Jaa

Rivitason suojaus (RLS) Power BI:ssä

  • Artikkeli

Power BI:n rivitason suojauksen (RLS) avulla voidaan rajoittaa tietojen käyttöä tietyille käyttäjille. Suodattimet rajoittavat tietojen käyttöä rivitasolla ja voit määrittää roolien sisäisiä suodattimia. Power BI teenus käyttäjillä, joilla on työtilan käyttöoikeus, on käyttöoikeus työtilan semanttisiin malleihin. Rivitason suojaus rajoittaa tietojen käyttöä vain käyttäjille, joilla on Katselija-käyttöoikeudet . Se ei koske järjestelmänvalvojia, jäseniä tai osallistujia.

Voit määrittää rivitason suojauksen Power BI:hin tuoduille tietomalleille Power BI:n avulla. Voit myös määrittää rivitason suojauksen semanttisissa malleissa, jotka käyttävät DirectQueryä, kuten SQL Serveriä. Reaaliaikaisia Analysis Services- tai Azure Analysis Services -yhteyksiä varten rivitason suojaus määritetään mallissa, ei Power BI:ssä. Suojausvaihtoehtoa ei näy reaaliaikaisen yhteyden semanttisille malleille.

Roolien ja sääntöjen määrittäminen Power BI Desktopissa

Voit määrittää rooleja ja sääntöjä Power BI Desktopissa. Tällä editorilla voit vaihtaa avattavan oletuskäyttöliittymän ja DAX-liittymän välillä. Kun julkaiset Power BI:ssä, julkaiset myös roolimääritykset.

Käyttöoikeusroolien määrittäminen:

  1. Tuo tietoja Power BI Desktop -raporttiin tai määritä DirectQuery-yhteys.

    Muistiinpano

    Power BI Desktopissa ei voi määrittää rooleja reaaliaikaisille Analysis Services -yhteyksille. Se on tehtävä Analysis Services -mallissa.

  2. Valitse Mallinnus-välilehdeltä Roolien hallinta.

    Näyttökuva Mallinnus-välilehdestä, jossa näkyy korostettu Roolien hallinta.

  3. Luo uusi rooli valitsemalla Roolien hallinta -ikkunassa Uusi.

    Näyttökuva Roolien hallinta -ikkunasta, jossa korostetaan Luo uusi rooli -painiketta.

  4. Anna roolille nimi Roolit-kohdassa ja valitse Enter.

    Näyttökuva Roolien hallinta -ikkunasta, jossa roolin nimeäminen uudelleen korostetaan.

    Muistiinpano

    Et voi määrittää roolia pilkulla, esimerkiksi London,ParisRole.

  5. Valitse Valitse taulukot -kohdassa taulukko, johon haluat käyttää rivitason suojaussuodatinta.

  6. Määritä roolit oletuseditorin avulla kohdassa Suodata tiedot. Luodut lausekkeet palauttavat arvon tosi tai epätosi.

    Näyttökuva Roolien hallinta -ikkunan oletuseditorista rivitason suojauksen määrittämistä varten.

    Muistiinpano

    Kaikkia Power BI:n rivitason suojauksen suodattimia ei voi määrittää oletuseditoria käyttämällä. Rajoitukset sisältävät lausekkeita, jotka nykyään voidaan määrittää vain käyttämällä DAXia, mukaan lukien dynaamiset säännöt, kuten username() tai userprincipalname(). Jos haluat määrittää roolit näiden suodattimien avulla, siirry DAX-editorin käyttöön.

  7. Voit halutessasi vaihtaa roolisi DAX-editorin käyttöön valitsemalla Vaihda DAX-editoriin . DAX-lausekkeet palauttavat arvon tosi tai epätosi. Esimerkki: [Entity ID] = “Value”. DAX-editori on valmis kaavojen (intellisense) automaattisella täydennyksellä. Voit palauttaa muutokset valitsemalla lausekeruudun yläpuolelta valintamerkin lausekkeen vahvistamiseksi ja X-painikkeen lausekeruudun yläpuolella.

    Näyttökuva Roolien hallinta -ikkunasta, jossa korostetaan esimerkki DAX-lausekkeesta.

