本文介绍 Power BI 中Microsoft Purview 信息保护中的敏感度标签的功能。
有关在租户上启用敏感度标签(包括许可要求和先决条件)的信息,请参阅 Power BI 中的“启用数据敏感度标签”。
有关如何在 Power BI 内容和文件中应用敏感度标签的信息,请参阅 如何在 Power BI 中应用敏感度标签。
向我们提供反馈
产品团队希望获得有关 Power BI 的信息保护功能的 反馈 ,以及它与 Microsoft Purview 信息保护的集成。 帮助我们满足你的信息保护需求! 谢谢!
敏感度标签概述
Purview 信息保护中的敏感度标签为用户提供了一种简单的方式来对 Power BI 中的关键内容进行分类,而不会影响工作效率或协作能力。 可以在 Power BI Desktop 和 Power BI 服务中应用它们,这样就可以保护敏感数据,从您首次开发内容开始,到后来通过实时连接从 Excel 访问时都会受到保护。 在桌面和服务之间以 .pbix 文件的形式来回移动内容时,将保留敏感度标签。
在 Power BI 服务中,敏感度标签可以应用于语义模型、报表、仪表板和数据流。 当标记的数据离开 Power BI 时,无论是通过导出到 Excel、PowerPoint、PDF 或 .pbix 文件,还是通过其他受支持的导出方案(例如在 Excel 中分析或 Excel 中的实时连接数据透视表),Power BI 会自动将该标签应用于导出的文件,并根据标签的文件加密设置对其进行保护。 这样,即使敏感数据离开 Power BI,敏感数据也能保持受保护状态。
此外,敏感度标签可以应用于 Power BI Desktop 中的 .pbix 文件,以便在数据与内容在 Power BI 外部共享时是安全的(例如,仅组织内的用户可以打开在电子邮件中共享或附加的机密 .pbix),甚至在它发布到 Power BI 服务之前也是如此。 有关更多详细信息,请参阅 使用敏感度标签来应用加密来限制对内容的访问 。
报表、仪表板、语义模型和数据流上的敏感度标签在 Power BI 服务的许多位置可见。 报表和仪表板上的敏感度标签在 Power BI iOS 和 Android 移动应用和嵌入式视觉对象中也可见。 在桌面版中,可以在状态栏中看到敏感度标签。
Power BI 管理门户中提供的 保护指标报表 使 Power BI 管理员能够全面了解 Power BI 租户中的敏感数据。 此外,Power BI 审核日志还包括有关应用、删除和更改标签等活动的敏感度标签信息,以及查看报表、仪表板等活动。这为 Power BI 和安全管理员提供了敏感数据使用情况的可见性,以便监视和调查安全警报。
重要注意事项
在 Power BI 服务中,敏感度标签 不会影响 对内容的访问。 对服务中内容的访问权限仅由 Power BI 权限管理。 虽然标签可见,但任何关联的加密设置(在 Microsoft Purview 门户中配置)都不能应用。 它们仅应用于通过受支持的导出路径离开服务的数据,例如导出到 Excel、PowerPoint 或 PDF,并下载到 .pbix。
在 Power BI Desktop 中,具有加密设置的敏感度标签 会影响 对内容的访问。 如果用户没有足够的 权限 根据 .pbix 文件中敏感度标签的加密设置,则他们将无法打开该文件。 此外,在 Desktop 中,保存工作时,添加的任何敏感度标签及其关联的加密设置都将应用于保存的 .pbix 文件。
敏感度标签和文件加密 不适用于 不支持的导出路径。 Power BI 管理员可以阻止从不支持的导出路径导出。
注释
授予报表访问权限的用户有权访问整个基础语义模型,除非 行级别安全性 (RLS) 限制其访问权限。 报表作者可以使用敏感度标签对报表进行分类和标记。 如果敏感度标签具有保护设置,则当报表数据通过支持的导出路径(如导出到 Excel、PowerPoint 或 PDF)离开 Power BI 时,Power BI 会应用这些保护设置,下载到 .pbix 和 Save (Desktop)。 只有经过授权的用户才能打开受保护的文件。
支持的导出路径
以下导出路径目前支持对离开 Power BI 服务的数据应用敏感度标签及其关联的保护:
导出到 Excel、PDF 文件和 PowerPoint。
