Power BI 中的敏感度標籤
此文章描述 Power BI 中來自 Microsoft Purview 資訊保護的敏感度標籤功能。
如需在租用戶上啟用敏感度標籤的資訊,包括授權需求和必要條件,請參閱在 Power BI 中啟用資料敏感度標籤。
如需如何在 Power BI 內容與檔案上套用敏感度標籤的資訊,請參閱如何在 Power BI 中套用敏感度標籤。
提供您的意見反應給我們
產品小組想要取得您對於 Power BI 資訊保護功能及其與 Microsoft Purview 資訊保護整合的意見反應。 協助我們達到資訊保護需求! 感謝您!
簡介
來自 Purview 資訊保護的敏感度標籤可為使用者提供一種簡單的方式來分類 Power BI 中的重要內容,而不會影響生產力或共同作業的能力。 其可在 Power BI Desktop 與 Power BI 服務中套用,從您最初開始開發內容的那一刻起,到透過即時連線從 Excel 存取內容,您的敏感性資料都能受到保護。 當您在 Desktop 與服務之間以 .pbix 檔案的形式來回移動內容時,將保留敏感度標籤。
在 Power BI 服務中,敏感度標籤可套用至語意模型、報表、儀表板與資料流程。 當標記的資料離開 Power BI 時,不論是匯出至 Excel、PowerPoint、PDF 或 .pbix 檔案,還是透過其他支援的匯出情境 (例如 [在 Excel 中進行分析],或 Excel 中的即時連線樞紐分析表),Power BI 會自動將標籤套用至匯出的檔案,並根據標籤的檔案加密設定加以保護。 透過這種方式,敏感性資料便可維持在受保護的狀態,即使其離開了 Power BI 也一樣。
此外,敏感度標籤可套用至 Power BI Desktop 中的 .pbix 檔案,讓您的資料與內容在 Power BI 外部共用時安全無虞 (例如,套用後便只有組織內的使用者才能開啟電子郵件中共用或附加的機密 .pbix 檔案),甚至在發佈到 Power BI 服務前也是安全的。 如需詳細資料,請參閱使用敏感度標籤來套用加密以限制存取內容。
報表、儀表板、語意模型和資料流程上的敏感度標籤,在 Power BI 服務的許多位置中都可看見。 報表和儀表板上的敏感度標籤也可在 Power BI iOS 和 Android 行動裝置應用程式,以及在內嵌的視覺效果中顯示。 在 Desktop 中,您可以在狀態列中看到敏感度標籤。
您可在 Power BI 管理入口網站中取得的保護計量報表可讓 Power BI 系統管理員完整地查看 Power BI 租用戶中的敏感性資料。 此外,Power BI 稽核記錄包含關於套用、移除和變更標籤等活動,以及檢視報表、儀表板等活動的敏感度標籤資訊。這讓 Power BI 和安全性管理員能夠了解敏感性資料使用量,以便監視與調查安全性警示。
重要考量
在 Power BI 服務中,敏感度標籤不會影響內容的存取。 存取服務中的內容僅透過 Power BI 權限進行管理。 儘管可看見標籤,但不會套用任何相關聯的加密設定 (在 Microsoft Purview 合規性入口網站中設定)。 套用範圍僅限於透過支援的匯出路徑 (例如,匯出至 Excel、PowerPoint 或 PDF,以及下載至 .pbix) 離開服務的資料。
在 Power BI Desktop 中,具有加密設定的敏感度標籤會影響對內容的存取。 根據 .pbix 檔案上敏感度標籤的加密設定,沒有足夠權限的使用者將無法開啟該檔案。 此外,當您在 Desktop 中儲存工作時,您新增的任何敏感度標籤與其關聯的加密設定將套用至已儲存的 .pbix 檔案。
