Freigeben über


Geschützte Vertraulichkeitsbezeichnungen in Fabric und Power BI

Geschützte Bezeichnungen sind Vertraulichkeitsbezeichnungen, denen Datei-Schutzrichtlinien zugeordnet sind und die zum Schutz von Dateien und Daten verwendet werden können. Eine Datei-Schutzrichtlinie für eine Bezeichnung gewährt Benutzern Nutzungsrechte, z. B.,um eine Datei zu öffnen, eine Datei zu bearbeiten, aus einer Datei zu kopieren usw. Wenn eine geschützte Bezeichnung auf eine Datei oder ein Element angewendet wird, können Benutzer, die in der Richtlinie enthalten sind, die Aktionen ausführen, für die sie über die Nutzungsrechte für die Bezeichnungsrichtlinie verfügen. Eine Datei-Schutzrichtlinie kann verschiedenen Benutzergruppen unterschiedliche Gruppen von Nutzungsrechten gewähren. Beispielsweise kann unter der Richtlinie einer Gruppe von Benutzern vollen Zugriff auf die Datei gewährt werden, während einer andere Gruppe von Benutzern möglicherweise nur das Öffnen und Anzeigen der Datei gestattet ist.

Eine Reihe von Vertraulichkeitsbezeichnungen und Richtlinien ist eine Voraussetzung für die Verwendung von Vertraulichkeitsbezeichnungen in Fabric und Power BI. Die Bezeichnungen und ihre Datei-Schutzrichtlinien werden von Sicherheitsadministratoren im Microsoft Purview-Complianceportal definiert. In der Regel wird der gleiche Satz geschützter Bezeichnungen in einer Organisation für Office-Apps wie Word, Excel und PowerPoint sowie für Fabric und Power BI verwendet.

Funktionsweise geschützter Bezeichnungen in Fabric und Power BI

In Fabric und dem Power BI-Dienst steuern geschützte Bezeichnungen nur die Möglichkeit, Bezeichnungen für Elemente zu ändern oder zu entfernen. Der Zugriff auf Inhalte wird nicht gesteuert. Damit ein Benutzer eine geschützte Bezeichnung von einem Element ändern oder entfernen kann, muss der Benutzer entweder der Benutzer sein, der die Vertraulichkeitsbezeichnung angewendet hat (rmS-Besitzer) oder mindestens eine der folgenden Nutzungsrechte-Anforderungen für die Bezeichnung hat.

  • OWNER
  • EXPORT
  • EDIT und EDITRIGHTSDATA

Wenn die Bezeichnung für das Element über einen automatisierten Prozess festgelegt wurde, z. B. Vererbung aus Datenquellen oder nachgelagerter Vererbung, wird die dritte Option EDIT und EDITRIGHTSDATA auf nur EDIT reduziert. Weitere Details finden Sie unter Lockerungen zur Anpassung an automatische Bezeichnungsszenarien.

In Power BI Desktop steuern geschützte Bezeichnungen nicht nur die Möglichkeit, die geschützte Bezeichnung zu ändern oder zu entfernen, sondern auch den Zugriff auf Inhalte (Anzeigen, Bearbeiten, Exportieren usw.). Daher können Szenarien für die Zusammenarbeit mit geschützten PBIX-Dateien blockiert werden, da es unwahrscheinlich ist, dass die meisten Benutzer über ausreichende Nutzungsrechte unter der Bezeichnung verfügen, um die Datei zu öffnen und zu bearbeiten.

Angenommen, Sie erstellen einen Bericht in Power BI Desktop: Wenden Sie eine geschützte Bezeichnung darauf an und geben Sie dann die PBIX-Datei für einen anderen Benutzer frei. Es ist wahrscheinlich, dass der Benutzer nicht über ausreichende Berechtigungen zum Öffnen der Datei verfügt.

