Protección de la información en Microsoft Fabric
La protección de la información en Fabric y Power BI permite a las organizaciones clasificar y proteger sus datos confidenciales mediante etiquetas y directivas de confidencialidad de Microsoft Purview Information Protection. Además, Fabric y Power BI proporcionan funcionalidades adicionales para ayudar a las organizaciones a lograr la máxima cobertura de etiquetas de confidencialidad y administrar y controlar sus datos confidenciales.
En este artículo se describen las funcionalidades de protección de la información de Fabric y Power BI . Puede encontrar detalles sobre la compatibilidad actual en la sección Consideraciones y limitaciones.
Requisitos
Una licencia adecuada para Microsoft Purview Information Protection.
Nota:
Si su organización usa etiquetas de confidencialidad de Azure Information Protection, deben migrarse a la plataforma de etiquetado unificado de Microsoft Purview Information Protection para que se usen en Fabric. Obtenga más información sobre la migración de etiquetas de confidencialidad.
Para poder aplicar etiquetas a elementos de Power BI, un usuario debe tener una licencia de Power BI Pro o Premium por usuario (PPU) además de las licencias necesarias para Microsoft Purview Information Protection.
Las aplicaciones de Office tienen sus propios requisitos de licencia de para ver y aplicar etiquetas de confidencialidad.
Antes de habilitar las etiquetas de confidencialidad en su entorno, asegúrese de que se han definido y publicado las etiquetas de confidencialidad para los usuarios y grupos pertinentes. Consulte Crear y configurar etiquetas de confidencialidad y sus directivas para obtener más información.
Los clientes de China deben habilitar la administración de derechos para el inquilino y agregar el principio de servicio de sincronización de Microsoft Purview Information Protection, como se describe en los pasos 1 y 2 de Configuración de Azure Information Protection para los clientes de China.
El uso de etiquetas de confidencialidad en Power BI Desktop requiere la versión de diciembre de 2020 de la aplicación de escritorio o posterior.
Nota:
Si intenta abrir un archivo .pbix protegido con una versión de escritorio anterior a diciembre de 2020, se producirá un error y se le pedirá que actualice la versión de escritorio.
Control de acceso
Las etiquetas de confidencialidad pueden aplicar el control de acceso a datos y contenido de Fabric y Power BI en los casos siguientes:
En el inquilino donde se han aplicado las etiquetas de confidencialidad. Este escenario se basa en etiquetas de sensibilidad asociadas a las directivas de protección de Microsoft Purview. Cuando un usuario ha iniciado sesión en el arrendatario de Fabric donde se aplicaron las etiquetas e intenta acceder a un elemento que tiene una etiqueta con políticas de protección asociadas, su acceso se controla mediante esa política de protección. Consulte Directivas de protección en Microsoft Fabric (versión preliminar) para obtener más información.
En archivos (.pbix) de Power BI Desktop. Este escenario se basa en etiquetas de confidencialidad asociadas a las políticas de publicación de Microsoft Purview . Cuando un usuario intenta abrir un archivo .pbix que tiene una etiqueta de confidencialidad asociada a una directiva de publicación, su acceso depende de los permisos que tenga bajo esa directiva. Consulte Restringir el acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.
En rutas de exportación admitidas. Este escenario se basa en etiquetas de confidencialidad asociadas a las directivas de publicación de Microsoft Purview . Cuando un usuario intenta abrir un archivo generado a través de una de las rutas de exportación admitidas, su acceso depende de los permisos que tienen en esa directiva. Consulte Restringir el acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.
Importante
No se admite el control de acceso en todos los demás escenarios. Esto incluye escenarios entre inquilinos, como uso compartido de datos externos, donde se accede a los datos desde otro inquilino u otras rutas de exportación, como exportar a archivos .csv o archivos .txt.
Rutas de exportación admitidas
Las etiquetas de confidencialidad y el control de acceso que aplican (si están asociadas a una directiva de publicación de Microsoft Purview) permanecen con datos y contenido que deja Fabric y Power BI en las siguientes rutas de exportación:
Exportar a Excel, archivos PDF y PowerPoint.
Analizar en Excel desde Fabric, que desencadena la descarga de un archivo de Excel con una conexión dinámica a un modelo semántico de Power BI.
