授权和要求
我需要哪些许可证才能查看和应用敏感度标签?
- 要在 Power BI 中应用或查看 Microsoft Purview 信息保护中的敏感度标签,需要 Azure 信息保护高级版 P1 或高级版 P2 许可证。
- 要能够向 Power BI 内容和文件应用标签,除上述任一 Azure 信息保护许可证之外,用户还必须具有 Power BI Pro 或者 Premium Per User (PPU) 许可证。
- Office 应用有其自己的查看和应用敏感度标签的授权要求。
需要满足哪些要求和先决条件才能在我的租户中启用敏感度标签?
- 如果你的组织使用 Azure 信息保护敏感度标签,则需要将其迁移到 Microsoft Purview 信息保护统一标记平台,以便在 Power BI 中使用它们。 了解关于迁移敏感度标签的详细信息。
- 对租户启用敏感度标签之前,请确保已为相关用户和组定义并发布了敏感度标签。 有关详细信息,请参阅创建和配置敏感度标签及其策略。
- 中国客户必须为租户启用权限管理,并添加 Microsoft Purview 信息保护同步服务服务原则,如为中国客户配置 Azure 信息保护中的步骤 1 和 2 所述。
- 在 Desktop 中使用敏感度标签需要 Desktop 2020 年 12 月版和更高版本。
敏感度标签的一般性问题
我无法在租户上启用敏感度标签
Power BI 使用 Microsoft Purview 信息保护中的敏感度标签。 因此,如果在尝试启用敏感度标签时遇到错误信息,则可能是由下列原因之一造成的:
- 没有 Azure 信息保护许可证。
- 敏感度标签尚未迁移到 Power BI 支持的 Microsoft Purview 信息保护版本。
- Microsoft Purview 信息保护中没有在组织中定义的敏感度标签。
我无法应用敏感度标签
若要能够应用或更改敏感度标签,你必须满足以下条件:
- 具备 Power BI Pro 或 Premium Per User (PPU) 许可证。
- 对要应用标签的项具有创建和编辑权限。
- 在具有应用敏感度标签权限的安全组内,如在 Power BI 中启用敏感度标签中所述。
要应用的“敏感度”标签灰显
如果要更改的特定标签灰显,则表示你可能没有正确的使用权限来更改该标签。 如果需要更改敏感度标签但无法进行更改,请先请求应用该标签的用户对其进行修改,或与 Microsoft 365/Office 安全管理员联系,请求所需的标签使用权限。
Desktop 中的“敏感度”按钮灰显
如果“敏感度”按钮显示为灰色,这可能表示,你不具有适当的许可证或者不属于有应用敏感度标签权限的安全组,如在 Power BI 中启用敏感度标签中所述。
敏感度标签不保护已导出的文件
只有在数据通过受支持的导出路径离开 Power BI 时,敏感度标签和文件加密才能保护数据。 如果数据通过不受支持的导出路径离开 Power BI,则它将不会继承敏感度标签,也不会被加密。
为防止敏感数据泄漏,Power BI 管理员可以使用 Power BI 的导出和共享设置阻止从不受支持的导出路径进行导出。
敏感度标签的其他问题
请勿使用父标签。 父标签是具有子标签的标签。 不能应用父标签,但如果已应用的标签获取了子标签,则它可能会成为父标签。 如果遇到具有父标签的项,请应用相应的子标签。 若要更改父标签,必须对标签具有足够的使用权限。
如果某个项具有父标签,请注意以下行为:
- 不会继承父标签。
- 强制标签策略不会应用于具有父标签的项。 这意味着用户无需应用有意义的标签即可保存项,并且该项将转义旨在提升总体覆盖率的强制标签策略。
- 如果尝试从具有父标签的项导出数据,导出将失败。
- 可以发布具有父标签的 .pbix 文件,但如果父标签受到保护,发布将失败。 解决方案是应用合适的子标签。
在 Power BI 服务中,如果语义模型的标签已从标签管理中心删除,则无法导出或下载该数据。 在 Excel 中分析中,将发出警告,并将数据导出到没有敏感度标签的 .odc 文件。 在 Desktop 中,如果 .pbix 文件具有此类无效标签,你将无法保存文件。
Power BI 不支持请勿转发、用户定义和 HYOK 这三种保护类型的敏感度标签。 “请勿转发”和“用户定义”保护类型引用 Purview 合规门户内定义的标签。
