Rótulos de confidencialidade no Power BI

Este artigo descreve a funcionalidade de Rótulos de confidencialidade da Proteção de Informações da Microsoft no Power BI.

Para obter informações sobre como habilitar rótulos de confidencialidade em seu locatário, incluindo pré-requisitos e requisitos de licenciamento, confira Habilitar rótulos de confidencialidade de dados no Power BI.

Para obter informações sobre como aplicar rótulos de confidencialidade em seu conteúdo e arquivos do Power BI, confira Como aplicar rótulos de confidencialidade no Power BI.

Observação

O suporte ao rótulo de confidencialidade no Power BI Desktop está atualmente em versão prévia.

Introdução

Os rótulos de confidencialidade da Proteção de Informações da Microsoft oferecem um modo simples de os usuários classificarem conteúdo crítico no Power BI sem comprometer a produtividade nem a capacidade de colaborar. Eles podem ser aplicados tanto no Power BI Desktop (versão prévia) quanto no serviço do Power BI, possibilitando a proteção de seus dados confidenciais desde o momento em que você começa a desenvolver o conteúdo até quando ele está sendo acessado do Excel por meio de uma conexão dinâmica. Os rótulos de confidencialidade são retidos quando você alterna o conteúdo entre a área de trabalho e o serviço na forma de arquivos .pbix.

No serviço do Power BI, os rótulos de confidencialidade podem ser aplicados a conjuntos de dados, relatórios, dashboards e fluxos de dados. Quando os dados rotulados saem do Power BI, por meio de exportação para arquivos Excel, PowerPoint, PDF ou .pbix, ou de outros cenários de exportação com suporte, como Analisar no Excel ou Tabelas dinâmicas de conexão dinâmica no Excel, o Power BI aplica automaticamente o rótulo ao arquivo exportado e o protege de acordo com as configurações de criptografia de arquivo do rótulo. Dessa forma, seus dados confidenciais podem permanecer protegidos, mesmo quando eles saem do Power BI.

Além disso, os rótulos de confidencialidade podem ser aplicados a arquivos .pbix no Power BI Desktop, de modo que os dados e o conteúdo estejam seguros quando compartilhados fora do Power BI (por exemplo, para que somente os usuários de sua organização possam abrir um arquivo .pbix confidencial que tenha sido compartilhado ou anexado em um email), mesmo antes de ser publicado no serviço do Power BI. Confira Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia para obter mais detalhes.

Os rótulos de sensibilidade em relatórios, dashboards, conjuntos de dados e fluxos de dados ficam visíveis em muitos lugares no serviço do Power BI. Os rótulos de sensibilidade em relatórios e dashboards também são visíveis nos aplicativos móveis do Power BI para iOS e Android e em visuais inseridos. Na área de trabalho, você pode ver o rótulo de confidencialidade na barra de status.

Um relatório de métricas de proteção disponível no portal de administração do Power BI dá aos administradores do Power BI visibilidade total sobre os dados confidenciais no locatário do Power BI. Além disso, os logs de auditoria do Power BI incluem informações de rótulos de confidencialidade sobre atividades como a aplicação, remoção e alteração de rótulos e a exibição de relatórios, dashboards etc. É isso que fornece aos administradores de segurança e do Power BI a visibilidade sobre o consumo de dados confidenciais para fins de monitoramento e investigação dos alertas de segurança.

Considerações importantes

No serviço do Power BI, o rótulo de confidencialidade não afeta o acesso ao conteúdo. O acesso ao conteúdo no serviço é gerenciado unicamente por permissões do Power BI. Embora os rótulos estejam visíveis, todas as configurações de criptografia associadas (configuradas na Central de conformidade do Microsoft 365) não são aplicadas. Elas são aplicadas somente a dados que saem do serviço por meio do caminho de exportação com suporte, como exportação para Excel, PowerPoint ou PDF e download para .pbix.

No Power BI Desktop (versão prévia), os rótulos de confidencialidade com as configurações de criptografia afetam o acesso ao conteúdo. Se um usuário não tiver permissões suficientes de acordo com as configurações de criptografia do rótulo de confidencialidade no arquivo .pbix, ele não poderá abrir o arquivo. Além disso, na área de trabalho, quando você salvar seu trabalho, qualquer rótulo de confidencialidade adicionado e as configurações de criptografia associadas serão aplicados ao arquivo .pbix salvo.

Os rótulos de confidencialidade e a criptografia de arquivo não são aplicados em caminhos de exportação sem suporte. O administrador do Power BI poderá bloquear a exportação de caminhos de exportação não compatíveis.

