Dela via

Dela dina data och hantera behörigheter

Gäller för:Warehouse och speglad databas i Microsoft Fabric

Delning är ett bekvämt sätt att ge användarna läsåtkomst till dina data för nedströmsförbrukning. Delning gör att nedströmsanvändare i din organisation kan använda ett lager med T-SQL, Spark eller Power BI. Du kan anpassa den behörighetsnivå som den delade mottagaren beviljas för att ge lämplig åtkomstnivå.

Note

Du måste vara administratör eller medlem på arbetsytan för att kunna dela ett objekt i Microsoft Fabric.

Kom igång

När du har identifierat lagerartikeln som du vill dela med en annan användare i din Fabric-arbetsyta, väljer du raden och Dela som snabbåtgärd.

Följande animerade gif granskar stegen för att välja ett lager som ska delas, väljer de behörigheter som ska tilldelas och beviljar sedan behörigheter till en annan användare.

Dela ett lager

  1. Du kan dela ditt lager från OneLake eller lagerobjektet genom att välja Dela från snabbåtgärdsmenyn, enligt markeringen i följande bild.

  2. Du uppmanas att välja vilka du vill dela lagret med, vilka behörigheter som ska beviljas och om de ska meddelas via e-post.

  3. Fyll i alla obligatoriska fält och välj Bevilja åtkomst.

  4. När den delade e-postmottagaren får e-postmeddelandet kan de välja Öppna och navigera till Warehouse OneLake-katalogsidan.

    Skärmbild som visar den delade användarens e-postavisering för ett delat lager.

  5. Beroende på vilken åtkomstnivå den delade mottagaren har beviljats kan den delade mottagaren nu ansluta till SQL-analysslutpunkten, fråga informationslagret, skapa rapporter eller läsa data via Spark.

Nätverkssäkerhetsroller

Här är mer information om var och en av de behörigheter som tillhandahålls:

  • Om inga ytterligare behörigheter har valts – Den delade mottagaren får som standard behörigheten "Läs", vilket endast tillåter mottagaren att ansluta till SQL-analysslutpunkten, motsvarande CONNECT-behörigheter i SQL Server. Den delade mottagaren kommer inte att kunna fråga någon tabell eller visa eller köra någon funktion eller lagrad procedur om de inte ges åtkomst till objekt i lagret med hjälp av T-SQL GRANT-instruktionen .

    Tips

    ReadData (används av lagret för T-SQL-behörigheter), ReadAll (används av OneLake och SQL-analysslutpunkten) och Build (används av Power BI) är separata behörigheter som inte överlappar varandra.

  • "Read all data using SQL" är markerat ("ReadData"-behörigheter) – Den delade mottagaren kan läsa alla tabeller och vyer i informationslagret i skrivskyddat läge. Den delade mottagaren kan också välja att kopiera den SQL-analysslutpunkt som tillhandahålls och ansluta till ett klientverktyg för att köra dessa frågor. ReadData motsvarar db_datareader roll i SQL Server. Om du vill begränsa och ge detaljerad åtkomst till vissa objekt i lagret kan du göra detta med hjälp av T-SQL-instruktionerGRANT/REVOKE/DENY.

    • I SQL-analysslutpunkten i Lakehouse motsvarar "Läs alla SQL-slutpunktsdata" "Läs alla data med SQL".

  • "Läs alla data med Apache Spark" är valt ("ReadAll"-behörighet) – Den delade mottagaren bör endast få behörigheten "ReadAll" om de vill ha fullständig åtkomst till ditt lagers filer med Spark-motor. En delad mottagare med ReadAll-behörigheter kan hitta ABFS-sökvägen (Azure Blob File System) till den specifika filen i OneLake från fönstret Egenskaper i lagerredigeraren. Den delade mottagaren kan sedan använda den här sökvägen i en Spark Notebook för att läsa dessa data. Mottagaren kan också prenumerera på OneLake-händelser som genererats för informationslagret i realtidshubben.

    • "Prenumerera på händelser" ("SubscribeOneLakeEvents"-behörigheter) – En delad mottagare med den här behörigheten kan prenumerera på OneLake-händelser som genererats för lagret i Fabric Real-Time Hub.

    Till exempel kan en användare med ReadAll-behörigheter köra frågor mot data i FactSale med en Spark-fråga i en ny notebook-fil.

  • "Bygg rapporter på standarddatamängden" ("Bygg"-behörigheter) – Den delade mottagaren kan bygga rapporter baserade på standardsemantikmodellen som är kopplad till ditt datalager för att skapa Power BI-rapporter med dessa data från OneLake-katalogen eller Power BI Desktop. Kryssrutan Skapa är markerad som standard, men kan avmarkeras.

    • Övervaka – Användare med behörighet att övervaka kan fråga dynamiska hanteringsvyer (DMV:er), till exempel sys.dm_exec_requests, frågetext, systemanslutningar, sessioner och insights-vyer. Den här behörigheten krävs vanligtvis för driftövervakning, felsökning och prestandaanalys.

  • Granskning – Användare med granskningsbehörighet kan aktivera, konfigurera och köra frågor mot granskningsloggar. Med den här behörigheten kan användare komma åt granskningsdata för att granska aktivitetshistorik, övervaka efterlevnad och stödja säkerhetsutredningar.

