Fabric 和 Power BI 中的受保護敏感度標籤

受保護的標籤是具有與其相關聯的檔案保護原則的敏感度標籤，可用來保護檔案和數據。 卷標的檔案保護原則會將許可權授與使用者，例如能夠開啟檔案、編輯檔案、從檔案複製等。當受保護的標籤套用至檔案或專案時，包含在原則中的使用者可以在標籤原則下執行其使用權的動作。 檔案保護原則可以授與不同使用者的不同許可權集合。 例如，在原則下，可能會授與一組使用者對檔案的完整控制權，而另一組使用者可能只允許開啟和檢視檔案。

備妥一組敏感度標籤和原則，是在網狀架構和Power BI 中使用敏感度標籤的必要條件。 標籤及其檔案保護原則是由 Microsoft Purview 合規性入口網站 中的安全性系統管理員所定義。 一般而言，組織會針對 Word、Excel 和 PowerPoint 等 Office 應用程式，以及 Fabric 和 Power BI 使用同一組受保護的標籤。

受保護標籤在 Fabric 和 Power BI 中的運作方式

在 Fabric 和 Power BI 服務 中，受保護的標籤只會控制變更或移除專案標籤的能力。 它們不會控制內容的存取權。 為了讓用戶能夠從專案變更或移除受保護的標籤，用戶必須是套用敏感度標籤的使用者（RMS 擁有者），或至少具有下列其中一個標籤的使用權需求。

• OWNER
• 出口
• EDIT 和 EDITRIGHTSDATA

如果專案上的標籤是透過自動化程式設定的，例如從數據源繼承或下游繼承，則第三個選項 EDIT 和 EDITRIGHTSDATA 會縮減為 JUST EDIT。 如需詳細資訊，請參閱 放寬以容納自動標籤案例 。

在 Power BI Desktop 中，受保護的標籤不僅控制變更或移除受保護標籤的能力，還可以存取內容（檢視、編輯、導出等）。 因此，可能會封鎖具有受保護 PBIX 檔案的共同作業案例，因為大多數使用者不太可能在標籤下擁有足夠的許可權來開啟和編輯檔案。

例如，假設您在Power BI Desktop 中建立報表、將受保護的標籤套用至該報表，然後與其他用戶共用 PBIX 檔案。 使用者很可能沒有足夠的許可權可開啟檔案。

若要避免這種情況，並讓更多用戶能夠使用受保護的 PBIX 檔案，網狀架構系統管理員應啟用 增加可編輯和重新發佈加密 PBIX 檔案的用戶數目（預覽） 租用戶設定。 啟用此設定時，會有更多使用者（請參閱附注）能夠開啟、編輯及發佈/重新發佈受保護的 PBIX 檔案，但有下列限制：

• 它們無法匯出為不支援敏感度標籤的格式，例如 CSV 檔案。
• 他們無法變更 PBIX 檔案上的標籤。
• 他們只能將 PBIX 檔案重新發佈至檔案的來源原始工作區。

  注意

  檔案必須至少發行一次，其他使用者才能將它發佈回該特定工作區。 如果檔案尚未發佈，則最新的卷標籤發者（最近設定受保護卷標的使用者）或具有足夠許可權的使用者必須發佈它，然後與其他編輯器共用檔案。

這些限制可確保內容的安全性仍受擁有足夠許可權來設定標籤的人員控制。

注意

用戶必須在標籤原則下擁有下列所有許可權：

• 檢視內容 （VIEW）
• 編輯內容 （DOCEDIT）
• 儲存 （編輯）
• 複製與擷取內容 （EXTRACT）
• 允許宏 （OBJMODEL）

這些許可權是 Microsoft Purview 合規性入口網站 中預設的共同作者許可權子集。

此外， 必須選取 Power BI Desktop 中較不提升許可權的使用者支援 預覽功能切換。 如需詳細數據，請參閱 桌面預覽功能切換，供具有限制敏感度許可權的用戶 編輯。

放寬以容納自動套用標籤案例

網狀架構和Power BI支援數個功能，例如 數據源的 標籤繼承和 下游繼承，這會自動將敏感度標籤套用至內容。 這些自動化案例可能會導致沒有任何使用者設定為專案上標籤標的 RMS 標籤發者的情況。 這表示沒有任何使用者保證能夠變更或移除標籤。

在這種情況下，變更或移除卷標的許可權需求是寬鬆的 - 使用者只需要下列其中一個許可權，才能變更或移除標籤：

• OWNER
• 出口
• 編輯…

如果使用者甚至沒有這些許可權，則任何人都無法變更或移除專案中的標籤，而且該專案的存取可能會受到威脅。

若要避免這種情況，網狀架構管理員可以啟用 [允許工作區管理員] 覆寫自動套用的敏感度標籤 租用戶設定。 這可讓工作區系統管理員覆寫自動套用的敏感度標籤，而不考慮標籤變更強制執行規則。

若要啟用此設定，請移至：管理員 入口網站>租使用者設定>資訊保護，然後在 [允許工作區管理員覆寫自動套用的敏感度卷標] 設定上啟用切換。

相關內容

• 資訊保護