Informationsschutz in Microsoft Fabric
Der Informationsschutz in Fabric und Power BI ermöglicht Es Organisationen, ihre vertraulichen Daten mithilfe von Vertraulichkeitsbezeichnungen und Richtlinien von Microsoft Purview Information Protection zu kategorisieren und zu schützen. Darüber hinaus bieten Fabric und Power BI zusätzliche Funktionen, mit denen Organisationen eine maximale Vertraulichkeitsbezeichnungsabdeckung erzielen und ihre vertraulichen Daten verwalten und steuern können.
In diesem Artikel werden die Funktionen des Informationsschutzes von Fabric und Power BI beschrieben. Details zur aktuellen Unterstützung finden Sie im Abschnitt Überlegungen und Einschränkungen.
Anforderungen
Eine entsprechende Lizenz für Microsoft Purview Information Protection.
Hinweis
Wenn Ihre Organisation Vertraulichkeitsbezeichnungen von Azure Information Protection verwendet, müssen sie zur Microsoft Purview Information Protection-Plattform für einheitliche Bezeichnungen migriert werden, damit sie in Fabric verwendet werden können. Erfahren Sie mehr über die Migration von Vertraulichkeitsbezeichnungen.
Um Bezeichnungen auf Power BI-Elemente anwenden zu können, muss ein Benutzer zusätzlich zu den lizenzen, die für Microsoft Purview Information Protection erforderlich sind, über eine Power BI Pro- oder Premium-PPU-Lizenz verfügen.
Office-Apps verfügen über eigene Lizenzierungsanforderungen zum Anzeigen und Anwenden von Vertraulichkeitsbezeichnungen.
Bevor Sie Vertraulichkeitsbezeichnungen für Ihren Mandanten aktivieren, stellen Sie sicher, dass Vertraulichkeitsbezeichnungen für relevante Benutzer und Gruppen definiert und veröffentlicht wurden. Ausführliche Informationen finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien.
Kunden in China müssen die Rechteverwaltung für den Mandanten aktivieren und das Microsoft Purview Information Protection Sync Service-Dienstprinzip hinzufügen, wie in den Schritten 1 und 2 unter Konfigurieren von Azure Information Protection für Kunden in Chinabeschrieben.
Für die Verwendung von Vertraulichkeitsbezeichnungen in Power BI Desktop ist die Desktop-Version vom Dezember 2020 oder höher erforderlich.
Hinweis
Wenn Sie versuchen, eine geschützte PBIX-Datei mit einer Desktopversion vor Dezember 2020 zu öffnen, schlägt dies fehl, und Sie werden aufgefordert, die Desktopversion zu aktualisieren.
Zugriffskontrolle
Vertraulichkeitsbezeichnungen können die Zugriffssteuerung auf Fabric- und Power BI-Daten und -Inhalte in den folgenden Fällen anwenden:
Im Mandanten, in dem die Vertraulichkeitsbezeichnungen angewendet wurden. Dieses Szenario basiert auf Vertraulichkeitsbezeichnungen, die Schutz-Richtlinien von Microsoft Purview zugeordnet sind. Wenn sich ein Benutzer beim Fabric-Mandanten angemeldet hat, auf den die Bezeichnungen angewendet wurden, versucht, auf ein Element zuzugreifen, das einer Schutzrichtlinie zugeordnet ist, wird sein Zugriff durch diese Schutzrichtlinie gesteuert. Weitere Informationen finden Sie unter Schutzrichtlinien in Microsoft Fabric (Vorschau).
In Power BI Desktop-Dateien (.pbix). Dieses Szenario basiert auf Vertraulichkeitsbezeichnungen, die Veröffentlichungs-Richtlinien von Microsoft Purview zugeordnet sind. Wenn ein Benutzer versucht, eine PBIX- Datei mit einer Vertraulichkeitsbezeichnung zu öffnen, die einer Veröffentlichungsrichtlinie zugeordnet ist, hängt ihr Zugriff von den Berechtigungen ab, die sie unter dieser Richtlinie haben. Siehe Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung.