Observação

Usuários com acesso permitido a um relatório têm permissão de acesso a todo o conjunto de dados subjacente, a menos que a RLS (Segurança em Nível de Linha) limite o acesso. Os autores de relatório podem classificar e rotular relatórios usando rótulos de confidencialidade. Se o rótulo de confidencialidade tiver configurações de proteção, o Power BI aplicará essas configurações de proteção quando os dados do relatório saírem do Power BI por meio de um caminho de exportação, como exportação para Excel, PowerPoint ou PDF, download para .pbix e Salvar (área de trabalho). Somente usuários autorizados poderão abrir arquivos protegidos.

Caminhos de exportação com suporte

Atualmente, existe suporte para a aplicação de rótulos de confidencialidade e sua proteção associada aos dados que saem do serviço do Power BI para os seguintes caminhos de exportação:

  • Exportar para arquivos Excel, PDF (somente serviço) e PowerPoint.
  • Analisar no Excel a partir do serviço do Power BI, o que dispara o download de um arquivo do Excel com uma conexão dinâmica a um conjunto de dados do Power BI.
  • Tabela dinâmica no Excel com uma conexão dinâmica a um conjunto de dados do Power BI, para usuários com Microsoft 365 E3 e posterior.
  • Baixar para .pbix (serviço)

Observação

Ao usar Baixar o .pbix no serviço do Power BI, se o relatório baixado e o conjunto de dados tiverem rótulos diferentes, o rótulo mais restritivo será aplicado ao arquivo .pbix.

Como os rótulos de confidencialidade funcionam no Power BI

Quando você aplica um rótulo de confidencialidade a conteúdo e arquivos do Power BI, o processo é semelhante a aplicar uma marca a esse recurso, que tem os seguintes benefícios:

  • Personalizável – você pode criar categorias para diferentes níveis de conteúdo confidencial em sua organização, como Pessoal, Público, Geral, Confidencial e Altamente Confidencial.
  • Texto não criptografado – como o rótulo está em texto não criptografado, é fácil para os usuários entenderem como tratar o conteúdo de acordo com as diretrizes dos rótulos de confidencialidade.
  • Persistente – depois que um rótulo de confidencialidade tiver sido aplicado ao conteúdo, ele acompanhará esse conteúdo quando ele for exportado para arquivos do Excel, do PowerPoint e PDF, baixado para .pbix ou salvo (na área de trabalho) e se tornará a base para a aplicação e a imposição de políticas.

Veja um exemplo rápido de como os rótulos de confidencialidade no Power BI funcionam. A imagem abaixo mostra como um rótulo de confidencialidade é aplicado em um relatório no serviço do Power BI, em seguida, como os dados do relatório são exportados para um arquivo do Excel e, por fim, como o rótulo de confidencialidade e suas proteções são mantidos no arquivo exportado.

GIF animado mostrando o aplicativo e a persistência de rótulos de confidencialidade

Os rótulos de confidencialidade que você aplica ao conteúdo são mantidos e se movem com os conteúdos conforme são usados e compartilhados no Power BI. Você pode usar esses rótulos para gerar relatórios de uso e ver dados de atividades relacionados ao conteúdo confidencial.

Rótulos de confidencialidade no Power BI Desktop (versão prévia)

Os rótulos de confidencialidade também podem ser aplicados no Power BI Desktop. Isso possibilita proteger seus dados desde o momento em que você começa a desenvolver o conteúdo. Quando você salva seu trabalho na área de trabalho, o rótulo de confidencialidade aplicado, juntamente com as configurações de criptografia associadas, é aplicado ao arquivo .pbix resultante. Se o rótulo tiver configurações de criptografia, o arquivo será protegido, independentemente de onde for e, no entanto, ele será transmitido. Somente aqueles com as permissões RMS necessárias poderão abri-lo.

Observação

  • Nesta versão de visualização, algumas limitações podem ser aplicadas. Confira Limitações.

Se você aplicar um rótulo de confidencialidade na área de trabalho, quando publicar seu trabalho no serviço ou quando você carregar um arquivo .pbix desse trabalho para o serviço, o rótulo acompanhará os dados no serviço. No serviço, o rótulo será aplicado ao conjunto de dados e ao relatório que você obtém com o arquivo. Se o conjunto de dados e o relatório já tiverem rótulos de confidencialidade, esses rótulos serão substituídos pelo rótulo vindo da área de trabalho.

Se você carregar um arquivo .pbix que nunca foi publicado no serviço antes e que tenha o mesmo nome de um relatório ou conjunto de dados que já exista no serviço, o upload só terá sucesso se o carregador tiver as permissões de RMS necessárias para alterar o rótulo.

