Power BI-implementatieplanning: Beveiligingsplanning voor inhoudsmaker

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel over beveiligingsplanning worden strategieën beschreven voor makers van inhoud die verantwoordelijk zijn voor het maken van semantische modellen (voorheen gegevenssets), gegevensstromen, datamarts, rapporten of dashboards. Het is voornamelijk gericht op:

• Power BI-beheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie.
• Center of Excellence, IT en BI-team: de teams die ook verantwoordelijk zijn voor het toezicht op Power BI. Mogelijk moeten ze samenwerken met Power BI-beheerders, informatiebeveiligingsteams en andere relevante teams.
• Makers en eigenaren van inhoud: selfservice BI-makers die inhoud moeten maken, publiceren, beveiligen en beheren die anderen gebruiken.

De reeks artikelen is bedoeld om de inhoud in het technische document over Power BI-beveiliging uit te breiden. Hoewel het technische document over Power BI-beveiliging zich richt op belangrijke technische onderwerpen, zoals verificatie, gegevenslocatie en netwerkisolatie, is het primaire doel van de reeks u overwegingen en beslissingen te bieden om u te helpen bij het plannen van beveiliging en privacy.

In een organisatie zijn veel gebruikers makers van inhoud. Makers van inhoud produceren en publiceren inhoud die door anderen wordt bekeken. Makers van inhoud zijn de focus van dit artikel.

Tip

We raden u aan eerst het artikel Over de planning van consumentenbeveiliging rapporteren te raadplegen. Het beschrijft strategieën voor het veilig leveren van inhoud aan alleen-lezen consumenten, waaronder het afdwingen van gegevensbeveiliging.

Strategie voor makers van inhoud

De basis van een goed beheerde selfservice BI-systeem begint met makers en eigenaren van inhoud. Ze maken en valideren semantische modellen en rapporten. In veel gevallen stellen makers van inhoud ook machtigingen in om de beveiliging voor hun inhoud te beheren.

Tip

We raden u aan een gegevenscultuur te bevorderen die de beveiliging en bescherming van gegevens een normaal onderdeel van de rol van iedereen maakt. Om dat doel te bereiken, is gebruikersonderwijs, ondersteuning en training essentieel.

Houd er rekening mee dat er twee typen makers van inhoud zijn voor beveiligings- en machtigingen: makers van gegevens en rapportmakers. Ze kunnen verantwoordelijk zijn voor het maken en beheren van zakelijke BI - of selfservice-BI-inhoud .

Gegevensmakers

Een maker van gegevens is een Power BI-gebruiker die semantische modellen, gegevensstromen of datamarts maakt.

Hier volgen enkele veelvoorkomende scenario's voor het maken van gegevens.

• Een nieuw semantisch model maken: een nieuw gegevensmodel maken en testen in Power BI Desktop. Het wordt vervolgens gepubliceerd naar het Power BI-service, zodat deze kan worden gebruikt als een gedeeld semantisch model voor veel rapporten. Zie het beheerde bi-gebruiksscenario voor selfservice voor meer informatie over het hergebruik van gedeelde semantische modellen.
• Een semantisch model uitbreiden en aanpassen: maak een liveverbinding met een bestaand gedeeld semantisch model in Power BI Desktop. Converteer de liveverbinding naar een lokaal model, waarmee het modelontwerp kan worden uitgebreid met nieuwe tabellen of kolommen. Zie het aanpasbare scenario voor bi-gebruik voor beheerde selfservice voor meer informatie over het uitbreiden en aanpassen van gedeelde semantische modellen.
• Een nieuwe gegevensstroom maken: maak in de Power BI-service een nieuwe gegevensstroom, zodat deze kan worden gebruikt als bron door veel semantische modellen. Zie het selfservicescenario voor het gebruik van gegevensvoorbereiding voor meer informatie over het hergebruik van gegevensvoorbereidingsactiviteiten.
• Maak een nieuwe datamart. Maak in de Power BI-service een nieuwe datamart.

Gegevensmakers worden vaak gevonden in BEDRIJFS BI-teams en in het Coe (Center of Excellence). Ze hebben ook een belangrijke rol in gedecentraliseerde bedrijfseenheden en afdelingen die hun eigen gegevens onderhouden en beheren.

Zie het artikel Over eigendom en beheer van inhoud voor andere overwegingen over bi, beheerde selfservice-BI en enterprise BI.

Makers van rapporten

Makers van rapporten maken rapporten en dashboards om gegevens te visualiseren die afkomstig zijn van bestaande semantische modellen.

Hier volgen enkele veelvoorkomende scenario's voor het maken van rapporten.

• Maak een nieuw rapport, inclusief een gegevensmodel: een nieuw rapport en een nieuw gegevensmodel maken en testen in Power BI Desktop. Het Power BI Desktop-bestand met een of meer rapportpagina's en bevat een gegevensmodel, wordt gepubliceerd naar de Power BI-service. Nieuwe makers van inhoud gebruiken deze methode meestal voordat ze op de hoogte zijn van het gebruik van gedeelde semantische modellen. Het is ook geschikt voor smalle gebruiksvoorbeelden waarvoor gegevens niet opnieuw hoeven te worden gebruikt.
• Een liveverbindingsrapport maken: maak een nieuw Power BI-rapport dat verbinding maakt met een gedeeld semantisch model in de Power BI-service. Zie het beheerde bi-gebruiksscenario voor selfservice voor meer informatie over het hergebruik van gedeelde semantische modellen.
• Een verbonden Excel-werkmap maken: maak een nieuw Excel-rapport dat verbinding maakt met een gedeeld semantisch model in de Power BI-service. Verbinding maken ed Excel-ervaringen, in plaats van gegevensdownloads, worden ten zeerste aangemoedigd.
• Een DirectQuery-rapport maken: maak een nieuw Power BI-rapport dat verbinding maakt met een ondersteunde gegevensbron in de DirectQuery-modus. Een situatie waarin deze methode nuttig is, is wanneer u wilt profiteren van gebruikersbeveiliging die door het bronsysteem wordt geïmplementeerd.

Makers van rapporten vindt u in elke bedrijfseenheid in de organisatie. Er zijn meestal veel meer rapportmakers in een organisatie dan makers van gegevens.

Tip

Hoewel niet elk semantisch model een gedeeld semantisch model is, is het nog steeds de moeite waard om een beheerde selfservice BI-strategie te gebruiken. Deze strategie hergebruikt waar mogelijk gedeelde semantische modellen. Op die manier worden het maken van rapporten en het maken van gegevens losgekoppeld. Elke maker van inhoud van elke bedrijfseenheid kan deze strategie effectief gebruiken.

Machtigingen voor makers

In deze sectie worden de meest voorkomende machtigingen beschreven voor makers van gegevens en makers van rapporten.

Deze sectie is niet bedoeld als een all-inclusive lijst met alle mogelijke machtigingen. In plaats daarvan is het bedoeld om u te helpen bij het plannen van uw strategie voor het ondersteunen van verschillende soorten makers van inhoud. Uw doel moet zijn om het principe van minimale bevoegdheden te volgen. Met dit principe kunnen gebruikers voldoende machtigingen hebben om productief te zijn, zonder machtigingen voor overinrichting.

Nieuwe inhoud maken

De volgende machtigingen zijn doorgaans vereist voor het maken van nieuwe inhoud.

Machtiging	Rapportmaker	Semantische modelmaker	Maker van gegevensstroom	Datamart-maker
Toegang tot de onderliggende gegevensbron
Lees- en buildmachtigingen voor semantisch model
Leesmachtiging voor gegevensstromen (wanneer een gegevensstroom wordt gebruikt als bron, via de rol Werkruimteviewer)
Toegang waarbij het oorspronkelijke Power BI Desktop-bestand is opgeslagen
Machtiging voor het gebruik van aangepaste visuals

Inhoudsmachtigingen publiceren

De volgende machtigingen zijn doorgaans vereist voor het publiceren van inhoud.

Machtiging	Rapportmaker	Semantische modelmaker	Maker van gegevensstroom	Datamart-maker
Werkruimterol: Inzender, Lid of Beheer
Schrijfmachtiging voor Semantisch model (wanneer de gebruiker niet tot een werkruimterol behoort)
Implementatiepijplijnrol voor het publiceren van items (optioneel)

Gegevens vernieuwen

De volgende machtigingen zijn doorgaans vereist voor het vernieuwen van gegevens.

Machtiging	Rapportmaker	Semantische modelmaker	Maker van gegevensstroom	Datamart-maker
Eigenaar toegewezen (wie heeft instellingen ingesteld of het item heeft overgenomen)
Toegang tot de onderliggende gegevensbron (wanneer een gateway niet wordt gebruikt)
Toegang tot de gegevensbron in een gateway (wanneer de bron zich on-premises of in een virtueel netwerk bevindt)

In de rest van dit artikel worden overwegingen beschreven voor machtigingen voor makers van inhoud.

Tip

Zie het artikel Over de planning van de beveiliging van gebruikers rapporteren voor machtigingen met betrekking tot het weergeven van inhoud.

Controlelijst : bij het plannen van uw beveiligingsstrategie voor makers van inhoud zijn belangrijke beslissingen en acties:

• Bepaal wie uw gegevensmakers zijn: Zorg ervoor dat u bekend bent met wie semantische modellen, gegevensstromen en datamarts maakt. Controleer of u begrijpt wat hun behoeften zijn voordat u begint met uw beveiligingsplanningsactiviteiten.
• Bepaal wie uw rapportmakers zijn: Zorg ervoor dat u bekend bent met wie rapporten, dashboards, werkmappen en scorecards maakt. Controleer of u begrijpt wat hun behoeften zijn voordat u begint met uw beveiligingsplanningsactiviteiten.

Inhoud voor makers ontdekken

Gebruikers kunnen vertrouwen op gegevensdetectie om semantische modellen en datamarts te vinden. Gegevensdetectie is een Power BI-functie waarmee makers van inhoud bestaande gegevensassets kunnen vinden, zelfs wanneer ze geen machtigingen voor die inhoud hebben.

Detectie van bestaande gegevens is handig voor:

• Makers van rapporten die een bestaand semantisch model willen gebruiken voor een nieuw rapport.
• Makers van rapporten die query's willen uitvoeren op gegevens uit een bestaande datamart.
• Semantische modelmakers die een bestaand semantisch model willen gebruiken voor een nieuw samengesteld model.

Notitie

Gegevensdetectie in Power BI is geen machtiging voor gegevensbeveiliging. Het is een instelling waarmee makers van rapporten metagegevens kunnen lezen, zodat ze gegevens kunnen detecteren en toegang kunnen aanvragen.

U kunt een semantisch model of datamart instellen als detecteerbaar wanneer het is goedgekeurd (gecertificeerd of gepromoveerd). Wanneer het detecteerbaar is, kunnen makers van inhoud deze vinden in de gegevenshub.

Een maker van inhoud kan ook toegang aanvragen tot het semantische model of datamart. In wezen vraagt een toegangsaanvraag om samenstellingsmachtiging, die vereist is om nieuwe inhoud te maken op basis daarvan. Wanneer u reageert op aanvragen voor toegang, kunt u overwegen groepen te gebruiken in plaats van afzonderlijke gebruikers. Zie De werkstroom Toegang aanvragen voor consumenten voor meer informatie over het gebruik van groepen voor dit doel.

Bekijk de volgende drie voorbeelden.

• Het semantische model Verkoopoverzicht is gecertificeerd. Het is de vertrouwde en gezaghebbende bron voor het bijhouden van verkoop. Veel selfservicerapportmakers in de hele organisatie gebruiken dit semantische model. Er zijn dus veel bestaande rapporten en samengestelde modellen op basis van het semantische model. Om andere makers aan te moedigen om het semantische model te vinden en te gebruiken, wordt het ingesteld als detecteerbaar.
• Het semantische model inventory stats is gecertificeerd. Het is een vertrouwde en gezaghebbende bron voor inventarisanalyse. Het semantische model en gerelateerde rapporten worden onderhouden en gedistribueerd door het BI-team van de onderneming. Vanwege het complexe ontwerp van het semantische model mag alleen het ENTERPRISE BI-team inventarisinhoud maken en onderhouden. Omdat het doel is om makers van rapporten te ontmoedigen het semantische model te gebruiken, is het niet ingesteld als detecteerbaar.
• Het semantische model executive bonussen bevat zeer vertrouwelijke informatie. Machtigingen voor het weergeven of bijwerken van dit semantische model zijn beperkt tot enkele gebruikers. Dit semantische model is niet ingesteld als detecteerbaar.

In de volgende schermopname ziet u een semantisch model in de gegevenshub in de Power BI-service. In het bijzonder ziet u een voorbeeld van een aanvraagtoegangsbericht voor een detecteerbaar semantisch model. Dit bericht wordt weergegeven wanneer de gebruiker momenteel geen toegang heeft. Het bericht Toegang aanvragen is aangepast in de semantische modelinstellingen.

Het bericht Toegang aanvragen leest: Voor standaardverkooprapportage van MTD/QTD/YTD is dit semantische model de gezaghebbende en gecertificeerde bron. Vraag toegang tot het semantische model aan door het formulier in te vullen dat zich bevindt. https://COE.contoso.com/RequestAccess U wordt om een korte zakelijke reden gevraagd en de manager van het Center of Excellence moet de aanvraag ook goedkeuren. Toegang wordt om de zes maanden gecontroleerd.

