Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Fabric má flexibilní model oprávnění, který umožňuje řídit přístup k datům ve vaší organizaci. Tento článek vysvětluje různé typy oprávnění v prostředí Fabric a jak společně fungují k řízení přístupu k datům ve vaší organizaci.
Pracovní prostor je logická entita pro seskupení položek ve Fabric. Role pracovního prostoru definují přístupová oprávnění pro pracovní prostory. I když jsou položky uložené v jednom pracovním prostoru, dají se sdílet s ostatními uživateli napříč celou platformou Fabric. Když sdílíte položky ve Fabricu, můžete se rozhodnout, jaká oprávnění udělíte uživateli, se kterým položku sdílíte. Některé položky, jako jsou reporty Power BI, umožňují ještě podrobnější úroveň kontroly nad daty. Sestavy lze nastavit tak, aby v závislosti na oprávnění uživatelé, kteří si je prohlížejí, viděli pouze část dat, kterou obsahují.
Role pracovního prostoru
Role pracovního prostoru slouží k řízení přístupu k pracovním prostorům a obsahu v nich. Správce Fabric může přiřadit role pracovního prostoru jednotlivým uživatelům nebo skupinám. Role pracovního prostoru se omezují na konkrétní pracovní prostor a nevztahují se na jiné pracovní prostory, kapacitu, ve které se pracovní prostor nachází, nebo na tenanta.
Existují čtyři role pracovního prostoru, které platí pro všechny položky v pracovním prostoru. Uživatelé, kteří nemají žádnou z těchto rolí, nemají přístup k pracovnímu prostoru. Jedná se o následující role:
Prohlížeč – Může zobrazit veškerý obsah v pracovním prostoru, ale nemůže ho upravovat.
Přispěvatel – Může zobrazit a upravit veškerý obsah v pracovním prostoru.
Člen – Může zobrazit, upravit a sdílet veškerý obsah v pracovním prostoru.
Správce – může zobrazit, upravit, sdílet a spravovat veškerý obsah v pracovním prostoru, včetně správy oprávnění.
Tato tabulka ukazuje malou sadu funkcí, které každá role má. Úplný a podrobnější seznam najdete v tématu Role pracovního prostoru Microsoft Fabric.
| Schopnost | Správce | Člen | Přispěvatel | Prohlížeč |
|---|---|---|---|---|
| Smazat pracovní prostor | ✅ | ❌ | ❌ | ❌ |
| Přidání správců | ✅ | ❌ | ❌ | ❌ |
| Přidat členy | ✅ | ✅ | ❌ | ❌ |
| Zápis dat | ✅ | ✅ | ✅ | ❌ |
| Vytvoření položek | ✅ | ✅ | ✅ | ❌ |
| Čtení dat | ✅ | ✅ | ✅ | ✅ |
Oprávnění k položce
Oprávnění k položkám slouží k řízení přístupu k jednotlivým položkám Fabric v pracovním prostoru. Oprávnění k položce jsou omezena na konkrétní položku a nevztahují se na jiné položky. Oprávnění k položce slouží k řízení, kdo může zobrazovat, upravovat a spravovat jednotlivé položky v pracovním prostoru. Pomocí oprávnění k položce můžete uživateli udělit přístup k jedné položce v pracovním prostoru, ke kterému nemá přístup.
Když položku sdílíte s uživatelem nebo skupinou, můžete nakonfigurovat oprávnění k položce. Sdílení položky uživateli uděluje oprávnění ke čtení dané položky ve výchozím nastavení. Oprávnění ke čtení umožňují uživatelům zobrazit metadata pro danou položku a zobrazit sestavy, které jsou k ní přidružené. Oprávnění ke čtení ale neumožňují uživatelům přístup k podkladovým datům v SQL nebo OneLake. Pokud například sdílíte sestavu Power BI, která používá režim DirectLake, příjemce může sestavu zobrazit, ale musí mít také oprávnění k datům OneLake pro přímé dotazování podkladových tabulek Delta. Pro scénáře, které vyžadují hlubší přístup k datům, udělte další oprávnění na úrovni výpočetních prostředků prostřednictvím koncového bodu analýzy SQL nebo zabezpečení sémantických modelů.
Různé položky Fabric mají různá oprávnění. Další informace o oprávněních pro každou položku najdete tady:
Výpočetní oprávnění
Oprávnění je také možné nastavit v rámci konkrétního výpočetního modulu ve Fabricu, konkrétně prostřednictvím SQL analytického koncového bodu nebo v sémantickém modelu. Oprávnění výpočetního modulu umožňují podrobnější řízení přístupu k datům, například zabezpečení na úrovni tabulek a řádků.