In unterstützten Exportpfaden. Dieses Szenario basiert auf Vertraulichkeitsbezeichnungen, die Veröffentlichungs-Richtlinien von Microsoft Purview zugeordnet sind. Wenn ein Benutzer versucht, eine datei zu öffnen, die über einen der unterstützten Exportpfade generiert wurde, hängt der Zugriff von den Berechtigungen ab, die er unter dieser Richtlinie hat. Siehe Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung.
Wichtig
Die Zugriffssteuerung in allen anderen Szenarien wird nicht unterstützt. Dies umfasst mandantenübergreifende Szenarien, z. B. Freigabe externer Daten, wobei über einen anderen Mandanten auf Daten zugegriffen wird, oder andere Exportpfade, z.B. Exportieren in CVS- oder TXT-Dateien.
Unterstützte Exportpfade
Vertraulichkeitsbezeichnungen und die angewendete Zugriffskontrolle (wenn sie einer Microsoft Purview-Veröffentlichungsrichtlinie zugeordnet sind) bleiben mit den Daten und Inhalten, die über die folgenden Exportpfade Fabric und Power BI verlassen, erhalten.
In Excel, PDF-Dateien und PowerPoint exportieren.
Analysieren Sie in Excel aus Fabric, wodurch das Herunterladen einer Excel-Datei mit einer Liveverbindung zu einem Power BI-Semantikmodell ausgelöst wird.
PivotTable in Excel mit einer Liveverbindung zu einem Power BI-Semantikmodell für Benutzer mit Microsoft 365 E3 und höher.
Herunterladen einer Power BI Desktop-Datei (.pbix) aus Fabric.
Funktionen
In der folgenden Tabelle sind die Informationsschutzfunktionen in Fabric zusammengefasst, mit denen Sie eine maximale Abdeckung der vertraulichen Informationen in Ihrer Organisation erreichen können. Die Fabric-Unterstützung wird in der dritten Spalte angegeben. Weitere Informationen finden Sie in den Abschnitten unter Überlegungen und Einschränkungen.
| Funktion | Szenario | Status der Unterstützung |
|---|---|---|
| Manuelle Bezeichnung | Benutzer können vertrauliche Bezeichnungen manuell auf Fabric-Elemente anwenden | Unterstützt für alle Fabric-Elemente |
| Standardbeschriftung | Wenn ein Element erstellt oder bearbeitet wird, erhält es eine Standardvertraulichkeitsbezeichnung, es sei denn, eine Bezeichnung wird auf andere Weise zugewiesen. | Unterstützt für alle Fabric-Elemente (mit Einschränkungen) |
| Obligatorische Bezeichnung | Benutzer können Elemente nur speichern, wenn eine Vertraulichkeitsbezeichnung auf das Element angewendet wird. Dies bedeutet, dass sie auch keine Bezeichnung entfernen können. | Derzeit nur für Power BI-Elemente vollständig unterstützt. Unterstützt für einige Nicht-Power BI Fabric-Elemente (mit Einschränkungen).. |
| Programmgesteuerte Bezeichnung | Vertraulichkeitsbezeichnungen können programmgesteuert über Power BI-Administrator-REST-APIs hinzugefügt, geändert oder gelöscht werden. | Unterstützt für alle Fabric-Elemente |
| Downstreamvererbung | Wenn eine Vertraulichkeitsbezeichnung auf ein Element angewendet wird, wird die Bezeichnung auf alle abhängigen Elemente übertragen. | Unterstützt für alle Fabric-Elemente (mit Einschränkungen) |
| Vererbung bei der Erstellung | Wenn Sie ein neues Element aus einem vorhandenen Element erstellen, erbt das neue Element die Bezeichnung des vorhandenen Elements. | Unterstützt für alle Power BI Fabric-Elemente. Unterstützt für einige Nicht-Power BI Fabric-Elemente, wie in den Überlegungen und Einschränkungen beschrieben.. |
