Power BI:n käyttöönoton suunnittelu: Sisällön luojan suojauksen suunnittelu

Muistiinpano

Tämä artikkeli on osa Power BI:n käyttöönoton suunnittelun artikkelisarjaa. Tässä sarjassa keskitytään ensisijaisesti Microsoft Fabricin Power BI -kokemukseen. Johdanto sarjaan on artikkelissa Power BI:n käyttöönoton suunnittelu.

Tässä suojaussuunnittelua koskevassa artikkelissa kuvataan sisällöntekijöille tarkoitettuja strategioita, jotka vastaavat semanttisten mallien (aiemmin tietojoukot), tietovoiden, tietojoukkojen, raporttien tai koontinäyttöjen luomisesta. Se on ensisijaisesti kohdistettu seuraaviin:

• Power BI -järjestelmänvalvojat: Järjestelmänvalvojat, jotka vastaavat Power BI:n valvonnasta organisaatiossa.
• Center of Excellence, IT ja BI-tiimi: Tiimit, jotka vastaavat myös Power BI:n valvonnasta. Heidän täytyy ehkä tehdä yhteistyötä Power BI -järjestelmänvalvojien, tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
• Sisällöntekijät ja omistajat: Omatoimisen BI-sisällöntuottajat, joiden on luotava, julkaistava, suojattava ja hallittava muiden kuluttamia sisältöjä.

Artikkelisarja on tarkoitettu laajennemaan Power BI:n suojausta koskevan julkaisun sisältöön. Vaikka Power BI:n suojauksen teknisessä raportissa keskitytään keskeisiin teknisiin aihealueisiin, kuten todentamiseen, tietojen tallennukseen ja verkon eristämiseen, sarjan ensisijaisena tavoitteena on tarjota huomioon otettavia seikkoja ja päätöksiä, jotka auttavat sinua suunnittelemaan suojausta ja yksityisyyttä.

Organisaatiossa monet käyttäjät ovat sisällön tekijöitä. Sisällöntekijät tuottavat ja julkaisevat sisältöä, jota muut tarkastelevat. Tässä artikkelissa keskitytään sisällöntekijöisiin.

Vihje

Suosittelemme, että luet ensin raportin kuluttajasuojauksen suunnittelua koskevan artikkelin. Siinä kuvataan strategioita, joiden avulla sisältöä voidaan turvallisesti tarjota vain luku -kuluttajille, mukaan lukien tietosuojan pakottaminen.

Strategia sisällöntekijöille

Hyvin hallitun omatoimisen BI-järjestelmän perusta alkaa sisällöntekijöistä ja omistajista. He luovat ja vahvistavat semanttisia malleja ja raportteja. Monissa tapauksissa myös sisällön tekijät määrittävät sisällön suojausta koskevat oikeudet.

Vihje

Suosittelemme edistämään tietokulttuuria, joka tekee tietojen suojauksesta ja suojaamisesta normaalin osan kaikkien roolia. Tämän tavoitteen saavuttamiseksi käyttäjien koulutus, tuki ja koulutus ovat välttämättömiä.

Suojausta ja käyttöoikeuksia varten on otettava huomioon kahdentyyppisiä sisällön tekijöitä: tietojen luojat ja raporttien luojat. He voivat vastata yrityksen liiketoimintatietojen tai omatoimisen BI-sisällön luomisesta ja hallinnasta.

Tietojen luojat

Tietojen luoja on kuka tahansa Power BI -käyttäjä, joka luo semanttisia malleja, tietovoita tai tietomarteja.

Seuraavassa on joitakin yleisiä tietojen luojien skenaarioita.

• Luo uusi semanttinen malli: Luo ja testaa uutta tietomallia Power BI Desktopissa. Sen jälkeen se julkaistaan Power BI -palvelu siten, että sitä voidaan käyttää useiden raporttien jaetuna semanttisena mallina. Lisätietoja jaettujen semanttisten mallien uudelleenkäytöstä on managed self-service BI - käyttöskenaariossa.
• Semanttisen mallin laajentaminen ja mukauttaminen: Luo reaaliaikainen yhteys aiemmin luotuun jaettuun semanttiseen malliin Power BI Desktopissa. Muunna reaaliaikainen yhteys paikalliseksi malliksi, jolloin mallin rakennetta voidaan laajentaa uusilla taulukoilla tai sarakkeilla. Lisätietoja jaettujen semanttisten mallien laajentamisesta ja mukauttamisesta on mukautettavassa hallitussa BI:n käyttöskenaariossa.
• Luo uusi tietovuo: luo Power BI -palvelu uusi tietovuo niin, että monet semanttiset mallit voivat käyttää sitä lähteenä. Lisätietoja tietojen valmistelutoimintojen uudelleenkäytöstä on omatoimisen tietojen valmistelun käyttöskenaariossa.
• Luo uusi tietomarssi. Luo Power BI -palvelu uusi tietoraja.

Tietojen luojat löytyvät usein yritysten BI-tiimeistä ja Center of Excellencestä (COE). Niillä on myös keskeinen rooli hajautetuissa liiketoimintayksiköissä ja osastoissa, jotka ylläpitävät ja hallinnoivat omia tietojaan.

Jos haluat lisätietoja muista liiketoiminnan johtamista liiketoimintatietojen hallinnasta, omatoimisesta liiketoimintatietojen hallinnasta ja yritystietojen hallinnasta, lue artikkeli Sisällön omistajuus ja hallinta .

Raporttien luojat

Raporttien luojat luovat raportteja ja koontinäyttöjä visualisoidakseen tietoja, jotka ovat peräisin olemassa olevista semanttisista malleista.

Seuraavassa on joitakin yleisiä raportin luojien skenaarioita.

• Luo uusi raportti, joka sisältää tietomallin: Luo ja testaa uutta raporttia ja tietomallia Power BI Desktopissa. Power BI Desktop -tiedosto, joka sisältää yhden tai useamman raporttisivun ja joka sisältää tietomallin, julkaistaan Power BI -palvelu. Uudet sisällöntekijät käyttävät yleensä tätä menetelmää, ennen kuin ovat tietoisia jaettujen semanttisten mallien käyttämisestä. Se soveltuu myös ahdaskäyttötapauksiin, joissa tietoja ei tarvitse käyttää uudelleen.
• Luo reaaliaikaisen yhteyden raportti: Luo uusi Power BI -raportti, joka muodostaa yhteyden jaettuun semanttiseen malliin Power BI -palvelu. Lisätietoja jaettujen semanttisten mallien uudelleenkäytöstä on managed self-service BI - käyttöskenaariossa.
• Yhdistetyn Excel-työkirjan luominen: Luo uusi Excel-raportti, joka muodostaa yhteyden jaettuun semanttiseen malliin Power BI -palvelu. Näyttöyhteys excel-käyttökokemusta tietojen lataamisen sijaan on erittäin suositeltavaa.
• DirectQuery-raportin luominen: luo uusi Power BI -raportti, joka muodostaa yhteyden tuettuun tietolähteeseen DirectQuery-tilassa. Tämä menetelmä on hyödyllinen esimerkiksi silloin, kun haluat hyödyntää lähdejärjestelmän käyttöön antamaa käyttäjien suojausta.

Raporttien luojia löytyy organisaation jokaisesta liiketoimintayksiköstä. Organisaatiossa on yleensä paljon enemmän raportin luojia kuin tietojen luojia.

Vihje

Vaikka kaikki semanttiset mallit eivät ole jaettu semanttinen malli, on silti syytä omaksua hallittu omatoiminen BI-strategia . Tässä strategiassa jaetut semanttiset mallit käsitellään uudelleen aina, kun se on mahdollista. Tällä tavoin raportin luonti ja tietojen luonti erotetaan toisistaan. Kaikki minkä tahansa liiketoimintayksikön sisällön luojat voivat käyttää tätä strategiaa tehokkaasti.

Sisällöntuottajien käyttöoikeudet

Tässä osiossa kuvataan yleisimmät käyttöoikeudet tietojen luojille ja raporttien tekijöille.

Tämä osio ei ole tarkoitettu kattavaksi luetteloksi kaikista mahdollisista käyttöoikeuksista. Sen sijaan sen tarkoitus on auttaa suunnittelemaan strategiaasi erityyppisten sisällöntuottajien tukemiseksi. Tavoitteenasi on olla noudattaa pienintä etuoikeutta. Tämän periaatteen avulla käyttäjät voivat olla tuottavia ilman ylivarausoikeuksia.

Uuden sisällön luominen

Uuden sisällön luomiseen tarvitaan yleensä seuraavat käyttöoikeudet.

Käyttöoikeus	Raportin luoja	Semanttisen mallin tekijä	Tietovuon tekijä	Datamart Creator
Pohjana olevan tietolähteen käyttö
Semanttisen mallin luku- ja muodostamisoikeudet
Tietovuon lukuoikeus (kun tietovuota käytetään lähteenä työtilan Katselija-roolin kautta)
Käyttöoikeus, johon alkuperäinen Power BI Desktop -tiedosto on tallennettu
Mukautettujen visualisointien käyttöoikeus

Sisällön käyttöoikeuksien julkaiseminen

Sisällön julkaisemiseen tarvitaan yleensä seuraavat käyttöoikeudet.

Käyttöoikeus	Raportin luoja	Semanttisen mallin tekijä	Tietovuon tekijä	Datamart Creator
Työtilan rooli: Osallistuja, Jäsen tai Hallinta
Semanttisen mallin kirjoitusoikeus (kun käyttäjällä ei ole työtilan roolia)
Käyttöönottoputken rooli kohteiden julkaisua varten (valinnainen)

Tietojen päivittäminen

Tietojen päivittämiseen tarvitaan yleensä seuraavat käyttöoikeudet.

Käyttöoikeus	Raportin luoja	Semanttisen mallin tekijä	Tietovuon tekijä	Datamart Creator
Omistaja määritetty (joka on määrittänyt asetukset tai ottanut kohteen haltuunsa)
Pohjana olevan tietolähteen käyttöoikeus (kun yhdyskäytävää ei käytetä)
Tietolähteen käyttö yhdyskäytävässä (kun lähde on paikallinen tai näennäisverkossa)

Tämän artikkelin loppuosassa kuvataan sisällöntekijöille asetettuja käyttöoikeuksia koskevat huomioon otettavat seikat.

Vihje

Katso sisällön tarkasteluun liittyvät käyttöoikeudet artikkelista Raportin kuluttajan suojauksen suunnittelu .

Tarkistusluettelo – Kun suunnittelet suojausstrategiaa sisällöntekijöille, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Selvitä, ketkä tietojen luojat ovat: Varmista, että tunnet, ketkä luovat semanttisia malleja, tietovoita ja tietomalleja. Varmista, että ymmärrät heidän tarpeensa, ennen kuin aloitat suojauksen suunnittelun.
• Selvitä, ketkä raportin luojat ovat: Varmista, että tunnet, ketkä luovat raportteja, koontinäyttöjä, työkirjoja ja tuloskortteja. Varmista, että ymmärrät heidän tarpeensa, ennen kuin aloitat suojauksen suunnittelun.

Sisällön etsiminen luojille

Käyttäjät voivat etsiä semanttisia malleja ja tietomarteja tietojen etsimisen avulla. Tietojen etsiminen on Power BI -ominaisuus, jonka avulla sisällöntuottajat voivat paikantaa olemassa olevat tietoresurssit, vaikka heillä ei olisi mitään käyttöoikeuksia kyseiseen sisältöön.

Olemassa olevien tietojen etsimisestä on hyötyä:

• Raporttien luojat, jotka haluavat käyttää aiemmin luotua semanttista mallia uudessa raportissa.
• Raporttien luojat, jotka haluavat kysellä tietoja olemassa olevasta tietomartista.
• Semanttisten mallien luojat, jotka haluavat käyttää aiemmin luotua semanttista mallia uudessa yhdistelmämallissa.

Muistiinpano

Tietojen etsiminen Power BI:ssä ei ole tietosuojan käyttöoikeus. Se on asetus, jonka avulla raportin tekijät voivat lukea metatietoja ja auttaa heitä löytämään tietoja ja pyytämään käyttöoikeutta niihin.

Voit määrittää semanttisen mallin tai tietomartin löydettäväksi, kun se on hyväksytty (sertifioitu tai ylennetty). Kun sisältö on löydettävissä, sisällöntuottajat löytävät sen tietokeskuksesta.

Sisällöntekijä voi myös pyytää käyttöoikeutta semanttiseen malliin tai tietomartiin. Käyttöoikeuspyyntö pyytää muodostamisoikeutta, joka edellyttää uuden sisällön luomista sen perusteella. Käyttöoikeuspyyntöihin vastaamisessa kannattaa harkita ryhmien käyttämistä yksittäisten käyttäjien sijaan. Lisätietoja ryhmien käyttämisestä tätä tarkoitusta varten on artikkelissa Pyydä käyttöoikeustyönkulkua kuluttajille.

Katso seuraavia kolmea esimerkkiä.

• Semanttinen myyntiyhteenvetomalli on sertifioitu. Se on myynnin seurannan luotettu ja kelvollinen lähde. Monet omatoimisen raportin luojat koko organisaatiossa käyttävät tätä semanttista mallia. Semanttiseen malliin perustuvia raportteja ja yhdistelmämalleja on siis paljon. Jotta muut tekijät voivat etsiä semanttisen mallin ja käyttää sitä, se on määritetty löydettävissä olevaksi.
• Semanttinen Inventory-tilastomalli on sertifioitu. Se on luotettu ja kelvollinen lähde varasto-analyysia varten. Semanttisen mallin ja siihen liittyvien raporttien ylläpidosta ja jakamisesta vastaa yrityksen BI-tiimi. Semanttisen mallin monimutkaisen suunnittelun vuoksi vain yrityksen BI-tiimi saa luoda ja ylläpitää varastosisältöä. Koska tavoitteena on estää raportin tekijöiltä semanttisen mallin käyttö, sitä ei voi määrittää löydettävissä olevaksi.
• Johdon bonukset -semanttinen malli sisältää erittäin luottamuksellista tietoa. Tämän semanttisen mallin tarkastelu- tai päivitysoikeudet on rajoitettu vain muutamille käyttäjille. Tätä semanttista mallia ei ole määritetty löydettäväksi.