    Muistiinpano

    Voit käyttää lausekkeessa funktiota username( ). Huomaa, että username() on Power BI Desktopissa muodossa TOIMIALUE\käyttäjänimi . Power BI teenus ja Power BI aruandeserver sisällä se on käyttäjän täydellinen käyttäjätunnus (UPN). Vaihtoehtoisesti voit käyttää funktiota userprincipalname(), joka palauttaa käyttäjän aina täydellinen käyttäjätunnuksen, username@contoso.com. Voit lisäksi käyttää tässä lausekeruudussa pilkkuja DAX-funktioargumenttien erottamiseen, vaikka käyttäisit tavallisesti puolipisteerottimia (esimerkiksi ranska tai saksa).

  8. Voit vaihtaa takaisin oletuseditoriin valitsemalla Vaihda oletuseditoriin. Kaikki jommassakummassa editorin käyttöliittymässä tehdyt muutokset säilyvät, kun käyttöliittymää vaihdetaan, kun se on mahdollista. Kun määrität roolia käyttämällä DAX-editoria, jota ei voi määrittää oletuseditorissa, näyttöön tulee varoitus siitä, että joitain tietoja menetetään, jos yrität vaihtaa oletuseditoriin. Jos haluat säilyttää nämä tiedot, valitse Peruuta ja jatka vain tämän roolin muokkaamista DAX-editorissa.

    Näyttökuvassa on valintaikkuna, jossa vahvistetaan, että haluat vaihtaa oletuseditoriin.

    Muistiinpano

    Erota DAX-funktioargumentit toisistaan pilkuilla tässä lausekeruudussa, vaikka käyttäisit tavallisesti puolipisteerottimia (esimerkiksi ranska tai saksa).

  9. Valitse Tallenna.

Käyttäjille ei voi määrittää roolia Power BI Desktopissa. Voit määrittää ne Power BI teenus. Voit ottaa käyttöön Power BI Desktopin dynaamisen suojauksen hyödyntämällä username() - tai userprincipalname() -DAX-funktioita, kun oikeat suhteet on määritetty.

Oletuksena rivitason suojauksen suodatukseen käytetään yksisuuntaisia suodattimia, olivatpa suhteet sitten määritetty yksi- vai kaksisuuntaisiin. Voit ottaa kaksisuuntaisen ristisuodatuksen manuaalisesti käyttöön rivitason suojauksen yhteydessä valitsemalla suhteen ja valitsemalla Ota suojaussuodattimet käyttöön molempiin suuntiin -valintaruudun. Huomaa, että jos taulukko osallistuu useisiin kaksisuuntaisiin suhteisiin, voit valita tämän asetuksen vain yhdelle näistä suhteista. Valitse tämä vaihtoehto, kun olet ottanut käyttöön myös dynaamisen rivitason suojauksen palvelintasolla, jolla rivitason suojaus perustuu käyttäjänimeen tai kirjautumistunnukseen.

Lisätietoja on artikkelissa Kaksisuuntainen ristiinsuodatus käyttämällä DirectQueryä Power BI:ssä ja teknisessä artikkelissa Taulukkomuotoisen liiketoimintatietojen semanttisen mallin suojaaminen.

Näyttökuvassa on malliyhteysasetus, jonka avulla suojaussuodattimet voidaan ottaa käyttöön molempiin suuntiin.

Mallin suojauksen hallinta

Jos haluat hallita semanttisen mallin suojausta, avaa työtila, johon tallensit semanttisen mallin Fabricissa, ja toimi seuraavasti:

  1. Valitse Fabricissa semanttisen mallin Lisää asetuksia -valikko. Tämä valikko tulee näkyviin, kun pidät hiiren osoitinta semanttisen mallin nimen päällä.

    Näyttökuva, jossa näkyy siirtymisvalikon Lisää asetuksia -valikko.

  2. Valitse Suojaus.

    Näyttökuva, jossa näkyy Lisää vaihtoehtoja -valikko, jossa on valittuna Suojaus.

Suojaus vie sinut roolitason suojauksen sivulle, jolla voit lisätä jäseniä luomaasi rooliin. Osallistuja (ja korkeammat työtilaroolit) näkevät suojauksen ja voivat määrittää käyttäjille roolin.

Jäseniin käsitteleminen

Jäsenten lisääminen

Power BI teenus voit lisätä jäsenen rooliin kirjoittamalla käyttäjän tai käyttöoikeusryhmän sähköpostiosoitteen tai nimen. Et voi lisätä Power BI:ssä luotuja ryhmiä. Voit lisätä jäseniä, jotka ovat organisaatiosi ulkopuolisia henkilöitä.

Voit määrittää rivitason suojauksen seuraavien ryhmien avulla.

Huomaa, että Microsoft 365 -ryhmiä ei tueta eikä niitä voi lisätä mihinkään rooliin.

