秘密度ラベルのトラブルシューティング

ライセンスと要件

秘密度ラベルを表示して適用するには、どのライセンスが必要ですか?

• Power BI 内で Microsoft Purview Information Protection の秘密度ラベルを適用または表示するには、Azure Information Protection Premium P1 または Premium P2 ライセンスが必要です。
• Power BI のコンテンツとファイルにラベルを適用できるようにするには、ユーザーは前述のいずれかの Azure Information Protection ライセンスに加えて、Power BI Pro または Premium Per User (PPU) ライセンスも持っている必要があります。
• Office アプリには秘密度レベルの表示や適用を行う Office 独自のライセンス要件があります。

テナントで秘密度ラベルを有効にするための要件と前提条件は何ですか?

• 組織で Azure Information Protection 秘密度ラベルを使用している場合、ラベルを Power BI で使用するには、Microsoft Purview Information Protection 統合ラベル付けプラットフォームに移行する必要があります。 秘密度ラベルの移行の詳細を確認してください。
• テナントで秘密度ラベルを有効にする前に、関連するユーザーやグループに対して秘密度ラベルが定義され、公開されていることを確認します。 詳細については、「機密ラベルとそのポリシーを作成して構成する」を参照してください。
• 中国のお客様は、中国のお客様を対象とした Azure Information Protection の構成に関する記事の手順 1 および手順 2 で説明されているとおり、テナントの権限管理を有効にして、Microsoft Purview Information Protection Sync Service サービス プリンシパルを追加する必要があります。
• Desktop で秘密度ラベルを使用するには、Desktop December 2020 リリース以降が必要です。

秘密度ラベルに関する一般的な問題

テナントで秘密度ラベルを有効にできない

Power BI では Microsoft Purview Information Protection の秘密度ラベルが使用されます。 そのため、秘密度ラベルを有効にしようとしてエラー メッセージが表示された場合は、次のいずれかが原因として考えられます。

• Azure Information Protection ライセンスを持っていない。
• 秘密度ラベルが Power BI でサポートされている Microsoft Purview Information Protection のバージョンに移行していない。
• Microsoft Purview Information Protection の秘密度ラベルが組織内で定義されていない。

秘密度ラベルを適用できない

秘密度ラベルを適用または変更できるようにするには、次が必要です

• Power BI Pro または Premium Per User (PPU) のライセンスを持っている。
• ラベルを適用する項目に対する作成および編集のアクセス許可を持っている。
• 「Power BI で秘密度ラベルを有効にする」で説明されているように、秘密度ラベルを適用するためのアクセス許可を持つセキュリティ グループに属している。

適用する秘密度ラベルが淡色表示されている

変更する特定のラベルが淡色表示されている場合は、そのラベルを変更するための適切な使用権限がないことがあります。 機密度ラベルを変更する必要があり、それができない場合は、ラベルを最初に適用した人に変更を依頼するか、Microsoft 365/Office セキュリティ管理者に連絡して、ラベルに必要な使用権限を要求します。

Desktop の [秘密度] ボタンが灰色表示されている

[秘密度] ボタンが淡色表示されている場合は、適切なライセンスを持っていないこと、または秘密度ラベルを適用するためのアクセス許可を持つセキュリティ グループに属していないことを示している可能性があります。「Power BI で秘密度ラベルを有効にする」の説明を参照してください。

秘密度ラベルでエクスポートされたファイルが保護されない

秘密度ラベルとファイル暗号化は、サポートされているエクスポート パスを通って Power BI を離れたデータのみを保護します。 サポートされていないエクスポート パスを通って Power BI を離れたデータは、秘密度ラベルを継承せず、暗号化されません。

機密データの漏洩を防ぐために、Power BI 管理者は、Power BI のエクスポートと共有の設定を使用して、サポートされていないエクスポート パスからのエクスポートをブロックできます。

秘密度ラベルに関するその他の問題

• 親ラベルは使用しないでください。 親ラベルは、サブラベルを持つラベルです。 親ラベルを適用することはできませんが、既に適用されているラベルがサブラベルを取得すると、親ラベルになる可能性があります。 親ラベルを持つ項目が見つかった場合は、適切なサブラベルを適用します。 親ラベルを変更するには、そのラベルに対する十分な使用権限が必要です。

