Fabric 和 Power BI 中的受保護敏感度標籤
受保護的標籤是具有相關聯的檔案保護原則的敏感度標籤,可用來保護檔案和資料。 標籤的檔案保護原則會將使用權限授與使用者,例如能夠開啟檔案、編輯檔案、從檔案進行複製等。當受保護的標籤套用至檔案或項目時,原則所管轄的使用者可以在標籤原則下執行其擁有使用方式權限的動作。 檔案保護原則可以為不同組的使用者授與不同使用權限集合。 例如,在原則下,可能會對一組使用者授與檔案的完整控制權,而另一組使用者可能只允許開啟和檢視檔案。
備妥一組敏感度標籤和原則,是在 Fabric 和 Power BI 中使用敏感度標籤的必要條件。 標籤及其檔案保護原則是由 Microsoft Purview 合規性入口網站中的安全性管理員所定義。 一般而言,組織會針對 Word、Excel 和 PowerPoint 等 Office 應用程式,以及 Fabric 和 Power BI 使用同一組受保護的標籤。
Fabric 和 Power BI 中的受保護標籤運作方式
在 Fabric 和 Power BI 服務中,受保護的標籤只會控制變更或移除項目標籤的能力。 其不會控制內容的存取權。 為了讓使用者能夠透過項目來變更或移除受保護的標籤,使用者必須是套用敏感度標籤的使用者 (RMS 擁有者),或至少具有下列其中一個標籤的使用權限需求。
- OWNER
- 匯出
- EDIT 和 EDITRIGHTSDATA
如果項目上的標籤是透過自動化流程設定 (例如從資料來源繼承或下游繼承),則第三個選項 EDIT 和 EDITRIGHTSDATA 會縮減為僅剩下 EDIT。 詳細資料請參閱放寬以容納自動標記案例 (機器翻譯)。
在 Power BI Desktop 中,受保護的標籤不僅有控制變更或移除受保護標籤的能力,還可以存取內容 (檢視、編輯、匯出等)。 因此,由於大多數使用者不太可能在標籤下擁有足夠的使用權限來開啟和編輯檔案,所以具有受保護 PBIX 檔案的共同作業案例可能會遭到封鎖。
例如,假設您在 Power BI Desktop 中建立報表、將受保護的標籤套用至該報表,然後與其他使用者共用 PBIX 檔案。 使用者很可能沒有足夠的權限可開啟檔案。
若要避免這種情況,並讓更多用戶能夠使用受保護的 PBIX 檔案,Fabric 系統管理員應啟用 [增加可編輯和重新發佈加密 PBIX 檔案的使用者數目 (預覽)] 租用戶設定。 啟用此設定時,會有更多使用者 (請參閱附注) 能夠開啟、編輯及發佈/重新發佈受保護的 PBIX 檔案,但有下列限制:
- 檔案無法匯出為不支援敏感度標籤的格式,例如 CSV 檔案。
- 使用者無法變更 PBIX 檔案上的標籤。
- 使用者只能將 PBIX 檔案重新發佈至檔案的來源原始工作區。
注意
檔案必須至少重新一次,其他使用者才能將其發佈回該特定工作區。 如果檔案尚未發佈,則最新的標籤簽發者 (最近設定受保護標籤的使用者) 或具有足夠使用權限的使用者必須加以發佈,然後與其他編輯者共用檔案。
這些限制可確保內容的安全性仍受擁有足夠權限來設定標籤的人員控制。
注意
使用者必須在標籤原則下擁有下列所有使用權限:
- 檢視內容 (VIEW)
- 編輯內容 (DOCEDIT)
- 儲存 (EDIT)
- 複製與擷取內容 (EXTRACT)
- 允許巨集 (OBJMODEL)
這些使用權限是 Microsoft Purview 合規性入口網站中預設的共同撰寫權限子集。
此外,您必須選取 Power BI Desktop 中較低權限的使用者支援預覽功能切換。 如需詳細資料,請參閱用於供具有限制性敏感度權限之使用者進行編輯的桌面預覽功能切換。
放寬以容納自動標記案例
Fabric 和 Power BI 支援數個功能,例如從資料來源繼承標籤以及下游繼承,這會自動將敏感度標籤套用至內容。 這些自動化案例可能會導致沒有任何使用者設定為項目上標籤的 RMS 標籤簽發者的情況。 這表示沒有任何使用者能夠保證變更或移除標籤。
在這種情況下,會放寬變更或移除標籤的使用權限需求 - 使用者只需要下列其中一個權限,就能變更或移除標籤:
- OWNER
- 匯出
- 編輯…
如果甚至沒有使用者有這些使用權限,任何人都無法變更或移除項目中的標籤,而該專案的存取可能會受到威脅。
若要避免這種情況,Fabric 管理員可以啟用 [允許工作區管理員覆寫自動套用的敏感度標籤] 租用戶設定。 這可讓工作區系統管理員覆寫自動套用的敏感度標籤,而不考慮標籤變更強制執行規則。
若要啟用此設定,請移至:[管理員入口網站] > [租用戶設定] > [資訊保護],然後在 [允許工作區管理員覆寫自動套用的敏感度標籤] 設定上啟用切換。