Power BI 中的敏感度標籤

本文說明 Power BI 中 Microsoft Purview 資訊保護 敏感度標籤的功能。

如需在租用戶上啟用敏感度標籤的相關信息，包括授權需求和必要條件，請參閱 在Power BI 中啟用數據敏感度標籤。

如需如何在Power BI內容和檔案上套用敏感度標籤上，請參閱 如何在Power BI 中套用敏感度標籤。

提供您的意見反應給我們

產品小組想要取得Power BI資訊保護功能的意見反應，以及其與 Microsoft Purview 資訊保護的整合。 協助我們符合信息保護需求！ 感謝您！

簡介

Purview 中的敏感度標籤 資訊保護 提供簡單的方法，讓使用者在 Power BI 中分類重要內容，而不會影響生產力或共同作業的能力。 它們可以在Power BI Desktop和 Power BI 服務 中套用，讓您能夠在您第一次開始透過即時連線從 Excel 存取內容時，保護敏感數據。 當您以 .pbix 檔案的形式來回移動您的內容時，會保留敏感度標籤。

在 Power BI 服務 中，敏感度標籤可以套用至語意模型、報表、儀錶板和數據流。 當已標記的數據離開Power BI時，無論是透過匯出至Excel、PowerPoint、PDF或 .pbix 檔案，或是透過其他支持的導出案例，例如[在 Excel 中進行分析] 或 Excel 中的即時連線數據透視表，Power BI 會自動將標籤套用至導出的檔案，並根據標籤的檔案加密設定加以保護。 如此一來，即使您離開 Power BI，敏感數據仍可保持保護。

此外，敏感度標籤可以套用至 Power BI Desktop 中的 .pbix 檔案，以便在數據與內容在 Power BI 外部共用時是安全的（例如，只有組織內的使用者可以開啟在電子郵件中共用或附加的機密 .pbix），甚至在發佈至 Power BI 服務 之前。 如需詳細資訊，請參閱 使用敏感度標籤來限制內容的存取權以套用加密 。

報表、儀錶板、語意模型和數據流上的敏感度標籤可從 Power BI 服務 的許多位置看到。 報表和儀錶板上的敏感度標籤也會顯示在Power BI iOS和Android行動裝置應用程式和內嵌視覺效果中。 在 Desktop 中，您可以在狀態列中看到敏感度標籤。

Power BI 管理入口網站中提供的保護計量報表可讓 Power BI 系統管理員完整查看 Power BI 租使用者中的敏感數據。 此外，Power BI 稽核記錄包含有關活動敏感度標籤資訊，例如套用、移除和變更標籤，以及檢視報表、儀錶板等活動的相關信息。這可讓Power BI和安全性系統管理員瞭解敏感數據耗用量，以監視和調查安全性警示。

重要考量

在 Power BI 服務 中，敏感度卷標不會影響內容的存取。 服務中內容的存取權完全由Power BI許可權管理。 雖然可以看到標籤，但不會套用任何相關聯的加密設定（在 Microsoft Purview 合規性入口網站 中設定）。 它們只會套用至透過支援的導出路徑離開服務的數據，例如導出至 Excel、PowerPoint 或 PDF，並下載至 .pbix。

在 Power BI Desktop 中，具有加密設定 的敏感度標籤會影響 內容的存取。 如果使用者根據 .pbix 檔案上敏感度標籤的加密設定沒有足夠的 許可權 ，他們將無法開啟檔案。 此外，在 Desktop 中，當您儲存工作時，您新增的任何敏感度標籤及其相關聯的加密設定都會套用至已儲存的 .pbix 檔案。

