Power BI uygulama planlaması: Tüketici güvenliği planlamayı raporlama

  • Makale

Not

Bu makale, Power BI uygulama planlama makale serisinin bir bölümünü oluşturur. Bu seri öncelikle Microsoft Fabric içindeki Power BI iş yüküne odaklanır. Seriye giriş için bkz . Power BI uygulama planlaması.

Bu güvenlik planlama makalesinde salt okunur tüketicilere yönelik stratejiler açıklanmaktadır. Odak, raporlar ve uygulamalar için görüntüleyici izinlerine ve veri güvenliğinin nasıl zorunlu kılındığına bağlıdır. Öncelikli olarak şu hedeftedir:

  • Power BI yöneticileri: Kuruluşta Power BI'ı denetlemekle sorumlu olan yöneticiler.
  • Mükemmellik Merkezi, BT ve BI ekibi: Power BI'ı denetlemekle de sorumlu olan ekipler. Power BI yöneticileri, bilgi güvenliği ekipleri ve diğer ilgili ekiplerle işbirliği yapmaları gerekebilir.
  • İçerik oluşturucuları ve sahipleri: Diğer kullanıcıların tükettiği içeriği oluşturması, yayımlaması, güvenliğini sağlaması ve yönetmesi gereken self servis BI oluşturucuları.

Makale serisinin, Power BI güvenlik teknik incelemesindeki içeriği genişletmesi amaçlanmıştır. Power BI güvenlik teknik incelemesi kimlik doğrulaması, veri yerleşimi ve ağ yalıtımı gibi önemli teknik konulara odaklansa da, serinin birincil hedefi size güvenlik ve gizlilik planlamanıza yardımcı olacak önemli noktalar ve kararlar sağlamaktır.

Bir kuruluşta, birçok kullanıcı tüketici olarak sınıflandırılır. Tüketiciler, diğer kullanıcıların oluşturup yayımladığı içeriği görüntüler. Bu makalenin odak noktası tüketicilerdir. İçerik oluşturuculara ve sahiplere odaklanan güvenlik planlaması için İçerik oluşturucu güvenlik planlaması makalesine bakın.

Bu makaleden en iyi şekilde yararlanmak için Power BI bağlamında paylaşım ve dağıtım terimlerinin anlamını anlamak yararlı olacaktır.

Paylaşım , bir kullanıcının başka bir kullanıcıya (veya kullanıcı grubuna) belirli bir içerik öğesine erişim verdiği yerdir. Power BI hizmeti paylaşım özelliğinin kapsamı bir öğe olarak belirlenmiştir. En yaygın olarak birbirini bilen ve birlikte çalışan bireyler arasında gerçekleşir.

Dağıtım , içeriğin alıcı olarak bilinen diğer kullanıcılara teslim edildiği yerdir. Genellikle birden çok ekipte daha fazla sayıda kullanıcı içerir. Alıcılar içeriği açıkça istememiş olabilir, ancak rollerini gerçekleştirmek için bu içeriğe ihtiyaç duydukları kabul edilir. Dağıtılmış içeriği kullanan alıcılar, içeriğin özgün oluşturucusunu tanıyabilir veya tanımayabilir. Bu nedenle, kavram olarak dağıtım paylaşmaktan daha resmidir.

Diğer kişilerle konuştuğunuzda, paylaşım terimini genel bir şekilde mi yoksa kelimenin tam anlamıyla mı kullandıklarını belirleyin. Paylaşım teriminin kullanımı iki şekilde yorumlanabilir.

  • Paylaşım terimi genellikle iş arkadaşlarınızla içerik paylaşımıyla ilgili genel bir şekilde kullanılır. Salt okunur içerik teslim etmek için bu makalede açıklanan çeşitli teknikler vardır.
  • Paylaşım , Power BI'da da belirli bir özelliktir. Bir kullanıcıya veya gruba tek bir öğeye erişim izni verilen bir özelliktir. Paylaşım bağlantıları ve doğrudan erişim paylaşımı bu makalede açıklanmıştır.

Önemli

Power BI yönetici rolü yeniden adlandırıldı. Rolün yeni adı Doku yöneticisidir.

Salt okunur tüketiciler için strateji

tüketiciler, Power BI hizmeti her ikisi için de izni olduğunda bir raporu veya panoyu görüntüleyebilir:

  • Görselleştirmeleri (rapor veya pano gibi) içeren Power BI öğesini görüntüleyin.
  • Temel alınan verileri (daha önce veri kümesi olarak bilinen anlamsal model) veya başka bir kaynağı okuyun.

Farklı teknikler kullanarak tüketicilere salt okunur erişim sağlayabilirsiniz. Self servis içerik oluşturucular tarafından kullanılan yaygın teknikler şunlardır:

  • Kullanıcılara ve gruplara Power BI uygulamasına erişim verme.
  • Power BI çalışma alanı Görüntüleyicisi rolüne kullanıcı ve grup ekleme.
  • Paylaşım bağlantısı kullanarak kullanıcılara ve gruplara öğe başına izinler sağlama.
  • Doğrudan erişim kullanarak kullanıcılara ve gruplara öğe başına izinler sağlama.

Power BI uygulaması ve Power BI çalışma alanı Görüntüleyicisi rol seçenekleri, bir dizi öğe için izinleri yönetmeyi içerir. Öğe başına iki izin tekniği, tek bir öğe için izinleri yönetmeyi içerir.

