การวางแผนการใช้งาน Power BI: การวางแผนความปลอดภัยของผู้บริโภครายงาน
หมายเหตุ
บทความนี้เป็นส่วนหนึ่งของ ชุดการวางแผน การใช้งาน Power BI ของบทความ ชุดข้อมูลนี้เน้นไปที่ประสบการณ์การใช้งาน Power BI ภายใน Microsoft Fabric เป็นหลัก สําหรับบทนําสู่ชุดข้อมูล โปรดดู ที่ การวางแผนการใช้งาน Power BI
บทความการวางแผนความปลอดภัยนี้อธิบายถึงกลยุทธ์สําหรับผู้ใช้แบบอ่านอย่างเดียว มุ่งเน้นไปที่สิทธิ์ของผู้ชมสําหรับรายงานและแอป และวิธีการบังคับใช้ความปลอดภัยของข้อมูล มีการกําหนดเป้าหมายเป็นหลักที่:
- ผู้ดูแลระบบ Power BI: ผู้ดูแลระบบที่มีหน้าที่ดูแล Power BI ในองค์กร
- ศูนย์แห่งความเป็นเลิศ ทีมไอที และ BI: ทีมที่รับผิดชอบในการตรวจสอบ Power BI พวกเขาอาจจําเป็นต้องทํางานร่วมกับผู้ดูแลระบบ Power BI ทีมรักษาความปลอดภัยของข้อมูล และทีมอื่น ๆ ที่เกี่ยวข้อง
- ผู้สร้างและเจ้าของเนื้อหา: ผู้สร้าง BI แบบบริการตนเองที่จําเป็นต้องสร้าง เผยแพร่ ปลอดภัย และจัดการเนื้อหาที่ผู้ใช้รายอื่นใช้
ชุดบทความมีจุดมุ่งหมายเพื่อขยายตามเนื้อหาในเอกสารทางเทคนิคด้านความปลอดภัยของ Power BI ในขณะที่เอกสารทางเทคนิคเรื่องความปลอดภัยของ Power BI มุ่งเน้นไปที่หัวข้อทางเทคนิคที่สําคัญ เช่น การรับรองความถูกต้อง การเก็บข้อมูล และการแยกเครือข่าย เป้าหมายหลักของชุดข้อมูลคือการให้ข้อควรพิจารณาและการตัดสินใจเพื่อช่วยคุณวางแผนสําหรับความปลอดภัยและความเป็นส่วนตัว
ในองค์กร ผู้ใช้จํานวนมากจะถูกจัดประเภทเป็นผู้บริโภค ผู้บริโภคดูเนื้อหาที่ผู้ใช้รายอื่นได้สร้างและเผยแพร่ ผู้บริโภคเป็นจุดมุ่งเน้นของบทความนี้ สําหรับการวางแผนความปลอดภัยที่มุ่งเน้นไปที่ผู้สร้างและเจ้าของเนื้อหา โปรดดู บทความ การวางแผน ความปลอดภัยของผู้สร้างเนื้อหา
เพื่อให้ได้ประโยชน์สูงสุดจากบทความนี้ การทําความเข้าใจความหมายของการแชร์และการกระจายคําในบริบทของ Power BI จะเป็นประโยชน์อย่างมาก
การแชร์ คือตําแหน่งที่ผู้ใช้รายหนึ่งอนุญาตให้ผู้ใช้รายอื่น (หรือกลุ่มผู้ใช้) เข้าถึงเนื้อหาที่ระบุ ความสามารถในการแชร์ในบริการของ Power BI จะถูกกําหนดขอบเขตเป็นรายการเดียว โดยทั่วไปจะเกิดขึ้นระหว่างบุคคลที่รู้จักกันและทํางานร่วมกันอย่างใกล้ชิด
การแจกจ่าย คือที่ที่เนื้อหาจะถูกส่งไปยังผู้ใช้รายอื่นซึ่งเรียกว่าผู้รับ ซึ่งมักจะเกี่ยวข้องกับผู้ใช้จํานวนมากในหลายทีม ผู้รับอาจไม่ได้ร้องขอเนื้อหาอย่างชัดเจน แต่รู้ว่าจําเป็นต้องดําเนินการตามบทบาทของตน ผู้รับที่ใช้เนื้อหาแบบกระจายอาจทราบหรือไม่ทราบผู้สร้างเดิมของเนื้อหา ดังนั้น การแจกจ่ายเป็นแนวคิดจึงเป็นทางการมากกว่าการแชร์
เมื่อคุณพูดคุยกับบุคคลอื่น ให้พิจารณาว่าพวกเขากําลังใช้คําว่า แชร์ ด้วยวิธีทั่วไปหรือโดยตัวอักษร การใช้คําว่า การแชร์ สามารถแปลได้สองวิธี
- คําว่า การแชร์ มักจะใช้โดยทั่วไปที่เกี่ยวข้องกับการแชร์เนื้อหากับเพื่อนร่วมงาน มีหลายเทคนิคในการนําเสนอเนื้อหาแบบอ่านอย่างเดียว ซึ่งจะอธิบายไว้ในบทความนี้
- การแชร์ ยังเป็นคุณลักษณะเฉพาะใน Power BI ซึ่งเป็นความสามารถที่ผู้ใช้หรือกลุ่มได้รับสิทธิ์การเข้าถึงรายการเดียว การแชร์ลิงก์และการแชร์การเข้าถึงโดยตรงจะอธิบายไว้ในบทความนี้
สำคัญ
มีการ เปลี่ยนชื่อบทบาทผู้ดูแลระบบ Power BI แล้ว ชื่อใหม่ของบทบาทคือ ผู้ดูแลระบบ Fabric
กลยุทธ์สําหรับผู้ใช้แบบอ่านอย่างเดียว
ในบริการของ Power BI ผู้บริโภคสามารถดูรายงานหรือแดชบอร์ดเมื่อพวกเขามีสิทธิ์ในทั้งสองอย่าง:
- ดูรายการ Power BI ที่ประกอบด้วยการแสดงภาพ (เช่น รายงานหรือแดชบอร์ด)
- อ่านข้อมูลเบื้องต้น (แบบจําลองความหมาย ก่อนหน้านี้เรียกว่าชุดข้อมูลหรือแหล่งข้อมูลอื่น)
คุณสามารถให้การเข้าถึงแบบอ่านอย่างเดียวแก่ผู้บริโภคโดยใช้เทคนิคที่แตกต่างกัน เทคนิคทั่วไปที่ใช้โดยผู้สร้างเนื้อหาแบบบริการตนเองประกอบด้วย:
- การให้สิทธิ์การเข้าถึง แอป Power BI แก่ผู้ใช้และกลุ่ม
- การเพิ่มผู้ใช้และกลุ่มไปยัง บทบาทผู้ชมของพื้นที่ทํางาน Power BI
- ให้สิทธิ์ผู้ใช้และกลุ่มต่อรายการโดยใช้ ลิงก์การแชร์
- ให้สิทธิ์ผู้ใช้และกลุ่มต่อรายการโดยใช้ การเข้าถึงโดยตรง
ตัวเลือกบทบาทของแอป Power BI และพื้นที่ทํางาน Power BI จะเกี่ยวข้องกับการจัดการสิทธิ์สําหรับชุดรายการ เทคนิคการอนุญาตสองรายการต่อหนึ่งรายการเกี่ยวข้องกับการจัดการสิทธิ์สําหรับแต่ละรายการ
เคล็ดลับ
โดยทั่วไปแล้ว การใช้แอป Power BI สําหรับผู้บริโภคส่วนใหญ่เป็นแนวทางปฏิบัติที่ดีที่สุด ในบางครั้ง บทบาทผู้ชมพื้นที่ทํางานอาจเหมาะสม ทั้งแอป Power BI และบทบาทผู้ชมพื้นที่ทํางานอนุญาตให้จัดการสิทธิ์สําหรับหลายรายการ และควรใช้เมื่อใดก็ตามที่เป็นไปได้ การจัดการสิทธิ์สําหรับแต่ละรายการอาจน่าเบื่อ ใช้เวลา และเกิดข้อผิดพลาด ในทางตรงกันข้าม การจัดการชุดหน่วยข้อมูลช่วยลดการบํารุงรักษาและเพิ่มความถูกต้อง
เมื่อตรวจทานการตั้งค่าความปลอดภัยสําหรับรายการ คุณอาจเห็นว่าสิทธิ์เป็นดังนี้:
- สืบทอดมาจากพื้นที่ทํางานหรือแอป
- ใช้โดยตรงกับสินค้า
ในภาพหน้าจอ ต่อไปนี้ จะมีการแสดงสิทธิ์การเข้าถึง โดยตรงสําหรับรายงาน ในอินสแตนซ์นี้ แต่ละบทบาทผู้ดูแลระบบและสมาชิกของพื้นที่ทํางานจะถูกกําหนดให้กับกลุ่ม บทบาทเหล่านี้จะแสดงสําหรับรายงานเนื่องจากการเข้าถึงระดับรายงานนั้นสืบทอดมาจากพื้นที่ทํางาน นอกจากนี้ยังมีผู้ใช้หนึ่งรายที่มีสิทธิ์ในการอ่านที่ใช้กับรายงานโดยตรง
กลยุทธ์ที่คุณเลือกสําหรับผู้ใช้แบบอ่านอย่างเดียวอาจแตกต่างกันได้ ซึ่งควรขึ้นอยู่กับโซลูชันของแต่ละบุคคล ความชอบของผู้ที่จัดการโซลูชันหรือความต้องการของผู้บริโภค ส่วนที่เหลือของส่วนนี้จะอธิบายว่าเมื่อใดควรพิจารณาใช้เทคนิคที่พร้อมใช้งานแต่ละเทคนิค
รายการ ตรวจสอบ - เมื่อสร้างกลยุทธ์ของคุณสําหรับวิธีการให้เนื้อหาแก่ผู้บริโภคแบบอ่านอย่างเดียว การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ประเมินกลยุทธ์ของคุณที่มีอยู่สําหรับผู้ใช้แบบอ่านอย่างเดียว: ตรวจสอบว่าปัจจุบันมีการแจกจ่ายและแชร์เนื้อหาให้กับผู้บริโภคอย่างไร ระบุว่ามีโอกาสสําหรับการปรับปรุงหรือไม่
- ตัดสินใจเกี่ยวกับกลยุทธ์ของคุณสําหรับผู้ใช้แบบอ่านอย่างเดียว: พิจารณาว่าการกําหนดลักษณะของคุณมีไว้เพื่อใช้สิทธิ์ของแอป บทบาทพื้นที่ทํางาน หรือสิทธิ์ต่อรายการ ถ้าจําเป็นต้องเปลี่ยนแปลงเพื่อให้เป็นไปตามการกําหนดลักษณะเหล่านี้ ให้สร้างแผนสําหรับการปรับปรุง
สิทธิ์ของแอป Power BI
แอป Power BI นําเสนอคอลเลกชันของรายงาน แดชบอร์ด และสมุดงานไปยังผู้บริโภค แอปมอบประสบการณ์การใช้งานที่ดีที่สุดสําหรับผู้ใช้เนื่องจาก:
- บานหน้าต่างนําทางของแอปมอบประสบการณ์การใช้งานที่ง่ายและใช้งานง่าย เป็นประสบการณ์ที่ดีกว่าการเข้าถึงเนื้อหาโดยตรงในพื้นที่ทํางาน
- เนื้อหาสามารถจัดระเบียบตามหลักตรรกะเป็นส่วน (ซึ่งจะเหมือนกับโฟลเดอร์) ในบานหน้าต่างนําทางของแอป
- ผู้บริโภคมีสิทธิ์เข้าถึงรายการเฉพาะที่รวมอยู่ในแอปสําหรับผู้ชมอย่างชัดเจนเท่านั้น
