Vertraulichkeitsbezeichnungen in Power BI

In diesem Artikel wird die Funktionalität der Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection in Power BI beschrieben.

Informationen zum Aktivieren von Vertraulichkeitsbezeichnungen für Ihren Mandanten, einschließlich Lizenzierungsanforderungen und Voraussetzungen, finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Daten in Power BI.

Informationen zum Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Power BI-Inhalte und -Dateien finden Sie unter Anwenden von Vertraulichkeitsbezeichnungen in Power BI.

Geben Sie uns Feedback

Das Produktteam freut sich über Ihr Feedback zu Power BI-Funktionen zum Informationsschutz und zur Integration in Microsoft Purview Information Protection. Helfen Sie uns, Ihre Anforderungen an den Schutz von Daten zu erfüllen! Vielen Dank.

Einführung

Vertraulichkeitsbezeichnungen von Purview Information Protection bieten Benutzern eine einfache Möglichkeit, kritische Inhalte in Power BI zu klassifizieren, ohne die Produktivität oder die Möglichkeit zur Zusammenarbeit zu beeinträchtigen. Sie können sowohl in Power BI Desktop als auch im Power BI-Dienst angewendet werden. Dadurch ist es möglich, Ihre vertraulichen Daten von dem Moment an, in dem Sie mit der Erstellung Ihrer Inhalte beginnen, bis zu dem Zeitpunkt zu schützen, an dem der Zugriff in Excel über eine Liveverbindung erfolgt. Vertraulichkeitsbezeichnungen bleiben erhalten, wenn Sie Ihre Inhalte in Form von PPIX-Dateien zwischen Power BI Desktop und Power BI-Dienst hin und her verschieben.

Im Power BI-Dienst können Vertraulichkeitsbezeichnungen auf Semantikmodelle, Berichte, Dashboards und Dataflows angewandt werden. Wenn bezeichnete Daten über den Export als Excel-, PowerPoint-, PDF- oder PBIX-Dateien oder über andere unterstützte Exportszenarien wie die Analyse in Excel oder eine Liveverbindung mit PivotTables in Excel aus Power BI ausgegeben werden, wendet Power BI die Bezeichnung automatisch auf die exportierte Datei an. Außerdem wird diese entsprechend den Dateiverschlüsselungseinstellungen für die Bezeichnung geschützt. Auf diese Weise können Ihre vertraulichen Daten auch dann geschützt bleiben, wenn sie Power BI verlassen.

Darüber hinaus können Vertraulichkeitsbezeichnungen auf PPIX-Dateien in Power BI Desktop angewendet werden, damit Ihre Daten und Inhalte sicher sind, wenn sie außerhalb von Power BI freigegeben werden (z. B. damit nur Benutzer innerhalb Ihres Unternehmens eine vertrauliche PPIX-Datei öffnen können, die freigegeben oder an eine E-Mail angefügt wurde), noch ehe sie im Power BI-Dienst veröffentlicht wurden. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung.

Vertraulichkeitsbezeichnungen in Berichten, Dashboards, Semantikmodellen und Dataflows sind an vielen Stellen im Power BI-Dienst sichtbar. Vertraulichkeitskennzeichnungen auf Berichten und Dashboards sind auch in den mobilen Power BI-Apps für iOS und Android sowie in eingebetteten visuellen Objekten sichtbar. In Power BI Desktop wird die Vertraulichkeitsbezeichnung auf der Statusleiste gezeigt.

Über den Bericht zu Schutzmetriken, der im Power BI-Verwaltungsportal verfügbar ist, können Administratoren sämtliche vertraulichen Daten im Power BI-Mandanten einsehen. Außerdem enthalten die Power BI-Überwachungsprotokolle Vertraulichkeitsbezeichnungsinformationen zu Aktivitäten wie dem Anwenden, Entfernen und Ändern von Bezeichnungen, sowie dem Anzeigen von Berichten, Dashboards usw. Dadurch erhalten Power BI-Administratoren und -Sicherheitsadministratoren Einblicke in die Nutzung vertraulicher Daten für die Überwachung und Untersuchung von Sicherheitswarnungen.

Wichtige Hinweise

Im Power BI-Dienst wirkt sich die Vertraulichkeitsbezeichnung nicht auf den Zugriff auf Inhalte aus. Der Zugriff auf Inhalt im Power BI-Dienst wird ausschließlich über Power BI-Berechtigungen verwaltet. Die Bezeichnungen sind zwar sichtbar, ggf. zugeordnete Verschlüsselungseinstellungen (die im Microsoft Purview-Complianceportal konfiguriert sind) werden jedoch nicht angewandt. Sie werden nur auf Daten angewendet, die den Power BI-Dienst über einen unterstützten Exportpfad verlassen, z. B. Exportieren in Excel, PowerPoint oder PDF und Herunterladen in PBIX-Datei.