Näyttökuva, jossa näytetään, miten jäsen lisätään.

Roolin nimen tai jäsenten vieressä suluissa oleva numero voi myös nähdä, kuinka monta jäsentä rooliin kuuluu.

Näyttökuvassa näkyvät jäsenet roolissa.

Jäsenten poistaminen

Voit poistaa jäseniä valitsemalla hänen nimensä vieressä olevan X-merkin.

Näyttökuva, jossa näytetään, miten jäsen poistetaan.

Roolin vahvistaminen Power BI teenus

Voit varmistaa, että määrittämäsi rooli toimii oikein Power BI teenus testaamalla roolin.

  1. Valitse Enemmän vaihtoehtoja (...) roolin vieristä.
  2. Valitse Testaa roolina.

Näyttökuva Testaa roolina -vaihtoehdosta.

Sinut ohjataan raporttiin, joka julkaistiin Power BI Desktopista tämän semanttisen mallin kanssa, jos se on olemassa. Koontinäytöt eivät ole käytettävissä testaukseen Testaa roolina -vaihtoehdon avulla.

Sivun otsikossa näkyy käytettävä rooli. Testaa muita rooleja, roolien yhdistelmiä tai tiettyä henkilöä valitsemalla Tarkastellaan nyt käyttäjänä. Tässä näet testattavaan henkilöön tai rooliin liittyvät tärkeät käyttöoikeustiedot. Lisätietoja oikeuksien vuorovaikutuksesta rivitason suojauksen kanssa on artikkelissa Rivitason suojauksen käyttökokemus.

Näyttökuva tarkastellaan nyt avattavana luettelona tietylle henkilölle.

Testaa muita semanttiseen malliin yhdistettyjä raportteja valitsemalla Sivun otsikossa Tarkasteleminen . Voit testata vain samassa työtilassa olevia raportteja kuin semanttinen mallisi.

Näyttökuva tarkastelemisesta, jos haluat valita testattavan eri raportin.

Voit palata normaaliin tarkasteluun valitsemalla Takaisin rivitason suojaukseen.

Muistiinpano

Testaa roolina -ominaisuus ei toimi DirectQuery-malleissa, joissa kertakirjautuminen on käytössä. Lisäksi kaikkia raportin ominaisuuksia ei voida vahvistaa Testi-roolissa rooliominaisuutena, mukaan lukien Q&A-visualisoinnit, Nopeat merkitykselliset tiedot -visualisoinnit ja Copilot.

DAX-funktion username() tai userprincipalname() käyttö

Voit hyödyntää tietojoukossa DAX-funktioita username() ja userprincipalname( ). Voit käyttää niitä lausekkeissa Power BI Desktopissa. Kun julkaiset mallin, sitä käytetään Power BI teenus.

Power BI Desktopissa username() palauttaa käyttäjän muodossa TOIMIALUE\Käyttäjä ja userprincipalname() palauttaa käyttäjän muodossa user@contoso.com.

Power BI teenus sekä username() että userprincipalname() palauttavat käyttäjän täydellinen käyttäjätunnus (UPN). Se näyttää samalta kuin sähköpostiosoite.

Rivitason suojauksen käyttäminen työtilojen kanssa Power BI:ssä

Jos julkaiset Power BI Desktop -raportin työtilassa Power BI teenus, RLS-roolit otetaan käyttöön jäsenille, joille on määritetty katselijan rooli työtilassa. Vaikka katsojille annetaan semanttisen mallin muodostamisoikeudet, rivitason suojaus on edelleen voimassa. Jos esimerkiksi muodostamisoikeudet saaneet katselijat käyttävät Analysoi Excelissä -toimintoa, heidän näkymänsä tietoihin on rajoitettu rivitason suojauksen avulla. Työtilan jäsenillä, joille on määritetty järjestelmänvalvoja, jäsen tai osallistuja, on semanttisen mallin muokkausoikeus, joten rivitason suojaus ei koske heitä. Jos haluat, että rivitason suojaus koskee työtilan henkilöitä, voit määrittää heille vain Katselija-roolin. Lue lisää työtilojen rooleista.