Seuraavassa näyttökuvassa näkyy semanttinen malli Power BI -palvelu palvelinkeskuksessa. Se näyttää esimerkin käyttöoikeuden pyytämisen sanomasta, joka koskee löydettävissä olevaa semanttista mallia. Tämä sanoma tulee näkyviin, kun käyttäjällä ei ole tällä hetkellä käyttöoikeutta. Pyydä käyttöoikeutta -sanomaa on mukautettu semanttisen mallin asetuksissa.

Request access -viestissä lukee: MTD/QTD/YTD-vakiomyyntiraportoinnin semanttinen malli on virallinen ja sertifioitu lähde. Pyydä käyttöoikeutta semanttiseen malliin täyttämällä lomake, joka sijaitsee osoitteessa https://COE.contoso.com/RequestAccess. Sinulta pyydetään lyhyt liiketoiminnallinen oikeutus, ja myös Center of Excellencen johtajalta vaaditaan pyynnön hyväksymistä. Käyttö tarkastetaan puolen vuoden välein.

Muistiinpano

Tietokulttuurin ja tietojen demokratisoitumiseen suhtautumisen tulisi vaikuttaa voimakkaasti siihen, otatko tietojen etsinnän käyttöön. Lisätietoja tietojen etsimisestä on mukautettavassa hallitussa BI-käyttöskenaariossa .

Etsintään liittyy kolme vuokraaja-asetusta.

• Etsi sisältöä -vuokraajan asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat löytää tietoja. Se on tarkoitettu ensisijaisesti raporttien tekijöille, joiden on ehkä etsittävä aiemmin luotuja semanttisia malleja luodessaan raportteja. Siitä on hyötyä myös semanttisten mallien luojille, jotka saattavat etsiä olemassa olevia tietoja, joita he voivat käyttää yhdistelmämallin kehittämisessään. Vaikka se voidaan määrittää tietyille käyttöoikeusryhmille, asetus kannattaa ottaa käyttöön koko organisaatiolle. Yksittäisten semanttisten mallien ja tietovoiden etsintäasetus määrittää, mikä on löydettävissä. Harvinaisemmin voit harkita tämän ominaisuuden rajoittamista vain hyväksytyille sisällöntekijöille.
• Tee sertifioidusta sisällöstä löydettävissä oleva vuokraaja -asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä ryhmät voivat määrittää sisällön löydettävissä olevaksi (kun heillä on myös kohteen muokkausoikeus ja oikeus sertifioida sisältöä, jonka sertifiointivuokraaja-asetus myöntää). Sisällön sertifiointikykyä tulisi hallita tiukasti. Useimmissa tapauksissa samojen käyttäjien, jotka voivat sertifioida sisältöä, tulisi antaa määrittää se löydettävissä olevaksi. Joissakin tilanteissa haluat ehkä rajoittaa tämän ominaisuuden vain hyväksytyille tietojen luojille.
• Tee ylennetystä sisällöstä löydettävää vuokraajaa -asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä ryhmät voivat määrittää sisällön löydettävissä olevaksi (kun heillä on myös oikeudet muokata tietoja). Koska mahdollisuus ylentää sisältöä on avoin kaikille sisällöntekijöille, useimmissa tapauksissa tämän ominaisuuden pitäisi olla kaikkien käyttäjien käytettävissä. Harvinaisemmin voit harkita tämän ominaisuuden rajoittamista vain hyväksytyille sisällöntekijöille.

Tarkistusluettelo – Kun suunnittelet tietojen etsimistä sisällöntekijöille, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Selvitä tietojen etsimistarpeet: Mieti, mikä organisaatiosi kanta on kannustaa sisällöntekijöitä etsimään olemassa olevia semanttisia malleja ja tietomarteja. Luo tarvittaessa hallintokäytäntö siitä, miten tietojen etsimistä tulee käyttää.
• Päätä, kuka voi löytää sisältöä: Päätä, onko Power BI -käyttäjällä oikeus löytää sisältöä vai tulisiko etsintä rajoittaa tietyille käyttäjäryhmille (esimerkiksi ryhmälle hyväksyttyjä sisällöntekijöitä). Määritä Etsi sisältöä vuokraaja -asetus tämän päätöksen mukaiseksi.
• Päätä, kuka voi määrittää sertifioidun sisällön löydettäviksi: Päätä, voiko kuka tahansa Power BI -käyttäjä (jolla on oikeus muokata semanttista mallia tai tietomarttia sekä sertifioida sen) voi asettaa löydettäviksi. Määritä Tee sertifioidusta sisällöstä löydettävää vuokraajaa -asetus tämän päätöksen mukaiseksi.
• Päätä, kuka voi määrittää ylennetyn sisällön löydettäviksi: Päätä, voiko kuka tahansa Power BI -käyttäjä (jolla on semanttisen mallin tai tietomartin muokkausoikeudet) määrittää sen löydettävissä olevaksi. Määritä Tee ylennetystä sisällöstä löydettävää vuokraajaa -asetus tämän päätöksen mukaiseksi.
• Sisällytä semanttisten mallien luojien dokumentaatioon ja harjoittamiseen: Sisällytä semanttisten mallien tekijöille ohjeita siitä, milloin on tarkoituksenmukaista käyttää tietojen etsimistä heidän omistamiaan ja hallitsemiaan semanttisia malleja ja tietomarteja varten.
• Sisällytä raporttien luojien dokumentaatioon ja koulutukseen: Sisällytä sisällöntekijöille ohjeita siitä, miten tietojen etsiminen toimii ja mitä he voivat odottaa.

Pyydä käyttöoikeustyönkulkua luojille

Käyttäjä voi pyytää sisällön käyttöoikeutta kahdella tavalla.

• Sisällön kuluttajille: Käyttäjä saa linkin Power BI -palvelu olevaan aiemmin luotuun raporttiin tai sovellukseen. Jos haluat tarkastella kohdetta, kuluttaja voi valita Pyydä käyttöoikeutta -painikkeen. Lisätietoja on artikkelissa Raportin kuluttajasuojauksen suunnittelu .
• Sisällöntekijöille: Käyttäjä löytää tietokeskuksesta semanttisen mallin tai tietomarssin. Sisällöntekijä voi luoda uuden raportin tai yhdistelmämallin olemassa olevien tietojen perusteella valitsemalla Pyydä käyttöoikeutta -painikkeen. Tämä kokemus on tämän osion pääpainopiste.

Oletusarvoisesti semanttisen mallin tai tietomartin käyttöpyyntö menee omistajalle. Omistaja on käyttäjä, joka on viimeksi ajoitettu tietojen päivittäminen tai tunnistetietojen syöttäminen. Yhden käyttäjän käyttäminen käyttöoikeuspyyntöjen käsittelyyn voi olla hyväksyttävää tiimin semanttisissa malleissa. Se ei välttämättä kuitenkaan ole käytännöllistä tai luotettavaa.

Sen sijaan, että luottaisit yhteen omistajaan, voit määrittää mukautetut ohjeet, jotka annetaan käyttäjille, kun he pyytävät käyttöoikeutta semanttiseen malliin tai tietomartiin. Mukautetut ohjeet ovat hyödyllisiä, kun:

• Semanttinen malli on määritetty löydettävissä olevaksi.
• Käyttöoikeuspyynnön hyväksyy joku muu kuin tietojen omistaja.
• Käytössä on olemassa oleva prosessi, jota on noudatettava käyttöoikeuspyyntöjen osalta.
• Sen seuraaminen, kuka pyysi käyttöoikeutta, milloin ja miksi se on tarpeen valvonnan tai vaatimustenmukaisuuden vuoksi.
• Käyttöoikeuden pyytäminen ja odotusten määrittäminen edellyttää selitystä.

Seuraavassa näyttökuvassa on esimerkki mukautettujen ohjeiden määrittämisestä, jotka käyttäjä näkee pyydäessään muodostamisoikeutta. Mukautetuissa ohjeissa lukee: MTD/QTD/YTD-vakiomyyntiraportointia varten tämä semanttinen malli on virallinen ja sertifioitu lähde. Pyydä käyttöoikeutta semanttiseen malliin täyttämällä lomake, joka sijaitsee osoitteessa https://COE.contoso.com/RequestAccess. Sinulta pyydetään lyhyt liiketoiminnallinen oikeutus, ja myös Center of Excellencen johtajalta vaaditaan pyynnön hyväksymistä. Käyttö tarkastetaan puolen vuoden välein.

Lomakkeen luomiseen on useita vaihtoehtoja. Power Apps ja Microsoft Forms ovat molemmat vähäisen koodin ja helppokäyttöisen käytön vaihtoehtoja. Suosittelemme, että luot lomakkeen siten, että se on riippumaton yksittäisestä käyttäjästä. On tärkeää, että asianmukainen tiimi luo, hallinnoi ja valvoo lomakettasi.

Suosittelemme, että luot hyödyllisiä tietoja

• Sisällöntekijät tietävät, mitä odotetaan, kun he pyytävät käyttöoikeutta.
• Sisällön omistajat ja järjestelmänvalvojat osaavat hallita lähetettyjä pyyntöjä.

Vihje

Lisätietoja kuluttajien lukuoikeuspyyntöihin vastaamisesta on artikkelissa Pyydä käyttöoikeustyönkulkua kuluttajille. Se sisältää myös tietoja ryhmien käyttämisestä (yksittäisten käyttäjien sijaan).

Tarkistusluettelo – Kun suunnittelet Pyydä käyttöoikeutta -työnkulkua, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Selvitä käyttöoikeuspyynnöt seuraavasti: Selvitä, missä tilanteissa se voidaan hyväksyä omistajan hyväksyttäväksi ja milloin tulee käyttää eri prosessia. Luo tarvittaessa hallintokäytäntö siitä, miten käyttöoikeuspyyntöjä tulee käsitellä.
• Sisällytä semanttisen mallin ja tietomartin luojien dokumentaatioon ja harjoittamiseen: Sisällytä semanttisen mallin ja tietojoukkojen tekijöille ohjeet siihen, miten ja milloin käyttöoikeuspyyntöjä koskevat mukautetut ohjeet määritetään.
• Sisällytä raporttien luojien dokumentaatioon ja koulutukseen: Sisällytä raporttien tekijöille ohjeita siitä, mitä he voivat odottaa pyydettäessä semanttisten mallien ja tietojoukkojen koontioikeuksia.

Sisällön luominen ja julkaiseminen

Tämä osio sisältää sisällöntekijöihin liittyviä suojausnäkökohtia.

Muistiinpano

Jos kuluttajat tarkastelevat raportteja, koontinäyttöjä ja tuloskortteja, katso artikkelia Raportin kuluttajien suojauksen suunnittelu . Tässä artikkelissa käsitellään myös sovelluksen käyttöoikeuksiin liittyviä huomioon otettavia seikkoja.

Työtilaroolit

Voit myöntää työtilan käyttöoikeuden lisäämällä käyttäjiä tai ryhmiä (mukaan lukien käyttöoikeusryhmiä, Microsoft 365 -ryhmiä ja jakeluluetteloita) työtilan rooleihin. Kun määrität käyttäjiä työtilan rooleihin, voit määrittää, mitä he voivat tehdä työtilan ja sen sisällön avulla.

Muistiinpano

Lisätietoja työtilan suunnittelussa huomioon otettavia seikkoja on työtilan suunnitteluartikkeleissa . Lisätietoja ryhmistä on artikkelissa Vuokraajatason suojauksen suunnittelu .

Koska työtilan ensisijainen tarkoitus on yhteistyö, työtilan käyttöoikeudet ovat enimmäkseen merkityksellisiä käyttäjille, jotka omistavat ja hallitsevat sen sisältöä. Kun alat suunnitella työtilan rooleja, on hyödyllistä kysyä itseltäsi seuraavat kysymykset.

• Mitkä ovat odotukset siitä, miten yhteistyö tapahtuu työtilassa?
• Ken vastaavat työtilan sisällön hallinnasta?
• Onko tarkoituksena määrittää yksittäisiä käyttäjiä tai ryhmiä työtilan rooleihin?

Power BI -työtilarooleja on neljä: Hallinta, jäsen, osallistuja ja katselija. Kolme ensimmäistä roolia liittyvät sisällöntekijöihin, jotka luovat ja julkaisevat sisältöä. Katselija-roolilla on merkitystä vain luku -kuluttajille.

Neljä työtilaroolin käyttöoikeutta on sisäkkäin. Tämä tarkoittaa sitä, että työtilan järjestelmänvalvojilla on kaikki ominaisuudet, jotka ovat jäsenten, osallistujien ja katselijien käytettävissä. Samoin jäsenillä on kaikki ominaisuudet, jotka ovat osallistujien ja katselijien käytettävissä. Osallistujilla on kaikki ominaisuudet, jotka ovat katsojien käytettävissä.

Vihje

Työtilan roolien ohjeissa on kunkin neljän roolin kelvollinen viitemateriaali.

Työtilan järjestelmänvalvoja

Hallinta rooliin määritetyistä käyttäjistä tulee työtilan järjestelmänvalvojia. He voivat hallita kaikkia asetuksia ja suorittaa kaikki toiminnot, mukaan lukien käyttäjien (myös muiden työtilan järjestelmänvalvojien) lisäämisen tai poistamisen.

Työtilan järjestelmänvalvojat voivat päivittää tai poistaa Power BI -sovelluksen (jos sellainen on). He voivat valinnaisesti antaa osallistujien päivittää sovelluksen työtilaa varten. Lisätietoja on tämän artikkelin kohdassa Työtilaroolien variaatiot.

Vihje

Kun viittaat järjestelmänvalvojaan, muista selvittää, puhutko työtilan järjestelmänvalvojasta vai Power BI -vuokraajatason järjestelmänvalvojasta.

Varmista, että vain luotetut ja luotettavat henkilöt ovat työtilan järjestelmänvalvojia. Työtilan järjestelmänvalvojalla on suuret oikeudet. He voivat tarkastella ja hallita kaikkea työtilan sisältöä. He voivat lisätä ja poistaa käyttäjiä (myös muita järjestelmänvalvojia) mihin tahansa työtilan rooliin. He voivat myös poistaa työtilan.

Suosittelemme, että käytössä on vähintään kaksi järjestelmänvalvojaa, joten yksi toimii varmuuskopiona, jos ensisijainen järjestelmänvalvoja ei ole käytettävissä. Työtilaa, jolla ei ole järjestelmänvalvojaa, kutsutaan orpotyötilaksi. Orpo tila ilmenee, kun käyttäjä poistuu organisaatiosta eikä työtilalle ole määritetty vaihtoehtoista järjestelmänvalvojaa. Lisätietoja siitä, miten voit tunnistaa ja korjata orpoja työtiloja, on artikkelissa Työtilojen tarkasteleminen .

