Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Fabric ma elastyczny model uprawnień, który umożliwia kontrolowanie dostępu do danych w organizacji. W tym artykule opisano różne typy uprawnień w usłudze Fabric oraz sposób ich współpracy w celu kontrolowania dostępu do danych w organizacji.
Obszar roboczy to jednostka logiczna do grupowania elementów w Fabric. Role obszaru roboczego definiują uprawnienia dostępu dla obszarów roboczych. Chociaż elementy są przechowywane w jednym obszarze roboczym, mogą być udostępniane innym użytkownikom w sieci Szkieletowej. Gdy udostępniasz elementy Fabric, możesz zdecydować, które uprawnienia nadać użytkownikowi, z którym udostępniasz element. Niektóre elementy, takie jak raporty usługi Power BI, umożliwiają jeszcze bardziej szczegółową kontrolę nad danymi. Raporty można skonfigurować tak, aby w zależności od ich uprawnień użytkownicy, którzy je wyświetlają, widzieli tylko część przechowywanych danych.
Role obszaru roboczego
Role obszaru roboczego służą do kontrolowania dostępu do obszarów roboczych i zawartości w nich. Administrator sieci szkieletowej może przypisywać role obszaru roboczego do poszczególnych użytkowników lub grup. Role obszaru roboczego są ograniczone do określonego obszaru roboczego i nie mają zastosowania do innych obszarów roboczych, pojemności, w których znajduje się obszar roboczy, ani dzierżawy.
Istnieją cztery role obszaru roboczego i mają zastosowanie do wszystkich elementów w obszarze roboczym. Użytkownicy, którzy nie mają żadnej z tych ról, nie mogą uzyskać dostępu do obszaru roboczego. Istnieją następujące role:
Osoba przeglądająca — może wyświetlać całą zawartość w obszarze roboczym, ale nie może jej modyfikować.
Współautor — może wyświetlać i modyfikować całą zawartość w obszarze roboczym.
Członek — może wyświetlać, modyfikować i udostępniać całą zawartość w obszarze roboczym.
Administrator — może wyświetlać, modyfikować, udostępniać i zarządzać całą zawartością w obszarze roboczym, w tym zarządzać uprawnieniami.
W tej tabeli przedstawiono niewielki zestaw możliwości, które ma każda rola. Aby uzyskać pełną i bardziej szczegółową listę, zobacz Role obszaru roboczego usługi Microsoft Fabric.
| Zdolność | Administracja | Członek | Współautor | Przeglądarka |
|---|---|---|---|---|
| Usuwanie obszaru roboczego | ✅ | ❌ | ❌ | ❌ |
| Dodawanie administratorów | ✅ | ❌ | ❌ | ❌ |
| Dodaj członków | ✅ | ✅ | ❌ | ❌ |
| Zapisywanie danych | ✅ | ✅ | ✅ | ❌ |
| Tworzenie elementów | ✅ | ✅ | ✅ | ❌ |
| Odczyt danych | ✅ | ✅ | ✅ | ✅ |
Uprawnienia do elementu
Uprawnienia elementu służą do kontrolowania dostępu do poszczególnych elementów Fabric w przestrzeni roboczej. Uprawnienia do elementu są ograniczone do określonego elementu i nie mają zastosowania do innych elementów. Uprawnienia do elementów umożliwiają kontrolowanie, kto może wyświetlać, modyfikować i zarządzać poszczególnymi elementami w obszarze roboczym. Uprawnienia do elementów umożliwiają użytkownikowi dostęp do pojedynczego elementu w obszarze roboczym, do którego nie mają dostępu.
Gdy udostępniasz element użytkownikowi lub grupie, możesz skonfigurować uprawnienia do elementu. Udostępnianie elementu domyślnie przyznaje użytkownikowi uprawnienie do odczytu dla tego elementu. Uprawnienia do odczytu umożliwiają użytkownikom wyświetlanie metadanych dla tego elementu i wyświetlanie skojarzonych z nim raportów. Jednak uprawnienia do odczytu nie zezwalają użytkownikom na dostęp do danych bazowych w usługach SQL lub OneLake. Jeśli na przykład udostępnisz raport usługi Power BI, który korzysta z trybu DirectLake, odbiorca może wyświetlić raport, ale musi również mieć uprawnienia do danych Usługi OneLake, aby bezpośrednio wykonywać zapytania dotyczące bazowych tabel delty. W przypadku scenariuszy wymagających dokładniejszego dostępu do danych należy przyznać dodatkowe uprawnienia na poziomie obliczeniowym za pośrednictwem punktu końcowego analizy SQL lub zabezpieczeń modelu semantycznego.
Różne elementy Fabric mają różne uprawnienia. Aby dowiedzieć się więcej o uprawnieniach dla każdego elementu, zobacz:
Uprawnienia obliczeniowe
Uprawnienia można również ustawić w ramach określonego modułu obliczeniowego na platformie Fabric, w szczególności za pośrednictwem punktu końcowego analiz SQL lub w modelu semantycznym. Uprawnienia aparatu obliczeniowego umożliwiają bardziej szczegółową kontrolę dostępu do danych, taką jak zabezpieczenia na poziomie tabeli i wiersza.
