Vertrouwelijkheidslabels in Power BI
In dit artikel wordt de functionaliteit van vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging in Power BI beschreven.
Zie Vertrouwelijkheidslabels inschakelen in Power BI voor meer informatie over het inschakelen van vertrouwelijkheidslabels voor uw tenant, inclusief licentievereisten en vereisten.
Zie Vertrouwelijkheidslabels toepassen in Power BI-inhoud en -bestanden voor informatie over het toepassen van vertrouwelijkheidslabels in Power BI.
Geef ons uw feedback
Het productteam wil graag feedback krijgen over de mogelijkheden voor gegevensbeveiliging van Power BI en de integratie met Microsoft Purview Informatiebeveiliging. Help ons om te voldoen aan uw behoeften voor gegevensbescherming. Hartelijk dank!
Inleiding
Vertrouwelijkheidslabels van Purview Information Protection bieden een eenvoudige manier voor uw gebruikers om kritieke inhoud in Power BI te classificeren zonder de productiviteit of de mogelijkheid om samen te werken in gevaar te brengen. Ze kunnen zowel in Power BI Desktop als in de Power BI-service worden toegepast, zodat u uw gevoelige gegevens kunt beveiligen vanaf het moment dat u uw inhoud voor het eerst gaat ontwikkelen tot wanneer deze wordt geopend vanuit Excel via een liveverbinding. Vertrouwelijkheidslabels blijven behouden wanneer u uw inhoud heen en weer verplaatst tussen Desktop en de service in de vorm van PBIX-bestanden.
In de Power BI-service kunnen vertrouwelijkheidslabels worden toegepast op semantische modellen, rapporten, dashboards en gegevensstromen. Wanneer gelabelde gegevens Power BI verlaten, hetzij via export naar Excel-, PowerPoint-, PDF- of PBIX-bestanden, of via andere ondersteunde exportscenario's zoals Analyseren in Excel of draaitabellen in liveverbindingen in Excel, past Power BI het label automatisch toe op het geëxporteerde bestand en beveiligt het volgens de instellingen voor bestandsversleuteling van het label. Op deze manier kunnen uw gevoelige gegevens beveiligd blijven, zelfs wanneer ze Power BI verlaten.
Daarnaast kunnen vertrouwelijkheidslabels worden toegepast op PBIX-bestanden in Power BI Desktop, zodat uw gegevens en inhoud veilig zijn wanneer deze buiten Power BI worden gedeeld (bijvoorbeeld zodat alleen gebruikers binnen uw organisatie een vertrouwelijk PBIX-bestand kunnen openen dat is gedeeld of bijgevoegd in een e-mailbericht), zelfs voordat deze is gepubliceerd naar de Power BI-service. Zie Toegang tot inhoud beperken met behulp van vertrouwelijkheidslabels om versleuteling toe te passen voor meer informatie.
Vertrouwelijkheidslabels voor rapporten, dashboards, semantische modellen en gegevensstromen zijn zichtbaar vanaf veel plaatsen in de Power BI-service. Vertrouwelijkheidslabels op rapporten en dashboards zijn ook zichtbaar in de mobiele iOS- en Android-apps voor Power BI en in ingesloten visuals. In Desktop kunt u het vertrouwelijkheidslabel zien in de statusbalk.
Een rapport met metrische gegevens over beveiliging dat beschikbaar is in de Power BI-beheerportal biedt Power BI-beheerders volledige zichtbaarheid van gevoelige gegevens in de Power BI-tenant. Daarnaast bevatten de Power BI-auditlogboeken informatie over vertrouwelijkheidslabels over activiteiten zoals het toepassen, verwijderen en wijzigen van labels, en over activiteiten zoals het weergeven van rapporten, dashboards, enzovoort. Dit geeft Power BI- en beveiligingsbeheerders inzicht in het gebruik van gevoelige gegevens voor het bewaken en onderzoeken van beveiligingswaarschuwingen.
