Planlegging av Power BI-implementering: Planlegging av sikkerhet på leiernivå

Merk

Denne artikkelen er en del av planleggingsserien for power BI-implementering av artikler. Denne serien fokuserer hovedsakelig på Power BI-opplevelsen i Microsoft Fabric. Hvis du vil ha en innføring i serien, kan du se Planlegging av Power BI-implementering.

Denne sikkerhetsplanleggingsartikkelen på leiernivå er primært rettet mot:

• Power BI-administratorer: Administratorene som er ansvarlige for å overvåke Power BI i organisasjonen.
• Center of Excellence- og IT- og BI-teamet: Teamene som også er ansvarlige for å overvåke Power BI. De må kanskje samarbeide med Power BI-administratorer, informasjonssikkerhetsteam og andre relevante team.

Denne artikkelen kan også være relevant for selvbetjente Power BI-opprettere som oppretter, publiserer og administrerer innhold i arbeidsområder.

Serien med artikler er ment å utvide innholdet i power bi-sikkerhetsmeldingen. Selv om power BI-sikkerhetsmeldingen fokuserer på viktige tekniske emner som godkjenning, datalagring og nettverksisolasjon, er det primære målet med serien å gi deg hensyn og beslutninger som hjelper deg med å planlegge sikkerhet og personvern.

Siden Power BI-innhold kan brukes og sikres på forskjellige måter, vil mange taktiske beslutninger bli tatt av innholdsopprettere. Det er imidlertid noen strategiske planleggingsbeslutninger å ta på leiernivå også. Disse strategiske planleggingsbeslutningene er fokus for denne artikkelen.

Vi anbefaler at du tar sikkerhetsbeslutninger på leiernivå så tidlig som mulig, fordi de vil påvirke alt annet. Det er også enklere å ta andre sikkerhetsbeslutninger når du har klarhet i de generelle sikkerhetsmålene og målene dine.

Power BI-administrasjon

Power BI-administratoren er en rolle med høy rettighet som har betydelig kontroll over Power BI. Vi anbefaler at du nøye vurderer hvem som er tilordnet denne rollen fordi en Power BI-administrator kan utføre mange funksjoner på høyt nivå, inkludert:

• Administrasjon av leierinnstillinger: Administratorer kan administrere leierinnstillingene i administrasjonsportalen. De kan aktivere eller deaktivere innstillinger og tillate eller forby bestemte brukere eller grupper i innstillinger. Det er viktig å forstå at leierinnstillingene har en betydelig innflytelse på brukeropplevelsen.
• Rollebehandling for arbeidsområde: Administratorer kan oppdatere arbeidsområderoller i administrasjonsportalen. De kan potensielt oppdatere arbeidsområdesikkerhet for å få tilgang til data eller gi rettigheter til andre brukere for å få tilgang til data i Power Bi-tjeneste.
• Tilgang til personlig arbeidsområde: Administratorer kan få tilgang til innhold og styre det personlige arbeidsområdet til alle brukere.
• Tilgang til metadata for leier: Administratorer kan få tilgang til metadata for hele leier, inkludert Power BI-aktivitetslogger og aktivitetshendelser som hentes av API-ene for Power BI-administratorer.

Tips

Som en anbefalt fremgangsmåte bør du tilordne mellom to og fire brukere til Fabric-administratorrollen. På den måten kan du redusere risikoen samtidig som du sikrer at det er tilstrekkelig dekning og kryssopplæring.

En Power BI-administrator tilhører minst én av disse innebygde rollene:

• Power BI-administrator (Microsoft 365)
• Power Platform-administrator (Microsoft 365)
• Global administrator (Microsoft Entra ID – tidligere kjent som Azure Active Directory)

Merk

Selv om en Power Platform-administrator kan administrere Power Bi-tjeneste, er ikke den inverse sann. Noen som er tilordnet fabric-administratorrollen, kan ikke administrere andre programmer i Power Platform.

Sjekkliste – Når du planlegger hvem som skal være En Power BI-administrator, omfatter viktige beslutninger og handlinger:

• Identifiser hvem som er tilordnet administratorrollen: Kontroller hvem som er tilordnet til en av administrasjonsrollene i Power BI: Fabric-administrator, Power Platform-administrator og global administrator.
• Bestem hvem som skal administrere Power Bi-tjeneste: Hvis det er for mange Power BI-administratorer, oppretter du en plan for å redusere det totale antallet. Hvis det finnes brukere som er tilordnet som Power BI-administratorer som ikke er godt egnet til en slik rolle med høy rettighet, oppretter du en plan for å løse problemet.
• Klargjør roller og ansvarsområder: Sørg for at ansvarsområder for hver Power BI-administrator er tydelige. Kontroller at det har oppstått riktig kryssopplæring.

Sikkerhets- og personvernstrategier

Du må ta noen avgjørelser på leiernivå som er relatert til sikkerhet og personvern. Taktikken som tas og beslutningene du tar, vil stole på:

• Datakulturen din. Målet er å oppmuntre til en datakultur som forstår at sikkerhet og beskyttelse av data er alles ansvar.
• Eierskaps - og administrasjonsstrategiene for innhold. Nivået for sentralisert og desentralisert innholdsbehandling påvirker betydelig hvordan sikkerhet håndteres.
• Strategier for innholdsleveringsomfang . Antall personer som skal vise innhold, vil påvirke hvordan sikkerheten skal håndteres for innholdet.
• Dine krav for å overholde globale, nasjonale/regionale og bransjeforskrifter.

Her er noen eksempler på sikkerhetsstrategier på høyt nivå. Du kan velge å ta avgjørelser som påvirker hele organisasjonen.

• Krav til sikkerhet på radnivå: Du kan bruke sikkerhet på radnivå (RLS) til å begrense datatilgang for bestemte brukere. Det betyr at ulike brukere vil se forskjellige data når de får tilgang til den samme rapporten. En Semantisk Power BI-modell (tidligere kalt et datasett) eller en datakilde (ved bruk av enkel pålogging) kan fremtvinge RLS. Hvis du vil ha mer informasjon, kan du se delen Fremtving datasikkerhet basert på forbrukeridentitet i artikkelen Om forbrukersikkerhet i rapporten.
• Data oppdagbarhet: Bestem i hvilken grad data oppdagbarhet bør oppmuntres i Power BI. Oppdagbarhet påvirker hvem som kan finne semantiske modeller eller datamarts i datahuben, og om innholdsforfattere har lov til å be om tilgang til disse elementene (ved hjelp av arbeidsflyten for forespørselstilgang). Hvis du vil ha mer informasjon, kan du se det tilpassbare administrerte selvbetjente BI-bruksscenarioet .
• Data som har tillatelse til å lagres i Power BI: Finn ut om det finnes visse typer data som ikke skal lagres i Power BI. Du kan for eksempel angi at visse sensitive informasjonstyper, for eksempel bankkontonumre eller personnummer, ikke kan lagres i en semantisk modell. Hvis du vil ha mer informasjon, kan du se artikkelen om hindring av informasjonsbeskyttelse og hindring av datatap.
• Innkommende privat nettverk: Bestem om det er krav til nettverksisolering ved hjelp av private endepunkter for å få tilgang til Power BI. Når du bruker Azure Private Link, sendes datatrafikk ved hjelp av Microsofts private nettverksryggrad i stedet for å gå over Internett.
• Utgående privat nettverk: Finn ut om det kreves mer sikkerhet når du kobler til datakilder. Datagatewayen for virtuelt nettverk (VNet) muliggjør sikker utgående tilkobling fra Power BI til datakilder i et VNet. Du kan bruke en Azure VNet-datagateway når innhold lagres i et Premium-arbeidsområde.

