A Power BI implementálásának megtervezése: Tartalomkészítő biztonsági tervezése

Feljegyzés

Ez a cikk a Power BI implementációtervezési cikksorozatának része. Ez a sorozat elsősorban a Microsoft Fabricen belüli Power BI-számítási feladatokra összpontosít. A sorozat bemutatása: Power BI implementációtervezés.

Ez a biztonsági tervezési cikk a szemantikai modellek (korábban adathalmazok), adatfolyamok, adatmartok, jelentések vagy irányítópultok létrehozásáért felelős tartalomkészítők stratégiáit ismerteti. Elsősorban a következő célokat célozza:

• Power BI-rendszergazdák: Azok a rendszergazdák, akik a Power BI felügyeletéért felelősek a szervezetben.
• Kiválósági központ, informatikai és BI-csapat: Azok a csapatok, amelyek a Power BI felügyeletéért is felelősek. Előfordulhat, hogy együtt kell működniük a Power BI-rendszergazdákkal, az információbiztonsági csapatokkal és más releváns csapatokkal.
• Tartalomkészítők és -tulajdonosok: Önkiszolgáló BI-létrehozók, akiknek mások által használt tartalmakat kell létrehozniuk, közzétenni, biztonságossá tenni és kezelni.

A cikksorozat célja, hogy a Power BI biztonsági tanulmányában szereplő tartalmakat bővítse. Bár a Power BI biztonsági tanulmánya olyan kulcsfontosságú technikai témakörökre összpontosít, mint a hitelesítés, az adatok tartózkodási helye és a hálózati elkülönítés, a sorozat elsődleges célja, hogy megfontolandó szempontokat és döntéseket biztosítson a biztonság és az adatvédelem megtervezéséhez.

Egy szervezetben sok felhasználó tartalomkészítő. A tartalomkészítők mások által megtekintett tartalmakat hoznak létre és tesznek közzé. A cikk középpontjában a tartalomkészítők állnak.

Tipp.

Javasoljuk, hogy először tekintse át a jelentés fogyasztói biztonsági tervezéséről szóló cikket. Ismerteti az írásvédett felhasználók számára biztonságos tartalomszolgáltatásra vonatkozó stratégiákat, beleértve az adatbiztonság kikényszerítését is.

Tartalomkészítők stratégiája

A jól szabályozott önkiszolgáló BI-rendszer alapjai tartalomkészítőkkel és -tulajdonosokkal kezdődnek. Szemantikai modelleket és jelentéseket hoznak létre és ellenőriznek. A tartalomkészítők sok esetben engedélyeket is beállítanak a tartalom biztonságának kezelésére.

Tipp.

Javasoljuk, hogy olyan adatkultúrát alakítson ki, amely az adatok biztonságát és védelmét mindenki szerepkörének normál részévé teszi. E cél eléréséhez elengedhetetlen a felhasználói oktatás, a támogatás és a képzés.

A biztonság és az engedélyek érdekében vegye figyelembe, hogy a tartalomkészítőknek két típusa van: az adatkészítők és a jelentéskészítők. Ők lehetnek felelősek a vállalati bi- vagy önkiszolgáló BI-tartalmak létrehozásáért és kezeléséért.

Adatkészítők

Az adat létrehozója bármely Olyan Power BI-felhasználó, aki szemantikai modelleket, adatfolyamokat vagy adatmartokat hoz létre.

Íme néhány gyakori adatkészítő forgatókönyv.

• Új szemantikai modell létrehozása: Új adatmodell létrehozása és tesztelése a Power BI Desktopban. Ezt követően közzétesszük a Power BI szolgáltatás, hogy több jelentés közös szemantikai modelljeként is használható legyen. A megosztott szemantikai modellek újrafelhasználásáról további információt a felügyelt önkiszolgáló BI használati forgatókönyvében talál.
• Szemantikai modell kiterjesztése és testreszabása: Élő kapcsolat létrehozása meglévő megosztott szemantikai modellel a Power BI Desktopban. Alakítsa át az élő kapcsolatot helyi modellté, amely lehetővé teszi a modellterv új táblákkal vagy oszlopokkal való kibővítését. A megosztott szemantikai modellek kibővítésével és testreszabásával kapcsolatos további információkért tekintse meg a testre szabható felügyelt önkiszolgáló BI-használati forgatókönyvet.
• Új adatfolyam létrehozása: A Power BI szolgáltatás hozzon létre egy új adatfolyamot, hogy számos szemantikai modell használhassa forrásként. Az adat-előkészítési tevékenységek újrafelhasználásával kapcsolatos további információkért tekintse meg az önkiszolgáló adat-előkészítés használati forgatókönyvét.
• Hozzon létre egy új adatmartot. A Power BI szolgáltatás hozzon létre egy új adatmartot.

Az adatkészítők gyakran megtalálhatók a vállalati BI-csapatokban és a Kiválósági Központban (COE). Emellett kulcsszerepet játszanak a saját adataikat karbantartó és kezelő decentralizált üzleti egységekben és részlegekben is.

Az üzleti vezetésű bi-ról, a felügyelt önkiszolgáló BI-ról és a vállalati BI-ról a tartalom tulajdonjogáról és kezeléséről szóló cikkben talál további szempontokat.

Jelentéskészítők

A jelentéskészítők jelentéseket és irányítópultokat hoznak létre a meglévő szemantikai modellekből származó adatok megjelenítéséhez.

Íme néhány gyakori jelentéskészítő forgatókönyv.

• Új jelentés létrehozása adatmodellt is beleértve: Új jelentés és adatmodell létrehozása és tesztelése a Power BI Desktopban. Az egy vagy több jelentésoldalt tartalmazó És adatmodellt tartalmazó Power BI Desktop-fájl közzé lesz téve a Power BI szolgáltatás. Az új tartalomkészítők gyakran használják ezt a módszert, mielőtt tudomást szereznének a megosztott szemantikai modellek használatáról. Olyan szűk használati esetekhez is megfelelő, amelyek nem igényelnek adat-újrafelhasználási szükségletet.
• Élő kapcsolati jelentés létrehozása: Hozzon létre egy új Power BI-jelentést, amely egy megosztott szemantikai modellhez csatlakozik a Power BI szolgáltatás. A megosztott szemantikai modellek újrafelhasználásáról további információt a felügyelt önkiszolgáló BI használati forgatókönyvében talál.
• Csatlakoztatott Excel-munkafüzet létrehozása: Hozzon létre egy új Excel-jelentést, amely egy megosztott szemantikai modellhez csatlakozik a Power BI szolgáltatás. Csatlakozás Excel-élményeket, és nem az adatok letöltését javasoljuk.
• DirectQuery-jelentés létrehozása: Hozzon létre egy új Power BI-jelentést, amely DirectQuery módban csatlakozik egy támogatott adatforráshoz. Ez a módszer akkor hasznos, ha ki szeretné használni a forrásrendszer által implementált felhasználói biztonságot.

A jelentéskészítők a szervezet minden üzleti egységében megtalálhatók. Általában sokkal több jelentéskészítő van egy szervezetben, mint az adatkészítők.

Tipp.

Bár nem minden szemantikai modell közös szemantikai modell, mégis érdemes felügyelt önkiszolgáló BI-stratégiát alkalmazni. Ez a stratégia lehetőség szerint újra felhasználja a megosztott szemantikai modelleket. Így a jelentések létrehozása és az adatok létrehozása leválasztva lesz. Bármely üzleti egység tartalomkészítője hatékonyan használhatja ezt a stratégiát.

Alkotók engedélyei

Ez a szakasz az adatkészítők és a jelentéskészítők leggyakoribb engedélyeit ismerteti.

Ez a szakasz nem az összes lehetséges engedély teljes listáját tartalmazza. Inkább a különböző tartalomkészítők támogatásával kapcsolatos stratégia megtervezésében segít. A cél az, hogy kövesse a minimális jogosultság elvét. Ez az elv lehetővé teszi, hogy a felhasználók a túlkiépítési engedélyek nélkül is hatékonyak legyenek.

Új tartalom létrehozása

Az új tartalom létrehozásához gyakran az alábbi engedélyekre van szükség.

Engedély	Jelentéskészítő	Szemantikai modell létrehozója	Adatfolyam-létrehozó	Datamart-létrehozó
Hozzáférés a mögöttes adatforráshoz
Szemantikai modell olvasási és buildelési engedélyei
Adatfolyam olvasási engedélye (ha adatfolyamot használ forrásként, a munkaterület megtekintő szerepkörén keresztül)
Hozzáférés az eredeti Power BI Desktop-fájl tárolásához
Egyéni vizualizációk használatának engedélyezése

Tartalom-engedélyek közzététele

A tartalom közzétételéhez általában az alábbi engedélyek szükségesek.

Engedély	Jelentéskészítő	Szemantikai modell létrehozója	Adatfolyam-létrehozó	Datamart-létrehozó
Munkaterületi szerepkör: Közreműködő, Tag vagy Rendszergazda
Szemantikai modell írási engedélye (ha a felhasználó nem tartozik munkaterületi szerepkörhöz)
Üzembe helyezési folyamat szerepköre elemek közzétételéhez (nem kötelező)

Adatok frissítése

Az adatok frissítéséhez általában az alábbi engedélyek szükségesek.

Engedély	Jelentéskészítő	Szemantikai modell létrehozója	Adatfolyam-létrehozó	Datamart-létrehozó
Tulajdonos hozzárendelve (aki beállította a beállításokat, vagy átvette az elemet)
Hozzáférés a mögöttes adatforráshoz (ha nem használ átjárót)
Hozzáférés az adatforráshoz egy átjáróban (ha a forrás helyszíni vagy virtuális hálózaton található)

A cikk további része a tartalomkészítői engedélyekre vonatkozó szempontokat ismerteti.

Tipp.

A tartalom megtekintéséhez kapcsolódó engedélyekért tekintse meg a jelentés fogyasztói biztonsági tervezéséről szóló cikket.

Ellenőrzőlista – A tartalomkészítők biztonsági stratégiájának tervezésekor a legfontosabb döntések és műveletek a következők:

• Határozza meg, hogy kik az adatkészítők: Győződjön meg arról, hogy tisztában van azzal, hogy ki hoz létre szemantikai modelleket, adatfolyamokat és adatmartokat. A biztonsági tervezési tevékenységek megkezdése előtt győződjön meg arról, hogy tisztában van az igényeikkel.
• Határozza meg, hogy kik a jelentéskészítők: Győződjön meg arról, hogy tisztában van azzal, hogy ki hoz létre jelentéseket, irányítópultokat, munkafüzeteket és scorecardokat. A biztonsági tervezési tevékenységek megkezdése előtt győződjön meg arról, hogy tisztában van az igényeikkel.

Tartalom felfedezése az alkotók számára

A felhasználók az adatfelderítésre támaszkodva kereshetnek szemantikai modelleket és adatmartokat. Az adatfelderítés egy Power BI-funkció, amellyel a tartalomkészítők megkereshetik a meglévő adategységeket, még akkor is, ha nincs engedélyük az adott tartalomhoz.

A meglévő adatok felderítése a következő esetekben hasznos:

• Azok a jelentéskészítők, akik meglévő szemantikai modellt szeretnének használni egy új jelentéshez.
• Jelentéskészítők, akik egy meglévő adatmartból szeretnének adatokat lekérdezni.
• Szemantikai modellkészítők, akik egy meglévő szemantikai modellt szeretnének használni egy új összetett modellhez.

Feljegyzés

A Power BI-beli adatfelderítés nem adatbiztonsági engedély. Ez egy olyan beállítás, amely lehetővé teszi a jelentéskészítők számára a metaadatok olvasását, segítve őket az adatok felderítésében és a hozzáférés kérésében.

Beállíthat egy szemantikai modellt vagy adatmartot felderíthetőként, ha az támogatott (minősített vagy előléptetett). Ha ez felderíthető, a tartalomkészítők megtalálhatják az adatközpontban.

A tartalomkészítők hozzáférést is kérhetnek a szemantikai modellhez vagy a datamarthoz. A hozzáférési kérelmek lényegében buildelési engedélyt kérnek, amely az alapján új tartalom létrehozásához szükséges. Amikor a hozzáférési kérelmekre válaszol, fontolja meg a csoportok használatát az egyes felhasználók helyett. További információ a csoportok e célra való használatáról: Hozzáférési munkafolyamat kérése a felhasználók számára.

Tekintse meg az alábbi három példát.

• A Sales Summary szemantikai modell tanúsítvánnyal rendelkezik. Ez az értékesítési nyomkövetés megbízható és mérvadó forrása. A szervezet számos önkiszolgáló jelentéskészítője használja ezt a szemantikai modellt. Tehát számos meglévő jelentés és összetett modell létezik a szemantikai modell alapján. Annak érdekében, hogy más alkotók is megtalálják és használják a szemantikai modellt, a modell felderíthetőként van beállítva.
• Az Inventory Stats szemantikai modell tanúsítvánnyal rendelkezik. Megbízható és mérvadó forrás a leltárelemzéshez. A szemantikai modellt és a kapcsolódó jelentéseket a vállalati BI-csapat tartja karban és terjeszti. A szemantikai modell összetett kialakítása miatt csak a vállalati BI-csapat hozhat létre és tarthat fenn leltártartalmat. Mivel a cél az, hogy a jelentéskészítők ne használják a szemantikai modellt, nem lesz felderíthetőként beállítva.
• Az Executive Bonus szemantikai modellje szigorúan bizalmas információkat tartalmaz. A szemantikai modell megtekintésére vagy frissítésére vonatkozó engedélyek csak néhány felhasználóra korlátozódnak. Ez a szemantikai modell nem felderíthetőként van beállítva.

Az alábbi képernyőképen egy szemantikai modell látható az adatközpontban a Power BI szolgáltatás. Konkrétan egy felderíthető szemantikai modell kérés-hozzáférési üzenetére mutat példát. Ez az üzenet akkor jelenik meg, ha a felhasználó jelenleg nem rendelkezik hozzáféréssel. A kérés hozzáférési üzenete testre lett szabva a szemantikai modell beállításai között.

A Kérelem hozzáférési üzenet a következőhöz hasonló: Az MTD/QTD/YTD standard értékesítési jelentéséhez ez a szemantikai modell a mérvadó és hitelesített forrás. Kérjen hozzáférést a szemantikai modellhez a következő https://COE.contoso.com/RequestAccesshelyen található űrlap kitöltésével: . Rövid üzleti indoklást kérünk, és a Kiválósági Központ vezetőjének is jóvá kell hagynia a kérést. A hozzáférés naplózása hathavonta megtörténik.

