Ochrona informacji w usłudze Microsoft Fabric
Ochrona informacji w Fabric i Power BI umożliwia organizacjom kategoryzowanie i ochronę poufnych danych przy użyciu etykiet poufności i zasad Microsoft Purview Information Protection. Ponadto, Fabric i Power BI zapewniają dodatkowe możliwości, które pomagają organizacjom osiągnąć maksymalne pokrycie etykiet poufności oraz skutecznie zarządzać i nadzorować ich poufne dane.
W tym artykule opisano funkcje ochrony informacji w usłudze Fabric i Power BI. Szczegółowe informacje o bieżącej pomocy technicznej można znaleźć w sekcji zagadnienia i ograniczenia.
Wymagania
Odpowiednia licencja usługi Microsoft Purview Information Protection.
Uwaga
Jeśli Twoja organizacja używa etykiet poufności usługi Azure Information Protection, należy je zmigrować do zunifikowanej platformy etykietowania usługi Microsoft Purview Information Protection, aby mogły być używane w Fabric. Poznaj więcej informacji na temat migrowania etykiet poufności.
Aby można było zastosować etykiety do elementów usługi Power BI, użytkownik musi mieć licencję usługi Power BI Pro lub Premium na użytkownika (PPU) oprócz licencji wymaganych do usługi Microsoft Purview Information Protection.
Aplikacje pakietu Office mają własne wymagania dotyczące licencjonowania do wyświetlania i stosowania etykiet poufności.
Przed włączeniem etykiet poufności w dzierżawie upewnij się, iż etykiety poufności zostały zdefiniowane i opublikowane dla właściwych użytkowników i grup. Zobacz Tworzenie i konfigurowanie etykiet poufności oraz ich zasad, aby uzyskać szczegółowe informacje.
Klienci w Chinach muszą włączyć zarządzanie prawami dla dzierżawy i dodać zasadę "Microsoft Purview Information Protection Sync Service" jako zasadę usługi, zgodnie z opisem w krokach 1 i 2 w Konfigurowanie usługi Azure Information Protection dla klientów w Chinach.
Używanie etykiet poufności w programie Power BI Desktop wymaga wydania programu Desktop z grudnia 2020 r. lub nowszego.
Uwaga
Jeśli spróbujesz otworzyć chroniony plik pbix z wersją programu Desktop wcześniejszą niż grudzień 2020 r., zakończy się to niepowodzeniem i zostanie wyświetlony monit o uaktualnienie wersji programu Desktop.
Kontrola dostępu
Etykiety poufności mogą stosować kontrolę dostępu do danych i treści Fabric oraz Power BI w następujących przypadkach:
W środowisku dzierżawy, w którym zastosowano etykiety poufności. Ten scenariusz opiera się na etykietach poufności skojarzonych z zasadami ochrony usługi Microsoft Purview
. Gdy użytkownik zalogował się do dzierżawy Fabric, w której zastosowano etykiety, próbuje uzyskać dostęp do elementu, który ma etykietę skojarzoną z polityką ochrony, ich dostęp jest regulowany przez tę politykę ochrony. Aby uzyskać więcej informacji, zobacz Zasady ochrony w usłudze Microsoft Fabric (wersja zapoznawcza). W plikach programu Power BI Desktop (.pbix). Ten scenariusz opiera się na etykietach poufności powiązanych z zasadami publikowania Microsoft Purview . Gdy użytkownik próbuje otworzyć plik .pbix, który ma etykietę poufności skojarzoną z polityką publikowania, dostęp zależy od uprawnień, które mają w ramach tej polityki. Zobacz Ograniczanie dostępu do zawartości przy użyciu etykiet poufności w celu zastosowania szyfrowania.
W obsługiwane ścieżki eksportu. Ten scenariusz opiera się na etykietach poufności powiązanych z zasadami publikowania Microsoft Purview . Gdy użytkownik próbuje otworzyć plik wygenerowany za pośrednictwem jednej z obsługiwanych ścieżek eksportu, jego dostęp zależy od uprawnień, które mają w ramach tych zasad. Zobacz Ograniczanie dostępu do zawartości przy użyciu etykiet poufności w celu zastosowania szyfrowania.
Ważny
Kontrola dostępu we wszystkich innych scenariuszach nie jest obsługiwana. Obejmuje to scenariusze międzydzierżawowe, takie jak udostępnianie danych zewnętrznych, gdzie do danych uzyskuje się dostęp z innej dzierżawy, lub inne ścieżki eksportu, takie jak eksport do plików .csv lub plików .txt.
Obsługiwane ścieżki eksportu
Etykiety poufności i zastosowana kontrola dostępu (jeśli są skojarzone z zasadami publikowania usługi Microsoft Purview) pozostają z danymi i zawartością opuszczającą usługę Fabric i Power BI w następujących ścieżkach eksportu:
Eksportuj do programu Excel, plików PDF i programu PowerPoint.
