Protezione delle informazioni in Microsoft Fabric
La protezione delle informazioni in Infrastruttura e Power BI consente alle organizzazioni di classificare e proteggere i dati sensibili usando etichette di riservatezza e criteri di Microsoft Purview Information Protection. Inoltre, Fabric e Power BI offrono funzionalità aggiuntive per aiutare le organizzazioni a ottenere la massima copertura delle etichette di riservatezza e a gestire e gestire i dati sensibili.
Questo articolo descrive le funzionalità di protezione delle informazioni di Fabric e Power BI . Per informazioni dettagliate sul supporto corrente, vedere la sezione considerazioni e limitazioni.
Requisiti
Una licenza appropriata per Microsoft Purview Information Protection.
Nota
Se l'organizzazione usa etichette di riservatezza di Azure Information Protection, è necessario eseguirne la migrazione alla piattaforma di etichettatura unificata di Microsoft Purview Information Protection per poterle usare in Fabric. Scopri di più sulla migrazione delle etichette di riservatezza.
Per poter applicare etichette agli elementi di Power BI, un utente deve avere una licenza power BI Pro o Premium per utente (PPU) oltre alle licenze necessarie per Microsoft Purview Information Protection.
Le app di Office hanno requisiti di licenza specifici per la visualizzazione e l'applicazione di etichette di riservatezza.
Prima di abilitare le etichette di riservatezza nel tenant, assicurarsi che le etichette di riservatezza siano state definite e pubblicate per utenti e gruppi pertinenti. Per informazioni dettagliate, vedere Creare e configurare le etichette di riservatezza e i relativi criteri.
I clienti in Cina devono abilitare la gestione dei diritti per il tenant e aggiungere l'entità servizio del Servizio di Sincronizzazione di Microsoft Purview Information Protection, come descritto nei passaggi 1 e 2 in Configurare Azure Information Protection per i clienti in Cina.
L'uso delle etichette di riservatezza in Power BI Desktop richiede la versione desktop di dicembre 2020 o successiva.
Nota
Se si tenta di aprire un file con estensione pbix protetto con una versione desktop precedente a dicembre 2020, l'operazione avrà esito negativo e verrà richiesto di aggiornare la versione desktop.
Controllo di accesso
Le etichette di riservatezza possono applicare il controllo di accesso ai dati e ai contenuti di Power BI di Fabric nei casi seguenti:
Nel tenant dove sono state applicate le etichette di sensibilità. Questo scenario si basa sulle etichette di sensibilità associate ai criteri di protezione di Microsoft Purview . Quando un utente ha eseguito l'accesso al tenant di Fabric, in cui le etichette sono state applicate, tenta di accedere a un elemento associato a un criterio di protezione, il suo accesso viene controllato da tale criterio di protezione. Per altre informazioni, vedere Criteri di protezione in Microsoft Fabric (anteprima).
In Power BI Desktop (nei file .pbix). Questo scenario si basa sulle etichette di riservatezza associate alle politiche di pubblicazione di Microsoft Purview. Quando un utente tenta di aprire un file con estensione pbix con un'etichetta di riservatezza associata a un criterio di pubblicazione, l'accesso dipende dalle autorizzazioni di cui dispongono in tale criterio. Vedere Limitare l'accesso al contenuto usando le etichette di riservatezza per applicare la crittografia.
In percorsi di esportazione supportati. Questo scenario si basa sulle etichette di riservatezza associate alle politiche di pubblicazione di Microsoft Purview. Quando un utente tenta di aprire un file generato tramite uno dei percorsi di esportazione supportati, l'accesso dipende dalle autorizzazioni di cui dispone ai sensi di tale criterio. Vedere Limitare l'accesso al contenuto usando le etichette di riservatezza per applicare la crittografia.
Importante
Il controllo di accesso in tutti gli altri scenari non è supportato. Sono inclusi scenari tra tenant, ad esempio condivisione di dati esterni, in cui si accede ai dati da un altro tenant o da altri percorsi di esportazione, ad esempio l'esportazione in file .csv o .txt file.
Percorsi di esportazione supportati
Le etichette di riservatezza e il controllo di accesso che applicano (se sono associate a un criterio di pubblicazione di Microsoft Purview) rimangono con dati e contenuti che lasciano Fabric e Power BI nei percorsi di esportazione seguenti:
Esportare in Excel, file PDF e PowerPoint.