Feljegyzés

Az adatkultúra és az adatdemokratizálással kapcsolatos hozzáállása erősen befolyásolhatja, hogy engedélyezi-e az adatfelderítést. Az adatfelderítéssel kapcsolatos további információkért tekintse meg a testre szabható, önkiszolgáló BI-használati forgatókönyvet.

A felderítéshez három bérlői beállítás kapcsolódik.

• A Tartalom-bérlő felderítése beállítással a Power BI-rendszergazdák beállíthatják, hogy mely felhasználói csoportok fedezhetik fel az adatokat. Elsősorban a jelentéskészítőknek szól, akiknek előfordulhat, hogy a jelentések létrehozásakor meglévő szemantikai modelleket kell megtalálniuk. Olyan szemantikai modellkészítők számára is hasznos, akik olyan meglévő adatokat keresnek, amelyeket az összetett modell fejlesztése során használhatnak. Bár adott biztonsági csoportokhoz is beállítható, érdemes engedélyezni a beállítást a teljes szervezet számára. Az egyes szemantikai modellek és adatfolyamok felderítési beállítása szabályozza a felderíthető elemeket. Ritkábban érdemes lehet ezt a képességet csak jóváhagyott tartalomkészítőkre korlátozni.
• A Minősített tartalom felderíthető bérlő beállítása lehetővé teszi a Power BI-rendszergazdák számára, hogy megszűrhessék, hogy mely csoportok állíthatják be a tartalom felderíthetővé tételét (ha az elem szerkesztésére is rendelkeznek engedéllyel, valamint a minősítési bérlői beállítás által biztosított tartalom minősítésére vonatkozó engedéllyel). A tartalom minősítésének képességét szigorúan szabályozni kell. A legtöbb esetben ugyanazokat a felhasználókat kell engedélyezni, akik jogosultak a tartalom minősítésére, hogy felderíthetőként legyenek beállítva. Bizonyos esetekben előfordulhat, hogy ezt a képességet csak a jóváhagyott adatkészítőkre szeretné korlátozni.
• Az Előléptetett tartalom felderíthető bérlője beállítás lehetővé teszi, hogy a Power BI-rendszergazdák megállapítsák, hogy mely csoportok állíthatják be a tartalmat felderíthetőként (ha az adatok szerkesztéséhez is rendelkeznek engedélyekkel). Mivel a tartalom előléptetésének lehetősége minden tartalomkészítő számára nyitva áll, a legtöbb esetben ennek a képességnek minden felhasználó számára elérhetőnek kell lennie. Ritkábban érdemes lehet ezt a képességet csak jóváhagyott tartalomkészítőkre korlátozni.

Ellenőrzőlista – Amikor adatfelderítést tervez a tartalomkészítők számára, a legfontosabb döntések és műveletek a következők:

• Az adatfelderítési igények tisztázása: Fontolja meg, hogy a szervezet milyen helyzetben van a tartalomkészítőknek a meglévő szemantikai modellek és adatmartok megkeresésére való ösztönzésében. Szükség esetén hozzon létre egy szabályozási szabályzatot az adatfelderítés használatáról.
• Döntse el, hogy ki deríthet fel tartalmat: Döntse el, hogy a Power BI bármely felhasználója jogosult-e tartalmak felderítésére, vagy hogy a felderítést bizonyos felhasználói csoportokra (például jóváhagyott tartalomkészítők csoportjára) kell-e korlátozni. Állítsa be a Tartalom-bérlő felderítése beállítást úgy, hogy az megfeleljen ennek a döntésnek.
• Döntse el, hogy ki állíthat be felderíthetőnek minősített tartalmat: Döntse el, hogy bármely Power BI-felhasználó (aki jogosult a szemantikai modell vagy a datamart szerkesztésére, valamint a minősítésére) beállítható-e felderíthetőként. Állítsa be a minősített tartalom felderíthető bérlői beállítását úgy, hogy az megfeleljen ennek a döntésnek.
• Döntse el, hogy ki állíthatja be az előléptetett tartalmat felderíthetőnek: Döntse el, hogy bármely Power BI-felhasználó (aki jogosult a szemantikai modell vagy a datamart szerkesztésére) beállítható-e felderíthetőként. Állítsa be az előléptetett tartalom felderíthető bérlői beállítását úgy, hogy az megfeleljen ennek a döntésnek.
• Vegye fel a szemantikai modellek készítőinek dokumentációját és betanítását: Útmutatást nyújt a szemantikai modell létrehozóinak arról, hogy mikor érdemes adatfelderítést használni az általuk birtokolt és kezelt szemantikai modellekhez és adatmartokhoz.
• Belefoglalás a jelentéskészítők dokumentációjához és betanításához: Útmutatást nyújt a tartalomkészítőknek az adatfelderítés működéséről és az elvárható tudnivalókról.

Hozzáférési munkafolyamat kérése létrehozóknak

A felhasználók kétféleképpen kérhetnek hozzáférést a tartalomhoz.

• Tartalomfelhasználók számára: A felhasználó egy meglévő jelentésre vagy alkalmazásra mutató hivatkozást kap a Power BI szolgáltatás. Az elem megtekintéséhez a fogyasztó kiválaszthatja a Hozzáférés kérése gombot. További információkért tekintse meg a jelentés fogyasztói biztonsági tervezéséről szóló cikket.
• Tartalomkészítők számára: A felhasználó szemantikai modellt vagy adatmartot fedez fel az adatközpontban. Ha új jelentést vagy összetett modellt szeretne létrehozni a meglévő adatok alapján, a tartalom létrehozója kiválaszthatja a Hozzáférés kérése gombot. Ennek a szakasznak a fókuszában ez a felület áll.

Alapértelmezés szerint egy szemantikai modellhez vagy adatmarthoz való hozzáférésre vonatkozó kérés a tulajdonoshoz kerül. A tulajdonos az a felhasználó, aki legutóbb ütemezett adatfrissítést vagy bemeneti hitelesítő adatokat. Ha egy felhasználóra támaszkodik a hozzáférési kérelmek feldolgozására, az elfogadható lehet a csapat szemantikai modelljei számára. Ez azonban nem biztos, hogy praktikus vagy megbízható.

Ahelyett, hogy egyetlen tulajdonosra támaszkodik, egyéni utasításokat határozhat meg, amelyek akkor jelennek meg a felhasználóknak, amikor hozzáférést kérnek egy szemantikai modellhez vagy adatmarthoz. Az egyéni utasítások akkor hasznosak, ha:

• A szemantikai modell felderíthetőként van beállítva.
• A hozzáférési kérelem jóváhagyását az adattulajdonostól eltérő személy végzi el.
• Van egy meglévő folyamat, amelyet követni kell a hozzáférési kérelmek esetében.
• Annak nyomon követése, hogy ki kért hozzáférést, mikor és miért szükséges naplózási vagy megfelelőségi okokból.
• Magyarázatra van szükség a hozzáférés kéréséhez és az elvárások beállításához.

Az alábbi képernyőképen egy példa látható az egyéni utasítások beállítására, amelyeket a felhasználó a buildelési engedély kérésekor lát. A következő egyéni utasítások olvashatók: Az MTD/QTD/YTD standard értékesítési jelentéséhez ez a szemantikai modell a mérvadó és hitelesített forrás. Kérjen hozzáférést a szemantikai modellhez a következő https://COE.contoso.com/RequestAccesshelyen található űrlap kitöltésével: . Rövid üzleti indoklást kérünk, és a Kiválósági Központ vezetőjének is jóvá kell hagynia a kérést. A hozzáférés naplózása hathavonta megtörténik.

Számos lehetőség van az űrlapok létrehozására. A Power Apps és a Microsoft Forms egyaránt alacsony kódszámú, könnyen használható lehetőségek. Javasoljuk, hogy egyetlen felhasználótól független módon hozzon létre űrlapot. Fontos, hogy az űrlapot a megfelelő csapat hozza létre, felügyelje és monitorozza.

Javasoljuk, hogy hozzon létre hasznos információkat a következőhöz:

• A tartalomkészítők így tudják, mire számíthatnak, amikor hozzáférést kérnek.
• A tartalomtulajdonosok és a rendszergazdák így tudják, hogyan kezelhetik a beküldött kérelmeket.

Tipp.

További információ a felhasználóktól érkező olvasási hozzáférésre vonatkozó kérelmek megválaszolásáról: Hozzáférési munkafolyamat kérése a fogyasztók számára. A csoportokkal kapcsolatos információkat is tartalmaz (az egyes felhasználók helyett).

Ellenőrzőlista – A kérelem-hozzáférési munkafolyamat tervezésekor a legfontosabb döntések és műveletek a következők:

• A hozzáférési kérelmek kezelésének preferenciáinak tisztázása: Határozza meg, hogy mely helyzetekben elfogadható a tulajdonos jóváhagyása, és mikor érdemes másik folyamatot használni. Szükség esetén hozzon létre egy szabályozási szabályzatot a hozzáférési kérelmek kezeléséről.
• Vegye fel a szemantikai modell és a datamart létrehozóinak dokumentációját és betanítását: Útmutatást nyújt a szemantikai modellhez és a datamart-létrehozókhoz arról, hogyan és mikor állíthat be egyéni utasításokat a hozzáférési kérelmekhez.
• Belefoglalás a jelentéskészítők dokumentációjához és betanításához: Útmutatást nyújt a jelentéskészítőknek arról, hogy mire számíthatnak a szemantikai modellek és adatmartok buildelési engedélyeinek kérelmezésekor.

Tartalom létrehozása és közzététele

Ez a szakasz a tartalomkészítőkre vonatkozó biztonsági szempontokat tartalmazza.

Feljegyzés

A jelentéseket, irányítópultokat és scorecardokat megtekintő felhasználók számára lásd a jelentés fogyasztóbiztonsági tervezéséről szóló cikket. Az alkalmazásengedélyekkel kapcsolatos szempontokat ebben a cikkben is bemutatjuk.

Munkaterületi szerepkörök

Ha felhasználókat vagy csoportokat (például biztonsági csoportokat, Microsoft 365-csoportokat és terjesztési listákat) vesz fel a munkaterületi szerepkörökbe, hozzáférést adhat a munkaterülethez. Ha a felhasználókat munkaterületi szerepkörökhöz rendeli, megadhatja, hogy mit tehetnek a munkaterülettel és annak tartalmával.

Feljegyzés

A munkaterület-tervezési szempontokról további információt a munkaterület-tervezési cikkekben talál. A csoportokkal kapcsolatos további információkért tekintse meg a bérlőszintű biztonsági tervezésről szóló cikket.

Mivel a munkaterület elsődleges célja az együttműködés, a munkaterület-hozzáférés elsősorban a tartalom tulajdonosa és kezelő felhasználói számára releváns. Amikor elkezdi megtervezni a munkaterületi szerepköröket, érdemes feltennie magának az alábbi kérdéseket.

• Milyen elvárásokat támaszt az együttműködés a munkaterületen?
• Ki lesz a felelős a munkaterületen lévő tartalom kezeléséért?
• Egyéni felhasználókat vagy csoportokat kíván hozzárendelni a munkaterületi szerepkörökhöz?

Négy Power BI-munkaterületi szerepkör van: Rendszergazda, tag, közreműködő és megtekintő. Az első három szerepkör releváns a tartalomkészítők számára, akik tartalmat hoznak létre és tesznek közzé. A Megtekintő szerepkör az írásvédett felhasználók számára fontos.

A négy munkaterületi szerepkör-engedély beágyazott. Ez azt jelenti, hogy a munkaterületgazdák minden elérhető funkcióval rendelkeznek a tagok, közreműködők és megtekintők számára. Hasonlóképpen, a tagok minden képesség rendelkezésre állnak a közreműködők és a megtekintők számára. A közreműködők minden funkcióval rendelkeznek, amely elérhető a megtekintők számára.

Tipp.

A négy szerepkörre vonatkozó mérvadó referencia a munkaterületi szerepkörök dokumentációjában található.

Munkaterület rendszergazdája

A Rendszergazda szerepkörhöz rendelt felhasználók lesznek a munkaterület rendszergazdái. Kezelhetik az összes beállítást, és minden műveletet végrehajthatnak, beleértve a felhasználók hozzáadását vagy eltávolítását (beleértve a többi munkaterület-rendszergazdát is).

A munkaterület rendszergazdái frissíthetik vagy törölhetik a Power BI alkalmazást (ha van ilyen). Opcionálisan engedélyezhetik, hogy a közreműködők frissíthetik a munkaterület alkalmazását. További információ: Változatok a munkaterületi szerepkörökhöz a cikk későbbi részében.

Tipp.

Rendszergazdai hivatkozás esetén mindenképpen tisztázza, hogy munkaterület-rendszergazdáról vagy Power BI-bérlőszintű rendszergazdáról van-e szó.

Ügyeljen arra, hogy csak megbízható és megbízható személyek legyenek munkaterület-rendszergazdák. A munkaterület rendszergazdája magas jogosultságokkal rendelkezik. Hozzáféréssel rendelkeznek a munkaterület összes tartalmának megtekintéséhez és kezeléséhez. Bármely munkaterületi szerepkörhöz hozzáadhatnak és eltávolíthatnak felhasználókat (beleértve más rendszergazdákat is). A munkaterületet is törölhetik.

Javasoljuk, hogy legalább két rendszergazda legyen, hogy az egyik biztonsági mentésként szolgáljon, ha az elsődleges rendszergazda nem érhető el. A nem rendszergazdai jogosultságú munkaterületeket árva munkaterületnek nevezzük. Az árva állapot akkor fordul elő, ha egy felhasználó elhagyja a szervezetet, és nincs hozzárendelve másik rendszergazda a munkaterülethez. Az árva munkaterületek észleléséről és kijavításáról további információt a Munkaterületek megtekintése című cikkben talál.

Ideális esetben meg kell tudnia határozni, hogy ki felelős a munkaterület tartalmáért a munkaterület rendszergazdái és tagjai (és a munkaterülethez megadott névjegyek) alapján. Egyes szervezetek azonban olyan tartalom tulajdonjogi és felügyeleti stratégiát alkalmaznak, amely a munkaterületek létrehozását bizonyos felhasználókra vagy csoportokra korlátozza. Általában egy olyan munkaterület-létrehozási folyamattal rendelkeznek, amelyet az informatikai részleg felügyel. Ebben az esetben a munkaterület rendszergazdái az informatikai részlegek lennének, nem pedig azok a felhasználók, akik közvetlenül hozzák létre és teszik közzé a tartalmat.

