Sikkerhet på radnivå (RLS) med Power BI

  • Artikkel

Sikkerhet på radnivå (RLS) med Power BI kan brukes til å begrense datatilgang for gitte brukere. Filtre begrenser datatilgang på radnivå, og du kan definere filtre i roller. I Power Bi-tjeneste har brukere med tilgang til et arbeidsområde tilgang til semantiske modeller i arbeidsområdet. RLS begrenser bare datatilgang for brukere med Visningstillatelser . Det gjelder ikke for administratorer, medlemmer eller bidragsytere.

Du kan konfigurere RLS for datamodeller som er importert til Power BI med Power BI. Du kan også konfigurere RLS på semantiske modeller som bruker DirectQuery, for eksempel SQL Server. Når det gjelder Tilkoblinger til Analysis Services eller Azure Analysis Services, konfigurerer du sikkerhet på radnivå i modellen, ikke i Power BI. Sikkerhetsalternativet vises ikke for semantiske modeller for live-tilkobling.

Definer roller og regler i Power BI Desktop

Du kan definere roller og regler i Power BI Desktop. Når du publiserer til Power BI, publiserer du også rolledefinisjonene.

Slik definerer du sikkerhetsroller:

  1. Importer data til Power BI Desktop-rapporten, eller konfigurer en DirectQuery-tilkobling.

    Merk

    Du kan ikke definere roller i Power BI Desktop for Live-tilkoblinger for Analysis Services. Du må gjøre dette i Analysis Services-modellen.

  2. Velg Behandle rollerModellering-fanen.

    Skjermbilde av Modellering-fanen, som uthever Behandle roller.

  3. Velg Opprett i vinduet Behandle roller.

    Skjermbilde av behandle roller-vinduet, som uthever Opprett.

  4. Angi et navn for rollen under Roller.

    Merk

    Du kan for eksempel London,ParisRoleikke definere en rolle med komma.

  5. Velg tabellen du vil bruke en DAX-regel (dataanalyseuttrykk) på, under Tabeller.

  6. Skriv inn DAX-uttrykkene i dax-uttrykksboksen for tabellfilteret. Dette uttrykket returnerer en verdi av sann eller usann. Eksempel: [Entity ID] = “Value”.

    Skjermbilde av behandle roller-vinduet, som uthever et eksempel på DAX-uttrykk.

    Merk

    Du kan bruke brukernavn() i dette uttrykket. Vær oppmerksom på at brukernavn() har formatet DOMENE\brukernavn i Power BI Desktop. I Power Bi-tjeneste og rapportserver for Power BI er det i formatet til brukerens brukerhovednavn (UPN). Du kan også bruke userprincipalname(), som alltid returnerer brukeren i formatet til brukerhovednavnet. username@contoso.com

  7. Når du har opprettet DAX-uttrykket, merker du av for over uttrykksboksen for å validere uttrykket.

    Skjermbilde av dax-uttrykksvinduet for tabellfilteret, som uthever merket.

    Merk

    Bruk komma i denne uttrykksboksen til å skille DAX-funksjonsargumenter selv om du bruker en nasjonal innstilling som vanligvis bruker semikolonskilletegn (f.eks. fransk eller tysk).

  8. Velg Lagre.

Du kan ikke tilordne brukere til en rolle i Power BI Desktop. Du tilordner dem i Power Bi-tjeneste. Du kan aktivere dynamisk sikkerhet i Power BI Desktop ved å bruke DAX-funksjonene username() eller userprincipalname() og ha de riktige relasjonene konfigurert.

Som standard bruker filtrering av sikkerhet på radnivå enkeltveisfiltre, enten relasjonene er satt til én retning eller toveis. Du kan aktivere toveis kryssfiltrering manuelt med sikkerhet på radnivå ved å merke av for relasjonen og merke av for Bruk sikkerhetsfilter i begge retninger . Vær oppmerksom på at hvis en tabell deltar i flere toveisrelasjoner, kan du bare velge dette alternativet for én av disse relasjonene. Velg dette alternativet når du også har implementert dynamisk sikkerhet på radnivå på servernivå, der sikkerhet på radnivå er basert på brukernavn eller påloggings-ID.

Hvis du vil ha mer informasjon, kan du se toveis kryssfiltrering ved hjelp av DirectQuery i Power BI og teknisk artikkel om sikring av semantisk modell for tabell BI.

Skjermbilde av bruk sikkerhetsfilteret.

