Solução de problemas de rótulos de confidencialidade
Licenciamento e requisitos
Quais licenças preciso para poder exibir e aplicar rótulos de confidencialidade?
- É necessário ter uma licença da Proteção de Informações do Azure Premium P1 ou P2 para aplicar ou exibir rótulos de confidencialidade da Proteção de Informações do Microsoft Purview no Power BI.
- Para conseguir aplicar rótulos a conteúdo e arquivos do Power BI, o usuário precisa ter uma licença do Power BI Pro ou PP (Premium por usuário), além de uma das licenças da Proteção de Informações do Azure mencionadas acima.
- Os aplicativos do Office têm requisitos exclusivos de licenciamento para visualização e aplicação de rótulos de confidencialidade.
Quais requisitos e pré-requisitos existem para habilitar rótulos de confidencialidade em meu locatário?
- Se a sua organização usar rótulos de confidencialidade da Proteção de Informações do Azure, eles precisarão ser migrados para a plataforma de Rotulagem Unificada da Proteção de Informações do Microsoft Purview para que sejam usados no Power BI. Saiba mais sobre como migrar rótulos de confidencialidade.
- Antes de habilitar rótulos de confidencialidade em seu locatário, verifique se os rótulos foram definidos e publicados para os usuários e grupos relevantes. Confira Criar e configurar rótulos de confidencialidade e suas políticas para obter mais detalhes.
- Os clientes na China devem habilitar o gerenciamento de direitos para o locatário e adicionar o princípio do Serviço de Sincronização da Proteção de Informações do Microsoft Purview, conforme descrito nas etapas 1 e 2 em Configurar a Proteção de Informações do Azure para clientes na China.
- O uso de rótulos de confidencialidade no Desktop requer a versão Desktop de dezembro de 2020 e posterior.
Problemas gerais com rótulos de confidencialidade
Não consigo habilitar rótulos de confidencialidade no meu locatário
O Power BI usa rótulos de confidencialidade da Proteção de Informações do Microsoft Purview. Portanto, se você encontrar uma mensagem de erro ao tentar habilitar rótulos de confidencialidade, pode ser devido aos seguintes motivos:
- Você não tem uma licença da Proteção de Informações do Azure.
- Os rótulos de confidencialidade não foram migrados para a versão da Proteção de Informações do Microsoft Purview compatível com o Power BI.
- Nenhum rótulo de confidencialidade da Proteção de Informações do Microsoft Purview foi definido na organização.
Não consigo aplicar rótulos de confidencialidade
Para poder aplicar ou alterar um rótulo de confidencialidade, você deve
- Ter uma licença do Power BI Pro ou PPU (Premium por usuário).
- Ter permissões de criação e edição no item ao qual você deseja aplicar o rótulo.
- Pertencer a um grupo de segurança que tenha permissões para aplicar rótulos de confidencialidade, conforme descrito em Habilitar rótulos de confidencialidade no Power BI.
O rótulo de confidencialidade que quero aplicar está esmaecido
Caso um rótulo específico que você deseja alterar esteja esmaecido, talvez você não tenha os direitos de uso corretos para alterar esse rótulo. Se você precisar alterar um rótulo de confidencialidade e não conseguir, peça à pessoa que aplicou o rótulo inicialmente que o modifique, ou entre em contato com o administrador de segurança do Microsoft 365/Office e solicite os direitos de uso necessários para o rótulo.
O botão de confidencialidade na área de trabalho está esmaecido
Se o botão de confidencialidade estiver esmaecido, isso pode indicar que você não tem a licença apropriada ou que não pertence a um grupo de segurança que tem permissões para aplicar rótulos de confidencialidade, conforme descrito em Habilitar rótulos de confidencialidade no Power BI.
O rótulo de confidencialidade não protege um arquivo exportado
Os rótulos de confidencialidade e a criptografia de arquivo protegem os dados somente quando eles saem do Power BI por meio de caminhos de exportação com suporte. Os dados que deixam o Power BI por meio de caminhos de exportação sem suporte não herdarão o rótulo de confidencialidade e não serão criptografados.
Para evitar o vazamento de dados confidenciais, o administrador do Power BI pode bloquear a exportação de caminhos de exportação sem suporte usando as configurações de exportação e compartilhamento do Power BI.
Problemas diversos com rótulos de confidencialidade
Não use rótulos pai. Um rótulo pai é um rótulo que tem sub-rótulos. Você não pode aplicar rótulos pai, mas um rótulo que já está aplicado poderá se tornar um rótulo pai se ele adquirir sub-rótulos. Se você encontrar um item que tenha um rótulo pai, aplique o sub-rótulo apropriado. Para alterar um rótulo pai, você precisa ter direitos de uso suficientes no rótulo.