In Power BI Desktop wirken sich Vertraulichkeitsbezeichnungen mit Verschlüsselungseinstellungen auf den Zugriff auf Inhalte aus. Wenn ein Benutzer gemäß den Verschlüsselungseinstellungen der Vertraulichkeitsbezeichnung für die PPIX-Datei nicht über ausreichende Berechtigungen verfügt, lässt sich die Datei nicht öffnen. Wenn Sie in Power BI Desktop Ihre Eingaben speichern, werden außerdem alle hinzugefügten Vertraulichkeitsbezeichnungen und die zugehörigen Verschlüsselungseinstellungen auf die gespeicherte PBIX-Datei angewendet.

Vertraulichkeitsbezeichnungen und Dateiverschlüsselung werden in nicht unterstützten Exportpfaden nicht angewandt. Der Power BI-Administrator kann den Export über nicht unterstützte Exportpfade blockieren.

Hinweis

Benutzer*innen, denen Zugriff auf einen Bericht erteilt wird, erhalten Zugriff auf das gesamte zugrunde liegende Semantikmodell, sofern ihr Zugriff nicht durch Sicherheit auf Zeilenebene (RLS) eingeschränkt ist. Berichtsautoren können Berichte mithilfe von Vertraulichkeitsbezeichnungen klassifizieren und bezeichnen. Wenn die Vertraulichkeitsbezeichnung Schutzeinstellungen aufweist, wendet Power BI diese Schutzeinstellungen an, wenn die Berichtsdaten Power BI über einen unterstützten Exportpfad verlassen, wie z. B. Exportieren in Excel, PowerPoint oder PDF, Herunterladen in PBIX-Datei und Speichern (Power BI Desktop). Nur autorisierte Benutzer können geschützte Dateien öffnen.

Unterstützte Exportpfade

Das Anwenden von Vertraulichkeitsbezeichnungen und des zugehörigen Schutzes auf Daten, die vom Power BI-Dienst ausgegeben werden, wird derzeit für die folgenden Exportpfade unterstützt:

  • Export in Excel, PDF-Dateien und PowerPoint.
  • Analysen in Excel aus dem Power BI-Dienst. Dabei wird der Download einer Excel-Datei mit einer Liveverbindung mit einem Power BI-Semantikmodell ausgelöst.
  • PivotTable in Excel mit einer Liveverbindung mit einem Power BI-Semantikmodell für Benutzer*innen mit Microsoft 365 E3 und höher.
  • Herunterladen in PBIX-Datei (Power BI-Dienst)

Hinweis

Wenn bei Verwendung von In PBIX herunterladen im Power BI-Dienst der heruntergeladene Bericht und sein Semantikmodell unterschiedliche Bezeichnungen haben, gilt die restriktivere Bezeichnung für die PBIX-Datei.

In Power BI Desktop ist die Unterstützung von Vertraulichkeitsbezeichnungen beim Export in PDF eine standardmäßig aktivierte Vorschaufunktion. Es ist möglich, sie zu deaktivieren. Weitere Informationen finden Sie unter Überlegungen und Einschränkungen zum Desktop.

Funktionsweise von Vertraulichkeitsbezeichnungen in Power BI

Wenn Sie eine Vertraulichkeitsbezeichnung auf Power BI-Inhalte und -Dateien anwenden, ähnelt dieser Vorgang dem Anwenden eines Tags auf die Ressource mit folgenden Vorteilen:

  • Anpassbar: Sie können Kategorien für unterschiedliche Grade vertraulicher Inhalte in Ihrer Organisation anwenden, z. B. „Persönlich“, „Öffentlich“, „Allgemein“, „Vertraulich“ oder „Streng vertraulich“.
  • Clear text (Klartext): Da die Bezeichnung in Klartext verfasst ist, können Benutzer einfach nachvollziehen, wie der Inhalt anhand der Richtlinien für Vertraulichkeitsbezeichnungen behandelt werden muss.
  • Permanent: Nachdem eine Vertraulichkeitsbezeichnung auf Inhalte angewendet wurde, begleitet sie diese Inhalte, wenn sie in Excel-, PowerPoint- und PDF-Dateien exportiert bzw. (in Power BI Desktop) in eine PBIX-Datei heruntergeladen werden und dient als Grundlage für das Anwenden und Erzwingen von Richtlinien.

Im Folgenden finden Sie ein kurzes Beispiel dafür, wie Vertraulichkeitsbezeichnungen in Power BI angewendet werden können. Auf der folgenden Abbildung wird veranschaulicht, wie eine Vertraulichkeitsbezeichnung auf einen Bericht im Power BI-Dienst angewendet wird, wie die Daten anschließend aus dem Bericht in eine Excel-Datei exportiert werden und wie die Vertraulichkeitsbezeichnung und deren Schutzmaßnahmen schließlich in der exportierten Datei beibehalten werden.