敏感度標籤和檔案加密 不會 套用在不支援的匯出路徑中。 Power BI 系統管理員可以封鎖從不支持的匯出路徑匯出。

注意

授與報表存取權的使用者會被授與整個基礎語意模型的存取權，除非 數據列層級安全性 （RLS） 會限制其存取權。 報表作者可以使用敏感度標籤標來分類和標記報表。 如果敏感度標籤具有保護設定，當報表數據透過支援的導出路徑離開 Power BI 時，Power BI 會套用這些保護設定，例如匯出至 Excel、PowerPoint 或 PDF、下載至 .pbix 和 Save （Desktop）。 只有授權的使用者才能開啟受保護的檔案。

支援的導出路徑

下列匯出路徑目前支援將敏感度標籤及其相關聯的保護套用至離開 Power BI 服務 的數據：

• 導出至 Excel、PDF 檔案和 PowerPoint。
• 從 Power BI 服務 分析 Excel，這會觸發使用 Power BI 語意模型的即時連線下載 Excel 檔案。
• Excel 中的數據透視表與 Power BI 語意模型的即時連線，適用於具有 Microsoft 365 E3 和更新版本的使用者。
• 下載至 .pbix （服務）

注意

使用下載 Power BI 服務 中的 .pbix 時，如果下載的報表及其語意模型有不同的卷標，則會將較嚴格的標籤套用至 .pbix 檔案。

在 Power BI Desktop 中，匯出至 PDF 中的敏感度標籤支援是預設開啟的預覽功能。 可以關閉它。 如需詳細資訊，請參閱 桌面考慮和限制 。

敏感度標籤在Power BI中的運作方式

當您將敏感度標籤套用至 Power BI 內容和檔案時，它類似於在該資源上套用具有下列優點的標籤：

• 可 自定義 - 您可以在組織中為不同層級的敏感性內容建立類別，例如個人、公用、一般、機密和高度機密。
• 純文本 - 由於標籤是純文字 ，因此使用者很容易瞭解如何根據敏感度標籤指導方針處理內容。
• 持續性 - 在敏感度標籤套用至內容之後，它會在匯出至 Excel、PowerPoint 和 PDF 檔案、下載至 .pbix 或儲存的 .pbix 時隨附該內容，並成為套用和強制執行原則的基礎。

以下是Power BI中敏感度標籤運作方式的快速範例。 下圖顯示如何在 Power BI 服務 的報表上套用敏感度標籤，然後將報表中的數據匯出至 Excel 檔案，最後說明敏感度標籤及其保護如何保存在導出的檔案中。

您套用至內容的敏感度標籤會隨內容一起保存和漫遊，因為它在整個 Power BI 中使用和共用。 您可以使用標籤來產生使用報告，以及查看敏感性內容的活動數據。

Power BI Desktop 中的敏感度標籤

敏感度標籤也可以在Power BI Desktop 中套用。 這可讓您從第一次開始開發內容的那一刻起保護數據。 當您將工作儲存在 Desktop 中時，您套用的敏感度標籤，以及任何相關聯的加密設定，會套用至產生的 .pbix 檔案。 如果標籤具有加密設定，檔案就會在任何地方受到保護，但會傳輸檔案。 只有具備 必要 RMS 許可權 的使用者才能開啟它。

注意

某些限制可能適用。 請參閱 考慮和限制。

如果您在 Desktop 中套用敏感度標籤、將工作發佈至服務時，或將該工作的 .pbix 檔案上傳至服務時，捲標會隨數據一起移動至服務。 在服務中，標籤會同時套用至語意模型和您使用檔案取得的報表。 如果語意模型和報表已經有敏感度標籤，您可以選擇保留這些標籤，或使用來自桌面的標籤覆寫標籤。

如果您上傳之前從未發行至服務的 .pbix 檔案，且其名稱與服務上已存在的報表或語意模型相同，則只有在上傳者具有變更卷標所需的 RMS 許可權時，上傳才會成功。

同樣地，在相反的方向也是如此 - 當您在服務中下載至 .pbix，然後將 .pbix 載入 Desktop 時，服務中的捲標會套用至下載的 .pbix 檔案，並從該處載入至桌面。 如果服務中的報表和語意模型具有不同的標籤，則會將兩者的限制更嚴格的套用至下載的 .pbix 檔案。

