适用于 Power BI 和数据资产的敏感度标记,确保澳大利亚政府符合 PSPF
本文为澳大利亚政府组织提供有关将 Microsoft Purview 敏感度标记功能扩展到数据源的指南。 其目的是演示这些功能如何通过在源系统中标记信息来增强组织对数据安全的方法。 本文中的建议旨在指导保护性 安全策略框架 (PSPF) 中概述的信息分类和保护方法。
Purview 有两个Microsoft功能,可将敏感度标记扩展到数据和分析空间,并将相关保护扩展到数据和分析空间:
借助架构化数据资产或数据映射功能,我们可以识别位于数据库系统中的敏感信息,并对数据应用标签。
Power BI 集成允许标记 Power BI 资产,包括仪表板、报表、数据集、数据流、分页报表和 Power BI (.pbix) 文件。 可以在所有导出的 Excel 或 PDF 文件上维护标签,并且可以将基于标签的 Azure Rights Management 加密应用于导出的项目。
这些功能的意图是更好地支持信息的整个生命周期的保护。 例如:
注意
这些功能目前处于预览状态,必须通过“信息保护>标签”菜单中提供的提示选择加入预览来启用这些功能。
架构化数据资产
架构化数据资产标记允许标签自动应用于数据,例如驻留在数据库列中的数据。 此服务的意图是启用源系统中敏感信息的识别,并使用此标识来帮助保护信息的整个生命周期并在任何连接的系统中使用。 源位置的标记信息还有助于简化下游系统中的信息管理,因为它无需使用精确数据匹配等工具来识别导出后的内容。
可以通过标签配置中的范围选项为标签启用架构化数据资产选项。
启用架构化数据资产范围选项后, (,如 标识敏感信息) 选择与所配置的标签一致的敏感信息类型。 此过程类似于 基于敏感内容检测推荐标签。
按照标签配置,需要注册数据资产。 以下数据源支持敏感度标签:
- SQL Server
- Azure SQL 数据库
- Azure SQL 托管实例
- Azure Synapse Analytics 工作区
- Azure Cosmos DB for NoSQL
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure 数据资源管理器
该服务需要时间来扫描数据源中定义的敏感信息。 Microsoft Purview 目录(可从Azure 门户中获取)可用于查看已标记的敏感信息。
有关架构化数据资产和通过Microsoft Purview 数据映射标记的详细信息,请参阅Microsoft Purview 数据映射中的标记。
Power BI 集成
敏感度标签可用于 Power BI 内容应用程序的功能与标签“文件”范围相关联。
若要使用 Power BI 标签集成,首先需要在组织的设置下通过 Power BI 管理门户启用信息保护选项。
Power BI 信息保护管理员设置中提供了以下选项:
| Setting | 用途 |
|---|---|
| 允许用户为内容应用敏感度标签 | 启用 MPIP Power BI 集成,并且需要启用以允许标记 Power BI 项。 |
| 在 Power BI 中将数据源中的敏感度标签应用于其数据 | 此选项允许从应用于源信息(如 Azure Synapse Analytics 和 Azure SQL 数据库)的标签继承。 此功能依赖于上一部分所述的架构化数据资产功能。 |
| 自动将敏感度标签应用于下游内容 | 此选项允许在从 Power BI 数据资产生成的项上继承标签。 例如,应用于数据集的标签会流向使用内容的报表和仪表板。 继承的标签不会覆盖手动应用的标签,被视为 ISM-0271 的免费标签,确保下游项目的最低保护级别。 |
| 允许工作区管理员替代自动应用的敏感度标签 | 此选项允许工作区管理员替代标签,这些标签通过上一个设置自动标记。 除了管理员能够更改标签以覆盖基于 Azure Rights Management 的控制(可能会将管理员或用户锁定在项之外)之外,还可以使用此选项。 |
| 限制通过链接与组织中的每个人共享具有受保护标签的内容 | 此选项自定义共享设置,以限制 组织中的创建人员 共享链接,从而减少潜在的数据泄露。 |
配置 Power BI 信息保护 选项并且标签有时间复制到Power BI 服务后,标签即可应用于 Power BI 资源。 例如:
如 敏感度标签策略中所述,可以将标签策略配置为对所有 Power BI 内容强制标记。
除了 Power BI 下游内容设置之外,启用此选项还有助于确保通过 Power BI 生成或查看的敏感信息受到保护,符合组织 DLP 策略,包括在 防止安全机密信息不当分发时建议的策略。
这些设置扩展了组织满足 PSPF 策略 8 核心要求 1 的能力。 这是因为它们允许将分类、标记和关联的控件扩展到 Power BI 位置。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8、要求 1 (核心要求) - 标识 (v2018.6) | 发起方必须确定所生成的信息是否是官方信息 (用作正式记录) ,以及该信息是敏感信息还是安全机密信息。 |
Power BI 下游内容设置将根据源信息的敏感度自动应用标签。 这通常不在政府设置中使用,因为它不遵循 PSPF 策略 8 核心要求 2。 原因是标签应用于内容,用户无需评估信息的敏感度。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 要求 2 (核心要求) - 评估 (v2018.6) | 若要决定应用哪种安全分类,发起方必须: i. 评估官方信息的价值、重要性或敏感性,方法是考虑如果信息的机密性受到损害,可能会对政府、国家利益、组织或个人造成损害, (请参阅下表) , ii. 将安全分类设置为最低合理级别。 |
可能存在需要此功能 (特殊情况,例如,政府 (MoG) 其中批量数据从工作组移动到部门) ,因此此处包含用于此目的。
有关启用 Power BI 集成的先决条件的详细信息,请参阅 在 Power BI 中启用敏感度标签。