Se um item tiver um rótulo pai, observe o seguinte comportamento:
- Os rótulos pai não serão herdados.
- As políticas de rótulo obrigatórias não serão aplicadas a itens que tenham um rótulo pai. Isso significa que os usuários não precisarão aplicar um rótulo significativo para salvar o item, e o item escapará das políticas de rótulo obrigatórias projetadas para promover a cobertura total.
- Se você tentar exportar dados de um item que tenha um rótulo pai, a exportação falhará.
- É possível publicar um arquivo .pbix que tenha um rótulo pai, mas se o rótulo pai estiver protegido, a publicação falhará. A solução é aplicar um sub-rótulo adequado.
No serviço do Power BI, se um modelo semântico tiver um rótulo que foi excluído do centro de administração de rótulos, você não poderá exportar nem baixar os dados. Em Analisar no Excel, um aviso será emitido e os dados serão exportados para um arquivo .odc sem rótulo de confidencialidade. Na área de trabalho, se um arquivo .pbix tiver um rótulo inválido, você não poderá salvar o arquivo.
O Power BI não é compatível com os rótulos de confidencialidade dos tipos de proteção Não Encaminhar, definido pelo usuário e HYOK. Os tipos de proteção “Não Encaminhar” e os definidos pelo usuário referem-se aos rótulos definidos no portal de conformidade do Purview.
Há suporte para os cenários obter dados e atualizar de arquivos criptografados do Excel (.xlsx), a menos que o arquivo seja armazenado atrás de um gateway; nesse caso, a ação Obter dados/atualizar falhará. Ações de obter dados e atualizar de um arquivo do Excel armazenado atrás de um gateway e que tenha um rótulo de confidencialidade desprotegido terão êxito, mas o rótulo de confidencialidade não será herdado. Confira Herança de rótulo de confidencialidade de fontes de dados para obter informações detalhadas.
Problemas com arquivos PBIX
Consigo ver um relatório e um modelo semântico no serviço do Power BI, mas ao baixá-los em pbix, recebo uma mensagem informando que não tenho permissões suficientes para abrir o arquivo
No serviço do Power BI, o rótulo de confidencialidade não afeta o acesso ao conteúdo. O acesso ao conteúdo no serviço é determinado exclusivamente pelas permissões que um usuário tem no conteúdo. Embora os rótulos estejam visíveis no serviço, todas as configurações de criptografia associadas (configuradas no portal de conformidade do Microsoft Purview) não são aplicadas. Elas são aplicadas somente aos dados que deixam o serviço por meio de caminhos de exportação com suporte.
No Power BI Desktop, os rótulos de confidencialidade com as configurações de criptografia afetam o acesso ao conteúdo. Se um usuário não tiver permissões suficientes de acordo com as configurações de criptografia do rótulo de confidencialidade no arquivo .pbix, ele não poderá abrir o arquivo. Além disso, na área de trabalho, quando você salvar seu trabalho, todos os rótulos de confidencialidade adicionados e as configurações de criptografia associadas serão aplicados ao arquivo .pbix salvo.
Não é possível abrir o arquivo .pbix protegido na área de trabalho
O uso de rótulos de confidencialidade no Desktop requer a versão Desktop de dezembro de 2020 e posterior. Se você tentar abrir um arquivo .pbix protegido com uma versão da área de trabalho anterior a dezembro de 2020, isso falhará e você será solicitado a atualizar sua versão da área de trabalho.
Os usuários com uma licença gratuita não podem abrir arquivos .pbix protegidos.
Arquivos .pbix protegidos só podem ser abertos por um usuário que tenha uma licença apropriada e Controle total e/ou Direitos de uso de exportação para o rótulo relevante. O usuário que define o rótulo também tem Controle total e nunca pode ser bloqueado. Confira mais detalhes
Em casos raros, pode acontecer de ninguém ter os direitos de uso necessários para o rótulo relevante, exceto a pessoa que o definiu. Logo, se essa pessoa deixar a organização ou alterar os aliases dentro da organização, todo o acesso ao arquivo .pbix será perdido. A solução para recuperar o acesso ao arquivo nesses casos é alterar ou remover o rótulo de confidencialidade no arquivo usando as APIs Administração do rótulo de confidencialidade set/remove. Entre em contato com o administrador do Power BI para obter assistência (somente administradores podem executar as APIs Administração).
