Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Funktionen von Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection in Power BI beschrieben.
Informationen zum Aktivieren von Vertraulichkeitsbezeichnungen auf Ihrem Mandanten, einschließlich Lizenzierungsanforderungen und Voraussetzungen, finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Daten in Power BI.
Informationen zum Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Power BI-Inhalte und -Dateien finden Sie unter Anwenden von Vertraulichkeitsbezeichnungen in Power BI.
Geben Sie uns Ihr Feedback
Das Produktteam möchte Ihr Feedback zu den Informationsschutzfunktionen von Power BI und deren Integration in Microsoft Purview Information Protection erhalten. Helfen Sie uns, Ihre Informationsschutzanforderungen zu erfüllen! Danke!
Übersicht über Vertraulichkeitsbezeichnungen
Vertraulichkeitsbezeichnungen von Purview Information Protection bieten Ihren Benutzern eine einfache Möglichkeit, kritische Inhalte in Power BI zu klassifizieren, ohne die Produktivität oder die Fähigkeit zur Zusammenarbeit zu beeinträchtigen. Sie können sowohl in Power BI Desktop als auch im Power BI-Dienst angewendet werden, sodass Sie Ihre vertraulichen Daten ab dem Moment schützen können, in dem Sie ihre Inhalte erst entwickelt haben, bis sie über eine Liveverbindung von Excel aus aufgerufen werden. Vertraulichkeitsbezeichnungen werden beibehalten, wenn Sie Ihre Inhalte zwischen Desktop und dem Dienst in Form von PBIX-Dateien hin und her verschieben.
Im Power BI-Dienst können Vertraulichkeitsbezeichnungen auf semantische Modelle, Berichte, Dashboards und Datenflüsse angewendet werden. Wenn beschriftete Daten Power BI verlassen, entweder über den Export nach Excel-, PowerPoint-, PDF- oder .pbix-Dateien oder über andere unterstützte Exportszenarien wie "Analysieren in Excel" oder PivotTables mit Live-Verbindung in Excel, wendet Power BI das Label automatisch auf die exportierte Datei an und schützt sie entsprechend den Verschlüsselungseinstellungen des Labels. Auf diese Weise können Ihre vertraulichen Daten geschützt bleiben, auch wenn sie Power BI verlässt.
Darüber hinaus können Vertraulichkeitsbezeichnungen auf PBIX-Dateien in Power BI Desktop angewendet werden, damit Ihre Daten und Inhalte sicher sind, wenn sie außerhalb von Power BI freigegeben werden (z. B. dass nur Benutzer innerhalb Ihrer Organisation eine vertrauliche PBIX öffnen können, die in einer E-Mail freigegeben oder angefügt wurde), auch bevor sie im Power BI-Dienst veröffentlicht wurde. Weitere Details finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen, um die Verschlüsselung anzuwenden .
Vertraulichkeitsbezeichnungen für Berichte, Dashboards, semantische Modelle und Datenflüsse sind an vielen Stellen im Power BI-Dienst sichtbar. Vertraulichkeitsbezeichnungen in Berichten und Dashboards sind auch in den mobilen Power BI- und Android-Apps und in eingebetteten visuellen Elementen sichtbar. In Desktop können Sie die Vertraulichkeitsbezeichnung in der Statusleiste sehen.
Ein im Power BI-Verwaltungsportal verfügbarer Bericht zu Schutzmetriken bietet Power BI-Administratoren vollständige Sichtbarkeit über die vertraulichen Daten im Power BI-Mandanten. Darüber hinaus enthalten die Power BI-Überwachungsprotokolle Informationen zu Vertraulichkeitsbezeichnungen zu Aktivitäten wie Anwenden, Entfernen und Ändern von Bezeichnungen sowie zu Aktivitäten wie anzeigen von Berichten, Dashboards usw. Dadurch erhalten Power BI- und Sicherheitsadministratoren Einblick in den Verbrauch vertraulicher Daten für die Zwecke der Überwachung und Untersuchung von Sicherheitswarnungen.
Wichtige Überlegungen
Im Power BI-Dienst wirkt sich die Vertraulichkeitsbezeichnung nicht auf den Zugriff auf Inhalte aus. Der Zugriff auf Inhalte im Dienst wird ausschließlich von Power BI-Berechtigungen verwaltet. Während die Bezeichnungen sichtbar sind, werden alle zugehörigen Verschlüsselungseinstellungen (konfiguriert im Microsoft Purview-Portal) nicht angewendet. Sie werden nur auf Daten angewendet, die den Dienst über einen unterstützten Exportpfad verlassen, z. B. Export nach Excel, PowerPoint oder PDF und Download als .pbix-Datei.
