Power BI 的敏感度標籤,以及澳大利亞政府與 PSPF 合規性的數據資產
本文為澳大利亞政府組織提供將 Purview 敏感度標籤功能擴充至數據源Microsoft指導方針。 其目的是示範這些功能如何藉由在來源系統中標示資訊,來強化組織的數據安全性方法。 本文中的建議旨在針對保護安全策略架構 (PSPF) 中所述資訊的分類和保護方法進行強化。
有兩Microsoft Purview 功能可將敏感度標籤延伸至 數據和分析空間,以及相關聯的保護:
架構化的數據資產或數據對應功能可讓我們識別位於資料庫系統中的敏感性資訊,並將標籤套用至就地數據。
Power BI 整合允許標記 Power BI 資產,包括儀錶板、報表、數據集、數據流、編頁報表,以及 Power BI (.pbix) 檔案。 標籤可以在所有導出的 Excel 或 PDF 檔案上維護,而以標籤為基礎的 Azure Rights Management 加密可以套用至導出的專案。
這些功能的目的是要在整個生命週期中更有效地支援信息保護。 例如:
注意
這些功能目前為預覽狀態,必須透過 [資訊保護 > 標籤] 功能表提供的提示加入預覽版來啟用。
架構化數據資產標籤可讓標籤自動套用至數據,例如位於資料庫數據行的數據。 此服務的目的是要在來源系統中啟用敏感性資訊的識別,並使用此識別來協助保護其整個生命週期中的資訊,並在任何已連線的系統內使用。 在來源標記資訊也有助於簡化下游系統中的資訊管理,方法是減輕使用精確數據比對等工具來識別匯出後內容的需求。
您可以透過標籤組態內的範圍選項,為標籤啟用架構化數據資產選項。
在啟用架構化數據資產範圍選項之後,系統會選取 [敏感性資訊類型] (,如 識別敏感性資訊) 中所討論,以符合所設定的標籤。 此程式類似於 根據敏感性內容偵測來建議標籤。
在標籤設定之後,必須註冊數據資產。 下列資料源支援敏感度標籤:
- SQL Server
- Azure SQL 資料庫
- Azure SQL 受控執行個體
- Azure Synapse Analytics 工作區
- 適用於 NoSQL 的 Azure Cosmos DB
- 適用於 MySQL 的 Azure 資料庫
- 適用於 PostgreSQL 的 Azure 資料庫
- Azure 資料總管
服務需要時間來掃描數據源中已定義的敏感性資訊。 Microsoft可從 Azure 入口網站 內取得的 Purview 目錄,可用來檢視標記的敏感性資訊。
如需透過 Microsoft Purview 資料對應 架構化數據資產和標籤的進一步資訊,請參閱 Microsoft Purview 資料對應 中的標籤。
可供應用程式使用Power BI內容的敏感度標籤功能會繫結至標籤 'file' 範圍。
若要使用Power BI標籤整合,資訊保護 選項必須先從Power BI系統管理入口網站的組織設定下啟用。
下列選項可在 Power BI 資訊保護 系統管理員設定中使用:
設定 | 用途 |
---|---|
允許使用者套用內容的敏感度標籤 | 啟用 MPIP Power BI 整合,而且必須啟用才能允許 Power BI 專案的標籤。 |
在 Power BI 中將敏感度標籤從數據源套用至其數據 | 此選項可讓標籤繼承自套用至來源資訊的標籤,例如 Azure Synapse 分析和 Azure SQL 資料庫。 這項功能依賴上一節中討論的架構化數據資產功能。 |
自動將敏感度標籤套用至下游內容 | 此選項可讓標籤繼承自Power BI資料資產所產生的專案。 例如,套用至數據集的標籤會流向使用內容的報表和儀錶板。 繼承的標籤不會覆寫手動套用的標籤,而且會視為 ISM-0271 的補充,以確保下游專案的最低保護層級。 |
允許工作區系統管理員覆寫自動套用的敏感度標籤 | 此選項可讓工作區系統管理員覆寫標籤,這些標籤會透過先前的設定自動加上標籤。 除了系統管理員能夠變更標籤,以覆寫可能將系統管理員或使用者鎖在專案之外的 Azure Rights Management 型控件之外,還提供此選項。 |
限制具有受保護標籤的內容,不透過連結與組織中的每個人共用 | 此選項會自定義共用設定,以限制 組織中 共用連結的建立人員,以減少潛在的數據暴露。 |
一旦設定 Power BI 資訊保護 選項,且標籤時間復寫到 Power BI 服務,即可將標籤套用至 Power BI 資源。 例如:
如 敏感度標籤原則期間所討論,標籤原則可以設定為強制執行所有Power BI內容的標籤。
除了 Power BI 下游內容設定之外,啟用此選項也有助於確保透過 Power BI 產生或檢視的敏感性資訊受到保護,符合組織 DLP 原則,包括 防止不當散發安全性分類資訊下建議的敏感性資訊。
這些設定可擴充組織符合 PSPF 原則 8 核心需求 1 的能力。 這是因為它們允許將分類、標記和相關聯的控件擴充至 Power BI 位置。
需求 | 詳細資料 |
---|---|
PSPF 原則 8、需求 1 (核心需求) - 識別 v2018.6 (的資訊) | 產生者必須判斷所產生的資訊是否為官方資訊 (作為官方記錄) ,以及該資訊是否為機密或安全性分類。 |
Power BI 下游內容設定會根據來源資訊的敏感度自動套用標籤。 這通常不會用於政府設定,因為它未遵循 PSPF 原則 8 核心需求 2。 原因是標籤會套用至內容,而不需要使用者評估資訊的敏感度。
需求 | 詳細資料 |
---|---|
PSPF 原則 8 需求 2 (核心需求) - 評估 v2018.6 版 (資訊的敏感度和安全性分類) | 若要決定要套用哪些安全性分類,起始者必須: i. 藉由考慮可能對政府、國家利益、組織或個人造成的損害,評估官方信息的價值、重要性或敏感度,如果信息的機密性遭到入侵, (請參閱下表) , ii. 將安全性分類設定為最低的合理層級。 |
可能會有例外狀況需要此函式 (例如,政府機關 (MoG) ,其中大量數據會從工作組移至部門) ,因此此處包含此用途。
如需啟用Power BI整合、必要條件的詳細資訊,請參閱 在Power BI 中啟用敏感度標籤。