Power BI 實作規劃：Power BI 的信息保護

注意

本文構成Power BI實作規劃系列文章的一部分。 此系列主要著重於 Microsoft Fabric 內的 Power BI 體驗。 如需系列簡介，請參閱 Power BI 實作規劃。

本文說明在Power BI中實作資訊保護的相關規劃活動。 其目標為：

• Power BI 系統管理員： 負責監督組織中的 Power BI 的系統管理員。 Power BI 系統管理員必須與資訊安全性和其他相關小組共同作業。
• 卓越中心、IT和 BI 小組： 負責監督組織中的 Power BI 的其他人。 他們可能需要與 Power BI 系統管理員、資訊安全小組和其他相關小組共同作業。

重要

信息保護和數據外洩防護（DLP）是整個組織的重要事業。 其範圍和影響遠大於Power BI。 這種類型的計劃需要資金、優先順序和規劃。 預期會牽涉到數個跨功能小組進行規劃、使用和監督工作。

卷標和分類活動超越Power BI，甚至是數據資產。 本文中討論的決策適用於整個組織的資產，包括檔案和電子郵件，而不只是Power BI。 本文介紹適用於一般標籤和分類的主題，因為做出正確的組織決策對於Power BI 中的數據外洩防護成功至關重要。

本文也包含定義敏感度標籤結構的簡介指引。 就技術而言，敏感度標籤結構是 Power BI 中敏感度標籤實作的必要條件。 本文中包含一些基本資訊的目的是協助您瞭解所涉及的內容。 請務必與IT共同作業，以在組織中規劃和實作信息保護。

敏感度標籤的目的

使用 Microsoft Purview 資訊保護敏感度標籤是關於分類內容。 請考慮敏感度標籤，例如您套用至專案、檔案、網站或數據資產的標籤。

使用信息保護有許多優點。 分類和標記內容可協助組織：

• 瞭解敏感數據所在的位置。
• 追蹤外部和內部合規性需求。
• 保護內容免於未經授權的使用者。
• 教育使用者如何負責任地處理數據。
• 實作即時控制項，以減少數據外泄的風險。

如需資訊保護的更多使用案例，請參閱資訊保護和 DLP（常見使用案例）。

提示

它有助於記住 Microsoft Purview 資訊保護 是產品。 敏感度標籤是該產品的特定功能。

敏感度標籤是純文字的簡短描述。 就概念上講，您可以將敏感度標籤想像成標籤。 每個專案只能指派一個標籤（例如先前稱為數據集的Power BI 語意模型 Power BI 服務）或每個檔案（例如Power BI Desktop 檔案）。

標籤具有下列用途。

• 分類： 它提供描述敏感度層級的分類。
• 使用者教育和認知： 可協助使用者瞭解如何適當地處理內容。
• 原則： 它構成套用和強制執行原則和 DLP 的基礎。

Power BI 資訊保護的必要條件

現在，您應該已完成組織層級資訊保護規劃一文中所述 的組織層級規劃 步驟。 在繼續之前，您應該清楚說明：

• 目前狀態：組織中信息保護的目前狀態。 您應該瞭解敏感度標籤是否已經用於 Microsoft Office 檔案。 在此情況下，新增Power BI的工作範圍比第一次將資訊保護帶到組織時要小得多。
• 目標和需求 ： 在組織中實作資訊保護的 戰略目標。 了解目標和需求將作為實作工作的指南。

如果貴組織未使用資訊保護，本節的其餘部分會提供資訊，以協助您與其他人共同作業，以將資訊保護引入貴組織。

如果組織內主動使用資訊保護，建議您使用本文來確認符合必要條件。 如果敏感度標籤正在使用中，則推出階段 1-4（在下一節中）的大部分（或全部）活動都已完成。

首度發行階段

建議您規劃逐步推出計劃，以實作及測試信息保護。 逐步推出計劃的目標是要自行設定學習、調整和逐一查看。 優點是，在早期階段（變更較可能時），影響較少的使用者，直到資訊保護最終向組織中的所有使用者推出為止。

引進信息保護是一項重大工作。 如組織層級資訊保護規劃一文所述，如果您的組織已經為 Microsoft Office 檔實作資訊保護，則其中許多工作都已完成。

本節提供我們建議您在漸進式推出計劃中納入的階段概觀。 它應該給你一個感覺，期待什麼。 本文的其餘部分說明影響Power BI最直接重要層面的其他決策準則。

階段 1：規劃、決定、準備

在第一階段，專注於規劃、決策和準備工作。 本文的其餘部分大部分著重於此第一個階段。

儘早釐清初始測試的發生位置。 該選擇會影響您一開始設定、發佈及測試的位置。 針對初始測試，您可以使用非生產租使用者（如果您有權存取一個租使用者）。

提示

大部分的組織都可以存取一個租使用者，因此以隔離的方式探索新功能可能會很困難。 對於具有個別開發或測試租用戶的組織，建議您將其用於初始測試階段。 如需管理租使用者以及如何建立試用租用戶以測試新功能的詳細資訊，請參閱 租用戶設定。

階段 2：設定支援的用戶資源

第二個階段包含為支援使用者設定資源的步驟。 資源包括 您的數據分類和保護原則 和 自定義說明頁面。

請務必讓某些 用戶檔 提早發佈。 也請務必 讓用戶支援 小組早日做好準備。

階段 3：設定標籤併發佈

第三個階段著重於定義 敏感度標籤。 完成所有決策時，設定並不困難或耗時。 敏感度標籤會在 Microsoft 365 系統管理中心的 Microsoft Purview 合規性入口網站 中設定。

階段 4：發佈標籤原則

使用標籤之前，您必須將其發佈為標籤原則的一部分。 標籤原則可讓特定使用者使用標籤。 卷標原則會在 Microsoft 365 系統管理中心 的 Microsoft Purview 合規性入口網站 中發佈。

