Informatiebeveiliging in Microsoft Fabric
Met gegevensbeveiliging in Fabric en Power BI kunnen organisaties hun gevoelige gegevens categoriseren en beveiligen met behulp van vertrouwelijkheidslabels en -beleid van Microsoft Purview Information Protection. Daarnaast bieden Fabric en Power BI extra mogelijkheden om organisaties te helpen maximale dekking van vertrouwelijkheidslabels te bereiken en hun gevoelige gegevens te beheren en te beheren.
In dit artikel worden de mogelijkheden voor gegevensbeveiliging van Fabric en Power BI beschreven. Meer informatie over huidige ondersteuning vindt u in de sectie overwegingen en beperkingen.
Eisen
Een geschikte licentie voor Microsoft Purview Information Protection.
Notitie
Als uw organisatie gebruikmaakt van Vertrouwelijkheidslabels van Azure Information Protection, moeten ze worden gemigreerd naar het geïntegreerde Microsoft Purview Information Protection-labelplatform om ze te kunnen gebruiken in Fabric. Meer informatie over het migreren van vertrouwelijkheidslabels.
Als u labels wilt kunnen toepassen op Power BI-items, moet een gebruiker een PPU-licentie (Power BI Pro of Premium Per User) hebben, naast de licenties die nodig zijn voor Microsoft Purview Information Protection.
Office-apps hebben hun eigen licentievereisten voor het weergeven en toepassen van vertrouwelijkheidslabels.
Voordat u vertrouwelijkheidslabels inschakelt voor uw tenant, moet u ervoor zorgen dat vertrouwelijkheidslabels zijn gedefinieerd en gepubliceerd voor relevante gebruikers en groepen. Zie Vertrouwelijkheidslabels en hun beleidsregels maken en configureren voor meer informatie.
Klanten in China moeten rechtenbeheer inschakelen voor de tenant en het serviceprincipe microsoft Purview Information Protection Sync Service toevoegen, zoals beschreven in stap 1 en 2 onder Azure Information Protection configureren voor klanten in China.
Voor het gebruik van vertrouwelijkheidslabels in Power BI Desktop is de desktopversie van december 2020 of hoger vereist.
Notitie
Als u probeert een beveiligd PBIX-bestand te openen met een bureaubladversie ouder dan december 2020, mislukt het en wordt u gevraagd uw bureaubladversie bij te werken.
Toegangsbeheer
Vertrouwelijkheidslabels kunnen in de volgende gevallen toegangsbeheer toepassen op Fabric- en Power BI-gegevens en -inhoud:
In de tenant waar de vertrouwelijkheidslabels zijn toegepast. Dit scenario is afhankelijk van vertrouwelijkheidslabels die zijn gekoppeld aan Microsoft Purview -beveiligingsbeleid. Wanneer een gebruiker zich heeft aangemeld bij de Fabric-tenant waarop de labels zijn toegepast, probeert toegang te krijgen tot een item met een label dat is gekoppeld aan een beveiligingsbeleid, wordt de toegang beheerd door dat beveiligingsbeleid. Zie Beveiligingsbeleid in Microsoft Fabric (preview) voor meer informatie.
In bestanden van Power BI Desktop (.pbix). Dit scenario is afhankelijk van vertrouwelijkheidslabels die zijn gekoppeld aan de publicatie van Microsoft Purview -beleid. Wanneer een gebruiker probeert een PBIX-bestand te openen met een vertrouwelijkheidslabel dat is gekoppeld aan een publicatiebeleid, is de toegang afhankelijk van de machtigingen die ze onder dat beleid hebben. Zie De toegang tot inhoud beperken met behulp van vertrouwelijkheidslabels om versleuteling toe te passen.
In ondersteunde exportpaden. Dit scenario is afhankelijk van vertrouwelijkheidslabels die zijn gekoppeld aan de publicatie van Microsoft Purview -beleid. Wanneer een gebruiker probeert een bestand te openen dat is gegenereerd via een van de ondersteunde exportpaden, is de toegang afhankelijk van de machtigingen die ze onder dat beleid hebben. Zie De toegang tot inhoud beperken met behulp van vertrouwelijkheidslabels om versleuteling toe te passen.
Belangrijk
Toegangsbeheer in alle andere scenario's wordt niet ondersteund. Dit omvat scenario's voor meerdere tenants, zoals externe gegevens delen, waar gegevens worden geopend vanuit een andere tenant of andere exportpaden, zoals exporteren naar .csv bestanden of .txt-bestanden.
