Метки конфиденциальности в Power BI

В этой статье описаны функциональные возможности меток конфиденциальности из Microsoft Purview Information Protection в Power BI.

Сведения о включении меток конфиденциальности в клиенте, включая требования к лицензированию и предварительные требования, см. в разделе "Включение меток конфиденциальности данных" в Power BI.

Сведения о применении меток конфиденциальности к содержимому и файлам Power BI см. в статье "Применение меток конфиденциальности в Power BI".

Дайте нам свой отзыв

Команда разработчиков хотела бы получить отзывы о возможностях защиты информации Power BI и ее интеграции с Microsoft Purview Information Protection. Помогите нам удовлетворить потребности защиты информации! Спасибо!

Обзор меток конфиденциальности

Метки конфиденциальности из Purview Information Protection позволяют пользователям классифицировать критически важное содержимое в Power BI без ущерба для производительности или возможности совместной работы. Их можно применять как в Power BI Desktop, так и в службе Power BI, что позволяет защитить конфиденциальные данные с момента начала разработки содержимого до момента доступа из Excel через динамическое подключение. Метки конфиденциальности сохраняются при перемещении содержимого между рабочим столом и службой в виде PBIX-файлов.

В службе Power BI метки конфиденциальности можно применять к семантической модели, отчетам, панелям мониторинга и потокам данных. Если помеченные данные покидают Power BI, либо через экспорт в Excel, PowerPoint, PDF-файлы или PBIX-файлы, либо через другие поддерживаемые сценарии экспорта, такие как анализ в Excel или сводные таблицы динамического подключения в Excel, Power BI автоматически применяет метку к экспортируемому файлу и защищает его в соответствии с параметрами шифрования файлов метки. Таким образом конфиденциальные данные могут оставаться защищенными, даже если они покидают Power BI.

Кроме того, метки конфиденциальности можно применять к PBIX-файлам в Power BI Desktop, чтобы ваши данные и содержимое были безопасными при совместном использовании за пределами Power BI (например, чтобы только пользователи в вашей организации могли открывать конфиденциальные PBIX, которые были общими или присоединенными в электронной почте), даже до публикации в службе Power BI. Дополнительные сведения см. в статье "Ограничение доступа к содержимому с помощью меток конфиденциальности" для применения шифрования .

Метки конфиденциальности для отчетов, панелей мониторинга, семантических моделей и потоков данных видны во многих местах в службе Power BI. Метки конфиденциальности на отчетах и панелях мониторинга также отображаются в мобильных приложениях Power BI для iOS и Android и во встроенных визуальных элементах. На рабочем столе в строке состояния отображается метка конфиденциальности.

Отчет о метриках защиты , доступный на портале администрирования Power BI, предоставляет администраторам Power BI полную видимость конфиденциальных данных в клиенте Power BI. Кроме того, журналы аудита Power BI включают сведения о метках конфиденциальности о таких действиях, как применение, удаление и изменение меток, а также о таких действиях, как просмотр отчетов, панелей мониторинга и т. д. Это дает администраторам Power BI и администраторам безопасности видимость использования конфиденциальных данных в целях мониторинга и изучения оповещений системы безопасности.

Важные замечания

В службе Power BI метка конфиденциальности не влияет на доступ к содержимому. Доступ к содержимому в службе управляется только разрешениями Power BI. Хотя метки видны, все связанные параметры шифрования (настроенные на портале Microsoft Purview) не применяются. Они применяются только к данным, которые покидают службу через поддерживаемый путь экспорта, например экспорт в Excel, PowerPoint или PDF, и скачивание в PBIX.

В Power BI Desktop метки конфиденциальности с параметрами шифрования влияют на доступ к содержимому. Если у пользователя нет достаточных разрешений в соответствии с параметрами шифрования метки конфиденциальности в PBIX-файле, он не сможет открыть файл. Кроме того, в версии для настольных компьютеров при сохранении работы все добавленные метки конфиденциальности и связанные с ними параметры шифрования будут применены к сохранённому файлу .pbix.

Метки конфиденциальности и шифрование файлов не применяются в не поддерживаемых путях экспорта. Администратор Power BI может блокировать экспорт из не поддерживаемых путей экспорта.

