Freigeben Ihres Warehouses und Verwalten von Berechtigungen

  • Artikel

Gilt für:Warehouse und Mirrored Database in Microsoft Fabric

Die Freigabe ist eine bequeme Möglichkeit, Benutzer*innen Lesezugriff auf Ihr Warehouse für die Downstreamnutzung zu gewähren. Mithilfe der Freigabe können Downstreambenutzer*innen in Ihrer Organisation ein Warehouse mithilfe von SQL, Spark oder Power BI nutzen. Sie können die Berechtigungsebene anpassen, die dem freigegebenen Empfänger gewährt wird, um die entsprechende Zugriffsebene bereitzustellen.

Hinweis

Sie müssen Administrator oder Mitglied in Ihrem Arbeitsbereich sein, um ein Warehouse in Microsoft Fabric freigeben zu können.

Erste Schritte

Nachdem Sie das Warehouse identifiziert haben, das Sie für einen anderen Benutzer in Ihrem Fabric-Arbeitsbereich freigeben möchten, wählen Sie die Schnellaktion in der Zeile aus, um ein Warehouse freizugeben.

Im folgenden animierten GIF werden die Schritte zum Auswählen eines freizugebenden Warehouses, zum Auswählen der zuzuweisenden Berechtigungen und schließlich zum Erteilen der Berechtigungen für einen anderen Benutzer dargestellt.

Ein animiertes GIF, das die Interaktion mit dem Fabric-Portal zeigt, wenn ein Benutzer ein Warehouse in Microsoft Fabric für einen anderen Benutzer freigibt.

Sie können Ihr Warehouse im OneLake Data Hub oder im Synapse-Data Warehouse freigeben, indem Sie in der Schnellaktion Freigeben auswählen, wie in der folgenden Abbildung hervorgehoben wird.

Screenshot, der zeigt, wie Sie ein Warehouse auf der OneLake Data Hub-Seite freigeben.

Freigeben eines Warehouse

Sie werden aufgefordert, Optionen auszuwählen, um zu entscheiden, für welche Benutzer Sie das Warehouse freigeben möchten, welche Berechtigungen ihnen erteilt werden sollen, und ob sie darüber per E-Mail benachrichtigt werden sollen. Wenn Sie alle erforderlichen Felder ausgefüllt haben, wählen Sie Zugriff gewähren aus.

Hier finden Sie weitere Details zu den einzelnen Berechtigungen:

  • Wenn keine zusätzlichen Berechtigungen ausgewählt sind: Der freigegebene Empfänger erhält standardmäßig die Berechtigung „Lesen“. Sie erlaubt dem Empfänger nur das Herstellen einer Verbindung mit dem SQL-Analyseendpunkt. Diese Berechtigung ist das Äquivalent zu CONNECT-Berechtigungen in SQL Server. Der freigegebene Empfänger kann keine Tabelle oder Ansicht abfragen sowie keine Funktion oder gespeicherte Prozedur ausführen, es sei denn, ihm wird mithilfe der T-SQL GRANT-Anweisung Zugriff auf Objekte im Warehouse gewährt.

Hinweis

ReadData, ReadAll und Build sind separate Berechtigungen, die sich nicht überlappen.

  • „Alle Daten mit SQL lesen” ist ausgewählt („ReadData”-Berechtigungen): Der freigegebene Empfänger kann alle Datenbankobjekte im Warehouse lesen. ReadData entspricht der db_datareader-Rolle in SQL Server. Der freigegebene Empfänger kann Daten aus allen Tabellen und Sichten innerhalb des Warehouse lesen. Wenn Sie den Zugriff präziser gestalten und auf einige Objekte innerhalb des Warehouse einschränken möchten, können Sie dies mithilfe von T-SQL GRANT/REVOKE/DENY-Anweisungen tun.

    • Im SQL-Analyseendpunkt des Lakehouse entspricht Alle SQL-Endpunktdaten lesen der Option Alle Daten mit SQL lesen.

  • „Alle Daten mit Apache Spark lesen“ ist ausgewählt („ReadAll“-Berechtigungen): Der freigegebene Empfänger hat Lesezugriff auf die zugrunde liegenden Parquet-Dateien in OneLake, die mithilfe von Spark genutzt werden können. ReadAll sollte nur gewährt werden, wenn der freigegebene Empfänger den vollständigen Zugriff auf die Dateien Ihres Warehouses mithilfe der Spark-Engine wünscht.

  • Das Kontrollkästchen „Berichte mit dem Standarddataset erstellen“ ist aktiviert (Berechtigungen vom Typ „Build“). Der freigegebene Empfänger kann basierend auf dem Standardsemantikmodell, das mit Ihrem Warehouse verbunden ist, Berichte erstellen. Build muss bereitgestellt werden, wenn der freigegebene Empfänger Build-Berechtigungen für das Standardsemantikmodell haben möchte, um Power BI-Berichte für diese Daten zu erstellen. Das Kontrollkästchen Build ist standardmäßig aktiviert, kann aber deaktiviert werden.