- คุณสามารถเพิ่มลิงก์ไปยังข้อมูลเพิ่มเติม เอกสาร หรือเนื้อหาอื่น ๆ ลงในบานหน้าต่างนําทางสําหรับผู้ชมของพวกเขา
- มีเวิร์กโฟลว์การเข้าถึงคําขออยู่ภายในระบบ
หมายเหตุ
การอ้างอิงทั้งหมดไปยังแอปในบทความนี้อ้างอิงถึงแอป Power BI นี่คือแนวคิดที่แตกต่างจาก Power Apps นอกจากนี้ยังเป็นแนวคิดที่แตกต่างจากแอปพลิเคชันสําหรับอุปกรณ์เคลื่อนที่ Power BI ในส่วนนี้ โฟกัสจะอยู่ที่แอปองค์กรแทนที่จะเป็นแอปแม่แบบ
คุณสามารถสร้างแอปหนึ่งแอปสําหรับแต่ละพื้นที่ทํางานเป็นทางการในการแจกจ่ายเนื้อหาพื้นที่ทํางานบางส่วนหรือทั้งหมด แอปเป็นวิธีที่ดีในการกระจายเนื้อหาอย่างกว้างขวางภายในองค์กร โดยเฉพาะอย่างยิ่งผู้ใช้ที่คุณไม่ทราบหรือไม่ได้ทํางานร่วมกันอย่างใกล้ชิด
เคล็ดลับ
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้แอป Power BI สําหรับการแจกจ่ายเนื้อหาในวงกว้าง ดู สถานการณ์การใช้งาน BI ขององค์กร เราขอแนะนําให้ผู้สร้างเนื้อหาที่ต้องการแจกจ่ายเนื้อหา ให้พิจารณาการสร้างแอปเป็นตัวเลือกแรก
คุณสามารถจัดการสิทธิ์ของแอปแยกจากบทบาทพื้นที่ทํางานได้ การแยกสิทธิ์มีข้อดีสองประการ ซึ่งสนับสนุน:
- การให้สิทธิ์เข้าถึงพื้นที่ทํางานแก่ผู้สร้างเนื้อหา ซึ่งรวมถึงผู้ใช้ที่ทํางานร่วมกันในเนื้อหาเช่น ผู้สร้างแบบจําลองความหมาย ผู้สร้างรายงาน และผู้ทดสอบ
- การให้สิทธิ์แอปแก่ผู้บริโภค ซึ่งแตกต่างจากสิทธิ์ของพื้นที่ทํางาน สิทธิ์ของแอปจะเป็นแบบอ่านอย่างเดียวเสมอ (หรือไม่มี)
ผู้ใช้ทั้งหมดที่มีการเข้าถึงพื้นที่ทํางานสามารถดูแอปได้โดยอัตโนมัติ (เมื่อมีการเผยแพร่แอป Power BI สําหรับพื้นที่ทํางาน) เนื่องจากพฤติกรรมนี้ คุณสามารถนึกถึงบทบาทพื้นที่ทํางานที่ สืบทอด โดยผู้ชมแอปแต่ละคนได้ ผู้ใช้บางรายที่มีการเข้าถึงพื้นที่ทํางานยังสามารถอัปเดตแอป Power BI ได้ โดยขึ้นอยู่กับบทบาทพื้นที่ทํางานที่กําหนด
เคล็ดลับ
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถึงพื้นที่ทํางาน ให้ดู บทความการวางแผน ความปลอดภัยของผู้สร้างเนื้อหา
การใช้แอปเพื่อแจกจ่ายเนื้อหาให้กับผู้บริโภคแบบอ่านอย่างเดียวเป็นตัวเลือกที่ดีที่สุดเมื่อ:
- คุณต้องการให้ผู้ใช้สามารถดูเฉพาะรายการเฉพาะที่ผู้ชมนั้นสามารถมองเห็นได้ (แทนที่จะเป็นรายการทั้งหมดภายในพื้นที่ทํางานต้นแบบ)
- คุณต้องการจัดการสิทธิ์แบบอ่านอย่างเดียวสําหรับแอปแยกต่างหากจากพื้นที่ทํางาน
- คุณต้องการการจัดการสิทธิ์ที่ง่ายขึ้นสําหรับผู้ใช้แบบอ่านอย่างเดียวมากกว่าสิทธิ์ต่อรายการ
- คุณต้องการตรวจสอบให้แน่ใจว่า มีการบังคับใช้การรักษาความปลอดภัย ระดับแถวสําหรับผู้บริโภค (เมื่อพวกเขามีสิทธิ์แบบอ่านอย่างเดียวในแบบจําลองความหมายพื้นฐาน)
- คุณต้องการให้แน่ใจว่า ผู้บริโภคไม่สามารถดูรายงานใหม่และรายงานที่เปลี่ยนแปลงได้จนกว่าจะเผยแพร่แอปซ้ํา
แม้ว่าการเปลี่ยนแปลงรายงานและแดชบอร์ดจะมองไม่เห็นผู้ใช้ของแอปจนกว่าจะเผยแพร่แอปซ้ํา แต่มีข้อควรพิจารณาสองข้อที่ต้องระวัง
- การเปลี่ยนแปลงแบบจําลองความหมายทันที: การเปลี่ยนแปลงแบบจําลองความหมายจะมีผลทันทีเสมอ ตัวอย่างเช่น หากคุณนําการเปลี่ยนแปลงที่เสียหายไปยังแบบจําลองความหมายในพื้นที่ทํางานอาจทําให้เกิดรายงานที่ไม่เสถียรโดยไม่ได้ตั้งใจ (แม้ว่าพวกเขายังไม่ได้เผยแพร่ซ้ําในแอป) มีสองวิธีในการลดความเสี่ยงนี้: ก่อนอื่น ทํางานการพัฒนาทั้งหมดใน Power BI Desktop (แยกต่างหากจากพื้นที่ทํางาน) ข้อสอง คือเลียนแบบแอปการผลิตโดยใช้พื้นที่ทํางานแยกต่างหากสําหรับการพัฒนาและการทดสอบ (ไม่บังคับ คุณสามารถควบคุมการปรับใช้เนื้อหาพื้นที่ทํางานจากการพัฒนาเพื่อทดสอบและผลิตโดยใช้ ไปป์ไลน์การปรับใช้)
- เนื้อหาและสิทธิ์จะถูกเผยแพร่ร่วมกัน: เมื่อคุณเผยแพร่แอป สิทธิ์จะถูกเผยแพร่ในเวลาเดียวกันกับเนื้อหา ตัวอย่างเช่น คุณอาจมีการเปลี่ยนแปลงรายงานในพื้นที่ทํางานที่ยังไม่เสร็จสมบูรณ์ ทดสอบทั้งหมด หรือได้รับอนุมัติ ดังนั้น คุณไม่สามารถเผยแพร่แอปซ้ําเพื่อปรับปรุงสิทธิ์เท่านั้น เมื่อต้องการลดความเสี่ยงนี้ ให้กําหนดสิทธิ์ของแอปให้กับกลุ่มความปลอดภัย และใช้การเป็นสมาชิกกลุ่มความปลอดภัย (แทนผู้ใช้แต่ละราย) เมื่อให้สิทธิ์แอป หลีกเลี่ยงการเผยแพร่แอปซ้ําเพียงเพื่อนําการเปลี่ยนแปลงสิทธิ์ไปใช้
ผู้ชมแอป
พื้นที่ทํางานแต่ละแห่งในบริการของ Power BI สามารถมีแอป Power BI เดียวเท่านั้น อย่างไรก็ตาม ภายในแอปคุณสามารถสร้างผู้ชมอย่างน้อยหนึ่งคน พิจารณาสถานการณ์ต่อไปนี้
- คุณมีรายงานการขายห้ารายงานที่กระจายให้กับผู้ใช้จํานวนมากทั่วทั้งองค์กรการขายทั่วโลกของคุณ
- ผู้ชมหนึ่งคนจะถูกกําหนดในแอปสําหรับพนักงานขาย ผู้ชมรายนี้สามารถดูรายงานสามในห้ารายงาน
- ผู้ชมรายอื่นถูกกําหนดไว้ในแอปสําหรับทีมผู้นําการขาย ผู้ชมนี้สามารถดูรายงานทั้งห้ารายการ รวมถึงรายงานสองรายการที่ไม่มีให้ตัวแทนฝ่ายขายด้วย
ความสามารถในการ ผสมและจับคู่ เนื้อหาและผู้ชมมีข้อดีดังต่อไปนี้
- บางรายงานสามารถดูได้โดยผู้ชมหลายคน ดังนั้น การสร้างผู้ชมหลายคนจะขจัดความจําเป็นในการทําซ้ําเนื้อหาในพื้นที่ทํางานต่าง ๆ
- รายงานบางฉบับควรพร้อมใช้งานสําหรับผู้ชมเพียงรายเดียว ดังนั้นเนื้อหาสําหรับผู้ชมหนึ่งคนนั้นสามารถอยู่ในพื้นที่ทํางานเดียวกันเช่นเดียวกับเนื้อหาอื่น ๆ ที่เกี่ยวข้อง
สกรีนช็อตต่อไปนี้แสดงแอปที่มีสองผู้ชม: ผู้นํายอดขายและพนักงานขาย บานหน้าต่าง จัดการการเข้าถึงผู้ชม ให้การเข้าถึงกลุ่มผู้ชมระดับผู้นํายอดขายสําหรับสองกลุ่มความปลอดภัย: ผู้นํายอดขาย อเมริกาเหนือ และ ผู้นํายอดขาย-ยุโรป รายงาน การวิเคราะห์อัตราส่วนกําไรขั้นต้น ที่แสดงในสกรีนช็อตสําหรับกลุ่มผู้ชมผู้นํายอดขาย ไม่พร้อมใช้งานสําหรับกลุ่มผู้ชมพนักงานขาย
หมายเหตุ
คําว่า กลุ่ม ผู้ชม บางครั้งถูกใช้ ไม่ใช่การอ้างอิงโดยตรงกับการใช้กลุ่มความปลอดภัย ซึ่งรวมถึงสมาชิกของผู้ชมเป้าหมายที่จะเห็นคอลเลกชันของเนื้อหาภายในแอป Power BI แม้ว่าคุณจะสามารถกําหนดผู้ใช้แต่ละรายให้กับผู้ชมได้ แต่ก็เป็นแนวทางปฏิบัติที่ดีที่สุดในการกําหนดกลุ่มความปลอดภัย กลุ่ม Microsoft 365 หรือกลุ่มการแจกจ่ายเมื่อใดก็ตามที่ใช้ได้จริง สําหรับข้อมูลเพิ่มเติม โปรดดูกลยุทธ์สําหรับการใช้กลุ่มใน บทความการวางแผน ความปลอดภัยระดับผู้เช่า
เมื่อคุณจัดการสิทธิ์สําหรับแอป บนหน้า การเข้าถึง โดยตรง คุณสามารถดูสมาชิกของผู้ชมแต่ละรายได้ คุณยังสามารถดูผู้ใช้ที่มีบทบาทพื้นที่ทํางานแสดงอยู่ภายใต้ ผู้ชมทั้งหมด คุณไม่สามารถอัปเดตสิทธิ์ของแอปจาก หน้าการเข้าถึง โดยตรงได้ แต่คุณต้องเผยแพร่แอปอีกครั้งแทน อย่างไรก็ตาม คุณสามารถอัปเดตสิทธิ์แอปจาก หน้า รอดําเนินการ เมื่อมี คําขอ การเข้าถึงสําหรับแอปเปิดอยู่
เคล็ดลับ
กรณีการใช้งานหลักสําหรับการใช้ผู้ชมแอปคือ เพื่อกําหนดสิทธิ์เฉพาะสําหรับผู้ใช้ชุดต่างๆ อย่างไรก็ตามคุณจะได้รับความคิดสร้างสรรค์เล็กน้อยเมื่อใช้ผู้ชม ผู้ใช้หนึ่งๆ สามารถเป็นสมาชิกของผู้ชมหลายคน และผู้ชมแต่ละรายจะแสดงให้ผู้ชมของแอปเป็นชุดเมนูรอง ตัวอย่างเช่น คุณสามารถสร้างผู้ชมที่มีชื่อว่า เริ่มต้นที่นี่ ที่ประกอบด้วยข้อมูลเกี่ยวกับวิธีใช้แอป ผู้ที่จะติดต่อ วิธีการให้คําติชม และวิธีการขอความช่วยเหลือ หรือคุณสามารถสร้างผู้ชมที่มีชื่อว่า ข้อกําหนด KPI ที่มีพจนานุกรมข้อมูล การให้ข้อมูลประเภทนี้ช่วยให้ผู้ใช้ใหม่และปรับปรุง ความพยายามใน การปรับใช้โซลูชัน