Animated gif showing application and persistence of sensitivity labels

Die auf Inhalte angewandten Vertraulichkeitsbezeichnungen bleiben erhalten und werden mit den Inhalten weitergegeben, während sie in Power BI verwendet und gemeinsam genutzt werden. Sie können diese Bezeichnungen verwenden, um Nutzungsberichte zu generieren und Aktivitätsdaten für Ihre vertraulichen Inhalte anzuzeigen.

Vertraulichkeitsbezeichnungen in Power BI Desktop

Vertraulichkeitsbezeichnungen können auch in Power BI Desktop angewendet werden. Dies ermöglicht den Schutz Ihrer Daten von dem Moment an, in dem Sie mit der Erstellung Ihrer Inhalte beginnen. Wenn Sie Ihre Eingaben in Power BI Desktop speichern, wird die von Ihnen verwendete Vertraulichkeitsbezeichnung zusammen mit allen zugehörigen Verschlüsselungseinstellungen auf die resultierende PBIX-Datei angewendet. Wenn die Bezeichnung über Verschlüsselungseinstellungen verfügt, ist die Datei somit geschützt, egal wohin und wie sie übertragen wird. Nur Benutzer mit den erforderlichen RMS-Berechtigungen können sie öffnen.

Hinweis

Es gelten einige Einschränkungen. Weitere Informationen finden Sie unter Überlegungen und Einschränkungen.

Wenn Sie in Power BI Desktop bei Veröffentlichung Ihrer Inhalte im Power BI-Dienst oder beim Hochladen einer PBIX-Datei mit diesen Inhalten in den Power BI-Dienst eine Vertraulichkeitsbezeichnung anwenden, wird die Bezeichnung mit den Daten in den Power BI-Dienst übertragen. Im Power BI-Dienst wird die Bezeichnung sowohl auf das Semantikmodell als auch auf den Bericht angewandt, den Sie mit der Datei erhalten. Wenn das Semantikmodell und der Bericht bereits über Vertraulichkeitsbezeichnungen verfügen, können Sie diese Bezeichnungen beibehalten oder mit der Bezeichnung von Desktop überschreiben.

Wenn PBIX-Dateien hochgeladen werden sollen, die zuvor nicht im Power BI-Dienst veröffentlicht wurden und denselben Namen wie ein Bericht oder Semantikmodell haben, der/das bereits im Power BI-Dienst vorhanden ist, können sie nur dann erfolgreich hochgeladen werden, wenn die hochladenden Benutzer*innen über die erforderlichen RMS-Berechtigungen zum Ändern der Bezeichnung verfügen.

Das Gleiche gilt auch in umgekehrter Richtung. Beim Herunterladen in die PBIX-Datei im Power BI-Dienst und anschließendem Laden der PBIX-Datei in Power BI Desktop wird die Bezeichnung aus dem Power BI Dienst auf die heruntergeladene PBIX-Datei angewendet und von dort in Power BI Desktop geladen. Wenn der Bericht und das Semantikmodell im Power BI-Dienst unterschiedliche Bezeichnungen haben, gilt die restriktivere der beiden für die heruntergeladene PBIX-Datei.

Wenn Sie eine Bezeichnung in Power BI Desktop anwenden, wird sie auf der Statusleiste gezeigt.

Screenshot of sensitivity label in Desktop status bar.

Erfahren Sie, wie Sie Vertraulichkeitsbezeichnungen auf Power BI-Inhalte und -Dateien anwenden.

Vererbung der Vertraulichkeitsbezeichnung bei der Erstellung neuer Inhalte

Wenn im Power BI-Dienst neue Berichte und Dashboards erstellt werden, erben diese automatisch die Vertraulichkeitsbezeichnung, die zuvor auf das übergeordnete Semantikmodell oder den Bericht angewandt wurde. Beispielsweise erhält ein neuer Bericht, der aus einem Semantikmodell mit der Vertraulichkeitsbezeichnung „Streng vertraulich“ erstellt wurde, automatisch die gleiche Bezeichnung.

In der folgenden Abbildung wird veranschaulicht, wie die Vertraulichkeitsbezeichnung eines Semantikmodells automatisch auf einen neuen Bericht angewandt wird, der auf Grundlage dieses Semantikmodells erstellt wird.

Animated gif showing inheritance of sensitivity labels

Hinweis

Wenn die Vertraulichkeitsbezeichnung aus irgendeinem Grund nicht auf den neuen Bericht oder das neue Dashboard angewendet werden kann, blockiert Power BI die Erstellung des neuen Elements nicht.

