受保護的標籤是具有相關聯的檔案保護原則的敏感度標籤,可用來保護檔案和資料。 標籤的檔案保護原則會將使用權限授與使用者,例如能夠開啟檔案、編輯檔案、從檔案進行複製等。當受保護的標籤套用至檔案或項目時,原則所管轄的使用者可以在標籤原則下執行其擁有使用方式權限的動作。 檔案保護原則可以為不同組的使用者授與不同使用權限集合。 例如,在原則下,可能會對一組使用者授與檔案的完整控制權,而另一組使用者可能只允許開啟和檢視檔案。
備妥一組敏感度標籤和原則,是在 Fabric 和 Power BI 中使用敏感度標籤的必要條件。 標籤及其檔案保護原則是由 Microsoft Purview 合規性入口網站中的安全性管理員所定義。 一般而言,組織會針對 Word、Excel 和 PowerPoint 等 Office 應用程式,以及 Fabric 和 Power BI 使用同一組受保護的標籤。
Fabric 和 Power BI 中的受保護標籤運作方式
在 Fabric 和 Power BI 服務中,受保護的標籤只會控制變更或移除項目標籤的能力。 它們不會控制內容的存取權;如需透過敏感度標籤的訪問控制,請參閱 保護原則。 為了讓使用者能夠從項目中變更或移除受保護的標籤,使用者必須是套用敏感度標籤的使用者(RMS 擁有者),或至少具有該標籤的下列其中一個使用權限要求:
- 擁有者
- 匯出
- EDIT 和 EDITRIGHTSDATA
如果項目上的標籤是透過自動化流程設定 (例如從資料來源繼承或下游繼承),則第三個選項 EDIT 和 EDITRIGHTSDATA 會縮減為僅剩下 EDIT。 詳細資料請參閱放寬以容納自動標記案例 (機器翻譯)。
在 Power BI Desktop 中,受保護的標籤不僅能控制變更或移除受保護的標籤,還能加密檔案的內容(檢視、編輯、匯出等)。 擁有先前所述的許可權就足以解密檔案,並完全控制它。
具有下列許可權的使用者可以開啟、編輯及重新發佈受保護的 PBIX 檔案,但有限制。
權限:
- 檢視內容 (VIEW)
- 編輯內容 (DOCEDIT)
- 儲存 (EDIT)
- 複製與擷取內容 (EXTRACT)
- 允許巨集(OBJMODEL)
限制:
- 檔案無法匯出為不支援敏感度標籤的格式,例如 CSV 檔案。
- 它們無法儲存為 PBIP 或 PBIT。
- 使用者無法變更 PBIX 檔案上的標籤。
- 使用者只能將 PBIX 檔案重新發佈至檔案的來源原始工作區。
注意
檔案必須至少重新一次,其他使用者才能將其發佈回該特定工作區。 如果檔案尚未發佈,那麼最新的卷標設置者(最近設定受保護卷標的使用者)或具備足夠使用權限的使用者必須先發佈檔案,然後與其他編輯共用。
這些限制可確保內容的安全性仍受擁有足夠權限來設定標籤的人員控制。
這些許可權是Microsoft Purview 合規性入口網站中預設的 編輯器 (先前稱為共同作者)許可權的子集。
放寬以容納自動標記案例
Fabric 和 Power BI 支援數個功能,例如從資料來源繼承標籤以及下游繼承,這會自動將敏感度標籤套用至內容。 這些自動化案例可能會導致沒有任何使用者設定為項目上標籤的 RMS 標籤簽發者的情況。 這表示沒有任何使用者能夠保證變更或移除標籤。
在這種情況下,會放寬變更或移除標籤的使用權限需求 - 使用者只需要下列其中一個權限,就能變更或移除標籤:
- 擁有者
- 匯出
- 編輯…
如果沒有使用者擁有這些使用權限,則無人能夠更改或移除該項目的標籤,並且該項目的存取可能會受到危及。
若要避免這種情況,Fabric 管理員可以啟用 [允許工作區管理員覆寫自動套用的敏感度標籤] 租用戶設定。 這可讓工作區系統管理員覆寫自動套用的敏感度標籤,而不考慮標籤變更強制執行規則。
若要啟用此設定,請移至:[管理員入口網站] > [租用戶設定] > [資訊保護],然後在 [允許工作區管理員覆寫自動套用的敏感度標籤] 設定上啟用切換。