Belangrijke aandachtspunten
In de Power BI-service heeft vertrouwelijkheidslabels geen invloed op de toegang tot inhoud. Toegang tot inhoud in de service wordt alleen beheerd door Power BI-machtigingen. Hoewel de labels zichtbaar zijn, worden alle bijbehorende versleutelingsinstellingen (geconfigureerd in de Microsoft Purview-nalevingsportal) niet toegepast. Ze worden alleen toegepast op gegevens die de service verlaten via een ondersteund exportpad, zoals exporteren naar Excel, PowerPoint of PDF en downloaden naar .pbix.
In Power BI Desktop zijn vertrouwelijkheidslabels met versleutelingsinstellingen van invloed op de toegang tot inhoud. Als een gebruiker niet over voldoende machtigingen beschikt op basis van de versleutelingsinstellingen van het vertrouwelijkheidslabel in het PBIX-bestand, kan het bestand niet worden geopend. Bovendien worden in Desktop, wanneer u uw werk opslaat, elk vertrouwelijkheidslabel dat u hebt toegevoegd en de bijbehorende versleutelingsinstellingen toegepast op het opgeslagen PBIX-bestand.
Vertrouwelijkheidslabels en bestandsversleuteling worden niet toegepast in niet-ondersteunde exportpaden. De Power BI-beheerder kan het exporteren van niet-ondersteunde exportpaden blokkeren.
Notitie
Gebruikers die toegang krijgen tot een rapport, krijgen toegang tot het hele onderliggende semantische model, tenzij beveiliging op rijniveau (RLS) hun toegang beperkt. Rapportauteurs kunnen rapporten classificeren en labelen met behulp van vertrouwelijkheidslabels. Als het vertrouwelijkheidslabel beveiligingsinstellingen heeft, past Power BI deze beveiligingsinstellingen toe wanneer de rapportgegevens Power BI verlaten via een ondersteund exportpad, zoals exporteren naar Excel, PowerPoint of PDF, downloaden naar PBIX en Opslaan (Desktop). Alleen geautoriseerde gebruikers kunnen beveiligde bestanden openen.
Ondersteunde exportpaden
Het toepassen van vertrouwelijkheidslabels en de bijbehorende beveiliging op gegevens die de Power BI-service verlaten, wordt momenteel ondersteund voor de volgende exportpaden:
- Exporteren naar Excel, PDF-bestanden en PowerPoint.
- Analyseer in Excel vanuit de Power BI-service, waardoor het downloaden van een Excel-bestand met een liveverbinding met een semantisch Power BI-model wordt geactiveerd.
- Draaitabel in Excel met een liveverbinding met een semantisch Power BI-model voor gebruikers met Microsoft 365 E3 en hoger.
- Downloaden naar .pbix (service)
Notitie
Wanneer u het PBIX-bestand downloaden in de Power BI-service gebruikt, wordt het beperkende label toegepast op het PBIX-bestand als het gedownloade rapport en het semantische model verschillende labels hebben.
In Power BI Desktop is ondersteuning voor vertrouwelijkheidslabels in Exporteren naar PDF een preview-functie die standaard is ingeschakeld. Het is mogelijk om het uit te schakelen. Zie overwegingen en beperkingen voor desktops voor meer informatie.
Hoe vertrouwelijkheidslabels werken in Power BI
Wanneer u een vertrouwelijkheidslabel toepast op Power BI-inhoud en -bestanden, is het vergelijkbaar met het toepassen van een tag op die resource met de volgende voordelen:
- Aanpasbaar: u kunt categorieën maken voor verschillende niveaus van gevoelige inhoud in uw organisatie, zoals Persoonlijk, Openbaar, Algemeen, Vertrouwelijk en Zeer vertrouwelijk.
- Duidelijke tekst - omdat het label in duidelijke tekst staat, is het voor gebruikers gemakkelijk om te begrijpen hoe ze de inhoud moeten behandelen volgens richtlijnen voor vertrouwelijkheidslabels.
- Permanent : nadat een vertrouwelijkheidslabel is toegepast op inhoud, wordt deze inhoud begeleid bij het exporteren naar Excel-, PowerPoint- en PDF-bestanden, gedownload naar PBIX- of opgeslagen (in desktop) en wordt deze de basis voor het toepassen en afdwingen van beleid.