In Power BI Desktop wirken sich Vertraulichkeitsbezeichnungen mit Verschlüsselungseinstellungen auf den Zugriff auf Inhalte aus. Wenn ein Benutzer nicht über ausreichende Berechtigungen gemäß den Verschlüsselungseinstellungen der Vertraulichkeitsbezeichnung in der PBIX-Datei verfügt, kann er die Datei nicht öffnen. Darüber hinaus werden beim Speichern Ihrer Arbeit in Desktop alle Vertraulichkeitsbezeichnungen, die Sie hinzugefügt haben, und die zugehörigen Verschlüsselungseinstellungen auf die gespeicherte PBIX-Datei angewendet.
Vertraulichkeitsbezeichnungen und Dateiverschlüsselung werden nicht in nicht unterstützten Exportpfaden angewendet. Der Power BI-Administrator kann den Export von nicht unterstützten Exportpfaden blockieren.
Hinweis
Benutzern, denen Zugriff auf einen Bericht gewährt wird, wird der Zugriff auf das gesamte zugrunde liegende Semantikmodell gewährt, es sei denn, die Sicherheit auf Zeilenebene (RLS) beschränkt ihren Zugriff. Berichtsautoren können Berichte mithilfe von Vertraulichkeitsbezeichnungen klassifizieren und bezeichnen. Wenn die Vertraulichkeitsbezeichnung Schutzeinstellungen aufweist, wendet Power BI diese Schutzeinstellungen an, wenn die Berichtsdaten Power BI über einen unterstützten Exportpfad wie Export nach Excel, PowerPoint oder PDF verlassen, auf PBIX herunterladen und speichern (Desktop). Nur autorisierte Benutzer können geschützte Dateien öffnen.
Unterstützte Exportpfade
Das Anwenden von Vertraulichkeitsbezeichnungen und den zugehörigen Schutz auf Daten, die den Power BI-Dienst verlassen, wird derzeit für die folgenden Exportpfade unterstützt:
In Excel, PDF-Dateien und PowerPoint exportieren.
Hinweis
Bei PowerPoint-Exporten werden Vertraulichkeitsbezeichnungen nur angewendet, wenn Sie die Option " Als Bild exportieren " verwenden. Die Option "In Live-Daten einbetten " (Geschichtenerzählen) unterstützt keine Anwendung für Vertraulichkeitsbezeichnungen.
Analysieren Sie in Excel aus dem Power BI-Dienst, der das Herunterladen einer Excel-Datei mit einer Liveverbindung mit einem Power BI-Semantikmodell auslöst.
PivotTable in Excel mit einer Liveverbindung zu einem Power BI-Semantikmodell für Benutzer mit Microsoft 365 E3 und höher.
Auf PBIX herunterladen (Service)
Hinweis
Wenn Sie die PBIX-Datei im Power BI-Dienst herunterladen, wenn der heruntergeladene Bericht und das semantische Modell unterschiedliche Bezeichnungen aufweisen, wird die restriktivere Bezeichnung auf die PBIX-Datei angewendet.
In Power BI Desktop ist die Unterstützung von Vertraulichkeitsbezeichnungen in "Export to PDF" standardmäßig ein Vorschau-Feature. Es ist möglich, sie zu deaktivieren. Weitere Informationen finden Sie unter Desktopüberlegungen und Einschränkungen .
Funktionsweise der Vertraulichkeitsbezeichnungen in Power BI
Wenn Sie eine Vertraulichkeitsbezeichnung auf Power BI-Inhalte und -Dateien anwenden, ähnelt es dem Anwenden eines Tags auf diese Ressource mit den folgenden Vorteilen:
- Anpassbar – Sie können Kategorien für verschiedene Ebenen vertraulicher Inhalte in Ihrer Organisation erstellen, z. B. "Persönlich", "Öffentlich", "Allgemein", "Vertraulich" und "Streng vertraulich".
- Klartext – da sich die Bezeichnung in Klartext befindet, ist es für Benutzer einfach zu verstehen, wie sie den Inhalt gemäß den Richtlinien für Vertraulichkeitsbezeichnungen behandeln.
- Persistent – nachdem eine Vertraulichkeitsbezeichnung auf Inhalte angewendet wurde, begleitet sie diesen Inhalt, wenn er in Excel-, PowerPoint- und PDF-Dateien exportiert wird, in PBIX heruntergeladen oder (in Desktop) gespeichert wurde und die Grundlage für das Anwenden und Erzwingen von Richtlinien wird.
Hier ist ein schnelles Beispiel dafür, wie Vertraulichkeitsbezeichnungen in Power BI funktionieren. Die folgende Abbildung zeigt, wie eine Vertraulichkeitsbezeichnung auf einen Bericht im Power BI-Dienst angewendet wird, wie die Daten aus dem Bericht in eine Excel-Datei exportiert werden und wie die Vertraulichkeitsbezeichnung und deren Schutz in der exportierten Datei beibehalten werden.