注释
对于 PowerPoint 导出,仅当使用 “导出”作为图像 选项时,才会应用敏感度标签。 “嵌入到实时数据”选项(故事呈现)不支持敏感度标签的应用。
在 Power BI 服务中通过 Excel 进行分析,此功能将触发下载一个与 Power BI 语义模型实时连接的 Excel 文件。
适用于 Microsoft 365 E3 及以上版本用户的 Excel 数据透视表,可实时连接 Power BI 语义模型。
下载到 .pbix (服务)
注释
在 Power BI 服务中使用 下载 .pbix 时,如果下载的报表及其语义模型具有不同的标签,则会将限制性更高的标签应用于 .pbix 文件。
在 Power BI Desktop 中,导出为 PDF 时的敏感性标签支持是默认开启的预览版功能。 可以将其关闭。 有关详细信息,请参阅 桌面注意事项和限制 。
敏感度标签在 Power BI 中的工作原理
向 Power BI 内容和文件应用敏感度标签时,类似于在该资源上应用具有以下优势的标记:
- 可自定义 - 可以为组织中的不同级别的敏感内容创建类别,例如“个人”、“公共”、“常规”、“机密”和“高度机密”。
- 明文 - 由于标签采用明文形式,因此用户很容易理解如何根据敏感度标签准则处理内容。
- 持久性 - 在将敏感度标签应用于内容后,该标签会随同内容一起在导出为 Excel、PowerPoint 和 PDF 文件或下载为 .pbix 文件,或在桌面应用程序中保存时,成为应用和执行策略的基础。
下面是 Power BI 中敏感度标签的工作原理的快速示例。 下图显示了如何在 Power BI 服务中的报表上应用敏感度标签,以及如何将报表中的数据导出到 Excel 文件,最后是敏感度标签及其保护如何保留在导出的文件中。
应用于内容的敏感度标签会随内容的使用和共享在整个 Power BI 中保留和移动。 可以使用标签生成使用情况报告,并查看敏感内容的活动数据。
Power BI Desktop 中的敏感度标签
敏感度标签也可以在 Power BI Desktop 中应用。 这样,就可以在开始开发内容的那一刻保护数据。 在桌面中保存工作时,应用的敏感度标签以及任何关联的加密设置都应用于生成的 .pbix 文件。 如果标签具有加密设置,则文件将受到保护,无论文件在何处进行传输,都会受到保护。 只有具有 所需 RMS 权限 的用户才能打开它。
注释
某些限制可能适用。 请参阅 注意事项和限制。
如果在 Desktop 中应用敏感度标签、将工作发布到服务或将该工作的 .pbix 文件上传到服务时,标签会随数据一起传送到服务中。 在服务中,标签将同时应用于语义模型和随文件一起获取的报表。 如果语义模型和报表已有敏感度标签,可以选择保留这些标签,或使用来自桌面的标签覆盖这些标签。
如果上传以前从未发布到服务的 .pbix 文件,并且其名称与服务上已存在的报表或语义模型相同,则仅当上传程序具有更改标签所需的 RMS 权限时,上传才会成功。
同样,在相反的方向也是如此- 当你在服务中下载到 .pbix,然后将 .pbix 加载到桌面时,服务中的标签将应用于下载的 .pbix 文件,并从中加载到桌面。 如果服务中的报表和语义模型具有不同的标签,则两者中的限制性将应用于下载的 .pbix 文件。
在桌面中应用标签时,它将显示在状态栏中。
创建新内容时的敏感度标签继承性
在 Power BI 服务中创建新报表和仪表板时,它们会自动继承以前应用于父语义模型或报表的敏感度标签。 例如,在具有“高度机密”敏感度标签的语义模型之上创建的新报表也将自动接收“高度机密”标签。
下图显示了语义模型的敏感度标签如何在基于语义模型构建的新报表上自动应用。
注释
如果出于任何原因,无法在新报表或仪表板上应用敏感度标签,Power BI 将不会 阻止创建新项。
来自数据源的敏感度标签继承
连接到受支持数据源中敏感度标记数据的 Power BI 语义模型可以继承这些标签,以便在引入 Power BI 时数据保持机密和安全。 目前,支持 Azure Synapse Analytics(前 SQL 数据仓库)和 Azure SQL 数据库。 请参阅 来自数据源的敏感度标签继承 ,了解如何从数据源进行继承以及如何为组织启用继承。
敏感度标签的下游继承规则
