Informationsskydd i Microsoft Fabric
Informationsskydd i Fabric och Power BI gör det möjligt för organisationer att kategorisera och skydda känsliga data med hjälp av känslighetsetiketter och principer från Microsoft Purview Information Protection. Dessutom tillhandahåller Fabric och Power BI ytterligare funktioner som hjälper organisationer att uppnå maximal täckning av känslighetsetiketter och för att hantera och styra känsliga data.
I den här artikeln beskrivs Fabric och Power BI:s informationsskyddsmöjligheter funktioner. Du hittar information om aktuell support i avsnittet överväganden och begränsningar.
Krav
En lämplig licens för Microsoft Purview Information Protection.
Kommentar
Om din organisation använder känslighetsetiketter för Azure Information Protection måste de migreras till microsoft Purview Information Protection enhetliga etiketteringsplattform för att de ska kunna användas i Fabric. Läs mer om hur du migrerar känslighetsetiketter.
För att kunna tillämpa etiketter på Power BI-objekt måste en användare ha en Licens för Power BI Pro eller Premium per användare (PPU) utöver de licenser som krävs för Microsoft Purview Information Protection.
Office-appar har egna licensieringskrav för visning och tillämpning av känslighetsetiketter.
Innan du aktiverar känslighetsetiketter i klientorganisationen måste du se till att känslighetsetiketter har definierats och publicerats för relevanta användare och grupper. Mer information finns i Skapa och konfigurera känslighetsetiketter och deras principer.
Kunder i Kina måste aktivera rättighetshantering för klientorganisationen och lägga till tjänsten Microsoft Purview Information Protection Sync Service enligt beskrivningen i steg 1 och 2 under Konfigurera Azure Information Protection för kunder i Kina.
Användning av känslighetsetiketter i Power BI Desktop kräver versionen Desktop December 2020 eller senare.
Kommentar
Om du försöker öppna en skyddad .pbix-fil med en skrivbordsversion tidigare än december 2020 misslyckas den och du uppmanas att uppgradera din skrivbordsversion.
Åtkomstkontroll
Känslighetsetiketter kan använda åtkomstkontroll för Fabric- och Power BI-data och innehåll i följande fall:
I klientorganisationen där känslighetsetiketterna tillämpades. Det här scenariot förlitar sig på känslighetsetiketter som är associerade med Microsoft Purview skydd principer. När en användare som är inloggad på Fabric-klientorganisationen där etiketterna tillämpades försöker komma åt ett objekt som har en etikett associerad med en skyddspolicy, styrs deras åtkomst av den skyddspolicyn. Mer information finns i Skyddsprinciper i Microsoft Fabric (förhandsversion).
I Power BI Desktop (.pbix) filer. Det här scenariot förlitar sig på känslighetsetiketter som är associerade med Microsoft Purview publicering principer. När en användare försöker öppna en .pbix- fil som har en känslighetsetikett som är associerad med en publiceringsprincip, beror deras åtkomst på vilka behörigheter de har enligt principen. Se Begränsa åtkomsten till innehåll med hjälp av känslighetsetiketter för att tillämpa kryptering.
I stödda exportsökvägar. Det här scenariot förlitar sig på känslighetsetiketter som är associerade med Microsoft Purview publicering principer. När en användare försöker öppna en fil som genereras via någon av de exportsökvägar som stöds beror deras åtkomst på de behörigheter som de har under den principen. Se Begränsa åtkomsten till innehåll med hjälp av känslighetsetiketter för att tillämpa kryptering.
Viktig
Åtkomstkontroll i alla andra scenarier stöds inte. Detta omfattar scenarier mellan klientorganisationer, till exempel extern datadelning, där data nås från en annan klientorganisation eller andra exportsökvägar, till exempel export till .csv filer eller .txt filer.
Exportsökvägar som stöds
Känslighetsetiketter och den åtkomstkontroll de tillämpar (om de är associerade med en Microsoft Purview-publiceringsprincip) förblir med data och innehåll som lämnar Fabric och Power BI i följande exportsökvägar:
Exportera till Excel, PDF-filer och PowerPoint.