敏感度標籤和檔案加密不適用於不受支援的匯出路徑。 Power BI 管理員可封鎖從不受支援之匯出路徑進行的匯出。
注意
除非資料列層級安全性 (RLS) 限制獲授與存取報表的使用者存取,否則其也能存取整個底層語意模型。 報表作者可使用敏感度標籤分類和為報表加上標籤。 若敏感度標籤具有保護設定,當報表資料透過支援的匯出路徑 (例如匯出至 Excel、PowerPoint 或 PDF、下載至 .pbix,以及 [儲存] \(Desktop\)) 離開 Power BI 時,Power BI 即會套用這些保護設定。 只有授權的使用者可開啟受保護檔案。
支援的匯出路徑
在離開 Power BI 服務的資料上套用敏感度標籤與其關聯的保護措施,目前可支援下列匯出路徑:
- 匯出至 Excel、PDF 檔案及 PowerPoint。
- Power BI 服務中的 [使用 Excel 分析],會即時連線到 Power BI 語意模型以觸發下載 Excel 檔案。
- 在 Excel 中即時連線到 Power BI 語意模型的樞紐分析表,適用於 Microsoft 365 E3 和更新版本的使用者。
- 下載至 .pbix (服務)
注意
在 Power BI 服務中使用 [下載 .pbix] 時,若下載的報表及其語意模型擁有不同的標籤,則系統將為 .pbix 檔案套用限制較嚴格的標籤。
在 Power BI Desktop 中,[匯出為 PDF] 中的敏感度標籤支援是預設開啟的預覽功能。 您可以將其關閉。 如需詳細資訊,請參閱 Desktop 的考量與限制。
敏感度標籤在 Power BI 中的運作方式
將敏感度標籤套用至 Power BI 內容與檔案時,即類似於將標記套用至該資源,這具有下列優點:
- 可自訂 - 您可以在組織中建立不同等級機密內容的類別,例如個人、公用、一般、機密和高度機密。
- 純文字 - 因為標籤是純文字,所以使用者很容易就能根據敏感度標籤的指導方針,了解如何處理內容。
- 持續性 - 將敏感度標籤套用至內容之後,其會在將內容匯出為 Excel、PowerPoint 與 PDF 檔案、下載至 .pbix 或儲存 (在 Desktop 中) 時伴隨該內容,並成為套用及強制執行原則的基礎。
以下是 Power BI 中敏感度標籤如何運作的快速範例。 下圖顯示敏感度標籤在 Power BI 服務中報表上套用的方式,以及報表的資料如何匯出到 Excel 檔案,以及最後敏感度標籤及其保護保存在匯出檔案中的方式。
您套用至內容的敏感度標籤在 Power BI 中使用與共用時,會隨著內容一起保存和漫遊。 您可以使用標記來產生使用情況報表,並查看敏感性內容的活動資料。
Power BI Desktop 中的敏感度標籤
您也可以在 Power BI Desktop 中套用敏感度標籤。 這樣一來,從您最初開始開發內容的那一刻起,您的資料就能受到保護。 當您在 Desktop 中儲存工作時,您套用的敏感度標籤與任何相關的加密設定將套用至所產生的 .pbix 檔案。 如果標籤具有加密設定,則無論檔案的傳送目的地與傳輸方式為何,都會受到保護。 只有具備必要 RMS 權限的使用者才能開啟檔案。
注意
可能適用某些限制。 請參閱考量與限制。
在 Desktop 中套用敏感度標籤後,當您將工作發佈到服務或將該工作的 .pbix 檔案上傳到服務時,標籤會隨著資料傳送到服務中。 在服務中,標籤將會套用至檔案隨附的語意模型與報表。 如果語意模型與報表已經有敏感度標籤,您可以選擇保留那些標籤,或使用來自 Desktop 的標籤加以覆寫。
