Fabric 和 Power BI 中受保护的敏感度标签
受保护的标签是具有与其关联的文件保护策略的敏感度标签,可用于保护文件和数据。 标签的文件保护策略向用户授予使用权限,例如打开文件、编辑文件、从文件复制等功能。当受保护的标签应用于文件或项时,策略中包含的用户可以执行他们在标签策略下具有使用权限的操作。 文件保护策略可以授予不同用户组不同的使用权限集。 例如,在策略下,一组用户可能被授予对文件的完全控制权,而另一组用户可能只被允许打开和查看文件。
设置一组敏感度标签和策略是在 Fabric 和 Power BI 中使用敏感度标签的先决条件。 标签及其文件保护策略由 Microsoft Purview 合规门户中的安全管理员定义。 通常,在整个组织中,Office 应用程序(如 Word、Excel 和 PowerPoint)以及 Fabric 和 Power BI 都使用同一组受保护的标签。
受保护的标签在 Fabric 和 Power BI 中的工作原理
在 Fabric 和Power BI 服务中,受保护的标签仅控制更改或删除项目标签的功能。 它们不控制对内容的访问。 为了使用户能够更改或删除项中的受保护标签,用户必须是应用敏感度标签的用户(RMS 所有者),或者至少具有以下标签使用权限要求之一。
- OWNER
- EXPORT
- EDIT 和 EDITRIGHTSDATA
如果项目上的标签是通过自动化过程(例如从数据源继承或下游继承)设置的,则第三个选项 EDIT 和 EDITRIGHTSDATA 将简化为仅 EDIT。 详情请参阅用于适应自动标记场景的放宽措施。
在 Power BI Desktop 中,受保护的标签不仅控制更改或删除受保护标签的功能,还控制对内容的访问(查看、编辑、导出等)。 因此,可能会阻止使用受保护 PBIX 文件的协作方案,因为大多数用户不太可能在标签下拥有足够的使用权限来打开和编辑文件。
例如,假设您在 Power BI Desktop 中创建一个报表,为其应用受保护的标签,然后与其他用户共享 PBIX 文件。 用户很可能没有足够的权限来打开文件。
为防止这种情况并使更多用户能够使用受保护的 PBIX 文件,Fabric 管理员应该启用增加可以编辑和重新发布加密 PBIX 文件的用户数量(预览)租户设置。 启用此设置后,更多用户(请参阅注释)将能够打开、编辑和发布/重新发布受保护的 PBIX 文件,但存在以下限制:
- 用户无法将文件导出为不支持敏感度标签的格式,例如 CSV 文件。
- 用户无法更改 PBIX 文件上的标签。
- 用户只能将 PBIX 文件重新发布到文件来源的原始工作区。
注意
该文件必须至少发布一次,其他用户才能将其发布回该特定工作区。 如果文件尚未发布,则最新标签颁发者(最近设置受保护标签的用户)或具有足够使用权限的用户必须发布该文件,然后与其他编辑者共享该文件。
这些限制可确保内容的安全性始终处于具有足够高权限以设置标签的人员的控制之下。
注意
用户必须在标签策略下拥有以下所有使用权限:
- 查看内容 (VIEW)
- 编辑内容 (DOCEDIT)
- 保存 (EDIT)
- 复制和提取内容 (EXTRACT)
- 允许宏 (OBJMODEL)
这些使用权限是 Microsoft Purview 合规门户中预设的共同创作权限的子集。
此外,必须选择 Power BI Desktop 中提升较少的用户支持预览功能开关。 有关详细信息,请参阅桌面预览功能开关,供具有限制性敏感度权限的用户进行编辑。
用于适应自动标记场景的放宽措施
Fabric 和 Power BI 支持多种功能,例如从数据源继承标签和下游继承,这些功能会自动将敏感度标签应用到内容中。 这些自动化场景可能会导致一些情况出现,即任何用户都未设置为某一项上标签的 RMS 标签颁发者。 这意味着不保证有用户能够更改或删除标签。
在这种情况下,更改或删除标签的使用权限要求便会放宽,用户只需具有以下一种使用权限即可更改或删除标签:
- OWNER
- EXPORT
- 编辑
如果甚至这些使用权限都没有用户拥有,则没有人可以更改或删除项中的标签,并且访问该项可能存在风险。
若要避免这种情况,Fabric 管理员可以启用允许工作区管理员替代自动应用的敏感度标签租户设置。 这样,工作区管理员就可以替代自动应用的敏感度标签,而无需考虑标签更改执行规则。
若要启用此设置,请转至:管理员门户 > 租户设置 > 信息保护,并启用允许工作区管理员替代自动应用的敏感度标签设置的切换开关。