Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Microsoft Fabric memiliki model izin fleksibel yang memungkinkan Anda mengontrol akses ke data di organisasi Anda. Artikel ini menjelaskan berbagai jenis izin di Fabric dan cara mereka bekerja sama untuk mengontrol akses ke data di organisasi Anda.
Ruang kerja adalah entitas logis untuk mengelompokkan item di Fabric. Peran ruang kerja menentukan izin akses untuk ruang kerja. Meskipun item disimpan di satu ruang kerja, item tersebut dapat dibagikan dengan pengguna lain di seluruh Fabric. Saat berbagi item Fabric, Anda dapat memutuskan izin mana yang akan diberikan kepada pengguna tempat Anda berbagi item. Item tertentu seperti laporan Power BI, memungkinkan kontrol data yang lebih terperinci. Laporan dapat disiapkan sehingga bergantung pada izin mereka, pengguna yang melihatnya hanya melihat sebagian data yang mereka simpan.
Peran ruang kerja
Peran ruang kerja digunakan untuk mengontrol akses ke ruang kerja dan konten di dalamnya. Administrator Fabric dapat menetapkan peran ruang kerja untuk pengguna atau grup individual. Peran ruang kerja terbatas pada ruang kerja tertentu dan tidak berlaku untuk ruang kerja lain, kapasitas di mana ruang kerja tersebut berada, atau penyewa organisasi.
Ada empat peran Ruang Kerja dan berlaku untuk semua item dalam ruang kerja. Pengguna yang tidak memiliki salah satu peran ini, tidak dapat mengakses ruang kerja. Perannya adalah:
Penampil - Dapat melihat semua konten di ruang kerja, tetapi tidak dapat mengubahnya.
Kontributor - Dapat melihat dan memodifikasi semua konten di ruang kerja.
Anggota - Dapat melihat, memodifikasi, dan berbagi semua konten di ruang kerja.
Admin - Dapat melihat, memodifikasi, berbagi, dan mengelola semua konten di ruang kerja, termasuk mengelola izin.
Tabel ini memperlihatkan sekumpulan kecil kemampuan yang dimiliki setiap peran. Untuk daftar lengkap dan lebih rinci, lihat Peran ruang kerja Microsoft Fabric.
| Kemampuan | Pengelola | Anggota | Kontributor | Penampil |
|---|---|---|---|---|
| Menghapus ruang kerja | ✅ | ❌ | ❌ | ❌ |
| Tambah admin | ✅ | ❌ | ❌ | ❌ |
| Menambahkan Anggota | ✅ | ✅ | ❌ | ❌ |
| Data tulis | ✅ | ✅ | ✅ | ❌ |
| Membuat item | ✅ | ✅ | ✅ | ❌ |
| Membaca data | ✅ | ✅ | ✅ | ✅ |
Hak akses item
Izin item digunakan untuk mengontrol akses ke item Fabric individual dalam ruang kerja. Izin item terbatas pada item tertentu dan tidak berlaku untuk item lain. Gunakan izin item untuk mengontrol siapa yang bisa menampilkan, mengubah, dan mengelola item individual di ruang kerja. Anda dapat menggunakan izin item untuk memberi pengguna akses ke satu item di ruang kerja yang tidak dapat mereka akses.
Saat berbagi item dengan pengguna atau grup, Anda dapat mengonfigurasi izin item. Berbagi item memberi pengguna izin baca untuk item tersebut secara default. Izin baca memungkinkan pengguna melihat metadata untuk item tersebut dan melihat laporan apa pun yang terkait dengannya. Namun, izin baca tidak memungkinkan pengguna mengakses data yang mendasar di SQL atau OneLake. Misalnya, jika Anda berbagi laporan Power BI yang menggunakan mode DirectLake, penerima bisa menampilkan laporan tetapi juga harus memiliki izin data OneLake untuk mengkueri tabel Delta yang mendasar secara langsung. Untuk skenario yang memerlukan akses data yang lebih dalam, berikan izin tingkat komputasi tambahan melalui titik akhir analitik SQL atau keamanan model semantik.
Item Fabric yang berbeda memiliki izin yang berbeda. Untuk mempelajari selengkapnya tentang izin untuk setiap item, lihat:
Izin komputasi
Izin juga dapat diatur dalam mesin komputasi tertentu di Fabric, khususnya melalui titik akhir analitik SQL atau dalam model semantik. Izin mesin komputasi memungkinkan kontrol akses data yang lebih terperinci, seperti keamanan tingkat tabel dan baris.
Endpoint analitik SQL - Endpoint analitik SQL menyediakan akses SQL langsung ke tabel di OneLake, dan dapat dikonfigurasi keamanannya secara native melalui perintah SQL. Izin ini hanya berlaku untuk kueri yang dibuat melalui SQL.
Model semantik - Model semantik memungkinkan keamanan didefinisikan menggunakan DAX. Pembatasan yang ditentukan menggunakan DAX berlaku untuk pengguna yang mengkueri melalui model semantik atau laporan Power BI yang dibangun pada model semantik.
Anda dapat menemukan informasi selengkapnya dalam artikel ini:
Keamanan OneLake
OneLake memiliki izin sendiri untuk mengatur akses ke tabel dan folder di OneLake melalui keamanan OneLake. Keamanan OneLake memungkinkan pengguna untuk membuat peran kustom dalam lakehouse dan memberikan izin baca hanya ke tabel dan folder yang ditentukan saat mengakses OneLake. Untuk setiap peran OneLake, pengguna dapat menetapkan pengguna, grup keamanan, atau memberikan penugasan otomatis berdasarkan peran ruang kerja.
Pelajari selengkapnya tentang Model Kontrol Akses Data OneLake dan lihat panduan cara penggunaan.
Berbagi data lintas tenant dan pintasan OneLake
Pintasan OneLake tidak menyalin data; kontrol akses diterapkan langsung pada sumber. Saat Anda membagikan data di antara tenant Microsoft Entra dengan menggunakan fitur berbagi data OneLake, pengguna eksternal harus diberikan izin tabel atau folder OneLake yang sesuai untuk mengakses data yang dibagikan. Pintasan yang mereferensikan data yang dibagikan antar penyewa mengikuti model izin yang sama: penyewa sumber mengontrol akses, dan pengguna di penyewa pengonsumsi harus memiliki izin OneLake eksplisit yang diberikan oleh pemilik data.
Urutan operasi
Fabric memiliki tiga tingkat keamanan yang berbeda. Pengguna harus memiliki akses di setiap tingkat untuk mengakses data. Setiap tingkat mengevaluasi secara berurutan untuk menentukan apakah pengguna memiliki akses. Aturan keamanan seperti kebijakan Perlindungan Informasi Microsoft mengevaluasi pada tingkat tertentu untuk mengizinkan atau melarang akses. Urutan operasi saat mengevaluasi keamanan Fabric adalah:
- Autentikasi Entra: Memeriksa apakah pengguna dapat mengautentikasi ke penyewa Microsoft Entra.
- Akses Fabric: Memeriksa apakah pengguna dapat mengakses Microsoft Fabric.
- Keamanan data: Memeriksa apakah pengguna dapat melakukan tindakan yang diminta pada tabel atau file.
Untuk skenario akses lintas penyewa, pengguna terlebih dahulu mengautentikasi melalui penyewa Microsoft Entra asal mereka. Fabric kemudian memvalidasi bahwa pengguna telah diberikan akses ke data bersama di penyewa sumber melalui izin berbagi data OneLake.
Contoh
Bagian ini menyediakan dua contoh bagaimana izin dapat diatur di Fabric.
Contoh 1: Menyiapkan izin tim
Wingtip Toys disiapkan dengan satu penyewa untuk seluruh organisasi, dan tiga kapasitas. Setiap kapasitas mewakili wilayah yang berbeda. Wingtip Toys beroperasi di Amerika Serikat, Eropa, dan Asia. Setiap kapasitas memiliki ruang kerja untuk setiap departemen dalam organisasi, termasuk departemen penjualan.
Departemen penjualan memiliki manajer, pemimpin tim penjualan, dan anggota tim penjualan. Wingtip Toys juga mempekerjakan satu analis untuk seluruh organisasi.