Não é possível salvar um arquivo .pbix rotulado na área de trabalho
Os usuários do Power BI Desktop podem enfrentar problemas para salvar o trabalho deles quando a conectividade com a Internet é perdida, como depois de ficar offline. Sem conexão com a Internet, algumas ações relacionadas a rótulos de confidencialidade e ao gerenciamento de direitos podem não ser concluídas corretamente. Nesses casos, é recomendável voltar a ficar online e tentar salvar novamente.
Em geral, quando você protege um arquivo com um rótulo de confidencialidade que aplica criptografia, é recomendável usar outro método de criptografia também, como criptografia de arquivo de paginação, criptografia NTFS, instâncias BitLocker, antimalware etc.
Não é possível publicar ou obter dados de um arquivo .pbix protegido
“Publicar” ou “Obter dados” de um arquivo .pbix protegido requer que o rótulo no arquivo .pbix esteja na política de rótulo do usuário. Se o rótulo não estiver na política de rótulo do usuário, a ação Publicar ou Obter dados falhará.
Não é possível publicar ou importar um arquivo .pbix com um rótulo de confidencialidade para o serviço usando APIs em execução em uma entidade de serviço
A publicação ou a importação de um arquivo .pbix com um rótulo de confidencialidade protegido para o serviço por meio de APIs em execução em uma entidade de serviço não tem suporte e falhará. Para atenuar, os usuários podem remover o rótulo e, em seguida, publicar usando entidades de serviço.
Não é possível carregar um arquivo protegido na área de trabalho por meio de Obter dados
A importação de arquivos .pbix rotulados como confidenciais (protegidos e não protegidos) armazenados no OneDrive ou no SharePoint Online, bem como a atualização de modelo semântico sob demanda e automática desses arquivos tem suporte, com exceção dos seguintes cenários:
- Arquivos .pbix com conexão dinâmica protegidos e arquivos .pbix do Azure Analysis Services protegidos: a atualização falhará. Nem o conteúdo do relatório nem o rótulo serão atualizados.
- Arquivos .pbix do Live Connect desprotegidos rotulados: o conteúdo do relatório será atualizado, mas o rótulo não.
- Quando o arquivo .pbix tiver aplicado um novo rótulo de confidencialidade para o qual o proprietário do modelo semântico não tem direitos de uso. Nesse caso, a atualização falhará. Nem o conteúdo do relatório nem o rótulo serão atualizados.
- Se o token de acesso do proprietário do modelo semântico do OneDrive/SharePoint tiver expirado. Nesse caso, a atualização falhará. Nem o conteúdo do relatório nem o rótulo serão atualizados.
Não é possível abrir o arquivo .pbix protegido no Power BI Desktop para o Servidor de Relatórios do Power BI
O Power BI Desktop para o Servidor de Relatórios do Power BI não dá suporte à proteção de informações. Se você tentar abrir um arquivo .pbix protegido, ele não será aberto e você receberá uma mensagem de erro. Arquivos .pbix com o rótulo de confidencialidade que não estão criptografados podem ser abertos normalmente.
Nuvens soberanas
Os rótulos de confidencialidade são compatíveis com as seguintes nuvens soberanas:
- Governo dos EUA: GCC, GCC High, DoD
- China: os clientes na China devem habilitar o gerenciamento de direitos para o locatário e adicionar a entidade de serviço de sincronização da Proteção de Informações do Microsoft Purview, conforme descrito nas etapas 1 e 2 em Configurar a Proteção de Informações do Azure para clientes na China.
Suporte a rótulos de confidencialidade em aplicativos de modelo
Os rótulos de confidencialidade de dados não são compatíveis com os aplicativos de modelo. Os rótulos de confidencialidade definidos pelo criador do aplicativo de modelo são removidos quando o aplicativo é extraído e instalado, e os rótulos de confidencialidade adicionados aos artefatos em um aplicativo de modelo instalado pelo consumidor do aplicativo são perdidos (redefinidos para nothing) quando o aplicativo é atualizado.
Rotulagem padrão
Nenhum rótulo padrão é aplicado ao novo conteúdo que crio no serviço do Power BI.
A rotulagem padrão no Power BI aborda os cenários mais comuns, mas pode haver alguns fluxos menos comuns que ainda permitem que os usuários abram ou criem arquivos .pbix sem rótulo ou artefatos do Power BI.
A rotulagem padrão no Power BI não tem suporte para entidades de serviço e APIs. As APIs e as entidades de serviço não estão sujeitas a políticas de rótulo padrão.
As políticas de rótulo padrão no Power BI não dão suporte a usuários convidados externos (Microsoft Entra B2B). Quando um usuário B2B abre ou cria um arquivo .pbix sem rótulo no Power BI Desktop ou um artefato do Power BI no serviço do Power BI, nenhum rótulo padrão é aplicado automaticamente.
