Beskyttede følsomhedsmærkater i Fabric og Power BI
Beskyttede mærkater er følsomhedsmærkater, der har tilknyttede politikker for filbeskyttelse, og som kan bruges til at beskytte filer og data. En filbeskyttelsespolitik for en mærkat giver brugerne brugsrettigheder, f.eks. muligheden for at åbne en fil, redigere en fil, kopiere fra en fil osv. Når der anvendes en beskyttet mærkat på en fil eller et element, kan brugere, der er inkluderet i politikken, udføre de handlinger, de har brugsrettigheder til, under mærkatpolitikken. En filbeskyttelsespolitik kan give forskellige brugersæt forskellige brugerrettigheder. Under politikken kan ét sæt brugere f.eks. få fuld kontrol over filen, mens et andet sæt brugere muligvis kun har tilladelse til at åbne og få vist filen.
Det er en forudsætning for brug af følsomhedsmærkater i Fabric og Power BI, at der er et sæt følsomhedsmærkater og politikker på plads. Mærkaterne og deres politikker for filbeskyttelse er defineret af sikkerhedsadministratorer i Microsoft Purview-compliance-portal. Det samme sæt beskyttede mærkater bruges typisk på tværs af en organisation til Office-app, f.eks. Word, Excel og PowerPoint samt til Fabric og Power BI.
Sådan fungerer beskyttede etiketter i Fabric og Power BI
I Fabric og Power BI-tjeneste styrer beskyttede etiketter kun muligheden for at ændre eller fjerne mærkater på elementer. De styrer ikke adgang til indhold. Hvis en bruger skal kunne ændre eller fjerne en beskyttet mærkat fra et element, skal brugeren enten være den bruger, der anvendte følsomhedsmærkaten (RMS-ejeren), eller have mindst et af følgende krav til brugsrettigheder til mærkaten.
- EJER
- EKSPORT
- EDIT og EDITRIGHTSDATA
Hvis mærkaten på elementet blev angivet via en automatiseret proces, f.eks. nedarvning fra datakilder eller nedarvning i nedstrøms, reduceres den tredje indstilling, EDIT og EDITRIGHTSDATA, til blot EDIT. Du kan finde flere oplysninger under Afslapninger for at imødekomme automatiske mærkatscenarier .
I Power BI Desktop styrer beskyttede mærkater ikke kun muligheden for at ændre eller fjerne den beskyttede mærkat, men også adgang til indhold (visning, redigering, eksport osv.). Derfor kan samarbejdsscenarier med beskyttede PBIX-filer blive blokeret, da det er usandsynligt, at de fleste brugere har tilstrækkelige brugsrettigheder under mærkaten til at åbne og redigere filen.
Forestil dig f.eks., at du opretter en rapport i Power BI Desktop, anvender en beskyttet mærkat på den og derefter deler PBIX-filen med en anden bruger. Det er meget sandsynligt, at brugeren ikke har tilstrækkelige tilladelser til at åbne filen.
Hvis du vil forhindre denne situation og gøre det muligt for flere brugere at arbejde med beskyttede PBIX-filer, skal Fabric-administratoren aktivere lejerindstillingen Forøg antallet af brugere, der kan redigere og publicere krypterede PBIX-filer (prøveversion). Når denne indstilling er aktiveret, kan flere brugere (se bemærk) åbne, redigere og publicere/publicere beskyttede PBIX-filer igen med følgende begrænsninger:
- De kan ikke eksportere til formater, der ikke understøtter følsomhedsmærkater, f.eks. CSV-filer.
- De kan ikke ændre navnet på PBIX-filen.
- De kan kun publicere PBIX-filen igen til det oprindelige arbejdsområde, som filen kom fra.
Bemærk
Filen skal være publiceret mindst én gang, for at andre brugere kan publicere den tilbage til det pågældende arbejdsområde. Hvis filen endnu ikke er publiceret, skal den nyeste etiketudsteder (den, der senest har angivet den beskyttede mærkat) eller en bruger med tilstrækkelige brugsrettigheder publicere den og derefter dele filen med de andre editorer.
Disse begrænsninger sikrer, at sikkerheden af indholdet forbliver under kontrol af dem, der har tilstrækkelige tilladelser til at angive mærkaten.
Bemærk
Brugerne skal have alle følgende brugsrettigheder under mærkatpolitikken:
- Vis indhold (VIEW)
- Rediger indhold (DOCEDIT)
- Gem (REDIGER)
- Kopiér og udtræk indhold (EXTRACT)
- Tillad makroer (OBJMODEL)
Disse brugsrettigheder er et undersæt af de medforfattertilladelser, der er forudindstillet i Microsoft Purview-compliance-portal.
Desuden skal prøveversionsfunktionen Mindre administratorrettigheder for brugersupport i Power BI Desktop være valgt. Se Desktop Preview Feature Switch til redigering af brugere med restriktive følsomhedstilladelser for at få flere oplysninger.
Afslapninger for at imødekomme scenarier med automatisk mærkning
Fabric og Power BI understøtter flere funktioner, f.eks . nedarvning af mærkater fra datakilder og nedarvning af downstream-elementer, som automatisk anvender følsomhedsmærkater på indhold. Disse automatiserede scenarier kan resultere i situationer, hvor ingen bruger er angivet som RMS-etiketudsteder for en etiket på et element. Det betyder, at der ikke er nogen bruger, der med garanti kan ændre eller fjerne mærkaten.
I sådanne tilfælde er kravene til brugsrettigheder for ændring eller fjernelse af mærkaten lempet – en bruger skal kun bruge en af følgende brugsrettigheder for at kunne ændre eller fjerne mærkaten:
- EJER
- EKSPORT
- Rediger…
Hvis ingen bruger har selv disse brugsrettigheder, kan ingen ændre eller fjerne mærkaten fra elementet, og adgangen til elementet er potentielt truet.
For at undgå denne situation kan Fabric-administratoren aktivere lejerindstillingen Tillad, at arbejdsområdeadministratorer tilsidesætter automatisk anvendte følsomhedsmærkater . Dette gør det muligt for administratorer af arbejdsområder at tilsidesætte automatisk anvendte følsomhedsmærkater uden hensyn til regler for håndhævelse af navneændringer.
Hvis du vil aktivere denne indstilling, skal du gå til: Administration portal lejerindstillinger >> Information protection og aktivere til/fra-knappen for indstillingen Tillad, at arbejdsområdeadministratorer tilsidesætter automatisk anvendte følsomhedsmærkater.
Relateret indhold
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om