Die Vertraulichkeitsbezeichnungen, die Sie auf Inhalte anwenden, bleiben erhalten und wandern mit den Inhalten, wenn sie in Power BI verwendet und geteilt werden. Sie können die Bezeichnung verwenden, um Nutzungsberichte zu generieren und Aktivitätsdaten für Ihre vertraulichen Inhalte anzuzeigen.
Vertraulichkeitsbezeichnungen in Power BI Desktop
Vertraulichkeitsbezeichnungen können auch in Power BI Desktop angewendet werden. Dies ermöglicht es Ihnen, Ihre Daten ab dem Moment zu schützen, in dem Sie mit der Entwicklung Ihrer Inhalte beginnen. Wenn Sie Ihre Arbeit auf Desktop speichern, wird die angewendete Vertraulichkeitsbezeichnung zusammen mit den zugehörigen Verschlüsselungseinstellungen auf die resultierende PBIX-Datei angewendet. Wenn das Label über Verschlüsselungseinstellungen verfügt, wird die Datei überall dort geschützt, wo und wie sie übertragen wird. Nur Benutzer mit den erforderlichen RMS-Berechtigungen können sie öffnen.
Hinweis
Einige Einschränkungen können gelten. Siehe Überlegungen und Einschränkungen.
Wenn Sie eine Vertraulichkeitsbezeichnung in Desktop anwenden, wenn Sie Ihre Arbeit im Dienst veröffentlichen oder wenn Sie eine PBIX-Datei dieser Arbeit in den Dienst hochladen, wird die Bezeichnung mit den Daten in den Dienst übertragen. Im Dienst wird die Bezeichnung sowohl auf das semantische Modell als auch auf den Bericht angewendet, den Sie mit der Datei erhalten. Wenn das Semantikmodell und der Bericht bereits Vertraulichkeitsbezeichnungen haben, können Sie diese Bezeichnungen beibehalten oder mit der Bezeichnung überschreiben, die aus der Desktop-Version stammt.
Wenn Sie eine PBIX-Datei hochladen, die noch nie im Dienst veröffentlicht wurde und denselben Namen wie ein Bericht oder semantisches Modell aufweist, das bereits im Dienst vorhanden ist, wird der Upload nur erfolgreich ausgeführt, wenn der Uploader über die RMS-Berechtigungen verfügt, die zum Ändern der Bezeichnung erforderlich sind.
Das gleiche gilt auch in der entgegengesetzten Richtung: Wenn Sie im Dienst als .pbix herunterladen und dann die .pbix-Datei in Desktop laden, wird die Bezeichnung aus dem Dienst auf die heruntergeladene .pbix-Datei angewendet und von dort in Desktop geladen werden. Wenn der Bericht und das semantische Modell im Dienst unterschiedliche Bezeichnungen aufweisen, wird die restriktivere der beiden Auf die heruntergeladene PBIX-Datei angewendet.
Wenn Sie eine Bezeichnung in Desktop anwenden, wird sie in der Statusleiste angezeigt.
Erfahren Sie, wie Sie Vertraulichkeitsbezeichnungen auf Power BI-Inhalte und -Dateien anwenden.
Vererbung von Vertraulichkeitsbezeichnungen beim Erstellen von neuen Inhalten
Wenn neue Berichte und Dashboards im Power BI-Dienst erstellt werden, erben sie automatisch die Vertraulichkeitsbezeichnung, die zuvor auf das übergeordnete Semantikmodell oder -bericht angewendet wurde. Beispielsweise erhält ein neuer Bericht, der auf einem semantischen Modell mit einem "Streng vertraulich" Vertraulichkeitsetikett erstellt wurde, automatisch auch das Etikett "Streng vertraulich".
Die folgende Abbildung zeigt, wie die Vertraulichkeitsbezeichnung eines Semantikmodells automatisch auf einen neuen Bericht angewendet wird, der auf dem semantischen Modell basiert.
Hinweis
Wenn die Vertraulichkeitsbezeichnung aus irgendeinem Grund nicht auf den neuen Bericht oder das neue Dashboard angewendet werden kann, blockiert Power BI die Erstellung des neuen Elements nicht .
Vererbung von Vertraulichkeitsbezeichnungen aus Datenquellen
Power BI-Semantikmodelle, die eine Verbindung mit daten mit Vertraulichkeitsbezeichnungen in unterstützten Datenquellen herstellen, können diese Bezeichnungen erben, sodass die Daten bei der Bereitstellung in Power BI klassifiziert und sicher bleiben. Derzeit werden Azure Synapse Analytics (ehemals SQL Data Warehouse) und Azure SQL-Datenbank unterstützt. Lesen Sie die Vererbung von Vertraulichkeitsbezeichnungen aus Datenquellen , um zu erfahren, wie die Vererbung aus Datenquellen funktioniert und wie sie für Ihre Organisation aktiviert wird.
