本文說明 Microsoft Purview 資訊保護中敏感性標籤在 Power BI 中的功能。
關於如何在租戶啟用敏感性標籤,包括授權要求與前提條件,請參閱 Power BI 中的啟用資料敏感性標籤。
關於如何在 Power BI 內容和檔案上套用敏感度標籤的資訊,請參見 如何在 Power BI 中套用敏感度標籤。
向我們提供您的反饋
產品小組很樂意取得 Power BI 資訊保護功能及其與 Microsoft Purview 資訊保護整合的 意見反應 。 幫助我們滿足您的資訊保護需求! 謝謝!
敏感標籤概述
Purview 資訊保護的敏感度標籤,為使用者提供一種簡單方式,在不影響生產力或協作能力的情況下,分類 Power BI 中的關鍵內容。 它們可以應用於 Power BI Desktop 和 Power BI 服務中,讓你能從一開始開發內容的那一刻起,到透過 Excel 連線存取時,都能保護你的敏感資料。 當你以 .pbix 檔案形式在桌面與服務間移動內容時,敏感度標籤會被保留。
在 Power BI 服務中,敏感性標籤可以套用到語意模型、報告、儀表板和資料流上。 當標籤資料從 Power BI 中流出時,無論是匯出為 Excel、PowerPoint、PDF 或 .pbix 檔案,或是透過其他支援的匯出情境(如 Excel 分析)或 Excel 的即時連線樞紐分析表,Power BI 會自動將標籤套用於匯出檔案,並依照標籤的檔案加密設定保護它。 這樣你的敏感資料即使離開 Power BI,也能持續受到保護。
此外,在 Power BI Desktop 中,可以對 .pbix 檔案套用敏感標籤,確保資料和內容在 Power BI 外部分享時安全無虞(例如,只有組織內的使用者能開啟已分享或附加的機密 .pbix),即使在 .pbix 發佈到 Power BI 服務之前。 詳情請參閱「 使用敏感標籤限制內容存取以套用加密 」一節。
報告、儀表板、語意模型及資料流上的敏感性標籤,在 Power BI 服務的多個地方都能看到。 報告與儀表板上的敏感度標籤也可在 Power BI iOS 與 Android 行動應用程式及嵌入式視覺化中看到。 在桌面版中,你可以在狀態列看到敏感度標籤。
Power BI 管理入口網站提供的 保護指標報告 ,讓 Power BI 管理員能全面掌握 Power BI 租戶中敏感資料的狀況。 此外,Power BI 稽核日誌還包含敏感性標籤資訊,涵蓋套用、移除與變更標籤等活動,以及檢視報告、儀表板等活動。這讓 Power BI 與資安管理員能監控敏感資料的使用情況,以便監控與調查安全警示。
重要考慮
在 Power BI 服務中,敏感度標籤 不 會影響內容存取。 服務內容的存取完全由 Power BI 權限管理。 雖然標籤可見,但任何相關的加密設定(在 Microsoft Purview 入口網站設定)都不會套用。 它們僅適用於經由支援匯出路徑離開服務的資料,例如匯出至 Excel、PowerPoint 或 PDF,並下載為 .pbix。
在 Power BI Desktop 中,敏感性標籤加上加密設定 確實會影響 內容存取。 如果使用者根據 .pbix 檔案敏感標籤的加密設定沒有足夠的 權限 ,他們將無法開啟該檔案。 此外,在桌面版中,當你儲存作品時,任何你新增的敏感度標籤及其相關的加密設定都會套用到儲存的 .pbix 檔案中。
敏感性標籤與檔案加密 不會 在非支援的匯出路徑中套用。 Power BI 管理員可以阻止從不支援的匯出路徑匯出。
備註
被授權存取報告的使用者,將獲得整個底層語意模型的存取權,除非 列級安全(RLS) 限制了他們的存取權限。 報告作者可以使用敏感性標籤來分類並標註報告。 如果敏感性標籤有保護設定,當報告資料透過支援的匯出路徑(匯出至 Excel、PowerPoint 或 PDF)、下載為 .pbix 以及 儲存(桌面 )時,Power BI 會套用這些保護設定。 只有授權使用者才能開啟受保護的檔案。
支援的匯出路徑
目前支援對離開 Power BI 服務的資料套用敏感標籤及其相關保護,適用於以下匯出路徑:
匯出為 Excel、PDF 檔案及 PowerPoint。
備註
