Engedélymodell

A Microsoft Fabric rugalmas engedélymodellel rendelkezik, amely lehetővé teszi a szervezet adataihoz való hozzáférés szabályozását. Ez a cikk ismerteti a Fabric különböző engedélytípusait, valamint azt, hogy hogyan működnek együtt a szervezet adataihoz való hozzáférés szabályozása érdekében.

A munkaterület a Fabric elemeinek csoportosítására szolgáló logikai entitás. A munkaterületi szerepkörök hozzáférési engedélyeket határoznak meg a munkaterületekhez. Bár az elemek egy munkaterületen vannak tárolva, a Háló más felhasználóival is megoszthatóak. Hálóelemek megosztásakor eldöntheti, hogy mely engedélyekkel adja meg az elemet megosztó felhasználónak. Bizonyos elemek, például a Power BI-jelentések még részletesebben szabályozják az adatokat. A jelentések beállíthatók úgy, hogy az engedélyüktől függően azok a felhasználók, akik megtekintik őket, csak az általuk tárolt adatok egy részét lássák.

Munkaterületi szerepkörök

A munkaterületi szerepkörök a munkaterületekhez és a bennük lévő tartalmakhoz való hozzáférés szabályozására szolgálnak. A hálógazdák munkaterületi szerepköröket rendelhetnek hozzá az egyes felhasználókhoz vagy csoportokhoz. A munkaterületi szerepkörök egy adott munkaterületre korlátozódnak, és nem vonatkoznak más munkaterületekre, a munkaterület kapacitására vagy a bérlőre.

Négy munkaterületi szerepkör van, amelyek a munkaterületen belüli összes elemre vonatkoznak. Azok a felhasználók, akiknek nincs ilyen szerepkörük, nem férhetnek hozzá a munkaterülethez. A szerepkörök a következők:

• Megtekintő – Megtekintheti a munkaterület összes tartalmát, de nem módosíthatja.

• Közreműködő – Megtekintheti és módosíthatja a munkaterület összes tartalmát.

• Tag – Megtekintheti, módosíthatja és megoszthatja a munkaterület összes tartalmát.

• Rendszergazda – Megtekintheti, módosíthatja, megoszthatja és kezelheti a munkaterület összes tartalmát, beleértve az engedélyek kezelését is.

Ez a táblázat az egyes szerepkörök képességeinek egy kis halmazát mutatja be. A teljes és részletesebb listát a Microsoft Fabric-munkaterületi szerepkörökben találja.

Funkció	Rendszergazda	Tag	Közreműködő	Megtekintő
A munkaterület törlése	✅	❌	❌	❌
Rendszergazdák hozzáadása	✅	❌	❌	❌
Tagok hozzáadása	✅	✅	❌	❌
Adatok írása	✅	✅	✅	❌
Elemek létrehozása	✅	✅	✅	❌
Adatok beolvasása	✅	✅	✅	✅

Elemengedélyek

Az elemengedélyek a munkaterületen belüli egyes hálóelemekhez való hozzáférés szabályozására szolgálnak. Az elemengedélyek egy adott elemre korlátozódnak, és nem vonatkoznak más elemekre. Elemengedélyek használatával szabályozhatja, hogy ki tekintheti meg, módosíthatja és kezelheti a munkaterület egyes elemeit. Az elemengedélyekkel hozzáférést adhat a felhasználónak egy olyan munkaterület egyetlen eleméhez, amelyhez nincs hozzáférése.

Ha egy felhasználóval vagy csoporttal osztja meg az elemet, konfigurálhatja az elemengedélyeket. Egy elem megosztása alapértelmezés szerint olvasási engedélyt ad a felhasználónak az adott elemhez. Az olvasási engedélyek lehetővé teszik a felhasználók számára, hogy lássák az adott elem metaadatait, és megtekinthetik a hozzá társított jelentéseket. Az olvasási engedélyek azonban nem teszik lehetővé a felhasználók számára a mögöttes adatok elérését az SQL-ben vagy a OneLake-ben.

A különböző hálóelemek különböző engedélyekkel rendelkeznek. Az egyes elemek engedélyeiről a következő témakörben olvashat bővebben:

• Szemantikai modell

• raktár

• Data Factory

• Lakehouse

• Adatelemzés

• Valós idejű intelligencia

Számítási engedélyek

Az engedélyek egy adott számítási motoron belül is beállíthatók a Fabricben, különösen az SQL-végponton vagy szemantikai modellen keresztül. A számítási motor engedélyei részletesebb adathozzáférés-vezérlést tesznek lehetővé, például tábla- és sorszintű biztonságot.