Analiza w Excel z Fabric, która wyzwala pobieranie pliku programu Excel z aktywnym połączeniem do semantycznego modelu Power BI.
Tabela przestawna w programie Excel z połączeniem na żywo z modelem semantycznym usługi Power BI dla użytkowników korzystających z platformy Microsoft 365 E3 i nowszych.
Pobierz plik programu Power BI Desktop (.pbix) z Fabric.
Możliwości
Poniższa tabela zawiera podsumowanie możliwości ochrony informacji w sieci szkieletowej, które ułatwiają osiągnięcie maksymalnego pokrycia poufnych informacji w organizacji. Obsługa sieci szkieletowej jest wskazana w trzeciej kolumnie. Aby uzyskać szczegółowe informacje, zobacz sekcje w sekcji Zagadnienia i ograniczenia .
| Możliwość | Scenariusz | Stan pomocy technicznej |
|---|---|---|
| Ręczne etykietowanie | Użytkownicy mogą ręcznie stosować etykiety poufne do elementów sieci szkieletowej | Obsługiwane dla wszystkich elementów sieci szkieletowej. |
| Domyślne etykietowanie | Gdy element zostanie utworzony lub edytowany, otrzyma domyślną etykietę poufności, chyba że etykieta zostanie zastosowana za pomocą innych środków. | Obsługiwane dla wszystkich elementów sieci szkieletowej z ograniczeniami. |
| Obowiązkowe etykietowanie | Użytkownicy nie mogą zapisywać elementów, chyba że do elementu zostanie zastosowana etykieta poufności. Oznacza to, że nie mogą również usunąć etykiety. | Obecnie w pełni obsługiwane tylko dla elementów usługi Power BI. Obsługiwane w przypadku niektórych elementów spoza usługi Power BI Fabric z ograniczeniami. |
| Programowe etykietowanie | Etykiety poufności można dodawać, zmieniać lub usuwać programowo za pośrednictwem interfejsów API REST administratora usługi Power BI. | Obsługiwane dla wszystkich elementów sieci szkieletowej. |
| Dziedziczenie podrzędne | Gdy etykieta poufności jest stosowana do elementu, etykieta jest propagowana podrzędnie do wszystkich elementów zależnych. | Obsługiwane dla wszystkich elementów sieci szkieletowej z ograniczeniami. |
| Dziedziczenie po utworzeniu | Podczas tworzenia nowego elementu z istniejącego elementu nowy element dziedziczy etykietę istniejącego elementu. | Obsługiwane dla wszystkich elementów usługi Power BI Fabric. Obsługiwane w przypadku niektórych elementów spoza usługi Power BI Fabric zgodnie z opisem w zagadnieniach i ograniczeniach. |
| Dziedziczenie ze źródeł danych | Gdy element sieci szkieletowej pozyskuj dane ze źródła danych, które ma etykietę poufności, ta etykieta jest stosowana do elementu sieć szkieletowa. Następnie etykieta propaguje element podrzędny do elementów podrzędnych tego elementu sieci szkieletowej za pośrednictwem dziedziczenia podrzędnego. | Obecnie obsługiwane tylko w przypadku modeli semantycznych usługi Power BI. |
| Export | Gdy użytkownik eksportuje dane z elementu, który ma etykietę poufności, etykieta poufności zostanie przeniesiona do wyeksportowanego formatu. | Obecnie obsługiwane w przypadku elementów usługi Power BI w obsługiwanych ścieżkach eksportu. |
Rozważania i ograniczenia
Ręczne etykietowanie
Po włączeniu etykiet poufności w dzierżawie należy określić, którzy użytkownicy mogą stosować etykiety poufności. Chociaż inne funkcje ochrony informacji opisane w tym artykule mogą zapewnić, że większość elementów zostanie oznaczona etykietą bez konieczności ręcznego stosowania etykiety, ręczne etykietowanie umożliwia użytkownikom zmianę etykiet na elementach. Aby uzyskać więcej informacji na temat ręcznego stosowania etykiet poufności do elementów sieci szkieletowej, zobacz Jak stosować etykiety poufności.
Uwaga
Aby użytkownik mógł stosować etykiety poufności do elementów sieci szkieletowej, nie wystarczy tylko dołączyć użytkownika do listy określonych użytkowników. Etykieta poufności musi być również opublikowana dla użytkownika w ramach definicji zasad etykiety w centrum zgodności usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie etykiet poufności i ich zasady.
Domyślne etykietowanie
Domyślne etykietowanie jest w pełni obsługiwane w usłudze Power BI i jest opisane w temacie Domyślne zasady etykiet dla usługi Power BI. W sieci szkieletowej istnieją pewne ograniczenia.
Po utworzeniu elementu innego niż usługa Power BI Fabric, jeśli istnieje jasne, merytoryczne okno dialogowe tworzenia, domyślna etykieta poufności zostanie zastosowana do elementu, jeśli użytkownik nie wybierze etykiety. Jeśli element zostanie utworzony w procesie, w którym nie ma jasnego okna dialogowego tworzenia, domyślna etykieta nie zostanie zastosowana.
