Поделиться через

Устранение неполадок меток чувствительности

Лицензирование и требования

Какие лицензии необходимы, чтобы иметь возможность просматривать и применять метки конфиденциальности?

  • Лицензия Azure Information Protection Premium P1 или Premium P2 необходима для применения или просмотра меток конфиденциальности из Microsoft Purview Information Protection в Power BI.
  • Чтобы иметь возможность применять метки к содержимому и файлам Power BI, пользователь должен иметь лицензию Power BI Pro или Premium на пользователя (PPU), помимо одной из лицензий Azure Information Protection, упомянутых выше.
  • Приложения Office имеют собственные требования к лицензированию для просмотра и применения меток конфиденциальности.

Какие требования и предварительные условия существуют для включения меток конфиденциальности в моем арендаторе?

  • Если в организации используются метки конфиденциальности Azure Information Protection, их необходимо перенести на платформу унифицированных меток Microsoft Purview Information Protection, чтобы они использовались в Power BI. Узнайте больше о переносе меток конфиденциальности.
  • Прежде чем включить метки конфиденциальности для клиента, убедитесь, что метки конфиденциальности уже были определены и опубликованы для соответствующих пользователей и групп. Дополнительные сведения см. в статье "Создание и настройка меток конфиденциальности" и их политик.
  • Клиенты в Китае должны включить управление правами для клиента и добавить принцип службы синхронизации Microsoft Purview Information Protection, как описано в шагах 1 и 2 в разделе Настройка Azure Information Protection для клиентов в Китае.
  • Использование меток конфиденциальности в Desktop требует версии Desktop, выпущенной в декабре 2020 г., или более поздних.

Общие проблемы с метками чувствительности

Не удается включить метки конфиденциальности в моем арендаторе

Power BI использует метки конфиденциальности из Microsoft Purview Information Protection. Таким образом, если при попытке включить метки конфиденциальности возникает сообщение об ошибке, это может быть вызвано одним из следующих действий:

  • У вас нет лицензии Azure Information Protection.
  • Метки конфиденциальности не были перенесены в версию Microsoft Purview Information Protection, поддерживаемую Power BI.
  • В организации не определены метки конфиденциальности из Microsoft Purview Information Protection.

Я не могу применить метки конфиденциальности

Чтобы иметь возможность применять или изменять метку конфиденциальности, вам нужно

Метка конфиденциальности, которую я хочу применить, выделена серым цветом и неактивна.

Если определенная метка, которую вы хотите изменить, выделена серым, у вас может не быть правильных прав использования, чтобы изменить эту метку. Если необходимо изменить метку конфиденциальности и не удается, попросите пользователя, который применил метку в первую очередь, чтобы изменить ее, или обратитесь к администратору безопасности Microsoft 365/Office и попросите необходимые права на использование метки.

Кнопка конфиденциальности в рабочем столе неактивна

Если кнопка конфиденциальности неактивна, это может указывать на то, что у вас нет соответствующей лицензии или что у вас нет разрешения на применение меток конфиденциальности, как описано в разделе "Включить метки конфиденциальности" в Power BI.

Метка конфиденциальности не защищает экспортируемый файл

Метки конфиденциальности и шифрование файлов защищают данные, только если они покидают Power BI с помощью поддерживаемых путей экспорта. Данные, которые покидают Power BI через неподдерживаемые пути экспорта, не наследуют метку конфиденциальности и не будут зашифрованы.

Чтобы предотвратить утечку конфиденциальных данных, администратор Power BI может заблокировать экспорт из не поддерживаемых путей экспорта с помощью параметров экспорта и общего доступа Power BI.

Разнообразные проблемы с метками конфиденциальности

  • Не используйте родительские метки. Родительская метка — это метка с подметками. Нельзя применять родительские метки, но метка, которая уже применена, может стать родительской меткой, если она приобретает сублейблы. Если вы столкнулись с элементом с родительской меткой, примените соответствующую подметку. Чтобы изменить родительскую метку, необходимо иметь достаточные права на использование метки.