Definer roller og regler i Power BI ved hjelp av forbedret redigeringsprogram for sikkerhet på radnivå (forhåndsvisning)

Du kan raskt og enkelt definere sikkerhetsroller og filtre på radnivå i Power BI ved hjelp av det forbedrede sikkerhetsredigeringsprogrammet på radnivå. Med dette redigeringsprogrammet kan du veksle mellom å bruke standard rullegardingrensesnitt og et DAX-grensesnitt. Når du publiserer til Power BI, publiserer du også rolledefinisjonene.

Slik definerer du sikkerhetsroller ved hjelp av redigeringsprogrammet for forbedret sikkerhet på radnivå:

  1. Aktiver forhåndsvisningen i Power BI Desktop ved å gå til Alternativer for filer > og Innstillinger > Alternativer > for forhåndsvisningsfunksjoner, og slå på «Utvidet redigeringsprogram for sikkerhet på radnivå». Du kan også bruke dette redigeringsprogrammet i tjenesten ved å redigere datamodellen i Power Bi-tjeneste.

  2. Importer data til semantisk Power BI-modell, eller konfigurer en DirectQuery-tilkobling.

  3. Velg Behandle roller på båndet.

    Skjermbilde av Behandle roller-knappen på skrivebordsbåndet.

  4. Velg Ny i vinduet Behandle roller for å opprette en ny rolle.

    Skjermbilde av hvordan du oppretter en ny rolle i det forbedrede sikkerhetsredigeringsprogrammet på radnivå.

  5. Angi et navn for rollen under Roller, og velg enter.

    Skjermbilde av å gi nytt navn til en rolle i det forbedrede sikkerhetsredigeringsprogrammet på radnivå.

  6. Velg tabellen du vil bruke et sikkerhetsfilter på radnivå på, under Velg tabeller.

  7. Bruk standard redigeringsprogram under Filterdata til å definere rollene dine. Uttrykkene som er opprettet, returnerer en sann eller usann verdi.

    Skjermbilde av et eksempel på hvordan du bruker standardredigeringsprogrammet i redigeringsprogrammet for sikkerhet på radnivå.

    Merk

    Ikke alle sikkerhetsfiltre på radnivå som støttes i Power BI, kan defineres ved hjelp av standard redigeringsprogram. Begrensninger inkluderer uttrykk som i dag bare kan defineres ved hjelp av DAX, inkludert dynamiske regler som brukernavn() eller userprincipalname(). Hvis du vil definere roller ved hjelp av disse filtrene, bytter du til å bruke DAX-redigeringsprogrammet.

  8. Du kan også velge Bytt til DAX-redigeringsprogram for å bytte til å bruke DAX-redigeringsprogrammet til å definere rollen din. Du kan bytte tilbake til standard redigeringsprogram ved å velge Bytt til standard redigeringsprogram. Alle endringer som gjøres i et redigeringsgrensesnitt, vedvarer når du bytter grensesnitt når det er mulig.

    Skjermbilde av et eksempel på hvordan du bruker dax-redigeringsprogrammet i redigeringsprogrammet for forbedret sikkerhet på radnivå.

    Når du definerer en rolle ved hjelp av DAX-redigeringsprogrammet som ikke kan defineres i standardredigeringsprogrammet, blir du bedt om å bytte til standardredigeringsprogrammet med en advarsel om at bytting av redigeringsprogram kan føre til at noe informasjon går tapt. Hvis du vil beholde denne informasjonen, velger du Avbryt og fortsetter bare å redigere denne rollen i DAX-redigeringsprogrammet.

    Skjermbilde av en dialogboks for eksempelfeil når du bytter fra DAX til standard redigeringsprogram i forbedret redigeringsprogram for sikkerhet på radnivå.

  9. Velg Lagre

Validere rollene i Power BI Desktop

Når du har opprettet rollene dine, tester du resultatene av rollene i Power BI Desktop.

  1. Velg Vis somModellering-fanen.

    Skjermbilde av Modellering-fanen, som uthever Vis som.

    Vinduet Vis som roller vises, der du ser rollene du har opprettet.

    Skjermbilde av vinduet Vis som roller med Ingen valgt.

  2. Velg en rolle du opprettet. Velg deretter OK for å bruke denne rollen.

    Rapporten gjengir dataene som er relevante for denne rollen.

  3. Du kan også velge Annen bruker og angi en gitt bruker.

    Skjermbilde av vinduet Vis som roller med en eksempelbruker angitt.

    Det er best å angi brukerhovednavn (UPN) fordi det er det Power Bi-tjeneste og rapportserver for Power BI bruker.

    I Power BI Desktop viser andre brukere bare forskjellige resultater hvis du bruker dynamisk sikkerhet basert på DAX-uttrykkene. I dette tilfellet må du inkludere brukernavnet i tillegg til rollen.