Поддерживаемые пути экспорта

Применение меток конфиденциальности и их связанной защиты к данным, которые покидают службу Power BI, в настоящее время поддерживаются для следующих путей экспорта:

• Экспорт в Excel, PDF-файлы и PowerPoint.

  Замечание

  Для экспорта PowerPoint метки конфиденциальности применяются только при использовании параметра "Экспорт в качестве образа ". Параметр "Встраивание в данные в реальном времени" (история) не поддерживает применение меток чувствительности.

• Анализируйте в Excel из службы Power BI, которая активирует скачивание файла Excel с динамическим подключением к семантической модели Power BI.

• Сводная таблица в Excel с динамическим подключением к семантической модели Power BI для пользователей с Microsoft 365 E3 и более поздних версий.

• Скачивание в PBIX (служба)

Как работают метки конфиденциальности в Power BI

При применении метки конфиденциальности к содержимому и файлам Power BI она действует как тег для этого ресурса и даёт следующие преимущества:

• Настраиваемый вариант — вы можете создавать категории для различных уровней конфиденциального содержимого в вашей организации, таких как персональный, общедоступный, общий, конфиденциальный и строго конфиденциальный.
• Очистить текст . Так как метка находится в четком тексте, пользователи легко понять, как обрабатывать содержимое в соответствии с рекомендациями метки конфиденциальности.
• Постоянный — после применения метки конфиденциальности к содержимому, она сопровождает это содержимое при экспорте в файлы Excel, PowerPoint и PDF, скаченные в файлы .pbix, или сохраненные (в классическом приложении) и становится основой для применения и соблюдения политик.

Ниже приведен краткий пример работы меток конфиденциальности в Power BI. На рисунке ниже показано, как метка конфиденциальности применяется к отчету в службе Power BI, а затем как данные из отчета экспортируются в файл Excel и, наконец, как метка конфиденциальности и ее защита сохраняются в экспортируемом файле.

Метки конфиденциальности, применяемые к содержимому, сохраняются и перемещаются вместе с содержимым по мере его использования и совместного использования в Power BI. С помощью меток можно создавать отчеты об использовании и просматривать данные о действиях для конфиденциального содержимого.

Метки конфиденциальности в Power BI Desktop

Метки конфиденциальности также можно применять в Power BI Desktop. Это позволяет защитить данные с момента начала разработки содержимого. При сохранении работы на рабочем столе примененная метка конфиденциальности вместе с любыми связанными параметрами шифрования применяется к полученному PBIX-файлу. Если метка имеет параметры шифрования, файл защищен везде, куда бы он ни направлялся и как бы ни передавался. Открыть его смогут только пользователи с необходимыми разрешениями RMS .

При применении метки конфиденциальности на рабочем столе, при публикации вашей работы в службе или при загрузке файла .pbix этой работы в службу, метка перемещается вместе с данными в службу. В службе метка будет применена как к семантической модели, так и к отчету, который вы получаете с файлом. Если семантическая модель и отчет уже имеют метки конфиденциальности, вы можете сохранить эти метки или перезаписать их меткой, поступающей из Desktop.

Если вы отправляете PBIX-файл, который никогда не был опубликован в службе раньше, и он имеет то же имя, что и отчет или семантическая модель, которая уже существует в службе, отправка будет выполнена успешно, только если у отправителя есть разрешения RMS, необходимые для изменения метки.

То же самое верно и в обратном направлении — когда вы скачиваете файл .pbix из службы, а затем загружаете его в Power BI Desktop, метка из службы будет применена к скачанному файлу .pbix и загружена в Desktop. Если отчет и семантическая модель в службе имеют разные метки, то к скачанному PBIX-файлу будет применено более строгое из двух.

При применении метки на рабочем столе она отображается в строке состояния.

Узнайте, как применять метки конфиденциальности к содержимому и файлам Power BI.

Наследование меток конфиденциальности при создании нового содержимого

Когда новые отчеты и панели мониторинга создаются в службе Power BI, они автоматически наследуют метку конфиденциальности, ранее примененную к родительской семантической модели или отчету. Например, новый отчет, созданный на основе семантической модели с меткой «Строго конфиденциально», автоматически получит метку «Строго конфиденциально».

На следующем рисунке показано, как метка конфиденциальности семантической модели автоматически применяется к новому отчету, созданному на основе семантической модели.

