Tilladelsesmodel
Microsoft Fabric har en fleksibel tilladelsesmodel, der giver dig mulighed for at styre adgangen til data i din organisation. I denne artikel forklares de forskellige typer tilladelser i Fabric, og hvordan de arbejder sammen om at styre adgangen til data i din organisation.
Et arbejdsområde er et logisk objekt til gruppering af elementer i Fabric. Arbejdsområderoller definerer adgangstilladelser til arbejdsområder. Selvom elementer gemmes i ét arbejdsområde, kan de deles med andre brugere på tværs af Fabric. Når du deler Fabric-elementer, kan du beslutte, hvilke tilladelser du vil give den bruger, du deler elementet med. Visse elementer, f.eks. Power BI-rapporter, tillader endnu mere detaljeret kontrol af data. Rapporter kan konfigureres, så brugere, der får vist dem, kun kan se en del af de data, de har, afhængigt af deres tilladelser.
Arbejdsområderoller
Arbejdsområderoller bruges til at styre adgangen til arbejdsområder og indholdet i dem. En Fabric-administrator kan tildele arbejdsområderoller til individuelle brugere eller grupper. Arbejdsområderoller er begrænset til et bestemt arbejdsområde og gælder ikke for andre arbejdsområder, den kapacitet, arbejdsområdet er i, eller lejeren.
Der er fire arbejdsområderoller, og de gælder for alle elementer i arbejdsområdet. Brugere, der ikke har nogen af disse roller, kan ikke få adgang til arbejdsområdet. Rollerne er:
Fremviser – Kan få vist alt indhold i arbejdsområdet, men kan ikke ændre det.
Bidragyder – kan få vist og redigere alt indhold i arbejdsområdet.
Member – Kan få vist, redigere og dele alt indhold i arbejdsområdet.
Administrator – kan få vist, redigere, dele og administrere alt indhold i arbejdsområdet, herunder administrere tilladelser.
I denne tabel vises et lille sæt af de egenskaber, som hver rolle har. Du kan finde en komplet og mere detaljeret liste under Microsoft Fabric-arbejdsområderoller.
| Egenskab | Administrator | Medlem | Bidragyder | Seer |
|---|---|---|---|---|
| Slet arbejdsområdet | ✅ | ❌ | ❌ | ❌ |
| Tilføj administratorer | ✅ | ❌ | ❌ | ❌ |
| Tilføj medlemmer | ✅ | ✅ | ❌ | ❌ |
| Skriv data | ✅ | ✅ | ✅ | ❌ |
| Opret elementer | ✅ | ✅ | ✅ | ❌ |
| Læs data | ✅ | ✅ | ✅ | ✅ |
Elementtilladelser
Elementtilladelser bruges til at styre adgangen til individuelle Fabric-elementer i et arbejdsområde. Elementtilladelser er begrænset til et bestemt element og gælder ikke for andre elementer. Brug elementtilladelser til at styre, hvem der kan få vist, redigere og administrere individuelle elementer i et arbejdsområde. Du kan bruge elementtilladelser til at give en bruger adgang til et enkelt element i et arbejdsområde, som vedkommende ikke har adgang til.
Når du deler elementet med en bruger eller gruppe, kan du konfigurere elementtilladelser. Deling af et element giver som standard brugeren læsetilladelse til det pågældende element. Læsetilladelser giver brugerne mulighed for at se metadataene for det pågældende element og få vist eventuelle rapporter, der er knyttet til det. Læsetilladelser tillader dog ikke brugere at få adgang til underliggende data i SQL eller OneLake.
Forskellige Fabric-elementer har forskellige tilladelser. Hvis du vil vide mere om tilladelserne for hvert element, skal du se:
Beregningstilladelser
Tilladelser kan også angives i et bestemt beregningsprogram i Fabric, især via SQL-slutpunktet eller i en semantisk model. Tilladelser til beregningsprogram muliggør en mere detaljeret dataadgangskontrol, f.eks. sikkerhed på tabel- og rækkeniveau.
SQL-slutpunkt – SQL-slutpunktet giver direkte SQL-adgang til tabeller i OneLake og kan have sikkerhedskonfigureret oprindeligt via SQL-kommandoer. Disse tilladelser gælder kun for forespørgsler, der er foretaget via SQL.
Semantisk model – Semantiske modeller gør det muligt at definere sikkerhed ved hjælp af DAX. Begrænsninger, der er defineret ved hjælp af DAX, gælder for brugere, der forespørger via den semantiske model eller Power BI-rapporter, der er bygget på den semantiske model.
Du kan finde flere oplysninger i disse artikler:
OneLake-tilladelser (dataadgangsroller)
OneLake har sine egne tilladelser til at styre adgangen til filer og mapper i OneLake via OneLake-dataadgangsroller. OneLake-dataadgangsroller giver brugerne mulighed for at oprette brugerdefinerede roller i et lakehouse og kun give læsetilladelser til de angivne mapper, når de får adgang til OneLake. For hver OneLake-rolle kan brugerne tildele brugere, sikkerhedsgrupper eller tildele en automatisk tildeling baseret på arbejdsområderollen.
Få mere at vide om OneLake Data Access Control Model , og få vist vejledningerne.
Rækkefølgen af handlingen
Fabric har tre forskellige sikkerhedsniveauer. En bruger skal have adgang på hvert niveau for at få adgang til dataene. Hvert niveau evalueres sekventielt for at afgøre, om en bruger har adgang. Sikkerhedsregler som Microsoft Information Protection-politikker evaluerer på et givet niveau for at tillade eller forbyde adgang. Rækkefølgen af handlingen ved evaluering af Fabric Security er:
- Entra-godkendelse: Kontrollerer, om brugeren kan godkende til Microsoft Entra-lejeren.