Analizzare in Excel da Fabric, che attiva il download di un file Excel tramite connessione diretta a un modello semantico di Power BI.
Tabella pivot in Excel con una connessione dinamica a un modello semantico di Power BI, per gli utenti con Microsoft 365 E3 e versioni successive.
Scaricare in un file di Power BI Desktop (con estensione pbix) da Fabric.
Capacità
La tabella seguente riepiloga le capacità di protezione delle informazioni in Fabric che consentono di ottenere la massima copertura delle informazioni sensibili nell'organizzazione. Il supporto di Fabric è indicato nella terza colonna. Per informazioni dettagliate, vedere la sezione sotto Considerazioni e limitazioni.
| Capacità | Scenario | Stato del supporto |
|---|---|---|
| Etichettatura manuale | Gli utenti possono applicare manualmente etichette sensibili agli elementi di Fabric | Supportato per tutti gli elementi di Fabric. |
| Etichettatura predefinita | Quando un elemento viene creato o modificato, ottiene un'etichetta di riservatezza predefinita, a meno che non venga applicata un'etichetta tramite altri mezzi. | Supportato per tutti gli elementi di Fabric, con limitazioni. |
| Etichettatura obbligatoria | Gli utenti non possono salvare gli elementi a meno che non venga applicata un'etichetta di riservatezza all'elemento. Ciò significa che non è possibile rimuovere un'etichetta. | Attualmente supportato completamente solo per gli elementi di Power BI. Supportato per alcuni elementi Fabric non di Power BI, con limitazioni. |
| Etichettatura programmatica | Le etichette di riservatezza possono essere aggiunte, modificate o eliminate a livello di codice tramite le API REST dell'amministratore di Power BI. | Supportato per tutti gli elementi di Fabric. |
| Ereditarietà downstream | Quando un'etichetta di riservatezza viene applicata a un elemento, l'etichetta si propaga downstream a tutti gli elementi dipendenti. | Supportato per tutti gli elementi di Fabric, con limitazioni. |
| Ereditarietà al momento della creazione | Quando si crea un nuovo elemento da un elemento esistente, il nuovo elemento eredita l'etichetta dell'elemento esistente. | Supportato per tutti gli elementi Power BI di Fabric. Supportato per alcuni elementi non Power BI di Fabric, come descritto nelle considerazioni e limitazioni. |
| Ereditarietà dalle origini dati | Quando un elemento di Fabric inserisce dati da un'origine dati con un'etichetta di riservatezza, tale etichetta viene applicata all'elemento di Fabric. L'etichetta si propaga quindi downstream agli elementi figlio dell'elemento di Fabric tramite l'ereditarietà downstream. | Attualmente supportato solo per i modelli semantici di Power BI. |
| Esportazione | Quando un utente esporta dati da un elemento con un'etichetta di riservatezza, l'etichetta di riservatezza viene spostata con esso nel formato esportato. | Attualmente supportato per gli elementi di Power BI nei percorsi di esportazione supportati. |
Considerazioni e limitazioni
Etichettatura manuale
Quando si abilitano le etichette di riservatezza nel tenant, si specifica quali utenti possono applicare le etichette di riservatezza. Anche se le altre capacità di protezione delle informazioni descritte in questo articolo possono garantire che la maggior parte degli elementi venga etichettata senza che qualcuno abbia la necessità di applicare manualmente un'etichetta, l'etichettatura manuale consente agli utenti di modificare le etichette sugli elementi. Per altre informazioni su come applicare manualmente le etichette di riservatezza agli articoli di Fabric, vedere Come applicare etichette di riservatezza.
Nota
Per consentire a un utente di applicare etichette di riservatezza agli elementi di Fabric, non è sufficiente includere l'utente nell'elenco degli utenti specificati. L'etichetta di riservatezza deve essere pubblicata anche all'utente come parte delle definizioni dei criteri delle etichette nel Centro conformità di Microsoft Purview. Per ulteriori informazioni, vedere Creare e configurare le etichette di riservatezza e i criteri.
Etichettatura predefinita
L'etichettatura predefinita è completamente supportata in Power BI ed è descritta in Criteri delle etichette predefiniti per Power BI. In Fabric ci sono alcune limitazioni.
