avvisi sono utili quando si vuole:
- Informare gli amministratori della sicurezza e della conformità che si è verificato un evento, tramite la dashboard di gestione degli avvisi DLP. In alternativa, è possibile inviare un messaggio di posta elettronica a un gruppo specifico di utenti.
- Per un evento che si è verificato, vedere altri dettagli.
- Assegnare un evento per ulteriori analisi.
- Gestire lo stato di un evento o aggiungere dei commenti.
- Visualizzare gli altri avvisi generati per l'attività dallo stesso utente.
Ogni avviso può essere definito da un livello di gravità, che può essere basso, medio o alto. Il livello di gravità consente di classificare in ordine di priorità la revisione degli avvisi aperti.
Di seguito, sono riportati due esempi di come usare gli avvisi.
Esempio 1: è stato definito un criterio di prevenzione della perdita dei dati per rilevare i dati finanziari archiviati nei modelli semantici nel servizio Power BI. I criteri di prevenzione della perdita dei dati usano tipi di informazioni riservate. Ha due regole.
- Regola 1: questa regola rileva i numeri di carta di credito. L'invio di avvisi è abilitato con una gravità elevata. Viene generato anche un messaggio di posta elettronica.
- Regola 2: questa regola rileva i conti finanziari. L'invio di avvisi è abilitato con una gravità elevata.
Esempio 2: è stato definito un criterio DLP che viene richiamato quando l'etichetta di riservatezza dei Membri del Comitato Esecutivo/Altamente Riservato e del Consiglio di Amministrazione viene assegnata a un modello semantico nel servizio Power BI. Non genera una notifica utente. In questo caso, se si vuole solo registrare l'occorrenza, non è necessario generare un avviso. Se necessario, è possibile ottenere altre informazioni da Esplora attività.
Quando è necessario un avviso di posta elettronica, è consigliabile usare un gruppo di sicurezza abilitato alla posta elettronica. Ad esempio, è possibile usare un gruppo denominato Avvisi di amministratore della sicurezza e della privacy.
Suggerimento
Inoltre, le regole DLP per Power BI vengono controllate ad ogni caricamento o aggiornamento di un modello semantico. Ciò significa che è possibile generare un avviso ogni volta che il modello semantico viene aggiornato. Gli aggiornamenti dei dati regolari o frequenti possono comportare un numero eccessivo di eventi e avvisi registrati.
Elenco di controllo: quando si considerano gli avvisi DLP per gli amministratori, le decisioni e le azioni principali includono:
- Decidere quando sono necessari gli avvisi: per ogni regola DLP che si intende creare, determinare le situazioni che giustificano l'uso degli avvisi.
- Chiarire ruoli e responsabilità: determinare le aspettative e le azioni specifiche che devono essere eseguite quando viene generato un avviso.
- Determinare chi riceverà gli avvisi: decidere quali amministratori di sicurezza e conformità gestiranno gli avvisi aperti. Verificare che le autorizzazioni e i requisiti di licenza siano soddisfatti per ogni amministratore che userà il portale di conformità di Microsoft Purview.
- Creare gruppi di posta elettronica: se necessario, creare nuovi gruppi di sicurezza abilitati alla posta elettronica per gestire gli avvisi.
Aree di lavoro nell'ambito
I criteri di prevenzione della perdita dei dati per Power BI configurati nel portale di conformità di Microsoft Purview sono destinati ai modelli semantici di destinazione. In particolare, supporta l'analisi di modelli semantici pubblicati in un'area di lavoro Premium.
È possibile configurare i criteri di prevenzione della perdita dei dati per analizzare tutte le aree di lavoro Premium. Facoltativamente, è possibile includere o escludere aree di lavoro specifiche. Ad esempio, si possono escludere determinate aree di lavoro di sviluppo o test considerate più a basso rischio (in particolare se non contengono dati di produzione reali). In alternativa, è possibile creare criteri separati per determinate aree di lavoro di sviluppo o test.
