Etiquetas de sensibilidade protegidas no Fabric e no Power BI
As etiquetas protegidas são etiquetas de confidencialidade que têm políticas de proteção de ficheiros associadas e podem ser utilizadas para proteger ficheiros e dados. Uma política de proteção de arquivo para um rótulo concede direitos de uso aos usuários, como a capacidade de abrir um arquivo, editar um arquivo, copiar de um arquivo, etc. Quando um rótulo protegido é aplicado a um arquivo ou item, os usuários incluídos na política podem executar as ações para as quais têm os direitos de uso sob a política de rótulo. Uma política de proteção de arquivos pode conceder a diferentes conjuntos de usuários diferentes conjuntos de direitos de uso. Por exemplo, de acordo com a política, um conjunto de usuários pode ter controle total sobre o arquivo, enquanto outro conjunto de usuários só pode ter permissão para abrir e exibir o arquivo.
Ter um conjunto de rótulos e políticas de sensibilidade em vigor é um pré-requisito para usar rótulos de sensibilidade na Malha e no Power BI. Os rótulos e suas políticas de proteção de arquivos são definidos pelos administradores de segurança no portal de conformidade do Microsoft Purview. Normalmente, o mesmo conjunto de rótulos protegidos é usado em uma organização para aplicativos do Office, como Word, Excel e PowerPoint, bem como para Malha e Power BI.
Como funcionam as etiquetas protegidas no Fabric e no Power BI
Na Malha e no serviço do Power BI, as etiquetas protegidas controlam apenas a capacidade de alterar ou remover etiquetas nos itens. Eles não controlam o acesso ao conteúdo. Para que um usuário possa alterar ou remover um rótulo protegido de um item, ele deve ser o usuário que aplicou o rótulo de confidencialidade (o proprietário do RMS) ou ter pelo menos um dos seguintes requisitos de direitos de uso para o rótulo.
- PROPRIETÁRIO
- EXPORTAÇÃO
- EDIT e EDITRIGHTSDATA
Se o rótulo no item foi definido por meio de um processo automatizado, como herança de fontes de dados ou herança downstream, a terceira opção, EDIT e EDITRIGHTSDATA, é reduzida a apenas EDIT. Consulte Relaxamentos para acomodar cenários de rotulagem automática para obter detalhes.
No Power BI Desktop, as etiquetas protegidas controlam não só a capacidade de alterar ou remover a etiqueta protegida, mas também o acesso ao conteúdo (visualização, edição, exportação, etc.). Como resultado, os cenários de colaboração com arquivos PBIX protegidos podem ser bloqueados, uma vez que é improvável que a maioria dos usuários tenha direitos de uso suficientes sob o rótulo para abrir e editar o arquivo.
Por exemplo, imagine que você cria um relatório no Power BI Desktop, aplica um rótulo protegido a ele e compartilha o arquivo PBIX com outro usuário. É bastante provável que o usuário não tenha permissões suficientes para abrir o arquivo.
Para evitar essa situação e permitir que mais usuários trabalhem com arquivos PBIX protegidos, o administrador de malha deve habilitar a configuração de locatário Aumentar o número de usuários que podem editar e publicar novamente arquivos PBIX criptografados (visualização). Quando essa configuração estiver habilitada, mais usuários (consulte a nota) poderão abrir, editar e publicar/publicar novamente arquivos PBIX protegidos, com as seguintes restrições:
- Eles não podem exportar para formatos que não suportam rótulos de sensibilidade, como arquivos CSV.
- Eles não podem alterar o rótulo no arquivo PBIX.
- Eles só podem publicar novamente o arquivo PBIX no espaço de trabalho original do qual o arquivo veio.
Nota
O arquivo deve ter sido publicado pelo menos uma vez para que outros usuários possam publicá-lo novamente nesse espaço de trabalho específico. Se o arquivo ainda não tiver sido publicado, o emissor de rótulo mais recente (aquele que definiu mais recentemente o rótulo protegido) ou um usuário com direitos de uso suficientes deve publicá-lo e, em seguida, compartilhar o arquivo com os outros editores.)
Essas restrições garantem que a segurança do conteúdo permaneça sob o controle daqueles que têm permissões altas o suficiente para definir o rótulo.
Nota
Os usuários devem ter todos os seguintes direitos de uso sob a política de rótulo:
- Ver Conteúdo (VIEW)
- Editar conteúdo (DOCEDIT)
- Salvar (EDITAR)
- Copiar e extrair conteúdo (EXTRACT)
- Permitir macros (OBJMODEL)
Esses direitos de uso são um subconjunto das permissões de Coautor predefinidas no portal de conformidade do Microsoft Purview.
Além disso, a opção de recurso de visualização de suporte ao usuário menos elevado no Power BI Desktop deve ser selecionada. Consulte Opção de recurso de visualização da área de trabalho para edição por usuários com permissões de sensibilidade restritiva para obter detalhes.
Relaxamentos para acomodar cenários de etiquetagem automática
A malha e o Power BI oferecem suporte a vários recursos, como herança de rótulos de fontes de dados e herança downstream, que aplicam automaticamente rótulos de sensibilidade ao conteúdo. Esses cenários automatizados podem resultar em situações em que nenhum usuário foi definido como o emissor de rótulo do RMS para um rótulo em um item. Isto significa que não há nenhum utilizador que tenha a garantia de poder alterar ou remover a etiqueta.
Nesses casos, os requisitos de direitos de uso para alterar ou remover o rótulo são relaxados - um usuário precisa de apenas um dos seguintes direitos de uso para poder alterar ou remover o rótulo:
- PROPRIETÁRIO
- EXPORTAÇÃO
- Editar…
Se nenhum usuário tiver mesmo esses direitos de uso, ninguém poderá alterar ou remover a etiqueta do item, e o acesso ao item é potencialmente ameaçado.
Para evitar essa situação, o administrador da Malha pode habilitar a configuração de locatário Permitir que os administradores do espaço de trabalho substituam os rótulos de sensibilidade aplicados automaticamente. Isso possibilita que os administradores do espaço de trabalho substituam rótulos de sensibilidade aplicados automaticamente sem levar em conta as regras de imposição de alteração de rótulo.
Para habilitar essa configuração, vá para: Configurações do locatário do portal > de administração Proteção de informações > e habilite a opção Permitir que os administradores do espaço de trabalho substituam rótulos de sensibilidade aplicados automaticamente.