Zdieľať cez

Chránené označenia citlivosti v službách Fabric a Power BI

  • Článok

Chránené označenia sú označenia citlivosti, ktoré obsahujú politiky ochrany súborov a možno ich použiť na ochranu súborov a údajov. Politika ochrany súborov pre označenie udeľuje práva na používanie používateľom, ako je napríklad možnosť otvoriť súbor, upraviť súbor, skopírovať zo súboru atď. Keď sa na súbor alebo položku použije chránené označenie, používatelia, ktorí sú súčasťou politiky, môžu vykonávať akcie, na ktoré majú práva na používanie v rámci politiky označenia. Politika ochrany súborov môže udeliť rôzne množiny používateľov rôznych množín práv na používanie. V rámci politiky sa napríklad môže udeliť plná kontrola nad súborom používateľom, zatiaľ čo iná množina používateľov môže mať povolenie súbor len otvárať a zobrazovať.

Nastavenie množiny označení citlivosti a politík je nevyhnutným predpokladom na používanie označení citlivosti v službách Fabric a Power BI. Označenia a politiky ochrany súborov sú definované správcami zabezpečenia v portál na správu dodržiavania súladu Microsoft Purview. V rámci organizácie sa zvyčajne používa rovnaká množina chránených označení pre aplikácia Office, ako napríklad Word, Excel a PowerPoint, ako aj pre služby Fabric a Power BI.

Ako fungujú chránené označenia v službách Fabric a Power BI

V službách Fabric a služba Power BI chránené označenia ovládajú len schopnosť meniť alebo odstraňovať označenia položiek. Neriadia prístup k obsahu. Aby používateľ mohol zmeniť alebo odstrániť chránené označenie z položky, musí to byť používateľ, ktorý použil označenie citlivosti (vlastník RMS), alebo musí mať pre označenie aspoň jednu z nasledujúcich požiadaviek na práva na používanie.

  • VLASTNÍK
  • VÝVOZ
  • UPRAVIŤ A UPRAVIŤRIGHTSDATA

Ak bolo označenie v položke nastavené prostredníctvom automatizovaného procesu, ako je napríklad dedenie zo zdrojov údajov alebo následné dedenie, potom sa tretia možnosť EDIT a EDITRIGHTSDATA zníži na edit. Podrobnosti nájdete v téme Relaxs (Relaxácie), kde nájdete ďalšie podrobnosti o scenároch automatického označovania.

V aplikácii Power BI Desktop chránené označenia ovládajú nielen možnosť zmeniť alebo odstrániť chránené označenie, ale aj prístup k obsahu (zobrazenie, úprava, exportovanie atď.). V dôsledku toho môžu byť zablokované scenáre spolupráce s chránenými súbormi PBIX, pretože je nepravdepodobné, že väčšina používateľov bude mať pod označením dostatočné práva na používanie na otvorenie a úpravu súboru.

Predstavte si napríklad, že vytvoríte zostavu v aplikácii Power BI Desktop, použijete naň chránené označenie a potom súbor PBIX zdieľate s iným používateľom. Je pravdepodobné, že používateľ nebude mať dostatočné povolenia na otvorenie súboru.

Aby správca služby Fabric zabránil tejto situácii a umožnil viacerým používateľom pracovať s chránenými súbormi PBIX, mal by povoliť nastavenie nájomníka Zvýšiť počet používateľov, ktorí môžu upravovať a opätovne publikovať šifrované súbory PBIX (ukážka). Keď je toto nastavenie povolené, viac používateľov (pozri poznámku) bude môcť otvárať, upravovať a publikovať/znova publikovať chránené súbory PBIX s nasledujúcimi obmedzeniami:

  • Nemôžu exportovať do formátov, ktoré nepodporujú označenia citlivosti, ako sú napríklad súbory CSV.
  • Nemôžu zmeniť označenie v súbore PBIX.
  • Môžu len opätovne publikovať súbor PBIX do pôvodného pracovného priestoru, z ktorý súbor pochádza.

    Poznámka

    Súbor musí byť publikovaný aspoň raz, aby ho ostatní používatelia mohli publikovať späť do daného konkrétneho pracovného priestoru. Ak súbor ešte nebol publikovaný, musí ho publikovať najnovší vydavateľ označenia (ten, ktorý naposledy založil chránené označenie) alebo používateľ s dostatočnými právami na používanie ho musí publikovať a potom zdieľať súbor s ostatnými editormi.)

Tieto obmedzenia zaisťujú, že zabezpečenie obsahu zostane pod kontrolou tých, ktorí majú dostatočne vysoké povolenia na nastavenie označenia.

Poznámka

V politike označenia musia mať používatelia všetky nasledujúce práva na používanie:

  • Zobraziť obsah (ZOBRAZIŤ)
  • Upraviť obsah (DOCEDIT)
  • Uložiť (UPRAVIŤ)
  • Kopírovanie a extrahovanie obsahu (EXTRACT)
  • Povoliť makrá (OBJMODEL)

Tieto práva na používanie sú podmnožinou prednastavených povolení spolutvorby v portál na správu dodržiavania súladu Microsoft Purview.

Okrem toho je potrebné vybrať prepínač funkcie Less elevated user support vo verzii Preview v aplikácii Power BI Desktop. Podrobnosti nájdete v téme Prepínač funkcií ukážky aplikácie Desktop na úpravu podľa používateľov s obmedzujúcimi povoleniami na citlivosť.

Relaxácie na prispôsobenie scenárov automatického označovania

Fabric a Power BI podporujú niekoľko možností, ako je napríklad dedenie označenia zo zdrojov údajov a následné dedenie, ktoré automaticky použijú označenia citlivosti na obsah. Tieto automatizované scenáre môžu viesť k situáciám, keď nebol žiadny používateľ nastavený ako vydavateľ označenia RMS pre označenie položky. To znamená, že neexistuje žiadny používateľ, ktorému je zaručené, že bude môcť označenie zmeniť alebo odstrániť.

V takýchto prípadoch sú požiadavky na práva na používanie na zmenu alebo odstránenie označenia zmiernené – používateľ na zmenu alebo odstránenie označenia potrebuje len jedno z nasledujúcich práv na používanie:

  • VLASTNÍK
  • VÝVOZ
  • Upraviť…

Ak žiadny používateľ nemá ani tieto práva na používanie, nikto nebude môcť zmeniť alebo odstrániť označenie z položky a prístup k položke je potenciálne ohrozený.

Aby sa predišlo tejto situácii, správca služby Fabric môže povoliť správcom pracovného priestoru prepísať automaticky použité označenia citlivosti nájomníka. Vďaka tomu môžu správcovia pracovného priestoru prepísať automaticky použité označenia citlivosti bez ohľadu na zmenu pravidiel presadzovania práva označení.

Ak chcete povoliť toto nastavenie, prejdite na: Spravovanie portálu > Nastavenia > nájomníka Ochrana informácií a zapnite prepínač v nastavení Povoliť správcom pracovného priestoru prepísať automaticky použité označenia citlivosti.

Súvisiaci obsah