ตัวเลือกสิทธิ์ของแอป
เมื่อคุณสร้าง (หรือเผยแพร่แอปซ้ํา) ผู้ชมแต่ละรายจะมี บานหน้าต่างจัดการการเข้าถึง ผู้ชม ในบานหน้าต่างนั้น สิทธิ์ต่อไปนี้จะพร้อมใช้งาน
- ให้สิทธิ์การเข้าถึง: สําหรับแต่ละผู้ชม คุณสามารถให้สิทธิ์การเข้าถึงแก่ผู้ใช้และกลุ่มแต่ละรายได้ คุณสามารถเผยแพร่แอปไปยังทั้งองค์กรได้เมื่อเปิดใช้งานโดย การตั้งค่าผู้เช่าเผยแพร่แอปไปยังผู้เช่าทั้งองค์กร และไม่ได้ติดตั้งแอปโดยอัตโนมัติ เมื่อใดก็ตามที่เป็นไปได้ เราขอแนะนําให้คุณกําหนด กลุ่ม ให้กับผู้ชม เนื่องจากการเพิ่มหรือลบผู้ใช้ออกจะเกี่ยวข้องกับการเผยแพร่แอปซ้ํา ทุกคนที่มีสิทธิ์เข้าถึงพื้นที่ทํางานโดยอัตโนมัติมีสิทธิ์ในการดูหรืออัปเดตแอปโดยขึ้นอยู่กับบทบาทพื้นที่ทํางานของพวกเขา
- สิทธิ์แบบจําลองความหมาย: สามารถ มอบสิทธิ์แบบจําลองความหมายสองชนิดขณะเผยแพร่แอป:
- แชร์แบบจําลองเชิงความหมาย: เมื่อเปิดใช้งาน ผู้ใช้แอปจะได้รับ สิทธิ์ แชร์ต่อให้กับแบบจําลองความหมายพื้นฐานกับผู้อื่น สมเหตุสมผลที่จะเปิดใช้งานตัวเลือกนี้เมื่อแบบจําลองความหมายพื้นฐานสามารถถูกแชร์ต่อกับใครก็ได้ เราขอแนะนําให้คุณได้รับการอนุมัติจากเจ้าของแบบจําลองความหมายก่อนที่จะให้สิทธิ์การแชร์ต่อไปยังผู้ชมแอป
- สร้างแบบจําลองความหมาย: เมื่อเปิดใช้งาน ผู้ใช้แอปจะได้รับสิทธิ์ในการสร้างสําหรับแบบจําลองเชิงความหมาย สิทธิ์ในการสร้างช่วยให้ผู้ใช้สามารถสร้างรายงานใหม่ ส่งออกข้อมูลเบื้องต้นจากรายงาน และอื่นๆ ได้ เราขอแนะนําให้คุณได้รับการอนุมัติจากเจ้าของแบบจําลองความหมายก่อนที่จะให้สิทธิ์ในการสร้างแก่ผู้ชมแอป
ความสามารถในการเพิ่มการแชร์ต่อแบบจําลองความหมายหรือสิทธิ์ในการสร้างในขณะที่การเผยแพร่แอปนั้นสะดวก อย่างไรก็ตาม เราขอแนะนําให้คุณพิจารณาจัดการสิทธิ์ของแอปและสิทธิ์แบบจําลองเชิงความหมายแยกต่างหาก นี่คือเหตุผลว่าทําไม
- แบบจําลองความหมายที่แชร์อาจอยู่ในพื้นที่ทํางานแยกต่างหาก: ถ้าแบบจําลองความหมายถูกเผยแพร่ไปยังพื้นที่ทํางานแยกต่างหากจากแอป คุณจะต้องจัดการสิทธิ์โดยตรง ความสามารถในการเพิ่มสิทธิ์การอ่าน สร้าง หรือแชร์ต่อในขณะที่เผยแพร่แอปจะใช้ได้กับแบบจําลองเชิงความหมายที่อยู่ในพื้นที่ทํางานเดียวกันเป็นแอปเท่านั้น ด้วยเหตุผลนี้ เราขอแนะนําให้คุณจัดการสิทธิ์แบบจําลองเชิงความหมายอย่างอิสระ
- สิทธิ์แบบจําลองเชิงความหมายจะได้รับการจัดการแยกต่างหาก: ถ้าคุณนําสิทธิ์ออกหรือเปลี่ยนแปลงสําหรับแอป การดําเนินการดังกล่าวจะมีผลต่อแอปเท่านั้น จะไม่ลบสิทธิ์แบบจําลองความหมายใด ๆ ที่ได้รับการกําหนดไว้ก่อนหน้านี้โดยอัตโนมัติ ด้วยวิธีนี้ คุณสามารถนึกถึงสิทธิ์ของแอปและสิทธิ์ของแบบจําลองเชิงความหมายที่จะถูก แยกออกจากกัน คุณจะต้องจัดการแบบจําลองความหมายโดยตรงแยกต่างหากจากแอป เมื่อมีการเปลี่ยนแปลงสิทธิ์แบบจําลองความหมายหรือจําเป็นต้องลบออก
- ควรควบคุมสิทธิ์แบบจําลองความหมาย: การให้สิทธิ์แบบจําลองเชิงความหมายผ่านแอปจะลบตัวควบคุมออกจากเจ้าของแบบจําลองความหมาย การให้สิทธิ์การแชร์ต่อต้องอาศัยการตัดสินที่ดีโดยผู้ใช้ที่เลือกที่จะแชร์แบบจําลองความหมายต่อ การกํากับดูแลภายในหรือแนวทางการรักษาความปลอดภัยของคุณสามารถจัดการได้ยากขึ้นเมื่ออนุญาตให้มีการแชร์ต่อ
- ผู้บริโภคและผู้สร้างมีเป้าหมายที่แตกต่างกัน: โดยทั่วไปแล้วมีผู้บริโภคเนื้อหามากกว่าผู้สร้างในองค์กร เพื่อให้สอดคล้องกับหลักการของ สิทธิ์พิเศษน้อยที่สุด ผู้บริโภคต้องการสิทธิ์ในการอ่านสําหรับแบบจําลองความหมายพื้นฐานเท่านั้น พวกเขาไม่จําเป็นต้องมีสิทธิ์ในการสร้างเว้นแต่ว่าจะสร้างรายงานใหม่
เคล็ดลับ
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับเวลาที่จะใช้พื้นที่ทํางานข้อมูลที่แยกต่างหากและพื้นที่ทํางานการรายงาน โปรดดู ที่บทความ การวางแผน ระดับพื้นที่ทํางาน
สิทธิ์การติดตั้งแอปล่วงหน้า
หลังจากที่คุณเผยแพร่แอป Power BI ผู้ใช้โดยทั่วไปจําเป็นต้อง ติดตั้ง เพื่อให้พวกเขาสามารถเปิดได้ ผู้ใช้สามารถติดตั้งแอปจากหน้าแอปในบริการของ Power BI หรือโดยใช้ลิงก์ที่พวกเขาได้รับจากผู้ใช้อื่น พวกเขาจะสามารถค้นหา (และติดตั้ง) แอปเมื่อพวกเขาถูกรวมไว้ในผู้ชมของแอปอย่างน้อยหนึ่งคน
วิธีการทางเลือกในการติดตั้งแอปคือการส่งแอปไปยังผู้บริโภคแอป ซึ่งส่งผลให้เกิดการติดตั้งแอปล่วงหน้าเพื่อให้แสดงขึ้นโดยอัตโนมัติในหน้าแอปในบริการของ Power BI วิธีการนี้เป็นความสะดวกสําหรับผู้ใช้เนื่องจากพวกเขาไม่จําเป็นต้องค้นหาและติดตั้งแอป อย่างไรก็ตาม แอปที่ติดตั้งไว้ล่วงหน้าอาจสร้างความน่ารําคาญให้กับผู้ใช้ เนื่องจากแอปเหล่านั้นอาจครอบงําผู้ใช้มากเกินไปที่ไม่เกี่ยวข้องกับแอปเหล่านั้น
การตั้งค่าผู้เช่าแอปพุชไปยังผู้ใช้ปลายทางควบคุมว่าใครสามารถติดตั้งแอปได้โดยอัตโนมัติ เราขอแนะนําให้คุณใช้คุณลักษณะนี้เนื่องจากสามารถใช้งานได้สะดวกสําหรับผู้ใช้ อย่างไรก็ตาม เราขอแนะนําให้คุณให้ความรู้แก่ผู้สร้างเนื้อหาเกี่ยวกับเวลาที่จะใช้เนื้อหาเพื่อไม่ให้มีการใช้งานมากเกินไป
เคล็ดลับ
เมื่อเผยแพร่แอป ถ้าคุณเลือกตัวเลือกในการติดตั้งแอปโดยอัตโนมัติ คุณไม่สามารถตั้งค่าผู้ชมเป็นทั้งองค์กร (ถ้าเปิดใช้งานโดย การตั้งค่าผู้เช่าส่งแอปไปยังผู้ใช้ ปลายทาง)
รายการตรวจสอบ - เมื่อสร้างกลยุทธ์ของคุณสําหรับการใช้แอปสําหรับผู้ชมเนื้อหา การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ตัดสินใจเลือกกลยุทธ์สําหรับการใช้แอป: กําหนดการกําหนดลักษณะของคุณสําหรับวิธีใช้แอป ตรวจสอบให้แน่ใจว่าสอดคล้องกับกลยุทธ์โดยรวมของคุณสําหรับผู้ใช้แบบอ่านอย่างเดียว
- ตัดสินใจว่าใครสามารถเผยแพร่แอปไปยังทั้งองค์กรได้: ตัดสินใจว่าผู้สร้างรายงานคนใดสามารถเผยแพร่ไปยังทั้งองค์กรได้ ตั้งค่าการตั้งค่าผู้ เช่าเผยแพร่แอปไปทั่วทั้งองค์กร เพื่อสอดคล้องกับการตัดสินใจนี้
- ตัดสินใจว่าใครสามารถส่งแอปไปยังผู้ใช้ปลายทางได้: ตัดสินใจว่าผู้สร้างรายงาน Power BI คนใดที่สามารถติดตั้งแอปล่วงหน้าได้ ตั้งค่าการตั้งค่าผู้ เช่าแอปพุชไปยังผู้ใช้ ปลายทางเพื่อให้สอดคล้องกับการตัดสินใจนี้
- สร้างและเผยแพร่คําแนะนําสําหรับผู้สร้างเนื้อหา: จัดทําเอกสารและการฝึกอบรมสําหรับผู้สร้างเนื้อหา รวมข้อกําหนดและการกําหนดลักษณะสําหรับวิธีการใช้แอปอย่างมีประสิทธิภาพสูงสุด
- กําหนดวิธีการจัดการคําขอการเข้าถึงแอป: ตรวจสอบว่ามีกระบวนการกําหนดผู้ติดต่อและจัดการคําขอการเข้าถึงแอปในเวลาที่เหมาะสมหรือไม่
บทบาทผู้ชมพื้นที่ทํางาน
ตามที่อธิบายไว้ใน บทความการวางแผน พื้นที่ทํางาน วัตถุประสงค์หลักของพื้นที่ทํางานคือการทํางานร่วมกัน ผู้ทํางานร่วมกันของพื้นที่ทํางาน เช่น ผู้สร้างแบบจําลองความหมาย ผู้สร้างรายงาน และผู้ทดสอบควรได้รับมอบหมายหนึ่งในสามบทบาท: ผู้สนับสนุน สมาชิก หรือผู้ดูแลระบบ บทบาทเหล่านี้อธิบายไว้ในบทความการวางแผนความปลอดภัยของผู้สร้างเนื้อหา