對於 PowerPoint 匯出,敏感度標籤只會在使用「 匯出為圖片 」選項時套用。 嵌入即時資料(故事講述)選項不支援敏感性標籤的應用。
在 Excel 中從 Power BI 服務進行分析,這將會觸發下載一個 Excel 檔案,該檔案與 Power BI 語意模型保持即時連線。
Excel 中的樞紐分析表,並可即時連接至 Power BI 語意模型,適用於使用 Microsoft 365 E3 及以上版本的使用者。
下載至 .pbix (服務)
備註
在 Power BI 服務中使用 Download .pbix 時,若下載的報告與其語意模型標籤不同,則 .pbix 檔案會套用較嚴格的標籤。
在 Power BI Desktop 中,匯出成 PDF 的敏感度標籤支援是預設開啟的預覽功能。 可以將其關閉。 更多資訊請參見 桌面考量與限制 。
敏感性標籤在 Power BI 中的運作方式
當你對 Power BI 內容和檔案套用敏感標籤時,這類似於在該資源上套用標籤,具有以下好處:
- 可自訂 - 你可以為組織中不同層級的敏感內容建立分類,如個人、公開、一般、機密及高度機密。
- 明文 ——由於標籤為明文,使用者便能依照敏感度標籤指引來處理內容。
- 持續 - 在內容上套用敏感度標籤後,當內容匯出至 Excel、PowerPoint 和 PDF 檔案、下載至 .pbix,或儲存在桌面版時,敏感度標籤會隨附在內容上,並成為政策套用與執行的基礎。
這裡有一個 Power BI 敏感度標籤運作的快速範例。 下圖展示了如何在 Power BI 服務中對報表套用敏感度標籤,接著是如何將報告資料匯出成 Excel 檔案,最後則說明敏感度標籤及其保護措施如何在匯出檔案中持續存在。
你套用在內容上的敏感性標籤會隨著內容在 Power BI 中被使用和分享而持續存在並自由移動。 你可以利用標籤產生使用報告,並查看敏感內容的活動數據。
Power BI Desktop 中的敏感度標籤
敏感度標籤也可以在 Power BI Desktop 中套用。 這讓你從開始開發內容的那一刻起就能保護你的資料。 當你在桌面儲存作品時,你套用的敏感度標籤以及相關的加密設定會套用到產生的 .pbix 檔案上。 如果標籤有加密設定,檔案無論傳送到哪裡、如何傳輸都會受到保護。 只有擁有 必要 RMS 權限 的使用者才能開啟它。
備註
可能會有一些限制。 參見 考量與限制。
如果你在桌面版中套用敏感標籤,或是將作品發佈到服務時,或是上傳該作品的 .pbix 檔案,標籤會隨資料一同傳送到服務中。 在服務中,標籤會同時套用到語意模型和你隨檔案收到的報告。 如果語意模型和報告已經有敏感度標籤,你可以選擇保留這些標籤,或用桌面版的標籤覆蓋。
如果你上傳了一個從未發佈過的 .pbix 檔案,且其名稱與服務上已有的報告或語意模型相同,上傳只有在上傳者擁有更改標籤所需的 RMS 權限時才會成功。
反過來也是一樣——當你在服務中下載到 .pbix,然後將 .pbix 載入桌面時,服務中原本的標籤會套用到下載的 .pbix 檔案,然後再載入桌面。 如果服務中的報告與語意模型標籤不同,則下載的 .pbix 檔案會採用較嚴格的標籤。
當你在桌面版套用標籤時,它會出現在狀態列。
新內容建立時的敏感性標籤繼承
當 Power BI 服務中建立新的報告與儀表板時,它們會自動繼承先前套用在父語意模型或報告上的敏感性標籤。 例如,建立在帶有「高度機密」敏感標籤的語意模型上的新報告,也會自動獲得「高度機密」標籤。
下圖顯示語意模型的敏感性標籤如何自動套用在新報告上,該報告是建立在語意模型之上。
備註
如果因為任何原因無法將敏感度標籤套用到新報告或儀表板上,Power BI 不會 阻止新項目的建立。
來自資料來源的敏感性標籤繼承
連接到支援資料來源中敏感性標記資料的 Power BI 語意模型,可以繼承這些標籤,確保資料在帶入 Power BI 時保持機密性且安全。 目前支援 Azure Synapse Analytics(前身為 SQL Data Warehouse)和 Azure SQL Database。 請參閱「從資料來源繼承的敏感度標籤」,以了解從資料來源繼承的運作方式,以及如何為您的組織啟用。
敏感性標籤下游繼承