İpucu

Genel olarak, çoğu tüketici için Power BI uygulaması kullanmak en iyi yöntemdir. Bazen çalışma alanı Görüntüleyicisi rolü de uygun olabilir. Hem Power BI uygulamaları hem de çalışma alanı Görüntüleyicisi rolü, birçok öğe için izinlerin yönetilmesine izin verir ve mümkün olduğunda kullanılmalıdır. Tek tek öğeler için izinleri yönetmek yorucu, zaman alıcı ve hataya açık olabilir. Buna karşılık, bir öğe kümesini yönetmek bakımı azaltır ve doğruluğu artırır.

Bir öğenin güvenlik ayarlarını gözden geçirirken, öğenin izinlerinin şunlardan biri olduğunu görebilirsiniz:

  • Çalışma alanından veya bir uygulamadan devralındı.
  • Doğrudan öğeye uygulanır.

Aşağıdaki ekran görüntüsünde , bir rapor için Doğrudan erişim izinleri gösterilir. Bu örnekte çalışma alanı Yönetici ve Üye rolleri bir gruba atanır. Rapor düzeyinde erişim çalışma alanından devralındığından bu roller rapor için gösterilir. Ayrıca doğrudan rapora Okuma izinleri uygulanmış bir kullanıcı da vardır.

Power BI hizmeti bir rapor için doğrudan erişim izinlerinin ekran görüntüsü.

Salt okunur tüketiciler için seçtiğiniz strateji farklı olabilir. Tek tek çözüme, çözümü kimin yönettiğine ilişkin tercihlere veya tüketicinin ihtiyaçlarına dayalı olmalıdır. Bu bölümün geri kalanında, kullanılabilir tekniklerin her birini ne zaman kullanmayı göz önünde bulunduracakları açıklanmaktadır.

Denetim Listesi - Salt okunur tüketicilere içerik sağlama stratejinizi oluştururken, önemli kararlar ve eylemler şunlardır:

  • Mevcut stratejinizi salt okunur tüketiciler için değerlendirme: İçeriğin şu anda tüketicilere nasıl dağıtıldığını ve paylaşıldığını doğrulayın. İyileştirme fırsatları olup olmadığını belirleyin.
  • Salt okunur tüketicilere yönelik stratejinize karar verin: Uygulama izinlerini, çalışma alanı rollerini veya öğe başına izinleri kullanma tercihlerinizi göz önünde bulundurun. Bu tercihleri karşılamak için değişiklikler gerekiyorsa, iyileştirmeler yapmak için bir plan oluşturun.

Power BI uygulama izinleri

Power BI uygulaması tüketicilere bir rapor, pano ve çalışma kitabı koleksiyonu sunar. Bir uygulama tüketiciler için en iyi kullanıcı deneyimini sağlar çünkü:

  • Uygulamanın gezinti bölmesi basit ve sezgisel bir kullanıcı deneyimi sağlar. Doğrudan çalışma alanındaki içeriğe erişmekten daha iyi bir deneyimdir.
  • İçerik, uygulamanın gezinti bölmesindeki bölümlere (klasörler gibi) mantıksal olarak düzenlenebilir.
  • Tüketiciler yalnızca hedef kitleleri için uygulamaya açıkça eklenmiş olan belirli öğelere erişebilir.
  • Ek bilgi, belge veya diğer içeriğin bağlantıları, izleyicileri için gezinti bölmesine eklenebilir.
  • Yerleşik erişim isteği iş akışı vardır.

Not

Bu makaledeki bir uygulamaya yapılan tüm başvurular Power BI uygulamasına başvurur. Power Apps'ten farklı bir kavramdır. Ayrıca Power BI mobil uygulamalarından farklı bir kavramdır. Bu bölümde, odak şablon uygulamaları yerine kuruluş uygulamalarıdır.

Çalışma alanı içeriğinin bazılarını veya tümünü dağıtmak için resmi bir yol olarak her çalışma alanı için bir uygulama oluşturabilirsiniz. Uygulamalar, özellikle tanımadığınız veya yakın işbirliği yapmadığınız kullanıcılara kuruluş içinde içerik dağıtmak için iyi bir yoldur.

İpucu

Geniş kapsamlı içerik dağıtımı için Power BI uygulaması kullanma hakkında daha fazla bilgi için bkz . Kurumsal BI kullanım senaryosu. İçerik dağıtması gereken içerik oluşturucuların ilk tercihleri olarak bir uygulama oluşturmayı göz önünde bulundurmalarını öneririz.

Uygulama izinlerini çalışma alanı rollerinden ayrı olarak yönetirsiniz. İzinlerin ayrılmasının iki avantajı vardır. Bu, şu teşvikleri sağlar:

  • İçerik oluşturuculara çalışma alanı erişimi verme. İçerik üzerinde semantik model oluşturucuları, rapor oluşturucuları ve test ediciler gibi etkin bir şekilde işbirliği yapan kullanıcıları içerir.
  • Tüketicilere uygulama izinleri verme. Çalışma alanı izinlerinden farklı olarak, uygulama izinleri her zaman salt okunur (veya yok) olur.

Çalışma alanı erişimi olan tüm kullanıcılar uygulamayı otomatik olarak görüntüleyebilir (çalışma alanı için bir Power BI uygulaması yayımlandığında). Bu davranış nedeniyle, çalışma alanı rollerinin her uygulama hedef kitlesi tarafından devralındığını kavramsal olarak düşünebilirsiniz. Çalışma alanı erişimi olan bazı kullanıcılar, atanan çalışma alanı rollerine bağlı olarak Power BI uygulamasını da güncelleştirebilir.

İpucu

Çalışma alanı erişimi hakkında daha fazla bilgi için İçerik oluşturucu güvenlik planlaması makalesine bakın.

