Beveiligde vertrouwelijkheidslabels in Fabric en Power BI
Beveiligde labels zijn vertrouwelijkheidslabels waaraan beleidsregels voor bestandsbeveiliging zijn gekoppeld en kunnen worden gebruikt om bestanden en gegevens te beveiligen. Een beleid voor bestandsbeveiliging voor een label verleent gebruikers gebruiksrechten, zoals de mogelijkheid om een bestand te openen, een bestand te bewerken, te kopiëren van een bestand, enzovoort. Wanneer een beveiligd label wordt toegepast op een bestand of item, kunnen gebruikers die zijn opgenomen in het beleid, de acties uitvoeren waarvoor ze de gebruiksrechten hebben onder het labelbeleid. Een beleid voor bestandsbeveiliging kan verschillende sets gebruikers verschillende sets met gebruiksrechten verlenen. In het beleid kan bijvoorbeeld aan één set gebruikers volledige controle over het bestand worden verleend, terwijl een andere set gebruikers mogelijk alleen het bestand kan openen en weergeven.
Het toepassen van een set vertrouwelijkheidslabels en -beleidsregels is een vereiste voor het gebruik van vertrouwelijkheidslabels in Fabric en Power BI. De labels en het bijbehorende beleid voor bestandsbeveiliging worden gedefinieerd door beveiligingsbeheerders in de Microsoft Purview-nalevingsportal. Normaal gesproken wordt dezelfde set beveiligde labels in een organisatie gebruikt voor Office-app s zoals Word, Excel en PowerPoint, evenals voor Fabric en Power BI.
Hoe beveiligde labels werken in Fabric en Power BI
In Fabric en de Power BI-service bepalen beveiligde labels alleen de mogelijkheid om labels op items te wijzigen of te verwijderen. Ze beheren de toegang tot inhoud niet. Als u wilt dat een gebruiker een beveiligd label van een item kan wijzigen of verwijderen, moet de gebruiker de gebruiker zijn die het vertrouwelijkheidslabel (de RMS-eigenaar) heeft toegepast of ten minste een van de volgende gebruiksrechtenvereisten voor het label heeft.
- EIGENAAR
- EXPORTEREN
- EDIT and EDITRIGHTSDATA
Als het label voor het item is ingesteld via een geautomatiseerd proces, zoals overname van gegevensbronnen of downstreamovername, wordt de derde optie, EDIT en EDITRIGHTSDATA, beperkt tot alleen BEWERKEN. Zie Ontspanningen voor automatische labelscenario's voor meer informatie.
In Power BI Desktop bepalen beveiligde labels niet alleen de mogelijkheid om het beveiligde label te wijzigen of te verwijderen, maar ook toegang tot inhoud (weergeven, bewerken, exporteren, enzovoort). Als gevolg hiervan kunnen samenwerkingsscenario's met beveiligde PBIX-bestanden worden geblokkeerd, omdat het onwaarschijnlijk is dat de meeste gebruikers voldoende gebruiksrechten hebben onder het label om het bestand te openen en te bewerken.
Stel dat u een rapport maakt in Power BI Desktop, een beveiligd label erop toepast en vervolgens het PBIX-bestand deelt met een andere gebruiker. Het is vrij waarschijnlijk dat de gebruiker niet over voldoende machtigingen beschikt om het bestand te openen.
Om deze situatie te voorkomen en meer gebruikers in staat te stellen om met beveiligde PBIX-bestanden te werken, moet de Fabric-beheerder het aantal gebruikers inschakelen dat versleutelde PBIX-bestanden (preview) kan bewerken en opnieuw kunnen publiceren. Wanneer deze instelling is ingeschakeld, kunnen meer gebruikers (zie opmerking) beveiligde PBIX-bestanden openen, bewerken en publiceren/opnieuw publiceren, met de volgende beperkingen:
- Ze kunnen niet exporteren naar indelingen die geen ondersteuning bieden voor vertrouwelijkheidslabels, zoals CSV-bestanden.
- Ze kunnen het label niet wijzigen in het PBIX-bestand.
- Ze kunnen het PBIX-bestand alleen opnieuw publiceren naar de oorspronkelijke werkruimte waaruit het bestand afkomstig is.
Notitie
Het bestand moet ten minste één keer zijn gepubliceerd voor andere gebruikers om het terug te kunnen publiceren naar die specifieke werkruimte. Als het bestand nog niet is gepubliceerd, moet de meest recente labelverlener (degene die het beveiligde label het meest recent heeft ingesteld) of een gebruiker met voldoende gebruiksrechten het publiceren en het bestand vervolgens delen met de andere editors.)
Deze beperkingen zorgen ervoor dat de beveiliging van de inhoud onder controle blijft van degenen met voldoende machtigingen om het label in te stellen.
Notitie
Gebruikers moeten alle volgende gebruiksrechten hebben onder het labelbeleid:
- Inhoud weergeven (WEERGAVE)
- Inhoud bewerken (DOCEDIT)
- Opslaan (BEWERKEN)
- Inhoud kopiëren en extraheren (EXTRACT)
- Macro's toestaan (OBJMODEL)
Deze gebruiksrechten zijn een subset van de vooraf ingestelde machtigingen voor cocreatie in de Microsoft Purview-nalevingsportal.
Bovendien moet de preview-functieswitch met minder verhoogde gebruikersondersteuning in Power BI Desktop worden geselecteerd. Zie de preview-functieswitch voor bureaublad voor bewerking door gebruikers met beperkende vertrouwelijkheidsmachtigingen voor meer informatie.
Ontspanning voor automatische labelscenario's
Infrastructuur en Power BI ondersteunen verschillende mogelijkheden, zoals labelovername van gegevensbronnen en downstreamovername, waarmee vertrouwelijkheidslabels automatisch worden toegepast op inhoud. Deze geautomatiseerde scenario's kunnen leiden tot situaties waarin geen gebruiker is ingesteld als de verlener van RMS-labels voor een label op een item. Dit betekent dat er geen gebruiker is die gegarandeerd het label kan wijzigen of verwijderen.
In dergelijke gevallen zijn de gebruiksrechtenvereisten voor het wijzigen of verwijderen van het label versoepeld: een gebruiker heeft slechts een van de volgende gebruiksrechten nodig om het label te kunnen wijzigen of verwijderen:
- EIGENAAR
- EXPORTEREN
- Bewerken
Als geen gebruiker zelfs deze gebruiksrechten heeft, kan niemand het label van het item wijzigen of verwijderen en wordt de toegang tot het item mogelijk in gevaar gebracht.
Om deze situatie te voorkomen, kan de Fabric-beheerder toestaan dat werkruimtebeheerders de tenantinstelling voor automatisch toegepaste vertrouwelijkheidslabels overschrijven. Hierdoor kunnen werkruimtebeheerders automatisch toegepaste vertrouwelijkheidslabels negeren zonder rekening te houden met regels voor het afdwingen van labels.
Als u deze instelling wilt inschakelen, gaat u naar: Beheer portal > tenantinstellingen > Informatiebeveiliging en schakelt u de wisselknop in op de instelling Werkruimtebeheerders toestaan om automatisch toegepaste vertrouwelijkheidslabels te overschrijven.