Punkt końcowy analizy SQL — punkt końcowy analizy SQL zapewnia bezpośredni dostęp SQL do tabel w usłudze OneLake i może mieć zabezpieczenia skonfigurowane natywnie za pomocą poleceń SQL. Te uprawnienia dotyczą tylko zapytań wykonanych za pośrednictwem języka SQL.
Model semantyczny — modele semantyczne umożliwiają definiowanie zabezpieczeń przy użyciu języka DAX. Ograniczenia zdefiniowane przy użyciu języka DAX dotyczą użytkowników wykonujących zapytania za pośrednictwem modelu semantycznego lub raportów usługi Power BI opartych na modelu semantycznym.
Więcej informacji można znaleźć w następujących artykułach:
Zabezpieczenia OneLake
Usługa OneLake ma własne uprawnienia do zarządzania dostępem do tabel i folderów w usłudze OneLake za pośrednictwem zabezpieczeń usługi OneLake. Zabezpieczenia oneLake umożliwiają użytkownikom tworzenie ról niestandardowych w usłudze Lakehouse i udzielanie uprawnień do odczytu tylko określonym tabelom i folderom podczas uzyskiwania dostępu do usługi OneLake. Dla każdej roli OneLake można przypisywać użytkowników, grupy zabezpieczeń lub przyznać automatyczne przypisanie na podstawie roli w przestrzeni roboczej.
Dowiedz się więcej na temat modelu kontroli dostępu do danych w usłudze OneLake i zapoznaj się z przewodnikami z instrukcjami.
Współużytkowanie danych między dzierżawami i skróty OneLake
Skróty OneLake nie kopiują danych; dostęp jest realizowany bezpośrednio w źródle. W przypadku udostępniania danych między dzierżawcami Microsoft Entra przy użyciu udostępniania danych OneLake, użytkownicy zewnętrzni muszą mieć odpowiednie uprawnienia do tabeli lub folderu OneLake, aby uzyskać dostęp do udostępnionych danych. Skróty odwołujące się do danych udostępnionych między różnymi dzierżawcami są zgodne z tym samym modelem uprawnień: dzierżawa źródłowa kontroluje dostęp, a użytkownicy dzierżawy, które korzystają z tych danych muszą mieć wyraźnie nadane uprawnienia usługi OneLake przez właściciela danych.
Kolejność operacji
Sieć szkieletowa ma trzy różne poziomy zabezpieczeń. Aby uzyskać dostęp do danych, użytkownik musi mieć dostęp na każdym poziomie. Każdy poziom ocenia sekwencyjnie, aby określić, czy użytkownik ma dostęp. Reguły zabezpieczeń, takie jak zasady usługi Microsoft Information Protection, analizowane są na danym poziomie w celu przyznania lub odmowy dostępu. Kolejność operacji podczas oceniania zabezpieczeń sieci Fabric to:
- Uwierzytelnianie Entra: Sprawdza, czy użytkownik może uwierzytelnić się w dzierżawie Microsoft Entra.
- Dostęp do Fabric: sprawdza, czy użytkownik może uzyskać dostęp do usługi Microsoft Fabric.
- Zabezpieczenia danych: sprawdza, czy użytkownik może wykonać żądaną akcję w tabeli lub pliku.
W scenariuszach dostępu między dzierżawcami użytkownicy najpierw uwierzytelniają się w swojej macierzystej dzierżawie Microsoft Entra. Następnie Fabric sprawdza, czy użytkownik otrzymał dostęp do udostępnionych danych w dzierżawie źródłowej za pośrednictwem uprawnień do udostępniania danych usługi OneLake.
Przykłady
Ta sekcja zawiera dwa przykłady, jak można konfigurować uprawnienia w Fabric.
Przykład 1. Konfigurowanie uprawnień zespołu
Wingtip Toys jest skonfigurowane z jednym najemcą dla całej organizacji i trzema zasobami. Każda pojemność reprezentuje inny region. Wingtip Toys działa w Stany Zjednoczone, Europie i Azji. Każda pojemność ma obszar roboczy dla każdego działu w organizacji, w tym działu sprzedaży.
Dział sprzedaży ma kierownika, kierownika zespołu sprzedaży i członków zespołu sprzedaży. Wingtip Toys zatrudnia również jednego analityka dla całej organizacji.