注意

直到這一點為止，一切都是實作Power BI資訊保護的必要條件。

階段 5：啟用 Power BI 租用戶設定

Power BI 管理入口網站中有數個資訊保護 租用戶設定 。 它們必須啟用 Power BI 服務 中的資訊保護。

重要

在 Microsoft Purview 合規性入口網站 中設定和發佈標籤之後，您應該設定租用戶設定。

階段 6：初始測試

在第六個階段中，您會執行初始測試，以確認所有專案都如預期般運作。 為了進行初始測試，您應該只發佈實作小組的標籤原則。

在此階段中，請務必測試：

• Microsoft Office 檔案
• Power BI 服務 中的Power BI專案
• Power BI Desktop 檔案
• 從 Power BI 服務 匯出檔案
• 組態中包含的其他範圍，例如 Teams 網站或 SharePoint

請務必使用網頁瀏覽器和常用的行動裝置來檢查功能和用戶體驗。 請據以更新您的 使用者檔 。

重要

即使只有少數小組成員獲得設定敏感度標籤的授權，所有使用者都能看到指派給內容的標籤。 如果您使用生產租使用者，使用者可能會想知道他們為何看到指派給工作區中 Power BI 服務 中專案的標籤。 準備好支援並回應用戶問題。

階段 7：收集使用者意見反應

此階段的目標是要從一小群重要使用者取得意見反應。 意見反應應識別混淆、標籤結構中的間距或技術問題。 您也可以找到改善 使用者檔案的理由。

為此，您應該將標籤原則發佈（或重新發佈）給願意提供意見反應的一小部分使用者。

提示

請務必將足夠的時間納入您的項目計劃。 對於標籤和標籤原則設定，產品文件建議 允許24小時 變更生效。 此時必須有此時間，以確保所有變更都會傳播至相關服務。

階段 8：反覆發行

實作階段通常是反覆程式。

通常，初始目標是取得所有 Power BI 內容已指派敏感度標籤的狀態。 若要達成此目標，您可能會引進強制標籤原則或默認標籤原則。 您也可以使用 資訊保護系統管理員 API ，以程式設計方式設定或移除敏感度標籤。

在包含整個組織之前，您可以逐漸包含更多使用者群組。 此程式牽涉到將每個 標籤原則 重新發佈給越來越多的使用者群組。

在整個程式中，請務必優先提供指引、通訊和訓練給使用者，讓他們了解程式及其預期。

階段 9：監視、稽核、調整、整合

在初始推出之後，還有其他步驟要做。 您應該有主要小組來監視資訊保護活動，並隨著時間調整。 套用標籤時，您將能夠評估其實用性，並識別調整的區域。

稽核信息保護有許多層面。 如需詳細資訊，請參閱 稽核 Power BI 的資訊保護和數據外洩防護。

您在設定資訊保護方面的投資可用於Power BI的 DLP 原則中，這些原則是在 Microsoft Purview 合規性入口網站 中設定。 如需詳細資訊，包括 DLP 功能的描述，請參閱 Power BI 的數據外洩防護。

信息保護也可以用來在 適用於雲端的 Microsoft Defender Apps 中建立原則。 如需詳細資訊，包括您可能會發現有用的功能描述，請參閱 適用於雲端的 Defender Apps for Power BI。

檢查清單 - 準備資訊保護推出階段時，關鍵決策和動作包括：

• 建立漸進式推出計劃： 定義推出計劃的階段。 釐清每個階段的特定目標。
• 識別要執行測試的位置： 判斷可以執行初始測試的位置。 若要盡可能降低對使用者的影響，請使用非生產租使用者。
• 建立項目計劃： 建置項目計劃，其中包含所有重要活動、預估時程表，以及將負責的人員。

敏感度標籤結構

敏感度標籤結構是在Power BI 中實作敏感度標籤的必要條件。 本節包含一些基本資訊，可協助您瞭解建立標籤結構時所涉及的內容。

本節並非所有可能應用程式的可能敏感度標籤考慮的完整清單。 相反地，其重點是直接影響Power BI內容的分類考慮和活動。 請確定您與其他項目關係人和系統管理員合作，以做出適合所有應用程式和使用案例的決策。

實作資訊保護的基礎是一組敏感度標籤。 最終目標是建立一組敏感度標籤，讓用戶能夠使用。

組織中使用的敏感度標籤結構代表標籤 分類法。 這通常也稱為 數據分類分類法 ，因為目標是分類數據。 有時 稱為架構定義。

沒有標準或內建的標籤。 每個組織都必須定義並自定義一組標籤，以符合其需求。 到達正確標籤的程式涉及廣泛的共同作業。 其需要深思熟慮的規劃，以確保標籤符合目標和需求。 請記住，標籤會套用至不只是 Power BI 內容。

提示

大部分的組織一開始都是將標籤指派給 Microsoft Office 檔案。 然後，它們會進化為分類其他內容，例如 Power BI 專案和檔案。

標籤結構包括：

• 卷標： 卷標會形成階層。 每個標籤都會指出專案、檔案或數據資產的敏感度層級。 建議您建立三到七個標籤。 標籤應該很少變更。
• 子卷標： 子卷標指出特定標籤內保護或範圍的變化。 藉由將它們納入不同的標籤原則，您可以將子捲標的範圍設定為一組特定使用者或與特定專案相關的使用者。

提示

雖然子卷標提供彈性，但應該只在仲裁中使用它們來滿足關鍵需求。 建立太多子捲標會導致管理增加。 他們也可以使用太多選項讓使用者不知所措。

卷標會形成階層，從最敏感分類到最敏感的分類開始。

有時候Power BI內容包含跨越多個標籤的數據。 例如，語意模型可能包含產品庫存資訊（一般內部使用）和目前的季度銷售數據 （限制）。 選擇要指派給 Power BI 語意模型的標籤時，應該教導使用者套用最嚴格的標籤。

提示

下一節說明 數據分類和保護原則 ，可為使用者提供何時使用每個標籤的指引。

重要

指派卷標或子捲標不會影響 Power BI 服務 中 Power BI 內容的存取權。 相反地，標籤會提供實用的類別，可引導用戶行為。 數據外洩防護原則也可以以指派的標籤為基礎。 不過，除了檔案加密以外，管理 Power BI 內容存取方式沒有任何變更。 如需詳細資訊，請參閱 使用加密保護。