Наследование меток конфиденциальности из источников данных

Семантические модели Power BI, которые подключаются к данным с метками конфиденциальности в поддерживаемых источниках данных, могут наследовать эти метки, чтобы данные остаются классифицированными и безопасными при вводе в Power BI. В настоящее время поддерживаются Azure Synapse Analytics (прежнее название — хранилище данных SQL) и База данных SQL Azure. Ознакомьтесь с наследованием меток конфиденциальности из источников данных , чтобы узнать, как работает наследование из источников данных и как включить его для вашей организации.

Наследование метки конфиденциальности по потоку данных

Если метка конфиденциальности применяется к семантической модели или отчету в службе Power BI, метка может распространяться вниз и автоматически применяться к содержимому, построенному из этой семантической модели или отчета. Эта возможность называется последующим наследованием.

Наследование по нисходящей является критическим звеном в комплексном решении защиты информации Power BI. Вместе с наследованием из источников данных, наследованием при создании нового содержимого, наследованием при экспорте в файл и другими возможностями применения меток конфиденциальности, наследование в последующем помогает обеспечить защиту конфиденциальных данных в процессе использования Power BI, от источника данных до конечного потребления.

Дополнительные сведения о нисходящем наследовании

Политики защиты от потери данных (DLP)

Power BI использует защиту от потери данных Microsoft 365, чтобы центральные группы безопасности могли использовать политики защиты от потери данных для применения политик защиты от потери данных в Power BI. Дополнительные сведения см. в политиках защиты от потери данных для Fabric и Power BI .

Политика меток по умолчанию

Чтобы обеспечить комплексную защиту конфиденциальных данных и управление ими, организации могут создавать политики меток по умолчанию для Power BI, которые автоматически применяют метки конфиденциальности по умолчанию к неназначимому содержимому. Политики меток по умолчанию поддерживаются как в Power BI Desktop, так и в службе Power BI. Дополнительные сведения см. в разделе "Политика меток по умолчанию".

Обязательная политика меток

Чтобы обеспечить комплексную защиту конфиденциальных данных и управление ими, организации могут требовать от пользователей применять метки к конфиденциальному содержимому Power BI. Такая политика называется обязательной политикой меток. Дополнительные сведения см. в разделе "Политика обязательных меток" для Power BI.

API администрирования для установки и удаления меток программным способом

Для соответствия требованиям организации часто требуют классификации и маркировки всех конфиденциальных данных в Power BI. Эта задача может быть сложной для клиентов, имеющих большие объемы данных в Power BI. Чтобы упростить задачу и сделать её более эффективной, в Power BI есть администраторские REST API, которые администраторы могут использовать для установки и удаления меток конфиденциальности для большого количества артефактов Power BI программным способом. См. следующие разделы:

• Администратор — InformationProtection SetLabelsAsAdmin
• Администратор — InformationProtection RemoveLabelsAsAdmin

Аудит действий на метках конфиденциальности

Всякий раз, когда метка конфиденциальности в семантической модели, отчете, панели мониторинга или потоке данных применяется, изменяется или удаляется, это действие записывается в журнале аудита Для Power BI. Эти действия можно отслеживать в едином журнале аудита или в журнале действий Power BI. Подробные сведения см. в схеме аудита меток конфиденциальности в Power BI .

Метки конфиденциальности и защита от экспортированных данных

При экспорте данных из Power BI в Excel, PDF-файлы или файлы PowerPoint Power BI автоматически применяет метку конфиденциальности для экспортированного файла и защищает ее в соответствии с параметрами шифрования файлов метки. Таким образом конфиденциальные данные остаются защищенными независимо от того, где он находится.

Пользователь, экспортирующий файл из Power BI, имеет разрешения на доступ и изменение этого файла в соответствии с параметрами метки конфиденциальности; однако они не получают разрешения владельца на файл.

Метки конфиденциальности и защита не применяются при экспорте данных в .csv, файлы или любой другой неподдерживаемый путь экспорта.

Применение метки конфиденциальности и защиты к экспортируемом файлу не добавляет маркировку содержимого в файл. Однако если метка настроена для применения маркировки содержимого, метки автоматически применяются клиентом унифицированных меток Azure Information Protection при открытии файла в классических приложениях Office. Метки содержимого не применяются автоматически при использовании встроенной функции метки для настольных, мобильных или веб-приложений. Дополнительные сведения см. в статье о применении маркировки и шифрования содержимого в приложениях Office .

