Защищенные метки конфиденциальности в Fabric и Power BI

Защищенные метки — это метки конфиденциальности с политиками защиты файлов, связанными с ними, и их можно использовать для защиты файлов и данных. Политика защиты файлов для метки предоставляет пользователям права на использование, например возможность открытия файла, редактирования файла, копирования из файла и т. д. При применении защищенной метки к файлу или элементу пользователи, включенные в политику, могут выполнять действия, которые имеют права на использование в политике меток. Политика защиты файлов может предоставлять разные наборы пользователей различных наборов прав на использование. Например, в политике один набор пользователей может быть предоставлен полный контроль над файлом, а другой набор пользователей может быть разрешен только для открытия и просмотра файла.

Наличие набора меток конфиденциальности и политик является обязательным условием для использования меток конфиденциальности в Fabric и Power BI. Метки и их политики защиты файлов определяются администраторами безопасности в Портал соответствия требованиям Microsoft Purview. Как правило, один и тот же набор защищенных меток используется в организации для Приложение Office, таких как Word, Excel и PowerPoint, а также для Fabric и Power BI.

Как работают защищенные метки в Fabric и Power BI

В Fabric и служба Power BI защищенные метки управляют только возможностью изменять или удалять метки на элементах. Они не контролируют доступ к содержимому. Чтобы пользователь мог изменять или удалять защищенные метки из элемента, пользователь должен быть пользователем, применяющим метку конфиденциальности (владелец RMS), или иметь по крайней мере одно из следующих требований к правам на использование метки.

• ВЛАДЕЛЕЦ
• EXPORT
• EDIT и EDITRIGHTSDATA

Если метка элемента была задана с помощью автоматизированного процесса, например наследования из источников данных или подчиненного наследования, то третий параметр EDIT и EDITRIGHTSDATA сокращается до простого изменения. Дополнительные сведения см. в разделе "Расслабление", чтобы разместить сценарии автоматической маркировки .

В Power BI Desktop защищенные метки управляют не только возможностью изменения или удаления защищенной метки, но и доступа к содержимому (просмотр, редактирование, экспорт и т. д.). В результате сценарии совместной работы с защищенными PBIX-файлами могут быть заблокированы, так как вряд ли большинство пользователей будут иметь достаточные права на использование под меткой, чтобы открыть и изменить файл.

Например, представьте, что вы создаете отчет в Power BI Desktop, примените к нему защищенную метку, а затем поделитесь PBIX-файлом с другим пользователем. Скорее всего, у пользователя нет достаточных разрешений для открытия файла.

Чтобы предотвратить эту ситуацию и разрешить пользователям работать с защищенными PBIX-файлами, администратор Fabric должен включить увеличение числа пользователей, которые могут изменять и повторно публиковать зашифрованные PBIX-файлы (предварительная версия) параметра клиента. Если этот параметр включен, дополнительные пользователи (см. примечание) смогут открывать, редактировать и публиковать защищенные PBIX-файлы с помощью следующих ограничений:

• Они не могут экспортироваться в форматы, которые не поддерживают метки конфиденциальности, например CSV-файлы.
• Они не могут изменить метку в PBIX-файле.
• Они могут повторно опубликовать PBIX-файл только в исходной рабочей области, из нее.

  Примечание.

  Файл должен быть опубликован по крайней мере один раз, чтобы другие пользователи могли опубликовать его обратно в этой конкретной рабочей области. Если файл еще не опубликован, то последний издатель меток (тот, кто недавно установил защищенную метку) или пользователь с достаточными правами на использование должен опубликовать его, а затем предоставить общий доступ к файлу другим редакторам.

Эти ограничения гарантируют, что безопасность содержимого остается под контролем тех, кто имеет достаточные разрешения для установки метки.

Эти права использования представляют собой подмножество предустановленных разрешений совместного редактирования в Портал соответствия требованиям Microsoft Purview.

Кроме того, необходимо выбрать переключатель предварительной версии функции поддержки пользователей с повышенными привилегиями в Power BI Desktop. Дополнительные сведения см . в разделе "Предварительный просмотр рабочего стола" для редактирования пользователями с ограниченными разрешениями конфиденциальности.

Расслабление для удовлетворения сценариев автоматической маркировки

Fabric и Power BI поддерживают несколько возможностей, таких как наследование меток из источников данных и подчиненное наследование, которые автоматически применяют метки конфиденциальности к содержимому. Эти автоматизированные сценарии могут привести к ситуациям, когда ни один пользователь не был задан в качестве издателя меток RMS для метки на элементе. Это означает, что не существует пользователя, который гарантированно сможет изменить или удалить метку.

В таких случаях требования к правам на использование для изменения или удаления метки расслаблены. Пользователю потребуется только один из следующих прав на использование, чтобы иметь возможность изменять или удалять метку:

• ВЛАДЕЛЕЦ
• EXPORT
• ПРАВКА

Если у пользователя нет даже этих прав на использование, никто не сможет изменить или удалить метку из элемента, и доступ к элементу потенциально угрожает.

Чтобы избежать этой ситуации, администратор Fabric может разрешить администраторам рабочей области переопределить автоматически примененный параметр клиента меток конфиденциальности. Это позволяет администраторам рабочей области переопределять автоматически примененные метки конфиденциальности без учета правил применения изменений меток.

Чтобы включить этот параметр, перейдите на страницу Администратор параметры клиента > портала > и включите переключатель для администраторов рабочей области, чтобы переопределить автоматически примененные метки конфиденциальности.

Связанный контент

• Защита информации