Notitie

Uw gegevenscultuur en uw houding ten aanzien van gegevens democratisering moeten sterk beïnvloeden of u gegevensdetectie inschakelt. Zie het aanpasbare scenario voor het gebruik van beheerde selfservice-BI voor meer informatie over gegevensdetectie.

Er zijn drie tenantinstellingen met betrekking tot detectie.

• Met de instelling Inhoudstenant ontdekken kunnen Power BI-beheerders instellen welke groepen gebruikers gegevens mogen detecteren. Het is voornamelijk gericht op rapportmakers die mogelijk bestaande semantische modellen moeten vinden bij het maken van rapporten. Het is ook handig voor semantische modelmakers die kunnen zoeken naar bestaande gegevens die ze kunnen gebruiken in hun samengestelde modelontwikkeling. Hoewel het mogelijk is om deze in te stellen voor specifieke beveiligingsgroepen, is het een goed idee om de instelling voor de hele organisatie in te schakelen. De detectie-instelling voor afzonderlijke semantische modellen en gegevensstromen bepaalt wat detecteerbaar is. Minder vaak kunt u overwegen deze mogelijkheid alleen te beperken tot goedgekeurde makers van inhoud.
• Met de instelling Gecertificeerde inhoud detecterende tenants kunnen Power BI-beheerders instellen welke groepen inhoud kunnen instellen op detecteerbaar (wanneer ze ook gemachtigd zijn om het item te bewerken en om inhoud te certificeren, die wordt verleend door de instelling voor de certificeringstenant ). De mogelijkheid om inhoud te certificeren, moet strikt worden beheerd. In de meeste gevallen moeten dezelfde gebruikers die inhoud mogen certificeren, deze instellen als detecteerbaar. In sommige situaties wilt u deze mogelijkheid mogelijk alleen beperken tot goedgekeurde gegevensmakers.
• Met de instelling Gepromoveerde inhoud ontdekkenbare tenants kunnen Power BI-beheerders instellen welke groepen de inhoud kunnen instellen als detecteerbaar (wanneer ze ook machtigingen hebben om de gegevens te bewerken). Omdat de mogelijkheid om inhoud te promoten openstaat voor alle makers van inhoud, moet deze mogelijkheid in de meeste gevallen beschikbaar zijn voor alle gebruikers. Minder vaak kunt u overwegen deze mogelijkheid te beperken tot alleen goedgekeurde makers van inhoud.

Controlelijst : bij het plannen van gegevensdetectie voor uw makers van inhoud zijn belangrijke beslissingen en acties:

• De behoeften voor gegevensdetectie verduidelijken: Bedenk wat de positie van uw organisatie is om makers van inhoud te stimuleren om bestaande semantische modellen en datamarts te vinden. Maak, indien van toepassing, een governancebeleid over hoe gegevensdetectie moet worden gebruikt.
• Bepaal wie inhoud kan detecteren: bepaal of een Power BI-gebruiker inhoud mag detecteren of dat detectie moet worden beperkt tot bepaalde groepen gebruikers (bijvoorbeeld een groep goedgekeurde makers van inhoud). Stel de tenantinstelling Inhoud ontdekken in op overeenstemming met deze beslissing.
• Bepaal wie gecertificeerde inhoud kan instellen om detecteerbaar te zijn: Bepaal of een Power BI-gebruiker (die gemachtigd is om het semantische model of de datamart te bewerken, evenals de machtiging om deze te certificeren) deze kan instellen als detecteerbaar. Stel de tenantinstelling Gecertificeerde inhoud ontdekken in zodat deze overeenkomt met deze beslissing.
• Bepaal wie gepromoveerde inhoud kan instellen om detecteerbaar te zijn: Bepaal of een Power BI-gebruiker (die gemachtigd is om het semantische model of datamart te bewerken) deze als detecteerbaar kan instellen. Stel de instelling Gepromoveerde inhoud ontdekken in op basis van deze beslissing.
• Opnemen in documentatie en training voor semantische modelmakers: neem richtlijnen op voor uw semantische modelmakers over wanneer het geschikt is om gegevensdetectie te gebruiken voor de semantische modellen en datamarts die ze bezitten en beheren.
• Opnemen in documentatie en training voor makers van rapporten: neem richtlijnen op voor uw makers van inhoud over de werking van gegevensdetectie en wat ze kunnen verwachten.

Toegangswerkstroom aanvragen voor makers

Een gebruiker kan op twee manieren toegang tot inhoud aanvragen.

• Voor gebruikers van inhoud: een gebruiker ontvangt een koppeling naar een bestaand rapport of een bestaande app in de Power BI-service. Om het item weer te geven, kan de consument de knop Toegang aanvragen selecteren. Zie het artikel Over de planning van consumentenbeveiliging voor meer informatie.
• Voor makers van inhoud: De gebruiker detecteert een semantisch model of datamart in de data hub. Als u een nieuw rapport of samengesteld model wilt maken op basis van de bestaande gegevens, kan de maker van de inhoud de knop Toegang aanvragen selecteren. Deze ervaring is de focus van deze sectie.

Standaard gaat een aanvraag voor toegang tot een semantisch model of een datamart naar de eigenaar. De eigenaar is de gebruiker die de laatste geplande gegevensvernieuwing of invoerreferenties heeft gepland. Het kan acceptabel zijn dat één gebruiker toegangsaanvragen verwerkt voor semantische teammodellen. Dat kan echter niet praktisch of betrouwbaar zijn.

In plaats van te vertrouwen op één eigenaar, kunt u aangepaste instructies definiëren die aan gebruikers worden gepresenteerd wanneer ze toegang tot een semantisch model of datamart aanvragen. Aangepaste instructies zijn handig wanneer:

• Het semantische model is ingesteld als detecteerbaar.
• Goedkeuring van de toegangsaanvraag wordt uitgevoerd door iemand anders dan de gegevenseigenaar.
• Er is een bestaand proces dat moet worden gevolgd voor toegangsaanvragen.
• Bijhouden van wie toegang heeft aangevraagd, wanneer en waarom is vereist om controle- of nalevingsredenen.
• Uitleg is nodig voor het aanvragen van toegang en het instellen van verwachtingen.

In de volgende schermopname ziet u een voorbeeld van het instellen van aangepaste instructies die een gebruiker ziet wanneer deze de samenstellingsmachtiging aanvraagt. De aangepaste instructies lezen: Voor standaardverkooprapportage van MTD/QTD/YTD is dit semantische model de gezaghebbende en gecertificeerde bron. Vraag toegang tot het semantische model aan door het formulier in te vullen dat zich bevindt. https://COE.contoso.com/RequestAccess U wordt om een korte zakelijke reden gevraagd en de manager van het Center of Excellence moet de aanvraag ook goedkeuren. Toegang wordt om de zes maanden gecontroleerd.

Er zijn veel opties om een formulier te maken. Power Apps en Microsoft Forms zijn beide eenvoudige, gebruiksvriendelijke opties. U wordt aangeraden een formulier te maken op een manier die onafhankelijk is van één gebruiker. Het is van cruciaal belang dat uw formulier wordt gemaakt, beheerd en bewaakt door het juiste team.

We raden u aan nuttige informatie te maken voor:

• Makers van inhoud zodat ze weten wat ze kunnen verwachten wanneer ze toegang aanvragen.
• Eigenaren en beheerders van inhoud, zodat ze weten hoe ze aanvragen kunnen beheren die worden verzonden.

Tip

Zie De werkstroom Toegang aanvragen voor consumenten voor meer informatie over het reageren op aanvragen voor leestoegang van consumenten. Het bevat ook informatie over het gebruik van groepen (in plaats van afzonderlijke gebruikers).

Controlelijst : bij het plannen van de werkstroom Toegang aanvragen zijn belangrijke beslissingen en acties:

• Voorkeuren verduidelijken voor het afhandelen van toegangsaanvragen: bepaal in welke situaties het acceptabel is voor goedkeuring van de eigenaar en wanneer een ander proces moet worden gebruikt. Maak, indien van toepassing, een governancebeleid over hoe toegangsaanvragen moeten worden verwerkt.
• Opnemen in documentatie en training voor semantische modellen en datamartmakers: neem richtlijnen op voor uw semantische model en datamart-makers over hoe en wanneer aangepaste instructies voor toegangsaanvragen moeten worden ingesteld.
• Opnemen in documentatie en training voor makers van rapporten: neem richtlijnen voor uw rapportmakers op over wat ze kunnen verwachten bij het aanvragen van samenstellingsmachtigingen voor semantische modellen en datamarts.

Inhoud maken en publiceren

Deze sectie bevat beveiligingsaspecten die van toepassing zijn op makers van inhoud.

Notitie

Voor consumenten die rapporten, dashboards en scorecards bekijken, raadpleegt u het artikel Rapport over de beveiligingsplanning voor consumenten. Overwegingen met betrekking tot app-machtigingen worden ook in dat artikel behandeld.

Werkruimterollen

U verleent werkruimtetoegang door gebruikers of groepen (inclusief beveiligingsgroepen, Microsoft 365-groepen en distributielijsten) toe te voegen aan werkruimterollen. Als u gebruikers toewijst aan werkruimterollen, kunt u opgeven wat ze kunnen doen met de werkruimte en de inhoud ervan.

Notitie

Zie de artikelen over werkruimteplanning voor meer informatie over overwegingen bij het plannen van werkruimten. Zie het artikel over beveiligingsplanning op tenantniveau voor meer informatie over groepen.

Omdat het primaire doel van een werkruimte samenwerking is, is toegang tot werkruimten voornamelijk relevant voor de gebruikers die eigenaar zijn van en de inhoud ervan beheren. Wanneer u begint met het plannen van werkruimterollen, is het handig om uzelf de volgende vragen te stellen.

• Wat zijn de verwachtingen voor hoe samenwerking plaatsvindt in de werkruimte?
• Wie is verantwoordelijk voor het beheren van de inhoud in de werkruimte?
• Is het de bedoeling om afzonderlijke gebruikers of groepen toe te wijzen aan werkruimterollen?

Er zijn vier Power BI-werkruimterollen: Beheer, Lid, Inzender en Viewer. De eerste drie rollen zijn relevant voor makers van inhoud, die inhoud maken en publiceren. De rol Kijker is relevant voor consumenten met het kenmerk Alleen-lezen.

De vier machtigingen voor werkruimterollen zijn genest. Dit betekent dat werkruimtebeheerders alle mogelijkheden hebben die beschikbaar zijn voor leden, inzenders en kijkers. Op dezelfde manier hebben leden alle mogelijkheden die beschikbaar zijn voor inzenders en kijkers. Inzenders hebben alle mogelijkheden die beschikbaar zijn voor kijkers.

Tip

Raadpleeg de documentatie over werkruimterollen voor de gezaghebbende verwijzing voor elk van de vier rollen.

Werkruimtebeheerder

Gebruikers die zijn toegewezen aan de rol Beheer worden de werkruimtebeheerders. Ze kunnen alle instellingen beheren en alle acties uitvoeren, waaronder het toevoegen of verwijderen van gebruikers (inclusief andere werkruimtebeheerders).

Werkruimtebeheerders kunnen de Power BI-app bijwerken of verwijderen (indien aanwezig). Ze kunnen optioneel toestaan dat inzenders de app voor de werkruimte bijwerken. Zie variaties op werkruimterollen verderop in dit artikel voor meer informatie.

Tip

Wanneer u naar een beheerder verwijst, moet u duidelijk maken of u het hebt over een werkruimtebeheerder of een Beheerder op Tenantniveau van Power BI.

Zorg ervoor dat alleen vertrouwde en betrouwbare personen werkruimtebeheerders zijn. Een werkruimtebeheerder heeft hoge bevoegdheden. Ze hebben toegang om alle inhoud in de werkruimte weer te geven en te beheren. Ze kunnen gebruikers (inclusief andere beheerders) toevoegen aan en verwijderen uit elke werkruimterol. Ze kunnen ook de werkruimte verwijderen.

We raden u aan ten minste twee beheerders te hebben, zodat één als back-up fungeert als de primaire beheerder niet beschikbaar is. Een werkruimte die geen beheerder heeft, wordt een zwevende werkruimte genoemd. De zwevende status treedt op wanneer een gebruiker de organisatie verlaat en er geen alternatieve beheerder is toegewezen aan de werkruimte. Zie het artikel Werkruimten weergeven voor meer informatie over het detecteren en corrigeren van zwevende werkruimten .

In het ideale geval moet u kunnen bepalen wie verantwoordelijk is voor de inhoud van de werkruimte door wie de werkruimtebeheerders en leden zijn (en de contactpersonen die voor de werkruimte zijn opgegeven). Sommige organisaties gebruiken echter een strategie voor eigendom en beheer van inhoud die het maken van werkruimten beperkt tot specifieke gebruikers of groepen. Ze hebben doorgaans een tot stand gebracht proces voor het maken van werkruimten dat wordt beheerd door de IT-afdeling. In dit geval zijn de werkruimtebeheerders de IT-afdeling in plaats van de gebruikers die de inhoud rechtstreeks maken en publiceren.

Lid van werkruimte

Gebruikers die zijn toegewezen aan de rol Lid kunnen andere werkruimtegebruikers (maar niet beheerders) toevoegen. Ze kunnen ook machtigingen voor alle inhoud in de werkruimte beheren.

