共用方式為


Power BI 實作規劃:Power BI 的資訊保護

注意

本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃

本文說明在 Power BI 中實作資訊保護的相關規劃活動。 其目標為:

  • Power BI 管理員:負責監督組織中 Power BI 的管理員。 Power BI 管理員必須與資訊安全性和其他相關小組共同作業。
  • 卓越中心、IT和 BI 團隊:這些人負責監督組織中的 Power BI。 他們可能需要與 Power BI 管理員、資訊安全小組和其他相關小組共同作業。

重要

資訊保護和資料外洩防護 (DLP) 是整個組織的重要工作。 其範圍和影響遠大於 Power BI 本身。 這種類型的計劃需要資金、優先順序和規劃。 預期會牽涉到數個跨職能小組進行規劃、使用和監督工作。

標記和分類活動超越了 Power BI,甚至是資料資產。 本文中討論的決策適用於整個組織的資產,包括檔案和電子郵件,而不只是 Power BI。 本文介紹適用於一般標記和分類的主題,因為做出正確的組織決策對於 Power BI 中資料外洩防護的成功至關重要。

本文也包含定義敏感度標籤結構的簡介指導。 就技術而言,敏感度標籤結構是 Power BI 中敏感度標籤實作的必要條件。 本文中包含一些基本資訊的目的是協助您了解所涉及的內容。 請務必與IT共同作業,以在組織中規劃和實作資訊保護。

敏感度標籤的目的

Microsoft Purview 資訊保護敏感度標籤的使用與分類內容有關。 請將敏感度標籤想像成您套用至項目、檔案、網站或資料資產的標籤。

使用資訊保護有許多優點。 分類和標記內容可協助組織:

  • 了解敏感性資料所在的位置。
  • 追蹤外部和內部合規性需求。
  • 保護內容免於未經授權的使用者。
  • 教育使用者如何負責任地處理資料。
  • 實作即時控制項,以減少資料外洩的風險。

如需資訊保護的更多使用案例,請參閱資訊保護和 DLP (常見使用案例)

提示

它有助於讓您記住,Microsoft Purview 資訊保護是一項產品。 敏感度標籤是該產品的特定功能。

敏感度標籤是純文字的簡短描述。 就概念上而言,您可以將敏感度標籤想像成標籤。 每個項目只能指派一個標籤 (例如 Power BI 語意模型,先前在 Power BI 服務中稱為資料集) 或每個檔案 (例如 Power BI Desktop 檔案)。

標籤具有下列用途。

  • 分類: 它提供描述敏感度等級的分類。
  • 使用者教育和認知:可協助使用者了解如何適當地處理內容。
  • 原則:它構成了套用和強制執行原則與 DLP 的基礎。

Power BI 資訊保護的必要條件

現在,您應該已完成組織層級資訊保護規劃一文中所述的組織層級規劃步驟。 在繼續之前,您應該清楚了解:

  • 目前狀態:組織中資訊保護的目前狀態。 您應該了解敏感度標籤是否已經用於 Microsoft Office 檔案。 在此情況下,新增 Power BI 的工作範圍會比第一次將資訊保護帶入組織要小得多。
  • 目標和需求:在組織中實作資訊保護的策略目標。 了解目標和需求將作為實作工作的指南。

如果您組織未使用資訊保護,本節的其餘部分會提供資訊,以協助您與其他人共同作業,以將資訊保護引入您組織。

如果組織內主動使用資訊保護,建議您使用本文來確認符合必要條件。 如果敏感度標籤正在使用中,則推出階段 1-4 (在下一節中) 的大部分 (或全部) 活動都已完成。

首度發行階段

建議您規劃逐步推出計劃,以實作及測試資訊保護。 逐步推出計劃的目標是要讓您自行學習、調整以及逐一查看。 優點是在早期階段 (較可能變更時) 影響較少的使用者,直到資訊保護最終向組織中的所有使用者推出為止。

引進資訊保護是一項重大工作。 如組織層級資訊保護規劃一文中所述,如果您組織已針對 Microsoft Office 文件實作資訊保護,則其中許多工作都已完成。

本節提供我們建議您在逐步推出計劃中納入的階段概觀。 它應該讓你了解所預期的內容。 本文的其餘部分說明最直接影響 Power BI 之重要層面的其他決策準則。

階段 1:規劃、決定、準備

在第一階段,專注於規劃、決策和準備工作。 本文的其餘部分大部分著重於此第一個階段。

儘早釐清初始測試的發生位置。 該選擇會影響您一開始設定、發佈及測試的位置。 針對初始測試,您可以使用非生產租用戶 (如果您有權存取一個租用戶)。

提示

大部分的組織都可以存取一個租用戶,因此以隔離的方式探索新功能可能會很困難。 對於具有個別開發或測試租用戶的組織,建議您將其用於初始測試階段。 如需管理租用戶以及如何建立試用租用戶以測試新功能的詳細資訊,請參閱租用戶設定

階段 2:設定支援的使用者資源

第二個階段包含為支援使用者設定資源的步驟。 資源包括您的資料分類和保護原則以及自訂說明頁面

請務必讓某些使用者文件提早發佈。 此外,請務必讓使用者支援小組早日做好準備。

階段 3:設定標籤並發佈

第三個階段著重於定義敏感度標籤。 完成所有決策時,設定並不困難或耗時。 敏感度標籤是在 Microsoft 365 系統管理中心的 Microsoft Purview 合規性入口網站中進行設定。

階段 4:發佈標籤原則

使用標籤之前,您必須將其發佈為標籤原則的一部分。 標籤原則可讓特定使用者使用標籤。 標籤原則會在 Microsoft 365 系統管理中心的 Microsoft Purview 合規性入口網站中發佈。

注意

直到這一點為止,全部都是實作 Power BI 資訊保護的必要條件。

階段 5:啟用 Power BI 租用戶設定

Power BI 管理入口網站中有數個資訊保護租用戶設定。 它們必須在 Power BI 服務中啟用資訊保護。

重要

在 Microsoft Purview 合規性入口網站中設定和發佈標籤之後,您應該設定租用戶設定。

階段 6:初始測試

在第六個階段中,您會執行初始測試,以確認所有項目都如預期般運作。 為了進行初始測試,您應該只發佈適用於實作小組的標籤原則。

在此階段中,請務必測試:

  • Microsoft Office 檔案
  • Power BI 服務中的 Power BI 項目
  • Power BI Desktop 檔案
  • 從 Power BI 服務匯出檔案
  • 組態中包含的其他範圍,例如 Teams 網站或 SharePoint

請務必使用網頁瀏覽器和常用的行動裝置來檢查功能和使用者體驗。 請據以更新您的使用者文件

重要

即使只有少數小組成員獲得設定敏感度標籤的授權,所有使用者都能看到指派給內容的標籤。 如果您使用生產租用戶,使用者可能會想知道為什麼他們看到指派給 Power BI 服務工作區中項目的標籤。 準備好支援並回應使用者問題。

階段 7:收集使用者意見反應

此階段的目標是要從一小群重要使用者取得意見反應。 意見反應應該識別混淆區域、標籤結構中的間距或技術問題。 您也可以找到改善使用者文件的理由。

為此,您應該將標籤原則發佈 (或重新發佈) 給願意提供意見反應的一小部分使用者。

提示

請務必將足夠的時間納入您的專案計劃。 對於標籤和標籤原則設定,產品文件建議允許 24 小時讓變更生效的時間。 此時間對於確保所有變更都會傳播至相關服務而言是必要的。

階段 8:反覆發行

實作階段通常是一個反覆程序。

通常,初始目標是取得所有 Power BI 內容已獲指派敏感度標籤的狀態。 若要達成此目標,您可能會引進強制標籤原則或預設標籤原則。 您也可以使用資訊保護系統管理員 API,以程式設計方式設定或移除敏感度標籤。

在包含整個組織之前,您可以逐漸包含更多使用者群組。 此程式牽涉到將每個標籤原則重新發佈給越來越多的使用者群組。

在整個程序中,請務必優先提供指導、通訊和訓練給使用者,讓他們了解程序及其預期內容。

階段 9:監視、稽核、調整、整合

在初始推出之後,還有其他步驟要執行。 您應該有主要小組來監視資訊保護活動,並隨著時間調整。 套用標籤時,您將能夠評估其實用性,並識別調整的區域。

稽核資訊保護有許多層面。 如需詳細資訊,請參閱稽核 Power BI 的資訊保護和資料外洩防護

您在設定資訊保護方面的投資可用於 Power BI 的 DLP 原則中,這些原則是在 Microsoft Purview 合規性入口網站中進行設定。 如需詳細資訊,包括 DLP 功能的描述,請參閱 Power BI 的資料外洩防護

資訊保護也可以用來在 Microsoft Defender for Cloud Apps 中建立原則。 如需詳細資訊,包括您可能會發現有用的功能描述,請參閱適用於 Power BI 的適用於雲端的 Defender

檢查清單 - 準備資訊保護推出階段時,關鍵決策和動作包括:

  • 建立逐步推出計劃:定義推出計劃的階段。 釐清每個階段的特定目標。
  • 識別要執行測試的位置:判斷可以執行初始測試的位置。 若要盡可能降低對使用者的影響,請盡量使用非生產租用戶。
  • 建立專案計劃:建置專案計劃,其中包含所有重要活動、預估時間表,以及負責人員。

敏感度標籤結構

敏感度標籤結構是在 Power BI 中實作敏感度標籤的必要條件。 本節包含一些基本資訊,可協助您了解建立標籤結構時所涉及的內容。

本節並非所有可能應用程式中所有可能敏感度標籤考量的完整清單。 相反地,其重點是直接影響 Power BI 內容分類的考量和活動。 請確定您與其他專案關係人和系統管理員合作,以做出適合所有應用程式和使用案例的決策。

實作資訊保護的基礎始於一組敏感度標籤。 最終目標是建立一組使用者能夠使用的明確敏感度標籤。

組織中使用的敏感度標籤結構代表標籤分類法。 這通常也稱為資料分類分類法,因為目標是分類資料。 有時稱為結構描述定義

沒有一組標準或內建的標籤。 每個組織都必須定義並自訂一組標籤,以符合其需求。 到達一組正確標籤的程序涉及廣泛的共同作業。 其中需要通盤規劃,以確保標籤符合目標和需求。 請記住,標籤的套用對象不只是 Power BI 內容。

提示

大部分的組織一開始都會將標籤指派給 Microsoft Office 檔案。 然後,它們會進化為分類其他內容,例如 Power BI 項目和檔案。

標籤結構包括:

  • 標籤:標籤會形成階層。 每個標籤都會指出項目、檔案或資料資產的敏感度等級。 建議您建立三到七個標籤。 標籤應該很少變更。
  • 子標籤:子標籤指出特定標籤內保護或範圍的變化。 藉由將它們納入不同的標籤原則,您可以將子標籤的範圍設定為一組特定使用者或與特定專案相關的使用者。

提示

雖然子標籤提供彈性,但應該只在仲裁中使用它們以滿足關鍵需求。 建立太多子標籤會導致管理工作增加。 標籤太多選項也會造成使用者負擔過重。

標籤會形成階層,從最低敏感性分類開始一直到最高敏感性分類。

有時候 Power BI 內容包含跨多個標籤的資料。 例如,語意模型可能包含產品庫存資訊 (一般內部使用) 和當季銷售數據 (保密)。 選擇要指派給 Power BI 語意模型的標籤時,應該教導使用者套用最嚴格的標籤。

提示

下一節說明資料分類和保護原則,可為使用者提供何時使用每個標籤的指導。

重要

指派標籤或子標籤並不會影響對 Power BI 服務中 Power BI 內容的存取。 相反地,標籤會提供實用的類別,可引導使用者行為。 資料外洩防護原則也能夠以指派的標籤為基礎。 不過,除了檔案加密以外,管理 Power BI 內容存取的方式沒有任何變更。 如需詳細資訊,請參閱使用加密保護

請仔細考慮您所建立的標籤,因為一旦您進行到初始測試階段之後,移除或刪除標籤會是一項挑戰。 因為子標籤可以 (選擇性地) 用於一組特定的使用者,所以它們可能會比標籤更頻繁地變更。

