次の方法で共有


Fabric と Power BI で保護された秘密度ラベル

保護ラベルは、ファイル保護ポリシーが関連付けられている秘密度ラベルであり、ファイルとデータを保護するために使用できます。 ラベルのファイル保護ポリシーは、ファイルを開く、ファイルを編集する、ファイルからコピーする機能など、ユーザーに使用権限を付与します。保護されたラベルがファイルまたはアイテムに適用されると、ポリシーに含まれているユーザーは、ラベル ポリシーの下で使用権限を持つアクションを実行できます。 ファイル保護ポリシーを使用すると、ユーザーの異なるセットに異なる使用権限のセットを付与できます。 たとえば、ポリシーの下では、1 つのユーザー セットにファイルの完全な制御が許可される一方で、別のユーザー セットはファイルの開きと表示のみを許可される場合があります。

一連の秘密度ラベルとポリシーを配置することは、Fabric と Power BI で秘密度ラベルを使用するための前提条件です。 ラベルとそのファイル保護ポリシーは、Microsoft Purview コンプライアンス ポータルのセキュリティ管理者によって定義されます。 通常、保護されたラベルの同じセットは、Word、Excel、PowerPoint などの Office アプリに対して組織全体で使用され、Fabric と Power BI にも使用されます。

Fabric と Power BI での保護されたラベルのしくみ

Fabric とPower BI サービスでは、保護されたラベルによって、項目のラベルを変更または削除する機能のみが制御されます。 コンテンツへのアクセスは制御されません。 ユーザーがアイテムの保護されたラベルを変更または削除できるようにするには、ユーザーが秘密度ラベルを適用したユーザー (RMS 所有者) であるか、ラベルに対して次の使用権限要件の少なくとも 1 つを持っている必要があります。

  • OWNER
  • EXPORT
  • EDIT と EDITRIGHTSDATA

項目のラベルがデータ ソースからの継承やダウンストリームの継承などの自動化されたプロセスを使用して設定された場合、3 番目のオプション EDIT と EDITRIGHTSDATA は編集のみに縮小されます。 詳細については、「自動ラベル付けのシナリオに対応するための緩和策」を参照してください。

Power BI Desktop では、保護されたラベルは、保護されたラベルを変更または削除する機能だけでなく、コンテンツ (表示、編集、エクスポートなど) へのアクセスも制御します。 その結果、保護された PBIX ファイルを含むコラボレーション シナリオがブロックされる可能性があります。ほとんどのユーザーが、ファイルを開いて編集するための十分な使用権限をラベルの下に持つことはほとんどありません。

たとえば、Power BI Desktop でレポートを作成し、保護されたラベルを適用して、PBIX ファイルを別のユーザーと共有するとします。 ユーザーがファイルを開くための十分なアクセス許可を持っていない可能性が非常に高いです。

この状況を回避し、より多くのユーザーが保護された PBIX ファイルを操作できるようにするには、ファブリック管理者が 暗号化された PBIX ファイルを編集および再公開できるユーザーの数を増やす (プレビュー) テナント設定を有効にする必要があります。 この設定を有効にすると、より多くのユーザー (注を参照) が、保護された PBIX ファイルを開き、編集し、公開/再発行できるようになります。ただし、次の制限があります。

  • CSV ファイルなど、秘密度ラベルをサポートしていない形式にエクスポートすることはできません。
  • PBIX ファイルのラベルを変更することはできません。
  • PBIX ファイルは、ファイルの元のワークスペースにのみ再発行できます。

    Note

    他のユーザーがその特定のワークスペースに発行できるように、ファイルは少なくとも 1 回発行されている必要があります。 ファイルがまだ発行されていない場合は、最新のラベル発行者 (保護されたラベルを最後に設定したユーザー) または十分な使用権限を持つユーザーが発行し、そのファイルを他のエディターと共有する必要があります)。

これらの制限により、ラベルを設定するのに十分な高いアクセス許可を持つユーザーの制御下で、コンテンツのセキュリティがメインされます。

Note

ユーザーは、ラベル ポリシーの下で次のすべての使用権限を持っている必要があります。

  • コンテンツの表示 (VIEW)
  • コンテンツの編集 (DOCEDIT)
  • 保存 (EDIT)
  • コンテンツのコピーと抽出 (EXTRACT)
  • マクロの許可 (OBJMODEL)

これらの使用権限は、Microsoft Purview コンプライアンス ポータルの共同編集アクセス許可プリセットのサブセットです。

さらに、Power BI Desktop の [低管理者特権ユーザー サポート] のプレビュー機能スイッチを選択する必要があります。 詳細については、「制限された機密権限を持つユーザーによる編集のためのデスクトップ プレビュー機能の切り替え」を参照してください。

自動ラベル付けのシナリオに対応するための緩和策

Fabric および Power BI では、データ ソースからのラベル継承や、コンテンツに秘密度ラベルを自動的に適用する下流への継承など、いくつかの機能がサポートされています。 これらの自動化されたシナリオでは、項目に対するラベルの RMS ラベル発行者としてユーザーが設定されていない状況が発生する場合があります。 これは、ラベルを変更または削除できることが保証されているユーザーがいないことを意味します。

このような場合、ラベルを変更または削除するための使用権の要件は緩和され、ユーザーがラベルを変更または削除するために必要なのは、次の使用権のうち 1 つだけです。

  • OWNER
  • EXPORT
  • 編集

これらの使用権を持つユーザーもいない場合、誰も項目のラベルを変更または削除することができなくなり、項目にアクセスできなくなってしまうおそれがあります。

この状況を回避するために、Fabric 管理者は、[ワークスペース管理者が自動的に適用された機密ラベルを上書きできるようにする] テナント設定を有効にすることができます。 こうすることで、ワークスペース管理者は、ラベル変更の強制規則に関係なく、自動的に適用された秘密度ラベルをオーバーライドできるようになります。

この設定を有効にするには、管理ポータルの > [テナント設定] > [情報保護] に移動し、[ワークスペース管理者に自動的に適用された秘密度ラベルの上書きを許可する] 設定の切り替えを有効にします。