Nachgelagerte Vererbung von Vertraulichkeitsbezeichnungen
Wenn eine Vertraulichkeitsbezeichnung auf ein semantisches Modell oder einen Bericht im Power BI-Dienst angewendet wird, kann diese Bezeichnung weitergegeben und automatisch auf die Inhalte angewendet werden, die aus diesem semantischen Modell oder Bericht erstellt werden. Diese Funktion wird als nachgeschaltete Vererbung bezeichnet.
Die nachgeschaltete Vererbung ist eine wichtige Verbindung in der End-to-End-Informationsschutzlösung von Power BI. Zusammen mit der Vererbung aus Datenquellen, der Vererbung bei der Erstellung neuer Inhalte, der Vererbung beim Exportieren in die Datei und anderen Funktionen zum Anwenden von Vertraulichkeitsbezeichnungen trägt die nachgelagerte Vererbung dazu bei, dass vertrauliche Daten während der gesamten Reise durch Power BI geschützt bleiben, von der Datenquelle bis zum Verbrauchspunkt.
Weitere Informationen zur nachgelagerten Vererbung
Richtlinien zur Verhinderung von Datenverlust (DLP)
Power BI nutzt die Verhinderung von Datenverlust in Microsoft 365, um zentralen Sicherheitsteams die Verwendung von Richtlinien zur Verhinderung von Datenverlust zu ermöglichen, um die DLP-Richtlinien ihrer Organisation in Power BI durchzusetzen. Ausführliche Informationen finden Sie unter Richtlinien zur Verhinderung von Datenverlust für Fabric und Power BI .
Richtlinie für Standardbezeichnungen
Um den umfassenden Schutz und die Governance vertraulicher Daten zu gewährleisten, können Organisationen Standardbezeichnungsrichtlinien für Power BI erstellen, die standardmäßige Vertraulichkeitsbezeichnungen automatisch auf nicht bezeichnete Inhalte anwenden. Derzeit werden Standardbezeichnungsrichtlinien nur in Power BI Desktop unterstützt. Weitere Informationen finden Sie unter "Standardbezeichnungsrichtlinie".
Richtlinie für obligatorische Bezeichnungen
Um den umfassenden Schutz und die Governance vertraulicher Daten zu gewährleisten, können Organisationen Benutzer dazu auffordern, Bezeichnungen auf ihre vertraulichen Power BI-Inhalte anzuwenden. Eine solche Richtlinie wird als obligatorische Bezeichnungsrichtlinie bezeichnet. Weitere Informationen finden Sie unter "Obligatorische Bezeichnungsrichtlinie" für Power BI.
Administrator-APIs zum programmgesteuerten Festlegen und Entfernen von Bezeichnungen
Um complianceanforderungen zu erfüllen, müssen Organisationen alle vertraulichen Daten in Power BI häufig klassifizieren und bezeichnen. Diese Aufgabe kann für Mandanten mit großen Datenmengen in Power BI schwierig sein. Um die Aufgabe einfacher und effektiver zu gestalten, verfügt Power BI über Administrator-REST-APIs, mit denen Administratoren Vertraulichkeitsbezeichnungen für eine große Anzahl von Power BI-Artefakten programmgesteuert festlegen und entfernen können. Siehe hierzu:
- Administrator – InformationProtection SetLabelsAsAdmin
- Administrator – InformationProtection RemoveLabelsAsAdmin
Prüfung von Aktivitäten für Vertraulichkeitskennzeichnungen
Wenn eine Vertraulichkeitsbezeichnung für ein semantisches Modell, einen Bericht, ein Dashboard oder einen Datenfluss angewendet, geändert oder entfernt wird, wird diese Aktivität im Überwachungsprotokoll für Power BI aufgezeichnet. Sie können diese Aktivitäten im einheitlichen Überwachungsprotokoll oder im Power BI-Aktivitätsprotokoll nachverfolgen. Ausführliche Informationen finden Sie im Überwachungsschema für Vertraulichkeitsbezeichnungen in Power BI .
Vertraulichkeitsbezeichnungen und Schutz für exportierte Daten
Wenn Daten aus Power BI in Excel- oder PDF-Dateien oder PowerPoint-Dateien exportiert werden, wendet Power BI automatisch eine Vertraulichkeitsbezeichnung auf die exportierte Datei an und schützt sie entsprechend den Dateiverschlüsselungseinstellungen der Bezeichnung. Auf diese Weise bleiben Ihre vertraulichen Daten unabhängig davon geschützt, wo sie sich befinden.
Ein Benutzer, der eine Datei aus Power BI exportiert, verfügt über Berechtigungen für den Zugriff und die Bearbeitung dieser Datei gemäß den Vertraulichkeitsbezeichnungseinstellungen; sie erhalten keine Besitzerberechtigungen für die Datei.
Hinweis
Wenn Sie die PBIX-Datei im Power BI-Dienst herunterladen, wenn der heruntergeladene Bericht und das semantische Modell unterschiedliche Bezeichnungen aufweisen, wird die restriktivere Bezeichnung auf die PBIX-Datei angewendet.