    Если у элемента есть родительская метка, обратите внимание на следующее поведение:

    • Родительские метки не наследуются.
    • Политики обязательных меток не будут применяться к элементам с родительской меткой. Это означает, что пользователям не потребуется применять значимую метку для сохранения элемента, и элемент сможет обойти политики обязательных меток, предназначенные для обеспечения полного охвата.
    • Если вы пытаетесь экспортировать данные из элемента с родительской меткой, экспорт завершится ошибкой.
    • Можно опубликовать PBIX-файл с родительской меткой, но если родительская метка защищена, публикация завершится ошибкой. Решение заключается в применении подходящей подметки.

  • В службе Power BI, если у семантической модели есть метка, удаленная из центра администрирования меток, вы не сможете экспортировать или скачать данные. При анализе в Excel будет выдано предупреждение, и данные будут экспортированы в ODC-файл без метки конфиденциальности. Если на рабочем столе файл .pbix имеет такую недопустимую метку, вы не сможете сохранить файл.

  • Power BI не поддерживает метки конфиденциальности типов защиты Do Not Forward, определяемых пользователем и HYOK . Типы защиты Do Not Forward и определяемые пользователем типы защиты ссылаются на метки, определенные на портале соответствия Purview.

  • Получение данных и сценариев обновления из зашифрованных файлов Excel (.xlsx) поддерживается, если файл не хранится за шлюзом, в этом случае действие получения данных и обновления завершится ошибкой. Получение данных и обновление действий из файла Excel, который хранится за шлюзом и имеет метку чувствительности незащищенная, будет выполнено успешно, но метка чувствительности не будет наследоваться. Подробности см. в статье о наследовании меток конфиденциальности из источников данных.

Проблемы с PBIX-файлами

Экспорт из службы Power BI в файл .pbix не удается при попытке экспортировать отчет с защищенной меткой конфиденциальности.

При экспорте отчета с защищенной меткой конфиденциальности из службы Power BI в PBIX-файл, если размер PBIX-файла будет больше 6 ГБ, защищенная метка не может быть применена (из-за ограничения Microsoft Purview Information Protection) и сбой экспорта.

Я вижу отчет и семантику модели в службе Power BI, но когда я скачиваю их в pbix, я получаю сообщение, которое говорит, что у меня нет достаточных разрешений для открытия файла

В службе Power BI метки конфиденциальности не влияют на доступ к содержимому. Доступ к содержимому в службе определяется исключительно разрешениями пользователя на содержимое. Хотя метки отображаются в службе, все связанные параметры шифрования (настроенные на портале Microsoft Purview) не применяются. Они применяются только к данным, которые покидают службу через поддерживаемые пути экспорта.

В Power BI Desktop метки конфиденциальности с параметрами шифрования влияют на доступ к содержимому. Если у пользователя нет достаточных разрешений в соответствии с параметрами шифрования метки конфиденциальности в PBIX-файле , он не сможет открыть файл. Кроме того, при сохранении работы в настольном приложении все добавленные метки конфиденциальности и связанные с ними параметры шифрования будут применены к сохранённому PBIX-файлу.

Не удается открыть защищенный PBIX-файл в Desktop

Использование меток конфиденциальности в Desktop требует версии Desktop, выпущенной в декабре 2020 г., или более поздних. Если вы попытаетесь открыть защищенный PBIX-файл с классической версией до декабря 2020 года, она завершится ошибкой, и вам будет предложено обновить версию desktop.

Пользователи с бесплатной лицензией не могут открывать защищенные PBIX-файлы .

Защищенные PBIX-файлы могут быть открыты только пользователем, у которого есть соответствующая лицензия и полный контроль и/или экспорт прав на использование соответствующей метки. Пользователь, задавающий метку, также имеет полный контроль и никогда не может быть заблокирован. Дополнительные сведения см. в статье

В редких случаях может произойти, что у пользователя нет необходимых прав на использование соответствующей метки, кроме пользователя, задающего метку. Затем, если один пользователь покидает организацию или изменяет псевдонимы в организации, все доступ к PBIX-файлу будет потерян. Решением для восстановления доступа к файлу в таких случаях является изменение или удаление метки конфиденциальности в файле с помощью API администрирования метокконфиденциальности./ Обратитесь к администратору Power BI за помощью (только администраторы могут запускать API администрирования).