- Fabric-adgang: Kontrollerer, om brugeren har adgang til Microsoft Fabric.
- Datasikkerhed: Kontrollerer, om brugeren kan udføre den ønskede handling på en tabel eller fil.
Eksempler
Dette afsnit indeholder to eksempler på, hvordan tilladelser kan konfigureres i Fabric.
Eksempel 1: Konfiguration af teamtilladelser
Wingtip Toys er konfigureret med én lejer for hele organisationen og tre kapaciteter. Hver kapacitet repræsenterer et andet område. Wingtip Toys opererer i USA, Europa og Asien. Hver kapacitet har et arbejdsområde for hver afdeling i organisationen, herunder salgsafdelingen.
Salgsafdelingen har en leder, et salgsteamleder og medlemmer af salgsteamet. Wingtip Toys beskæftiger også én analytiker for hele organisationen.
I følgende tabel vises kravene til hver rolle i salgsafdelingen, og hvordan tilladelser er konfigureret til at aktivere dem.
| Rolle | Krav | Opsætte |
|---|---|---|
| Leder | Få vist og rediger alt indhold i salgsafdelingen i hele organisationen | En medlemsrolle for alle salgsarbejdsområder i organisationen |
| Teamleder | Få vist og rediger alt indhold i salgsafdelingen i et bestemt område | En medlemsrolle for salgsarbejdsområdet i området |
| Medlem af salgsteam | ||
| Analytiker | Få vist alt indhold i salgsafdelingen i hele organisationen | En seerrolle for alle salgsarbejdsområder i organisationen |
Wingtip har også en kvartalsrapport, der viser salgsindtægterne pr. salgsmedlem. Denne rapport er gemt i et økonomiarbejdsområde. Ved hjælp af sikkerhed på rækkeniveau er rapporten konfigureret, så hvert salgsmedlem kun kan se sine egne salgstal. Teamledere kan se salgstallene for alle salgsmedlemmer i deres område, og salgschefen kan se salgstal for alle salgsmedlemmer i organisationen.
Eksempel 2: Tilladelser til arbejdsområde og element
Når du deler et element eller ændrer dets tilladelser, ændres arbejdsområderollerne ikke. I eksemplet i dette afsnit kan du se, hvordan tilladelser til arbejdsområder og elementer interagerer.
Veronica og Marta arbejder sammen. Veronica er ejer af en rapport, hun vil dele med Marta. Hvis Veronica deler rapporten med Marta, kan Marta få adgang til den, uanset hvilken rolle hun har i arbejdsområdet.
Lad os sige, at Marta har en seerrolle i det arbejdsområde, hvor rapporten er gemt. Hvis Veronica beslutter at fjerne Martas elementtilladelser fra rapporten, kan Marta stadig få vist rapporten i arbejdsområdet. Marta kan også åbne rapporten fra arbejdsområdet og få vist dens indhold. Det skyldes, at Marta har visningstilladelser til arbejdsområdet.
Hvis Veronica ikke ønsker, at Marta skal se rapporten, er det ikke nok at fjerne Martas elementtilladelser fra rapporten. Veronica skal også fjerne Martas fremvisertilladelser fra arbejdsområdet. Uden tilladelser til arbejdsområdefremviseren kan Marta ikke se, at rapporten findes, fordi hun ikke kan få adgang til arbejdsområdet. Marta kan heller ikke bruge linket til rapporten, fordi hun ikke har adgang til rapporten.
Nu, hvor Marta ikke har en arbejdsområdefremviserrolle, vil Marta kunne se den ved hjælp af linket Veronica deler med hende uden at have adgang til arbejdsområdet, hvis Veronica beslutter at dele rapporten med hende igen.
Eksempel 3: Tilladelser til Power BI-app
Når du deler Power BI-rapporter, ønsker du ofte, at modtagerne kun skal have adgang til rapporterne og ikke til elementer i arbejdsområdet. Til dette kan du bruge Power BI-apps eller dele rapporter direkte med brugere.
Du kan desuden begrænse seernes adgang til data ved hjælp af sikkerhed på rækkeniveau med sikkerhed på rækkeniveau, og med sikkerhed på rækkeniveau kan du oprette roller, der har adgang til visse dele af dine data, og begrænse resultaterne, der kun returnerer det, som brugerens identitet har adgang til.
Dette fungerer fint, når du bruger importmodeller, da dataene importeres i den semantiske model, og modtagerne har adgang til dette som en del af appen. Med DirectLake læser rapporten dataene direkte fra Lakehouse, og rapportmodtageren skal have adgang til disse filer i søen. Du kan gøre dette på flere måder:
- Giv
ReadDatatilladelse direkte til Lakehouse. - Skift legitimationsoplysningerne for datakilden fra Enkeltlogon (SSO) til en fast identitet, der har adgang til filerne i søen.
Da sikkerhed på rækkeniveau er defineret i den semantiske model, læses dataene først, og derefter filtreres rækkerne.
Hvis der er defineret sikkerhed i det SQL-slutpunkt, som rapporten er bygget på, går forespørgslerne automatisk tilbage til DirectQuery-tilstand. Hvis du ikke vil have denne standardfunktionsmåde for fallback, kan du oprette et nyt Lakehouse ved hjælp af genveje til tabellerne i det oprindelige Lakehouse og ikke definere RLS eller OLS i SQL på det nye Lakehouse.
Relateret indhold
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om