Viktig

Når du vurderer nettverksisolasjon, kan du arbeide med IT-infrastrukturen og nettverksteamene før du endrer noen av power BI-leierinnstillingene. Azure Private Link muliggjør forbedret inngående sikkerhet gjennom private endepunkter, mens en Azure VNet-gateway gjør det mulig å forbedre utgående sikkerhet når du kobler til datakilder. Azure VNet-gatewayen er Microsoft-administrert i stedet for kundeadministrert, så den eliminerer kostnadene ved å installere og overvåke lokale gatewayer.

Noen av beslutningene på organisasjonsnivå vil resultere i faste styringspolicyer, spesielt når de er knyttet til samsvar. Andre beslutninger på organisasjonsnivå kan føre til veiledning som du kan gi til innholdsopprettere som er ansvarlige for å administrere og sikre sitt eget innhold. De resulterende policyene og retningslinjene bør inkluderes i den sentraliserte portalen, opplæringsmateriellet og kommunikasjonsplanen.

Tips

Se de andre artiklene i denne serien for flere forslag som er relatert til sikkerhetsplanlegging for rapportforbrukere og innholdsopprettere.

Sjekkliste – Når du planlegger sikkerhetsstrategier på høyt nivå, omfatter viktige beslutninger og handlinger:

• Identifiser forskriftsmessige krav knyttet til sikkerhet: Undersøk og dokumenter hvert krav, inkludert hvordan du sikrer samsvar.
• Identifiser sikkerhetsstrategier på høyt nivå: Bestem hvilke sikkerhetskrav som er viktige nok til at de skal inkluderes i en styringspolicy.
• Samarbeid med andre administratorer: Kontakt de relevante systemansvarlige for å diskutere hvordan de oppfyller sikkerhetskravene og hvilke tekniske forutsetninger som finnes. Planlegg for å gjøre et teknisk konseptbevis.
• Oppdater leierinnstillinger for Power BI: Konfigurer hver relevante Power BI-leierinnstilling. Planlegg oppfølgingsvurderinger regelmessig.
• Opprett og publiser brukerveiledning: Opprett dokumentasjon for sikkerhetsstrategier på høyt nivå. Inkluder detaljer om prosessen og hvordan en bruker kan be om unntak fra standardprosessen. Gjør denne informasjonen tilgjengelig i den sentraliserte portalen og opplæringsmateriellet.
• Oppdater opplæringsmateriell: For sikkerhetsstrategier på høyt nivå må du bestemme hvilke krav eller retningslinjer du bør inkludere i brukeropplæringsmateriell.

Integrering med Microsoft Entra ID

Power BI-sikkerhet er bygget på grunnlaget for en Microsoft Entra-leier . Følgende Microsoft Entra-konsepter er relevante for sikkerheten til en Power BI-leier.

• Brukertilgang: Tilgang til Power Bi-tjeneste krever en brukerkonto (i tillegg til en Power BI-lisens: Gratis, Power BI Pro eller Premium per bruker – PPU). Du kan legge til både interne brukere og gjestebrukere i Microsoft Entra ID, eller de kan synkroniseres med en lokal Active Directory (AD). Hvis du vil ha mer informasjon om gjestebrukere, kan du se Strategi for eksterne brukere.
• Sikkerhetsgrupper: Microsoft Entra-sikkerhetsgrupper kreves når du gjør bestemte funksjoner tilgjengelige i leierinnstillingene for Power BI. Det kan også hende at du trenger grupper for effektivt å sikre innhold i Power BI-arbeidsområdet eller for distribusjon av innhold. Hvis du vil ha mer informasjon, kan du se Strategi for bruk av grupper.
• Policyer for betinget tilgang: Du kan konfigurere betinget tilgang til Power Bi-tjeneste og Power BI-mobilappen. Betinget microsoft Entra-tilgang kan begrense godkjenning i ulike situasjoner. Du kan for eksempel håndheve policyer som:
  • Krev godkjenning med flere faktorer for noen eller alle brukere.
  • Tillat bare enheter som overholder organisasjonspolicyer.
  • Tillat tilkobling fra et bestemt nettverk eller IP-område.
  • Blokker tilkobling fra en maskin som ikke er domenekoblet.
  • Blokker tilkobling for en risikabel pålogging.
  • Tillat bare bestemte typer enheter å koble til.
  • Tillat eller avslå tilgang til Power BI betinget for bestemte brukere.
• Tjenestekontohavere: Du må kanskje opprette en Microsoft Entra-appregistrering for å klargjøre en tjenestekontohaver. Godkjenning av tjenestekontohaver er en anbefalt fremgangsmåte når en Power BI-administrator ønsker å kjøre uovervåkede, planlagte skript som trekker ut data ved hjelp av API-ene for Power BI-administratorer. Tjenestekontohavere er også nyttige når du bygger inn Power BI-innhold i et egendefinert program.
• Policyer i sanntid: Du kan velge å konfigurere øktkontroll i sanntid eller tilgangskontrollpolicyer, som involverer både Microsoft Entra ID og Microsoft Defender for Cloud Apps. Du kan for eksempel forby nedlasting av en rapport i Power Bi-tjeneste når den har en bestemt følsomhetsetikett. Hvis du vil ha mer informasjon, kan du se artiklene informasjonsbeskyttelse og hindring av datatap.

Det kan være vanskelig å finne den rette balansen mellom ubegrenset tilgang og altfor restriktiv tilgang (som frustrerer brukerne). Den beste strategien er å samarbeide med Microsoft Entra-administratoren for å forstå hva som er konfigurert for øyeblikket. Prøv å være lydhør overfor behovene til virksomheten, samtidig som du er oppmerksom på nødvendige begrensninger.