Ihannetapauksessa sinun pitäisi pystyä selvittämään, kuka on vastuussa työtilan sisällöstä sen mukaan, ketkä työtilan järjestelmänvalvojat ja jäsenet ovat (ja työtilalle määritetyt yhteystiedot). Jotkin organisaatiot omaksuvat kuitenkin sisällön omistajuus- ja hallintastrategian , joka rajoittaa työtilan luomisen tietyille käyttäjille tai ryhmille. Niillä on yleensä vakiintunut työtilan luontiprosessi , jota IT-osasto hallitsee. Tässä tapauksessa työtilan järjestelmänvalvojat olisivat IT-osasto eivätkä käyttäjiä, jotka luovat ja julkaisevat sisältöä suoraan.

Työtilan jäsen

Jäsen-rooliin määritetyt käyttäjät voivat lisätä muita työtilan käyttäjiä (mutta ei järjestelmänvalvojia). He voivat myös hallita työtilan kaiken sisällön käyttöoikeuksia.

Työtilan jäsenet voivat julkaista tai peruuttaa sovelluksen julkaisun työtilaa varten, jakaa työtilakohteen tai sovelluksen ja antaa muiden käyttäjien jakaa sovelluksen työtilakohteita.

Työtilan jäsenet tulee rajata käyttäjiin, joiden on hallittava työtilan sisällön luomista ja julkaistava sovellus. Joissakin tapauksissa työtilan järjestelmänvalvojat täyttävät tämän tavoitteen, joten sinun ei ehkä tarvitse määrittää mitään käyttäjiä tai ryhmiä Jäsen-roolille. Kun työtilan järjestelmänvalvojat eivät liity suoraan työtilan sisältöön (esimerkiksi koska IT hallitsee työtilan luontiprosessia), työtilan jäsenet voivat olla todellisia omistajia, jotka vastaavat työtilan sisällöstä.

Työtilaan osallistuja

Osallistuja-rooliin määritetyt käyttäjät voivat luoda, muokata tai poistaa työtilan sisältöä.

Osallistujat eivät voi päivittää Power BI -sovellusta (kun sellainen on olemassa työtilaa varten), ellei työtila-asetus salli sitä. Lisätietoja on tämän artikkelin kohdassa Työtilaroolien variaatiot.

Useimmat organisaation sisällöntekijät ovat työtilan osallistujia.

Työtilan katseluohjelma

Katselija-rooliin määritetyt käyttäjät voivat tarkastella ja käsitellä kaikkea työtilan sisältöä.

Katselija-rooli on merkityksellinen vain luku -kuluttajille pienissä tiimeissä ja epämuodollisissa tilanteissa. Se kuvataan kokonaisuudessaan raportin kuluttajan suojauksen suunnittelua artikkelissa.

Huomioitavaa työtilan omistajuudesta

Harkitse esimerkkiä, jossa uuden työtilan määrittämiseksi tehdään seuraavat toimet.

1. Tietyille Center of Excellencen (COE) Power BI -mestareille ja satelliittijäsenille on myönnetty vuokraaja-asetuksissa käyttöoikeus uusien työtilojen luomiseen. Heidät on koulutettu sisältöorganisaation strategioihin ja nimeämisstandardeihin.
2. Sinä (sisällön luoja) lähetät pyynnön luoda työtila uutta projektia varten, jota hallitset. Työtila sisältää raportteja, jotka seuraavat projektisi edistymistä.
3. Liiketoimintayksikkösi Power BI -mestari vastaanottaa pyynnön. Ne määrittävät, että uusi työtila on perusteltu. Sen jälkeen he luovat työtilan ja määrittävät Power BI:n mestareiden käyttöoikeusryhmän (liiketoimintayksikölleen) työtilalle Hallinta rooli.
4. Power BI -mestari määrittää sinulle (sisällön luojalle) työtilan Jäsen-roolin.
5. Määrität luotetun työtoverin työtilan Jäsen-rooliin varmistaaksesi, että varmuuskopio on olemassa, jos olet poissa.
6. Määrität muille työtovereille työtilan Osallistuja-rooliin, koska he vastaavat työtilan sisällön luomisesta, mukaan lukien semanttiset mallit ja raportit.
7. Määrität esimiehesi työtilan Katselija-rooliin, koska he ovat pyytäneet käyttöoikeutta projektin edistymisen seurantaan. Esimiehesi haluaa tarkastella työtilan sisältöä ennen sovelluksen julkaisemista.
8. Vastaat muiden työtilan ominaisuuksien, kuten kuvauksen ja yhteystietojen, hallinnasta. Vastaat myös työtilan käyttöoikeuksien hallinnasta jatkuvasti.

Edellisessä esimerkissä näytetään tehokas tapa antaa hajautetun liiketoimintayksikön toimia itsenäisesti. Se sisältää myös vähimmillä etuoikeutetuilla periaatteen.

Hallitussa sisällössä tai kriittisessä sisällössä, jota hallitaan tiukemmin, on parasta määrittää ryhmiä yksittäisten käyttäjätilien sijaan työtilan rooleille. Näin voit hallita ryhmän jäsenyyttä erillään työtilasta. Kun määrität ryhmiä rooleille, on kuitenkin mahdollista, että käyttäjiä määritetään useisiin työtilarooleihin (koska käyttäjä kuuluu useisiin ryhmiin). Tässä tapauksessa niiden voimassa olevat käyttöoikeudet perustuvat suurimpaan rooliin, johon heille on määritetty. Lisätietoja on artikkelissa Ryhmien käyttöstrategia.

Kun työtila on useiden henkilöiden tai tiimien yhteisomistuksessa, se voi mutkistaa sisällön hallintaa. Yritä välttää usean tiimin omistajuusskenaarioita erottamalla työtilat toisistaan. Näin vastuut ovat selkeitä ja roolimääritykset on helppo määrittää.

Työtilaroolien variaatiot

Neljässä työtilaroolissa on kaksi muunnelmaa (kuvattu aiemmin).

• Oletusarvoisesti vain työtilan järjestelmänvalvojat ja jäsenet voivat luoda, julkaista ja päivittää sovelluksen työtilaa varten. Salli osallistujien päivittää sovellus -asetus tälle työtilalle -asetus on työtilatason asetus, jonka avulla työtilan järjestelmänvalvojat voivat delegoida mahdollisuuden päivittää sovellus työtilassa osallistujille. Osallistujat eivät kuitenkaan voi julkaista uutta sovellusta eivätkä muuttaa sitä, keillä on muokkausoikeus. Tästä asetuksesta on hyötyä, kun haluat osallistujien pystyvän päivittämään sovelluksen (kun sellainen on olemassa työtilassa) mutta ei vielä myöntämään muita jäsenten käytettävissä olevia käyttöoikeuksia.
• Estä pakettipäivityksen uudelleenjulkaiseminen ja poista semanttisen mallin omistajat käytöstä -asetus sallii vain päivitysten julkaisemisen. Kun tämä asetus on käytössä, työtilan järjestelmänvalvojat, jäsenet ja osallistujat eivät voi julkaista muutoksia, elleivät he ota semanttista mallia ensin haltuunsa sen omistajana. Koska tämä asetus koskee koko organisaatiota, ota se käyttöön varovasti, koska se vaikuttaa kaikkiin vuokraajan semanttisiin malleihin. Muista kertoa semanttisille mallintekijöille, mitä odottaa, koska se muuttaa työtilaroolien normaalia toimintaa.

Tärkeä

Kohdekohtaiset käyttöoikeudet voidaan myös ajatella työtilan vakioroolien ohittamisena. Lisätietoja kohdekohtaisista käyttöoikeuksista on artikkelissa Raportin kuluttajan suojauksen suunnittelu .

Tarkistusluettelo – Työtilan rooleja suunniteltaessa tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:

• Vastuullisuusmatriisin luominen: Selvitä, kenen odotetaan hoitavan kutakin toimintoa sisältöä luodessaan, ylläpidtäessään, julkaistakseen, suojaaessaan ja tukiessaan. Käytä näitä tietoja työtilan rooleja suunniteltaessa.
• Päätä, miten määrität työtilarooleja sisällöntekijöille: Määritä, ketkä käyttäjät ovat järjestelmänvalvojia, jäseniä tai osallistujia ja missä tilanteissa (esimerkiksi työrooli tai aihealue). Jos tietoturvaan liittyvät ristiriidat aiheuttavat ongelmia, harkitse uudelleen, miten työtilat voidaan järjestää paremmin.
• Määritä, miten käyttöoikeusryhmiä ja henkilöitä tulisi käyttää työtilarooleissa: Määritä käyttötapaukset ja tarkoitukset, joita sinun on käytettävä ryhmissä. Määritä tarkasti, milloin suojausta tulee käyttää käyttäjätilejä käyttämällä, verrattuna siihen, milloin ryhmää vaaditaan tai milloin se on suositeltava.
• Anna sisällöntekijöille ohjeita työtilan roolien hallinnasta: Sisällytä sisällöntekijöille dokumentaatio siitä, miten he voivat hallita työtilarooleja. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.
• Määritä ja testaa työtilan roolimäärityksiä: Varmista, että sisällöntekijöillä on ne toiminnot, joita he tarvitsevat sisällön muokkaamiseen ja julkaisemiseen.

Sovelluksen luojan käyttöoikeudet

Sisällöntekijät, jotka ovat työtilan järjestelmänvalvojia tai jäseniä, voivat luoda ja julkaista Power BI -sovelluksen.

Työtilan järjestelmänvalvoja voi myös määrittää työtilaan asetuksen, jonka avulla työtilan osallistujat voivat päivittää sovelluksen. Se on työtilan roolien suojauksen vaihtelu, koska se myöntää osallistujille toisen käyttöoikeuden, jota heillä ei normaalisti olisi. Tämä asetus määritetään työtilakohtaisesti.

Vihje

Lisätietoja sisällön toimittamisesta vain luku -kuluttajille on raportin kuluttajan suojauksen suunnittelua käsittelevässä artikkelissa. Tässä artikkelissa on tietoja sovelluksen käyttöoikeuksista sovelluksen kuluttajille, myös sovelluksen käyttäjäryhmille.

Tarkistusluettelo – Kun suunnittelet sovellusten luojien käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä strategiastasi, kuka voi luoda ja julkaista Power BI -sovelluksia: Selvitä, keillä pitäisi olla oikeus luoda ja julkaista Power BI -sovelluksia.
• Selvitä, milloin osallistujat voivat päivittää Power BI -sovelluksia: Selvitä tilanteet, joissa osallistujan tulisi saada päivittää Power BI -sovelluksia. Päivitä työtila-asetus, kun tämä ominaisuus vaaditaan.

Tietolähteen käyttöoikeudet

Kun tietojen luoja aloittaa uuden projektin, ulkoisten tietolähteiden käyttämiseen tarvittavat käyttöoikeudet ovat yksi ensimmäisistä suojaukseen liittyvistä näkökohdista. He saattavat myös tarvita ohjeita muista tietolähteisiin liittyvistä asioista, kuten yksityisyystasoista, alkuperäisistä tietokantakyselyistä ja mukautetuista liittimistä.

Tietolähteen käyttö

Kun tietojen luoja luo semanttisen mallin, tietovuon tai tietomartin, hänen on suoritettava todentaminen tietolähteiden kanssa tietojen noutamista varten. Yleensä todentamiseen liittyy käyttäjän tunnistetiedot (tili ja salasana), jotka voivat koskea palvelutiliä.

Joskus on hyödyllistä luoda tiettyjä palvelutilejä tietolähteiden käyttöä varten. Tarkista IT-osastoltasi ohjeet siihen, miten palvelutilejä käytetään organisaatiossasi. Kun ne ovat sallittuja, palvelutilien käyttö voi:

• Keskitä tietolähteissä tarvittavat käyttöoikeudet.
• Pienennä tietolähteen käyttöoikeuksia tarvitsevien yksittäisten käyttäjien määrää.
• Vältä tietojen päivittämisen virheitä, kun käyttäjä poistuu organisaatiosta.

Vihje

Jos päätät käyttää palvelutilejä, suosittelemme, että hallitset tarkasti tunnistetietojen käyttöä. Vaihda salasanoja säännöllisesti (esimerkiksi kolmen kuukauden välein) tai kun käyttäjä, jolla on käyttöoikeus, poistuu organisaatiosta.

Käytettäessä tietolähteitä ota käyttöön vähiden oikeuksien periaate, jolla varmistetaan, että käyttäjillä (tai palvelutileillä) on oikeus lukea vain tarvitsemiaan tietoja. Heillä ei pitäisi koskaan olla oikeutta tehdä tietojen muokkauksia. Näiden palvelutilien luojien tietokantojen järjestelmänvalvojien tulee tutkia odotettuja kyselyitä ja kuormituksia sekä varmistaa, että käytössä ovat riittävät optimoinnit (kuten indeksit) ja resurssit.

Vihje

Jos on vaikea tarjota suoraa tietolähteen käyttöoikeutta omatoimisille tietojen luojille, harkitse epäsuoraa menetelmää. Voit luoda tietovoita Power BI -palvelu ja sallia omatoimisten tietojen luojien hankkia niistä tietoja. Tähän lähestymistapaan liittyy lisäetuja, jotka liittyvät tietolähteen kyselyn kuormituksen pienentämiseen ja yhdenmukaisen tietojen tilannevedoksen toimittamiseen. Lisätietoja on artikkelissa Omatoiminen tietojen valmistelu ja kehittyneiden tietojen valmistelun käyttöskenaariot.

Tunnistetietoja (tili ja salasana) voidaan käyttää kahdella tavalla.

• Power BI Desktop: Tunnistetiedot salataan ja tallennetaan paikallisesti käyttäjäkoneeseen.
• Power BI -palvelu: Tunnistetiedot salataan ja tallennetaan turvallisesti kummalle tahansa seuraavista:
  • Semanttinen malli (kun tietoyhdyskäytävää ei käytetä tietolähteen tavoittamiseen).
  • Yhdyskäytävän tietolähde (kun tavallista yhdyskäytävää tai näennäisverkkoyhdyskäytäväpalvelua käytetään tietolähteen tavoittamiseen).

