Beskyttede følsomhetsetiketter i Fabric og Power BI
Beskyttede etiketter er følsomhetsetiketter som har filbeskyttelsespolicyer knyttet til seg og kan brukes til å beskytte filer og data. En filbeskyttelsespolicy for en etikett gir brukere bruksrettigheter, for eksempel muligheten til å åpne en fil, redigere en fil, kopiere fra en fil osv. Når en beskyttet etikett brukes på en fil eller et element, kan brukere som er inkludert i policyen, utføre handlingene de har bruksrettigheter for under etikettpolicyen. En policy for filbeskyttelse kan gi forskjellige sett med brukere forskjellige sett med bruksrettigheter. Under policyen kan for eksempel ett sett med brukere få full kontroll over filen, mens et annet sett med brukere kan bare åpne og vise filen.
Å ha et sett med følsomhetsetiketter og policyer på plass er en forutsetning for å bruke følsomhetsetiketter i Fabric og Power BI. Etikettene og deres policyer for filbeskyttelse defineres av sikkerhetsadministratorer i Microsoft Purview-samsvarsportal. Vanligvis brukes det samme settet med beskyttede etiketter på tvers av en organisasjon for Office-app, for eksempel Word, Excel og PowerPoint, samt for Fabric og Power BI.
Slik fungerer beskyttede etiketter i Fabric og Power BI
I Fabric og Power Bi-tjeneste kontrollerer beskyttede etiketter bare muligheten til å endre eller fjerne etiketter på elementer. De kontrollerer ikke tilgangen til innhold. For at en bruker skal kunne endre eller fjerne en beskyttet etikett fra et element, må brukeren enten være brukeren som brukte følsomhetsetiketten (RMS-eieren), eller ha minst ett av følgende krav til bruksrettigheter for etiketten.
- EIER
- EKSPORTERE
- EDIT og EDITRIGHTSDATA
Hvis etiketten på elementet ble angitt via en automatisert prosess, for eksempel arv fra datakilder eller nedstrøms arv, reduseres det tredje alternativet, EDIT og EDITRIGHTSDATA, til bare REDIGER. Se Avslapninger for å få plass til automatiske merkingsscenarioer for mer informasjon.
I Power BI Desktop kontrollerer beskyttede etiketter ikke bare muligheten til å endre eller fjerne den beskyttede etiketten, men også tilgang til innhold (visning, redigering, eksport osv.). Som et resultat kan samarbeidsscenarioer med beskyttede PBIX-filer blokkeres, siden det er lite sannsynlig at de fleste brukere vil ha tilstrekkelige bruksrettigheter under etiketten til å åpne og redigere filen.
Tenk deg for eksempel at du oppretter en rapport i Power BI Desktop, bruker en beskyttet etikett på den og deretter deler PBIX-filen med en annen bruker. Det er ganske sannsynlig at brukeren ikke har tilstrekkelige tillatelser til å åpne filen.
Hvis du vil forhindre denne situasjonen og gjøre det mulig for flere brukere å arbeide med beskyttede PBIX-filer, bør Fabric-administratoren aktivere leierinnstillingen Øk antall brukere som kan redigere og publisere krypterte PBIX-filer (forhåndsversjon) på nytt. Når denne innstillingen er aktivert, kan flere brukere (se notat) åpne, redigere og publisere/publisere beskyttede PBIX-filer på nytt, med følgende begrensninger:
- De kan ikke eksportere til formater som ikke støtter følsomhetsetiketter, for eksempel CSV-filer.
- De kan ikke endre etiketten på PBIX-filen.
- De kan bare publisere PBIX-filen på nytt til det opprinnelige arbeidsområdet filen kom fra.
Merk
Filen må ha blitt publisert minst én gang for at andre brukere skal kunne publisere den tilbake til det bestemte arbeidsområdet. Hvis filen ennå ikke er publisert, må den nyeste etikettutstederen (den som sist har angitt den beskyttede etiketten) eller en bruker med tilstrekkelige bruksrettigheter, publisere den og deretter dele filen med de andre redigeringsprogramene.)
Disse begrensningene sikrer at sikkerheten til innholdet forblir under kontroll av de som har høye nok tillatelser til å angi etiketten.
Merk
Brukere må ha alle følgende bruksrettigheter under etikettpolicyen:
- Vis innhold (VISNING)
- Rediger innhold (DOCEDIT)
- Lagre (REDIGER)
- Kopiere og trekke ut innhold (EXTRACT)
- Tillat makroer (OBJMODEL)
Disse bruksrettighetene er et delsett av forhåndssettet for medforfattertillatelser i Microsoft Purview-samsvarsportal.
I tillegg må du velge mindre utvidet funksjonsbryter for forhåndsvisning av brukerstøtte i Power BI Desktop. Se funksjonsbryter for forhåndsvisning av skrivebord for redigering av brukere med restriktive følsomhetstillatelser for detaljer.
Avslapninger for å imøtekomme scenarier for automatisk merking
Fabric og Power BI støtter flere funksjoner, for eksempel etikettarv fra datakilder og nedstrøms arv, som automatisk bruker følsomhetsetiketter på innhold. Disse automatiserte scenariene kan føre til situasjoner der ingen brukere er angitt som RMS-etikettutsteder for en etikett på et element. Dette betyr at det ikke er noen brukere som er garantert å kunne endre eller fjerne etiketten.
I slike tilfeller er bruksrettighetskravene for å endre eller fjerne etiketten avslappet – en bruker trenger bare én av følgende bruksrettigheter for å kunne endre eller fjerne etiketten:
- EIER
- EKSPORTERE
- Rediger …
Hvis ingen brukere har disse bruksrettighetene, kan ingen endre eller fjerne etiketten fra elementet, og tilgangen til elementet er potensielt truet.
For å unngå denne situasjonen kan Fabric-administratoren gjøre det mulig for administratorer av arbeidsområdet å overstyre tenantinnstillingene for automatisk brukte følsomhetsetiketter . Dette gjør det mulig for administratorer i arbeidsområdet å overstyre automatisk brukte følsomhetsetiketter uten hensyn til håndhevelsesregler for etikettendring.
Hvis du vil aktivere denne innstillingen, går du til: Informasjonsbeskyttelse for leierinnstillinger > for administrasjonsportalen>, og aktiver veksleknappen på innstillingen Tillat at administratorer av arbeidsområdet overstyrer innstillingene for automatisk brukte følsomhetsetiketter.