Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Fabric tem um modelo de permissão flexível que permite controlar o acesso aos dados em sua organização. Este artigo explica os diferentes tipos de permissões no Fabric e como eles funcionam juntos para controlar o acesso aos dados em sua organização.
Um espaço de trabalho é uma entidade lógica para agrupar itens no Fabric. As funções de espaço de trabalho definem permissões de acesso para espaços de trabalho. Embora os itens sejam armazenados em um espaço de trabalho, eles podem ser compartilhados com outros usuários no Fabric. Ao compartilhar itens do Fabric, você pode decidir quais permissões conceder ao usuário com quem está compartilhando o item. Determinados itens, como relatórios do Power BI, permitem um controle ainda mais granular dos dados. Os relatórios podem ser configurados para que, dependendo de suas permissões, os usuários que os visualizam vejam apenas uma parte dos dados que possuem.
Funções do espaço de trabalho
As funções de espaço de trabalho são usadas para controlar o acesso aos espaços de trabalho e o conteúdo dentro deles. Um administrador do Fabric pode atribuir funções de espaço de trabalho a usuários ou grupos individuais. As funções de espaço de trabalho são confinadas a um espaço de trabalho específico e não se aplicam a outros espaços de trabalho, à capacidade em que o espaço de trabalho está ou ao locatário.
Há quatro funções de Espaço de Trabalho e elas se aplicam a todos os itens dentro do espaço de trabalho. Os usuários que não têm nenhuma dessas funções não podem acessar o espaço de trabalho. As funções são:
Espectador - Pode visualizar todo o conteúdo no espaço de trabalho, mas não pode modificá-lo.
Contribuidor - Pode visualizar e modificar todo o conteúdo no espaço de trabalho.
Membro - Pode visualizar, modificar e compartilhar todo o conteúdo no espaço de trabalho.
Administrador - Pode visualizar, modificar, compartilhar e gerenciar todo o conteúdo no espaço de trabalho, incluindo o gerenciamento de permissões.
Esta tabela mostra um pequeno conjunto das capacidades que cada função tem. Para obter uma lista completa e mais detalhada, consulte funções de espaço de trabalho do Microsoft Fabric.
| Capacidade | Administrador | Membro | Colaborador | Visualizador |
|---|---|---|---|---|
| Excluir espaço de trabalho | ✅ | ❌ | ❌ | ❌ |
| Adicionar administradores | ✅ | ❌ | ❌ | ❌ |
| Adicionar membros | ✅ | ✅ | ❌ | ❌ |
| Gravar dados | ✅ | ✅ | ✅ | ❌ |
| Criar itens | ✅ | ✅ | ✅ | ❌ |
| Ler dados | ✅ | ✅ | ✅ | ✅ |
Permissões de item
As permissões de item são usadas para controlar o acesso a itens individuais do Fabric em um espaço de trabalho. As permissões de item são limitadas a um item específico e não se aplicam a outros itens. Use permissões de item para controlar quem pode visualizar, modificar e gerenciar itens individuais em um espaço de trabalho. Você pode usar permissões de item para conceder a um usuário acesso a um único item em um espaço de trabalho ao qual ele não tem acesso.
Ao compartilhar o item com um usuário ou grupo, você pode configurar permissões de item. O compartilhamento de um item concede ao usuário a permissão de leitura para esse item por padrão. As permissões de leitura permitem que os usuários vejam os metadados desse item e exibam todos os relatórios associados a ele. No entanto, as permissões de leitura não permitem que os usuários acessem dados subjacentes no SQL ou no OneLake. Por exemplo, se você compartilhar um relatório do Power BI que usa o modo DirectLake, o destinatário poderá exibir o relatório, mas também deverá ter permissões de dados do OneLake para consultar diretamente as tabelas Delta subjacentes. Para cenários que exigem acesso a dados mais profundos, conceda permissões adicionais em nível de computação por meio do ponto de extremidade de análise do SQL ou da segurança do modelo semântico.