İçeriği salt okunur tüketicilere dağıtmak için bir uygulama kullanmak aşağıdaki durumlarda en iyi seçenektir:

  • Kullanıcıların yalnızca ilgili hedef kitle için görünen belirli öğeleri (temel çalışma alanı içindeki tüm öğeler yerine) görüntüleyebilmesini istiyorsunuz.
  • Uygulamanın salt okunur izinlerini çalışma alanından ayrı olarak yönetmek istiyorsunuz.
  • Salt okunur kullanıcılar için öğe başına izinlerden daha basit izin yönetimi istiyorsunuz.
  • Tüketiciler için satır düzeyi güvenliğin zorunlu kılındığından emin olmak istiyorsunuz (temel alınan anlam modeli üzerinde salt okunur izinlere sahip olduklarında).
  • Uygulama yeniden yayımlanana kadar tüketicilerin yeni ve değiştirilmiş raporları görüntüleyememelerini sağlamak istiyorsunuz.

Raporlarda ve panolarda yapılan değişikliklerin uygulama yeniden yayımlanana kadar uygulama kullanıcıları tarafından görülmeyecek olduğu doğru olsa da, dikkat edilmesi gereken iki nokta vardır.

  • Anında semantik model değişiklikleri: Anlam modeli değişiklikleri her zaman hemen etkinleşir. Örneğin, çalışma alanında semantik modelde hataya neden olan değişiklikler eklerseniz, raporlar yanlışlıkla kararsız hale gelebilir (uygulamada yeniden yayımlanmamış olsalar bile). Bu riski azaltmanın iki yolu vardır: İlk olarak, tüm geliştirme çalışmalarını Power BI Desktop'ta yapın (çalışma alanından ayrı). İkincisi, geliştirme ve test için ayrı çalışma alanları kullanarak üretim uygulamasını yalıtın. (İsteğe bağlı olarak, dağıtım işlem hatlarını kullanarak çalışma alanı içeriğini geliştirmeden test ve üretime dağıtma üzerinde daha yüksek bir denetim düzeyi elde edebilirsiniz.)
  • İçerik ve izinler birlikte yayımlanır: Bir uygulamayı yayımladığınızda, bu uygulamanın izinleri içerikle aynı anda yayımlanır. Örneğin, henüz tamamlanmamış, tam olarak test edilmiş veya onaylanmamış bir çalışma alanında rapor değişiklikleriniz olabilir. Bu nedenle, yalnızca izinleri güncelleştirmek için uygulamayı yeniden yayımlayamazsınız. Bu riski azaltmak için güvenlik gruplarına uygulama izinleri atayın ve uygulama izinleri verirken güvenlik grubu üyeliklerini (tek tek kullanıcılar yerine) kullanın. Yalnızca izin değişikliklerini uygulamak için bir uygulamayı yeniden yayımlamaktan kaçının.

Uygulama hedef kitlesi

Power BI hizmeti her çalışma alanında yalnızca bir Power BI uygulaması olabilir. Ancak, uygulama içinde bir veya daha fazla hedef kitle oluşturabilirsiniz. Aşağıdaki senaryoyu değerlendirin.

  • Küresel satış kuruluşunuz genelinde birçok kullanıcıya dağıtılan beş satış raporunuz vardır.
  • Uygulamada satış temsilcileri için bir hedef kitle tanımlanır. Bu hedef kitle beş rapordan üçünün görüntüleyebilir.
  • Uygulamada satış liderliği ekibi için başka bir hedef kitle tanımlanır. Bu hedef kitle, satış temsilcilerinin kullanabildiği iki rapor da dahil olmak üzere beş raporun tümünü görüntüleyebilir.

İçeriği ve hedef kitleleri karıştırma ve eşleştirme özelliği aşağıdaki avantajlara sahiptir.

  • Belirli raporlar birden çok hedef kitle tarafından görüntüleyebilir. Bu nedenle, birden çok hedef kitle oluşturmak, farklı çalışma alanlarında yinelenen içerik gereksinimini ortadan kaldırır.
  • Belirli raporlar yalnızca bir hedef kitle tarafından kullanılabilir olmalıdır. Bu nedenle, bu hedef kitlenin içeriği diğer ilgili içerikle aynı çalışma alanında bulunabilir.

Aşağıdaki ekran görüntüsünde iki hedef kitleye sahip bir uygulama gösterilmektedir: Satış Liderliği ve Satış Temsilcileri. Hedef Kitle Erişimini Yönet bölmesi, satış liderliği-Kuzey Amerika ve Satış Liderliği-Avrupa olmak üzere iki güvenlik grubu için Satış Liderliği hedef kitle grubuna erişim sağlar. Satış Liderliği hedef kitle grubunun ekran görüntüsünde gösterilen Brüt Kar Analizi raporu, Satış Temsilcileri hedef kitle grubu tarafından kullanılamaz.

Power BI hizmeti uygulama hedef kitlesi kurulumunun ekran görüntüsü.

Not

Hedef kitle grubu terimi bazen kullanılır. Bu, güvenlik gruplarının kullanımına doğrudan başvuru değildir. Bir Power BI uygulamasında içerik koleksiyonunu görecek hedef kitlenin üyelerini içerir. Tek tek kullanıcıları bir hedef kitleye atayabilirsiniz ancak güvenlik gruplarını, Microsoft 365 gruplarını veya dağıtım gruplarını pratik olduğunda atamak en iyi yöntemdir. Daha fazla bilgi için Kiracı düzeyinde güvenlik planlaması makalesindeki grupları kullanma stratejisine bakın.