當敏感性標籤被套用到 Power BI 服務中的語意模型或報告時,標籤可以涓滴式地延伸,自動套用到由該語意模型或報告建立的內容上。 此能力稱為下游繼承。
下游繼承是 Power BI 端對端資訊保護解決方案中的關鍵環節。 結合從資料來源繼承、新內容建立時繼承、匯出到檔案時繼承,以及其他敏感性標籤應用的功能,後游繼承有助於確保敏感資料在 Power BI 過程中從資料來源到消費點的過程中受到保護。
資料外洩防護 (DLP) 原則
Power BI 利用 Microsoft 365 的資料遺失防護技術,使中央安全團隊能使用資料遺失防護政策,在 Power BI 中執行組織的 DLP 政策。 詳情請參閱 Fabric 與 Power BI 的資料遺失防護政策 。
預設標籤原則
為確保敏感資料的全面保護與治理,組織可為 Power BI 建立預設標籤政策,自動對未標註內容套用預設敏感標籤。 目前預設標籤政策僅支援 Power BI Desktop。 更多資訊請參閱 預設標籤政策。
強制標籤原則
為確保敏感資料的全面保護與治理,組織可要求使用者為其敏感的 Power BI 內容套用標籤。 這種政策稱為強制標籤政策。 欲了解更多資訊,請參閱 Power BI 的強制標籤政策。
用於程式化設定與移除標籤的管理 API
為了符合合規要求,組織通常需要在 Power BI 中分類並標註所有敏感資料。 對於擁有大量資料的 Power BI 租戶來說,這項任務可能相當具有挑戰性。 為了讓任務更簡單且更有效,Power BI 提供了管理員 REST API,管理員可以用程式化的方式設定和移除大量 Power BI 產物的敏感度標籤。 請參閱下列:
敏感性標籤活動審核
每當語意模型、報告、儀表板或資料流上的敏感性標籤被套用、變更或移除時,該活動都會被記錄在 Power BI 的稽核日誌中。 你可以在統一稽核日誌或 Power BI 活動日誌中追蹤這些活動。 詳情請參閱 Power BI 中的敏感性標籤審計架構 。
匯出資料的敏感性標籤與保護
當資料從 Power BI 匯出到 Excel、PDF 檔案或 PowerPoint 檔案時,Power BI 會自動對匯出檔案套用敏感度標籤,並依照該標籤的檔案加密設定加以保護。 這樣一來,無論敏感資料在哪裡都能受到保護。
從 Power BI 匯出檔案的使用者有權限依照敏感度標籤設定存取與編輯該檔案;他們不會取得檔案的擁有者權限。
備註
在 Power BI 服務中使用 Download .pbix 時,若下載的報告與其語意模型標籤不同,則 .pbix 檔案會套用較嚴格的標籤。
當資料匯出到 .csv、檔案或其他不支援的匯出路徑時,不會套用敏感度標籤和保護。
對匯出檔案套用敏感標籤和保護,並不會在檔案上增加內容標記。 然而,若標籤設定為套用內容標記,Azure 資訊保護統一標籤客戶端會在 Office 桌面應用程式開啟檔案時自動套用標記。 當你使用桌面、行動或網頁應用程式內建標籤時,內容標記不會自動套用。 詳情請參見 Office 應用程式何時應用內容標記與加密 。
如果資料匯出成檔案時無法套用標籤,匯出會失敗。 要檢查匯出是否失敗,因為標籤無法套用,請選擇標題欄中央的報告或儀表板名稱,看看打開的資訊下拉選單是否顯示「敏感度標籤無法載入」。 這可能是因為系統暫時性問題,或是套用的標籤被安全管理員取消發佈或刪除。
Analyze in Excel 中的敏感標籤繼承
當你在 Excel 建立一個與 Power BI 語意模型有即時連線的樞紐分析表(你可以透過 Power BI 透過 Excel 分析 或 Excel 進行),語意模型的敏感度標籤會繼承並套用到你的 Excel 檔案,連同相關的保護措施一起。 如果語意模型上的標籤後來改為更嚴格,連結 Excel 檔案上的標籤會在資料刷新時自動更新。
在 Excel 中手動設定的敏感度標籤,不會自動被語意模型的敏感度標籤覆蓋。 相反地,橫幅會通知你語意模型有敏感性標籤,並建議你套用它。
備註
如果語意模型的敏感度標籤比 Excel 檔案的敏感度標籤限制較少,則不會發生標籤繼承或更新。 Excel 檔案永遠不會繼承較不嚴格的敏感性標籤。
內嵌報告與儀表板中的敏感性標籤持久性