Koncový bod analýzy SQL – Koncový bod analýzy SQL poskytuje přímý přístup SQL k tabulkám ve OneLake a může mít nativně nakonfigurované zabezpečení prostřednictvím příkazů SQL. Tato oprávnění platí jenom pro dotazy provedené prostřednictvím SQL.
Sémantický model – Sémantické modely umožňují definovat zabezpečení pomocí jazyka DAX. Omezení definovaná pomocí jazyka DAX platí pro uživatele dotazující se prostřednictvím sémantického modelu nebo sestav Power BI založených na sémantickém modelu.
Další informace najdete v těchto článcích:
Zabezpečení OneLake
OneLake má vlastní oprávnění pro řízení přístupu k tabulkám a složkám ve OneLake prostřednictvím zabezpečení OneLake. Zabezpečení OneLake umožňuje uživatelům vytvářet vlastní role v rámci lakehouse a udělit oprávnění ke čtení pouze určeným tabulkám a složkám při přístupu k OneLake. Pro každou roli OneLake můžou uživatelé přiřazovat uživatele, skupiny zabezpečení nebo udělovat automatické přiřazení na základě role pracovního prostoru.
Přečtěte si další informace o modelu řízení přístupu k datům OneLake a podívejte se na příručky s návody.
Sdílení dat mezi tenanty a klávesové zkratky OneLake
Zkratky OneLake nekopírují data; přístup je zajištěn u zdroje. Když sdílíte data mezi tenanty Microsoft Entra pomocí sdílení dat OneLake, externím uživatelům musí být udělena příslušná oprávnění k tabulce nebo složce OneLake pro přístup ke sdíleným datům. Klávesové zkratky, které odkazují na sdílená data mezi tenanty, se řídí stejným modelem oprávnění: zdrojový tenant řídí přístup a uživatelé, kteří využívají tenanta, musí mít explicitní oprávnění OneLake udělená vlastníkem dat.
Pořadí operací
Platforma má tři různé úrovně zabezpečení. Aby měl uživatel přístup k datům, musí mít přístup na každé úrovni. Každá úroveň se vyhodnocuje postupně, aby určila, jestli má uživatel přístup. Pravidla zabezpečení, jako zásady služby Microsoft Information Protection, se vyhodnocují na dané úrovni, aby povolila nebo zakázala přístup. Pořadí operací při vyhodnocování zabezpečení systému Fabric je:
- Ověřování Entra: Zkontroluje, jestli se uživatel může ověřit v tenantovi Microsoft Entra.
- Přístup k Fabric: Zkontroluje, jestli má uživatel přístup k Microsoft Fabric.
- Zabezpečení dat: Zkontroluje, jestli uživatel může provést požadovanou akci u tabulky nebo souboru.
V případě scénářů přístupu mezi tenanty se uživatelé nejprve ověřují prostřednictvím svého domácího tenanta Microsoft Entra. Pak Fabric ověří, že uživatel má udělený přístup ke sdíleným datům ve zdrojovém tenantovi prostřednictvím oprávnění ke sdílení dat v OneLake.
Příklady
Tato část poskytuje dva příklady, jak lze nastavit oprávnění ve Fabric.
Příklad 1: Nastavení oprávnění týmu
Wingtip Toys je nastavený s jedním tenantem pro celou organizaci a třemi kapacitami. Každá kapacita představuje jinou oblast. Wingtip Toys působí v USA, Evropě a Asii. Každá kapacita má pracovní prostor pro každé oddělení v organizaci, včetně prodejního oddělení.
Prodejní oddělení má manažera, vedoucího prodejního týmu a členy prodejního týmu. Wingtip Toys také využívá jednoho analytika pro celou organizaci.