當您在 Desktop 中套用標籤時，它會顯示在狀態列中。

瞭解如何將敏感度標籤套用至 Power BI 內容和檔案。

建立新內容時的敏感度標籤繼承

在 Power BI 服務 中建立新的報表和儀錶板時，它們會自動繼承先前在父語意模型或報表上套用的敏感度標籤。 例如，在具有「高度機密」敏感度卷標的語意模型之上建立的新報表也會自動接收「高度機密」標籤。

下圖顯示語意模型敏感度標籤如何自動套用至建置在語意模型之上的新報表上。

注意

如果基於任何原因，敏感度標籤無法套用到新的報表或儀錶板上，Power BI 將不會 封鎖新專案的建立。

來自數據源的敏感度標籤繼承

連線至支持數據源中敏感度標籤數據的Power BI語意模型可以繼承這些標籤，讓數據在帶入Power BI時保持機密且安全。 目前支援 Azure Synapse Analytics（先前稱為 SQL 數據倉儲）和 Azure SQL 資料庫。 請參閱 數據源的 敏感度標籤繼承，以瞭解從數據源繼承的運作方式，以及如何為您的組織啟用它。

敏感度標籤下游繼承

當敏感度標籤套用至 Power BI 服務 中的語意模型或報表時，就可以讓標籤向下移動，並自動套用至從該語意模型或報表建置的內容。 這項功能稱為下游繼承。

下游繼承是Power BI端對端資訊保護解決方案中的重要連結。 除了從數據源繼承、在建立新內容時繼承、匯出至檔案時的繼承，以及套用敏感度標籤的其他功能，下游繼承有助於確保敏感數據在Power BI 從數據源到耗用量點的整個旅程中仍保持受保護。

深入瞭解下游繼承

資料外洩防護 (DLP) 原則

Power BI 利用 Microsoft 365 數據外洩防護，讓中央安全性小組能夠使用數據外洩防護原則在 Power BI 中強制執行其組織的 DLP 原則。 如需詳細資訊，請參閱 Power BI 的數據外洩防護原則。

默認標籤原則

為了協助確保敏感數據的全面保護和控管，組織可以為Power BI建立預設標籤原則，以自動將預設敏感度標籤的內容。 目前，Power BI Desktop 僅支援默認標籤原則。 如需詳細資訊，請參閱 默認卷標原則。

強制標籤原則

為了協助確保敏感數據的全面保護和控管，組織可以要求使用者將標籤套用至其敏感性 Power BI 內容。 這類原則稱為強制標籤原則。 如需詳細資訊，請參閱 Power BI 的必要標籤原則。

管理員 API，以程式設計方式設定和移除標籤

為了符合合規性需求，組織通常需要分類和標記 Power BI 中的所有敏感數據。 對於在Power BI 中具有大量數據的租使用者而言，這項工作可能會很困難。 為了讓工作更容易且更有效率，Power BI 具有系統管理員 REST API，系統管理員可以用來以程序設計方式設定和移除大量 Power BI 成品的敏感度標籤。 請參閱下列項目：

• 管理員 - InformationProtection SetLabelsAs 管理員
• 管理員 - InformationProtection RemoveLabelsAs 管理員

敏感度標籤上的活動稽核

每當套用、變更或移除語意模型、報表、儀錶板或數據流上的敏感度卷標時，該活動就會記錄在Power BI的稽核記錄中。 您可以在統一稽核記錄或 Power BI 活動記錄中追蹤這些活動。 如需詳細數據，請參閱 Power BI 中敏感度標籤的稽核架構。

匯出數據的敏感度標籤和保護

將數據從Power BI匯出至Excel、PDF檔案（僅限服務）或PowerPoint檔案時，Power BI 會自動在導出的檔案上套用敏感度標籤，並根據卷標的檔案加密設定加以保護。 如此一來，無論您的敏感數據位於何處，都會受到保護。