Не удается сохранить помеченный PBIX-файл в Desktop

Пользователи Power BI Desktop могут столкнуться с проблемами с сохранением работы при потере подключения к Интернету, например после выхода в автономный режим. При отсутствии подключения к Интернету некоторые действия, связанные с метками конфиденциальности и управлением правами, могут завершиться неправильно. В таких случаях рекомендуется вернуться в интернет и повторить попытку сохранения.

Как правило, при защите файла с меткой конфиденциальности, которая применяет шифрование, рекомендуется использовать другой метод шифрования, например шифрование файлов страниц, шифрование NTFS, экземпляры BitLocker, антивредоносное ПО и т. д.

Не удается опубликовать или получить данные защищенного PBIX-файла

Параметр "Опубликовать" или "Получить данные" защищенного PBIX-файла требует, чтобы метка в PBIX-файле была включена в политику меток пользователя. Если метка не находится в политике меток пользователя, действие публикации или получения данных завершится ошибкой.

Не удается опубликовать или импортировать файл .pbix с меткой конфиденциальности в службу с помощью API, выполняющихся под учетной записью службы.

Публикация или импорт PBIX-файла с защищенной меткой конфиденциальности для службы через API, запущенные под субъектом-службой, не поддерживается и завершится ошибкой. Чтобы устранить проблему, пользователи могут удалить метку, а затем опубликовать с помощью учетных записей служб.

Невозможно загрузить защищенный файл на рабочий стол через Get data.

Импорт PBIX-файлов с меткой конфиденциальности (как защищенных, так и незащищенных), хранящихся в OneDrive или SharePoint Online, а также автоматическое обновление семантической модели из таких файлов, поддерживается за исключением следующих сценариев:

  • Защищенные файлы .pbix, подключенные в реальном времени, и защищенные файлы .pbix Azure Analysis Services: обновление завершится ошибкой. Ни содержимое отчета, ни метка не будут обновлены.
  • Помеченные не защищённые файлы Live Connect.pbix: содержимое отчета будет обновлено, но метка не будет обновлена.
  • Когда PBIX-файл был обработан новой меткой конфиденциальности, к которой у владельца семантической модели нет прав доступа. В этом случае обновление не удастся. Ни содержимое отчета, ни метка не будут обновлены.
  • Если срок действия токена доступа владельца семантической модели для OneDrive или SharePoint истек. В этом случае обновление не удастся. Ни содержимое отчета, ни метка не будут обновлены.

Не удается открыть защищенный PBIX-файл в Power BI Desktop для сервера отчетов Power BI

Power BI Desktop для сервера отчетов Power BI не поддерживает защиту информации. Если вы попытаетесь открыть защищенный PBIX-файл , файл не откроется, и вы получите сообщение об ошибке. PBIX-файлы с меткой конфиденциальности, которые не шифруются, могут быть открыты как обычные.

Подключение к источникам данных

Чтобы успешно подключиться из Fabric или Power BI (включая Power BI Desktop) к источнику данных (например, файлу Excel), который имеет метку конфиденциальности, применяющую шифрование файлов, необходимо включить защиту информации в Fabric или Power BI. Это означает, что настройка клиента "Разрешить пользователям применять метки конфиденциальности для содержимого" должна иметь значение "Включено".

Суверенные облака

Метки конфиденциальности поддерживаются в следующих суверенных облаках:

Поддержка меток конфиденциальности в приложениях-шаблонах

Метки конфиденциальности данных не поддерживаются для приложений-шаблонов. Метки конфиденциальности, установленные создателем приложения-шаблона, удаляются при извлечении и установке приложения, а метки конфиденциальности, добавленные в артефакты в установленном приложении-шаблоне потребителем приложения, теряются (сбрасываются до ничего) при обновлении приложения.

Маркировка по умолчанию

Метка по умолчанию не применяется к новому содержимому, который я создаю в службе Power BI.

Метка по умолчанию в Power BI охватывает большинство распространенных сценариев, но могут быть некоторые менее распространенные потоки, которые по-прежнему позволяют пользователям открывать или создавать неуправляемые PBIX-файлы или артефакты Power BI.