当敏感度标签应用于 Power BI 服务中的语义模型或报表时,该标签可能会向下应用,并自动应用于从该语义模型或报表衍生的内容。 此功能称为下游继承。
下游继承是 Power BI 端到端信息保护解决方案中的关键链接。 结合从数据源继承、创建新内容时继承、导出到文件时继承,以及应用敏感度标签的其他功能,后续继承有助于确保敏感数据在通过 Power BI 从数据源到达消费点的整个过程中保持受保护。
数据丢失防护 (DLP) 策略
Power BI 利用 Microsoft 365 数据丢失防护,使中心安全团队能够使用数据丢失防护策略在 Power BI 中强制实施其组织的 DLP 策略。 有关详细信息 ,请参阅 Fabric 和 Power BI 的数据丢失防护策略 。
默认标签策略
为了帮助确保对敏感数据的全面保护和治理,组织可以为 Power BI 创建默认标签策略,以便自动将默认敏感度标签应用于未标记的内容。 目前,Power BI Desktop 仅支持默认标签策略。 有关详细信息,请参阅 默认标签策略。
强制标签策略
为了帮助确保对敏感数据进行全面的保护和治理,组织可以要求用户将标签应用于其敏感的 Power BI 内容。 此类策略称为强制标签策略。 有关详细信息,请参阅 Power BI 的强制标签策略。
用于以编程方式设置和删除标签的管理员 API
为了满足合规性要求,组织通常需要对 Power BI 中的所有敏感数据进行分类和标记。 对于 Power BI 中具有大量数据的租户来说,此任务可能很困难。 为了使任务更加简单高效,Power BI 具有管理员 REST API,管理员可以使用该 API 以编程方式在大量 Power BI 项目上设置和删除敏感度标签。 请参阅以下方法:
对敏感度标签活动的审核
每当在语义模型、报表、仪表板或数据流上应用敏感度标签、更改或删除该活动时,该活动都会记录在 Power BI 的审核日志中。 可以在统一审核日志或 Power BI 活动日志中跟踪这些活动。 有关详细信息 ,请参阅 Power BI 中敏感度标签的审核架构 。
导出数据的敏感度标签和保护
将数据从 Power BI 导出到 Excel、PDF 文件或 PowerPoint 文件时,Power BI 会自动对导出的文件应用敏感度标签,并根据标签的文件加密设置对其进行保护。 这样,无论敏感数据在何处,都保持受保护。
从 Power BI 导出文件的用户有权根据敏感度标签设置访问和编辑该文件;他们没有获取文件的所有者权限。
注释
在 Power BI 服务中使用 下载 .pbix 时,如果下载的报表及其语义模型具有不同的标签,则会将限制性更高的标签应用于 .pbix 文件。
将数据导出到 .csv、文件或任何其他不受支持的导出路径时,不会应用敏感度标签和保护。
将敏感度标签和保护应用于导出的文件不会向文件添加内容标记。 但是,如果标签配置为应用内容标记,则当文件在 Office 桌面应用中打开时,Azure 信息保护统一标记客户端会自动应用标记。 使用内置标签功能时,内容标记不会自动应用于桌面、移动或 Web 应用程序。 有关更多详细信息,请参阅 Office 应用何时应用内容标记和加密 。
如果在将数据导出到文件时无法应用标签,则导出失败。 若要检查导出是否因为无法应用标签而失败,请在打开的信息下拉列表中选择标题栏中心的报表或仪表板名称,并查看它是否显示“无法加载敏感度标签”。 由于临时系统问题,或者应用标签已被安全管理员取消发布或删除,则可能会出现这种情况。
在 Excel 中分析中的敏感度标签继承
在 Excel 中创建与 Power BI 语义模型有实时连接的数据透视表时(可以通过 在 Excel 中分析 或 Excel 从 Power BI 上执行此操作),语义模型的敏感度标签将被继承并应用到您的 Excel 文件,以及任何相关的保护措施。 如果语义模型中的标签后来更改为更严格的标签,则链接的 Excel 文件上应用的标签将在数据刷新时自动更新。
Excel 中手动设置的敏感度标签不会被语义模型的敏感度标签自动覆盖。 相反,横幅通知你语义模型具有敏感度标签,并建议应用它。
注释
如果语义模型的敏感度标签限制小于 Excel 文件的敏感度标签,则不会进行标签继承或更新。 Excel 文件永远不会继承限制较少的敏感度标签。
嵌入报表和仪表板中的敏感度标签持久性