Suggerimento
Se si decide che solo un subset delle aree di lavoro Premium verrà incluso per la prevenzione della perdita dei dati, prendere in considerazione il livello di manutenzione. Le regole DLP sono più facili da gestire quando vengono incluse tutte le aree di lavoro Premium. Se si decide di includere solo un subset di aree di lavoro Premium, assicurarsi di disporre di un processo di controllo, in modo da poter identificare rapidamente se manca una nuova area di lavoro nei criteri di prevenzione della perdita dei dati.
Per altre informazioni sull'area di lavoro, vedere gli articoli sulla pianificazione dell'area di lavoro.
Elenco di controllo: quando si considerano le aree di lavoro da includere nell'ambito DLP, le decisioni e le azioni principali includono:
- Decidere quali aree di lavoro Premium devono avere la prevenzione della perdita dei dati: valutare se i criteri di prevenzione della perdita dei dati devono influire su tutte le aree di lavoro di Power BI Premium o solo su un sottoinsieme.
- Creare la documentazione per le assegnazioni di aree di lavoro: se applicabile, documentare le aree di lavoro soggette alla prevenzione della perdita dei dati. Includere i criteri e i motivi per cui le aree di lavoro sono incluse o escluse.
- Correlare le decisioni DLP con la governance dell'area di lavoro: se applicabile, aggiornare la documentazione sulla governance dell'area di lavoro per includere informazioni dettagliate sulla gestione della prevenzione della perdita dei dati.
- Prendere in considerazione altri percorsi di file importanti: oltre al servizio Power BI, determinare se è necessario creare altri criteri DLP per proteggere i file di origine e i file esportati archiviati in OneDrive o SharePoint.
Requisiti di licenza
Per usare la prevenzione della perdita dei dati, esistono diversi requisiti di licenza. È necessaria una licenza di Microsoft Purview Information Protection per gli amministratori che configureranno, gestiranno e sovrintenderanno alla prevenzione della perdita dei dati. È possibile che tali licenze siano già disponibili, poiché sono incluse nelle suite di licenze, come Microsoft 365 E5. In alternativa, è possibile acquistare funzionalità di Microsoft 365 E5 Compliance come licenza autonoma.
Inoltre, i criteri DLP per Power BI richiedono Power BI Premium. Questo requisito di licenza può essere soddisfatto con una capacità Premium o una licenza Premium per utente (PPU).
Suggerimento
Se sono necessari chiarimenti sui requisiti di licenza, rivolgersi al team dell'account Microsoft. La licenza Microsoft 365 E5 Compliance include funzionalità DLP aggiuntive che non rientrano nell'ambito di questo articolo.
Elenco di controllo: quando si valutano i requisiti di licenza DLP, le decisioni e le azioni principali includono:
- Esaminare i requisiti di licenza dei prodotti: assicurarsi di avere esaminato tutti i requisiti di licenza.
- Esaminare i requisiti di licenza Premium: verificare che le aree di lavoro da configurare per DLP siano aree di lavoro Premium.
- Acquistare licenze aggiuntive: se applicabile, acquistare altre licenze per sbloccare le funzionalità che si intende usare.
- Assegnare licenze: assegnare una licenza a ognuno degli amministratori di sicurezza e conformità che ne avranno bisogno.
Documentazione e formazione degli utenti
Prima di distribuire DLP per Power BI, è consigliabile creare e pubblicare la documentazione degli utenti. Una pagina di SharePoint o una pagina wiki nel portale centralizzato possono essere ideali in quanto sono facili da gestire. Anche un documento caricato in una raccolta condivisa o in un sito di Teams è un buon approccio.
L'obiettivo della documentazione è quello di fornire un'esperienza utente senza problemi. La preparazione della documentazione utente consentirà anche di accertarsi di aver preso in considerazione tutti gli elementi.
Includere informazioni su chi contattare quando gli utenti hanno domande o problemi tecnici. Poiché la protezione delle informazioni è un progetto a livello di organizzazione, il supporto viene spesso fornito dal reparto IT.
Le domande frequenti e gli esempi sono particolarmente utili per la documentazione degli utenti.
Suggerimento
Per maggiori informazioni, vedere Protezione delle informazioni per Power BI (classificazione dei dati e criteri di protezione). Descrive i suggerimenti per la creazione di criteri di classificazione e protezione dei dati in modo che gli utenti comprendano cosa possono e non possono fare con le etichette di riservatezza.
