Machtigingsmodel

Microsoft Fabric heeft een flexibel machtigingsmodel waarmee u de toegang tot gegevens in uw organisatie kunt beheren. In dit artikel worden de verschillende typen machtigingen in Fabric uitgelegd en hoe ze samenwerken om de toegang tot gegevens in uw organisatie te beheren.

Een werkruimte is een logische entiteit voor het groeperen van items in Fabric. Werkruimterollen definiëren toegangsmachtigingen voor werkruimten. Hoewel items in één werkruimte worden opgeslagen, kunnen ze worden gedeeld met andere gebruikers in Fabric. Wanneer u Fabric-items deelt, kunt u bepalen met welke machtigingen de gebruiker met wie u het item deelt. Bepaalde items, zoals Power BI-rapporten, bieden nog meer gedetailleerde controle over gegevens. Rapporten kunnen zo worden ingesteld dat gebruikers die ze bekijken alleen een deel van de gegevens zien die ze bewaren, afhankelijk van hun machtigingen.

Werkruimterollen

Werkruimterollen worden gebruikt om de toegang tot werkruimten en de inhoud erin te beheren. Een Fabric-beheerder kan werkruimterollen toewijzen aan afzonderlijke gebruikers of groepen. Werkruimterollen zijn beperkt tot een specifieke werkruimte en zijn niet van toepassing op andere werkruimten, de capaciteit waarin de werkruimte zich bevindt of de tenant.

Er zijn vier werkruimterollen en ze zijn van toepassing op alle items in de werkruimte. Gebruikers die geen van deze rollen hebben, hebben geen toegang tot de werkruimte. De rollen zijn:

• Viewer : kan alle inhoud in de werkruimte weergeven, maar kan deze niet wijzigen.

• Inzender : kan alle inhoud in de werkruimte weergeven en wijzigen.

• Lid : kan alle inhoud in de werkruimte weergeven, wijzigen en delen.

• Beheerder : kan alle inhoud in de werkruimte weergeven, wijzigen, delen en beheren, inclusief het beheren van machtigingen.

In deze tabel ziet u een kleine set mogelijkheden die elke rol heeft. Zie De werkruimterollen van Microsoft Fabric voor een volledige en gedetailleerdere lijst.

Mogelijkheid	Beheerder	Lid	Inzender	Kijker
De werkruimte verwijderen	✅	❌	❌	❌
Beheerders toevoegen	✅	❌	❌	❌
Leden toevoegen	✅	✅	❌	❌
Gegevens schrijven	✅	✅	✅	❌
Items maken	✅	✅	✅	❌
Gegevens lezen	✅	✅	✅	✅

Itemmachtigingen

Itemmachtigingen worden gebruikt om de toegang tot afzonderlijke Fabric-items in een werkruimte te beheren. Itemmachtigingen zijn beperkt tot een specifiek item en zijn niet van toepassing op andere items. Gebruik itemmachtigingen om te bepalen wie afzonderlijke items in een werkruimte kan bekijken, wijzigen en beheren. U kunt itemmachtigingen gebruiken om een gebruiker toegang te geven tot één item in een werkruimte waartoe ze geen toegang hebben.

Wanneer u het item deelt met een gebruiker of groep, kunt u itemmachtigingen configureren. Als u een item deelt, krijgt de gebruiker standaard de leesmachtiging voor dat item. Met leesmachtigingen kunnen gebruikers de metagegevens voor dat item bekijken en eventuele rapporten bekijken die eraan zijn gekoppeld. Leesmachtigingen staan echter niet toe dat gebruikers toegang hebben tot onderliggende gegevens in SQL of OneLake.

Verschillende Fabric-items hebben verschillende machtigingen. Zie voor meer informatie over de machtigingen voor elk item:

• Semantisch model

• magazijn

• Data Factory

• Lakehouse

• Gegevenswetenschap

• Realtime intelligence

Rekenmachtigingen

Machtigingen kunnen ook worden ingesteld binnen een specifieke berekeningsengine in Fabric, met name via het SQL-analyse-eindpunt of in een semantisch model. Met machtigingen voor berekeningsengines kunt u een gedetailleerder toegangsbeheer voor gegevens, zoals beveiliging op tabel- en rijniveau, inschakelen.