• SQL-végpont – Az SQL-végpont közvetlen SQL-hozzáférést biztosít a OneLake-táblákhoz, és natív módon konfigurálhatja a biztonságot SQL-parancsokkal. Ezek az engedélyek csak az SQL-en keresztül végzett lekérdezésekre vonatkoznak.

• Szemantikai modell – A szemantikai modellek lehetővé teszik a biztonság DAX használatával történő meghatározását. A DAX használatával definiált korlátozások a szemantikai modellen vagy a szemantikai modellre épülő Power BI-jelentéseken keresztül lekérdező felhasználókra vonatkoznak.

További információt az alábbi cikkekben talál:

• Sorszintű biztonság a Fabric-adattárházakban

• Sorszintű biztonság (RLS) a Power BI-jal

• Objektumszintű biztonság (OLS)

OneLake-engedélyek (adathozzáférési szerepkörök)

A OneLake saját engedélyekkel rendelkezik a OneLake-ben lévő fájlokhoz és mappákhoz való hozzáférés szabályozásához a OneLake-beli adathozzáférési szerepkörökön keresztül . A OneLake adathozzáférési szerepkörei lehetővé teszik, hogy a felhasználók egyéni szerepköröket hozzanak létre egy tóházban, és olvasási engedélyeket csak a megadott mappáknak adjanak meg a OneLake elérésekor. Az egyes OneLake-szerepkörökhöz a felhasználók felhasználókat, biztonsági csoportokat rendelhetnek hozzá, vagy automatikus hozzárendelést adhatnak a munkaterületi szerepkör alapján.

További információ a OneLake adathozzáférés-vezérlési modellről, és tekintse meg a útmutatókat.

• Tóház védelme Adattudomány csapatok számára

• Tóház védelme Adattárolás csapatok számára

• Adatok védelme a gyakori adatarchitektúrákhoz

A művelet sorrendje

A Háló három különböző biztonsági szinttel rendelkezik. A felhasználónak minden szinten hozzáféréssel kell rendelkeznie az adatok eléréséhez. Minden szint egymás után kiértékeli, hogy egy felhasználó rendelkezik-e hozzáféréssel. Az olyan biztonsági szabályok, mint a Microsoft Information Protection-szabályzatok , egy adott szinten kiértékelik a hozzáférést, vagy letiltják a hozzáférést. A Háló biztonságának kiértékelésekor a művelet sorrendje a következő:

1. Entra-hitelesítés: Ellenőrzi, hogy a felhasználó képes-e hitelesítést végezni a Microsoft Entra-bérlőn.
2. Hálóhozzáférés: Ellenőrzi, hogy a felhasználó hozzáfér-e a Microsoft Fabrichez.
3. Adatbiztonság: Ellenőrzi, hogy a felhasználó végrehajthatja-e a kért műveletet egy táblán vagy fájlon.

Példák

Ez a szakasz két példát mutat be arra, hogyan állíthatók be engedélyek a Hálóban.

1. példa: Csoportengedélyek beállítása

A Wingtip Toys egy bérlővel és három kapacitással van beállítva a teljes szervezet számára. Minden kapacitás egy másik régiót jelöl. A Wingtip Toys Egyesült Államok, Európában és Ázsiában működik. Minden kapacitás rendelkezik egy munkaterülettel a szervezet minden részlegéhez, beleértve az értékesítési részleget is.

Az értékesítési részleg rendelkezik egy vezetővel, egy értékesítési csapat vezetővel és értékesítési csapattagokkal. A Wingtip Toys egy elemzőt is alkalmaz a teljes szervezet számára.

Az alábbi táblázat az értékesítési részleg egyes szerepköreinek követelményeit és az engedélyek engedélyezésének módját mutatja be.

Szerepkör	Követelmény	Beállítás
Kezelő	Az értékesítési részleg összes tartalmának megtekintése és módosítása a teljes szervezetben	Tagi szerepkör a szervezet összes értékesítési munkaterületéhez
Csapatvezető	Az értékesítési részleg összes tartalmának megtekintése és módosítása egy adott régióban	A régió értékesítési munkaterületének tagi szerepköre
Értékesítési csapattag	A régió többi értékesítési tagjának statisztikáinak megtekintése Saját értékesítési jelentés megtekintése és módosítása	Egyik értékesítési munkaterülethez sem tartozik szerepkör Hozzáférés egy adott jelentéshez, amely felsorolja a tag értékesítési adatait
Elemző	Az értékesítési részleg összes tartalmának megtekintése a teljes szervezetben	Megtekintői szerepkör a szervezet összes értékesítési munkaterületéhez

A Wingtip egy negyedéves jelentéssel is rendelkezik, amely felsorolja az egy értékesítési tagra jutó értékesítési bevételét. Ez a jelentés egy pénzügyi munkaterületen van tárolva. A sorszintű biztonság használatával a jelentés úgy van beállítva, hogy az egyes értékesítési tagok csak a saját értékesítési adataikat láthassák. A csapatvezetők láthatják a régiójukban lévő összes értékesítési tag értékesítési adatait, az értékesítési vezető pedig a szervezet összes értékesítési tagjának értékesítési adatait.