Gdy element sieci szkieletowej, który nie ma etykiety, zostanie zaktualizowany, jeśli element jest elementem usługi Power BI, zmiana dowolnego z jego atrybutów powoduje zastosowanie etykiety domyślnej, jeśli użytkownik nie zastosuje etykiety. Jeśli element jest elementem spoza usługi Power BI Fabric, zmienia się tylko na niektóre atrybuty, takie jak nazwa i opis, powodują zastosowanie etykiety domyślnej. Jest to tylko wtedy, gdy zmiana zostanie wprowadzona w menu wysuwany elementu. W przypadku zmian wprowadzonych w interfejsie środowiska domyślne etykietowanie nie jest obecnie obsługiwane.
Obowiązkowe etykietowanie
Obowiązkowe etykietowanie jest obecnie obsługiwane tylko dla elementów usługi Power BI. Obowiązkowe etykietowanie nie jest wymuszane, jeśli zmiany zostaną wprowadzone za pośrednictwem menu wysuwanego.
W przypadku magazynów lakehouse, potoków i magazynów danych: Zakładając, że włączono ochronę informacji, jeśli obowiązkowe etykietowanie jest włączone, a domyślne etykietowanie jest wyłączone, użytkownik będzie mógł wybrać etykietę. Jednak obowiązkowa logika etykietowania nie jest wymuszana. Oznacza to, że użytkownik może zapisać element bez etykiety, chyba że środowisko wymaga ustawienia etykiety.
Aby uzyskać więcej informacji na temat obowiązkowego etykietowania, zobacz Obowiązkowe zasady etykiet dla sieci szkieletowej i usługi Power BI.
Programowe etykietowanie
Etykietowanie programowe jest obsługiwane dla wszystkich elementów sieci szkieletowej. Aby uzyskać więcej informacji, zobacz Ustawianie lub usuwanie etykiet poufności przy użyciu interfejsów API administratora REST usługi Power BI.
Dziedziczenie podrzędne
Dziedziczenie podrzędne jest domyślnie włączone. Jest ona obsługiwana w usłudze Fabric w następujący sposób:
Obsługiwane:
- Element usługi Power BI do elementu usługi Power BI
- Element sieci szkieletowej do elementu sieci szkieletowej
- Element sieci szkieletowej do elementu usługi Power BI
Nieobsługiwane:
- Element usługi Power BI do elementu sieci szkieletowej
Automatycznie wygenerowane elementy z magazynu lakehouse lub data warehouse przyjmują etykietę poufności z nadrzędnego magazynu lakehouse lub magazynu danych. Nie dziedziczą one etykiety z elementów dalej nadrzędnych.
Aby uzyskać więcej informacji na temat dziedziczenia podrzędnego, zobacz Dziedziczenie podrzędne etykiety poufności.
Dziedziczenie po utworzeniu
Dziedziczenie po utworzeniu jest obsługiwane w przypadku elementów usługi Power BI Fabric i w innych scenariuszach z elementami spoza usługi Power BI, w których jeden element jest tworzony na podstawie innego elementu:
- Potok utworzony na podstawie usługi Lakehouse dziedziczy etykietę poufności usługi Lakehouse.
- Notes utworzony na podstawie usługi Lakehouse dziedziczy etykietę poufności usługi Lakehouse.
- Skrót lakehouse utworzony na podstawie lakehouse dziedziczy etykietę poufności Lakehouse.
- Potok utworzony na podstawie notesu dziedziczy etykietę poufności notesu.
- Zestaw zapytań KQL utworzony na podstawie bazy danych KQL dziedziczy etykietę poufności bazy danych KQL.
- Potok utworzony na podstawie bazy danych KQL dziedziczy etykietę poufności bazy danych KQL.
Aby uzyskać więcej informacji na temat dziedziczenia podrzędnego, zobacz Dziedziczenie etykiet poufności podczas tworzenia nowej zawartości.
Dziedziczenie ze źródeł danych
Dziedziczenie ze źródeł danych jest obecnie obsługiwane tylko w przypadku modeli semantycznych usługi Power BI. Aby uzyskać więcej informacji, zobacz Dziedziczenie etykiet poufności ze źródeł danych.
Export
Dziedziczenie etykiet poufności podczas eksportowania jest obsługiwane tylko w przypadku elementów usługi Power BI w obsługiwanych ścieżkach eksportu. Obecnie żadne inne środowisko sieci szkieletowej nie używa metody eksportu, która przesyła etykietę poufności do wyeksportowanych danych wyjściowych. Jeśli jednak wyeksportują element z etykietą poufności, zostanie wyświetlone ostrzeżenie.
Aby wyświetlić obsługiwane ścieżki eksportu dla elementów usługi Power BI, zobacz Obsługiwane ścieżki eksportu w usłudze Power BI.