如果您上傳的 .pbix 檔案先前從未發佈到服務,而且名稱會與服務上已存在的報表或語意模型相同,則上傳者必須擁有變更標籤所需的 RMS 權限才能成功上傳。
反之亦然 - 當您在服務中下載到 .pbix 並將 .pbix 載入 Desktop 時,服務中的標籤將會套用至所下載的 .pbix 檔案,然後從該檔案載入 Desktop。 如果服務中的報表與語意模型擁有不同的標籤,則系統將為已下載的 .pbix 檔案套用限制較嚴格的標籤。
當您在 Desktop 中套用標籤後,標籤會顯示在狀態列中。
敏感度標籤繼承會在建立新內容時發生
在 Power BI 服務中建立新的報表和儀表板時,其會自動繼承先前在父系語意模型或報表上套用的敏感度標籤。 例如,以具有「高度機密」敏感度標籤之語意模型為基礎建立的新報表,也將自動接收到「高度機密」標籤。
下圖顯示語意模型的敏感度標籤如何自動套用至建置於語意模型之上的新報表。
注意
如果基於任何原因導致無法在新報表或儀表板上套用敏感度標籤,Power BI 將不會封鎖建立新項目。
從資料來源繼承敏感度標籤
連線到所支援資料來源中敏感度標籤資料的 Power BI 語意模型可以繼承那些標籤,以便在將資料帶入 Power BI 時保持分類且安全。 目前支援 Azure Synapse Analytics (先前稱為 SQL 資料倉儲) 與 Azure SQL Database。 請參閱從資料來源繼承敏感度標籤,以了解從資料來源繼承的運作方式,以及如何為組織加以啟用。
敏感度標籤下游繼承
在 Power BI 服務中將敏感度標籤套用至語意模型或報表時,可將標籤向下傳遞,並自動套用至從該語意模型或報表建置的內容。 這項功能稱為下游繼承。
下游繼承是 Power BI 端對端資訊保護解決方案中的重要連結。 結合從資料來源繼承、在建立新內容時繼承、在匯出為檔案時繼承,以及其他套用敏感度標籤的功能,下游繼承有助於確保敏感性資料透過 Power BI 從資料來源到使用點,全程獲得保護。
資料外洩防護 (DLP) 原則
Power BI 利用 Microsoft 365 資料外洩防護,讓中央安全性團隊能夠使用資料外洩防護原則,在 Power BI 中強制執行其組織的 DLP 原則。 如需詳細資料,請參閱適用於 Fabric 和 Power BI 的資料外洩防護原則。
預設標籤原則
為了協助確保敏感資料的全面保護和控管,組織可以為 Power BI 建立預設標籤原則,以自動將預設敏感度套用至未標記的內容。 Power BI Desktop 目前僅支援預設標籤原則。 如需詳細資訊,請參閱預設標籤原則。
強制標籤原則
為了協助確保敏感性資料的全面保護和控管,組織可以要求使用者,將標籤套用至其敏感性 Power BI 內容。 這類原則稱為強制標籤原則。 如需詳細資訊,請參閱適用於 Power BI 的強制標籤原則。
以程式設計方式設定和移除標籤的管理員 API
為了滿足合規性需求,組織通常需要分類和標記 Power BI 中的所有敏感性資料。 對於在 Power BI 中具有大量資料的租用戶而言,此工作可能具有挑戰性。 為了讓此工作更容易且更有效率,Power BI 提供管理員 REST API,讓管理員可用來以程式設計方式設定和移除大量 Power BI 成品上的敏感度標籤。 請參閱下列項目:
稽核敏感度標籤上的活動
每當套用、變更或移除語意模型、報表、儀表板或資料流程上的敏感度標籤時,該活動就會記錄在 Power BI 的稽核記錄中。 您可以在統一稽核記錄或 Power BI 活動記錄中追蹤這些活動。 如需詳細資料,請參閱 Power BI 中敏感度標籤的稽核結構描述。