Bir uygulamanın izinlerini yönetirken, Doğrudan Erişim sayfasında her hedef kitlenin üyelerini görüntüleyebilirsiniz. Çalışma alanı rolüne sahip kullanıcıların Tüm hedef kitleler altında listelendiğini de görebilirsiniz. Doğrudan Erişim sayfasından uygulama izinlerini güncelleştiremezsiniz. Bunun yerine, uygulamayı yeniden yayımlamanız gerekir. Ancak, uygulama için açık erişim istekleri olduğunda Bekleyen sayfasından uygulama izinlerini güncelleştirebilirsiniz.

İpucu

Uygulama hedef kitlelerini kullanmanın birincil kullanım örneği, farklı kullanıcı kümeleri için belirli izinleri tanımlamaktır. Ancak, hedef kitleleri kullanırken biraz yaratıcı olabilirsiniz. Bir kullanıcı birden çok hedef kitlenin üyesi olabilir ve her hedef kitle uygulamanın izleyicilerine ikincil bir menü kümesi olarak gösterilir. Örneğin, uygulamayı kullanma, iletişim kurma, geri bildirim sağlama ve yardım alma hakkında bilgi içeren Buradan Başlat adlı bir hedef kitle oluşturabilirsiniz. Alternatif olarak, veri sözlüğü içeren KPI Tanımları adlı bir hedef kitle de oluşturabilirsiniz. Bu tür bilgilerin sağlanması, yeni kullanıcılara yardımcı olur ve çözüm benimseme çalışmalarını geliştirir.

Uygulama izni seçenekleri

Bir uygulama oluşturduğunuzda (veya yeniden yayımladığınızda), her hedef kitlenin bir İzleyici Erişimini Yönet bölmesi vardır. Bu bölmede aşağıdaki izinler kullanılabilir.

  • Erişim izni ver: Her hedef kitle için tek tek kullanıcılara ve gruplara erişim vekleyebilirsiniz. Uygulamaları kuruluş kiracısının tamamında yayımla ayarı etkinleştirildiğinde ve uygulama otomatik olarak yüklenmediğinde uygulamayı kuruluşun tamamında yayımlamak mümkündür. Mümkün olduğunda, kullanıcıları eklemek veya kaldırmak uygulamanın yeniden yayımlanmasını gerektirdiğinden, grupları hedef kitlelere atamanızı öneririz. Çalışma alanı erişimi olan herkesin çalışma alanı rolüne bağlı olarak uygulamayı görüntüleme veya güncelleştirme izni otomatik olarak vardır.
  • Anlam modeli izinleri: Bir uygulama yayımlanırken iki tür anlam modeli izni verilebilir:
    • Anlam modeli Yeniden Paylaşımı: Etkinleştirildiğinde, uygulama kullanıcılarına temel alınan anlamsal modellerde yeniden paylaşma izni verilir. Temel alınan anlamsal modeller herkesle kolayca yeniden paylaşılabildiğinde bu seçeneği etkinleştirmek mantıklıdır. Uygulama hedef kitlesine Yeniden Paylaşma izni vermeden önce anlam modeli sahiplerinden onay almanız önerilir.
    • Anlam modeli Derlemesi: Etkinleştirildiğinde, uygulama kullanıcılarına anlamsal modeller için Derleme izni verilir. Derleme izni, kullanıcıların yeni raporlar oluşturmasına, raporlardan temel alınan verileri dışarı aktarmasına ve daha fazlasına olanak tanır. Uygulama hedef kitlesine Derleme izni vermeden önce anlam modeli sahiplerinden onay almanız önerilir.

Bir uygulamayı yayımlarken semantik modeli Yeniden Paylaşma veya Derleme izinlerini ekleme özelliği kullanışlıdır. Ancak, uygulama izinlerini ve anlam modeli izinlerini ayrı ayrı yönetmeyi göz önünde bulundurmanızı öneririz. Bunun nedenleri şunlardır.

  • Paylaşılan anlam modeli ayrı bir çalışma alanında olabilir: Anlam modeli uygulamadan ayrı bir çalışma alanında yayımlanıyorsa, izinlerini doğrudan yönetmeniz gerekir. Bir uygulamayı yayımlarken Okuma, Derleme veya Yeniden Paylaşma izinleri ekleme özelliği yalnızca uygulamayla aynı çalışma alanında yer alan anlamsal modellerde kullanılabilir. Bu nedenle, semantik model izinlerini bağımsız olarak yönetme alışkanlığı edinmenizi öneririz.
  • Anlam modeli izinleri ayrı olarak yönetilir: Bir uygulamanın izinlerini kaldırır veya değiştirirseniz, bu eylem yalnızca uygulamayı etkiler. Daha önce atanmış olan anlamsal model izinlerini otomatik olarak kaldırmaz. Bu şekilde, uygulama izinlerini ve anlam modeli izinlerini ayrılmış olarak düşünebilirsiniz. Anlam modeli izinleri değiştiğinde veya kaldırılması gerektiğinde semantik modeli uygulamadan ayrı olarak doğrudan yönetmeniz gerekir.
  • Anlam modeli izinleri denetlenmelidir: Bir uygulama aracılığıyla anlam modeli izinleri verilmesi, semantik model sahibinden denetimi kaldırır. Yeniden Paylaşma izninin verilmesi, anlamsal modelleri yeniden paylaşmayı seçen kullanıcılar tarafından iyi bir karar verilmesini gerektirir. Yeniden paylaşmaya izin verildiğinde iç idarenizin veya güvenlik yönergelerinizin yönetilmesi daha zor olabilir.
  • Tüketicilerin ve oluşturucuların farklı hedefleri vardır: Genellikle, bir kuruluştaki oluşturuculardan çok daha fazla içerik tüketicisi vardır. En düşük ayrıcalık ilkesine uygun olarak, tüketicilerin yalnızca temel alınan anlam modeli için Okuma iznine ihtiyacı vardır. Yeni raporlar oluşturmayı amaçlamadıkları sürece Derleme iznine ihtiyaçları yoktur.