Vererbung der Vertraulichkeitsbezeichnung aus Datenquellen (Vorschau)

Power BI-Semantikmodelle, die eine Verbindung mit Daten mit Vertraulichkeitsbezeichnung in unterstützten Datenquellen herstellen, können diese Bezeichnungen erben, damit die Daten bei der Erfassung in Power BI klassifiziert und sicher bleiben. Derzeit werden Azure Synapse Analytics (ehemals SQL Data Warehouse) und Azure SQL-Datenbank unterstützt. Informationen dazu, wie die Vererbung aus Datenquellen funktioniert und wie Sie sie für Ihre Organisation aktivieren, finden Sie unter Vererbung der Vertraulichkeitsbezeichnung aus Datenquellen.

Vererbung von Vertraulichkeitsbezeichnungen auf nachgelagerte Inhalte

Wenn eine Vertraulichkeitsbezeichnung auf ein Semantikmodell oder einen Bericht im Power BI-Dienst angewandt wird, ist es möglich, die Bezeichnung weiterzugeben und automatisch auf Inhalte anzuwenden, die aus diesem Semantikmodell oder Bericht erstellt werden. Diese Funktion wird als Downstreamvererbung (nachgelagerte Vererbung) bezeichnet.

Die nachgelagerte Vererbung ist ein entscheidendes Bindeglied in der End-to-End-Informationsschutzlösung von Power BI. Zusammen mit der Vererbung aus Datenquellen,der Vererbung bei der Erstellung neuer Inhalte,der Vererbung beim Export in die Dateiund anderen Funktionen zum Anwenden von Vertraulichkeitsbezeichnungen trägt die Downstreamvererbung (nachgelagerte Vererbung) dazu bei, dass vertrauliche Daten während des gesamten Weges in Power BI von der Datenquelle bis zum Verbrauchspunkt geschützt bleiben.

Weitere Informationen zur Downstreamvererbung

DLP-Richtlinien

Power BI nutzt die Verhinderung von Datenverlust von Microsoft 365, um es zentralen Sicherheitsteams zu ermöglichen, mithilfe von Richtlinien zur Verhinderung von Datenverlust die DLP-Richtlinien ihrer Organisation in Power BI zu erzwingen. Ausführliche Informationen finden Sie unter Richtlinien zur Verhinderung von Datenverlust für Power BI.

Richtlinie für Standardbezeichnungen

Um einen umfassenden Schutz und eine umfassende Governance für sensible Daten sicherzustellen, können Organisationen Standardbezeichnungsrichtlinien für Power BI erstellen, die automatisch standardmäßige Vertraulichkeitsbezeichnungen auf Inhalte ohne Bezeichnung anwenden. Derzeit werden Standardbezeichnungsrichtlinien nur in Power BI Desktop unterstützt. Weitere Informationen finden Sie unter Standardbezeichnungsrichtlinie.

Richtlinie für obligatorische Bezeichnungen

Damit ein umfassender Schutz und eine umfassende Governance vertraulicher Daten sichergestellt ist, können Organisationen verlangen, dass Benutzer Bezeichnungen auf ihre vertraulichen Power BI-Inhalte anwenden. Eine solche Richtlinie wird als obligatorische Bezeichnungsrichtlinie bezeichnet. Weitere Informationen finden Sie unter Obligatorische Bezeichnungsrichtlinie.

Administrator-APIs zum programmgesteuerten Festlegen und Entfernen von Bezeichnungen

Um Complianceanforderungen zu erfüllen, müssen Organisationen häufig alle vertraulichen Daten in Power BI klassifizieren und bezeichnen. Diese Aufgabe kann für Mandanten mit großen Datenmengen in Power BI eine Herausforderung darstellen. Um die Aufgabe einfacher und effektiver zu gestalten, bietet Power BI Administrator-REST-APIs, mit denen Administratoren Vertraulichkeitsbezeichnungen für eine Vielzahl von Power BI-Artefakten programmgesteuert festlegen und entfernen können. Weitere Informationen finden Sie in den folgenden Themen:

Überwachung der Aktivität bei Vertraulichkeitsbezeichnungen

Wenn eine Vertraulichkeitsbezeichnung für ein Semantikmodell, einen Bericht, ein Dashboard oder einen Dataflow angewandt, geändert oder entfernt wird, wird diese Aktivität im Überwachungsprotokoll von Power BI aufgezeichnet. Sie können diese Aktivitäten im einheitlichen Überwachungsprotokoll oder im Power BI-Aktivitätsprotokoll nachverfolgen. Ausführliche Informationen finden Sie unter Überwachungsschema für Vertraulichkeitsbezeichnungen in Power BI.

Vertraulichkeitsbezeichnungen und Schutz bei exportierten Daten

Wenn Daten aus Power BI in Excel-, PowerPoint- oder PDF-Dateien (nur Power Bi-Dienst) exportiert werden, wendet Power BI automatisch eine Vertraulichkeitsbezeichnung auf die exportierte Datei an und schützt diese entsprechend den Dateiverschlüsselungseinstellungen der Bezeichnung. Auf diese Weise bleiben Ihre vertraulichen Daten immer und überall geschützt.