Tips

Mange organisasjoner har et lokal Active Directory (AD)-miljø som de synkroniserer med Microsoft Entra ID i skyen. Dette oppsettet kalles en hybrid identitetsløsning , som er utenfor omfanget for denne artikkelen. Det viktige konseptet å forstå er at brukere, grupper og tjenestekontohavere må finnes i Microsoft Entra ID for at skybaserte tjenester som Power BI skal fungere. Å ha en hybrid identitetsløsning fungerer for Power BI. Vi anbefaler at du snakker med Microsoft Entra-administratorer om den beste løsningen for organisasjonen.

Sjekkliste – Når du identifiserer behov for Microsoft Entra-integrasjon, omfatter viktige beslutninger og handlinger:

• Samarbeid med Microsoft Entra-administratorer: Samarbeid med Microsoft Entra-administratorer for å finne ut hvilke eksisterende Microsoft Entra-policyer som er på plass. Finn ut om det finnes noen policyer (gjeldende eller planlagt) som vil påvirke brukeropplevelsen i Power Bi-tjeneste og/eller i Power BI-mobilappene.
• Bestem når brukertilgang kontra tjenestekontohaver skal brukes: For automatiserte operasjoner bestemmer du når du skal bruke en tjenestekontohaver i stedet for brukertilgang.
• Opprett eller oppdater brukerveiledning: Finn ut om det finnes sikkerhetsemner du må dokumentere for Power BI-brukerfelleskapet. På den måten vet de hva de kan forvente for bruk av grupper og policyer for betinget tilgang.

Strategi for eksterne brukere

Power BI støtter Microsoft Entra Business-to-Business (B2B). Eksterne brukere, for eksempel fra en kunde eller et partnerselskap, kan inviteres som gjestebrukere i Microsoft Entra ID for samarbeidsformål. Eksterne brukere kan arbeide med Power BI og mange andre Azure- og Microsoft 365-tjenester.

Viktig

Microsoft Entra B2B-hvitboken er den beste ressursen for å lære om strategier for håndtering av eksterne brukere. Denne artikkelen er begrenset til å beskrive de viktigste hensynene som er relevante for planlegging.

Det er fordeler når en ekstern bruker er fra en annen organisasjon som også har Konfigurert Microsoft Entra-ID.

• Home tenant administrerer legitimasjonen: Brukerens hjemmeleier forblir i kontroll over sin identitet og behandling av legitimasjon. Du trenger ikke å synkronisere identiteter.
• Hjemmeleieren administrerer brukerens status: Når en bruker forlater organisasjonen og kontoen fjernes eller deaktiveres, har ikke brukeren lenger tilgang til Power BI-innholdet. Det er en betydelig fordel fordi du kanskje ikke vet når noen har forlatt organisasjonen.
• Fleksibilitet for brukerlisensiering: Det finnes kostnadseffektive lisensieringsalternativer. En ekstern bruker kan allerede ha en Power BI Pro- eller PPU-lisens, i så fall trenger du ikke å tilordne en til dem. Det er også mulig å gi dem tilgang til innhold i en Premium-kapasitet eller Fabric F64 eller et arbeidsområde med større kapasitet ved å tilordne en Fabric (gratis)-lisens til dem.

Viktig

Til tider refererer denne artikkelen til Power BI Premium eller dets kapasitetsabonnementer (P SKU-er). Vær oppmerksom på at Microsoft for øyeblikket konsoliderer kjøpsalternativer og trekker tilbake Power BI Premium per kapasitet sKU-er. Nye og eksisterende kunder bør vurdere å kjøpe Fabric-kapasitetsabonnementer (F SKU-er) i stedet.

Hvis du vil ha mer informasjon, kan du se Viktige oppdateringer som kommer til Power BI Premium-lisensiering og vanlige spørsmål om Power BI Premium.

Nøkkelinnstillinger

Det er to aspekter ved aktivering og administrasjon av hvordan ekstern brukertilgang vil fungere:

• Microsoft Entra-innstillinger som administreres av en Microsoft Entra-administrator. Disse Microsoft Entra-innstillingene er en forutsetning.
• Power BI-leierinnstillinger som administreres av en Power BI-administrator i administrasjonsportalen. Disse innstillingene styrer brukeropplevelsen i Power Bi-tjeneste.

Gjesteinvitasjonsprosess

Det finnes to måter å invitere gjestebrukere til leieren på.

• Planlagte invitasjoner: Du kan konfigurere eksterne brukere på forhånd i Microsoft Entra ID. På denne måten er gjestekontoen klar når en Power BI-bruker må bruke den til å tilordne tillatelser (for eksempel apptillatelser). Selv om det krever litt planlegging på forhånd, er det den mest konsekvente prosessen fordi alle Power BI-sikkerhetsfunksjoner støttes. En administrator kan bruke PowerShell til effektivt å legge til et stort antall eksterne brukere.
• Ad hoc-invitasjoner: En gjestekonto kan automatisk genereres i Microsoft Entra ID på det tidspunktet en Power BI-bruker deler eller distribuerer innhold til en ekstern bruker (som ikke tidligere var konfigurert). Denne fremgangsmåten er nyttig når du ikke vet på forhånd hvem de eksterne brukerne skal være. Denne funksjonen må imidlertid først aktiveres i Microsoft Entra ID. Ad hoc-invitasjonstilnærmingen fungerer for ad hoc per element-tillatelser og apptillatelser.

Tips

Ikke alle sikkerhetsalternativer i Power Bi-tjeneste støtter utløser en ad hoc-invitasjon. Derfor er det en inkonsekvent brukeropplevelse når du tilordner tillatelser (for eksempel arbeidsområdesikkerhet kontra per element-tillatelser kontra apptillatelser). Når det er mulig, anbefaler vi at du bruker den planlagte invitasjonstilnærmingen fordi det resulterer i en konsekvent brukeropplevelse.

Kundeleier-ID

Hver Microsoft Entra-leier har en globalt unik identifikator (GUID) kjent som leier-ID-en. I Power BI kalles den kundeleier-ID (CTID). CTID gjør det mulig for Power Bi-tjeneste å finne innhold fra perspektivet til en annen organisatorisk leier. Du må tilføye CTID til nettadresser når du deler innhold med en ekstern bruker.

Her er et eksempel på å tilføye CTID til en URL-adresse: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

Når du må oppgi CTID for organisasjonen til en ekstern bruker, kan du finne den i Power Bi-tjeneste ved å åpne dialogboksen Om Power BI. Den er tilgjengelig fra Menyen Hjelp og støtte (?) øverst til høyre i Power Bi-tjeneste. CTID legges til på slutten av nettadressen til leieren.