คุณสามารถกําหนดบทบาทผู้ชมพื้นที่ทํางานให้กับผู้บริโภค การอนุญาตให้ผู้บริโภคเข้าถึงเนื้อหาโดยตรงในพื้นที่ทํางานสามารถทําให้รู้สึกถึงทีมขนาดเล็กและทีมที่ไม่เป็นทางการที่ทํางานร่วมกันอย่างใกล้ชิด
การอนุญาตให้ผู้บริโภคเข้าถึงเนื้อหาพื้นที่ทํางานโดยตรงเป็นตัวเลือกที่ดีเมื่อ:
- พิธีการของแอป ที่มีสิทธิ์แยกต่างหากไม่จําเป็น
- ผู้ชมได้รับอนุญาตให้ดูรายการทั้งหมดที่จัดเก็บไว้ภายในพื้นที่ทํางาน
- คุณต้องการจัดการสิทธิ์ที่ง่ายขึ้นกว่าสิทธิ์ต่อรายการ
- ผู้ใช้พื้นที่ทํางานอาจดูแอป (เมื่อมีการเผยแพร่แอปสําหรับพื้นที่ทํางาน)
- จุดประสงค์คือเพื่อให้ผู้ชมตรวจสอบเนื้อหาก่อนที่จะเผยแพร่ในแอป
นี่คือคําแนะนําบางอย่างเพื่อสนับสนุนผู้ชมพื้นที่ทํางาน
- จัดระเบียบเนื้อหาในแต่ละพื้นที่ทํางานเพื่อให้ผู้ใช้รายงานสามารถค้นหารายการได้อย่างง่ายดาย และเพื่อให้สอดคล้องกับความปลอดภัย องค์กร พื้นที่ทํางานตามขอบเขตหรือโครงการมักจะทํางานได้ดี
- แยกการพัฒนาและทดสอบเนื้อหาจากเนื้อหาการผลิตเพื่อให้ผู้ชมไม่สามารถเข้าถึงรายการที่กําลังดําเนินการได้
- ใช้แอป (หรือสิทธิ์ต่อรายการเมื่อเหมาะสม) เมื่อคุณคาดว่าจะมีคําขอการเข้าถึงจํานวนมากเพื่อดําเนินการ ไม่มี เวิร์กโฟลว์การร้องขอการเข้าถึง สําหรับพื้นที่ทํางาน
รายการ ตรวจสอบ - เมื่อสร้างกลยุทธ์ของคุณสําหรับการใช้พื้นที่ทํางานสําหรับผู้ชมเนื้อหา การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ตัดสินใจเกี่ยวกับกลยุทธ์สําหรับการใช้บทบาทผู้ชมพื้นที่ทํางาน: กําหนดการกําหนดลักษณะของคุณสําหรับวิธีการใช้พื้นที่ทํางานสําหรับผู้บริโภค ตรวจสอบให้แน่ใจว่าสอดคล้องกับกลยุทธ์โดยรวมของคุณสําหรับผู้ใช้แบบอ่านอย่างเดียว
- สร้างและเผยแพร่คําแนะนําสําหรับผู้สร้างเนื้อหา: จัดทําเอกสารและการฝึกอบรมสําหรับผู้สร้างเนื้อหา รวมข้อกําหนดและการตั้งค่าสําหรับวิธีการใช้สิทธิ์ของพื้นที่ทํางานอย่างมีประสิทธิภาพสูงสุด
สิทธิ์ต่อรายการ
การแชร์รายการแต่ละรายการให้สิทธิ์กับรายการเดียว ผู้สร้างเนื้อหาที่มีประสบการณ์น้อยกว่ามักใช้เทคนิคนี้เป็นเทคนิคการแชร์หลักเนื่องจากคําสั่งการแชร์จะแสดงอย่างชัดเจนในบริการของ Power BI ด้วยเหตุผลนี้ จึงเป็นสิ่งสําคัญที่จะให้ความรู้แก่ผู้สร้างเนื้อหาของคุณเกี่ยวกับตัวเลือกการแชร์ที่แตกต่างกัน รวมถึงเวลาที่จะใช้สิทธิ์ของแอปแทนบทบาทพื้นที่ทํางาน
สิทธิ์ต่อรายการเป็นตัวเลือกที่ดีเมื่อ:
- คุณต้องการให้การเข้าถึงแบบอ่านอย่างเดียวไปยังหนึ่งรายการ (รายงานหรือแดชบอร์ด)
- คุณไม่ต้องการให้ผู้บริโภคดูเนื้อหาทั้งหมดที่เผยแพร่ไปยังพื้นที่ทํางาน
- คุณไม่ต้องการให้ผู้บริโภคดูเนื้อหาทั้งหมดที่เผยแพร่ไปยังผู้ชมแอป
ใช้สิทธิ์ต่อรายการแบบเฉพาะเนื่องจากการแชร์ให้สิทธิ์การอ่านไปยังรายการเดียว ในทางเดียวกัน คุณสามารถนึกภาพสิทธิ์ต่อรายการเป็นการยกเลิกบทบาทพื้นที่ทํางานหรือสิทธิ์ของแอป
เคล็ดลับ
เราขอแนะนําให้คุณใช้สิทธิ์แอปเมื่อใดก็ตามที่เป็นไปได้ ถัดไป พิจารณาใช้บทบาทพื้นที่ทํางานเพื่อเปิดใช้งานการเข้าถึงพื้นที่ทํางานโดยตรง สุดท้าย ให้ใช้สิทธิ์ต่อรายการเมื่อเป็นไปตามเกณฑ์ด้านบน ทั้งสิทธิ์ของแอปและบทบาทพื้นที่ทํางานระบุการรักษาความปลอดภัยสําหรับคอลเลกชันเนื้อหา (แทนที่จะเป็นแต่ละรายการ) ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีกว่า
การแชร์รายการจํานวนมากโดยใช้สิทธิ์ต่อรายการอาจเป็นเรื่องน่าเบื่อและเกิดข้อผิดพลาด โดยเฉพาะอย่างยิ่งเมื่อแชร์ไปยังผู้ใช้แต่ละรายแทนกลุ่ม พิจารณาสถานการณ์สมมตินี้: คุณมีรายงาน 40 รายการที่คุณแชร์กับเพื่อนร่วมงานโดยใช้บัญชีผู้ใช้แต่ละคน เมื่อเพื่อนร่วมงานคนหนึ่งถ่ายโอนไปยังแผนกอื่น คุณจะต้องเพิกถอนการเข้าถึงซึ่งจะเกี่ยวข้องกับสิทธิ์การแก้ไขสําหรับรายงานทั้ง 40 รายการ
สำคัญ
การแชร์เนื้อหาจากพื้นที่ทํางานส่วนบุคคลควรทําไม่บ่อยนัก พื้นที่ทํางานส่วนบุคคลเหมาะสมที่สุดกับเนื้อหาที่ไม่สําคัญ ไม่เป็นทางการ หรือชั่วคราว หากคุณมีสถานการณ์ที่ผู้สร้างเนื้อหามักแชร์เนื้อหาที่สําคัญหรือที่สําคัญจากพื้นที่ทํางานส่วนบุคคลของพวกเขา คุณควรดําเนินการที่เหมาะสมเพื่อย้ายเนื้อหานั้นไปยังพื้นที่ทํางานมาตรฐาน สําหรับข้อมูลเพิ่มเติม ให้ดู สถานการณ์การใช้งาน BI ส่วนบุคคล
เมื่อคุณแชร์รายการแต่ละรายการ คุณมีตัวเลือกสิทธิหลายตัวเลือก
- แชร์สิทธิ์ต่อ: เมื่อเปิดใช้งาน ผู้ใช้สามารถแชร์รายการกับผู้ใช้อื่น รวมถึงแบบจําลองความหมายพื้นฐาน สมเหตุสมผลที่จะให้สิทธิ์นี้เมื่อรายการสามารถแชร์กับทุกคนได้ ซึ่งจะเอาตัวควบคุมออกจากบุคคลหรือทีมที่จัดการรายการ ดังนั้นจึงต้องอาศัยการตัดสินที่ดีโดยผู้ใช้ที่ได้รับสิทธิ์แชร์ต่อ อย่างไรก็ตาม แนวทางการกํากับดูแลภายในหรือแนวทางการรักษาความปลอดภัยอาจจัดการได้ยากขึ้นเมื่ออนุญาตให้มีการแชร์ต่อ
- สิทธิ์ในการสร้าง: เมื่อเปิดใช้งาน ผู้ใช้จะได้รับ สิทธิ์ ในการสร้างสําหรับแบบจําลองความหมายพื้นฐาน สิทธิ์ในการสร้างช่วยให้ผู้ใช้สามารถสร้างเนื้อหาใหม่ที่ยึดตามแบบจําลองความหมายได้ นอกจากนี้ยังช่วยให้พวกเขาสามารถส่งออกข้อมูลเบื้องต้นจากรายงานและอื่น ๆ ได้ ข้อควรพิจารณาสําหรับการให้สิทธิ์ในการสร้างจะอธิบายไว้ใน บทความการวางแผน ความปลอดภัยของผู้สร้างเนื้อหา
สิทธิ์ต่อรายการสําหรับรายงานและแดชบอร์ดสามารถเข้าใจได้สําหรับสถานการณ์ที่ไม่เป็นทางการเมื่อมีการแชร์เนื้อหากับผู้ใช้บางราย เป็นความคิดที่ดีในการให้ความรู้แก่ผู้ใช้ในการจัดการสิทธิ์ด้วยแอปและพื้นที่ทํางานแทน โดยเฉพาะอย่างยิ่งเมื่อพวกเขากําลังแชร์เนื้อหากับผู้ใช้จํานวนมากหรือผู้ใช้ภายนอกทีมของพวกเขา สิ่งสําคัญคือต้องเน้นจุดต่อไปนี้
- จะยากขึ้นในการพิจารณาว่าเนื้อหาใดที่ถูกแชร์ให้ผู้ใช้รายใด เนื่องจากแต่ละรายงานและแดชบอร์ดจะต้องได้รับการตรวจทานทีละรายการ
- ในหลายอินสแตนซ์ สิทธิ์แชร์ต่อได้รับการตั้งค่าเนื่องจากประสบการณ์ของผู้ใช้จะเปิดใช้งานตัวเลือกนี้ตามค่าเริ่มต้น ดังนั้นจึงมีความเสี่ยงที่เนื้อหาจะถูกแชร์ให้กับผู้ใช้ในชุดที่กว้างกว่าที่ตั้งใจไว้ ผลลัพธ์นี้สามารถป้องกันได้โดยการ ยกเลิกการเลือกตัวเลือกอนุญาตให้ผู้รับแชร์รายงาน นี้เมื่อแชร์ การลดการแชร์มากเกินไปด้วยวิธีนี้คือปัญหาการฝึกอบรมของผู้ใช้ ผู้สร้างเนื้อหาที่มีการตั้งค่าสิทธิ์การแชร์ควรพิจารณาตัวเลือกนี้ทุกครั้ง
- การเปลี่ยนแปลงทั้งหมดไปยังรายงานและแดชบอร์ดสามารถดูได้ทันที ซึ่งอาจทําให้ผู้ใช้สับสนเมื่อการปรับเปลี่ยนเนื้อหากําลังอยู่ระหว่างดําเนินการ ข้อกังวลนี้สามารถลดลงได้โดยการแจกจ่ายเนื้อหาในแอป หรือโดยใช้พื้นที่ทํางานแยกต่างหากเพื่อแยกการพัฒนา การทดสอบ และเนื้อหาการผลิต สําหรับข้อมูลเพิ่มเติม ให้ดู สถานการณ์การใช้งานการ เผยแพร่เนื้อหาแบบบริการตนเอง
- เมื่อผู้ใช้แชร์เนื้อหาจากพื้นที่ทํางานส่วนบุคคลของพวกเขา และพวกเขาออกจากองค์กร พวกเขามักจะปิดใช้งานบัญชีผู้ใช้ของพวกเขา ในกรณีนี้ ผู้รับทั้งหมดของเนื้อหาที่แชร์จะสูญเสียการเข้าถึงเนื้อหาทันที