Ein Benutzer, der eine Datei aus Power BI exportiert, kann den Einstellungen der Vertraulichkeitsbezeichnung entsprechend auf diese Datei zugreifen und sie bearbeiten. Er erhält jedoch keine Besitzerberechtigung für die Datei.

Hinweis

Wenn bei Verwendung von In PBIX herunterladen im Power BI-Dienst der heruntergeladene Bericht und sein Semantikmodell unterschiedliche Bezeichnungen haben, gilt die restriktivere Bezeichnung für die PBIX-Datei.

Vertraulichkeitsbezeichnungen und -schutz werden nicht angewendet, wenn die Daten in CSV-Dateien oder über andere Exportpfade exportiert werden.

Durch das Anwenden einer Vertraulichkeitsbezeichnung und von Schutzeinstellungen auf eine exportierte Datei wird dieser keine Inhaltskennzeichnung hinzugefügt. Wenn die Bezeichnung jedoch für das Anwenden von Inhaltskennzeichnungen konfiguriert ist, werden die Kennzeichnungen vom Azure Information Protection-Client für einheitliche Bezeichnungen automatisch angewendet, wenn die Datei in Office-Desktop-Apps geöffnet wird. Die Inhaltskennzeichnungen werden nicht automatisch angewendet, wenn Sie die integrierte Bezeichnungserstellung für mobile Apps, Desktop-Apps oder Web-Apps verwenden. Weitere Informationen finden Sie unter Anwendung von Inhaltskennzeichnung und Verschlüsselung durch Office-Apps.

Beim Export tritt ein Fehler auf, wenn eine Bezeichnung beim Exportieren der Daten in eine Datei nicht angewendet werden kann. Wenn Sie überprüfen möchten, ob der Exportfehler auf die nicht angewendete Bezeichnung zurückzuführen ist, wählen Sie in der Mitte der Titelleiste den Namen des Berichts oder Dashboards, und überprüfen Sie, ob die angezeigte Informationsdropdownliste die Angabe „Die Vertraulichkeitsbezeichnung kann nicht geladen werden“ enthält. Dies kann bei einem vorübergehenden Systemproblem der Fall sein, wenn der Sicherheitsadministrator die Veröffentlichung der angewendeten Bezeichnung aufgehoben oder die Bezeichnung gelöscht hat.

Vererbung von Vertraulichkeitsbezeichnungen bei der Analyse in Excel

Wenn Sie eine PivotTable in Excel mit einer Liveverbindung mit einem Power BI-Semantikmodell erstellen (dafür können Sie die Power BI-Funktion In Excel analysieren oder Excel selbst verwenden), wird die Vertraulichkeitsbezeichnung des Semantikmodells vererbt und zusammen mit dem zugehörigen Schutz auf Ihre Excel-Datei angewandt. Wenn die Bezeichnung des Semantikmodells später in eine restriktivere geändert wird, wird bei der Datenaktualisierung auch die auf die verknüpfte Excel-Datei angewandte Bezeichnung automatisch aktualisiert.

Screenshot of Excel showing sensitivity label inherited from semantic model via live connection.

In Excel manuell festgelegte Vertraulichkeitsbezeichnung werden nicht automatisch durch die Vertraulichkeitsbezeichnung des Semantikmodells überschrieben. Stattdessen informiert ein Banner darüber, dass das Semantikmodell eine Vertraulichkeitsbezeichnung aufweist, und empfiehlt die Anwendung dieser Bezeichnung.

Hinweis

Wenn die Vertraulichkeitsbezeichnung des Semantikmodells weniger restriktiv ist als die der Excel-Datei, findet weder ein Vererbungs- noch ein Aktualisierungsvorgang statt. Eine Excel-Datei erbt niemals eine weniger restriktive Vertraulichkeitsbezeichnung.

Beibehaltung von Vertraulichkeitsbezeichnungen in eingebetteten Berichten und Dashboards

Sie können Power BI-Berichte, -Dashboards und -Visuals in Geschäftsanwendungen wie Microsoft Teams und SharePoint oder auf der Website einer Organisation einbetten. Wenn Sie ein Visual, einen Bericht oder ein Dashboard mit einer Vertraulichkeitsbezeichnung einbetten, wird diese in der eingebetteten Ansicht angezeigt. Die Bezeichnung und der Schutz bleiben erhalten, wenn Daten in Excel exportiert werden.

Screen shot of report embedded in SharePoint Online

Die folgenden Einbettungsszenarios werden unterstützt:

Vertraulichkeitsbezeichnungen in paginierten Berichten

Vertraulichkeitsbezeichnungen können auf im Power BI-Dienst gehostete paginierte Berichte angewendet werden. Nachdem Sie einen paginierten Bericht in den Dienst hochgeladen haben, können Sie die Bezeichnung auf den Bericht anwenden; genau wie bei einem regulären Power BI-Bericht. Weitere Informationen finden Sie unter Unterstützung von Vertraulichkeitsbezeichnungen für paginierte Berichte.

