适用于澳大利亚政府的 Power BI 和数据资产的敏感度标记

本文为澳大利亚政府组织提供有关将 Microsoft Purview 敏感度标记功能扩展到数据源的指南。其目的是演示这些功能如何通过在源系统中标记信息来增强组织对数据安全的方法。本文中的指导旨在加强保护性安全策略框架 (PSPF) 中所述的信息分类和保护方法。

Purview 有两个Microsoft功能，可将敏感度标记扩展到数据和分析空间，并将相关保护扩展到数据和分析空间：

Microsoft Purview 数据治理功能允许我们识别位于数据库系统中的敏感信息，并将标签应用于数据。
Power BI 集成允许标记 Power BI 资产，包括仪表板、报表、数据集、数据流、分页报表和 Power BI (.pbix) 文件。可以在所有导出的 Excel 或 PDF 文件上维护标签，并且可以将基于标签的 Azure Rights Management 加密应用于导出的项目。

这些功能的意图是更好地支持信息的整个生命周期的保护。例如：

标记从架构化资产继承。

Azure 数据治理

Azure 数据治理允许自动将标签应用于数据，例如驻留在数据库列中的数据。此服务的意图是启用源系统中敏感信息的识别，并使用此标识来帮助保护信息的整个生命周期并在任何连接的系统中使用。源位置的标记信息还有助于简化下游系统中的信息管理，因为它无需使用精确数据匹配等工具来识别导出后的内容。

若要将标签应用于 Azure 中的资产，需要在标签的配置中选择 文件和其他数据资产 范围选项。这通常会为所有敏感度标签启用。

启用后，将按照标识敏感信息) 选择与所配置的标签一致的敏感信息类型 (。此过程类似于基于敏感内容检测推荐标签。

按照标签配置，需要注册数据资产。以下数据源支持敏感度标签：

该服务需要时间来扫描数据源中定义的敏感信息。 Microsoft Purview 目录（可从Azure 门户中获取）可用于查看已标记的敏感信息。

有关通过 Azure 数据管理进行标记的详细信息，请参阅使用 Microsoft Purview 进行数据管理。

敏感度标签可用于 Power BI 内容应用程序的功能与标签“文件”范围相关联。

若要利用 Power BI 标签集成，需要在组织的设置下通过 Power BI 管理门户启用信息保护选项。

Power BI 信息保护管理员设置中提供了以下选项：

Setting	用途
允许用户为内容应用敏感度标签	启用 Purview Power BI 集成，需要启用才能标记 Power BI 项。
在 Power BI 中将数据源中的敏感度标签应用于其数据	此选项允许从应用于源信息（如 Azure Synapse Analytics 和 Azure SQL 数据库）的标签继承。此功能依赖于上一部分所述的架构化数据资产功能。
自动将敏感度标签应用于下游内容	此选项允许在从 Power BI 数据资产生成的项上继承标签。例如，应用于数据集的标签会流向使用内容的报表和仪表板。继承的标签不会覆盖手动应用的标签，被视为 ISM-0271 的免费标签，确保下游项目的最低保护级别。
允许工作区管理员替代自动应用的敏感度标签	此选项允许工作区管理员替代标签，这些标签通过上一个设置自动标记。除了管理员能够更改标签以覆盖基于 Azure Rights Management 的控制（可能会将管理员或用户锁定在项之外）之外，还可以使用此选项。
限制通过链接与组织中的每个人共享具有受保护标签的内容	此选项自定义共享设置，以限制组织中的创建人员共享链接，从而减少潜在的数据泄露。

配置 Power BI 信息保护选项并将标签复制到Power BI 服务后，标签可用于 Power BI 资源的应用程序。例如：

Power BI 标记选项。

如敏感度标签策略中所述，可以将标签策略配置为对所有 Power BI 内容强制标记。

除了 Power BI 下游内容设置外，启用此选项还有助于确保根据组织数据丢失防护 (DLP) 策略（包括在防止安全机密信息不当分发下建议的策略）保护通过 Power BI 生成或查看的敏感信息。

这些设置扩展了组织满足 PSPF 策略 8 核心要求 1 的能力。这是因为它们允许将分类、标记和关联的控件扩展到 Power BI 位置。

要求	详情
PSPF 2024 - 09。分类 & 注意事项 - 要求 59	(用作正式记录) 的官方信息的价值、重要性或敏感性由发起人评估，方法是考虑如果信息的机密性受到损害，可能会对政府、国家利益、组织或个人造成损害。

有关启用 Power BI 集成的先决条件的详细信息，请参阅在 Power BI 中启用敏感度标签。