請仔細考慮您所建立的標籤，因為一旦您在初始測試階段之後進行之後，移除 或刪除標籤 是一項挑戰。 因為子捲標可以（選擇性地）用於一組特定的使用者，所以它們可能會比卷標更頻繁地變更。

以下是定義標籤結構的一些最佳做法。

• 使用直覺式、明確的詞彙： 清楚起見，請務必確保使用者在分類其數據時知道選擇什麼。 例如，擁有 最高機密 標籤和 高度機密 卷標模棱兩可。
• 建立邏輯階層式順序： 卷標的順序對於讓一切正常運作至關重要。 請記住，清單中的最後一個標籤最敏感。 階層式順序與選取良好的字詞相結合，應該具有邏輯性和直覺性，讓用戶能夠使用。 清楚的階層也會讓原則更容易建立和維護。
• 只建立一些可在整個組織套用的標籤： 讓用戶選擇的標籤太多將會令人困惑。 這也會導致較不精確的標籤選取。 建議您只為初始集建立幾個標籤。
• 使用有意義的泛型名稱： 避免在標籤名稱中使用產業術語或縮寫。 例如，與其建立名為個人標識資訊的標籤，而是改用高度限制或高度機密等名稱。
• 使用可輕易當地語系化為其他語言的詞彙： 對於具有多個國家/地區作業的全域組織而言，選擇卷標字詞在翻譯為其他語言時不會混淆或模棱兩可的重要事項。

提示

如果您發現自己規劃了許多高度特定的標籤，請退後一步並重新評估您的方法。 複雜度可能會導致使用者混淆、減少採用，以及效率較低的信息保護。 我們建議您從一組初始標籤開始（或使用您已經擁有的標籤）。 在您獲得更多經驗之後，請視需要新增更特定的標籤，謹慎擴充標籤集合。

檢查清單 - 規劃敏感度標籤結構時，關鍵決策和動作包括：

• 定義一組初始的敏感度標籤： 建立介於三到七個敏感度標籤的初始集合。 請確定它們廣泛地用於各種內容。 當您完成數據分類和保護原則時，規劃在初始清單上反覆運算。
• 判斷您是否需要子捲標： 決定是否需要使用任何卷標的子捲標。
• 確認標籤字詞的當地語系化： 如果標籤會翻譯成其他語言，請讓原生說話者確認本地化的標籤傳達預期的意義。

敏感度標籤範圍

敏感度標籤範圍會限制標籤的使用。 雖然您無法直接指定 Power BI，但您可以將標籤套用至各種範圍。 可能的範圍包括：

• 專案（例如發佈至 Power BI 服務 的專案，以及檔案和電子郵件）
• 群組和網站（例如 Teams 頻道或 SharePoint 網站）
• 架構化數據資產（在 Purview 數據對應中註冊的支援來源）

重要

您無法只定義 Power BI 範圍的敏感度標籤。 雖然有一些特別適用於Power BI的設定，但範圍不是其中之一。 專案範圍用於 Power BI 服務。 敏感度卷標的處理方式與 DLP 原則不同，如 Power BI 規劃數據外洩防護一文所述，某些類型的 DLP 原則可以特別針對 Power BI 定義。 如果您想要使用Power BI 中數據源的敏感度標籤繼承，標籤範圍有 特定需求 。

與敏感度標籤相關的事件會記錄在活動總管中。 當範圍更廣時，這些事件的記錄詳細數據將會大幅豐富。 您也將更做好保護各種應用程式和服務數據準備。

定義一組初始敏感度標籤時，請考慮讓所有範圍都能使用初始標籤。 這是因為當使用者在不同的應用程式和服務中看到不同的標籤時，可能會讓使用者感到困惑。 不過，經過一段時間后，您可能會發現更特定子捲標的使用案例。 不過，從一致的簡單初始標籤開始，比較安全。

在設定標籤時，標籤範圍會在 Microsoft Purview 合規性入口網站 中設定。

檢查清單 - 規劃標籤範圍時，關鍵決策和動作包括：

• 決定標籤範圍： 討論並決定是否將每個初始標籤套用至所有範圍。
• 檢閱所有必要條件： 調查您想要使用之每個範圍的必要條件和必要設定步驟。

使用加密保護

使用敏感度標籤保護有多個選項。

• 加密： 檔案或電子郵件的相關加密設定。 例如，Power BI Desktop 檔案可以加密。
• 標記： 指頁首、頁尾和浮浮浮水印。 標記對 Microsoft Office 檔案很有用，但不會顯示在 Power BI 內容上。

提示

通常當有人將標籤稱為受保護的標籤時，他們指的是加密。 可能就足以加密只有較高層級的標籤，例如 Restricted 和 高度限制。

加密是密碼編譯編碼資訊的一種方式。 加密有數個金鑰優點。

• 只有授權的使用者（例如，組織內部使用者）才能開啟、解密及讀取受保護的檔案。
• 加密會保留受保護的檔案，即使檔案是在組織外部傳送或重新命名也一般。
• 加密設定是從原始標籤的內容取得。 請考慮 Power BI 服務 中的報表具有高度限制的敏感度標籤。 如果匯出至 支持的匯出路徑，標籤會保持不變，且加密會套用至導出的檔案。

Azure Rights Management Service （Azure RMS） 用於使用加密來保護檔案。 若要使用 Azure RMS 加密，必須符合一些重要的 必要條件 。

重要

有一個考慮的限制：離線使用者（沒有因特網連線）無法開啟加密的Power BI Desktop 檔案（或其他類型的 Azure RMS 保護檔案）。 這是因為 Azure RMS 必須同步確認使用者有權開啟、解密和檢視檔案內容。

