In Unternehmen gibt es oft unzählige Data-Governance-Vorgaben. Diese beinhalten Regeln zu Datenschutz, bezüglich dem Download von Daten und anderen ähnlichen Themen. Die Einführung eines Informations- oder Data-Analytics-Self-Service Portals wie z.B. Microsoft Power BI (und dann auch noch in der Cloud!) könnte – so mindestens ein erster Gedanke – viele dieser Regeln aufbrechen. Dass Power BI unzählige diesbezügliche Konfigurationsmöglichkeiten bietet, um die Self-Service Landschaft mit einer entsprechenden Governance zu unterlegen, ist vielen Anwendern und auch einigen Administratoren nicht bekannt.
Dass Sie bezüglich Governance im Power BI Service die Zügel selbst in der Hand haben, zeige ich Ihnen in diesem Artikel gerne am Beispiel der wichtigsten Mandanteneinstellungen (engl. Tenant Settings) auf dem Power BI Service auf. Auch für erfahrene Power BI Administratoren und Entwickler lohnt es sich, sich die umfangreichen Mandanteneinstellungen genauer anzusehen und sich mit deren Bedeutung und Funktionen auseinanderzusetzen. So ist es möglich, durch Zulassen oder Deaktivieren gewisser Funktionen den Service granular an die Governance-Bedürfnisse der Organisation anzupassen.
Sie möchten Ihren Benutzern die Möglichkeit geben, Daten herunterzuladen, jedoch das CSV-Format soll gesperrt bleiben? Diese Governance-Regel können Sie über die Mandanteneinstellungen einrichten. Haben Sie höchst sensitive Daten, welche das Unternehmensnetzwerk nicht verlassen dürfen? Dann können Sie den öffentlichen Internetzugriff blockieren. Diese und weitere Tipps hinsichtlich Usability und Governance sowie die Voraussetzungen für deren Umsetzung präsentiere Ich Ihnen gerne in diesem Artikel. Natürlich passen nicht alle Konfigurationsmöglichkeiten in diesen Artikel, deshalb zeige ich Ihnen ausgewählte Funktionalitäten exemplarisch auf.
Voraussetzungen
Die hier vorgestellten Funktionen gelten für Power BI Premium und Power BI Pro, also die Lizenzierungsformen des Power BI Cloud Service. Die Funktionen sind jedoch nicht für den Power BI Report Server, die On-Premise Variante von Power BI, verfügbar. Damit auf die Tenant Settings des Power BI Service zugegriffen werden kann, benötigt der User eine Administratorenrolle mit Admin Center-Zugriff, die Rolle des sogenannten «Power BI Administrator». Weitere Informationen dazu finden Sie hier.
Wenn Sie innerhalb von Power BI zu den Mandanteneinstellungen navigieren, dann erhalten Sie folgende Übersicht:
Das Tool wird laufend weiterentwickelt und so kommen fast wöchentlich neue Features dazu. Es ist also lohnenswert, sich von Zeit zu Zeit wieder auf den neusten Stand zu bringen. Ich werde Ihnen hier die aktuell interessantesten Einstellungen aufzeigen.
Usability
Bevor ich auf die Governance-Themen eingehe, möchte ich Ihnen eine Funktionalität in den Mandanteneinstellungen näherlegen, welche die Usability des Power BI Service für den Benutzer erheblich verbessert und damit auch die Power BI Administratoren entlastet.
Hilfe- und Supporteinstellungen
Sie möchten Ihren Nutzern eine Dokumentation zur Verfügung stellen, ein Diskussionsforum oder den internen Help Desk als erste Anlaufstelle anzeigen? Passen Sie die Hilfe- und Supporteinstellungen an Ihre Bedürfnisse an und erleichtern Sie den Benutzern die Arbeit mit Power BI:
Nach dem die entsprechende URL hinterlegt wurde, kann beim Aufruf des «Get help» Buttons so z.B. Ihr firmeninterner IT-Helpdesk kontaktiert werden (statt des standardmässigen Aufrufs der Microsoft-Seite).
Governance
Workspace Settings
Als Administrator gilt es, den Überblick über die Power BI Umgebung zu behalten. Dies gestaltet sich z.B. dann schwierig, wenn bezüglich Workspace-Erstellung (noch) keine klaren Richtlinien gelten. So entsteht oft schnell ein Wildwuchs an Workspaces und sowohl Benutzer als auch Administrator haben unter Umständen keine Kontrolle mehr über Notwendigkeit und Qualität der Workspaces und deren Inhalte.
Um das unkontrollierte Erstellen neuer Workspaces zu verhindern, kann die Option «Create workspaces» deaktiviert oder auf spezifische Active Directory Sicherheitsgruppen eingeschränkt werden:
So gewinnen Sie mehr Übersichtlichkeit und können die Unternehmensvorgaben bezüglich der Organisation (Abteilungen, Departemente, etc.) auch in den Workspaces umsetzen.
