Freigeben über

Freigeben Ihrer Daten und Verwalten von Berechtigungen

Gilt für:Warehouse und Mirrored Database in Microsoft Fabric

Die Freigabe ist eine bequeme Möglichkeit, Benutzer*innen Lesezugriff auf Ihre Daten für die Downstreamnutzung zu gewähren. Mithilfe der Freigabe können Downstreambenutzer*innen in Ihrer Organisation ein Warehouse mithilfe von T-SQL, Spark oder Power BI nutzen. Sie können die Berechtigungsebene anpassen, die dem freigegebenen Empfänger gewährt wird, um die entsprechende Zugriffsebene bereitzustellen.

Hinweis

Sie müssen Administrator oder Mitglied in Ihrem Arbeitsbereich sein, um ein Warehouse in Microsoft Fabric freigeben zu können.

Erste Schritte

Nachdem Sie das Warehouse identifiziert haben, das Sie für einen anderen Benutzer in Ihrem Fabric-Arbeitsbereich freigeben möchten, wählen Sie die Schnellaktion in der Zeile aus, um freizugeben.

Im folgenden animierten GIF werden die Schritte zum Auswählen eines freizugebenden Warehouses, zum Auswählen der zuzuweisenden Berechtigungen und schließlich zum Erteilen der Berechtigungen für einen anderen Benutzer dargestellt.

Freigeben eines Warehouse

  1. Sie können Ihr Warehouse im OneLake- oder Warehouse-Element freigeben, indem Sie Freigeben aus unter „Schnelle Aktion“ auswählen, wie in der folgenden Abbildung hervorgehoben.

  2. Sie werden aufgefordert, Optionen auszuwählen, um zu entscheiden, für welche Benutzer Sie das Warehouse freigeben möchten, welche Berechtigungen ihnen erteilt werden sollen, und ob sie darüber per E-Mail benachrichtigt werden sollen.

  3. Füllen Sie alle erforderlichen Felder aus, und wählen Sie Zugriff gewähren aus.

  4. Wenn der freigegebene Empfänger die E-Mail empfängt, kann er Öffnen auswählen und zur Seite Warehouse OneLake-Katalog navigieren.

    Screenshot, der die E-Mail-Benachrichtigung zeigt, die ein Benutzer erhält, wenn ein Warehouse für ihn freigegeben wurde.

  5. Abhängig von der Zugriffsebene, die dem freigegebenen Empfänger gewährt wurde, kann er nun eine Verbindung mit dem SQL-Analyseendpunkt herstellen, das Warehouse abfragen, Berichte erstellen oder Daten über Spark lesen.

Fabric-Sicherheitsrollen

Hier finden Sie weitere Details zu den einzelnen Berechtigungen:

  • Wenn keine zusätzlichen Berechtigungen ausgewählt sind: Der freigegebene Empfänger erhält standardmäßig die Berechtigung „Lesen“. Sie erlaubt dem Empfänger nur das Herstellen einer Verbindung mit dem SQL-Analyseendpunkt. Diese Berechtigung ist das Äquivalent zu CONNECT-Berechtigungen in SQL Server. Der freigegebene Empfänger kann keine Tabelle oder Sicht abfragen sowie keine Funktion oder gespeicherte Prozedur ausführen, es sei denn, ihm wird mithilfe der T-SQL GRANT-Anweisung Zugriff auf Objekte innerhalb des Warehouses gewährt.

    Tipp

    ReadData (vom Warehouse für T-SQL-Berechtigungen verwendet), ReadAll (verwendet von OneLake und dem SQL-Analyseendpunkt) und Build (verwendet von Power BI) sind separate Berechtigungen, die sich nicht überlappen.

  • "Alle Daten mit SQL lesen" ist ausgewählt ("ReadData"-Berechtigungen) – Der freigegebene Empfänger kann alle Tabellen und Ansichten im Warehouse im schreibgeschützten Modus lesen. Der freigegebene Empfänger kann auch den bereitgestellten SQL-Analyseendpunkt kopieren und eine Verbindung mit einem Clienttool herstellen, um diese Abfragen auszuführen. ReadData entspricht der db_datareader-Rolle in SQL Server. Wenn Sie den Zugriff präziser gestalten und auf einige Objekte innerhalb des Warehouse einschränken möchten, können Sie dies mithilfe von T-SQL GRANT/REVOKE/DENYAnweisungen tun.

    • Im SQL-Analyseendpunkt des Lakehouse entspricht Alle SQL-Endpunktdaten lesen der Option Alle Daten mit SQL lesen.