Elenco di controllo: quando si preparano la documentazione e il training degli utenti, le decisioni e le azioni principali includono:
- Aggiornare la documentazione per i creatori e i consumatori di contenuti: aggiornare le domande frequenti e gli esempi in modo da includere indicazioni pertinenti sui criteri DLP.
- Pubblicare la Richiesta supporto: assicurarsi che gli utenti sappiano come ottenere assistenza quando riscontrano qualcosa di imprevisto o che non capiscono.
- Determinare se sia necessario un training specifico: creare o aggiornare il training utente per includere informazioni utili, soprattutto se è necessario un requisito normativo.
Supporto per gli utenti
È importante verificare chi sarà responsabile del supporto utente. È comune che la prevenzione della perdita dei dati sia supportata da un help desk IT centralizzato.
Potrebbe essere necessario creare linee guida per l'help desk (talvolta noto come runbook). Potrebbe anche essere necessario eseguire sessioni di trasferimento delle informazioni per assicurarsi che l'help desk sia pronto per rispondere alle richieste di supporto.
Elenco di controllo: quando ci si prepara per la funzione di supporto degli utenti, le decisioni e le azioni principali includono:
- Identificare chi fornirà supporto agli utenti: quando si definiscono ruoli e responsabilità, bisogna anche prevedere come gli utenti riceveranno assistenza per i problemi relativi alla prevenzione della perdita dei dati.
- Assicurarsi che il team di supporto utenti sia pronto: creare la documentazione e condurre sessioni di trasferimento delle informazioni per assicurarsi che l'help desk sia pronto per supportare la prevenzione della perdita dei dati.
- Comunicare tra i team: discutere le notifiche degli utenti e il processo per risolvere gli avvisi DLP con il team di supporto, nonché gli amministratori di Power BI e il Centro di eccellenza. Assicurarsi che tutti gli utenti coinvolti siano preparati per le potenziali domande degli utenti di Power BI.
Riepilogo dell'implementazione e dei test
Dopo aver preso le decisioni e aver soddisfatto i prerequisiti, è ora possibile implementare e testare la prevenzione della perdita dei dati per Power BI.
I criteri DLP per Power BI vengono configurati nel portale di conformità di Microsoft Purview (noto in precedenza come Centro conformità Microsoft 365) nell'interfaccia di amministrazione di Microsoft 365.
Suggerimento
Il processo di configurazione della prevenzione della perdita dei dati per Power BI nel portale di conformità di Microsoft Purview prevede un solo passaggio, anziché due, per configurare i criteri. Questo processo è diverso da quando si configura la protezione delle informazioni nel portale di conformità di Microsoft Purview (descritto nell'articolo Protezione delle informazioni per Power BI). In quel caso, bisognava seguire due passaggi distinti per configurare l'etichetta e pubblicare un criterio di etichetta. In questo caso, per la prevenzione della perdita dei dati, è presente un solo passaggio nel processo di implementazione.
L'elenco di controllo seguente include un elenco riepilogato dei passaggi di implementazione end-to-end. Molti dei passaggi includono altri dettagli illustrati nelle sezioni precedenti di questo articolo.
Elenco di controllo: quando si implementa DLP per Power BI, le decisioni e le azioni principali includono:
- Verificare lo stato attuale e gli obiettivi: assicurarsi di avere ben chiaro lo stato attuale della prevenzione della perdita dei dati per l'uso con Power BI. Tutti gli obiettivi e i requisiti per l'implementazione della DLP devono essere chiari e attivamente usati per guidare il processo decisionale.
- Prendere decisioni: rivedere e discutere tutte le decisioni necessarie. Questa attività deve essere eseguita prima di configurare qualsiasi elemento nell'ambiente di produzione.
- Esaminare i requisiti di licenza: assicurarsi di comprendere i requisiti di licenza dei prodotti e delle licenze utente. Procurarsi e assegnare più licenze, se necessario.