Hier volgt een kort voorbeeld van hoe vertrouwelijkheidslabels in Power BI werken. In de onderstaande afbeelding ziet u hoe een vertrouwelijkheidslabel wordt toegepast op een rapport in de Power BI-service, hoe de gegevens uit het rapport worden geëxporteerd naar een Excel-bestand en ten slotte hoe het vertrouwelijkheidslabel en de bijbehorende beveiligingen behouden blijven in het geëxporteerde bestand.
De vertrouwelijkheidslabels die u toepast op inhoud blijven behouden en roamen met de inhoud terwijl deze wordt gebruikt en gedeeld in Power BI. U kunt het labelen gebruiken om gebruiksrapporten te genereren en activiteitsgegevens voor uw gevoelige inhoud te bekijken.
Vertrouwelijkheidslabels in Power BI Desktop
Vertrouwelijkheidslabels kunnen ook worden toegepast in Power BI Desktop. Dit maakt het mogelijk om uw gegevens te beschermen vanaf het moment dat u uw inhoud voor het eerst gaat ontwikkelen. Wanneer u uw werk opslaat in Desktop, wordt het vertrouwelijkheidslabel dat u hebt toegepast, samen met de bijbehorende versleutelingsinstellingen, toegepast op het resulterende PBIX-bestand. Als het label versleutelingsinstellingen heeft, wordt het bestand dus beveiligd waar het ook gaat en wordt het echter verzonden. Alleen gebruikers met de benodigde RMS-machtigingen kunnen deze openen.
Notitie
Sommige beperkingen kunnen van toepassing zijn. Zie Overwegingen en beperkingen.
Als u een vertrouwelijkheidslabel toepast in Desktop, wanneer u uw werk publiceert naar de service of wanneer u een PBIX-bestand van dat werk uploadt naar de service, wordt het label met de gegevens naar de service verzonden. In de service wordt het label toegepast op zowel het semantische model als het rapport dat u bij het bestand krijgt. Als het semantische model en rapport al vertrouwelijkheidslabels hebben, kunt u ervoor kiezen om deze labels te behouden of te overschrijven met het label dat afkomstig is van Desktop.
Als u een PBIX-bestand uploadt dat nog nooit naar de service is gepubliceerd en die dezelfde naam heeft als een rapport of semantisch model dat al bestaat op de service, slaagt het uploaden alleen als de uploader beschikt over de RMS-machtigingen die nodig zijn om het label te wijzigen.
Hetzelfde geldt ook in omgekeerde richting: wanneer u downloadt naar PBIX in de service en vervolgens het PBIX-bestand laadt in Desktop, wordt het label dat zich in de service bevond, toegepast op het gedownloade PBIX-bestand en van daaruit in Desktop geladen. Als het rapport en het semantische model in de service verschillende labels hebben, wordt des te beperkender van de twee toegepast op het gedownloade PBIX-bestand.
Wanneer u een label toepast in Desktop, wordt dit weergegeven op de statusbalk.
Informatie over het toepassen van vertrouwelijkheidslabels op Power BI-inhoud en -bestanden.
Overname van vertrouwelijkheidslabels bij het maken van nieuwe inhoud
Wanneer nieuwe rapporten en dashboards worden gemaakt in de Power BI-service, nemen ze automatisch het vertrouwelijkheidslabel over dat eerder is toegepast op het bovenliggende semantische model of rapport. Een nieuw rapport dat is gemaakt boven op een semantisch model met een vertrouwelijkheidslabel 'Zeer vertrouwelijk', ontvangt automatisch ook het label Zeer vertrouwelijk.
In de volgende afbeelding ziet u hoe het vertrouwelijkheidslabel van een semantisch model automatisch wordt toegepast op een nieuw rapport dat boven op het semantische model is gebouwd.
Notitie
Als het vertrouwelijkheidslabel om welke reden dan ook niet kan worden toegepast op het nieuwe rapport of dashboard, blokkeert Power BI het maken van het nieuwe item niet .