O arquivo .pbix que criei não recebe o rótulo padrão, mesmo que a rotulagem padrão esteja habilitada no meu locatário
A rotulagem padrão no Power BI aborda os cenários mais comuns, mas pode haver alguns fluxos menos comuns que ainda permitem que os usuários abram ou criem arquivos .pbix sem rótulo ou artefatos do Power BI.
O rótulo padrão aplicado ao meu conteúdo do Power BI não é o mesmo que o rótulo aplicado aos meus emails e arquivos
As configurações de política de rótulo padrão do Power BI são independentes das configurações de política de rótulo padrão de arquivos e email.
Os usuários B2B conseguem abrir e criar arquivos .pbix sem rótulo, mesmo que a rotulagem padrão esteja ativada.
As políticas de rótulo padrão no Power BI não dão suporte a usuários convidados externos (usuários B2B). Quando um usuário B2B abrir ou criar um arquivo sem rótulo no Power BI Desktop, nenhum rótulo padrão será aplicado ao arquivo automaticamente.
Rótulos obrigatórios
Os rótulos obrigatórios para Power BI estão habilitados, mas alguns artefatos estão sendo criados ou salvos sem que um rótulo precise ser aplicado.
A rotulação obrigatória no Power BI não é compatível com entidades de serviço e APIs. As APIs e as entidades de serviço não estão sujeitas a políticas de rótulo obrigatório.
Pode haver fluxos que permitem ao usuário criar ou editar conteúdo sem rótulo.
A rotulagem obrigatória no Power BI não está disponível para usuários convidados externos (usuários B2B). Os usuários B2B não estão sujeitos a políticas de rótulo obrigatório.
Herança downstream
A herança downstream está habilitada, mas alguns ou todos os itens downstream não herdam o rótulo
A herança downstream é limitada a 80 itens. Se o número de itens de downstream exceder 80, nenhuma herança downstream ocorrerá. Somente o item ao qual o rótulo foi realmente aplicado receberá o rótulo.
A herança downstream nunca substitui os rótulos que foram aplicados manualmente.
A herança downstream nunca substitui um rótulo por um rótulo menos restritivo.
Os rótulos de confidencialidade herdados das fontes de dados são automaticamente propagados downstream somente quando o modo de herança downstream totalmente automatizado está habilitado.
Herança de rótulo de sensibilidade de fontes de dados
Os rótulos de confidencialidade de uma fonte de dados não são herdados no Power BI.
- Os dados da fonte de dados precisam ser rotulados com os rótulos de confidencialidade da Proteção de Informações do Microsoft Purview.
- O escopo dos rótulos precisa ser Arquivos e emails e Ativos do Azure Purview. Confira Como estender rótulos de confidencialidade para o Azure Purview e Como criar rótulos de confidencialidade ou modificar rótulos existentes.
- Os rótulos de confidencialidade precisam ser habilitados no Power BI.
- A configuração Aplicar rótulos de confidencialidade das fontes de dados aos respectivos dados no Power BI (versão prévia) do administrador de locatários precisa estar habilitada.
- Todas as condições para a aplicação de um rótulo precisam ser atendidas.
- Não há suporte para herança de fonte de dados em modelos semânticos localizados em workspaces clássicos. Workspaces V2 e Meu Workspace são compatíveis.
- A herança de fontes de dados tem suporte apenas para os modelos semânticos com metadados melhorados. Confira Usando metadados de conjunto de dados aprimorados para saber mais.
- A herança de fontes de dados tem suporte apenas para os modelos semânticos ao usar o modo Importar conectividade de dados. Não há suporte para a conexão dinâmica nem para a conectividade do DirectQuery.
- Não há suporte para a herança de fontes de dados em conexões por meio de gateways ou da VNet (Rede Virtual) do Azure. Isso significa que a herança de um arquivo do Excel localizado em um computador local não funcionará, pois isso requer um gateway.
Problemas ao configurar e remover rótulos de confidencialidade usando APIs REST do Power BI
Não é possível definir ou remover rótulos de confidencialidade usando APIs REST de administrador do Power BI
- Os usuários precisam ter direitos de administrador (como administrador global do Microsoft 365 ou administrador de serviço do Fabric) para chamar essas APIs.
- O usuário administrador (e o usuário delegado, se fornecido) deve ter direitos de uso suficientes para definir ou remover rótulos.
- Para definir um rótulo de sensibilidade usando a API setLabels, o usuário administrador (ou o usuário delegado, se fornecido) deve ter o rótulo incluído em sua política de rótulo.