你可以將 Power BI 報告、儀表板和視覺化嵌入 Microsoft Teams 和 SharePoint 等商業應用程式,或組織的網站中。 當你嵌入帶有敏感度標籤的視覺化、報告或儀表板時,敏感度標籤會在嵌入的檢視中顯示,且當資料匯出到 Excel 時,標籤及其保護會持續存在。
支援以下嵌入情境:
- 為您的組織提供嵌入功能
- Microsoft 365 應用程式(例如 Teams 和 SharePoint)
- 安全 URL 嵌入 (從 Power BI 服務嵌入)
分頁報告中的敏感性標籤
敏感度標籤可以套用至裝載在 Power BI 服務中的編頁報表。 上傳分頁報表到服務後,你就像套用一般 Power BI 報表一樣,將標籤套用到報表上。 詳情請參閱 分頁報表的敏感性標籤支援 。
部署管線中的敏感性標籤
部署管線支援敏感性標籤。 請參閱 部署流程文件 ,了解敏感性標籤在內容從一階段部署到另一階段時的處理方式。
Power BI 行動應用程式中的敏感度標籤
敏感度標籤可在 Power BI 行動應用程式的報告與儀表板中查看。 報告或儀表板名稱附近的圖示表示該標籤有敏感性標籤,標籤類型及其描述可在報告或儀表板的資訊框中找到。
標籤變更的強制執行
Power BI 限制僅授權使用者更改或移除 Purview 資訊保護中具有檔案加密設定的敏感標籤。 詳情請參見 敏感性標籤變更強制執行 。
受支持的雲端服務
全球(公共)雲端的租戶,以及以下國家/地區的雲端,皆支援敏感性標籤:
- 美國政府:GCC、GCC High、DoD
- 中國
其他國家或地區的雲端環境目前尚未支援敏感度標籤。
執照與要求
請參見 執照與要求。
敏感性標籤的建立與管理
敏感標籤由 Microsoft Purview 入口網站建立與管理。
要在任一中心存取敏感度標籤,請前往>分類敏感標籤。 這些敏感性標籤可被多個 Microsoft 服務使用,如 Azure 資訊保護、Office 應用程式及 Office 365 服務。
這很重要
如果您的組織使用 Azure 資訊保護敏感性標籤,您需要將它們 遷移 到先前列出的服務之一,才能在 Power BI 中使用這些標籤。
自訂說明連結
為了幫助使用者了解敏感標籤的意義或應該如何使用,你可以在敏感度標籤選單底部提供一個「 了解更多 」網址,這也是你套用敏感標籤時看到的。
詳情請參考 「自訂說明連結」以了解敏感度標籤 。
考慮事項與限制條件
General
- Power BI 不支援以下類型的敏感度標籤:
- 請勿轉發
- 使用者定義,允許使用者在手動對內容套用敏感度標籤時分配權限。
- HYOK(自行持有密鑰)
「請勿轉發」與「使用者定義」類型指的是 Microsoft Purview 入口網站中定義的標籤。
不要用父母標籤。 父標籤是指包含子標籤的標籤。 你無法套用父標籤,但已套用的標籤若獲得子標籤,可能會變成父標籤。 如果你遇到有母標籤的項目,請套用相應的子標籤。 要更改母標籤,您必須擁有 足夠的使用權。
如果項目有父標籤,請注意以下行為:
- 父母標籤不會被繼承。
- 強制標籤政策不會適用於有母標籤的商品。 這表示使用者不必貼上有意義的標籤來保存商品,且商品將免於強制標籤政策,旨在促進全面保障。
- 如果你嘗試從有父標籤的商品匯出資料,匯出會失敗。
- 雖然可以發佈帶有父標籤的 .pbix 檔案,但如果父標籤受到保護,發佈就會失敗。 解決方法是套用合適的子標籤。
範本應用程式不支援資料敏感性標籤。 範本應用程式建立者設定的敏感度標籤在應用程式解壓並安裝時會被移除,而應用程式使用者在安裝模板應用程式中新增的敏感度標籤則在應用程式更新時會遺失(重置為零)。
在 Power BI 服務中,如果語意模型的標籤已從標籤管理中心刪除,你將無法匯出或下載資料。 在 Excel 分析中,會發出警告,資料會匯出為無敏感度標籤的 .odc 檔案。
支援從加密的 Excel(.xlsx)檔案取得資料並刷新情境,除非檔案存放在閘道器後面,否則取得資料/重新整理動作會失敗。 從儲存在閘道後方且帶有 未保護 敏感標籤的 Excel 檔案取得資料和刷新操作會成功,但敏感性標籤不會被繼承。 詳情請參見 資料來源的敏感性標籤繼承 。
Power BI 的資訊保護不支援 B2B 和 多租戶情境。
Power BI 服務
敏感性標籤只能套用於儀表板、報告、語意模型、資料流及 分頁報告。 目前沒有工作簿版本。
