Uso dei controlli Microsoft Defender for Cloud Apps in Power BI

  • Articolo

L'uso di Defender for Cloud Apps con Power BI consente di favorire la protezione di report, dati e servizi di Power BI da perdite o violazioni indesiderate. Con Defender for Cloud Apps, è possibile creare criteri di accesso condizionale per i dati della propria organizzazione, tramite controlli della sessione in tempo reale in Microsoft Entra ID, che contribuiscono a garantire la sicurezza dell'analisi in Power BI. Dopo aver impostato questi criteri, gli amministratori possono monitorare l'accesso e l'attività degli utenti, eseguire l'analisi dei rischi in tempo reale e impostare controlli specifici delle etichette.

Nota

Microsoft Defender for Cloud Apps fa ora parte di Microsoft Defender XDR. Per altre informazioni, vedere Microsoft Defender for Cloud Apps in Microsoft Defender XDR.

Screenshot della finestra Defender for Cloud Apps che mostra la pagina Catalogo app cloud con Power BI evidenziato.

È possibile configurare Defender for Cloud Apps per tutti i tipi di app e servizi, non solo per Power BI. È necessario configurare Defender for Cloud Apps per l'uso con Power BI per trarre vantaggio dalla tecnologia di protezione di Defender for Cloud Apps per i dati e l'analisi di Power BI. Per altre informazioni su Defender for Cloud Apps, tra cui una panoramica del funzionamento, il dashboard e i punteggi di rischio delle app, vedere la documentazione di Defender for Cloud Apps.

Licenze di Defender for Cloud Apps

Per usare Defender for Cloud Apps con Power BI, è necessario usare e configurare i servizi di sicurezza Microsoft pertinenti, alcuni dei quali sono impostati all'esterno di Power BI. Per avere Defender for Cloud Apps nel tenant, è necessario disporre di una delle licenze seguenti:

  • Microsoft Defender for Cloud Apps: offre le funzionalità di Defender for Cloud Apps per tutte le app supportate, che fanno parte delle famiglie di prodotti EMS E5 e Microsoft 365 E5.
  • Office 365 Cloud App Security: fornisce funzionalità di Defender for Cloud Apps solo per Office 365, parte della famiglia di prodotti Office 365 E5.

Configurare controlli in tempo reale per Power BI con Defender for Cloud Apps

Nota

Per trarre vantaggio dai controlli in tempo reale di Defender for Cloud Apps, è necessaria una licenza Microsoft Entra ID P1.

Le sezioni seguenti descrivono i passaggi per la configurazione dei controlli in tempo reale per Power BI con Defender for Cloud Apps.

Impostare i criteri di sessione in Microsoft Entra ID (obbligatorio)

I passaggi necessari per impostare i controlli della sessione vengono completati nei portali di Microsoft Entra ID e Defender for Cloud Apps. Nell'interfaccia di amministrazione di Microsoft Entra si creano criteri di accesso condizionale per Power BI e si instradano le sessioni usate in Power BI tramite il servizio Defender for Cloud Apps.

Defender for Cloud Apps funziona usando un'architettura di proxy inverso ed è integrato con l'accesso condizionale di Microsoft Entra per monitorare in tempo reale l'attività utente di Power BI. Sono riportati i passaggi per facilitare la comprensione del processo e collegamenti ad altri articoli con istruzioni dettagliate sulle operazioni da eseguire. Per una descrizione dell'intero processo, vedere Defender for Cloud Apps.

  1. Creare un criterio di test dell'accesso condizionale di Microsoft Entra
  2. Accedere a ogni app usando un utente con ambito ai criteri
  3. Verificare che le app siano configurate per l'uso di accessi e controlli della sessione
  4. Abilitare l'app per l'uso nell'organizzazione
  5. Testare la distribuzione

Il processo per l'impostazione dei criteri di sessione è descritto in dettaglio in Criteri di sessione.

È possibile definire criteri di rilevamento anomalie per Power BI che possono avere un ambito indipendente, in modo da essere applicati solo agli utenti e ai gruppi da includere ed escludere nei criteri. Per altre informazioni, vedere Criteri di rilevamento di anomalie.

Defender for Cloud Apps include due rilevamenti predefiniti dedicati per Power BI. Vedere Rilevamenti predefiniti di Defender for Cloud Apps per Power BI.

Le etichette di riservatezza consentono di classificare e proteggere contenuti sensibili per consentire agli utenti di un'organizzazione di collaborare con partner esterni, pur continuando a prestare attenzione ai contenuti e ai dati sensibili.

Per informazioni sul processo di utilizzo delle etichette di riservatezza per Power BI, vedere Etichette di riservatezza in Power BI. Vedere l'esempio più avanti in questo articolo di un criterio di Power BI basato sulle etichette di riservatezza.

Criteri personalizzati per segnalare attività utente sospette in Power BI

I criteri di attività di Defender for Cloud Apps consentono agli amministratori di definire le proprie regole personalizzate per rilevare il comportamento degli utenti che devia dalla norma e persino di agire automaticamente, se sembra troppo pericoloso. Ad esempio:

  • Rimozione massiccia di etichette di riservatezza. Ad esempio, avvisa l'utente quando le etichette di riservatezza vengono rimosse da un singolo utente da 20 report diversi in un intervallo di tempo inferiore a 5 minuti.

  • Crittografia del downgrade dell'etichetta di riservatezza. Ad esempio, avvisa l'utente quando un report con un'etichetta di riservatezza Altamente riservato è ora classificato come Pubblico.

Nota

Gli identificatori univoci (ID) degli artefatti e delle etichette di riservatezza di Power BI sono disponibili usando le API REST di Power BI. Vedere Ottenere modelli semantici o Ottenere report.