Werkruimteleden kunnen de app voor de werkruimte publiceren of de publicatie ervan ongedaan maken, een werkruimte-item of de app delen en andere gebruikers toestaan werkruimte-items van de app te delen.

Werkruimteleden moeten worden beperkt tot de gebruikers die het maken van de werkruimte-inhoud moeten beheren en de app moeten publiceren. In sommige gevallen voldoen de werkruimtebeheerders aan dat doel, zodat u mogelijk geen gebruikers of groepen hoeft toe te wijzen aan de rol Lid. Wanneer de werkruimtebeheerders niet rechtstreeks zijn gerelateerd aan de inhoud van de werkruimte (bijvoorbeeld omdat IT het aanmaakproces van de werkruimte beheert), zijn de leden van de werkruimte mogelijk de echte eigenaren die verantwoordelijk zijn voor de inhoud van de werkruimte.

Inzender voor werkruimten

Gebruikers die zijn toegewezen aan de rol Inzender, kunnen werkruimte-inhoud maken, bewerken of verwijderen.

Inzenders kunnen de Power BI-app (wanneer er een bestaat voor de werkruimte) niet bijwerken, tenzij dit is toegestaan door de werkruimte-instelling. Zie variaties op werkruimterollen verderop in dit artikel voor meer informatie.

De meeste makers van inhoud in de organisatie zijn inzenders voor werkruimten.

Werkruimteviewer

Gebruikers die zijn toegewezen aan de rol Kijker, kunnen alle werkruimte-inhoud bekijken en ermee werken.

De rol Kijker is relevant voor alleen-lezen consumenten voor kleine teams en informele scenario's. Dit artikel wordt volledig beschreven in het artikel Over de planning van consumentenbeveiliging.

Overwegingen voor eigendom van werkruimten

Bekijk een voorbeeld waarin de volgende acties worden uitgevoerd om een nieuwe werkruimte in te stellen.

1. Specifieke Power BI-kampioenen en satellietleden van het Coe (Center of Excellence) zijn gemachtigd in de tenantinstellingen om nieuwe werkruimten te maken. Ze zijn getraind in strategieën en naamgevingsstandaarden voor inhoudsorganisaties.
2. U (een maker van inhoud) dient een aanvraag in om een werkruimte te maken voor een nieuw project dat u gaat beheren. De werkruimte bevat rapporten waarmee de voortgang van uw project wordt bijgehouden.
3. Een Power BI-kampioen voor uw bedrijfseenheid ontvangt de aanvraag. Ze bepalen dat een nieuwe werkruimte gerechtvaardigd is. Vervolgens maken ze een werkruimte en wijzen ze de beveiligingsgroep power BI-kampioenen (voor hun bedrijfseenheid) toe aan de werkruimte Beheer rol.
4. Het Power BI-kampioen wijst u (de maker van inhoud) toe aan de rol Lid van de werkruimte.
5. U wijst een vertrouwde collega toe aan de rol Lid van de werkruimte om ervoor te zorgen dat er een back-up is als u afwezig bent.
6. U wijst andere collega's toe aan de rol Inzender voor de werkruimte, omdat ze verantwoordelijk zijn voor het maken van de werkruimte-inhoud, inclusief semantische modellen en rapporten.
7. U wijst uw manager toe aan de rol Werkruimteviewer omdat ze toegang hebben aangevraagd om de voortgang van het project te bewaken. Uw manager wil inhoud in de werkruimte controleren voordat u een app publiceert.
8. U neemt de verantwoordelijkheid voor het beheren van andere werkruimte-eigenschappen, zoals beschrijving en contactpersonen. U neemt ook de verantwoordelijkheid voor het beheren van werkruimtetoegang doorlopend.

In het vorige voorbeeld ziet u een effectieve manier om een gedecentraliseerd bedrijfsonderdeel de mogelijkheid om onafhankelijk te handelen. Het toont ook het principe van minimale bevoegdheden.

Voor beheerde inhoud of essentiële inhoud die nauwer wordt beheerd, is het een best practice om groepen toe te wijzen in plaats van afzonderlijke gebruikersaccounts aan werkruimterollen. Op die manier kunt u het groepslidmaatschap afzonderlijk van de werkruimte beheren. Wanneer u echter groepen toewijst aan rollen, is het mogelijk dat gebruikers worden toegewezen aan meerdere werkruimterollen (omdat de gebruiker deel uitmaakt van meerdere groepen). In dat geval zijn hun effectieve machtigingen gebaseerd op de hoogste rol waaraan ze zijn toegewezen. Zie Strategie voor het gebruik van groepen voor meer overwegingen.

Wanneer een werkruimte mede-eigendom is van meerdere personen of teams, kan deze het beheer van de inhoud ingewikkeld maken. Probeer scenario's met meerdere teams te vermijden door werkruimten te scheiden. Op die manier zijn verantwoordelijkheden duidelijk en zijn roltoewijzingen eenvoudig in te stellen.

Variaties op werkruimterollen

Er zijn twee variaties op de vier werkruimterollen (eerder beschreven).

• Standaard kunnen alleen werkruimtebeheerders en leden de app voor de werkruimte maken, publiceren en bijwerken. De optie Toestaan dat inzenders de app-optie voor deze werkruimte-instelling bijwerken, is een instelling op werkruimteniveau, waarmee werkruimtebeheerders de mogelijkheid hebben om de app voor de werkruimte bij te werken aan inzenders delegeren. Inzenders kunnen echter geen nieuwe app publiceren of wijzigen wie gemachtigd is om deze te bewerken. Deze instelling is handig als u wilt dat inzenders de app kunnen bijwerken (wanneer deze bestaat voor de werkruimte), maar niet de andere machtigingen verlenen die beschikbaar zijn voor leden.
• Met de instelling Tenant voor pakketvernieuwing blokkeren en uitschakelen kunnen eigenaren van semantische modellen alleen updates publiceren. Wanneer deze functie is ingeschakeld, kunnen werkruimtebeheerders, leden en inzenders geen wijzigingen publiceren, tenzij ze eerst het semantische model overnemen als eigenaar. Omdat deze instelling van toepassing is op de hele organisatie, schakelt u deze in meting van voorzichtigheid omdat deze van invloed is op alle semantische modellen voor de tenant. Zorg ervoor dat u communiceert met uw semantische modelmakers wat u kunt verwachten, omdat dit het normale gedrag van werkruimterollen wijzigt.

Belangrijk

Machtigingen per item kunnen ook worden beschouwd als een onderdrukking van de standaardwerkruimterollen. Zie het artikel Over beveiligingsplanning voor consumenten rapporteren voor meer informatie over machtigingen per item.

Controlelijst : bij het plannen van werkruimterollen zijn belangrijke beslissingen en acties:

• Een verantwoordelijkheidsmatrix maken: wijs uit wie naar verwachting elke functie moet verwerken bij het maken, onderhouden, publiceren, beveiligen en ondersteunen van inhoud. Gebruik deze informatie bij het plannen van uw werkruimterollen.
• Bepaal uw strategie voor het toewijzen van werkruimterollen voor makers van inhoud: bepaal welke gebruikers een beheerder, lid of inzender moeten zijn en in welke omstandigheden (zoals functie- of onderwerpgebied). Als er niet-overeenkomende problemen zijn die een beveiligingsprobleem veroorzaken, moet u bedenken hoe uw werkruimten beter kunnen worden georganiseerd.
• Bepaal hoe beveiligingsgroepen versus personen moeten worden gebruikt voor werkruimterollen: Bepaal de use cases en doeleinden die u nodig hebt om groepen te gebruiken. Wees specifiek over wanneer beveiliging moet worden toegepast met behulp van gebruikersaccounts versus wanneer een groep is vereist of de voorkeur heeft.
• Geef richtlijnen voor makers van inhoud over het beheren van werkruimterollen: neem documentatie op voor makers van inhoud over het beheren van werkruimterollen. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Roltoewijzingen voor werkruimten instellen en testen: controleer of makers van inhoud over de functionaliteit beschikken die ze nodig hebben voor het bewerken en publiceren van inhoud.

Machtigingen voor app-maker

Makers van inhoud die werkruimtebeheerders of leden zijn, kunnen een Power BI-app maken en publiceren.

Een werkruimtebeheerder kan ook een instelling opgeven in de werkruimte waarmee inzenders van de werkruimte de app kunnen bijwerken. Het is een variatie op de beveiliging van de werkruimterol, omdat hiermee inzenders een andere machtiging worden verleend die ze normaal gesproken niet zouden hebben. Deze instelling wordt per werkruimte ingesteld.

Tip

Zie het artikel Rapport over de beveiligingsplanning voor consumenten voor meer informatie over het leveren van inhoud aan alleen-lezen consumenten. Dit artikel bevat informatie over app-machtigingen voor app-consumenten, waaronder doelgroepen voor de app.

Controlelijst : bij het plannen van machtigingen voor maker van apps zijn belangrijke beslissingen en acties:

• Beslis over uw strategie voor wie Power BI-apps kan maken en publiceren: Maak duidelijk wie power BI-apps mag maken en publiceren.
• Bepalen wanneer inzenders Power BI-apps kunnen bijwerken: Verhelder de situaties waarin een inzender power BI-apps mag bijwerken. Werk de werkruimte-instelling bij wanneer deze mogelijkheid is vereist.

Machtigingen voor gegevensbronnen

Wanneer een maker van gegevens een nieuw project start, zijn machtigingen die vereist zijn voor toegang tot externe gegevensbronnen een van de eerste overwegingen met betrekking tot beveiliging. Ze hebben mogelijk ook richtlijnen nodig voor andere gegevensbrongerelateerde zaken, waaronder privacyniveaus, systeemeigen databasequery's en aangepaste connectors.

Toegang tot gegevensbron

Wanneer een maker van gegevens een semantisch model, gegevensstroom of datamart maakt, moeten ze worden geverifieerd met gegevensbronnen om gegevens op te halen. Verificatie omvat meestal gebruikersreferenties (account en wachtwoord), wat voor een serviceaccount kan zijn.

Soms is het handig om specifieke serviceaccounts te maken voor toegang tot gegevensbronnen. Neem contact op met uw IT-afdeling voor hulp bij het gebruik van serviceaccounts in uw organisatie. Wanneer ze zijn toegestaan, kan het gebruik van serviceaccounts het volgende doen:

• Centraliseer machtigingen die nodig zijn voor gegevensbronnen.
• Verminder het aantal afzonderlijke gebruikers dat machtigingen nodig heeft voor een gegevensbron.
• Voorkom fouten bij het vernieuwen van gegevens wanneer een gebruiker de organisatie verlaat.

Tip

Als u ervoor kiest om serviceaccounts te gebruiken, raden we u aan nauw te bepalen wie toegang heeft tot de referenties. Wachtwoorden regelmatig draaien (bijvoorbeeld om de drie maanden) of wanneer iemand die toegang heeft, de organisatie verlaat.

Bij het openen van gegevensbronnen past u het principe van minimale bevoegdheden toe om ervoor te zorgen dat gebruikers (of serviceaccounts) gemachtigd zijn om alleen de gegevens te lezen die ze nodig hebben. Ze mogen nooit toestemming hebben om gegevenswijzigingen uit te voeren. Databasebeheerders die deze serviceaccounts maken, moeten vragen stellen over verwachte query's en workloads en stappen ondernemen om ervoor te zorgen dat er voldoende optimalisaties (zoals indexen) en resources aanwezig zijn.

Tip

Als het moeilijk is om directe toegang tot gegevensbronnen te bieden aan makers van selfservicegegevens, kunt u overwegen een indirecte benadering te gebruiken. U kunt gegevensstromen maken in de Power BI-service en selfservicegegevensmakers toestaan gegevens uit deze gegevens te bronen. Deze aanpak biedt de extra voordelen van het verminderen van de querybelasting op de gegevensbron en het leveren van een consistente momentopname van gegevens. Zie de selfservice voor gegevensvoorbereiding en geavanceerde gebruiksscenario's voor gegevensvoorbereiding voor meer informatie.

De referenties (account en wachtwoord) kunnen op twee manieren worden toegepast.

• Power BI Desktop: referenties worden versleuteld en lokaal opgeslagen op de computer van de gebruiker.
• Power BI-service: Referenties worden versleuteld en veilig opgeslagen voor:
  • Het semantische model (wanneer een gegevensgateway niet wordt gebruikt om de gegevensbron te bereiken).
  • De gatewaygegevensbron (wanneer een standaardgateway of een gatewayservice voor een virtueel netwerk wordt gebruikt om de gegevensbron te bereiken).

Tip

Wanneer u al referenties hebt ingevoerd voor een semantische modelgegevensbron, verbindt de Power BI-service deze referenties automatisch aan andere semantische modelgegevensbronnen wanneer er een exacte overeenkomst is tussen verbindingsreeks en databasenaam. Zowel de Power BI-service als Power BI Desktop zorgen ervoor dat u referenties invoert voor elke gegevensbron. Het kan echter dezelfde referenties toepassen op overeenkomende gegevensbronnen die dezelfde eigenaar hebben. In dat opzicht zijn semantische modelreferenties gericht op de eigenaar.