Vihje

Kun olet jo antanut tunnistetiedot semanttisen mallin tietolähteelle, Power BI -palvelu sitoo nämä tunnistetiedot automaattisesti muihin semanttisiin mallin tietolähteisiin, kun yhteysmerkkijono ja tietokannan nimi vastaavat täysin toisiaan. Sekä Power BI -palvelu että Power BI Desktop näyttävät siltä, että annat tunnistetiedot kullekin tietolähteelle. Se voi kuitenkin käyttää samoja tunnistetietoja vastaaviin tietolähteisiin, joilla on sama omistaja. Tältä osin semanttisen mallin tunnistetiedot suodatetaan omistajalle.

Tunnistetiedot salataan ja tallennetaan erillään tietomallista sekä Power BI Desktopissa että Power BI -palvelu. Tällä tietojen erottelulla on seuraavat suojausedut.

• Se helpottaa useiden semanttisten mallien, tietovoiden ja tietojoukkojen tunnistetietojen uudelleenkäyttöä.
• Kun joku jäsentää semanttisen mallin metatiedot, hän ei voi poimia tunnistetietoja.
• Power BI Desktopissa toinen käyttäjä ei voi muodostaa yhteyttä alkuperäiseen tietolähteeseen tietojen päivittämiseksi ilman tunnistetietojen ensimmäistä käyttämistä.

Jotkin tietolähteet tukevat kertakirjautumista (SSO), joka voidaan määrittää tunnistetietoja syötettäessä Power BI -palvelu (semanttisille mallille tai yhdyskäytävätietolähteille). Kun otat kertakirjautumisen käyttöön, Power BI lähettää todennetun käyttäjän tunnistetiedot tietolähteeseen. Tämän asetuksen avulla Power BI voi noudattaa tietolähteessä määritettyjä suojausasetuksia, kuten rivitason suojausta. Kertakirjautuminen on erityisen hyödyllistä, kun tietomallin taulukot käyttävät DirectQuery-tallennustilaa.

Yksityisyystasot

Tietosuojatasot määrittävät eristystasot, joilla yksi tietolähde eristetään muista tietolähteistä. Tarvittaessa ne varmistavat, että Power Query välittää vain yhteensopivia tietoja lähteiden välillä. Kun Power Query voi siirtää tietoja tietolähteiden välillä, se voi johtaa tehokkaampiin kyselyihin, jotka vähentävät Power BI:hin lähetettävien tietojen määrää. Kun se ei voi siirtää tietoja tietolähteiden välillä, se voi hidastaa suorituskykyä.

Yksityisyystasoja on kolme.

• Yksityinen: Tämä sisältää arkaluonteisia tai luottamuksellisia tietoja, jotka on eristettävä kaikista muista tietolähteistä. Tämä taso on rajoittavin. Yksityisen tietolähteen tietoja ei voi jakaa muiden tietolähteiden kanssa. Esimerkiksi henkilöstöhallintotietokannan, joka sisältää työntekijän palkka-arvot, tulee määrittää yksityiselle tietosuojatasolle.
• Organisaatio: Tämä on eristetty julkisista tietolähteistä, mutta se näkyy muille organisaation tietolähteille. Tämä taso on yleisin. Organisaation tietolähdetiedot voidaan jakaa yksityisten tietolähteiden tai muiden organisaation tietolähteiden kanssa. Useimmat sisäiset toiminnalliset tietokannat voidaan määrittää organisaation tietosuojatasolla.
• Julkinen: Ei-luottamukselliset tiedot, jotka voidaan tehdä näkyviksi mille tahansa tietolähteelle. Tämä taso on vähiten rajoittava. Julkisen tietolähteen tiedot voidaan jakaa minkä tahansa muun tietolähteen kanssa. Esimerkiksi valtionhallinnon verkkosivustolta saatu väestönlaskentaraportti voidaan määrittää julkisen tietosuojan tasolle.

Kun yhdistät eri tietolähteiden kyselyitä, on tärkeää määrittää oikeat yksityisyystasot. Kun yksityisyystasot on määritetty oikein, yhdestä tietolähteestä peräisin olevat tiedot voidaan siirtää toiseen tietolähteeseen tietojen tehokasta kyselyä varten.

Ajattele tilannetta, jossa semanttisen mallin luojalla on kaksi tietolähdettä: Excel-työkirja ja taulukko Azure-SQL-tietokanta. Se haluaa suodattaa Azure SQL-tietokanta -taulukon tiedot käyttämällä Excel-työkirjasta peräisin olevaa arvoa. Tehokkain tapa, jolla Power Query voi luoda SQL-lausekkeen Azure-SQL-tietokanta on käyttää WHERE-lausetta tarvittavan suodatuksen suorittamiseksi. Sql-lauseke sisältää kuitenkin WHERE-lauseen predikaatin, jonka arvo on peräisin Excel-työkirjasta. Jos Excel-työkirja sisältää luottamuksellisia tietoja, se voi olla tietoturvaloukkaus, koska tietokannan järjestelmänvalvoja voi tarkastella SQL-lausetta jäljitystyökalun avulla. Vaikka asetus ei olekaan yhtä tehokas, Power Queryn koostemoduulin vaihtoehtona on ladata tietokantataulukon koko tulosjoukko ja suorittaa suodatus itse Power BI -palvelu. Tämä lähestymistapa on vähemmän tehokas ja hidas, mutta turvallinen.

Kunkin tietolähteen yksityisyystasot voidaan määrittää:

• Tietojen mallintajien mukaan Power BI Desktopissa.
• Semanttisen mallin omistajat Power BI -palvelu (pilvitietolähteille, jotka eivät edellytä yhdyskäytävää).
• Yhdyskäytävän tietolähteiden tekijät ja omistajat Power BI -palvelu (yhdyskäytävätietolähteille).

Tärkeä

Power BI Desktopissa määrittämiesi yksityisyystasoja ei siirretä Power BI -palvelu.

Käytössä on Power BI Desktopin suojausasetus, joka sallii yksityisyystasojen ohittamisen suorituskyvyn parantamiseksi. Tämän vaihtoehdon avulla voit parantaa kyselyn suorituskykyä kehittäessäsi tietomallia, jos tietosuojaan ei ole vaaraa (koska käsittelet kehitys- tai testitietoja, jotka eivät ole arkaluontoisia). Power BI -palvelu ei kuitenkaan kunnioita tätä asetusta.

Lisätietoja on artikkelissa Power BI Desktopin yksityisyystasot.

Alkuperäiset tietokantakyselyt

Voit luoda tehokkaita Power Query -kyselyitä käyttämällä alkuperäistä kyselyä tietojen käyttämiseen. Alkuperäinen kysely on lauseke, joka on kirjoitettu tietolähteen tukemalla kielellä. Alkuperäisiä kyselyitä tukevat vain tietyt tietolähteet, jotka ovat yleensä relaatiotietokantoja, kuten Azure SQL-tietokanta.

Alkuperäiset kyselyt voivat aiheuttaa suojausriskin, koska ne voivat suorittaa haitallisen SQL-lauseen. Haitallinen lauseke voi tehdä tietojen muutoksia tai poistaa tietokantatietueita (kun käyttäjällä on tarvittavat käyttöoikeudet tietolähteessä). Tästä syystä alkuperäiset kyselyt edellyttävät oletusarvoisesti käyttäjän hyväksynnän suorittamista Power BI Desktopissa.

Power BI Desktopin suojausvaihtoehdon avulla voit poistaa ennakkohyväksyntävaatimuksen käytöstä. Suosittelemme, että jätät oletusasetuksen, joka edellyttää käyttäjän hyväksyntää, erityisesti silloin, kun uskot, että muut käyttäjät voivat päivittää Power BI Desktop -tiedoston.

Mukautetut liittimet

Kehittäjät voivat käyttää Power Query SDK:ta mukautettujen liittimien luomiseen. Mukautetut liittimet mahdollistavat pääsyn omistusoikeudellisiin tietolähteisiin tai ottavat käyttöön erityisen todentamisen mukautettujen tietolaajennusten avulla. Microsoft on sertifioinut jotkin mukautetut liittimet ja jakanut niitä sertifioituina liittiminä. Sertifioituja liittimiä on valvottu ja tarkastettu sen varmistamiseksi, että ne täyttävät tietyt Microsoftin testaamat ja hyväksymät koodivaatimukset.

Power BI Desktopin tietolaajennuksen suojausasetus rajoittaa sertifioimattomien liittimien käyttöä. Oletusarvoisesti syntyy virhe, kun sertifioimatonta liitintä yritetään ladata. Kun tämä asetus sallii sertifioimattomat liittimet, mukautetut liittimet latautuvat ilman vahvistusta tai varoitusta.

Suosittelemme, että pidät tietolaajennusten suojaustason korkeammalla tasolla, mikä estää sertifioimattoman koodin lataamisen. Joissakin tapauksissa saatat kuitenkin haluta ladata tietyt liittimet, esimerkiksi itse kehittämäsi liittimet tai luotetun konsultin tai toimittajan tarjoamat liittimet Microsoftin sertifiointipolun ulkopuolella.

Muistiinpano

Itse kehitettyjen liittimien kehittäjät voivat allekirjoittaa liittimen varmenteella, jolloin voit käyttää liitintä ilman, että sinun tarvitsee muuttaa suojausasetuksiasi. Lisätietoja on kohdassa Luotetut kolmansien osapuolten liittimet.

Tarkistusluettelo – Kun suunnittelet tietolähteen käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä, ketkä voivat käyttää kutakin tietolähdettä suoraan: Selvitä, ketkä tietojen luojat saavat käyttää tietolähdettä suoraan. Jos on olemassa strategia suoraan käyttöön pääsevien henkilöiden määrän vähentämiseksi, selvitä, mikä on suositeltu vaihtoehto (ehkä käyttämällä tietovoita).
• Päätä, miten tietolähteitä käytetään: Määritä, käytetäänkö yksittäisiä käyttäjän tunnistetietoja tietolähteen käyttämiseen vai luodaanko palvelutili tätä tarkoitusta varten. Selvitä, milloin kertakirjautuminen on tarpeen.
• Anna semanttisille mallintekijöille ohjeet tietolähteiden käyttöön: Sisällytä sisällöntekijöille dokumentaatio siitä, miten he voivat käyttää organisaation tietolähteitä. Julkaise tiedot keskitettyihin portaaleihin ja koulutusmateriaaleihin.
• Anna semanttisten mallien tekijöille ohjeita yksityisyystasoista: opasta semanttisten mallien tekijöille, jotta he ovat tietoisia yksityisyystasoista ja niiden vaikutuksista käsiteltäessä arkaluonteisia tai luottamuksellisia tietoja. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.
• Anna ohjeita yhdyskäytäväyhteyden luojille yksityisyystasoista: Opasta semanttisten mallien tekijöille, jotta he tietävät yksityisyystasot ja niiden vaikutukset käsiteltäessä arkaluonteisia tai luottamuksellisia tietoja. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.
• Päätä alkuperäisten tietokantakyselyiden käyttöstrategiasta: Harkitse alkuperäisten tietokantakyselyiden käyttöstrategiaa. Opeta semanttisten mallien tekijöille, miten ja milloin Power BI Desktopin alkuperäiset tietokantakyselyt -asetus määritetään poistamaan ennakkohyväksyntä käytöstä, kun Power Query suorittaa alkuperäisiä kyselyitä.
• Päätä mukautettujen liittimien käyttöstrategiasta: Harkitse mukautettujen liittimien käyttöstrategiaa. Määritä, onko sertifioimattomien liittimien käyttö perusteltua, jolloin opeta semanttisten mallien tekijöille, miten ja milloin Power BI Desktopin tietolaajennusasetus määritetään.

Semanttisen mallin luojan käyttöoikeudet

Voit määrittää käyttäjälle tai ryhmälle oikeuden muokata semanttista mallia eri tavoilla.

• Työtilarooli: Minkä tahansa työtilaroolin määritys tarjoaa käyttöoikeuden kaikkiin työtilan semanttisiin malleihin. Aiemmin luodun semanttisen mallin tarkasteleminen tai muokkaaminen riippuu määrittämästäsi työtilaroolista . Hallinta valvojat, jäsenet ja osallistujat voivat julkaista tai muokata työtilan sisältöä.
• Kohdekohtaiset käyttöoikeuslinkit: Jos raportille luotiin jakamislinkki , linkin avulla voidaan myös epäsuorasti myöntää semanttisen mallin lukuoikeus (ja halutessasi luoda, kirjoittaa ja/tai jakaa uudelleen).
• Kohdekohtaiset suorat käyttöoikeudet: Voit määrittää suoran käyttöoikeuden tiettyyn semanttiseen malliin.

Huomaa seuraavassa näyttökuvassa puhelinkeskukseen määritetyt tietojen semanttisen mallin käyttöoikeudet. Yhdellä käyttäjällä on lukuoikeus, joka on myönnetty käyttämällä kohdekohtaisia suoria käyttöoikeuksia. Jäljellä käyttäjillä ja ryhmillä on käyttöoikeudet, koska heidät on määritetty työtilarooleihin.

Vihje

Kohdekohtaisten käyttöoikeuksien (linkkien tai suoran käytön) käyttö toimii parhaiten, kun käyttäjän tai ryhmän tarkoituksena on tarkastella tai muokata yhtä tiettyä kohdetta työtilassa. Se sopii parhaiten, kun käyttäjällä ei ole oikeutta käyttää kaikkia työtilan kohteita. Useimmissa tapauksissa suosittelemme, että suunnittelet työtilat, jotta suojausta on helpompi hallita työtilaroolien avulla. Vältä kohdekohtaisten käyttöoikeuksien määrittämistä aina kun se on mahdollista.

Semanttisen mallin käyttöoikeudet

Voit määrittää seuraavat semanttisen mallin käyttöoikeudet.

• Lue: Ensisijaisesti raportin kuluttajille tämä käyttöoikeus sallii raportin kysellä tietoja semanttisessa mallissa. Lisätietoja vain luku -tilassa olevien sisältöjen tarkastelu käyttöoikeuksista on artikkelissa Raportin kuluttajan suojauksen suunnittelu .
• Koontiversio: Tämä oikeus antaa käyttäjille oikeuden luoda uusia raportteja jaetun semanttisen mallin perusteella. Lisätietoja on tämän artikkelin osiossa Raportin luojan käyttöoikeudet .
• Write: Tämä oikeus antaa käyttäjille mahdollisuuden muokata semanttista mallia semanttisten mallien luojille, jotka luovat, julkaisevat ja hallitsevat semanttisia malleja. Se kuvataan myöhemmin tässä osiossa.
• Uudelleenjakaminen: Tämä käyttöoikeus on tarkoitettu kaikille, joilla on semanttisen mallin aiemmin luotu käyttöoikeus. Tämän oikeuden avulla käyttäjät voivat jakaa semanttisen mallin toisen käyttäjän kanssa. Se kuvataan myöhemmin tässä osiossa.