從 Power BI 匯出檔案的使用者有權根據敏感度標籤設定存取和編輯該檔案;他們不會取得檔案的擁有者許可權。

注意

使用下載 Power BI 服務 中的 .pbix 時，如果下載的報表及其語意模型有不同的卷標，則會將較嚴格的標籤套用至 .pbix 檔案。

當數據匯出至.csv、檔案或任何其他不支援的導出路徑時，不會套用敏感度標籤和保護。

將敏感度標籤和保護套用至導出的檔案並不會將內容標記新增至檔案。 不過，如果標籤設定為套用內容標記，Azure 資訊保護 統一卷標用戶端會在 Office 傳統型應用程式中開啟檔案時自動套用標記。 當您針對桌面、行動裝置或 Web 應用程式使用內建標籤時，不會自動套用內容標記。 如需詳細資訊，請參閱 Office 應用程式 套用內容標記和加密。

如果數據匯出至檔案時無法套用標籤，匯出就會失敗。 若要檢查匯出是否因為無法套用標籤而失敗，請在開啟的資訊下拉式清單中選取報表或儀錶板名稱，並查看其是否顯示「無法載入敏感度標籤」。 這可能會因為暫時系統問題而發生，或安全性系統管理員取消發佈或刪除套用的標籤。

在 Excel 中分析中的敏感度標籤繼承

當您在 Excel 中建立資料透視表與 Power BI 語意模型的即時連線時（您可以透過分析 Excel 或 Excel 從 Power BI 執行此動作），語意模型的敏感度卷標會繼承並套用至 Excel 檔案，以及任何相關聯的保護。 如果語意模型上的標籤稍後會變更為更嚴格的標籤，則連結 Excel 檔案上套用的標籤會在數據重新整理時自動更新。

在 Excel 中手動設定的敏感度標籤不會由語意模型的敏感度標籤自動覆寫。 相反地，橫幅會通知您語意模型具有敏感度標籤，並建議您加以套用。

注意

如果語意模型的敏感度標籤限制低於 Excel 檔案的敏感度標籤，則不會進行標籤繼承或更新。 Excel 檔案永遠不會繼承較不嚴格的敏感度標籤。

內嵌報表和儀錶板中的敏感度標籤持續性

您可以在商務應用程式中內嵌Power BI報表、儀錶板和視覺效果，例如 Microsoft Teams 和 SharePoint，或在組織的網站中。 當您內嵌已套用敏感度卷標的視覺效果、報表或儀錶板時，敏感度卷標會顯示在內嵌檢視中，而標籤及其保護會在數據導出至 Excel 時保存。

支援下列內嵌案例：

• 為組織內嵌
• Microsoft 365 應用程式（例如 Teams 和 SharePoint）
• 安全 URL 內嵌（從 Power BI 服務 內嵌）

編頁報表中的敏感度標籤

敏感度標籤可以套用至裝載於 Power BI 服務 的編頁報表。 將編頁報表上傳至服務之後，您可以將標籤套用至報表，就像將標籤套用至一般 Power BI 報表一樣。 如需詳細資訊，請參閱 編頁報表 的敏感度標籤支援。

部署管線中的敏感度標籤

部署管線支援敏感度標籤。 如需敏感度標籤從階段部署至階段時如何處理敏感度標籤的詳細數據，請參閱部署管線檔。

Power BI 行動裝置應用程式中的敏感度標籤

您可以在 Power BI 行動裝置應用程式中的報表和儀錶板上檢視敏感度標籤。 報表或儀錶板名稱附近的圖示表示其具有敏感度標籤，而且可以在報表或儀錶板的資訊方塊中找到標籤的類型及其描述。

標籤變更強制執行

Power BI 會限制從 Purview 變更或移除敏感度標籤的許可權，資訊保護 只有授權的使用者具有檔案加密設定。 如需詳細資訊，請參閱 敏感度標籤變更強制執行 。

