รูปแบบสิทธิ์
Microsoft Fabric มีแบบจําลองสิทธิ์ที่ยืดหยุ่นซึ่งช่วยให้คุณสามารถควบคุมการเข้าถึงข้อมูลในองค์กรของคุณได้ บทความนี้อธิบายชนิดของสิทธิ์ที่แตกต่างกันใน Fabric และวิธีการทํางานร่วมกันเพื่อควบคุมการเข้าถึงข้อมูลในองค์กรของคุณ
พื้นที่ทํางานเป็นเอนทิตีแบบตรรกะสําหรับการจัดกลุ่มรายการใน Fabric บทบาทพื้นที่ทํางานกําหนดสิทธิ์การเข้าถึงสําหรับพื้นที่ทํางาน แม้ว่ารายการจะถูกจัดเก็บไว้ในพื้นที่ทํางานหนึ่ง แต่สามารถแชร์กับผู้ใช้รายอื่นใน Fabric ได้ เมื่อคุณแชร์รายการ Fabric คุณสามารถตัดสินใจได้ว่าสิทธิ์ใดที่จะมอบให้ผู้ใช้ที่คุณกําลังแชร์รายการด้วย บางรายการเช่น รายงาน Power BI สามารถควบคุมข้อมูลในระดับแยกย่อยได้มากขึ้น คุณสามารถตั้งค่ารายงานเพื่อให้ผู้ใช้ที่ดูเฉพาะส่วนหนึ่งของข้อมูลที่พวกเขาจัดเก็บเท่านั้น
บทบาทพื้นที่ทํางาน
บทบาทพื้นที่ทํางานใช้เพื่อควบคุมการเข้าถึงพื้นที่ทํางานและเนื้อหาภายในพื้นที่ทํางานเหล่านั้น ผู้ดูแลระบบ Fabric สามารถกําหนดบทบาทพื้นที่ทํางานให้กับผู้ใช้รายบุคคลหรือกลุ่ม บทบาทพื้นที่ทํางานถูกจํากัดเฉพาะกับพื้นที่ทํางานที่เฉพาะเจาะจงและไม่นําไปใช้กับพื้นที่ทํางานอื่น ๆ ความจุที่พื้นที่ทํางานอยู่ หรือผู้เช่า
มีสี่บทบาทของพื้นที่ทํางาน และใช้กับรายการทั้งหมดภายในพื้นที่ทํางาน ผู้ใช้ที่ไม่มีบทบาทเหล่านี้ไม่สามารถเข้าถึงพื้นที่ทํางานได้ บทบาทคือ:
ผู้ชม - สามารถดูเนื้อหาทั้งหมดในพื้นที่ทํางาน แต่ไม่สามารถปรับเปลี่ยนได้
ผู้ สนับสนุน - สามารถดูและปรับเปลี่ยนเนื้อหาทั้งหมดในพื้นที่ทํางาน
สมาชิก - สามารถดู ปรับเปลี่ยน และแชร์เนื้อหาทั้งหมดในพื้นที่ทํางาน
ผู้ดูแลระบบ - สามารถดู ปรับเปลี่ยน แชร์ และจัดการเนื้อหาทั้งหมดในพื้นที่ทํางาน รวมถึงการจัดการสิทธิ์
ตารางนี้แสดงชุดขนาดเล็กของความสามารถที่แต่ละบทบาทมี สําหรับรายการรายละเอียดเพิ่มเติมและเต็มรูปแบบ โปรดดู บทบาทพื้นที่ทํางานของ Microsoft Fabric
| ความสามารถ | ผู้ดูแลระบบ | สมาชิก | ผู้สนับสนุน | ผู้ดู |
|---|---|---|---|---|
| ลบพื้นที่ทํางาน | ✅ | ❌ | ❌ | ❌ |
| เพิ่มผู้ดูแลระบบ | ✅ | ❌ | ❌ | ❌ |
| เพิ่มสมาชิก | ✅ | ✅ | ❌ | ❌ |
| เขียนข้อมูล | ✅ | ✅ | ✅ | ❌ |
| สร้างรายการ | ✅ | ✅ | ✅ | ❌ |
| อ่านข้อมูล | ✅ | ✅ | ✅ | ✅ |
การอนุญาตรายการ
สิทธิ์รายการถูกใช้เพื่อควบคุมการเข้าถึงรายการ Fabric แต่ละรายการภายในพื้นที่ทํางาน สิทธิ์รายการจะถูกจํากัดเฉพาะกับรายการที่ระบุและไม่นําไปใช้กับรายการอื่น ใช้สิทธิ์รายการเพื่อควบคุมว่าใครสามารถดู แก้ไข และจัดการแต่ละรายการในพื้นที่ทํางานได้ คุณสามารถใช้สิทธิ์รายการเพื่อให้ผู้ใช้สามารถเข้าถึงรายการเดียวในพื้นที่ทํางานที่พวกเขาไม่สามารถเข้าถึงได้