Diferentes itens do Fabric têm permissões diferentes. Para saber mais sobre as permissões para cada item, consulte:
Permissões de computação
As permissões também podem ser definidas em um mecanismo de computação específico no Fabric, especificamente por meio do ponto de extremidade de análise do SQL ou em um modelo semântico. As permissões do mecanismo de computação permitem um controle de acesso a dados mais granular, como segurança em nível de tabela e linha.
Ponto de extremidade de análise SQL - O ponto de extremidade de análise SQL fornece acesso SQL direto a tabelas no OneLake e pode ter a segurança configurada nativamente através de comandos SQL. Essas permissões só se aplicam a consultas feitas por meio de SQL.
Modelo semântico - Os modelos semânticos permitem que a segurança seja definida usando DAX. As restrições definidas usando o DAX se aplicam aos usuários que consultam por meio do modelo semântico ou dos relatórios do Power BI criados no modelo semântico.
Você pode encontrar mais informações nos seguintes artigos:
Segurança do OneLake
O OneLake tem suas próprias permissões para controlar o acesso a tabelas e pastas no OneLake por meio da segurança do OneLake. A segurança do OneLake permite que os usuários criem funções personalizadas em um lakehouse e concedam permissões de leitura somente para as tabelas e pastas especificadas ao acessar o OneLake. Os usuários podem atribuir usuários, grupos de segurança ou conceder uma atribuição automática com base na função de espaço de trabalho para cada função do OneLake.
Saiba mais sobre o Modelo de Controle de Acesso a Dados OneLake e veja os guias de instruções.
Compartilhamento de dados entre locatários e atalhos do OneLake
Os atalhos do OneLake não copiam dados; o acesso é garantido diretamente na origem. Quando você compartilha dados entre locatários do Microsoft Entra usando o compartilhamento de dados do OneLake, os usuários externos devem receber permissões de tabela ou pasta apropriadas do OneLake para acessar os dados compartilhados. Os atalhos que fazem referência aos dados compartilhados entre locatários seguem o mesmo modelo de permissão: o locatário de origem controla o acesso e os usuários do locatário consumidor devem ter permissões explícitas do OneLake concedidas pelo proprietário dos dados.
Ordem de operação
O Fabric tem três níveis de segurança diferentes. Um usuário deve ter acesso em cada nível para acessar os dados. Cada nível é avaliado sequencialmente para determinar se um usuário tem acesso. As regras de segurança, como as políticas de Proteção de Informações da Microsoft, são avaliadas em um determinado nível para permitir ou não o acesso. A ordem de operação ao avaliar a segurança do Fabric é:
- Autenticação do Entra: verifica se o usuário é capaz de autenticar-se no tenant do Microsoft Entra.
- Acesso à Fabrci: verifica se o usuário pode acessar o Microsoft Fabric.
- Segurança de dados: verifica se o usuário pode executar a ação solicitada em uma tabela ou arquivo.
Para cenários de acesso entre locatários, os usuários primeiro se autenticam no locatário de origem do Microsoft Entra. Em seguida, o Fabric valida que o usuário recebeu acesso aos dados compartilhados no locatário de origem por meio de permissões de compartilhamento de dados do OneLake.
Exemplos
Esta seção fornece dois exemplos de como permissões podem ser configuradas no Fabric.
Exemplo 1: Configurando permissões de equipe
A Wingtip Toys é configurada com um locatário para toda a organização e três capacidades. Cada capacidade representa uma região diferente. A Wingtip Toys opera nos Estados Unidos, Europa e Ásia. Cada capacidade tem um espaço de trabalho para cada departamento da organização, incluindo o departamento de vendas.
O departamento de vendas tem um gerente, um líder de equipe de vendas e membros da equipe de vendas. A Wingtip Toys também emprega um analista para toda a organização.