Munkaterület-tag

A tagi szerepkörhöz rendelt felhasználók felvehetnek más munkaterület-felhasználókat (de rendszergazdákat nem). A munkaterület összes tartalmára vonatkozó engedélyeket is kezelhetik.

A munkaterület tagjai közzétehetik vagy megszüntethetik az alkalmazás közzétételét a munkaterületen, megoszthatnak egy munkaterületi elemet vagy az alkalmazást, és engedélyezhetik más felhasználók számára az alkalmazás munkaterületi elemeinek megosztását.

A munkaterület tagjainak csak azokat a felhasználókat kell korlátozniuk, akiknek kezelnie kell a munkaterület tartalomlétrehozását és az alkalmazás közzétételét. Bizonyos esetekben a munkaterület rendszergazdái teljesítik ezt a célt, ezért előfordulhat, hogy nem kell felhasználókat vagy csoportokat hozzárendelnie a tagszerepkörhöz. Ha a munkaterület rendszergazdái nem kapcsolódnak közvetlenül a munkaterület tartalmához (például azért, mert az INFORMATIKAI felügyeli a munkaterület létrehozási folyamatát), a munkaterület tagjai lehetnek a munkaterület tartalmáért felelős valódi tulajdonosok.

Munkaterület közreműködője

A közreműködői szerepkörhöz rendelt felhasználók munkaterület-tartalmat hozhatnak létre, szerkeszthetnek vagy törölhetnek.

A közreműködők csak akkor frissíthetik a Power BI-alkalmazást (ha van ilyen a munkaterületen), kivéve, ha ezt a munkaterület-beállítás engedélyezte. További információ: Változatok a munkaterületi szerepkörökhöz a cikk későbbi részében.

A szervezet legtöbb tartalomkészítője munkaterület-közreműködő.

Munkaterület-megjelenítő

A Megtekintő szerepkörhöz rendelt felhasználók megtekinthetik és kezelhetik az összes munkaterület tartalmát.

A Megtekintő szerepkör a kis csapatok és informális forgatókönyvek írásvédett felhasználói számára fontos. Ezt teljes mértékben a jelentés fogyasztói biztonsági tervezéséről szóló cikkben ismertetjük.

Munkaterület tulajdonjogának szempontjai

Vegyünk egy példát, ahol az alábbi műveletek végrehajtásával állítunk be új munkaterületet.

1. A Kiválósági Központ (COE) egyes Power BI-bajnokai és műholdtagjai engedélyt kaptak a bérlői beállításokban új munkaterületek létrehozására. Betanították őket tartalomszervezési stratégiákba és elnevezési szabványokba.
2. Ön (tartalomkészítő) kérelmet küld egy munkaterület létrehozására egy ön által kezelt új projekthez. A munkaterület olyan jelentéseket tartalmaz, amelyek nyomon követik a projekt előrehaladását.
3. Az üzleti egység Power BI-bajnoka megkapja a kérést. Azt állapítják meg, hogy egy új munkaterület indokolt. Ezután létrehoznak egy munkaterületet, és hozzárendelik a Power BI champions biztonsági csoportot (az üzleti egységükhöz) a munkaterület Rendszergazda szerepkörhöz.
4. A Power BI-bajnok hozzárendeli Önt (a tartalom létrehozóját) a munkaterület tagi szerepköréhez.
5. Megbízható munkatársat rendel a munkaterület tagi szerepköréhez, hogy biztosan legyen biztonsági másolat, ha távol van.
6. Más munkatársakat is hozzárendelhet a munkaterület közreműködői szerepköréhez, mert ők lesznek a felelősek a munkaterület tartalmának létrehozásáért, beleértve a szemantikai modelleket és jelentéseket.
7. A kezelőt a munkaterületmegjelenítő szerepkörhöz rendelheti, mert hozzáférést kértek a projekt előrehaladásának figyeléséhez. A felettese az alkalmazás közzététele előtt szeretné áttekinteni a munkaterület tartalmát.
8. Ön felelősséget vállal más munkaterületi tulajdonságok, például a leírás és a névjegyek kezeléséért. A munkaterület-hozzáférés folyamatos kezeléséért is felelősséget vállal.

Az előző példa egy hatékony módszert mutat be annak érdekében, hogy egy decentralizált üzleti egység képes legyen önállóan cselekedni. Emellett a minimális jogosultság elvét is megjeleníti.

A szabályozott tartalmak vagy a szigorúbban felügyelt kritikus tartalmak esetében ajánlott csoportokat hozzárendelni a munkaterületi szerepkörökhöz, nem pedig egyéni felhasználói fiókokat. Így a csoporttagság a munkaterülettől elkülönítve kezelhető. Ha azonban csoportokat rendel a szerepkörökhöz, lehetséges, hogy a felhasználók több munkaterületi szerepkörhöz lesznek hozzárendelve (mivel a felhasználó több csoporthoz tartozik). Ebben az esetben a tényleges engedélyek a legmagasabb szerepkörön alapulnak, amelyhez hozzá vannak rendelve. További szempontokat a csoportok használatának stratégiája című témakörben talál.

Ha egy munkaterület több személy vagy csapat közös tulajdonában van, az megnehezítheti a tartalom kezelését. Próbálja meg elkerülni a többcsapatos tulajdonlási forgatókönyveket a munkaterületek elkülönítésével. Így a felelősségek egyértelműek, a szerepkör-hozzárendelések pedig egyszerűen beállíthatók.

Változatok a munkaterületi szerepkörökre

A négy munkaterületi szerepkörnek két változata van (korábban leírtuk).

• Alapértelmezés szerint csak a munkaterület rendszergazdái és tagjai hozhatják létre, tehetik közzé és frissíthetik a munkaterülethez tartozó alkalmazást. A munkaterület-beállításhoz tartozó alkalmazásfrissítés engedélyezése a közreműködők számára egy munkaterületszintű beállítás, amely lehetővé teszi, hogy a munkaterület rendszergazdái delegálják a munkaterület alkalmazásának frissítését a közreműködőknek. A közreműködők azonban nem tehetnek közzé új alkalmazást, és nem módosíthatják, hogy kinek van engedélye a szerkesztésre. Ez a beállítás akkor hasznos, ha azt szeretné, hogy a közreműködők frissíthessék az alkalmazást (ha van ilyen a munkaterületen), de a többi engedély nem lesz elérhető a tagok számára.
• A csomagfrissítési bérlői beállítás ismételt közzétételének és letiltásának letiltása csak a szemantikai modellek tulajdonosai számára teszi lehetővé a frissítések közzétételét. Ha engedélyezve van, a munkaterület rendszergazdái, tagjai és közreműködői csak akkor tehetnek közzé módosításokat, ha először átveszik a szemantikai modellt tulajdonosként. Mivel ez a beállítás a teljes szervezetre vonatkozik, engedélyezze körültekintően, mert a bérlő összes szemantikai modelljére hatással van. Mindenképpen közölje a szemantikai modell készítőivel, hogy mire számíthat, mert megváltoztatja a munkaterületi szerepkörök normál viselkedését.

Fontos

Az elemenkénti engedélyek a szabványos munkaterületi szerepkörök felülbírálásaként is felfoghatók. Az elemenkénti engedélyekkel kapcsolatos további információkért tekintse meg a jelentés fogyasztói biztonsági tervezéséről szóló cikket.

Ellenőrzőlista – Munkaterületi szerepkörök tervezésekor a legfontosabb döntések és műveletek a következők:

• Felelősségi mátrix létrehozása: Annak leképezése, hogy ki fogja kezelni az egyes függvényeket a tartalom létrehozása, karbantartása, közzététele, védelme és támogatása során. Ezeket az információkat a munkaterületi szerepkörök tervezésekor használhatja.
• Döntse el a munkaterületi szerepkörök tartalomkészítőkhöz való hozzárendelésének stratégiáját: Határozza meg, hogy mely felhasználóknak legyen rendszergazda, tag vagy közreműködő, és milyen körülmények között (például feladatszerepkör vagy tárgyterület). Ha vannak olyan eltérések, amelyek biztonsági problémát okoznak, gondolja át, hogyan lehetne jobban rendszerezni a munkaterületeket.
• Határozza meg, hogy a biztonsági csoportok és az egyének hogyan használhatók a munkaterületi szerepkörökhöz: Határozza meg a csoportok használatához szükséges használati eseteket és célokat. Konkrétan meg kell adni, hogy mikor kell a biztonságot felhasználói fiókok használatával alkalmazni, illetve hogy mikor van szükség egy csoportra vagy előnyben részesített csoportra.
• Útmutatást nyújt a tartalomkészítőknek a munkaterületi szerepkörök kezelésével kapcsolatban: A munkaterületi szerepkörök kezelésével kapcsolatos dokumentáció a tartalomkészítők számára. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.
• Munkaterületi szerepkör-hozzárendelések beállítása és tesztelése: Ellenőrizze, hogy a tartalomkészítők rendelkeznek-e a tartalom szerkesztéséhez és közzétételéhez szükséges funkciókkal.

Alkalmazás létrehozói engedélyei

A munkaterület-rendszergazdák vagy tagok tartalomkészítői Power BI-alkalmazásokat hozhatnak létre és tehetnek közzé.

A munkaterület rendszergazdája megadhat egy beállítást is a munkaterületen, amely lehetővé teszi a munkaterület közreműködői számára az alkalmazás frissítését. Ez a munkaterületi szerepkör biztonságának egy változata, mivel a közreműködőknek egy másik engedélyt ad, amely általában nem rendelkezik. Ez a beállítás munkaterületenként van beállítva.

Tipp.

A tartalom írásvédett fogyasztóknak való továbbításáról a jelentés fogyasztói biztonságtervezési cikkében talál további információt. Ez a cikk az alkalmazásfelhasználók alkalmazásengedélyeiről tartalmaz információkat, beleértve az alkalmazás célközönségeit is.

Ellenőrzőlista – Az alkalmazás létrehozói engedélyeinek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el, hogy ki hozhat létre és tehet közzé Power BI-alkalmazásokat: Egyértelművé teszi, hogy kik hozhatnak létre és tehetnek közzé Power BI-alkalmazásokat.
• Határozza meg, hogy a közreműködők mikor frissíthetik a Power BI-alkalmazásokat: Tisztázza azokat a helyzeteket, amikor a közreműködőknek engedélyezni kell a Power BI-alkalmazások frissítését. Frissítse a munkaterület beállítását, ha erre a képességre van szükség.

Adatforrás-engedélyek

Amikor egy adatkészítő új projektet indít el, a külső adatforrásokhoz való hozzáféréshez szükséges engedélyek egyike az első biztonsági szempontoknak. Útmutatásra lehet szükségük az adatforrásokkal kapcsolatos egyéb kérdésekre is, beleértve az adatvédelmi szinteket, a natív adatbázis-lekérdezéseket és az egyéni összekötőket.

Hozzáférés az adatforráshoz

Amikor egy adat létrehozója szemantikai modellt, adatfolyamot vagy adatmartot hoz létre, az adatok lekéréséhez adatforrásokkal kell hitelesítenie magát. A hitelesítés általában felhasználói hitelesítő adatokat (fiókot és jelszót) tartalmaz, amelyek egy szolgáltatásfiókhoz tartozhatnak.

Néha hasznos, ha konkrét szolgáltatásfiókokat hoz létre az adatforrásokhoz való hozzáféréshez. A szolgáltatásfiókok szervezeten belüli használatával kapcsolatos útmutatásért forduljon az informatikai részleghez. Ha engedélyezve vannak, a szolgáltatásfiókok használata a következő lehet:

• Az adatforrásokhoz szükséges engedélyek központosítása.
• Csökkentse az adatforrás engedélyeit igénylő egyéni felhasználók számát.
• Kerülje az adatfrissítési hibákat, amikor egy felhasználó elhagyja a szervezetet.

Tipp.

Ha szolgáltatásfiókok használata mellett dönt, javasoljuk, hogy szigorúan szabályozza, hogy ki férhet hozzá a hitelesítő adatokhoz. A jelszavak rendszeres elforgatása (például háromhavonta), vagy ha valaki, aki rendelkezik hozzáféréssel, elhagyja a szervezetet.

Az adatforrások elérésekor alkalmazza a minimális jogosultság elvét annak biztosítására, hogy a felhasználók (vagy szolgáltatásfiókok) csak a szükséges adatok olvasására legyenek jogosultak. Soha nem lehetnek engedélyük adatmódosítások végrehajtására. A szolgáltatásfiókokat létrehozó adatbázis-rendszergazdáknak a várt lekérdezésekkel és számítási feladatokkal kapcsolatban kell érdeklődniük, és lépéseket kell tenniük a megfelelő optimalizálás (például indexek) és erőforrások biztosítása érdekében.

Tipp.

Ha nehéz közvetlen adatforrás-hozzáférést biztosítani az önkiszolgáló adatkészítőknek, fontolja meg közvetett megközelítés használatát. Adatfolyamokat hozhat létre a Power BI szolgáltatás, és engedélyezheti az önkiszolgáló adatkészítők számára az adatok forrását. Ez a megközelítés további előnyökkel jár az adatforrás lekérdezési terhelésének csökkentéséhez és az adatok konzisztens pillanatképének biztosításához. További információkért tekintse meg az önkiszolgáló adatok előkészítését és a speciális adat-előkészítési használati forgatókönyveket.

A hitelesítő adatok (fiók és jelszó) kétféleképpen alkalmazhatók.

• Power BI Desktop: A hitelesítő adatokat a rendszer helyileg titkosítja és tárolja a felhasználói gépen.
• Power BI szolgáltatás: A hitelesítő adatok titkosítva és biztonságosan tárolva vannak a következőkhöz:
  • A szemantikai modell (ha egy adatátjáró nincs használatban az adatforrás eléréséhez).
  • Az átjáró adatforrása (ha egy standard átjáró vagy egy virtuális hálózati átjáró szolgáltatás van használatban az adatforrás eléréséhez).

Tipp.