Vertraulichkeitsbezeichnungen und Schutz werden nicht angewendet, wenn Daten in .csv, Dateien oder andere nicht unterstützte Exportpfade exportiert werden.
Das Anwenden einer Vertraulichkeitsbezeichnung und des Schutzes auf eine exportierte Datei fügt der Datei keine Inhaltskennzeichnung hinzu. Wenn die Bezeichnung jedoch so konfiguriert ist, dass Inhaltsmarkierungen angewendet werden, werden die Markierungen automatisch vom Azure Information Protection-Client für einheitliche Bezeichnungen angewendet, wenn die Datei in Office-Desktop-Apps geöffnet wird. Die Inhaltsmarkierungen werden nicht automatisch angewendet, wenn Sie integrierte Bezeichnungen für Desktop-, Mobile- oder Web-Apps verwenden. Weitere Details finden Sie unter "Anwenden von Inhaltskennzeichnungen und -verschlüsselungen für Office-Apps ".
Der Export schlägt fehl, wenn eine Bezeichnung nicht angewendet werden kann, wenn Daten in eine Datei exportiert werden. Um zu überprüfen, ob der Export fehlgeschlagen ist, da die Bezeichnung nicht angewendet werden konnte, wählen Sie den Bericht- oder Dashboardnamen in der Mitte der Titelleiste aus, und sehen Sie, ob in der daraufhin geöffneten Dropdownliste "Vertraulichkeitsbezeichnung kann nicht geladen werden" angezeigt wird. Dies kann aufgrund eines temporären Systemproblems auftreten oder wenn die angewendete Bezeichnung vom Sicherheitsadministrator nicht veröffentlicht oder gelöscht wurde.
Vererbung von Vertraulichkeitsbezeichnungen in "Analysieren in Excel"
Wenn Sie eine PivotTable in Excel mit einer Liveverbindung mit einem Power BI-Semantikmodell erstellen (Sie können dies entweder aus Power BI über "Analysieren in Excel " oder von Excel ausführen), wird die Vertraulichkeitsbezeichnung des Semantikmodells geerbt und auf Ihre Excel-Datei sowie alle zugehörigen Schutzmaßnahmen angewendet. Wenn sich die Bezeichnung im semantischen Modell später in eine restriktivere ändert, wird die bezeichnung, die auf die verknüpfte Excel-Datei angewendet wird, bei der Datenaktualisierung automatisch aktualisiert.
Vertraulichkeitsbezeichnungen in Excel, die manuell festgelegt wurden, werden nicht automatisch von der Vertraulichkeitsbezeichnung des Semantikmodells überschrieben. Stattdessen benachrichtigt ein Banner Sie darüber, dass das semantische Modell eine Vertraulichkeitsbezeichnung hat und empfiehlt, sie anzuwenden.
Hinweis
Wenn die Vertraulichkeitsbezeichnung des semantischen Modells weniger restriktiv als die Vertraulichkeitsbezeichnung der Excel-Datei ist, erfolgt keine Bezeichnungsvererbung oder Aktualisierung. Eine Excel-Datei erbt niemals eine weniger restriktive Vertraulichkeitsbezeichnung.
Persistenz von Vertraulichkeitsbezeichnungen in eingebetteten Berichten und Dashboards
Sie können Power BI-Berichte, Dashboards und visuelle Elemente in Geschäftsanwendungen wie Microsoft Teams und SharePoint oder auf der Website einer Organisation einbetten. Wenn Sie einen visuellen Bericht oder ein Dashboard einbetten, auf das eine Vertraulichkeitsbezeichnung angewendet wurde, wird die Vertraulichkeitsbezeichnung in der eingebetteten Ansicht angezeigt, und die Bezeichnung und deren Schutz bleiben erhalten, wenn Daten nach Excel exportiert werden.
Die folgenden Einbettungsszenarien werden unterstützt:
- Einbetten für Ihre Organisation
- Microsoft 365-Apps (z. B. Teams und SharePoint)
- Einbetten sicherer URL (Einbetten aus dem Power BI-Dienst)
Vertraulichkeitsbezeichnungen in paginierten Berichten
Vertraulichkeitsbezeichnungen können auf im Power BI-Dienst gehostete paginierte Berichte angewendet werden. Nachdem Sie einen paginierten Bericht in den Dienst hochgeladen haben, wenden Sie die Bezeichnung genauso wie auf einen regulären Power BI-Bericht auf den Bericht an. Weitere Informationen finden Sie unter Unterstützung von Sensitivitätslabels für paginierte Berichte.
Vertraulichkeitsklassifizierungen in Bereitstellungspipelines
Empfindlichkeitskennzeichnungen werden in Bereitstellungspipelines unterstützt. In der Dokumentation zur Bereitstellungspipeline finden Sie Ausführliche Informationen dazu, wie Vertraulichkeitsbezeichnungen behandelt werden, wenn Inhalte von Phase zu Phase bereitgestellt werden.