Power BI 資產上的敏感度標籤可在工作區清單、血統、收藏、最近活動及應用程式檢視中顯示;標籤目前在「與我分享」檢視中無法顯示。 不過請注意,即使 Power BI 資產上未顯示標籤,匯出為 Excel、PowerPoint、PDF 和 PBIX 檔案的資料中,標籤仍會持續存在。
支援匯入儲存在 OneDrive 或 SharePoint Online 上的敏感性標籤 .pbix 檔案(受保護與非受保護),以及從此類檔案中按需及自動刷新語意模型,但以下情境除外:
- 受保護的即時連線 .pbix 檔案及受保護的 Azure Analysis Services .pbix 檔案。 刷新會失敗。 舉報內容與標籤均不會更新。
- 標示為未受保護的 Live Connect .pbix 檔案:檢舉內容會更新,但標籤不會更新。
- 當 .pbix 檔案被套用了新的敏感標籤,而語意模型擁有者沒有使用權時, 在這種情況下,刷新會失敗。 舉報內容與標籤均不會更新。
- 如果語意模型擁有者的 OneDrive/SharePoint 存取權杖已過期, 在這種情況下,刷新會失敗。 舉報內容與標籤均不會更新。
Power BI Desktop
即使來賓使用者具有較高層級的許可權,仍不支援將受保護的 .pbix 檔案從 Power BI Desktop 發佈至 Power BI 服務。 若要從受保護的 .pbix 檔案更新或發佈報表,來賓用戶必須使用 Get Data 從 Power BI 服務 開始。
Power BI Desktop for Power BI 報告伺服器不支援資訊保護。 如果你嘗試開啟受保護的 .pbix 檔案,檔案無法開啟,並且會收到錯誤訊息。 未加密且帶有敏感度標籤的 .pbix 檔案可以正常開啟。
使用免費授權的使用者無法開啟受保護的 .pbix 檔案。
要開啟受保護的 .pbix 檔案,擁有適當授權的使用者也必須擁有該標籤 的完整控制 權和/或 匯出 使用權 。 詳情請參閱。
設定標籤的使用者擁有完全控制權,除非連線失敗且無法進行驗證,否則永遠不會被鎖定。
在極少數情況下,可能只有設定標籤的人擁有相關標籤所需的使用權。 接著,如果該人離開組織或更改組織內的別名,所有 .pbix 檔案的存取權都會喪失。 在這種情況下,恢復檔案存取權的解決方案是使用 「/移除 敏感標籤」管理員 API 來更改或移除檔案上的敏感度標籤。 請聯絡你的 Power BI 管理員尋求協助(只有管理員能執行管理員 API)。
「發佈」或「取得資料」是對受保護的 .pbix 檔案進行的操作,需要確保 .pbix 檔案的標籤符合使用者的 標籤政策。 如果標籤不在使用者的標籤政策中,發布或取得資料的動作將會失敗。
Power BI 支援透過在服務主體下執行的 API 發佈或匯入帶有 未受保護 敏感標籤的 .pbix 檔案。 透過在服務主體下執行的 API 發佈或匯入帶有 受保護 敏感標籤的 .pbix 檔案, 不 支援且將失敗。 為了減輕這個問題,使用者可以移除標籤,然後使用服務主體發佈。
Power BI Desktop 使用者在網路連線中斷時,例如當離線後,可能會遇到儲存檔案時的問題。 沒有網路連線時,與敏感標籤和權利管理相關的某些操作可能無法正常完成。 這種情況下建議你回去再上網嘗試存檔。
一般來說,當你保護帶有敏感度標籤並施加加密的檔案時,建議同時使用其他加密方法,例如分頁檔加密、NTFS 加密、BitLocker 實例、反惡意軟體等。
暫存檔沒有加密。
桌面版匯出成 PDF 支援敏感度標籤作為預設開啟的預覽功能。 要關閉預覽功能,請到 檔案 > 選項和設定 > 中選擇預覽 > 功能,並取消勾選「 啟用匯出後 PDF 的敏感度標籤設定」。 如果你關閉預覽功能,當你將帶有敏感度標籤的檔案匯出成 PDF,PDF 就不會收到標籤,也不會被套用任何保護。
從 Power BI 服務匯出帶有受保護敏感標籤的報告到 .pbix 檔案時,如果 .pbix 檔案大小開始超過 6 GB,可能會失敗。
如果你在服務中覆寫有標籤的語意模型或報告,使用未標記的 .pbix 檔案,服務中的標籤將被保留。
相關內容
本文概述了 Power BI 中的資料保護。 以下文章提供更多關於 Power BI 資料保護的細節。