Overname van vertrouwelijkheidslabels uit gegevensbronnen
Semantische Power BI-modellen die verbinding maken met vertrouwelijkheidslabelgegevens in ondersteunde gegevensbronnen, kunnen deze labels overnemen, zodat de gegevens geclassificeerd en veilig blijven wanneer ze in Power BI worden opgenomen. Momenteel worden Azure Synapse Analytics (voorheen SQL Data Warehouse) en Azure SQL Database ondersteund. Zie Overname van vertrouwelijkheidslabels van gegevensbronnen voor informatie over hoe overname van gegevensbronnen werkt en hoe u deze kunt inschakelen voor uw organisatie.
Overname van vertrouwelijkheidslabels downstream
Wanneer een vertrouwelijkheidslabel wordt toegepast op een semantisch model of rapport in de Power BI-service, is het mogelijk om het label omlaag te laten lopen en automatisch te worden toegepast op inhoud die is gebouwd op basis van dat semantische model of rapport. Deze mogelijkheid wordt downstreamovername genoemd.
Downstreamovername is een kritieke koppeling in de end-to-end oplossing voor gegevensbeveiliging van Power BI. Samen met overname van gegevensbronnen, overname bij het maken van nieuwe inhoud, overname bij het exporteren naar bestand en andere mogelijkheden voor het toepassen van vertrouwelijkheidslabels, zorgt downstreamovername ervoor dat gevoelige gegevens tijdens de reis door Power BI beveiligd blijven, van gegevensbron tot verbruikspunt.
Meer informatie over downstreamovername
Beleid ter voorkoming van gegevensverlies
Power BI maakt gebruik van Microsoft 365 preventie van gegevensverlies om centrale beveiligingsteams in staat te stellen beleid voor preventie van gegevensverlies te gebruiken om het DLP-beleid van hun organisatie in Power BI af te dwingen. Zie beleid voor preventie van gegevensverlies voor Fabric en Power BI voor meer informatie.
Standaardlabelbeleid
Organisaties kunnen standaardlabelbeleid maken voor Power BI waarmee automatisch standaard vertrouwelijkheidslabels worden toegepast op niet-gelabelde inhoud om uitgebreide beveiliging en governance van gevoelige gegevens te garanderen. Op dit moment worden standaardlabelbeleidsregels alleen ondersteund in Power BI Desktop. Zie Standaardlabelbeleid voor meer informatie.
Verplicht labelbeleid
Om te zorgen voor uitgebreide beveiliging en governance van gevoelige gegevens, kunnen organisaties vereisen dat gebruikers labels toepassen op hun gevoelige Power BI-inhoud. Een dergelijk beleid wordt een verplicht labelbeleid genoemd. Zie Verplicht labelbeleid voor Power BI voor meer informatie.
Beheerders-API's voor het instellen en verwijderen van labels via een programma
Om te voldoen aan de nalevingsvereisten, moeten organisaties vaak alle gevoelige gegevens in Power BI classificeren en labelen. Deze taak kan lastig zijn voor tenants met grote hoeveelheden gegevens in Power BI. Om de taak eenvoudiger en effectiever te maken, beschikt Power BI over REST API's voor beheerders die beheerders kunnen gebruiken om vertrouwelijkheidslabels op grote aantallen Power BI-artefacten programmatisch in te stellen en te verwijderen. Bekijk het volgende:
- Beheerder - InformationProtection SetLabelsAsAdmin
- Beheerder - InformationProtection RemoveLabelsAsAdmin
Controle voor activiteit op vertrouwelijkheidslabels
Wanneer een vertrouwelijkheidslabel op een semantisch model, rapport, dashboard of gegevensstroom wordt toegepast, gewijzigd of verwijderd, wordt die activiteit vastgelegd in het auditlogboek voor Power BI. U kunt deze activiteiten bijhouden in het geïntegreerde auditlogboek of in het Power BI-activiteitenlogboek. Zie Controleschema voor vertrouwelijkheidslabels in Power BI voor meer informatie.
Vertrouwelijkheidslabels en -beveiliging voor geëxporteerde gegevens
Wanneer gegevens worden geëxporteerd van Power BI naar Excel-, PDF-bestanden of PowerPoint-bestanden, past Power BI automatisch een vertrouwelijkheidslabel toe op het geëxporteerde bestand en beveiligt het volgens de instellingen voor bestandsversleuteling van het label. Op deze manier blijven uw gevoelige gegevens beveiligd, ongeacht waar deze zich bevinden.