- As APIs permitem um máximo de 25 solicitações por hora. Cada solicitação pode atualizar até 2000 artefatos.
- Escopo necessário: Tenant.ReadWrite.All
Defender for Cloud Apps
Para usar o Defender for Cloud Apps com o Power BI, você precisa usar e configurar os serviços de segurança da Microsoft relevantes, alguns dos quais são definidos fora do Power BI. Para ter o Defender for Cloud Apps no seu locatário, você precisa ter uma das seguintes licenças:
- Defender for Cloud Apps: fornece funcionalidades do Defender for Cloud Apps para todos os aplicativos com suporte, como parte dos pacotes do EMS E5 e do Microsoft 365 E5.
- Office 365 Cloud App Security (um subconjunto do Defender for Cloud Apps): fornece funcionalidades do Cloud App Security apenas para o Office 365, como parte do pacote do Office 365 E5.
O uso do Defender for Cloud Apps com o Power BI tem a finalidade de ajudar a proteger o conteúdo e os dados de sua organização, com detecções que monitoram as sessões do usuário e suas atividades. Ao usar o Defender for Cloud Apps com o Power BI, há algumas considerações e limitações que você deve ter em mente:
- O Defender for Cloud Apps pode operar apenas em arquivos do Excel, do PowerPoint e PDF.
- Se quiser usar as funcionalidades de rótulos de confidencialidade em suas políticas de sessão para o Power BI, você precisará ter uma licença Premium P1 ou Premium P2 da Proteção de Informações do Azure. A Proteção de Informações do Microsoft Azure pode ser adquirida de forma independente ou por meio de um dos pacotes de licenciamento da Microsoft. Confira preço da Proteção de Informações do Azure para obter detalhes. Além disso, os rótulos de confidencialidade precisam ter sido aplicados a seus ativos do Power BI.
- O controle de sessão está disponível para qualquer navegador, em qualquer plataforma principal e em qualquer sistema operacional. Recomendamos usar o Internet Explorer 11, o Microsoft Edge mais recente, o Google Chrome mais recente, o Mozilla Firefox mais recente ou o Apple Safari mais recente. As chamadas à API pública do Power BI e outras sessões não baseadas em navegador não têm suporte como parte do controle de sessão do Defender for Cloud Apps. Veja mais detalhes aqui.
- Se você tiver dificuldades para entrar, como, por exemplo, ter que fazer logon mais de uma vez, isso pode estar relacionado à maneira como alguns aplicativos lidam com a autenticação. Consulte Logon lento na documentação do Defender for Cloud Apps para obter mais informações e as etapas de correção.
Cuidado
Na política da sessão, na parte "Ação", a funcionalidade de "proteger" só funcionará se não houver nenhum rótulo no item. Se já houver um rótulo, a ação de "proteger" não se aplicará; não é possível substituir um rótulo existente que já foi aplicado a um item no Power BI.
Relatório de métricas de proteção de dados
Abro a página de métricas de proteção de dados, mas nenhum relatório é gerado
Para que o relatório de métricas de proteção de dados seja gerado com êxito, a proteção de informações deve estar habilitada em seu locatário e os rótulos de confidencialidade devem ter sido aplicados.
O relatório de métricas de proteção de dados não está disponível para usuários externos, como os usuários convidados do Microsoft Entra B2B (Microsoft Entra B2B).
Não consigo acessar as informações do Defender for Cloud Apps.
Para acessar informações do Defender for Cloud Apps, sua organização deve ter a licença apropriada do Defender for Cloud Apps.
Não consigo ver o relatório de métricas de proteção de dados em Compartilhado comigo, Recentes ou Favoritos
O relatório de métricas de proteção de dados é um tipo especial de relatório e não é mostrado nas listas Compartilhados comigo, Recentes e Favoritos.
Não consigo compartilhar o relatório de métricas de proteção de dados com usuários externos
O relatório de métricas de proteção de dados não está disponível para usuários externos (usuários convidados do Microsoft Entra B2B).
Relatórios paginados
Meu relatório paginado não herda o rótulo de confidencialidade do modelo no qual se baseia.
Não há suporte para herança downstream. O rótulo de um modelo upstream não será propagado para seus relatórios paginados downstream.
O rótulo de confidencialidade no meu relatório paginado não é aplicado ao conteúdo downstream do relatório.
O rótulo de um relatório paginado não será propagado para o conteúdo downstream do relatório.
Posso criar e salvar relatórios paginados sem rótulo de confidencialidade, mesmo que os rótulos obrigatórios estejam habilitados.
Os rótulos obrigatórios não se aplicam a relatórios paginados.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de