Quando viene creato un elemento di Fabric non di Power BI, se è presente una finestra di dialogo di creazione chiara e sostanziale, l'etichetta di riservatezza predefinita verrà applicata all'elemento se l'utente non sceglie un'etichetta. Se l'elemento viene creato in un processo in cui non è presente una finestra di dialogo di creazione chiara, l'etichetta predefinita non verrà applicata.
Quando un elemento di Fabric senza etichetta viene aggiornato, se l'elemento è un elemento di Power BI, una modifica a uno dei relativi attributi determina l'applicazione dell'etichetta predefinita se l'utente non applica un'etichetta. Se l'elemento è un elemento di Fabric non di Power BI, solo le modifiche apportate a determinati attributi, ad esempio nome e descrizione, determinano l'applicazione dell'etichetta predefinita. E questo avviene solo se la modifica viene apportata nel menu a comparsa dell'elemento. Per le modifiche apportate nell'interfaccia dell'esperienza, l'etichettatura predefinita non è attualmente supportata.
Etichettatura obbligatoria
L'etichettatura obbligatoria è attualmente supportata solo per gli elementi di Power BI. L'etichettatura obbligatoria non viene applicata se le modifiche vengono apportate tramite il menu a comparsa.
Per lakehouse, pipeline e data warehouse: supponendo che la protezione delle informazioni sia abilitata, se l'etichettatura obbligatoria è attivata e l'etichettatura predefinita è disattivata, l'utente potrà selezionare un'etichetta. Tuttavia, la logica di etichettatura obbligatoria non viene applicata. Ciò significa che l'utente può salvare l'elemento senza un'etichetta, a meno che l'esperienza stessa non richieda l'impostazione di un'etichetta.
Per altre informazioni sull'etichettatura obbligatoria, vedere Criteri delle etichette obbligatorie per Fabric e Power BI.
Etichettatura programmatica
L'etichettatura programmatica è supportata per tutti gli elementi di Fabric. Per altre informazioni, vedere Impostare o rimuovere etichette di riservatezza usando le API di amministrazione REST di Power BI.
Ereditarietà downstream
L'ereditarietà downstream è attivata per impostazione predefinita. È supportata in Fabric come indicato di seguito:
Supportata:
- Da elemento di Power BI a elemento di Power BI
- Da elemento di Fabric a elemento di Fabric
- Da elemento di Fabric a elemento di Power BI
Non supportata:
- Da elemento di Power BI a elemento di Fabric
Gli elementi generati automaticamente da un lakehouse o da un data warehouse assumono l'etichetta di riservatezza dal lakehouse o dal data warehouse padre. Non ereditano l'etichetta dagli elementi più upstream.
Per altre informazioni sull'ereditarietà downstream, vedere Ereditarietà downstream dell'etichetta di riservatezza.
Ereditarietà al momento della creazione
L'ereditarietà al momento della creazione è supportata per gli elementi Fabric di Power BI e in altri scenari con elementi non di Power BI in cui viene creato un elemento da un altro elemento:
- Una pipeline creata da un Lakehouse eredita l'etichetta di riservatezza del Lakehouse.
- Un notebook creato da un Lakehouse eredita l'etichetta di riservatezza del Lakehouse.
- Un collegamento di Lakehouse creato da un Lakehouse eredita l'etichetta di riservatezza del Lakehouse.
- Una pipeline creata da un notebook eredita l'etichetta di riservatezza del notebook.
- Un set di query KQL creato da un database KQL eredita l'etichetta di riservatezza del database KQL.
- Una pipeline creata da un database KQL eredita l'etichetta di riservatezza del database KQL.
Per altre informazioni sull'ereditarietà downstream, vedere Ereditarietà delle etichette di riservatezza al momento della creazione di un nuovo contenuto.
Ereditarietà dalle origini dati
L'ereditarietà dalle origini dati è attualmente supportata solo per i modelli semantici di Power BI. Per altre informazioni, vedere Ereditarietà delle etichette di riservatezza dalle origini dati.
Esportazione
L'ereditarietà delle etichette di riservatezza al momento dell'esportazione è supportata solo per gli elementi di Power BI nei percorsi di esportazione supportati. Attualmente nessun'altra esperienza di Fabric usa un metodo di esportazione che trasferisce l'etichetta di riservatezza all'output esportato. Tuttavia, se esportano un elemento con un'etichetta di riservatezza, viene generato un avviso.
Per visualizzare i percorsi di esportazione supportati per gli elementi di Power BI, vedere Percorsi di esportazione supportati in Power BI.