Tabla dinámica en Excel con una conexión dinámica a un modelo semántico de Power BI para los usuarios con Microsoft 365 E3 y versiones posteriores.
Descarga en un archivo de Power BI Desktop (.pbix) desde Fabric.
Funcionalidades
En la tabla siguiente se resumen las funcionalidades de protección de la información en Fabric que le ayudan a lograr la máxima cobertura de la información confidencial de la organización. La compatibilidad con Fabric se indica en la tercera columna. Para obtener más información, vea la sección Consideraciones y limitaciones.
| Funcionalidad | Escenario | Estado de compatibilidad |
|---|---|---|
| Etiquetado manual | Los usuarios pueden aplicar manualmente etiquetas confidenciales a elementos de Fabric | Se admite para todos los elementos de Fabric. |
| Etiquetado predeterminado | Cuando se crea o edita un elemento, este obtiene una etiqueta de confidencialidad predeterminada a menos que se aplique otra etiqueta a través de otros medios. | Se admite para todos los elementos de Fabric, con limitaciones. |
| Etiquetado obligatorio | Los usuarios no pueden guardar elementos a menos que se aplique una etiqueta de confidencialidad al elemento. Esto significa que tampoco pueden quitar una etiqueta. | Actualmente solo se admite para elementos de Power BI. Compatible con algunos elementos que no son de Power BI Fabric, con limitaciones. |
| Etiquetado mediante programación | Las etiquetas de confidencialidad se pueden agregar, cambiar o eliminar mediante programación a través de las API de REST de administrador de Power BI. | Se admite para todos los elementos de Fabric. |
| Herencia de bajada | Cuando se aplica una etiqueta de confidencialidad a un elemento, la etiqueta se propaga de bajada a todos los elementos dependientes. | Se admite para todos los elementos de Fabric, con limitaciones. |
| Herencia tras la creación | Al crear un nuevo elemento a partir de un elemento existente, el nuevo elemento hereda la etiqueta del elemento existente. | Compatible con todos los elementos de Power BI Fabric. Se admite para algunos elementos que no son de Power BI Fabric, como se describe en las consideraciones y limitaciones.. |
| Herencia de los orígenes de datos | Cuando un elemento de Fabric ingiere datos desde un origen de datos que tiene una etiqueta de confidencialidad, esa etiqueta se aplica al elemento de Fabric. A continuación, la etiqueta se propaga de bajada a los elementos secundarios de ese elemento de Fabric a través de la herencia de bajada. | Actualmente solo se admite para modelos semánticos de Power BI. |
| Exportación | Cuando un usuario exporta datos de un elemento que tiene una etiqueta de confidencialidad, la etiqueta de confidencialidad se mueve con él al formato exportado. | Actualmente se admite para los elementos de Power BI en las rutas de acceso de exportación admitidas. |
Consideraciones y limitaciones
Etiquetado manual
Al habilitar las etiquetas de confidencialidad en el inquilino, especifique qué usuarios pueden aplicar etiquetas de confidencialidad. Aunque las demás funcionalidades de protección de la información descritas en este artículo pueden garantizar que la mayoría de los elementos se etiquete sin que alguien tenga que aplicar manualmente una etiqueta, el etiquetado manual permite a los usuarios cambiar las etiquetas de los elementos. Para obtener más información sobre cómo aplicar manualmente etiquetas de confidencialidad a elementos de Fabric, vea Cómo aplicar etiquetas de confidencialidad.
Nota:
Para que un usuario pueda aplicar etiquetas de confidencialidad a los elementos de Fabric, no basta con incluir al usuario en la lista de usuarios especificados. La etiqueta de confidencialidad también debe publicarse en el usuario como parte de las definiciones de directiva de la etiqueta en el Centro de cumplimiento de Microsoft Purview. Para más información, vea Crea y configura etiquetas Sensibilidad y sus políticas.
Etiquetado predeterminado
El etiquetado predeterminado es totalmente compatible con Power BI y se describe en la Directiva de etiquetas predeterminada para Power BI. En Fabric, hay algunas limitaciones.
Cuando se crea un elemento que no es de Power BI Fabric, si hay un cuadro de diálogo de creación sustantivo claro, la etiqueta de confidencialidad predeterminada se aplicará al elemento si el usuario no elige ninguna etiqueta. Si el elemento se crea en un proceso en el que no hay ningún cuadro de diálogo de creación claro, no se aplicará la etiqueta predeterminada.