Organisatorisk varemerking

Når ekstern gjestetilgang ofte skjer i organisasjonen, er det lurt å bruke egendefinert varemerking. Det hjelper brukere med å identifisere hvilken organisatorisk leier de har tilgang til. Egendefinerte varemerkingselementer inkluderer en logo, forsidebilde og temafarge.

Skjermbildet nedenfor viser hvordan Power Bi-tjeneste ser ut når du får tilgang til en gjestekonto. Den inneholder et alternativ for gjesteinnhold , som er tilgjengelig når CTID legges til i nettadressen.

Deling av eksterne data

Noen organisasjoner har et krav om å gjøre mer enn å dele rapporter med eksterne brukere. De har til hensikt å dele semantiske modeller med eksterne brukere, for eksempel partnere, kunder eller leverandører.

Målet med semantisk modelldeling på stedet (også kalt semantisk deling av semantiske modeller på tvers av leier) er å tillate eksterne brukere å opprette sine egne tilpassede rapporter og sammensatte modeller ved hjelp av data du oppretter, administrerer og leverer. Den opprinnelige semantiske modellen (opprettet av deg) forblir i Power BI-leieren. De avhengige rapportene og modellene lagres i den eksterne brukerens Power BI-leier.

Det finnes flere sikkerhetsaspekter for å få semantisk modelldeling på stedet til å fungere.

• Leierinnstilling: Tillat gjestebrukere å arbeide med delte semantiske modeller i sine egne leiere: Denne innstillingen angir om funksjonen for deling av eksterne data kan brukes. Den må aktiveres for at en av de to andre innstillingene (vist neste) skal tre i kraft. Den er aktivert eller deaktivert for hele organisasjonen av Power BI-administratoren.
• Leierinnstilling: Tillat at bestemte brukere aktiverer ekstern datadeling: Denne innstillingen angir hvilke grupper av brukere som kan dele data eksternt. Gruppene av brukere som er tillatt her, kan bruke den tredje innstillingen (beskrevet neste). Denne innstillingen administreres av Power BI-administratoren.
• Semantisk modellinnstilling: Ekstern deling: Denne innstillingen angir om den bestemte semantiske modellen kan brukes av eksterne brukere. Denne innstillingen administreres av innholdsopprettere og eiere for hver spesifikke semantiske modell.
• Semantisk modelltillatelse: Lese og bygge: Standard semantiske modelltillatelser for å støtte innholdsopprettere er fortsatt på plass.

Viktig

Vanligvis brukes termforbrukeren til å referere til bare visningsbrukere som bruker innhold som produseres av andre i organisasjonen. Men med semantisk modelldeling på stedet, er det en produsent av semantisk modell og en forbruker av den semantiske modellen. I denne situasjonen er forbrukeren av den semantiske modellen vanligvis en innholdsoppretter i den andre organisasjonen.

Hvis sikkerhet på radnivå er angitt for semantisk modell, overholdes den for eksterne brukere. Hvis du vil ha mer informasjon, kan du se delen Fremtving datasikkerhet basert på forbrukeridentitet i artikkelen Om forbrukersikkerhet i rapporten.

Eksterne brukerabonnementer

Det er mest vanlig at eksterne brukere administreres som gjestebrukere i Microsoft Entra ID, som tidligere beskrevet. I tillegg til denne vanlige tilnærmingen gir Power BI andre funksjoner for distribusjon av rapportabonnementer til brukere utenfor organisasjonen.

Power BI Tillat at e-postabonnementer sendes til eksterne brukeres leierinnstilling angir om brukere har tillatelse til å sende e-postabonnementer til eksterne brukere som ennå ikke er microsoft Entra-gjestebrukere. Vi anbefaler at du angir at denne leierinnstillingen skal samsvare med hvor strengt eller fleksibelt organisasjonen foretrekker å administrere eksterne brukerkontoer.

Tips

Administratorer kan bekrefte hvilke eksterne brukere som blir sendt abonnementer ved hjelp av API-en Hent rapportabonnementer som administrator. E-postadressen for den eksterne brukeren vises. Hovedtypen er uløst fordi den eksterne brukeren ikke er konfigurert i Microsoft Entra ID.

Sjekkliste – Når du planlegger hvordan du skal håndtere eksterne gjestebrukere, omfatter viktige beslutninger og handlinger:

• Identifiser krav for eksterne brukere i Power BI: Bestem hvilke brukstilfeller det finnes for eksternt samarbeid. Klargjør scenariene for bruk av Power BI med Microsoft Entra B2B. Bestem om samarbeid med eksterne brukere er en vanlig eller sjelden forekomst.
• Fastslå gjeldende Microsoft Entra-innstillinger: Samarbeid med Microsoft Entra-administratoren for å finne ut hvordan eksternt samarbeid er konfigurert. Bestem hva innvirkningen vil være på å bruke B2B med Power BI.
• Bestem hvordan du inviterer eksterne brukere: Samarbeid med Microsoft Entra-administratorer for å bestemme hvordan gjestekontoer skal opprettes i Microsoft Entra ID. Bestem om ad hoc-invitasjoner skal tillates. Bestem i hvilken grad den planlagte invitasjonstilnærmingen skal brukes. Kontroller at hele prosessen forstås og dokumenteres.
• Opprett og publiser brukerveiledning om eksterne brukere: Opprett dokumentasjon for innholdsoppretterne som vil veilede dem om hvordan du deler innhold med eksterne brukere (spesielt når den planlagte invitasjonsprosessen kreves). Inkluder informasjon om begrensninger som eksterne brukere vil møte hvis de har tenkt å få eksterne brukere til å redigere og behandle innhold. Publiser denne informasjonen i den sentraliserte portalen og opplæringsmateriellet.
• Bestem hvordan du skal håndtere ekstern datadeling: Bestem om ekstern datadeling skal tillates, og om det er begrenset til et bestemt sett med godkjente innholdsopprettere. Angi at gjestebrukere skal arbeide med delte semantiske modeller i sin egen leierleierinnstilling, og tillat at bestemte brukere aktiverer innstilling for ekstern datadeling for å justere avgjørelsen. Gi informasjon om ekstern datadeling for de semantiske modelloppretterne. Publiser denne informasjonen i den sentraliserte portalen og opplæringsmateriellet.
• Bestem hvordan du skal håndtere Power BI-lisenser for eksterne brukere: Hvis gjestebrukeren ikke har en eksisterende Power BI-lisens, bestemmer du deg for prosessen for å tilordne dem en lisens. Kontroller at prosessen er dokumentert.
• Inkluder CTID i relevant brukerdokumentasjon: Registrer nettadressen som tilføyer leier-ID -en (CTID) i brukerdokumentasjonen. Inkluder eksempler for opprettere og forbrukere om hvordan du bruker nettadresser som tilføyer CTID.
• Konfigurere egendefinert varemerking i Power BI: Konfigurer egendefinert varemerking i administrasjonsportalen for å hjelpe eksterne brukere med å identifisere hvilken organisatorisk leier de har tilgang til.
• Kontroller eller oppdater leierinnstillinger: Kontroller hvordan leierinnstillingene er konfigurert i Power Bi-tjeneste. Oppdater dem etter behov basert på beslutningene som er tatt for å administrere ekstern brukertilgang.