以下是定義標籤結構的一些最佳做法。

  • 使用直覺式且明確的字詞:為清楚起見,請務必確保使用者在分類其資料時知道該如何選擇。 例如,具有「最高機密」標籤和「高度機密」標籤會造成混淆。
  • 建立邏輯階層式順序:標籤的順序對於讓一切正常運作至關重要。 請記住,清單中最後一個標籤的敏感性最高。 階層式順序與慎選字詞相結合,應該具有讓使用者能夠使用的邏輯性和直覺性。 明確的階層也會讓原則更容易建立和維護。
  • 只建立一些可在整個組織套用的標籤:讓使用者有太多標籤選擇將會使人困惑。 這也會導致較不精確的標籤選取。 建議您只為初始項目建立幾個標籤。
  • 使用有意義普遍名稱:避免在標籤名稱中使用產業術語或縮寫。 例如,與其建立名為「個人識別資訊」的標籤,不如改用「高度保密」或「高度機密」等名稱。
  • 使用可輕易當地語系化為其他語言的字詞:對於在多個國家/地區營運的全球組織而言,選擇在翻譯為其他語言時不會混淆或模棱兩可的標籤字詞相當重要。

提示

如果您發現自己規劃了許多高度特定的標籤,請退後一步並重新評估您的方法。 複雜度可能會導致使用者混淆、降低採用率,以及效率較低的資訊保護。 我們建議您從一組初始標籤開始 (或使用您已經擁有的標籤)。 在您獲得更多經驗之後,請視需要新增更特定的標籤,以謹慎地擴充標籤集合。

檢查清單 - 規劃敏感度標籤結構時,關鍵決策和動作包括:

  • 定義一組初始的敏感度標籤:建立介於三到七個敏感度標籤的初始集合。 請確定它們廣泛地用於各種內容。 當您完成資料分類和保護原則時,請規劃在初始清單上逐一查看。
  • 判斷您是否需要子標籤:決定是否需要針對任何標籤使用子標籤。
  • 確認標籤字詞的當地語系化:如果標籤會翻譯成其他語言,請讓母語者確認當地語系化的標籤可傳達預期的意義。

敏感度標籤範圍

敏感度標籤範圍會限制標籤的使用。 雖然您無法直接指定 Power BI,但可以將標籤套用至各種範圍。 可能的範圍包括:

  • 項目 (例如發佈至 Power BI 服務的項目,以及檔案和電子郵件)
  • 群組和網站 (例如 Teams 頻道或 SharePoint 網站)
  • 結構描述化資料資產 (在 Purview 資料對應中註冊的支援來源)

重要

您無法定義範圍限於 Power BI 的敏感度標籤。 雖然有一些特別適用於 Power BI 的設定,但範圍不是其中之一。 項目範圍會用於 Power BI 服務。 敏感度標籤的處理方式與 DLP 原則不同,如 Power BI 規劃的資料外洩防護一文中所述,某些類型的 DLP 原則可以特別針對 Power BI 定義。 如果您想要使用 Power BI 中資料來源的敏感度標籤繼承,則標籤範圍具有特定需求

與敏感度標籤相關的事件會記錄在活動總管中。 當範圍更廣時,這些記錄事件的詳細資料將會大幅增加。 您也將更做好保護各種應用程式和服務資料的準備。

定義一組初始敏感度標籤時,請考慮讓所有範圍都能使用初始標籤。 這是因為當使用者在不同的應用程式和服務中看到不同的標籤時,可能會讓他們感到困惑。 不過,經過一段時間後,您可能會發現更特定子標籤的使用案例。 然而,從一組一致且簡單的初始標籤開始會比較安全。

標籤範圍會在設定標籤時,於 Microsoft Purview 合規性入口網站中設定。

檢查清單 - 規劃標籤範圍時,關鍵決策和動作包括:

  • 決定標籤範圍:討論並決定是否將每個初始標籤套用至所有範圍。
  • 檢閱所有必要條件:調查您想要使用之每個範圍所需的必要條件和必要設定步驟。

使用加密保護

使用敏感度標籤保護時有多個選項。

  • 加密:檔案或電子郵件的相關加密設定。 例如,Power BI Desktop 檔案可以加密。
  • 標記:指頁首、頁尾和浮水印。 標記適用於 Microsoft Office 檔案,但不會顯示在 Power BI 內容上。

提示

通常當有人將標籤稱為「受保護」的標籤時,他們指的是加密。 只加密「保密」和「高度保密」等較高等級的標籤可能便已足夠。

加密是以密碼編譯方式編碼資訊的一種方式。 加密有數個重要優點。

  • 只有授權的使用者 (例如,組織中的內部使用者) 才能開啟、解密及讀取受保護的檔案。
  • 加密會保留受保護的檔案,即使檔案在組織外部傳送或重新命名也是如此。
  • 加密設定是從原始標記的內容中取得。 請考慮讓 Power BI 服務中的報告具有「高度保密」的敏感度標籤。 如果匯出至支援的匯出路徑,則標籤會保持不變,且加密會套用至匯出的檔案。

Azure Rights Management Service (Azure RMS) 用於使用加密來保護檔案。 若要使用 Azure RMS 加密,必須符合一些重要的必要條件

重要

有一個要考慮的限制:離線使用者 (沒有網際網路連線) 無法開啟加密的 Power BI Desktop 檔案 (或其他受 Azure RMS 保護的檔案類型)。 這是因為 Azure RMS 必須同步確認使用者有權開啟、解密和檢視檔案內容。

加密標籤的處理方式會根據使用者的工作位置而有所不同。

  • 在 Power BI 服務中:加密設定不會對 Power BI 服務中的使用者存取產生直接影響。 標準 Power BI 權限 (例如工作區角色、應用程式權限或共用權限) 可控制 Power BI 服務中的使用者存取。 敏感度標籤不會影響對 Power BI 服務中內容的存取。
  • Power BI Desktop 檔案:加密標籤可以指派給 Power BI Desktop 檔案。 從 Power BI 服務匯出標籤時,也會保留標籤。 只有授權的使用者才能開啟、解密和檢視檔案。
  • 匯出的檔案:Microsoft Excel、Microsoft PowerPoint 以及從 Power BI 服務匯出的 PDF 檔案會保留其敏感度標籤,包括加密保護。 針對支援的檔案格式,只有授權的使用者才能開啟、解密和檢視檔案。