| Vererbung von Datenquellen | Wenn ein Fabric-Element Daten aus einer Datenquelle erfasst, die über eine Vertraulichkeitsbezeichnung verfügt, wird diese Bezeichnung auf das Fabric-Element angewendet. Die Bezeichnung wird dann über die nachgelagerte Vererbung auf die untergeordneten Elemente dieses Fabric-Elements übertragen. | Derzeit nur für Power BI-Semantikmodelle unterstützt. |
| Exportieren | Wenn ein*e Benutzer*in Daten aus einem Element exportiert, das über eine Vertraulichkeitsbezeichnung verfügt, wird die Vertraulichkeitsbezeichnung mit in das exportierte Format übernommen. | Derzeit für Power BI-Elemente in unterstützten Exportpfaden unterstützt |
Überlegungen und Einschränkungen
Manuelle Bezeichnung
Wenn Sie Vertraulichkeitsbezeichnungen für Ihren Mandanten aktivieren, geben Sie an, welche Benutzer Vertraulichkeitsbezeichnungen anwenden können. Während die anderen in diesem Artikel beschriebenen Funktionen zum Schutz von Informationen sicherstellen können, dass die meisten Elemente mit einer Bezeichnung versehen werden, ohne dass jemand eine Bezeichnung manuell anwenden muss, ermöglicht die manuelle Bezeichnung es Benutzer, Bezeichnungen für Elemente zu ändern. Weitere Informationen zum manuellen Anwenden von Vertraulichkeitsbezeichnungen auf Fabric-Elemente finden Sie unter Anwenden von Vertraulichkeitsbezeichnungen.
Hinweis
Damit ein*e Benutzer*in Vertraulichkeitsbezeichnungen auf Fabric-Elemente anwenden kann, reicht es nicht aus, nur den*die Benutzer*in in die Liste der angegebenen Benutzer aufzunehmen. Die Vertraulichkeitsbezeichnung muss auch als Teil der Richtliniendefinitionen der Bezeichnung im Microsoft Purview Compliance Center für den*die Benutzer*in veröffentlicht werden. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Sensitivitätslabels und deren Richtlinien.
Standardbeschriftung
Die Standardbezeichnung wird in Power BI vollständig unterstützt und unter Standardbezeichnungsrichtlinie für Power BI beschrieben. In Fabric gibt es einige Einschränkungen.
Wenn ein Nicht-Power BI Fabric-Element erstellt wird, wird die Standardvertraulichkeitsbezeichnung auf das Element angewendet, wenn der*die Benutzer*in keine Bezeichnung auswählt. Wenn das Element in einem Prozess erstellt wird, in dem kein eindeutiges Dialogfeld zum Erstellen vorhanden ist, wird die Standardbezeichnung nicht angewendet.
Wenn ein Fabric-Element ohne Bezeichnung aktualisiert wird und es sich um ein Power BI-Element handelt, führt eine Änderung an einem seiner Attribute dazu, dass die Standardbezeichnung angewendet wird, wenn der*die Benutzer*in keine Bezeichnung anwendet. Wenn es sich bei dem Element um ein Nicht-Power BI Fabric-Element handelt, führen nur Änderungen an bestimmten Attributen wie Name und Beschreibung dazu, dass die Standardbezeichnung angewendet wird. Dies ist nur der Fall, wenn die Änderung im Flyoutmenü des Elements vorgenommen wird. Bei Änderungen an der Benutzeroberfläche wird die Standardbezeichnung derzeit nicht unterstützt.
Obligatorische Bezeichnung
Obligatorische Bezeichnungen werden derzeit nur für Power BI-Elemente unterstützt. Die obligatorische Bezeichnung wird nicht erzwungen, wenn Änderungen über das Flyoutmenü vorgenommen werden.