Empfindlichkeitskennzeichnungen in den mobilen Power BI-Apps
Vertraulichkeitsbezeichnungen können in Berichten und Dashboards in den mobilen Power BI-Apps angezeigt werden. Ein Symbol in der Nähe des Namens des Berichts oder Dashboards weist darauf hin, dass es über eine Vertraulichkeitsbezeichnung verfügt, und der Typ der Bezeichnung und seine Beschreibung finden Sie im Infofeld des Berichts oder Dashboards.
Erzwingen von Etikettenänderungen
Power BI schränkt die Berechtigung zum Ändern oder Entfernen von Vertraulichkeitsbezeichnungen aus Purview Information Protection, die Dateiverschlüsselungseinstellungen haben, auf autorisierte Benutzer ein. Details finden Sie unter Durchsetzung von Vertraulichkeitskennzeichnungen .
Unterstützte Clouds
Vertraulichkeitsbezeichnungen werden für Mandanten in globalen (öffentlichen) Clouds und den folgenden nationalen/regionalen Clouds unterstützt:
- US Government: GCC, GCC High, DoD
- China
Vertraulichkeitsbezeichnungen werden derzeit in anderen nationalen/regionalen Clouds nicht unterstützt.
Lizenzierung und Anforderungen
Siehe Lizenzierung und Anforderungen.
Erstellung und Verwaltung von Sensitivitätsbezeichnungen
Vertraulichkeitsbezeichnungen werden im Microsoft Purview-Portal erstellt und verwaltet.
Um auf Vertraulichkeitsbezeichnungen in einem dieser Zentren zuzugreifen, navigieren Sie zu Klassifizierungs-Vertraulichkeitsbezeichnungen>. Diese Vertraulichkeitsbezeichnungen können von mehreren Microsoft-Diensten wie Azure Information Protection, Office-Apps und Office 365-Diensten verwendet werden.
Von Bedeutung
Wenn Ihre Organisation Vertraulichkeitsbezeichnungen von Azure Information Protection verwendet, müssen Sie sie zu einem der zuvor aufgeführten Dienste migrieren , damit die Bezeichnungen in Power BI verwendet werden können.
Benutzerdefinierter Hilfelink
Damit Ihre Benutzer verstehen können, was Ihre Vertraulichkeitsbezeichnungen bedeuten oder wie sie verwendet werden sollen, können Sie eine URL " Weitere Informationen " bereitstellen, die unten im Menü mit vertraulichkeitsbezeichnungen angezeigt wird, das angezeigt wird, wenn Sie eine Vertraulichkeitsbezeichnung anwenden.
Ausführliche Informationen finden Sie im Link "Benutzerdefinierte Hilfe" für Vertraulichkeitsbezeichnungen .
Überlegungen und Einschränkungen
Allgemein
- Power BI unterstützt keine Vertraulichkeitsbezeichnungen der folgenden Typen:
- Nicht weiterleiten
- Benutzerdefiniert, bei denen Benutzer Berechtigungen zuweisen dürfen, wenn sie eine Vertraulichkeitsbezeichnung manuell auf Inhalte anwenden.
- HYOK (Halten Sie Ihren eigenen Schlüssel)
Die Typen "Nicht weiterleiten" und benutzerdefiniert beziehen sich auf Bezeichnungen, die im Microsoft Purview-Portal definiert sind.
Verwenden Sie keine übergeordneten Bezeichnungen. Eine übergeordnete Bezeichnung ist eine Bezeichnung mit Unterbezeichnungen. Sie können keine übergeordneten Bezeichnungen anwenden, aber eine bereits angewendete Bezeichnung kann zu einer übergeordneten Bezeichnung werden, wenn sie Unterbezeichnungen erwirbt. Wenn Sie ein Element mit einer übergeordneten Bezeichnung finden, wenden Sie die entsprechende Unterbezeichnung an. Um eine übergeordnete Bezeichnung zu ändern, müssen Sie über ausreichende Nutzungsrechte für die Bezeichnung verfügen.
Wenn ein Element eine übergeordnete Beschriftung aufweist, beachten Sie folgendes Verhalten:
- Übergeordnete Bezeichnungen werden nicht geerbt.
- Obligatorische Bezeichnungsrichtlinien werden nicht auf Elemente angewendet, die über eine übergeordnete Bezeichnung verfügen. Dies bedeutet, dass Benutzer keine aussagekräftige Bezeichnung anwenden müssen, um das Element zu speichern, und das Element umgeht obligatorische Bezeichnungsrichtlinien, die für die Gesamtabdeckung vorgesehen sind.
- Wenn Sie versuchen, Daten aus einem Element mit einer übergeordneten Bezeichnung zu exportieren, schlägt der Export fehl.