支援的雲端

全域 （公用） 雲端中的租用戶支援敏感度標籤，以及下列國家/地區雲端：

• 美國政府：GCC、GCC High、DoD
• 中國

其他國家/地區雲端目前不支援敏感度標籤。

授權和需求

請參閱 授權和需求。

敏感度標籤建立和管理

敏感度標籤會在 Purview 合規性入口網站中建立和管理。

若要存取這其中一個中心的敏感度標籤，請流覽至 [分類 > 敏感度卷標]。 這些敏感度標籤可供多個 Microsoft 服務 使用，例如 Azure 資訊保護、Office 應用程式 和 Office 365 服務。

重要

如果您的組織使用 Azure 資訊保護 敏感度標籤，您必須將它們移轉至其中一個先前列出的服務，才能在 Power BI 中使用標籤。

自訂說明連結

若要協助使用者瞭解敏感度標籤的意義或使用方式，您可以提供 在套用敏感度標籤時所看到敏感度標籤表底部的 [深入瞭解 URL]。

如需詳細數據，請參閱 敏感度標籤 的自訂說明連結。

考量與限制

一般

• 請勿使用父標籤。 父卷標是具有子捲標的標籤。 您無法套用父標籤，但如果已套用標籤，則已套用的標籤可能會變成父標籤。 如果您遇到具有父卷標的專案，請套用適當的子捲標。 若要變更父標籤，您必須在標籤上擁有足夠的許可權。

  如果專案具有父標籤，請注意下列行為：

  • 不會繼承父標籤。
  • 強制標籤原則不會套用至具有父卷標的專案。 這表示使用者不需要套用有意義的標籤才能儲存專案，而專案將會逸出設計來提升涵蓋範圍的必要標籤原則。
  • 如果您嘗試從具有父標籤的項目匯出數據，匯出將會失敗。
  • 可以發佈 具有父標籤的 .pbix 檔案，但如果父標籤受到保護，發佈將會失敗。 解決方案是套用適當的子捲標。

• 範本應用程式不支持數據敏感度標籤。 範本應用程式建立者所設定的敏感度標籤在應用程式擷取並安裝時移除，應用程式取用者在已安裝的範本應用程式中新增至成品的敏感度標籤會在應用程式更新時遺失（重設為無）。

• 在 Power BI 服務 中，如果語意模型具有已從標籤系統管理中心刪除的標籤，您將無法匯出或下載數據。 在 [在 Excel 中進行分析] 中，將會發出警告，並將數據匯出至沒有敏感度卷標的 .odc 檔案。

• Power BI 不支援 [不可轉寄]、使用者定義和 HYOK 保護類型的敏感度標籤。 [不要轉寄] 和使用者定義保護類型是指 Purview 合規性入口網站中定義的標籤。

• 除非檔案儲存在閘道後方，否則支援從加密的Excel （.xlsx） 檔案取得數據和重新整理案例，在此情況下，取得數據/重新整理動作將會失敗。 從儲存在閘道後方且具有 未受保護 敏感度標籤的 Excel 檔案取得數據和重新整理動作將會成功，但不會繼承敏感度標籤。 如需詳細資訊，請參閱 來自數據源的 敏感度標籤繼承。

• Power BI 中的資訊保護不支援 B2B 和 多租使用者案例。

Power BI 服務

• 敏感度標籤只能在儀錶板、報表、語意模型、數據流和 編頁報表上套用。 活頁簿目前無法使用。

• Power BI 資產上的敏感度標籤會顯示在工作區清單、譜系、我的最愛、最近專案和應用程式檢視中;卷標目前不會顯示在 [與我共用] 檢視中。 不過請注意，套用至 Power BI 資產的標籤，即使看不見，一律會保存導出至 Excel、PowerPoint、PDF 和 PBIX 檔案的數據。

• 支援從這類檔案匯入儲存在 OneDrive 或 SharePoint Online 上的敏感度標籤 .pbix 檔案，以及隨選和自動語意模型重新整理，但下列案例除外：