Wenn der freigegebene Empfänger die E-Mail empfängt, kann er Öffnen auswählen und zur Warehouse Data Hub-Seite navigieren.

Ein Screenshot, der die E-Mail-Benachrichtigung zeigt, die ein Benutzer erhält, wenn ein Warehouse für ihn freigegeben wurde.

Abhängig von der Zugriffsebene, die dem freigegebenen Empfänger gewährt wurde, kann er nun eine Verbindung mit dem SQL-Analyseendpunkt herstellen, das Warehouse abfragen, Berichte erstellen oder Daten über Spark lesen.

Ein Screenshot des Fabric-Portals, der die Seite „Anzeigen, was bereits vorhanden ist“ des freigegebenen Warehouses zeigt.

ReadData-Berechtigungen

Mit ReadData-Berechtigungen kann der freigegebene Empfänger den Warehouse-Editor im schreibgeschützten Modus öffnen und die Tabellen und Sichten innerhalb des Warehouses abfragen. Der freigegebene Empfänger kann auch den bereitgestellten SQL-Analyseendpunkt kopieren und eine Verbindung mit einem Clienttool herstellen, um diese Abfragen auszuführen.

Im folgenden Screenshot kann beispielsweise ein Benutzer mit ReadData-Berechtigungen das Warehouse abfragen.

Ein Screenshot des Fabric-Portals, der einen Benutzer zeigt, der ein freigegebenes Warehouse abfragen kann.

ReadAll-Berechtigungen

Ein freigegebener Empfänger mit ReadAll-Berechtigungen kann im Warehouse-Editor den AbFS-Pfad (Azure Blob File System) zur spezifischen Datei in OneLake im Bereich „Eigenschaften“ finden. Der freigegebene Empfänger kann dann diesen Pfad in einem Spark-Notebook verwenden, um die Daten zu lesen.

Im folgenden Screenshot kann beispielsweise ein Benutzer mit ReadAll-Berechtigungen die Daten in FactSale mit einer Spark-Abfrage in einem neuen Notizbuch abfragen.

Ein Screenshot des Fabric-Portals, in dem ein Benutzer ein Spark-Notebook öffnet, um die Warehouse-Verknüpfung abzufragen.

Buildberechtigungen

Mit Build-Berechtigungen kann der freigegebene Empfänger basierend auf dem Standardsemantikmodell, das mit dem Warehouse verbunden ist, Berichte erstellen. Der freigegebene Empfänger kann Power BI-Berichte aus dem Data Hub oder mithilfe von Power BI Desktop erstellen.

Im folgenden Screenshot kann beispielsweise ein Benutzer mit Build-Berechtigungen mit der automatischen Erstellung eines Power BI-Berichts auf Grundlage des freigegebenen Warehouses beginnen.

Ein Screenshot, der eine Interaktion mit dem Fabric-Portal zeigt, bei der ein Benutzer einen Bericht auf Basis eines freigegebenen Warehouses automatisch erstellen kann.

Verwalten von Berechtigungen

Auf der Berechtigungen verwalten wird die Liste der Benutzer angezeigt, denen Zugriff durch Zuweisen von Arbeitsbereichsrollen oder Elementberechtigungen gewährt wurde.

Wenn Sie ein Administrator oder Mitglied sind, wechseln Sie zu Ihrem Arbeitsbereich, und wählen Sie Weitere Optionen aus. Wählen Sie dann Berechtigungen verwalten aus.

Ein Screenshot, der zeigt, wie ein Benutzer „Berechtigungen verwalten“ im Kontextmenü des Warehouses auswählt.

Für Benutzer, denen Arbeitsbereichsrollen gewährt wurden, werden der entsprechende Benutzer sowie dessen Arbeitsbereichsrolle und Berechtigungen angezeigt. Administratoren, Mitglieder und Mitwirkende haben Lese-/Schreibzugriff auf Elemente in diesem Arbeitsbereich. Betrachter verfügen über ReadData-Berechtigungen und können alle Tabellen und Ansichten innerhalb des Warehouses in diesem Arbeitsbereich abfragen. Die Elementberechtigungen Read, ReadData und ReadAll können Benutzern gewährt werden.

Screenshot, der die Seite „Berechtigungen verwalten“ des Warehouses im Fabric-Portal zeigt.

Sie können Berechtigungen mithilfe der Benutzeroberfläche „Berechtigungen verwalten“ hinzufügen oder entfernen:

  • Zugriffsberechtigungen entfernen entfernt sämtliche Elementberechtigungen.
  • ReadData entfernen entfernt die ReadData-Berechtigungen.
  • ReadAll entfernen entfernt ReadAll-Berechtigungen.
  • Build entfernen entfernt Build-Berechtigungen für das entsprechende Standardsemantikmodell.