Ha már megadott hitelesítő adatokat egy szemantikai modell adatforrásához, a Power BI szolgáltatás automatikusan más szemantikai modell adatforrásaihoz köti ezeket a hitelesítő adatokat, ha pontosan egyezik a kapcsolati sztring és az adatbázis neve. A Power BI szolgáltatás és a Power BI Desktop is úgy néz ki, mintha minden adatforráshoz hitelesítő adatokat ad meg. Ugyanezeket a hitelesítő adatokat azonban alkalmazhatja az azonos tulajdonosú adatforrásokra. Ebben a tekintetben a szemantikai modell hitelesítő adatai a tulajdonosra terjednek ki.

A hitelesítő adatok titkosítva vannak, és az adatmodelltől elkülönítve vannak tárolva a Power BI Desktopban és a Power BI szolgáltatás. Ez az adatelválasztás a következő biztonsági előnyökkel jár.

• Lehetővé teszi a hitelesítő adatok újrafelhasználását több szemantikai modell, adatfolyam és adatmart esetében.
• Amikor valaki elemzi egy szemantikai modell metaadatait, nem tudja kinyerni a hitelesítő adatokat.
• A Power BI Desktopban egy másik felhasználó nem tud csatlakozni az eredeti adatforráshoz az adatok frissítéséhez a hitelesítő adatok első alkalmazása nélkül.

Egyes adatforrások támogatják az egyszeri bejelentkezést (SSO), amely a hitelesítő adatok Power BI szolgáltatás való megadásakor állítható be (szemantikai modellhez vagy átjáró adatforrásokhoz). Az egyszeri bejelentkezés engedélyezésekor a Power BI elküldi a hitelesített felhasználó hitelesítő adatait az adatforrásnak. Ez a beállítás lehetővé teszi, hogy a Power BI betartsa az adatforrásban beállított biztonsági beállításokat, például a sorszintű biztonságot. Az egyszeri bejelentkezés különösen akkor hasznos, ha az adatmodell táblái DirectQuery tárolási módot használnak.

Adatvédelmi szintek

Az adatvédelmi szintek olyan elkülönítési szinteket határoznak meg, amelyek meghatározzák, hogy egy adatforrás milyen mértékben van elkülönítve más adatforrásoktól. Megfelelő beállítás esetén biztosítják, hogy a Power Query csak a kompatibilis adatokat továbbítja a források között. Ha a Power Query képes adatokat továbbítani az adatforrások között, hatékonyabb lekérdezéseket eredményezhet, amelyek csökkentik a Power BI-nak küldött adatok mennyiségét. Ha nem tud adatokat továbbítani az adatforrások között, az lassabb teljesítményt eredményezhet.

Három adatvédelmi szint létezik.

• Privát: Bizalmas vagy bizalmas adatokat tartalmaz, amelyeket el kell különíteni az összes többi adatforrástól. Ez a szint a legszigorúbb. A privát adatforrások adatai nem oszthatók meg más adatforrásokkal. Az alkalmazottak bérértékét tartalmazó emberierőforrás-adatbázist például a privát adatvédelmi szintre kell állítani.
• Szervezeti: Elkülönítve a nyilvános adatforrásoktól, de más szervezeti adatforrások számára is látható. Ez a szint a leggyakoribb. A szervezeti adatforrások adatai megoszthatóak privát adatforrásokkal vagy más szervezeti adatforrásokkal. A legtöbb belső operatív adatbázis a szervezeti adatvédelmi szinttel állítható be.
• Nyilvános: Nem bizalmas adatok, amelyek bármely adatforrás számára láthatóvá tehetők. Ez a szint a legkevésbé korlátozó. A nyilvános adatforrások adatai bármely más adatforrással megoszthatóak. Egy kormányzati webhelyről származó népszámlálási jelentés például a nyilvános adatvédelmi szintre állítható be.

A különböző adatforrásokból származó lekérdezések kombinálásakor fontos, hogy a megfelelő adatvédelmi szinteket állítsa be. Ha az adatvédelmi szintek megfelelően vannak beállítva, lehetséges, hogy az egyik adatforrásból származó adatokat egy másik adatforrásba továbbítják az adatok hatékony lekérdezése érdekében.

Vegyünk egy olyan forgatókönyvet, amelyben egy szemantikai modell létrehozója két adatforrással rendelkezik: egy Excel-munkafüzetet és egy táblát egy Azure SQL Database-ben. Az Azure SQL Database táblában lévő adatokat az Excel-munkafüzetből származó érték használatával szeretnék szűrni. A Power Query leghatékonyabban úgy hozhat létre SQL-utasítást az Azure SQL Database-hez, ha egy WHERE záradékot alkalmaz a szükséges szűrés végrehajtásához. Az SQL-utasítás azonban tartalmaz egy WHERE záradék predikátumot az Excel-munkafüzetből származó értékkel. Ha az Excel-munkafüzet bizalmas adatokat tartalmaz, az biztonsági incidenst jelenthet, mivel az adatbázis-rendszergazda egy nyomkövetési eszközzel tekintheti meg az SQL-utasítást. Bár kevésbé hatékony, az alternatív megoldás az, hogy a Power Query összefésüli motor letölti az adatbázistábla teljes eredményhalmazát, és elvégzi magát a szűrést a Power BI szolgáltatás. Ez a megközelítés kevésbé lesz hatékony és lassú, de biztonságos.

Az egyes adatforrások adatvédelmi szintjei beállíthatók:

• Adatmodellezők a Power BI Desktopban.
• Szemantikai modelltulajdonosok a Power BI szolgáltatás (felhőbeli adatforrások esetében, amelyek nem igényelnek átjárót).
• Átjáró adatforrás-létrehozói és tulajdonosai által a Power BI szolgáltatás (átjáró adatforrások esetében).

Fontos

A Power BI Desktopban beállított adatvédelmi szintek nem kerülnek át a Power BI szolgáltatás.

A Power BI Desktop biztonsági beállításai lehetővé teszik az adatvédelmi szintek figyelmen kívül hagyását a teljesítmény javítása érdekében. Ezzel a beállítással javíthatja a lekérdezési teljesítményt, miközben adatmodellt fejleszt, ha nincs adatbiztonság megsértésének kockázata (mivel olyan fejlesztéssel vagy tesztadatokkal dolgozik, amelyek nem érzékenyek). Ezt a beállítást azonban nem tartja tiszteletben a Power BI szolgáltatás.

További információt a Power BI Desktop adatvédelmi szintjeiben talál.

Natív adatbázis-lekérdezések

Ha hatékony Power Query-lekérdezéseket szeretne létrehozni, natív lekérdezéssel érheti el az adatokat. A natív lekérdezés az adatforrás által támogatott nyelven írt utasítás. A natív lekérdezéseket csak bizonyos adatforrások támogatják, amelyek általában relációs adatbázisok, például az Azure SQL Database.

A natív lekérdezések biztonsági kockázatot jelenthetnek, mert rosszindulatú SQL-utasítást futtathatnak. Egy rosszindulatú utasítás adatmódosításokat hajthat végre vagy adatbázisrekordokat törölhet (ha a felhasználó rendelkezik a szükséges engedélyekkel az adatforrásban). Ezért a natív lekérdezések alapértelmezés szerint felhasználói jóváhagyást igényelnek a Power BI Desktopban való futtatáshoz.

A Power BI Desktop biztonsági beállításai lehetővé teszik az előzetes jóváhagyás követelményének letiltását. Javasoljuk, hogy hagyja meg az alapértelmezett beállítást, amely felhasználói jóváhagyást igényel, különösen akkor, ha arra számít, hogy a Power BI Desktop-fájlt más felhasználók is frissíthetik.

Egyéni összekötők

A fejlesztők a Power Query SDK használatával hozhatnak létre egyéni összekötőket. Az egyéni összekötők lehetővé teszik a védett adatforrásokhoz való hozzáférést, vagy egyéni adatbővítményekkel történő specifikus hitelesítést valósítanak meg. Egyes egyéni összekötőket a Microsoft minősített összekötőként hitelesít és terjeszt. A hitelesített összekötőket auditáltuk és ellenőriztük annak biztosítása érdekében, hogy megfeleljenek a Microsoft által tesztelt és jóváhagyott meghatározott kódkövetelményeknek.

Van egy Power BI Desktop adatbővítmény biztonsági beállítás , amely korlátozza a nem hitelesített összekötők használatát. Alapértelmezés szerint hiba jelenik meg, amikor nem hitelesített összekötőt próbálnak betölteni. Ha ezt a beállítást úgy állítja be, hogy engedélyezi a nem minősített összekötőket, az egyéni összekötők ellenőrzés és figyelmeztetés nélkül töltődnek be.

Javasoljuk, hogy az adatbővítmény biztonsági szintjét magasabb szinten tartsa, ami megakadályozza a nem minősített kód betöltését. Lehetnek azonban olyan esetek, amikor konkrét összekötőket szeretne betölteni, például az Ön által kifejlesztett összekötőket, vagy olyan összekötőket, amelyeket egy megbízható tanácsadó vagy szállító biztosít Önnek a Microsoft minősítési útvonalán kívül.

Feljegyzés

A saját fejlesztésű összekötők fejlesztői lépéseket tehetnek az összekötő tanúsítványsal való aláírásához, így anélkül használhatja az összekötőt, hogy módosítania kellene a biztonsági beállításokat. További információ: Megbízható külső összekötők.

Ellenőrzőlista – Az adatforrás-engedélyek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el, hogy ki férhet hozzá közvetlenül az egyes adatforrásokhoz: Határozza meg, hogy mely adatkészítők férhetnek hozzá közvetlenül az adatforrásokhoz. Ha van egy stratégia a közvetlen hozzáféréssel rendelkező személyek számának csökkentésére, tisztázza, mi az előnyben részesített alternatíva (esetleg adatfolyamok használatával).
• Döntse el az adatforrások elérésének módját: Határozza meg, hogy az egyes felhasználói hitelesítő adatokat használják-e az adatforrás eléréséhez, vagy hogy létre kell-e hozni egy szolgáltatásfiókot erre a célra. Határozza meg, hogy mikor megfelelő az egyszeri bejelentkezés.
• Útmutatást nyújt a szemantikai modellek készítőinek az adatforrásokhoz való hozzáféréssel kapcsolatban: A tartalomkészítők dokumentációjának belefoglalása a szervezeti adatforrásokhoz való hozzáférésről. Tegye közzé az információkat a központosított portálon és a képzési anyagokban.
• Útmutatást nyújt a szemantikai modellek készítőinek az adatvédelmi szintekről: Útmutatást nyújt a szemantikai modellek létrehozóinak, hogy tisztában legyenek az adatvédelmi szintekkel és azok következményeivel, amikor bizalmas vagy bizalmas adatokkal dolgoznak. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.
• Útmutatás az átjárókapcsolat létrehozóinak az adatvédelmi szintekről: Útmutatást nyújt a szemantikai modellek létrehozóinak, hogy tisztában legyenek az adatvédelmi szintekkel és azok következményeivel, amikor bizalmas vagy bizalmas adatokkal dolgoznak. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.
• Döntse el a natív adatbázis-lekérdezések használatának stratégiáját: Fontolja meg a natív adatbázis-lekérdezések használatának stratégiáját. A szemantikai modell létrehozóinak oktatása arról, hogy a Power BI Desktop natív adatbázis-lekérdezéseinek beállításával hogyan és mikor tiltsa le az előzetes jóváhagyást, amikor a Power Query natív lekérdezéseket futtat.
• Döntse el az egyéni összekötők használatának stratégiáját: Fontolja meg az egyéni összekötők használatának stratégiáját. Állapítsa meg, hogy a nem minősített összekötők használata indokolt-e, ebben az esetben a szemantikai modell létrehozóinak a Power BI Desktop adatbővítmény-beállításának módjáról és időpontjáról kell tájékozódnia.

Szemantikai modell létrehozói engedélyei

A szemantikai modellek szerkesztéséhez különböző módokon rendelhet engedélyt egy felhasználóhoz vagy csoporthoz.

• Munkaterületi szerepkör: A munkaterületi szerepkörök bármelyikéhez való hozzárendelés hozzáférést biztosít a munkaterület összes szemantikai modellje számára. A meglévő szemantikai modellek megtekintésének és szerkesztésének lehetősége a hozzárendelt munkaterületi szerepkörtől függ. Rendszergazda osztók, tagok és közreműködők közzétehetnek vagy szerkeszthetnek tartalmakat egy munkaterületen belül.
• Elemenkénti engedélyhivatkozások: Ha egy jelentéshez megosztási hivatkozást hoztak létre, a hivatkozás közvetett módon engedélyt ad a szemantikai modell olvasására (és opcionálisan a buildelésre, írásra és/vagy újramegosztásra).
• Elemenkénti közvetlen hozzáférési engedélyek: A közvetlen hozzáférési engedélyt hozzárendelheti egy adott szemantikai modellhez.

Az alábbi képernyőképen figyelje meg a Call Center Data szemantikai modellhez rendelt engedélyeket. Egy felhasználó olvasási engedéllyel rendelkezik, amelyet elemenkénti közvetlen hozzáférési engedélyekkel adtak meg. A többi felhasználó és csoport rendelkezik engedélyekkel, mert munkaterületi szerepkörökhöz vannak rendelve.

Tipp.

Az elemenkénti engedélyek (hivatkozások vagy közvetlen hozzáférés) használata akkor működik a legjobban, ha egy felhasználó vagy csoport egy adott elem megtekintésére vagy szerkesztésére van szükség a munkaterületen. Ez akkor a legjobb, ha a felhasználó nem fér hozzá a munkaterület összes eleméhez. A legtöbb esetben azt javasoljuk, hogy úgy tervezzen munkaterületeket, hogy a biztonság egyszerűbb legyen a munkaterületi szerepkörökkel való kezeléshez. Lehetőség szerint kerülje az elemenkénti engedélyek beállítását.

Szemantikai modell engedélyei

A következő szemantikai modellengedélyeket rendelheti hozzá.

• Olvasás: Elsősorban a jelentésfelhasználók számára van megcélzva, ezzel az engedéllyel a jelentés adatokat kérdezhet le a szemantikai modellben. Az írásvédett tartalmak megtekintésére vonatkozó engedélyekkel kapcsolatos további információkért tekintse meg a jelentés fogyasztói biztonsági tervezéséről szóló cikket.
• Build: A jelentéskészítők számára készült engedély lehetővé teszi, hogy a felhasználók új jelentéseket hozzanak létre a megosztott szemantikai modell alapján. További információkért tekintse meg a cikk későbbi, jelentéskészítői engedélyekkel foglalkozó szakaszát.
• Írás: A szemantikai modelleket létrehozó, közzétevő és kezelő szemantikai modelleket létrehozó felhasználók számára ez az engedély lehetővé teszi a szemantikai modell szerkesztését. Ezt a szakasz későbbi részében ismertetjük.
• Újramegosztás: A szemantikai modellre vonatkozó meglévő engedéllyel rendelkező felhasználók számára ez az engedély lehetővé teszi, hogy a felhasználók megosztják a szemantikai modellt egy másik felhasználóval. Ezt a szakasz későbbi részében ismertetjük.