2. példa: Munkaterület- és elemengedélyek

Ha megoszt egy elemet, vagy módosítja annak engedélyeit, a munkaterületi szerepkörök nem változnak. Az ebben a szakaszban látható példa bemutatja, hogyan működnek a munkaterület és az elemengedélyek.

Veronica és Marta együtt dolgoznak. Veronica egy jelentés tulajdonosa, amit meg szeretne osztani Martával. Ha Veronica megosztja a jelentést Martával, Marta a munkaterületi szerepkörétől függetlenül hozzáférhet hozzá.

Tegyük fel, hogy Marta megtekintői szerepkörrel rendelkezik azon a munkaterületen, ahol a jelentést tárolják. Ha Veronica úgy dönt, hogy eltávolítja Marta elemengedélyeit a jelentésből, Marta továbbra is megtekintheti a jelentést a munkaterületen. Marta a munkaterületről is megnyithatja a jelentést, és megtekintheti annak tartalmát. Ennek az az oka, hogy Marta megtekintési engedélyekkel rendelkezik a munkaterülethez.

Ha Veronica nem szeretné, hogy Marta megtekintse a jelentést, marta elemengedélyeinek eltávolítása a jelentésből nem elég. Veronikának emellett el kell távolítania Marta megtekintői engedélyeit a munkaterületről. A munkaterület-megtekintő engedélyei nélkül Marta nem fogja látni, hogy a jelentés létezik, mert nem fog tudni hozzáférni a munkaterülethez. Marta nem fogja tudni használni a jelentésre mutató hivatkozást, mert nincs hozzáférése a jelentéshez.

Most, hogy Marta nem rendelkezik munkaterület-megtekintő szerepkörrel, ha Veronica úgy dönt, hogy ismét megosztja vele a jelentést, Marta megtekintheti azt a Veronica által megosztott hivatkozás használatával anélkül, hogy hozzáférése lenne a munkaterülethez.

3. példa: Power BI-alkalmazásengedélyek

A Power BI-jelentések megosztásakor gyakran azt szeretné, hogy a címzettek csak a jelentésekhez férjenek hozzá, és ne a munkaterület elemeihez. Ehhez power BI-alkalmazásokat használhat, vagy jelentéseket oszthat meg közvetlenül a felhasználókkal.

Emellett a sorszintű biztonság (RLS) használatával korlátozhatja az adatokhoz való hozzáférést, az RLS használatával olyan szerepköröket hozhat létre, amelyek hozzáféréssel rendelkeznek az adatok bizonyos részeihez, és korlátozhatja azokat az eredményeket, amelyek csak a felhasználó identitásához férnek hozzá.

Ez akkor működik jól, ha importálási modelleket használ, mivel az adatok a szemantikai modellbe vannak importálva, és a címzettek az alkalmazás részeként hozzáférhetnek ezekhez. A DirectLake használatával a jelentés közvetlenül a Lakehouse-ból olvassa be az adatokat, és a jelentés címzettjének hozzá kell férnie ezekhez a fájlokhoz a tóban. Ezt többféleképpen is megteheti:

• Adjon ReadData engedélyt közvetlenül a Lakehouse-ra.
• Állítsa át az adatforrás hitelesítő adatait Egyszeri bejelentkezés (SSO) egy rögzített identitásra, amely hozzáfér a tóban lévő fájlokhoz.

Mivel az RLS a szemantikai modellben van definiálva, az adatok először beolvashatók, majd a sorok szűrve lesznek.

Ha a jelentés által létrehozott SQL-végpontban bármilyen biztonsági beállítás van meghatározva, a lekérdezések automatikusan DirectQuery módba kerülnek vissza. Ha nem szeretné ezt az alapértelmezett tartalék viselkedést, létrehozhat egy új Lakehouse-t az eredeti Lakehouse-táblákra mutató billentyűparancsokkal, és nem definiálhat RLS-t vagy OLS-t az SQL-ben az új Lakehouse-on.

Kapcsolódó tartalom

• Biztonsági alapismeretek

• Microsoft Fabric-licencek