İpucu

Ayrı veri çalışma alanlarının ve raporlama çalışma alanlarının ne zaman kullanılacağı hakkında daha fazla bilgi için Çalışma alanı düzeyinde planlama makalesine bakın.

Uygulama yükleme öncesi hakları

Bir Power BI uygulamasını yayımladıktan sonra, kullanıcının uygulamayı açabilmesi için normalde yüklemesi gerekir. Kullanıcı, Power BI hizmeti Uygulamalar sayfasından veya başka bir kullanıcıdan aldığı bağlantıyı kullanarak bir uygulama yükleyebilir. Uygulamanın en az bir hedef kitlesine dahil edildiğinde uygulamayı bulabilir (ve yükleyebilir).

Bir uygulamayı yüklemek için alternatif bir yaklaşım, uygulamayı uygulama tüketicilerine göndermektir. Uygulamanın Power BI hizmeti Uygulamalar sayfasında otomatik olarak gösterebilmesi için uygulamanın önceden yüklenmesine neden olur. Uygulamayı bulup yüklemeleri gerekmeyen tüketiciler için bu yaklaşım kolaylık sağlar. Ancak, önceden yüklenmiş uygulamalar kullanıcılar için sıkıntıya neden olabilir çünkü kendileri için uygun olmayan çok fazla uygulama tarafından bunalmış olabilirler.

Uygulamaları son kullanıcılara gönder kiracı ayarı, uygulamaları kimlerin otomatik olarak yüklemesine izin verleneceğini denetler. Kullanıcılar için uygun olduğundan bu özelliği kullanmanızı öneririz. Bununla birlikte, içerik oluşturucularınızı ne zaman kullanacağınız konusunda da eğitmeniz önerilir; böylece içerik oluşturucularınız aşırı kullanılmaz.

İpucu

Bir uygulamayı yayımlarken, uygulamayı otomatik olarak yükleme seçeneğini belirlerseniz, hedef kitleyi kuruluşun tamamı olacak şekilde ayarlayamazsınız (uygulamaları son kullanıcılara gönder kiracı ayarı etkinleştirildiyse).

Denetim listesi - İçerik görüntüleyicileri için uygulamaları kullanmaya yönelik stratejinizi oluştururken önemli kararlar ve eylemler şunlardır:

  • Uygulamaların kullanımına yönelik stratejiye karar verin: Uygulamaların nasıl kullanılacağına ilişkin tercihlerinizi tanımlayın. Bunun salt okunur tüketicilere yönelik genel stratejinizle uyumlu olduğundan emin olun.
  • Tüm kuruluşta kimlerin uygulama yayımlayabileceğine karar verme: Hangi rapor oluşturucularının kuruluşun tamamında yayımlayabileceklerine karar verin. Bu kararla uyumlu olması için Uygulamaları tüm kuruluş kiracısına yayımla ayarını belirleyin.
  • Uygulamaları son kullanıcılara kimlerin gönderebileceğine karar verin: Hangi Power BI rapor oluşturucularının uygulamaları önceden yükleyebileceğine karar verin. Bu kararla uyumlu hale getirmek için Uygulamaları son kullanıcılara gönder kiracı ayarını belirleyin.
  • İçerik oluşturucuları için kılavuz oluşturma ve yayımlama: İçerik oluşturucuları için belge ve eğitim sağlayın. Uygulamaların en etkili şekilde nasıl kullanılacağına ilişkin gereksinimleri ve tercihleri ekleyin.
  • Uygulama erişim isteklerinin nasıl işleneceğini belirleme: Kişileri atamak ve uygulama erişim isteklerini zamanında işlemek için bir işlemin uygulandığını emin olun.

Çalışma Alanı Görüntüleyicisi rolü

Çalışma alanı planlama makalelerinde açıklandığı gibi, çalışma alanının birincil amacı işbirliğidir. Anlam modeli oluşturucuları, rapor oluşturucuları ve test ediciler gibi çalışma alanı ortak çalışanları üç rolden birine atanmalıdır: Katkıda Bulunan, Üye veya Yönetici. Bu roller İçerik oluşturucu güvenlik planlaması makalesinde açıklanmıştır.

Çalışma alanı Görüntüleyicisi rolünü tüketicilere atayabilirsiniz. Tüketicilerin içeriğe doğrudan bir çalışma alanında erişmesine izin vermek, birlikte çalışan küçük ekipler ve resmi olmayan ekipler için anlamlı olabilir.

Tüketicilerin çalışma alanı içeriğine doğrudan erişmesine izin vermek aşağıdaki durumlarda iyi bir seçimdir:

  • Ayrı izinlere sahip bir uygulamanın resmiyeti gerekli değildir.
  • Görüntüleyicilerin çalışma alanında depolanan tüm öğeleri görüntülemesine izin verilir.
  • Öğe başına izinlerden daha basit izin yönetimi istiyorsunuz.
  • Çalışma alanı kullanıcıları bir uygulamayı da görüntüleyebilir (çalışma alanı için bir uygulama yayımlandığında).
  • Amaç, izleyicilerin bir uygulamada yayımlanmadan önce içeriği gözden geçirmesini sağlamaktır.

Çalışma alanı görüntüleyicilerini desteklemeye yönelik bazı öneriler aşağıdadır.