A munkaterület rendszergazdája vagy tagja szerkesztheti a szemantikai modell engedélyeit.

Szemantikai modell olvasási engedélye

A szemantikai modell olvasási engedélye elsősorban a fogyasztókra irányul. Ez az engedély szükséges ahhoz, hogy a felhasználók megtekinthessék a jelentésekben megjelenített adatokat. Vegye figyelembe, hogy a szemantikai modellen alapuló jelentéseknek olvasási engedéllyel is rendelkezniük kell; ellenkező esetben a jelentés betöltése sikertelen lesz. A jelentés olvasási engedélyeinek beállításával kapcsolatos további információkért tekintse meg a jelentés fogyasztói biztonságának tervezéséről szóló cikket.

Szemantikai modell buildelési engedélye

A szemantikai modell olvasási engedélye mellett a tartalomkészítőknek a szemantikai modell buildelési engedélyére is szükségük van. A buildelési engedély lehetővé teszi a jelentéskészítők számára a következőt:

• Hozzon létre új Power BI-jelentéseket a szemantikai modell alapján.
• Csatlakozás a szemantikai modellhez a Elemzés az Excelben.
• A szemantikai modell lekérdezése az XMLA-végpont használatával.
• Power BI-jelentésvizualizáció alapjául szolgáló adatok exportálása (a vizualizáció által lekért összesített adatok helyett).
• DirectQuery-kapcsolat létrehozása Power BI szemantikai modellel. Ebben az esetben az új szemantikai modell egy vagy több meglévő Power BI szemantikai modellhez (más néven láncoláshoz) csatlakozik. A láncolt szemantikai modellek lekérdezéséhez a szemantikai modell létrehozójának buildelési engedélyre lesz szüksége az összes felsőbb rétegbeli szemantikai modellhez. További információ: Láncolt szemantikai modellek a cikk későbbi részében.

Buildelési engedélyt adhat egy felhasználónak vagy csoportnak közvetlenül vagy közvetve, különböző módokon.

• Közvetlenül a buildelés biztosítása a következővel:
  • Szemantikai modellengedélyek beállítása a szemantikai modell beállításainak lapján a Power BI szolgáltatás.
  • Szemantikai modellengedélyek beállítása a Power BI REST API használatával.
• A build közvetett biztosítása a következő módon:
  • Jelentés vagy irányítópult megosztása , valamint a szemantikai modell buildelési engedélyének megadása.
  • Power BI-alkalmazás közzététele és a speciális beállítás (célközönség számára) beállítása a kapcsolódó szemantikai modellek buildelési engedélyének megadásához.
  • Felhasználók hozzárendelése a Rendszergazda, tag- vagy közreműködői munkaterületi szerepkörökhöz.

A szemantikai modellekre vonatkozó összeállítási engedély beállítása akkor megfelelő, ha részletes, elemenkénti biztonságot szeretne kezelni. A buildelési engedély közvetett beállítása akkor megfelelő, ha azok a felhasználók, akik a közvetett módszerek egyikén keresztül tekintik meg vagy használják a tartalmat, szintén új tartalmat hoznak létre.

Tipp.

A jelentést vagy a Power BI-alkalmazást megtekintő felhasználók gyakran különböznek azoktól a felhasználóktól, akik az alapul szolgáló szemantikai modell(ek) használatával új tartalmat hoznak létre. A felhasználók többsége csak megtekintő, így nem kell új tartalmat létrehoznia. Javasoljuk, hogy a tartalomkészítőket arra tanítsa, hogy a minimálisan szükséges engedélyeket adja meg.

Szemantikai modell írási engedélye

A szemantikai modellek szerkesztésére és kezelésére jogosult személyek engedélyeinek beállítása általában úgy történik, hogy a felhasználókat a Rendszergazda, a Tag vagy a Közreműködő munkaterület szerepkörhöz rendeli. Egy adott szemantikai modell írási engedélyének beállítása is lehetséges.

Azt javasoljuk, hogy amikor csak lehetséges, használjon munkaterületi szerepköröket, mert ez a legegyszerűbb módja az engedélyek kezelésének és naplózásának. A szemantikai modell írási engedélyeit elemenként használhatja, ha kevesebb munkaterületet szeretne létrehozni, és a munkaterület szemantikai modelleket tartalmaz a különböző, eltérő engedélykezelést igénylő területekhez.

Tipp.

A munkaterületek rendszerezésével kapcsolatos útmutatásért tekintse meg a munkaterület-tervezési cikkeket.

Szemantikai modell újraosztási engedélye

A szemantikai modell újramegosztási engedélye lehetővé teszi, hogy a meglévő engedéllyel rendelkező felhasználók megosztják a szemantikai modellt más felhasználókkal. Ezt az engedélyt akkor adhatja meg, ha a szemantikai modell tartalmai a felhasználói mérlegelés alapján szabadon megoszthatóak.

Sok esetben azt javasoljuk, hogy korlátozza az újramegosztási engedély használatát annak érdekében, hogy a szemantikai modell engedélyeit gondosan szabályozni lehessen. Az újramegosztási engedély megadása előtt kérjen jóváhagyást a szemantikai modell tulajdonosától.

Szemantikai modell adatbiztonsága

Az adatbiztonság kikényszerítésével kevesebb szemantikai modellt és jelentést hozhat létre. A cél az adatbiztonság kikényszerítése a tartalmat megtekintő felhasználó identitása alapján.

A szemantikai modellek létrehozója kétféleképpen kényszerítheti ki az adatbiztonságot.

• A sorszintű biztonság (RLS) lehetővé teszi, hogy az adatmodellező korlátozza az adatok egy részhalmazához való hozzáférést.
• Az objektumszintű biztonság (OLS) lehetővé teszi, hogy az adatmodellezők bizonyos táblákhoz és oszlopokhoz, valamint azok metaadataihoz való hozzáférést korlátozzák.

Az RLS és az OLS megvalósítása a jelentésfelhasználókra irányul. További információ: Jelentés a fogyasztói biztonság tervezéséről . Leírja, hogyan és mikor kényszeríti az RLS-t és az OLS-t azok a felhasználók, akik csak megtekintési engedéllyel rendelkeznek a szemantikai modellhez.

A más jelentéskészítőknek szánt RLS-ről és OLS-ről a cikk későbbi részében, a Jelentéskészítő engedélyeinek szakaszában talál adatbiztonságot.

Láncolt szemantikai modellek

A Power BI szemantikai modelljei más szemantikai modellekhez is csatlakozhatnak egy láncolás nevű folyamat során, amely a felsőbb rétegbeli szemantikai modellekkel való kapcsolat. További információ: A DirectQuery használata Power BI szemantikai modellekhez és Analysis Serviceshez.

A DirectQuery-kapcsolatok engedélyezése a Power BI szemantikai modellek bérlői beállításával a Power BI-rendszergazdák beállíthatják, hogy a tartalomkészítők mely csoportjai hozhatnak létre láncolt szemantikai modelleket. Ha nem szeretné korlátozni a szemantikai modellek alkotóinak a szemantikai modellek láncolását, ezt a beállítást a teljes szervezet számára engedélyezve hagyhatja, és munkaterület-hozzáférésre és szemantikai modellengedélyekre támaszkodhat. Bizonyos esetekben érdemes lehet ezt a képességet a jóváhagyott tartalomkészítőkre korlátozni.

Feljegyzés

Szemantikai modell létrehozójaként korlátozhatja a szemantikai modellhez való láncolást. Ezt úgy végezheti el, hogy engedélyezi a DirectQuery-kapcsolat elriasztását ehhez a szemantikai modellhez a Power BI Desktopban. További információ: DirectQuery-kapcsolatok kezelése közzétett szemantikai modellel.

Szemantikai modell API-lekérdezései

Bizonyos esetekben érdemes lehet DAX-lekérdezést végrehajtani a Power BI REST API használatával. Előfordulhat például, hogy adatminőség-ellenőrzést szeretne végezni. További információ: Adathalmazok – Lekérdezések végrehajtása.

Az Adathalmaz lekérdezések végrehajtása REST API-bérlői beállításával a Power BI-rendszergazdák beállíthatják, hogy mely felhasználói csoportok küldhetnek DAX-lekérdezéseket a Power BI REST API használatával. A legtöbb esetben ezt a beállítást a teljes szervezet számára engedélyezve hagyhatja, és munkaterület-hozzáférésre és szemantikai modellengedélyekre támaszkodhat. Bizonyos esetekben érdemes lehet ezt a képességet a jóváhagyott tartalomkészítőkre korlátozni.

Ellenőrzőlista – A szemantikai modell létrehozói engedélyeinek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el a szemantikai modell létrehozói engedélyeinek stratégiáját: Határozza meg, hogy milyen preferenciák és követelmények vonatkoznak a szemantikai modellek létrehozóinak biztonságának kezelésére. Vegye figyelembe az adatérzékenység tárgyát és szintjét. Vegye figyelembe azt is, hogy ki vállalhat felelősséget az adatok és engedélyek központi és decentralizált üzleti egységekben való kezeléséért.
• Tekintse át, hogyan kezelik a munkaterületi szerepköröket a szemantikai modell létrehozói: Határozza meg, hogy milyen hatással van a munkaterület tervezési folyamatára. Hozzon létre külön adat-munkaterületeket az egyes tárgyterületekhez, hogy könnyebben felügyelhesse a munkaterületi szerepköröket és a szemantikai modell biztonságát az egyes tárgyterületeken.
• Útmutatás a szemantikai modell létrehozóinak az engedélyek kezelésével kapcsolatban: A szemantikai modell létrehozóinak dokumentációját is belefoglalhatja a szemantikai modellek engedélyeinek kezeléséről. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.
• Döntse el, hogy ki használhat DirectQuery-kapcsolatokat a Power BI szemantikai modelljeihez: Döntse el, hogy vannak-e olyan korlátozások, amelyek esetében a Power BI szemantikai modell létrehozói (a szemantikai modellek meglévő buildelési engedélyével) hozhatnak létre kapcsolatot a Power BI szemantikai modellekkel. A Döntésnek megfelelően állítsa be a DirectQuery-kapcsolatok engedélyezése a Power BI szemantikai modellek bérlői beállítását. Ha úgy dönt, hogy korlátozza ezt a képességet, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott szemantikai modellek létrehozói.
• Döntse el, hogy ki kérdezhet le Power BI szemantikai modelleket a REST API használatával: Döntse el, hogy a Power BI-tartalomkészítők a Power BI REST API-val korlátozzák-e a Power BI szemantikai modellek lekérdezését. Állítsa be az Adathalmaz lekérdezések végrehajtása REST API-bérlői beállítását úgy, hogy az megfeleljen ennek a döntésnek. Ha úgy dönt, hogy korlátozza ezt a képességet, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott jelentéskészítők.
• Döntse el az RLS vagy OLS szemantikai modellek létrehozói számára való használatára vonatkozó stratégiát: Fontolja meg, hogy mely használati eseteket és célokat kívánja használni az RLS-t vagy az OLS-t. Vegye figyelembe a munkaterület tervezési stratégiáját, és hogy ki rendelkezik olvasási és szerkesztési engedélyekkel, amikor az RLS-t vagy OLS-t szeretné kikényszeríteni a szemantikai modell létrehozói számára.

Jelentéskészítői engedélyek

A jelentéskészítőknek munkaterületi hozzáférésre van szükségük ahhoz, hogy jelentéseket hozzanak létre a Power BI szolgáltatás, vagy közzétehessék őket a Power BI Desktopban. Rendszergazdának, tagnak vagy közreműködőnek kell lenniük a cél munkaterületen.

Amikor csak lehetséges, a jelentéskészítőknek egy meglévő megosztott szemantikai modellt kell használniuk (élő kapcsolaton vagy DirectQueryn keresztül). Így a jelentéskészítési folyamat leválasztódik a szemantikai modell létrehozási folyamatáról. Az ilyen típusú elkülönítés számos előnnyel jár a biztonsági és csapatfejlesztési forgatókönyvek esetében.

A jelentéskészítőnek munkaterület-rendszergazdának, tagnak vagy közreműködőnek kell lennie.

A szemantikai modellekkel ellentétben nincs írási engedély a jelentésekhez. A jelentéskészítők támogatásához munkaterületi szerepköröket kell használni. Ezért az optimális munkaterület-kialakítás fontos a tartalomszervezési és biztonsági igények egyensúlyba hozásához.

Tipp.

A jelentésfelhasználók támogatásához szükséges engedélyekről (beleértve az elemenkénti olvasási és megosztási engedélyeket is) a jelentés fogyasztóbiztonsági tervezési cikkében olvashat.

Olvasási és összeállítási engedélyek az alapul szolgáló szemantikai modellhez

A jelentéskészítőknek olvasási és összeállítási engedélyekkel kell rendelkezniük a jelentések által használt szemantikai modellekhez, beleértve a láncolt szemantikai modelleket is. Ez az engedély explicit módon adható az egyes szemantikai modellekre, vagy implicit módon adható a munkaterület szemantikai modelljeihez, ha a jelentés létrehozója munkaterület-rendszergazda, tag vagy közreműködő.

A Munkaterületek közötti szemantikai modellek használata bérlői beállítással a Power BI-rendszergazdák beállíthatják, hogy mely felhasználói csoportok hozhatnak létre más munkaterületeken található szemantikai modelleket használó jelentéseket. Ez a beállítás szemantikai modellekre és jelentéskészítőkre irányul. Általában azt javasoljuk, hogy hagyja engedélyezve ezt a beállítást a teljes szervezet számára, és a munkaterület hozzáférési beállításaira és a szemantikai modell engedélyeire támaszkodjon. Így ösztönözheti a meglévő szemantikai modellek használatát. Bizonyos esetekben érdemes lehet ezt a képességet csak jóváhagyott tartalomkészítőkre korlátozni.

