Die Sensitivity Labels sind Teil der sogenannten Information Protection Architektur von Microsoft 365 und können auch in Power BI zur Umsetzung der firmenspezifischen Data Governance Regeln genutzt werden.

Grundsätzlich geht es einerseits um die Kennzeichnung vertraulicher Informationen innerhalb von Power BI und andererseits um den Schutz vertraulicher Informationen beim Export aus Power BI in Files. Nach meiner Einschätzung funktioniert die Kennzeichnung innerhalb von Power BI bereits recht schlüssig, beim Schutz exportierter Daten gibt es aber noch Lücken und Ausbaupotential. Dennoch macht es jedenfalls bereits heute Sinn, diese Funktion zu nutzen, um den Schutz vertraulicher Daten in die eigene Datenorganisation einzubauen.

Für die Zuweisung von Sensitivity Labels muß (1) das Feature vom Power BI Administrator freigeschalten sein, (2) eine Power BI Pro oder Premium Lizenz verwendet werden und (3) der Anwender Bearbeitungsrechte auf die Power BI Anwendung haben.

1. Anwendung der Sensitivity Labels in Power BI

Die Sensitivity Labels sind kein Power BI spezifisches Feature sondern stehen in allen Office Dokumenten sowie e-Mails zur Verfügung:

Die Auswahl der Sensitivity Labels in Power BI Desktop ist (derzeit) optisch nicht ganz so attraktiv wie im e-Mail Editor, aber die Funktion ist die gleiche:

Die Sensitivity Labels werden im Power BI Cloud Service natürlich angezeigt und können über die Settings der Reports und des Datasets auch gleich direkt im Cloud Service verändert werden:

Zusätzlich zu den Reports und Datasets können derzeit auch (ausgewählte) Datenquellen, Dataflows, Dashboards und Paginated Reports mit Sensitivity Labels versehen werden.

2. Wirkung der Sensitivity Labels

Die Sensitivity Labels wirken einerseits als Kennzeichnung vertraulicher Informationen innerhalb von Power BI und andererseits bewirken diese den Schutz vertraulicher Informationen beim Export aus Power BI in Files.

2a. Schutz durch Kennzeichnung

Das gewählte Sensitivity Label ist für die Berichtskonsument:innen sowohl auf Objektebene (siehe oben) als auch im Report selbst gut sichtbar platziert:

Das Sensitivity Label ist auch gut bei der Distribution über die sog. Apps zu sehen.

Kritisch zu bewerten ist die Darstellung in der mobilen Power BI App am Smartphone und Tablet, dort wird das Sensitivity Label zwar in der Auswahlliste für Reports und Dashboards klein aber immerhin erkennbar angezeigt, aber leider nicht im Report selbst.

Wichtig ist auch festzustellen, daß das Sensitivity Label im Power BI Cloud Service keinen Einfluß auf die Sichtbarkeit eines Reports hat, es ist also nicht Bestandteil des Berechtigungssystems.

2b. Schutz beim Exportieren

Sensitivity Labels und deren inhärente Verschlüsselungseinstellungen werden beim Export über die sogenannten "supported export paths" angewendet:

• Export nach Excel, PDF oder PowerPoint
• Analyze in Excel (oder Live Connection aus Excel PivotTable)
• Download als PBIX file

Beim Export des Reports nach PowerPoint erhält das PPT Exportdokument das Sensitivity Label vererbt und - sofern dies im Label definiert ist - wird auch die Verschlüsselung auf die Exportdatei angewendet:

Ebenso geschieht dies beim Export der Visual Daten in ein XLSX Exportdokument:

Und auch beim Zugriff auf das Dataset mit der Analyze in Excel Funktion:

3. Administration der Sensitivity Labels in Power BI

Die Verfügbarkeit der Sensitivity Labels in der Power BI Umgebung wird in den Tenant Settings des Admin Portals (durch den Power BI Admin) definiert ...