已匯出資料上的敏感度標籤和保護
當資料從 Power BI 匯出到 Excel、PDF 檔案 或 PowerPoint 時,Power BI 會自動在匯出的檔案套用敏感度標籤,並根據標籤的檔案加密設定保護檔案。 如此一來,無論您的敏感性資料位於何處,都會受到保護。
從 Power BI 匯出檔案的使用者有權根據敏感度標籤設定來存取與編輯該檔案;這些使用者不會取得該檔案的擁有者權限。
注意
在 Power BI 服務中使用 [下載 .pbix] 時,若下載的報表及其語意模型擁有不同的標籤,則系統將為 .pbix 檔案套用限制較嚴格的標籤。
將資料匯出為 .csv、檔案或任何其他不支援的匯出路徑時,不會套用敏感度標籤與保護。
將敏感度標籤和保護套用至匯出的檔案,並不會將內容標記新增至該檔案。 不過,如果標籤已設定成要套用內容標記,那麼當檔案在 Office 傳統型應用程式中開啟時,Azure 資訊保護的統一標籤用戶端就會自動套用標記。 當您針對桌面、行動裝置或 Web 應用程式使用內建標記時,不會自動套用內容標示。 如需詳細資料,請參閱 Office 應用程式何時套用內容標示和加密。
如果將資料匯出至檔案時無法套用標籤,則匯出會失敗。 若要檢查匯出是否因無法套用標籤而失敗,選取標題列中央的報表或儀表板名稱,並在開啟的資訊下拉式清單中查看其是否顯示「無法載入敏感度標籤」。 如果套用的標籤已由安全性系統管理員解除發佈或刪除,或發生暫時性的系統問題,就可能發生這種情況。
[使用 Excel 分析] 中的敏感度標籤繼承
當您在 Excel 中建立與 Power BI 語意模型即時連線的樞紐分析表 (您可以從 Power BI 透過使用 Excel 分析或從 Excel 執行此作業) 時,會繼承語意模型的敏感度標籤並套用至您的 Excel 檔案,以及任何相關聯的保護。 如果語意模型上的標籤稍後會變更為更嚴格的標籤,則在已連結 Excel 檔案上套用的標籤將在資料重新整理時自動更新。
語意模型的敏感度標籤不會自動覆寫在 Excel 中手動設定的敏感度標籤。 相反地,橫幅會通知您語意模型具有敏感度標籤,並建議您套用。
注意
如果語意模型的敏感度標籤不如 Excel 檔案的敏感度標籤嚴格,則不會進行任何標籤繼承或更新。 Excel 檔案絕對不會繼承較不嚴格的敏感度標籤。
在內嵌報表和儀表板中保存敏感度標籤
您可將 Power BI 報表、儀表板和視覺效果內嵌在商務應用程式 (例如 Microsoft Teams 和 SharePoint) 中或組織的網站內。 當您內嵌套用了敏感度標籤的視覺效果、報表或儀表板時,將可在內嵌檢視中看到敏感度標籤,而此標籤及其保護將會在資料匯出到 Excel 時保存。
下列是支援的內嵌案例:
- 為組織內嵌
- Microsoft 365 應用程式 (例如 Teams 和 SharePoint)
- 安全 URL 內嵌 (內嵌自 Power BI 服務)
編頁報表中的敏感度標籤
敏感度標籤可以套用至裝載在 Power BI 服務中的編頁報表。 將編頁報表上傳至服務之後,您可以將標籤套用至報表,就像將標籤套用至一般 Power BI 報表一樣。 如需詳細資料,請參閱編頁報表的敏感度標籤支援。
部署管線中的敏感度標籤
部署管線支援敏感度標籤。 請參閱部署管線文件,以取得在各個階段之間部署內容時如何處理敏感度標籤的詳細資料。
Power BI 行動裝置應用程式中的敏感度標籤
您可在 Power BI 行動裝置應用程式中的報表和儀表板上檢視敏感度標籤。 靠近報表或儀表板名稱的圖示會指出其具備敏感度標籤,且可在報表或儀表板的資訊方塊中找到標籤類型和其描述。