  項目が親ラベルを持つ場合は、次の動作に注意してください。

  • 親ラベルは継承されません。
  • 必須ラベル ポリシーは、親ラベルを持つ項目には適用されません。 つまり、ユーザーは、項目を保存するために意味のあるラベルを適用することを求められません。また、項目は、全体のカバレッジを促進するために設計された必須ラベル ポリシーの影響を受けません。
  • 親ラベルを持つ項目からデータをエクスポートしようとすると、エクスポートは失敗します。
  • 親ラベルを持つ .pbix ファイルを発行することはできますが、その親ラベルが保護されている場合、発行は失敗します。 解決策は、適切なサブラベルを適用することです。

• Power BI サービスでは、ラベル管理センターから削除されたラベルがセマンティック モデルに含まれる場合、データをエクスポートまたはダウンロードすることはできません。 [Excel で分析] では、警告が発行され、データは秘密度ラベルなしで .odc ファイルにエクスポートされます。 Desktop では、.pbix ファイルにそのような無効なラベルが含まれている場合、ファイルを保存することはできません。

• Power BI では、転送不可、ユーザー定義、HYOK 保護の種類の秘密度ラベルはサポートされていません。 転送不可とユーザー定義の保護の種類を使用すると、Purview コンプライアンス ポータルで定義されているラベルが参照されます。

• 暗号化された Excel ファイル (.xlsx) からのデータ取得と更新シナリオがサポートされていますが、ファイルがゲートウェイの後ろに格納されている場合は例外で、データ取得と更新アクションは失敗します。 ゲートウェイの後ろに格納されていても、"保護されていない" 秘密度ラベルが設定されている Excel ファイルからのデータ取得と更新アクションは成功しますが、秘密度ラベルは継承されません。 詳細については、「データ ソースからの秘密度ラベルの継承」を参照してください。

PBIX ファイルに関する問題

保護された秘密度ラベルを持つレポートをエクスポートしようとすると、Power BI サービスから .pbix ファイルへのエクスポートが失敗する

保護された秘密度ラベルを持つレポートを Power BI サービスから pbix ファイルにエクスポートする場合、pbix ファイル のサイズが 6 GB を超えると、保護されたラベルを適用できず (Microsoft Purview Information Protection の制限により)、エクスポートは失敗します。

Power BI サービスにレポートとセマンティック モデルは表示されるが、それらを pbix にダウンロードすると、ファイルを開くために十分なアクセス許可がないというメッセージが表示される

Power BI サービスの場合、秘密度ラベルを適用しても、コンテンツへのアクセスに影響はありません。 サービス内のコンテンツへのアクセスは、ユーザーがコンテンツに対して持っているアクセス許可によってのみ決定されます。 ラベルはサービスに表示されますが、関連する暗号化設定 (Microsoft Purview ポータルで構成) は適用されません。 これらは、サポートされているエクスポート パスを通ってサービスを離れるデータにのみ適用されます。

Power BI Desktop の場合、暗号化が設定されている秘密度ラベルが、コンテンツへのアクセスに影響します。 ユーザーが .pbix ファイルでの秘密度ラベルの暗号化設定に従って十分なアクセス許可を持っていない場合、ファイルを開くことはできません。 さらに、Desktop では、作業内容を保存するときに、追加した秘密度ラベルと、それに関連付けられている暗号化設定が、保存される .pbix ファイルに適用されます。

Desktop で保護された .pbix ファイルを開くことができない

Desktop で秘密度ラベルを使用するには、Desktop December 2020 リリース以降が必要です。 December 2020 より前のバージョンの Desktop を使用して保護された .pbix ファイルを開こうとすると失敗し、Desktop のバージョン アップグレードを求めるメッセージが表示されます。

無料ライセンスを使うユーザーは、保護された .pbix ファイルを開くことができません。

保護された .pbix ファイルを開くことができるのは、適切なライセンスを使い、さらに関連するラベルに対してフル コントロール、エクスポート、またはその両方の使用権限を持っているユーザーのみです。 ラベルを設定したユーザーにもフル コントロールがあり、ロックアウトすることはできません。詳細を参照してください

まれに、ラベルを設定したユーザーを除き、関連するラベルに必要な使用権限が与えられたユーザーがいないという状況が発生することがあります。 その後、ラベルを設定したユーザーが組織を離れたか、組織内のエイリアスを変更した場合、その .pbix ファイルにアクセスする手段がなくなります。 このような場合にファイル アクセスを取り戻す解決策は、機密ラベルの set/remove 管理 API を利用し、ファイルの機密ラベルを変更するか、削除することになります。 Power BI 管理者に連絡し、サポートを依頼してください (管理者だけは管理 API を実行できます)。