การแชร์มีสามประเภท: การแชร์ลิงก์ การแชร์การเข้าถึงโดยตรง และมุมมองที่ใช้ร่วมกัน
ลิงค์สิทธิ์ต่อรายการ
เมื่อคุณแชร์แต่ละรายการ ประสบการณ์เริ่มต้นจะส่งผลใน ลิงก์การแชร์ มีลิงก์การแชร์สามประเภท
- บุคคลในองค์กรของคุณ: เมื่อเปิดใช้งานในการตั้งค่าผู้เช่า Power BI ของคุณ ลิงก์การแชร์ชนิดนี้เป็นวิธีตรงไปตรงมาเพื่อให้การเข้าถึงแบบอ่านอย่างเดียวแก่ทุกคนภายในองค์กร อย่างไรก็ตาม ลิงก์ที่แชร์จะไม่ทํางานสําหรับผู้ใช้ภายนอก ตัวเลือกนี้เหมาะสมที่สุดสําหรับเมื่อทุกคนสามารถดูเนื้อหาได้ และสามารถแชร์ลิงก์ได้อย่างอิสระทั่วทั้งองค์กร เว้นแต่ว่าจะถูกปิดใช้งานโดยอนุญาต ลิงก์ที่แชร์ได้เพื่อให้สิทธิ์การเข้าถึงแก่ทุกคนในองค์กรของคุณ ในการตั้งค่าผู้เช่า การแชร์ชนิดนี้จะเป็นค่าเริ่มต้น
- ผู้ที่มีสิทธิการเข้าถึงที่มีอยู่: ตัวเลือกนี้จะไม่สร้างลิงก์การแชร์ใหม่ แต่จะช่วยให้คุณสามารถดึง URL เพื่อให้คุณสามารถส่งไปยังบุคคลที่มีสิทธิ์เข้าถึงได้
- บุคคลที่เจาะจง: ตัวเลือกนี้สร้างลิงก์การแชร์สําหรับผู้ใช้หรือกลุ่มที่ระบุ เราขอแนะนําให้คุณใช้ตัวเลือกนี้ส่วนใหญ่เนื่องจากให้การเข้าถึงเฉพาะ ถ้าคุณมักจะทํางานกับผู้ใช้ภายนอก คุณสามารถใช้ลิงก์ประเภทนี้สําหรับผู้ใช้ที่เป็นผู้เยี่ยมชมที่มีอยู่แล้วในรหัส Microsoft Entra (ก่อนหน้านี้เรียกว่า Azure Active Directory) สําหรับข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการเชิญที่วางแผนไว้เพื่อสร้างผู้ใช้ที่ เป็นผู้เยี่ยมชม ให้ดูบทความการวางแผน ความปลอดภัยระดับผู้เช่า
สำคัญ
เราขอแนะนําให้คุณพิจารณาจํากัดการ อนุญาตลิงก์ที่แชร์ได้เพื่อให้สิทธิ์การเข้าถึงแก่ทุกคนในองค์กรของคุณ ในการตั้งค่าผู้เช่าให้สมาชิกของกลุ่ม คุณสามารถสร้างชื่อกลุ่ม เช่น Power BI Share ไปยังทั้งองค์กร จากนั้นเพิ่มผู้ใช้จํานวนเล็กน้อยที่เข้าใจผลกระทบของการแชร์ทั่วทั้งองค์กร หากคุณกังวลเกี่ยวกับลิงก์ทั่วทั้งองค์กรที่มีอยู่ คุณสามารถใช้ API ของผู้ดูแลระบบเพื่อค้นหารายการทั้งหมดที่แชร์กับทั้งองค์กรได้
ลิงก์ที่ใช้ร่วมกันเพิ่มสิทธิ์การอ่านให้กับรายการ สิทธิ์แชร์ต่อจะถูกเลือกตามค่าเริ่มต้น นอกจากนี้ยังเป็นไปได้ที่จะเพิ่มสิทธิ์ในการสร้างไปยังแบบจําลองความหมายพื้นฐานในเวลาเดียวกันที่สร้างลิงก์การแชร์
เคล็ดลับ
เราขอแนะนําให้คุณสอนผู้สร้างเนื้อหาให้เปิดใช้งานตัวเลือก สิทธิ์ในการสร้างเฉพาะ เมื่อผู้ใช้รายงานเป็นผู้สร้างเนื้อหาที่อาจจําเป็นต้องสร้างรายงาน ส่งออกข้อมูล หรือสร้างแบบจําลองแบบรวมจากแบบจําลองความหมายพื้นฐาน
การแชร์ลิงก์จะง่ายต่อการรักษาไว้มากกว่าการแชร์การเข้าถึงโดยตรง โดยเฉพาะอย่างยิ่งเมื่อคุณต้องการเปลี่ยนแปลงจํานวนมาก ซึ่งจะเป็นประโยชน์อย่างมากเมื่อผู้ใช้แต่ละรายได้รับสิทธิ์การแชร์มากกว่ากลุ่ม (ซึ่งมักเกิดขึ้นเมื่อผู้ใช้แบบบริการตนเองรับผิดชอบการจัดการสิทธิ์) พิจารณาการเปรียบเทียบต่อไปนี้
- แชร์ลิงก์: ผู้ใช้แต่ละคน 20 คนจะได้รับสิทธิ์การเข้าถึงด้วยลิงก์ที่แชร์ ด้วยการเปลี่ยนแปลงเดียวไปยังลิงก์ จะมีผลต่อผู้ใช้ 20 รายทั้งหมด
- การเข้าถึงโดยตรง: บุคคล 20 คนจะได้รับสิทธิ์เข้าถึงรายการโดยตรง เพื่อทําการเปลี่ยนแปลง ต้องปรับเปลี่ยนสิทธิ์ผู้ใช้ 20 สิทธิ์ทั้งหมด
สิทธิ์การเข้าถึงโดยตรงต่อรายการ
คุณยังสามารถรับสิทธิ์ต่อรายการโดยใช้ การเข้าถึงโดยตรง การเข้าถึงโดยตรงเกี่ยวข้องกับการตั้งค่าสิทธิ์สําหรับรายการเดียว นอกจากนี้ คุณยังสามารถกําหนดสิทธิ์ใด ๆ ที่สืบทอดมาจาก บทบาทพื้นที่ทํางานได้
เมื่อคุณให้สิทธิ์การเข้าถึงโดยตรงแก่ผู้ใช้ พวกเขาจะได้รับสิทธิ์การอ่านสําหรับรายการดังกล่าว สิทธิ์การแชร์ต่อจะถูกเลือกตามค่าเริ่มต้น เนื่องจากเป็นสิทธิ์ในการสร้างสําหรับแบบจําลองความหมายพื้นฐาน เราขอแนะนําให้คุณสอนผู้สร้างเนื้อหาให้เปิดใช้งานสิทธิ์ในการสร้างเฉพาะเมื่อผู้ใช้ของรายงานนี้ยังเป็นผู้สร้างเนื้อหาที่อาจจําเป็นต้องสร้างรายงาน ส่งออกข้อมูล หรือสร้างแบบจําลองแบบรวมจากแบบจําลองความหมายพื้นฐาน
เคล็ดลับ
ประสบการณ์ของผู้ใช้ทําให้การให้สิทธิ์แชร์ต่อและสิทธิ์ในการสร้างนั้นตรงไปตรงมามาก แต่ผู้ใช้ที่ทําการแชร์ควรตรวจสอบว่าสิทธิ์เหล่านั้นจําเป็นหรือไม่
มุมมองที่ใช้ร่วมกัน
ใช้มุมมองที่ใช้ร่วมกันเพื่อแชร์มุมมองที่กรองแล้วของรายงานกับผู้ใช้อื่น คุณสามารถเผยแพร่มุมมองที่แชร์โดยใช้ลิงก์การแชร์หรือโดยการเข้าถึงโดยตรง
มุมมองที่ใช้ร่วมกันเป็นแนวคิดชั่วคราว รายงานจะหมดอายุโดยอัตโนมัติหลังจาก 180 วัน ด้วยเหตุนี้ มุมมองที่ใช้ร่วมกันจึงเหมาะสมที่สุดสําหรับสถานการณ์การแชร์ที่ไม่เป็นทางการและชั่วคราว ตรวจสอบให้แน่ใจว่าผู้ใช้ของคุณทราบถึงข้อจํากัดนี้
รายการตรวจสอบ - เมื่อสร้างกลยุทธ์ของคุณสําหรับการใช้สิทธิ์ต่อรายการ การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- ตัดสินใจเกี่ยวกับกลยุทธ์สําหรับการใช้คุณลักษณะการแชร์: กําหนดลักษณะของคุณสําหรับวิธีใช้สิทธิ์ต่อรายการ ตรวจสอบให้แน่ใจว่าสอดคล้องกับกลยุทธ์โดยรวมของคุณสําหรับผู้ใช้แบบอ่านอย่างเดียว
- ตัดสินใจว่าใครสามารถเผยแพร่ลิงก์ไปยังทั้งองค์กรได้: ตัดสินใจว่าผู้สร้างรายงานคนใดสามารถเผยแพร่ลิงก์สําหรับทั้งองค์กรได้ ตั้งค่าอนุญาต ลิงก์ที่แชร์ได้เพื่อให้สิทธิ์การเข้าถึงแก่ทุกคนในองค์กรของคุณ ในการตั้งค่าผู้เช่าเพื่อให้สอดคล้องกับการตัดสินใจนี้
- สร้างและเผยแพร่คําแนะนําสําหรับผู้สร้างเนื้อหา: จัดทําเอกสารและการฝึกอบรมสําหรับผู้สร้างเนื้อหาที่มีข้อกําหนดและการกําหนดลักษณะสําหรับวิธีการใช้สิทธิ์ต่อรายการอย่างมีประสิทธิภาพสูงสุด ตรวจสอบให้แน่ใจว่าชัดเจนเกี่ยวกับข้อดีและข้อเสียของสิทธิ์ต่อรายการ รวมคําแนะนําว่าเมื่อใดที่ควรใช้ลิงก์ที่แชร์และเมื่อใดควรใช้การแชร์การเข้าถึงโดยตรง
เทคนิคคิวรีของผู้บริโภคอื่น ๆ
วิธีที่ผู้บริโภคใช้บ่อยที่สุดในการโต้ตอบกับ Power BI คือด้วยแอป พื้นที่ทํางาน และสิทธิการใช้งานต่อรายการ (ก่อนหน้านี้อธิบายไว้ในบทความนี้)
มีเทคนิคอื่น ๆ ที่ผู้บริโภคสามารถใช้เพื่อคิวรีข้อมูล Power BI แต่ละเทคนิคคิวรีต่อไปนี้จําเป็นต้องมีสิทธิ์ในการสร้างแบบจําลองเชิงความหมายหรือ datamart
- วิเคราะห์ใน Excel: ผู้บริโภคที่ต้องการใช้ Excel สามารถคิวรีแบบจําลองความหมายของ Power BI โดยใช้ การวิเคราะห์ใน Excel ได้ ความสามารถนี้เป็นทางเลือกที่ดีในการส่งออกข้อมูลไปยัง Excel เนื่องจากข้อมูลไม่ซ้ํากัน ด้วยการเชื่อมต่อสดไปยังแบบจําลองแสดงความหมาย ผู้ใช้สามารถสร้าง PivotTables แผนภูมิ และตัวแบ่งส่วนข้อมูลได้ จากนั้นพวกเขาสามารถเผยแพร่เวิร์กบุ๊กไปยังพื้นที่ทํางานในบริการของ Power BI ซึ่งอนุญาตให้ผู้บริโภคเปิดและโต้ตอบกับเวิร์กบุ๊กได้
- ตําแหน่งข้อมูล XMLA: ผู้บริโภคสามารถคิวรีแบบจําลองเชิงความหมายได้โดยเชื่อมต่อกับตําแหน่งข้อมูล XMLA แอปพลิเคชันที่สอดคล้องกับ XMLA สามารถเชื่อมต่อ คิวรี และใช้แบบจําลองความหมายที่จัดเก็บไว้ในพื้นที่ทํางานแบบพรีเมียม ความสามารถนี้จะเป็นประโยชน์เมื่อผู้บริโภคต้องการใช้แบบจําลองความหมายของ Power BI เป็นแหล่งข้อมูลของพวกเขาสําหรับเครื่องมือการแสดงภาพข้อมูลภายนอกระบบนิเวศของ Microsoft
- ตัวแก้ไข Datamart: ผู้บริโภคสามารถคิวรี Datamart ของ Power BI ได้โดยใช้ตัว แก้ไข datamart เป็นตัวแก้ไขคิวรีวิชวลบนเว็บสําหรับการสร้างคิวรีที่ไม่มีรหัส นอกจากนี้ยังมีตัวแก้ไข SQL บนเว็บสําหรับเมื่อผู้บริโภคต้องการเขียนคิวรี SQL ตัวแก้ไขทั้งสองรายการจะคิวรีฐานข้อมูล Azure SQL ที่มีการจัดการซึ่งเน้นที่ Datamart ของ Power BI (แทนที่จะเป็นแบบจําลองความหมายในตัว)
- จุดสิ้นสุด SQL: ผู้บริโภคสามารถคิวรี Datamart ของ Power BI โดยใช้ จุดสิ้นสุด SQL ได้ พวกเขาสามารถใช้เครื่องมือเช่น Azure Data Studio หรือ SQL Server Management Studio (SSMS) เพื่อเรียกใช้คิวรี SQL ได้ จุดสิ้นสุด SQL จะสั่งการคิวรีไปยังฐานข้อมูล Azure SQL ที่มีการจัดการซึ่งเน้นที่ datamart ของ Power BI (แทนที่จะเป็นแบบจําลองความหมายที่มีอยู่แล้วภายใน)
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ในการสร้าง โปรดดู บทความการวางแผน ความปลอดภัยของผู้สร้างเนื้อหา
รายการตรวจสอบ - เมื่อวางแผนว่าผู้บริโภคจะใช้เทคนิคคิวรีใด การตัดสินใจที่สําคัญและการดําเนินการรวมถึง:
- สร้างคําแนะนําสําหรับผู้ใช้เกี่ยวกับการใช้การวิเคราะห์ใน Excel: ให้เอกสารและการฝึกอบรมสําหรับผู้ใช้ในวิธีที่ดีที่สุดในการนําแบบจําลองความหมายที่มีอยู่มาใช้ใหม่ด้วย Excel
- สร้างคําแนะนําสําหรับผู้ใช้เกี่ยวกับการใช้ตําแหน่งข้อมูล XMLA: ให้เอกสารและการฝึกอบรมสําหรับผู้ใช้เกี่ยวกับวิธีที่ดีที่สุดในการนําแบบจําลองความหมายที่มีอยู่มาใช้ใหม่ด้วยตําแหน่งข้อมูล XMLA
- สร้างคําแนะนําสําหรับผู้ใช้เกี่ยวกับคิวรีดาต้ามาร์ท: ให้เอกสารและการฝึกอบรมสําหรับผู้ใช้เกี่ยวกับเทคนิคที่พร้อมใช้งานสําหรับการคิวรี Datamarts ของ Power BI
ร้องขอการเข้าถึงเวิร์กโฟลว์สําหรับผู้บริโภค
เมื่อแชร์เนื้อหา เป็นเรื่องปกติที่ผู้ใช้รายหนึ่งส่งต่อลิงก์ (URL) ไปยังผู้ใช้อื่น เมื่อผู้รับพยายามดูเนื้อหา และพบว่าพวกเขาไม่สามารถเข้าถึงเนื้อหานั้น พวกเขาสามารถเลือกปุ่ม ขอสิทธิ์การเข้าถึง การดําเนินการนี้จะเริ่มต้นเวิร์กโฟลว์การขอสิทธิ์การเข้าถึง จากนั้นผู้ใช้จะถูกขอให้ระบุข้อความเพื่ออธิบายสาเหตุที่พวกเขาต้องการเข้าถึง
เวิร์กโฟลว์ การขอสิทธิ์การเข้าถึง มีไว้สําหรับ:
- เข้าถึงแอป Power BI
- เข้าถึงรายการ เช่น รายงานหรือแดชบอร์ด
- การเข้าถึงแบบจําลองความหมาย สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ การร้องขอการเข้าถึง เวิร์กโฟลว์เมื่อแบบจําลองความหมายสามารถมองเห็นได้ ดูบทความ การวางแผน ความปลอดภัยของผู้สร้างเนื้อหา
คําขอการเข้าถึงแอป
มีสองวิธีในการเรียนรู้เกี่ยวกับคําขอการเข้าถึงที่ค้างอยู่ที่ส่งมาสําหรับแอป
- อีเมล: ผู้ติดต่อสําหรับแอปจะได้รับการแจ้งเตือนทางอีเมล ตามค่าเริ่มต้น ผู้ติดต่อนี้คือผู้ เผยแพร่แอป เพื่อให้การสนับสนุนแอปที่สําคัญยิ่งขึ้น เราขอแนะนําให้คุณตั้งค่าผู้ติดต่อให้กับกลุ่มที่สามารถตอบสนองคําขอการเข้าถึงได้อย่างรวดเร็ว
- เมนูจัดการสิทธิ์: ผู้ดูแลระบบพื้นที่ทํางานและสมาชิกสามารถดู อนุมัติ หรือปฏิเสธคําขอการเข้าถึงได้ หน้า จัดการสิทธิ์ จะพร้อมใช้งานบนหน้าแอป และสามารถเปิดสําหรับแต่ละแอปได้ ความสามารถนี้ยังพร้อมใช้งานสําหรับผู้สนับสนุนพื้นที่ทํางานเมื่อ เปิดใช้งานการตั้งค่า อนุญาตให้ผู้สนับสนุนอัปเดตแอปสําหรับพื้นที่ทํางาน นี้
คําขอการเข้าถึงที่ค้างอยู่สําหรับแอปจะแสดงข้อความที่ได้รับจากผู้ใช้ คําขอที่รอดําเนินการแต่ละรายการสามารถได้รับอนุมัติหรือปฏิเสธได้ เมื่อเลือกที่จะอนุมัติคําขอ ต้องเลือกผู้ชมแอป
สกรีนช็อตต่อไปนี้แสดงคําขอการเข้าถึงที่ค้างอยู่จากผู้ใช้ หากต้องการอนุมัติ ต้องเลือกหนึ่งในสองผู้ชม แอป ตัวแทน ขาย หรือ ผู้นํายอดขาย
เมื่อคุณเผยแพร่แอป เนื้อหาและสิทธิ์จะถูกเผยแพร่ในเวลาเดียวกัน ตามที่อธิบายไว้ก่อนหน้านี้ ไม่สามารถเผยแพร่เฉพาะสิทธิ์ของแอปโดยไม่มีการเปลี่ยนแปลงเนื้อหาด้วย อย่างไรก็ตาม มีข้อยกเว้นหนึ่งข้อ: เมื่อคุณอนุมัติคําขอเข้าถึงที่รอดําเนินการ (เช่น รายการที่แสดงในภาพหน้าจอก่อนหน้า) การเปลี่ยนแปลงสิทธิ์จะเกิดขึ้นโดยไม่ต้องเผยแพร่เนื้อหาล่าสุดในพื้นที่ทํางาน
คําขอการเข้าถึงพื้นที่ทํางาน
ผู้ใช้ที่เป็นสมาชิกของบทบาทผู้ดูแลระบบหรือบทบาทสมาชิกจะมอบสิทธิ์การเข้าถึงพื้นที่ทํางานให้
ผู้ใช้ที่กําลังพยายามดูพื้นที่ทํางานจะได้รับ ข้อความปฏิเสธ การเข้าถึงเมื่อพวกเขาไม่ได้เป็นสมาชิกของบทบาทพื้นที่ทํางาน เนื่องจากไม่มีเวิร์กโฟลว์การเข้าถึงคําขอภายในสําหรับพื้นที่ทํางาน จึงเหมาะที่จะใช้กับทีมขนาดเล็กและทีมที่ไม่เป็นทางการที่ทํางานร่วมกันอย่างใกล้ชิด นั่นคือเหตุผลหนึ่งที่ทําให้แอป Power BI เหมาะสมกว่าสําหรับทีมขนาดใหญ่และสถานการณ์การกระจายเนื้อหาที่กว้างขึ้น
คําขอการเข้าถึงต่อรายการ
มีสองวิธีในการเรียนรู้เกี่ยวกับคําขอการเข้าถึงที่รอดําเนินการที่ส่งสําหรับแต่ละรายการ เช่น รายงาน
- อีเมล: ผู้ติดต่อสําหรับรายการจะได้รับการแจ้งเตือนทางอีเมล เพื่อให้การสนับสนุนที่ดียิ่งขึ้นสําหรับรายงานที่สําคัญ เราขอแนะนําให้คุณตั้งค่าผู้ติดต่อให้กับกลุ่มที่สามารถตอบสนองคําขอการเข้าถึงได้อย่างรวดเร็ว
- เมนูจัดการสิทธิ์: ผู้ดูแลระบบพื้นที่ทํางานและสมาชิกสามารถเข้าถึง หน้าจัดการสิทธิ์ สําหรับแต่ละรายการได้ พวกเขาสามารถดู อนุมัติ หรือปฏิเสธคําขอที่รอการเข้าถึง
จัดการคําขอการเข้าถึงกับกลุ่ม
เมื่อผู้ใช้ส่ง แบบฟอร์มการร้องขอการเข้าถึง สําหรับรายการ Power BI (เช่น รายงานหรือแบบจําลองความหมาย) หรือแอป Power BI คําขอจะถูกส่งสําหรับผู้ใช้แต่ละราย อย่างไรก็ตาม องค์กรขนาดใหญ่หลายแห่งจําเป็นต้องใช้กลุ่มเพื่อให้สอดคล้องกับนโยบายการรักษาความปลอดภัยภายใน
เราขอแนะนําให้คุณใช้กลุ่มแทนรายบุคคล เพื่อรักษาความปลอดภัยเนื้อหาเมื่อใดก็ตามที่ใช้ได้จริง สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการวางแผนสําหรับกลุ่ม ดูบทความ การวางแผน ความปลอดภัยระดับผู้เช่า
หากคุณต้องการให้สิทธิ์การเข้าถึงกลุ่มแทนผู้ใช้แต่ละราย เจ้าของเนื้อหาหรือผู้ดูแลระบบที่กําลังประมวลผลคําขอการเข้าถึงจะต้องดําเนินการคําขอให้เสร็จสมบูรณ์ในหลายขั้นตอน:
- ปฏิเสธคําขอที่รอดําเนินการใน Power BI (เนื่องจากคําขอดังกล่าวเชื่อมโยงกับผู้ใช้แต่ละราย)
- เพิ่มผู้ร้องขอไปยังกลุ่มที่ถูกต้องตามกระบวนการปัจจุบันของคุณ
- แจ้งให้ผู้ร้องขอทราบว่าพวกเขาสามารถเข้าถึงได้ในขณะนี้
เคล็ดลับ
ดู ร้องขอการเข้าถึงเวิร์กโฟลว์สําหรับผู้ สร้าง สําหรับข้อมูลเกี่ยวกับการตอบสนองคําขอสําหรับการสร้างการเข้าถึงจากผู้สร้างเนื้อหา นอกจากนี้ยังมีคําแนะนําเกี่ยวกับการใช้ฟอร์มสําหรับคําขอการเข้าถึง
รายการตรวจสอบ - เมื่อวางแผนเวิร์กโฟลว์ การร้องขอการเข้าถึง การตัดสินใจและการดําเนินการที่สําคัญประกอบด้วย:
- กําหนดว่าใครควรจัดการคําขอการเข้าถึงแอป: ตรวจสอบให้แน่ใจว่ากระบวนการจัดการคําขอการเข้าถึงแอปในเวลาที่เหมาะสม ตรวจสอบให้แน่ใจว่าได้รับมอบหมายรายชื่อติดต่อแอปเพื่อสนับสนุนกระบวนการ
- กําหนดว่าใครควรจัดการคําขอต่อรายการ: ตรวจสอบว่ามีกระบวนการจัดการคําขอการเข้าถึงในเวลาที่เหมาะสมหรือไม่ ตรวจสอบให้แน่ใจว่ามีการกําหนดผู้ติดต่อให้กับแต่ละรายการเพื่อสนับสนุนกระบวนการ
- รวมในเอกสารและการฝึกอบรมสําหรับผู้สร้างเนื้อหา: ตรวจสอบให้แน่ใจว่าผู้สร้างเนื้อหาเข้าใจวิธีการจัดการคําขอเข้าถึงในเวลาที่เหมาะสม ทําให้ผู้ใช้ทราบถึงวิธีการจัดการคําขอเมื่อควรใช้กลุ่มแทนผู้ใช้แต่ละราย
- ระบุในเอกสารและการฝึกอบรม: ใส่คําแนะนําสําหรับผู้สร้างเนื้อหาของคุณเกี่ยวกับวิธีการจัดการคําขอการเข้าถึงอย่างมีประสิทธิภาพ นอกจากนี้ยังรวมถึงคําแนะนําสําหรับผู้ใช้เกี่ยวกับข้อมูลที่จะรวมไว้ในข้อความร้องขอการเข้าถึงของพวกเขา
บังคับใช้ความปลอดภัยของข้อมูลตามข้อมูลประจําตัวของผู้บริโภค
คุณสามารถวางแผนเพื่อสร้างแบบจําลองเชิงความหมายและรายงานน้อยลงโดยการบังคับใช้ความปลอดภัยของข้อมูล วัตถุประสงค์คือการบังคับใช้ความปลอดภัยของข้อมูลโดยยึดตามข้อมูลประจําตัวของผู้ใช้ที่กําลังดูเนื้อหา
ตัวอย่างเช่น พิจารณาว่าคุณสามารถแชร์รายงานยอดขายเดียวกับพนักงานขายทั้งหมด (ผู้บริโภค) โดยทราบว่าพนักงานขายแต่ละรายจะเห็นเฉพาะผลลัพธ์ยอดขายสําหรับภูมิภาคของตนเท่านั้น วิธีนี้ช่วยให้คุณสามารถหลีกเลี่ยงความซับซ้อนของการสร้างรายงานที่ แยกต่างหากสําหรับแต่ละภูมิภาค ที่ต้องการแชร์กับพนักงานขายจากภูมิภาคการขายนั้น
บางองค์กรมีข้อกําหนดเฉพาะสําหรับแบบจําลองเชิงความหมาย (ได้รับการรับรองหรือเลื่อนระดับ) หรือ datamarts สําหรับข้อมูลที่จะใช้กันอย่างแพร่หลาย อาจมีข้อกําหนดในการใช้ความปลอดภัยของข้อมูล
คุณสามารถทําให้ความปลอดภัยของข้อมูลทําได้หลายวิธี
- แบบจําลองความหมายของ Power BI: ในฐานะผู้สร้างข้อมูล Power BI คุณสามารถบังคับใช้การรักษาความปลอดภัยระดับแถว (RLS) และการรักษาความปลอดภัยระดับวัตถุ (OLS) ได้ RLS เกี่ยวข้องกับการกําหนดบทบาทและกฎที่กรองแถวแบบจําลองข้อมูล ในขณะที่ OLS จะจํากัดการเข้าถึงตารางหรือคอลัมน์ที่ระบุ กฎ RLS และ OLS ที่กําหนดเหล่านี้จะไม่นําไปใช้กับการอ้างอิงที่จัดเก็บไว้ภายนอกแบบจําลองความหมาย เช่น ตัวแบ่งส่วนข้อมูลและการเลือกตัวกรอง ทั้งเทคนิค RLS และ OLS จะอธิบายเพิ่มเติมในภายหลังในส่วนนี้
- Analysis Services: แบบจําลองความหมายของการเชื่อมต่อสดสามารถเชื่อมต่อกับแบบจําลองข้อมูลระยะไกลได้ ซึ่งโฮสต์โดย Azure Analysis Services (AAS) หรือ SQL Server Analysis Services (SSAS) แบบจําลองระยะไกลสามารถบังคับใช้ RLS หรือ OLS ตามข้อมูลประจําตัวของผู้บริโภค
- แหล่งข้อมูล: แหล่งข้อมูลบางแหล่ง เช่น ฐานข้อมูล Azure SQL สามารถบังคับใช้ RLS ได้ ในกรณีนี้ แบบจําลอง Power BI สามารถใช้ประโยชน์จากความปลอดภัยที่มีอยู่แทนที่จะกําหนดใหม่ วิธีการดังกล่าวอาจเป็นประโยชน์อย่างมากเมื่อ RLS ที่กําหนดไว้ในแหล่งข้อมูลมีความซับซ้อน คุณสามารถพัฒนาและเผยแพร่แบบจําลอง DirectQuery และตั้งค่าข้อมูลประจําตัวของแหล่งข้อมูลของแบบจําลองความหมายในบริการของ Power BI เพื่อเปิดใช้งานการลงชื่อเข้าระบบครั้งเดียว (SSO) เมื่อผู้ใช้รายงานเปิดรายงาน Power BI จะส่งข้อมูลประจําตัวของพวกเขาไปยังแหล่งข้อมูล จากนั้นแหล่งข้อมูลจะบังคับใช้ RLS โดยยึดตามข้อมูลประจําตัวของผู้ใช้รายงาน สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Azure SQL Database RLS ดูที่บทความนี้
หมายเหตุ
ระบบต้นทาง เช่น ฐานข้อมูล SQL Azure ยังสามารถใช้เทคนิคเช่น มุมมอง เพื่อจํากัดสิ่งที่ผู้ใช้สามารถดูให้แคบลงได้ แม้ว่าจะเป็นเทคนิคที่ถูกต้อง แต่ก็ไม่เกี่ยวข้องกับโฟกัสของส่วนนี้
การรักษาความปลอดภัยระดับต่ำ
การรักษาความปลอดภัยระดับแถว (RLS) ช่วยให้ผู้สร้างแบบจําลองข้อมูลสามารถจํากัดการเข้าถึงชุดย่อยของข้อมูลได้ โดยทั่วไปแล้วจะใช้เพื่อให้แน่ใจว่าผู้ใช้รายงานบางรายไม่สามารถดูข้อมูลที่เฉพาะเจาะจงได้ เช่น ผลลัพธ์ยอดขายของภูมิภาคการขายอื่น ๆ
เคล็ดลับ
หากคุณสังเกตเห็นว่ามีคนสร้างรูปแบบข้อมูลหลายรูปแบบเพื่อสนับสนุนกลุ่มผู้บริโภคที่แตกต่างกันหรือไม่ ให้ตรวจสอบว่า RLS จะเป็นไปตามข้อกําหนดของพวกเขาหรือไม่ โดยทั่วไปแล้ว การสร้าง ทดสอบ และรักษาแบบจําลองข้อมูลหนึ่งตัวให้ดีกว่าการสร้าง ทดสอบ และรักษาแบบจําลองข้อมูลหนึ่งตัวแทนที่จะเป็นแบบจําลองข้อมูลหลายตัว
โปรดระวัง เนื่องจากถ้ารายงาน Power BI อ้างอิงแถวที่มีการกําหนดค่า RLS ข้อความเดียวกันจะแสดงเป็น สําหรับเขตข้อมูลที่ถูกลบหรือไม่มีอยู่ สําหรับผู้ใช้เหล่านี้ ดูเหมือนว่ารายงานจะเสียหาย
มีสองขั้นตอนสําหรับการตั้งค่า RLS: กฎและการแมปบทบาท
กฎ RLS
สําหรับแบบจําลองเชิงความหมาย ผู้สร้างแบบจําลองข้อมูลสามารถตั้งค่า RLS ใน Power BI Desktop ได้โดยการสร้างบทบาทอย่างน้อยหนึ่งบทบาท บทบาทมีชื่อที่ไม่ซ้ํากันในแบบจําลอง และโดยปกติจะมีกฎอย่างน้อยหนึ่งกฎ กฎจะบังคับใช้ตัวกรองในตารางแบบจําลองโดยใช้นิพจน์ตัวกรอง Data Analysis Expressions (DAX) ตามค่าเริ่มต้น แบบจําลองไม่มีบทบาท
สำคัญ
แบบจําลองที่ไม่มีบทบาทหมายความว่าผู้ใช้ (ที่มีสิทธิ์ในการคิวรีแบบจําลองข้อมูล) จะสามารถเข้าถึงข้อมูลแบบจําลองทั้งหมดได้
นิพจน์ กฎจะถูกประเมินภายในบริบทแถว บริบทแถวหมายถึง นิพจน์จะถูกประเมินสําหรับแต่ละแถวโดยใช้ค่าคอลัมน์ของแถวนั้น เมื่อนิพจน์ส่งกลับ TRUEผู้ใช้สามารถเห็นแถวได้ คุณสามารถกําหนดกฎที่คงที่หรือเป็นแบบไดนามิกได้
- กฎคงที่: ใช้นิพจน์ DAX ที่อ้างอิงถึงค่าคงที่ เช่น
[Region] = "Midwest" - กฎแบบไดนามิก: ใช้ฟังก์ชัน DAX เฉพาะที่แสดงค่าสภาพแวดล้อม (ตรงกันข้ามกับค่าคงที่) ค่าสภาพแวดล้อมจะแสดงจากฟังก์ชัน DAX ที่เฉพาะเจาะจงสามรายการ: USERNAME, USERPRINCIPALNAME และ CUSTOMDATA การกําหนดกฎแบบไดนามิกนั้นง่ายและมีประสิทธิภาพเมื่อตารางแบบจําลองจัดเก็บค่าชื่อผู้ใช้ ซึ่งช่วยให้คุณสามารถบังคับใช้การออกแบบ RLS ที่ขับเคลื่อนด้วยข้อมูลได้
การแมปบทบาท RLS
หลังจากที่คุณเผยแพร่แบบจําลองไปยังบริการของ Power BI แล้ว คุณต้องตั้งค่าการแมปบทบาทล่วงหน้าสําหรับผู้ใช้ที่เข้าถึงรายงานที่เกี่ยวข้อง การแมปบทบาทเกี่ยวข้องกับการกําหนดวัตถุความปลอดภัยของ Microsoft Entra ให้กับบทบาท วัตถุความปลอดภัยสามารถเป็นบัญชีผู้ใช้หรือกลุ่มความปลอดภัยได้
เมื่อใดก็ตามที่เป็นไปได้ การแมปบทบาทไปยัง กลุ่มความปลอดภัยเป็นแนวทางปฏิบัติที่ดีที่สุด ด้วยวิธีนี้จะมีการทําแผนที่น้อยลงและการจัดการสมาชิกกลุ่มสามารถจัดการได้โดยเจ้าของกลุ่ม
เราขอแนะนําให้คุณทําให้ข้อมูลบัญชีความปลอดภัยจาก Microsoft Entra พร้อมใช้งานสําหรับผู้สร้างเนื้อหาของคุณ ตัวเลือกหนึ่งคือการสร้าง กระแส ข้อมูลที่มีข้อมูลที่ซิงค์กับรหัส Microsoft Entra ด้วยวิธีผู้สร้างเนื้อหาสามารถรวมข้อมูลของกระแสข้อมูลเพื่อสร้างแบบจําลองความหมายที่อิงตามข้อมูล
เคล็ดลับ