Strategi for filplasseringer

Det finnes ulike typer filer som bør lagres på riktig måte. Det er derfor viktig å hjelpe brukerne med å forstå forventningene til hvor filer og data skal være plassert.

Det kan være risiko forbundet med Power BI Desktop-filer og Excel-arbeidsbøker fordi de kan inneholde importerte data. Disse dataene kan omfatte kundeinformasjon, personlig identifiserbar informasjon (PII), rettighetsbeskyttet informasjon eller data som er underlagt forskriftsmessige eller samsvarskrav.

Tips

Det er enkelt å overse filene som er lagret utenfor Power Bi-tjeneste. Vi anbefaler at du vurderer dem når du planlegger sikkerhet.

Her er noen av filtypene som kan være involvert i en Power BI-implementering.

• Kildefiler
  • Power BI Desktop-filer: De opprinnelige filene (PBIX) for innhold som er publisert i Power Bi-tjeneste. Når filen inneholder en datamodell, kan den inneholde importerte data.
  • Excel-arbeidsbøker: Excel-arbeidsbøker (.xlsx) kan inneholde tilkoblinger til semantiske modeller i Power Bi-tjeneste. De kan også inneholde eksporterte data. De kan til og med være opprinnelige arbeidsbøker for innhold som publiseres til Power Bi-tjeneste (som et arbeidsbokelement i et arbeidsområde).
  • Paginerte rapportfiler: De opprinnelige rapportfilene (RDL) for innhold som er publisert i Power Bi-tjeneste.
  • Kildedatafiler: Flate filer (for eksempel .csv eller .txt) eller Excel-arbeidsbøker som inneholder kildedata som er importert til en Power BI-modell.
• Eksporterte og andre filer
  • Power BI Desktop-filer: PBIX-filene som er lastet ned fra Power Bi-tjeneste.
  • PowerPoint- og PDF-filer: PowerPoint-presentasjoner (.pptx) og PDF-dokumenter lastet ned fra Power Bi-tjeneste.
  • Excel- og CSV-filer: Data eksportert fra rapporter i Power Bi-tjeneste.
  • Paginerte rapportfiler: Filene som eksporteres fra paginerte rapporter i Power Bi-tjeneste. Excel, PDF og PowerPoint støttes. Det finnes også andre eksportfilformater for paginerte rapporter, inkludert Word, XML eller nettarkiv. Når du bruker eksportfilene til Å rapportere API-er, støttes også bildeformater.
  • E-postfiler: Send bilder og vedlegg via e-post fra abonnementer.

Du må ta noen avgjørelser om hvor brukere kan eller ikke kan lagre filer. Denne prosessen innebærer vanligvis å opprette en styringspolicy som brukere kan referere til. Plasseringene for kildefiler og eksporterte filer bør sikres for å sikre riktig tilgang av autoriserte brukere.

Her er noen anbefalinger for å arbeide med filer.

• Lagre filer i et delt bibliotek: Bruk et Teams-nettsted, et SharePoint-bibliotek eller et OneDrive for arbeids- eller skolebibliotek. Unngå å bruke personlige biblioteker og stasjoner. Kontroller at lagringsplassen er sikkerhetskopiert. Kontroller også at lagringsplasseringen har versjonskontroll aktivert, slik at det er mulig å rulle tilbake til en tidligere versjon.
• Bruk Power Bi-tjeneste så mye som mulig: Når det er mulig, kan du bruke Power Bi-tjeneste til deling og distribusjon av innhold. På den måten er det alltid full revisjon av tilgang. Lagring og deling av filer på et filsystem bør reserveres for det lille antallet brukere som samarbeider om innhold.
• Ikke bruk e-post: Frarådet bruk av e-post for deling av filer. Når noen sender en Excel-arbeidsbok eller en Power BI Desktop-fil til 10 brukere, resulterer det i 10 kopier av filen. Det er alltid risiko for å inkludere en feil (intern eller ekstern) e-postadresse. Det er også en større risiko for at filen videresendes til noen andre. (Hvis du vil minimere denne risikoen, kan du samarbeide med Exchange Online-administratoren for å implementere regler for å blokkere vedlegg basert på vilkår for størrelse eller filtype. Andre strategier for hindring av tap av data for Power BI er beskrevet i artiklene om hindring av datatap og hindring av datatap.)
• Bruk malfiler: Noen ganger er det et legitimt behov for å dele en Power BI Desktop-fil med noen andre. I dette tilfellet bør du vurdere å opprette og dele en Power BI Desktop-malfil (PBIT). En malfil inneholder bare metadata, så den er mindre enn kildefilen. Denne teknikken krever at mottakeren legger inn datakildelegitimasjon for å oppdatere modelldataene.

Det finnes leierinnstillinger i administrasjonsportalen som styrer hvilke eksportformater brukere har tillatelse til å bruke når de eksporterer fra Power Bi-tjeneste. Det er viktig å se gjennom og angi disse innstillingene. Det er en komplementær aktivitet til planlegging for filplasseringene som skal brukes for de eksporterte filene.

Tips

Enkelte eksportformater støtter informasjonsbeskyttelse fra ende til ende ved hjelp av kryptering. På grunn av forskriftsmessige krav har noen organisasjoner et gyldig behov for å begrense hvilke eksportformater brukere kan bruke. Informasjonsbeskyttelsen for Power BI-artikkelen beskriver faktorer du bør vurdere når du bestemmer hvilke eksportformater som skal aktiveres eller deaktiveres i leierinnstillingene. I de fleste tilfeller anbefaler vi at du bare begrenser eksportfunksjoner når du må oppfylle spesifikke forskriftsmessige krav. Du kan bruke Power BI-aktivitetsloggen til å identifisere hvilke brukere som utfører mange eksporter. Deretter kan du lære disse brukerne mer effektive og sikre alternativer.

