Käyttöoikeusmalli
Microsoft Fabric sisältää joustavan käyttöoikeusmallin, jonka avulla voit hallita organisaatiosi tietojen käyttöä. Tässä artikkelissa kerrotaan Fabric-käyttöoikeuksien eri tyypeistä ja siitä, miten ne yhdessä valvovat tietojen käyttöoikeuksia organisaatiossasi.
Työtila on looginen entiteetti kohteiden ryhmittelylle Fabricissa. Työtilaroolit määrittävät työtilojen käyttöoikeudet. Vaikka kohteet tallennetaan yhteen työtilaan, ne voidaan jakaa muiden käyttäjien kanssa Fabricissa. Kun jaat Fabric-kohteita, voit päättää, mitkä käyttöoikeudet myönnät käyttäjälle, jonka kanssa jaat kohteen. Jotkin kohteet, kuten Power BI -raportit, mahdollistavat tietojen entistä yksityiskohtaisemman hallinnan. Raportit voidaan määrittää siten, että käyttöoikeuksistaan riippuen ne käyttäjät, jotka tarkastelevat niitä, näkevät vain osan hallussaan olevista tiedoista.
Työtilaroolit
Työtilarooleja käytetään hallitsemaan työtilojen ja niiden sisältämän sisällön käyttöoikeuksia. Fabric-järjestelmänvalvoja voi määrittää työtilarooleja yksittäisille käyttäjille tai ryhmille. Työtilan roolit rajoittuvat tiettyyn työtilaan, eivätkä ne koske muita työtiloja, työtilan kapasiteettia tai vuokraajaa.
Työtilarooleja on neljä, ja ne koskevat kaikkia työtilan kohteita. Käyttäjät, joilla ei ole mitään näistä rooleista, eivät voi käyttää työtilaa. Roolit ovat seuraavat:
Katselija – Voi tarkastella kaikkea työtilan sisältöä, mutta ei voi muokata sitä.
Osallistuja : hän voi tarkastella ja muokata kaikkea työtilan sisältöä.
Jäsen : voi tarkastella, muokata ja jakaa kaikkea työtilan sisältöä.
Järjestelmänvalvoja : voi tarkastella, muokata, jakaa ja hallita kaikkea työtilan sisältöä, mukaan lukien käyttöoikeuksien hallintaa.
Tässä taulukossa näkyy pieni joukko ominaisuuksia, jotka kullakin roolilla on. Täydellinen ja tarkempi luettelo on Microsoft Fabric -työtilarooleissa.
| Ominaisuus | Järjestelmänvalvoja | Jäsen | Osallistuja | Katselija |
|---|---|---|---|---|
| Poista työtila | ✅ | ❌ | ❌ | ❌ |
| Lisää järjestelmänvalvojia | ✅ | ❌ | ❌ | ❌ |
| Jäsenten lisääminen | ✅ | ✅ | ❌ | ❌ |
| Kirjoita tietoja | ✅ | ✅ | ✅ | ❌ |
| Kohteiden luominen | ✅ | ✅ | ✅ | ❌ |
| Tietojen lukeminen | ✅ | ✅ | ✅ | ✅ |
Kohteen käyttöoikeudet
Kohteen käyttöoikeuksilla hallitaan työtilan yksittäisten Fabric-kohteiden käyttöä. Kohteen käyttöoikeudet rajoittuvat tiettyyn kohteeseen, eivätkä ne koske muita kohteita. Kohteen käyttöoikeuksien avulla voit hallita sitä, ketkä voivat tarkastella, muokata ja hallita työtilan yksittäisiä kohteita. Kohteen käyttöoikeuksien avulla voit antaa käyttäjälle käyttöoikeuden yhteen työtilan kohteeseen, johon hänellä ei ole käyttöoikeutta.
Kun jaat kohteen käyttäjän tai ryhmän kanssa, voit määrittää kohteen käyttöoikeudet. Kohteen jakaminen myöntää käyttäjälle kohteen lukuoikeuden oletusarvoisesti. Lukuoikeuksien avulla käyttäjät voivat tarkastella kyseisen kohteen metatietoja ja siihen liittyviä raportteja. Lukuoikeudet eivät kuitenkaan salli käyttäjien käyttää pohjana olevia tietoja SQL:ssä tai OneLakessa.