支持从加密的 Excel (.xlsx) 文件获取数据和刷新方案,除非文件存储在网关后面,在这种情况下,“获取数据/刷新”操作将失败。 从存储在网关后面且具有“未受保护”敏感度标签的 Excel 文件中获取数据和刷新操作将成功,但敏感度标签不会被继承。 有关详细信息,请参阅从数据源继承敏感度标签。
PBIX 文件问题
从 Power BI 服务导出到 .pbix 文件失败,当我尝试导出具有受保护敏感度标签的报表时。
将具有受保护敏感度标签的报表从 Power BI 服务导出到 pbix 文件时,如果 pbix 文件大小大于 6 GB,则无法应用受保护标签(由于Microsoft Purview 信息保护限制),导出失败。
我可以在 Power BI 服务中看到报表和语义模型,但在将它们下载到 pbix 时,我收到一条消息,显示“权限不足,无法打开该文件”
在 Power BI 服务中,敏感度标签不影响对内容的访问。 在该服务中,对内容的访问仅取决于用户对该内容的权限。 虽然标签在服务中可见,但没有应用在 Microsoft Purview 门户中配置的任何加密设置。 它们仅适用于通过受支持的导出路径离开该服务的数据。
在 Power BI Desktop 中,具有加密设置的敏感度标签会影响对内容的访问。 根据 .pbix 文件上敏感度标签的加密设置,如果用户没有足够的权限,将无法打开该文件。 此外,在 Desktop 中,当你保存工作时,你添加的任何敏感度标签及其关联的加密设置都将应用于保存的 .pbix 文件。
无法在 Desktop 中打开受保护的 .pbix 文件
在 Desktop 中使用敏感度标签需要 Desktop 2020 年 12 月版和更高版本。 如果尝试使用早于 2020 年 12 月的 Desktop 版本打开受保护的 .pbix 文件,操作将会失败,并且系统会提示你升级 Desktop 版本。
拥有免费许可证的用户无法打开受保护的 .pbix 文件。
受保护的 .pbix 文件只能由获得相应许可并具有相关标签的完全控制和/或导出使用权限的用户打开。 设置标签的用户也具有“完全控制”权限,永远无法将其锁定。查看更多详细信息
在极少数情况下,除了设置标签的用户以外,没有用户拥有相关标签的必要使用权限。 如果该用户离开组织或更改其在组织内的别名,则对 .pbix 文件的所有访问权限都将丢失。 在这种情况下,重新获取文件访问权限的解决方案是使用设置/删除敏感度标签管理 API 更改或删除文件上的敏感度标签。 联系 Power BI 管理员寻求帮助(只有管理员可以运行管理 API)。
无法在 Desktop 中保存标记的 .pbix 文件
Power BI Desktop 用户可能会在 Internet 连接丢失时(例如在脱机后)保存工作时遇到问题。 在没有 Internet 连接的情况下,与敏感度标签和权限管理相关的一些操作可能无法正确完成。 在这种情况下,建议重新联机,然后再次尝试保存。
通常,当你使用应用加密的敏感度标签保护文件时,最好也使用其他加密方法,例如页面文件加密、NTFS 加密、BitLocker 实例、反恶意软件等。
无法发布或获取受保护的 .pbix 文件中的数据
受保护的 .pbix 文件的“发布”或“获取数据”要求 .pbix 文件上的标签位于用户的标签策略中。 如果标签不在用户的标签策略中,则“发布”或“获取数据”操作将失败。
无法使用在服务主体下运行的 API 将具有敏感度标签的 .pbix 文件发布或导入到服务中
不支持通过在服务主体下运行的 API 将具有受保护的敏感度标签的 .pbix 文件发布或导入到服务中,该操作会失败。 为了缓解问题,用户可以删除标签,然后使用服务主体进行发布。
无法通过“获取”数据将受保护的文件上传到 Desktop
支持导入 OneDrive 或 SharePoint Online 中存储的带敏感度标记的 .pbix 文件(受保护和未受保护),并支持从此类文件中按需和自动刷新语义模型,但以下情况除外:
- 受保护的实时连接 .pbix 文件和受保护的 Azure Analysis Services .pbix 文件:“刷新”将失败。 既不更新报表内容,也不更新标签。
- 标记为未受保护的 Live Connect .pbix 文件:将更新报表内容,但不更新标签。
- .pbix 文件应用了语义模型所有者没有使用权限的新敏感度标签时。 在这种情况下,刷新将失败。 既不更新报表内容,也不更新标签。