Cuando se actualiza un elemento de Fabric que no tiene etiqueta, si el elemento es un elemento de Power BI, un cambio en cualquiera de sus atributos hace que se aplique la etiqueta predeterminada si el usuario no aplica ninguna etiqueta. Si el elemento es un elemento que no es de Power BI Fabric, solo los cambios a determinados atributos, como el nombre y la descripción, harán que se aplique la etiqueta predeterminada. Y esto es solo si el cambio se realiza en el menú flotante del elemento. Actualmente no se admite el etiquetado predeterminado en el caso de los cambios realizados en la interfaz de experiencia.
Etiquetado obligatorio
Actualmente, solo se admite el etiquetado obligatorio para los elementos de Power BI. El etiquetado obligatorio no se aplica si se realizan cambios a través del menú flotante.
Para lakehouses, canalizaciones y almacenes de datos: suponiendo que la protección de la información esté habilitada, si el etiquetado obligatorio está activado y el etiquetado predeterminado desactivado, será posible que el usuario seleccione una etiqueta. Sin embargo, no se aplica la lógica de etiquetado obligatoria. Esto significa que el usuario puede guardar el elemento sin ninguna etiqueta, a menos que la propia experiencia requiera que se establezca una etiqueta.
Para obtener más información sobre el etiquetado obligatorio, consulte Directiva de etiquetas obligatorias para Fabric y Power BI.
Etiquetado mediante programación
El etiquetado mediante programación es compatible con todos los elementos de Fabric. Para obtener más información, consulte Establecer o quitar etiquetas de confidencialidad mediante las API de administración de REST de Power BI.
Herencia de bajada
La herencia de bajada está activada de forma predeterminada. Se admite en Fabric de la siguiente manera:
Compatibles:
- Elemento de Power BI a elemento de Power BI
- Elemento de Fabric a elemento de Fabric
- Elemento de Fabric a elemento de Power BI
No se admite:
- Elemento de Power BI al elemento de Fabric
Los elementos generados automáticamente a partir de un lakehouse o almacén de datos toman su etiqueta de confidencialidad de su lakehouse o almacén de datos primario. No heredan la etiqueta de los elementos ascendentes.
Para obtener más información sobre la herencia de bajada, consulte Herencia de bajada de las etiquetas de confidencialidad.
Herencia tras la creación
La herencia tras la creación es compatible con los elementos de Power BI Fabric y en otros escenarios con elementos que no son de Power BI en los que se crea un elemento a partir de otro elemento:
- Una canalización creada a partir de una instancia de Lakehouse hereda la etiqueta de confidencialidad de Lakehouse.
- Un cuaderno creado a partir de Lakehouse hereda la etiqueta de confidencialidad de Lakehouse.
- Un acceso directo de Lakehouse creado a partir de Lakehouse hereda la etiqueta de confidencialidad de Lakehouse.
- Una canalización creada a partir de un cuaderno hereda la etiqueta de confidencialidad del cuaderno.
- Un conjunto de consultas KQL creado a partir de una base de datos de KQL hereda la etiqueta de confidencialidad de la base de datos KQL.
- Una canalización creada a partir de una base de datos KQL hereda la etiqueta de confidencialidad de la base de datos KQL.
Para obtener más información sobre la herencia de bajada, consulte Herencia de etiquetas de confidencialidad tras la creación de contenido nuevo.
Herencia de los orígenes de datos
La herencia de orígenes de datos solo se admite actualmente para modelos semánticos de Power BI. Para obtener más información, consulte Herencia de etiquetas de confidencialidad de orígenes de datos.
Exportación
La herencia de etiquetas de confidencialidad tras la exportación solo se admite para los elementos de Power BI en las rutas de acceso de exportación admitidas. Actualmente, ninguna otra experiencia de Fabric usa un método de exportación que transfiere la etiqueta de confidencialidad a la salida exportada. Sin embargo, si exportan un elemento que tenga una etiqueta de confidencialidad, se emite una advertencia.
Para ver las rutas de exportación admitidas para los elementos de Power BI, consulte Rutas de exportación admitidas en Power BI.