Freigeben über

Nachgelagerte Vererbung von Vertraulichkeitsbezeichnungen

  • Artikel

Wenn eine Vertraulichkeitsbezeichnung auf ein semantisches Modell oder einen Bericht im Power BI-Dienst angewendet wird, ist es möglich, dass die Bezeichnung heruntergebrochen und auf Inhalte angewendet werden kann, die aus diesem semantischen Modell oder Bericht erstellt wurden. Bei semantischen Modellen bedeutet dies andere semantische Modelle, Berichte und Dashboards. Für Berichte bedeutet dies Dashboards. Diese Funktion wird als nachgeschaltete Vererbung bezeichnet.

Die nachgelagerte Vererbung ist eine wichtige Verbindung in der End-to-End-Informationsschutzlösung von Power BI. Zusammen mit Vererbung aus Datenquellen, Vererbung beim Erstellen neuer Inhalte, Vererbung beim Export in eine Datei und anderen Funktionen zum Anwenden von Vertraulichkeitsbezeichnungen trägt die nachgelagerte Vererbung dazu bei, dass vertrauliche Daten während des gesamten Datenflusses durch Power BI, von der Datenquelle bis zum Verbrauchspunkt, geschützt bleiben.

Die nachgelagerte Vererbung wird mithilfe der Herkunftsansicht veranschaulicht. Wenn eine Bezeichnung auf das Semantikmodell Kundenrentabilitätangewendet wird, filtert sie nach unten und wird auf den nachgeschalteten Inhalt des Semantikmodells angewendet: die Berichte, die mit diesem semantischen Modell erstellt wurden, und in diesem Fall ein Dashboard, das aus visuellen Elementen aus einem dieser Berichte erstellt wurde.

Screenshot: Herkunftsansicht, die die nachgelagerte Vererbung zeigt.

Wichtig

  • Nachgelagerte Vererbung überschreibt nie Bezeichnungen, die manuell angewendet wurden.
  • Die nachgelagerte Vererbung überschreibt nie eine Bezeichnung mit einer weniger restriktiven Bezeichnung.

Nachgelagerte Vererbungsmechanismen

Die nachgelagerte Vererbung funktioniert in einem von zwei Modi. Power BI-Administrator*innen entscheiden über eine Mandanteneinstellung, welcher Modus beim Mandanten aktiv ist.

  • Nachgelagerte Vererbung mit Benutzereinwilligung (Standard): Wenn Benutzer*innen Vertraulichkeitsbezeichnungen auf semantische Modelle oder Berichte anwenden, können sie auswählen, ob diese Bezeichnung auch nachgelagert angewendet werden soll. Sie treffen Ihre Wahl, indem Sie das Feld auswählen, das in der Auswahl der Vertraulichkeitsbezeichnungen angezeigt wird.
  • Vollautomatisierte weitergeleitete Vererbung (bei Aktivierung durch einen Power BI-Administrator): In diesem Modus erfolgt die weitergeleitete Vererbung automatisch, wenn eine Kennzeichnung auf ein semantisches Modell oder einen Bericht angewendet wird. Es gibt kein Kontrollkästchen für die Zustimmung des Benutzers.

Die beiden nachgelagerten Vererbungsmodi werden in den folgenden Abschnitten ausführlicher erläutert.

Im Zustimmungsmodus kann ein Benutzer, wenn er eine Vertraulichkeitskennzeichnung auf ein semantisches Modell oder einen Bericht anwendet, wählen, ob die Kennzeichnung auch auf den nachgelagerten Inhalt übertragen werden soll. Ein Kontrollkästchen wird zusammen mit der Bezeichnungsauswahl angezeigt:

Screenshot: Dialogfeld „Vertraulichkeitsbezeichnung“ mit aktivierter Benutzereinwilligung für die nachgelagerte Vererbung.

Standardmäßig ist das Kontrollkästchen aktiviert. Das bedeutet, dass, wenn Benutzer*innen einem semantischen Modell oder Bericht eine Vertraulichkeitsbezeichnung zuweisen, diese Bezeichnung auf die nachgelagerten Inhalte übertragen wird. Für jedes nachgelagerte Element wird die Bezeichnung nur angewendet, wenn:

  • Der Benutzer, der die Bezeichnung angewendet oder geändert hat, verfügt über Power BI-Bearbeitungsberechtigungen für das nachgeschaltete Element (d. a. der Benutzer ist ein Administrator, Mitglied oder Mitwirkender im Arbeitsbereich, in dem sich das nachgeschaltete Element befindet).
  • Benutzer*innen, die die Bezeichnung angewendet oder geändert haben, sind autorisiert, die Vertraulichkeitsbezeichnung des bereits vorhandenen nachgelagerten Elements zu ändern.