- Es ist möglich, eine PBIX-Datei mit einer übergeordneten Bezeichnung zu veröffentlichen, aber wenn die übergeordnete Bezeichnung geschützt ist, schlägt die Veröffentlichung fehl. Die Lösung besteht darin, eine geeignete Unterbezeichnung anzuwenden.
Vertraulichkeitsbezeichnungen für Daten werden für Vorlagenanwendungen nicht unterstützt. Vom Ersteller der Vorlagen-App festgelegte Vertraulichkeitsbezeichnungen werden entfernt, wenn die App extrahiert und installiert wird. Vertraulichkeitsbezeichnungen, die von einem App-Nutzer in einer installierten Vorlagen-App Artefakten hinzugefügt wurden, gehen verloren (werden zurückgesetzt), wenn die App aktualisiert wird.
Wenn im Power BI-Dienst ein Semantikmodell über eine Bezeichnung verfügt, die aus dem Bezeichnungs-Admin Center gelöscht wurde, können Sie die Daten nicht exportieren oder herunterladen. In "Analysieren" in Excel wird eine Warnung ausgegeben, und die Daten werden ohne Vertraulichkeitsbezeichnung in eine ODC-Datei exportiert.
Abrufen von Daten und Aktualisierungsszenarien aus verschlüsselten Excel-Dateien (.xlsx) werden unterstützt, es sei denn, die Datei wird hinter einem Gateway gespeichert, in diesem Fall schlägt die Aktion "Daten/Aktualisierung abrufen" fehl. Rufen Sie Daten und Aktualisierungen aus einer Excel-Datei ab, die hinter einem Gateway gespeichert ist und ein unversiegeltes Vertraulichkeitskennzeichnung aufweist. Die Aktionen werden erfolgreich ausgeführt, jedoch wird die Vertraulichkeitskennzeichnung nicht geerbt. Ausführliche Informationen finden Sie zur Vererbung von Vertraulichkeitsbezeichnungen aus Datenquellen.
Der Informationsschutz in Power BI unterstützt keine B2B - und Mehrinstanzenszenarien.
Power BI-Dienst
Vertraulichkeitsbezeichnungen können nur auf Dashboards, Berichte, semantische Modelle, Datenflüsse und paginierte Berichte angewendet werden. Sie sind derzeit nicht für Arbeitsmappen verfügbar.
Vertraulichkeitsbezeichnungen für Power BI-Ressourcen sind in der Arbeitsbereichsliste, Inlineage, Favoriten, Aktuellen und Apps-Ansichten sichtbar; Bezeichnungen sind derzeit in der Ansicht "Für mich freigegeben" nicht sichtbar. Beachten Sie jedoch, dass eine Bezeichnung, die auf eine Power BI-Ressource angewendet wurde, auch wenn sie nicht sichtbar ist, immer auf Daten gespeichert werden, die in Excel-, PowerPoint-, PDF- und PBIX-Dateien exportiert wurden.
Der Import von .pbix-Dateien mit Sensitivitätskennzeichnungen (sowohl geschützt als auch ungeschützt), die auf OneDrive oder SharePoint Online gespeichert sind, sowie die Aktualisierung von semantischen Modellen auf Abruf und automatisch aus solchen Dateien wird unterstützt, mit Ausnahme der folgenden Szenarien:
- Geschützte live verbundene PBIX-Dateien und geschützte Azure Analysis Services-PBIX-Dateien . Die Aktualisierung schlägt fehl. Weder Berichtsinhalte noch Bezeichnungen werden aktualisiert.
- Nicht geschützte Live Connect-PBIX-Dateien : Berichtsinhalte werden aktualisiert, die Bezeichnung wird jedoch nicht aktualisiert.
- Wenn auf die .pbix-Datei ein neues Vertraulichkeitslabel angewendet wurde, auf das der Besitzer des semantischen Modells keine Nutzungsrechte hat. In diesem Fall schlägt die Aktualisierung fehl. Weder Berichtsinhalte noch Bezeichnungen werden aktualisiert.
- Wenn das Zugriffstoken des Semantikmodellbesitzers für OneDrive/SharePoint abgelaufen ist. In diesem Fall schlägt die Aktualisierung fehl. Weder Berichtsinhalte noch Bezeichnungen werden aktualisiert.
Power BI Desktop
Die direkte Veröffentlichung einer geschützten PBIX-Datei aus Power BI Desktop auf dem Power BI-Dienst wird für Gastbenutzer nicht unterstützt, auch wenn sie über Berechtigungen auf höherer Ebene verfügen. Um Berichte aus einer geschützten PBIX-Datei zu aktualisieren oder zu veröffentlichen, müssen Gastbenutzer mit dem Power BI-Dienst beginnen, z. B. mit "Daten abrufen".
Power BI Desktop für Power BI Report Server unterstützt keinen Informationsschutz. Wenn Sie versuchen, eine geschützte PBIX-Datei zu öffnen, wird die Datei nicht geöffnet, und Sie erhalten eine Fehlermeldung. Pbix-Dateien mit Vertraulichkeitsbezeichnungen, die nicht verschlüsselt sind, können normal geöffnet werden.