  • Öğelerin rapor tüketicileri tarafından kolayca bulunabilmesi ve güvenlikle uyumlu olması için her çalışma alanındaki içeriği düzenleyin. Konu alanına veya projeye göre çalışma alanı düzenlemesi genellikle iyi çalışır.
  • Devam eden öğelere izleyiciler tarafından erişilmemesi için geliştirme ve test içeriğini üretim içeriğinden ayırın.
  • İşlenmek üzere çok sayıda erişim isteği olmasını beklerken uygulamaları (veya uygun olduğunda öğe başına izinleri) kullanın. Çalışma alanları için erişim isteği iş akışı yoktur.

Denetim listesi - İçerik görüntüleyicileri için çalışma alanlarını kullanma stratejinizi oluştururken önemli kararlar ve eylemler şunlardır:

  • Çalışma alanı Görüntüleyicisi rolünü kullanmaya yönelik bir stratejiye karar verin: Tüketiciler için çalışma alanlarının nasıl kullanılacağına ilişkin tercihlerinizi tanımlayın. Bunun salt okunur tüketicilere yönelik genel stratejinizle uyumlu olduğundan emin olun.
  • İçerik oluşturucuları için kılavuz oluşturma ve yayımlama: İçerik oluşturucuları için belge ve eğitim sağlayın. Çalışma alanı izinlerinin en etkili şekilde nasıl kullanılacağına ilişkin gereksinimleri ve tercihleri ekleyin.

Öğe başına izinler

Tek tek öğe paylaşımı tek bir öğeye izin verir. Paylaşım komutları Power BI hizmeti belirgin bir şekilde görüntülendiğinden, daha az deneyimli içerik oluşturucular bu tekniği genellikle birincil paylaşım tekniği olarak kullanır. Bu nedenle, içerik oluşturucularınızı çalışma alanı rolleri yerine uygulama izinlerinin ne zaman kullanılacağı da dahil olmak üzere farklı paylaşım seçenekleri konusunda eğitmeniz önemlidir.

Öğe başına izinler şu durumlarda iyi bir seçimdir:

  • Bir öğeye (rapor veya pano) salt okunur erişim sağlamak istiyorsunuz.
  • Tüketicinin bir çalışma alanında yayımlanan tüm içeriği görüntülemesini istemezsiniz.
  • Tüketicinin bir uygulama hedef kitlesinde yayımlanan tüm içeriği görüntülemesini istemezsiniz.

Paylaşım tek bir öğeye Okuma izni verdiğinden, öğe başına izinleri tedbirli kullanın. Bir şekilde, öğe başına izinleri çalışma alanı rollerinin veya uygulama izinlerinin geçersiz kılması olarak düşünebilirsiniz.

İpucu

Mümkün olduğunda uygulama izinlerini kullanmanızı öneririz. Ardından, doğrudan çalışma alanı erişimini etkinleştirmek için çalışma alanı rollerini kullanmayı göz önünde bulundurun. Son olarak, yukarıdaki ölçütlere uyan öğe başına izinleri kullanın. Uygulama izinleri ve çalışma alanı rolleri, daha iyi bir güvenlik uygulaması olan bir içerik koleksiyonu (tek tek öğeler yerine) için güvenliği belirtir.

Öğe başına izinleri kullanarak birçok öğenin paylaşılması, özellikle gruplar yerine tek tek kullanıcılarla paylaşım yaparken zahmetli ve hataya açık olabilir. Bu senaryoya göz önünde bulundurun: İş arkadaşlarınızla kendi kullanıcı hesaplarını kullanarak paylaştığınız 40 raporunuz var. Bir iş arkadaşınız farklı bir departmana aktarıldığında, 40 raporun tümü için düzenleme izinlerini içeren erişimini iptal etmeniz gerekir.

Önemli

Kişisel çalışma alanından içerik paylaşma işlemi seyrek yapılmalıdır. Kişisel çalışma alanları kritik olmayan, resmi olmayan veya geçici içeriğe en uygun olanlardır. İçerik oluşturucuların kişisel çalışma alanlarındaki önemli veya kritik içerikleri sık sık paylaştığı bir durumla karşı karşınıza çıkarsa, bu içeriği standart bir çalışma alanına taşımak için uygun eylemi gerçekleştirmeniz gerekir. Daha fazla bilgi için bkz . kişisel BI kullanım senaryosu.

Tek bir öğeyi paylaştığınızda, çeşitli izin seçenekleriniz vardır.

  • Yeniden paylaşma izni: Kullanıcılar etkinleştirildiğinde, öğeyi temel alınan anlam modelleri de dahil olmak üzere diğer kullanıcılarla paylaşabilir. Öğe herkesle kolayca paylaşılabilirken bu izni vermek mantıklıdır. Öğeyi yöneten kişi veya ekipten denetimi kaldırır. Bu nedenle, Yeniden Paylaşım izni verilen kullanıcılar tarafından iyi bir karara dayanır. Ancak, yeniden paylaşmaya izin verildiğinde iç idarenizin veya güvenlik yönergelerinizin yönetilmesi daha zor olabilir.
  • Derleme izni: Etkinleştirildiğinde, kullanıcılara temel alınan anlam modeli için Derleme izni verilir. Derleme izni, kullanıcıların anlam modelini temel alan yeni içerik oluşturmasına olanak tanır. Ayrıca raporlardan temel alınan verileri ve daha fazlasını dışarı aktarmalarını sağlar. Derleme izni vermeyle ilgili dikkat edilmesi gerekenler İçerik oluşturucu güvenlik planlaması makalesinde açıklanmıştır.

Raporlar ve panolar için öğe başına izinler, içerik birkaç kullanıcıyla paylaşıldığında resmi olmayan senaryolar için anlamlı olabilir. Özellikle çok sayıda kullanıcı veya ekibi dışındaki kullanıcılarla içerik paylaşırken kullanıcıları uygulamalar ve çalışma alanlarıyla izinleri yönetme konusunda eğitmek iyi bir fikirdir. Aşağıdaki noktaların vurgu edilmesi önemlidir.