Referenties worden versleuteld en afzonderlijk opgeslagen van het gegevensmodel in Power BI Desktop en de Power BI-service. Deze gegevensscheiding heeft de volgende beveiligingsvoordelen.

• Het vereenvoudigt het hergebruik van referenties voor meerdere semantische modellen, gegevensstromen en datamarts.
• Wanneer iemand de metagegevens van een semantisch model parseert, kunnen ze de referenties niet extraheren.
• In Power BI Desktop kan een andere gebruiker geen verbinding maken met de oorspronkelijke gegevensbron om gegevens te vernieuwen zonder eerst de referenties toe te passen.

Sommige gegevensbronnen ondersteunen eenmalige aanmelding (SSO), die kan worden ingesteld bij het invoeren van referenties in de Power BI-service (voor semantische model- of gatewaygegevensbronnen). Wanneer u eenmalige aanmelding inschakelt, verzendt Power BI de referenties van de geverifieerde gebruiker naar de gegevensbron. Met deze optie kan Power BI de beveiligingsinstellingen respecteren die zijn ingesteld in de gegevensbron, zoals beveiliging op rijniveau. Eenmalige aanmelding is vooral handig wanneer tabellen in het gegevensmodel de DirectQuery-opslagmodus gebruiken.

Privacyniveaus

Gegevensprivacyniveaus geven isolatieniveaus op die bepalen hoeverre de ene gegevensbron wordt geïsoleerd van andere gegevensbronnen. Wanneer ze op de juiste manier zijn ingesteld, zorgen ze ervoor dat Power Query alleen compatibele gegevens tussen bronnen verzendt. Wanneer Power Query gegevens tussen gegevensbronnen kan verzenden, kan dit leiden tot efficiëntere query's die het aantal gegevens verminderen dat naar Power BI wordt verzonden. Wanneer er geen gegevens tussen gegevensbronnen kunnen worden verzonden, kan dit leiden tot tragere prestaties.

Er zijn drie privacyniveaus.

• Privé: bevat gevoelige of vertrouwelijke gegevens die moeten worden geïsoleerd van alle andere gegevensbronnen. Dit niveau is het meest beperkend. Persoonlijke gegevensbrongegevens kunnen niet worden gedeeld met andere gegevensbronnen. Een human resources-database met salariswaarden voor werknemers moet bijvoorbeeld worden ingesteld op het privacyniveau Privé.
• Organisatie: geïsoleerd van openbare gegevensbronnen, maar is zichtbaar voor andere organisatiegegevensbronnen. Dit niveau is het meest voorkomende. Gegevensbrongegevens van de organisatie kunnen worden gedeeld met persoonlijke gegevensbronnen of andere organisatiegegevensbronnen. De meeste interne operationele databases kunnen worden ingesteld met het privacyniveau van de organisatie.
• Openbaar: niet-gevoelige gegevens die zichtbaar kunnen worden gemaakt voor elke gegevensbron. Dit niveau is het minst beperkend. Openbare gegevensbrongegevens kunnen worden gedeeld met elke andere gegevensbron. Een volkstellingsrapport dat is verkregen via een overheidswebsite kan bijvoorbeeld worden ingesteld op het privacyniveau van de overheid.

Wanneer u query's uit verschillende gegevensbronnen combineert, is het belangrijk dat u de juiste privacyniveaus instelt. Wanneer privacyniveaus correct zijn ingesteld, is het mogelijk dat gegevens van de ene gegevensbron naar een andere gegevensbron worden verzonden om efficiënt query's uit te voeren op gegevens.

Overweeg een scenario waarin een maker van een semantisch model twee gegevensbronnen heeft: een Excel-werkmap en een tabel in een Azure SQL Database. Ze willen de gegevens in de Azure SQL Database-tabel filteren met behulp van een waarde uit de Excel-werkmap. De meest efficiënte manier voor Power Query om een SQL-instructie voor de Azure SQL Database te genereren, is door een WHERE-component toe te passen om de benodigde filters uit te voeren. Deze SQL-instructie bevat echter een WHERE-componentpredicaat met een waarde die afkomstig is uit de Excel-werkmap. Als de Excel-werkmap gevoelige gegevens bevat, kan dit een beveiligingsschending zijn omdat de databasebeheerder de SQL-instructie kan weergeven met behulp van een traceringsprogramma. Hoewel het minder efficiënt is, is het alternatief voor de Mashup-engine van Power Query om de volledige resultatenset van de databasetabel te downloaden en het filteren zelf uit te voeren in de Power BI-service. Deze aanpak is minder efficiënt en traag, maar veilig.

Privacyniveaus kunnen worden ingesteld voor elke gegevensbron:

• Door gegevensmodelleerders in Power BI Desktop.
• Door semantische modeleigenaren in het Power BI-service (voor cloudgegevensbronnen waarvoor geen gateway is vereist).
• Door makers en eigenaren van gatewaygegevensbronnen in de Power BI-service (voor gatewaygegevensbronnen).

Belangrijk

De privacyniveaus die u in Power BI Desktop instelt, worden niet overgebracht naar de Power BI-service.

Er is een Power BI Desktop-beveiligingsoptie waarmee privacyniveaus kunnen worden genegeerd om de prestaties te verbeteren. U kunt deze optie gebruiken om de queryprestaties te verbeteren tijdens het ontwikkelen van een gegevensmodel wanneer er geen risico bestaat dat gegevensbeveiliging wordt geschonden (omdat u werkt met ontwikkelings- of testgegevens die niet gevoelig zijn). Deze instelling wordt echter niet gehonoreerd door de Power BI-service.

Zie de privacyniveaus van Power BI Desktop voor meer informatie.

Systeemeigen databasequery's

Als u efficiënte Power Query-query's wilt maken, kunt u een systeemeigen query gebruiken om toegang te krijgen tot gegevens. Een systeemeigen query is een instructie die is geschreven in een taal die wordt ondersteund door de gegevensbron. Systeemeigen query's worden alleen ondersteund door specifieke gegevensbronnen. Dit zijn meestal relationele databases zoals Azure SQL Database.

Systeemeigen query's kunnen een beveiligingsrisico vormen omdat ze een schadelijke SQL-instructie kunnen uitvoeren. Een schadelijke instructie kan gegevenswijzigingen uitvoeren of databaserecords verwijderen (wanneer de gebruiker over de vereiste machtigingen in de gegevensbron beschikt). Daarom is standaard goedkeuring van gebruikers vereist voor systeemeigen query's die moeten worden uitgevoerd in Power BI Desktop.

Er is een Power BI Desktop-beveiligingsoptie waarmee u de vereiste voor goedkeuring vooraf kunt uitschakelen. U wordt aangeraden de standaardinstelling te verlaten waarvoor goedkeuring van de gebruiker is vereist, met name wanneer u verwacht dat het Power BI Desktop-bestand kan worden vernieuwd door andere gebruikers.

Aangepaste connectoren

Ontwikkelaars kunnen de Power Query SDK gebruiken om aangepaste connectors te maken. Aangepaste connectors bieden toegang tot eigen gegevensbronnen of implementeren specifieke verificatie met aangepaste gegevensextensies. Sommige aangepaste connectors worden gecertificeerd en gedistribueerd door Microsoft als gecertificeerde connectors. Gecertificeerde connectors zijn gecontroleerd en gecontroleerd om ervoor te zorgen dat ze voldoen aan bepaalde opgegeven codevereisten die Microsoft heeft getest en goedgekeurd.

Er is een beveiligingsoptie voor power BI Desktop-gegevensuitbreidingen waarmee het gebruik van niet-gecertificeerde connectors wordt beperkt. Er wordt standaard een fout gegenereerd wanneer een poging wordt gedaan om een niet-gecertificeerde connector te laden. Door deze optie in te stellen om niet-gecertificeerde connectors toe te staan, worden aangepaste connectors geladen zonder validatie of waarschuwing.

U wordt aangeraden het beveiligingsniveau van uw gegevensextensie op een hoger niveau te houden, waardoor het laden van niet-gecertificeerde code wordt voorkomen. Er kunnen echter gevallen zijn waarin u specifieke connectors wilt laden, misschien connectors die u hebt ontwikkeld of connectors die u hebt verstrekt door een vertrouwde consultant of leverancier buiten het Microsoft-certificeringspad.

Notitie

Ontwikkelaars van intern ontwikkelde connectors kunnen stappen ondernemen om een connector te ondertekenen met een certificaat, zodat u de connector kunt gebruiken zonder dat u uw beveiligingsinstellingen hoeft te wijzigen. Zie Vertrouwde connectors van derden voor meer informatie.

Controlelijst : bij het plannen van machtigingen voor gegevensbronnen zijn belangrijke beslissingen en acties:

• Bepaal wie rechtstreeks toegang heeft tot elke gegevensbron: bepaal welke gegevensmakers rechtstreeks toegang hebben tot een gegevensbron. Als er een strategie is om het aantal personen met directe toegang te verminderen, moet u verduidelijken wat het voorkeurs alternatief is (mogelijk door gegevensstromen te gebruiken).
• Bepaal hoe gegevensbronnen moeten worden geopend: bepaal of afzonderlijke gebruikersreferenties worden gebruikt voor toegang tot een gegevensbron of of een serviceaccount voor dat doel moet worden gemaakt. Bepaal wanneer eenmalige aanmelding geschikt is.
• Geef richtlijnen voor semantische modelmakers over het openen van gegevensbronnen: neem documentatie op voor makers van inhoud over het openen van organisatiegegevensbronnen. Publiceer de informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Geef richtlijnen voor semantische modelmakers over privacyniveaus: geef richtlijnen aan semantische modelmakers om ze bewust te maken van privacyniveaus en hun gevolgen bij het werken met gevoelige of vertrouwelijke gegevens. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Richtlijnen bieden voor makers van gatewayverbindingen over privacyniveaus: geef richtlijnen aan semantische modelmakers om ze bewust te maken van privacyniveaus en hun gevolgen bij het werken met gevoelige of vertrouwelijke gegevens. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Bepaal de strategie voor het gebruik van systeemeigen databasequery's: Overweeg uw strategie voor het gebruik van systeemeigen databasequery's. Informeer semantische modelmakers over hoe en wanneer de optie systeemeigen Databasequery's van Power BI Desktop moet worden ingesteld om goedkeuring vooraf uit te schakelen wanneer systeemeigen query's in Power Query worden uitgevoerd.
• Bepaal de strategie voor het gebruik van aangepaste connectors: Overweeg uw strategie voor het gebruik van aangepaste connectors. Bepaal of het gebruik van niet-gecertificeerde connectors gerechtvaardigd is. In dat geval leert u semantische modelmakers hoe en wanneer u de power BI Desktop-gegevensextensieoptie instelt.

Semantische machtigingen voor het maken van modellen

U kunt op verschillende manieren machtigingen toewijzen om een semantisch model te bewerken aan een gebruiker of groep.

• Werkruimterol: Toewijzing aan een van de werkruimterollen biedt toegang tot alle semantische modellen in de werkruimte. De mogelijkheid om een bestaand semantisch model weer te geven of te bewerken, is afhankelijk van de werkruimterol die u toewijst. Beheer istrators, leden en inzenders kunnen inhoud binnen een werkruimte publiceren of bewerken.
• Machtigingskoppelingen per item: als er een koppeling voor delen is gemaakt voor een rapport, wordt de machtiging om het semantische model te lezen (en optioneel, bouwen, schrijven en/of opnieuw delen) ook indirect verleend door de koppeling.
• Machtigingen voor directe toegang per item: u kunt de machtiging voor directe toegang toewijzen aan een specifiek semantisch model.

In de volgende schermopname ziet u de machtigingen die zijn toegewezen aan het semantische model van het Call Center Data . Eén gebruiker heeft de machtiging Lezen, die is verleend met behulp van machtigingen voor directe toegang per item. De resterende gebruikers en groepen hebben machtigingen omdat ze zijn toegewezen aan werkruimterollen.

Tip

Het gebruik van machtigingen per item (koppelingen of directe toegang) werkt het beste wanneer een gebruiker of groep een specifiek item in de werkruimte kan bekijken of bewerken. Dit is het meest geschikt wanneer de gebruiker geen toegang heeft tot alle items in de werkruimte. In de meeste gevallen raden we u aan uw werkruimten te ontwerpen, zodat beveiliging eenvoudiger te beheren is met werkruimterollen. Vermijd het instellen van machtigingen per item indien mogelijk.

Semantische modelmachtigingen

U kunt de volgende semantische modelmachtigingen toewijzen.

• Lees: Gericht op rapportgebruikers, kan met deze machtiging een rapport query's uitvoeren op gegevens in het semantische model. Zie het artikel Rapport over de beveiligingsplanning voor consumenten voor meer informatie over machtigingen voor het weergeven van alleen-lezen inhoud.
• Build: Gericht op makers van rapporten, met deze machtiging kunnen gebruikers nieuwe rapporten maken op basis van het gedeelde semantische model. Zie de sectie Machtigingen voor rapportmaker verderop in dit artikel voor meer informatie.
• Schrijven: Gericht op semantische modelmakers die semantische modellen maken, publiceren en beheren, kunnen gebruikers met deze machtiging het semantische model bewerken. Dit wordt verderop in deze sectie beschreven.
• Opnieuw delen: Gericht op iedereen met bestaande machtigingen voor het semantische model, kunnen gebruikers met deze machtiging het semantische model delen met een andere gebruiker. Dit wordt verderop in deze sectie beschreven.