  • "Alle Daten mit Apache Spark lesen" ist ausgewählt ("ReadAll"-Berechtigungen) – Der freigegebene Empfänger sollte nur ReadAll bereitgestellt erden, wenn er vollständigen Zugriff auf die Dateien Ihres Lagers mithilfe des Spark-Moduls wünschen. Ein freigegebener Empfänger mit ReadAll-Berechtigungen kann im Warehouse-Editor den AbFS-Pfad (Azure Blob File System) zur spezifischen Datei in OneLake im Bereich „Eigenschaften“ finden. Der freigegebene Empfänger kann dann diesen Pfad in einem Spark-Notebook verwenden, um die Daten zu lesen. Der Empfänger kann auch OneLake-Ereignisse abonnieren, die für das Data Warehouse im Echtzeit-Hub generiert wurden.

    • "Abonnieren von Ereignissen" ("SubscribeOneLakeEvents"-Berechtigungen) – Ein freigegebener Empfänger mit dieser Berechtigung kann OneLake-Ereignisse abonnieren, die für das Warehouse in Fabric Real-Time Hub generiert wurden.

    Beispielsweise kann ein Benutzer mit ReadAll-Berechtigungen die Daten in FactSale einer Spark-Abfrage in einem neuen Notizbuch abfragen.

  • "Berichte für das Standard-Dataset erstellen" ist ausgewählt ("Erstellen"-Berechtigungen) – Der freigegebene Empfänger kann Berichte über das Standardsemantikmodell erstellen, das mit Ihrem Warehouse verbunden ist, um Power BI-Berichte zu diesen Daten aus dem OneLake-Katalog oder Power BI Desktop zu erstellen. Das Kontrollkästchen Build ist standardmäßig aktiviert, kann aber deaktiviert werden.

    • Monitor – Benutzer mit Monitor-Berechtigung können dynamische Verwaltungsansichten (engl. Dynamic Management Views, DMVs) wie sys.dm_exec_requests, Abfragetext, Systemverbindungen, Sitzungen und Insights-Ansichten abfragen. Diese Berechtigung ist in der Regel für betriebstechnische Überwachung, Problembehandlung und Leistungsanalyse erforderlich.

  • Überwachung – Benutzer mit Überwachungsberechtigung können Überwachungsprotokolle aktivieren, konfigurieren und abfragen. Mit dieser Berechtigung können Benutzer auf Überwachungsdaten zugreifen, um den Aktivitätsverlauf zu überprüfen, compliance zu überwachen und Sicherheitsuntersuchungen zu unterstützen.

Verwalten von Berechtigungen

Auf der Berechtigungen verwalten wird die Liste der Benutzer angezeigt, denen Zugriff durch Zuweisen von Arbeitsbereichsrollen oder Elementberechtigungen gewährt wurde.

Wenn Sie Mitglied der Rollen Administrator oder Mitglied sind, wechseln Sie zu Ihrem Arbeitsbereich, und wählen Sie Weitere Optionenaus. Wählen Sie dann Berechtigungen verwalten aus.

Ein Screenshot, der zeigt, wie ein Benutzer „Berechtigungen verwalten“ im Kontextmenü des Warehouses auswählt.

Für Benutzer, denen Arbeitsbereichsrollen gewährt wurden, werden der entsprechende Benutzer sowie dessen Arbeitsbereichsrolle und Berechtigungen angezeigt.

Screenshot, der die Seite „Berechtigungen verwalten“ des Warehouses im Fabric-Portal zeigt.

In der folgenden Tabelle ist aufgeführt, welche Berechtigung jede Rolle standardmäßig besitzt und ob die Berechtigung freigegeben werden kann.

Erlaubnis Standardmäßig auf Freigabefähig
Lesen Sie Administrator, Mitglied, Mitwirkender, Viewer Ja
Daten lesen Administrator, Mitglied, Mitwirkender, Viewer Ja
Alles Lesen Administrator, Mitglied, Mitwirkender Ja
Bauen Administrator, Mitglied, Mitwirkender Ja
Schreiben Administrator, Mitglied, Mitwirkender Nein
Bildschirm Administrator, Mitglied, Mitwirkender N/V – kann nicht allein gewährt werden
Überwachung Administrator N/V – kann nicht allein gewährt werden
Erneut teilen Administrator, Mitglied N/V – kann nicht allein gewährt werden
Wiederherstellen Administrator Nein

Sie können Berechtigungen mithilfe von Berechtigungen verwalten hinzufügen oder entfernen:

  • Zugriffsberechtigungen entfernen entfernt sämtliche Elementberechtigungen.
  • ReadData entfernen entfernt die ReadData-Berechtigungen.
  • ReadAll entfernen entfernt ReadAll-Berechtigungen.
  • Build entfernen entfernt Build-Berechtigungen für das entsprechende Standardsemantikmodell.

Screenshot, der einen Benutzer zeigt, der die ReadAll-Berechtigung eines freigegebenen Empfängers entfernt.