強制變更標籤
Power BI 會將從具有檔案加密設定的 Purview 資訊保護變更或移除敏感度標籤的權限,限制為僅限授權使用者。 如需詳細資料,請參閱強制變更敏感度標籤。
支援的雲端
全域 (公用) 雲端及下列國家/地區雲端中的租用戶支援敏感度標籤:
- 美國政府:GCC、GCC High、DoD
- 中國
其他國家/地區雲端目前不支援敏感度標籤。
授權和需求
請參閱授權和需求。
建立和管理敏感度標籤
敏感度標籤會在 Purview 合規性入口網站中建立並管理。
若要存取任一中心的敏感度標籤,請巡覽至 [分類] > [敏感度標籤]。 這些敏感度標籤可供多項 Microsoft 服務使用,例如 Azure 資訊保護、Office 應用程式和 Office 365 服務。
重要
如果您的組織使用 Azure 資訊保護的敏感度標籤,您必須將其移轉至前列服務之一,才能在 Power BI 中使用這些標籤。
自訂說明連結
若要協助使用者了解敏感度標籤的意義或者應如何使用它們的方式,您可以提供「深入了解」URL,此 URL 會出現在您套用敏感度標籤時看到的敏感度標籤功能表底部。
如需詳細資料,請參閱敏感度標籤的自訂說明連結。
考量與限制
一般
請勿使用父標籤。 父標籤是具有子標籤的標籤。 您無法套用父標籤,但若已套用的標籤會取得子標籤,則其可能會變成父標籤。 如果您遇到具有父標籤的項目,請套用適當的子標籤。 若要變更父標籤,您必須具備標籤上的足夠使用權限。
如果項目具有父標籤,請注意下列行為:
- 父標籤將不會被繼承。
- 強制標籤原則將不會套用至具有父標籤的項目。 這表示使用者將不需為了儲存項目而套用有意義的標籤,而該項目將會逸出設計來促使全面涵蓋的強制標籤原則。
- 如果您嘗試從具有父標籤的項目匯出資料,匯出將會失敗。
- 您可以發佈具有父標籤的 .pbix 檔案,但若父標籤受到保護,發佈將會失敗。 解決方案是套用適當的子標籤。
範本應用程式不支援資料敏感度標籤。 擷取與安裝應用程式時,會移除範本應用程式建立者設定的敏感度標籤,而當應用程式更新時,由應用程式取用者新增到已經安裝之範本應用程式的成品中的敏感度標籤會遺失 (重設為不加任何標籤)。
在 Power BI 服務中,如果語意模型的標籤已從標籤系統管理中心刪除,您將無法匯出或下載資料。 在 [在 Excel 中進行分析] 中,系統將會發出警告,並將資料匯出至 .odc 檔案,不含敏感度標籤。
Power BI 不支援不可轉寄、使用者定義及 HYOK 保護類型的敏感度標籤。 「不可轉寄」和「使用者定義」的保護類型指的是 Purview 合規性入口網站內定義的標籤。
支援從已加密 Excel (.xlsx) 檔案取得資料和重新整理的案例,但不包括檔案儲存在閘道後方的情況,在此情況下,取得資料/重新整理動作將會失敗。 從儲存在閘道後方且具有「未受保護」敏感度標籤之 Excel 檔案取得資料和重新整理的動作將會成功,但不會繼承敏感度標籤。 如需詳細資料,請參閱繼承資料來源的敏感度標籤。
Power BI 中的資訊保護不支援 B2B 與多租用戶案例。
Power BI 服務
敏感度標籤只能套用至儀表板、報表、語意模型、資料流程及編頁報表。 它們目前均無法在活頁簿中使用。
Power BI 資產上的敏感度標籤會顯示在工作區清單、譜系、我的最愛、最近項目或應用程式檢視中;標籤目前不會顯示在 [與我共用] 檢視中。 但請注意,即使看不見套用至 Power BI 資產的標籤,其也將一律保存於匯出為 Excel、PowerPoint、PDF 及 PBIX 檔案的資料上。