Eri Fabric-kohteilla on eri käyttöoikeudet. Lisätietoja kunkin kohteen käyttöoikeuksista on seuraavissa kohteissa:
Käsittelyoikeudet
Käyttöoikeudet voidaan määrittää myös tietyssä Fabric-käsittelymoduulissa, erityisesti SQL-analytiikan päätepisteen kautta tai semanttisessa mallissa. Laskentamoduulin käyttöoikeudet mahdollistavat entistä hajautetumman tietojen käytön hallinnan, kuten taulukko- ja rivitason suojauksen.
SQL-analytiikan päätepiste – SQL-analytiikan päätepiste tarjoaa suoran SQL-käyttöoikeuden OneLaken taulukoihin, ja sen suojaus voidaan määrittää suoraan SQL-komentojen avulla. Nämä oikeudet koskevat vain SQL:n kautta tehtyjä kyselyitä.
Semanttinen malli – semanttiset mallit mahdollistavat suojauksen määrittämisen DAX:n avulla. DAXin avulla määritetyt rajoitukset koskevat käyttäjiä, jotka kyselevät semanttisen mallin tai semanttiseen malliin perustuvien Power BI -raporttien kautta.
Lisätietoja saat näistä artikkeleista:
OneLake-käyttöoikeudet (tietojen käyttöroolit)
OneLakella on omat käyttöoikeutensa OneLaken tiedostojen ja kansioiden käyttöoikeuksien hallintaan OneLaken tietojen käyttöroolien kautta . OneLake-tietojen käyttöroolien avulla käyttäjät voivat luoda mukautettuja rooleja Lakehousessa ja myöntää lukuoikeuksia vain määritettyihin kansioihin OneLakea käytettäessä. Käyttäjät voivat määrittää kullekin OneLake-roolille käyttäjiä, käyttöoikeusryhmiä tai myöntää automaattisen määrityksen työtilan roolin perusteella.
Lue lisää OneLaken tietojen käytön hallintamallista ja toimintaohjeiden tarkastelemisesta.
Toiminnon järjestys
Fabricin suojaustasoja on kolme. Käyttäjällä on oltava käyttöoikeus kullakin tasolla, jotta hän voi käyttää tietoja. Kukin taso arvioi järjestyksessä sen määrittämisen, onko käyttäjällä käyttöoikeutta. Microsoftin Teabekaitse käytäntöjen kaltaiset suojaussäännöt arvioivat tiettyä tasoa käytön sallimiseksi tai estämiseksi. Fabric-suojausta arvioitaessa toimintajärjestys on seuraava:
- Entra-todennus: Tarkistaa, voiko käyttäjä todentaa Microsoft Entra -vuokraajaan.
- Fabric-käyttöoikeus: Tarkistaa, voiko käyttäjä käyttää Microsoft Fabricia.
- Tietosuoja: Tarkistaa, pystyykö käyttäjä suorittamaan pyydetyn toiminnon taulukossa tai tiedostossa.
Esimerkit
Tässä osiossa on kaksi esimerkkiä siitä, miten käyttöoikeuksia voi määrittää Fabricissa.
Esimerkki 1: Ryhmän käyttöoikeuksien määrittäminen
Wingtip Toys koostuu yhdestä vuokraajasta koko organisaatiolle ja kolmesta kapasiteetista. Kukin kapasiteetti edustaa eri aluetta. Wingtip Toys toimii Yhdysvalloissa, Euroopassa ja Aasiassa. Kullakin kapasiteetilla on työtila kullekin organisaation osastolle, mukaan lukien myyntiosasto.
Myyntiosastolla on esimies, myyntitiimin johtaja ja myyntitiimin jäsenet. Wingtip Toys palkkaa myös yhden analyytikon koko organisaatiolle.
Seuraavassa taulukossa on esitetty kunkin roolien vaatimukset myyntiosastolla ja se, miten käyttöoikeudet määritetään niiden käyttöönottamiseksi.
| Rooli | Vaatimus | Asetusten määrittäminen |
|---|---|---|
| Esimies | Tarkastele ja muokkaa kaikkea sisältöä koko organisaation myyntiosastolla | Organisaation kaikkien myyntityötilojen jäsenrooli |
| Tiimijohtaja | Näytä ja muokkaa kaikkea myyntiosaston sisältöä tietyllä alueella | Alueen myyntityötilan jäsenrooli |
| Myyntiryhmän jäsen | ||
| Analyytikko | Näytä kaikki sisältö koko organisaation myyntiosastolla | Kaikkien organisaation myyntityötilojen katselijan rooli |
Wingtipillä on myös neljännesvuosittainen raportti, jossa luetellaan sen myyntitulot myyntijäsentä kohden. Tämä raportti on tallennettu talous-työtilaan. Rivitason suojausta käyttämällä raportti määritetään niin, että jokainen myyntijäsen voi nähdä vain omat myyntilukunsa. Tiimilidit näkevät kaikkien oman alueensa myyntijäsenten myyntiluvut, ja myyntipäällikkö voi tarkastella kaikkien organisaation myyntijäsenten myyntilukuja.