Tabel berikut ini memperlihatkan persyaratan untuk setiap peran di departemen penjualan dan bagaimana izin disiapkan untuk mengaktifkannya.
| Peran | Persyaratan | Pengaturan |
|---|---|---|
| Manajer | Menampilkan dan memodifikasi semua konten di departemen penjualan di seluruh organisasi | Peran anggota untuk semua ruang kerja penjualan di organisasi |
| Pemimpin tim | Melihat dan memodifikasi semua konten di departemen penjualan di wilayah tertentu | Peran anggota untuk ruang kerja penjualan di wilayah tersebut |
| Anggota tim penjualan | ||
| Analis | Menampilkan semua konten di departemen penjualan di seluruh organisasi | Peran pengamat untuk semua ruang kerja penjualan di organisasi. |
Wingtip juga memiliki laporan triwulanan yang mencantumkan pendapatan penjualannya per anggota penjualan. Laporan ini disimpan di ruang kerja keuangan. Dengan menggunakan keamanan tingkat baris, laporan disiapkan sehingga setiap anggota penjualan hanya dapat melihat angka penjualan mereka sendiri. Pemimpin tim dapat melihat angka penjualan semua anggota penjualan di wilayah mereka, dan manajer penjualan dapat melihat angka penjualan semua anggota penjualan dalam organisasi.
Contoh 2: Izin ruang kerja dan item
Saat Anda berbagi item, atau mengubah izinnya, peran ruang kerja tidak berubah. Contoh di bagian ini menunjukkan bagaimana izin ruang kerja dan item berinteraksi.
Veronica dan Marta bekerja sama. Veronica adalah pemilik laporan yang ingin dia bagikan dengan Marta. Jika Veronica berbagi laporan dengan Marta, Marta akan dapat mengaksesnya terlepas dari peran ruang kerja yang dia miliki.
Katakanlah Marta memiliki peran penampil di ruang kerja tempat laporan disimpan. Jika Veronica memutuskan untuk menghapus izin item Marta dari laporan, Marta masih akan dapat melihat laporan di ruang kerja. Marta juga akan dapat membuka laporan dari ruang kerja dan melihat kontennya. Ini karena Marta memiliki izin untuk melihat pada ruang kerja.
Jika Veronica tidak ingin Marta melihat laporan, menghapus izin item Marta dari laporan tidak cukup. Veronica juga perlu menghapus izin penampil Marta dari ruang kerja. Tanpa izin penampil ruang kerja, Marta tidak akan dapat melihat bahwa laporan ada karena dia tidak akan dapat mengakses ruang kerja. Marta juga tidak akan dapat menggunakan tautan ke laporan, karena dia tidak memiliki akses ke laporan.
Sekarang setelah Marta tidak memiliki peran penampil ruang kerja, jika Veronica memutuskan untuk berbagi laporan dengannya lagi, Marta akan dapat melihatnya menggunakan tautan yang dibagikan Veronica dengannya, tanpa memiliki akses ke ruang kerja.
Contoh 3: Izin Aplikasi Power BI
Saat berbagi laporan Power BI, Anda sering ingin penerima Anda hanya memiliki akses ke laporan dan bukan ke item di ruang kerja. Untuk ini, Anda dapat menggunakan aplikasi Power BI atau berbagi laporan secara langsung dengan pengguna.
Selain itu, Anda dapat membatasi akses penampil ke data menggunakan Keamanan tingkat baris (RLS), dengan RLS Anda dapat membuat peran yang memiliki akses ke bagian data tertentu, dan membatasi hasil yang hanya mengembalikan apa yang dapat diakses oleh identitas pengguna.
Ini berfungsi dengan baik saat menggunakan model impor karena data diimpor dalam model semantik dan penerima memiliki akses ke ini sebagai bagian dari aplikasi. Dengan DirectLake, laporan membaca data langsung dari Lakehouse dan penerima laporan harus memiliki akses ke file-file ini di danau. Anda dapat melakukan ini dengan beberapa cara:
- Berikan
ReadDataizin pada Lakehouse secara langsung. - Ganti kredensial sumber data dari Single Sign On (SSO) ke identitas tetap yang memiliki akses ke file dalam danau data.
Karena RLS didefinisikan dalam Model Semantik, data akan dibaca terlebih dahulu dan kemudian baris akan difilter.
Jika ada keamanan yang ditentukan di titik akhir analitik SQL tempat laporan dibuat, kueri secara otomatis kembali ke mode DirectQuery. Jika Anda tidak menginginkan perilaku fallback default ini, Anda dapat membuat Lakehouse baru menggunakan pintasan ke tabel di Lakehouse asli dan tidak menentukan RLS atau OLS di SQL di Lakehouse baru.
Nota
Dalam skenario lintas-tenant di mana laporan Power BI menggunakan mode DirectLake dan mereferensikan data yang dibagikan melalui OneLake, penerima eksternal harus memiliki izin baca tingkat item pada laporan serta izin data OneLake pada tabel bersama di penyewa sumber.