Een gebruiker die een bestand uit Power BI exporteert, heeft machtigingen om dat bestand te openen en te bewerken volgens de instellingen voor vertrouwelijkheidslabels; ze krijgen geen eigenaarsmachtigingen voor het bestand.
Notitie
Wanneer u het PBIX-bestand downloaden in de Power BI-service gebruikt, wordt het beperkende label toegepast op het PBIX-bestand als het gedownloade rapport en het semantische model verschillende labels hebben.
Vertrouwelijkheidslabels en -beveiliging worden niet toegepast wanneer gegevens worden geëxporteerd naar .csv, bestanden of een ander niet-ondersteund exportpad.
Als u een vertrouwelijkheidslabel en -beveiliging toepast op een geëxporteerd bestand, wordt er geen inhoudsmarkering toegevoegd aan het bestand. Als het label echter is geconfigureerd om inhoudsmarkeringen toe te passen, worden de markeringen automatisch toegepast door de geïntegreerde Azure Information Protection-labelclient wanneer het bestand wordt geopend in Office-bureaublad-apps. De inhoudsmarkeringen worden niet automatisch toegepast wanneer u ingebouwde labels gebruikt voor desktop-, mobiele of web-apps. Zie Wanneer Office-app inhoudsmarkering en -versleuteling toepast voor meer informatie.
Exporteren mislukt als een label niet kan worden toegepast wanneer gegevens naar een bestand worden geëxporteerd. Als u wilt controleren of het exporteren is mislukt omdat het label niet kan worden toegepast, selecteert u de naam van het rapport of dashboard in het midden van de titelbalk en controleert u of het label 'Vertrouwelijkheidslabel kan niet worden geladen' in de vervolgkeuzelijst info die wordt geopend. Dit kan gebeuren als gevolg van een tijdelijk systeemprobleem of als het toegepaste label niet is gepubliceerd of verwijderd door de beveiligingsbeheerder.
Overname van vertrouwelijkheidslabels in Analyseren in Excel
Wanneer u een draaitabel in Excel maakt met een liveverbinding met een semantisch Power BI-model (u kunt dit doen vanuit Power BI via Analyseren in Excel of vanuit Excel), wordt het vertrouwelijkheidslabel van het semantische model overgenomen en toegepast op uw Excel-bestand, samen met eventuele bijbehorende beveiliging. Als het label in het semantische model later wordt gewijzigd in een meer beperkend label, wordt het label dat op het gekoppelde Excel-bestand wordt toegepast, automatisch bijgewerkt bij het vernieuwen van gegevens.
Vertrouwelijkheidslabels in Excel die handmatig zijn ingesteld, worden niet automatisch overschreven door het vertrouwelijkheidslabel van het semantische model. In plaats daarvan meldt een banner u dat het semantische model een vertrouwelijkheidslabel heeft en raadt u aan het toe te passen.
Notitie
Als het vertrouwelijkheidslabel van het semantische model minder beperkend is dan het vertrouwelijkheidslabel van het Excel-bestand, vindt er geen labelovername of -update plaats. Een Excel-bestand neemt nooit een minder beperkend vertrouwelijkheidslabel over.
Persistentie van vertrouwelijkheidslabels in ingesloten rapporten en dashboards
U kunt Power BI-rapporten, -dashboards en -visuals insluiten in zakelijke toepassingen, zoals Microsoft Teams en SharePoint, of op de website van een organisatie. Wanneer u een visual, rapport of dashboard insluit waarop een vertrouwelijkheidslabel is toegepast, is het vertrouwelijkheidslabel zichtbaar in de ingesloten weergave en blijft het label en de beveiliging behouden wanneer gegevens naar Excel worden geëxporteerd.
De volgende scenario's voor insluiten worden ondersteund:
- Insluiten voor uw organisatie
- Microsoft 365-apps (bijvoorbeeld Teams en SharePoint)
- Beveiligde URL-insluiting (insluiten vanuit de Power BI-service)
Vertrouwelijkheidslabels in gepagineerde rapporten
Vertrouwelijkheidslabels kunnen worden toegepast op gepagineerde rapporten die worden gehost in de Power BI-service. Nadat u een gepagineerd rapport naar de service hebt geüpload, past u het label net als op een normaal Power BI-rapport toe op het rapport. Zie ondersteuning voor vertrouwelijkheidslabels voor gepagineerde rapporten voor meer informatie.