  4. Velg OK.

    Rapporten gjengis basert på hva RLS-filtrene tillater brukeren å se.

    Merk

    Funksjonen Vis som roller fungerer ikke for DirectQuery-modeller med enkel pålogging (SSO) aktivert.

Administrer sikkerhet på modellen

Hvis du vil administrere sikkerhet på den semantiske modellen, åpner du arbeidsområdet der du lagret semantisk modell i Power Bi-tjeneste og gjør følgende:

  1. Velg Flere alternativer-menyen for en semantisk modell i Power Bi-tjeneste. Denne menyen vises når du holder pekeren over et semantisk modellnavn, enten du velger det fra navigasjonsmenyen eller arbeidsområdesiden.

    Skjermbilde som viser flere alternativer-menyen i arbeidsområdet.

    Skjermbilde som viser flere alternativer-menyen i navigasjonsmenyen.

  2. Velg Sikkerhet.

    Skjermbilde som viser flere alternativer-menyen med Sikkerhet valgt.

Sikkerhet tar deg til siden Sikkerhet på rollenivå der du legger til medlemmer i en rolle du opprettet. Bidragsytere (og roller for høyere arbeidsområde) vil se Sikkerhet og kan tilordne brukere til en rolle.

Arbeide med medlemmer

Legg til medlemmer

I Power Bi-tjeneste kan du legge til et medlem i rollen ved å skrive inn e-postadressen eller navnet på brukeren eller sikkerhetsgruppen. Du kan ikke legge til grupper som er opprettet i Power BI. Du kan legge til medlemmer eksternt i organisasjonen.

Du kan bruke følgende grupper til å konfigurere sikkerhet på radnivå.

Vær imidlertid oppmerksom på at Microsoft 365-grupper ikke støttes og ikke kan legges til i noen roller.

Skjermbilde som viser hvordan du legger til et medlem.

Du kan også se hvor mange medlemmer som er en del av rollen av tallet i parenteser ved siden av rollenavnet eller ved siden av Medlemmer.

Skjermbilde som viser medlemmer i rollen.

Fjern medlemmer

Du kan fjerne medlemmer ved å velge X ved siden av navnet.

Skjermbilde som viser hvordan du fjerner et medlem.

Validerer rollen i Power Bi-tjeneste

Du kan bekrefte at rollen du definerte, fungerer som den skal i Power Bi-tjeneste ved å teste rollen.

  1. Velg Flere alternativer (...) ved siden av rollen.
  2. Velg Test som rolle.

Skjermbilde av alternativet Test som rolle.

Du omdirigeres til rapporten som ble publisert fra Power BI Desktop med denne semantiske modellen, hvis den finnes. Instrumentbord er ikke tilgjengelige for testing ved hjelp av alternativet Test som rolle .

I toppteksten på siden vises rollen som brukes. Test andre roller, en kombinasjon av roller eller en bestemt person ved å velge Nå som. Her ser du viktige tillatelsesdetaljer som gjelder personen eller rollen som testes. Hvis du vil ha mer informasjon om hvordan tillatelser samhandler med RLS, kan du se brukeropplevelsen for RLS.

Skjermbilde av Nå vises som rullegardinliste for en bestemt person.

Test andre rapporter som er koblet til den semantiske modellen, ved å velge Visning i toppteksten på siden. Du kan bare teste rapporter i samme arbeidsområde som den semantiske modellen.

Skjermbilde av Visning for å velge en annen rapport som skal testes.

Hvis du vil gå tilbake til normalvisning, velger du Tilbake til sikkerhet på radnivå.

Merk

Funksjonen Test som rolle fungerer ikke for DirectQuery-modeller med enkel pålogging (SSO) aktivert. I tillegg kan ikke alle aspekter ved en rapport valideres i funksjonen Test som rolle, inkludert Q&A-visualiseringer, visualiseringer for hurtiginnsikter og Copilot.

Bruke DAX-funksjonen username() eller userprincipalname()

Du kan dra nytte av DAX-funksjonene brukernavn() eller userprincipalname() i datasettet. Du kan bruke dem i uttrykk i Power BI Desktop. Når du publiserer modellen, brukes den i Power Bi-tjeneste.

Brukernavn() i Power BI Desktop returnerer en bruker i formatet DOMAIN\User og userprincipalname() som returnerer en bruker i formatet user@contoso.com.

I Power Bi-tjeneste vil brukernavn() og userprincipalname() begge returnere brukerens brukerhovednavn (UPN). Dette ligner på en e-postadresse.