Метки по умолчанию в Power BI не поддерживаются для субъектов-служб и API. Субъекты-службы и API не подлежат политикам меток по умолчанию.

Политики меток по умолчанию в Power BI не поддерживаются для внешних гостевых пользователей (Microsoft Entra B2B). Когда пользователь B2B открывает или создает немаркированный pbix-файл в Power BI Desktop или артефакт Power BI в службе Power BI, метка по умолчанию не применяется автоматически.

Созданный PBIX-файл не получил метку по умолчанию, даже если метка по умолчанию включена в моем клиенте.

Метка по умолчанию в Power BI охватывает большинство распространенных сценариев, но могут быть некоторые менее распространенные потоки, которые по-прежнему позволяют пользователям открывать или создавать неуправляемые PBIX-файлы или артефакты Power BI.

Метка по умолчанию, примененная к содержимому Power BI, не совпадает с меткой, применяемой к моим электронным письмам и файлам.

Параметры политики меток по умолчанию для Power BI не зависят от параметров политики меток по умолчанию для файлов и электронной почты.

Пользователям B2B удается открывать и создавать непомеченные .pbix-файлы, даже если пометка по умолчанию включена.

Политики меток по умолчанию в Power BI не поддерживаются для внешних гостевых пользователей (пользователей B2B). Когда пользователь B2B открывает или создает файл без метки в Power BI Desktop, метка по умолчанию не будет применена к файлу автоматически.

Обязательная маркировка

Обязательная метка для Power BI включена, но некоторые артефакты создаются или сохраняются без применения метки.

Обязательные метки в Power BI не поддерживаются для сервисных принципалов и API-интерфейсов. Учетные записи службы и API не попадают под обязательные политики меток.

Могут существовать потоки, позволяющие пользователю создавать или изменять немаркированный контент.

Обязательные метки в Power BI не поддерживаются для внешних гостевых пользователей (пользователей B2B). Пользователи B2B не подпадают под обязательные правила маркировки.

Наследование нижестоящего потока

Наследование вниз включено, но некоторые или все элементы ниже по иерархии не наследуют метку.

Последующее наследование ограничено 80 элементами. Если число элементов нижнего уровня превышает 80, передача свойств вниз по иерархии не происходит. Только элемент, к которому действительно применена метка, получит метку.

Наследование вниз по цепочке никогда не заменяет метки, которые были применены вручную.

Наследование ниже по иерархии никогда не заменяет метку менее строгой меткой.

Метки конфиденциальности, унаследованные от источников данных, автоматически распространяются вниз по потоку только в том случае, если включен полностью автоматический режим наследования вниз по потоку.

Наследование меток чувствительности из источников данных

Метки конфиденциальности из источника данных не наследуются в Power BI.

  • Данные в источнике данных должны быть помечены метками конфиденциальности из Microsoft Purview Information Protection.
  • Область меток должна быть "Файлы" и "Сообщения электронной почты" и ресурсы Azure Purview. См. сведения о расширении меток конфиденциальности в Azure Purview и создании новых меток конфиденциальности или изменении существующих меток.
  • Метки конфиденциальности должны быть включены в Power BI.
  • Необходимо включить параметр администратора клиента Power BI (предварительная версия), который позволяет применять метки конфиденциальности от источников данных к их данным.
  • Все условия применения метки должны выполняться.
  • Наследование от источников данных не поддерживается для семантических моделей, расположенных в классических рабочих областях. Поддерживаются My Workspace и V2 workspaces.
  • Наследование от источников данных поддерживается только для семантических моделей с расширенными метаданными. Дополнительные сведения см. в разделе "Использование расширенных метаданных набора данных".
  • Наследование от источников данных поддерживается только для семантических моделей с помощью режима подключения к данным импорта. Прямое подключение и подключение по DirectQuery не поддерживаются.
  • Наследование из источников данных не поддерживается в подключениях через шлюзы или виртуальную сеть Azure (VNet). Это означает, что наследование из файла Excel, расположенного на локальном компьютере, не будет работать, так как для этого требуется шлюз.