Экспорт завершается ошибкой, если метка не может быть применена при экспорте данных в файл. Чтобы проверить, не завершился ли экспорт из-за невозможности применения метки, выберите имя отчета или панели мониторинга в центре заголовка и проверьте, отображается ли сообщение "Метка чувствительности не может быть загружена" в раскрывающемся списке сведений. Это может произойти в результате временной проблемы системы или если примененная метка была не опубликована или удалена администратором безопасности.

Наследование ярлыков конфиденциальности в Анализе в Excel

При создании сводной таблицы в Excel с динамическим подключением к семантической модели Power BI (это можно сделать из Power BI с помощью анализа в Excel или из Excel), метка конфиденциальности семантической модели наследуется и применяется к файлу Excel вместе с любой связанной защитой. Если метка в семантической модели позже изменится на более ограничивающую, метка, примененная к связанному файлу Excel, будет автоматически обновляться при обновлении данных.

Метки чувствительности в Excel, которые были установлены вручную, не перезаписываются меткой чувствительности семантической модели. Вместо этого баннер уведомляет вас о том, что семантическая модель имеет метку конфиденциальности и рекомендует применить ее.

Устойчивость меток конфиденциальности в встроенных отчетах и панелях управления

Вы можете внедрить отчеты, панели мониторинга и визуальные элементы Power BI в бизнес-приложения, такие как Microsoft Teams и SharePoint, или на веб-сайте организации. При внедрении визуального элемента, отчета или панели мониторинга с меткой конфиденциальности, примененной к ней, метка конфиденциальности будет отображаться в внедренном представлении, а метка и ее защита будет сохраняться при экспорте данных в Excel.

Поддерживаются следующие сценарии внедрения:

• Внедрение для организации
• Приложения Microsoft 365 (например, Teams и SharePoint)
• Внедрение безопасного URL-адреса (внедрение из службы Power BI)

Метки конфиденциальности в отчетах с разбивкой на страницы

Метки конфиденциальности можно использовать для отчетов с разбивкой на страницы, размещенных в службе Power BI. После отправки отчета с разбивкой на страницы в службу вы применяете метку к отчету так же, как и к обычному отчету Power BI. Подробные сведения см. в разделе поддержки меток конфиденциальности для отчетов с разбивкой на страницы .

Метки чувствительности в конвейерах развертывания

Метки конфиденциальности поддерживаются в конвейерах развертывания. См. документацию по конвейеру развертывания, чтобы узнать подробности о том, как обрабатываются метки конфиденциальности при переносе содержимого с одного этапа на другой.

Метки конфиденциальности в мобильных приложениях Power BI

Метки конфиденциальности можно просматривать на отчетах и панелях мониторинга в мобильных приложениях Power BI. Значок рядом с именем отчета или панели мониторинга указывает, что он имеет метку конфиденциальности, а также тип метки и его описание можно найти в поле сведений отчета или панели мониторинга.

Принудительное применение изменений меток

Power BI ограничивает разрешение на изменение или удаление меток конфиденциальности из Purview Information Protection с параметрами шифрования файлов только авторизованным пользователям. См. Принудительное изменение меток конфиденциальности для получения дополнительных сведений.

Поддерживаемые облака

Метки конфиденциальности поддерживаются для клиентов в глобальных (общедоступных) облаках и следующих национальных и региональных облаках:

• Правительство США: GCC, GCC High, DoD
• Китай

Метки конфиденциальности в настоящее время не поддерживаются в других национальных или региональных облаках.

Лицензирование и требования

См. сведения о лицензировании и требованиях.

Создание меток чувствительности и управление ими

Метки конфиденциальности создаются и управляются на портале Microsoft Purview.

Чтобы получить доступ к меткам конфиденциальности в любом из этих центров, перейдите к Классификация, Метки конфиденциальности>. Эти метки конфиденциальности можно использовать несколькими службами Майкрософт, такими как Azure Information Protection, приложения Office и службы Office 365.

Настраиваемая ссылка справки

Чтобы помочь пользователям понять значение ваших меток конфиденциальности или как ими пользоваться, можно указать URL-адрес Узнать больше, который появляется в нижней части меню меток конфиденциальности при их применении.