可以在业务应用程序中嵌入 Power BI 报表、仪表板和视觉对象,例如Microsoft Teams 和 SharePoint 或组织网站。 嵌入应用了敏感度标签的视觉对象、报表或仪表板时,敏感度标签将显示在嵌入视图中,标签及其保护将在数据导出到 Excel 时保留。
支持以下嵌入方案:
- 为组织嵌入内容
- Microsoft 365 个应用(例如 Teams 和 SharePoint)
- 安全 URL 嵌入 (从 Power BI 服务嵌入)
分页报表中的敏感度标签
敏感度标签可应用于托管在 Power BI 服务中的分页报表。 将分页报表上传到服务后,可以将标签应用于报表,就像将标签应用于常规 Power BI 报表一样。 详情请参阅 分页报表的敏感度标签支持。
部署管道中的敏感度标签
部署管道支持敏感度标签。 有关在从阶段到阶段部署内容时如何处理敏感度标签的详细信息,请参阅 部署管道文档 。
Power BI 移动应用中的敏感度标签
可以在 Power BI 移动应用中的报表和仪表板上查看敏感度标签。 报表或仪表板名称附近的图标指示它具有敏感度标签,标签的类型及其说明可以在报表或仪表板的信息框中找到。
标签更改强制
Power BI 将仅限于授权用户更改或删除具有文件加密设置的 Purview 信息保护中的敏感度标签。 有关详细信息,请参阅 敏感度标签更改执行。
支持的云
全球(公有)云中的租户以及以下国家/地区云的租户均支持敏感度标签:
- 美国政府:GCC、GCC High、DoD
- 中国
其他国家/地区云目前不支持敏感度标签。
许可和要求
请参阅 许可和要求。
敏感度标签创建和管理
敏感度标签在 Microsoft Purview 门户中创建和管理。
若要访问其中任一中心的敏感度标签,请导航到 “分类 > 敏感度”标签。 这些敏感度标签可由多个Microsoft服务(如 Azure 信息保护、Office 应用和 Office 365 服务)使用。
重要
如果你的组织使用 Azure 信息保护敏感度标签,则需要将它们 迁移到 之前列出的服务之一,以便在 Power BI 中使用标签。
自定义帮助链接
为了帮助用户了解敏感度标签的含义或应如何使用它们,可以提供一个 “了解详细信息 ”URL,该 URL 显示在应用敏感度标签时看到的敏感度标签菜单底部。
有关详细信息 ,请参阅敏感度标签的自定义帮助链接 。
注意事项和限制
概况
- Power BI 不支持以下类型的敏感度标签:
- 不转发
- 用户定义的,允许用户在手动将敏感度标签应用于内容时分配权限。
- HYOK (保留自己的密钥)
Do Not Forward 和用户定义类型是指在 Microsoft Purview 门户中定义的标签。
不要使用父标签。 父标签是具有子标签的标签。 不能应用父标签,但如果已应用的标签获取子标签,则已应用的标签可能会成为父标签。 如果遇到具有父标签的项,请应用相应的子标签。 若要更改父标签,必须对标签具有 足够的使用权限。
如果项目具有父标签,请注意以下行为:
- 不会继承父标签。
- 强制标签策略不会应用于具有父标签的项目。 这意味着用户不需要应用有意义的标签也能保存项目,并且该项目将不受旨在确保全面覆盖的强制标签策略的约束。
- 如果尝试从具有父标签的项导出数据,导出将失败。
- 可以发布具有父标签的 .pbix 文件,但如果父标签受保护,发布将失败。 解决方案是应用合适的子标签。
模板应用不支持数据敏感度标签。 在提取和安装应用时,模板应用创建者设置的敏感度标签将被删除,应用使用者在安装模板应用中添加到项目的敏感度标签在更新应用时会丢失(重置为无内容)。
在 Power BI 服务中,如果语义模型具有从标签管理中心中删除的标签,则无法导出或下载数据。 在 Excel 中分析中,将发出警告,并将数据导出到没有敏感度标签的 .odc 文件。
除非文件存储在网关后面,否则支持从加密的 Excel(.xlsx)文件获取数据和刷新方案,在这种情况下,获取数据/刷新作将失败。 从存储在网关后面且具有未受保护 敏感度标签的 Excel 文件中获取数据和执行刷新操作是成功的,但不会继承敏感度标签。 有关详细信息,请参阅 来自数据源的敏感度标签继承 。
Power BI 中的信息保护不支持 B2B 和 多租户方案。
Power BI 服务