Sjekkliste – Når du planlegger filplasseringer, omfatter de viktigste beslutningene og handlingene:

• Identifiser hvor filene skal være plassert: Bestem hvor filene skal lagres. Bestem om det finnes bestemte plasseringer som ikke skal brukes.
• Opprett og publiser dokumentasjon om filplasseringer: Opprett brukerdokumentasjon som klargjør ansvaret for administrasjon og sikring av filer. Den bør også beskrive alle plasseringer der filer skal (eller bør ikke) lagres. Publiser denne informasjonen i den sentraliserte portalen og opplæringsmateriellet.
• Angi leierinnstillingene for eksport: Se gjennom og angi hver leierinnstilling relatert til eksportformater du vil støtte.

Strategi for bruk av grupper

Vi anbefaler at du bruker Microsoft Entra-sikkerhetsgrupper til å sikre Power BI-innhold av følgende årsaker.

• Redusert vedlikehold: Medlemskapet i sikkerhetsgruppen kan endres uten å måtte endre tillatelsene for Power BI-innholdet. Nye brukere kan legges til i gruppen, og unødvendige brukere kan fjernes fra gruppen.
• Forbedret nøyaktighet: Fordi gruppemedlemskapsendringene gjøres én gang, resulterer det i mer nøyaktige tillatelsestildelinger. Hvis det oppdages en feil, kan den rettes på en enklere måte.
• Delegering: Du kan delegere ansvaret for å administrere gruppemedlemskap til gruppeeieren.

Gruppebeslutninger på høyt nivå

Det er noen strategiske beslutninger som skal tas angående hvordan grupper skal brukes.

Tillatelse til å opprette og behandle grupper

Det er to viktige avgjørelser å ta om å opprette og administrere grupper.

• Hvem har tillatelse til å opprette en gruppe? Vanligvis er det bare IT som kan opprette sikkerhetsgrupper. Det er imidlertid mulig å legge til brukere i den innebygde gruppeadministratoren Microsoft Entra-rollen. På den måten kan enkelte klarerte brukere, for eksempel Power BI-mestere eller satellittmedlemmer av coe-en, opprette grupper for forretningsenheten sin.
• Hvem har tillatelse til å administrere medlemmer av en gruppe? Det er vanlig at IT administrerer gruppemedlemskap. Det er imidlertid mulig å angi én eller flere gruppeeiere som har tillatelse til å legge til og fjerne gruppemedlemmer. Bruk av selvbetjent gruppeadministrasjon er nyttig når et desentralisert team eller satellittmedlemmer av COE har lov til å administrere medlemskapet i Power BI-spesifikke grupper.

Tips

Å tillate selvbetjent gruppestyring og spesifisere desentraliserte gruppeeiere er gode måter å balansere effektivitet og hastighet med styring på.

Planlegging for Power BI-grupper

Det er viktig at du oppretter en strategi på høyt nivå for hvordan du bruker grupper for å sikre Power BI-innhold og mange andre bruksområder.

Ulike brukstilfeller for grupper

Vurder følgende brukstilfeller for grupper.

Brukseksempel	Beskrivelse	Eksempelgruppenavn
Kommunisere med Power BI Center of Excellence (COE)	Omfatter alle brukere som er knyttet til COE, inkludert alle kjerne- og satellittmedlemmer av COE. Avhengig av dine behov, kan du også opprette en egen gruppe for bare kjernemedlemmene. Det er sannsynligvis en Microsoft 365-gruppe som er korrelert med et Teams-nettsted.	• Power BI Center of Excellence
Kommunisere med Power BI-lederteamet	Omfatter den overordnede sponsoren og representanter fra forretningsenheter som samarbeider om å lede Power BI-initiativet i organisasjonen.	• Styringsgruppen for Power BI
Kommunisere med Power BI-brukerfelleskapet	Omfatter alle brukere som er tilordnet alle typer Power BI-brukerlisenser. Det er nyttig for å gjøre kunngjøringer til alle Power BI-brukere i organisasjonen. Det er sannsynligvis en Microsoft 365-gruppe som er korrelert med et Teams-nettsted.	• Power BI-fellesskapet
Støtte for Power BI-brukerfelledskapet	Inkluderer brukerstøttebrukere som samhandler direkte med brukerfelleskapet for å håndtere støtteproblemer med Power BI. Denne e-postadressen (og Teams-området, hvis aktuelt) er tilgjengelig og synlig for brukerpopulasjonen.	• Brukerstøtte for Power BI
Gir eskalert støtte	Inkluderer bestemte brukere, vanligvis fra Power BI COE, som gir eskalert støtte. Denne e-postadressen (og Teams-området, hvis aktuelt) er vanligvis privat, bare for bruk av brukerstøtteteamet.	• Utvidet brukerstøtte for Power BI
Administrere Power Bi-tjeneste	Omfatter bestemte brukere som har tillatelse til å administrere Power Bi-tjeneste. Medlemmer av denne gruppen kan eventuelt være korrelert med rollen i Microsoft 365 for å forenkle administrasjon.	• Power BI-administratorer
Varsle tillatte funksjoner og gradvis utrulling av funksjoner	Inkluderer brukere som er tillatt for en bestemt leierinnstilling i administrasjonsportalen (hvis funksjonen vil være begrenset), eller hvis funksjonen skal rulles ut gradvis til grupper med brukere. Mange av leierinnstillingene krever at du oppretter en ny Power BI-spesifikk gruppe.	• Opprettere av Power BI-arbeidsområder • Deling av eksterne data i Power BI
Administrere datagatewayer	Inkluderer én eller flere grupper med brukere som har tillatelse til å administrere en gateway-klynge. Det kan være flere grupper av denne typen når det finnes flere gatewayer eller når desentraliserte team administrerer gatewayer.	• Administratorer for Power BI-gateway • Power BI gateway-datakildeopprettere • Power BI gateway-datakildeeiere • Power BI gateway-datakildebrukere
Administrere Premium-kapasiteter	Inkluderer brukere som har tillatelse til å administrere en Premium-kapasitet. Det kan være flere grupper av denne typen når det finnes flere kapasiteter eller når desentraliserte team administrerer kapasiteter.	• Bidragsytere for Power BI-kapasitet
Sikre arbeidsområder, apper og elementer	Mange grupper som er basert på emneområder og gir tilgang til administrasjon av sikkerhet for Power BI-arbeidsområderoller, apptillatelser og per element-tillatelser.	• Administratorer for Power BI-arbeidsområdet • Medlemmer av Power BI-arbeidsområdet • Bidragsytere for Power BI-arbeidsområdet • Visningsprogrammer for Power BI-arbeidsområder • Power BI-appseere
Distribuer innhold	Inkluderer brukerne som kan distribuere innhold ved hjelp av et datasamlebånd for Power BI-distribusjon. Denne gruppen brukes sammen med arbeidsområdetillatelser.	• Administratorer for datasamlebånd for Power BI-distribusjon
Automatisere administrative operasjoner	Omfatter tjenestekontohaverne som har tillatelse til å bruke Power BI-API for innebygging eller administrative formål.	• Power Bi-tjeneste hovedstoler