Screenshot, der einen Benutzer zeigt, der die ReadAll-Berechtigung eines freigegebenen Empfängers entfernt.

Begrenzungen

  • Wenn Sie Elementberechtigungen gewähren oder Benutzer entfernen, die zuvor Berechtigungen hatten, kann die Weitergabe bis zu zwei Stunden dauern. Die neuen Berechtigungen werden sofort unter „Berechtigungen verwalten" angezeigt. Melden Sie sich erneut an, um sicherzustellen, dass sich die Berechtigungen in Ihrem SQL-Analyseendpunkt widerspiegeln.
  • Freigegebene Empfänger können über die Identität des Besitzers (delegierter Modus) auf das Warehouse zugreifen. Stellen Sie sicher, dass der Besitzer des Warehouse nicht aus dem Arbeitsbereich entfernt wird.
  • Freigegebene Empfänger haben nur Zugriff auf das Warehouse, für das sie eine Freigabe empfangen haben, und nicht auf andere Elemente innerhalb desselben Arbeitsbereichs wie das Warehouse. Wenn Sie anderen Benutzern in Ihrem Team Berechtigungen für die Zusammenarbeit im Warehouse (Lese- und Schreibzugriff) gewähren möchten, fügen Sie sie mithilfe von Arbeitsbereichsrollen wie „Mitglied“ oder Mitwirkender hinzu.
  • Wenn Sie derzeit ein Warehouse freigeben und Alle Daten mit SQL lesen auswählen, kann der freigegebene Empfänger im schreibgeschützten Modus auf den Warehouse-Editor zugreifen. Diese freigegebenen Empfänger können Abfragen erstellen, ihre Abfragen derzeit aber nicht speichern.
  • Derzeit ist die Freigabe eines Warehouse nur über die Benutzeroberfläche verfügbar.
  • Wenn Sie präzisen Zugriff auf bestimmte Objekte innerhalb des Warehouse bereitstellen möchten, geben Sie das Warehouse ohne zusätzliche Berechtigungen frei, und gewähren Sie dann mithilfe der T-SQL GRANT-Anweisung granularen Zugriff auf bestimmte Objekte. Weitere Informationen finden Sie unter T-SQL-Syntax für GRANT, REVOKE und DENY.
  • Wenn Sie sehen, dass die ReadAll- und ReadData-Berechtigungen im Freigabedialogfeld deaktiviert sind, aktualisieren Sie die Seite.
  • Freigegebene Empfänger verfügen nicht über die Berechtigung zum erneuten Freigeben eines Warehouses.
  • Wenn ein Bericht, der auf dem Warehouse basiert, für einen anderen Empfänger freigegeben wird, benötigt der freigegebene Empfänger mehr Berechtigungen, um auf den Bericht zugreifen zu können. Dies hängt vom Modus des Zugriffs auf das Semantikmodell durch Power BI ab:
    • Wenn der Zugriff über den direkten Abfragemodus erfolgt, müssen ReadData-Berechtigungen (oder präzise SQL-Berechtigungen für bestimmte Tabellen/Ansichten) für das Warehouse bereitgestellt werden.
    • Wenn der Zugriff über den direkten Lake-Modus erfolgt, müssen ReadData-Berechtigungen (oder präzise Berechtigungen für bestimmte Tabellen/Ansichten) für das Warehouse bereitgestellt werden. Der Direct Lake-Modus ist der Standardverbindungstyp für Semantikmodelle, die ein Warehouse oder einen SQL-Analyseendpunkt als Datenquelle verwenden. Weitere Informationen finden Sie unter Direct Lake-Modus.
    • Wenn der Zugriff über den Importmodus erfolgt, sind keine zusätzlichen Berechtigungen erforderlich.
    • Die direkte Freigabe eines Warehouse für einen SPN wird aktuell nicht unterstützt.

Datenschutzfunktionen

Microsoft Fabric Data Warehouse unterstützt mehrere Technologien, mit denen Administratoren vertrauliche Daten vor unbefugter Anzeige schützen können. Durch das Sichern oder Verschleiern von Daten von nicht autorisierten Benutzer*innen oder Rollen können diese Sicherheitsfeatures sowohl in einem Warehouse- als auch SQL-Analyseendpunkt Schutz von Daten ohne Anwendungsänderungen bereitstellen.

  • Sicherheit auf Spaltenebene verhindert nicht autorisiertes Anzeigen von Spalten in Tabellen.
  • Sicherheit auf Zeilenebene verhindert nicht autorisiertes Anzeigen von Zeilen in Tabellen, wobei vertraute WHERE-Klauselfilter-Prädikate verwendet werden.
  • Die dynamische Datenmaskierung verhindert die unbefugte Anzeige vertraulicher Daten mithilfe von Masken, um den Zugriff auf den Abschluss zu verhindern, z. B. E-Mail-Adressen oder Nummern.

Zugehöriger Inhalt