Дополнительные сведения см. по ссылке пользовательской справки для меток конфиденциальности .

Соображения и ограничения

General

• Power BI не поддерживает метки конфиденциальности следующих типов:
  • Не пересылать
  • Определяемый пользователем, где пользователи могут назначать разрешения при применении метки конфиденциальности к содержимому вручную.
  • HYOK (держи свой ключ при себе)

Не пересылай и Определяемые пользователем типы относятся к меткам, определенным на портале Microsoft Purview.

• Не используйте родительские метки. Родительская метка — это метка, у которой есть подметки. Нельзя применять родительские метки, но метка, которая уже используется, может стать родительской меткой, если она получает подметки. Если вы столкнулись с элементом с родительской меткой, примените соответствующую вложенную метку. Чтобы изменить родительскую метку, необходимо иметь достаточные права на использование метки.

  Если у элемента есть родительская метка, обратите внимание на следующее поведение:

  • Родительские метки не наследуются.
  • Политики обязательных меток не будут применяться к элементам с родительской меткой. Это означает, что пользователям не потребуется присваивать значимую метку для сохранения элемента, и элемент сможет обойти политики обязательного присвоения меток, предназначенные для обеспечения полной соответствия.
  • Если вы пытаетесь экспортировать данные из элемента с родительской меткой, экспорт завершится ошибкой.
  • Можно опубликовать .pbix файл с родительской меткой, но если родительская метка защищена, публикация завершится ошибкой. Решение заключается в применении подходящей подметки.

• Метки конфиденциальности данных не поддерживаются для приложений-шаблонов. Метки конфиденциальности, установленные создателем приложения-шаблона, удаляются при извлечении и установке приложения, а метки конфиденциальности, добавленные в артефакты в установленном приложении-шаблоне потребителем приложения, теряются (сбрасываются до ничего) при обновлении приложения.

• В службе Power BI, если семантическая модель имеет метку, удаленную из центра администрирования меток, вы не сможете экспортировать или скачать данные. При анализе в Excel будет выдано предупреждение, и данные будут экспортированы в ODC-файл без метки конфиденциальности.

• Получение данных и сценариев обновления из зашифрованных файлов Excel (.xlsx) поддерживается, если файл не хранится за шлюзом, в этом случае действие получения данных и обновления завершится ошибкой. Получить данные и обновить действия из файла Excel, который хранится за шлюзом и имеет незащищенную метку конфиденциальности, удастся успешно, но метка конфиденциальности не будет наследоваться. Дополнительные сведения см. в разделе наследование меток конфиденциальности от источников данных.

• Защита информации в Power BI не поддерживает сценарии B2B и нескольких клиентов.

Служба Power BI

• Метки конфиденциальности можно применять только на панелях мониторинга, отчетах, семантических моделях, потоках данных и отчетах с разбивкой на страницы. В настоящее время они недоступны для рабочих книг.

• Метки конфиденциальности в ресурсах Power BI отображаются в списке рабочих областей, происхождении, избранном, последних и представлениях приложений; Метки в настоящее время не отображаются в представлении "Общий доступ ко мне". Обратите внимание, что метка, примененная к ресурсу Power BI, даже если она не видна, всегда будет сохраняться на экспортируемых данных в файлы Excel, PowerPoint, PDF и PBIX.

• Импорт PBIX-файлов с меткой конфиденциальности (как защищенных, так и незащищенных), хранящихся в OneDrive или SharePoint Online, а также автоматическое обновление семантической модели из таких файлов, поддерживается, за исключением следующих сценариев:

  • Защищенные прямо подключенные файлы .pbix и защищенные файлы .pbix Служб анализа Azure. Обновление экрана завершится ошибкой. Ни содержимое отчета, ни метка не будут обновлены.
  • Отмеченные как незащищенные файлы Live Connect .pbix: содержимое отчета будет обновлено, но метка не изменится.
  • Когда к PBIX-файлу была применена новая метка конфиденциальности, которой владелец семантической модели не имеет доступа. В этом случае обновление не удастся. Ни содержимое отчета, ни метка не будут обновлены.
  • Если истек срок действия токена доступа владельца семантической модели для OneDrive или SharePoint. В этом случае обновление не удастся. Ни содержимое отчета, ни метка не будут обновлены.