Проблемы с настройкой и удалением меток конфиденциальности с помощью REST API Power BI

Не удается задать или удалить метки конфиденциальности с помощью Power BI REST API для администраторов

  • Пользователи должны быть администраторами Fabric для вызова этих API.
  • Пользователь администратора (и делегированный пользователь, если он указан) должен иметь достаточные права на использование , чтобы задать или удалить метки.
  • Чтобы установить метку чувствительности с помощью API setLabels, пользователь-администратор (или делегированный пользователь, если он указан) должен иметь метку, включенную в свою политику меток.
  • API разрешают не более 25 запросов в час. Каждый запрос может обновлять до 2000 артефактов.
  • Требуемая область: Tenant.ReadWrite.All

Defender для облачных приложений

Чтобы использовать приложения Defender для облака с Power BI, необходимо использовать и настроить соответствующие службы безопасности Майкрософт, некоторые из которых устанавливаются за пределами Power BI. Чтобы в клиенте было установлено Defender для облачных приложений, у вас должна быть одна из следующих лицензий:

  • Defender для облачных приложений: предоставляет возможности Defender для облачных приложений для всех поддерживаемых приложений, часть наборов EMS E5 и Microsoft 365 E5.
  • Office 365 Cloud App Security (подмножество Defender для облачных приложений): предоставляет возможности Cloud App Security только для Office 365, часть набора Office 365 E5.

Использование приложений Defender для облака с Power BI предназначено для защиты содержимого и данных организации с помощью обнаружения, отслеживающих сеансы пользователей и их действия. При использовании Defender для облачных приложений с Power BI следует учитывать несколько рекомендаций и ограничений.

  • Defender для облака приложения могут работать только с файлами Excel, PowerPoint и PDF.
  • Если вы хотите использовать функции меток чувствительности в политиках сессий для Power BI, необходимо иметь лицензию Azure Information Protection Premium P1 или Premium P2. Microsoft Azure Information Protection можно приобрести либо в автономном режиме, либо через один из наборов лицензий Майкрософт. См. цену на Azure Information Protection для получения подробной информации. Кроме того, метки конфиденциальности должны применяться к ресурсам Power BI.
  • Управление сеансами доступно для любого браузера на любой популярной платформе в любой операционной системе. Мы рекомендуем использовать Internet Explorer 11, Microsoft Edge (последняя версия), Google Chrome (последняя версия), Mozilla Firefox (последняя версия) или Apple Safari (последняя версия). Вызовы общедоступного API Power BI и другие сеансы, отличные от браузера, не поддерживаются в рамках управления сеансами Defender для облака Apps. Дополнительные сведения см. в разделе "Дополнительные сведения".
  • При возникновении трудностей входа, таких как необходимость входа более одного раза, это может быть связано с тем, как некоторые приложения обрабатывают проверку подлинности. Дополнительные сведения и действия по исправлению см. в документации по медленному входу в Defender для облачных приложений .

Осторожность

В политике сеанса в части "Действие" функция "защита" работает только в том случае, если метка отсутствует в элементе. Если метка уже существует, действие "protect" не будет применяться; Вы не можете переопределить существующую метку, которая уже применена к элементу в Power BI.

Не удается получить доступ к сведениям Defender для облачных приложений.

Чтобы получить доступ к сведениям Defender для облачных приложений, ваша организация должна иметь соответствующую лицензию Defender для облачных приложений.

Отчеты, разбитые на страницы

Мой отчет с разбивкой на страницы не наследует метку конфиденциальности модели, на которой он основан.

Наследование вниз по потоку не поддерживается. Метка вышестоящей модели не будет распространяться вниз к подчиненным отчетам с разбивкой на страницы.

Метка конфиденциальности в отчете с разбивкой на страницы не применяется к нижнему содержимому отчета.

Метка отчета с разбивкой на страницы не будет распространяться вниз к нижнему содержимому отчета.

Можно создавать и сохранять отчеты с разбивкой на страницы без метки конфиденциальности, даже если включена обязательная метка.

Обязательные метки не применяются к отчетам с разбивкой на страницы.