Vertraulichkeitsbezeichnungen in Bereitstellungspipelines

Vertraulichkeitsbezeichnungen werden in Bereitstellungspipelines unterstützt. In der Dokumentation zu Bereitstellungspipelines finden Sie ausführliche Informationen dazu, wie Vertraulichkeitsbezeichnungen behandelt werden, wenn Inhalt von Phase zu Phase bereitgestellt wird.

Vertraulichkeitsbezeichnungen in Power BI Mobile-Apps

Vertraulichkeitsbezeichnungen können in Berichten und Dashboards in Power BI Mobile-Apps angezeigt werden. Ein Symbol neben dem Berichts- oder Dashboardnamen weist darauf hin, dass eine Vertraulichkeitsbezeichnung vorhanden ist. Die Art der Bezeichnung und die Beschreibung finden Sie im Infofeld des Berichts oder Dashboards.

Screen shot of sensitivity label in mobile app

Erzwingung von Bezeichnungsänderungen

Power BI schränkt die Berechtigung zum Ändern oder Entfernen von Vertraulichkeitsbezeichnungen von Purview Information Protection ein, die nur für autorisierte Benutzer Dateiverschlüsselungseinstellungen aufweisen. Details dazu finden Sie unter Änderungserzwingung der Vertraulichkeitsbezeichnung.

Unterstützte Clouds

Vertraulichkeitsbezeichnungen werden für Mandanten in globalen (öffentlichen) Clouds und den folgenden nationalen/regionalen Clouds unterstützt:

Vertraulichkeitsbezeichnungen werden aktuell nicht in anderen nationalen/regionalen Clouds unterstützt.

Lizenzierung und Anforderungen

Siehe Lizenzierung und Anforderungen.

Erstellen und Verwalten von Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen werden im Purview-Complianceportal erstellt und verwaltet.

Sie können dort auf die Vertraulichkeitsbezeichnungen zugreifen, indem Sie zu Klassifizierung > Vertraulichkeitsbezeichnungen navigieren. Diese Vertraulichkeitsbezeichnungen können von mehreren Microsoft-Diensten wie Azure Information Protection, Office-Apps und Office 365-Diensten verwendet werden.

Wichtig

Wenn Ihre Organisation Vertraulichkeitsbezeichnungen von Azure Information Protection verwendet, müssen Sie diese zu einem der zuvor aufgeführten Dienste migrieren, damit die Bezeichnungen in Power BI verwendet werden können.

Damit Ihre Benutzer verstehen, was Ihre Vertraulichkeitsbezeichnungen bedeuten oder wie sie verwendet werden sollen, können Sie unten im Menü für Vertraulichkeitsbezeichnungen eine Weitere Informationen-URL bereitstellen, die angezeigt wird, wenn Sie eine Vertraulichkeitsbezeichnung anwenden.

Screenshot of custom help link for sensitivity labels

Weitere Informationen finden Sie unter Benutzerdefinierter Hilfelink für Vertraulichkeitsbezeichnungen.

Überlegungen und Einschränkungen

Allgemein

  • Verwenden Sie keine übergeordneten Bezeichnungen. Eine übergeordnete Bezeichnung ist eine Bezeichnung, die Unterbezeichnungen hat. Sie können zwar keine übergeordneten Bezeichnungen anwenden, aber eine bereits angewandte Bezeichnung kann zu einer übergeordneten Bezeichnung werden, wenn sie Unterbezeichnungen erhält. Wenn Sie auf ein Element stoßen, das eine übergeordnete Bezeichnung hat, wenden Sie die entsprechende Unterbezeichnung an. Um eine übergeordnete Bezeichnung zu ändern, müssen Sie über ausreichende Nutzungsrechte für die Bezeichnung verfügen.

    Wenn ein Artikel eine übergeordnete Bezeichnung hat, beachten Sie das folgende Verhalten:

    • Übergeordnete Bezeichnungen werden nicht vererbt.
    • Obligatorische Bezeichnungsrichtlinien werden nicht auf Artikel angewendet, die eine übergeordnete Bezeichnung haben. Dies bedeutet, dass die Benutzer keine aussagekräftige Bezeichnung aufbringen müssen, um den Artikel zu speichern, und dass der Artikel den obligatorischen Bezeichnungsrichtlinien entgeht, die eine vollständige Erfassung fördern sollen.
    • Wenn Sie versuchen, Daten aus einem Artikel zu exportieren, der eine übergeordnete Bezeichnung hat, schlägt der Export fehl.
    • Es ist möglich, eine .pbix-Datei zu veröffentlichen, die eine übergeordnete Bezeichnung hat, aber wenn die übergeordnete Bezeichnung geschützt ist, schlägt die Veröffentlichung fehl. Die Lösung besteht darin, eine geeignete Unterbezeichnung anzuwenden.
  • Für Vorlagen-Apps werden keine Vertraulichkeitsbezeichnungen für Daten unterstützt. Vertraulichkeitsbezeichnungen, die vom Ersteller einer Vorlagen-App festgelegt werden, werden entfernt, wenn die App extrahiert und installiert wird, und Vertraulichkeitsbezeichnungen, die durch den App-Anwender zu Artefakten in einer installierten Vorlagen-App hinzugefügt werden, gehen verloren, wenn die App aktualisiert wird.