重要

使用者務必了解 Power BI 服務和檔案之間容易混淆的差異。 我們建議您提供常見問題集文件以及範例,以協助使用者了解差異。

若要開啟受保護的 Power BI Desktop 檔案或匯出的檔案,使用者必須符合下列準則。

  • 網際網路連線:使用者必須連線到網際網路。 必須有作用中的網際網路連線才能與 Azure RMS 通訊。
  • RMS 權限:使用者必須具有 RMS 權限,這些權限定義於標籤內 (而不是標籤原則內)。 RMS 權限可讓授權的使用者解密、開啟及檢視支援的檔案格式。
  • 允許的使用者:必須在標籤原則中指定使用者或群組。 一般而言,只有內容建立者和擁有者才需要指派授權的使用者,以便他們可以套用標籤。 不過,使用加密保護時,還有另一個需求。 每個需要開啟受保護檔案的使用者都必須在標籤原則中指定。 這項需求表示可能需要更多使用者的資訊保護授權

提示

[允許工作區系統管理員覆寫自動套用的敏感度標籤] 租用戶設定可讓工作區系統管理員變更自動套用的標籤,即使已針對標籤啟用保護 (加密)。 當標籤自動指派或繼承,但工作區系統管理員不是授權的使用者時,這項功能特別有用。

當您設定標籤時,標籤保護會在 Microsoft Purview 合規性入口網站中設定。

檢查清單 - 規劃使用標籤加密時,關鍵決策和動作包括:

  • 決定應加密的標籤:針對每個敏感度標籤,決定標籤是否應加密 (受保護)。 請仔細考慮所涉及的限制。
  • 識別每個標籤的 RMS 權限:判斷要存取加密檔案及與其互動的使用者權限。 為每個敏感度標籤建立使用者和群組的對應,以協助規劃程序。
  • 檢閱並解決 RMS 加密必要條件:確定符合使用 Azure RMS 加密的技術上必要條件。
  • 規劃進行徹底的加密測試:由於 Office 檔案與 Power BI 檔案之間的差異,請確定您執行徹底的測試階段。
  • 包含在使用者文件和訓練中:針對指派已加密敏感度標籤的檔案使用者應預期的內容,請確定您在文件和訓練中包含相關指導。
  • 透過客戶支援進行知識轉移:制定特定計劃,以與支援小組進行知識轉移研討會。 由於加密的複雜性,他們可能會從使用者那裡發現問題。

從資料來源繼承標籤

從支援的資料來源匯入資料時 (例如 Azure Synapse Analytics、Azure SQL Database 或 Excel 檔案),Power BI 語意模型可以選擇性地繼承套用至來源資料的敏感度標籤。 繼承有助於:

  • 提升標記的一致性。
  • 在指派標籤時減少使用者的工作。
  • 降低因為未加上標籤導致使用者存取以及與未經授權使用者共用敏感性資料的風險。

提示

敏感度標籤有兩種類型的繼承。 下游繼承是指從其 Power BI 語意模型自動繼承標籤的下游項目 (例如報告)。 不過,本節的重點在於上游繼承。 上游繼承是指從語意模型上游資料來源繼承標籤的 Power BI 語意模型。

假設某個範例中,組織針對「高度保密」敏感度標籤的可用定義包含金融帳戶號碼。 由於金融帳戶號碼會儲存在 Azure SQL Database 中,因此「高度保密」敏感度標籤已指派給該來源。 將來自 Azure SQL Database 的資料匯入 Power BI 時,意圖是讓語意模型繼承標籤。

您可以透過不同的方式,將敏感度標籤指派給支援的資料來源。

  • 資料探索和分類:您可以掃描支援的資料庫,以識別可能包含敏感性資料的資料行。 根據掃描結果,您可以套用部分或全部標籤建議。 Azure SQL Database、Azure SQL 受控執行個體和 Azure Synapse Analytics 等資料庫支援資料探索與分類。 內部部署 SQL Server 資料庫支援 SQL 資料探索與分類
  • 手動指派:您可以將敏感度標籤指派給 Excel 檔案。 您也可以手動將標籤指派給 Azure SQL Database 或 SQL Server 中的資料庫資料行。
  • Microsoft Purview 中的自動套用標記: 敏感度標記可以套用至 Microsoft Purview 資料對應中註冊為資產的支援資料來源。

警告

如何將敏感度標籤指派給資料來源的詳細資料已脫離本文的範圍。 技術功能在 Power BI 中支援繼承的功能不斷演進。 建議您執行技術性概念證明,以確認您的目標、易於使用,以及這些功能是否符合您的需求。

只有在您啟用 [將敏感度標籤從資料來源套用至其在 Power BI 中的資料] 租用戶設定時,才會發生繼承。 如需租用戶設定的詳細資訊,請參閱本文稍後的 Power BI 租用戶設定一節。

提示

您必須熟悉繼承行為。 請務必在測試計劃中納入各種情況。

檢查清單 - 規劃從資料來源繼承標籤時,關鍵決策和動作包括:

  • 決定 Power BI 是否應該繼承資料來源的標籤:決定 Power BI 是否應該繼承這些標籤。 規劃啟用租用戶設定以允許這項功能。
  • 檢閱技術必要條件:判斷您是否需要採取額外的步驟,將敏感度標籤指派給資料來源。
  • 測試標籤繼承功能:完成技術性概念證明,以測試繼承的運作方式。 確認此功能在各種情況下如預期般運作。
  • 包含在使用者文件中:確定已將標籤繼承的相關資訊新增至提供給使用者的指導中。 在使用者文件中納入實際範例。

已發佈的標籤原則

定義敏感度標籤之後,標籤可以新增至一或多個標籤原則。 標籤原則是您發佈標籤以便使用的方式。 它會定義哪些標籤可供哪一組授權的使用者使用。 此外還有其他設定,例如預設標籤和強制標籤。