Vertrouwelijkheidslabels in implementatiepijplijnen
Vertrouwelijkheidslabels worden ondersteund in implementatiepijplijnen. Zie de documentatie voor de implementatiepijplijn voor meer informatie over hoe vertrouwelijkheidslabels worden verwerkt als inhoud wordt geïmplementeerd van fase tot fase.
Vertrouwelijkheidslabels in de mobiele Power BI-apps
Vertrouwelijkheidslabels kunnen worden weergegeven op rapporten en dashboards in de mobiele Power BI-apps. Een pictogram in de buurt van de naam van het rapport of dashboard geeft aan dat het een vertrouwelijkheidslabel heeft en het type label en de beschrijving ervan vindt u in het informatievak van het rapport of dashboard.
Afdwingen van labelwijziging
Power BI beperkt machtigingen om vertrouwelijkheidslabels te wijzigen of te verwijderen uit Purview Information Protection die alleen bestandsversleutelingsinstellingen hebben voor geautoriseerde gebruikers. Zie Het afdwingen van wijzigingen in vertrouwelijkheidslabels voor meer informatie.
Ondersteunde clouds
Vertrouwelijkheidslabels worden ondersteund voor tenants in wereldwijde (openbare) clouds en de volgende nationale/regionale clouds:
- Amerikaanse overheid: GCC, GCC High, DoD
- China
Vertrouwelijkheidslabels worden momenteel niet ondersteund in andere nationale/regionale clouds.
Licentieverlening en vereisten
Zie Licentieverlening en vereisten.
Gevoeligheidslabels maken en beheren
Vertrouwelijkheidslabels worden gemaakt en beheerd in de Purview-nalevingsportal.
Als u toegang wilt krijgen tot vertrouwelijkheidslabels in een van deze centra, gaat u naar Vertrouwelijkheidslabels voor classificatie>. Deze vertrouwelijkheidslabels kunnen worden gebruikt door meerdere Microsoft-services, zoals Azure Information Protection, Office-app s en Office 365-services.
Belangrijk
Als uw organisatie azure Information Protection-vertrouwelijkheidslabels gebruikt, moet u ze migreren naar een van de eerder vermelde services om de labels te kunnen gebruiken in Power BI.
Aangepaste Help-koppeling
Om uw gebruikers te helpen begrijpen wat uw vertrouwelijkheidslabels betekenen of hoe ze moeten worden gebruikt, kunt u een meer informatie-URL opgeven die onder aan het menu vertrouwelijkheidslabels wordt weergegeven die u ziet wanneer u een vertrouwelijkheidslabel toepast.
Zie de koppeling Aangepaste Help voor vertrouwelijkheidslabels voor meer informatie.
Overwegingen en beperkingen
Algemeen
Gebruik geen bovenliggende labels. Een bovenliggend label is een label met sublabels. U kunt geen bovenliggende labels toepassen, maar een label dat al is toegepast, kan een bovenliggend label worden als er sublabels worden verkregen. Als u een item met een bovenliggend label tegenkomt, past u het juiste sublabel toe. Als u een bovenliggend label wilt wijzigen, moet u voldoende gebruiksrechten voor het label hebben.
Als een item een bovenliggend label heeft, moet u rekening houden met het volgende gedrag:
- Bovenliggende labels worden niet overgenomen.
- Verplicht labelbeleid wordt niet toegepast op items met een bovenliggend label. Dit betekent dat gebruikers geen zinvol label hoeven toe te passen om het item op te slaan en dat het item geen verplicht labelbeleid nodig heeft dat is ontworpen om de totale dekking te promoten.
- Als u gegevens probeert te exporteren van een item met een bovenliggend label, mislukt het exporteren.
- Het is mogelijk om een PBIX-bestand met een bovenliggend label te publiceren, maar als het bovenliggende label is beveiligd, mislukt het publiceren. De oplossing is het toepassen van een geschikt sublabel.