W poniższej tabeli przedstawiono wymagania dotyczące poszczególnych ról w dziale sprzedaży oraz sposób konfigurowania uprawnień w celu ich włączenia.
| Rola | Wymaganie | Ustawienia |
|---|---|---|
| Menedżer | Wyświetlanie i modyfikowanie całej zawartości w dziale sprzedaży w całej organizacji | Rola członka we wszystkich obszarach roboczych związanych ze sprzedażą w organizacji |
| Lider zespołu | Wyświetlanie i modyfikowanie całej zawartości w dziale sprzedaży w określonym regionie | Rola członka obszaru roboczego sprzedaży w regionie |
| Członek zespołu ds. sprzedaży | ||
| Analityk | Wyświetlanie całej zawartości w dziale sprzedaży w całej organizacji | Rola przeglądającego dla wszystkich przestrzeni roboczych sprzedaży w organizacji |
Wingtip ma również kwartalny raport, który zawiera listę przychodów ze sprzedaży na członka sprzedaży. Ten raport jest przechowywany w obszarze roboczym finansów. Korzystając z zabezpieczeń na poziomie wiersza, raport jest konfigurowany tak, aby każdy członek sprzedaży mógł zobaczyć tylko własne dane sprzedaży. Liderzy zespołów mogą zobaczyć wyniki sprzedaży wszystkich pracowników działu sprzedaży w ich regionie, a menedżer sprzedaży może zobaczyć wyniki sprzedaży wszystkich pracowników działu sprzedaży w organizacji.
Przykład 2: Uprawnienia obszaru roboczego i elementu
Gdy udostępnisz element lub zmienisz jego uprawnienia, role obszaru roboczego nie zmieniają się. Przykład w tej sekcji pokazuje, jak uprawnienia obszarów roboczych i elementów wchodzą w interakcję.
Veronica i Marty współpracują ze sobą. Veronica jest właścicielem raportu, który chce podzielić się z Martą. Jeśli Veronica udostępni raport Marty, Marty będzie mogła uzyskać do niego dostęp niezależnie od roli obszaru roboczego, którą ma.
Załóżmy, że Marta ma rolę przeglądającej w obszarze roboczym, w którym jest przechowywany raport. Jeśli Veronica zdecyduje się usunąć uprawnienia do elementów w raporcie, Marta nadal będzie mogła wyświetlać raport w obszarze roboczym. Marta będzie również mogła otworzyć raport z przestrzeni roboczej i wyświetlić jego zawartość. Dzieje się tak, ponieważ Marta ma uprawnienia do wyświetlania obszaru roboczego.
Jeśli Veronica nie chce, aby Marta wyświetlała raport, usunięcie uprawnień Marty z raportu nie wystarczy. Veronica musi również usunąć uprawnienia widza Marty z obszaru roboczego. Bez uprawnień przeglądającego obszar roboczy Marta nie będzie mogła zobaczyć, że raport istnieje, ponieważ nie będzie mogła uzyskać dostępu do obszaru roboczego. Marty również nie będzie mogła korzystać z linku do sprawozdania, ponieważ nie ma dostępu do raportu.
Teraz, gdy Marta nie ma roli widza obszaru roboczego, jeśli Veronica zdecyduje się ponownie udostępnić jej raport, Marta będzie mogła go wyświetlić za pomocą linku udostępnionego przez Veronicę, bez dostępu do obszaru roboczego.
Przykład 3. Uprawnienia aplikacji Power BI
Podczas udostępniania raportów usługi Power BI często chcesz, aby adresaci mieli dostęp tylko do raportów, a nie do elementów w obszarze roboczym. W tym celu możesz używać aplikacji usługi Power BI lub udostępniać raporty bezpośrednio użytkownikom.
Ponadto można ograniczyć dostęp osoby przeglądającej do danych przy użyciu zabezpieczeń na poziomie wiersza(RLS), a zabezpieczenia na poziomie wiersza umożliwiają tworzenie ról, które mają dostęp do niektórych części danych, oraz ograniczanie wyników zwracanych tylko do tożsamości użytkownika.
Działa to dobrze w przypadku korzystania z modeli importu, ponieważ dane są importowane w modelu semantycznym, a adresaci mają dostęp do tego w ramach aplikacji. Dzięki DirectLake raport odczytuje dane bezpośrednio z Lakehouse, a odbiorca raportu musi mieć dostęp do tych plików w Lakehouse. Można to zrobić na kilka sposobów:
- Nadaj
ReadDatauprawnienia bezpośrednio na Lakehouse. - Przełącz poświadczenie źródła danych z Logowanie jednokrotne (SSO) na stałą tożsamość, która ma dostęp do plików w jeziorze danych.
Ponieważ RLS jest definiowane w Modelu Semantycznym, dane będą najpierw odczytywane, a następnie wiersze będą filtrowane.
Jeśli jakiekolwiek zabezpieczenia są zdefiniowane w punkcie końcowym analizy SQL, na podstawie którego jest tworzony raport, zapytania automatycznie wracają do trybu DirectQuery. Jeśli nie chcesz tego domyślnego zachowania rezerwowego, możesz utworzyć nowy Lakehouse przy użyciu skrótów do tabel w oryginalnym Lakehouse i nie definiować RLS ani OLS w SQL w nowym Lakehouse.
Uwaga / Notatka
W scenariuszach obejmujących wiele dzierżaw, w których raport usługi Power BI używa trybu DirectLake i odwołuje się do danych udostępnionych za pośrednictwem usługi OneLake, odbiorca zewnętrzny musi mieć uprawnienia do odczytu na poziomie elementu w raporcie i uprawnienia do danych OneLake w tabelach udostępnionych w dzierżawie źródłowej.