Hantera behörigheter

Sidan Hantera behörigheter visar listan över användare som har fått åtkomst genom att antingen tilldela till arbetsyteroller eller objektbehörigheter.

Om du är medlem i arbetsyterollerna Administratör eller Medlem går du till din arbetsyta och väljer Fler alternativ. Välj sedan Hantera behörigheter.

Skärmbild som visar en användare som väljer Hantera behörigheter i snabbmenyn för informationslagret.

För användare som har fått arbetsyteroller visas motsvarande användare, arbetsyteroll och behörigheter.

Skärmbild som visar sidan Hantera behörigheter i lagret i Fabric-portalen.

I följande tabell visas vilken behörighet varje roll har som standard och om behörigheten kan delas.

Tillåtelse Ställs in som standard för Shareable
Läs Admin, Medlem, Deltagare, Granskare Ja
ReadData Admin, Medlem, Deltagare, Granskare Ja
ReadAll Administratör, Medlem, Deltagare Ja
Build Administratör, Medlem, Deltagare Ja
Write Administratör, Medlem, Deltagare Nej
Bildskärm Administratör, Medlem, Deltagare N/A – kan inte beviljas på egen hand
Audit Administratör N/A – kan inte beviljas på egen hand
Reshare Administratör, Medlem N/A – kan inte beviljas på egen hand
Återställ Administratör Nej

Du kan välja att lägga till eller ta bort behörigheter med hjälp av Hantera behörigheter:

  • Ta bort åtkomst tar bort alla objektbehörigheter.
  • Ta bort ReadData tar bort ReadData-behörigheterna .
  • Ta bort ReadAll tar bort ReadAll-behörigheter .
  • Ta bort Build tar bort Build-behörigheter för den motsvarande standardsemantiska modellen.

Skärmbild som visar en användare som tar bort ReadAll-behörigheten för en delad mottagare.

Dataskyddsfunktioner

Microsoft Fabric-datalager stöder flera tekniker som administratörer kan använda för att skydda känsliga data från obehörig visning. Genom att skydda eller dölja data från obehöriga användare eller roller kan dessa säkerhetsfunktioner ge dataskydd i både en slutpunkt för lager- och SQL-analys utan programändringar.

  • Säkerhet på kolumnnivå förhindrar obehörig visning av kolumner i tabeller.
  • Säkerhet på radnivå förhindrar obehörig visning av rader i tabeller med hjälp av välbekanta WHERE satsfilterpredikat.
  • Dynamisk datamaskning förhindrar obehörig visning av känsliga data med hjälp av masker för att förhindra åtkomst till fullständiga, till exempel e-postadresser eller siffror.

Begränsningar

  • Om du anger objektbehörigheter eller tar bort användare som tidigare hade behörigheter kan det ta upp till två timmar att sprida behörigheter. De nya behörigheterna visas i Hantera behörigheter omedelbart. Logga in igen för att säkerställa att behörigheterna återspeglas i SQL-analysslutpunkten.
  • Delade användare kan komma åt lagerutrymmet med ägarens identitet (delegerat läge). Kontrollera att lagerägaren inte tas bort från arbetsytan.
  • Delade mottagare har bara åtkomst till det lager som de tar emot och inte andra objekt på samma arbetsyta som lagret. Om du vill ge behörigheter för andra användare i ditt team att samarbeta i informationslagret (läs- och skrivåtkomst) lägger du till dem som arbetsyteroller som Medlem eller Deltagare.
  • När du delar ett lager och väljer Läs alla data med SQL kan den delade mottagaren för närvarande komma åt Warehouse-redigeraren i skrivskyddat läge. Dessa delade mottagare kan skapa frågor, men kan för närvarande inte spara sina frågor.
  • För närvarande är delning av ett lager endast tillgängligt via användarupplevelsen.
  • Om du vill ge detaljerad åtkomst till specifika objekt i lagret delar du lagret utan ytterligare behörigheter och ger sedan detaljerad åtkomst till specifika objekt med hjälp av T-SQL GRANT-instruktionen. Mer information finns i T-SQL-syntax för GRANT, REVOKE och DENY.
  • Om du ser att behörigheterna ReadAll och ReadData är inaktiverade i delningsdialogrutan uppdaterar du sidan.
  • Delade mottagare har inte behörighet att dela ett lager på nytt.
  • Om en rapport som bygger på datalagret delas med en annan mottagare behöver den delade mottagaren fler behörigheter för att få åtkomst till rapporten. Detta beror på läget för åtkomst till den semantiska modellen av Power BI:
    • Om läsdatabehörigheter (eller detaljerade SQL-behörigheter till specifika tabeller/vyer) nås via direktfrågelägemåste de tillhandahållas till informationslagret.
    • Om åtkomst sker genom Direct Lake mode, behöver ReadData-behörigheter (eller granulära behörigheter till specifika tabeller/vyer) ges till lagret. Direct Lake-läge är standardanslutningstypen för semantiska modeller som använder en slutpunkt för lager- eller SQL-analys som datakälla. Mer information finns i Direct Lake-läge.
    • Om du använder importläget behövs inga ytterligare behörigheter.
    • För närvarande stöds inte delning av ett lager direkt med ett SPN.
  • Delningsdialogrutan för lager innehåller alternativet att prenumerera på OneLake-händelser. För närvarande beviljas behörighet att prenumerera på OneLake-händelser tillsammans med behörigheten Läs alla Apache Spark.

Relaterat innehåll