Työtilan järjestelmänvalvoja tai jäsen voi muokata semanttisen mallin käyttöoikeuksia.

Semanttisen mallin lukuoikeus

Semanttinen mallin lukuoikeus on tarkoitettu ensisijaisesti kuluttajille. Tämä käyttöoikeus vaaditaan, jotta käyttäjät voivat tarkastella raporteissa näkyviä tietoja. Huomaa, että semanttiseen malliin perustuvilla raporteilla on myös oltava lukuoikeus; Muussa tapauksessa raportin lataaminen epäonnistuu. Lisätietoja raportin lukuoikeuksien määrittämisestä on artikkelissa Raportin kuluttajan suojauksen suunnittelu .

Semanttisen mallin muodostamisoikeus

Semanttisen mallin lukuoikeuden lisäksi sisällöntekijät tarvitsevat myös semanttisen mallin muodostamisoikeuden. Erityisesti muodostamisoikeuden ansiosta raportin tekijät voivat tehdä seuraavaa:

• Luo semanttiseen malliin perustuvia uusia Power BI -raportteja.
• Näyttöyhteys semanttiseen malliin Analysoi Excelissä.
• Tee kysely semanttisesta mallista XMLA-päätepisteen avulla.
• Vie Power BI -raportin visualisoinnin pohjana olevat tiedot (visualisoinnin noutamien yhteenvetotietojen sijaan).
• DirectQuery-yhteyden luominen semanttiseen Power BI -malliin. Tässä tapauksessa uusi semanttinen malli muodostaa yhteyden vähintään yhteen olemassa olevaan semanttiseen Power BI -malliin (eli ketjuttamiseen). Semanttisen mallin luoja tarvitsee koontioikeuden kaikkiin semanttisiin kyselyihin, jotka on ketjutettu semanttisiin malleihin. Lisätietoja on tämän artikkelin kohdassa Ketjutetut semanttiset mallit .

Voit myöntää muodostamisoikeuden käyttäjälle tai ryhmälle suoraan tai epäsuorasti eri tavoilla.

• Myönnä koontiversio suoraan seuraavasti:
  • Semanttisen mallin käyttöoikeuksien määrittäminen Power BI -palvelu semanttisen mallin asetussivulla.
  • Semanttisen mallin käyttöoikeuksien määrittäminen Power BI REST -ohjelmointirajapinnan avulla.
• Myönnä koontiversio epäsuorasti seuraavasti:
  • Raportin tai koontinäytön jakaminen ja semanttisen mallin muodostamisoikeuden myöntäminen.
  • Julkaistaan Power BI -sovellus ja määritetään (yleisölle) lisäasetus, joka myöntää Muodosta-käyttöoikeuden liittyviin semanttisiin malleihin.
  • Käyttäjien määrittäminen Hallinta-, Jäsen- tai Osallistuja-työtilarooleihin.

Koontiversio-käyttöoikeuksien asettaminen suoraan semanttisille mallille on asianmukaista, kun haluat hallita suojausta yksityiskohtaisesti kohdekohtaisesti. Muodostamisoikeuden asettaminen epäsuorasti on asianmukaista, kun käyttäjät, jotka tarkastelevat tai käyttävät sisältöä jonkin epäsuoran menetelmän kautta, luovat myös uutta sisältöä.

Vihje

Usein raporttia tai Power BI -sovellusta tarkastelevat käyttäjät eroavat käyttäjistä, jotka luovat uutta sisältöä pohjana olevan semanttisen mallin tai mallien avulla. Useimmat kuluttajat ovat vain katselijia, joten heidän ei tarvitse luoda uutta sisältöä. Suosittelemme, että opetat sisällöntuottajat myöntämään vähiten tarvittavia käyttöoikeuksia.

Semanttisen mallin kirjoitusoikeus

Yleensä semanttisia malleja muokkaaville ja hallitseville käyttäjille määritetään käyttöoikeudet joko Hallinta-, Jäsen- tai Osallistuja-työtilarooliin. Kirjoitusoikeus voidaan kuitenkin määrittää myös tietylle semanttielle mallille.

Suosittelemme, että käytät työtilarooleja aina kun mahdollista, koska se on yksinkertaisin tapa hallita ja valvoa käyttöoikeuksia. Käytä semanttisen mallin kirjoitusoikeuksia tietoyksikkökohtaisesti, kun olet valinnut vähemmän työtiloja ja työtila sisältää semanttisia malleja eri aihealueille, jotka edellyttävät eri käyttöoikeuksien hallintaa.

Vihje

Lisätietoja työtilojen järjestämisestä on työtilan suunnitteluartikkeleissa .

Semanttisen mallin uudelleenjakamisoikeus

Semanttisen mallin Uudelleenjakamisoikeus sallii käyttäjän, jolla on olemassa oleva käyttöoikeus, jakaa semanttisen mallin muiden käyttäjien kanssa. Voit myöntää tämän oikeuden, kun semanttisen mallin sisältö voidaan jakaa vapaasti käyttäjän harkintansa mukaan.

Monissa tapauksissa suosittelemme, että rajoitat uudelleenjakamisoikeuden käyttöä varmistaaksesi, että semanttisen mallin käyttöoikeuksia hallitaan huolellisesti. Hanki hyväksyntä semanttisen mallin omistajalta tai omistajilta ennen uudelleenjakamisoikeuden myöntämistä.

Semanttisen mallin tietosuoja

Tietoturvan avulla voit luoda vähemmän semanttisia malleja ja raportteja. Tavoitteena on pakottaa tietosuoja sisältöä tarkastelevan käyttäjän käyttäjätietojen perusteella.

Semanttisen mallin tekijä voi pakottaa tietosuojan kahdella tavalla.

• Rivitason suojauksen (RLS) avulla tietojen mallintaja voi rajoittaa tietojen alijoukon käyttöä.
• Objektitason suojauksen (OLS) avulla tietojen mallintaja voi rajoittaa tiettyjen taulukoiden ja sarakkeiden käyttöä sekä niiden metatietoja.

Rivitason suojauksen ja OLS:n toteutus on suunnattu raporttien kuluttajille. Lisätietoja on artikkelissa Raportin kuluttajasuojauksen suunnittelu . Tässä kuvataan, miten ja milloin rivitason suojaus ja OLS pakotetaan käyttöön kuluttajille, joilla on vain tarkastelu -oikeus semanttiseen malliin.

Muille raportin tekijöille suunnatut rivitason suojaukset ja OLS:t on tämän artikkelin myöhemmässä osiossa Raportin luojien käyttöoikeudet olevan osion tietojen suojaus.

Ketjutetut semanttiset mallit

Semanttiset Power BI -mallit voivat muodostaa yhteyden muihin semanttisiin malleihin prosessissa, jota kutsutaan ketjutukseksi ja jotka ovat yhteyksiä yläpuolisiin semanttisiin malleihin. Lisätietoja on ohjeaiheessa DirectQueryn käyttäminen Power BI:n semanttisissa malleissa ja Analysis Servicesissa.

Salli DirectQuery-yhteyksien muodostaminen Power BI:n semanttisten mallien vuokraajaan -asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä sisällöntuottajaryhmät voivat luoda ketjuttuja semanttisia malleja. Jos et halua rajoittaa semanttisten mallien luojia ketjuttamasta semanttisia malleja, voit jättää tämän asetuksen käyttöön koko organisaatiolle ja luottaa työtilan käyttöön ja semanttisen mallin käyttöoikeuksiin. Joissakin tapauksissa voit harkita tämän ominaisuuden rajoittamista hyväksyttyihin sisällöntekijöihin.

Muistiinpano

Semanttisen mallin luojana voit rajoittaa ketjutuksen semanttiseen malliin. Se tehdään ottamalla DirectQueryn estäminen käyttöön tähän semanttiseen malliin -asetus Power BI Desktopissa. Lisätietoja on kohdassa Julkaistun semanttisen mallin DirectQuery-yhteyksien hallinta.

Semanttisen mallin ohjelmointirajapinnan kyselyt

Joissakin tilanteissa voit halutessasi suorittaa DAX-kyselyn Power BI REST -ohjelmointirajapinnan avulla. Saatat esimerkiksi haluta suorittaa tietojen laadun vahvistamisia. Lisätietoja on artikkelissa Tietojoukot – Suorita kyselyitä.

Tietojoukon Suorituskyselyt REST-ohjelmointirajapinnan vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat lähettää DAX-kyselyitä Power BI REST -ohjelmointirajapinnan avulla. Useimmissa tapauksissa voit jättää tämän asetuksen käyttöön koko organisaatiolle ja luottaa työtilan käyttöön ja semanttisen mallin käyttöoikeuksiin. Joissakin tapauksissa voit harkita tämän ominaisuuden rajoittamista hyväksyttyihin sisällöntekijöihin.

Tarkistusluettelo – Kun suunnittelet semanttisen mallin luojan käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä semanttisen mallin luojan käyttöoikeuksien strategiasta: Määritä, mitä asetuksia ja vaatimuksia on semanttisten mallien luojien suojauksen hallintaan. Mieti aihealuetta ja tietojen luottamuksellisuustasoa. Mieti myös, ketkä saavat ottaa vastuun tietojen ja käyttöoikeuksien hallinnasta keskitetyissä ja hajautetuissa liiketoimintayksiköissä.
• Tarkista, miten työtilan rooleja käsitellään semanttisten mallin luojien osalta: Selvitä, mikä vaikutus sillä on työtilan suunnitteluprosessiin. Luo kullekin aihealueelle erilliset tietotyötilat, jotta voit helpommin hallita kunkin aihealueen työtilan rooleja ja semanttista mallin suojausta.
• Opasta semanttisten mallien luojille käyttöoikeuksien hallinnasta: Sisällytä semanttisten mallien tekijöille ohjeita siitä, miten voit hallita semanttisen mallin käyttöoikeuksia. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.
• Päätä, ketkä voivat käyttää DirectQuery-yhteyksiä Power BI:n semanttisille malleille: Päätä, onko mitään rajoituksia sille, mitkä Power BI:n semanttisen mallin luojat (olemassa olevalla semanttisen mallin muodostamisoikeuksilla) voivat luoda yhteyden Power BI:n semanttiseen malliin. Määritä Salli DirectQuery -yhteydet Power BI:n semanttisten mallien vuokraajaan -asetus tämän päätöksen mukaisesti. Jos päätät rajoittaa tätä ominaisuutta, harkitse Power BI:n hyväksymien semanttisten mallien luojien kaltaisten ryhmän käyttämistä.
• Päätä, ketkä voivat tehdä kyselyjä Power BI:n semanttisista malleista REST-ohjelmointirajapinnan avulla: Päätä, estävätkö Power BI -sisällön luojat kyselyn tekemisen Power BI:n semanttisista malleista Power BI REST -ohjelmointirajapinnan avulla. Määritä tietojoukon suorituskyselyiden REST-ohjelmointirajapinnan vuokraaja-asetus tämän päätöksen mukaisesti. Jos päätät rajoittaa tätä ominaisuutta, harkitse Power BI:n hyväksymien raporttien luojien kaltaisten ryhmän käyttämistä.
• Päätä rivitason suojauksen tai OLS:n käyttöstrategiasta semanttisten mallien tekijöille: Mieti, mitä käyttötapauksia ja tarkoituksia aiot käyttää RLS:ää tai OLS:ää. Ota huomioon työtilan suunnittelustrategia ja se, kellä on luku- ja muokkausoikeudet, kun haluat ottaa RLS:n tai OLS:n käyttöön semanttisten mallien tekijöille.

Raportin luojan käyttöoikeudet

Raporttien luojat tarvitsevat työtilan käyttöoikeudet raporttien luomiseen Power BI -palvelu tai julkaisemaan ne Power BI Desktopista. Heidän on oltava kohdetyötilan järjestelmänvalvoja, jäsen tai osallistuja.

Raporttien tekijöiden tulee käyttää olemassa olevaa jaettua semanttista mallia (reaaliaikaisen yhteyden tai DirectQueryn kautta). Näin raportin luontiprosessi erotetaan semanttisen mallin luontiprosessista. Tämäntyyppinen erittely tarjoaa monia etuja suojauksen ja tiimien kehitysskenaarioita varten.

Raportin luojan on oltava työtilan järjestelmänvalvoja, jäsen tai osallistuja.

Toisin kuin semanttisissa malleissa, raportteihin ei ole kirjoitusoikeutta. Työtilarooleja on käytettävä raporttien luojien tukemiseksi. Tästä syystä optimaalinen työtilan rakenne on tärkeä sisällön organisaation ja suojaustarpeiden tasapainottamiseksi.

Vihje

Oikeudet tukea raportin kuluttajia (mukaan lukien kohdekohtaiset luku- ja uudelleenjakamisoikeudet) on artikkelissa Raportin kuluttajan suojauksen suunnittelu .

Pohjana olevan semanttisen mallin luku- ja muodostamisoikeudet

Raportin tekijöillä on oltava luku- ja muodostamisoikeudet raporttiensa käyttämiin semanttisiin malleihin, jotka sisältävät ketjutetut semanttiset mallit. Tämä käyttöoikeus voidaan myöntää eksplisiittisesti yksittäisille semanttisille malleille, tai se voidaan myöntää implisiittisesti työtilan semanttisille malleille, kun raportin luoja on työtilan järjestelmänvalvoja, jäsen tai osallistuja.

Käytä semanttisia malleja eri työtiloissa -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat luoda raportteja, jotka käyttävät semanttisia malleja muissa työtiloissa. Tämä asetus on kohdistettu semanttiseen malliin ja raportin luojiin. Yleensä suosittelemme, että jätät tämän asetuksen käyttöön koko organisaatiolle ja että käytät työtilan käyttöoikeusasetuksia ja semanttisen mallin käyttöoikeuksia. Tällä tavoin voit kannustaa olemassa olevien semanttisten mallien käyttämiseen. Joissakin tapauksissa voit harkita tämän ominaisuuden rajoittamista vain hyväksytyille sisällöntekijöille.