I criteri di attività personalizzati vengono configurati nel portale di Defender for Cloud Apps. Per altre informazioni, vedere Criteri attività.

Rilevamenti predefiniti di Defender for Cloud Apps per Power BI

I rilevamenti di Defender for Cloud Apps consentono agli amministratori di monitorare le attività specifiche di un'app monitorata. Per Power BI sono attualmente disponibili due rilevamenti dedicati di Defender for Cloud Apps:

  • Suspicious share (Condivisione sospetta): rileva quando un utente condivide un report sensibile con un messaggio di posta elettronica non noto (esterno all'organizzazione). Un report sensibile è un report la cui etichetta di riservatezza è impostata su INTERNAL-ONLY (SOLO USO INTERNO) o superiore.

  • Mass share of reports (Condivisione di massa dei report): rileva quando un utente condivide un notevole numero di report in un'unica sessione.

Le impostazioni per questi rilevamenti vengono configurate nel portale di Defender for Cloud Apps. Per altre informazioni, vedere Attività insolite (per utente).

Ruolo di amministratore Power BI in Defender for Cloud Apps

Quando si usa Defender for Cloud Apps con Power BI viene creato un nuovo ruolo per gli amministratori di Power BI. Quando si accede come amministratore di Power BI al portale di Defender for Cloud Apps, si ha accesso limitato a dati, avvisi, utenti a rischio, log attività e altre informazioni relative a Power BI.

Considerazioni e limitazioni

L'uso di Defender for Cloud Apps con Power BI è stato pensato per proteggere il contenuto e i dati di un'organizzazione, con funzionalità di rilevamento che consentono di monitorare le sessioni utente e le relative attività. Quando si usa Defender for Cloud Apps con Power BI, è necessario tenere presenti alcune considerazioni e limitazioni:

  • Defender for Cloud Apps può operare solo su file Excel, PowerPoint e PDF.
  • Se si vogliono usare le funzionalità delle etichette di riservatezza nei criteri di sessione per Power BI, è necessario disporre di una licenza Premium P1 o Premium P2 di Azure Information Protection. È possibile acquistare una licenza di Microsoft Azure Information Protection autonoma o inclusa in uno dei gruppi di licenze Microsoft. Per informazioni dettagliate, vedere Prezzi di Azure Information Protection. È inoltre necessario che agli asset di Power BI siano state applicate etichette di riservatezza.
  • Il controllo della sessione è disponibile per qualsiasi browser su tutte le principali piattaforme in qualsiasi sistema operativo. Ti consigliamo di utilizzare la versione più recente di Microsoft Edge, Google Chrome, Mozilla Firefox o Apple Safari. Le chiamate API pubbliche di Power BI e altre sessioni non basate su browser non sono supportate nel controllo della sessione di Defender for Cloud Apps. Per altre informazioni, vedere App e client supportati.
  • Se si verificano problemi di accesso, ad esempio è necessario accedere più volte, il fatto potrebbe essere correlato al modo in cui alcune app gestiscono l'autenticazione. Per altre informazioni, vedere l'articolo sulla risoluzione dei problemi Accesso lento.

Attenzione

Nella parte "Azione" dei criteri di sessione l'azione "Proteggi" funziona solo se all'elemento non è applicata alcuna etichetta. Se è già presente un'etichetta, l'azione "Proteggi" non verrà applicata. Non è possibile eseguire l'override di un'etichetta già applicata a un elemento in Power BI.

Esempio

L'esempio seguente mostra come creare nuovi criteri di sessione usando Defender for Cloud Apps con Power BI.

Per prima cosa, creare nuovi criteri di sessione. Nel portale di Defender for Cloud Apps selezionare Criteri nel riquadro di spostamento. Nella pagina criteri selezionare quindi Crea criteri e scegliere Criterio sessione.

Screenshot del pannello criteri di Defender for Cloud Apps con criteri, creazione di criteri e criteri di sessione evidenziati.

Nella finestra visualizzata creare i criteri di sessione. I passaggi numerati descrivono le impostazioni per l'immagine seguente.

  1. Dall'elenco a discesa Modello di criteri scegliere Nessun modello.

  2. Per Nome criteri specificare un nome pertinente per i criteri di sessione.

  3. Per Tipo di controllo della sessione selezionare Controlla il download dei file (con ispezione) (per DLP).

    Per la sezioneOrigine attività scegliere i criteri di blocco pertinenti. È consigliabile bloccare i dispositivi non gestiti e non conformi. Scegliere di bloccare i download quando la sessione è in Power BI.

    Screenshot della finestra Defender for Cloud App Security che mostra il pannello di configurazione Crea criteri di sessione.

    Quando si scorre verso il basso vengono visualizzate altre opzioni. L'immagine seguente mostra queste opzioni, con altri esempi.

  4. Creare un filtro per etichetta di riservatezza e scegliere Riservatezza elevata o qualsiasi approccio più adatto all'organizzazione.

  5. Impostare Metodo di ispezione su Nessuno.

  6. Scegliere l'opzione Blocca in base alle proprie esigenze.

  7. Creare un avviso per l'azione selezionata.

    Screenshot della finestra Defender for Cloud App Security che mostra le opzioni di configurazione dei criteri espanse.

  8. Selezionare Crea per completare i criteri di sessione.

    Screenshot della finestra Defender for Cloud App Security che mostra il pulsante Crea criteri di sessione.

Contenuto correlato

In questo articolo è stato illustrato come Defender for Cloud Apps può offrire funzionalità di protezione dei dati e del contenuto per Power BI. Per altre informazioni sulla protezione dei dati per Power BI e sul contenuto di supporto per i servizi di Azure che la permettono, vedere:

Per informazioni sugli articoli su Azure e sulla sicurezza, vedere: