Share via

A Power BI implementálásának megtervezése: Jelentés a fogyasztók biztonságának tervezéséről

  • Cikk

Feljegyzés

Ez a cikk a Power BI implementációtervezési cikksorozatának része. Ez a sorozat elsősorban a Microsoft Fabricen belüli Power BI-számítási feladatokra összpontosít. A sorozat bemutatása: Power BI implementációtervezés.

Ez a biztonságtervezési cikk az írásvédett felhasználók stratégiáit ismerteti. A fókusz a jelentések és alkalmazások megtekintői engedélyeivel, valamint az adatbiztonság kikényszerítésével foglalkozik. Elsősorban a következő célokat célozza:

  • Power BI-rendszergazdák: Azok a rendszergazdák, akik a Power BI felügyeletéért felelősek a szervezetben.
  • Kiválósági központ, informatikai és BI-csapat: Azok a csapatok, amelyek a Power BI felügyeletéért is felelősek. Előfordulhat, hogy együtt kell működniük a Power BI-rendszergazdákkal, az információbiztonsági csapatokkal és más releváns csapatokkal.
  • Tartalomkészítők és -tulajdonosok: Önkiszolgáló BI-létrehozók, akiknek más felhasználók által használt tartalmakat kell létrehozniuk, közzétenni, biztonságossá tenni és kezelni.

A cikksorozat célja, hogy a Power BI biztonsági tanulmányában szereplő tartalmakat bővítse. Bár a Power BI biztonsági tanulmánya olyan kulcsfontosságú technikai témakörökre összpontosít, mint a hitelesítés, az adatok tartózkodási helye és a hálózati elkülönítés, a sorozat elsődleges célja, hogy megfontolandó szempontokat és döntéseket biztosítson a biztonság és az adatvédelem megtervezéséhez.

Egy szervezetben sok felhasználó minősül fogyasztónak. A felhasználók megtekinthetik a más felhasználók által létrehozott és közzétett tartalmakat. A cikk középpontjában a fogyasztók állnak. A tartalomkészítőkre és -tulajdonosokra összpontosító biztonsági tervezésről a Tartalomkészítő biztonsági tervezési cikkében olvashat.

A cikkből a lehető legtöbbet hozhatja ki, ha tisztában van a Power BI kontextusában a megosztás és a terjesztés kifejezéseinek jelentésével.

A megosztás az, ahol egy felhasználó hozzáférést biztosít egy másik felhasználónak (vagy felhasználói csoportnak) egy adott tartalomelemhez. A Power BI szolgáltatás megosztási képessége egyetlen elemre terjed ki. Ez leggyakrabban olyan személyek között történik, akik ismerik egymást, és szorosan együttműködnek.

A terjesztés az, ahol a tartalom más, címzettként ismert felhasználókhoz kerül. Ez gyakran több csapat több felhasználóját is magában foglalja. Előfordulhat, hogy a címzettek nem kérték kifejezetten a tartalmat, de felismerték, hogy szükségük van rá a szerepkörük ellátásához. Az elosztott tartalmat használó címzettek esetleg nem ismerik a tartalom eredeti létrehozóját. Ezért a terjesztés mint fogalom formálisabb, mint a megosztás.

Amikor másokkal beszél, határozza meg, hogy általánosan vagy szó szerint használják-e a megosztás kifejezést. A kifejezésmegosztás használata kétféleképpen értelmezhető.

  • A megosztás kifejezést gyakran használják a munkatársakkal való tartalommegosztással kapcsolatos általános módon. A cikkben ismertetett, írásvédett tartalmakat többféle módon is el lehet juttatni.
  • A megosztás a Power BI egy adott funkciója is. Ez egy olyan képesség, amelyben egy felhasználó vagy csoport hozzáférést kap egyetlen elemhez. A hivatkozások megosztásáról és a közvetlen hozzáférés megosztásáról ebben a cikkben olvashat.

Fontos

A Power BI rendszergazdai szerepkörét átnevezték. A szerepkör új neve Hálóadminisztrátor.

Stratégia írásvédett felhasználók számára

A Power BI szolgáltatás a felhasználók akkor tekinthetnek meg jelentést vagy irányítópultot, ha mindkettőhöz rendelkeznek engedéllyel:

  • Tekintse meg a vizualizációkat (például jelentést vagy irányítópultot) tartalmazó Power BI-elemet.
  • Olvassa el a mögöttes adatokat (szemantikai modell – korábban adathalmazként ismert – vagy más forrás).

Különböző technikákkal írásvédett hozzáférést biztosíthat a fogyasztóknak. Az önkiszolgáló tartalomkészítők által használt gyakori technikák a következők:

  • Felhasználók és csoportok hozzáférésének biztosítása Egy Power BI-alkalmazáshoz.
  • Felhasználók és csoportok hozzáadása Power BI-munkaterületmegjelenítői szerepkörhöz.
  • Felhasználók és csoportok elemenkénti engedélyeinek biztosítása megosztási hivatkozás használatával.
  • Felhasználók és csoportok elemenkénti engedélyeinek biztosítása közvetlen hozzáféréssel.

A Power BI alkalmazás és a Power BI-munkaterületmegjelenítő szerepkör-beállításai magukban foglalják az egyes elemek engedélyeinek kezelését. Az elemenkénti két engedélytechnika magában foglalja az egyes elemek engedélyeinek kezelését.

Tipp.

Általában ajánlott a Power BI-alkalmazás használata a legtöbb felhasználó számára. Esetenként a munkaterületmegjelenítő szerepkör is megfelelő lehet. A Power BI-alkalmazások és a munkaterületmegjelenítő szerepkör egyaránt lehetővé teszi számos elem engedélyeinek kezelését, és amikor csak lehetséges, érdemes használni. Az egyes elemek engedélyeinek kezelése fárasztó, időigényes és hibalehetőséget jelenthet. Ezzel szemben az elemek egy csoportjának kezelése csökkenti a karbantartást és javítja a pontosságot.

Egy elem biztonsági beállításainak áttekintésekor láthatja, hogy az engedélyei a következők:

  • A munkaterülettől vagy alkalmazástól örökölt.
  • Közvetlenül az elemre alkalmazva.

Az alábbi képernyőképen a közvetlen hozzáférési engedélyek jelennek meg egy jelentéshez. Ebben az esetben a munkaterület Rendszergazda és a tagok szerepkörei egy csoporthoz vannak rendelve. Ezek a szerepkörök azért jelennek meg a jelentéshez, mert a jelentésszintű hozzáférés a munkaterülettől öröklődik. Van egy felhasználó is, aki olvasási engedélyekkel rendelkezik közvetlenül a jelentésre.

Képernyőkép egy jelentés közvetlen hozzáférési engedélyéről a Power BI szolgáltatás.

Az írásvédett felhasználók számára választott stratégia eltérő lehet. Ennek az egyedi megoldáson, a megoldás kezelőjének preferenciáján vagy a fogyasztó igényein kell alapulnia. A szakasz további része azt ismerteti, hogy mikor érdemes megfontolni az egyes elérhető technikák használatát.

Ellenőrzőlista – A tartalom írásvédett felhasználók számára történő biztosítására vonatkozó stratégia létrehozásakor a legfontosabb döntések és műveletek a következők:

  • Értékelje a meglévő stratégiát az írásvédett felhasználók számára: Ellenőrizze, hogy a tartalom jelenleg hogyan van elosztva és osztva meg a felhasználók között. Annak azonosítása, hogy vannak-e fejlesztési lehetőségek.
  • Döntse el, hogy milyen stratégiát használ az írásvédett felhasználók számára: Fontolja meg az alkalmazásengedélyek, munkaterületi szerepkörök vagy elemenkénti engedélyek használatára vonatkozó beállításokat. Ha változtatásokra van szükség ezeknek a beállításoknak való megfeleléshez, hozzon létre egy tervet a fejlesztések elvégzésére.

Power BI-alkalmazásengedélyek

A Power BI-alkalmazások jelentések, irányítópultok és munkafüzetek gyűjteményét biztosítják a felhasználóknak. Az alkalmazások a legjobb felhasználói élményt nyújtják a felhasználók számára, mert:

  • Az alkalmazás navigációs panelje egyszerű és intuitív felhasználói élményt nyújt. Kellemesebb élmény, mint közvetlenül a munkaterületen lévő tartalmak elérése.
  • A tartalom logikailag tagolt szakaszokba (például mappákba) rendezhető az alkalmazás navigációs paneljén.
  • A felhasználók csak olyan elemekhez férhetnek hozzá, amelyeket kifejezetten belefoglaltak az alkalmazásba a célközönségük számára.
  • További információkra, dokumentációkra vagy egyéb tartalmakra mutató hivatkozások hozzáadhatók a navigációs panelhez a célközönség számára.
  • Van egy beépített kérelemelérési munkafolyamat.

Feljegyzés

A cikkben szereplő összes alkalmazásra mutató hivatkozás egy Power BI-alkalmazásra hivatkozik. Ez egy másik fogalom, mint a Power Apps. Ez egy másik fogalom, mint a Power BI mobilalkalmazások. Ebben a szakaszban a vállalati alkalmazásokra összpontosítunk a sablonalkalmazások helyett.

Minden munkaterülethez létrehozhat egy-egy alkalmazást formálisan a munkaterület tartalmának vagy mindegyikének terjesztéséhez. Az alkalmazások kiválóan alkalmasak a tartalom széles körű terjesztésére a szervezeten belül, különösen olyan felhasználók számára, amelyek nem ismerik vagy nem működnek együtt szorosan.

Tipp.

A Power BI-alkalmazások széles körű tartalomterjesztéshez való használatáról a vállalati BI használati forgatókönyvében olvashat bővebben. Javasoljuk, hogy azok a tartalomkészítők, akiknek tartalmat kell terjeszteniük, érdemes elsőként egy alkalmazást létrehozniuk.

Az alkalmazásengedélyeket a munkaterületi szerepköröktől elkülönítve kezelheti. Az engedélyek elkülönítésének két előnye van. A következőt ösztönzi:

  • Munkaterület-hozzáférés biztosítása a tartalomkészítők számára. Olyan felhasználókat is tartalmaz, amelyek aktívan dolgoznak a tartalomon, például szemantikai modellkészítőket, jelentéskészítőket és tesztelőket.
  • Alkalmazásengedélyek biztosítása a felhasználóknak. A munkaterület engedélyekkel ellentétben az alkalmazásengedélyek mindig írásvédettek (vagy nem).

A munkaterület-hozzáféréssel rendelkező felhasználók automatikusan megtekinthetik az alkalmazást (ha egy Power BI-alkalmazást közzétettek a munkaterületen). Ennek a viselkedésnek köszönhetően elméletileg úgy tekinthet a munkaterületi szerepkörökre, mint amelyeket az egyes alkalmazás-célközönségek örökölnek. Egyes munkaterület-hozzáféréssel rendelkező felhasználók a hozzárendelt munkaterületi szerepkörüktől függően frissíthetik a Power BI alkalmazást is.

Tipp.

A munkaterület-hozzáféréssel kapcsolatos további információkért tekintse meg a Tartalomkészítő biztonsági tervezési cikkét.

A tartalom írásvédett felhasználók számára történő terjesztésére az alkalmazás használata a legjobb választás, ha:

  • Azt szeretné, hogy a felhasználók csak az adott célközönség számára látható elemeket tekinthessék meg (a mögöttes munkaterületen belüli összes elem helyett).
  • Az alkalmazás írásvédett engedélyeit a munkaterülettől elkülönítve szeretné kezelni.
  • Az elemenkénti engedélyeknél egyszerűbb engedélykezelést szeretne az írásvédett felhasználók számára.
  • Gondoskodni szeretne arról, hogy a sorszintű biztonság érvényesüljön a felhasználók számára (ha írásvédett engedéllyel rendelkeznek a mögöttes szemantikai modellen).
  • Biztosítani szeretné, hogy a felhasználók csak az alkalmazás újbóli közzétételéig tekinthetik meg az új és módosított jelentéseket.

Bár igaz, hogy a jelentések és irányítópultok módosításai nem láthatók az alkalmazás felhasználói számára az alkalmazás újbóli közzétételéig, két szempontot kell figyelembe venni, amelyek óvatosságot igényelnek.

  • Azonnali szemantikai modellmódosítások: A szemantikai modell módosításai mindig azonnal érvénybe lépnek. Ha például kompatibilitástörő módosításokat vezet be egy szemantikai modellen a munkaterületen, az véletlenül instabillá teheti a jelentéseket (még akkor is, ha az alkalmazás nem tette közzé újra őket). A kockázat csökkentésének két módja van: Először is végezze el az összes fejlesztési munkát a Power BI Desktopban (a munkaterülettől elkülönítve). Másodszor, szigetelje az éles alkalmazást külön munkaterületek használatával a fejlesztéshez és teszteléshez. (Igény szerint magasabb szintű vezérlést érhet el a munkaterület tartalmának üzembe helyezésétől a fejlesztésen át a tesztelésig és az éles üzembe helyezésig az üzembe helyezési folyamatok használatával.)
  • A tartalom és az engedélyek együtt jelennek meg: Az alkalmazások közzétételekor az engedélyek a tartalommal egy időben lesznek közzétéve. Előfordulhat például, hogy egy olyan munkaterületen módosítja a jelentést, amely még nem fejeződött be, nincs teljesen tesztelve vagy jóváhagyva. Így nem teheti közzé újra az alkalmazást csak az engedélyek frissítéséhez. A kockázat csökkentése érdekében alkalmazásengedélyeket rendeljen hozzá a biztonsági csoport(ok)hoz, és használjon biztonsági csoporttagságokat (egyéni felhasználók helyett) az alkalmazásengedélyek megadásakor. Ne tegye közzé újra az alkalmazásokat csak engedélymódosítások alkalmazásához.

Alkalmazás célközönsége

A Power BI szolgáltatás minden munkaterületén csak egy Power BI-alkalmazás lehet. Az alkalmazásban azonban létrehozhat egy vagy több célközönséget. Vegyük példaként az alábbi esetet.

  • Öt értékesítési jelentéssel rendelkezik, amelyek a globális értékesítési szervezet számos felhasználója számára vannak elosztva.
  • Az értékesítési képviselők egy célközönséget határoznak meg az alkalmazásban. Ez a közönség az öt jelentés közül háromat tekintheti meg.
  • Egy másik célközönséget definiál az alkalmazás az értékesítési vezető csapat számára. Ez a közönség mind az öt jelentést megtekintheti, beleértve a két jelentést, amelyek nem érhetők el az értékesítési képviselők számára.

Ez a képesség a tartalom és a célközönségek keverésére és egyeztetésére az alábbi előnyökkel jár.

  • Bizonyos jelentések több célközönség számára is megtekinthetők. Így több célközönség létrehozásakor nincs szükség a tartalom duplikálására a különböző munkaterületeken.
  • Bizonyos jelentéseknek csak egy célközönség számára legyenek elérhetők. Az adott célközönség tartalma tehát ugyanabban a munkaterületen található, mint a többi kapcsolódó tartalom.

Az alábbi képernyőképen egy két célközönséggel rendelkező alkalmazás látható: Sales Leadership és Sales Reps. A Célközönség-hozzáférés kezelése panel két biztonsági csoporthoz biztosít hozzáférést a Sales Leadership célközönségcsoporthoz: a Sales Leadership-Észak-Amerika és a Sales Leadership-Europe csoporthoz. A Sales Leadership célközönségcsoport képernyőképén látható bruttó margóelemzési jelentés nem érhető el a Sales Reps célközönségcsoport számára.

Képernyőkép az alkalmazás célközönségének beállításáról a Power BI szolgáltatás.

Feljegyzés

A célközönségcsoport kifejezést néha használják. Ez nem közvetlen hivatkozás a biztonsági csoportok használatára. Ide tartoznak a célközönség azon tagjai, akik egy Power BI-alkalmazásban fogják látni a tartalomgyűjteményt. Bár egyéni felhasználókat rendelhet egy célközönséghez, gyakorlatias esetekben ajánlott biztonsági csoportokat, Microsoft 365-csoportokat vagy terjesztési csoportokat hozzárendelni. További információkért tekintse meg a csoportok használatának stratégiáját a bérlőszintű biztonsági tervezésről szóló cikkben.

Egy alkalmazás engedélyeinek kezelésekor a Közvetlen hozzáférés lapon megtekintheti az egyes célközönségek tagjait. A munkaterületi szerepkörrel rendelkező felhasználókat a Minden közönség csoportban is láthatja. A Direct Access oldalról nem frissítheti az alkalmazásengedélyeket. Ehelyett újra közzé kell tennie az alkalmazást. Az alkalmazásengedélyeket azonban frissítheti a Függőben lapról, ha vannak nyitott hozzáférési kérelmek az alkalmazáshoz.

Tipp.

Az alkalmazás célközönségeinek használatának elsődleges alkalmazási esete a különböző felhasználói csoportokra vonatkozó engedélyek meghatározása. Azonban egy kicsit kreatívabb lehet, ha közönséget használ. Egy felhasználó több célközönség tagja is lehet, és minden célközönség másodlagos menükészletként jelenik meg az alkalmazás megtekintői számára. Létrehozhat például egy Start Here nevű célközönséget, amely információkat tartalmaz az alkalmazás használatáról, a kapcsolattartásról, a visszajelzések megadásáról és a segítségkérésről. Vagy létrehozhat egy KPI-definíciók nevű célközönséget, amely tartalmaz egy adatszótárat. Az ilyen típusú információk biztosítása segít az új felhasználóknak, és javítja a megoldás bevezetésére irányuló erőfeszítéseket.

Alkalmazásengedély-beállítások

Alkalmazás létrehozásakor (vagy újbóli közzétételekor) minden célközönség rendelkezik egy Célközönség-hozzáférés kezelése panelrel. Ebben a panelen a következő engedélyek érhetők el.

  • Hozzáférés biztosítása: Az egyes célközönségek számára hozzáférést biztosíthat az egyes felhasználókhoz és csoportokhoz. Az alkalmazást közzéteheti a teljes szervezetben, ha az alkalmazások közzététele a teljes szervezeti bérlői beállításban engedélyezve van, és az alkalmazás nincs automatikusan telepítve. Ha lehetséges, javasoljuk, hogy rendeljen csoportokat a célközönségekhez, mert a felhasználók hozzáadása vagy eltávolítása az alkalmazás ismételt közzétételét igényli. A munkaterület-hozzáféréssel rendelkező felhasználók a munkaterületi szerepkörüktől függően automatikusan megtekinthetik vagy frissíthetik az alkalmazást.
  • Szemantikai modellengedélyek: Az alkalmazások közzétételekor kétféle szemantikai modell engedély adható meg:
    • Szemantikai modell újraosztása: Ha engedélyezve van, az alkalmazás felhasználói újramegosztási engedélyt kapnak a mögöttes szemantikai modell(ek)re másokkal. Érdemes engedélyezni ezt a beállítást, ha a mögöttes szemantikai modell(ek) bárkivel könnyen újra megoszthatók. Javasoljuk, hogy a szemantikai modell tulajdonosától (tulajdonosától) kérjen jóváhagyást, mielőtt engedélyt ad az újramegosztásra az alkalmazás célközönségének.
    • Szemantikai modell összeállítása: Ha engedélyezve van, az alkalmazás felhasználói buildelési engedélyt kapnak a szemantikai modellekhez. A létrehozási engedély lehetővé teszi, hogy a felhasználók új jelentéseket hozzanak létre, a mögöttes adatokat pedig a jelentésekből exportálják. Javasoljuk, hogy jóváhagyást kapjon a szemantikai modell tulajdonosától, mielőtt buildelési engedélyt ad az alkalmazás célközönségének.

Az alkalmazás közzétételekor a szemantikai modell újramegosztási vagy buildelési engedélyeinek hozzáadása kényelmes. Javasoljuk azonban, hogy fontolja meg az alkalmazásengedélyek és szemantikai modellek engedélyeinek külön kezelését. Íme az okok.

  • A megosztott szemantikai modell egy külön munkaterületen lehet: Ha a szemantikai modellt az alkalmazástól eltérő munkaterületen teszi közzé, akkor közvetlenül kell kezelnie az engedélyeit. Az olvasási, buildelési vagy újramegosztási engedélyek hozzáadása az alkalmazás közzétételekor csak az alkalmazással azonos munkaterületen található szemantikai modellek esetében működik. Ezért azt javasoljuk, hogy ismerkedjen meg a szemantikai modell engedélyeinek független kezelésével.
  • A szemantikai modell engedélyeinek kezelése külön történik: Ha eltávolít vagy módosít egy alkalmazás engedélyeit, az csak az alkalmazást érinti. Nem távolítja el automatikusan a korábban hozzárendelt szemantikai modellengedélyeket. Ily módon az alkalmazásengedélyek és a szemantikai modellengedélyek leválasztottnak tekinthetők. A szemantikai modellt közvetlenül, az alkalmazástól elkülönítve kell kezelnie, amikor megváltoznak vagy el kell távolítani a szemantikai modell engedélyeit.
  • A szemantikai modell engedélyeit szabályozni kell: Ha szemantikai modellengedélyeket ad meg egy alkalmazáson keresztül, az eltávolítja a vezérlőt a szemantikai modell tulajdonosától. Az újramegosztási engedély megadása a szemantikai modell(ek) újraosztását választó felhasználók helyes ítélőképességén alapul. A belső szabályozási vagy biztonsági irányelvek kezelése nehezebbé válhat, ha engedélyezve van az újramegosztás.
  • A fogyasztóknak és az alkotóknak különböző céljaik vannak: Általában sokkal több tartalomfelhasználó van, mint a szervezet alkotói. A minimális jogosultság elvével összhangban a fogyasztóknak csak olvasási engedélyre van szükségük a mögöttes szemantikai modellhez. Csak akkor van szükségük buildelési engedélyre, ha új jelentéseket kívánnak létrehozni.

Tipp.

A különálló adat-munkaterületek és jelentéskészítő munkaterületek használatának időpontjáról a munkaterületszintű tervezési cikk nyújt további információt.

Alkalmazás-előtelepítési jogosultságok

A Power BI-alkalmazások közzététele után a felhasználóknak általában telepíteniük kell, hogy megnyithassák. A felhasználó telepíthet egy alkalmazást a Power BI szolgáltatás Alkalmazások lapjáról, vagy egy másik felhasználótól kapott hivatkozással. Akkor találnak (és telepíthetnek) egy alkalmazást, ha az alkalmazás legalább egy célközönségéhez tartoznak.

Az alkalmazások telepítésének másik módszere, ha leküldi azt az alkalmazásfelhasználóknak. Ez az alkalmazás előzetes telepítését eredményezi, így automatikusan megjelenik a Power BI szolgáltatás Alkalmazások lapján. Ez a megközelítés a fogyasztók kényelmét szolgálja, mivel nem kell megtalálniuk és telepíteniük az alkalmazást. Az előre telepített alkalmazások azonban bosszúságot okozhatnak a felhasználók számára, mivel túl sok olyan alkalmazás terhelheti őket, amelyek nem relevánsak számukra.

Az alkalmazások leküldése a végfelhasználóknak bérlői beállítás szabályozza, hogy kik telepíthetnek automatikusan alkalmazásokat. Javasoljuk, hogy használja ezt a funkciót, mert a felhasználók számára kényelmes. Azt is javasoljuk azonban, hogy tájékoztassa a tartalomkészítőket arról, hogy mikor érdemes használni, hogy ne használhassák túl.

Tipp.

Ha egy alkalmazás közzétételekor kiválasztja az alkalmazás automatikus telepítésének lehetőségét, nem állíthatja be a célközönséget a teljes szervezetre (ha a Leküldéses alkalmazások engedélyezve van a végfelhasználók bérlői beállításai között).

Ellenőrzőlista – A tartalommegjelenítők számára készült alkalmazások használatára vonatkozó stratégia létrehozásakor a legfontosabb döntések és műveletek a következők:

  • Döntse el az alkalmazások használatának stratégiáját: Határozza meg az alkalmazások használatának beállításait. Győződjön meg arról, hogy az megfelel az írásvédett felhasználók általános stratégiájának.
  • Döntse el, hogy ki tehet közzé alkalmazásokat a teljes szervezetben: Döntse el, hogy mely jelentéskészítők tehetnek közzé közzétételt a teljes szervezetben. Állítsa be az alkalmazások közzétételét a teljes szervezeti bérlői beállításra, hogy igazodjon ehhez a döntéshez.
  • Döntse el, hogy kik küldhetnek alkalmazásokat a végfelhasználóknak: Döntse el, hogy mely Power BI-jelentéskészítők telepíthetik előre az alkalmazásokat. Állítsa be a Leküldéses alkalmazásokat a végfelhasználók bérlői beállítására, hogy igazodjon ehhez a döntéshez.
  • Útmutató létrehozása és közzététele tartalomkészítők számára: Dokumentáció és képzés a tartalomkészítők számára. Az alkalmazások leghatékonyabb használatára vonatkozó követelmények és beállítások belefoglalása.
  • Határozza meg, hogyan kezelje az alkalmazáshozzáférés-kérelmeket: Győződjön meg arról, hogy folyamatban van a névjegyek hozzárendelése és az alkalmazás-hozzáférési kérelmek időben történő kezelése.

Munkaterületmegjelenítő szerepkör

A munkaterülettervezési cikkekben leírtak szerint a munkaterület elsődleges célja az együttműködés. A munkaterület-közreműködőket, például a szemantikai modellek létrehozóit, a jelentéskészítőket és a tesztelőket három szerepkör egyikéhez kell hozzárendelni: Közreműködő, Tag vagy Rendszergazda. Ezeket a szerepköröket a Tartalomkészítő biztonsági tervezési cikk ismerteti.

A munkaterületmegjelenítő szerepkört hozzárendelheti a felhasználókhoz. Ha lehetővé teszi a felhasználók számára, hogy közvetlenül egy munkaterületen férhessenek hozzá a tartalmakhoz, érdemes lehet a szorosan együttműködő kis csapatoknak és informális csapatoknak.

A munkaterület tartalmának közvetlen elérése a felhasználók számára jó választás, ha:

  • Az alkalmazás formalitása nem szükséges külön engedélyekkel.
  • A megtekintők megtekinthetik a munkaterületen tárolt összes elemet.
  • Egyszerűbb engedélykezelést szeretne, mint elemenkénti engedélyeket.
  • A munkaterület felhasználói megtekinthetik az alkalmazásokat is (ha egy alkalmazás közzé van téve a munkaterületen).
  • A szándék az, hogy a nézők áttekintse a tartalmat, mielőtt közzétennének egy alkalmazásban.

Az alábbiakban néhány javaslatot talál a munkaterület-megtekintők támogatásához.

  • Az egyes munkaterületek tartalmait úgy rendszerezheti, hogy az elemek könnyen elférhessenek a jelentés felhasználói számára, és így azok megfelelően igazodjanak a biztonsághoz. A munkaterületek szervezetének tárgya vagy projektje általában jól működik.
  • Különítse el a fejlesztési és tesztelési tartalmakat az éles tartalomtól, hogy a folyamatban lévő elemeket ne érhessék el a nézők.
  • Akkor használjon alkalmazásokat (vagy adott esetben elemenkénti engedélyeket), ha várhatóan sok hozzáférési kérést fog feldolgozni. A munkaterületekhez nincs hozzáférési kérési munkafolyamat.

Ellenőrzőlista – A munkaterületek tartalommegjelenítők számára való használatára vonatkozó stratégia létrehozásakor a legfontosabb döntések és műveletek a következők:

  • Döntsön a munkaterületmegjelenítő szerepkör használatára vonatkozó stratégiáról: Határozza meg a munkaterületek felhasználói számára való használatára vonatkozó beállításokat. Győződjön meg arról, hogy az megfelel az írásvédett felhasználók általános stratégiájának.
  • Útmutató létrehozása és közzététele tartalomkészítők számára: Dokumentáció és képzés a tartalomkészítők számára. A munkaterületi engedélyek leghatékonyabb használatára vonatkozó követelmények és beállítások megadása.

Elemenkénti engedélyek

Az egyes elemek megosztása egyetlen elemnek ad engedélyt. A kevésbé tapasztalt tartalomkészítők általában ezt a technikát használják elsődleges megosztási módszerként, mivel a megosztási parancsok kiemelten jelennek meg a Power BI szolgáltatás. Ezért fontos, hogy a tartalomkészítők megismerjék a különböző megosztási lehetőségeket, beleértve azt is, hogy mikor érdemes alkalmazásengedélyeket használni a munkaterületi szerepkörök helyett.

Elemenkénti engedélyek akkor jó választás, ha:

  • Csak olvasási hozzáférést szeretne biztosítani egy elemhez (jelentéshez vagy irányítópulthoz).
  • Nem szeretné, hogy a fogyasztó megtekintse a munkaterületen közzétett összes tartalmat.
  • Nem szeretné, hogy a fogyasztó az alkalmazás közönsége számára közzétett összes tartalmat megtekintse.

Elemenkénti engedélyeket takarékosan használhat, mert a megosztás olvasási engedélyt ad egyetlen elemhez. A munkaterületi szerepkörök vagy alkalmazásengedélyek felülbírálásaként tekinthet az egyes elemekre vonatkozó engedélyekre.

Tipp.

Javasoljuk, hogy amikor csak lehetséges, használjon alkalmazásengedélyeket. Ezután fontolja meg a munkaterületi szerepkörök használatát a közvetlen munkaterület-hozzáférés engedélyezéséhez. Végül használjon elemenkénti engedélyeket, ha megfelelnek a fenti feltételeknek. Az alkalmazásengedélyek és a munkaterületi szerepkörök egyaránt meghatározzák a tartalomgyűjtemények biztonságát (nem pedig az egyes elemeket), ami jobb biztonsági gyakorlat.

Sok elem elemenkénti engedélyekkel való megosztása fárasztó és hibalehetőséget jelenthet, különösen akkor, ha csoportok helyett egyéni felhasználókkal oszt meg megosztást. Fontolja meg ezt a forgatókönyvet: 40 jelentést osztott meg munkatársaival az egyéni felhasználói fiókjaik használatával. Amikor egy munkatárs egy másik részlegbe kerül, vissza kell vonnia a hozzáférésüket, ami mind a 40 jelentés szerkesztési engedélyeivel jár.

Fontos

A személyes munkaterületről származó tartalmakat ritkán kell megosztani. A személyes munkaterületek leginkább a nem kritikus, informális vagy ideiglenes tartalmakhoz ideálisak. Ha olyan helyzetben van, hogy a tartalomkészítők gyakran osztanak meg fontos vagy kritikus tartalmakat a személyes munkaterületeikről, megfelelő lépéseket kell tenni a tartalom szabványos munkaterületre való áthelyezéséhez. További információkért tekintse meg a személyes BI használati forgatókönyvét.

Ha megoszt egy adott elemet, több jogosultsági lehetősége is van.

  • Újramegosztási engedély: Ha engedélyezve van, a felhasználók megoszthatják az elemet más felhasználókkal, beleértve a mögöttes szemantikai modelleket is. Érdemes ezt az engedélyt megadni, ha az elemet bárkivel könnyen meg lehet osztani. Eltávolítja a vezérlőt az elemet kezelő személytől vagy csoporttól. Tehát az újramegosztási engedélyt kapó felhasználók helyes ítélőképességére támaszkodik. A belső irányítási vagy biztonsági irányelvek azonban nehezebben kezelhetők, ha engedélyezve van az újramegosztás.
  • Összeállítási engedély: Ha engedélyezve van, a felhasználók buildelési engedélyt kapnak a mögöttes szemantikai modellhez. A létrehozási engedély lehetővé teszi a felhasználók számára, hogy a szemantikai modellen alapuló új tartalmat hozzanak létre. Lehetővé teszi továbbá, hogy a mögöttes adatokat a jelentésekből exportálják, és így tovább. A buildelési engedély megadásának szempontjait a Tartalomkészítő biztonsági tervezési cikk ismerteti.

A jelentések és irányítópultok elemenkénti engedélyei értelmet adhatnak az informális forgatókönyveknek, ha a tartalmat megosztják néhány felhasználóval. Célszerű inkább az alkalmazásokkal és munkaterületekkel kapcsolatos engedélyek kezelésére tanítani a felhasználókat, különösen akkor, ha a tartalmat nagy számú, a csapaton kívüli felhasználónak vagy felhasználónak osztják meg. Fontos kiemelni a következő szempontokat.

  • Egyre nehezebb megállapítani, hogy mely tartalmakat osztották meg a felhasználókkal, mert az egyes jelentések és irányítópultok engedélyeit egyenként kell áttekinteni.
  • Sok esetben az újramegosztási engedély azért van beállítva, mert a felhasználói élmény alapértelmezés szerint engedélyezi ezt a beállítást. Így fennáll a veszélye annak, hogy a tartalom a kívántnál szélesebb felhasználói csoport számára lesz megosztva. Ez az eredmény megelőzhető, ha törli a jelentés megosztásának engedélyezése a címzettek számára a megosztáskor jelölőnégyzet jelölését. Az ilyen módon történő túlmegosztás minimalizálása egy felhasználói betanítási probléma. A megosztási engedélyeket beállító tartalomkészítőnek minden alkalommal figyelembe kell vennie ezt a lehetőséget.
  • A jelentések és irányítópultok módosításait mások azonnal megtekinthetik, ami megzavarhatja a felhasználókat, ha a tartalommódosítások folyamatban vannak. Ez a probléma enyhíthető egy alkalmazás tartalmainak terjesztésével, vagy a fejlesztési, tesztelési és éles tartalmak elkülönítéséhez külön munkaterületek használatával. További információkért tekintse meg az önkiszolgáló tartalom-közzététel használati forgatókönyvét .
  • Amikor egy felhasználó tartalmat oszt meg a személyes munkaterületéről, és kilép a szervezetből, az informatikai szolgáltatás általában letiltja a felhasználói fiókját. Ebben az esetben a megosztott tartalom minden címzettje azonnal elveszíti a tartalomhoz való hozzáférést.

A megosztásnak három típusa van: megosztási hivatkozások, közvetlen hozzáférés-megosztás és megosztott nézetek.

Ha megoszt egy adott elemet, az alapértelmezett felület egy megosztási hivatkozást eredményez. A megosztási hivatkozásoknak három típusa van.

  • Kapcsolatok a szervezetben: Ha engedélyezve van a Power BI-bérlői beállításokban, ez a megosztási hivatkozás egy egyszerű módja annak, hogy a szervezeten belül mindenki számára csak olvasható hozzáférést biztosítson. A megosztási hivatkozás azonban nem fog működni a külső felhasználók számára. Ez a beállítás akkor ideális, ha bárki megtekintheti a tartalmat, és a hivatkozás szabadon megosztható a szervezetben. Hacsak nem tiltja le a megosztásra alkalmas hivatkozások engedélyezése a szervezeti bérlői beállításban lévő összes felhasználó számára, akkor ez a megosztási típus az alapértelmezett.
  • Kapcsolatok meglévő hozzáféréssel: Ez a beállítás nem hoz létre új megosztási hivatkozást. Ehelyett lehetővé teszi, hogy lekérje az URL-címet, hogy elküldhesse valakinek, aki már rendelkezik hozzáféréssel.
  • Adott személyek: Ez a beállítás egy megosztási hivatkozást hoz létre adott felhasználók vagy csoportok számára. Javasoljuk, hogy ezt a lehetőséget használja az idő nagy részében, mert adott hozzáférést biztosít. Ha gyakran dolgozik külső felhasználókkal, ezt a típusú hivatkozást használhatja olyan vendégfelhasználók számára, akik már léteznek a Microsoft Entra-azonosítóban (korábbi nevén Azure Active Directory). A vendégfelhasználók létrehozásához tervezett meghívási folyamatról további információt a bérlőszintű biztonsági tervezésről szóló cikkben talál.

Fontos

Javasoljuk, hogy fontolja meg a megosztható hivatkozások engedélyezésének korlátozását, hogy hozzáférést biztosítson a szervezeti bérlői beállítás minden tagjának egy csoport tagjainak. Létrehozhat egy csoportnevet, például a Power BI-megosztást a teljes szervezetben, majd hozzáadhat egy kis számú felhasználót, akik tisztában vannak a szervezeti szintű megosztás következményeivel. Ha a meglévő szervezeti hivatkozások miatt aggódik, a rendszergazdai API-val megkeresheti az összes olyan elemet, amelyet a teljes szervezettel megosztottak.

A megosztási hivatkozás olvasási engedélyt ad az elemhez. Alapértelmezés szerint az újramegosztási engedély van kiválasztva. A megosztási hivatkozás létrehozásával egyidejűleg buildelési engedélyt is hozzáadhat a mögöttes szemantikai modellhez.

Tipp.

Javasoljuk, hogy a tartalomkészítőknek csak akkor engedélyezze a Build jogosultsági lehetőséget, ha a jelentés fogyasztója olyan tartalomkészítő is, akinek jelentéseket kell létrehoznia, adatokat exportálnia vagy összetett modellt kell létrehoznia a mögöttes szemantikai modellből.

A hivatkozások megosztása egyszerűbben karbantartható, mint a közvetlen hozzáférés-megosztás, különösen akkor, ha tömeges módosításokat kell végrehajtania. Ez jelentős előnyt jelent, ha az egyes felhasználók megosztási engedélyeket kapnak, sokkal inkább, mint a csoportokat (ami általában akkor fordul elő, ha az önkiszolgáló felhasználók felelősek az engedélyek kezeléséért). Tekintse meg az alábbi összehasonlítást.

  • Megosztási hivatkozás: 20 egyéni felhasználó kap hozzáférést egy megosztási hivatkozással. A hivatkozás egyetlen módosítása mind a 20 felhasználót érinti.
  • Közvetlen hozzáférés: 20 személy kap közvetlen hozzáférést egy elemhez. A módosításhoz mind a 20 felhasználói engedélyt módosítani kell.

Elemenkénti közvetlen hozzáférési engedélyek

Az elemenkénti engedélyeket közvetlen hozzáféréssel is elérheti. A közvetlen hozzáférés magában foglalja egyetlen elem engedélyeinek beállítását. A munkaterületi szerepkörökből származó öröklődő engedélyeket is meghatározhatja.

Ha közvetlen hozzáférést ad egy felhasználónak, olvasási engedélyt kapnak az elemhez. Alapértelmezés szerint az újramegosztási engedély van kiválasztva, ahogy a mögöttes szemantikai modell buildelési engedélye is. Azt javasoljuk, hogy a tartalomkészítőknek csak akkor engedélyezze a buildelési engedélyt, ha a jelentés fogyasztója olyan tartalomkészítő is, akinek jelentéseket kell létrehoznia, adatokat exportálnia vagy összetett modelleket kell létrehoznia a mögöttes szemantikai modellből.

Tipp.

A felhasználói élmény megkönnyíti az újramegosztási és buildelési engedélyek megadását, de a megosztást végző felhasználónak mindig ellenőriznie kell, hogy szükség van-e ezekre az engedélyekre.

Megosztott nézetek

Megosztott nézettel megoszthatja egy jelentés szűrt perspektíváját egy másik felhasználóval. Megosztott nézetet megosztási hivatkozással vagy közvetlen hozzáféréssel tehet közzé.

A megosztott nézetek ideiglenes fogalmak. 180 nap után automatikusan lejárnak. Ezért a megosztott nézetek leginkább az informális és az ideiglenes megosztási forgatókönyvekhez ideálisak. Ügyeljen arra, hogy a felhasználók tisztában legyenek ezzel a korlátozásokkal.

Ellenőrzőlista – Az elemenkénti engedélyek használatára vonatkozó stratégia létrehozásakor a legfontosabb döntések és műveletek a következők:

  • Döntse el a megosztási funkció használatának stratégiáját: Határozza meg az elemenkénti engedélyek használatára vonatkozó beállításokat. Győződjön meg arról, hogy az megfelel az írásvédett felhasználók általános stratégiájának.
  • Döntse el, hogy ki tehet közzé hivatkozásokat a teljes szervezet számára: Döntse el, hogy mely jelentéskészítők tehetnek közzé hivatkozásokat a teljes szervezet számára. Állítsa be a Megosztható hivatkozások engedélyezése beállítást, hogy a szervezeti bérlői beállítás minden tagja számára hozzáférést biztosítson a döntésnek megfelelően.
  • Útmutató létrehozása és közzététele tartalomkészítők számára: Dokumentáció és képzés biztosítása tartalomkészítők számára, amelyek tartalmazzák az elemenkénti engedélyek leghatékonyabb használatára vonatkozó követelményeket és beállításokat. Győződjön meg arról, hogy tisztában vannak az elemenkénti engedélyek előnyei és hátrányai. Útmutatást ad a megosztási hivatkozások használatáról és a közvetlen hozzáférés megosztásának időpontjáról.

Egyéb fogyasztói lekérdezési technikák

A felhasználók leggyakrabban az alkalmazásokkal, munkaterületekkel és elemenkénti engedélyekkel kommunikálhatnak a Power BI-jal (ezt korábban ebben a cikkben ismertetjük).

A felhasználók más technikákkal is lekérdezhetik a Power BI-adatokat. Az alábbi lekérdezési technikák mindegyike szemantikai modellt vagy datamart buildelési engedélyt igényel.

  • Elemzés az Excelben: Az Excelt előnyben részesítő felhasználók lekérdezhetik a Power BI szemantikai modelljét az Elemzés az Excelben használatával. Ez a képesség kiváló alternatíva az adatok Excelbe való exportálására, mivel az adatok nem duplikálva lesznek. A szemantikai modellhez való élő kapcsolattal a felhasználók kimutatásokat, diagramokat és szeletelőket hozhatnak létre. Ezután közzétehetik a munkafüzetet egy munkaterületen a Power BI szolgáltatás, amely lehetővé teszi a felhasználók számára, hogy megnyitják és használják azt.
  • XMLA-végpont: A felhasználók az XMLA-végponthoz való csatlakozással lekérdezhetnek egy szemantikai modellt. Az XMLA-kompatibilis alkalmazások csatlakozhatnak, lekérdezhetnek és felhasználhatnak egy prémium szintű munkaterületen tárolt szemantikai modellt. Ez a funkció akkor hasznos, ha a felhasználók power BI szemantikai modellt szeretnének adatforrásként használni a Microsoft ökoszisztémán kívüli adatvizualizációs eszközhöz.
  • Datamart-szerkesztő: A felhasználók a Datamart-szerkesztővel kérdezhetnek le egy Power BI-adatmartot. Ez egy webes vizualizációs lekérdezésszerkesztő, amely kód nélküli lekérdezéseket hoz létre. Van egy webalapú SQL-szerkesztő is, amely arra az állapotra vonatkozik, amikor a felhasználók szívesebben írnak SQL-lekérdezéseket. Mindkét szerkesztő lekérdezi a Power BI datamart alapjául szolgáló felügyelt Azure SQL Database-t (a beépített szemantikai modell helyett).
  • SQL-végpont: A felhasználók az SQL-végpont használatával lekérdezhetnek egy Power BI-adatmartot. Sql-lekérdezések futtatásához olyan eszközöket használhatnak, mint az Azure Data Studio vagy az SQL Server Management Studio (SSMS). Az SQL-végpont a Power BI datamart alapjául tartozó felügyelt Azure SQL Database-hez irányítja a lekérdezéseket (a beépített szemantikai modell helyett).

A buildelési engedéllyel kapcsolatos további információkért tekintse meg a Tartalomkészítő biztonsági tervezési cikkét.

Ellenőrzőlista – A felhasználók által használt lekérdezési technikák tervezésekor a legfontosabb döntések és műveletek a következők:

  • Útmutatás a felhasználóknak az Elemzés az Excelben használatával kapcsolatban: Dokumentációt és betanítást nyújt a felhasználóknak a meglévő szemantikai modellek Excelben való újrafelhasználásának legjobb módjáról.
  • Útmutató létrehozása a felhasználók számára az XMLA-végpont használatával kapcsolatban: Dokumentáció és betanítás a fogyasztók számára a meglévő szemantikai modellek XMLA-végponttal való újrafelhasználásának legjobb módjáról.
  • Útmutató létrehozása a felhasználók számára a datamart-lekérdezésekkel kapcsolatban: Dokumentáció és betanítás a felhasználók számára a Power BI-adatmartok lekérdezéséhez rendelkezésre álló technikákkal kapcsolatban.

Hozzáférési munkafolyamat kérése felhasználók számára

Tartalom megosztásakor gyakran előfordul, hogy egy felhasználó egy hivatkozást (URL-címet) továbbít egy másik felhasználónak. Amikor a címzett megkísérli megtekinteni a tartalmat, és rájön, hogy nincs hozzáférése hozzá, kiválaszthatja a Hozzáférés kérése gombot. Ez a művelet elindítja a kérés hozzáférési munkafolyamatát. Ezután a rendszer felkéri a felhasználót, hogy adjon meg egy üzenetet, amely elmagyarázza, miért szeretne hozzáférni.

A kérelem-hozzáférési munkafolyamat a következőhöz létezik:

  • Hozzáférés Power BI-alkalmazásokhoz.
  • Hozzáférés egy elemhez, például egy jelentéshez vagy irányítópulthoz.
  • Hozzáférés szemantikai modellhez. A szemantikai modell felderítésekor a Kérelem hozzáférési munkafolyamatával kapcsolatos további információkért tekintse meg a Tartalomkészítő biztonsági tervezési cikkét.

Alkalmazás-hozzáférési kérelmek

Az alkalmazáshoz elküldött függőben lévő hozzáférési kérelmeket kétféleképpen ismerheti meg.

  • E-mail: Az alkalmazás kapcsolattartói e-mailben értesítést kapnak. Alapértelmezés szerint ez a partner az alkalmazás közzétevője. A kritikus alkalmazások jobb támogatása érdekében javasoljuk, hogy állítsa be a partnert egy olyan csoportra, amely képes gyorsan válaszolni a kérelmek elérésére.
  • Engedélyek kezelése menü: A munkaterület rendszergazdái és tagjai megtekinthetik, jóváhagyhatják vagy elutasíthatják a hozzáférési kérelmeket. Az Engedélyek kezelése lap az Alkalmazások lapon érhető el, és minden alkalmazáshoz megnyitható. Ez a funkció akkor is elérhető a munkaterület közreműködői számára, ha engedélyezve van az alkalmazás frissítésének engedélyezése a munkaterület-beállításhoz .

Az alkalmazás függőben lévő hozzáférési kérelmei a felhasználó által megadott üzenetet jelenítik meg. Minden függőben lévő kérés jóváhagyható vagy elutasítható. Amikor úgy dönt, hogy jóváhagy egy kérelmet, ki kell jelölni egy alkalmazás célközönségét.

Az alábbi képernyőképen egy felhasználó függőben lévő hozzáférési kérése látható. A jóváhagyáshoz ki kell jelölni a két alkalmazás célközönségének egyikét, a Sales Repset vagy a Sales Leadershipt.

Képernyőkép egy Power BI-alkalmazás függőben lévő kéréséről a Power BI szolgáltatás.

Az alkalmazás közzétételekor a tartalom és az engedélyek egyszerre lesznek közzétéve. Ahogy korábban már említettem, nem lehet csak az alkalmazásengedélyeket közzétenni tartalommódosítások nélkül. Van azonban egy kivétel: Ha jóváhagy egy függőben lévő hozzáférési kérelmet (például az előző képernyőképen láthatót), az engedélymódosítás a munkaterület legújabb tartalmának közzététele nélkül történik.

Munkaterület hozzáférési kérelmei

A munkaterület-hozzáférést a Rendszergazda szerepkörhöz vagy tagi szerepkörhöz tartozó felhasználók biztosítják.

A munkaterületet megtekintő felhasználók hozzáférés-megtagadási üzenetet kapnak, ha nem tagja munkaterületi szerepkörnek. Mivel a munkaterületekhez nincs beépített kérelemhozzáférési munkafolyamat, a legjobban kis csapatok és informális csapatok számára használhatók, akik szorosan együttműködnek. Ez az egyik oka annak, hogy egy Power BI-alkalmazás jobban megfelel a nagyobb csapatoknak és a szélesebb körű tartalomterjesztési forgatókönyveknek.

Elemenkénti hozzáférési kérelmek

Kétféleképpen ismerheti meg az egyes elemekhez, például egy jelentéshez elküldött függőben lévő hozzáférési kérelmeket.

  • E-mail: Az elem kapcsolattartói e-mailben értesítést kapnak. A kritikus jelentések jobb támogatása érdekében javasoljuk, hogy a partnert olyan csoportra állítsa be, amely képes gyorsan válaszolni a kérelmek elérésére.
  • Engedélyek kezelése menü: A munkaterület rendszergazdái és tagjai hozzáférhetnek az egyes elemek engedélyeinek kezelése laphoz. Megtekinthetik, jóváhagyhatják vagy elutasíthatják a függőben lévő kéréseket.

Hozzáférési kérelmek kezelése csoportokkal

Amikor egy felhasználó elküldi a Kérelem hozzáférési űrlapot egy Power BI-elemhez (például jelentéshez vagy szemantikai modellhez) vagy egy Power BI-alkalmazáshoz, a kérés egy adott felhasználóhoz lesz elküldve. Sok nagy szervezetnek azonban csoportokat kell használnia a belső biztonsági szabályzataik betartásához.

Javasoljuk, hogy egyéni helyett csoportokat használjon a tartalom biztonságossá tételéhez, amikor csak gyakorlatias. A csoportok tervezésével kapcsolatos további információkért tekintse meg a bérlőszintű biztonsági tervezésről szóló cikket.

Ha egyéni felhasználók helyett csoportokat kíván biztosítani, a hozzáférési kérelmet feldolgozó tartalomtulajdonosnak vagy rendszergazdának több lépésben kell teljesítenie a kérést:

  1. Elutasíthatja a függőben lévő kérést a Power BI-ban (mivel az egyéni felhasználóhoz van társítva).
  2. Adja hozzá a kérelmezőt a megfelelő csoporthoz az aktuális folyamatnak megfelelően.
  3. Értesítse a kérelmezőt, hogy most már rendelkezik hozzáféréssel.

Tipp.

A tartalomkészítőktől érkező buildelési hozzáférési kérelmekre való válaszadással kapcsolatos információkért tekintse meg a tartalomkészítők hozzáférési kérelmeinek megválaszolását ismertető témakört. Emellett javaslatokat is tartalmaz egy űrlap hozzáférési kérelmekhez való használatával kapcsolatban.

Ellenőrzőlista – A kérelem-hozzáférési munkafolyamat tervezésekor a legfontosabb döntések és műveletek a következők:

  • Határozza meg, hogy kinek kell kezelnie az alkalmazáshozzáférés-kérelmeket: Győződjön meg arról, hogy folyamatban van egy folyamat az alkalmazáshozzáférés-kérelmek időben történő kezeléséhez. Győződjön meg arról, hogy az alkalmazás névjegyei hozzá vannak rendelve a folyamat támogatásához.
  • Határozza meg, hogy ki kezelje az elemenkénti kérelmeket: Győződjön meg arról, hogy a hozzáférési kérések időben történő kezeléséhez folyamatban van egy folyamat. Győződjön meg arról, hogy az egyes elemekhez névjegyek vannak rendelve a folyamat támogatásához.
  • Tartalomkészítők dokumentációjának és betanításának része: Győződjön meg arról, hogy a tartalomkészítők tudják, hogyan kezelhetik időben a hozzáférési kérelmeket. Vegye figyelembe, hogy hogyan kezelheti a kéréseket, amikor egy csoportot kell használni egy egyéni felhasználó helyett.
  • Belefoglalás a dokumentációba és a betanításba: Útmutatást nyújt a tartalomkészítőknek a hozzáférési kérelmek hatékony kezeléséhez. Útmutatást is nyújt a felhasználóknak arról, hogy milyen információkat kell tartalmazniuk a hozzáférési kérelem üzenetében.

Adatbiztonság kényszerítése a fogyasztói identitás alapján

Az adatbiztonság kikényszerítésével kevesebb szemantikai modellt és jelentést hozhat létre. A cél az adatbiztonság kikényszerítése a tartalmat megtekintő felhasználó identitása alapján.

Tegyük fel például, hogy egyetlen értékesítési jelentést oszthat meg az összes értékesítővel (fogyasztóval), tudva, hogy az egyes értékesítők csak a régiójuk értékesítési eredményeit látják. Ezzel a módszerrel elkerülheti, hogy régiónként külön jelentéseket hozzon létre, amelyeket meg kell osztani az adott értékesítési régióban lévő értékesítőkkel.

Egyes szervezetek speciális követelményekkel rendelkeznek a támogatott (minősített vagy előléptetett) szemantikai modellekre vagy adatmartokra vonatkozóan. A széles körben használt adatok esetében szükség lehet az adatbiztonság használatára.

Az adatbiztonságot többféleképpen is elvégezheti.

  • Power BI szemantikai modell: Power BI-adatkészítőként kényszerítheti ki a sorszintű biztonságot (RLS) és az objektumszintű biztonságot (OLS). Az RLS magában foglalja az adatmodell sorainak szűrését végző szerepkörök és szabályok meghatározását, míg az OLS bizonyos táblákhoz vagy oszlopokhoz való hozzáférést korlátozza. Ezek a definiált RLS- és OLS-szabályok nem vonatkoznak a szemantikai modellen kívül tárolt hivatkozásokra, például a szeletelőre és a szűrőkijelölésekre. Az RLS- és OLS-technikákat a szakasz későbbi részében ismertetjük.
  • Analysis Services: Az élő kapcsolat szemantikai modellje csatlakozhat egy távoli adatmodellhez, amelyet az Azure Analysis Services (AAS) vagy az SQL Server Analysis Services (SSAS) üzemeltet. A távoli modell a fogyasztói identitás alapján kényszerítheti az RLS-t vagy az OLS-t.
  • Adatforrás: Egyes adatforrások, például az Azure SQL Database, kényszeríthetik az RLS-t. Ebben az esetben a Power BI-modell ahelyett, hogy újradefiniálja azt, kihasználhatja a meglévő biztonságot. Ez a megközelítés jelentős előnyt jelenthet, ha a forrásban definiált RLS összetett. DirectQuery-modellt fejleszthet és tehet közzé, és beállíthatja a szemantikai modell adatforrás-hitelesítő adatait a Power BI szolgáltatás az egyszeri bejelentkezés (SSO) engedélyezéséhez. Amikor egy jelentésfelhasználó megnyitja a jelentést, a Power BI átadja az identitását az adatforrásnak. Az adatforrás ezután kikényszeríti az RLS-t a jelentésfelhasználó identitása alapján. Az Azure SQL Database RLS-ről ebben a cikkben talál további információt.

Feljegyzés

A forrásrendszerek, például az Azure SQL Database, olyan technikákat is használhatnak, mint a nézetek, hogy szűkítse a felhasználó által látható adatokat. Bár ez egy érvényes technika, ez nem releváns a szakasz fókuszában.

Sorszintű biztonság

A sorszintű biztonság (RLS) lehetővé teszi, hogy az adatmodellező korlátozza az adatok egy részhalmazához való hozzáférést. Általában arra használják, hogy bizonyos jelentésfelhasználók ne láthassanak konkrét adatokat, például más értékesítési régiók értékesítési eredményeit.

Tipp.

Ha észrevette, hogy valaki több adatmodellt hoz létre a különböző fogyasztói csoportok támogatásához, ellenőrizze, hogy az RLS megfelel-e a követelményeknek. Általában jobb, ha több adatmodell helyett egy adatmodellt hoz létre, tesztel és tart fenn.

Ügyeljen rá, mert ha egy Power BI-jelentés egy konfigurált RLS-sel rendelkező sorra hivatkozik, akkor ugyanaz az üzenet jelenik meg, mint egy törölt vagy nem létező mező esetében. Ezeknek a felhasználóknak úgy tűnik, hogy a jelentés hibás.

Az RLS beállításának két lépése van: szabályok és szerepkör-leképezések.

RLS-szabályok

Szemantikai modellek esetén az adatmodellezők egy vagy több szerepkör létrehozásával állíthatják be az RLS-t a Power BI Desktopban. Egy szerepkörnek egyedi neve van a modellben, és általában egy vagy több szabályt tartalmaz. A szabályok adatelemzési kifejezések (DAX) szűrőkifejezések használatával kényszerítik a szűrőket a modelltáblákra. Alapértelmezés szerint egy modellnek nincsenek szerepkörei.

Fontos

A szerepkör nélküli modellek azt jelentik, hogy a felhasználók (akik rendelkeznek engedéllyel az adatmodell lekérdezésére) hozzáféréssel rendelkeznek az összes modelladathoz.

A szabálykifejezések kiértékelése sorkörnyezetben történik. A sorkörnyezet azt jelenti, hogy a kifejezés minden sorhoz az adott sor oszlopértékeivel lesz kiértékelve. Amikor a kifejezés visszatér TRUE, a felhasználó láthatja a sort. Statikus vagy dinamikus szabályokat is meghatározhat.

  • Statikus szabályok: Olyan DAX-kifejezéseket használjon, amelyek állandókra hivatkoznak, például [Region] = "Midwest".
  • Dinamikus szabályok: Adott DAX-függvények használata, amelyek környezeti értékeket adnak vissza (az állandókkal szemben). A környezeti értékek három konkrét DAX-függvényből származnak: U Standard kiadás RNAME, U Standard kiadás RPRINCIPALNAME és CUSTOMDATA. A dinamikus szabályok definiálása egyszerű és hatékony, ha a modelltáblák felhasználónév-értékeket tárolnak. Lehetővé teszik az adatvezérelt RLS-kialakítás kikényszerítését.

RLS-szerepkörleképezések

Miután közzétette a modellt a Power BI szolgáltatás, be kell állítania a szerepkör-leképezéseket, mielőtt a felhasználók hozzáférnek a kapcsolódó jelentésekhez. A szerepkör-leképezés magában foglalja a Microsoft Entra biztonsági objektumok szerepkörökhöz való hozzárendelését. A biztonsági objektumok lehetnek felhasználói fiókok vagy biztonsági csoportok.

Amikor csak lehetséges, ajánlott a szerepkörök biztonsági csoportokhoz való leképezése. Így kevesebb leképezés lesz, és a csoporttagság kezelését a csoport tulajdonosa kezelheti.