加密標籤的處理方式會根據使用者的運作位置而有所不同。

• 在 Power BI 服務：加密設定不會對 Power BI 服務 中的使用者存取產生直接影響。 標準 Power BI 許可權（例如工作區角色、應用程式許可權或共用許可權）控制 Power BI 服務 中的使用者存取權。 敏感度標籤不會影響對 Power BI 服務 內內容的存取。
• Power BI Desktop 檔案： 加密標籤可以指派給 Power BI Desktop 檔案。 從 Power BI 服務 匯出標籤時也會保留標籤。 只有授權的使用者才能開啟、解密和檢視檔案。
• 導出的檔案：從 Power BI 服務 導出的 Microsoft Excel、Microsoft PowerPoint 和 PDF 檔案會保留其敏感度標籤，包括加密保護。 針對支援的檔格式，只有授權的使用者才能開啟、解密和檢視檔案。

重要

用戶務必瞭解 Power BI 服務 與檔案之間的差異，這很容易混淆。 我們建議您提供常見問題檔以及範例，以協助使用者了解差異。

若要開啟受保護的Power BI Desktop 檔案或導出的檔案，用戶必須符合下列準則。

• 因特網連線： 用戶必須連線到因特網。 必須有作用中的因特網連線才能與 Azure RMS 通訊。
• RMS 許可權： 用戶必須具有 RMS 許可權，這些許可權定義於標籤內（而不是標籤原則內）。 RMS 許可權可讓授權的使用者解密、開啟及檢視支援的檔案格式。
• 允許的用戶：必須在標籤原則中指定使用者或群組。 一般而言，只有內容建立者和擁有者才需要指派授權的使用者，才能套用標籤。 不過，使用加密保護時，還有 另一個需求。 每個需要開啟受保護檔案的用戶都必須在標籤原則中指定。 這項需求表示 可能需要更多使用者的資訊保護授權 。

提示

允許工作區系統管理員覆寫自動套用的敏感度標籤租使用者設定可讓工作區系統管理員變更自動套用的標籤，即使標籤已啟用保護（加密）。 當標籤自動指派或繼承，但工作區系統管理員不是授權的使用者時，這項功能特別有用。

當您設定標籤時，標籤保護會在 Microsoft Purview 合規性入口網站 中設定。

檢查清單 - 規劃使用標籤加密時，金鑰決策和動作包括：

• 決定應加密的標籤： 針對每個敏感度標籤，決定是否應加密（受保護）。 請仔細考慮所涉及的限制。
• 識別每個標籤的 RMS 許可權： 判斷要存取和與加密檔案互動的用戶許可權。 為每個敏感度標籤建立使用者和群組的對應，以協助規劃程式。
• 檢閱並解決 RMS 加密必要條件： 確定符合使用 Azure RMS 加密的技術必要條件。
• 規劃進行徹底的加密測試： 由於 Office 檔案與 Power BI 檔案之間的差異，請確定您認可到完整的測試階段。
• 包含在使用者文件和訓練中： 請確定您在檔和訓練中包含指導方針，以及指派已加密敏感度標籤的檔案應預期的內容。
• 透過支持進行知識轉移： 制定特定計劃，以與支援小組進行知識轉移課程。 由於加密的複雜性，他們可能會從用戶那裡收到問題。

從數據源繼承標籤

從支持的數據源匯入數據時（例如 Azure Synapse Analytics、Azure SQL 資料庫 或 Excel 檔案），Power BI 語意模型可以選擇性地繼承套用至源數據的敏感度捲標。 繼承有助於：

• 提升標籤的一致性。
• 在指派標籤時減少使用者的工作。
• 降低使用者存取和共用敏感數據與未經授權的用戶的風險，因為它未加上標籤。

提示

敏感度標籤有兩種類型的繼承。 下游繼承 是指從其Power BI語意模型自動繼承標籤的下游專案（例如報表）。 不過，本節的重點在於 _upstream 繼承。 上游繼承是指從語意模型上游數據源繼承標籤的Power BI語意模型。

假設組織針對高度限制的敏感度標籤的特定功能定義包含財務帳戶號碼的範例。 因為財務帳戶號碼會儲存在 Azure SQL 資料庫 中，因此高度限制敏感度標籤已指派給該來源。 當 Azure SQL 資料庫 的數據匯入 Power BI 時，意圖是讓語意模型繼承標籤。

您可以透過不同的方式，將敏感度標籤指派給支持的數據源。

• 數據探索和分類： 您可以掃描支援的資料庫，以識別可能包含敏感數據的數據行。 根據掃描結果，您可以套用部分或所有標籤建議。 Azure SQL 資料庫、Azure SQL 受控執行個體 和 Azure Synapse Analytics 等資料庫支持數據探索與分類。 內部部署 SQL Server 資料庫支援 SQL 資料探索與分類 。
• 手動指派： 您可以將敏感度標籤指派給 Excel 檔案。 您也可以手動將標籤指派給 Azure SQL 資料庫 或 SQL Server 中的資料庫資料行。
• Microsoft Purview 中的自動套用標籤：敏感度標籤可以套用至 Microsoft Purview 資料對應 中註冊為資產的支持數據源。

警告

如何將敏感度標籤指派給數據源的詳細數據，已脫離本文的範圍。 技術功能在Power BI中支援繼承的功能不斷演進。 建議您進行技術概念證明，以驗證您的目標、易於使用，以及這些功能是否符合您的需求。

只有在您在Power BI租使用者設定中啟用從數據源將敏感度標籤套用至其數據時，才會發生繼承。 如需租用戶設定的詳細資訊，請參閱 本文稍後的Power BI租使用者設定 一節。

提示

您必須熟悉 繼承行為。 請務必在測試計劃中納入各種情況。

檢查清單 - 規劃從數據源繼承標籤時，關鍵決策和動作包括：

• 決定 Power BI 是否應該繼承數據源的標籤： 決定 Power BI 是否應該繼承這些標籤。 規劃啟用租用戶設定以允許這項功能。
• 檢閱技術必要條件： 判斷您是否需要採取額外的步驟，將敏感度標籤指派給數據源。
• 測試標籤繼承功能： 完成技術概念證明，以測試繼承的運作方式。 確認此功能在各種情況下如預期般運作。
• 包含在用戶檔中： 確定已將標籤繼承的相關信息新增至提供給使用者的指引。 在使用者檔中納入實際範例。