  • Wenn ein Semantikmodell im Power BI-Dienst eine Bezeichnung hat, die aus dem Label Admin Center gelöscht wurde, können Sie die Daten nicht exportieren oder herunterladen. Bei „In Excel analysieren“ wird eine Warnung ausgegeben, und die Daten werden ohne Vertraulichkeitsbezeichnung in eine ODC-Datei exportiert.

  • Power BI unterstützt keine Vertraulichkeitsbezeichnungen der Schutztypen Nicht weiterleiten, Benutzerdefiniert und HYOK. Die Schutztypen „Nicht weiterleiten“ und „Benutzerdefiniert“ beziehen sich auf im Purview-Complianceportal definierte Bezeichnungen.

  • Daten abrufen und Aktualisierungsszenarien aus verschlüsselten Excel-Dateien (.xlsx) werden unterstützt, es sei denn, die Datei wird hinter einem Gateway gespeichert. In diesem Fall schlägt die Aktion „Daten abrufen/aktualisieren“ fehl. Das Abrufen von Daten und Aktualisierungsaktionen aus einer Excel-Datei, die hinter einem Gateway gespeichert ist und eine ungeschützte Vertraulichkeitsbezeichnung hat, ist erfolgreich, aber die Vertraulichkeitsbezeichnung wird nicht vererbt. Weitere Informationen finden Sie unter Vererbung von Vertraulichkeitsbezeichnungen aus Datenquellen.

  • Der Informationsschutz in Power BI gilt nicht für B2B und Szenarien mit mehreren Mandanten.

Power BI-Dienst

  • Vertraulichkeitsbezeichnungen können nur auf Dashboards, Berichte, Semantikmodelle, Dataflows und paginierte Berichte angewandt werden. Sie sind derzeit nicht für Arbeitsmappen verfügbar.

  • Vertraulichkeitsbezeichnungen für Power BI-Ressourcen werden in der Arbeitsbereichliste, in Herkunftsansichten, in den Favoriten, unter „Zuletzt verwendet“ sowie in App-Ansichten angezeigt, in der Ansicht „Für mich freigegeben“ jedoch derzeit nicht. Beachten Sie jedoch, dass eine auf ein Power BI-Asset angewendete Vertraulichkeitsbezeichnung – auch wenn sie nicht sichtbar ist – immer dauerhaft mit den Daten gespeichert wird, die in Excel-, PowerPoint-, PDF- und PBIX-Dateien exportiert werden.

  • Der Import von (sowohl geschützten als auch ungeschützten) PBIX-Dateien mit Vertraulichkeitsbezeichnung, die auf OneDrive oder SharePoint Online gespeichert sind, sowie bedarfsgesteuerte als auch automatische Semantikmodellaktualisierungen aus solchen Dateien werden mit Ausnahme der folgenden Szenarien unterstützt:

    • Geschützte live verbundene .pbix-Dateien und geschützte Azure Analysis Services .pbix-Dateien. Die Aktualisierung wird fehlschlagen. Weder Berichtinhalte noch Bezeichnung werden aktualisiert.
    • Beschriftet ungeschützte Live Connect .pbix-Dateien: Berichtsinhalte werden aktualisiert, aber die Bezeichnung wird nicht aktualisiert.
    • Wenn auf die PBIX-Datei eine neue Vertraulichkeitsbezeichnung angewendet wurde, für die der/die Besitzer*in des Semantikmodells keine Nutzungsrechte hat. In diesem Fall wird die Aktualisierung fehlschlagen. Weder Berichtinhalte noch Bezeichnung werden aktualisiert.
    • Wenn das Zugriffstoken der Semantikmodellbesitzerin bzw. des Semantikmodellbesitzers für OneDrive/SharePoint abgelaufen ist. In diesem Fall wird die Aktualisierung fehlschlagen. Weder Berichtinhalte noch Bezeichnung werden aktualisiert.

Power BI Desktop

  • Power BI Desktop für den Power BI-Berichtsserver unterstützt Information Protection nicht. Wenn Sie versuchen, eine geschützte PBIX-Datei zu öffnen, wird die Datei nicht geöffnet, und eine Fehlermeldung wird angezeigt. PBIX-Dateien mit Vertraulichkeitsbezeichnung, die nicht verschlüsselt sind, können wie gewohnt geöffnet werden.