當您需要以不同一組使用者為目標時,使用多個標籤原則會很有幫助。 您可以定義一次敏感度標籤,然後包含在一或多個標籤原則中。

提示

在包含標籤的標籤原則發佈至 Microsoft Purview 合規性入口網站之前,無法使用敏感度標籤。

授權的使用者和群組

當您建立標籤原則時,必須選取一或多個使用者或群組。 標籤原則會決定哪些使用者可以使用標籤。 它可讓使用者將該標籤指派給特定內容,例如 Power BI Desktop 檔案、Excel 檔案或發佈至 Power BI 服務的項目。

建議您盡可能讓授權的使用者和群組保持簡單。 良好的經驗法則是針對所有使用者發佈主要標籤。 有時適合將子標籤指派給或限定為使用者子集。

建議您盡可能指派群組,而不是個人。 使用群組可簡化原則的管理,並減少需要重新發佈的頻率,

警告

標籤的授權使用者和群組與針對受保護 (加密) 標籤指派給 Azure RMS 的使用者和群組不同。 如果使用者開啟加密檔案時遇到問題,請調查特定使用者和群組的加密權限 (這些權限是在標籤組態內設定,而不是在標籤原則內設定)。 在大部分情況下,我們建議您將相同的使用者指派給兩者。 此一致性可避免混淆並減少支援票證。

授權的使用者和群組會在發佈標籤原則時,在 Microsoft Purview 合規性入口網站中設定。

檢查清單 - 規劃標籤原則中授權的使用者和群組時,關鍵決策和動作包括:

  • 決定哪些標籤適用於所有使用者:討論並決定哪些敏感度標籤可供所有使用者使用。
  • 決定哪些子標籤適用於使用者子集:討論並決定是否有任何子標籤只能供特定一組使用者或群組使用。
  • 識別是否需要任何新的群組:判斷是否需要建立任何新的 Microsoft Entra ID (先前稱為 Azure Active Directory) 群組,以支援授權的使用者和群組。
  • 建立規劃文件:如果授權使用者與敏感度標籤的對應很複雜,請為每個標籤原則建立使用者和群組的對應。

Power BI 內容的預設標籤

建立標籤原則時,您可以選擇預設標籤。 例如,「一般內部使用」標籤可以設定為預設標籤。 此設定會影響在 Power BI Desktop 或 Power BI 服務中建立的新 Power BI 項目。

您可以特別針對與其他項目不同的 Power BI 內容,在標籤原則中設定預設標籤。 大部分的資訊保護決策和設定會更廣泛地套用。 不過,預設標籤設定 (以及下一步所述的強制標籤設定) 僅適用於 Power BI。

提示

雖然您可以設定不同的預設標籤 (適用於 Power BI 和非 Power BI 內容),但請考慮這是否為使用者的最佳選項。

請務必了解,在發佈標籤原則「之後」,新的預設標籤原則會套用至已建立或編輯的內容。 它不會追溯地將預設標籤指派給現有的內容。 Power BI 管理員可以使用資訊保護 API 大量設定敏感度標籤,以確保現有內容已指派給預設敏感度標籤。

發佈標籤原則時,預設標籤選項會在 Microsoft Purview 合規性入口網站中設定。

檢查清單 - 規劃是否要套用 Power BI 內容的預設標籤時,關鍵決策和動作包括:

  • 決定是否要指定預設標籤:討論並決定預設標籤是否適當。 如果是,請判斷哪一個標籤最適合作為預設值。
  • 包含在使用者文件中:如有必要,請確定在提供給使用者的指導中提及預設標籤的相關資訊。 目標是讓使用者了解如何判斷預設標籤是否適當,或是否應該變更。

強制標記 Power BI 內容

資料分類是常見的法規需求。 若要符合此需求,您可以選擇要求使用者標記所有 Power BI 內容。 此強制標記需求會在使用者建立或編輯 Power BI 內容時生效。

您可以選擇實作強制標籤和/或預設標籤 (如上一節所述)。 您應該考慮下列幾點。

  • 強制標籤原則可確保標籤不會是空的
  • 強制標籤原則會要求使用者選擇應該使用的標籤
  • 強制標籤原則可防止使用者完全移除標籤
  • 預設標籤原則對使用者來說干擾較小,因為不需要他們採取動作
  • 預設標籤原則可能會導致內容因為使用者未明確做出選擇而標示錯誤
  • 同時啟用預設標籤原則和強制標籤原則可以提供互補的優點

提示

如果您選擇實作強制標籤,建議您也實作預設標籤。

您可以特別針對 Power BI 內容設定強制標籤原則。 大部分的資訊保護設定會更廣泛地套用。 不過,強制標籤設定 (和預設標籤設定) 特別適用於 Power BI。

提示

強制標籤原則不適用於服務主體或 API。

發佈標記原則時,強制標記選項會在 Microsoft Purview 合規性入口網站中設定。

檢查清單 - 規劃是否需要強制標記 Power BI 內容時,關鍵決策和動作包括:

  • 決定標籤是否為必要:討論並決定是否基於合規性原因而需要強制標籤。
  • 包含在使用者文件中:如有必要,請確定已將強制標籤的相關資訊新增至提供給使用者的指導。 目標是讓使用者了解預期的情況。

授權需求

特定授權必須就緒才能使用敏感度標籤。

需要 Microsoft Purview 資訊保護授權,才能:

  • 系統管理員:將設定、管理及監督標籤的系統管理員。
  • 使用者:負責將標籤套用至內容的內容建立者和擁有者。 使用者也包含需要解密、開啟和檢視受保護 (加密) 檔案的人員。

您可能已經有這些功能,因為它們包含在授權套件中,例如 Microsoft 365 E5。 或者,Microsoft 365 E5 合規性 功能可以購買為獨立授權。

使用者也需要 Power BI Pro 或 Premium Per User (PPU) 授權,才能在 Power BI 服務或 Power BI Desktop 中套用和管理敏感度標籤。