Datenschutzfunktionen

Microsoft Fabric Data Warehouse unterstützt mehrere Technologien, mit denen Administratoren vertrauliche Daten vor unbefugter Anzeige schützen können. Durch das Sichern oder Verschleiern von Daten von nicht autorisierten Benutzer*innen oder Rollen können diese Sicherheitsfeatures sowohl in einem Warehouse- als auch SQL-Analyseendpunkt Schutz von Daten ohne Anwendungsänderungen bereitstellen.

  • Sicherheit auf Spaltenebene verhindert nicht autorisiertes Anzeigen von Spalten in Tabellen.
  • Sicherheit auf Zeilenebene verhindert nicht autorisiertes Anzeigen von Zeilen in Tabellen, wobei vertraute WHERE-Klauselfilter-Prädikate verwendet werden.
  • Die dynamische Datenmaskierung verhindert die unbefugte Anzeige vertraulicher Daten mithilfe von Masken, um den Zugriff auf den Abschluss zu verhindern, z. B. E-Mail-Adressen oder Nummern.

Begrenzungen

  • Wenn Sie Elementberechtigungen gewähren oder Benutzer entfernen, die zuvor Berechtigungen hatten, kann die Weitergabe bis zu zwei Stunden dauern. Die neuen Berechtigungen sind sofort in Berechtigungen verwalten sichtbar. Melden Sie sich erneut an, um sicherzustellen, dass sich die Berechtigungen in Ihrem SQL-Analyseendpunkt widerspiegeln.
  • Freigegebene Empfänger können über die Identität des Besitzers (delegierter Modus) auf das Warehouse zugreifen. Stellen Sie sicher, dass der Besitzer des Warehouse nicht aus dem Arbeitsbereich entfernt wird.
  • Freigegebene Empfänger haben nur Zugriff auf das Warehouse, für das sie eine Freigabe empfangen haben, und nicht auf andere Elemente innerhalb desselben Arbeitsbereichs wie das Warehouse. Wenn Sie anderen Benutzern in Ihrem Team Berechtigungen für die Zusammenarbeit im Warehouse (Lese- und Schreibzugriff) gewähren möchten, fügen Sie sie mithilfe von Arbeitsbereichsrollen wie Mitglied oder Mitwirkender hinzu.
  • Wenn Sie derzeit ein Warehouse freigeben und Alle Daten mit SQL lesen auswählen, kann der freigegebene Empfänger im schreibgeschützten Modus auf den Warehouse-Editor zugreifen. Diese freigegebenen Empfänger können Abfragen erstellen, ihre Abfragen derzeit aber nicht speichern.
  • Derzeit ist die Freigabe eines Warehouse nur über die Benutzeroberfläche verfügbar.
  • Wenn Sie präzisen Zugriff auf bestimmte Objekte innerhalb des Warehouse bereitstellen möchten, geben Sie das Warehouse ohne zusätzliche Berechtigungen frei, und gewähren Sie dann mithilfe der T-SQL GRANT-Anweisung granularen Zugriff auf bestimmte Objekte. Weitere Informationen finden Sie unter T-SQL-Syntax für GRANT, REVOKE und DENY.
  • Wenn Sie sehen, dass die ReadAll- und ReadData-Berechtigungen im Freigabedialogfeld deaktiviert sind, aktualisieren Sie die Seite.
  • Freigegebene Empfänger verfügen nicht über die Berechtigung zum erneuten Freigeben eines Warehouses.
  • Wenn ein Bericht, der auf dem Warehouse basiert, für einen anderen Empfänger freigegeben wird, benötigt der freigegebene Empfänger mehr Berechtigungen, um auf den Bericht zugreifen zu können. Dies hängt vom Modus des Zugriffs auf das Semantikmodell durch Power BI ab:
    • Wenn der Zugriff über den direkten Abfragemodus erfolgt, müssen ReadData-Berechtigungen (oder präzise SQL-Berechtigungen für bestimmte Tabellen/Ansichten) für das Warehouse bereitgestellt werden.
    • Wenn der Zugriff über den direkten Lake-Modus erfolgt, müssen ReadData-Berechtigungen (oder granulare Berechtigungen für bestimmte Tabellen/Ansichten) für das Warehouse bereitgestellt werden. Der Direct Lake-Modus ist der Standardverbindungstyp für Semantikmodelle, die ein Warehouse oder einen SQL-Analyseendpunkt als Datenquelle verwenden. Weitere Informationen finden Sie unter Direct Lake-Modus.
    • Wenn der Zugriff über den Importmodus erfolgt, sind keine zusätzlichen Berechtigungen erforderlich.
    • Derzeit wird die direkte Freigabe eines Lagers mit einem SPN nicht unterstützt.
  • Das Freigabedialogfeld für Lagerhäuser bietet die Möglichkeit, OneLake-Ereignisse zu abonnieren. Derzeit wird die Berechtigung zum Abonnieren von OneLake-Ereignissen zusammen mit der Berechtigung "Alle Apache Spark lesen" erteilt.

Zugehöriger Inhalt