- 如果 OneDrive/SharePoint 的语义模型所有者的访问令牌已过期。 在这种情况下,刷新将失败。 既不更新报表内容,也不更新标签。
无法在适用于 Power BI 报表服务器的 Power BI Desktop 中打开受保护的 .pbix 文件
适用于 Power BI 报表服务器的 Power BI Desktop 不支持信息保护。 如果尝试打开受保护的 .pbix 文件,该文件将无法打开并且你会收到一条错误消息。 带有敏感度标签的未加密 .pbix 文件可以正常打开。
连接到数据源
若要从 Fabric 或 Power BI(包括 Power BI Desktop)成功连接到具有应用文件加密的敏感度标签的数据源(如 Excel 文件),必须在 Fabric/Power BI 中启用信息保护(即租户设置“允许用户为内容应用敏感度标签”必须设置为“启用”)。
主权云
以下主权云中支持敏感度标签:
- 美国政府:GCC、GCC High、DoD
- 中国:中国客户必须为租户启用权限管理,并添加 Microsoft Purview 信息保护同步服务服务原则,如为中国客户配置 Azure 信息保护中的步骤 1 和 2 所述。
模板应用中的敏感度标签支持
模板应用不支持数据敏感度标签。 模板应用创建者设置的敏感度标签在提取和安装应用时被删除,应用使用者添加到已安装模板应用项目的敏感度标签在更新应用时丢失(重置为无)。
默认标签
对于我在 Power BI 服务中创建的新内容,不应用任何默认标签。
Power BI 中的默认标签涵盖最常见的方案,但可能还有一些不太常见的流仍允许用户打开或创建未标记的 .pbix 文件或 Power BI 项目。
Power BI 中的默认标签不支持服务主体和 API。 服务主体和 API 不受默认标签策略的约束。
外部来宾用户 (Microsoft Entra B2B) 不支持 Power BI 中的默认标签策略。 B2B 用户在 Power BI Desktop 中打开或创建未标记的 .pbix 文件或 Power BI 服务中的 Power BI 项目时,不会自动应用任何默认标签。
即使在我的租户中启用了默认标签,创建的 pbix 文件也没有获得默认标签
Power BI 中的默认标签涵盖最常见的方案,但可能还有一些不太常见的流仍允许用户打开或创建未标记的 .pbix 文件或 Power BI 项目。
应用于 Power BI 内容的默认标签与应用于电子邮件和文件的标签不同
Power BI 的默认标签策略设置与文件和电子邮件的默认标签策略设置无关。
即使默认标签处于打开状态,B2B 用户也能够打开并创建未标记的 .pbix 文件。
外部来宾用户(B2B 用户)不支持 Power BI 中的默认标签策略。 B2B 用户在 Power BI Desktop 中打开或创建未标记的文件时,默认标签不会自动应用于该文件。
强制标记
启用了 Power BI 的强制标记,但正在创建或保存某些项目,而无需使用标签。
Power BI 中的强制标签不支持服务主体和 API。 服务主体和 API 不受强制标签策略的约束。
可能有允许用户创建或编辑未标记内容的流。
Power BI 中的强制标签不支持外部来宾用户(B2B 用户)。 B2B 用户不受强制标签策略的约束。
下游继承
启用了下游继承,但是部分或所有下游项不继承标签
下游继承限 80 个项目。 如果下游项目数超过 80,则不会发生下游继承。 只有标签实际应用到的项目才会收到该标签。
下游继承从不覆盖手动应用的标签。
下游继承从不使用具有更少限制的标签覆盖其他标签。
只有在启用完全自动的下游继承模式时,从数据源继承的敏感度标签才会自动向下游传播。
从数据源继承敏感度标签
来自数据源的敏感度标签不继承到 Power BI。
- 数据源中的数据必须使用 Microsoft Purview 信息保护中的敏感度标签进行标记。
- 标签的范围必须是“文件和电子邮件”以及“Azure Purview 资产”。 请参阅将敏感度标签扩展到 Azure Purview 和创建新的敏感度标签或修改现有标签。
- 必须在 Power BI 中启用敏感度标签。
- 必须启用将来自数据源的敏感度标签应用于这些数据源在 Power BI 中的数据(预览)租户管理员设置。
- 必须满足应用标签的所有条件。