- Pubblicare la documentazione dell'utente: pubblicare le informazioni che dovranno rispondere alle domande e chiarire le aspettative degli utenti. Fornire indicazioni, comunicazioni e formazione agli utenti, in modo che siano preparati.
- Creare criteri DLP: nel portale di conformità di Microsoft Purview, creare e configurare i criteri DLP. Fare riferimento a tutte le decisioni prese in precedenza per la configurazione delle regole DLP.
- Eseguire test iniziali: eseguire un set iniziale di test per verificare che tutto sia correttamente configurato. Usare la modalità di test con alcuni dati di esempio, per determinare se tutto si comporta come previsto, riducendo al minimo l'impatto sugli utenti. Usare inizialmente un piccolo sottogruppo di aree di lavoro Premium. È consigliabile usare un tenant non di produzione quando si ha accesso a uno.
- Raccogliere feedback degli utenti: ottenere feedback sul processo e sull'esperienza utente. Identificare le aree confuse o i risultati imprevisti con tipi di informazioni sensibili e altri problemi tecnici.
- Continuare le versioni iterative: aggiungere gradualmente altre aree di lavoro Premium ai criteri DLP, fino a quando non vengono incluse tutte.
- Monitorare, ottimizzare e regolare: investire risorse per un controllo frequente degli avvisi e dei log di controllo corrispondenti ai criteri. Analizzare i falsi positivi e regolare i criteri, quando necessario.
Suggerimento
Questi elementi dell'elenco di controllo sono riepilogati a scopo di pianificazione. Per altri dettagli su questi elementi dell'elenco di controllo, vedere le sezioni precedenti di questo articolo.
Per altri passaggi da eseguire oltre all’implementazione iniziale, vedere Defender for Cloud Apps with Power BI.
Monitoraggio continuo
Dopo aver completato l'implementazione, monitorare, applicare e regolare i criteri di prevenzione della perdita dei dati in base al loro utilizzo.
Gli amministratori e gli amministratori di sicurezza e conformità di Power BI dovranno collaborare occasionalmente. Per il contenuto di Power BI, sono disponibili due gruppi di destinatari per il monitoraggio.
- Amministratori di Power BI: viene registrata una voce nel log attività di Power BI ogni volta che è presente una corrispondenza con una regola DLP. La voce del log attività Power BI registra i dettagli dell'evento DLP, tra cui utente, data e ora, nome dell'elemento, area di lavoro e capacità. Include anche informazioni sui criteri, ad esempio il nome del criterio, il nome della regola, la gravità e la condizione corrispondente.
- Amministratori di sicurezza e conformità: gli amministratori di sicurezza e conformità dell'organizzazione useranno in genere report, avvisi e log di controllo di Microsoft Purview.
Avviso
Il monitoraggio per i criteri di Power BI per la prevenzione della perdita dei dati non si verifica in tempo reale, poiché la generazione dei log e degli avvisi da parte di DLP richiede tempo. Se l'obiettivo è l'applicazione in tempo reale, vedere Defender for Cloud Apps per Power BI (criteri in tempo reale).
Elenco di controllo: quando si monitora la prevenzione della perdita dei dati per Power BI, le decisioni e le azioni principali includono:
- Verificare ruoli e responsabilità: assicurarsi di essere chiari su chi è responsabile di quali azioni. Informare e comunicare con gli amministratori di Power BI o gli amministratori della sicurezza, se saranno direttamente responsabili di alcuni aspetti del monitoraggio DLP.
- Creare o convalidare il processo per l'attività di revisione: assicurarsi che gli amministratori di sicurezza e conformità abbiano chiare aspettative per quanto riguarda la revisione regolare dell'Esplora attività.
- Creare o convalidare il processo per la risoluzione degli avvisi: assicurarsi che gli amministratori di sicurezza e conformità dispongano di un processo per analizzare e risolvere gli avvisi DLP quando si verifica una corrispondenza dei criteri.
Suggerimento
Per altre informazioni sul controllo, vedere Controllo della protezione delle informazioni e prevenzione della perdita dei dati per Power BI.
Contenuto correlato
Nell'articolo successivo di questa serie, vengono fornite informazioni sull'uso di Defender for Cloud Apps con Power BI.