Skyddade känslighetsetiketter i Infrastrukturresurser och Power BI
Skyddade etiketter är känslighetsetiketter som har associerade filskyddsprinciper och som kan användas för att skydda filer och data. En filskyddsprincip för en etikett ger användarna användningsrättigheter, till exempel möjligheten att öppna en fil, redigera en fil, kopiera från en fil osv. När en skyddad etikett tillämpas på en fil eller ett objekt kan användare som ingår i principen utföra de åtgärder som de har användningsrättigheter för under etikettprincipen. En filskyddsprincip kan ge olika uppsättningar användare olika uppsättningar av användningsrättigheter. Enligt principen kan till exempel en uppsättning användare beviljas fullständig kontroll över filen, medan en annan uppsättning användare kanske bara får öppna och visa filen.
Att ha en uppsättning känslighetsetiketter och principer på plats är en förutsättning för att använda känslighetsetiketter i Infrastrukturresurser och Power BI. Etiketterna och deras filskyddsprinciper definieras av säkerhetsadministratörer i efterlevnadsportal i Microsoft Purview. Normalt används samma uppsättning skyddade etiketter i en organisation för Office-appen som Word, Excel och PowerPoint samt för Fabric och Power BI.
Så här fungerar skyddade etiketter i Infrastrukturresurser och Power BI
I Infrastrukturresurser och Power BI-tjänst styr skyddade etiketter endast möjligheten att ändra eller ta bort etiketter på objekt. De styr inte åtkomsten till innehåll. För att en användare ska kunna ändra eller ta bort en skyddad etikett från ett objekt måste användaren antingen vara den användare som använde känslighetsetiketten (RMS-ägaren) eller ha minst ett av följande användningsbehörighetskrav för etiketten.
- ÄGARE
- EXPORTERA
- REDIGERA och EDITRIGHTSDATA
Om etiketten på objektet har angetts via en automatiserad process, till exempel arv från datakällor eller nedströmsarv, reduceras det tredje alternativet, EDIT och EDITRIGHTSDATA, till bara EDIT. Mer information finns i Avkopplingar för att hantera scenarier med automatisk etikettering.
I Power BI Desktop styr skyddade etiketter inte bara möjligheten att ändra eller ta bort den skyddade etiketten, utan även åtkomst till innehåll (visa, redigera, exportera osv.). Därför kan samarbetsscenarier med skyddade PBIX-filer blockeras, eftersom det är osannolikt att de flesta användare har tillräcklig användningsbehörighet under etiketten för att öppna och redigera filen.
Anta till exempel att du skapar en rapport i Power BI Desktop, tillämpar en skyddad etikett på den och sedan delar PBIX-filen med en annan användare. Det är ganska troligt att användaren inte har tillräcklig behörighet för att öppna filen.
För att förhindra den här situationen och göra det möjligt för fler användare att arbeta med skyddade PBIX-filer bör infrastrukturadministratören aktivera inställningen Öka antalet användare som kan redigera och publicera om krypterade PBIX-filer (förhandsversion). När den här inställningen är aktiverad kan fler användare (se anmärkning) öppna, redigera och publicera/publicera om skyddade PBIX-filer med följande begränsningar:
- De kan inte exportera till format som inte stöder känslighetsetiketter, till exempel CSV-filer.
- De kan inte ändra etiketten på PBIX-filen.
- De kan bara publicera om PBIX-filen till den ursprungliga arbetsytan som filen kom från.
Kommentar
Filen måste ha publicerats minst en gång för att andra användare ska kunna publicera den tillbaka till den specifika arbetsytan. Om filen ännu inte har publicerats måste den senaste utfärdaren av etiketter (den som senast har angett den skyddade etiketten) eller en användare med tillräcklig användningsbehörighet publicera den och sedan dela filen med de andra redigerarna.)
Dessa begränsningar säkerställer att säkerheten för innehållet förblir under kontroll av dem som har tillräckligt hög behörighet för att ange etiketten.
Kommentar
Användarna måste ha alla följande användningsrättigheter under etikettprincipen:
- Visa innehåll (VY)
- Redigera innehåll (DOCEDIT)
- Spara (REDIGERA)
- Kopiera och extrahera innehåll (EXTRACT)
- Tillåt makron (OBJMODEL)
Dessa användningsrättigheter är en delmängd av förinställningen medförfattares behörigheter i efterlevnadsportal i Microsoft Purview.
Dessutom måste funktionsväxeln Mindre förhöjd användarsupport i Power BI Desktop väljas. Mer information finns i Funktionsväxel för skrivbordsförhandsgranskning för redigering av användare med restriktiva känslighetsbehörigheter .
Avkopplingar för att hantera scenarier med automatisk etikettering
Infrastrukturresurser och Power BI har stöd för flera funktioner, till exempel arv av etiketter från datakällor och nedströmsarv, som automatiskt tillämpar känslighetsetiketter på innehåll. Dessa automatiserade scenarier kan resultera i situationer där ingen användare har angetts som RMS-etikett utfärdare för en etikett på ett objekt. Det innebär att det inte finns någon användare som garanterat kan ändra eller ta bort etiketten.
I sådana fall är kraven på användningsrättigheter för att ändra eller ta bort etiketten avslappnade – en användare behöver bara någon av följande användningsrättigheter för att kunna ändra eller ta bort etiketten:
- ÄGARE
- EXPORTERA
- Redigera…
Om ingen användare har ens dessa användningsrättigheter kommer ingen att kunna ändra eller ta bort etiketten från objektet och åtkomsten till objektet är potentiellt hotad.
För att undvika den här situationen kan infrastrukturresursadministratören aktivera inställningen Tillåt att arbetsyteadministratörer åsidosätter automatiskt tillämpad klientinställning för känslighetsetiketter . Detta gör det möjligt för arbetsyteadministratörer att åsidosätta automatiskt tillämpade känslighetsetiketter utan hänsyn till regler för tillämpning av etikettändringar.
Om du vill aktivera den här inställningen går du till: Klientinställningar > för administratörsportalen > Informationsskydd och aktiverar växlingsknappen på inställningen Tillåt att arbetsyteadministratörer åsidosätter automatiskt tillämpade känslighetsetiketter.