ラベル付きの .pbix ファイルを Desktop に保存できない

Power BI Desktop ユーザーの場合、オフラインにした後など、インターネット接続が失われたときに作業内容の保存で問題が発生する可能性があります。 インターネットに接続していない場合、秘密度ラベルや Rights Management に関連する一部の操作が正しく完了しないことがあります。 そのような場合は、オンラインに戻して、もう一度保存することをお勧めします。

一般に、暗号化が適用される秘密度ラベルを使用してファイルを保護する場合は、ページファイル暗号化、NTFS 暗号化、BitLocker インスタンス、マルウェア対策など、別の暗号化方法も使用することをお勧めします。

保護された .pbix ファイルのデータを発行または取得できない

保護された .pbix ファイルの "発行" または "データの取得" を行うには、.pbix ファイルのラベルがユーザーのラベル ポリシーに含まれている必要があります。 ラベルがユーザーのラベル ポリシーに含まれていない場合、発行またはデータの取得の操作は失敗します。

サービス プリンシパルで実行されている API を使用して、秘密度ラベル付きの .pbix ファイルをサービスに発行またはインポートすることができない

保護された秘密度ラベルを持つ .pbix ファイルを、サービス プリンシパルの下で実行する API を介してサービスに公開またはインポートすることはサポートされていないため、失敗します。 回避するには、ユーザーは、ラベルを削除してから、サービス プリンシパルを使用して公開できます。

データの取得によって保護されたファイルを Desktop にアップロードできない

OneDrive または SharePoint Online に格納されている秘密度ラベルの付いた (保護された、および保護されていない) .pbix ファイルのインポートと、そのようなファイルからのオンデマンドおよび自動のセマンティック モデル更新がサポートされています。ただし、次のシナリオは除きます。

• 保護されているライブ接続の .pbix ファイルと保護されている Azure Analysis Services .pbix ファイル: 更新は失敗します。 レポートの内容もラベルも更新されません。
• ラベル付きで保護されていないライブ接続の .pbix ファイル: レポートの内容は更新されますが、ラベルは更新されません。
• .pbix ファイルに、セマンティック モデル所有者に使用権限がない新しい秘密度ラベルが適用されているとき。 この場合、更新は失敗します。 レポートの内容もラベルも更新されません。
• OneDrive/SharePoint のセマンティック モデル所有者のアクセス トークンの有効期限が切れている場合。 この場合、更新は失敗します。 レポートの内容もラベルも更新されません。

Power BI Report Server 用の Power BI Desktop で保護された .pbix ファイルを開くことができない

Power BI Report Server 用の Power BI Desktop では、情報保護はサポートされていません。 保護されている .pbix ファイルを開こうとすると、ファイルは開かず、エラー メッセージが表示されます。 秘密度ラベルの付いた .pbix ファイルは、暗号化されていない場合、普通に開くことができます。

データ ソースへの接続

ファイル暗号化を適用する秘密度ラベルを持つデータ ソース (Excel ファイルなど) に Fabric または Power BI (Power BI Desktop を含む) から正常に接続するには、Fabric/Power BI で情報保護を有効にする必要があります (つまり、テナント設定 コンテンツ の秘密度ラベルを適用できるようにする 有効に設定する必要があります)。

ソブリン クラウド

秘密度ラベルは、次のソブリン クラウドでサポートされています。

• US Government: GCC、GCC High、DoD
• 中国: 中国のお客様は、中国のお客様を対象とした Azure Information Protection の構成に関する記事のステップ 1 および 2 で説明されているとおり、テナントの権限管理を有効にして、Microsoft Purview Information Protection 同期サービスのサービス プリンシパルを追加する必要があります。

テンプレート アプリでの秘密度ラベルのサポート

データの秘密度ラベルは、テンプレート アプリではサポートされていません。 テンプレート アプリの作成者によって設定された秘密度ラベルは、アプリが抽出されてインストールされると削除されます。また、アプリ コンシューマーによってインストールされたテンプレート アプリの成果物に追加された秘密度ラベルは、アプリが更新されると失われます (リセットされて、なくなります)。

