Microsoft Fabric 中的信息保护
Fabric 和 Power BI 中的信息保护使组织能够使用 Microsoft Purview 信息保护中的敏感度标签和策略对其敏感数据进行分类和保护。 此外,Fabric 和 Power BI 还提供其他功能来帮助组织实现最大敏感度标签覆盖率,以及管理和治理其敏感数据。
本文介绍 Fabric 和 Power BI 的信息保护 功能。 可以在 注意事项和限制 部分找到有关当前支持的详细信息。
要求
-
注意
如果组织使用 Azure 信息保护敏感度标签,则需要将其迁移到 Microsoft Purview 信息保护统一标记平台,以便在 Fabric 中使用它们。 详细了解如何迁移敏感度标签。
若要能够将标签应用于 Power BI 项,除了 Microsoft Purview 信息保护所需的许可证之外,用户还必须拥有 Power BI Pro 或 Premium Per User (PPU) 许可证。
Office 应用程序有其自身的 许可要求,用于查看和应用敏感性标签。
在租户上启用敏感度标签之前,请确保已为相关用户和组定义和发布敏感度标签。 有关详细信息,请参阅 创建和配置敏感度标签及其策略。
中国的客户必须启用租户的权限管理,并添加 Microsoft Purview 信息保护同步服务的服务主体,如 为中国客户配置 Azure 信息保护中步骤 1 和 2 所述。
在 Power BI Desktop 中使用敏感度标签需要 2020 年 12 月版或更高版本。
注意
如果尝试使用低于 2020 年 12 月的桌面版本打开受保护的 .pbix 文件,它将失败,系统会提示你升级桌面版本。
存取控制
在以下情况下,敏感度标签可以将访问控制应用于 Fabric 和 Power BI 数据和内容:
在应用敏感度标签的租户中。 此方案依赖于敏感度标签,这些标签与 Microsoft Purview 保护 策略相关联。 当用户登录到应用标签的 Fabric 租户时,尝试访问具有与保护策略关联的标签的项目时,其访问权限由该保护策略控制。 有关详细信息,请参阅 Microsoft Fabric(预览版)中的 保护策略。
在 Power BI Desktop (.pbix) 文件中。 此场景依赖于与 Microsoft Purview 发布策略关联的敏感度标签。 当用户尝试打开具有与发布策略关联的敏感度标签的 .pbix 文件时,其访问权限取决于他们在该策略下拥有的权限。 请参阅 使用敏感度标签应用加密来限制对内容的访问。
在受支持的导出路径中。 此场景依赖于与 Microsoft Purview 发布策略关联的敏感度标签。 当用户尝试打开通过某个受支持的导出路径生成的文件时,其访问权限取决于他们在该策略下拥有的权限。 请参阅 使用敏感度标签应用加密来限制对内容的访问。
重要
所有其他方案中的访问控制不受支持。 这包括跨租户方案,例如 外部数据共享,从另一个租户访问数据或其他导出路径,例如导出到 .csv 文件或 .txt 文件。
支持的导出路径
敏感度标签及其应用的访问控制(如果它们与 Microsoft Purview 发布策略相关联)与离开 Fabric 和 Power BI 的数据和内容一起保留在以下导出路径中:
导出到 Excel、PDF 文件和 PowerPoint。
Fabric 中的“在 Excel 中分析”,这会触发下载一个与 Power BI 语义模型实时连接的 Excel 文件。
Excel 中的数据透视表,与 Power BI 语义模型实时连接,适用于 Microsoft 365 E3 及更高版本的用户。
从 Fabric 下载到 Power BI Desktop (.pbix) 文件。
功能
下表汇总了 Fabric 中的信息保护功能,这些功能可帮助你最大程度地覆盖组织中的敏感信息。 Fabric 支持在第三列中指示。 有关详细信息,请参阅注意事项和限制下的各部分。
| 功能 | 场景 | 支持状态 |
|---|---|---|
| 手动标记 | 用户可以手动将敏感标签应用于 Fabric 项 | 支持所有 Fabric 项。 |
| 默认标签 | 创建或编辑项时,除非通过其他方式应用标签,否则这些项将获取默认敏感度标签。 | 支持所有 Fabric 项,但有限制。 |
| 强制标记 | 除非对项应用敏感度标签,否则用户无法保存这些项。 这意味着他们也不能删除标签。 | 目前仅完全支持 Power BI 项。 支持某些非 Power BI Fabric 项,但有限制。 |
