Fabric 和 Power BI 中的資訊保護功能,透過 Microsoft Purview 資訊保護中的敏感度標籤和原則,協助組織對其敏感資料進行分類與保護。 此外,Fabric 和 Power BI 還提供其他功能,可協助組織達到最大敏感度標籤涵蓋範圍,以及管理及控管其敏感數據。
本文說明網狀架構和 Power BI 的資訊保護 功能,。 您可以在 注意事項和限制 一節中找到目前支援的詳細資訊。
要求
-
備註
如果您的組織使用 Azure 資訊保護敏感度標籤,則必須移轉至 Microsoft Purview 資訊保護統一標籤平臺,才能在 Fabric 中使用。 深入瞭解如何移轉敏感度標籤。
若要對 Power BI 項目套用標籤,使用者除了擁有 Microsoft Purview 資訊保護所需的授權外,還必須具備 Power BI Pro 或 Power BI Premium Per-User(PPU)授權。
Office 應用程式有其自己的 授權需求,以檢視與套用敏感度標籤。
在租用戶上啟用敏感度標籤之前,請確定已針對相關使用者和群組定義併發佈敏感度標籤。 如需詳細資訊,請參閱 建立和設定敏感度標籤及其原則。
在中國的客戶必須啟用租用戶的權限管理,並新增 Microsoft Purview 資訊保護同步服務服務原則,如 [為中國客戶設定 Azure 資訊保護] 下的步驟 1 和 2 所述。
在 Power BI Desktop 中使用敏感度標籤需要 Desktop 2020 年 12 月版本或更新版本。
註解
如果您嘗試以 2020 年 12 月之前的桌面版本開啟受保護的 .pbix 檔案,將會失敗,系統會提示您升級您的桌面版本。
存取控制
在下列情況下,敏感度標籤可以將訪問控制套用至 Fabric 和 Power BI 資料和內容:
在套用了敏感性標籤的租戶中。 此案例依賴與 Microsoft Purview 保護 政策 相關聯的敏感度標籤。 當使用者登入套用標籤的 Fabric 租用戶並嘗試存取與保護原則有關的標籤所標示的項目時,其存取權將由該保護原則控制。 如需詳細資訊,請參閱 Microsoft Fabric (預覽) 中的
保護原則。 在 Power BI Desktop(.pbix)檔案中。 此情境依賴與 Microsoft Purview 發布 政策相關的敏感性標籤。 當使用者嘗試開啟與發佈原則相關聯的敏感度標籤 .pbix 檔案時,其存取權取決於他們在該原則下的許可權。 請參閱 使用敏感度標籤來套用加密來限制內容的存取。
在 支援的匯出路徑中。 此情境依賴與 Microsoft Purview 發布 政策相關的敏感性標籤。 當使用者嘗試開啟透過其中一個支援導出路徑產生的檔案時,其存取權取決於他們在該原則下的許可權。 請參閱 使用敏感度標籤來套用加密來限制內容的存取。
重要
不支援所有其他情況中的存取控制。 這包括跨租使用者案例,例如 外部數據共享,其中從另一個租使用者存取數據,或其他匯出路徑,例如導出至 .csv 檔案或 .txt 檔案。
支援的導出路徑
如果它們與 Microsoft Purview 發佈原則相關聯,則套用的敏感度標籤和訪問控制會隨著離開 Fabric 和 Power BI 的數據和內容一同保留在下列匯出路徑中:
導出至 Excel、PDF 檔案和 PowerPoint。
使用 Excel 來自 Fabric 進行分析,會下載一個與 Power BI 語意模型即時連線的 Excel 檔案。
Excel 中的樞紐分析表,並可即時連接至 Power BI 語意模型,適用於使用 Microsoft 365 E3 及以上版本的使用者。
從 Fabric 下載一個 Power BI Desktop (.pbix) 檔案。
Capabilities
下表總結了 Fabric 中資訊保護的功能,幫助您在組織中達到最大程度的敏感資訊覆蓋範圍。 布料支撐在第三欄標示。 詳情請參閱「 考量與限制 」章節。
| 能力 | 情境 | 支援狀態 |
|---|---|---|
| 手動標註 | 使用者可以手動為 Fabric 項目貼上敏感標籤 | 支援所有 Fabric 產品。 |
| 預設標籤 | 當項目被建立或編輯時,除非透過其他方式套用標籤,否則它會獲得預設的敏感度標籤。 | 支援所有 Fabric 物品,但有限制。 |
| 強制標籤 | 使用者無法儲存物品,除非對物品套用敏感標籤。 這代表他們也不能移除標籤。 | 目前僅完全支援 Power BI 項目。 支援部分非 Power BI Fabric 項目,但有限制. |
| 程式化標籤 | 敏感性標籤可以透過 Power BI 管理 REST API 程式化地新增、變更或刪除。 | 支援所有 Fabric 產品。 |