настольная версия Power BI

• Прямая публикация защищенного PBIX-файла из Power BI Desktop в служба Power BI не поддерживается для гостевых пользователей, даже если у них есть разрешения на более высокий уровень. Чтобы обновить или опубликовать отчеты из защищенного PBIX-файла, гостевые пользователи должны начать работу с сервиса Power BI, например, получив данные.

• Power BI Desktop для сервера отчетов Power BI не поддерживает защиту информации. Если вы попытаетесь открыть защищенный PBIX-файл, файл не откроется, и вы получите сообщение об ошибке. PBIX-файлы с меткой конфиденциальности, которые не шифруются, могут быть открыты как обычные.

• Пользователи с бесплатной лицензией не могут открывать защищенные PBIX-файлы.

• Чтобы открыть защищенный PBIX-файл, пользователь с соответствующей лицензией также должен иметь полный контроль и /или экспортировать права на использование соответствующей метки. Дополнительные сведения см. в разделе "Дополнительные сведения".

  Пользователь, задающий метку, получает полный контроль и никогда не может быть заблокирован, если только не произойдет сбой подключения или неудача в проверке подлинности.

  В редких случаях может произойти, что у пользователя нет необходимых прав на использование соответствующей метки, кроме пользователя, задающего метку. Затем, если один пользователь покидает организацию или изменяет псевдонимы в организации, все доступ к PBIX-файлу будет потерян. Решением для восстановления доступа к файлу в таких случаях является изменение или удаление метки конфиденциальности в файле с помощью API администрирования метокконфиденциальности/ Обратитесь к администратору Power BI за помощью (только администраторы могут запускать API администрирования).

• Параметр "Опубликовать" или "Получить данные" защищенного PBIX-файла требует, чтобы метка в PBIX-файле была включена в политику меток пользователя. Если метка не находится в политике меток пользователя, действие публикации или получения данных завершится ошибкой.

• Power BI поддерживает публикацию или импорт PBIX-файла с незащищенной меткой конфиденциальности для службы с помощью API, работающих под субъектом-службой. Публикация или импорт PBIX-файла с защищенной меткой конфиденциальности в службу через API, запущенные под субъектом-службой, не поддерживается и завершится ошибкой. Чтобы смягчить, пользователи могут удалить метку, а затем опубликовать с помощью служебных учётных записей.

• Пользователи Power BI Desktop могут столкнуться с проблемами с сохранением работы при потере подключения к Интернету, например после выхода в автономный режим. При отсутствии подключения к Интернету некоторые действия, связанные с метками конфиденциальности и управлением правами, могут завершиться неправильно. В таких случаях рекомендуется вернуться в интернет и повторить попытку сохранения.

• Как правило, при защите файла с меткой конфиденциальности, которая применяет шифрование, рекомендуется использовать другой метод шифрования, например шифрование файлов страниц, шифрование NTFS, экземпляры BitLocker, антивредоносное ПО и т. д.

• Временные файлы не шифруются.

• Экспорт в PDF в Desktop поддерживает метки конфиденциальности как функцию проверки, которая включена по умолчанию. Чтобы отключить функцию предварительного просмотра, перейдите в раздел "Параметры файла > " и " > Параметры > предварительной версии" и снимите флажок "Включить настройку метки конфиденциальности" для экспортированного PDF-файла. Если вы отключите функцию предварительной версии, при экспорте файла с меткой конфиденциальности в PDF-файл не будет получена метка, а защита не будет применена.

• Экспорт отчета с защищенной меткой конфиденциальности из службы Power BI в PBIX-файл может завершиться ошибкой, если размер PBIX-файла начинает превышать 6 ГБ.

• При перезаписи помеченной семантической модели или отчета в службе файлом .pbix без меток, метки в службе будут сохранены.

Связанный контент

В этой статье представлен обзор защиты данных в Power BI. В следующих статьях содержатся дополнительные сведения о защите данных в Power BI.

• Включение меток конфиденциальности в Power BI
• Применение меток конфиденциальности в Power BI
• Использование элементов управления Microsoft Defender для облачных приложений в Power BI
• Отчет о метриках защиты
• Планирование реализации Power BI: защита информации для Power BI