Ondersteunde exportpaden
Vertrouwelijkheidslabels en het toegangsbeheer dat ze toepassen (als ze zijn gekoppeld aan een publicatiebeleid van Microsoft Purview) blijven verbonden aan gegevens en inhoud die Fabric en Power BI verlaten via de volgende exportpaden:
Exporteren naar Excel, PDF-bestanden en PowerPoint.
Analyseren in Excel vanuit Fabric, waardoor het downloaden van een Excel-bestand met een liveverbinding met een semantisch Power BI-model wordt geactiveerd.
Draaitabel in Excel met een liveverbinding met een semantisch Power BI-model voor gebruikers met Microsoft 365 E3 en hoger.
Download naar een Power BI Desktop-bestand (.pbix) van Fabric.
Functies
De volgende tabel bevat een overzicht van de mogelijkheden voor gegevensbeveiliging in Fabric waarmee u de maximale dekking van gevoelige informatie in uw organisatie kunt bereiken. Fabric-ondersteuning wordt aangegeven in de derde kolom. Zie de secties onder Overwegingen en beperkingen voor meer informatie.
| Mogelijkheid | Scenario | Ondersteuningsstatus |
|---|---|---|
| Handmatig labelen | Gebruikers kunnen handmatig gevoelige labels toepassen op Fabric-items | Ondersteund voor alle Fabric-items. |
| Standaardlabels | Wanneer een item wordt gemaakt of bewerkt, krijgt het een standaard vertrouwelijkheidslabel, tenzij een label op een andere wijze wordt toegepast. | Ondersteund voor alle Fabric-items, met beperkingen. |
| Verplichte labeling | Gebruikers kunnen items alleen opslaan als er een vertrouwelijkheidslabel wordt toegepast op het item. Dit betekent dat ze ook geen label kunnen verwijderen. | Momenteel alleen volledig ondersteund voor Power BI-items. Ondersteund voor sommige niet-Power BI Fabric-items, met beperkingen. |
| Programmatisch labelen | Vertrouwelijkheidslabels kunnen programmatisch worden toegevoegd, gewijzigd of verwijderd via REST API's van Power BI-beheerders. | Ondersteund voor alle Fabric-items. |
| Downstreamovername | Wanneer een vertrouwelijkheidslabel wordt toegepast op een item, wordt het label downstream doorgegeven aan alle afhankelijke items. | Ondersteund voor alle Fabric-items, met beperkingen. |
| Overname bij het maken | Wanneer u een nieuw item maakt op basis van een bestaand item, neemt het nieuwe item het label van het bestaande item over. | Ondersteund voor alle Power BI Fabric-items. Ondersteund voor sommige niet-Power BI Fabric-items, zoals beschreven in de overwegingen en beperkingen. |
| Overname van gegevensbronnen | Wanneer een Fabric-item gegevens opneemt uit een gegevensbron met een vertrouwelijkheidslabel, wordt dat label toegepast op het Fabric-item. Het label wordt vervolgens downstream doorgegeven aan de onderliggende items van dat Fabric-item via downstreamovername. | Momenteel alleen ondersteund voor semantische Power BI-modellen. |
| Export | Wanneer een gebruiker gegevens exporteert van een item met een vertrouwelijkheidslabel, wordt het vertrouwelijkheidslabel hiermee verplaatst naar de geëxporteerde indeling. | Momenteel ondersteund voor Power BI-items in ondersteunde exportpaden. |
Overwegingen en beperkingen
Handmatig labelen
Wanneer u vertrouwelijkheidslabels voor uw tenant inschakelt, geeft u op welke gebruikers vertrouwelijkheidslabels kunnen toepassen. Hoewel de andere mogelijkheden voor gegevensbeveiliging die in dit artikel worden beschreven, ervoor kunnen zorgen dat de meeste items worden gelabeld zonder dat iemand handmatig een label hoeft toe te passen, maakt handmatige labels het mogelijk voor gebruikers om labels op items te wijzigen. Zie Vertrouwelijkheidslabels toepassen op Fabric-items voor meer informatie over het handmatig toepassen van vertrouwelijkheidslabels.
Notitie
Als een gebruiker vertrouwelijkheidslabels kan toepassen op Fabric-items, is het niet voldoende om de gebruiker op te nemen in de lijst met opgegeven gebruikers. Het vertrouwelijkheidslabel moet ook worden gepubliceerd naar de gebruiker als onderdeel van de beleidsdefinities van het label in het Microsoft Purview-compliancecentrum. Zie Vertrouwelijkheidslabels en hun beleid maken en configureren voor meer informatie.