Een werkruimtebeheerder of lid kan de machtigingen voor een semantisch model bewerken.

Leesmachtiging voor semantisch model

De semantische leesmachtiging is voornamelijk gericht op consumenten. Deze machtiging is vereist voor gebruikers om gegevens weer te geven die in rapporten worden weergegeven. Houd er rekening mee dat rapporten op basis van het semantische model ook leesmachtigingen moeten hebben; anders kan het rapport niet worden geladen. Zie het artikel Rapportbeveiligingsplanning voor consumenten voor meer informatie over het instellen van leesmachtigingen voor rapporten.

Samenstellingsmachtiging voor semantisch model

Naast de machtiging lezen van het semantische model hebben makers van inhoud ook de machtiging voor het bouwen van het semantische model nodig. Met de samenstellingsmachtiging kunnen makers van rapporten het volgende doen:

• Maak nieuwe Power BI-rapporten op basis van het semantische model.
• Verbinding maken met behulp van het semantische modelAnalyseren in Excel.
• Voer een query uit op het semantische model met behulp van het XMLA-eindpunt.
• Onderliggende gegevens van Power BI-rapportvisual exporteren (in plaats van de samengevatte gegevens die door de visual zijn opgehaald).
• Maak een DirectQuery-verbinding met een semantisch Power BI-model. In dit geval maakt het nieuwe semantische model verbinding met een of meer bestaande semantische Power BI-modellen (ook wel ketening genoemd). Als u semantische modellen met ketens wilt opvragen, heeft de maker van het semantische model een samenstellingsmachtiging nodig voor alle upstream-semantische modellen. Zie Chained semantische modellen verderop in dit artikel voor meer informatie.

U kunt buildmachtigingen verlenen aan een gebruiker of groep, direct of indirect, op verschillende manieren.

• Bouw rechtstreeks verlenen door:
  • Semantische modelmachtigingen instellen op de pagina met semantische modelinstellingen in de Power BI-service.
  • Semantische modelmachtigingen instellen met behulp van de Power BI REST API.
• Grant Build indirect door:
  • Een rapport of dashboard delen en de optie instellen om semantische build-machtigingen voor het model te verlenen.
  • Het publiceren van een Power BI-app en het instellen van de geavanceerde optie (voor een doelgroep) om samenstellingsmachtigingen te verlenen voor de gerelateerde semantische modellen.
  • Gebruikers toewijzen aan de werkruimterollen Beheer, Lid of Inzender.

Het rechtstreeks instellen van de samenstellingsmachtiging voor een semantisch model is geschikt wanneer u de beveiliging op gedetailleerde basis per item wilt beheren. Het indirect instellen van samenstellingsmachtigingen is geschikt wanneer de gebruikers die de inhoud via een van de indirecte methoden bekijken of gebruiken, ook nieuwe inhoud maken.

Tip

Vaak verschillen de gebruikers die een rapport of een Power BI-app bekijken, van de gebruikers die nieuwe inhoud maken met behulp van het onderliggende semantische model(en). De meeste gebruikers zijn alleen kijkers, dus ze hoeven geen nieuwe inhoud te maken. Het is raadzaam om uw makers van inhoud te informeren over het minimale aantal machtigingen dat vereist is.

Schrijfmachtiging voor Semantisch model

Meestal worden machtigingen ingesteld voor wie semantische modellen kan bewerken en beheren door gebruikers toe te wijzen aan de werkruimterol Beheer, Lid of Inzender. Het is echter ook mogelijk om schrijfmachtigingen in te stellen voor een specifiek semantisch model.

U wordt aangeraden waar mogelijk werkruimterollen te gebruiken, omdat dit de eenvoudigste manier is om machtigingen te beheren en te controleren. Gebruik de semantische schrijfmachtigingen voor het semantische model per item wanneer u ervoor hebt gekozen om minder werkruimten te maken en een werkruimte semantische modellen bevat voor verschillende onderwerpgebieden waarvoor verschillende machtigingenbeheer is vereist.

Tip

Zie de artikelen over het plannen van werkruimten voor hulp bij het organiseren van werkruimten.

Machtiging voor opnieuw delen van semantisch model

Met de machtiging voor het opnieuw delen van het semantische model kan een gebruiker met bestaande machtigingen het semantische model delen met andere gebruikers. U kunt deze machtiging verlenen wanneer inhoud in het semantische model vrijelijk kan worden gedeeld, op basis van gebruikers discretionair.

In veel gevallen wordt u aangeraden het gebruik van de machtiging Opnieuw delen te beperken om ervoor te zorgen dat semantische modelmachtigingen zorgvuldig worden beheerd. Vraag goedkeuring op van de semantische modeleigenaar(s) voordat u de machtiging Opnieuw delen verleent.

Semantische modelgegevensbeveiliging

U kunt van plan zijn om minder semantische modellen en rapporten te maken door gegevensbeveiliging af te dwingen. Het doel is om gegevensbeveiliging af te dwingen op basis van de identiteit van de gebruiker die de inhoud bekijkt.

Een maker van een semantisch model kan gegevensbeveiliging op twee manieren afdwingen.

• Met beveiliging op rijniveau (RLS) kan een gegevensmodeller de toegang tot een subset van gegevens beperken.
• Met beveiliging op objectniveau (OLS) kan een gegevensmodeller de toegang tot specifieke tabellen en kolommen en hun metagegevens beperken.

De implementatie van RLS en OLS is gericht op rapportgebruikers. Zie het artikel Over de planning van consumentenbeveiliging rapporteren voor meer informatie. Hierin wordt beschreven hoe en wanneer RLS en OLS worden afgedwongen voor consumenten met alleen-weergeven-machtigingen voor het semantische model.

Zie voor RLS en OLS gericht op andere rapportmakers de gegevensbeveiliging in de sectie Machtigingen voor rapportmaker verderop in dit artikel.

Geketende semantische modellen

Semantische Power BI-modellen kunnen verbinding maken met andere semantische modellen in een proces dat ook wel ketening wordt genoemd. Dit zijn verbindingen met upstream-semantische modellen. Zie DirectQuery gebruiken voor semantische Power BI-modellen en Analysis Services voor meer informatie.

Met de tenantinstelling DirectQuery-verbindingen met semantische Power BI-modellen toestaan kunnen Power BI-beheerders instellen welke groepen inhoudsmakers semantische modellen kunnen maken. Als u semantische modelmakers niet wilt beperken tot het koppelen van semantische modellen, kunt u deze instelling ingeschakeld laten voor de hele organisatie en afhankelijk zijn van werkruimtetoegang en semantische modelmachtigingen. In sommige gevallen kunt u overwegen deze mogelijkheid te beperken tot goedgekeurde makers van inhoud.

Notitie

Als semantische modelmaker kunt u het koppelen aan uw semantische model beperken. Dit wordt gedaan door de DirectQuery-verbinding ontmoedigen in te schakelen voor deze semantische modeloptie in Power BI Desktop. Zie DirectQuery-verbindingen beheren met een gepubliceerd semantisch model voor meer informatie.

Semantische model-API-query's

In sommige situaties wilt u mogelijk een DAX-query uitvoeren met behulp van de Power BI REST API. U wilt bijvoorbeeld gegevenskwaliteitsvalidaties uitvoeren. Zie Gegevenssets - Query's uitvoeren voor meer informatie.

Met de tenantinstelling Voor het uitvoeren van query's voor gegevenssets kunnen Power BI-beheerders instellen welke groepen gebruikers DAX-query's kunnen verzenden met behulp van de Power BI REST API. In de meeste gevallen kunt u deze instelling ingeschakeld laten voor de hele organisatie en afhankelijk zijn van toegang tot werkruimten en semantische modelmachtigingen. In sommige gevallen kunt u overwegen deze mogelijkheid te beperken tot goedgekeurde makers van inhoud.

Controlelijst : bij het plannen van semantische machtigingen voor het maken van modellen zijn belangrijke beslissingen en acties:

• Bepaal de strategie voor semantische machtigingen voor makers van modellen: Bepaal welke voorkeuren en vereisten er bestaan voor het beheren van beveiliging voor semantische modelmakers. Houd rekening met het onderwerpgebied en het niveau van de vertrouwelijkheid van gegevens. Overweeg ook wie verantwoordelijk is voor het beheren van gegevens en machtigingen in gecentraliseerde en gedecentraliseerde bedrijfseenheden.
• Bekijk hoe werkruimterollen worden verwerkt voor semantische modelmakers: Bepaal wat de impact is op het ontwerpproces van uw werkruimte. Maak afzonderlijke gegevenswerkruimten voor elk onderwerpgebied, zodat u de werkruimterollen en semantische modelbeveiliging voor elk onderwerpgebied eenvoudiger kunt beheren.
• Geef richtlijnen voor semantische modelmakers over het beheren van machtigingen: neem documentatie op voor semantische modelmakers over het beheren van semantische modelmachtigingen. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Bepaal wie DirectQuery-verbindingen voor semantische Power BI-modellen kan gebruiken: Bepaal of er beperkingen moeten zijn waarvoor semantische power BI-modelmakers (met bestaande samenstellingsmachtigingen voor een semantisch model) een verbinding met een semantisch Power BI-model kunnen maken. Stel de tenantinstelling DirectQuery-verbindingen met semantische Power BI-modellen toestaan in op overeenstemming met deze beslissing. Als u besluit deze mogelijkheid te beperken, kunt u overwegen een groep te gebruiken, zoals door Power BI goedgekeurde semantische modelmakers.
• Bepalen wie query's op semantische Power BI-modellen kan uitvoeren met behulp van de REST API: bepaal of makers van Power BI-inhoud query's kunnen uitvoeren op power BI-semantische modellen met behulp van de Rest API van Power BI. Stel de tenantinstelling Voor het uitvoeren van query's voor gegevenssets uitvoeren in op basis van deze beslissing. Als u besluit deze mogelijkheid te beperken, kunt u overwegen een groep zoals door Power BI goedgekeurde rapportmakers te gebruiken.
• Bepaal de strategie voor het gebruik van RLS of OLS voor semantische modelmakers: Bedenk welke use cases en doeleinden u van plan bent om RLS of OLS te gebruiken. Houd rekening met de ontwerpstrategie van de werkruimte en wie lees- en bewerkingsmachtigingen heeft, wanneer u RLS of OLS wilt afdwingen voor semantische modelmakers.

Machtigingen voor rapportmaker

Makers van rapporten hebben werkruimtetoegang nodig om rapporten te maken in de Power BI-service of ze te publiceren vanuit Power BI Desktop. Ze moeten een beheerder, lid of inzender zijn in de doelwerkruimte.

Waar mogelijk moeten rapportmakers een bestaand gedeeld semantisch model gebruiken (via een liveverbinding of DirectQuery). Op die manier wordt het proces voor het maken van rapporten losgekoppeld van het proces voor het maken van het semantische model. Dit type scheiding biedt veel voordelen voor beveiligings- en teamontwikkelingsscenario's.

Een maker van een rapport moet een werkruimtebeheerder, lid of inzender zijn.

In tegenstelling tot semantische modellen is er geen schrijfmachtiging voor rapporten. Werkruimterollen moeten worden gebruikt om rapportmakers te ondersteunen. Daarom is optimaal werkruimteontwerp belangrijk om de behoeften van inhoudsorganisatie en beveiliging te verdelen.

Tip

Zie het artikel rapportbeveiligingsplanning voor machtigingen voor consumenten van rapporten (inclusief de machtigingen lezen en opnieuw delen per item) voor machtigingen voor het ondersteunen van rapportgebruikers.

Lees- en buildmachtigingen voor het onderliggende semantische model

Makers van rapporten moeten lees- en buildmachtigingen hebben voor de semantische modellen die door hun rapporten worden gebruikt, waaronder gekoppelde semantische modellen. Deze machtiging kan expliciet worden verleend aan de afzonderlijke semantische modellen of kan impliciet worden verleend voor semantische werkruimtemodellen wanneer de maker van het rapport een werkruimtebeheerder, lid of inzender is.

Met de tenantinstelling Semantische modellen gebruiken in werkruimten kunnen Power BI-beheerders instellen welke groepen gebruikers rapporten kunnen maken die gebruikmaken van semantische modellen in andere werkruimten. Deze instelling is gericht op semantische model- en rapportmakers. Meestal raden we u aan deze instelling ingeschakeld te laten voor de hele organisatie en te vertrouwen op toegangsinstellingen voor werkruimten en semantische modelmachtigingen. Op die manier kunt u het gebruik van bestaande semantische modellen aanmoedigen. In sommige gevallen kunt u overwegen deze mogelijkheid alleen te beperken tot goedgekeurde makers van inhoud.

Er is ook de tenantinstelling Liveverbindingen toestaan, waarmee Power BI-beheerders kunnen instellen welke groepen gebruikers liveverbindingen kunnen maken met semantische modellen in Power BI Desktop of Excel. Het is specifiek gericht op rapportmakers en vereist ook dat ze lees- en buildmachtigingen krijgen voor het semantische model dat het rapport gaat gebruiken. U wordt aangeraden deze instelling ingeschakeld te laten voor de hele organisatie en te vertrouwen op machtigingen voor werkruimtetoegang en semantische modellen. Op die manier kunt u het gebruik van bestaande semantische modellen aanmoedigen. In sommige gevallen kunt u overwegen deze mogelijkheid alleen te beperken tot goedgekeurde makers van inhoud.