Vertrouwelijkheidslabels voor gegevens worden niet ondersteund voor sjabloon-apps. Vertrouwelijkheidslabels die zijn ingesteld door de maker van de sjabloon-app, worden verwijderd wanneer de app wordt geëxtraheerd en geïnstalleerd, en vertrouwelijkheidslabels die zijn toegevoegd aan artefacten in een geïnstalleerde sjabloon-app door de gebruiker van de app gaan verloren (opnieuw instellen op niets) wanneer de app wordt bijgewerkt.
Als in het Power BI-service een semantisch model een label heeft dat is verwijderd uit het labelbeheercentrum, kunt u de gegevens niet exporteren of downloaden. In Analyseren in Excel wordt een waarschuwing gegeven en worden de gegevens geëxporteerd naar een ODC-bestand zonder vertrouwelijkheidslabel.
Power BI biedt geen ondersteuning voor vertrouwelijkheidslabels van de beveiligingstypen Niet doorsturen, door de gebruiker gedefinieerd en HYOK. De beveiligingstypen Niet doorsturen en door de gebruiker gedefinieerde beveiligingstypen verwijzen naar labels die zijn gedefinieerd in de Purview-nalevingsportal.
Gegevens ophalen en scenario's vernieuwen uit versleutelde Excel-bestanden (.xlsx) worden ondersteund, tenzij het bestand wordt opgeslagen achter een gateway. In dat geval mislukt de actie Gegevens ophalen/vernieuwen. Haal gegevens op en vernieuw acties uit een Excel-bestand dat is opgeslagen achter een gateway en die een niet-beveiligd vertrouwelijkheidslabel heeft, slaagt, maar het vertrouwelijkheidslabel wordt niet overgenomen. Zie overname van vertrouwelijkheidslabels uit gegevensbronnen voor meer informatie.
Informatiebeveiliging in Power BI biedt geen ondersteuning voor B2B - en multitenantscenario's.
Power BI-service
Vertrouwelijkheidslabels kunnen alleen worden toegepast op dashboards, rapporten, semantische modellen, gegevensstromen en gepagineerde rapporten. Ze zijn momenteel niet beschikbaar voor werkmappen.
Vertrouwelijkheidslabels op Power BI-assets zijn zichtbaar in de lijst met werkruimten, herkomst, favorieten, recente items en apps; labels zijn momenteel niet zichtbaar in de weergave Gedeeld met mij. Houd er echter rekening mee dat een label dat is toegepast op een Power BI-asset, zelfs als deze niet zichtbaar is, altijd behouden blijft op gegevens die worden geëxporteerd naar Excel-, PowerPoint-, PDF- en PBIX-bestanden.
Importeren van pbix-bestanden met vertrouwelijkheidslabels (zowel beveiligd als onbeveiligd) die zijn opgeslagen in OneDrive of SharePoint Online, evenals op aanvraag en automatisch vernieuwen van semantische modellen vanuit dergelijke bestanden, worden ondersteund, met uitzondering van de volgende scenario's:
- Beveiligde, live verbonden PBIX-bestanden en beveiligde PBIX-bestanden van Azure Analysis Services. Vernieuwen mislukt. Rapportinhoud en label worden niet bijgewerkt.
- Niet-beveiligde .pbix-bestanden van Live Connect gelabeld: rapportinhoud wordt bijgewerkt, maar het label wordt niet bijgewerkt.
- Wanneer het PBIX-bestand een nieuw vertrouwelijkheidslabel heeft toegepast waarop de eigenaar van het semantische model geen gebruiksrechten heeft. In dit geval mislukt het vernieuwen. Rapportinhoud en label worden niet bijgewerkt.
- Als het toegangstoken van de eigenaar van het semantische model voor OneDrive/SharePoint is verlopen. In dit geval mislukt het vernieuwen. Rapportinhoud en label worden niet bijgewerkt.
Power BI Desktop
Het rechtstreeks publiceren van een beveiligd PBIX-bestand van Power BI Desktop naar het Power BI-service wordt niet ondersteund voor gastgebruikers, zelfs als ze machtigingen op een hoger niveau hebben. Als u rapporten wilt bijwerken of publiceren vanuit een beveiligd PBIX-bestand, moeten gastgebruikers bijvoorbeeld beginnen met de Power BI-service.