- 经典工作区中的语义模型不支持从数据源继承。 支持我的工作区和 V2 工作区。
- 只有具有增强元数据的语义模型才支持从数据源继承。 有关详细信息,请参阅使用增强型数据集元数据。
- 只有采用了“导入数据”连接模式的语义模型才支持从数据源继承。 不支持实时连接和 DirectQuery 连接。
- 通过网关或 Azure 虚拟网络 (VNet) 进行的连接不支持从数据源继承。 这意味着,从位于本地计算机上的 Excel 文件继承将不起作用,因为这需要网关。
使用 Power BI REST API 设置和删除敏感度标签问题
无法使用 Power BI REST 管理员 API 设置或删除敏感度标签
- 用户必须是 Fabric 管理员才能调用这些 API。
- 管理员用户(以及可能存在的委派用户)必须具有足够的使用权限才能设置或删除标签。
- 若要使用 setLabels API 设置敏感度标签,管理员用户(或可能存在的委派用户)的标签策略中必须包含标签。
- API 允许每小时最多有 25 个请求。 每个请求可以更新最多 2000 个项目。
- 所需范围:Tenant.ReadWrite.All
云应用防御者
要将 Defender for Cloud Apps 与 Power BI 结合使用,必须使用和配置相关的 Microsoft 安全服务,其中一些要在 Power BI 外部设置。 要在租户中拥有 Defender for Cloud Apps,必须具有以下任一许可证:
- Defender for Cloud Apps:为所有支持的应用(包含在 EMS E5 和 Microsoft 365 E5 套件中)提供 Defender for Cloud Apps 功能。
- Office 365 云应用安全(Defender for Cloud Apps 的子集):仅为 Office 365(Office 365 E5 套件的一部分)提供云应用安全功能。
将 Defender for Cloud Apps 与 Power BI 结合使用,可帮助保护组织的内容和数据,并提供用于监视用户会话及其活动的检测。 结合使用 Defender for Cloud Apps 与 Power BI 时,应注意以下几个注意事项和限制:
- Defender for Cloud Apps 只能在 Excel、PowerPoint 和 PDF 文件上运行。
- 如果要在 Power BI 的会话策略中使用敏感度标签功能,则需要具有 Azure 信息保护高级版 P1 或高级版 P2 许可证。 Microsoft Azure 信息保护可以单独进行购买,也可以通过一个 Microsoft 许可套件进行购买。 有关详细信息,请参阅 Azure 信息保护定价。 此外,必须在 Power BI 资产上应用敏感度标签。
- 会话控制可用于任何操作系统中任何主要平台上的任何浏览器。 建议使用 Internet Explorer 11、Microsoft Edge(最新版本)、Google Chrome(最新版本)、Mozilla Firefox(最新版本)或 Apple Safari(最新版本)。 Power BI 公共 API 调用和其他不基于浏览器的会话不会作为 Defender for Cloud Apps 会话控件的一部分受到支持。 查看更多详细信息。
- 如果你遇到登录问题,例如需要登录多次,这可能与一些应用处理身份验证的方式有关。 有关详细信息和修正步骤,请参阅 Defender for Cloud Apps 文档中的“登录缓慢”。
注意
在会话策略的“操作”部分中,“保护”功能仅对不带标签的项有效。 如果标签已存在,则不会应用“保护”操作;无法在 Power BI 中替代已应用于项的现有标签。
我无法访问 Defender for Cloud Apps 信息。
若要访问 Defender for Cloud Apps 信息,组织必须具有相应的 Defender for Cloud Apps 许可证。
分页报表
我的分页报表没有继承其所基于的模型的敏感度标签。
不支持下游继承。 上游模型的标签不会向下传播到其下游分页报表。
分页报表中的敏感度标签不会应用于报表的下游内容。
分页报表的标签不会向下传播到报表的下游内容。
即使启用了强制标记,也可以创建和保存没有敏感度标签的分页报表。
强制标记不适用于分页报表。