... und hier ist auch der weiterführende Hinweis zu finden, daß die Definition der Sensitivity Labels selbst im Cloud Service Microsoft Purview erfolgt:

Interessante Einblicke in das Handling der Sensitivity Labels im Unternehmen liefert übrigens der Data protection metrics report ebenfalls im Admin Portal (zugänglich nur für Power BI Admins):

4. Administration der Sensitivity Labels in Microsoft Purview

Der Hyperlink im Admin Portal zum Microsoft Purview compliance portal (siehe Screenshot oben) hat bei mir nicht funktioniert bzw. in die Irre geführt, daher habe ich stattdessen diesen Link hier verwendet:

https://compliance.microsoft.com

4a. Definition der Sensitivity Labels

Im Bereich Information protection werden zuerst die Labels definiert, die in der (gesamten) Microsoft 365 Umgebung zur Verfügung stehen werden:

Von den zahlreichen zu treffenden Settings möchte ich hier nur das Content marking zeigen, da hier definiert wird, ob das gewählte Sensitivity Label bspw. als Wasserzeichen mitgedruckt werden soll:

Hier der Summary aller getroffenen Settings:

4b. Anlage der Label policies

Damit die Sensitivity Labels wirksam werden, müssen diese über eine sogenannte Policy veröffentlicht werden:

Interessant ist hier der Screen mit den Policy settings, hier wird bspw. definiert, ob die Zuweisung eines Labels zwingend zu erfolgen hat und bspw. ob eine Begründung angegeben werden muß, wenn das Sensitivity Label zurückgestuft wird:

Und auch hier der Summary aller getroffenen Settings:

Betrachtungen und bekannte Limitierungen

Folgende wichtige Betrachtungen:

• Die Sensitivity Labels sind kein Bestandteil des Berechtigungssystems in Power BI, haben also keine Wirkung auf die Sichtbarkeit von Inhalten im Power BI Cloud Service
• Die im Sensitivity Label ggfs. hinterlegte Verschlüsselung (Encrytion) wird nicht auf Power BI Objekte wie Reports, Datasets, usw. angewendet ...
• ... jedoch sehr wohl auf die PBIX Files und die über die sogenannten "supported export path" exportierten Daten (siehe oben)

Bekannte Limitierungen:

• In der mobilen App ist das Sensitivity Label (derzeit) nicht im Report, Dashboard oder in der App selbst sichtbar (sondern nur in der Objektliste)
• Die via e-Mail Subscription versandten e-Mails enthalten (derzeit) leider kein Label und sind dann wohl auch nicht verschlüsselt
• Beim PDF Druck wird das Content Marking (Footer, Wasserzeichen, etc.) derzeit leider nicht angewendet (obwohl im Label definiert)
• Sensitivity Labels sind nicht im Power BI Report Server (PBI-RS) verfügbar

Fazit

Wie schon eingangs erwähnt, sollten die Sensitivity Labels jedenfalls eingesetzt werden, auch wenn die Kennzeichnung von Power BI Objekten und der Schutz exportierter Daten möglicherweise auf den ersten Blick als nebensächlich erscheinen mag. Mit fortschreitender Ausbreitung von Power BI im Unternehmen gewinnt das Thema dann aber rasch an Bedeutung!

Quellen

https://powerbi.microsoft.com/en-us/blog/easily-label-your-data-the-new-sensitivity-bar-for-power-bi-and-fabric/

https://learn.microsoft.com/en-us/power-bi/enterprise/service-security-sensitivity-label-overview

https://learn.microsoft.com/en-us/power-bi/enterprise/service-security-apply-data-sensitivity-labels

https://learn.microsoft.com/de-de/purview/purview

https://learn.microsoft.com/en-us/purview/encryption-sensitivity-labels

https://compliance.microsoft.com

https://learn.microsoft.com/de-de/power-bi/guidance/powerbi-adoption-roadmap-governance