已發佈的標籤原則

定義敏感度標籤之後，標籤可以新增至一或多個標籤原則。 卷標原則是您發佈標籤的方式，以便使用它。 它會定義哪些標籤可供哪一組授權使用者使用。 還有其他設定，例如默認標籤和強制標籤。

當您需要以不同的使用者集合為目標時，使用多個標籤原則會很有説明。 您可以定義敏感度標籤一次，然後包含在一或多個標籤原則中。

提示

在包含標籤的標籤原則發佈至 Microsoft Purview 合規性入口網站 之前，無法使用敏感度標籤。

授權的使用者和群組

當您建立標籤原則時，必須選取一或多個使用者或群組。 標籤原則會決定哪些使用者可以使用標籤。 它可讓使用者將該標籤指派給特定內容，例如 Power BI Desktop 檔案、Excel 檔案或發布至 Power BI 服務 的專案。

建議您盡可能讓授權的使用者和群組保持簡單。 良好的經驗法則是讓所有用戶發佈主要標籤。 有時適合將子卷標指派或限定為用戶子集。

建議您盡可能指派群組，而不是個人。 使用群組可簡化原則的管理，並減少重新發佈所需的頻率。

警告

卷標的授權使用者和群組與指派給 Azure RMS 的受保護（加密）標籤的使用者不同。 如果使用者開啟加密檔案時遇到問題，請調查特定使用者和群組的加密許可權（這些許可權是在卷標組態內設定，而不是在標籤原則內設定）。 在大部分情況下，我們建議您將相同的使用者指派給兩者。 此一致性可避免混淆並降低支援票證。

發佈標籤原則時，授權的使用者和群組會在 Microsoft Purview 合規性入口網站 中設定。

檢查清單 - 規劃標籤原則中授權的使用者和群組時，關鍵決策和動作包括：

• 決定哪些標籤適用於所有用戶： 討論並決定哪些敏感度標籤可供所有使用者使用。
• 決定哪些子卷標適用於使用者子集： 討論並決定是否有任何子捲標可供特定使用者或群組使用。
• 識別是否需要任何新的群組： 判斷是否需要建立任何新的 Microsoft Entra ID（先前稱為 Azure Active Directory）群組，以支持授權的使用者和群組。
• 建立規劃檔： 如果授權使用者與敏感度標籤的對應很複雜，請為每個標籤原則建立使用者和群組的對應。

Power BI 內容的預設標籤

建立標籤原則時，您可以選擇預設標籤。 例如， 一般內部使用 標籤可以設定為預設標籤。 此設定會影響在Power BI Desktop或 Power BI 服務 中建立的新Power BI專案。

您可以特別針對Power BI內容，在標籤原則中設定預設標籤，這與其他專案不同。 大部分的資訊保護決策和設定會更廣泛地套用。 不過，默認標籤設定（以及下一步所述的強制標籤設定）僅適用於Power BI。

提示

雖然您可以設定不同的默認標籤（適用於 Power BI 和非 Power BI 內容），但請考慮這是否為使用者的最佳選項。

請務必瞭解，在發佈標籤原則之後，新的默認標籤原則會套用至建立或編輯的內容。 它不會追溯地將默認標籤指派給現有的內容。 Power BI 系統管理員可以使用 資訊保護 API 大量設定敏感度標籤，以確保現有內容已指派給預設敏感度標籤。

發佈標籤原則時，預設標籤選項會在 Microsoft Purview 合規性入口網站 中設定。

檢查清單 - 規劃是否要套用 Power BI 內容的預設標籤時，關鍵決策和動作包括：

• 決定是否要指定預設標籤： 討論並決定預設標籤是否適當。 如果是，請判斷哪一個標籤最適合做為預設值。
• 包含在用戶檔中： 如有必要，請確定在提供給使用者的指引中提及預設標籤的相關信息。 目標是讓使用者瞭解如何判斷預設標籤是否適當，或是否應該變更。

強制套用標籤 Power BI 內容

數據分類是常見的法規需求。 若要符合此需求，您可以選擇要求用戶標記所有 Power BI 內容。 此 強制標籤 需求會在使用者建立或編輯Power BI內容時生效。

您可以選擇實作強制標籤、預設標籤（如上一節所述），或兩者。 您應該考慮下列幾點。

• 強制標籤原則可確保標籤不會是空的
• 強制標籤原則要求使用者選擇標籤應該是什麼
• 強制標籤原則可防止使用者完全移除標籤
• 默認標籤原則對用戶來說較不干擾，因為它不需要他們採取動作
• 默認標籤原則可能會導致內容因為使用者未明確做出選擇而標示錯誤
• 同時啟用默認標籤原則和強制標籤原則，可以提供互補的優點

提示

如果您選擇實作強制標籤，建議您也實作默認標籤。

您可以特別針對Power BI內容設定強制標籤原則。 大部分的信息保護設定會更廣泛地套用。 不過，強制標籤設定（和預設標籤設定）特別適用於Power BI。

提示

強制標籤原則不適用於服務主體或 API。

發佈標籤原則時，強制標籤選項會在 Microsoft Purview 合規性入口網站 中設定。

檢查清單 - 規劃是否需要強制標記 Power BI 內容時，關鍵決策和動作包括：

• 決定標籤是否為必要： 討論並決定是否基於合規性考慮需要強制標籤。
• 包含在用戶檔中： 如有必要，請確定已將必要標籤標的相關信息新增至提供給使用者的指引。 目標是讓使用者瞭解預期的情況。

授權需求

特定授權 必須就緒，才能使用敏感度標籤。

下列專案需要 Microsoft Purview 資訊保護 授權：

• 管理員 istrators：將設定、管理及監督標籤的系統管理員。
• 用戶： 負責將標籤套用至內容的內容建立者和擁有者。 使用者也包含需要解密、開啟和檢視受保護 （加密） 檔案的人員。

您可能已經有這些功能，因為它們包含在授權套件中，例如 Microsoft 365 E5。 或者，Microsoft 365 E5 合規性 功能可以購買為獨立授權。

Power BI 服務 或 Power BI Desktop 中將套用和管理敏感度標籤的使用者也需要 Power BI Pro 或 進階版 Per User （PPU） 授權。