  • Her rapor ve panodaki izinlerin tek tek gözden geçirilmesi gerektiğinden, hangi içeriğin hangi kullanıcılarla paylaşıldığını belirlemek daha zor hale gelir.
  • Çoğu durumda, kullanıcı deneyimi bu seçeneği varsayılan olarak etkinleştirdiğinden Yeniden Paylaşma izni ayarlanır. Bu nedenle, içeriğin hedeflenenden daha geniş bir kullanıcı kümesiyle paylaşılması riski vardır. Paylaşım sırasında Alıcıların bu raporu paylaşmasına izin ver seçeneğinin işareti kaldırılarak bu sonuç önlenebilir. Bu şekilde fazla paylaşımı en aza indirmek bir kullanıcı eğitimi sorunudur. Paylaşım izinlerini ayarlayan içerik oluşturucu bu seçimi her seferinde dikkate almalıdır.
  • Raporlarda ve panolarda yapılan tüm değişiklikler hemen başkaları tarafından görüntülenebilir ve bu da içerik değişiklikleri devam ederken kullanıcıların kafasını karıştırabilir. Bu sorun, bir uygulamada içerik dağıtılarak veya geliştirme, test ve üretim içeriğini ayırmak için ayrı çalışma alanları kullanılarak azaltılabilir. Daha fazla bilgi için bkz . Self servis içerik yayımlama kullanım senaryosu.
  • Bir kullanıcı kişisel çalışma alanından içerik paylaştığında ve kuruluştan ayrıldığında, BT genellikle kullanıcı hesabını devre dışı bırakır. Bu durumda, paylaşılan içeriğin tüm alıcıları içeriğe erişimi hemen kaybeder.

Belirli üç paylaşım türü vardır: paylaşım bağlantıları, doğrudan erişim paylaşımı ve paylaşılan görünümler.

Tek bir öğeyi paylaştığınızda, varsayılan deneyim bir paylaşım bağlantısıyla sonuçlandığında. Üç tür paylaşım bağlantısı vardır.

  • Kuruluşunuzda Kişiler: Power BI kiracı ayarlarınızda etkinleştirildiğinde, bu paylaşım bağlantısı türü kuruluştaki herkese salt okunur erişim sağlamanın kolay bir yoludur. Ancak, paylaşım bağlantısı dış kullanıcılar için çalışmaz. Bu seçenek, herkesin içeriği görüntüleyebileceği ve bağlantının kuruluş genelinde serbestçe paylaşılabilmesi için en uygun seçenektir. Paylaşılabilir bağlantıların kuruluşunuzdaki herkese erişim izni vermesine izin ver kiracı ayarı tarafından devre dışı bırakılmadığı sürece, bu paylaşım türü varsayılandır.
  • Mevcut erişimle Kişiler: Bu seçenek yeni bir paylaşım bağlantısı oluşturmaz. Bunun yerine, URL'yi zaten erişimi olan birine gönderebilmeniz için almanıza olanak tanır.
  • Belirli kişiler: Bu seçenek belirli kullanıcılar veya gruplar için bir paylaşım bağlantısı oluşturur. Belirli bir erişim sağladığından bu seçeneği çoğu zaman kullanmanızı öneririz. Genellikle dış kullanıcılarla çalışıyorsanız, Microsoft Entra Id'de (önceden Azure Active Directory olarak bilinirdi) zaten var olan konuk kullanıcılar için bu bağlantı türünü kullanabilirsiniz. Konuk kullanıcı oluşturmaya yönelik planlanan davet işlemi hakkında daha fazla bilgi için Kiracı düzeyinde güvenlik planlaması makalesine bakın.

Önemli

Kuruluş kiracınızdaki herkese erişim izni vermek için paylaşılabilir bağlantılara izin ver ayarını bir grubun üyeleriyle kısıtlamayı göz önünde bulundurmanızı öneririz. Power BI Share to Entire Organization gibi bir grup adı oluşturabilir ve ardından kuruluş genelinde paylaşımın etkilerini anlayan az sayıda kullanıcı ekleyebilirsiniz. Kuruluş genelindeki mevcut bağlantılar hakkında endişeleriniz varsa, tüm kuruluşla paylaşılan tüm öğeleri bulmak için yönetici API'sini kullanabilirsiniz.

Paylaşım bağlantısı öğeye Okuma izni ekler. Yeniden Paylaşma izni varsayılan olarak seçilidir. Paylaşım bağlantısının oluşturulmasıyla aynı anda temel alınan anlam modeline Derleme izni eklemek de mümkündür.

İpucu

İçerik oluşturuculara, Yalnızca raporun tüketicisi aynı zamanda rapor oluşturması, verileri dışarı aktarması veya temel alınan anlam modelinden bileşik model oluşturması gerekebilecek bir içerik oluşturucu olduğunda Derleme izni seçeneğini etkinleştirmeyi öğretmenizi öneririz.

Paylaşım bağlantılarının bakımı, özellikle toplu değişiklikler yapmanız gerektiğinde doğrudan erişim paylaşımından daha kolaydır. Tek tek kullanıcılara paylaşım izinleri verilmesi, gruplardan daha fazla bir avantajdır (genellikle self servis kullanıcıları izinleri yönetmekten sorumlu olduğunda ortaya çıkar). Aşağıdaki karşılaştırmaları göz önünde bulundurun.

