Ereditarietà downstream dell'etichetta di riservatezza

  • Articolo

Quando un'etichetta di riservatezza viene applicata a un modello semantico o a un report nella servizio Power BI, è possibile ridurre l'etichetta e applicarla al contenuto creato da tale modello semantico o report. Per i modelli semantici, questo significa altri modelli semantici, report e dashboard. Per i report questo significa dashboard. Questa funzionalità è denominata ereditarietà downstream.

L'ereditarietà downstream è un collegamento critico nella soluzione di protezione delle informazioni end-to-end di Power BI. Insieme all'ereditarietà dalle origini dati, all'ereditarietà al momento della creazione di nuovo contenuto, all'esportazione in file e ad altre funzionalità per l'applicazione di etichette di riservatezza, l'ereditarietà downstream consente di garantire che i dati sensibili rimangano protetti durante il percorso attraverso Power BI, dall'origine dati al punto di consumo.

L'ereditarietà downstream viene illustrata usando la visualizzazione derivazione. Quando un'etichetta viene applicata al modello semantico Redditività del cliente, tale etichetta filtra e viene applicata al contenuto downstream del modello semantico: i report compilati usando tale modello semantico e, in questo caso, un dashboard creato dagli oggetti visivi di uno di questi report.

Screenshot of lineage view that shows downstream inheritance.

Importante

  • L'ereditarietà downstream non sovrascrive mai le etichette applicate manualmente.
  • L'ereditarietà downstream non sovrascrive mai un'etichetta con un'etichetta meno restrittiva.

Modalità di ereditarietà downstream

L'ereditarietà downstream opera in una delle due modalità. L'amministratore di Power BI decide tramite un'impostazione del tenant quale modalità è utilizzabile nel tenant.

  • Ereditarietà downstream con consenso utente (impostazione predefinita): in questa modalità, quando gli utenti applicano etichette di riservatezza a modelli semantici o report, possono scegliere se applicare anche l'etichetta downstream. La scelta viene effettuata selezionando la casella visualizzata con il selettore dell'etichetta di riservatezza.
  • Ereditarietà downstream completamente automatizzata (se abilitata da un amministratore di Power BI): in questa modalità, l'ereditarietà downstream viene eseguita automaticamente ogni volta che un'etichetta viene applicata a un modello semantico o a un report. Non è disponibile alcuna casella di controllo per il consenso dell'utente.

Le due modalità di ereditarietà downstream sono illustrate in modo più dettagliato nelle sezioni seguenti.

In modalità di consenso utente, quando un utente applica un'etichetta di riservatezza a un modello semantico o a un report, può scegliere se applicare l'etichetta anche al contenuto downstream. Viene visualizzata una casella di controllo insieme al selettore di etichette:

Screenshot of the sensitivity label dialog with the user consent for downstream inheritance checked.

Per impostazione predefinita, la casella di controllo è selezionata. Ciò significa che quando l'utente applica un'etichetta di riservatezza a un modello semantico o a un report, l'etichetta si propaga al contenuto downstream. Per ogni elemento downstream, l'etichetta viene applicata solo se:

  • L'utente che ha applicato o modificato l'etichetta ha le autorizzazioni di modifica di Power BI per l'elemento downstream, ovvero l'utente è un amministratore, un membro o un collaboratore nell'area di lavoro in cui si trova l'elemento downstream.
  • L'utente che ha applicato o modificato l'etichetta è autorizzata a modificare l'etichetta di riservatezza già esistente nell'elemento downstream.

La cancellazione della casella di controllo impedisce che l'etichetta venga ereditata a valle.

Ereditarietà downstream completamente automatizzata

In modalità completamente automatizzata, un'etichetta applicata a un modello semantico o a un report viene propagata e applicata automaticamente al contenuto downstream del modello semantico o del report, senza considerare le autorizzazioni di modifica per l'elemento downstream e i diritti di utilizzo per l'etichetta.

Applicazione della modifica dell'etichetta rilassata

In alcuni casi, l'ereditarietà downstream (come altri scenari di etichettatura automatizzata) può comportare una situazione in cui nessun utente dispone di tutte le autorizzazioni necessarie per modificare un'etichetta. Per tali situazioni, le modifiche alle etichette sono in atto per garantire l'accesso agli elementi interessati. Per informazioni dettagliate, vedere Relax per supportare scenari di etichettatura automatica.

Abilitazione dell'ereditarietà downstream completamente automatizzata

Per impostazione predefinita, l'ereditarietà downstream opera in modalità di consenso utente. Per passare l'ereditarietà downstream nel tenant alla modalità completamente automatizzata, l'amministratore di Power BI deve abilitare l'impostazione Applica automaticamente le etichette di riservatezza al tenant del contenuto downstream nel portale di amministrazione.

Screenshot of tenant setting for automatically applying labels to downstream content.

Considerazioni e limitazioni

  • L'ereditarietà downstream è limitata a 80 elementi. Se il numero di elementi downstream supera 80, non viene eseguita alcuna ereditarietà downstream. Solo l'elemento a cui è stata applicata l'etichetta è stata effettivamente applicata per ricevere l'etichetta.
  • L'ereditarietà downstream non sovrascrive mai le etichette applicate manualmente. Per una considerazione significativa, vedere la sezione seguente.
  • L'ereditarietà downstream non sostituisce mai un'etichetta sul contenuto downstream con un'etichetta meno restrittiva rispetto all'etichetta attualmente applicata.
  • Le etichette di riservatezza ereditate dalle origini dati vengono propagate automaticamente a valle solo quando è abilitata la modalità di ereditarietà downstream completamente automatizzata.

Ereditarietà downstream tra modelli semantici e report pubblicati da file con estensione pbix

Quando si pubblica un file con estensione pbix con un'etichetta di riservatezza, l'etichetta ereditata dal modello semantico e dal report creato nel servizio viene considerata automaticamente o manualmente a seconda che l'etichetta nel file con estensione pbix sia stata applicata automaticamente o manualmente. Ciò ha implicazioni per l'ereditarietà downstream successiva dal modello semantico al report associato. Se l'etichetta nel file con estensione pbix è stata applicata automaticamente, in seguito, dopo la pubblicazione, se l'etichetta nel modello semantico viene modificata, il report associato eredita la modifica. Se, tuttavia, l'etichetta nel file con estensione pbix è stata applicata manualmente, se l'etichetta nel modello semantico viene modificata, l'etichetta nel report associato non viene sovrascritta, perché viene considerata manualmente applicata. Questo è in linea con la regola che l'ereditarietà downstream non sovrascrive mai un'etichetta applicata manualmente.

Contenuto correlato