提示

如果您需要有關授權需求的釐清，請與您的 Microsoft 帳戶小組交談。 請注意，Microsoft 365 E5 合規性 授權包含本文範圍外的其他功能。

檢查清單 - 評估敏感度標籤的授權需求時，關鍵決策和動作包括：

• 檢閱產品授權需求： 確定您檢閱所有授權需求。
• 檢閱用戶授權需求： 確認您預期指派標籤的所有使用者都有Power BI Pro或 PPU 授權。
• 採購其他授權： 如果適用，請購買更多授權，以解除鎖定您想要使用的功能。
• 指派授權： 將授權指派給將指派、更新或管理敏感度標籤的每位使用者。 將授權指派給將與加密檔案互動的每位使用者。

Power BI 租用戶設定

有數個與資訊保護相關的Power BI租用戶設定。

重要

在符合所有必要條件之前，不應設定資訊保護的 Power BI 租用戶設定。 標籤和標籤原則應該在 Microsoft Purview 合規性入口網站 中設定和發佈。 直到這一次，您仍在決策程式中。 設定租用戶設定之前，您應該先決定如何使用使用者子集來測試功能的程式。 然後，您可以決定如何逐步推出。

可以套用標籤的使用者

您應該決定誰將允許將敏感度標籤套用至 Power BI 內容。 此決定將決定如何設定 [允許使用者套用內容租使用者的敏感度標籤] 設定。

通常是在一般工作流程期間指派標籤的內容建立者或擁有者。 最簡單的方法是啟用此租用戶設定，這可讓所有 Power BI 使用者套用標籤。 在此情況下，標準工作區角色會決定誰可以編輯 Power BI 服務 中的專案（包括套用標籤）。 您可以使用活動記錄來追蹤使用者指派或變更標籤的時間。

來自數據源的標籤

您應該決定是否要從來自 Power BI 上游的支持數據源繼承敏感度標籤。 例如，如果 Azure SQL 資料庫 中的數據行已使用高度限制敏感度標籤定義，則從該來源匯入數據的 Power BI 語意模型將會繼承該標籤。

如果您決定啟用上游數據源的繼承，請在 Power BI租用戶設定中，將 [從數據源套用敏感度標籤至其數據]。 建議您規劃啟用數據源標籤的繼承，以提升一致性並減少工作量。

下游內容的標籤

您應該決定是否應該由下游內容繼承敏感度標籤。 例如，如果 Power BI 語意模型具有高度限制的敏感度標籤，則所有下游報表都會從語意模型繼承此標籤。

如果您決定啟用下游內容的繼承，請將 [ 自動套用敏感度標籤至下游內容租使用者] 設定。 建議您計劃讓下游內容繼承，以提升一致性並減少工作量。

工作區管理員覆寫

此設定適用於自動套用的標籤（例如套用預設標籤時，或標籤自動繼承時）。 當標籤具有保護設定時，Power BI 只允許授權的使用者變更標籤。 此設定可讓工作區系統管理員變更自動套用的標籤，即使標籤上有保護設定也一樣。

如果您決定允許標籤更新，請設定 [允許工作區管理員覆寫自動套用的敏感度標籤使用者設定]。 此設定適用於整個組織（而非個別群組）。 它可讓工作區系統管理員變更自動套用的標籤。

建議您考慮允許Power BI工作區系統管理員更新標籤。 您可以使用活動記錄來追蹤其指派或變更標籤的時間。

不允許共享受保護的內容

您應該決定是否可以與組織中的每個人共享受保護的（加密）內容。

如果您決定不允許共享受保護的內容，請設定 [限制具有受保護卷標的內容]，無法透過與組織租用戶設定中的每個人鏈接來共用內容。 此設定適用於整個組織（而非個別群組）。

強烈建議您規劃啟用此租用戶設定，以不允許共享受保護的內容。 啟用時，它不允許與整個組織共享作業以取得更敏感的內容（由已定義加密的標籤所定義）。 藉由啟用此設定，您將減少數據外泄的可能性。

重要

有一個名為 [允許可共享連結] 的類似租用戶設定，可將存取權授與組織中的每個人。 雖然它有類似的名稱，但其用途不同。 它會定義哪些群組可以建立整個組織的共享連結，而不論敏感度標籤為何。 在大部分情況下，我們建議您在組織中限制這項功能。 如需詳細資訊，請參閱 報表取用者安全性規劃 一文。

支援的導出檔類型

在Power BI管理入口網站中，有許多匯出和共用租用戶設定。 在大部分情況下，我們建議匯出數據的能力可供所有（或大部分）使用者使用，以免限制用戶的生產力。

不過，當無法針對輸出格式強制執行資訊保護時，高管制產業可能需要限制出口。 Power BI 服務 中套用的敏感度標籤會在匯出至支援的檔案路徑時，遵循內容。 其中包含 Excel、PowerPoint、PDF 和 Power BI Desktop 檔案。 由於敏感度標籤會與導出的檔案保持一致，因此會保留保護優點（防止未經授權的使用者開啟檔案的加密）， 會保留這些支援的檔案格式。

警告

從 Power BI Desktop 導出至 PDF 檔案時，不會保留匯出檔案的保護。 建議您教育內容建立者從 Power BI 服務 導出，以達到最大的信息保護。

並非所有匯出格式都支援信息保護。 Power BI 租使用者設定中可能會停用不支援的格式，例如.csv、.xml、.mhtml 或.png檔案（可在使用 ExportToFile API 時使用）。

提示

我們建議您只有在必須符合特定法規需求時才限制導出功能。 在一般案例中，我們建議您使用 Power BI活動記錄 來識別哪些使用者正在執行匯出。 然後，您可以教導這些使用者更有效率且安全的替代方案。

