保護ラベルは、ファイル保護ポリシーが関連付けられている秘密度ラベルであり、ファイルとデータを保護するために使用できます。 ラベルのファイル保護ポリシーは、ファイルを開く、ファイルを編集する、ファイルからコピーする機能など、ユーザーに使用権限を付与します。保護されたラベルがファイルまたはアイテムに適用されると、ポリシーに含まれているユーザーは、ラベル ポリシーの下で使用権限を持つアクションを実行できます。 ファイル保護ポリシーを使用すると、ユーザーの異なるセットに異なる使用権限のセットを付与できます。 たとえば、ポリシーの下では、1 つのユーザー セットにファイルの完全な制御が許可される一方で、別のユーザー セットはファイルの開きと表示のみを許可される場合があります。
一連の秘密度ラベルとポリシーを配置することは、Fabric と Power BI で秘密度ラベルを使用するための前提条件です。 ラベルとそのファイル保護ポリシーは、 Microsoft Purview コンプライアンス ポータルのセキュリティ管理者によって定義されます。 通常、Word、Excel、PowerPointなどの Office アプリや Fabric および Power BI では、組織全体で同じ一連の保護ラベルが使用されます。
Fabric と Power BI での保護されたラベルのしくみ
Fabric と Power BI サービスでは、保護されたラベルによって、項目のラベルを変更または削除する機能のみが制御されます。 コンテンツへのアクセスは制御されません。秘密度ラベルによるアクセス制御については、「 保護ポリシー」を参照してください。 ユーザーがアイテムの保護されたラベルを変更または削除できるようにするには、ユーザーが機密ラベルを適用したユーザー (RMS 所有者) であるか、ラベルに対して次の使用権限要件の少なくとも 1 つを持っている必要があります。
- 所有者
- 輸出
- EDIT と EDITRIGHTSDATA
項目のラベルがデータ ソースからの継承やダウンストリームの継承などの自動化されたプロセスを使用して設定された場合、3 番目のオプション EDIT と EDITRIGHTSDATA は編集のみに縮小されます。 詳細については、 自動ラベル付けのシナリオに対応するためのリラクゼーション を参照してください。
Power BI Desktop では、保護されたラベルによって、保護されたラベルを変更または削除する機能だけでなく、ファイルのコンテンツ (表示、編集、エクスポートなど) も暗号化されます。 前述の使用権限を持つことで、ファイルの暗号化を解除し、ファイルを完全に制御できます。
次のアクセス許可を持つユーザーは、制限付きで保護された PBIX ファイルを開き、編集し、再発行できます。
権限:
- コンテンツの表示 (VIEW)
- コンテンツの編集 (DOCEDIT)
- 保存 (編集)
- コンテンツのコピーと抽出 (EXTRACT)
- マクロを許可する (OBJMODEL)
制限:
- CSV ファイルなど、秘密度ラベルをサポートしていない形式にエクスポートすることはできません。
- PBIP または PBIT として保存することはできません。
- PBIX ファイルのラベルを変更することはできません。
- PBIX ファイルは、ファイルの元のワークスペースにのみ再発行できます。
注
他のユーザーが指定されたワークスペースに発行し直せるように、そのファイルは少なくとも一度発行されている必要があります。 ファイルがまだ発行されていない場合は、最新のラベル発行者 (最後に保護されたラベルを設定したユーザー) または十分な使用権限を持つユーザーがファイルを発行してから、他のエディターとファイルを共有する必要があります。
これらの制限により、ラベルを設定するのに十分な高いアクセス許可を持つユーザーの管理下にコンテンツのセキュリティが維持されます。
これらの使用権限は、Microsoft Purview コンプライアンス ポータルの エディター (旧称共同作成者) アクセス許可プリセットのサブセットです。
自動ラベル付けのシナリオに対応するための緩和
Fabric と Power BI では、 データ ソースからのラベルの継承 や ダウンストリーム継承など、コンテンツに秘密度ラベルを自動的に適用する機能がいくつかサポートされています。 このような自動化されたシナリオでは、ユーザーがアイテムのラベルの RMS ラベル発行者として設定されていない場合があります。 これは、ラベルを変更または削除できることが保証されているユーザーがいないことを意味します。
このような場合、ラベルを変更または削除するための使用権限の要件は緩和されます。ユーザーは、ラベルを変更または削除できるようにするために、次のいずれかの使用権限が必要です。
- 所有者
- 輸出
- 編集
これらの使用権限を持つユーザーがいなければ、誰もアイテムのラベルを変更または削除することはできません。また、アイテムへのアクセスは危険にさらされる可能性があります。
この状況を回避するために、ファブリック管理者は、[ ワークスペース管理者が自動的に適用された秘密度ラベルのテナント設定をオーバーライドできるようにする] を有効にすることができます。 これにより、ワークスペース管理者は、ラベル変更の適用規則に関係なく、自動的に適用される秘密度ラベルをオーバーライドできます。
この設定を有効にするには、[ 管理ポータル > テナント設定 > 情報保護] に移動し、[ ワークスペース管理者が自動的に適用された秘密度ラベルを上書きすることを許可する ] 設定の切り替えを有効にします。