คุณสามารถกําหนดบทบาทที่ไม่มีกฎได้ ในกรณีนี้ บทบาทให้การเข้าถึงแถวทั้งหมดของตารางแบบจําลองทั้งหมด การตั้งค่าบทบาทประเภทนี้เหมาะสมเมื่อผู้ดูแลระบบหรือผู้ใช้ได้รับอนุญาตให้ดูข้อมูลทั้งหมดในแบบจําลอง
ประสบการณ์ของผู้ใช้ RLS
บางองค์กรเลือกที่จะใช้ RLS เป็นเลเยอร์ความปลอดภัยรอง นอกเหนือจากสิทธิ์ Power BI มาตรฐาน พิจารณาสถานการณ์ต่อไปนี้: คุณแชร์ลิงก์ไปยังรายงานกับทั้งองค์กร ผู้ใช้ที่ดูรายงานต้องแมปกับบทบาท RLS เพื่อให้สามารถดูข้อมูลในรายงานได้ หากไม่ได้แมปกับบทบาท RLS พวกเขาจะไม่เห็นข้อมูลใด ๆ
การแสดงตนของ RLS จะเปลี่ยนประสบการณ์ใช้งานเริ่มต้นสําหรับผู้บริโภค
- เมื่อไม่ได้กําหนด RLS สําหรับแบบจําลองความหมาย: ผู้สร้างและผู้บริโภคที่ มีสิทธิ์การอ่านบนแบบจําลองความหมายเป็นอย่างน้อย สามารถดูข้อมูล ทั้งหมดใน แบบจําลองความหมายได้
- เมื่อมีการกําหนด RLS บนแบบจําลองความหมาย: ผู้สร้างและผู้บริโภคที่ มีสิทธิ์ในการอ่านเท่านั้น บนแบบจําลองความหมายเท่านั้นจะสามารถดูข้อมูลที่พวกเขาได้รับอนุญาตให้ดู (ตามการแมปบทบาท RLS ของพวกเขา)
หมายเหตุ
บางองค์กรบังคับใช้ RLS เป็นเลเยอร์ความปลอดภัยเพิ่มเติม โดยเฉพาะอย่างยิ่งเมื่อมีข้อมูลที่สําคัญเกี่ยวข้อง ด้วยเหตุผลนี้ คุณอาจเลือกที่จะต้องใช้ RLS สําหรับแบบจําลองความหมายที่ได้รับการรับรอง ข้อกําหนดดังกล่าวสามารถทําได้ด้วยกระบวนการตรวจทานและอนุมัติภายในก่อนที่จะรับรองแบบจําลองความหมาย
เมื่อผู้ใช้ดูรายงานในพื้นที่ทํางานหรือแอป RLS อาจหรืออาจไม่ถูกบังคับใช้ ทั้งนี้ขึ้นอยู่กับสิทธิ์แบบจําลองเชิงความหมายของพวกเขา ด้วยเหตุผลนี้ จึงเป็นสิ่งสําคัญที่ผู้บริโภคและผู้สร้างเนื้อหาจะต้องมีสิทธิ์ในการอ่านบนแบบจําลองความหมายพื้นฐานเมื่อมีการบังคับใช้ RLS เท่านั้น
นี่คือกฎสิทธิ์ที่กําหนดว่า RLS ถูกบังคับใช้หรือไม่
- ผู้ใช้มีสิทธิ์ในการอ่านบนแบบจําลองความหมาย: RLS ถูกบังคับใช้สําหรับผู้ใช้
- ผู้ใช้มีสิทธิ์ในการอ่านและสร้างบนแบบจําลองความหมาย: RLS จะถูกบังคับใช้สําหรับผู้ใช้
- ผู้ใช้มีสิทธิ์เขียนบนแบบจําลองความหมาย: RLS ไม่ได้บังคับใช้สําหรับผู้ใช้ ซึ่งหมายความว่าพวกเขาสามารถดูข้อมูลทั้งหมดในแบบจําลองความหมายได้ สิทธิ์การเขียนให้ความสามารถในการแก้ไขแบบจําลองความหมาย ซึ่งสามารถมอบให้ได้ในหนึ่งในสองวิธี:
- ด้วยบทบาทพื้นที่ทํางานผู้สนับสนุน สมาชิก หรือผู้ดูแลระบบ (สําหรับพื้นที่ทํางานที่มีการจัดเก็บแบบจําลองความหมาย)
- ด้วยสิทธิ์เขียนแบบจําลองความหมายต่อรายการ
เคล็ดลับ
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้พื้นที่ทํางานแยกต่างหาก เพื่อให้ RLS ทํางานได้สําหรับผู้สร้างเนื้อหา โปรดดู สถานการณ์การใช้งาน BI แบบบริการตนเองที่มีการจัดการ
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ RLS ดู จํากัดการเข้าถึงข้อมูลแบบจําลอง Power BI
RLS สําหรับ datamarts
นอกจากนี้ Power BI datamarts ยังสามารถบังคับใช้ RLS ได้ อย่างไรก็ตาม การใช้งานจะแตกต่างกัน
ความแตกต่างหลักคือ RLS สําหรับ datamarts ได้รับการตั้งค่าในบริการของ Power BI แทนที่จะตั้งค่าใน Power BI Desktop
ความแตกต่างอีกประการหนึ่งคือ datamarts บังคับใช้ RLS ทั้งในแบบจําลองเชิงความหมายและฐานข้อมูล Azure SQL ที่มีการจัดการที่เกี่ยวข้องกับ datamart การบังคับใช้ RLS ที่ทั้งสองเลเยอร์มีความสอดคล้องและความยืดหยุ่น ตัวกรอง RLS เดียวกันจะถูกนําไปใช้โดยไม่คํานึงถึงวิธีการที่ผู้ใช้คิวรีข้อมูล ไม่ว่าจะโดยการเชื่อมต่อกับแบบจําลองความหมายหรือไปยังฐานข้อมูล SQL Azure ที่มีการจัดการ
สําหรับข้อมูลเพิ่มเติม ดู RLS สําหรับ datamarts
การรักษาความปลอดภัยระดับออบเจ็กต์
การรักษาความปลอดภัยระดับวัตถุ (OLS) อนุญาตให้ผู้สร้างแบบจําลองข้อมูลจํากัดการเข้าถึงตารางและคอลัมน์ที่เฉพาะเจาะจง และเมตาดาต้าของตัวสร้างแบบจําลอง โดยทั่วไปคุณใช้ OLS เพื่อให้แน่ใจว่าผู้ใช้บางรายไม่สามารถมองเห็นคอลัมน์ที่ละเอียดอ่อน เช่น เงินเดือนของพนักงาน แม้ว่าจะไม่สามารถจํากัดการเข้าถึงหน่วยวัดได้ แต่หน่วยวัดใดก็ตามที่อ้างอิงคอลัมน์ที่ถูกจํากัดจะถูกจํากัด
พิจารณาตัวอย่างของตารางพนักงาน ซึ่งประกอบด้วยคอลัมน์ที่จัดเก็บชื่อพนักงานและหมายเลขโทรศัพท์ และเงินเดือน คุณสามารถใช้ OLS เพื่อให้แน่ใจว่าเฉพาะผู้ใช้บางราย เท่านั้น เช่น เจ้าหน้าที่ทรัพยากรบุคคลอาวุโส สามารถดูค่าเงินเดือนได้ สําหรับผู้ใช้ที่ไม่เห็นค่าเงินเดือนนั่นหมายความว่าไม่มีคอลัมน์นั้นอยู่
ดูแลเนื่องจากถ้าวิชวลรายงาน Power BI มีเงินเดือน ผู้ใช้ที่ไม่สามารถเข้าถึงเขตข้อมูลนั้นจะได้รับข้อความข้อผิดพลาด ข้อความจะแจ้งให้พวกเขาทราบว่าไม่มีวัตถุอยู่ สําหรับผู้ใช้เหล่านี้ ดูเหมือนว่ารายงานจะเสียหาย
หมายเหตุ
คุณยังสามารถกําหนด มุมมอง ในแบบจําลองข้อมูลได้ เปอร์สเปคทีฟจะกําหนดชุดย่อยของออบเจ็กต์แบบจําลองที่สามารถดูได้ เพื่อช่วยเน้นเฉพาะสําหรับผู้สร้างรายงาน มุมมองไม่ได้มีวัตถุประสงค์เพื่อจํากัดการเข้าถึงออบเจ็กต์แบบจําลอง ผู้ใช้ยังคงสามารถคิวรีตารางหรือคอลัมน์ได้แม้ว่าจะมองไม่เห็นก็ตาม ดังนั้น พิจารณามุมมองเป็นความสะดวกของผู้ใช้แทนที่จะเป็นคุณลักษณะการรักษาความปลอดภัย
ในขณะนี้ยังไม่มีอินเทอร์เฟซใน Power BI Desktop ในการตั้งค่า OLS คุณสามารถใช้ ตัวแก้ไขตาราง ซึ่งเป็นเครื่องมือของบุคคลที่สามสําหรับการสร้าง การบํารุงรักษา และการจัดการแบบจําลอง สําหรับข้อมูลเพิ่มเติม โปรดดู สถานการณ์การใช้งานการจัดการ แบบจําลองข้อมูลขั้นสูง
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ OLS โปรดดู จํากัดการเข้าถึงออบเจ็กต์แบบจําลอง Power BI
รายการตรวจสอบ - เมื่อวางแผน RLS และ OLS การตัดสินใจที่สําคัญและการดําเนินการประกอบด้วย:
- ตัดสินใจเกี่ยวกับกลยุทธ์สําหรับการใช้ RLS: พิจารณากรณีการใช้งานและวัตถุประสงค์ที่คุณต้องการใช้การรักษาความปลอดภัยระดับแถว
- ตัดสินใจเกี่ยวกับกลยุทธ์สําหรับการใช้ OLS: พิจารณากรณีการใช้งานและวัตถุประสงค์ที่คุณต้องการใช้การรักษาความปลอดภัยระดับวัตถุ
- พิจารณาข้อกําหนดสําหรับเนื้อหาที่ได้รับการรับรอง: หากคุณมีกระบวนการที่จําเป็นในการรับรองแบบจําลองความหมาย ให้ตัดสินใจว่าจะรวมข้อกําหนดเฉพาะใด ๆ สําหรับการใช้ RLS หรือ OLS
- สร้างและเผยแพร่คําแนะนําผู้ใช้: สร้างเอกสารสําหรับผู้ใช้ที่มีข้อกําหนดและการกําหนดลักษณะสําหรับการใช้ RLS และ OLS อธิบายวิธีการขอรับข้อมูลการแมปผู้ใช้ถ้ามีอยู่ในตําแหน่งที่ตั้งส่วนกลาง
- อัปเดตเอกสารการฝึกอบรม: รวมข้อมูลสําคัญเกี่ยวกับข้อกําหนดและการกําหนดลักษณะสําหรับ RLS และ OLS ในเอกสารการฝึกอบรมของผู้ใช้ ให้ตัวอย่างเพื่อให้ผู้ใช้เข้าใจว่าเมื่อใดที่เหมาะสมที่จะใช้เทคนิคการรักษาความปลอดภัยข้อมูล
เนื้อหาที่เกี่ยวข้อง
ใน บทความถัดไปในชุดนี้ คุณจะได้เรียนรู้เกี่ยวกับการวางแผนความปลอดภัยสําหรับผู้สร้างเนื้อหาที่มีหน้าที่รับผิดชอบในการสร้างแบบจําลองเชิงความหมาย กระแสข้อมูล แผนผังข้อมูล รายงาน หรือแดชบอร์ด