Javasoljuk, hogy tegye elérhetővé a Microsoft Entra biztonsági fiókadatait a tartalomkészítők számára. Az egyik lehetőség egy adatfolyam létrehozása a Microsoft Entra-azonosítóval szinkronizált adatokkal. Így a tartalomkészítők integrálhatják az adatfolyam-adatokat egy adatvezérelt szemantikai modell létrehozásához.

Tipp.

Meghatározható olyan szerepkör, amely nem rendelkezik szabályokkal. Ebben az esetben a szerepkör hozzáférést biztosít az összes modelltábla összes sorához. Az ilyen típusú szerepkör beállítása akkor megfelelő, ha egy rendszergazda vagy felhasználó megtekintheti a modell összes adatát.

RLS felhasználói élmény

Egyes szervezetek úgy döntenek, hogy a standard Power BI-engedélyek mellett az RLS-t másodlagos biztonsági rétegként használják. Fontolja meg a következő forgatókönyvet: Egy jelentésre mutató hivatkozást oszt meg a teljes szervezettel. Minden felhasználónak, aki megtekinti a jelentést, le kell képeznie egy RLS-szerepkörre, hogy láthassa a jelentésben szereplő adatokat. Ha nincsenek leképezve RLS-szerepkörre, akkor nem fognak adatokat látni.

Az RLS jelenléte megváltoztatja az alapértelmezett felhasználói élményt.

  • Ha a szemantikai modellhez nincs RLS definiálva: A szemantikai modellen legalább olvasási engedéllyel rendelkező alkotók és felhasználók megtekinthetik a szemantikai modell összes adatát.
  • Ha az RLS a szemantikai modellen van definiálva: A szemantikai modellen csak olvasási engedéllyel rendelkező alkotók és felhasználók csak azokat az adatokat tekinthetik meg, amelyet láthatnak (az RLS-szerepkör-leképezésük alapján).

Feljegyzés

Egyes szervezetek további biztonsági rétegként kényszerítik az RLS-t, különösen bizalmas adatok esetén. Emiatt dönthet úgy, hogy RLS-t igényel a hitelesített szemantikai modellekhez. Ezt a követelményt a szemantikai modell minősítése előtt belső felülvizsgálati és jóváhagyási folyamattal lehet elérni.

Ha egy felhasználó megtekint egy jelentést egy munkaterületen vagy egy alkalmazásban, előfordulhat, hogy az RLS a szemantikai modell engedélyétől függően kényszerítve van vagy sem. Ezért kritikus fontosságú, hogy a tartalomfelhasználók és a tartalomkészítők csak olvasási engedéllyel rendelkezzenek a mögöttes szemantikai modellen, amikor az RLS-t kötelezővé kell tenni.

Az alábbi engedélyszabályok határozzák meg, hogy az RLS kényszerítve van-e.

  • A felhasználó olvasási engedéllyel rendelkezik a szemantikai modellen: a rendszer kikényszeríti az RLS-t a felhasználó számára.
  • A felhasználó olvasási és összeállítási engedélyekkel rendelkezik a szemantikai modellhez: az RLS kényszerítve van a felhasználó számára.
  • A felhasználó írási engedéllyel rendelkezik a szemantikai modellen: az RLS nincs kényszerítve a felhasználó számára, ami azt jelenti, hogy a szemantikai modell összes adatát láthatja. Az írási engedély lehetővé teszi a szemantikai modellek szerkesztését. Kétféleképpen adható meg:

Tipp.

A különálló munkaterületek tartalomkészítők számára történő használatának módjáról további információt a felügyelt önkiszolgáló BI használati forgatókönyvében talál.

Az RLS-ről további információt a Power BI-modell adataihoz való hozzáférés korlátozása című témakörben talál.

RLS adatmartokhoz

A Power BI adatmartjai az RLS-t is kényszeríthetik. A megvalósítás azonban más.

A fő különbség az, hogy a datamarts RLS beállítása a Power BI szolgáltatás, és nem a Power BI Desktopban történik.

Egy másik különbség az, hogy a datamartok az RLS-t a szemantikai modellen és a datamarthoz társított felügyelt Azure SQL Database-en is kényszerítik. Az RLS kényszerítése mindkét rétegben konzisztenciát és rugalmasságot biztosít. Ugyanazokat az RLS-szűrőket alkalmazza a rendszer, függetlenül attól, hogy a felhasználó hogyan lekérdezi az adatokat, függetlenül attól, hogy a szemantikai modellhez vagy a felügyelt Azure SQL Database-hez csatlakozik-e.

További információ: RLS for datamarts.

Objektumszintű biztonság

Az objektumszintű biztonság (OLS) lehetővé teszi, hogy az adatmodellezők bizonyos táblákhoz és oszlopokhoz, valamint azok metaadataihoz való hozzáférést korlátozzák. Általában OLS használatával biztosíthatja, hogy a bizalmas oszlopok, például az alkalmazottak fizetése ne legyenek láthatók bizonyos felhasználók számára. Bár a mértékekhez való hozzáférést nem lehet korlátozni, a korlátozott oszlopra hivatkozó mértékek is korlátozottak lesznek.

Tekintsünk egy példát egy alkalmazotti táblára. Olyan oszlopokat tartalmaz, amelyek az alkalmazottak nevét és telefonszámát, valamint a fizetést tárolják. Az OLS használatával biztosíthatja, hogy csak bizonyos felhasználók, például a vezető emberierőforrás-személyzet láthassák a bérértékeket. Azoknál a felhasználóknál, akik nem látják a bérértékeket, az olyan, mintha ez az oszlop nem létezne.

Ügyeljen rá, mert ha egy Power BI-jelentésvizualizáció fizetést tartalmaz, a mezőhöz nem hozzáférő felhasználók hibaüzenetet kapnak. Az üzenet tájékoztatja őket arról, hogy az objektum nem létezik. Ezeknek a felhasználóknak úgy tűnik, hogy a jelentés hibás.

Feljegyzés

Az adatmodellek perspektíváit is meghatározhatja. A perspektíva a modellobjektumok megtekinthető részhalmazait határozza meg, hogy a jelentéskészítők konkrét fókuszt biztosítsanak. A perspektívák nem a modellobjektumokhoz való hozzáférés korlátozására szolgálnak. A felhasználók akkor is lekérdezhetnek egy táblát vagy oszlopot, ha az nem látható számukra. Ezért a perspektívákat a biztonsági funkciók helyett a felhasználói kényelemnek kell tekinteni.

Az OLS beállításához jelenleg nincs felület a Power BI Desktopban. Használhatja a Tabular Editort, amely egy harmadik féltől származó eszköz modellek létrehozásához, karbantartásához és kezeléséhez. További információkért tekintse meg a speciális adatmodell-kezelési használati forgatókönyvet.

Az OLS-ről további információt a Power BI-modellobjektumokhoz való hozzáférés korlátozása című témakörben talál.

Ellenőrzőlista – Az RLS és az OLS tervezésekor a legfontosabb döntések és műveletek a következők:

  • Döntse el az RLS használatának stratégiáját: Fontolja meg, hogy mely használati esetekre és célokra kívánja sorszintű biztonságot használni.
  • Döntse el az OLS használatának stratégiáját: Fontolja meg, hogy mely használati esetekre és célokra kívánja használni az objektumszintű biztonságot.
  • Fontolja meg a minősített tartalomra vonatkozó követelményeket: Ha rendelkezik egy szemantikai modell minősítéséhez szükséges eljárással, döntse el, hogy tartalmaz-e az RLS vagy az OLS használatára vonatkozó konkrét követelményeket.
  • Felhasználói útmutató létrehozása és közzététele: Dokumentáció létrehozása olyan felhasználók számára, amelyek az RLS és az OLS használatára vonatkozó követelményeket és beállításokat tartalmazzák. Írja le, hogyan szerezhet be felhasználói leképezési adatokat, ha azok központosított helyen találhatók.
  • Képzési anyagok frissítése: Az RLS és az OLS követelményeire és preferenciáira vonatkozó legfontosabb információk belefoglalása a felhasználói képzési anyagokba. Adjon meg példákat a felhasználók számára, hogy megértsék, mikor célszerű bármelyik adatbiztonsági technikát használni.

Kapcsolódó tartalom

A sorozat következő cikkében megismerheti a szemantikai modellek, adatfolyamok, adatmartok, jelentések vagy irányítópultok létrehozásáért felelős tartalomkészítők biztonsági tervezését.