既定のラベル付け

Power BI サービスで作成した新しいコンテンツに既定のラベルが適用されない。

Power BI での既定のラベル付けは最も一般的なシナリオに対応していますが、ユーザーがラベル付けされていない .pbix ファイルや Power BI 成果物を開いたり作成したりできる、あまり一般的ではないフローが存在する場合があります。

Power BI での既定のラベル付けは、サービス プリンシパルおよび API ではサポートされていません。 サービス プリンシパルと API は、既定のラベル ポリシーの対象ではありません。

Power BI の既定のラベル ポリシーは、外部のゲスト ユーザー (Microsoft Entra B2B) 向けにはサポートされていません。 B2B ユーザーが開いたり作成したりした Power BI Desktop の .pbix ファイルまたは Power BI サービスの Power BI 成果物にラベルが付いていなくても、既定のラベルが自動的に適用されることはありません。

テナントで既定のラベル付けが有効になっているにもかかわらず、作成した pbix ファイルが既定のラベルを取得しない

Power BI での既定のラベル付けは最も一般的なシナリオに対応していますが、ユーザーがラベル付けされていない .pbix ファイルや Power BI 成果物を開いたり作成したりできる、あまり一般的ではないフローが存在する場合があります。

Power BI コンテンツに適用される既定のラベルが、メールやファイルに適用されるラベルと同じでない

Power BI の既定のラベル ポリシー設定は、ファイルと電子メールの既定のラベル ポリシー設定とは無関係です。

既定のラベル付けが有効になっているのに、B2B ユーザーがラベル付けされていない .pbix ファイルを開いたり作成したりできる。

Power BI の既定のラベル ポリシーは、外部のゲスト ユーザー (B2B ユーザー) 向けにはサポートされていません。 B2B ユーザーが Power BI Desktop でラベルのないファイルを開いたり作成したりしても、既定のラベルが自動的にファイルに適用されることはありません。

必須のラベル付け

Power BI で必須のラベル付けが有効になっているのに、一部の成果物がラベルを適用する必要なく作成または保存されている。

Power BI での必須のラベル付けは、サービス プリンシパルおよび API ではサポートされていません。 サービス プリンシパルと API は、必須ラベル ポリシーの対象ではありません。

ユーザーがラベルのないコンテンツを作成または編集できるフローが存在する場合があります。

Power BI での必須のラベル付けは、外部のゲスト ユーザー (B2B ユーザー) 向けにはサポートされていません。 B2B ユーザーは、必須ラベルポリシーの対象ではありません。

下流への継承

下流への継承が有効になっているのに、一部またはすべての下流項目がラベルを継承しない

下流への継承は、80 項目に制限されています。 下流の項目の数が 80 を超えると、下流への継承は行われません。 ラベルが実際に適用された項目だけがラベルを受け取ります。

下流への継承によって、手動で適用されたラベルが上書きされることはありません。

下流への継承では、制限の少ないラベルが上書きされることはありません。

データ ソースから継承された秘密度ラベルは、完全自動の下流への継承モードが有効になっている場合にのみ、下流に自動的に反映されます。

データ ソースからの秘密度ラベルの継承

データ ソースの秘密度ラベルが Power BI に継承されない。

• データ ソース内のデータには、Microsoft Purview Information Protection で秘密度ラベルを付ける必要があります。
• ラベルのスコープは、 [Files and emails](ファイルとメール) と [Azure Purview assets](Azure Purview 資産) である必要があります。 「Azure Purview への秘密度ラベルの拡張」と「新しい秘密度ラベルの作成または既存のラベルの変更」を参照してください。
• Power BI で秘密度ラベルを有効にする必要があります。
• [Power BI のデータにデータ ソースの秘密度ラベルを適用する (プレビュー)] テナント管理者設定を有効にする必要があります。
• ラベルを適用するためのすべての条件が満たされている必要があります。
• データ ソースからの継承は、クラシック ワークスペースにあるセマンティック モデルではサポートされていません。 マイ ワークスペースと V2 ワークスペースがサポートされています。
• データ ソースからの継承は、拡張されたメタデータを備えたセマンティック モデルでのみサポートされます。 詳細については、「拡張データセット メタデータの使用」を参照してください。
• データ ソースからの継承は、インポート データ接続モードを使用するセマンティック モデルでのみサポートされます。 ライブ接続と DirectQuery 接続はサポートされていません。
• データ ソースからの継承は、ゲートウェイまたは Azure Virtual Network (VNet) を介した接続ではサポートされていません。 つまり、ローカル コンピューターにある Excel ファイルからの継承は、ゲートウェイを必要とするため、機能しません。