提示

如果您需要有關授權需求的詳細說明,請與您的 Microsoft 帳戶小組交談。 請注意,Microsoft 365 E5 合規性授權包含本文範圍以外的其他功能。

檢查清單 - 評估敏感度標籤的授權需求時,關鍵決策和動作包括:

  • 檢閱產品授權需求:確定您檢閱所有授權需求。
  • 檢閱使用者授權需求:確認您預期指派標籤的所有使用者都有 Power BI Pro 或 PPU 授權。
  • 採購其他授權:請視需要購買更多授權,以解除鎖定您想要使用的功能。
  • 指派授權:將授權指派給將指派、更新或管理敏感度標籤的每位使用者。 將授權指派給將與加密檔案互動的每位使用者。

Power BI 租用戶設定

有數個與資訊保護相關的 Power BI 租用戶設定。

重要

在符合所有必要條件之前,不應設定資訊保護的 Power BI 租用戶設定。 標籤和標籤原則應該在 Microsoft Purview 合規性入口網站中設定和發佈。 在此時之前,您仍處於決策程序中。 設定租用戶設定之前,您應該先決定如何使用一部分使用者來測試功能的程序。 然後,您可以決定如何逐步推出。

可以套用標籤的使用者

您應該決定誰可以將敏感度標籤套用至 Power BI 內容。 此決定將決定如何設定 [允許使用者套用內容的敏感度標籤] 租用戶設定

通常是在一般工作流程期間指派標籤的內容建立者或擁有者。 最簡單的方法是啟用此租用戶設定,這可讓所有 Power BI 使用者套用標籤。 在此情況下,標準工作區角色會決定誰可以編輯 Power BI 服務中的項目 (包括套用標籤)。 您可以使用活動記錄來追蹤使用者指派或變更標籤的時間。

資料來源中的標籤

您應該決定是否要從來自 Power BI 上游的支援資料來源繼承敏感度標籤。 例如,如果 Azure SQL Database 中的資料行已使用「高度保密」敏感度標籤定義,則從該來源匯入資料的 Power BI 語意模型將會繼承該標籤。

如果您決定啟用上游資料來源的繼承,請設定 [將敏感度標籤從資料來源套用至其在 Power BI 中的資料] 租用戶設定。 建議您規劃啟用資料來源標籤的繼承,以提升一致性並減少工作量。

下游內容的標籤

您應該決定是否應該由下游內容繼承敏感度標籤。 例如,如果 Power BI 語意模型具有「高度保密」的敏感度標籤,則所有下游報告都會從語意模型繼承此標籤。

如果您決定啟用下游內容的繼承,請設定 [自動套用敏感度標籤至下游內容] 租用戶設定。 建議您規劃由下游內容繼承,以提升一致性並減少工作量。

工作區管理員覆寫

此設定適用於自動套用的標籤 (例如套用預設標籤時,或標籤自動繼承時)。 當標籤具有保護設定時,Power BI 只允許授權的使用者變更標籤。 此設定可讓工作區系統管理員變更自動套用的標籤,即使標籤上有保護設定也一樣。

如果您決定允許標籤更新,請設定 [允許工作區系統管理員覆寫自動套用的敏感度標籤] 租用戶設定。 此設定適用於整個組織 (而非個別群組)。 它可讓工作區系統管理員變更自動套用的標籤。

建議您考慮允許 Power BI 工作區系統管理員更新標籤。 您可以使用活動記錄來追蹤其指派或變更標籤的時間。

不允許共用受保護的內容

您應該決定是否可以與組織中的每個人共用受保護 (加密) 的內容。

如果您決定不允許共享受保護的內容,請設定 [限制具有受保護之標籤的內容,避免透過連結與貴組織所有人共用] 租用戶設定。 此設定適用於整個組織 (而非個別群組)。

強烈建議您規劃啟用此租用戶設定,以不允許共用受保護的內容。 啟用時,此設定不允許與整個組織共用作業以取得更敏感的內容 (由已定義加密的標籤所定義)。 藉由啟用此設定,您將降低資料外洩的可能性。

重要

有一個類似的租用戶設定名為 [允許可共用的連結授與您組織中所有人員的存取權]。 雖然它具有類似的名稱,但其用途不同。 它會定義哪些群組可以建立整個組織的共用連結,而不論敏感度標籤為何。 在大部分情況下,我們建議您在組織中限制這項功能。 如需詳細資訊,請參閱報告取用者安全性規劃一文 (部分機器翻譯)。

支援的匯出檔類型

在 Power BI 管理入口網站中,有許多匯出和共用租用戶設定。 在大部分情況下,我們建議匯出資料的能力可供所有 (或大部分) 使用者使用,以免限制使用者的生產力。

不過,當無法針對輸出格式強制執行資訊保護時,嚴格管制的產業可能需要限制出口。 Power BI 服務中套用的敏感度標籤會在匯出至支援的檔案路徑時遵循內容。 其中包含 Excel、PowerPoint、PDF 和 Power BI Desktop 檔案。 由於敏感度標籤會與匯出的檔案保持一致,因此會針對這些支援的檔案格式保留保護優點 (防止未經授權使用者開啟檔案的加密)。

警告

從 Power BI Desktop 匯出至 PDF 檔案時,不會保留匯出檔案的保護。 建議您教導內容建立者從 Power BI 服務匯出,以達到最大的資訊保護。

並非所有匯出格式都支援資訊保護。 Power BI 租用戶設定中可能會停用不支援的格式,例如.csv、.xml、.mhtml 或 .png 檔案 (可在使用 ExportToFile API 時使用)。

提示

我們建議您只有在必須符合特定法規需求時才限制匯出功能。 在一般案例中,我們建議您使用 Power BI 活動記錄來識別哪些使用者正在執行匯出。 然後,您可以教導這些使用者更有效率且安全的替代方案。

檢查清單 - 規劃如何在 Power BI 管理入口網站中設定租用戶設定時,關鍵決策和動作包括:

  • 決定哪些使用者可以套用敏感度標籤:討論並決定所有使用者是否可以將敏感度標籤指派給 Power BI 內容 (根據標準 Power BI 安全性),或僅由特定使用者群組指派。
  • 判斷標籤是否應該繼承自上游資料來源:討論並決定是否應該將來自資料來源的標籤自動套用至使用資料來源的 Power BI 內容。
  • 判斷下游項目是否應繼承標籤:討論並決定指派給現有 Power BI 語意模型的標籤是否應該自動套用至相關內容。
  • 決定 Power BI 工作區系統管理員是否可以覆寫標籤:討論並決定是否適合讓工作區系統管理員變更自動指派的受保護標籤。
  • 判斷是否可以與整個組織共用受保護的內容:討論並決定是否可以在 Power BI 服務中將受保護 (加密) 的標籤指派給項目時,建立「組織中的人員」共用連結。
  • 決定啟用哪些匯出格式:識別會影響可以使用哪些匯出格式的法規需求。 討論並決定使用者是否可以在 Power BI 服務中使用所有匯出格式。 決定當匯出格式不支援資訊保護時,是否需要在租用戶設定中停用特定格式。

資料分類和保護原則

設定標籤結構和發佈標籤原則是首要步驟。 不過,還有更多做法可協助您的組織成功分類並保護資料。 您必須提供指導給使用者,了解是否可以使用指派給特定標籤的內容來完成的工作。 您可以在其中找到實用的資料分類和保護原則。 您可以將其視為標籤指導方針。

注意

資料分類和保護原則是內部治理原則。 您可以選擇以其他名稱來稱呼它。 重要的是,它是您建立並提供給使用者的文件,以便他們知道「如何」有效地使用標籤。 由於標籤原則是 Microsoft Purview 合規性入口網站中的特定頁面,因此請嘗試避免以相同名稱來稱呼您的內部治理原則。

建議您在決策程序中反覆建立資料分類和保護原則。 這表示該設定敏感度標籤的時候,所有項目都會清楚定義。

以下是您可能會在資料分類和保護原則中包含的一些重要資訊片段。

  • 標籤的描述:除了標籤名稱之外,請提供標籤的完整描述。 描述應該簡明。 以下是一些範例描述:
    • 一般內部使用 - 適用於私人、內部、商務資料
    • 保密 - 適用於遭入侵時將造成損害或受限於法規或合規性需求的敏感性商務資料
  • 範例:提供範例以協助說明何時使用標籤。 以下是一些範例:
    • 一般內部使用 - 適用於大部分的內部通訊、非敏感性支援資料、問卷回應、評論、評等,以及不精確的位置資料
    • 保密 - 適用於個人識別資訊 (PII) 資料,例如姓名、地址、電話、電子郵件、政府識別碼、種族或族群。 包括廠商和合作夥伴合約、非公用財務資料、員工和人力資源 (HR) 資料。 此外也包括專屬資訊、智慧財產權和精確的位置資料。
  • 需要標籤:描述針對所有新增和變更內容是否強制指派標籤。
  • 預設標籤:描述此標籤是否為自動套用至新內容的預設標籤。
  • 存取限制:可釐清是否允許內部和/或外部使用者查看指派給此標籤內容的其他資訊。 以下是一些範例:
    • 所有使用者,包括內部使用者、外部使用者,以及簽署有效保密合約的第三方 (NDA) 都可以存取這項資訊。
    • 內部使用者只能存取這項資訊。 不論 NDA 或機密合約狀態為何,不包括任何合作夥伴、廠商、承包商或第三方。
    • 對資訊的內部存取是以作業角色授權為基礎。
  • 加密需求:描述資料是否需要在待用和傳輸時加密。 這項資訊會與敏感度標籤的設定方式相互關聯,並會影響可針對檔案 (RMS) 加密實作的保護原則。
  • 允許下載和/或離線存取:描述是否允許離線存取。 它也可以定義是否允許下載到組織或個人裝置。
  • 如何要求例外狀況:描述使用者是否可以要求標準原則的例外狀況,以及如何完成。
  • 稽核頻率:指定合規性審查的頻率。 較高敏感度標籤應該涉及更頻繁且徹底的稽核程序。
  • 其他中繼資料:資料原則需要更多中繼資料,例如原則擁有者、核准者和生效日期。

提示

建立資料分類和保護原則時,請專注於讓使用者直接參考。 它應該盡可能簡明。 如果太複雜,使用者不一定會花時間來了解內容。

自動化原則實作的方式之一,例如資料分類和保護原則,是使用 Microsoft Entra 使用規定。 設定使用規定原則時,使用者必須先確認原則,才能第一次造訪 Power BI 服務。 您也可以要求他們再次同意週期性,例如每 12 個月一次。

檢查清單 - 規劃內部原則以控管使用敏感度標籤的預期情況時,關鍵決策和動作包括:

  • 建立資料分類和保護原則:針對您結構中的每個敏感度標籤,建立集中式原則文件。 本文件應該定義哪些內容是否可以使用已指派每個標籤的內容來完成。
  • 取得資料分類和保護原則的共識:請確定您所召集小組中的所有必要人員都已同意佈建。
  • 請考慮如何處理原則的例外狀況:高度分散的組織應考慮是否可能發生例外狀況。 雖然最好有標準化的資料分類和保護原則,仍應決定如何在提出新要求時解決例外狀況。
  • 請考慮在何處找出您的內部原則:請思考應該發佈資料分類和保護原則的位置。 請確定所有使用者都能輕鬆存取該位置。 當您發佈標籤原則時,請規劃將其包含在自訂說明頁面上。

使用者文件和訓練

在推出資訊保護功能之前,建議您為使用者建立和發佈指導文件。 文件的目標是要達成順暢的使用者體驗。 為使用者準備指導也會協助您確定已考慮所有項目。

您可以將指導發佈為敏感度標籤自訂說明頁面的一部分。 集中式入口網站中的 SharePoint 頁面或 Wiki 頁面可能很有幫助,因為它很容易維護。 上傳至共用文件庫或 Teams 網站的文件也是很好的方法。 當您發佈標籤原則時,自訂說明頁面的 URL 會在 Microsoft Purview 合規性入口網站中指定。