Bruke RLS med arbeidsområder i Power BI

Hvis du publiserer Power BI Desktop-rapporten til et arbeidsområde i Power Bi-tjeneste, brukes RLS-rollene på medlemmer som er tilordnet seerrollen i arbeidsområdet. Selv om seere får kompileringstillatelser til semantisk modell, gjelder RLS fortsatt. Hvis brukere med byggtillatelser for eksempel bruker Analyser i Excel, begrenses visningen av dataene av RLS. Medlemmer av arbeidsområdet som er tilordnet administrator, medlem eller bidragsyter , har redigeringstillatelse for den semantiske modellen, og derfor gjelder ikke RLS for dem. Hvis du vil at RLS skal gjelde for personer i et arbeidsområde, kan du bare tilordne dem Seer-rollen . Les mer om roller i arbeidsområder.

Hensyn og begrensninger

Du kan se gjeldende begrensninger for sikkerhet på radnivå på skymodeller her:

  • Hvis du tidligere har definert roller og regler i Power Bi-tjeneste, må du opprette dem på nytt i Power BI Desktop.
  • Du kan bare definere RLS på semantiske modeller som er opprettet med Power BI Desktop. Hvis du vil aktivere RLS for semantiske modeller som er opprettet med Excel, må du først konvertere filene til Power BI Desktop-filer (PBIX). Finn ut mer.
  • Tjenestekontohavere kan ikke legges til i en RLS-rolle. Følgelig brukes ikke RLS for apper som bruker en tjenestekontohaver som den endelige effektive identiteten.
  • Bare import- og DirectQuery-tilkoblinger støttes. Live-tilkoblinger til Analysis Services håndteres i den lokale modellen.
  • Funksjonen Test som rolle/Vis som rolle fungerer ikke for DirectQuery-modeller med enkel pålogging (SSO) aktivert.
  • Funksjonen Test som rolle/visning som rolle viser bare rapporter fra arbeidsområdet for semantiske modeller.
  • Funksjonen Test som rolle/Vis som rolle fungerer ikke for paginerte rapporter.

Husk at hvis en Power BI-rapport refererer til en rad med RLS konfigurert, vises den samme meldingen som for et slettet eller ikke-eksisterende felt. For disse brukerne ser det ut til at rapporten er brutt.

Vanlige spørsmål

Spørsmål: Hva om jeg tidligere har opprettet roller og regler for et datasett i Power Bi-tjeneste? Fungerer de fortsatt hvis jeg ikke gjør noe?
Svar: Nei, visualobjekter gjengis ikke riktig. Du må opprette rollene og reglene i Power BI Desktop på nytt og deretter publisere til Power Bi-tjeneste.

Spørsmål: Kan jeg opprette disse rollene for Analysis Services-datakilder?
Svar: Ja, hvis du importerte dataene til Power BI Desktop. Hvis du bruker en live-tilkobling, kan du ikke konfigurere RLS i Power Bi-tjeneste. Du definerer RLS lokalt i Analysis Services-modellen.

Spørsmål: Kan jeg bruke RLS til å begrense kolonnene eller målene som er tilgjengelige for brukerne mine?
Svar: Nei, hvis en bruker har tilgang til en bestemt rad med data, kan de se alle kolonnene med data for denne raden. Hvis du vil begrense tilgangen til kolonner og kolonnemetadata, kan du vurdere å bruke sikkerhet på objektnivå.

Spørsmål: Lar RLS meg skjule detaljerte data, men gi tilgang til data oppsummert i visualobjekter?
Svar: Nei, du sikrer individuelle rader med data, men brukere kan alltid se enten detaljene eller de summerte dataene.

Spørsmål: Datakilden min har allerede definerte sikkerhetsroller (for eksempel SQL Server-roller eller SAP BW-roller). Hva er relasjonen mellom disse rollene og RLS?
Svar: Svaret avhenger av om du importerer data eller bruker DirectQuery. Hvis du importerer data til Power BI-datasettet, brukes ikke sikkerhetsrollene i datakilden. I dette tilfellet bør du definere RLS for å håndheve sikkerhetsregler for brukere som kobler til i Power BI. Hvis du bruker DirectQuery, brukes sikkerhetsrollene i datakilden. Når en bruker åpner en rapport, sender Power BI en spørring til den underliggende datakilden, som bruker sikkerhetsregler på dataene basert på brukerens legitimasjon.

Spørsmål: Kan en bruker tilhøre mer enn én rolle?
Svar: En bruker kan tilhøre flere roller, og rollene er additive. Hvis en bruker for eksempel tilhører rollene Salg og Markedsføring, kan de se data for begge disse rollene.

Relatert innhold

Spørsmål? Prøv å spørre Power BI-fellesskap forslag? Bidra med ideer for å forbedre Power BI