Power BI REST API を使用した秘密度ラベルの設定と削除に関する問題

Power BI REST 管理 API を使用して秘密度ラベルを設定または削除できない

• これらの API を呼び出すには、ユーザーが Fabric 管理者である必要があります。
• 管理者ユーザーは (指定されている場合は委任されたユーザーも)、ラベルを設定または削除するのに十分な使用権限を持っている必要があります。
• setLabels API を使用して秘密度ラベルを設定するには、管理者ユーザー (指定されている場合は委任されたユーザーも) がラベル ポリシーにラベルを含めている必要があります。
• API で許容される 1 時間あたりの最大要求数は 25 です。 各要求により、最大 2,000 個の成果物を更新できます。
• 必須のスコープ: Tenant.ReadWrite.All

Defender for Cloud Apps（クラウドアプリケーション用ディフェンダー）

Power BI で Defender for Cloud Apps を使用するには、関連する Microsoft セキュリティ サービスを使用および構成する必要があります。その中には、Power BI の外部で設定されるものもあります。 テナント内で Defender for Cloud Apps を使用するには、次のいずれかのライセンスが必要です。

• Defender for Cloud Apps: EMS E5 および Microsoft 365 E5 スイートの一部として、サポートされるすべてのアプリに Defender for Cloud Apps の機能が提供されます。
• Office 365 Cloud App Security (Defender for Cloud Apps のサブセット): Office 365 E5 スイートの一部である Office 365 に対してのみ、Cloud App Security 機能が提供されます。

Power BI での Defender for Cloud Apps の使用は、ユーザー セッションとそれらのアクティビティを監視する検出を使用して、組織のコンテンツとデータをセキュリティで保護するために設計されています。 Power BI で Defender for Cloud Apps を使用する場合、注意すべきいくつかの考慮事項と制限事項があります。

• Defender for Cloud Apps では、Excel、PowerPoint、PDF ファイルのみを操作できます。
• Power BI のセッション ポリシーで秘密度ラベル機能を使用する場合は、Azure Information Protection Premium P1 または Premium P2 のライセンスを持っている必要があります。 Microsoft Azure Information Protection は、スタンドアロンとして、またはいずれかの Microsoft ライセンス スイートを介して購入できます。 詳細については、「Azure Information Protection の価格」を参照してください。 また、ご使用の Power BI 資産に秘密度ラベルが適用されている必要があります。
• セッション制御は、任意のオペレーティング システムの主要なプラットフォーム上で任意のブラウザーで使用できます。 Internet Explorer 11、Microsoft Edge (最新版)、Google Chrome (最新版)、Mozilla Firefox (最新版)、Apple Safari (最新版) のいずれかを使用することをお勧めします。 Power BI のパブリック API 呼び出しと、他のブラウザーベースではないセッションは、Defender for Cloud Apps のセッション制御の一部としてサポートされていません。 詳細はこちらをご覧ください。
• 複数回のログインが必要であるなど、サインインに関する問題が発生した場合、それは一部のアプリによる認証処理の方法に関連している可能性があります。 詳細と修復の手順については、、Defender for Cloud Apps での低速ログインに関するドキュメントを参照してください。

注意事項

セッション ポリシーの "アクション" 部分の "保護" 機能は、項目にラベルが存在しない場合にのみ機能します。 ラベルが既に存在する場合、"保護" アクションは適用されません。Power BI の項目に既に適用されている既存のラベルをオーバーライドすることはできません。

Defender for Cloud Apps の情報にアクセスできない。

Defender for Cloud Apps の情報にアクセスするには、組織に適切な Defender for Cloud Apps ライセンスが必要です。

ページ分割されたレポート

ページ分割されたレポートが、基になっているモデルの秘密度ラベルを継承しない。

下流への継承はサポートされていません。 上流モデルのラベルは、下流のページ分割されたレポートには反映されません。

ページ分割されたレポートの秘密度ラベルが、レポートの下流コンテンツに適用されない。

ページ分割されたレポートのラベルは、レポートの下流コンテンツには反映されません。

必須のラベル付けが有効になっているのに、秘密度ラベルなしでもページ分割されたレポートを作成して保存できる。

必須のラベル付けは、ページ分割されたレポートには適用されません。