| 编程标签 | 可以通过 Power BI 管理员 REST API 以编程方式添加、更改或删除敏感度标签。 | 支持所有 Fabric 项。 |
| 下游继承 | 当敏感度标签应用于某个项时,该标签会向下游传播到所有依赖项。 | 支持所有 Fabric 项,但有限制。 |
| 创建时继承 | 从现有项创建新项时,新项将继承现有项的标签。 | 支持所有 Power BI Fabric 项。 支持某些非 Power BI Fabric 项,如注意事项和限制中所述。 |
| 从数据源继承 | 当 Fabric 项从具有敏感度标签的数据源引入数据时,该标签将应用于 Fabric 项。 然后,标签通过下游继承传播到该 Fabric 项的子项。 | 目前仅 Power BI 语义模型支持。 |
| 导出 | 当用户从具有敏感度标签的项导出数据时,敏感度标签会随它一起移动到导出的格式。 | 目前支持所支持的导出路径中的 Power BI 项。 |
注意事项和限制
手动标记
在租户上启用敏感度标签时,指定哪些用户可以应用敏感度标签。 虽然本文中所述的其他信息保护功能可以确保大多数项无需手动应用标签即可进行标记,但手动标记可让用户更改项的标签。 有关如何手动将敏感度标签应用于 Fabric 项的详细信息,请参阅如何应用敏感度标签。
注意
为使用户能够将敏感度标签应用于 Fabric 项,仅将用户包含在指定用户列表中是不够的。 敏感度标签还必须作为 Microsoft Purview 合规中心中标签策略定义的一部分发布到用户。 有关详细信息,请参阅创建和配置敏感度标签及其策略。
默认标签
默认标签在 Power BI 中完全受支持,Power BI 的默认标签策略中有介绍。 在 Fabric 中存在一些限制。
创建非 Power BI Fabric 项时,如果有明确的实质性创建对话框,则在用户未选择标签时,将对该项应用默认敏感度标签。 如果在没有明确的创建对话框的过程中创建项,则不会应用默认标签。
更新没有标签的 Fabric 项时,如果该项是 Power BI 项,则在用户未应用标签时,对其任何属性的更改会导致应用默认标签。 如果项属于非 Power BI Fabric 项,则只有对某些属性(如名称和说明)的更改才会应用默认标签。 仅当项的浮出控件菜单中进行了更改时,才会发生此情况。 对于在体验界面中进行的更改,当前不支持使用默认标签。
强制标记
目前仅 Power BI 项支持加强制性标签。 如果通过浮出控件菜单进行更改,则不会强制加强制性标签。
对于湖屋、管道和数据仓库:假设启用了信息保护,如果强制性标签开启而默认标签关闭,则用户可以选择标签。 但不会实施加强制性标签的逻辑。 这意味着用户可以不带标签保存项,除非体验本身要求设置标签。
有关强制标签的详细信息,请参阅 Fabric 和 Power BI 的强制标签策略。
编程标签
所有 Fabric 项都支持编程标签。 有关详细信息,请参阅使用 Power BI REST 管理员 API 设置或删除敏感度标签。
下游继承
下游继承默认打开。 它在 Fabric 中受支持,如下所示:
支持:
- Power BI 项到 Power BI 项
- Fabric 项到 Fabric 项
- Fabric 项到 Power BI 项
不支持:
- Power BI 项到 Fabric 项
从湖屋或数据仓库自动生成的项从其父湖屋或数据仓库获取其敏感度标签。 它们不会从更上游的项继承标签。
有关下游继承的详细信息,请参阅敏感度标签下游继承。
创建时继承
对于 Power BI Fabric 项,以及从另一个项创建项的非 Power BI 项的其他情况,支持创建时继承:
- 从湖屋创建的管道继承湖屋的敏感度标签。
- 从湖屋创建的笔记本继承湖屋的敏感度标签。
- 从湖屋创建的湖屋快捷方式继承湖屋的敏感度标签。
- 从笔记本创建的管道继承笔记本的敏感度标签。
- 从 KQL 数据库创建的 KQL 查询集继承 KQL 数据库的敏感度标签。
- 从 KQL 数据库创建的管道继承 KQL 数据库的敏感度标签。
有关下游继承的详细信息,请参阅创建新内容时继承敏感度标签。
从数据源继承
目前仅 Power BI 语义模型支持从数据源继承。 有关详细信息,请参阅从数据源继承敏感度标签。
导出
仅在支持的导出路径中才支持 Power BI 项在导出时继承敏感度标签。 目前没有其他 Fabric 体验使用将敏感度标签传输到导出输出的导出方法。 但是,如果他们导出具有敏感度标签的项,将会发出警告。
若要查看 Power BI 项支持的导出路径,请参阅 Power BI 中支持的导出路径。