A tabela a seguir mostra os requisitos para cada função no departamento de vendas e como as permissões são configuradas para habilitá-las.
| Função | Requisito | Instalação |
|---|---|---|
| Gerente | Visualizar e modificar todo o conteúdo do departamento de vendas em toda a organização | Uma função de membro para todos os espaços de trabalho de vendas na organização |
| Líder de equipe | Visualizar e modificar todo o conteúdo do departamento de vendas em uma região específica | Uma função de membro para o espaço de trabalho de vendas na região |
| Membro da equipe de vendas | ||
| Analista | Visualizar todo o conteúdo do departamento de vendas em toda a organização | Uma função de espectador para todos os espaços de trabalho de venda na organização |
A Wingtip também tem um relatório trimestral que lista sua receita de vendas por membro de vendas. Esse relatório é armazenado em um espaço de trabalho financeiro. Usando a segurança em nível de linha, o relatório é configurado para que cada membro de vendas só possa ver seus próprios números de vendas. Os líderes de equipe podem ver os números de vendas de todos os membros de vendas em sua região e o gerente de vendas pode ver os números de vendas de todos os membros de vendas na organização.
Exemplo 2: Permissões de espaço de trabalho e item
Quando você compartilha um item ou altera suas permissões, as funções do espaço de trabalho não mudam. O exemplo nesta seção mostra como as permissões de espaço de trabalho e de item interagem.
Verônica e Marta trabalham juntas. Verónica é proprietária de um relatório que ela quer partilhar com Marta. Se Verônica compartilhar o relatório com Marta, Marta poderá acessá-lo independentemente da função que desempenhe no espaço de trabalho.
Digamos que Marta tenha a função de espectadora no espaço de trabalho em que o relatório é armazenado. Se Verônica decidir remover do relatório as permissões de item de Marta, Marta continuará podendo visualizar o relatório no espaço de trabalho. Marta também poderá abrir o relatório no espaço de trabalho e visualizar o seu conteúdo. Isso porque Marta tem permissão de visualização para o espaço de trabalho.
Se Verônica não quiser que Marta exiba o relatório, não será suficiente que ela remova do relatório as permissões de item de Marta. Verônica também precisa remover as permissões de visualização de Marta no espaço de trabalho. Sem as permissões de visualização do espaço de trabalho, Marta não conseguirá ver que o relatório existe, pois não poderá acessar o espaço de trabalho. Marta também não poderá usar o link para o relatório, porque não terá acesso a ele.
Agora que Marta não tem a função de visualizador do espaço de trabalho, se Verônica decidir compartilhar o relatório com ela novamente, Marta poderá visualizá-lo por meio do link que Verônica compartilhar com ela, sem ter acesso ao espaço de trabalho.
Exemplo 3: permissões do aplicativo Power BI
Ao compartilhar relatórios do Power BI, você geralmente deseja que seus destinatários tenham acesso apenas aos relatórios e não aos itens no espaço de trabalho. Para isso, você pode usar aplicativos do Power BI ou compartilhar relatórios diretamente com os usuários.
Além disso, você pode limitar o acesso do visualizador aos dados usando a segurança em nível de linha (RLS) com o RLS você pode criar funções que têm acesso a determinadas partes de seus dados e limitar os resultados retornando apenas o que a identidade do usuário pode acessar.
Isso funciona bem ao usar modelos de importação, pois os dados são importados no modelo semântico e os destinatários têm acesso a isso como parte do aplicativo. Com o DirectLake, o relatório lê os dados diretamente do Lakehouse e o destinatário do relatório precisa ter acesso a esses arquivos no lago. Você pode fazer isso de várias maneiras:
- Dê diretamente
ReadDatapermissão no Lakehouse. - Trocar a credencial da fonte de dados do Logon único (SSO) para uma identidade fixa que tem acesso aos arquivos no lago.
Como a RLS é definida no Modelo Semântico, os dados serão lidos primeiro e, em seguida, as linhas serão filtradas.
Se alguma segurança for definida no ponto de extremidade de análise do SQL no qual o relatório é criado, as consultas retornarão automaticamente para o modo DirectQuery. Se você não quiser esse comportamento de fallback padrão, poderá criar um novo Lakehouse usando atalhos para as tabelas no Lakehouse original e não definir RLS ou OLS em SQL no novo Lakehouse.
Observação
Em cenários entre locatários em que um relatório do Power BI usa o modo DirectLake e faz referência aos dados compartilhados por meio do OneLake, o destinatário externo deve ter permissões de leitura no nível do item no relatório e permissões de dados do OneLake nas tabelas compartilhadas no locatário de origem.