提示

自訂說明頁面是重要的資源。 其連結可在各種應用程式和服務中使用。

使用者文件應包含稍早所述的資料分類和保護原則。 該內部原則是以所有使用者為目標。 感興趣的使用者包括需要了解其他使用者所指派標籤含意的內容建立者和取用者。

除了資料分類和保護原則之外,建議您為內容建立者和擁有者準備相關指導:

  • 檢視標籤:每個標籤的意義相關資訊。 將每個標籤與您的資料分類和保護原則相互關聯。
  • 指派標籤:如何指派和管理標籤的指導。 包含他們需要知道的資訊,例如強制標籤、預設標籤,以及標籤繼承的運作方式。
  • 工作流程:如何在其一般工作流程中指派和檢閱標籤的建議。 您可以在開發開始時立即在 Power BI Desktop 中指派標籤,以在開發程序中保護原始的 Power BI Desktop 檔案。
  • 情況通知:了解使用者可能收到的系統產生通知。 例如,SharePoint 網站會指派給特定敏感度標籤,但個別檔案已指派給較敏感 (較高) 的標籤。 指派較高標籤的使用者會收到電子郵件通知,指出指派給檔案的標籤與儲存所在的網站不相容。

包含使用者如有問題或技術問題時應連絡的相關資訊。 由於資訊保護是整個組織的專案,因此 IT 通常會提供支援。

常見問題集和範例對於使用者文件特別有幫助。

提示

某些法規需求包括特定的訓練元件。

檢查清單 - 準備使用者文件和訓練時,關鍵決策和動作包括:

  • 識別要包含哪些資訊:判斷應包含哪些資訊,讓所有相關對象了解代表組織保護資料時的預期動作。
  • 發佈自訂說明頁面:建立和發佈自訂說明頁面。 以常見問題集和範例的形式包含標記的相關指導。 包含可存取資料分類和保護原則的連結。
  • 發佈資料分類和保護原則:發佈原則文件,以定義是否可以使用指派給每個標籤的內容來完成工作。
  • 判斷是否需要特定訓練:建立或更新您的使用者訓練以包含有用的資訊,特別是如果有法規要求這樣做。

使用者支援

請務必確認誰將負責使用者支援。 敏感度標籤通常由集中式 IT 技術支援中心提供支援。

您可能需要為技術支援中心建立指導 (有時稱為 Runbook)。 您可能也需要進行知識轉移研討會,以確保技術支援中心已準備好回應支援要求。

檢查清單 - 準備使用者支援職能時,關鍵決策和動作包括:

  • 識別誰將提供使用者支援:當您定義角色和責任時,請務必包含使用者如何取得資訊保護相關問題的說明。
  • 請確定使用者支援小組已準備就緒:建立文件並進行知識轉移研討會,以確保技術支援中心已準備好支援資訊保護。 強調可能會混淆使用者的複雜層面,例如加密保護。
  • 小組之間的溝通:與支援小組以及您的 Power BI 管理員和卓越中心討論程序和期望事項。 請確定參與的每個人都已為 Power BI 使用者的潛在問題做好準備。

實作摘要

做出決策且符合必要條件之後,是時候根據逐步推出計劃開始實施資訊保護了。

下列檢查清單包含端對端實作步驟的摘要清單。 許多步驟都有本文前幾節所涵蓋的其他詳細資料。

檢查清單 - 實作資訊保護時,關鍵決策和動作包括:

  • 確認目前的狀態和目標:確定您清楚了解組織中目前的資訊保護狀態。 實作資訊保護的所有目標和需求都應該明確,並主動地用來推動決策程序。
  • 做出決策:檢閱並討論所有必要的決策。 在生產環境中設定任何功能之前,應該先執行這項工作。
  • 檢閱授權需求:確定您了解產品授權和使用者授權需求。 如有必要,請採購並指派更多授權。
  • 發佈使用者文件:發佈您的資料分類和保護原則。 建立包含使用者所需相關資訊的自訂說明頁面。
  • 準備支援小組:進行知識轉移研討會,以確保支援小組已準備好處理使用者的問題。
  • 建立敏感度標籤:在 Microsoft Purview 合規性入口網站中設定每個敏感度標籤。
  • 發佈敏感度標籤原則:在 Microsoft Purview 合規性入口網站中建立及發佈標籤原則。 首先,使用一小群使用者進行測試。
  • 設定 Power BI 租用戶設定:在 Power BI 管理入口網站中,設定資訊保護租用戶設定
  • 執行初始測試:執行一組初始測試,以確認一切正常運作。 如果有的話,請使用非生產環境租用戶進行初始測試。
  • 收集使用者意見反應:將標籤原則發佈至願意測試功能的一小部分使用者。 取得程序和使用者體驗的意見反應。
  • 持續反覆發行:將標籤原則發佈至其他使用者群組。 將更多使用者群組上線,直到包含整個組織為止。

提示

這些檢查清單項目可供摘要以用於規劃目的。 如需這些檢查清單項目的更多詳細資料,請參閱本文的上一節。

持續監視

完成實作之後,您應該將注意力轉移至監視和微調敏感度標籤。

Power BI 管理員和安全性與合規性系統管理員將需要不定時共同作業。 針對 Power BI 內容,有兩個對象與監視有關。

  • Power BI 管理員:每次指派或變更敏感度標籤時,都會記錄 Power BI 活動記錄中的項目。 活動記錄項目會記錄事件的詳細資料,包括使用者、日期和時間、項目名稱、工作區和容量。 其他活動記錄事件 (例如檢視報告時) 將包含指派給項目的敏感度標籤識別碼。
  • 安全性與合規性系統管理員:組織的安全性與合規性系統管理員通常會使用 Microsoft Purview 報告、警示和稽核記錄。

檢查清單 - 監視資訊保護時,關鍵決策和動作包括:

  • 確認角色和責任:確定您清楚哪些人員負責哪些動作。 如果您的 Power BI 管理員或安全性系統管理員將直接負責某些層面,教導他們並與其溝通。
  • 建立或驗證檢閱活動的程式:確定安全性與合規性系統管理員已清楚了解定期檢閱活動總管的預期內容。

提示

如需稽核的詳細資訊,請參閱 Power BI 的資訊保護和資料外洩防護稽核

本系列中的下一篇文章中,了解 Power BI 的資料外洩防護。