Защита информации в Microsoft Fabric
Защита информации в Fabric и Power BI позволяет организациям классифицировать и защищать конфиденциальные данные с помощью меток конфиденциальности и политик от Microsoft Purview Information Protection. Кроме того, Fabric и Power BI предоставляют дополнительные возможности, помогающие организациям достичь максимального охвата меток конфиденциальности, а также управлять конфиденциальными данными и управлять ими.
В этой статье описаны возможности защиты информации Fabric и Power BI . Дополнительные сведения о текущей поддержке можно найти в разделе соображений и ограничений .
Требования
соответствующая лицензия для Microsoft Purview Information Protection.
Примечание.
Если в организации используются метки конфиденциальности Azure Information Protection, их необходимо перенести на платформу унифицированных меток Microsoft Purview Information Protection, чтобы они использовались в Fabric. Узнайте больше о переносе меток конфиденциальности.
Чтобы иметь возможность применять метки к элементам Power BI, пользователь должен иметь лицензию Power BI Pro или Premium на пользователя (PPU) в дополнение к лицензиям, необходимым для Microsoft Purview Information Protection.
Приложения Office имеют собственные требования к лицензированию для просмотра и применения меток конфиденциальности.
Прежде чем включить метки конфиденциальности для клиента, убедитесь, что метки конфиденциальности уже были определены и опубликованы для соответствующих пользователей и групп. Дополнительные сведения см. в статье Создание и настройка меток конфиденциальности и их политик.
Клиенты в Китае должны включить управление правами для клиента и добавить принцип службы синхронизации Microsoft Purview Information Protection, как описано в шагах 1 и 2 в разделе Настройка Azure Information Protection для клиентов в Китае.
Для использования меток конфиденциальности в Power BI Desktop требуется выпуск Desktop от декабря 2020 года или более поздний.
Примечание.
Если вы попытаетесь открыть защищенный .pbix файл с версией Desktop ранее декабря 2020 года, произойдет ошибка, и вам будет предложено обновить версию Desktop.
Управление доступом
Метки конфиденциальности могут применять управление доступом к данным Fabric и Power BI в следующих случаях:
В арендаторе, где были применены метки конфиденциальности. В этом сценарии используются метки конфиденциальности, связанные с политиками защиты Microsoft Purview. Когда пользователь, вошедший в клиент Fabric, где были применены метки, пытается получить доступ к элементу с меткой, ассоциированной с политикой защиты, их доступ контролируется этой политикой защиты. Дополнительную информацию см. в разделе правила защиты в Microsoft Fabric (предварительная версия).
В файлах Power BI Desktop (.pbix) В этом сценарии используются метки конфиденциальности, ассоциирующиеся с политиками публикации Microsoft Purview. Когда пользователь пытается открыть PBIX-файл с меткой конфиденциальности, связанной с политикой публикации, доступ зависит от разрешений, имеющихся в этой политике. См. раздел Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.
В поддерживаемые пути экспорта. В этом сценарии используются метки конфиденциальности, ассоциирующиеся с политиками публикации Microsoft Purview. Когда пользователь пытается открыть файл, созданный с помощью одного из поддерживаемых путей экспорта, доступ зависит от разрешений, которые у них есть в этой политике. См. раздел Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.
Важный
Управление доступом во всех других сценариях не поддерживается. К ним относятся сценарии между клиентами, такие как внешний общий доступ к данным, где доступ к данным осуществляется из другого клиента или других путей экспорта, таких как экспорт в файлы .csv или файлы .txt.
Поддерживаемые пути экспорта
Метки конфиденциальности и элементы управления доступом, которые они применяют (если они связаны с политикой публикации Microsoft Purview), сохраняются с данными и содержимым, которые выходят из Fabric и Power BI через следующие пути экспорта:
Экспорт в Excel, PDF-файлы и PowerPoint.
Функция 'Анализ в Excel' из Fabric запускает скачивание файла Excel с живым подключением к семантической модели Power BI.
Сводная таблица в Excel с динамическим подключением к семантической модели Power BI для пользователей с Microsoft 365 E3 и более поздних версий.
Скачайте файл Power BI Desktop (PBIX) из Fabric.
Возможности
В следующей таблице приведены возможности защиты информации в Fabric, которые помогают достичь максимального охвата конфиденциальной информации в организации. Поддержка Структуры указывается в третьем столбце. Дополнительные сведения см. в разделах, посвященных рекомендациям и ограничениям .
| Возможность | Сценарий | Состояние поддержки |
|---|---|---|
| Метка вручную | Пользователи могут вручную применять конфиденциальные метки к элементам Fabric | Поддерживается для всех элементов Fabric. |
| Маркировка по умолчанию | Если элемент создается или редактируется, он получает метку конфиденциальности по умолчанию, если метка не применяется с помощью других средств. | Поддерживается для всех элементов Fabric с ограничениями. |
| Обязательная маркировка | Пользователи не могут сохранять элементы, если к элементу не применяется метка конфиденциальности. Это означает, что они не могут удалить метку. | В настоящее время полностью поддерживается только для элементов Power BI. Поддерживается для некоторых элементов, отличных от Power BI Fabric, с ограничениями. |
| Программная маркировка | Метки конфиденциальности можно добавлять, изменять или удалять программным способом с помощью REST API администратора Power BI. | Поддерживается для всех элементов Fabric. |
| Наследование нижестоящего потока | Когда метка конфиденциальности применяется к элементу, метка распространяется вниз ко всем зависимым элементам. | Поддерживается для всех элементов Fabric с ограничениями. |
| Наследование при создании | При создании нового элемента из существующего элемента новый элемент наследует метку существующего элемента. | Поддерживается для всех элементов Power BI Fabric. Поддерживается для некоторых элементов, отличных от Power BI Fabric, как описано в рекомендациях и ограничениях. |
| Наследование от источников данных | При приеме данных из источника данных с меткой конфиденциальности элемент Fabric применяется к элементу Fabric. Затем метка распространяется вниз на дочерние элементы этого элемента Fabric с помощью подчиненного наследования. | Сейчас поддерживается только для семантических моделей Power BI. |
| Экспорт (Export) | Когда пользователь экспортирует данные из элемента с меткой конфиденциальности, метка конфиденциальности перемещается вместе с ней в экспортируемый формат. | В настоящее время поддерживается для элементов Power BI в поддерживаемых путях экспорта. |
Рекомендации и ограничения
Метка вручную
Если включить метки конфиденциальности в клиенте, укажите, какие пользователи могут применять метки конфиденциальности. В то время как другие возможности защиты информации, описанные в этой статье, могут гарантировать, что большинство элементов получают метки без необходимости вручную применять метку, ручная маркировка позволяет пользователям изменять метки на элементах. Дополнительные сведения о том, как вручную применять метки конфиденциальности к элементам Fabric, см. в разделе "Применение меток конфиденциальности".