  • 受保護的即時連線 .pbix 檔案和受保護的 Azure Analysis Services .pbix 檔案。 重新整理將會失敗。 報表內容和標籤都不會更新。
  • 標記為未受保護的即時 連線 .pbix 檔案：報表內容將會更新，但不會更新標籤。
  • 當 .pbix 檔案已套用新的敏感度標籤時，語意模型擁有者沒有許可權。 在此情況下，重新整理將會失敗。 報表內容和標籤都不會更新。
  • 如果 OneDrive/SharePoint 的語意模型擁有者存取令牌已過期。 在此情況下，重新整理將會失敗。 報表內容和標籤都不會更新。

Power BI Desktop

• 適用於 Power BI 報表伺服器的 Power BI Desktop 不支援信息保護。 如果您嘗試開啟受保護的 .pbix 檔案，檔案將不會開啟，而且您會收到錯誤訊息。 未加密的敏感度標籤 .pbix 檔案可以正常開啟。

• 具有免費授權的用戶無法開啟受保護的 .pbix 檔案。

• 若要開啟受保護的 .pbix 檔案，具有適當授權的使用者也必須擁有 相關標籤的完整控制權 和/或 導出 許可權 。 查看更多詳細數據。

  設定標籤的使用者會取得完全控制，而且除非連線失敗且無法進行驗證，否則永遠無法鎖定。

  在極少數情況下，除了設定卷標的人員之外，可能沒有人擁有相關標籤的必要使用權。 然後，如果該人員離開組織或變更組織內的別名，則所有對 .pbix 檔案的存取都會遺失。 在這種情況下，重新取得檔案存取權的解決方案是使用 set/remove sensitivity label 管理員 API 變更或移除檔案上的敏感度標籤。 請連絡 Power BI 系統管理員以取得協助（只有系統管理員可以執行 管理員 API）。

• 受保護 .pbix 檔案的「發佈」或「取得數據」要求 .pbix 檔案上的標籤位於使用者的 標籤原則中。 如果標籤不在使用者的標籤原則中，發佈或取得數據動作將會失敗。

• Power BI 支援透過在服務主體下執行的 API，發行或匯入具有 未受保護 敏感度標籤的 .pbix 檔案。 不支援透過在服務主體下執行的 API，將具有受保護敏感度標籤的 .pbix 檔案發佈或匯入至服務，且將會失敗。 若要減輕問題，使用者可以移除標籤，然後使用服務主體發佈。

• 當因特網連線中斷時，Power BI Desktop 使用者可能會遇到儲存工作的問題，例如離線之後。 沒有因特網連線，與敏感度標籤和版權管理相關的某些動作可能無法正確完成。 在這種情況下，建議您回到在線，然後再試一次儲存。

• 一般而言，當您使用套用加密的敏感度標籤來保護檔案時，最好也使用其他加密方法，例如頁面檔加密、NTFS 加密、BitLocker 實例、反惡意代碼等。

• 暫存盤不會加密。

• 在桌面 匯出至 PDF 支援敏感度標籤作為預設開啟的預覽功能。 若要關閉預覽功能，請移至 [ 檔案 > 選項和設定 > 選項 > 預覽功能]，然後取消核取 [在導出的 PDF 上啟用設定敏感度卷標]。 如果您關閉預覽功能，當您將具有敏感度標籤的檔案匯出至 PDF 時，PDF 將不會收到標籤，也不會套用任何保護。

• 如果您使用未標記的 .pbix 檔案覆寫服務中的已標記語意模型或報表，則會保留服務中的標籤標。

相關內容

本文提供 Power BI 中數據保護的概觀。 下列文章提供 Power BI 中數據保護的詳細數據。

• 在 Power BI 中啟用敏感度標籤
• 如何在Power BI 中套用敏感度標籤
• 在 Power BI 中使用 適用於雲端的 Microsoft Defender Apps 控制件
• 保護計量報告
• Power BI 實作規劃：Power BI 的信息保護