檢查清單 - 規劃如何在 Power BI 管理入口網站中設定租使用者設定時，關鍵決策和動作包括：

• 決定哪些使用者可以套用敏感度標籤： 討論並決定所有使用者是否可以將敏感度標籤指派給 Power BI 內容（根據標準 Power BI 安全性），或僅由特定使用者群組指派。
• 判斷標籤是否應該繼承自上游數據源： 討論及決定是否應該自動將來自數據源的標籤套用至使用數據源的Power BI 內容。
• 判斷下游專案是否應繼承標籤： 討論並決定指派給現有Power BI語意模型的標籤是否應該自動套用至相關內容。
• 決定Power BI工作區系統管理員是否可以覆寫標籤： 討論並決定是否適合工作區系統管理員變更自動指派的受保護標籤。
• 判斷是否可以與整個組織共享受保護的內容：討論並決定是否可以在受保護的（加密）標籤指派給 Power BI 服務中的專案時，建立「組織中的人員」共享連結。
• 決定啟用哪些導出格式： 識別會影響哪些導出格式的法規需求。 討論並決定使用者是否可以在 Power BI 服務 中使用所有匯出格式。 判斷當匯出格式不支援資訊保護時，是否需要在租用戶設定中停用特定格式。

數據分類和保護原則

設定標籤結構和發佈標籤原則是必要步驟。 不過，還有更多做法可協助您的組織成功分類及保護數據。 您必須提供指引給使用者，瞭解指派給特定標籤的內容可以和無法完成的工作。 您可以在此找到 數據分類和保護原則 。這很有説明。 您可以將它視為標籤指導方針。

注意

數據分類和保護原則是內部治理原則。 您可以選擇將其稱為不同專案。 重要的是，它是您建立並提供給用戶的檔，以便他們知道如何有效地使用標籤。 因為標籤原則是 Microsoft Purview 合規性入口網站 中的特定頁面，請嘗試避免使用相同的名稱呼叫您的內部治理原則。

建議您在決策程序中反覆建立數據分類和保護原則。 這表示當設定敏感度標籤的時候，所有項目都會清楚定義。

以下是您可能包含在數據分類和保護原則中的一些重要資訊片段。

• 標籤的描述： 除了標籤名稱之外，請提供標籤的完整描述。 描述應清楚但簡短。 以下是一些範例描述：
  • 一般內部使用 - 適用於私人、內部、商務數據
  • 受限制 - 適用於敏感性商務數據，如果遭入侵或受限於法規或合規性需求，將造成損害
• 範例： 提供範例以協助說明何時使用標籤。 以下是一些範例：
  • 一般內部使用 - 適用於大部分的內部通訊、非敏感性支持數據、問卷回應、評論、評等，以及不精確的位置數據
  • 受限制 - 適用於個人標識資訊（PII）數據，例如名稱、位址、電話、電子郵件、政府標識碼、種族或種族。 包括廠商和合作夥伴合約、非公用財務數據、員工和人力資源 （HR） 數據。 也包括專屬資訊、智慧財產權和精確的位置數據。
• 需要標籤： 描述指派標籤是否為所有新增和變更內容的必要專案。
• 默認標籤： 描述此標籤是否為自動套用至新內容的預設標籤。
• 存取限制： 可釐清內部和/或外部使用者是否允許查看指派給此標籤內容的其他資訊。 以下是一些範例：
  • 所有使用者，包括內部使用者、外部使用者，以及具有有效保密協定的第三方（NDA）都可以存取這項資訊。
  • 內部使用者只能存取這項資訊。 不論 NDA 或機密合約狀態為何，任何合作夥伴、廠商、承包商或第三方皆無。
  • 對資訊的內部存取是以作業角色授權為基礎。
• 加密需求： 描述數據是否需要在待用和傳輸中加密。 這項資訊會與敏感度標籤的設定方式相互關聯，並會影響可針對檔案 （RMS） 加密實作的保護原則。
• 允許下載和/或離線存取： 描述是否允許離線存取。 它也可以定義是否允許下載到組織或個人裝置。
• 如何要求例外狀況： 描述使用者是否可以要求標準原則的例外狀況，以及如何完成。
• 稽核頻率： 指定合規性檢閱的頻率。 較高的敏感度標籤應該涉及更頻繁且徹底的稽核程式。
• 其他元數據：數據原則需要更多元數據，例如原則擁有者、核准者和生效日期。

提示

建立數據分類和保護原則時，請專注於讓使用者直接參考。 它應該盡可能短和清晰。 如果太複雜，使用者不一定會花點時間瞭解它。

自動化原則的實作方式之一，例如數據分類和保護原則，就是使用 Microsoft Entra 規定。 設定使用規定原則時，用戶必須先確認原則，才能第一次造訪 Power BI 服務。 您也可以要求他們再次同意週期性，例如每 12 個月一次。

檢查清單 - 規劃內部原則以控管敏感度標籤使用預期時，關鍵決策和動作包括：

• 建立數據分類和保護原則： 針對您結構中的每個敏感度標籤，建立集中式原則檔。 本文件應該定義哪些內容可以或無法使用已指派每個標籤的內容來完成。
• 取得數據分類和保護原則的共識： 請確定您組合的小組中的所有必要人員都已同意布建。
• 請考慮如何處理原則的例外狀況： 高度分散的組織應考慮是否可能發生例外狀況。 雖然最好有標準化的數據分類和保護原則，但決定如何在提出新要求時解決例外狀況。
• 請考慮在何處找出您的內部原則： 請思考應該發佈數據分類和保護原則的位置。 請確定所有使用者都能輕鬆存取它。 當您發佈標籤原則時，請規劃將其包含在自訂說明頁面上。

用戶文件和訓練

在推出資訊保護功能之前，建議您為使用者建立和發佈指引檔。 檔的目標是要達成順暢的用戶體驗。 為用戶準備指引也會協助您確定已考慮所有專案。

您可以將指引發佈為敏感度標籤自訂說明頁面的一部分。 集中式入口網站中的 SharePoint 頁面或 Wiki 頁面可以正常運作，因為它很容易維護。 上傳至共用文檔庫或 Teams 網站的檔也是很好的方法。 當您發佈標籤原則時，自定義說明頁面的URL會在 Microsoft Purview 合規性入口網站 中指定。

