Chronione etykiety poufności w sieci szkieletowej i usłudze Power BI
Etykiety chronione to etykiety poufności, które mają skojarzone z nimi zasady ochrony plików i mogą służyć do ochrony plików i danych. Zasady ochrony plików etykiety udzielają użytkownikom praw użytkowania, takich jak możliwość otwierania pliku, edytowania pliku, kopiowania z pliku itp. Gdy etykieta chroniona jest stosowana do pliku lub elementu, użytkownicy, którzy są objęci zasadami, mogą wykonywać akcje, dla których mają prawa użytkowania w ramach zasad etykiet. Zasady ochrony plików mogą udzielać różnych zestawów użytkowników różnych zestawów praw użytkowania. Na przykład w ramach zasad jeden zestaw użytkowników może mieć pełną kontrolę nad plikiem, podczas gdy inny zestaw użytkowników może być dozwolony tylko do otwierania i wyświetlania pliku.
Posiadanie zestawu etykiet poufności i zasad jest wymaganiem wstępnym do używania etykiet poufności w sieci szkieletowej i usłudze Power BI. Etykiety i zasady ochrony plików są definiowane przez administratorów zabezpieczeń w portal zgodności Microsoft Purview. Zazwyczaj ten sam zestaw etykiet chronionych jest używany w całej organizacji na potrzeby aplikacja pakietu Office, takich jak Word, Excel i PowerPoint, a także dla sieci szkieletowej i usługi Power BI.
Jak działają etykiety chronione w sieci szkieletowej i usłudze Power BI
W obszarze Sieć szkieletowa i usługa Power BI etykiety chronione kontrolują tylko możliwość zmiany lub usuwania etykiet na elementach. Nie kontrolują dostępu do zawartości. Aby użytkownik mógł zmienić lub usunąć etykietę chronioną z elementu, musi być użytkownikiem, który zastosował etykietę poufności (właściciel usługi RMS) lub ma co najmniej jedno z następujących wymagań dotyczących praw użytkowania etykiety.
- WŁAŚCICIEL
- EKSPORTU
- EDIT and EDITRIGHTSDATA
Jeśli etykieta elementu została ustawiona za pośrednictwem zautomatyzowanego procesu, takiego jak dziedziczenie ze źródeł danych lub dziedziczenia podrzędnego, trzecia opcja EDYTUJ i EDITRIGHTSDATA zostanie zredukowana do tylko edycji. Aby uzyskać szczegółowe informacje, zobacz Relaksy, aby uwzględnić scenariusze automatycznego etykietowania.
W programie Power BI Desktop etykiety chronione kontrolują nie tylko możliwość zmiany lub usunięcia etykiety chronionej, ale także dostępu do zawartości (wyświetlanie, edytowanie, eksportowanie itp.). W związku z tym scenariusze współpracy z chronionymi plikami PBIX mogą być blokowane, ponieważ jest mało prawdopodobne, aby większość użytkowników miała wystarczające prawa użytkowania pod etykietą, aby otworzyć i edytować plik.
Załóżmy na przykład, że utworzysz raport w programie Power BI Desktop, zastosuj do niego chronioną etykietę, a następnie udostępnisz plik PBIX innemu użytkownikowi. Prawdopodobnie użytkownik nie będzie miał wystarczających uprawnień do otwierania pliku.
Aby zapobiec tej sytuacji i umożliwić większej liczbie użytkowników pracę z chronionymi plikami PBIX, administrator sieci szkieletowej powinien włączyć ustawienie Zwiększ liczbę użytkowników, którzy mogą edytować i ponownie publikować zaszyfrowane pliki PBIX (wersja zapoznawcza). Po włączeniu tego ustawienia więcej użytkowników (zobacz notatkę) będzie mogło otwierać, edytować i publikować/ponownie publikować chronione pliki PBIX z następującymi ograniczeniami:
- Nie mogą eksportować do formatów, które nie obsługują etykiet poufności, takich jak pliki CSV.
- Nie mogą zmienić etykiety w pliku PBIX.
- Mogą ponownie opublikować plik PBIX tylko w oryginalnym obszarze roboczym, z którego pochodzi plik.
Uwaga
Plik musi zostać opublikowany co najmniej raz, aby inni użytkownicy mogli opublikować go z powrotem do tego określonego obszaru roboczego. Jeśli plik nie został jeszcze opublikowany, najnowszy wystawca etykiety (ten, który ostatnio ustawił etykietę chronioną) lub użytkownik z wystarczającymi prawami użytkowania, musi go opublikować, a następnie udostępnić plik innym edytorom).
Te ograniczenia zapewniają, że bezpieczeństwo zawartości pozostaje pod kontrolą tych, którzy mają wystarczająco wysokie uprawnienia, aby ustawić etykietę.
Uwaga
Użytkownicy muszą mieć wszystkie następujące prawa użytkowania w ramach zasad etykiet:
- Wyświetl zawartość (WIDOK)
- Edytowanie zawartości (DOCEDIT)
- Zapisz (EDYTUJ)
- Kopiowanie i wyodrębnianie zawartości (EXTRACT)
- Zezwalaj na makra (OBJMODEL)
Te prawa użytkowania są podzbiorem wstępnie zdefiniowanych uprawnień współtworzenia w portal zgodności Microsoft Purview.
Ponadto należy wybrać przełącznik funkcji wersji zapoznawczej Obsługa mniej podwyższonego poziomu użytkownika w programie Power BI Desktop. Aby uzyskać szczegółowe informacje, zobacz Przełączanie funkcji programu Desktop w wersji zapoznawczej do edycji przez użytkowników z restrykcyjnymi uprawnieniami poufności.
Relaksy w celu dostosowania do scenariuszy automatycznego etykietowania
Sieć szkieletowa i usługa Power BI obsługują kilka funkcji, takich jak dziedziczenie etykiet ze źródeł danych i dziedziczenie podrzędne, które automatycznie stosują etykiety poufności do zawartości. Te zautomatyzowane scenariusze mogą spowodować sytuacje, w których żaden użytkownik nie został ustawiony jako wystawca etykiet usługi RMS dla etykiety na elemencie. Oznacza to, że nie ma żadnego użytkownika, który ma gwarancję, że będzie mógł zmienić lub usunąć etykietę.
W takich przypadkach wymagania dotyczące praw użytkowania dotyczące zmiany lub usunięcia etykiety są złagodzone — użytkownik potrzebuje tylko jednego z następujących praw użytkowania, aby móc zmienić lub usunąć etykietę:
- WŁAŚCICIEL
- EKSPORTU
- Edytuj…
Jeśli żaden użytkownik nie ma nawet tych praw użytkowania, nikt nie będzie mógł zmienić ani usunąć etykiety z elementu, a dostęp do elementu jest potencjalnie zagrożony.
Aby uniknąć takiej sytuacji, administrator sieci szkieletowej może włączyć ustawienie dzierżawy Zezwalaj administratorom obszaru roboczego na zastępowanie automatycznie zastosowanych etykiet poufności. Dzięki temu administratorzy obszaru roboczego mogą zastąpić automatycznie stosowane etykiety poufności bez względu na reguły wymuszania zmian etykiet.
Aby włączyć to ustawienie, przejdź do: Administracja ustawienia > dzierżawy Ustawienia > dzierżawy Ochrona informacji i włącz przełącznik Zezwalaj administratorom obszaru roboczego na zastępowanie automatycznie zastosowanych etykiet poufności.