Information Protection
Power BI ermöglicht das Anwenden von Vertraulichkeitsbezeichnungen (sensitivity labels) auf Power BI Inhalten. Die Labels können auf Datasets, Reports, Dashboards und Dataflows angewandt werden und werden auch beim Exportieren (z.B. nach Excel oder Power Point) weitergegeben. So bleiben die Daten auch dann geschützt, wenn sie Power BI verlassen. Der Zugriff auf sensitive Daten und ungewöhnliche Vorgänge können im Admin Portal eingesehen werden. Falls Sie sich für das Thema Information Protection in Power BI interessieren, empfehle ich Ihnen das folgende 2-minütige Video. Weitere Informationen finden Sie ausserdem hier.
Zu beachten gilt jedoch, dass es einer Azure Information Protection Lizenz bedarf, um die Funktionen zur Information Protection nutzen zu können (Quelle: Microsoft).
Export und Freigabe
Die Einstellungen zu Export und Freigabe geben den Administratoren die Möglichkeit, die Verwendung des Power BI Contents detailliert zu steuern. So kann darüber entschieden werden, ob der Benutzer Berichte im Web veröffentlichen, Berichte herunterladen, oder Daten und Berichte nach Excel/CSV/Word/XML exportieren darf. Auch E-Mail-Abonnements und das Teilen in Teams kann gesteuert werden. Diese Funktionen können einzeln aktiviert oder deaktiviert oder einzelnen Sicherheitsgruppen freigegeben werden. Es ist empfehlenswert, sich über die Folgen einer Aktivierung oder Deaktivierung dieser Funktionen gründlich zu informieren. So ist beispielsweise nicht überall eine implementierte Row-Level Security gewährleistet.
Endorsement
Interessant könnte für Sie auch die Endorsement-Funktion sein. Power BI ermöglicht es Ihnen nämlich, Datasets, Dataflows, Berichte und Apps höherzustufen oder zu zertifizieren und den Benutzern somit eine Einstufung der Qualität mitzugeben.
Die erste Stufe des Endorsements, die Höherstufung, kann von jedem Inhaltsbesitzer oder Benutzer mit Schreibrechten vorgenommen werden. Diese klassifiziert einen Power BI Inhalt als qualitativ gut und bereit für das Teilen innerhalb der Organisation. So können Inhalte, die noch in Arbeit sind von einsatzbereiten Inhalten unterschieden werden.
Eine Zertifizierung ist die zweite und höchste Stufe des Endorsements und ist der vom Power BI-Administrator definierten Benutzergruppe vorenthalten. Die Zertifizierung signalisiert zuverlässigen Inhalt, der den Qualitätsstandards der Organisation entspricht.
Geheimtipp: Nutzungsmetriken
Um einen Anhaltspunkt über das Nutzungsverhalten der User zu haben, empfehle ich Ihnen, die Nutzungsmetriken Ihrer Dashboards und Berichte anzuschauen. Vielleicht ergeben sich dort zusätzlich zu den darunterliegenden Berichten weitere interessante Erkenntnisse. Welcher Inhalt interessiert welche Benutzer? Und welche Inhalte bedürfen einer Überarbeitung oder besserer Sichtbarkeit auf dem Portal?
Auch die Verfügbarkeit der Nutzungsmetriken können Sie über die Mandanteneinstellungen für gewisse Sicherheitsgruppen oder die ganze Unternehmung aktivieren oder deaktivieren.
Und wenn Ihnen die Standardauswertung nicht alle gewünschten Kennzahlen liefert oder Sie gerne eine andere Darstellung hätten, können Sie durch Abspeichern einer Kopie des Berichts diesen direkt auf dem Power BI Service bearbeiten.
Überwachungsprotokolle
Auch fürs interne Auditing und Compliance bietet Power BI das nötige Rüstzeug mit entsprechenden Audit Logs.
Diese können Sie nach entsprechender Aktivierung im Admin Portal unter «Audit logs» aufrufen.
Wie die Audit Logs im Microsoft 365 Admin Center aussehen könnten und weitere Informationen dazu finden Sie hier.
Öffentlichen Internetzugriff blockieren
Power BI ermöglicht es Ihnen ausserdem, den öffentlichen Internetzugriff auf Ihren Power BI-Mandanten zu blockieren. Dies bietet in einem gewissen Unternehmensumfeld den nötigen zusätzlichen Schutz.
Fazit
Wie zu Beginn erwähnt, gibt es natürlich die Möglichkeit, eine Power BI Instanz ohne Governance-Regeln laufen zu lassen oder lediglich ein minimales Set an Regeln zu implementieren. Wichtig ist jedoch, dass wie bei Vielem auch hier gilt: Je länger damit zugewartet wird, desto mehr Aufwand ergibt sich bei der späteren Umsetzung. Endbenutzer gewöhnen sich rasch an etwas und eine Umgewöhnung oder das Durchsetzen neuer Regeln gestaltet sich danach schwierig.
Wir von IT-Logix unterstützen Sie als führender Schweizer Microsoft Power BI Partner gerne bei der Übertragung Ihrer Governance- und Monitoring-Anforderung auf Ihre Power BI Implementation. Uns ist wichtig, dass Ihre Datenschutz-, Usability- und weitere Anforderungen korrekt umgesetzt sind, damit Sie auch mittel- bis langfristig Freude an Ihrer BI und Data Analytics Umgebung haben und den erwarteten Nutzen daraus ziehen können.