Analysera i Excel från Fabric, vilket utlöser nedladdning av en Excel-fil med en live-anslutning till en Power BI-semantisk modell.
Pivottabell i Excel med en live-anslutning till en Power BI-semantisk modell, för användare med Microsoft 365 E3 och senare.
Ladda ned till en Power BI Desktop-fil (.pbix) från Fabric.
Funktioner
I följande tabell sammanfattas informationsskyddsfunktionerna i Fabric som hjälper dig att uppnå maximal täckning av känslig information i din organisation. Stöd för infrastrukturresurser anges i den tredje kolumnen. Mer information finns i avsnitten under Överväganden och begränsningar .
Kapacitet | Scenario | Supportstatus |
---|---|---|
Manuell etikettering | Användare kan använda känsliga etiketter manuellt för Infrastrukturobjekt | Stöds för alla fabric-objekt. |
Standardetiketter | När ett objekt skapas eller redigeras får det en standardkänslighetsetikett om inte en etikett används på annat sätt. | Stöds för alla fabric-objekt, med begränsningar. |
Obligatorisk etikettering | Användare kan inte spara objekt om inte en känslighetsetikett tillämpas på objektet. Det innebär att de inte heller kan ta bort en etikett. | Stöds för närvarande endast för Power BI-objekt. Stöds för vissa icke-Power BI Fabric-objekt, med begränsningar. |
Programmeringsetiketter | Känslighetsetiketter kan läggas till, ändras eller tas bort programmatiskt via POWER BI-administratörens REST-API:er. | Stöds för alla fabric-objekt. |
Nedströms arv | När en känslighetsetikett tillämpas på ett objekt sprids etiketten nedströms till alla beroende objekt. | Stöds för alla fabric-objekt, med begränsningar. |
Arv vid skapande | När du skapar ett nytt objekt från ett befintligt objekt ärver det nya objektet etiketten för det befintliga objektet. | Stöds för alla Power BI Fabric-objekt. Stöds för vissa icke-Power BI Fabric-objekt enligt beskrivningen i övervägandena och begränsningarna. |
Arv från datakällor | När ett Fabric-objekt matar in data från en datakälla som har en känslighetsetikett, tillämpas den etiketten på fabric-objektet. Etiketten sprids sedan nedströms till underordnade objekt i det fabric-objektet via nedströmsarv. | Stöds för närvarande endast för Power BI-semantiska modeller. |
Export | När en användare exporterar data från ett objekt som har en känslighetsetikett flyttas känslighetsetiketten med den till det exporterade formatet. | Stöds för närvarande för Power BI-objekt i exportsökvägar som stöds. |
Beaktanden och begränsningar
Manuell etikettering
När du aktiverar känslighetsetiketter i klientorganisationen anger du vilka användare som kan använda känslighetsetiketter. Även om de andra funktionerna för informationsskydd som beskrivs i den här artikeln kan se till att de flesta objekt blir märkta utan att någon behöver använda en etikett manuellt, gör manuell etikettering det möjligt för användare att ändra etiketter på objekt. Mer information om hur du manuellt tillämpar känslighetsetiketter på Infrastrukturobjekt finns i Använda känslighetsetiketter.
Kommentar
För att en användare ska kunna tillämpa känslighetsetiketter på infrastrukturobjekt räcker det inte att bara inkludera användaren i listan över angivna användare. Känslighetsetiketten måste också publiceras till användaren som en del av etikettens principdefinitioner i Microsoft Purview Efterlevnadscenter. Mer information finns i Skapa och konfigurera känslighetsetiketter och dessas policyer.
Standardetiketter
Standardetiketter stöds fullt ut i Power BI och beskrivs i Standardetikettprincip för Power BI. I Infrastruktur finns det vissa begränsningar.