O mesmo também é verdadeiro na direção oposta – quando você baixa para .pbix no serviço e carrega o .pbix na área de trabalho, o rótulo que estava no serviço será aplicado ao arquivo .pbix baixado e será carregado na área de trabalho. Se o relatório e o conjunto de dados no serviço tiverem rótulos diferentes, o mais restritivo dos dois será aplicado ao arquivo .pbix baixado.

Quando você aplica um rótulo na área de trabalho, ele aparece na barra de status.

Captura de tela do rótulo de confidencialidade na barra de status da área de trabalho.

Saiba como aplicar rótulos de confidencialidade ao conteúdo e aos arquivos do Power BI.

Herança de rótulo de confidencialidade na criação de novo conteúdo

Quando novos relatórios e dashboards são criados no serviço do Power BI, eles herdam automaticamente o rótulo de confidencialidade aplicado anteriormente no relatório ou conjunto de dados pai. Por exemplo, um novo relatório criado sobre um conjunto de dados que tenha um rótulo de confidencialidade "Altamente Confidencial" também receberá automaticamente o rótulo "Altamente Confidencial".

A imagem a seguir mostra como o rótulo de confidencialidade de um conjunto de dados é aplicado automaticamente em um novo relatório criado com base no conjunto de dados.

GIF animado mostrando a herança de rótulos de confidencialidade

Observação

Se por algum motivo o rótulo de confidencialidade não puder ser aplicado no novo relatório ou dashboard, o Power BI não bloqueará a criação do item.

Herança de rótulo de confidencialidade de fontes de dados (versão prévia)

Os conjuntos de dados do Power BI que se conectam a dados rotulados com confidencialidade em fontes de dados compatíveis podem herdar esses rótulos, de modo que os dados permaneçam classificados e seguros quando trazidos para o Power BI. Atualmente, há suporte para o Azure Synapse Analytics (antigo SQL Data Warehouse) e o Banco de Dados SQL do Azure. Confira Herança de rótulo de confidencialidade de fontes de dados para saber como a herança de fontes de dados funciona e como habilitá-la para sua organização.

APIs de administrador para configuração e remoção de rótulos programaticamente

Para atender aos requisitos de conformidade, muitas vezes as organizações precisam classificar e rotular todos os dados confidenciais no Power BI. Essa tarefa pode ser desafiadora para locatários que têm grandes volumes de dados no Power BI. Para tornar a tarefa mais fácil e mais eficaz, o Power BI tem APIs REST de administrador que os administradores podem usar para definir e remover rótulos de confidencialidade em grandes números de artefatos do Power BI programaticamente. Veja o seguinte:

Rótulos de confidencialidade e proteção em dados exportados

Quando os dados são exportados do Power BI para arquivos Excel, PDF (somente serviço) ou PowerPoint, o Power BI aplica automaticamente um rótulo de confidencialidade ao arquivo exportado e o protege de acordo com as configurações de criptografia de arquivo do rótulo. Dessa forma, seus dados confidenciais permanecem protegidos em qualquer lugar em que estejam.

Um usuário que exporta um arquivo do Power BI tem permissões para acessar e editar esse arquivo de acordo com as configurações de rótulo de confidencialidade. Ele não obtém permissões de proprietário para o arquivo.

Observação

Ao usar Baixar o .pbix no serviço do Power BI, se o relatório baixado e o conjunto de dados tiverem rótulos diferentes, o rótulo mais restritivo será aplicado ao arquivo .pbix.

Os rótulos de confidencialidade e a proteção não são aplicados quando os dados são exportados para arquivos .csv ou qualquer outro caminho de exportação não compatível.

A aplicação de um rótulo de confidencialidade e a proteção para um arquivo exportado não adiciona a marcação de conteúdo ao arquivo. No entanto, se o rótulo estiver configurado para aplicar marcações de conteúdo, as marcações serão automaticamente aplicadas pelo cliente de rotulagem unificado da Proteção de Informações do Azure quando o arquivo for aberto em aplicativos da área de trabalho do Office. As marcações de conteúdo não são aplicadas automaticamente quando você usa rotulagem interna para aplicativos Web, de área de trabalho ou de dispositivos móveis. Consulte Quando os aplicativos do Office aplicam criptografia e marcação de conteúdo para obter mais detalhes.

A exportação falhará se um rótulo não puder ser aplicado quando os dados forem exportados para um arquivo. Para verificar se a exportação falhou porque o rótulo não pôde ser aplicado, clique no nome do dashboard ou do relatório no centro da barra de título e veja se ele diz "O rótulo de confidencialidade não pode ser carregado" no menu suspenso de informações que é aberto. Isso poderá acontecer como resultado de um problema do sistema temporário ou se o rótulo aplicado não tiver sido publicado ou tiver sido excluído pelo administrador de segurança.