敏感度标签只能应用于仪表板、报表、语义模型、数据流和 分页报表。 它们目前不适用于工作簿。
Power BI 资产上的敏感度标签在工作区列表、世系、收藏夹、最近和应用视图中可见;标签当前在“与我共享”视图中不可见。 但是,请注意,应用于 Power BI 资产的标签(即使不可见)将始终保留在导出到 Excel、PowerPoint、PDF 和 PBIX 文件的数据上。
支持从此类文件导入存储在 OneDrive 或 SharePoint Online 上的敏感度标记 .pbix 文件(包括受保护和未受保护的文件),以及按需和自动语义模型刷新,但以下方案除外:
- 受保护的动态连接的 .pbix 文件和受保护的 Azure Analysis Services .pbix 文件。 刷新将失败。 不会更新报表内容和标签。
- 标记为未受保护的 Live Connect .pbix 文件:将更新报表内容,但不会更新标签。
- 当 .pbix 文件应用了一个新的敏感度标签时,语义模型所有者没有使用权限。 在这种情况下,刷新将失败。 不会更新报表内容和标签。
- 如果 OneDrive/SharePoint 的语义模型所有者的访问令牌已过期。 在这种情况下,刷新将失败。 不会更新报表内容和标签。
Power BI Desktop
来宾用户不支持将受保护的 .pbix 文件从 Power BI Desktop 发布到Power BI 服务,即使他们具有更高级别的权限也是如此。 若要从受保护的 .pbix 文件更新或发布报表,来宾用户需要使用 Get Data 从Power BI 服务开始。
适用于 Power BI 报表服务器的 Power BI Desktop 不支持信息保护。 如果尝试打开受保护的 .pbix 文件,则该文件不会打开,你将收到错误消息。 不加密的敏感度标记的 .pbix 文件可以正常打开。
拥有免费许可证的用户无法打开受保护的 .pbix 文件。
若要打开受保护的 .pbix 文件,具有相应许可证的用户还必须拥有相关标签的 完全控制和 /或 导出 使用权限 。 查看更多详细信息。
设置标签的用户可以完全控制,除非连接失败且身份验证无法进行,否则永远无法锁定。
在极少数情况下,可能没有人拥有相关标签的必要使用权限,但设置标签的人员除外。 然后,如果该人员离开组织或更改组织中的别名,则对 .pbix 文件的所有访问都将丢失。 在这种情况下,重新获得对文件的访问权限的解决方案是使用 设置/删除 敏感标签管理员的 API 更改或删除文件上的敏感标签。 请联系 Power BI 管理员获取帮助(只有管理员才能运行管理员 API)。
受保护的 .pbix 文件的“发布”或“获取数据”要求 .pbix 文件中的标签位于用户的 标签策略中。 如果标签不在用户的标签策略中,则发布或获取数据作将失败。
Power BI 支持通过服务主体下运行的 API 发布或导入具有 未受保护的 敏感度标签的 .pbix 文件。 不支持通过服务主体运行的 API 发布或导入具有受保护敏感度标签的 .pbix 文件,并且会失败。 若要缓解此问题,用户可以删除标签,然后使用服务主体进行发布。
当 Internet 连接丢失(例如脱机后),Power BI Desktop 用户可能会遇到保存工作的问题。 如果没有 Internet 连接,与敏感度标签和权限管理相关的某些作可能无法正确完成。 在这种情况下,建议重新联机并重试保存。
通常,使用应用加密的敏感度标签保护文件时,最好也使用其他加密方法,例如页面文件加密、NTFS 加密、BitLocker 实例、反恶意软件等。
临时文件未加密。
在桌面中导出 PDF 支持敏感度标签,作为默认启用的预览功能。 若要关闭预览功能,请转到 “文件 > 选项和设置 > 选项 > 预览功能”,然后取消选中 “在导出的 PDF 上启用敏感度标签”。 如果关闭预览功能,将具有敏感度标签的文件导出到 PDF 时,PDF 将不会收到标签,并且不会应用保护。
如果 .pbix 文件大小开始超过 6 GB,将具有受保护敏感度标签的报表从 Power BI 服务导出到 .pbix 文件可能会失败。
如果使用未标记的 .pbix 文件覆盖服务中标记的语义模型或报表,则服务中的标签将保留。
相关内容
本文概述了 Power BI 中的数据保护。 以下文章提供有关 Power BI 中数据保护的更多详细信息。