Gegevensbeveiliging voor het onderliggende semantische model

RLS en OLS (eerder in dit artikel beschreven) zijn gericht op rapportgebruikers. Soms moet het echter ook worden afgedwongen voor rapportmakers. Het maken van afzonderlijke werkruimten wordt gerechtvaardigd wanneer beveiliging op rijniveau moet worden afgedwongen voor makers van rapporten en voor rapportgebruikers.

Bekijk het volgende scenario.

• Gecentraliseerde gedeelde semantische modellen met RLS: het enterprise BI-team heeft semantische verkoopmodellen gepubliceerd naar de werkruimte Verkoopgegevens . Deze semantische modellen dwingen beveiliging op rijniveau af om verkoopgegevens weer te geven voor de toegewezen verkoopregio van de rapportconsumer.
• Gedecentraliseerde selfservicerapportmakers: de business unit verkoop en marketing heeft veel geschikte analisten die hun eigen rapporten maken. Ze publiceren hun rapporten naar de Werkruimte Sales Analytics .
• Lees- en bouwmachtigingen voor semantische modellen: waar mogelijk gebruiken de analisten de semantische modellen uit de werkruimte Verkoopgegevens om onnodige duplicatie van gegevens te voorkomen. Omdat de analisten alleen lees- en buildmachtigingen hebben voor deze semantische modellen (zonder schrijf- of bewerkingsmachtigingen), wordt RLS afgedwongen voor de makers van rapporten (en ook de rapportgebruikers).
• Bewerkingsmachtigingen voor rapportagewerkruimte: de analisten hebben meer rechten in de werkruimte Sales Analytics . Met de werkruimterollen beheerder, lid of inzender kunnen ze hun rapporten publiceren en beheren.

Zie het artikel Rapport over de beveiligingsplanning voor consumenten voor meer informatie over beveiliging op rijniveau en OLS. Hierin wordt beschreven hoe en wanneer RLS en OLS worden afgedwongen voor consumenten met alleen-weergeven-machtigingen voor het semantische model.

Verbinding maken van externe semantische modellen

Wanneer een maker van een rapport verbinding maakt met een gedeeld semantisch model voor het rapport, maken ze meestal verbinding met een gedeeld semantisch model dat is gepubliceerd in hun eigen Power BI-tenant. Wanneer toestemming is verleend, is het ook mogelijk om verbinding te maken met een gedeeld semantisch model in een andere tenant. De andere tenant kan een partner, klant of leverancier zijn.

Deze functionaliteit staat bekend als in-place semantisch model delen (ook wel semantisch model delen tussen tenants genoemd). De rapporten die zijn gemaakt door de maker van het rapport (of nieuwe samengestelde modellen die zijn gemaakt door een maker van een semantisch model) worden opgeslagen en beveiligd in uw Power BI-tenant met behulp van uw normale proces. Het oorspronkelijke gedeelde semantische model blijft aanwezig in de oorspronkelijke Power BI-tenant en alle machtigingen worden daar beheerd.

Zie het artikel over beveiligingsplanning op tenantniveau voor meer informatie. Het bevat informatie over de tenantinstellingen en semantische modelinstellingen die extern delen werken.

Aanbevolen tabellen

In Power BI Desktop kunnen semantische modelmakers een modeltabel instellen om een aanbevolen tabel te worden. Wanneer het semantische model wordt gepubliceerd naar het Power BI-service, kunnen rapportmakers de galerie gegevenstypen in Excel gebruiken om de aanbevolen tabel te vinden, zodat ze aanbevolen tabelgegevens kunnen toevoegen om hun Excel-werkbladen te verbeteren.

Met de tenantinstelling Verbindingen met aanbevolen tabellen toestaan kunnen Power BI-beheerders instellen welke groepen gebruikers toegang hebben tot aanbevolen tabellen. Het is gericht op Excel-gebruikers die toegang willen krijgen tot aanbevolen Power BI-tabellen in gegevenstypen van de Excel-organisatie. U wordt aangeraden deze instelling ingeschakeld te laten voor de hele organisatie en te vertrouwen op machtigingen voor werkruimtetoegang en semantische modellen. Op die manier kunt u het gebruik van aanbevolen tabellen aanmoedigen.

Aangepaste visuele machtigingen

Naast kernvisuals kunnen makers van Power BI-rapporten aangepaste visuals gebruiken. In Power BI Desktop kunnen aangepaste visuals worden gedownload vanuit Microsoft AppSource. Ze kunnen ook intern worden ontwikkeld met behulp van de Power BI SDK en geïnstalleerd door het visuele bestand (.pbviz) te openen.

Sommige visuals die kunnen worden gedownload vanuit AppSource, zijn gecertificeerde visuals. Gecertificeerde visuals voldoen aan bepaalde opgegeven codevereisten die het Power BI-team heeft getest en goedgekeurd. De tests controleren of visuals geen toegang hebben tot externe services of resources.

Met de instelling Visuals toestaan die zijn gemaakt met de tenantinstelling power BI SDK kunnen Power BI-beheerders bepalen welke groepen gebruikers aangepaste visuals kunnen gebruiken.

Er is ook de tenantinstelling Gecertificeerde visuals toevoegen en gebruiken, waarmee Power BI-beheerders het gebruik van niet-gecertificeerde visuals in de Power BI-service kunnen blokkeren. Deze instelling kan worden ingeschakeld of uitgeschakeld voor de hele organisatie.

Notitie

Als u het gebruik van niet-gecertificeerde visuals blokkeert, is dit alleen van toepassing op de Power BI-service. Als u het gebruik in Power BI Desktop wilt beperken, vraagt u uw systeembeheerders om een groepsbeleidsinstelling te gebruiken om het gebruik ervan in Power BI Desktop te blokkeren. Als u deze stap uitvoert, zorgt u ervoor dat makers van rapporten geen tijd en moeite verspillen aan het maken van een rapport dat niet werkt wanneer ze naar de Power BI-service worden gepubliceerd. U wordt ten zeerste aangeraden uw gebruikers in te stellen voor consistente ervaringen in de Power BI-service (met de tenantinstelling) en Power BI Desktop (met groepsbeleid).

Power BI Desktop heeft een optie om een beveiligingswaarschuwing weer te geven wanneer een maker van een rapport een aangepast visueel element aan het rapport toevoegt. Makers van rapporten kunnen deze optie uitschakelen. Met deze optie wordt niet getest of de visual is gecertificeerd.

Power BI-beheerders kunnen aangepaste visuals goedkeuren en implementeren voor hun organisatie. Makers van rapporten kunnen deze visuals vervolgens eenvoudig detecteren, bijwerken en gebruiken. Beheer istrators kunnen deze visuals vervolgens beheren door versies bij te werken of specifieke aangepaste visuals uit te schakelen en in te schakelen. Deze aanpak is handig als u een intern ontwikkelde visual beschikbaar wilt maken voor uw rapportmakers of wanneer u een aangepaste visual verkrijgt van een leverancier die zich niet in AppSource bevindt. Zie visuals van power BI voor meer informatie.

Overweeg een evenwichtige strategie voor het inschakelen van alleen gecertificeerde aangepaste visuals in uw organisatie (met de tenantinstelling en het eerder beschreven groepsbeleid), terwijl u organisatievisuals implementeert om eventuele uitzonderingen af te handelen.

Controlelijst : bij het plannen van machtigingen voor maker van rapporten zijn belangrijke beslissingen en acties:

• Bepaal de strategie voor machtigingen voor makers van rapporten: Bepaal welke voorkeuren en vereisten er bestaan voor het beheren van beveiliging voor makers van rapporten. Houd rekening met het onderwerpgebied en het niveau van de vertrouwelijkheid van gegevens. Overweeg ook wie verantwoordelijk is voor het maken en beheren van rapporten in gecentraliseerde en gedecentraliseerde bedrijfseenheden.
• Bekijk hoe werkruimterollen worden verwerkt voor rapportmakers: Bepaal wat de impact is op het ontwerpproces van uw werkruimte. Maak afzonderlijke gegevenswerkruimten en rapportagewerkruimten voor elk onderwerpgebied, zodat de werkruimterollen (en de onderliggende semantische modelbeveiliging) voor het onderwerpgebied worden vereenvoudigd.
• Geef richtlijnen voor makers van rapporten over het beheren van machtigingen: neem documentatie op voor makers van rapporten over het beheren van machtigingen voor rapportgebruikers. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Bepaal wie gedeelde semantische modellen kan gebruiken: bepaal of er beperkingen moeten zijn waarvoor power BI-rapportmakers (die al lees- en samenstellingsmachtigingen voor een semantisch model hebben) semantische modellen in werkruimten kunnen gebruiken. Stel de tenantinstelling Semantisch gebruiken in voor werkruimten om deze beslissing af te stemmen. Als u besluit deze mogelijkheid te beperken, kunt u overwegen een groep zoals door Power BI goedgekeurde rapportmakers te gebruiken.
• Bepaal wie liveverbindingen mag gebruiken: bepaal of er beperkingen moeten zijn waarvoor makers van Power BI-rapporten (die al beschikken over lees- en samenstellingsmachtigingen voor een semantisch model) liveverbindingen kunnen gebruiken. Stel de tenantinstelling Liveverbindingen toestaan in op overeenstemming met deze beslissing. Als u besluit deze mogelijkheid te beperken, kunt u overwegen een groep zoals door Power BI goedgekeurde rapportmakers te gebruiken.
• Beslis over de strategie voor het gebruik van beveiliging op rijniveau voor makers van rapporten: Bedenk welke use cases en doeleinden u van plan bent beveiliging op rijniveau te gebruiken. Houd rekening met de ontwerpstrategie voor werkruimten om ervoor te zorgen dat beveiliging op rijniveau wordt afgedwongen voor rapportmakers.
• Bepaal de strategie voor het gebruik van aangepaste visuals: Overweeg uw strategie waarvoor makers van rapporten aangepaste visuals kunnen gebruiken. Stel de visuals toestaan in die zijn gemaakt door de instelling van de Power BI SDK-tenant om deze beslissing te bepalen. Maak een proces voor het gebruik van organisatievisuals, indien van toepassing.

Machtigingen voor maker van gegevensstromen

Gegevensstromen zijn handig voor het centraliseren van gegevensvoorbereiding, zodat het werk dat in Power Query wordt uitgevoerd, niet wordt herhaald in veel semantische modellen. Ze zijn een bouwsteen voor het bereiken van één bron van waarheid, waardoor analisten geen directe toegang tot bronnen nodig hebben en om etL-bewerkingen (extract, transform and load) op schaal uit te voeren.

Een maker van een gegevensstroom moet een werkruimtebeheerder, lid of inzender zijn.

Als u een gegevensstroom wilt gebruiken (bijvoorbeeld van een nieuw gegevensmodel dat is gemaakt in Power BI Desktop of in een andere werkruimte), kan een maker van een semantisch model deel uitmaken van elke werkruimterol, met inbegrip van de rol Viewer. Er is geen concept van beveiliging op rijniveau voor gegevensstromen.

Naast werkruimterollen moet de tenantinstelling Gegevensstromen maken en gebruiken zijn ingeschakeld. Deze tenantinstelling is van toepassing op de hele organisatie.

Bekijk het volgende scenario.

• Veel semantische modellen in de organisatie moeten dynamische beveiliging op rijniveau afdwingen. Hiervoor moeten UPN's (User Principal Names) worden opgeslagen in het semantische model (om te filteren op de identiteit van de rapportgebruiker).
• Een maker van een gegevensstroom, die deel uitmaakt van de afdeling Human Resources, maakt een gegevensstroom van de huidige werknemersgegevens, inclusief hun UPN's. Ze stellen de gegevensstroom in om dagelijks te vernieuwen.
• Semantische modelmakers gebruiken vervolgens de gegevensstroom in hun modelontwerpen om RLS in te stellen.

Zie de selfservicegegevensvoorbereiding en geavanceerde gebruiksscenario's voor gegevensvoorbereiding voor meer informatie over het gebruik van gegevensstromen.

Controlelijst : bij het plannen van machtigingen voor maker van gegevensstromen zijn belangrijke beslissingen en acties:

• Bepaal de strategie voor machtigingen voor makers van gegevensstromen: Bepaal welke voorkeuren en vereisten er bestaan voor het beheren van beveiliging voor makers van gegevensstromen. Overweeg wie is toegestaan of aangemoedigd om verantwoordelijk te zijn voor het beheren van activiteiten voor gegevensvoorbereiding in gecentraliseerde en gedecentraliseerde bedrijfseenheden.
• Bepaal wie gegevensstromen kan maken: bepaal of er beperkingen moeten zijn waarvoor Power BI-gegevensmakers gegevensstromen kunnen maken. Stel de tenantinstelling Gegevensstromen maken en gebruiken in op overeenstemming met deze beslissing.
• Bekijk hoe werkruimterollen worden verwerkt voor makers van gegevensstromen: Bepaal wat de impact is op het ontwerpproces van uw werkruimte. Maak afzonderlijke gegevensstroomwerkruimten per onderwerpgebied, zodat u werkruimterollen en -machtigingen afzonderlijk voor elk onderwerpgebied kunt afhandelen, indien van toepassing.