Käytettävissä on myös Salli reaaliaikaiset yhteydet -vuokraaja-asetus, jonka avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat luoda reaaliaikaisia yhteyksiä semanttisiin malleihin Power BI Desktopissa tai Excelissä. Se on kohdistettu erityisesti raportin tekijöille, ja se edellyttää myös, että heille myönnetään luku- ja koontioikeus siihen semanttiseen malliin, jota raportti käyttää. Suosittelemme, että jätät tämän asetuksen käyttöön koko organisaatiolle ja että käytät työtilan käyttöoikeuksia ja semanttisen mallin käyttöoikeuksia. Tällä tavoin voit kannustaa olemassa olevien semanttisten mallien käyttämiseen. Joissakin tapauksissa voit harkita tämän ominaisuuden rajoittamista vain hyväksytyille sisällöntekijöille.

Taustalla olevan semanttisen mallin tietosuoja

RLS ja OLS (kuvattu aiemmin tässä artikkelissa) on tarkoitettu raporttien kuluttajille. Joskus se on kuitenkin pakotettava käyttöön myös raporttien luojille. Erillisten työtilojen luominen on perusteltua, kun rivitason suojaus on pakotettava raporttien luojille ja myös raportin kuluttajille.

Esimerkkitilanne:

• Keskitetyt semanttiset mallit RLS:n kanssa: Yrityksen BI-tiimi julkaisi myyntisenmanttisia malleja Myyntitiedot-työtilaan . Nämä semanttiset mallit valvovat rivitason suojausta näyttämään raportin kuluttajan määritetyn myyntialueen myyntitiedot.
• Hajautetut omatoimisen raportin luojat: Myynti- ja markkinointiliiketoimintayksikössä on monia suorituskykyisiä analyytikkoja, jotka luovat omia raporttejaan. He julkaisevat raporttinsa Myyntianalyysi-työtilassa.
• Semanttisten mallien luku- ja muodostamisoikeudet: Analyytikot käyttävät aina mahdollisuuksien mukaan myyntitietojen työtilan semanttisia malleja välttääkseen tietojen tarpeettoman päällekkäisyyden. Koska analyytikoilla on vain luku- ja muodostamisoikeudet näihin semanttisiin malleihin (ilman kirjoitus- tai muokkausoikeuksia), rivitason suojaus pakotetaan raporttien luojille (ja myös raportin kuluttajille).
• Raportointityötilan muokkausoikeudet: Analyytikoilla on enemmän oikeuksia Myyntianalyysi-työtilassa. Järjestelmänvalvojan, jäsenen tai osallistujan työtilaroolien avulla he voivat julkaista ja hallita raporttejaan.

Lisätietoja RLS:stä ja OLS :stä on artikkelissa Raportin kuluttajasuojauksen suunnittelu . Tässä kuvataan, miten ja milloin rivitason suojaus ja OLS pakotetaan käyttöön kuluttajille, joilla on vain tarkastelu -oikeus semanttiseen malliin.

Näyttöyhteys ulkoisiin semanttisiin malleihin

Kun raportin tekijä muodostaa yhteyden raporttinsa jaettuun semanttiseen malliin, hän muodostaa yleensä yhteyden jaettuun semanttiseen malliin, joka on julkaistu heidän omassa Power BI -vuokraajassaan. Kun käyttöoikeus on myönnetty, on myös mahdollista muodostaa yhteys jaettuun semanttiseen malliin toisessa vuokraajassa. Toinen vuokraaja voi olla kumppani, asiakas tai toimittaja.

Tätä toimintoa kutsutaan sijoitavaksi semanttiseksi mallien jakamiseksi (kutsutaan myös vuokraajien väliseksi semanttiseksi mallien jakamiseksi). Raportin luojan (tai semanttisen mallin luojan luomien uusien yhdistelmämallien) luomat raportit tallennetaan ja suojataan Power BI -vuokraajassa normaalin prosessin avulla. Alkuperäinen jaettu semanttinen malli pysyy alkuperäisessä Power BI -vuokraajassaan, ja siellä hallitaan kaikkia käyttöoikeuksia.

Lisätietoja on artikkelissa Vuokraajatason suojauksen suunnittelu . Se sisältää tietoja vuokraaja-asetuksista ja semanttisista malliasetuksista, jotka tehostavat ulkoista jakamista.

Esitellyt taulukot

Power BI Desktopissa semanttisten mallien luojat voivat määrittää mallitaulukon esitellyksi taulukoksi. Kun semanttinen malli julkaistaan Power BI -palvelu, raportin luojat voivat käyttää Excelin Tietotyypit-valikoimaa esitellyn taulukon löytämiseen, jolloin he voivat lisätä esiteltyjä taulukkotietoja Excel-laskentataulukoidensa täydentämiseksi.

Salli yhteydet esiteltyihin taulukoihin -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat käyttää esiteltyjä taulukoita. Se on tarkoitettu Excel-käyttäjille, jotka haluavat käyttää Power BI:n esiteltyjä taulukoita Excelin organisaation tietotyypeissä. Suosittelemme, että jätät tämän asetuksen käyttöön koko organisaatiolle ja että käytät työtilan käyttöoikeuksia ja semanttisen mallin käyttöoikeuksia. Tällä tavoin voit kannustaa esiteltyjen taulukoiden käyttämiseen.

Mukautetut visualisoinnin käyttöoikeudet

Power BI -raporttien luojat voivat ydinvisualisointien lisäksi käyttää mukautettuja visualisointeja. Power BI Desktopissa mukautettuja visualisointeja voi ladata Microsoft AppSourcesta. Niitä voidaan kehittää myös talon sisällä käyttämällä Power BI SDK:ta, ja ne voidaan asentaa avaamalla visualisointitiedosto (.pbviz).

Jotkin AppSourcesta ladattavissa olevat visualisoinnit ovat sertifioituja visualisointeja. Sertifioidut visualisoinnit täyttävät tietyt määritetyt koodivaatimukset, jotka Power BI -tiimi on testannut ja hyväksynyt. Testeissä tarkistetaan, että visualisoinnit eivät käytä ulkoisia palveluita tai resursseja.

Salli Power BI SDK -vuokraajan luomat visualisoinnit -asetuksen avulla Power BI -järjestelmänvalvojat voivat hallita sitä, mitkä käyttäjäryhmät voivat käyttää mukautettuja visualisointeja.

Käytettävissä on myös Lisää ja käytä vain sertifioituja visualisointeja -vuokraaja-asetus, jonka avulla Power BI -järjestelmänvalvojat voivat estää sertifioimattomien visualisointien käytön Power BI -palvelu. Tämä asetus voidaan ottaa käyttöön tai poistaa käytöstä koko organisaatiolle.

Muistiinpano

Jos estät sertifioimattomien visualisointien käytön, se koskee vain Power BI -palvelu. Jos haluat rajoittaa niiden käyttöä Power BI Desktopissa, pyydä järjestelmänvalvojia käyttämään ryhmäkäytäntöasetusta niiden käytön estämiseksi Power BI Desktopissa. Tämän vaiheen avulla varmistat, että raportin luojat eivät tuhlaa aikaa ja vaivaa sellaisen raportin luomiseen, joka ei toimi, kun se julkaistaan Power BI -palvelu. Suosittelemme erittäin, että määrität käyttäjät käyttämään yhdenmukaisia kokemuksia Power BI -palvelu (vuokraaja-asetuksella) ja Power BI Desktopissa (ryhmäkäytännöllä).

Power BI Desktopissa on mahdollisuus näyttää suojausvaroitus, kun raportin tekijä lisää mukautettua visualisointia raporttiin. Raportin luojat voivat poistaa tämän asetuksen käytöstä. Tämä vaihtoehto ei testaa, onko visualisointi sertifioitu.

Power BI -järjestelmänvalvojat voivat hyväksyä ja ottaa käyttöön mukautettuja visualisointeja organisaatiossaan. Raporttien luojat voivat sitten helposti löytää, päivittää ja käyttää näitä visualisointeja. Hallinta valvojat voivat sitten hallita näitä visualisointeja päivittämällä versioita tai poistamalla käytöstä ja ottamalla käyttöön tiettyjä mukautettuja visualisointeja. Tästä menetelmästä on hyötyä, kun haluat antaa itse kehitettyä visualisointia raportin luojien saataville tai kun hankit mukautetun visualisoinnin toimittajalta, joka ei ole AppSourcessa. Lisätietoja on artikkelissa Organisaation Power BI -visualisoinnit.

Harkitse tasapainotettua strategiaa, joka koskee vain sertifioitujen mukautettujen visualisointien käyttöönottoa organisaatiossa (aiemmin kuvatulla vuokraaja-asetuksella ja ryhmäkäytännöllä), kun otat käyttöön organisaation visualisoinnit poikkeusten käsittelyä varten.

Tarkistusluettelo – Kun suunnittelet raportin luojan käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä raportin luojan käyttöoikeuksien strategiasta: Määritä, mitkä asetukset ja vaatimukset ovat olemassa raportin luojien suojauksen hallintaan. Mieti aihealuetta ja tietojen luottamuksellisuustasoa. Mieti myös, ketkä saavat ottaa vastuun raporttien luomisesta ja hallinnasta keskitetyissä ja hajautetuissa liiketoimintayksiköissä.
• Tarkista, miten työtilan rooleja käsitellään raportin tekijöille: Selvitä, mikä vaikutus sillä on työtilan suunnitteluprosessiin. Luo kullekin aihealueelle erilliset tietotyötilat ja raportointityötilat, jotta työtilan roolit (ja pohjana oleva semanttisen mallin suojaus) yksinkertaistetaan aihealueella.
• Opasta raporttien tekijöille käyttöoikeuksien hallinnasta: Sisällytä raporttien tekijöille tarkoitettu dokumentaatio siitä, miten raportin kuluttajien käyttöoikeuksia hallitaan. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.
• Päätä, ketkä voivat käyttää jaettuja semanttisia malleja: Päätä, tulisiko olla mitään rajoituksia sille, ketkä Power BI -raportin luojat (joilla on jo semanttisen mallin luku- ja muodostamisoikeudet) voivat käyttää semanttisia malleja eri työtiloissa. Määritä Käytä semanttisia malleja kaikissa työtiloissa -vuokraaja-asetus tämän päätöksen mukaisesti. Jos päätät rajoittaa tätä ominaisuutta, harkitse Power BI:n hyväksymien raporttien luojien kaltaisten ryhmän käyttämistä.
• Päätä, ketkä voivat käyttää reaaliaikaisia yhteyksiä: Päätä, pitääkö Power BI -raporttien tekijöille (joilla on jo semanttisen mallin luku- ja muodostamisoikeudet) käyttää reaaliaikaisia yhteyksiä. Määritä Salli reaaliaikaiset yhteydet -vuokraaja-asetus tämän päätöksen mukaiseksi. Jos päätät rajoittaa tätä ominaisuutta, harkitse Power BI:n hyväksymien raporttien luojien kaltaisten ryhmän käyttämistä.
• Päätä rivitason suojauksen käyttöstrategiasta raportin tekijöille: Mieti, mitä käyttötapauksia ja tarkoituksia aiot käyttää rivitason suojauksessa. Ota huomioon työtilan suunnittelustrategia, jolla varmistetaan, että rivitason suojaus on käytössä raporttien luojille.
• Päätä mukautettujen visualisointien käyttöstrategiasta: Harkitse strategiaasi, jonka vuoksi raportin tekijät voivat käyttää mukautettuja visualisointeja. Määritä Salli Power BI SDK -vuokraajan luomat visualisoinnit -asetus tämän päätöksen mukaisesti. Luo prosessi organisaation visualisointien käyttämiseksi tarvittaessa.

Tietovuon luojan käyttöoikeudet

Tietovuot ovat hyödyllisiä tietojen valmistelun keskitämiseksi niin, että Power Queryssa tehty työ ei toistu useissa semanttisissa malleissa. Ne ovat rakennelohko yhden totuuden lähteen saavuttamiseen, sen estämiseen, että analyytikot eivät tarvitse suoraa pääsyä lähteisiin ja että he voivat auttaa poimimaan, muuntamaan ja lataamaan (ETL) mittakaavassa.

Tietovuon luojan on oltava työtilan järjestelmänvalvoja, jäsen tai osallistuja.

Jos haluat käyttää tietovuota (esimerkiksi Power BI Desktopissa tai toisessa työtilassa luodusta uudesta tietomallista), semanttisen mallin tekijä voi kuulua mihin tahansa työtilan rooliin, mukaan lukien Katselija-rooliin. Tietovoiden rivitason suojausta ei ole.

Työtilaroolien lisäksi tietovoiden luominen ja käyttäminen -vuokraaja-asetus on otettava käyttöön. Tämä vuokraaja-asetus koskee koko organisaatiota.

Esimerkkitilanne:

• Useiden organisaation semanttisten mallien on käytettävä dynaamista rivitason suojausta. Tämä edellyttää, että käyttäjätunnukset (UPN) tallennetaan semanttiseen malliin (jotta voidaan suodattaa raportin käyttäjän käyttäjätietojen mukaan).
• Tietovuon tekijä, joka kuuluu henkilöstöhallinto-osastoon, luo tietovuon nykyisten työntekijöiden tiedoista, mukaan lukien hänen upn-käyttäjätietonsa. He määrittävät tietovuon päivittymään päivittäin.
• Semanttisten mallien tekijät kuluttavat sitten tietovuota mallisuunnitelmissaan rivitason suojauksen määrittämistä varten.

Lisätietoja tietovoiden käyttämisestä on artikkelissa omatoiminen tietojen valmistelu ja edistynyt tietojen valmistelun käyttöskenaariot.

Tarkistusluettelo – Kun suunnittelet tietovuon luojan käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä tietovuon luojan käyttöoikeuksien strategiasta: Määritä, mitkä asetukset ja vaatimukset ovat olemassa tietovoiden luojien suojauksen hallinnassa. Mieti, kuka saa ottaa vastuun tietojen valmistelutoimintojen hallinnasta keskitetyissä ja hajautetuissa liiketoimintayksiköissä.
• Päätä, kuka voi luoda tietovoita: Päätä, tulisiko Power BI -tietojen tekijöille luoda tietovoita rajoituksia. Määritä Luo ja käytä tietovoita -vuokraaja-asetus tämän päätöksen mukaisesti.
• Tarkista, miten työtilan rooleja käsitellään tietovuon luojien osalta: Selvitä, mikä vaikutus sillä on työtilan suunnitteluprosessiin. Luo erilliset tietovuon työtilat aihealuetta kohden, jotta voit tarvittaessa käsitellä työtilan rooleja ja käyttöoikeuksia erikseen kullekin aihealueelle.