Následující tabulka uvádí požadavky pro každou roli v prodejním oddělení a způsob, jakým jsou oprávnění nastavená tak, aby je povolovala.
| Role | Požadavek | Nastavení |
|---|---|---|
| Manažer | Zobrazení a úprava veškerého obsahu v prodejním oddělení v celé organizaci | Role člena pro všechny pracovní prostory prodeje v organizaci |
| Vedoucí týmu | Zobrazení a úprava veškerého obsahu v prodejním oddělení v konkrétní oblasti | Členská role prodejního pracoviště v regionu |
| Člen prodejního týmu | ||
| Analytik | Zobrazení veškerého obsahu v prodejním oddělení v celé organizaci | Role čtenáře pro všechny prodejní pracovní prostory v organizaci |
Wingtip má také čtvrtletní zprávu, která uvádí tržby za jednotlivé členy prodeje. Tato sestava je uložena ve finančním pracovním prostoru. Pomocí zabezpečení na úrovni řádků je sestava nastavená tak, aby každý člen prodeje viděl pouze své vlastní údaje o prodeji. Vedoucí týmu mohou vidět údaje o prodeji všech prodejních členů v jejich oblasti a manažer prodeje může vidět údaje o prodeji všech prodejních členů v organizaci.
Příklad 2: Oprávnění pro pracovní prostor a položky
Když sdílíte položku nebo změníte její oprávnění, role pracovního prostoru se nezmění. Příklad v této části ukazuje, jak pracují oprávnění pracovního prostoru a položky.
Veronica a Marta spolupracují. Veronica je vlastníkem zprávy, kterou chce sdílet s Martou. Pokud Veronica sdílí sestavu s Martou, bude mít Marta k ní přístup bez ohledu na její roli v pracovním prostoru.
Řekněme, že Marta má v pracovním prostoru, kde je sestava uložená, roli čtenáře. Pokud se Veronica rozhodne odebrat Martině oprávnění k položce ze sestavy, bude Marta stále moct sestavu zobrazit v pracovním prostoru. Marta bude také moct otevřít sestavu z pracovního prostoru a zobrazit její obsah. Je to proto, že má Marta oprávnění k zobrazení pracovního prostoru.
Pokud Veronica nechce, aby Marta sestavu zobrazila, odebrání Martiných oprávnění z této sestavy nestačí. Veronica také potřebuje odebrat oprávnění Marty pro prohlížení z pracovního prostoru. Bez oprávnění k zobrazení pracovního prostoru nebude Marta moct zjistit, že sestava existuje, protože nebude mít přístup k tomuto prostoru. Marta také nebude moct použít odkaz na sestavu, protože nemá přístup k sestavě.
Když teď Marta nemá roli čtenáře pracovního prostoru, pokud se Veronica rozhodne sestavu znovu sdílet s ní, bude ji moct Marta zobrazit pomocí odkazu, který jí Veronica sdílí, aniž by měl přístup k pracovnímu prostoru.
Příklad 3: Oprávnění aplikace Power BI
Při sdílení sestav Power BI často chcete, aby příjemci měli přístup jenom k sestavám, a ne k položkám v pracovním prostoru. K tomu můžete použít aplikace Power BI nebo sdílet sestavy přímo s uživateli.
Kromě toho můžete omezit přístup prohlížeče k datům pomocí zabezpečení na úrovni řádků (RLS) a pomocí zabezpečení na úrovni řádků můžete vytvářet role, které mají přístup k určitým částem dat, a omezit výsledky, které vracejí jenom to, k čemu má identita uživatele přístup.
To funguje správně při použití modelů importu při importu dat v sémantickém modelu a příjemci k tomu mají přístup jako součást aplikace. Pomocí DirectLake zpráva čte data přímo z Lakehouse a příjemce zprávy musí mít přístup k těmto souborům v Lakehouse. Můžete to udělat několika způsoby:
- Udělte
ReadDataoprávnění přímo pro Lakehouse. - Přepněte přihlašovací údaje zdroje dat z Jednotného přihlašování (SSO) na pevnou identitu uživatele, který má přístup k souborům v datovém jezeře.
Protože je zabezpečení na úrovni řádků definováno v sémantickém modelu, data se nejprve načtou a následně se řádky vyfiltrují.
Pokud je v koncovém bodu analýzy SQL definované nějaké zabezpečení, na které je sestava založená, dotazy se automaticky vrátí do režimu DirectQuery. Pokud nechcete toto výchozí náhradní chování, můžete vytvořit nové Lakehouse pomocí zástupců k tabulkám v původním Lakehouse a nedefinovat RLS ani OLS v SQL v novém Lakehouse.
Poznámka:
Ve scénářích mezi tenanty, kdy sestava Power BI používá režim DirectLake a odkazuje na data sdílená prostřednictvím OneLake, musí mít externí příjemce oprávnění ke čtení na úrovni položek v sestavě i oprávnění k datům OneLake ve sdílených tabulkách ve zdrojovém tenantovi.