Machtigingen voor maker van Datamart

Een datamart is een selfserviceanalyseoplossing waarmee gebruikers gegevens kunnen opslaan en verkennen die zijn geladen in een volledig beheerde relationele database. Het omvat ook een automatisch gegenereerd semantisch model.

Datamarts bieden een eenvoudige ervaring met weinig code voor het opnemen van gegevens uit verschillende gegevensbronnen en voor het extraheren, transformeren en laden van de gegevens (ETL) met behulp van Power Query Online. De gegevens worden geladen in een Azure SQL Database die volledig wordt beheerd en waarvoor geen afstemming of optimalisatie is vereist. Het automatisch gegenereerde semantische model wordt altijd gesynchroniseerd met de beheerde database omdat het zich in de DirectQuery-modus bevindt.

U kunt een datamart maken wanneer u een werkruimtebeheerder, lid of inzender bent. Werkruimterollen worden ook toegewezen aan rollen op databaseniveau in de Azure SQL Database (omdat de database echter volledig wordt beheerd, kunnen gebruikersmachtigingen niet worden bewerkt of beheerd in de relationele database).

Met de tenantinstelling Datamarts maken kunnen Power BI-beheerders instellen welke groepen gebruikers datamarts kunnen maken.

Datamart delen

Voor datamarts heeft het delen van termen een andere betekenis dan andere Power BI-inhoudstypen. Meestal is een deelbewerking gericht op een consument, omdat het alleen-lezenmachtigingen biedt voor één item, zoals een rapport.

Het delen van een datamart is gericht op makers van inhoud (in plaats van consumenten). Het verleent de lees- en buildmachtigingen, waarmee gebruikers query's kunnen uitvoeren op het semantische model of de relationele database, afhankelijk van wat ze liever hebben.

Door een datamart te delen, kunnen makers van inhoud het volgende doen:

• Inhoud bouwen met behulp van het automatisch gegenereerde semantische model: het semantische model is de semantische laag waarop Power BI-rapporten kunnen worden gebouwd. De meeste makers van rapporten moeten het semantische model gebruiken.
• Verbinding maken de Azure SQL Database opvragen en er query's op uitvoeren: De relationele database is handig voor makers van inhoud die nieuwe semantische modellen of gepagineerde rapporten willen maken. Ze kunnen SQL-query's (Structured Query Language) schrijven om gegevens op te halen met behulp van het SQL-eindpunt.

Beveiliging op rijniveau van Datamart

U kunt beveiliging op rijniveau definiëren voor datamarts om de toegang tot gegevens voor opgegeven gebruikers te beperken. RLS wordt ingesteld in de datamart-editor in de Power BI-service en wordt automatisch toegepast op het automatisch gegenereerde semantische model en de Azure SQL Database (als beveiligingsregels).

Ongeacht hoe een gebruiker ervoor kiest om verbinding te maken met de datamart (met het semantische model of de database), worden identieke RLS-machtigingen afgedwongen.

Controlelijst : bij het plannen van machtigingen voor maker van datamarts zijn belangrijke beslissingen en acties:

• Bepaal de strategie voor machtigingen voor makers van datamarts: Bepaal welke voorkeuren en vereisten er bestaan voor het beheren van beveiliging voor datamart-makers. Overweeg wie verantwoordelijk is voor het beheren van gegevens in gecentraliseerde en gedecentraliseerde bedrijfseenheden of wordt aangemoedigd.
• Bepaal wie datamarts kan maken: bepaal of er beperkingen moeten zijn waarvoor Power BI-gegevensmakers een datamart kunnen maken. Stel de tenantinstelling Datamarts maken in op overeenstemming met deze beslissing. Als u besluit om te beperken wie datamarts kan maken, kunt u overwegen een groep te gebruiken, zoals door Power BI goedgekeurde makers van datamarts.
• Bekijk hoe werkruimterollen worden verwerkt voor datamart-makers: Bepaal wat de impact is op het ontwerpproces van uw werkruimte. Maak afzonderlijke gegevenswerkruimten per onderwerpgebied, zodat de werkruimterollen en semantische modelbeveiliging kunnen worden vereenvoudigd voor het onderwerpgebied.
• Geef richtlijnen voor datamart-makers over het beheren van machtigingen: neem documentatie op voor datamart-makers over het beheren van datamart-machtigingen. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.
• Bepaal de strategie voor het gebruik van beveiliging op rijniveau in datamarts: Overweeg welke gebruiksscenario's en doeleinden u wilt gebruiken in een datamart.

Machtigingen voor scorecardmaker

Metrische gegevens in Power BI kunt u specifieke metrische gegevens cureren en bijhouden op basis van belangrijke bedrijfsdoelstellingen. Metrische gegevens worden toegevoegd aan scorecards, die kunnen worden gedeeld met andere gebruikers en in één deelvenster kunnen worden bekeken.

Scorecards kunnen worden beveiligd met drie machtigingsniveaus:

• Werkruimte.
• Scorecardmachtigingen (per item).
• Metrische gegevens (binnen de scorecard).

Een gebruiker die een scorecard maakt of volledig beheert, moet een werkruimtebeheerder, lid of inzender zijn.

Omdat metrische gegevens vaak meerdere onderwerpgebieden omvatten, raden we u aan een afzonderlijke werkruimte te maken, zodat u onafhankelijk machtigingen voor makers en consumenten kunt beheren.

Met de tenantinstelling Voor metrische gegevens maken en gebruiken kunnen Power BI-beheerders instellen welke groepen gebruikers metrische gegevens van scorecards kunnen maken.

Scorecardmachtigingen

U kunt de volgende scorecardmachtigingen toewijzen.

• Lees: Met deze machtiging kan een gebruiker de scorecard bekijken.
• Opnieuw delen: Gericht op iedereen met bestaande machtigingen voor de scorecard, kunnen gebruikers met deze machtiging de scorecard delen met een andere gebruiker.

Consistent met andere inhoudstypen in de Power BI-service zijn de machtigingen per item handig wanneer u het ene item met een andere gebruiker wilt delen. We raden u aan om waar mogelijk werkruimterollen en app-machtigingen te gebruiken.

Machtigingen op metrische gegevens

Elke scorecard heeft een set machtigingen op metrische gegevens die u kunt instellen in de scorecard-instellingen. De machtigingen op metrische gegevens (binnen een scorecard) kunnen anders worden verleend dan de werkruimte- of scorecardmachtigingen (per item).

Met de rollen op metrische gegevens kunt u het volgende instellen:

• Wie kunt afzonderlijke metrische gegevens weergeven op een scorecard.
• Wie kunt afzonderlijke metrische gegevens bijwerken door:
  • De status bijwerken tijdens een check-in.
  • Notities toevoegen tijdens een check-in.
  • De huidige waarde bijwerken tijdens een check-in.

Als u het niveau van toekomstig onderhoud wilt verminderen, is het mogelijk om standaardmachtigingen in te stellen die worden overgenomen door submetrische gegevens die u in de toekomst maakt.

Controlelijst : bij het plannen van machtigingen voor makers van metrische gegevens zijn belangrijke beslissingen en acties onder andere:

• Bepaal de strategie voor machtigingen voor scorecardmakers: bepaal welke voorkeuren en vereisten er bestaan voor het beheren van beveiliging voor scorecardmakers. Overweeg wie verantwoordelijk is voor het beheren van gegevens in gecentraliseerde en gedecentraliseerde bedrijfseenheden of wordt aangemoedigd.
• Bepaal wie scorecards kan maken: bepaal of er beperkingen moeten zijn waarvoor power BI-gegevensmakers scorecards kunnen maken. Stel de tenantinstelling Voor metrische gegevens maken en gebruiken in op overeenstemming met deze beslissing. Als u besluit om te beperken wie scorecards kan maken, kunt u overwegen een groep zoals door Power BI goedgekeurde scorecardmakers te gebruiken.
• Bekijk hoe werkruimterollen worden verwerkt voor scorecardmakers: Bepaal wat de impact is op het ontwerpproces van uw werkruimte. Overweeg om afzonderlijke werkruimten te maken voor scorecards wanneer de inhoud onderwerpgebieden omvat.
• Geef richtlijnen voor scorecardmakers over het beheren van machtigingen: neem documentatie op voor makers van scorecards over het beheren van machtigingen op metrische gegevens. Publiceer deze informatie naar uw gecentraliseerde portal en trainingsmateriaal.

Inhoud publiceren

Deze sectie bevat onderwerpen met betrekking tot het publiceren van inhoud die relevant zijn voor makers van inhoud.

Workspaces

Makers van inhoud hebben beheerders-, lid- of inzenderrol nodig om inhoud naar een werkruimte te publiceren. Zie de werkruimterollen die eerder in dit artikel zijn beschreven voor meer informatie.

Met uitzondering van persoonlijke BI moeten makers van inhoud worden aangemoedigd om inhoud te publiceren naar standaardwerkruimten, in plaats van hun persoonlijke werkruimte.

Met de instelling Tenant voor pakketvernieuwing blokkeren en uitschakelen wordt het gedrag voor het publiceren van semantische modellen gewijzigd. Wanneer deze functie is ingeschakeld, kunnen werkruimtebeheerders, leden of inzenders geen wijzigingen publiceren in een semantisch model. Alleen de eigenaar van het semantische model mag een update publiceren (waardoor de overname van een semantisch model wordt afgedwongen voordat een bijgewerkt semantisch model wordt gepubliceerd). Omdat deze tenantinstelling van toepassing is op de hele organisatie, schakelt u deze in meting van voorzichtigheid omdat deze van invloed is op alle semantische modellen voor de hele tenant. Zorg ervoor dat u communiceert met uw semantische modelmakers wat u kunt verwachten, omdat dit het normale gedrag van werkruimterollen wijzigt.

Synchronisatie van Power Apps

Het is mogelijk om een Power Apps-oplossing te maken die ingesloten Power BI-rapporten bevat. Het Power Apps-proces maakt automatisch een toegewezen Power BI-werkruimte voor het opslaan en beveiligen van de Power BI-rapporten en semantische modellen. Er is een synchronisatieproces om items te beheren die bestaan in Zowel Power Apps als Power BI.

Het proces synchroniseert beveiligingsrollen om ervoor te zorgen dat Power BI dezelfde rollen over neemt die in eerste instantie zijn ingesteld in Power Apps. Hiermee kan de maker van inhoud ook machtigingen beheren voor wie de Power BI-rapporten (en gerelateerde semantische modellen) kan bekijken die zijn ingesloten in een Power App.

Zie Machtigingssynchronisatie tussen de Power Apps-omgeving en de Power BI-werkruimte voor meer informatie over het synchroniseren van Power Apps-rollen met Power BI-werkruimterollen.

Toegang tot implementatiepijplijn

Makers en eigenaren van inhoud kunnen Power BI-implementatiepijplijnen gebruiken voor het publiceren van selfservice-inhoud. Implementatiepijplijnen vereenvoudigen het publicatieproces en verbeteren het controleniveau bij het vrijgeven van nieuwe inhoud.

U beheert pijplijnmachtigingen (voor gebruikers die inhoud met een implementatiepijplijn kunnen implementeren) afzonderlijk van de werkruimterollen. Toegang tot zowel de werkruimte als de implementatiepijplijn is vereist voor de gebruikers die een implementatie uitvoeren.

Makers van inhoud hebben mogelijk ook het volgende nodig:

• Machtigingen voor het maken van werkruimten (wanneer werkruimten moeten worden gemaakt door de pijplijn).
• Premium- of Fabric-capaciteitsmachtigingen (wanneer werkruimten worden toegewezen door de pijplijn).

Belangrijk

Soms verwijst dit artikel naar Power BI Premium of de capaciteitsabonnementen (P-SKU's). Houd er rekening mee dat Microsoft momenteel aankoopopties consolideert en de Power BI Premium-SKU's per capaciteit buiten gebruik stelt. Nieuwe en bestaande klanten moeten overwegen om in plaats daarvan F-SKU's (Fabric-capaciteitsabonnementen) aan te schaffen.

Zie Belangrijke update voor Power BI Premium-licenties en veelgestelde vragen over Power BI Premium voor meer informatie.

Zie Implementatiepijplijntoegang voor meer informatie.

XMLA-eindpunt

Het XMLA-eindpunt maakt gebruik van het XMLA-protocol om alle functies van een tabellair gegevensmodel beschikbaar te maken, waaronder enkele gegevensmodelleringsbewerkingen die niet worden ondersteund door Power BI Desktop. U kunt de TOM-API (Tabular Object Model) gebruiken om programmatische wijzigingen aan te brengen in een gegevensmodel.

Het XMLA-eindpunt biedt ook connectiviteit. U kunt alleen verbinding maken met een semantisch model wanneer de licentiemodus van de werkruimte is ingesteld op Premium per gebruiker, Premium per capaciteit of Embedded. Zodra er een verbinding is gemaakt, kan een XMLA-compatibel hulpprogramma worden gebruikt voor het gegevensmodel om gegevens te lezen of te schrijven. Zie het gebruiksscenario voor geavanceerd gegevensmodelbeheer voor meer informatie over het gebruik van het XMLA-eindpunt voor het beheren van een semantisch model.