Grupper for leierinnstillinger for Power BI

Avhengig av de interne prosessene du har på plass, har du andre grupper som er nødvendige. Disse gruppene er nyttige når du administrerer leierinnstillingene. Her er noen eksempler:

• Opprettere av Arbeidsområder i Power BI: Nyttig når du trenger å begrense hvem som kan opprette arbeidsområder. Den brukes til å konfigurere leierinnstillingen Opprett arbeidsområder.
• Fageksperter for Power BI-sertifisering: Nyttig for å angi hvem som har tillatelse til å bruke den sertifiserte godkjenningen for innhold. Den brukes til å konfigurere innstillingen for sertifiseringsleietaker .
• Power BI-godkjente innholdsopprettere: Nyttig når du krever godkjenning, opplæring eller en policyanerkjennelse for installasjon av Power BI Desktop, eller for å få en Power BI Pro- eller PPU-lisens. Den brukes av leierinnstillinger som oppmuntrer til innholdsopprettingsfunksjoner, for eksempel Tillat DirectQuery-tilkoblinger til Semantiske Modeller for Power BI, Push-apper til sluttbrukere, Tillat XMLA-endepunkter og andre.
• Eksterne verktøybrukere i Power BI: Nyttig når du tillater bruk av eksterne verktøy for en selektiv gruppe brukere. Den brukes av gruppepolicy, eller når programvareinstallasjoner eller forespørsler må kontrolleres nøye.
• Egendefinerte Utviklere i Power BI: Nyttig når du trenger å kontrollere hvem som har tillatelse til å bygge inn innhold i andre programmer utenfor Power BI. Den brukes til å konfigurere innbyggingsinnholdet i leierinnstillingene for apper .
• Offentlig publisering i Power BI: Nyttig når du trenger å begrense hvem som kan publisere data offentlig. Den brukes til å konfigurere innstillingen Publiser til nettleieren .
• Power BI-deling til hele organisasjonen: Nyttig når du trenger å begrense hvem som kan dele en kobling med alle i organisasjonen. Den brukes til å konfigurere koblingene Tillat deling for å gi tilgang til alle i organisasjonens leierinnstilling.
• Deling av eksterne data i Power BI: Nyttig når du trenger å la enkelte brukere dele semantiske modeller med eksterne brukere. Den brukes til å konfigurere innstillingen Tillat at bestemte brukere aktiverer tenantinnstilling for ekstern datadeling .
• Tilgang til gjestebrukere i Power BI lisensiert: Nyttig når du trenger å gruppere godkjente eksterne brukere som får en lisens av organisasjonen. Den brukes til å konfigurere innstillingen Tillat microsoft Entra-gjestebrukere tilgang til Power BI-leierinnstillingen .
• Gjestebrukertilgang for Power BI BYOL: Nyttig når du trenger å gruppere godkjente eksterne brukere som tar med sin egen lisens (BYOL) fra hjemmeorganisasjonen. Den brukes til å konfigurere innstillingen Tillat microsoft Entra-gjestebrukere tilgang til Power BI-leierinnstillingen .

Tips

Hvis du vil ha hensyn til hvordan du bruker grupper når du planlegger arbeidsområdetilgang, kan du se artikkelen om planlegging på arbeidsområdenivå. Hvis du vil ha informasjon om hvordan du planlegger å sikre arbeidsområder, apper og elementer, kan du se artikkelen om planlegging av rapportforbrukersikkerhet.

Gruppetype

Du kan opprette ulike typer grupper.

• Sikkerhetsgruppe: En sikkerhetsgruppe er det beste valget når det primære målet er å gi tilgang til en ressurs.
• E-postaktivert sikkerhetsgruppe: Når du trenger å gi tilgang til en ressurs og distribuere meldinger til hele gruppen via e-post, er en e-postaktivert sikkerhetsgruppe et godt valg.
• Microsoft 365-gruppe: Denne typen gruppe har et Teams-nettsted og en e-postadresse. Det er det beste valget når det primære målet er kommunikasjon eller samarbeid på et Teams-nettsted. En Microsoft 365-gruppe har bare medlemmer og eiere. det finnes ingen seerrolle. Derfor er hovedformålet samarbeid. Denne typen gruppe ble tidligere kjent som en Office 365-gruppe, moderne gruppe eller enhetlig gruppe.
• Distribusjonsgruppe: Du kan bruke en distribusjonsgruppe til å sende et kringkastingsvarsel til en liste over brukere. I dag anses det å være et eldre konsept som gir bakoverkompatibilitet. For nye brukstilfeller anbefaler vi at du oppretter en e-postaktivert sikkerhetsgruppe i stedet.

Når du ber om en ny gruppe, eller du har tenkt å bruke en eksisterende gruppe, er det viktig å være oppmerksom på typen. Gruppetypen kan bestemme hvordan den brukes og administreres.

• Power BI-tillatelser: Ikke alle typer grupper støttes for alle typer sikkerhetsoperasjoner. Sikkerhetsgrupper (inkludert e-postaktiverte sikkerhetsgrupper) tilbyr den høyeste dekningen når det gjelder å angi sikkerhetsalternativer for Power BI. Microsoft-dokumentasjon anbefaler vanligvis Microsoft 365-grupper. Når det gjelder Power BI, er de imidlertid ikke like dyktige som sikkerhetsgrupper. Hvis du vil ha mer informasjon om Power BI-tillatelser, kan du se de senere artiklene i denne serien om sikkerhetsplanlegging.
• Leierinnstillinger for Power BI: Du kan bare bruke sikkerhetsgrupper (inkludert e-postaktiverte sikkerhetsgrupper) når du tillater eller ikke tillater grupper av brukere å arbeide med Power BI-leierinnstillinger.
• Avanserte Microsoft Entra-funksjoner: Enkelte typer avanserte funksjoner støttes ikke for alle gruppetyper. Du vil for eksempel kanskje behandle gruppemedlemskap dynamisk basert på et attributt i Microsoft Entra ID (for eksempel avdelingen for en bruker eller til og med et egendefinert attributt). Bare Microsoft 365-grupper og sikkerhetsgrupper støtter dynamiske gruppemedlemskap. Eller hvis du vil neste en gruppe i en gruppe, må du være oppmerksom på at Microsoft 365-grupper ikke støtter denne funksjonen.
• Administrert på en annen måte: Forespørselen om å opprette eller administrere en gruppe kan rutes til en annen administrator basert på gruppetypen (e-postaktiverte sikkerhetsgrupper og distribusjonsgrupper administreres i Exchange). Derfor vil den interne prosessen variere avhengig av gruppetypen.