• SQL-analyse-eindpunt: het SQL-analyse-eindpunt biedt directe SQL-toegang tot tabellen in OneLake en kan systeemeigen beveiliging hebben geconfigureerd via SQL-opdrachten. Deze machtigingen zijn alleen van toepassing op query's die zijn gemaakt via SQL.

• Semantisch model : met Semantische modellen kunt u beveiliging definiëren met behulp van DAX. Beperkingen die zijn gedefinieerd met DAX, zijn van toepassing op gebruikers die query's uitvoeren via het semantische model of Power BI-rapporten die zijn gebaseerd op het semantische model.

Meer informatie vindt u in deze artikelen:

• Beveiliging op rijniveau in Fabric-datawarehousing

• Beveiliging op rijniveau (RLS) met Power BI

• Beveiliging op objectniveau (OLS)

OneLake-machtigingen (rollen voor gegevenstoegang)

OneLake heeft zijn eigen machtigingen voor het beheren van toegang tot bestanden en mappen in OneLake via OneLake-rollen voor gegevenstoegang. Met OneLake-rollen voor gegevenstoegang kunnen gebruikers aangepaste rollen maken binnen een lakehouse en leesmachtigingen alleen verlenen aan de opgegeven mappen wanneer ze OneLake openen. Voor elke OneLake-rol kunnen gebruikers gebruikers, beveiligingsgroepen toewijzen of een automatische toewijzing verlenen op basis van de werkruimterol.

Meer informatie over OneLake Data Access Control Model en de handleidingen bekijken.

• Een lakehouse beveiligen voor Datawetenschap teams

• Een lakehouse beveiligen voor Databeheersysteem teams

• Gegevens beveiligen voor algemene gegevensarchitecturen

Volgorde van bewerking

Fabric heeft drie verschillende beveiligingsniveaus. Een gebruiker moet toegang hebben op elk niveau om toegang te krijgen tot de gegevens. Elk niveau evalueert opeenvolgend om te bepalen of een gebruiker toegang heeft. Beveiligingsregels zoals Microsoft Information Protection-beleid evalueren op een bepaald niveau om toegang toe te staan of te weigeren. De volgorde van de bewerking bij het evalueren van infrastructuurbeveiliging is:

1. Entra-verificatie: controleert of de gebruiker zich kan verifiëren bij de Microsoft Entra-tenant.
2. Infrastructuurtoegang: controleert of de gebruiker toegang heeft tot Microsoft Fabric.
3. Gegevensbeveiliging: controleert of de gebruiker de aangevraagde actie op een tabel of bestand kan uitvoeren.

Voorbeelden

Deze sectie bevat twee voorbeelden van hoe machtigingen kunnen worden ingesteld in Fabric.

Voorbeeld 1: Teammachtigingen instellen

Wingtip Toys is ingesteld met één tenant voor de hele organisatie en drie capaciteiten. Elke capaciteit vertegenwoordigt een andere regio. Wingtip Toys werkt in de Verenigde Staten, Europa en Azië. Elke capaciteit heeft een werkruimte voor elke afdeling in de organisatie, met inbegrip van de verkoopafdeling.

De verkoopafdeling heeft een manager, een verkoopteamleider en leden van het verkoopteam. Wingtip Toys maakt ook gebruik van één analist voor de hele organisatie.

In de volgende tabel ziet u de vereisten voor elke rol in de verkoopafdeling en hoe machtigingen zijn ingesteld om ze in te schakelen.

Role	Vereiste	Instellingen
Manager	Alle inhoud op de verkoopafdeling in de hele organisatie weergeven en wijzigen	Een lidrol voor alle verkoopwerkruimten in de organisatie
Teamleider	Alle inhoud van de verkoopafdeling in een specifieke regio weergeven en wijzigen	Een lidrol voor de verkoopwerkruimte in de regio
Lid van verkoopteam	Statistieken van andere verkoopleden in de regio weergeven Zijn eigen verkooprapport weergeven en wijzigen	Geen rollen voor een van de verkoopwerkruimten Toegang tot een specifiek rapport met de verkoopcijfers van het lid
Analist	Alle inhoud in de verkoopafdeling in de hele organisatie weergeven	Een viewerrol voor alle verkoopwerkruimten in de organisatie

Wingtip heeft ook een kwartaalrapport waarin de omzet per verkooplid wordt vermeld. Dit rapport wordt opgeslagen in een werkruimte voor financiën. Door beveiliging op rijniveau te gebruiken, wordt het rapport zo ingesteld dat elk verkooplid alleen zijn eigen verkoopcijfers kan zien. Teamleiders kunnen de verkoopcijfers van alle verkoopleden in hun regio zien en de verkoopmanager kan verkoopcijfers zien van alle verkoopleden in de organisatie.