เมื่อคุณกําลังแชร์รายการกับผู้ใช้หรือกลุ่ม คุณสามารถกําหนดค่าสิทธิ์รายการได้ การแชร์รายการจะให้สิทธิ์ในการอ่านสําหรับรายการนั้นตามค่าเริ่มต้นแก่ผู้ใช้ อ่านสิทธิ์อนุญาตให้ผู้ใช้ดูเมตาดาต้าสําหรับรายการนั้น และดูรายงานใด ๆ ที่เชื่อมโยงกับรายการดังกล่าว อย่างไรก็ตาม สิทธิ์ในการอ่านไม่อนุญาตให้ผู้ใช้เข้าถึงข้อมูลพื้นฐานใน SQL หรือ OneLake
ผ้าที่แตกต่างกันรายการมีสิทธิ์ที่แตกต่างกัน เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับสิทธิ์สําหรับแต่ละรายการ โปรดดู:
คํานวณสิทธิ์
สิทธิ์ยังสามารถตั้งค่าภายในกลไกการคํานวณเฉพาะใน Fabric โดยเฉพาะผ่านจุดสิ้นสุดการวิเคราะห์ SQL หรือในแบบจําลองความหมาย สิทธิ์ของกลไกการคํานวณเปิดใช้งานการควบคุมการเข้าถึงข้อมูลที่ละเอียดมากขึ้น เช่น การรักษาความปลอดภัยระดับตารางและแถว
จุด สิ้นสุดการวิเคราะห์ SQL - จุดสิ้นสุดการวิเคราะห์ SQL ให้การเข้าถึงตาราง SQL โดยตรงใน OneLake และสามารถกําหนดค่าความปลอดภัยในแบบดั้งเดิมผ่านคําสั่ง SQL สิทธิ์เหล่านี้ใช้ได้กับคิวรีที่ทําผ่าน SQL เท่านั้น
แบบจําลอง ความหมาย - แบบจําลองความหมายช่วยให้สามารถกําหนดความปลอดภัยโดยใช้ DAX ได้ ข้อจํากัดที่กําหนดโดยใช้ DAX จะนําไปใช้กับผู้ใช้ที่ทําการคิวรีผ่านแบบจําลองความหมายหรือรายงาน Power BI ที่สร้างขึ้นบนแบบจําลองความหมาย
คุณสามารถค้นหาข้อมูลเพิ่มเติมในบทความเหล่านี้:
สิทธิ์ OneLake (บทบาทการเข้าถึงข้อมูล)
OneLake มีสิทธิ์ของตนเองสําหรับควบคุมการเข้าถึงไฟล์และโฟลเดอร์ใน OneLake ผ่าน บทบาท การเข้าถึงข้อมูล OneLake บทบาทการเข้าถึงข้อมูล OneLake อนุญาตให้ผู้ใช้สร้างบทบาทแบบกําหนดเองภายใน lakehouse และอนุญาตให้อ่านเฉพาะโฟลเดอร์ที่ระบุเมื่อเข้าถึง OneLake สําหรับแต่ละบทบาท OneLake ผู้ใช้สามารถกําหนดผู้ใช้ กลุ่มความปลอดภัย หรือมอบการมอบหมายโดยอัตโนมัติตามบทบาทพื้นที่ทํางานได้
เรียนรู้เพิ่มเติมเกี่ยวกับ OneLake Data Access Control Model และดูคําแนะนําวิธีการ
ลําดับการดําเนินงาน
Fabric มีระดับความปลอดภัยที่แตกต่างกันสามระดับ ผู้ใช้ต้องมีสิทธิ์เข้าถึงในแต่ละระดับเพื่อเข้าถึงข้อมูล แต่ละระดับจะประเมินตามลําดับเพื่อพิจารณาว่าผู้ใช้มีสิทธิ์เข้าถึงหรือไม่ กฎความปลอดภัย เช่น นโยบาย การคุ้มครองข้อมูลของ Microsoft จะประเมินผลในระดับที่กําหนดเพื่ออนุญาตหรือไม่อนุญาตให้มีการเข้าถึง ลําดับของการดําเนินการเมื่อประเมินความปลอดภัยของผ้าคือ:
- การรับรองความถูกต้อง Entra: ตรวจสอบว่าผู้ใช้นั้นสามารถรับรองความถูกต้องกับผู้เช่า Microsoft Entra หรือไม่
- การเข้าถึงผ้า: ตรวจสอบว่าผู้ใช้สามารถเข้าถึง Microsoft Fabric ได้หรือไม่
- ความปลอดภัยของข้อมูล: ตรวจสอบว่าผู้ใช้สามารถดําเนินการตามคําขอในตารางหรือไฟล์ได้หรือไม่
ตัวอย่าง
ส่วนนี้ให้สองตัวอย่างของวิธีการตั้งค่าสิทธิ์ใน Fabric
ตัวอย่างที่ 1: การตั้งค่าสิทธิ์ของทีม
Wingtip Toys ถูกตั้งค่ากับผู้เช่าหนึ่งรายสําหรับทั้งองค์กรและความจุสามอย่าง ความจุแต่ละรายการแสดงถึงภูมิภาคที่แตกต่างกัน Wingtip Toys ดําเนินการในสหรัฐอเมริกา ยุโรป และเอเชีย แต่ละความจุมีพื้นที่ทํางานสําหรับแต่ละแผนกในองค์กร รวมถึงฝ่ายขายด้วย
ฝ่ายขายมีผู้จัดการ ลูกค้าเป้าหมายของทีมขาย และสมาชิกทีมขาย Wingtip Toys ยังใช้นักวิเคราะห์เพียงคนเดียวสําหรับทั้งองค์กร
ตารางต่อไปนี้แสดงข้อกําหนดสําหรับแต่ละบทบาทในแผนกขายและวิธีการตั้งค่าสิทธิ์เพื่อเปิดใช้งาน
| บทบาท | ข้อกำหนด | ตั้งค่า |
|---|---|---|
| ผู้จัดการ | ดูและปรับเปลี่ยนเนื้อหาทั้งหมดในแผนกขายในทั้งองค์กร | บทบาท สมาชิก สําหรับพื้นที่ทํางานการขายทั้งหมดในองค์กร |
| ลูกค้าเป้าหมายของทีม | ดูและปรับเปลี่ยนเนื้อหาทั้งหมดในแผนกขายในภูมิภาคที่ระบุ | บทบาท สมาชิก สําหรับพื้นที่ทํางานการขายในภูมิภาค |
| สมาชิกทีมขาย | ||
| ผู้วิเคราะห์ | ดูเนื้อหาทั้งหมดในแผนกขายในทั้งองค์กร | บทบาท ของผู้ชม สําหรับพื้นที่ทํางานการขายทั้งหมดในองค์กร |
นอกจากนี้ Wingtip ยังมีรายงานรายไตรมาสที่แสดงรายการรายได้ยอดขายต่อสมาชิกฝ่ายขาย รายงานนี้ถูกเก็บไว้ในพื้นที่ทํางานการเงิน โดยใช้การรักษาความปลอดภัยระดับแถว จะมีการตั้งค่ารายงานเพื่อให้สมาชิกยอดขายแต่ละรายสามารถดูตัวเลขยอดขายของตนเองได้เท่านั้น ลูกค้าเป้าหมายของทีมสามารถดูตัวเลขยอดขายของสมาชิกในการขายทั้งหมดในภูมิภาคของพวกเขา และผู้จัดการฝ่ายขายสามารถดูตัวเลขการขายของสมาชิกในการขายทั้งหมดในองค์กรได้
ตัวอย่างที่ 2: สิทธิ์ของพื้นที่ทํางานและรายการ
เมื่อคุณแชร์รายการหรือเปลี่ยนสิทธิ์ บทบาทพื้นที่ทํางานจะไม่เปลี่ยนแปลง ตัวอย่างในส่วนนี้แสดงวิธีการที่สิทธิ์ของพื้นที่ทํางานและรายการโต้ตอบกัน
เวโรนิก้ากับมาร์ต้าทํางานร่วมกัน Veronica เป็นเจ้าของรายงานที่เธอต้องการแชร์กับมาร์ต้า ถ้า Veronica แชร์รายงานกับ Marta, Marta จะสามารถเข้าถึงโดยไม่คํานึงถึงบทบาทพื้นที่ทํางานที่เธอมี