Für Lakehouses, Pipelines und Data Warehouses gilt: Wenn der Informationsschutz aktiviert ist, kann der*die Benutzer*in eine Bezeichnung auswählen, wenn die obligatorische Bezeichnung aktiviert und die Standardbezeichnung deaktiviert ist. Die obligatorische Bezeichnungslogik wird jedoch nicht erzwungen. Das bedeutet, dass der*die Benutzer*in das Element ohne Bezeichnung speichern kann, es sei denn, die Oberfläche selbst erfordert eine Bezeichnung.
Weitere Informationen zu obligatorischen Bezeichnungen finden Sie unter Richtlinie zur obligatorischen Bezeichnung für Fabric und Power BI.
Programmgesteuerte Bezeichnung
Die programmgesteuerte Bezeichnung wird für alle Fabric-Elemente unterstützt. Weitere Informationen finden Sie unter Festlegen oder Entfernen von Vertraulichkeitsbezeichnungen mithilfe von Power BI-Administrator-REST-APIs.
Downstreamvererbung
Die nachgelagerte Vererbung ist standardmäßig aktiviert. Sie wird in Fabric wie folgt unterstützt:
Unterstützt:
- Power BI-Element zu Power BI-Element
- Fabric-Element zu Fabric-Element
- Fabric-Element zu Power BI-Element
Nicht unterstützt:
- Power BI-Element zu Fabric-Element
Automatisch generierte Elemente aus einem Lakehouse oder Data Warehouse übernehmen ihre Vertraulichkeitsbezeichnung von ihrem übergeordneten Lakehouse oder Data Warehouse. Sie erben die Bezeichnung nicht von Upstreamelementen.
Weitere Informationen zur nachgelagerten Vererbung finden Sie unter Nachgelagerte Vererbung von Vertraulichkeitsbezeichnungen.
Vererbung bei der Erstellung
Die Vererbung bei der Erstellung wird für Power BI Fabric-Elemente und in anderen Szenarios mit Nicht-Power BI-Elementen unterstützt, in denen ein Element aus einem anderen Element erstellt wird:
- Eine Pipeline, die aus einem Lakehouse erstellt wurde, erbt die Vertraulichkeitsbezeichnung des Lakehouse.
- Ein Notebook, das aus einem Lakehouse erstellt wurde, erbt die Vertraulichkeitsbezeichnung des Lakehouse.
- Eine Lakehouse-Verknüpfung, die aus einem Lakehouse erstellt wurde, erbt die Vertraulichkeitsbezeichnung des Lakehouse.
- Eine Pipeline, die aus einem Notebook erstellt wurde, erbt die Vertraulichkeitsbezeichnung des Notebooks.
- Ein KQL-Abfrageset, das aus einer KQL-Datenbank erstellt wurde, erbt die Vertraulichkeitsbezeichnung der KQL-Datenbank.
- Eine Pipeline, die aus einer KQL-Datenbank erstellt wurde, erbt die Vertraulichkeitsbezeichnung der KQL-Datenbank.
Weitere Informationen zur nachgelagerten Vererbung finden Sie unter Vererbung von Vertraulichkeitsbezeichnungen beim Erstellen neuer Inhalte.
Vererbung von Datenquellen
Die Vererbung aus Datenquellen wird derzeit nur für Power BI-Semantikmodelle unterstützt. Weitere Informationen finden Sie unter Vererben von Vertraulichkeitsbezeichnungen aus Datenquellen.
Exportieren
Die Vererbung von Vertraulichkeitsbezeichnungen beim Export wird nur für Power BI-Elemente in unterstützten Exportpfaden unterstützt. Derzeit verwendet keine andere Fabric-Benutzeroberfläche eine Exportmethode, die die Vertraulichkeitsbezeichnung an die exportierte Ausgabe überträgt. Wenn sie jedoch ein Element exportieren, das über eine Vertraulichkeitsbezeichnung verfügt, wird eine Warnung ausgegeben.
Informationen zu den unterstützten Exportpfaden für Power BI-Elemente finden Sie unter Unterstützte Exportpfade in Power BI.