Power BI Desktop voor Power BI Report Server biedt geen ondersteuning voor gegevensbeveiliging. Als u probeert een beveiligd PBIX-bestand te openen, wordt het bestand niet geopend en wordt er een foutbericht weergegeven. Pbix-bestanden met vertrouwelijkheidslabels die niet zijn versleuteld, kunnen als normaal worden geopend.
Gebruikers met een gratis licentie kunnen beveiligde PBIX-bestanden niet openen.
Als u een beveiligd PBIX-bestand wilt openen, moet een gebruiker met een juiste licentie ook beschikken over volledige controle en/of exportgebruiksrechten voor het relevante label. Zie meer details.
De gebruiker die het label instelt, krijgt volledige controle en kan nooit worden vergrendeld, tenzij de connectiviteit mislukt en verificatie niet kan plaatsvinden.
In zeldzame gevallen kan het gebeuren dat niemand de benodigde gebruiksrechten heeft voor het relevante label, behalve de persoon die het label heeft ingesteld. Als die ene persoon de organisatie verlaat of aliassen binnen de organisatie wijzigt, gaat alle toegang tot het PBIX-bestand verloren. De oplossing voor het herstellen van toegang tot het bestand in dergelijke gevallen is het wijzigen of verwijderen van het vertrouwelijkheidslabel op het bestand met behulp van de set/ beheer-API's voor vertrouwelijkheidslabels. Neem contact op met uw Power BI-beheerder voor hulp (alleen beheerders kunnen de beheer-API's uitvoeren).
Publiceren of Ophalen van gegevens van een beveiligd PBIX-bestand vereist dat het label op het PBIX-bestand zich in het labelbeleid van de gebruiker bevindt. Als het label zich niet in het labelbeleid van de gebruiker bevindt, mislukt de actie Gegevens publiceren of ophalen.
Power BI ondersteunt het publiceren of importeren van een PBIX-bestand met een niet-beveiligd vertrouwelijkheidslabel voor de service via API's die worden uitgevoerd onder een service-principal. Het publiceren of importeren van een PBIX-bestand met een beveiligd vertrouwelijkheidslabel voor de service via API's die worden uitgevoerd onder een service-principal , wordt niet ondersteund en mislukt. Om dit te verhelpen, kunnen gebruikers het label verwijderen en vervolgens publiceren met behulp van service-principals.
Power BI Desktop-gebruikers kunnen problemen ondervinden bij het opslaan van hun werk wanneer de internetverbinding is verbroken, bijvoorbeeld nadat ze offline zijn gegaan. Zonder internetverbinding zijn sommige acties met betrekking tot vertrouwelijkheidslabels en rechtenbeheer mogelijk niet correct voltooid. In dergelijke gevallen is het raadzaam om weer online te gaan en opnieuw op te slaan.
Als u een bestand beveiligt met een vertrouwelijkheidslabel dat versleuteling toepast, is het raadzaam ook een andere versleutelingsmethode te gebruiken, zoals paginabestandversleuteling, NTFS-versleuteling, BitLocker-exemplaren, antimalware, enzovoort.
Tijdelijke bestanden worden niet versleuteld.
Exporteren naar PDF in Desktop ondersteunt vertrouwelijkheidslabels als preview-functie die standaard is ingeschakeld. Als u de preview-functie wilt uitschakelen, gaat u naar de functies Opties > voor bestandsopties en instellingen > >, en schakelt u het selectievakje Instellingslabel voor vertrouwelijkheid inschakelen in geëxporteerd PDF-bestand uit. Als u de preview-functie uitschakelt wanneer u een bestand met een vertrouwelijkheidslabel naar PDF exporteert, ontvangt het PDF-bestand het label niet en wordt er geen beveiliging toegepast.
Als u een gelabeld semantisch model of rapport in de service overschrijft met een pbix-bestand zonder label, blijven de labels in de service behouden.
Gerelateerde inhoud
Dit artikel biedt een overzicht van gegevensbeveiliging in Power BI. In de volgende artikelen vindt u meer informatie over gegevensbeveiliging in Power BI.