Standaardlabels
Standaardlabels worden volledig ondersteund in Power BI en worden beschreven in het standaardlabelbeleid voor Power BI. In Fabric gelden enkele beperkingen.
Wanneer er een niet-Power BI Fabric-item wordt gemaakt, wordt het standaard vertrouwelijkheidslabel toegepast op het item als de gebruiker geen label kiest. Als het item wordt gemaakt in een proces waarin er geen duidelijk dialoogvenster voor maken is, wordt het standaardlabel niet toegepast.
Wanneer een Fabric-item met geen label wordt bijgewerkt en als het item een Power BI-item is, wordt het standaardlabel toegepast als de gebruiker geen label toepast. Als het item een niet-Power BI Fabric-item is, worden alleen bepaalde kenmerken, zoals naam en beschrijving, gewijzigd, waardoor het standaardlabel wordt toegepast. Dit is alleen als de wijziging wordt aangebracht in het flyoutmenu van het item. Voor wijzigingen die zijn aangebracht in de ervaringsinterface, wordt standaardlabeling momenteel niet ondersteund.
Verplichte labeling
Verplichte labels worden momenteel alleen ondersteund voor Power BI-items. Verplichte labels worden niet afgedwongen als er wijzigingen worden aangebracht via het flyoutmenu.
Voor lakehouses, pijplijnen en datawarehouses: Ervan uitgaande dat gegevensbeveiliging is ingeschakeld, als verplicht labelen is ingeschakeld en standaardlabeling is uitgeschakeld, is het mogelijk dat de gebruiker een label selecteert. Verplichte labellogica wordt echter niet afgedwongen. Dit betekent dat de gebruiker het item zonder label kan opslaan, tenzij de ervaring zelf vereist dat een label wordt ingesteld.
Zie Verplicht labelbeleid voor Fabric en Power BI voor meer informatie over verplicht labelen.
Programmatisch labelen
Programmatisch labelen wordt ondersteund voor alle Fabric-items. Zie Vertrouwelijkheidslabels instellen of verwijderen met power BI REST-beheer-API's voor meer informatie.
Downstreamovername
Downstreamovername is standaard ingeschakeld. Het wordt als volgt ondersteund in Fabric:
Ondersteund:
- Power BI-item naar Power BI-item
- Fabric-item naar Fabric-item
- Fabric-item naar Power BI-item
Niet ondersteund:
- Power BI-item naar fabric-item
Automatisch gegenereerde items uit een lakehouse of datawarehouse nemen hun vertrouwelijkheidslabel van hun bovenliggende lakehouse of datawarehouse. Ze nemen het label niet over van items die verder upstream zijn.
Zie de downstreamovername van vertrouwelijkheidslabels voor meer informatie over downstreamovername.
Overname bij het maken
Overname bij het maken wordt ondersteund voor Power BI Fabric-items en in andere scenario's met niet-Power BI-items waarbij het ene item wordt gemaakt op basis van een ander item:
- Een pijplijn die is gemaakt op basis van een Lakehouse, neemt het vertrouwelijkheidslabel van Lakehouse over.
- Een notebook dat is gemaakt op basis van een Lakehouse neemt het vertrouwelijkheidslabel van Het Lakehouse over.
- Een Lakehouse-snelkoppeling die is gemaakt op basis van een Lakehouse, neemt het vertrouwelijkheidslabel van lakehouse over.
- Een pijplijn die is gemaakt op basis van een notebook neemt het vertrouwelijkheidslabel van het notebook over.
- Een KQL-queryset die is gemaakt op basis van een KQL-database, neemt het vertrouwelijkheidslabel van KQL Database over.
- Een pijplijn die is gemaakt op basis van een KQL-database, neemt het vertrouwelijkheidslabel van de KQL-database over.
Zie Overname van vertrouwelijkheidslabels bij het maken van nieuwe inhoud voor meer informatie over downstreamovername.
Overname van gegevensbronnen
Overname van gegevensbronnen wordt momenteel alleen ondersteund voor semantische Power BI-modellen. Zie Overname van vertrouwelijkheidslabels uit gegevensbronnen voor meer informatie.
Export
Overname van vertrouwelijkheidslabels bij export wordt alleen ondersteund voor Power BI-items in ondersteunde exportpaden. Momenteel gebruikt geen andere Fabric-ervaring een exportmethode waarmee het vertrouwelijkheidslabel wordt overgedragen naar de geëxporteerde uitvoer. Als ze echter wel een item met een vertrouwelijkheidslabel exporteren, wordt er een waarschuwing gegeven.
Zie Ondersteunde exportpaden in Power BI voor de ondersteunde exportpaden voor Power BI-items.