Voorbeeld 2: Machtigingen voor werkruimten en items

Wanneer u een item deelt of de machtigingen ervan wijzigt, worden werkruimterollen niet gewijzigd. In het voorbeeld in deze sectie ziet u hoe werkruimte- en itemmachtigingen communiceren.

Veronica en Martha werken samen. Veronica is de eigenaar van een rapport dat ze wil delen met Martha. Als Veronica het rapport deelt met Martha, kan Microsoft Het rapport openen, ongeacht de werkruimterol die ze heeft.

Stel dat Het rapport een rol van kijker heeft in de werkruimte waarin het rapport is opgeslagen. Als Veronica besluit de itemmachtigingen van Het rapport te verwijderen, is Het rapport nog steeds zichtbaar in de werkruimte. Ook kan Microsoft het rapport openen vanuit de werkruimte en de inhoud ervan bekijken. Dit komt doordat Machtigingen voor weergave voor de werkruimte zijn ingeschakeld voor De Werkruimte.

Als Veronica het rapport niet wil bekijken, is het niet voldoende om de itemmachtigingen van Het rapport te verwijderen. Veronica moet ook de viewermachtigingen van Martha uit de werkruimte verwijderen. Zonder de machtigingen van de werkruimteviewer is het niet mogelijk om te zien dat het rapport bestaat omdat ze geen toegang heeft tot de werkruimte. Ook kan Microsoft de koppeling naar het rapport niet gebruiken, omdat ze geen toegang heeft tot het rapport.

Als Veronica besluit om het rapport opnieuw met haar te delen, kan Contoso het bekijken met behulp van de koppeling die Veronica met haar deelt, zonder toegang te hebben tot de werkruimte.

Voorbeeld 3: Power BI-app-machtigingen

Wanneer u Power BI-rapporten deelt, wilt u vaak dat uw geadresseerden alleen toegang hebben tot de rapporten en niet tot items in de werkruimte. Hiervoor kunt u Power BI-apps gebruiken of rapporten rechtstreeks delen met gebruikers.

Bovendien kunt u de toegang van viewer tot gegevens beperken met behulp van beveiliging op rijniveau (RLS), met RLS kunt u rollen maken die toegang hebben tot bepaalde delen van uw gegevens en de resultaten beperken die alleen retourneren waartoe de identiteit van de gebruiker toegang heeft.

Dit werkt prima wanneer u importmodellen gebruikt wanneer de gegevens worden geïmporteerd in het semantische model en de ontvangers toegang hebben tot dit als onderdeel van de app. Met DirectLake leest het rapport de gegevens rechtstreeks vanuit Lakehouse en moet de ontvanger van het rapport toegang hebben tot deze bestanden in het meer. U kunt dit op verschillende manieren doen:

• Geef ReadData rechtstreeks toestemming voor het Lakehouse.
• Schakel de gegevensbronreferentie van Single sign-on (SSO) over naar een vaste identiteit die toegang heeft tot de bestanden in de lake.

Omdat RLS is gedefinieerd in het Semantische model, worden de gegevens eerst gelezen en worden de rijen gefilterd.

Als er beveiliging is gedefinieerd in het SQL Analytics-eindpunt waarop het rapport is gebouwd, vallen de query's automatisch terug naar de DirectQuery-modus. Als u dit standaard terugvalgedrag niet wilt, kunt u een nieuw Lakehouse maken met behulp van snelkoppelingen naar de tabellen in het oorspronkelijke Lakehouse en geen RLS of OLS definiëren in SQL in de nieuwe Lakehouse.

Gerelateerde inhoud

• Basisprincipes van beveiliging

• Microsoft Fabric-licenties