Az Élő kapcsolatok engedélyezése bérlői beállítással a Power BI-rendszergazdák beállíthatják, hogy mely felhasználói csoportok hozhatnak létre élő kapcsolatokat szemantikai modellekhez a Power BI Desktopban vagy az Excelben. Kifejezetten a jelentéskészítők számára van megcélzva, és azt is megköveteli, hogy olvasási és összeállítási engedélyt kapjanak a jelentés által használt szemantikai modellre. Javasoljuk, hogy hagyja engedélyezve ezt a beállítást a teljes szervezet számára, és a munkaterület-hozzáférésre és a szemantikai modell engedélyeire támaszkodjon. Így ösztönözheti a meglévő szemantikai modellek használatát. Bizonyos esetekben érdemes lehet ezt a képességet csak jóváhagyott tartalomkészítőkre korlátozni.

Az alapul szolgáló szemantikai modell adatbiztonsága

Az RLS és az OLS (amelyet korábban ebben a cikkben ismertetünk) a jelentésfelhasználókra irányulnak. Néha azonban a jelentéskészítők számára is kötelező lesz a kényszerítés. Külön munkaterületek létrehozása akkor indokolt, ha az RLS-t kényszeríteni kell a jelentéskészítők és a jelentésfelhasználók számára.

Vegyük példaként az alábbi esetet.

• Központosított megosztott szemantikai modellek az RLS használatával: A vállalati BI-csapat értékesítési szemantikai modelleket tett közzé a Sales Data munkaterületen. Ezek a szemantikai modellek kényszerítik az RLS-t, hogy megjelenítse a jelentésfelhasználó hozzárendelt értékesítési régiójának értékesítési adatait.
• Decentralizált önkiszolgáló jelentéskészítők: Az értékesítési és marketing üzletágban számos olyan elemző van, aki saját jelentéseket hoz létre. Jelentéseiket közzéteszik a Sales Analytics-munkaterületen .
• Olvasási és összeállítási engedélyek szemantikai modellekhez: Amikor lehetséges, az elemzők a Sales Data munkaterület szemantikai modelljeit használják az adatok szükségtelen duplikálásának elkerülése érdekében. Mivel az elemzők csak olvasási és összeállítási engedélyekkel rendelkeznek ezeken a szemantikai modelleken (írási vagy szerkesztési engedély nélkül), az RLS-t a jelentéskészítők (és a jelentésfelhasználók) számára is kikényszeríti a rendszer.
• Jelentéskészítési munkaterület engedélyeinek szerkesztése: Az elemzők több jogosultsággal rendelkeznek a Sales Analytics-munkaterületen . A rendszergazdai, tag- vagy közreműködői munkaterületi szerepkörök lehetővé teszik számukra a jelentések közzétételét és kezelését.

Az RLS-ről és az OLS-ről további információt a jelentés fogyasztói biztonsági tervezéséről szóló cikkben talál. Leírja, hogyan és mikor kényszeríti az RLS-t és az OLS-t azok a felhasználók, akik csak megtekintési engedéllyel rendelkeznek a szemantikai modellhez.

külső szemantikai modellek Csatlakozás

Amikor a jelentés létrehozója egy megosztott szemantikai modellhez csatlakozik a jelentéséhez, általában egy megosztott szemantikai modellhez csatlakoznak, amelyet a saját Power BI-bérlőjükben tettek közzé. Ha az engedély meg lett adva, egy másik bérlő megosztott szemantikai modelljéhez is csatlakozhat. A másik bérlő lehet partner, ügyfél vagy szállító.

Ezt a funkciót helyi szemantikai modellmegosztásnak (más néven bérlőközi szemantikai modellmegosztásnak) nevezzük. A jelentéskészítő (vagy szemantikai modell létrehozója által létrehozott új összetett modellek) által létrehozott jelentések tárolása és biztosítása a Power BI-bérlőben a normál folyamat használatával történik. Az eredeti megosztott szemantikai modell az eredeti Power BI-bérlőben marad, és minden engedély ott lesz kezelve.

További információkért tekintse meg a bérlőszintű biztonsági tervezésről szóló cikket. Információkat tartalmaz a külső megosztást oldó bérlői beállításokról és szemantikai modellbeállításokról.

Kiemelt táblák

A Power BI Desktopban a szemantikai modellek létrehozói beállíthatják, hogy a modelltáblák kiemelt táblázattá váljanak. Amikor a szemantikai modellt közzéteszik a Power BI szolgáltatás, a jelentéskészítők az Excel Adattípusok gyűjteményével megkereshetik a kiemelt táblázatot, így kiemelt táblázatadatokat adhatnak hozzá az Excel-munkalapjaik bővítéséhez.

A Kiemelt táblák bérlői kapcsolatának engedélyezése beállítás lehetővé teszi, hogy a Power BI-rendszergazdák beállítják, hogy mely felhasználói csoportok férhetnek hozzá a kiemelt táblákhoz. Olyan Excel-felhasználók számára van megcélzva, akik power BI-kiemelt táblázatokat szeretnének elérni az Excel szervezeti adattípusaiban. Javasoljuk, hogy hagyja engedélyezve ezt a beállítást a teljes szervezet számára, és a munkaterület-hozzáférésre és a szemantikai modell engedélyeire támaszkodjon. Így ösztönözheti a kiemelt táblák használatát.

Egyéni vizualizációs engedélyek

Az alapvető vizualizációk mellett a Power BI-jelentéskészítők egyéni vizualizációkat is használhatnak. A Power BI Desktopban az egyéni vizualizációk letölthetők a Microsoft AppSource-ból. A Power BI SDK-val házon belül is fejleszthetők, és a vizualizációs fájl (.pbviz) megnyitásával telepíthetők.

Az AppSource-ból letölthető vizualizációk egy része minősített vizualizáció. A minősített vizualizációk megfelelnek bizonyos meghatározott kódkövetelményeknek, amelyeket a Power BI csapata tesztelt és jóváhagyott. A tesztek ellenőrzik, hogy a vizualizációk nem férnek-e hozzá külső szolgáltatásokhoz vagy erőforrásokhoz.

A Power BI SDK-bérlői beállítás által létrehozott Vizualizációk engedélyezése beállítással a Power BI-rendszergazdák szabályozhatják, hogy mely felhasználói csoportok használhatnak egyéni vizualizációkat.

Emellett a Csak hitelesített vizualizációk hozzáadása és használata beállítás is lehetővé teszi, hogy a Power BI-rendszergazdák letiltják a nem minősített vizualizációk használatát a Power BI szolgáltatás. Ez a beállítás a teljes szervezet számára engedélyezhető vagy letiltható.

Feljegyzés

Ha letiltja a nem minősített vizualizációk használatát, az csak a Power BI szolgáltatás vonatkozik. Ha korlátozni szeretné a Power BI Desktopban való használatukat, kérje meg a rendszergazdát, hogy használjon csoportházirend-beállítást a Power BI Desktopban való használatuk letiltásához. Ezzel a lépéssel gondoskodhat arról, hogy a jelentéskészítők ne pazarolják az időt és energiát olyan jelentés létrehozására, amely nem fog működni, amikor közzétenik a Power BI szolgáltatás. Javasoljuk, hogy állítsa be a felhasználókat konzisztens felhasználói élményre a Power BI szolgáltatás (a bérlői beállítással) és a Power BI Desktopban (csoportházirenddel).

A Power BI Desktop biztonsági figyelmeztetést jelenít meg, ha a jelentés létrehozója egyéni vizualizációt ad hozzá a jelentéshez. A jelentéskészítők letilthatják ezt a beállítást. Ez a beállítás nem ellenőrzi, hogy a vizualizáció rendelkezik-e tanúsítvánnyal.

A Power BI-rendszergazdák jóváhagyhatják és üzembe helyezhetik az egyéni vizualizációkat a szervezetük számára. A jelentéskészítők ezután egyszerűen felfedezhetik, frissíthetik és használhatják ezeket a vizualizációkat. Rendszergazda istratorok ezután kezelhetik ezeket a vizualizációkat a verziók frissítésével vagy bizonyos egyéni vizualizációk letiltásával és engedélyezésével. Ez a módszer akkor hasznos, ha egy saját fejlesztésű vizualizációt szeretne elérhetővé tenni a jelentéskészítők számára, vagy ha olyan gyártótól szerez be egyéni vizualizációt, amely nem az AppSource-ban található. További információ: Power BI szervezeti vizualizációk.

Fontolja meg azt a kiegyensúlyozott stratégiát, amely csak minősített egyéni vizualizációk engedélyezését teszi lehetővé a szervezetben (a korábban ismertetett bérlői beállítással és csoportházirenddel), miközben szervezeti vizualizációkat helyez üzembe a kivételek kezelésére.

Ellenőrzőlista – A jelentéskészítői engedélyek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el a jelentéskészítői engedélyek stratégiáját: Határozza meg, hogy milyen beállítások és követelmények vonatkoznak a jelentéskészítők biztonságának kezelésére. Vegye figyelembe az adatérzékenység tárgyát és szintjét. Vegye figyelembe azt is, hogy ki vállalhat felelősséget a jelentések központi és decentralizált üzleti egységekben való létrehozásáért és kezeléséért.
• Tekintse át, hogyan kezelik a munkaterületi szerepköröket a jelentéskészítők: Határozza meg, hogy milyen hatással van a munkaterület tervezési folyamatára. Hozzon létre külön adat-munkaterületeket és jelentési munkaterületeket az egyes tárgyterületekhez, így a munkaterületi szerepkörök (és a mögöttes szemantikai modell biztonsága) egyszerűbbek lesznek a tárgyterületen.
• Útmutatás a jelentéskészítőknek az engedélyek kezelésével kapcsolatban: A jelentéskészítők dokumentációjának belefoglalása a jelentésfelhasználók engedélyeinek kezelésével kapcsolatban. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.
• Döntse el, hogy ki használhat megosztott szemantikai modelleket: Döntse el, hogy vannak-e korlátozások, amelyek esetében a Power BI-jelentéskészítők (akik már rendelkeznek olvasási és összeállítási engedélyekkel a szemantikai modellekhez) használhatnak szemantikai modelleket a munkaterületeken. Állítsa be a Szemantikai modellek használata munkaterületek bérlői beállításai között, hogy igazodjon ehhez a döntéshez. Ha úgy dönt, hogy korlátozza ezt a képességet, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott jelentéskészítők.
• Döntse el, hogy ki használhat élő kapcsolatokat: Döntse el, hogy vannak-e korlátozások arra vonatkozóan, hogy mely Power BI-jelentéskészítők (akik már rendelkeznek olvasási és létrehozási engedéllyel a szemantikai modellekhez) használhatnak élő kapcsolatokat. Állítsa be az Élő kapcsolatok engedélyezése bérlői beállítást úgy, hogy igazodjon ehhez a döntéshez. Ha úgy dönt, hogy korlátozza ezt a képességet, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott jelentéskészítők.
• Döntse el az RLS jelentéskészítők számára való használatára vonatkozó stratégiát: Fontolja meg, hogy mely használati eseteket és célokat kívánja sorszintű biztonságot használni. A munkaterület tervezési stratégiájában vegye figyelembe, hogy az RLS kényszerítve legyen a jelentéskészítők számára.
• Döntse el az egyéni vizualizációk használatának stratégiáját: Fontolja meg azt a stratégiát, amelyhez a jelentéskészítők egyéni vizualizációkat használhatnak. Állítsa be a Power BI SDK-bérlői beállítás által létrehozott Vizualizációk engedélyezése beállítást, hogy igazodjon ehhez a döntéshez. Szükség esetén hozzon létre egy folyamatot a szervezeti vizualizációk használatához.

Adatfolyam-létrehozói engedélyek

Az adatfolyamok hasznosak az adatok előkészítésének központosításához, hogy a Power Queryben végzett munka ne ismétlődjön meg számos szemantikai modellben. Építőeleme az egyetlen igazságforrás elérésének, az elemzőknek a forrásokhoz való közvetlen hozzáférésének, valamint a kinyerési, átalakítási és betöltési (ETL) műveletek nagy léptékű végrehajtásának.

Az adatfolyam-létrehozónak munkaterület-rendszergazdának, tagnak vagy közreműködőnek kell lennie.

Adatfolyam (például a Power BI Desktopban vagy egy másik munkaterületen létrehozott új adatmodellből) használatához a szemantikai modell létrehozója bármely munkaterületi szerepkörhöz tartozhat, beleértve a Megtekintő szerepkört is. Az adatfolyamok RLS-jének fogalma nem létezik.

A munkaterületi szerepkörök mellett engedélyezni kell az adatfolyamok létrehozása és használata bérlői beállítást. Ez a bérlői beállítás a teljes szervezetre vonatkozik.

Vegyük példaként az alábbi esetet.

• A szervezet számos szemantikai modelljének dinamikus RLS-t kell kikényszerítenie. Megköveteli a felhasználónevek (UPN-ek) tárolását a szemantikai modellben (a jelentésfelhasználó identitása alapján történő szűréshez).
• Az adatfolyam-létrehozó, aki az Emberi erőforrások részleghez tartozik, létrehoz egy adatfolyamot az aktuális alkalmazottak adataiból, beleértve a UPN-eket is. Napi frissítésre állítják be az adatfolyamot.
• A szemantikus modell létrehozói ezután a modelltervekben szereplő adatfolyamot használják az RLS beállításához.

Az adatfolyamok használatával kapcsolatos további információkért tekintse meg az önkiszolgáló adatelőkészítést és a speciális adat-előkészítési használati forgatókönyveket.

Ellenőrzőlista – Az adatfolyam-létrehozói engedélyek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el az adatfolyam-létrehozói engedélyek stratégiáját: Határozza meg, hogy milyen beállítások és követelmények vonatkoznak az adatfolyam-létrehozók biztonságának kezelésére. Fontolja meg, hogy ki jogosult vagy bátorított arra, hogy felelősséget vállaljon a központosított és decentralizált üzleti egységekben végzett adat-előkészítési tevékenységek kezeléséért.
• Döntse el, hogy kik hozhatnak létre adatfolyamokat: Döntse el, hogy vannak-e korlátozások arra vonatkozóan, hogy a Power BI-adatkészítők milyen adatfolyamokat hozhatnak létre. Az adatfolyamok bérlői beállításának beállítása és használata a döntéshez igazodva.
• Tekintse át, hogyan kezelik a munkaterületi szerepköröket az adatfolyam-létrehozók: Határozza meg, hogy milyen hatással van a munkaterület tervezési folyamatára. Hozzon létre külön adatfolyam-munkaterületeket tárgyterületenként, hogy szükség esetén külön kezelhesse a munkaterületi szerepköröket és engedélyeket az egyes tárgyterületekhez.