Durch das Deaktivieren des Kontrollkästchens wird verhindert, dass die Bezeichnung weiter vererbt wird.

Vollständig automatisierte nachgelagerte Vererbung

Im vollständig automatisierten Modus wird eine Bezeichnung, die entweder auf ein Semantikmodell oder einen Bericht angewendet wird, automatisch verteilt und auf die nachgelagerten Inhalte des Semantikmodells oder Berichts angewendet, ohne Berücksichtigung der Bearbeitungsberechtigungen für das nachgelagerte Element und die Nutzungsrechte für die Bezeichnung.

Lockere Durchsetzung von Bezeichnungsänderungen

In bestimmten Fällen kann nachgelagerte Vererbung (wie andere szenarien für automatisierte Bezeichnungen) dazu führen, dass kein Benutzer über alle erforderlichen Berechtigungen verfügt, um eine Bezeichnung zu ändern. In solchen Situationen werden Vorschriften zur Durchsetzung von Etikettenänderungen gelockert, um den Zugang zu betroffenen Gegenständen zu gewährleisten. Weitere Informationen finden Sie unter Lockerungen zur Anpassung an automatische Bezeichnungsszenarien.

Aktivieren der vollständig automatisierten nachgelagerten Vererbung

Die vollständig automatisierte Vererbung nachgelagerter Inhalte wird durch die Mandanteneinstellung Vertraulichkeitsbezeichnungen automatisch auf nachgelagerte Inhalte anwenden gesteuert. Diese Einstellung ist standardmäßig aktiviert, wenn der Informationsschutz aktiviert ist (d. h. wenn die Mandanteneinstellung Benutzern das Anwenden von Vertraulichkeitsbezeichnungen für Inhalte gestatten aktiviert ist). Um die Einstellung für die nachgelagerte Vererbung zu ändern, gehen Sie zu den Mandanteneinstellungen im Verwaltungsportal, und aktivieren/deaktivieren Sie die Einstellung Vertraulichkeitsbezeichnungen automatisch auf nachgelagerte Inhalte anwenden nach Bedarf.

Screenshot: Mandanteneinstellung zum automatischen Anwenden von Bezeichnungen auf nachgelagerte Inhalte.

Überlegungen und Einschränkungen

  • Die nachgelagerte Vererbung ist auf 80 Elemente beschränkt. Wenn die Anzahl der nachgelagerten Elemente 80 überschreitet, erfolgt keine nachgelagerte Vererbung. Nur das Element, auf das die Bezeichnung tatsächlich angewendet wurde, erhält die Bezeichnung.
  • Die nachgelagerte Vererbung überschreibt nie manuell angewendete Bezeichnungen. Eine wichtige Überlegung finden Sie im folgenden Abschnitt.
  • Die nachgelagerte Vererbung ersetzt niemals eine Bezeichnung für nachgelagerten Inhalt durch eine Bezeichnung, die weniger restriktiv ist als die aktuell angewendete Bezeichnung.
  • Vertraulichkeitsbezeichnungen, die von Datenquellen geerbt werden, werden nur automatisch nachgelagert angewendet, wenn der vollständig automatisierte Vererbungsmodus für nachgelagerte Prozesse aktiviert ist.

Nachgelagerte Vererbung zwischen semantischen Modellen und Berichten, die aus PBIX-Dateien veröffentlicht wurden

Wenn Sie eine PBIX-Datei mit einer Vertraulichkeitsbezeichnung veröffentlichen, wird die Bezeichnung, die von dem im Dienst erstellten Semantikmodell und Bericht geerbt wird, als automatisch oder manuell angewendet betrachtet, je nachdem, ob die Bezeichnung für die PBIX-Datei automatisch oder manuell angewendet wurde. Dies hat Auswirkungen auf die nachfolgende Vererbung vom semantischen Modell zu dem zugehörigen Bericht. Wenn die Bezeichnung für die PBIX-Datei automatisch angewendet wurde, erbt der zugeordnete Bericht die Änderung später nach der Veröffentlichung, wenn die Bezeichnung im Semantikmodell geändert wird. Wenn die Bezeichnung für die PBIX-Datei jedoch manuell angewendet wurde, wird bei einer Änderung der Bezeichnung für das Semantikmodell die Bezeichnung für den zugeordneten Bericht nicht überschrieben, da sie als manuell angewendet betrachtet wird. Dies entspricht der Regel, dass die nachgelagerte Vererbung eine manuell angewendete Bezeichnung niemals überschreibt.

Verwandte Inhalte