| 下游繼承 | 當敏感性標籤被套用到一個項目時,該標籤會向下傳遞到所有相關的項目。 | 支援所有 Fabric 物品,但有限制。 |
| 創世時的繼承 | 當你從現有商品建立新商品時,新商品會繼承現有商品的標籤。 | 支援所有 Power BI Fabric 項目。 支援部分非 Power BI Fabric 項目,詳細說明請參閱考量與限制. |
| 從資料來源繼承 | 當 Fabric 項目從具有敏感標籤的資料來源匯入資料時,該標籤會套用到 Fabric 項目上。 標籤接著透過下游繼承,向下傳遞到該 Fabric 項目的子項目。 | 目前僅支援 Power BI 語意模型。 |
| 匯出 | 當使用者從帶有敏感度標籤的項目匯出資料時,敏感度標籤會隨之移動至匯出後的格式。 | 目前僅支援於支援的匯出路徑中的 Power BI 項目。 |
考慮事項與限制條件
手動標註
當你在租戶上啟用敏感度標籤時,你會指定哪些使用者可以套用敏感標籤。 雖然本文所述的其他資訊保護功能能確保大多數項目在無需手動貼標籤的情況下被標註,但手動標註讓使用者能更改項目標籤。 欲了解更多如何手動為 Fabric 項目套用敏感度標籤的資訊,請參閱 《如何套用敏感度標籤》。
注意
使用者若要對 Fabric 項目套用敏感標籤,僅僅將使用者包含在指定使用者清單中是不夠的。 敏感性標籤也必須作為 Microsoft Purview 合規入口網站中標籤政策定義的一部分發佈給使用者。 如需詳細資訊,請參閱建立及設定敏感度標籤及其原則。
預設標籤
Power BI 完全支援預設標籤,並在 Power BI 的預設標籤政策中有說明。 在 Fabric 中,有一些限制。
當建立非 Power BI Fabric 項目時,如果有明確且實質的建立對話框,使用者未選擇標籤時,該項目會套用預設敏感度標籤。 如果項目是在沒有明確建立對話框的流程中建立的,預設標籤 就不會 套用。
當沒有標籤的 Fabric 項目被更新時,如果該項目是 Power BI 項目,任何屬性的變更都會使使用者未套用標籤時,預設標籤會被套用。 如果該項目是非 Power BI Fabric 項目,只有對某些屬性(如名稱和描述)的變更才會套用預設標籤。 而且只有在項目的 彈出選單中才會進行更改。 對於體驗介面所做的變更,目前不支援預設標籤。
強制標籤
目前僅支援 Power BI 項目的強制標籤。 如果是透過 flyout 選單進行變更,則不會強制標示。
對於湖屋、管線和資料倉儲:假設啟用資訊保護,若強制標籤開啟且預設標籤關閉,使用者即可選擇標籤。 然而,強制標籤邏輯並未被強制執行。 這表示使用者可以不附標籤地儲存物品,除非體驗本身需要設定標籤。
欲了解更多關於強制標籤的資訊,請參閱 Fabric 與 Power BI 的強制標籤政策。
程式化標籤
所有 Fabric 項目都支援程式化標籤。 欲了解更多資訊,請參閱 使用 Power BI REST 管理 API 設定或移除敏感度標籤。
下游繼承
預設情況下,下游繼承是開啟的。 在 Fabric 中的支援方式如下:
支援:
- Power BI 元件對 Power BI 元件
- 布料品與布料品
- 從 Fabric 項目到 Power BI 項目
不支援:
- Power BI 項目對 Fabric 項目
來自湖屋或資料倉儲的自動產生項目,其敏感度標籤會從其父湖屋或資料倉儲中取得。 他們不會從更上游的物品繼承標籤。
欲了解更多關於下游繼承的資訊,請參閱 敏感性標籤下游繼承。
創世時的繼承
Power BI Fabric 項目及其他非 Power BI 項目由另一個項目建立的情境中,支援建立時繼承:
- 由湖屋創建的管線繼承了湖屋的敏感性標籤。
- 從湖畔別墅製作的筆記本繼承了湖畔別墅的敏感標籤。
- 從 Lakehouse 創建的捷徑將繼承 Lakehouse 的敏感性標籤。
- 由筆記本建立的管線會繼承筆記本的敏感性標籤。
- 從 KQL 資料庫建立的 KQL 查詢集會繼承 KQL 資料庫的敏感性標籤。
- 從 KQL 資料庫建立的管線會繼承 KQL 資料庫的敏感性標籤。
欲了解更多關於下游繼承的資訊,請參閱 新內容建立時的敏感性標籤繼承。
從資料來源繼承
目前僅支援從資料來源繼承至 Power BI 語意模型。 欲了解更多資訊,請參閱資料來源的 敏感性標籤繼承。
匯出
匯出時的敏感度標籤繼承僅適用於 Power BI 項目,且僅支援在支援的匯出路徑中。 目前沒有其他 Fabric 體驗使用能將敏感度標籤轉移至匯出輸出的匯出方法。 但如果他們匯出有敏感標籤的商品,就會發出警告。
欲查看支援的 Power BI 項目匯出路徑,請參閱 Power BI 中的支援匯出路徑。