สมมติว่า Marta มีบทบาทผู้ชมในพื้นที่ทํางานที่มีการจัดเก็บรายงาน ถ้า Veronica ตัดสินใจที่จะลบสิทธิ์รายการของ Marta ออกจากรายงาน มาร์ต้าจะยังคงสามารถดูรายงานในพื้นที่ทํางาน นอกจากนี้ Marta ยังสามารถเปิดรายงานจากพื้นที่ทํางานและดูเนื้อหา ทั้งนี้เนื่องจาก Marta มีสิทธิ์ดูพื้นที่ทํางาน
ถ้า Veronica ไม่ต้องการให้ Marta ดูรายงาน การลบสิทธิ์รายการของ Marta ออกจากรายงานไม่เพียงพอ นอกจากนี้ Veronica ยังต้องลบสิทธิ์ผู้ชมของ Marta ออกจากพื้นที่ทํางานด้วย หากไม่มีสิทธิ์ของผู้ชมพื้นที่ทํางาน Marta จะไม่สามารถเห็นว่ามีรายงานอยู่เนื่องจากเธอไม่สามารถเข้าถึงพื้นที่ทํางานได้ มาร์ต้าจะไม่สามารถใช้ลิงก์ไปยังรายงานได้เนื่องจากเธอไม่สามารถเข้าถึงรายงานได้
หลังจากที่มาร์ต้าไม่มีบทบาทผู้ชมพื้นที่ทํางาน ถ้า Veronica ตัดสินใจที่จะแชร์รายงานกับเธออีกครั้ง มาร์ต้าจะสามารถดูรายงานได้โดยใช้ลิงก์ Veronica ที่แชร์กับเธอ โดยไม่ต้องเข้าถึงพื้นที่ทํางาน
ตัวอย่างที่ 3: สิทธิ์ของแอป Power BI
เมื่อแชร์รายงาน Power BI คุณมักจะต้องการให้ผู้รับของคุณมีสิทธิ์เข้าถึงรายงานเท่านั้น และไม่เข้าถึงรายการในพื้นที่ทํางาน สําหรับสิ่งนี้คุณสามารถใช้ แอป Power BI หรือแชร์รายงานกับผู้ใช้ได้โดยตรง
นอกจากนี้คุณสามารถจํากัดการเข้าถึงผู้ชมไปยังข้อมูลโดยใช้ การรักษาความปลอดภัยระดับแถว (RLS) ด้วย RLS คุณสามารถสร้างบทบาทที่มีสิทธิ์เข้าถึงข้อมูลบางส่วนของคุณ และจํากัดผลลัพธ์ในการส่งคืนเฉพาะสิ่งที่ข้อมูลประจําตัวของผู้ใช้สามารถเข้าถึงได้
การดําเนินการนี้จะทํางานได้ดีเมื่อใช้แบบจําลองการนําเข้าเมื่อมีการนําเข้าข้อมูลในแบบจําลองความหมายและผู้รับมีสิทธิ์เข้าถึงสิ่งนี้เป็นส่วนหนึ่งของแอป ด้วย DirectLake รายงานจะอ่านข้อมูลโดยตรงจากเลคเฮ้าส์และผู้รับรายงานต้องสามารถเข้าถึงไฟล์เหล่านี้ใน lake ได้ คุณสามารถทําได้หลายวิธี:
- ให้
ReadDataสิทธิ์ในเลคเฮ้าส์โดยตรง - เปลี่ยนข้อมูลประจําตัวของแหล่งข้อมูลจากลงชื่อเข้าระบบครั้งเดียว (SSO) เป็นข้อมูลประจําตัวแบบคงที่ที่สามารถเข้าถึงไฟล์ใน lake ได้
เนื่องจากมีการกําหนด RLS ในแบบจําลองความหมาย ข้อมูลจะถูกอ่านก่อนจากนั้นแถวจะถูกกรอง
หากมีการกําหนดความปลอดภัยใด ๆ ในจุดสิ้นสุดการวิเคราะห์ SQL ที่มีการสร้างรายงานไว้ การคิวรีจะกลับไปใช้โหมด DirectQuery โดยอัตโนมัติ หากคุณไม่ต้องการพฤติกรรมที่ใช้แสดงแทนตามค่าเริ่มต้นนี้ คุณสามารถสร้างเลคเฮ้าส์ใหม่โดยใช้ทางลัดไปยังตารางในเลคเฮ้าส์เดิมและไม่ได้กําหนด RLS หรือ OLS ใน SQL ในเลคเฮ้าส์ใหม่