  • Benutzer mit einer kostenlosen Lizenz können geschützte .pbix-Dateien nicht öffnen.

  • Um eine geschützte .pbix-Datei zu öffnen, muss ein Benutzer mit einer entsprechenden Lizenz auch die volle Kontrolle und/oder die Export-Nutzungsrechte für die betreffende Bezeichnung haben. Weitere Details finden Sie hier.

    Der Benutzer, welcher die Bezeichnung festgelegt hat, bekommt außerdem die volle Kontrolle und kann niemals gesperrt werden, es sei denn, bei der Verbindung tritt ein Fehler auf und die Authentifizierung kann nicht erfolgen.

    In seltenen Fällen kann es vorkommen, dass niemand über die erforderlichen Nutzungsrechte für die relevante Bezeichnung verfügt, außer der Person, welche die Bezeichnung festgelegt hat. Wenn eine Person die Organisation verlässt oder Aliase innerhalb der Organisation ändert, geht der gesamte Zugriff auf die .pbix-Datei verloren. Die Lösung für die Wiederherstellung des Zugriffs auf die Datei in solchen Fällen besteht darin, die Vertraulichkeitsbezeichnung in der Datei mithilfe der Vertraulichkeitsbezeichnung Admin APIs Festlegen/Entfernen zu ändern oder zu entfernen. Wenden Sie sich an Ihren Power BI-Administrator, um Hilfe zu erhalten (nur Administratoren können die Admin APIs ausführen).

  • Für das Ausführen der Aktionen „Veröffentlichen“ oder „Daten abrufen“ mit einer geschützten PBIX-Datei muss die Bezeichnung der PBIX-Datei in der Bezeichnungsrichtlinie des Benutzers enthalten sein. Wenn die Bezeichnung nicht in der Bezeichnungsrichtlinie des Benutzers enthalten ist, tritt bei den Aktionen „Veröffentlichen“ oder „Daten abrufen“ ein Fehler auf.

  • Power BI unterstützt die Veröffentlichung oder den Import einer PBIX-Datei, die eine ungeschützte Vertraulichkeitsbezeichnung aufweist, in den Dienst über APIs, die unter einem Dienstprinzipal ausgeführt werden. Das Veröffentlichen oder Importieren einer PBIX-Datei mit einer geschützten Vertraulichkeitsbezeichnung für den Dienst über APIs, die unter einem Dienstprinzipal ausgeführt werden, wird nicht unterstützt und schlägt fehl. Um dieses Problem zu beheben, können Benutzer die Bezeichnung entfernen und dann mithilfe von Dienstprinzipalen veröffentlichen.

  • Power BI Desktop-Benutzer haben möglicherweise Probleme, ihre Eingaben zu speichern, wenn die Internetverbindung unterbrochen ist, z. B. wenn sie offline gehen. Ohne Internetverbindung werden einige Aktionen im Zusammenhang mit Vertraulichkeitsbezeichnungen und der Rechteverwaltung möglicherweise nicht ordnungsgemäß abgeschlossen. In solchen Fällen empfiehlt es sich, wieder online zu gehen und erneut zu speichern.

  • Wenn Sie eine Datei mit einer Vertraulichkeitsbezeichnung schützen, die eine Verschlüsselung anwendet, empfiehlt es sich im Allgemeinen, auch eine andere Verschlüsselungsmethode zu verwenden, z. B. Pagefile- oder NTFS-Verschlüsselung, BitLocker-Instanzen, Antischadsoftware usw.

  • Temporäre Dateien werden nicht verschlüsselt.

  • Export in PDF in Desktop unterstützt Vertraulichkeitsbezeichnungen als Vorschaufunktion, die standardmäßig aktiviert ist. Um die Previewfunktion zu deaktivieren, gehen Sie zu Datei->Optionen und Einstellungen > Optionen > Previewfunktionen und deaktivieren Sie Aktivieren Sie die Einstellung der Vertraulichkeitsbezeichnungen in der exportierten PDF-Datei. Wenn Sie die Previewfunktion deaktivieren und eine Datei mit einer Vertraulichkeitsbezeichnung in eine PDF-Datei exportieren, wird die PDF-Datei nicht mit der Bezeichnung versehen und es wird kein Schutz angewendet.

  • Wenn Sie ein Semantikmodell oder einen Bericht mit Bezeichnung im Dienst mit einer PBIX-Datei ohne Bezeichnung überschreiben, werden die Bezeichnungen im Dienst beibehalten.

Dieser Artikel bietet eine Übersicht über den Schutz von Daten in Power BI. In den folgenden Artikeln finden Sie ausführlichere Informationen zum Datenschutz in Power BI.