Rótulos de confidencialidade protegidos no Fabric e no Power BI
Rótulos protegidos são rótulos de confidencialidade que têm políticas de proteção de arquivos associadas e que podem ser usados para proteger arquivos e dados. Uma política de proteção de arquivos para um rótulo concede aos usuários direitos de uso, como a capacidade de abrir um arquivo, editar um arquivo, copiar de um arquivo, etc. Quando um rótulo protegido é aplicado a um arquivo ou item, os usuários incluídos na política podem realizar as ações para as quais têm direitos de uso segundo a política de rótulo. Uma política de proteção de arquivos pode conceder conjuntos de direitos de uso diferentes a diferentes conjuntos de usuários. Por exemplo, segundo a política, um conjunto de usuários pode ter controle total sobre o arquivo, enquanto outro conjunto de usuários pode ter permissão apenas para abrir e exibir o arquivo.
Ter um conjunto de rótulos de confidencialidade e políticas em vigor é um pré-requisito para o uso de rótulos de confidencialidade no Fabric e no Power BI. Os rótulos e suas políticas de proteção de arquivos são definidos por administradores de segurança no portal de conformidade do Microsoft Purview. Normalmente, o mesmo conjunto de rótulos protegidos é usado em uma organização para aplicativos do Office, como o Word, o Excel e o PowerPoint, bem como para o Fabric e o Power BI.
Como os rótulos de confidencialidade protegidos funcionam no Fabric e no Power BI
No Fabric e no serviço do Power BI, os rótulos protegidos controlam apenas a capacidade de alterar ou remover rótulos de itens. Eles não controlam o acesso ao conteúdo. Para que um usuário possa alterar ou remover um rótulo protegido de um item, ele deve ser o usuário que aplicou o rótulo de confidencialidade (o proprietário do RMS) ou ter, pelo menos, um dos seguintes requisitos de direitos de uso para o rótulo.
- OWNER
- EXPORT
- EDIT e EDITRIGHTSDATA
Se o rótulo no item foi definido por um processo automatizado, como herança de fontes de dados ou herança downstream, a terceira opção, EDIT e EDITRIGHTSDATA, é reduzida a EDIT apenas. Veja mais detalhes em Flexibilizações para acomodar cenários de rotulagem automática.
No Power BI Desktop, os rótulos protegidos controlam não apenas a capacidade de alterar ou remover o rótulo protegido, mas também o acesso ao conteúdo (exibição, edição, exportação etc.). Assim sendo, cenários de colaboração com arquivos PBIX protegidos podem ser bloqueados, pois é improvável que a maioria dos usuários tenha direitos de uso suficientes sob o rótulo para abrir e editar o arquivo.
Por exemplo, imagine que você crie um relatório no Power BI Desktop, aplique a ele um rótulo protegido e compartilhe o arquivo PBIX com outro usuário. É bem provável que o usuário não tenha permissões suficientes para abrir o arquivo.
Para evitar essa situação e permitir que mais usuários trabalhem com arquivos PBIX protegidos, o administrador da malha deve habilitar a configuração de locatário Aumentar o número de usuários que podem editar e republicar arquivos PBIX criptografados (Preview). Quando essa configuração estiver habilitada, mais usuários (consulte a observação) poderão abrir, editar e publicar/republicar arquivos PBIX protegidos, mas com as seguintes restrições:
- Não podem exportar para formatos que não ofereçam suporte a rótulos de confidencialidade, como arquivos CSV.
- Não podem alterar o rótulo no arquivo PBIX.
- Só podem republicar o arquivo PBIX no espaço de trabalho original de onde o arquivo veio.
Observação
O arquivo deve ter sido publicado pelo menos uma vez para que outros usuários possam publicá-lo de volta nesse espaço de trabalho específico. Se o arquivo ainda não foi publicado, o emissor de rótulo mais recente (aquele que definiu o rótulo protegido mais recentemente) ou um usuário com direitos de uso suficientes deverá publicá-lo e, em seguida, compartilhar o arquivo com os outros editores).
Essas restrições garantem que os usuários que têm permissões suficientemente para definir o rótulo continuem a controlar a segurança do conteúdo.
Observação
Os usuários devem ter todos os seguintes direitos de uso sob a política de rótulo:
- Exibir conteúdo (VIEW)
- Editar conteúdo (DOCEDIT)
- Salvar (EDIT)
- Copiar e extrair conteúdo (EXTRACT)
- Permitir macros (OBJMODEL)
Esses direitos de uso são um subconjunto da predefinição de permissões de coautoria no portal de conformidade do Microsoft Purview.
Além disso, a opção de versão prévia do recurso Suporte a usuário menos elevado no Power BI Desktop deve estar selecionada. Veja detalhes em Opção de versão prévia do recurso Desktop para edição por usuários com permissões de confidencialidade restritivas.
Liberações para acomodar cenários de rotulamento automático
O Fabric e o Power BI oferecem suporte a vários recursos, como herança de rótulo de fontes de dados e herança downstream, que aplicam automaticamente rótulos de confidencialidade ao conteúdo. Esses cenários automatizados podem resultar em situações em que nenhum usuário tenha sido definido como o emissor do rótulo do RMS para um rótulo em um item. Isso significa que não existe nenhum usuário que tenha garantido o poder de alterar ou remover o rótulo.
Nesses casos, os requisitos de direitos de uso para alterar ou remover o rótulo são liberados. um usuário precisa apenas de um dos seguintes direitos de uso para poder alterar ou remover o rótulo:
- OWNER
- EXPORT
- EDIT
Se nenhum usuário tiver esses direitos de uso, ninguém poderá alterar ou remover o rótulo do item, e o acesso ao item ficará potencialmente em risco.
Para evitar essa situação, o administrador do Fabric pode habilitar a configuração do locatário Permitir que os administradores do espaço de trabalho substituam rótulos de confidencialidade aplicados automaticamente. Isso possibilita que os administradores do workspace substituam os rótulos de confidencialidade aplicados automaticamente sem considerar as regras de aplicação de alteração de rótulo.
Para habilitar essa configuração, vá para: Portal do administrador > Configurações do locatário > Proteção de informações e habilite a configuração Permitir que os administradores do espaço de trabalho substituam rótulos de confiabilidade aplicados automaticamente.