Huomioitavat asiat ja rajoitukset

Voit tarkistaa pilvimallien rivitason suojauksen tämänhetkiset rajoitukset täältä:

  • Jos määritit aiemmin roolit ja säännöt Power BI teenus, sinun on luotava ne uudelleen Power BI Desktopissa.
  • Voit määrittää rivitason suojauksen vain semanttisissa malleissa, jotka on luotu Power BI Desktopin avulla. Jos haluat ottaa rivitason suojauksen käyttöön Excelillä luoduille semanttisille malleille, sinun on ensin muunnettava tiedostosi Power BI Desktop (PBIX) -tiedostoiksi. Lisätietoja.
  • Palvelun päänimiä ei voi lisätä rivitason suojauksen rooliin. Näin ollen rivitason suojausta ei käytetä sovelluksiin, jotka käyttävät palvelun päänimeä lopullisena voimassa olevana käyttäjätietona.
  • Vain tuonti- ja DirectQuery-yhteyksiä tuetaan. Reaaliaikaisia yhteyksiä Analysis Servicesiin käsitellään paikallisessa mallissa.
  • Testaa roolina/Näytä roolina -ominaisuus ei toimi DirectQuery-malleissa, joissa kertakirjautuminen on käytössä.
  • Testaa roolina/näytä roolina -ominaisuus näyttää vain semanttisten mallien työtilan raportit.
  • Testaa roolina/Näytä roolina -ominaisuus ei toimi sivutetuissa raporteissa.

Muista, että jos Power BI -raportti viittaa riviin, jolle on määritetty rivitason suojaus, sama sanoma tulee näkyviin kuin poistetulle tai ei-olemassa olevalle kentälle. Näillä käyttäjillä vaikuttaa siltä, että raportti on rikki.

UKK

Kysymys: Entä jos olen aiemmin luonut rooleja ja sääntöjä tietojoukolle Power BI teenus? Toimivatko ne edelleen, jos en tee mitään?
Vastaus: Ei, visualisointeja ei hahmonneta oikein. Sinun on luotava roolit ja säännöt uudelleen Power BI Desktopissa ja sen jälkeen julkaistava ne Power BI teenus.

Kysymys: Voinko luoda nämä roolit Analysis Services -tietolähteille?
Vastaus: Kyllä, jos tiedot on tuotu Power BI Desktopiin. Jos käytät reaaliaikaista yhteyttä, et voi määrittää rivitason suojausta Power BI teenus sisällä. Voit määrittää rivitason suojauksen Analysis Services -mallissa paikallisesti.

Kysymys: voinko käyttää rivitason suojausta rajoittamaan käyttäjien käytössä olevia sarakkeita tai mittareita?
Vastaus: Ei. Jos käyttäjällä on tietyn tietorivin käyttöoikeus, hän voi nähdä kaikki kyseisen rivin tietosarakkeet. Jos haluat rajoittaa sarakkeiden ja sarakkeiden metatietojen käyttöä, harkitse objektitason suojauksen käyttämistä.

Kysymys: Salliiko rivitason suojaus tarkkojen tietojen piilottamisen ja visualisoinneissa olevien yhteenvetotietojen käytön?
Vastaus: Ei, voit suojata yksittäisiä tietorivejä, mutta käyttäjät voivat aina nähdä tarkat tiedot tai yhteenvetotiedot.

Kysymys: Tietolähteeseeni on jo määritetty käyttöoikeusrooleja (esimerkiksi SQL Server -rooleja tai SAP BW -rooleja). Mikä näiden roolien ja rivitason suojauksen välinen suhde on?
Vastaus: Vastaus riippuu siitä, tuotko tietoja vai käytätkö DirectQuerya. Jos tuot tietoja Power BI -tietojoukkoosi, tietolähteesi käyttöoikeusrooleja ei käytetä. Tässä tapauksessa sinun on määritettävä rivitason suojaus, jotta voit pakottaa suojaussäännöt käyttäjille, jotka muodostavat yhteyden Power BI:ssä. Jos käytät DirectQueryä, käytetään tietolähteesi käyttöoikeusrooleja. Kun käyttäjä avaa raportin, Power BI lähettää pohjana olevaan tietolähteeseen kyselyn, joka soveltaa tietoihin suojaussääntöjä käyttäjän tunnistetietojen perusteella.

Kysymys: Voiko käyttäjä kuulua useampaan kuin yhteen rooliin?
Vastaus: Käyttäjä voi kuulua useisiin rooleihin, ja roolit ovat lisääviä. Jos käyttäjä esimerkiksi kuuluu sekä Myynti- että Markkinointi-rooleihin, hän voi nähdä molempien roolien tiedot.

Liittyvä sisältö

Kysyttävää? Voit esittää kysymyksiä Power BI -yhteisön ehdotuksille? Kerro ideasi Power BI:n parantamiseksi