Herança de rótulo de confidencialidade em Analisar no Excel

Quando uma Tabela Dinâmica no Excel é criada com uma conexão ativa com um conjunto de dados do Power BI (é possível fazer isso no Power BI por meio da ferramenta Analisar no Excel ou no Excel mesmo), o rótulo de confidencialidade do conjunto de dados é herdado e aplicado ao arquivo Excel, junto com qualquer proteção associada. Se o rótulo no conjunto de dados for alterado posteriormente para que seja mais restritivo, o rótulo aplicado no arquivo vinculado do Excel será atualizado automaticamente na atualização dos dados.

Captura de tela do Excel mostrando o rótulo de confidencialidade herdado do conjunto de dados via conexão dinâmica.

Os rótulo de confidencialidade definidos manualmente no Excel não são substituídos automaticamente pelo rótulo de confidencialidade do conjunto de dados. Em vez disso, você verá uma faixa informando que o conjunto de dados tem um rótulo de confidencialidade e recomendando a aplicação dele.

Observação

Se o rótulo de confidencialidade do conjunto de dados for menos restritivo que o rótulo de confidencialidade do arquivo do Excel, não ocorrerá nenhuma herança ou atualização de rótulo. Um arquivo do Excel nunca herda um rótulo de confidencialidade menos restritivo.

Persistência de rótulo de confidencialidade em relatórios e dashboards inseridos

Você pode inserir relatórios, dashboards e visuais do Power BI em aplicativos de negócios, como o Microsoft Teams e o SharePoint, ou no site de uma organização. Quando você insere um visual, relatório ou dashboard com rótulo de confidencialidade aplicado, esse rótulo fica visível na exibição incorporada, e tanto o rótulo quanto a proteção são mantidos quando os dados são exportados para o Excel.

Captura de tela do relatório inserido no SharePoint Online

Há suporte para os seguintes cenários de inserção:

Rótulos de confidencialidade em pipelines de implantação

Os rótulos de confidencialidade têm suporte em pipelines de implantação. Confira a documentação do pipeline de implantação para obter detalhes sobre como os rótulos de confidencialidade são tratados conforme o conteúdo é implantado de estágio a estágio.

Rótulos de confidencialidade em aplicativos móveis do Power BI

Os rótulos de confidencialidade podem ser exibidos em relatórios e dashboards em aplicativos móveis do Power BI. Um ícone ao lado do nome do relatório ou dashboard indica que ele tem um rótulo de confidencialidade, e o tipo de rótulo e sua descrição podem ser encontrados na caixa informações do relatório ou do dashboard.

Captura de tela de rótulo de confidencialidade no aplicativo móvel

Imposição de alteração de rótulo

O Power BI restringe a permissão para alterar ou remover os rótulos de confidencialidade da Proteção de Informações da Microsoft que têm configurações de criptografia de arquivo somente para usuários autorizados. Consulte Imposição de alterações no rótulo de confidencialidade para detalhes.

Nuvens com suporte

Os rótulos de confidencialidade têm suporte para locatários em nuvens globais (públicas) e as seguintes nuvens nacionais:

Os rótulos de confidencialidade não têm suporte em outras nuvens nacionais no momento.

Licenciamento e requisitos

Confira Licenciamento e requisitos.

Criação e gerenciamento de rótulo de confidencialidade

Os rótulos de confidencialidade são criados e gerenciados na central de conformidade do Microsoft 365.

Para acessar os rótulos de confidencialidade em qualquer um desses centros, navegue para Classificação > Rótulos de confidencialidade. Esses rótulos de confidencialidade podem ser usados por vários serviços da Microsoft, como a Proteção de Informações do Azure, os aplicativos do Office e os serviços do Office 365.

Importante

Se a sua organização usa rótulos de confidencialidade da Proteção de Informações do Azure, você precisa migrá-los para um dos serviços listados anteriormente para que eles sejam usados no Power BI.

Limitações

Geral

  • Não é recomendável permitir que os usuários apliquem rótulos pai dentro do Power BI (um rótulo só será considerado pai se ele tiver sub-rótulos). Se um rótulo pai for aplicado ao conteúdo, a exportação de dados desse conteúdo para um arquivo (Excel, PowerPoint e PDF) falhará. Consulte Sub-rótulos (rótulos de agrupamento).

