Säkra upp er Power BI-tenant med Purview och Defender for Cloud Apps

Många organisationer har börjat att säkra upp sin OneDrive där alla dokument hos organisationen finns. Detta har ofta drivits av införandet M365 Co-Pilot som effektivt påvisat att organisationer inte hade säkrat sina dokument. Det vi nu ser är att många organisationer börjat nyttja Microsoft Purview för datastyrning och dataklassificiering.

Det är inte bara dokument som behöver säkras utan även data i databaser, storage account, OneLake samt data lagrat i Power BI:s semantiska modeller. I den här bloggen kommer vi att fokusera på att säkra upp Power BI-tenanten, men arbetssättet är liknande för OneLake-databaser.

Säkra data i Power BI

I Power BI finns det mycket man kan göra för att säkra data i semantiska modeller. Vi rekommenderar att börja med att:

·      Införa RLS (Radsäkerhet) och eventuellt OLS(Kolumn/Objekt säkerhet) på en semantisk modell.

·      Tänka till hur man delar accesser till arbetsytor som Administratör/Medlem/Deltagare/Läsare eller helst till de flesta enbart via en Power BI App.

·      Tänka till hur man tilldelar accesser till semantiska modeller med Read/Build/Share/Skriv.

·      Se över delinställningar på semantiska modeller kring klassificering och extern delning.

Microsoft Purview & Power BI

Trots att mycket kan göras för att säkra data direkt i Power BI sker ett otroligt lyft när Purview också nyttjas. Här fokuserar vi på Microsoft Purview Information Protection och dess Data Loss Prevention (DLP)-funktioner.

Det viktigaste du ska definiera i Microsoft Purview kopplatmot Power BI är följande:

• Information     Types: Välj vilka datatyper som ska skyddas (t.ex. personnummer, IBAN,     e‑postadresser).
• Känslighetsetiketter: Koppla policyer till Purview‑etiketter   (t.ex. Confidential, Highly Confidential).

‍

Detta gör att semantiska modeller och rapporter som bäretiketten automatiskt omfattas av DLP‑regler.

Exempel på DLP-policys som kan definieras är:

·      Aktivitetspolicy: Blockera extern delningav “Confidential”

·      Session control: Visa men blockera export/print för “Confidential”

·      Aktivitetspolicy: Stoppa PBIX nedladdning för “Highly Confidential”

 Självfallet kan man undanta vissa servicekonton och eventuella specifika analytikergrupper från policyn i de fall det krävs.

Öka säkerheten ytterligare med Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps kan övervaka och kontrollera åtkomst, aktivitet och datadelning kring Power BI‑semantiska modeller. På så sätt kan du identifiera säkerhetsrisker som obehörig åtkomst, dataläckage eller misstänkt användarbeteende.

Microsoft Defender for Cloud Apps har inbyggda detektioner som kan identifiera ovanliga mönster, t.ex. massnedladdningar av dataset eller åtkomst från ovanliga geografiska platser samt gör Label-specifika controller på DLP-regler definierade via Purview.

Exempel på användning av Microsoft Defender for Cloud Apps i kombination med Purview.

Scenario 1: En semantisk modell innehåller finansiella data.

• Du kan sätta en policy som blockerar export av rapporter baserade på denna modell om användaren inte uppfyller MFA‑krav.

Scenario 2: En användare försöker dela en rapport medextern partner.

• Defender for Cloud Apps kan stoppa delningen i realtid och generera en alert till administratören.

Scenario 3: Ovanlig åtkomst från en ny plats

• Systemet kan flagga detta som risk och kräva ytterligare verifiering innan åtkomst till semantiska modeller ges.

Sammanfattningsvis är vår rekommendation till alla organisationer som vill arbeta datadrivet på ett säkert och hållbart sätt att börja använda Microsoft Purview och Data Loss Prevention i kombination med Defender for Cloud Apps. Tillsammans ger de det skydd, den insyn och den styrning som krävs för att kunna analysera och använda data kreativt utan att kompromissa med säkerheten. Genom att tidigt etablera dessa verktyg lägger man grunden för en modern, trygg och ansvarstagande datahantering – något som är helt avgörande i dagens digitala landskap.

‍