Etiquetas de confidencialidad protegidas en Fabric y Power BI
Las etiquetas protegidas son etiquetas de confidencialidad que tienen directivas de protección de archivos asociadas y se pueden usar para proteger archivos y datos. Una directiva de protección de archivos para una etiqueta concede derechos de uso a los usuarios, como la capacidad de abrir un archivo, editarlo, copiar desde un archivo, etc. Cuando se aplica una etiqueta protegida a un archivo o elemento, los usuarios incluidos en la directiva pueden realizar las acciones para las que tienen los derechos de uso en la directiva de etiqueta. Una directiva de protección de archivos puede conceder diferentes conjuntos de derechos de uso a diferentes conjuntos de usuarios. Por ejemplo, en la directiva, se puede conceder a un conjunto de usuarios control total sobre el archivo, mientras que otro conjunto de usuarios podría tener solo permiso para abrirlo y verlo.
Tener un conjunto de etiquetas y directivas de confidencialidad es un requisito previo para usar etiquetas de confidencialidad en Fabric y Power BI. Los administradores de seguridad definen las etiquetas y sus directivas de protección de archivos en el portal de cumplimiento Microsoft Purview. Normalmente, se usa el mismo conjunto de etiquetas protegidas en una organización para las aplicaciones de Office, como Word, Excel y PowerPoint, que para Fabric y Power BI.
Funcionamiento de las etiquetas protegidas en Fabric y Power BI
En Fabric y el servicio Power BI, las etiquetas protegidas solo controlan la capacidad de cambiar o quitar etiquetas en los elementos. No controlan el acceso al contenido. Para que un usuario pueda cambiar o eliminar una etiqueta protegida de un elemento, el usuario debe ser el usuario que aplicó la etiqueta de confidencialidad (el propietario de RMS) o tener al menos uno de los siguientes requisitos de derechos de uso para la etiqueta.
- OWNER
- EXPORT
- EDIT y EDITRIGHTSDATA
Si la etiqueta del elemento se estableció a través de un proceso automatizado, como la herencia de orígenes de datos o la herencia de bajada, la tercera opción, EDIT y EDITRIGHTSDATA, se reduce a solo EDIT. Vea Relajaciones para dar cabida a escenarios de etiquetado automático para más información.
En Power BI Desktop, las etiquetas protegidas controlan no solo la capacidad de cambiar o eliminar la etiqueta protegida, sino también el acceso al contenido (visualización, edición, exportación, etc.). Como resultado, es posible que se bloqueen escenarios de colaboración con archivos PBIX protegidos, ya que es poco probable que la mayoría de los usuarios tengan suficientes derechos de uso bajo la etiqueta para abrir y editar el archivo.
Por ejemplo, imagine que crea un informe en Power BI Desktop, le aplica una etiqueta protegida y, a continuación, comparte el archivo PBIX con otro usuario. Es muy probable que el usuario no tenga permisos suficientes para abrir el archivo.
Para evitar esta situación y permitir que más usuarios trabajen con archivos PBIX protegidos, el administrador de Fabric debe habilitar la configuración de inquilino Aumentar el número de usuarios que pueden editar y volver a publicar archivos PBIX cifrados (versión preliminar). Cuando esta configuración está habilitada, más usuarios (consulte la nota) podrán abrir, editar y publicar o volver a publicar archivos PBIX protegidos, con las restricciones siguientes:
- No podrán exportar a formatos que no admiten las etiquetas de confidencialidad, como archivos CSV.
- No podrán cambiar la etiqueta en el archivo PBIX.
- Solo podrán volver a publicar el archivo PBIX en el área de trabajo original del que procede el archivo.
Nota:
El archivo debe haberse publicado al menos una vez para que otros usuarios puedan volver a publicarlo en esa área de trabajo específica. Si el archivo aún no se ha publicado, el emisor de etiquetas más reciente (el que estableció la etiqueta protegida más recientemente) o un usuario con derechos de uso suficientes debe publicarlo y, a continuación, compartirlo con los demás editores).
Estas restricciones garantizan que la seguridad del contenido permanezca bajo el control de aquellos que tienen permisos suficientes para establecer la etiqueta.
Nota:
Los usuarios deben tener todos los siguientes derechos de uso en la directiva de etiqueta:
- Ver contenido (VIEW)
- Editar contenido (DOCEDIT)
- Guardar (EDIT)
- Copiar y extraer contenido (EXTRACT)
- Permitir macros (OBJMODEL)
Estos derechos de uso son un subconjunto del valor predefinido de permisos de coautor en el portal de cumplimiento Microsoft Purview.
Además, se debe seleccionar el conmutador de características en versión preliminar de compatibilidad con usuarios con menos privilegios elevados en Power BI Desktop. Consulte Conmutador de características en versión preliminar de escritorio para la edición por parte de los usuarios con permisos de confidencialidad restrictivos para obtener más información.
Relajaciones para dar cabida a escenarios de etiquetado automático
Fabric y Power BI admiten varias funcionalidades, como la herencia de etiquetas a partir de orígenes de datos y la herencia de bajada, que aplican etiquetas de confidencialidad al contenido de forma automática. Estos escenarios automatizados pueden dar lugar a situaciones en las que no se haya establecido ningún usuario como emisor de etiquetas RMS para una etiqueta en un elemento. Esto significa que no hay ningún usuario que tenga la garantía de poder cambiar o quitar la etiqueta.
En tales casos, se relajan los requisitos de derechos de uso para cambiar o quitar la etiqueta: un usuario solo necesita uno de los derechos de uso siguientes para poder cambiar o quitar la etiqueta:
- OWNER
- EXPORT
- EDITAR
Si ningún usuario tiene ni siquiera estos derechos de uso, nadie podrá cambiar o quitar la etiqueta del elemento y el acceso a este podría estar en peligro.
Para evitar esta situación, el administrador de Fabric puede permitir la configuración de inquilino Permitir a los administradores del área de trabajo invalidar las etiquetas de confidencialidad aplicadas automáticamente. Esto permite a los administradores del área de trabajo invalidar las etiquetas de confidencialidad aplicadas automáticamente sin tener en cuenta las reglas de aplicación de cambios de etiquetas.
Para habilitar esta configuración, vaya a: Portal de administración > Configuración de inquilino > Protección de información y habilite el botón de alternancia en Permitir que los administradores del área de trabajo invaliden las etiquetas de confidencialidad aplicadas automáticamente.