支援從這類檔案匯入儲存在 OneDrive 或 SharePoint Online 上標示敏感度的 .pbix 檔案,以及隨選和自動語意模型重新整理,但下列案例除外:
- 受保護的即時連線 .pbix 檔案和受保護的 Azure Analysis Services .pbix 檔案。 重新整理將會失敗。 報表內容和標籤都不會更新。
- 標示為未受保護的 Live Connect .pbix 檔案:報表內容將會更新,但標籤不會更新。
- 當 .pbix 檔案套用語意模型擁有者沒有權限的新的敏感度標籤時。 在此情況下,重新整理將會失敗。 報表內容和標籤都不會更新。
- 如果 OneDrive/SharePoint 的語意模型擁有者存取權杖已過期。 在此情況下,重新整理將會失敗。 報表內容和標籤都不會更新。
Power BI Desktop
適用於 Power BI 報表伺服器的 Power BI Desktop 不支援資訊保護。 如果您嘗試開啟受保護的 .pbix 檔案,該檔案將不會開啟,而您將收到錯誤訊息。 未加密的敏感度標籤 .pbix 檔案可以正常開啟。
具有免費授權的用使用者無法開啟受保護的 .pbix 檔案。
若要開啟受保護的 .pbix 檔案,具有適當授權的使用者也必須擁有相關標籤的完全控制和/或匯出使用權限。 查看更多詳細資料。
設定標籤的使用者會取得完全控制,而且除非連線失敗且無法進行驗證,否則永遠無法鎖定。
在極少數情況下,可能出現除了設定標籤的人員之外,沒有人擁有相關標籤的必要使用權限。 之後,若該人員離開組織或變更組織內的別名,則所有對 .pbix 檔案的存取權限都將遺失。 在這種情況下,重新取得檔案存取權限的解決方案是使用設定 (部分機器翻譯)/移除 (部分機器翻譯) 敏感度標籤管理員 API,來變更或移除檔案上的敏感度標籤。 請連絡您的 Power BI 管理員以取得協助 (只有管理員可以執行管理員 API)。
受保護 .pbix 檔案的「發佈」或「取得資料」,要求 .pbix 檔案上的標籤位於使用者的標籤原則中。 如果標籤不在使用者的標籤原則中,發佈或取得資料動作將會失敗。
Power BI 支援透過在服務主體下執行的 API,將具有未受保護敏感度標籤的 .pbix 檔案發佈或匯入至服務。 不支援透過在服務主體下執行的 API,將具有受保護敏感度標籤的 .pbix 檔案發佈或匯入至服務,且將會失敗。 若要降低風險,使用者可以移除標籤,然後使用服務主體來發佈。
Power BI Desktop 使用者在網際網路連線中斷的情況下 (例如離線後) 儲存工作時,可能會遇到問題。 若沒有網際網路連線,可能無法正常完成某些有關敏感度標籤與版權管理的動作。 在這種情況下,建議您重新連線,然後嘗試重新儲存。
一般而言,當您保護套用加密且具有敏感度標籤的檔案時,建議您同時使用另一種加密方法,例如,分頁檔加密、NTFS 加密、BitLocker 執行個體、反惡意程式碼軟體等。
暫存檔案不會加密。
Desktop 中的 [匯出為 PDF] 支援敏感度標籤作為預設開啟的預覽功能。 若要關閉此預覽功能,請移至 [檔案] > [選項和設定] > [選項] > [預覽功能],然後取消核取 [在已匯出 PDF 上啟用敏感度標籤設定]。 如果您關閉此預覽功能,則當您將具有敏感度標籤的檔案匯出為 PDF 時,該 PDF 將無法接收標籤,也不會套用任何保護。
如果您使用未標記的 .pbix 檔案覆寫服務中已標記的語意模型或報表,則將保留服務中的標籤。
相關內容
本文提供 Power BI 資料保護概觀。 下列文章提供 Power BI 資料保護的詳細資料。