Esimerkki 2: Työtilan ja kohteen käyttöoikeudet
Kun jaat kohteen tai muutat sen käyttöoikeuksia, työtilan roolit eivät muutu. Tämän osion esimerkissä näytetään, miten työtilan ja kohteen käyttöoikeudet toimivat keskenään.
Veronica ja Marta työskentelevät yhdessä. Veronica on omistaja raportissa, jonka hän haluaa jakaa Martalle. Jos Veronica jakaa raportin Martan kanssa, Marta voi käyttää sitä riippumatta hänen työtilarooliaan.
Oletetaan, että Martalla on katselijan rooli työtilassa, johon raportti on tallennettu. Jos Veronica päättää poistaa Martan kohteen käyttöoikeudet raportista, Marta voi yhä tarkastella raporttia työtilassa. Marta voi myös avata raportin työtilasta ja tarkastella sen sisältöä. Tämä johtuu siitä, että Martalla on työtilan tarkasteluoikeudet.
Jos Veronica ei halua Martan tarkastelevan raporttia, Martan käyttöoikeuksien poistaminen raportista ei riitä. Veronican on myös poistettava Martan katselijan käyttöoikeudet työtilasta. Ilman työtilan katselijan käyttöoikeuksia Marta ei näe raportin olemassaoloa, koska hän ei voi käyttää työtilaa. Marta ei myöskään voi käyttää linkkiä raporttiin, koska hänellä ei ole raportin käyttöoikeutta.
Nyt kun Martalla ei ole työtilan katselijan roolia, Jaako Veronica päättää jakaa raportin hänen kanssaan uudelleen, Marta voi tarkastella sitä käyttämällä Veronican kanssa jakamaa linkkiä ilman työtilan käyttöoikeutta.
Esimerkki 3: Power BI -sovelluksen käyttöoikeudet
Kun jaat Power BI -raportteja, haluat usein, että vastaanottajillasi on vain raporttien käyttöoikeus työtilan kohteiden sijaan. Tätä varten voit käyttää Power BI -sovelluksia tai jakaa raportteja suoraan käyttäjien kanssa.
Voit lisäksi rajoittaa katselijan pääsyä tietoihin rivitason suojauksen (RLS) avulla, ja rivitason suojauksen avulla voit luoda rooleja, joilla on pääsy tiettyihin tietoihisi, ja rajoittaa tulosten palauttamista vain siitä, mitä käyttäjän käyttäjätiedot voivat käyttää.
Tämä toimii hyvin, kun käytetään tuontimalleja, koska tiedot tuodaan semanttiseen malliin ja vastaanottajilla on käyttöoikeus tähän osana sovellusta. DirectLaken avulla raportti lukee tiedot suoraan Lakehousesta, ja raportin vastaanottajalla on oltava käyttöoikeus näihin tiedostoihin Lake-järjestelmässä. Voit tehdä tämän useilla eri tavoilla:
- Anna
ReadDatasuoraan lupa Lakehouseen. - Vaihda tietolähteen tunnistetiedot ühekordne sisselogimine (SSO) -tunnuksista kiinteiksi käyttäjätietoihin, joilla on pääsy Lake-järjestelmän tiedostoihin.
Koska rivitason suojaus on määritetty semanttisessa mallissa, tiedot luetaan ensin ja sitten rivit suodatetaan.
Jos jokin suojaus on määritetty raportin perustana olevassa SQL-analytiikan päätepisteessä, kyselyt palataan automaattisesti DirectQuery-tilaan. Jos et halua tämän oletusarvoisen varatoiminnon toimintaa, voit luoda uuden Lakehouse-järjestelmän käyttämällä alkuperäisen Lakehousen taulukoiden pikakuvakkeita etkä määritä RLS- tai OLS-hakemistoa SQL:ssä uudessa Lakehousessa.