Navnekonvensjon for grupper

Det er sannsynlig at du ender opp med mange grupper i Microsoft Entra ID for å støtte Power BI-implementeringen. Derfor er det viktig å ha et avtalt mønster for hvordan grupper navngis. En god navnekonvensjon vil bidra til å bestemme formålet med gruppen og gjøre den enklere å administrere.

Vurder å bruke følgende standard navnekonvensjon: Prefiksformål<>> - <Emne/Omfang/Avdeling<>[Miljø]<>

Listen nedenfor beskriver hver del av navnekonvensjonen.

• Prefiks: Brukes til å gruppere alle Power BI-grupper sammen. Når gruppen skal brukes for mer enn ett analytisk verktøy, kan prefikset være bare BI, i stedet for Power BI. I så fall vil teksten som beskriver formålet, være mer generisk, slik at den relateres til mer enn ett analytisk verktøy.
• Formål: Formålet varierer. Det kan være for en arbeidsområderolle, apptillatelser, tillatelser på elementnivå, sikkerhet på radnivå eller andre formål. Noen ganger kan flere formål være fornøyd med én enkelt gruppe.
• Emne/omfang/avdeling: Brukes til å klargjøre hvem gruppen gjelder for. Det vil ofte beskrive gruppemedlemskapet. Det kan også referere til hvem som administrerer gruppen. Noen ganger kan én enkelt gruppe brukes til flere formål. En samling av finansarbeidsområder kan for eksempel administreres med én enkelt gruppe.
• Miljø: Valgfritt. Nyttig for å skille mellom utvikling, test og produksjon.

Her er noen eksempelgruppenavn som bruker standard navnekonvensjon.

• Administratorer for Power BI-arbeidsområder – Finance [Dev]
• Medlemmer av Power BI-arbeidsområdet – Finance [Dev]
• Bidragsytere for Power BI-arbeidsområdet – Finance [Dev]
• Visningsprogrammer for Power BI-arbeidsområder – Finance [Dev]
• Power BI-app-seere – Økonomi
• Administratorer for Power BI-gateway – Enterprise BI
• Administratorer for Power BI-gateway – Økonomi

Beslutninger per gruppe

Når du planlegger hvilke grupper du trenger, må det tas flere avgjørelser.

Når en innholdsoppretter eller eier ber om en ny gruppe, bruker de ideelt sett et skjema til å oppgi følgende informasjon.

• Navn og formål: Et foreslått gruppenavn og det tiltenkte formålet. Vurder å inkludere Power BI (eller bare BI når du har flere BI-verktøy) i gruppenavnet for å tydelig angi omfanget av gruppen.
• E-postadresse: En e-postadresse når kommunikasjon også kreves for gruppemedlemmene. Ikke alle typer grupper må være e-postaktiverte.
• Gruppetype: Alternativer inkluderer sikkerhetsgruppe, e-postaktivert sikkerhetsgruppe, Microsoft 365-gruppe og distribusjonsgruppe.
• Gruppeeier: Hvem har tillatelse til å eie og administrere medlemmene i gruppen.
• Gruppemedlemskap: De tiltenkte brukerne som skal være medlemmer av gruppen. Vurder om eksterne brukere og interne brukere kan legges til, eller om det er en begrunnelse for å plassere eksterne brukere i en annen gruppe.
• Bruk av gruppemedlemstilordninger på kort tid: Du kan bruke PIM (Privileged Identity Management) til å gi tidsinnbokset, akkurat i tide, tilgang til en gruppe. Denne tjenesten kan være nyttig når brukere krever midlertidig tilgang. PIM er også nyttig for Power BI-administratorer som trenger sporadisk tilgang.

Tips

Eksisterende grupper som er basert på organisasjonskartet, fungerer ikke alltid bra for Power BI-formål. Bruk eksisterende grupper når de oppfyller dine behov. Vær imidlertid forberedt på å opprette Power BI-spesifikke grupper når behovet oppstår.

Sjekkliste – Når du oppretter en strategi for hvordan du bruker grupper, omfatter viktige beslutninger og handlinger:

• Bestem deg for strategien for bruk av grupper: Bestem brukstilfeller og formål du må bruke grupper. Vær spesifikk om når sikkerhet skal brukes ved hjelp av brukerkontoer kontra når en gruppe kreves eller foretrekkes.
• Opprett en navnekonvensjon for Power BI-spesifikke grupper: Sørg for at en konsekvent navnekonvensjon er i bruk for grupper som støtter Power BI-kommunikasjon, funksjoner, administrasjon eller sikkerhet.
• Bestem hvem som har tillatelse til å opprette grupper: Avklar om all gruppeoppretting er nødvendig for å gå gjennom IT. Eller om enkelte personer (for eksempel satellittmedlemmer av COE) kan gis tillatelse til å opprette grupper for sin forretningsenhet.
• Opprett en prosess for hvordan du ber om en ny gruppe: Opprett et skjema for brukere for å be om oppretting av en ny gruppe. Sørg for at det er en prosess på plass for å svare raskt på nye forespørsler. Husk at hvis forespørsler blir forsinket, kan brukere bli fristet til å begynne å tilordne tillatelser til individuelle kontoer.
• Bestem når desentralisert gruppeadministrasjon er tillatt: For grupper som gjelder for et bestemt team, må du bestemme når det er akseptabelt for en gruppeeier (utenfor IT) å administrere medlemmer i gruppen.
• Bestem om gruppemedlemskap i tide skal brukes: Avgjør om privileged Identity Management vil være nyttig. I så fall kan du bestemme hvilke grupper den kan brukes til (for eksempel Power BI-administratorgruppen).
• Se gjennom hvilke grupper som for øyeblikket finnes: Bestem hvilke eksisterende grupper som kan brukes, og hvilke grupper som må opprettes.
• Se gjennom hver leierinnstilling: For hver leierinnstilling må du avgjøre om det skal tillates eller ikke tillates for et bestemt sett med brukere. Bestem om en ny gruppe må opprettes for å konfigurere leierinnstillingen.
• Opprett og publiser veiledning for brukere om grupper: Inkluder dokumentasjon for innholdsopprettere som inkluderer krav, eller innstillinger, for bruk av grupper. Sørg for at de vet hva de skal be om når de ber om en ny gruppe. Publiser denne informasjonen i den sentraliserte portalen og opplæringsmateriellet.

Relatert innhold

I den neste artikkelen i denne serien kan du lære hvordan du kan levere innhold til skrivebeskyttede rapportforbrukere på en sikker måte.