Um diese Situation zu verhindern und mehr Benutzern die Arbeit mit geschützten PBIX-Dateien zu ermöglichen, sollte der Fabric-Administrator die Mandanteneinstellung aktivieren, um die Anzahl der Benutzer zu erhöhen, die verschlüsselte PBIX-Dateien bearbeiten und erneut veröffentlichen können (Vorschau). Wenn diese Einstellung aktiviert ist, können mehr Benutzer (siehe Hinweis) geschützte PBIX-Dateien mit den folgenden Einschränkungen öffnen, bearbeiten und veröffentlichen/erneut veröffentlichen:

  • Sie können nicht in Formate exportieren, die keine Vertraulichkeitsbezeichnungen unterstützen, z. B. CSV-Dateien.
  • Sie können die Bezeichnung in der PBIX-Datei nicht ändern.
  • Sie können die PBIX-Datei nur erneut im ursprünglichen Arbeitsbereich veröffentlichen, aus dem die Datei stammt.

    Hinweis

    Die Datei muss mindestens einmal veröffentlicht worden sein, damit andere Benutzer sie wieder in diesem spezifischen Arbeitsbereich veröffentlichen können. Wenn die Datei noch nicht veröffentlicht wurde, muss der neueste Bezeichnungsaussteller (der zuletzt die geschützte Bezeichnung festgelegt hat) oder ein Benutzer mit ausreichenden Nutzungsrechten veröffentlichen und die Datei dann für die anderen Editoren freigeben.)

Diese Einschränkungen stellen sicher, dass die Sicherheit der Inhalte erneut unter der Kontrolle derjenigen bleibt, die über ausreichende Berechtigungen zum Festlegen der Bezeichnung verfügen.

Hinweis

Benutzer müssen über alle folgenden Nutzungsrechte unter der Bezeichnungsrichtlinie verfügen:

  • Inhalt anzeigen (VIEW)
  • Inhalt bearbeiten (DOCEDIT)
  • Speichern (EDIT)
  • Kopieren und Extrahieren von Inhalten (EXTRACT)
  • Makros zulassen (OBJMODEL)

Diese Nutzungsrechte sind eine Teilmenge der voreingestellten Berechtigungen für die gemeinsame Dokumenterstellung im Microsoft Purview-Complianceportal.

Darüber hinaus muss der Schalter für die Previewfunktion Weniger erhöhte Benutzerunterstützung in Power BI Desktop aktiviert sein. Details finden Sie unter Schalter zur Desktop-Previewfunktion zum Bearbeiten durch Benutzer mit restriktiven Vertraulichkeitsberechtigungen.

Lockerungen zur Anpassung an automatische Bezeichnungsszenarien

Fabric und Power BI unterstützen mehrere Funktionen, z. B. die Bezeichnungsvererbung von Datenquellen und die Downstreamvererbung, die automatisch Vertraulichkeitsbezeichnungen auf Inhalte anwendet. Diese automatisierten Szenarien können zu Situationen führen, in denen kein Benutzer als RMS-Bezeichnungsaussteller für die Bezeichnung eines Elements festgelegt wurde. Dies bedeutet, dass es keinen Benutzer gibt, der mit Sicherheit in der Lage ist, die Bezeichnung zu ändern oder zu entfernen.

In solchen Fällen werden die Anforderungen an die Nutzungsrechte zum Ändern oder Entfernen der Bezeichnung gelockert. Ein Benutzer benötigt nur eins der folgenden Nutzungsrechte, um die Bezeichnung ändern oder entfernen zu können:

  • OWNER
  • EXPORT
  • BEARBEITEN

Wenn sich selbst für diese Nutzungsrechte kein innehabender Besitzer findet, kann niemand die Bezeichnung von dem Element entfernen, und der Zugriff auf das Element ist möglicherweise nicht möglich.

Zum Vermeiden dieser Situation kann der Fabric-Administrator die Mandanteneinstellung Arbeitsbereichsadministratoren das Überschreiben automatisch angewendeter Vertraulichkeitsbezeichnungen erlauben aktivieren. Dadurch können Arbeitsbereichsadministratoren automatisch angewendete Vertraulichkeitsbezeichnungen außer Kraft setzen, ohne die Erzwingungsregeln für Bezeichnungsänderungen zu berücksichtigen.

Um diese Einstellung zu aktivieren, wechseln Sie zu: Administratorportal > Mandanteneinstellungen > Informationsschutz und aktivieren Sie die Einstellung Arbeitsbereichsadministratoren erlauben, automatisch angewendete Vertraulichkeitsbezeichnungen außer Kraft zu setzen.