提示

自訂 說明頁面 是重要的資源。 其連結可在各種應用程式和服務中使用。

用戶檔應包含稍早所述的數據分類和保護原則。 該內部原則是以所有用戶為目標。 感興趣的使用者包括需要瞭解其他使用者指派標籤含意的內容建立者和取用者。

除了數據分類和保護原則之外，建議您為內容建立者和擁有者準備相關指引：

• 檢視標籤： 每個標籤的意義相關信息。 將每個標籤與您的數據分類和保護原則相互關聯。
• 指派標籤： 如何指派和管理標籤的指引。 包含他們需要知道的資訊，例如強制標籤、預設標籤，以及標籤繼承的運作方式。
• 工作流程： 如何指派和檢閱標籤作為一般工作流程的一部分的建議。 您可以在開發開始時立即在Power BI Desktop 中指派標籤，以在開發過程中保護原始的Power BI Desktop 檔案。
• 情況通知： 了解使用者可能收到的系統產生的通知。 例如，SharePoint 網站會指派給特定敏感度標籤，但個別檔案已指派給更敏感（更高）的標籤。 指派較高標籤的使用者會收到電子郵件通知，指出指派給檔案的標籤與儲存所在的網站不相容。

包含使用者如有問題或技術問題時應連絡的資訊。 由於資訊保護是整個組織的專案，因此IT通常會提供支援。

常見問題和範例對於用戶文件特別有説明。

提示

某些法規需求包括特定的訓練元件。

檢查清單 - 準備使用者檔案和訓練時，關鍵決策和動作包括：

• 識別要包含哪些資訊： 判斷應包含哪些資訊，讓所有相關物件瞭解代表組織保護數據時的預期內容。
• 發佈自定義說明頁面： 建立和發佈自定義說明頁面。 以常見問題和範例的形式包含標籤的相關指引。 包含可存取數據分類和保護原則的連結。
• 發佈數據分類和保護原則： 發佈原則檔，該檔定義指派給每個標籤的內容完全可以或無法完成的工作。
• 判斷是否需要特定訓練： 建立或更新您的用戶訓練以包含有用的資訊，特別是如果有法規要求這樣做。

使用者支援

請務必確認誰將負責 用戶支援。 敏感度標籤通常由集中式IT技術支援中心支援。

您可能需要為技術支援中心建立指引（有時稱為 Runbook）。 您可能也需要進行知識轉移研討會，以確保技術支援中心已準備好回應支援要求。

檢查清單 - 準備使用者支援函式時，關鍵決策和動作包括：

• 識別誰將提供用戶支援： 當您定義角色和責任時，請務必包含使用者如何取得資訊保護相關問題的說明。
• 請確定用戶支援小組已準備就緒： 建立文件並進行知識轉移研討會，以確保技術支援中心已準備好支援信息保護。 強調可能會混淆使用者的複雜層面，例如加密保護。
• 小組之間的溝通： 與支援小組討論流程和期望，以及您的Power BI系統管理員和卓越中心。 請確定參與的每個人都已為Power BI使用者的潛在問題做好準備。

實作摘要

決定完成並符合必要條件之後，是時候根據逐步 推出計劃開始實施資訊保護了。

下列檢查清單包含端對端實作步驟的摘要清單。 許多步驟都有本文前幾節所涵蓋的其他詳細數據。

檢查清單 - 實作資訊保護時，關鍵決策和動作包括：

• 確認目前的狀態和目標： 請確定您清楚了解組織中目前的資訊保護狀態。 實作信息保護的所有目標和需求都應該清楚且主動地用來推動決策程式。
• 做出決策： 檢閱並討論所有必要決策。 在生產環境中設定任何專案之前，應該先執行這項工作。
• 檢閱授權需求： 確定您瞭解產品授權和用戶授權需求。 如有必要，請採購並指派更多授權。
• 發佈使用者文件： 發佈您的數據分類和保護原則。 建立包含使用者所需相關信息的自定義說明頁面。
• 準備支援小組： 進行知識轉移研討會，以確保支援小組已準備好處理用戶的問題。
• 建立敏感度標籤：設定 Microsoft Purview 合規性入口網站 中的每個敏感度標籤。
• 發佈敏感度標籤原則：在 Microsoft Purview 合規性入口網站 中建立和發佈標籤原則。 首先，使用一小群用戶進行測試。
• 設定 Power BI 租使用者設定： 在 Power BI 管理入口網站中，設定 資訊保護租用戶設定。
• 執行初始測試： 執行一組初始測試，以確認一切正常運作。 如果有的話，請使用非生產環境租用戶進行初始測試。
• 收集使用者意見反應： 將標籤原則發佈至願意測試功能的一小部分使用者。 取得流程和用戶體驗的意見反應。
• 繼續反覆發行： 將標籤原則發佈至其他使用者群組。 將更多使用者群組上線，直到包含整個組織為止。

提示

這些檢查清單專案摘要說明以供規劃之用。 如需這些檢查清單專案的詳細資訊，請參閱本文的上一節。

進行中監視

完成實作之後，您應該將注意力導向監視和微調敏感度標籤。

Power BI 系統管理員和安全性與合規性系統管理員必須不時地共同作業。 針對 Power BI 內容，有兩個物件與監視有關。

• Power BI 系統管理員： 每次指派或變更敏感度標籤時，都會記錄 Power BI 活動記錄中的專案。 活動記錄專案會記錄事件的詳細數據，包括使用者、日期和時間、專案名稱、工作區和容量。 其他活動記錄事件（例如檢視報表時）將包含指派給專案的敏感度標籤標識碼。
• 安全性與合規性系統管理員： 組織的安全性和合規性系統管理員通常會使用 Microsoft Purview 報告、警示和稽核記錄。

檢查清單 - 監視資訊保護時，關鍵決策和動作包括：

• 確認角色和責任： 確定您清楚負責哪些動作的人員。 教育並與您的Power BI系統管理員或安全性系統管理員溝通，如果他們將直接負責某些層面。
• 建立或驗證檢閱活動的程式： 請確定安全性與合規性系統管理員已清楚瞭解定期檢閱活動總管的預期。

提示

如需稽核的詳細資訊，請參閱 Power BI 的資訊保護和數據外洩防護稽核。

相關內容

在本系列中的下一篇文章中，瞭解Power BI的數據外洩防護。