Etichette di riservatezza protette in Infrastruttura e Power BI
Le etichette protette sono etichette di riservatezza con criteri di protezione dei file associati e possono essere usate per proteggere file e dati. Un criterio di protezione dei file per un'etichetta concede diritti di utilizzo agli utenti, ad esempio la possibilità di aprire un file, modificare un file, copiare da un file e così via. Quando un'etichetta protetta viene applicata a un file o a un elemento, gli utenti inclusi nei criteri possono eseguire le azioni per le quali dispongono dei diritti di utilizzo per i criteri di etichetta. I criteri di protezione dei file possono concedere diversi set di utenti a diversi set di diritti di utilizzo. Ad esempio, in base ai criteri, a un set di utenti potrebbe essere concesso il controllo completo sul file, mentre un altro set di utenti potrebbe essere autorizzato solo ad aprire e visualizzare il file.
La presenza di un set di etichette di riservatezza e criteri è un prerequisito per l'uso delle etichette di riservatezza in Fabric e Power BI. Le etichette e i relativi criteri di protezione dei file sono definiti dagli amministratori della sicurezza nel Portale di conformità di Microsoft Purview. In genere, lo stesso set di etichette protette viene usato in un'organizzazione per app Office, ad esempio Word, Excel e PowerPoint, nonché per Fabric e Power BI.
Funzionamento delle etichette protette in Infrastruttura e Power BI
In Fabric e nel servizio Power BI le etichette protette controllano solo la possibilità di modificare o rimuovere etichette sugli elementi. Non controllano l'accesso al contenuto. Affinché un utente sia in grado di modificare o rimuovere un'etichetta protetta da un elemento, l'utente deve essere l'utente che ha applicato l'etichetta di riservatezza (il proprietario di RMS) o avere almeno uno dei requisiti di utilizzo seguenti per l'etichetta.
- OWNER
- EXPORT
- EDIT e EDITRIGHTSDATA
Se l'etichetta sull'elemento è stata impostata tramite un processo automatizzato, ad esempio l'ereditarietà da origini dati o l'ereditarietà downstream, la terza opzione, EDIT e EDITRIGHTSDATA, viene ridotta solo a EDIT. Per informazioni dettagliate, vedere Relax per supportare scenari di etichettatura automatica.
In Power BI Desktop le etichette protette controllano non solo la possibilità di modificare o rimuovere l'etichetta protetta, ma anche l'accesso al contenuto (visualizzazione, modifica, esportazione e così via). Di conseguenza, gli scenari di collaborazione con file PBIX protetti potrebbero essere bloccati, poiché è improbabile che la maggior parte degli utenti disponga di diritti di utilizzo sufficienti sotto l'etichetta per aprire e modificare il file.
Si supponga, ad esempio, di creare un report in Power BI Desktop, di applicare un'etichetta protetta e quindi di condividere il file PBIX con un altro utente. È molto probabile che l'utente non abbia autorizzazioni sufficienti per aprire il file.
Per evitare questa situazione e consentire a più utenti di usare file PBIX protetti, l'amministratore dell'infrastruttura deve abilitare l'impostazione Aumentare il numero di utenti che possono modificare e ripubblicare i file PBIX crittografati (anteprima). Quando questa impostazione è abilitata, altri utenti (vedere la nota) potranno aprire, modificare e pubblicare/ripubblicare i file PBIX protetti, con le restrizioni seguenti:
- Non possono esportare in formati che non supportano etichette di riservatezza, ad esempio file CSV.
- Non possono modificare l'etichetta nel file PBIX.
- Possono ripubblicare il file PBIX solo nell'area di lavoro originale da cui proviene il file.
Nota
Il file deve essere stato pubblicato almeno una volta per consentire ad altri utenti di pubblicarlo in tale area di lavoro specifica. Se il file non è ancora stato pubblicato, l'autorità emittente dell'etichetta più recente (quella che ha impostato più di recente l'etichetta protetta) o un utente con diritti di utilizzo sufficienti deve pubblicarla e quindi condividere il file con gli altri editor.
Queste restrizioni assicurano che la sicurezza del contenuto rimanga sotto il controllo di coloro che dispongono di autorizzazioni sufficienti per impostare l'etichetta.
Nota
Gli utenti devono avere tutti i diritti di utilizzo seguenti nei criteri di etichetta:
- Visualizza contenuto (VIEW)
- Modifica contenuto (DOCEDIT)
- Salva (MODIFICA)
- Copiare ed estrarre contenuto (EXTRACT)
- Consenti macro (OBJMODEL)
Questi diritti di utilizzo sono un subset delle autorizzazioni coautore preimpostate nel Portale di conformità di Microsoft Purview.
Inoltre, è necessario selezionare l'opzione di funzionalità anteprima supporto utenti con privilegi meno elevati in Power BI Desktop. Per informazioni dettagliate, vedere Opzione di funzionalità di anteprima desktop per la modifica da parte degli utenti con autorizzazioni di riservatezza restrittive.
Relax per supportare scenari di etichettatura automatica
Infrastruttura e Power BI supportano diverse funzionalità, ad esempio l'ereditarietà delle etichette dalle origini dati e l'ereditarietà downstream, che applicano automaticamente etichette di riservatezza al contenuto. Questi scenari automatizzati possono comportare situazioni in cui nessun utente è stato impostato come emittente di etichette RMS per un'etichetta in un elemento. Ciò significa che non esiste alcun utente che sia in grado di modificare o rimuovere l'etichetta.
In questi casi, i requisiti per i diritti di utilizzo per la modifica o la rimozione dell'etichetta sono limitati: un utente deve avere solo uno dei diritti di utilizzo seguenti per poter modificare o rimuovere l'etichetta:
- OWNER
- EXPORT
- Modifica…
Se nessun utente ha anche questi diritti di utilizzo, nessuno potrà modificare o rimuovere l'etichetta dall'elemento e l'accesso all'elemento è potenzialmente in pericolo.
Per evitare questa situazione, l'amministratore di Infrastruttura può abilitare l'impostazione Consenti agli amministratori dell'area di lavoro di eseguire l'override dell'impostazione del tenant delle etichette di riservatezza applicate automaticamente. Ciò consente agli amministratori dell'area di lavoro di eseguire l'override delle etichette di riservatezza applicate automaticamente senza considerare le regole di imposizione delle modifiche alle etichette.
Per abilitare questa impostazione, passare a: Amministrazione portale Impostazioni > del tenant > Protezione delle informazioni e abilitare l'interruttore nell'impostazione Consenti agli amministratori dell'area di lavoro di eseguire l'override delle etichette di riservatezza applicate automaticamente.