A Datamart létrehozói engedélyei

A datamart egy önkiszolgáló elemzési megoldás, amely lehetővé teszi a felhasználók számára a teljes mértékben felügyelt relációs adatbázisban betöltött adatok tárolását és felderítését. Emellett egy automatikusan létrehozott szemantikai modellt is tartalmaz.

A Datamarts egyszerű, alacsony kódszámú felületet biztosít a különböző adatforrásokból származó adatok betöltéséhez, valamint az adatok kinyeréséhez, átalakításához és betöltéséhez (ETL) a Power Query Online használatával. Az adatok egy teljes mértékben felügyelt Azure SQL Database-be vannak betöltve, és nincs szükség finomhangolásra vagy optimalizálásra. Az automatikusan létrehozott szemantikai modell mindig szinkronizálva lesz a felügyelt adatbázissal, mert DirectQuery módban van.

Adatmartot akkor hozhat létre, ha Ön munkaterület-rendszergazda, tag vagy közreműködő. A munkaterületi szerepkörök az Azure SQL Database adatbázisszintű szerepköreihez is leképezhetők (mivel azonban az adatbázis teljes mértékben felügyelt, a felhasználói engedélyek nem szerkeszthetők és nem kezelhetők a relációs adatbázisban).

A Datamarts-bérlő létrehozása beállítással a Power BI-rendszergazdák beállíthatják, hogy mely felhasználói csoportok hozhatnak létre adatmartokat.

Adatmart megosztása

A datamarts esetében a megosztás kifejezés más Power BI-tartalomtípusoktól eltérő jelentéssel bír. A megosztási művelet általában a fogyasztót célozza meg, mert írásvédett engedélyt biztosít egy elemhez, például egy jelentéshez.

A datamart megosztása a tartalomkészítőkre (nem pedig a felhasználókra) irányul. Olvasási és összeállítási engedélyeket biztosít, amelyek lehetővé teszik a felhasználók számára a szemantikai modell vagy a relációs adatbázis lekérdezését, attól függően, hogy melyiket részesítik előnyben.

A datamart megosztása lehetővé teszi a tartalomkészítők számára a következőt:

• Tartalom létrehozása az automatikusan létrehozott szemantikai modellel: A szemantikai modell az a szemantikai réteg, amelyre a Power BI-jelentések felépíthetők. A legtöbb jelentéskészítőnek a szemantikai modellt kell használnia.
• Csatlakozás az Azure SQL Database-hez és lekérdezéshez: A relációs adatbázis olyan tartalomkészítők számára hasznos, akik új szemantikai modelleket vagy többoldalas jelentéseket szeretnének létrehozni. Strukturált lekérdezési nyelvi (SQL-) lekérdezéseket írhatnak, hogy adatokat kérjenek le az SQL-végpont használatával.

Datamart sorszintű biztonság

A datamarts RLS-ét definiálhatja a megadott felhasználók adathozzáférésének korlátozásához. Az RLS a Power BI szolgáltatás datamart-szerkesztőjében van beállítva, és automatikusan alkalmazva lesz az automatikusan létrehozott szemantikai modellre és az Azure SQL Database-re (biztonsági szabályokként).

Függetlenül attól, hogy a felhasználó hogyan csatlakozik a datamarthoz (a szemantikai modellhez vagy az adatbázishoz), a rendszer az azonos RLS-engedélyeket érvényesíti.

Ellenőrzőlista – A datamart létrehozói engedélyeinek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el a datamart létrehozói engedélyeinek stratégiáját: Határozza meg, hogy milyen beállítások és követelmények vonatkoznak a datamart-létrehozók biztonságának kezelésére. Fontolja meg, hogy kik vehetnek részt a központosított és decentralizált üzleti egységekben az adatok kezeléséért.
• Döntse el, hogy kik hozhatnak létre adatmartokat: Döntse el, hogy vannak-e korlátozások, amelyekhez a Power BI-adatkészítők létrehozhatnak adatmartot. Állítsa be a Datamarts-bérlő létrehozása beállítást úgy, hogy az megfeleljen ennek a döntésnek. Ha úgy dönt, hogy korlátozza, hogy kik hozhatnak létre adatmartokat, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott adatmartkészítők.
• Tekintse át, hogyan kezelik a munkaterületi szerepköröket a datamart-létrehozók: Határozza meg, hogy milyen hatással van a munkaterület tervezési folyamatára. Tárgyterületenként külön adat-munkaterületeket hozhat létre, hogy a munkaterület szerepkörei és a szemantikai modell biztonsága egyszerűbb legyen a tárgyterületen.
• Útmutatás a datamart-létrehozók számára az engedélyek kezelésével kapcsolatban: A datamart-létrehozók dokumentációjának belefoglalása az adatmart-engedélyek kezelésével kapcsolatban. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.
• Döntse el az RLS datamartokban való használatának stratégiáját: Fontolja meg, hogy mely használati eseteket és célokat kívánja használni az RLS-t egy adatmarton belül.

Scorecard-létrehozói engedélyek

A Power BI-beli metrikák segítségével bizonyos metrikákat fürtözhet, és nyomon követheti őket a kulcsfontosságú üzleti célkitűzések alapján. Metrikákat ad hozzá a scorecardokhoz, amelyek megoszthatók más felhasználókkal, és egyetlen panelen tekinthetők meg.

A scorecardok három engedélyszinttel védhetők:

• Munkaterület.
• Scorecard (elemenkénti) engedélyek.
• Metrikák (a scorecardon belül).

A scorecardot létrehozó vagy teljes mértékben kezelő felhasználónak munkaterület-rendszergazdának, tagnak vagy közreműködőnek kell lennie.

Mivel a metrikák gyakran több tárgyterületre is kiterjednek, javasoljuk, hogy hozzon létre egy külön munkaterületet, hogy önállóan felügyelhesse az alkotók és a felhasználók engedélyeit.

A metrikák bérlői beállításával a Power BI-rendszergazdák beállíthatják, hogy mely felhasználói csoportok hozhatnak létre scorecard-metrikákat.

Scorecard-engedélyek

A következő scorecard-engedélyeket rendelheti hozzá.

• Olvasás: Ez az engedély lehetővé teszi, hogy a felhasználó megtekintse a scorecardot.
• Újramegosztás: A scorecardra vonatkozó meglévő engedéllyel rendelkező felhasználók számára ez az engedély lehetővé teszi, hogy a felhasználók megosztják a scorecardot egy másik felhasználóval.

A Power BI szolgáltatás más tartalomtípusaival összhangban az egyes elemekre vonatkozó engedélyek akkor hasznosak, ha az egyik elemet meg szeretné osztani egy másik felhasználóval. Javasoljuk, hogy lehetőség szerint használjunk munkaterületi szerepköröket és alkalmazásengedélyeket.

Metrikaszintű engedélyek

Minden scorecard rendelkezik metrikaszintű engedélyekkel , amelyeket a scorecard beállításaiban állíthat be. A metrikaszintű engedélyek (scorecardon belül) a munkaterülettől vagy a scorecard (elemenkénti) engedélyektől eltérően adhatóak.

A metrikaszintű szerepkörök lehetővé teszik a beállítását:

• Ki tekintheti meg az egyes metrikákat egy scorecardon.
• Ki frissítheti az egyes metrikákat a következőkkel:
  • Az állapot frissítése a bejelentkezés során.
  • Jegyzetek hozzáadása bejelentkezéskor.
  • Az aktuális érték frissítése bejelentkezéskor.

A jövőbeli karbantartás szintjének csökkentése érdekében beállíthatja az alapértelmezett engedélyeket, amelyeket a jövőben létrehozott almetriák örökölnek.

Ellenőrzőlista – A metrikák létrehozói engedélyeinek tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el a scorecard létrehozói engedélyeinek stratégiáját: Határozza meg, hogy milyen preferenciák és követelmények vonatkoznak a scorecard-létrehozók biztonságának kezelésére. Fontolja meg, hogy kik vehetnek részt a központosított és decentralizált üzleti egységekben az adatok kezeléséért.
• Döntse el, hogy ki hozhat létre scorecardokat: Döntse el, hogy vannak-e korlátozások, amelyekhez a Power BI-adatkészítők scorecardokat hozhatnak létre. A döntéshez igazodva állítsa be a Metrika-bérlő létrehozása és használata beállítást. Ha úgy dönt, hogy korlátozza, hogy kik hozhatnak létre scorecardokat, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott scorecard-létrehozók.
• Tekintse át, hogyan kezelik a munkaterületi szerepköröket a scorecard-létrehozók: Határozza meg, hogy milyen hatással van a munkaterület tervezési folyamatára. Érdemes lehet külön munkaterületeket létrehozni scorecardokhoz, ha a tartalom kiterjed a tárgyterületekre.
• Útmutatás a scorecard-létrehozók számára az engedélyek kezelésével kapcsolatban: A scorecard-létrehozók dokumentációjának belefoglalása a metrikaszintű engedélyek kezelésével kapcsolatban. Tegye közzé ezeket az információkat a központosított portálon és a képzési anyagokban.

Tartalom közzététele

Ez a szakasz a tartalomkészítők számára releváns tartalmak közzétételével kapcsolatos témaköröket tartalmazza.

Munkaterületek

A tartalomkészítőknek rendszergazdai, tagi vagy közreműködői szerepkörre lesz szükségük a tartalmak munkaterületen való közzétételéhez. További információkért tekintse meg a cikk korábbi részében ismertetett munkaterületi szerepköröket .

A személyes BI kivételével a tartalomkészítőket arra kell ösztönözni, hogy a személyes munkaterület helyett normál munkaterületeken tegyenek közzé tartalmakat.

A Csomagfrissítési bérlő ismételt közzétételének és letiltásának letiltása beállítás megváltoztatja a szemantikai modellek közzétételének viselkedését. Ha engedélyezve van, a munkaterület rendszergazdái, tagjai vagy közreműködői nem tehetnek közzé módosításokat szemantikai modellben. Csak a szemantikai modell tulajdonosa tehet közzé frissítést (a szemantikai modell átvételének kényszerítése a frissített szemantikai modell közzététele előtt). Mivel ez a bérlői beállítás a teljes szervezetre vonatkozik, engedélyezze körültekintően, mert az a teljes bérlő összes szemantikai modelljére hatással van. Mindenképpen közölje a szemantikai modell készítőivel, hogy mire számíthat, mert megváltoztatja a munkaterületi szerepkörök normál viselkedését.

Power Apps-szinkronizálás

Beágyazott Power BI-jelentéseket tartalmazó Power Apps-megoldást is létrehozhat. A Power Apps-folyamat automatikusan létrehoz egy dedikált Power BI-munkaterületet a Power BI-jelentések és szemantikai modellek tárolásához és védelméhez. A Power Appsben és a Power BI-ban is létező elemek kezeléséhez szinkronizálási folyamat van folyamatban.

A folyamat szinkronizálja a biztonsági szerepköröket, hogy a Power BI ugyanazokat a szerepköröket örökölje, amelyeket eredetileg a Power Appsben állítottak be. Lehetővé teszi továbbá, hogy a tartalom létrehozója kezelje a Power Appba beágyazott Power BI-jelentések (és kapcsolódó szemantikai modellek) megtekintésére vonatkozó engedélyeket.

A Power Apps-szerepkörök Power BI-munkaterületi szerepkörökkel való szinkronizálásáról további információt a Power Apps-környezet és a Power BI-munkaterület közötti engedélyszinkronizálás című témakörben talál.

Üzembehelyezési folyamat hozzáférése

A tartalomkészítők és -tulajdonosok a Power BI üzembehelyezési folyamatait használhatják az önkiszolgáló tartalom-közzétételhez. Az üzembehelyezési folyamatok leegyszerűsítik a közzétételi folyamatot, és javítják a szabályozás szintjét az új tartalmak közzétételekor.

A folyamatengedélyeket (azon felhasználók számára, akik üzembehelyezési folyamattal helyezhetik üzembe a tartalmat) a munkaterületi szerepköröktől elkülönítve kezelheti. A munkaterülethez és az üzembehelyezési folyamathoz való hozzáférésre is szükség van az üzembe helyezést végző felhasználók számára.

A tartalomkészítőknek a következőkre is szükségük lehet:

• Munkaterület-létrehozási engedélyek (ha a munkaterületeket a folyamatnak létre kell hoznia).
• Premium- vagy Fabric-kapacitásengedélyek (ha a folyamat munkaterületeket rendel hozzá).

Fontos

Ez a cikk időnként a Power BI Premiumra vagy annak kapacitás-előfizetésére (P termékváltozatokra) hivatkozik. Vegye figyelembe, hogy a Microsoft jelenleg összevonja a vásárlási lehetőségeket, és visszavonul a Power BI Premium kapacitásonkénti termékváltozataitól. Az új és a meglévő ügyfeleknek érdemes megfontolni a Fabric-kapacitás-előfizetések (F SKU-k) megvásárlását.

További információ: Fontos frissítés a Power BI Premium licenceléséhez és a Power BI Premiumhoz – gyakori kérdések.

További információ: Üzembe helyezési folyamat hozzáférése.

XMLA-végpont

Az XMLA-végpont az XMLA protokoll használatával teszi elérhetővé a táblázatos adatmodellek összes funkcióját, beleértve a Power BI Desktop által nem támogatott adatmodellezési műveleteket is. A Táblázatos objektummodell (TOM) API használatával programozott módosításokat végezhet egy adatmodellen.

Az XMLA-végpont kapcsolatot is biztosít. Csak akkor csatlakozhat szemantikai modellhez, ha a munkaterület licencmódja felhasználónkénti Premium, kapacitásonkénti prémium vagy Embedded. A kapcsolat létrejötte után egy XMLA-kompatibilis eszköz képes az adatmodellen adatok olvasására vagy írására. Ha többet szeretne tudni arról, hogyan használhatja az XMLA-végpontot szemantikai modellek kezelésére, tekintse meg a speciális adatmodell-kezelési használati forgatókönyvet.

Az XMLA-végponton keresztüli hozzáférés tiszteletben tartja a meglévő engedélyeket. A munkaterület rendszergazdái, tagjai és közreműködői implicit módon rendelkeznek szemantikai modell írási engedélyével, ami azt jelenti, hogy új szemantikai modelleket helyezhetnek üzembe a Visual Studióból, és tMSL-szkripteket futtathatnak az SQL Server Management Studióban (SSMS).

