Overname van vertrouwelijkheidslabels downstream

  • Artikel

Wanneer een vertrouwelijkheidslabel wordt toegepast op een semantisch model of rapport in de Power BI-service, is het mogelijk om het label omlaag te laten vallen en toe te passen op inhoud die is gebouwd op basis van dat semantische model of rapport. Voor semantische modellen betekent dit andere semantische modellen, rapporten en dashboards. Voor rapporten betekent dit dashboards. Deze mogelijkheid wordt downstreamovername genoemd.

Downstreamovername is een kritieke koppeling in de end-to-end oplossing voor gegevensbeveiliging van Power BI. Samen met overname van gegevensbronnen, overname bij het maken van nieuwe inhoud, overname bij het exporteren naar bestand en andere mogelijkheden voor het toepassen van vertrouwelijkheidslabels, zorgt downstreamovername ervoor dat gevoelige gegevens tijdens de reis door Power BI beveiligd blijven, van gegevensbron tot verbruikspunt.

Downstreamovername wordt geïllustreerd met behulp van de herkomstweergave. Wanneer een label wordt toegepast op het semantische model Klantwinstgevendheid, wordt dat label gefilterd en toegepast op de downstream-inhoud van het semantische model: de rapporten die zijn gebouwd met dat semantische model, en in dit geval een dashboard dat is gebouwd op basis van visuals uit een van deze rapporten.

Screenshot of lineage view that shows downstream inheritance.

Belangrijk

  • Downstreamovername overschrijft nooit labels die handmatig zijn toegepast.
  • Downstreamovername overschrijft nooit een label met een minder beperkend label.

Downstreamovernamemodi

Downstreamovername werkt in een van de twee modi. De Power BI-beheerder bepaalt via een tenantinstelling welke modus kan worden gebruikt voor de tenant.

  • Downstreamovername met gebruikerstoestemming (standaard): Wanneer gebruikers vertrouwelijkheidslabels toepassen op semantische modellen of rapporten, kunnen ze kiezen of ze dat label ook downstream willen toepassen. Ze maken hun keuze door het vak te selecteren dat wordt weergegeven met de selector voor vertrouwelijkheidslabels.
  • Volledig geautomatiseerde downstreamovername (indien ingeschakeld door een Power BI-beheerder): In deze modus vindt downstreamovername automatisch plaats wanneer een label wordt toegepast op een semantisch model of rapport. Er is geen selectievakje opgegeven voor toestemming van de gebruiker.

De twee downstreamovernamemodi worden uitgebreid beschreven in de volgende secties.

Wanneer een gebruiker in de gebruikerstoestemmingsmodus een vertrouwelijkheidslabel toepast op een semantisch model of rapport, kan hij of zij kiezen of het label ook op de downstream-inhoud moet worden toegepast. Er wordt een selectievakje weergegeven samen met de labelkiezer:

Screenshot of the sensitivity label dialog with the user consent for downstream inheritance checked.

Standaard is het selectievakje ingeschakeld. Dit betekent dat wanneer de gebruiker een vertrouwelijkheidslabel toepast op een semantisch model of rapport, het label wordt doorgegeven aan de downstream-inhoud. Voor elk downstream-item wordt het label alleen toegepast als:

  • De gebruiker die het label heeft toegepast of gewijzigd, heeft power BI-bewerkingsmachtigingen voor het downstream-item (dat wil gezegd: de gebruiker is een beheerder, lid of inzender in de werkruimte waar het downstream-item zich bevindt).
  • De gebruiker die het label heeft toegepast of gewijzigd, is gemachtigd om het vertrouwelijkheidslabel te wijzigen dat al bestaat op het downstream-item.

Als u het selectievakje wist, voorkomt u dat het label downstream wordt overgenomen.

Volledig geautomatiseerde downstreamovername

In de volledig geautomatiseerde modus wordt een label dat is toegepast op een semantisch model of rapport, automatisch doorgegeven en toegepast op de downstream-inhoud van het semantische model of rapport, zonder rekening te houden met bewerkingsmachtigingen voor het downstreamitem en de gebruiksrechten op het label.

Afdwingen van labelwijziging versoepeld

In bepaalde gevallen kan downstreamovername (zoals andere scenario's voor geautomatiseerde labels) resulteren in een situatie waarin geen gebruiker beschikt over alle vereiste machtigingen die nodig zijn om een label te wijzigen. Voor dergelijke situaties zijn er afdwingingsverslappingen van labels aanwezig om de toegang tot betrokken items te garanderen. Zie Ontspanningen voor automatische labelscenario's voor meer informatie.

Volledig geautomatiseerde overname van downstreams inschakelen

Downstreamovername werkt standaard in de modus voor gebruikerstoestemming. Als u wilt overschakelen van downstreamovername in de tenant naar de volledig geautomatiseerde modus, moet de Power BI-beheerder de instelling Voor het automatisch toepassen van vertrouwelijkheidslabels op downstreaminhoudstenantinstellingen in de beheerportal inschakelen.

Screenshot of tenant setting for automatically applying labels to downstream content.

Overwegingen en beperkingen

  • Downstreamovername is beperkt tot 80 items. Als het aantal downstreamitems groter is dan 80, vindt er geen downstream-overname plaats. Alleen het item dat het label daadwerkelijk is toegepast om het label te ontvangen.
  • Downstreamovername overschrijft nooit handmatig toegepaste labels. Zie de volgende sectie voor een belangrijke overweging.
  • Downstreamovername vervangt nooit een label op downstream-inhoud door een label dat minder beperkend is dan het huidige toegepaste label.
  • Vertrouwelijkheidslabels die zijn overgenomen van gegevensbronnen , worden alleen downstream doorgegeven wanneer de volledig geautomatiseerde overnamemodus voor downstream is ingeschakeld.

Downstreamovername tussen semantische modellen en rapporten die zijn gepubliceerd vanuit PBIX-bestanden

Wanneer u een PBIX-bestand met een vertrouwelijkheidslabel publiceert, wordt het label dat wordt overgenomen door het semantische model en rapport dat in de service is gemaakt, automatisch of handmatig toegepast, afhankelijk van of het label in het PBIX-bestand automatisch of handmatig is toegepast. Dit heeft gevolgen voor de daaropvolgende downstreamovername van het semantische model naar het bijbehorende rapport. Als het label in het PBIX-bestand automatisch is toegepast, neemt het bijbehorende rapport de wijziging over nadat het label op het semantische model is gewijzigd, later na publicatie. Als het label in het PBIX-bestand echter handmatig is toegepast, wordt het label op het semantische model gewijzigd, het label op het bijbehorende rapport niet overschreven, omdat het als handmatig wordt beschouwd. Dit is in overeenstemming met de regel die downstreamovername nooit een handmatig toegepast label overschrijft.

Gerelateerde inhoud