Tietomartin luojan käyttöoikeudet

Tietomart on omatoiminen analytiikkaratkaisu, jonka avulla käyttäjät voivat tallentaa ja tutkia tietoja, jotka on ladattu täysin hallittuun relaatiotietokantaan. Se sisältää myös automaattisesti muodostetun semanttisen mallin.

Tietojoukot tarjoavat yksinkertaisen vähäisen koodin käyttökokemuksen, jonka avulla voit käyttää eri tietolähteiden tietoja sekä poimia, muuntaa ja ladata (ETL) tietoja Power Query Onlinen avulla. Tiedot ladataan Azure-SQL-tietokanta, joka on täysin hallittu eikä sitä tarvitse virittää tai optimoida. Automaattisesti muodostettu semanttinen malli synkronoidaan aina hallitun tietokannan kanssa, koska se on DirectQuery-tilassa.

Voit luoda tietomartin, kun olet joko työtilan järjestelmänvalvoja, jäsen tai osallistuja. Työtilaroolit yhdistetään myös tietokantatason rooleihin Azure-SQL-tietokanta (koska tietokanta on täysin hallittu, käyttöoikeuksia ei kuitenkaan voi muokata tai hallita relaatiotietokannassa).

Luo tietomartsit -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat luoda tietomarsseja.

Tietomarssin jakaminen

Tietomarsseille termi jakaminen ottaa käyttöön merkityksen, joka on erilainen kuin muut Power BI -sisältötyypit. Yleensä jakamistoiminto on suunnattu kuluttajalle, koska se antaa vain luku -oikeuden yhdelle kohteelle, kuten raportille.

Tietomarssin jakaminen on suunnattu sisällöntekijöille (kuluttajille). Se myöntää luku- ja muodostamisoikeudet, joiden avulla käyttäjät voivat kysellä joko semanttista mallia tai relaatiotietokantaa haluamansa mukaan.

Tietomarssin jakamisen avulla sisällöntekijät voivat:

• Luo sisältöä käyttämällä automaattisesti luotua semanttista mallia: Semanttinen malli on semanttinen kerros, jolle Power BI -raportteja voidaan luoda. Useimpien raporttien luojien tulee käyttää semanttista mallia.
• Näyttöyhteys Azure-SQL-tietokanta ja kyselyitä: Relaatiotietokannasta on hyötyä sisällöntekijöille, jotka haluavat luoda uusia semanttisia malleja tai sivutettuja raportteja. He voivat kirjoittaa jäsennettyjä kyselyitä (SQL), jotka hakevat tietoja SQL-päätepisteen avulla.

Tietomartin rivitason suojaus

Voit rajoittaa tietojen käyttöä tietyille käyttäjille määrittämällä tietojoukkojen rivitason suojauksen . Rivitason suojaus määritetään Power BI -palvelu tietoeditorissa, ja se otetaan automaattisesti käyttöön automaattisesti luodussa semanttisessa mallissa ja Azure-SQL-tietokanta (suojaussääntöinä).

Riippumatta siitä, miten käyttäjä päättää muodostaa yhteyden tietojoukkoon (semanttiseen malliin tai tietokantaan), identtiset RLS-käyttöoikeudet pakotetaan.

Tarkistusluettelo – Kun suunnittelet tietomarssien luojien käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä tietojen luojien käyttöoikeuksien strategiasta: Määritä, mitkä asetukset ja vaatimukset ovat olemassa tietojoukkojen luojien suojauksen hallinnassa. Mieti, kuka saa ottaa vastuun keskitettyjen ja hajautettujen liiketoimintayksiköiden tietojen hallinnasta.
• Päätä, kuka voi luoda tietomarsseja: Päätä, tulisiko Power BI -tietojen luojille olla rajoituksia, jotka voivat luoda tietomarssin. Määritä Luo tietomartsit -vuokraaja-asetus tämän päätöksen mukaiseksi. Jos päätät rajoittaa sitä, kuka voi luoda tietomarsseja, harkitse Power BI:n hyväksymien tietomartin luojien kaltaisten ryhmän käyttämistä.
• Tarkista, miten työtilan rooleja käsitellään tietojoukkojen luojille: Selvitä, mikä vaikutus sillä on työtilan suunnitteluprosessiin. Luo erilliset tietotyötilat aihealuetta kohden, jotta työtilan rooleja ja semanttisen mallin suojausta voidaan yksinkertaistaa aihealueelle.
• Anna datamart-luojille ohjeita käyttöoikeuksien hallinnasta: Sisällytä dokumentaatio tietojoukkojen luojille siitä, miten voit hallita tietomart-käyttöoikeuksia. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.
• Päätä rivitason suojauksen käyttöstrategiasta tietomarteissa: Mieti, mitkä käyttötapaukset ja tarkoitukset aiot käyttää rivitason suojausta tietomartissa.

Tuloskortin luojien käyttöoikeudet

Power BI:n mittareiden avulla voit kuratoida tietyt mittarit ja seurata niitä liiketoiminnan tärkeimpien tavoitteiden mukaan. Tuloskortteihin lisätään mittareita, jotka voidaan jakaa muiden käyttäjien kanssa ja tarkastella yhdessä ruudussa.

Tuloskortit voidaan suojata kolmella käyttöoikeustasolla:

• Työtilan.
• Tuloskortin (kohdekohtaiset) käyttöoikeudet.
• Mittarit (tuloskortissa).

Käyttäjän, joka luo tuloskortin tai hallitsee sitä kokonaan, on oltava työtilan järjestelmänvalvoja, jäsen tai osallistuja.

Koska mittarit ulottuvat usein useille aihealueille, suosittelemme, että luot erillisen työtilan, jotta voit hallita itsenäisesti sisällöntuottajien ja kuluttajien käyttöoikeuksia.

Luo ja käytä mittareita -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat määrittää, mitkä käyttäjäryhmät voivat luoda tuloskorttimittareita.

Tuloskortin käyttöoikeudet

Voit antaa seuraavat tuloskortin käyttöoikeudet.

• Lue: Tämän oikeuden avulla käyttäjä voi tarkastella tuloskorttia.
• Uudelleenjakaminen: Kohdennetaan kaikille, joilla on aiemmin luotu käyttöoikeus tuloskorttiin, tämä oikeus antaa käyttäjille mahdollisuuden jakaa tuloskortti toisen käyttäjän kanssa.

Kohdekohtaiset käyttöoikeudet ovat hyödyllisiä muiden Power BI -palvelu sisältötyyppien mukaisesti, kun halutaan jakaa yksi kohde toisen käyttäjän kanssa. Suosittelemme käyttämään työtilan rooleja ja sovelluksen käyttöoikeuksia aina kun se on mahdollista.

Mittaritason käyttöoikeudet

Jokaisessa tuloskortissa on joukko mittaustason käyttöoikeuksia , jotka voit määrittää tuloskorttiasetuksissa. Mittausarvotason käyttöoikeudet (tuloskortin sisällä) voidaan myöntää eri tavalla kuin työtilan tai tuloskortin (kohdekohtainen) käyttöoikeudet.

Mittaritason roolien avulla voit määrittää seuraavat:

• Ken voivat tarkastella yksittäisiä arvoja tuloskortissa.
• Ken voivat päivittää yksittäisiä mittareita seuraavasti:
  • Tilan päivittäminen sisäänkirjautumisen aikana.
  • Muistiinpanojen lisääminen sisäänkirjautumisen aikana.
  • Päivittää nykyisen arvon sisäänkirjautumisen aikana.

Tulevan ylläpitotason pienentämiseksi on mahdollista määrittää oletuskäyttöoikeudet, jotka perivät luomiesi alimittareiden avulla tulevaisuudessa.

Tarkistusluettelo – Kun suunnittelet mittareiden käyttöoikeuksia, tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä tuloskorttien luojien käyttöoikeuksien strategiasta: Määritä, mitä asetuksia ja vaatimuksia on olemassa tuloskorttien luojien suojauksen hallintaan. Mieti, kuka saa ottaa vastuun keskitettyjen ja hajautettujen liiketoimintayksiköiden tietojen hallinnasta.
• Päätä, kuka voi luoda tuloskortteja: Päätä, pitääkö Power BI -tietojen tekijöiden luoda tuloskortteja rajoituksilla. Määritä Luo ja käytä mittarien vuokraaja -asetus tämän päätöksen tasaamiseksi. Jos päätät rajoittaa tuloskorttien luontimahdollisuuksien käyttöä, harkitse Power BI:n hyväksymien tuloskorttien luojien kaltaisten ryhmän käyttämistä.
• Tarkista, miten työtilan rooleja käsitellään tuloskortin luojille: Selvitä, mikä vaikutus sillä on työtilan suunnitteluprosessiin. Harkitse erillisten työtilojen luomista tuloskortille, kun sisältö kattaa aihealueen.
• Opasta tuloskortin luojille käyttöoikeuksien hallinnasta: Sisällytä tuloskorttien luojille dokumentaatio siitä, miten voit hallita mittaritason käyttöoikeuksia. Julkaise nämä tiedot keskitettyihin portaali- ja koulutusmateriaaleihin.

Sisällön julkaiseminen

Tässä osiossa on sisällöntekijöille olennaista sisällöntekijöille olennaista sisällön julkaisua koskevia aiheita.

Työtilat

Sisällöntekijät tarvitsevat järjestelmänvalvojan, jäsenen tai osallistujan roolin käyttöoikeuden julkaistakseen sisältöä työtilaan. Katso lisätietoja aiemmin tässä artikkelissa kuvatuista työtilarooleista .

Henkilökohtaista BI:tä lukuun ottamatta sisällön tekijöitä tulee kannustaa julkaisemaan sisältöä vakiotyötiloihin henkilökohtaisen työtilansa sijaan.

Estä pakettien uudelleenjulkaiseminen ja poista ne käytöstä -vuokraaja-asetus muuttaa semanttisten mallien julkaisutoimintaa. Kun asetus on käytössä, työtilan järjestelmänvalvojat, jäsenet tai osallistujat eivät voi julkaista muutoksia semanttiseen malliin. Vain semanttisen mallin omistajalla on oikeus julkaista päivitys (pakottaa semanttisen mallin haltuunottoon ennen päivitetyn semanttisen mallin julkaisemista). Koska tämä vuokraaja-asetus koskee koko organisaatiota, ota se käyttöön varovasti, koska se vaikuttaa koko vuokraajan kaikkiin semanttisiin malleihin. Muista kertoa semanttisille mallintekijöille, mitä odottaa, koska se muuttaa työtilaroolien normaalia toimintaa.

Power Apps -synkronointi

On mahdollista luoda Power Apps-ratkaisu, joka sisältää upotetut Power BI -raportit. Power Apps-prosessi luo automaattisesti erityisen Power BI -työtilan Power BI -raporttien ja semanttisten mallien tallentamista ja suojaamista varten. Jos haluat hallita sekä Power Appsissa että Power BI:ssä olevia kohteita, sinun täytyy synkronoida prosessi.

Prosessi synkronoi käyttöoikeusroolit sen varmistamiseksi, että Power BI perii samat roolit, jotka alun perin määrityksenä oli Power Appsissa. Sen avulla sisällön tekijä voi myös hallita käyttöoikeuksia sille, ketkä voivat tarkastella Power Appiin upotettuja Power BI -raportteja (ja niihin liittyviä semanttisia malleja).

Lisätietoja Power Apps-roolien synkronoinnista Power BI -työtilaroolien kanssa on artikkelissa Käyttöoikeuksien synkronointi Power Apps -ympäristön ja Power BI -työtilan välillä.

Käyttöönottoputken käyttö

Sisällöntekijät ja omistajat voivat käyttää Power BI: n käyttöönottoputkia omatoimiseen sisällön julkaisemiseen. Käyttöönottojaksot yksinkertaistavat julkaisuprosessia ja parantavat hallinnan tasoa uutta sisältöä julkaistaessa.

Voit hallita jakson käyttöoikeuksia (käyttäjille, jotka voivat ottaa sisältöä käyttöön käyttöönottoputkessa) erillään työtilarooleista. Käyttöönottoa suorittaville käyttäjille vaaditaan käyttöoikeus sekä työtilaan että käyttöönottoputkeen .

Sisällöntekijät voivat myös tarvita

• Työtilan luonnin käyttöoikeudet (kun jakso edellyttää työtilojen luomista).
• Premium- tai Fabric-kapasiteetin käyttöoikeudet (kun työtilat on määritetty putken mukaan).

Tärkeä

Joskus tämä artikkeli viittaa Power BI Premiumiin tai sen kapasiteettitilauksiin (P-varastointiyksiköt). Ota huomioon, että Microsoft vahvistaa parhaillaan ostovaihtoehtoja ja poistaa käytöstä Kapasiteettikohtaisen Power BI Premiumin. Uusien ja nykyisten asiakkaiden kannattaa harkita Fabric-kapasiteettitilausten (F-varastointiyksiköiden) ostamista.

Lisätietoja on artikkelissa Power BI Premium -käyttöoikeuksien tärkeä päivitys ja Power BI Premiumin usein kysytyt kysymykset.

Lisätietoja on kohdassa Käyttöönottoputken käyttö.

XMLA-päätepiste

XMLA-päätepiste käyttää XMLA-protokollaa näyttääkseen taulukkomuotoisen tietomallin kaikki ominaisuudet, mukaan lukien joitakin tietojen mallinnustoimintoja , joita Power BI Desktop ei tue. Voit tehdä ohjelmallisia muutoksia tietomalliin taulukkomuotoisen objektimallin (TOM) ohjelmointirajapinnan avulla.

XMLA-päätepiste tarjoaa myös liitettävyyden. Voit muodostaa yhteyden semanttiseen malliin vain, jos työtilan käyttöoikeustilaksi on määritetty käyttäjäkohtainen Premium, kapasiteettikohtaista Premiumia tai Embedded-tiliä. Kun yhteys on muodostettu, XMLA-yhteensopiva työkalu voi käyttää tietomallia tietojen lukemiseen tai kirjoittamiseen. Lisätietoja siitä, miten voit käyttää XMLA-päätepistettä semanttisen mallin hallintaan, on kehittyneessä tietomallin hallinnan käyttöskenaariossa.

Käyttöoikeus XMLA-päätepisteen kautta noudattaa olemassa olevia käyttöoikeuksia. Työtilan järjestelmänvalvojilla, jäsenillä ja osallistujilla on implisiittisesti semanttisen mallin kirjoitusoikeus, mikä tarkoittaa sitä, että he voivat ottaa käyttöön uusia semanttisia malleja Visual Studiosta ja suorittaa TMSL (Tabular Modeling Scripting Language) -komentosarjoja SQL Server Management Studiossa (SSMS).