  • Os rótulos de confidencialidade de dados não são compatíveis com os aplicativos de modelo. Os rótulos de confidencialidade definidos pelo criador do aplicativo de modelo são removidos quando o aplicativo é extraído e instalado, e os rótulos de confidencialidade adicionados aos artefatos em um aplicativo de modelo instalado pelo consumidor do aplicativo são perdidos (redefinidos para nothing) quando o aplicativo é atualizado.

  • No serviço do Power BI, se um conjunto de dados tiver um rótulo que foi excluído do centro de administração de rótulo, você não poderá exportar nem baixar os dados. Em Analisar no Excel, um aviso será emitido e os dados serão exportados para um arquivo .odc sem rótulo de confidencialidade. Na área de trabalho, se um arquivo .pbix tiver um rótulo inválido, você não poderá salvar o arquivo.

  • O Power BI não é compatível com os rótulos de confidencialidade dos tipos de proteção Não Encaminhar e definido pelo usuário e HYOK. Os tipos de proteção “Não Encaminhar” e os definidos pelo usuário referem-se aos rótulos definidos na Central de conformidade do Microsoft 365.

Serviço do Power BI

  • Os rótulos de confidencialidade podem ser aplicados apenas a dashboards, relatórios, conjuntos de dados e fluxos de dados. Atualmente, eles não estão disponíveis para relatórios paginados e pastas de trabalho.

  • Os rótulos de confidencialidade em ativos do Power BI ficam visíveis apenas na lista do workspace, nas exibições de linhagem, favoritos, recentes e de aplicativos. Atualmente, os rótulos não estão visíveis na exibição “compartilhado comigo”. Observe, no entanto, que um rótulo aplicado a um ativo do Power BI, mesmo que não esteja visível, sempre persistirá em dados exportados para arquivos do Excel, do PowerPoint e PDF.

Power BI Desktop (versão prévia)

  • Os arquivos .pbix protegidos só podem ser abertos por um usuário que tenha Controle total e/ou direitos de uso de Exportação para o rótulo relevante. O usuário que define o rótulo também tem Controle total e nunca pode ser bloqueado. Confira mais detalhes

  • "Publicar" ou "Obter dados" de um arquivo. pbix protegido requer que o rótulo no arquivo. pbix esteja na política de rótulo do usuário. Se o rótulo não estiver na política de rótulo do usuário, a ação Publicar ou Obter dados falhará.

  • Se o rótulo aplicado a um arquivo .pbix não for publicado para o usuário na central de conformidade do Microsoft 365, o usuário não conseguirá salvar o arquivo no Desktop.

  • Os usuários do Power BI Desktop podem enfrentar problemas para salvar o trabalho deles quando a conectividade com a Internet é perdida, como depois de ficar offline. Sem conexão com a Internet, algumas ações relacionadas a rótulos de confidencialidade e ao gerenciamento de direitos podem não ser concluídas corretamente. Nesses casos, é recomendável voltar a ficar online e tentar salvar novamente.

  • Se você tiver criado um modelo grande e o arquivo .pbix protegido resultante for muito grande (mais de 2 GB), ele poderá falhar quando você tentar salvá-lo ou abri-lo. Para contornar isso, considere remover a proteção do arquivo .pbix e reaplicá-la depois que o arquivo tiver sido publicado no serviço do Power BI.

    Em geral, quando você protege um arquivo com um rótulo de confidencialidade que aplica criptografia, é recomendável usar outro método de criptografia também, como criptografia de arquivo de paginação, criptografia NTFS, instâncias BitLocker, antimalware etc.

  • Os arquivos temporários não são criptografados.

  • Obter dados pode carregar arquivos protegidos somente se eles forem locais. Arquivos protegidos de serviços online como o SharePoint Online ou OneDrive for Business não podem ser carregados. Para um arquivo protegido, você pode carregá-lo do seu dispositivo local ou primeiro remover o rótulo do arquivo no Power BI Desktop e, em seguida, carregá-lo por meio de um dos serviços online.

  • Exportar para PDF não dá suporte a rótulos de confidencialidade. Se você exportar um arquivo que tem um rótulo de confidencialidade para PDF, o PDF não receberá o rótulo e nenhuma proteção será aplicada.

  • A proteção de informações no Power BI Desktop não dá suporte a B2B nem a cenários com multilocatário.

  • Se você substituir um relatório ou um conjunto de dados rotulado no serviço por um arquivo .pbix sem rótulo, os rótulos no serviço serão mantidos.

Próximas etapas

Este artigo forneceu uma visão geral da proteção de dados no Power BI. Os artigos a seguir fornecem mais detalhes sobre a proteção de dados no Power BI.