Toegang via het XMLA-eindpunt houdt rekening met bestaande machtigingen. Werkruimtebeheerders, leden en inzenders hebben impliciet een semantische schrijfmachtiging voor het model. Dit betekent dat ze nieuwe semantische modellen kunnen implementeren vanuit Visual Studio en TMSL-scripts (Tabular Modeling Scripting Language) kunnen uitvoeren in SQL Server Management Studio (SSMS).

Gebruikers met de semantische samenstellingsmachtiging van het model kunnen het XMLA-eindpunt gebruiken om verbinding te maken met en door semantische modellen te bladeren voor gegevensverbruik en visualisatie. RLS-regels worden uitgevoerd en gebruikers kunnen geen interne semantische modelmetagegevens zien.

De tenantinstelling XMLA-eindpunten toestaan en analyseren in Excel met on-premises semantische modellen verwijst naar twee mogelijkheden: hiermee bepaalt u welke groepen gebruikers het XMLA-eindpunt kunnen gebruiken om semantische modellen in de Power BI-service op te vragen en/of te onderhouden. Ook wordt bepaald of Analyseren in Excel kan worden gebruikt met on-premises SSAS-modellen (SQL Server Analysis Services).

Notitie

Het aspect Analyseren in Excel van die tenantinstelling is alleen van toepassing op on-premises SSAS-modellen (SQL Server Analysis Services). De standaardfunctie Analyseren in Excel, die verbinding maakt met een semantisch Power BI-model in de Power BI-service, wordt bepaald door de tenantinstelling Live-Verbinding maken ions toestaan.

Publiceren op internet

Publiceren op internet is een functie die toegang biedt tot Power BI-rapporten voor iedereen op internet. Er is geen verificatie vereist en de toegang wordt niet vastgelegd voor controledoeleinden. Omdat rapportgebruikers geen deel hoeven te uitmaken van de organisatie of een Power BI-licentie hebben, is deze techniek geschikt voor gegevensresources, een proces waarbij rapporten zijn ingesloten in blogberichten, websites, e-mailberichten of sociale media.

Let op

Publiceren op internet heeft de mogelijkheid om gevoelige of vertrouwelijke gegevens beschikbaar te maken, ongeacht of ze per ongeluk of opzettelijk zijn. Daarom is deze functie standaard uitgeschakeld. Publiceren op internet mag alleen worden gebruikt voor rapporten die gegevens bevatten die door het publiek kunnen worden bekeken.

Met de instelling Publiceren naar webtenant kunnen Power BI-beheerders bepalen welke groepen gebruikers rapporten op internet kunnen publiceren. Als u een hoger controleniveau wilt behouden, wordt u aangeraden geen andere groepen op te nemen in deze tenantinstelling (zoals Power BI-beheerders of andere typen makers van inhoud). Dwing in plaats daarvan specifieke gebruikerstoegang af met behulp van een beveiligingsgroep zoals openbare Power BI-publicatie. Zorg ervoor dat de beveiligingsgroep goed wordt beheerd.

Insluiten in aangepaste apps

Met de tenantinstelling Inhoud insluiten in apps kunnen Power BI-beheerders bepalen welke gebruikers Power BI-inhoud buiten de Power BI-service kunnen insluiten. Wanneer u power BI-inhoud wilt insluiten in aangepaste toepassingen, schakelt u deze instelling in voor specifieke groepen, zoals app-ontwikkelaars.

Insluiten in PowerPoint

Met de instelling Power BI-invoegtoepassing inschakelen voor PowerPoint-tenants kunnen Power BI-beheerders bepalen welke gebruikers Power BI-rapportpagina's kunnen insluiten in PowerPoint-presentaties. Schakel indien nodig deze instelling in voor specifieke groepen, zoals makers van rapporten.

Notitie

Om deze mogelijkheid te kunnen gebruiken, moeten gebruikers de Power BI-invoegtoepassing voor PowerPoint installeren. Als u de invoegtoepassing wilt gebruiken, moeten gebruikers toegang hebben tot de Office-invoegtoepassing of moet de invoegtoepassing beschikbaar worden gesteld als een door een beheerder beheerde invoegtoepassing. Zie de Power BI-invoegtoepassing voor PowerPoint voor meer informatie.

Informeer makers van rapporten om voorzichtig te zijn met waar ze hun PowerPoint-presentaties opslaan en met wie ze ze delen. Dat komt doordat een afbeelding van de Power BI-rapportvisuals wordt weergegeven aan gebruikers wanneer ze de presentatie openen. Deze afbeelding wordt vastgelegd vanaf de laatste keer dat het PowerPoint-bestand is verbonden. In de afbeelding kunnen echter per ongeluk gegevens worden weergegeven die de ontvangende gebruiker niet heeft om te zien.

Notitie

De afbeelding kan handig zijn wanneer de ontvangende gebruiker de invoegtoepassing nog niet heeft of totdat de invoegtoepassing verbinding maakt met de Power BI-service om gegevens op te halen. Zodra de gebruiker verbinding maakt, worden alleen gegevens weergegeven die de gebruiker kan zien (afdwingen van RLS) uit Power BI.

Sjabloon-apps

Met sjabloon-apps kunnen Power BI-partners en softwareleveranciers Power BI-apps bouwen met weinig of geen codering en deze implementeren naar elke Power BI-klant.

Met de tenantinstelling Sjabloon-apps publiceren kunnen Power BI-beheerders bepalen welke gebruikers sjabloon-apps buiten de organisatie kunnen publiceren, bijvoorbeeld via Microsoft AppSource. Voor de meeste organisaties moet deze tenantinstelling worden uitgeschakeld of strikt worden beheerd. Overweeg het gebruik van een beveiligingsgroep, zoals makers van externe Power BI-sjabloon-apps.

E-mailabonnementen

U kunt uzelf en anderen abonneren op Power BI-rapporten, -dashboards en gepagineerde rapporten. Power BI verzendt vervolgens een e-mailbericht volgens een schema dat u hebt ingesteld. Het e-mailbericht bevat een momentopname en een koppeling naar het rapport of dashboard.

U kunt een abonnement maken dat andere gebruikers bevat wanneer u een werkruimtebeheerder, lid of inzender bent. Als het rapport zich in een Premium-werkruimte bevindt, kunt u groepen (ongeacht of ze zich in uw domein bevinden) en externe gebruikers abonneren. Bij het instellen van het abonnement is er ook de optie om machtigingen aan het item te verlenen. Machtigingen voor directe toegang per item worden voor dit doel gebruikt. Deze worden beschreven in het artikel Over de planning van consumentenbeveiliging rapporteren.

Let op

De functie voor e-mailabonnementen kan inhoud delen met interne en externe doelgroepen. Wanneer beveiliging op rijniveau wordt afgedwongen op het onderliggende semantische model, worden bijlagen en afbeeldingen gegenereerd met behulp van de beveiligingscontext van de abonneer.

Met de tenantinstelling Voor e-mailabonnementen kunnen Power BI-beheerders bepalen of deze functie is ingeschakeld of uitgeschakeld voor de hele organisatie.

Er zijn enkele beperkingen met betrekking tot bijlagen met betrekking tot licentie- en tenantinstellingsbeperkingen. Zie E-mailabonnementen voor rapporten en dashboards in de Power BI-service voor meer informatie.

Controlelijst : bij het plannen van publicatie van inhoud zijn belangrijke beslissingen en acties:

• Bepaal de strategie voor waar inhoud moet worden gepubliceerd, hoe en door wie: Bepaal welke voorkeuren en vereisten er bestaan voor waar inhoud wordt gepubliceerd.
• Toegang tot werkruimte controleren: controleer de ontwerpbenadering van de werkruimte. Controleer hoe u de toegangsrollen voor werkruimten gebruikt om uw strategie te ondersteunen voor waar inhoud moet worden gepubliceerd.
• Bepaal hoe u machtigingen voor de implementatiepijplijn kunt afhandelen: bepaal welke gebruikers inhoud mogen publiceren met behulp van een implementatiepijplijn. Stel de machtigingen voor de implementatiepijplijn dienovereenkomstig in. Zorg ervoor dat er ook toegang tot de werkruimte wordt geboden.
• Bepaal wie verbinding kan maken met semantische modellen met behulp van het XMLA-eindpunt: bepaal welke gebruikers semantische modellen mogen opvragen of beheren met behulp van het XMLA-eindpunt. Stel de XMLA-eindpunten toestaan en Analyseren in Excel in met de tenantinstelling on-premises semantische modellen om te voldoen aan deze beslissing. Wanneer u besluit deze mogelijkheid te beperken, kunt u overwegen een groep te gebruiken zoals door Power BI goedgekeurde makers van inhoud.
• Bepaal wie rapporten openbaar kan publiceren: bepaal welke gebruikers Power BI-rapporten openbaar mogen publiceren, indien van toepassing. Stel de instelling Publiceren naar webtenant in op overeenstemming met deze beslissing. Gebruik een groep, zoals openbare Power BI-publicatie.
• Bepaal wie inhoud kan insluiten in aangepaste apps: bepaal wie inhoud mag insluiten buiten de Power BI-service. Stel de instelling Inhoud insluiten in de tenantinstelling van apps in zodat deze wordt afgestemd op deze beslissing.
• Bepaal wie inhoud kan insluiten in PowerPoint: bepaal wie inhoud mag insluiten in PowerPoint. Stel de instelling Power BI-invoegtoepassing inschakelen voor PowerPoint-tenant in om te voldoen aan deze beslissing.
• Bepaal wie sjabloon-apps kan publiceren: bepaal wat uw strategie is voor het gebruik van sjabloon-apps buiten de organisatie. Stel de tenantinstelling Sjabloon-apps publiceren in op overeenstemming met deze beslissing.
• Bepaal of u abonnementen wilt inschakelen: controleer wat uw strategie is voor het gebruik van abonnementen. Stel de tenantinstelling Voor e-mailabonnementen in op overeenstemming met deze beslissing.

Gegevens vernieuwen

Zodra gegevens zijn gepubliceerd, moeten gegevensmakers ervoor zorgen dat hun semantische modellen en gegevensstromen (die geïmporteerde gegevens bevatten) periodiek worden vernieuwd. U moet ook beslissen over de juiste strategieën voor de eigenaren van het semantische model en de gegevensstroom.

Semantische modeleigenaar

Elk semantisch model heeft een eigenaar, een enkel gebruikersaccount. De eigenaar van het semantische model is vereist om semantische modelvernieuwing in te stellen en semantische modelparameters in te stellen.

De semantische modeleigenaar ontvangt standaard ook toegangsaanvragen van rapportmakers die samenstellingsmachtigingen willen (tenzij de instellingen voor toegang aanvragen voor het semantische model zijn ingesteld om aangepaste instructies te geven). Zie de sectie Toegang aanvragen voor makers in dit artikel voor meer informatie.

Er zijn twee manieren waarop Power BI referenties kan verkrijgen om een semantisch model te vernieuwen.

• De eigenaar van het semantische model slaat referenties op in de semantische modelinstellingen.
• De eigenaar van het semantische model verwijst naar een gateway in de semantische modelinstellingen (die een gegevensbron met opgeslagen referenties bevat).

Als een andere gebruiker vernieuwing moet instellen of semantische modelparameters moet instellen, moet deze eigenaar worden van het semantische model. Het eigendom van een semantisch model kan worden overgenomen door een werkruimtebeheerder, lid of inzender.

Let op

Als u het eigendom van een semantisch model gebruikt, worden alle opgeslagen referenties voor het semantische model definitief verwijderd. Referenties moeten opnieuw worden ingevoerd om bewerkingen voor gegevensvernieuwing te kunnen hervatten.

Idealiter is de eigenaar van het semantische model de gebruiker die verantwoordelijk is voor het semantische model. U moet de eigenaar van het semantische model bijwerken wanneer ze de organisatie verlaten of rollen wijzigen. Houd er ook rekening mee dat wanneer het gebruikersaccount van de semantische modeleigenaar is uitgeschakeld in Microsoft Entra-id (voorheen Azure Active Directory), gegevensvernieuwing automatisch wordt uitgeschakeld. In dit geval moet een andere gebruiker eigenaar worden van het semantische model om bewerkingen voor gegevensvernieuwing te kunnen hervatten.

Eigenaar van gegevensstroom

Net als bij semantische modellen hebben gegevensstromen ook een eigenaar, een enkel gebruikersaccount. De informatie en richtlijnen in het vorige onderwerp over semantische modeleigenaren zijn ook van toepassing op eigenaren van gegevensstromen.

Controlelijst : bij het plannen van beveiliging met betrekking tot processen voor het vernieuwen van gegevens, zijn belangrijke beslissingen en acties:

• Beslis over de strategie voor semantische modeleigenaren: Bepaal welke voorkeuren en vereisten er bestaan voor het beheren van semantische modeleigenaren.
• Bepaal de strategie voor eigenaren van gegevensstromen: bepaal welke voorkeuren en vereisten er bestaan voor het beheren van eigenaren van gegevensstromen.
• Opnemen in documentatie en training voor semantische modelmakers: neem richtlijnen op voor uw makers van gegevens over het beheren van eigenaren voor elk type item.

Gerelateerde inhoud

Zie de onderwerpen die u moet overwegen voor andere overwegingen, acties, besluitvormingscriteria en aanbevelingen om u te helpen bij beslissingen over de implementatie van Power BI.