Käyttäjät, joilla on semanttisen mallin muodostamisoikeus, voivat käyttää XMLA-päätepistettä yhteyden muodostamiseen ja semanttisten mallien selaamiseen tietojen kulutusta ja visualisointia varten. Rivitason suojauksen sääntöjä noudatetaan, eivätkä käyttäjät näe sisäisiä semanttisia mallin metatietoja.

Salli XMLA-päätepisteet ja Analysoi Excelissä paikallisilla semanttisilla malleilla -vuokraaja-asetus viittaa kahteen ominaistukseen: Se määrittää, mitkä käyttäjäryhmät voivat käyttää XMLA-päätepistettä kyselyihin ja/tai semanttisten mallien ylläpitoon Power BI -palvelu. Se myös määrittää, voidaanko Analysoi Excelissä -toimintoa käyttää paikallisten SQL Server Analysis Services (SSAS) -mallien kanssa.

Muistiinpano

Kyseisen vuokraaja-asetuksen Analysoi Excelissä -osa koskee vain paikallisia SQL Server Analysis Services (SSAS) -malleja. Analysoi Excelissä -vakiotoimintoa, joka muodostaa yhteyden Power BI -palvelu Power BI:n semanttiseen malliin, hallitaan Vuokraaja-asetuksella Salli reaaliaikaiset Näyttöyhteys käyttöt.

Julkaise verkossa

Julkaise verkkoon on ominaisuus, joka tarjoaa pääsyn Power BI -raportteihin kaikille Internetin käyttäjille. Se ei edellytä todentamista, eikä käyttöoikeutta kirjata valvontaa varten. Koska raporttien kuluttajien ei tarvitse kuulua organisaatioon tai heillä ei tarvitse olla Power BI -käyttöoikeutta, tämä tekniikka sopii hyvin datajournalismiin, prosessiin, jossa raportit on upotettu blogikirjoituksiin, sivustoihin, sähköpostiviesteihin tai sosiaaliseen mediaan.

Varoitus

Julkaise verkkoon -toiminnolla voi paljastua arkaluonteisia tai luottamuksellisia tietoja joko vahingossa tai tarkoituksella. Tästä syystä tämä ominaisuus on oletusarvoisesti poissa käytöstä. Julkaise verkkoon -toiminnolla tulisi käyttää vain raportteja, jotka sisältävät tietoja, joita yleisö voi tarkastella.

Julkaise verkkoon -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat hallita sitä, mitkä käyttäjäryhmät voivat julkaista raportteja verkossa. Jos haluat säilyttää korkeamman hallintatason, suosittelemme, että et sisällytä muita ryhmiä tähän vuokraaja-asetukseen (kuten Power BI -järjestelmänvalvojat tai muut sisällöntuottajat). Pakota sen sijaan tietyt käyttöoikeudet käyttöön käyttöoikeusryhmällä, kuten Power BI:n julkisella julkaisulla. Varmista, että käyttöoikeusryhmää hallitaan hyvin.

Upottaminen mukautettuihin sovelluksiin

Upota sisältöä sovelluksiin -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat hallita sitä, ketkä käyttäjät voivat upottaa Power BI -sisältöä Power BI -palvelu ulkopuolelle. Kun aiot upottaa Power BI -sisältöä mukautettuihin sovelluksiin, ota tämä asetus käyttöön tietyille ryhmille, kuten sovelluskehittäjille.

Upottaminen PowerPointissa

Power BI -apuohjelman ottaminen käyttöön PowerPointissa -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat hallita sitä, ketkä käyttäjät voivat upottaa Power BI -raporttisivuja PowerPoint-esityksiin. Ota tämä asetus tarvittaessa käyttöön tietyissä ryhmissä, kuten raportin tekijöissä.

Muistiinpano

Jotta tämä ominaisuus toimisi, käyttäjien on asennettava Power BI -apuohjelma PowerPointiin. Jotta käyttäjät voivat käyttää apuohjelmaa, heillä täytyy olla joko Office-apuohjelmasäilön käyttöoikeus tai apuohjelma on annettava heidän saatavilleen järjestelmänvalvojan hallittuna apuohjelmana. Lisätietoja on artikkelissa Power BI -apuohjelma PowerPointille.

Kerro raporttien tekijöille, että he ovat varovaisia sen suhteen, mihin he tallentavat PowerPoint-esityksensä ja keille he jakavat ne. Tämä johtuu siitä, että käyttäjille näytetään kuva Power BI -raportin visualisoinneista, kun he avaavat esityksen. Tämä kuva on siepattu, kun PowerPoint-tiedosto on viimeksi yhdistetty. Kuva saattaa kuitenkin vahingossa paljastaa tietoja, joita vastaanottavalla käyttäjällä ei ole oikeuksia nähdä.

Muistiinpano

Kuvasta voi olla hyötyä, kun vastaanottavalla käyttäjällä ei vielä ole apuohjelmaa tai kun apuohjelma muodostaa yhteyden Power BI -palvelu tietojen noutamista varten. Kun käyttäjä on muodostanut yhteyden, Power BI:stä noudetaan vain tiedot, jotka käyttäjä näkee (minkä tahansa RLS:n pakottaminen).

Mallisovellukset

Mallisovellusten avulla Power BI -kumppanit ja -ohjelmistotoimittajat voivat kehittää Power BI -sovelluksia käyttäen vain vähän tai ei lainkaan koodausta, minkä lisäksi sovellukset voidaan ottaa käyttöön kenelle tahansa Power BI -asiakkaalle.

Julkaise mallisovelluksia -vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat hallita sitä, ketkä käyttäjät voivat julkaista mallisovelluksia organisaation ulkopuolella esimerkiksi Microsoft AppSourcen kautta. Useimmissa organisaatioissa tämä vuokraaja-asetus tulee poistaa käytöstä tai hallita tiukasti. Harkitse käyttöoikeusryhmän, kuten Power BI:n ulkoisen mallisovelluksen luojien, käyttämistä.

Sähköpostitilaukset

Voit tilata power BI -raportteja, koontinäyttöjä ja sivutettuja raportteja itsellesi ja muille. Power BI lähettää sitten sähköpostiviestin määrittämäsi aikataulun mukaisesti. Sähköpostiviesti sisältää tilannevedoksen ja linkin raporttiin tai koontinäyttöön.

Voit luoda tilauksen, joka sisältää muita käyttäjiä, kun olet työtilan järjestelmänvalvoja, jäsen tai osallistuja. Jos raportti on Premium-työtilassa, voit tilata ryhmiä (riippumatta siitä, ovatko ne toimialueellasi vai eivät) ja ulkoisia käyttäjiä. Kun määrität tilausta, voit myös myöntää kohteelle käyttöoikeuksia. Tietoyksikkökohtaisia suoria käyttöoikeuksia käytetään tähän tarkoitukseen ja ne on kuvattu artikkelissa Raportin kuluttajasuojauksen suunnittelu .

Varoitus

Sähköpostitilausominaisuus saattaa jakaa sisältöä sisäisille ja ulkoisille käyttäjäryhmille. Lisäksi kun rivitason suojaus otetaan käyttöön pohjana olevassa semanttisessa mallissa, liitteet ja kuvat luodaan tilaavan käyttäjän suojauskontekstin avulla.

Sähköpostitilausten vuokraaja-asetuksen avulla Power BI -järjestelmänvalvojat voivat hallita, onko tämä ominaisuus käytössä vai poissa käytöstä koko organisaatiossa.

Käyttöoikeudet ja vuokraaja-asetuksiin liittyvät liitteet ovat joitakin rajoituksia. Lisätietoja on Power BI -palvelu kohdassa Raporttien ja koontinäyttöjen sähköpostitilaukset.

Tarkistusluettelo – Sisällön julkaisua suunniteltaessa tärkeimmät päätökset ja toiminnot ovat seuraavat:

• Päätä strategiasta, missä sisältö julkaistaan, miten ja kuka sen tekee: Määritä, mitkä ovat sisällön julkaisupaikan asetukset ja vaatimukset.
• Vahvista työtilan käyttöoikeudet: Vahvista työtilan suunnittelumenetelmä. Tarkista, miten voit käyttää työtilan käyttöoikeusrooleja tukemaan strategiaasi sisällön julkaisupaikasta.
• Määritä, miten käyttöönottoputken käyttöoikeudet käsitellään: Päätä, ketkä käyttäjät saavat julkaista sisältöä käyttöönottojakson avulla. Määritä käyttöönottoputken käyttöoikeudet vastaavasti. Varmista, että myös työtilan käyttöoikeus on annettu.
• Päätä, ketkä voivat muodostaa yhteyden semanttisiin malleihin XMLA-päätepisteen avulla: Päätä XMLA-päätepisteen avulla, ketkä käyttäjät saavat tehdä kyselyjä tai hallita semanttisia malleja. Määritä Salli XMLA-päätepisteet ja Analysoi Excelissä paikallisten semanttisten mallien vuokraaja-asetukseksi tämän päätöksen mukaisesti. Kun päätät rajoittaa tätä ominaisuutta, harkitse Power BI:n hyväksymien sisällöntuottajien kaltaisten ryhmän käyttämistä.
• Päätä, ketkä voivat julkaista raportteja julkisesti: Päätä, ketkä käyttäjät saavat mahdollisesti julkaista Power BI -raportteja julkisesti. Määritä Julkaise verkkoon -vuokraaja-asetus tämän päätöksen mukaisesti. Käytä ryhmää, kuten Power BI:n julkista julkaisua.
• Päätä, ketkä voivat upottaa sisältöä mukautettuihin sovelluksiin: Selvitä, ketkä saavat upottaa sisältöä Power BI -palvelu ulkopuolella. Määritä Upota sisältöä sovelluksiin -vuokraaja-asetus tämän päätöksen mukaisesti.
• Päätä, ketkä voivat upottaa sisältöä PowerPointissa: Selvitä, kuka saa upottaa sisältöä PowerPointiin. Määritä Ota Power BI -apuohjelma Käyttöön PowerPointissa -vuokraaja-asetus tämän päätöksen mukaisesti.
• Päätä, kuka voi julkaista mallisovelluksia: Määritä, mikä strategiasi on mallisovellusten käyttämiseen organisaation ulkopuolella. Määritä Julkaise mallisovelluksia -vuokraaja-asetus tämän päätöksen mukaiseksi.
• Päätä, otetaanko tilaukset käyttöön: Vahvista tilausten käyttöstrategia. Määritä Sähköpostitilaukset-vuokraaja-asetus tämän päätöksen mukaiseksi.

Päivitä tiedot

Julkaisun jälkeen tietojen luojien tulee varmistaa, että niiden semanttiset mallit ja tietovuot (jotka sisältävät tuotuja tietoja) päivitetään säännöllisesti. Päätä myös semanttisen mallin ja tietovuon omistajien soveltuvista strategioista.

Semanttisen mallin omistaja

Jokaisella semanttisella mallilla on omistaja, joka on yksittäinen käyttäjätili. Semanttisen mallin omistaja vaaditaan semanttisen mallin päivityksen määrittämiseen ja semanttisen mallin parametrien määrittämiseen.

Semanttisen mallin omistaja saa oletusarvoisesti käyttöoikeuspyynnöt myös raportin tekijöiltä, jotka haluavat muodostamisoikeudet (ellei semanttisen mallin Pyyntö-käyttöoikeusasetuksia ole määritetty antamaan mukautettuja ohjeita). Katso lisätietoja tämän artikkelin kohdasta Pyydä käyttöoikeuksien työnkulkua luojille .

Power BI voi hankkia tunnistetiedot semanttisen mallin päivittämiseksi kahdella tavalla.

• Semanttisen mallin omistaja tallentaa tunnistetiedot semanttisen mallin asetuksiin.
• Semanttisen mallin omistaja viittaa yhdyskäytävään semanttisen mallin asetuksissa (joka sisältää tietolähteen, johon on tallennettu tunnistetiedot).

Jos toisen käyttäjän on määritettävä päivityksen tai semanttisen mallin parametrit, hänen on otettava semanttisen mallin omistajuus. semanttisen mallin omistajuuden voi ottaa haltuun työtilan järjestelmänvalvoja, jäsen tai osallistuja.

Varoitus

Semanttisen mallin omistajuuden ottaminen pysyvästi poistaa semanttisen mallin tallennetut tunnistetiedot. Tunnistetiedot on annettava uudelleen, jotta tietojen päivitystoimintoja voidaan jatkaa.

Ihannetapauksessa semanttisen mallin omistaja on käyttäjä, joka vastaa semanttisesta mallista. Päivitä semanttisen mallin omistaja, kun hän lähtee organisaatiosta tai vaihtaa roolia. Huomaa myös, että kun semanttisen mallin omistajan käyttäjätili on poistettu käytöstä Microsoft Entra -tunnuksella (aiemmin azure Active Directory), tietojen päivittäminen poistetaan automaattisesti käytöstä. Tässä tapauksessa toisen käyttäjän on otettava semanttisen mallin omistajuus, jotta tietojen päivitystoimintoja voidaan jatkaa.

Tietovuon omistaja

Semanttisten mallien tavoin tietovoilla on myös omistaja, joka on yksittäinen käyttäjätili. Edellisessä ohjeaiheessa annetut tiedot ja ohjeet semanttisen mallin omistajista koskevat myös tietovuon omistajia.

Tarkistusluettelo – Kun suunnittelet tietojen päivitysprosesseihin liittyvää suojausta, tärkeimpiä päätöksiä ja toimintoja ovat muun muassa seuraavat:

• Päätä semanttisten mallien omistajien strategiasta: Määritä, mitä asetuksia ja vaatimuksia on semanttisen mallin omistajien hallinnassa.
• Päätä tietovoiden omistajien strategiasta: Määritä, mitkä asetukset ja vaatimukset ovat olemassa tietovoiden omistajien hallinnassa.
• Sisällytä semanttisten mallien luojien dokumentaatioon ja harjoittamiseen: Sisällytä tietojen tekijöille ohjeita siitä, miten kunkin kohdetyypin omistajia hallitaan.

Liittyvä sisältö

Muita huomioon otettavia seikkoja, toimintoja, päätöksenteon kriteereitä ja suosituksia, joiden avulla voit hyödyntää Power BI:n toteutuspäätöksiä, on aiheissa , joita kannattaa pohtia.