Примечание.
Чтобы пользователь мог применять метки конфиденциальности к элементам Fabric, достаточно только включить пользователя в список указанных пользователей. Метка конфиденциальности также должна быть опубликована пользователю в рамках определений политик метки в Центре соответствия требованиям Microsoft Purview. Для получения дополнительной информации см. Создание и настройка меток конфиденциальности и их политик.
Маркировка по умолчанию
Метки по умолчанию полностью поддерживаются в Power BI и описаны в политике меток по умолчанию для Power BI. В Fabric существуют некоторые ограничения.
При создании элемента, отличного от Power BI Fabric, если имеется четкое диалоговое окно, основное диалоговое окно, метка конфиденциальности по умолчанию будет применена к элементу, если пользователь не выбирает метку. Если элемент создается в процессе, в котором нет четкого диалогового окна создания, метка по умолчанию не будет применена.
Если элемент Fabric, имеющий метку, не обновляется, если элемент является элементом Power BI, изменение любого из его атрибутов приводит к применению метки по умолчанию, если пользователь не применяет метку. Если элемент является элементом, отличным от Power BI Fabric, изменяется только на определенные атрибуты, такие как имя и описание, приводит к применению метки по умолчанию. И это только в том случае, если изменения вносятся в всплывающее меню элемента. Для изменений, внесенных в интерфейс интерфейса интерфейса, метка по умолчанию в настоящее время не поддерживается.
Обязательная маркировка
Обязательные метки в настоящее время поддерживаются только для элементов Power BI. Обязательные метки не применяются, если изменения вносятся через всплывающее меню.
Для лейкхаусов, конвейеров и хранилищ данных: если включена защита информации, если обязательная метка включена и метка по умолчанию отключена, можно будет выбрать метку. Однако логика обязательной маркировки не применяется. Это означает, что пользователь может сохранить элемент без метки, если только сам интерфейс не требует установки метки.
Дополнительные сведения об обязательной маркировке см. в разделе "Политика обязательных меток" для Fabric и Power BI.
Программная маркировка
Программная метка поддерживается для всех элементов Fabric. Дополнительные сведения см. в разделе "Настройка или удаление меток конфиденциальности" с помощью API REST администратора Power BI.
Наследование нижестоящего потока
По умолчанию наследование внизу находится наследование. Она поддерживается в Fabric следующим образом:
Поддерживается:
- Элемент Power BI в элемент Power BI
- Элемент Fabric в элемент Fabric
- Элемент Fabric в элемент Power BI
Не поддерживается:
- Элемент Power BI в элемент Fabric
Автоматически созданные элементы из lakehouse или хранилища данных принимают метку конфиденциальности из родительского озера или хранилища данных. Они не наследуют метку от элементов далее вверх.
Дополнительные сведения о наследовании внизу см. в разделе "Наследование внизу" метки конфиденциальности.
Наследование при создании
Наследование при создании поддерживается для элементов Power BI Fabric и в других сценариях с элементами, отличными от Power BI, в которых один элемент создается из другого элемента:
- Конвейер, созданный из Lakehouse, наследует метку конфиденциальности Lakehouse.
- Записная книжка, созданная из Lakehouse, наследует метку конфиденциальности Lakehouse.
- Ярлык Lakehouse, созданный из Lakehouse, наследует метку конфиденциальности Lakehouse.
- Конвейер, созданный из записной книжки, наследует метку конфиденциальности записной книжки.
- Набор запросов KQL, созданный из базы данных KQL, наследует метку конфиденциальности базы данных KQL.
- Конвейер, созданный из базы данных KQL, наследует метку конфиденциальности базы данных KQL.
Дополнительные сведения о наследовании внизу см. в разделе "Наследование меток конфиденциальности" при создании нового содержимого.
Наследование от источников данных
Наследование от источников данных в настоящее время поддерживается только для семантических моделей Power BI. Дополнительные сведения см. в статье о наследовании меток конфиденциальности из источников данных.
Экспорт (Export)
Наследование меток конфиденциальности при экспорте поддерживается только для элементов Power BI в поддерживаемых путях экспорта. В настоящее время ни один из других интерфейсов Fabric не использует метод экспорта, который передает метку конфиденциальности экспортируемым выходным данным. Однако если они экспортируют элемент с меткой конфиденциальности, выдается предупреждение.
Сведения о поддерживаемых путях экспорта для элементов Power BI см. в статье "Поддерживаемые пути экспорта" в Power BI.