Benutzer mit einer kostenlosen Lizenz können geschützte PBIX-Dateien nicht öffnen.
Um eine geschützte PBIX-Datei zu öffnen, muss ein Benutzer mit einer entsprechenden Lizenz auch über Vollzugriffs- und/oder Exportnutzungsrechte für die entsprechende Bezeichnung verfügen. Weitere Informationen finden Sie unter
Der Benutzer, der die Bezeichnung festlegt, erhält vollzugriff und kann niemals gesperrt werden, es sei denn, die Verbindung schlägt fehl, und die Authentifizierung kann nicht stattfinden.
In seltenen Fällen kann es vorkommen, dass niemand über die erforderlichen Nutzungsrechte für die entsprechende Bezeichnung verfügt, mit Ausnahme der Person, die die Bezeichnung festgelegt hat. Wenn dann eine Person die Organisation verlässt oder Aliase innerhalb der Organisation ändert, gehen alle Zugriffe auf die PBIX-Datei verloren. Die Lösung zum Wiedererlangen des Zugriffs auf die Datei in solchen Fällen besteht darin, die Vertraulichkeitsbezeichnung auf der Datei mithilfe der Administrator-APIs für die Setzen oder Entfernen von Vertraulichkeitsbezeichnungen zu ändern oder zu entfernen. Wenden Sie sich an Ihren Power BI-Administrator, um Unterstützung zu erhalten (nur Administratoren können die Administrator-APIs ausführen).
"Veröffentlichen" oder "Abrufen von Daten" einer geschützten PBIX-Datei erfordert, dass sich die Bezeichnung in der PBIX-Datei in der Bezeichnungsrichtlinie des Benutzers befindet. Wenn die Bezeichnung nicht in der Bezeichnungsrichtlinie des Benutzers enthalten ist, schlägt die Aktion "Daten veröffentlichen" oder "Daten abrufen" fehl.
Power BI unterstützt das Veröffentlichen oder Importieren einer .pbix-Datei mit einem ungeschützten Vertraulichkeitskennzeichen in den Dienst durch APIs, die unter einem Service Principal ausgeführt werden. Das Veröffentlichen oder Importieren einer PBIX-Datei mit einer geschützten Vertraulichkeitsbezeichnung für den Dienst über APIs, die unter einem Dienstprinzipal ausgeführt werden, wird nicht unterstützt und schlägt fehl. Um das Problem zu mindern, können Benutzer das Label entfernen und dann mithilfe von Dienstkonten veröffentlichen.
Power BI Desktop-Benutzer können Probleme beim Speichern ihrer Arbeit haben, wenn die Internetverbindung verloren geht, z. B. nach dem Offlinemodus. Ohne Internetverbindung sind einige Aktionen im Zusammenhang mit Vertraulichkeitsbezeichnungen und Rechteverwaltung möglicherweise nicht ordnungsgemäß abgeschlossen. In solchen Fällen wird empfohlen, wieder online zu gehen und erneut zu speichern.
Wenn Sie eine Datei mit einer Vertraulichkeitsbezeichnung schützen, die Verschlüsselung anwendet, empfiehlt es sich, auch eine andere Verschlüsselungsmethode zu verwenden, z. B. Seitendateiverschlüsselung, NTFS-Verschlüsselung, BitLocker-Instanzen, Antischadsoftware usw.
Temporäre Dateien werden nicht verschlüsselt.
Export in PDF auf Desktop unterstützt Empfindlichkeitsbezeichnungen als Vorschaufunktion, die standardmäßig aktiviert ist. Um das Vorschaufeature zu deaktivieren, wechseln Sie zu den Features "Dateioptionen > " und "Einstellungen > " "Vorschau > ", und deaktivieren Sie die Option "Einstellung der Vertraulichkeitsbezeichnung für exportierte PDF-Dateien aktivieren". Wenn Sie das Vorschaufeature deaktivieren, wird beim Exportieren einer Datei mit einer Vertraulichkeitsbezeichnung in PDF die Bezeichnung nicht empfangen, und es wird kein Schutz angewendet.
Das Exportieren eines Berichts mit einer geschützten Vertraulichkeitsbezeichnung aus dem Power BI-Dienst in eine PBIX-Datei schlägt möglicherweise fehl, wenn die PBIX-Dateigröße beginnt, 6 GB zu überschreiten.
Wenn Sie ein beschriftetes Semantikmodell oder einen Bericht im Dienst mit einer nicht bezeichneten PBIX-Datei überschreiben, werden die Bezeichnungen im Dienst beibehalten.
Verwandte Inhalte
In diesem Artikel finden Sie eine Übersicht über den Datenschutz in Power BI. Die folgenden Artikel enthalten weitere Details zum Datenschutz in Power BI.