A szemantikai modell buildelési engedélyével rendelkező felhasználók az XMLA-végpont használatával csatlakozhatnak a szemantikai modellekhez, és tallózhatnak az adatfelhasználás és a vizualizáció szemantikai modelljei között. Az RLS-szabályok betartva vannak, és a felhasználók nem láthatják a belső szemantikai modell metaadatait.

Az XMLA-végpontok és az Elemzés az Excelben helyszíni szemantikai modellek bérlőbeállítása két képességre utal: Ez szabályozza, hogy mely felhasználói csoportok használhatják az XMLA-végpontot a szemantikai modellek lekérdezésére és/vagy karbantartására a Power BI szolgáltatás. Azt is meghatározza, hogy az Elemzés az Excelben használható-e helyszíni SQL Server Analysis Services-modellekkel (SSAS).

Feljegyzés

A bérlői beállítás Elemzés az Excelben eleme csak a helyszíni SQL Server Analysis Services-modellekre vonatkozik. Az Excel standard Elemzés funkcióját, amely a Power BI szolgáltatás egy Power BI szemantikai modellhez csatlakozik, az Élő Csatlakozás ions engedélyezése bérlői beállítás vezérli.

Webes közzététel

A webes közzététel olyan szolgáltatás, amely hozzáférést biztosít a Power BI-jelentésekhez bárki számára az interneten. Nem igényel hitelesítést, és a rendszer nem naplózza a hozzáférést naplózás céljából. Mivel a jelentésfelhasználóknak nem kell a szervezethez tartoznia, vagy Power BI-licenccel kell rendelkezniük, ez a technika jól alkalmazható az adatnaplózáshoz, amely olyan folyamat, amelyben a jelentések blogbejegyzésekbe, webhelyekbe, e-mailekbe vagy közösségi médiába vannak ágyazva.

Figyelemfelhívás

A webes közzététel képes bizalmas vagy bizalmas adatokat közzétenni, akár véletlenül, akár szándékosan. Ezért ez a funkció alapértelmezés szerint le van tiltva. A webes közzététel csak olyan jelentésekhez használható, amelyek nyilvánosan megtekinthető adatokat tartalmaznak.

A Webes közzététel bérlői beállítással a Power BI-rendszergazdák szabályozhatják, hogy mely felhasználói csoportok tehetnek közzé jelentéseket a weben. A magasabb szintű vezérlés fenntartása érdekében javasoljuk, hogy ne foglaljon bele más csoportokat ebbe a bérlői beállításba (például a Power BI-rendszergazdákat vagy más tartalomkészítőket). Ehelyett kényszerítse ki az adott felhasználói hozzáférést egy biztonsági csoport, például a Power BI nyilvános közzétételével. Győződjön meg arról, hogy a biztonsági csoport megfelelően van kezelve.

Beágyazás egyéni alkalmazásokba

A tartalom beágyazása az alkalmazások bérlői beállításaiban lehetővé teszi, hogy a Power BI-rendszergazdák szabályozhatják, hogy mely felhasználók ágyazhatnak be Power BI-tartalmakat a Power BI szolgáltatás kívül. Ha Egyéni alkalmazásokba szeretné beágyazni a Power BI-tartalmakat, engedélyezze ezt a beállítást adott csoportok, például alkalmazásfejlesztők számára.

Beágyazás a PowerPointban

A PowerPoint-bérlőhöz készült Power BI-bővítmény engedélyezése beállítással a Power BI-rendszergazdák szabályozhatják, hogy mely felhasználók ágyazhatnak be Power BI-jelentésoldalakat PowerPoint-bemutatókba. Ha szükséges, engedélyezze ezt a beállítást adott csoportok, például jelentéskészítők számára.

Feljegyzés

A funkció működéséhez a felhasználóknak telepíteniük kell a PowerPointHoz készült Power BI bővítményt. A bővítmény használatához a felhasználóknak hozzáféréssel kell rendelkezniük az Office bővítménytárhoz, vagy a bővítményt rendszergazda által felügyelt bővítményként kell elérhetővé tenni számukra. További információt a PowerPoint Power BI bővítményében talál.

Tájékoztassa a jelentéskészítőket, hogy legyenek óvatosak azzal kapcsolatban, hogy hol mentik a PowerPoint-bemutatóikat, és kikkel osztják meg őket. Ennek az az oka, hogy a power BI-jelentés vizualizációinak képe megjelenik a felhasználók számára a bemutató megnyitásakor. Ez a kép a PowerPoint-fájl legutóbbi csatlakoztatásának időpontjától lesz rögzítve. A kép azonban véletlenül olyan adatokat jeleníthet meg, amelyeket a fogadó felhasználó nem lát.

Feljegyzés

A rendszerkép akkor lehet hasznos, ha a fogadó felhasználó még nem rendelkezik a bővítményével, vagy amíg a bővítmény nem csatlakozik a Power BI szolgáltatás az adatok lekéréséhez. Ha a felhasználó csatlakozik, a rendszer csak azokat az adatokat kéri le a Power BI-ból, amelyek a felhasználó számára láthatók (az RLS kényszerítése).

Sablonalkalmazások

A sablonalkalmazások lehetővé teszik a Power BI-partnerek és a szoftvergyártók számára, hogy a Power BI-alkalmazásokat kódolás nélkül vagy egyáltalán ne lehessen létrehozni, és üzembe helyezhessék őket bármely Power BI-ügyfélen.

A Sablonalkalmazások közzététele bérlői beállítással a Power BI-rendszergazdák szabályozhatják, hogy mely felhasználók tehetnek közzé sablonalkalmazásokat a szervezeten kívül, például a Microsoft AppSource-on keresztül. A legtöbb szervezet esetében ezt a bérlői beállítást le kell tiltani vagy szigorúan szabályozni kell. Fontolja meg egy biztonsági csoport, például a Külső Power BI-sablonalkalmazások létrehozóinak használatát.

E-mail-előfizetések

Saját maga és mások is feliratkozhatnak Power BI-jelentésekre, irányítópultokra és lapszámozott jelentésekre. A Power BI ezután a megadott ütemezés szerint küld e-mailt. Az e-mail egy pillanatképet és a jelentésre vagy irányítópultra mutató hivatkozást tartalmaz.

Létrehozhat olyan előfizetést, amely más felhasználókat is magában foglal, ha Ön munkaterület-rendszergazda, tag vagy közreműködő. Ha a jelentés prémium szintű munkaterületen található, előfizethet csoportokat (függetlenül attól, hogy az Ön tartományában vannak-e vagy sem) és külső felhasználókra. Az előfizetés beállításakor lehetőség van arra is, hogy engedélyeket adjon az elemnek. Ehhez az elemenkénti közvetlen hozzáférési engedélyeket használjuk, amelyeket a jelentés fogyasztói biztonsági tervezéséről szóló cikkben ismertetünk.

Figyelemfelhívás

Az e-mail-előfizetés funkció képes tartalmat megosztani belső és külső közönségekkel. Ha az RLS kényszerítve van a mögöttes szemantikai modellen, a rendszer a mellékleteket és a képeket az előfizető felhasználó biztonsági környezetével hozza létre.

Az e-mail-előfizetések bérlői beállításával a Power BI-rendszergazdák szabályozhatják, hogy ez a funkció engedélyezve van-e vagy le van-e tiltva a teljes szervezet számára.

A licencelési és bérlői beállítási korlátozásokhoz kapcsolódó mellékletekre vonatkozóan bizonyos korlátozások vonatkoznak. További információ: E-mail-előfizetések a jelentésekhez és irányítópultokhoz a Power BI szolgáltatás.

Ellenőrzőlista – A tartalom közzétételének tervezésekor a legfontosabb döntések és műveletek a következők:

• Döntse el, hogy milyen stratégiát kell alkalmazni a tartalom közzétételére, hogyan és ki által: Határozza meg, hogy milyen preferenciák és követelmények vonatkoznak a tartalom közzétételének helyére.
• Munkaterület-hozzáférés ellenőrzése: Erősítse meg a munkaterület tervezési megközelítését. Ellenőrizze, hogyan használhatja a munkaterület hozzáférési szerepköreit a tartalom közzétételének helyére vonatkozó stratégia támogatásához.
• Az üzembehelyezési folyamat engedélyeinek kezelésének meghatározása: Döntse el, hogy mely felhasználók tehetnek közzé tartalmakat egy üzembehelyezési folyamat használatával. Ennek megfelelően állítsa be az üzembehelyezési folyamat engedélyeit. Győződjön meg arról, hogy a munkaterülethez való hozzáférés is biztosított.
• Döntse el, hogy ki csatlakozhat szemantikai modellekhez az XMLA-végpont használatával: Döntse el, hogy mely felhasználók kérdezhetik le vagy kezelhetik a szemantikai modelleket az XMLA-végpont használatával. Állítsa be az XMLA-végpontok engedélyezése és az Elemzés az Excelben helyszíni szemantikai modellek bérlői beállításával, hogy igazodjon ehhez a döntéshez. Ha úgy dönt, hogy korlátozza ezt a képességet, fontolja meg egy olyan csoport használatát, mint a Power BI által jóváhagyott tartalomkészítők.
• Döntse el, hogy ki tehet közzé jelentéseket nyilvánosan: Döntse el, hogy mely felhasználók tehetnek közzé nyilvánosan Power BI-jelentéseket, ha vannak ilyenek. Állítsa be a Közzététel webes bérlőre beállítást a döntésnek megfelelően. Használjon olyan csoportot, mint a Nyilvános Power BI-közzététel.
• Döntse el, hogy ki ágyazhat be tartalmat egyéni alkalmazásokba: Határozza meg, hogy ki ágyazhat be tartalmat a Power BI szolgáltatás kívül. Állítsa be a beágyazási tartalmat az alkalmazások bérlői beállításában, hogy igazodjon ehhez a döntéshez.
• Döntse el, hogy ki ágyazhat be tartalmakat a PowerPointban: Határozza meg, hogy ki ágyazhat be tartalmakat a PowerPointba. Állítsa be a PowerPoint-bérlő power BI-bővítményének engedélyezése beállítást a döntésnek megfelelően.
• Döntse el, hogy ki tehet közzé sablonalkalmazásokat: Határozza meg a szervezeten kívüli sablonalkalmazások használatára vonatkozó stratégiát. Állítsa be a Sablonalkalmazások közzététele bérlői beállítást úgy, hogy az megfeleljen ennek a döntésnek.
• Döntse el, hogy engedélyezi-e az előfizetéseket: Ellenőrizze az előfizetések használatára vonatkozó stratégiát. Állítsa be az E-mail-előfizetések bérlőbeállítást, hogy igazodjon ehhez a döntéshez.

Adatok frissítése

A közzététel után az adatkészítőknek gondoskodniuk kell arról, hogy a szemantikai modelljeik és adatfolyamaik (amelyek importált adatokat tartalmaznak) rendszeresen frissüljenek. A szemantikai modell és adatfolyam-tulajdonosok megfelelő stratégiáiról is döntenie kell.

Szemantikai modell tulajdonosa

Minden szemantikai modell rendelkezik tulajdonossal, amely egyetlen felhasználói fiók. A szemantikai modell tulajdonosának kell beállítania a szemantikai modell frissítését és a szemantikai modell paramétereinek beállítását.

Alapértelmezés szerint a szemantikai modell tulajdonosa is hozzáférési kéréseket kap a jelentéskészítőktől, akik buildelési engedélyeket szeretnének (kivéve, ha a szemantikai modell hozzáférési beállításai egyéni utasítások megadására vannak beállítva). További információt a jelen cikk alkotói hozzáférési munkafolyamatának kérése című szakaszában talál.

A Power BI kétféleképpen szerezhet be hitelesítő adatokat egy szemantikai modell frissítéséhez.

• A szemantikai modell tulajdonosa a hitelesítő adatokat a szemantikai modell beállításai között tárolja.
• A szemantikai modell tulajdonosa egy átjáróra hivatkozik a szemantikai modell beállításai között (amely egy tárolt hitelesítő adatokat tartalmazó adatforrást tartalmaz).

Ha egy másik felhasználónak be kell állítania a frissítési vagy szemantikai modell paramétereit, a szemantikai modell tulajdonjogát kell vállalnia. a szemantikai modell tulajdonjogát átveheti a munkaterület rendszergazdája, tagja vagy közreműködője.

Figyelemfelhívás

A szemantikai modell tulajdonjogának átvétele végleg eltávolítja a szemantikai modell tárolt hitelesítő adatait. Az adatfrissítési műveletek folytatásához újra meg kell adni a hitelesítő adatokat.

Ideális esetben a szemantikai modell tulajdonosa az a felhasználó, aki felelős a szemantikai modellért. A szemantikai modell tulajdonosát frissítenie kell, amikor elhagyják a szervezetet, vagy szerepköröket módosítanak. Vegye figyelembe azt is, hogy ha a szemantikai modell tulajdonosának felhasználói fiókja le van tiltva a Microsoft Entra-azonosítóban (korábbi nevén Azure Active Directory), az adatfrissítés automatikusan le lesz tiltva. Ebben az esetben egy másik felhasználónak kell átvennie a szemantikai modell tulajdonjogát az adatfrissítési műveletek folytatásához.

Adatfolyam-tulajdonos

A szemantikai modellekhez hasonlóan az adatfolyamok is rendelkeznek tulajdonossal, amely egyetlen felhasználói fiók. Az előző témakörben a szemantikai modelltulajdonosokra vonatkozó információk és útmutatók az adatfolyam-tulajdonosokra is vonatkoznak.

Ellenőrzőlista – Az adatfrissítési folyamatokkal kapcsolatos biztonsági tervezés során a legfontosabb döntések és műveletek a következők:

• Döntse el a szemantikai modellek tulajdonosainak stratégiáját: Határozza meg, hogy milyen preferenciák és követelmények léteznek a szemantikai modelltulajdonosok kezeléséhez.
• Döntse el az adatfolyam-tulajdonosok stratégiáját: Határozza meg, hogy milyen beállítások és követelmények vonatkoznak az adatfolyam-tulajdonosok kezelésére.
• Belefoglalhatja a szemantikai modellek létrehozóinak dokumentációját és betanítását: Útmutatást nyújt az adatkészítőknek az egyes elemtípusok tulajdonosainak kezelésével kapcsolatban.

Kapcsolódó tartalom

A Power BI megvalósítási döntéseit segítő egyéb szempontokat, műveleteket, döntéshozatali kritériumokat és javaslatokat a megfontolandó területeket tekintheti meg.