När ett icke-Power BI Fabric-objekt skapas, tillämpas standardkänslighetsetiketten på objektet om användaren inte väljer en etikett om det finns en tydlig och innehållsmässig dialogruta. Om objektet skapas i en process där det inte finns någon dialogruta för att skapa klart tillämpas inte standardetiketten.
När ett Fabric-objekt som inte har någon etikett uppdateras, om objektet är ett Power BI-objekt, gör en ändring av något av dess attribut att standardetiketten tillämpas om användaren inte använder en etikett. Om objektet är ett objekt som inte är ett Power BI Fabric-objekt ändras bara vissa attribut, till exempel namn och beskrivning, vilket gör att standardetiketten tillämpas. Och detta är bara om ändringen görs i objektets utfällbara meny. Standardetiketter stöds inte för närvarande för ändringar som görs i gränssnittet.
Obligatorisk etikettering
Obligatorisk etikettering stöds för närvarande endast för Power BI-objekt. Obligatorisk etikettering tillämpas inte om ändringar görs via den utfällbara menyn.
För lakehouses, pipelines och informationslager: Förutsatt att informationsskydd är aktiverat, om obligatorisk etikettering är på och standardetiketter är inaktiverade, är det möjligt för användaren att välja en etikett. Obligatorisk etikettlogik tillämpas dock inte. Det innebär att användaren kan spara objektet utan en etikett, såvida inte själva upplevelsen kräver att en etikett anges.
Mer information om obligatorisk etikettering finns i Obligatorisk etikettprincip för Infrastrukturresurser och Power BI.
Programmeringsetiketter
Programmatisk etikettering stöds för alla fabric-objekt. Mer information finns i Ange eller ta bort känslighetsetiketter med power BI REST-administratörs-API:er.
Nedströms arv
Nedströmsarv är aktiverat som standard. Det stöds i Infrastrukturresurser på följande sätt:
Stödd:
- Power BI-objekt till Power BI-objekt
- Infrastrukturobjekt till infrastrukturresursobjekt
- Infrastrukturobjekt till Power BI-objekt
Stöds inte:
- Power BI-objekt till infrastrukturresursobjekt
Autogenererade objekt från ett sjöhus eller informationslager tar sin känslighetsetikett från sitt överordnade lakehouse eller informationslager. De ärver inte etiketten från objekt längre uppströms.
Mer information om nedströmsarv finns i Nedströmsarv för känslighetsetiketter.
Arv vid skapande
Arv vid skapande stöds för Power BI Fabric-objekt och i andra scenarier med objekt som inte är Power BI-objekt där ett objekt skapas från ett annat objekt:
- En pipeline som skapats från ett Lakehouse ärver känslighetsetiketten för Lakehouse.
- En notebook-fil som skapats från ett Lakehouse ärver känslighetsetiketten för Lakehouse.
- En Lakehouse-genväg som skapats från ett Lakehouse ärver känslighetsetiketten för Lakehouse.
- En pipeline som skapats från en notebook-fil ärver känslighetsetiketten för notebook-filen.
- En KQL-frågeuppsättning som skapats från en KQL-databas ärver känslighetsetiketten för KQL Database.
- En pipeline som skapats från en KQL-databas ärver känslighetsetiketten för KQL Database.
Mer information om nedströmsarv finns i Arv av känslighetsetiketter när nytt innehåll skapas.
Arv från datakällor
Arv från datakällor stöds för närvarande endast för Power BI-semantiska modeller. Mer information finns i Arv av känslighetsetiketter från datakällor.
Export
Arv av känslighetsetiketter vid export stöds endast för Power BI-objekt i exportsökvägar som stöds. För närvarande använder ingen annan infrastrukturresurs en exportmetod som överför känslighetsetiketten till de exporterade utdata. Men om de exporterar ett objekt som har en känslighetsetikett utfärdas en varning.
Information om vilka exportsökvägar som stöds för Power BI-objekt finns i Exportsökvägar som stöds i Power BI.