  • Paylaşım bağlantısı: 20 kullanıcıya paylaşım bağlantısıyla erişim verilir. Bağlantıda yapılan tek bir değişiklik, 20 kullanıcıyı da etkiler.
  • Doğrudan erişim: 20 kişiye bir öğeye doğrudan erişim verilir. Değişiklik yapmak için 20 kullanıcı izninin tümü değiştirilmelidir.

Öğe başına doğrudan erişim izinleri

Doğrudan erişimi kullanarak öğe başına izinler de elde edebilirsiniz. Doğrudan erişim, tek bir öğe için izinleri ayarlamayı içerir. Çalışma alanı rollerinden türetilen devralınan izinleri de belirleyebilirsiniz.

Bir kullanıcıya doğrudan erişim verdiğinizde, kullanıcıya öğe için Okuma izni verilir. Temel alınan anlam modeli için Derleme izni olduğu gibi, Varsayılan olarak Yeniden Paylaşma izni seçilir. İçerik oluşturuculara, yalnızca bu raporun tüketicisi aynı zamanda rapor oluşturması, verileri dışarı aktarması veya temel alınan anlam modelinden bileşik modeller oluşturması gerekebilecek bir içerik oluşturucu olduğunda Oluşturma iznini etkinleştirmeyi öğretmenizi öneririz.

İpucu

Kullanıcı deneyimi, Yeniden Paylaşma ve Derleme izinlerinin verilmesini çok basit hale getirir, ancak paylaşımı yapan kullanıcı her zaman bu izinlerin gerekli olup olmadığını doğrulamalıdır.

Paylaşılan görünümler

Raporun filtrelenmiş perspektifini başka bir kullanıcıyla paylaşmak için paylaşılan görünümü kullanın. Paylaşım bağlantısı kullanarak veya doğrudan erişim yoluyla paylaşılan görünüm yayımlayabilirsiniz.

Paylaşılan görünümler geçici bir kavramdır. 180 gün sonra otomatik olarak sona erer. Bu nedenle, paylaşılan görünümler resmi olmayan ve geçici paylaşım senaryolarına en uygun olanlardır. Kullanıcılarınızın bu sınırlamanın farkında olduğundan emin olun.

Denetim listesi - Öğe başına izinleri kullanmak için stratejinizi oluştururken önemli kararlar ve eylemler şunlardır:

  • Paylaşım özelliğinin kullanımına yönelik stratejiye karar verin: Öğe başına izinlerin nasıl kullanılacağına ilişkin tercihlerinizi tanımlayın. Bunun salt okunur tüketicilere yönelik genel stratejinizle uyumlu olduğundan emin olun.
  • Bağlantıları kuruluşun tamamına kimlerin yayımlayabileceğine karar verin: Tüm kuruluş için hangi rapor oluşturucularının bağlantı yayımlayabileceğine karar verin. Bu kararla uyumlu olması için Kuruluşunuzun kiracıdaki herkese erişim izni vermek için Paylaşılabilir bağlantılara izin ver ayarını belirleyin.
  • İçerik oluşturucuları için oluşturma ve yayımlama kılavuzu: İçerik oluşturucuları için, öğe başına izinleri en etkili şekilde kullanma gereksinimleri ve tercihleri içeren belgeler ve eğitimler sağlayın. Öğe başına izinlerin avantajları ve dezavantajları konusunda net olduklarından emin olun. Paylaşım bağlantılarının ne zaman kullanılacağına ve doğrudan erişim paylaşımının ne zaman kullanılacağına ilişkin yönergeler ekleyin.

Diğer tüketici sorgusu teknikleri

Tüketicilerin Power BI ile etkileşim kurmasının en yaygın yolları uygulamalar, çalışma alanları ve öğe başına izinlerdir (daha önce bu makalede açıklanmıştır).

Tüketicilerin Power BI verilerini sorgulamak için kullanabileceği başka teknikler de vardır. Aşağıdaki sorgu tekniklerinin her biri anlamsal model veya datamart Derleme izni gerektirir.

  • Excel'de çözümle: Excel'i kullanmayı tercih eden tüketiciler, Excel'de Çözümle'yi kullanarak Power BI anlam modelini sorgulayabilir. Bu özellik, verileri Excel'e dışarı aktarmanın harika bir alternatifidir çünkü veriler yinelenmemiştir. Semantik modele canlı bağlantı sayesinde kullanıcılar PivotTable'lar, grafikler ve dilimleyiciler oluşturabilir. Daha sonra çalışma kitabını Power BI hizmeti bir çalışma alanında yayımlayarak tüketicilerin çalışma kitabını açıp etkileşim kurmasını sağlayabilirler.
  • XMLA uç noktası: Tüketiciler XMLA uç noktasına bağlanarak anlamsal modeli sorgulayabilir. XMLA uyumlu bir uygulama Premium çalışma alanında depolanan bir anlam modeline bağlanabilir, bunları sorgulayabilir ve kullanabilir. Bu özellik, tüketiciler Microsoft ekosisteminin dışındaki bir veri görselleştirme aracı için veri kaynağı olarak Power BI anlam modeli kullanmak istediğinde yararlıdır.
  • Datamart düzenleyicisi: Tüketiciler, datamart düzenleyicisini kullanarak Power BI datamart'ını sorgulayabilir. Kod içermeyen sorgular oluşturmaya yönelik web tabanlı bir görsel sorgu düzenleyicisidir. Tüketicilerin SQL sorguları yazmayı tercih etmelerine yönelik web tabanlı bir SQL düzenleyicisi de vardır. Her iki düzenleyici de Power BI veri akıllı modelinin (yerleşik anlam modeli yerine) altındaki yönetilen Azure SQL Veritabanı sorgular.
  • SQL uç noktası: Tüketiciler, SQL uç noktasını kullanarak Power BI datamart'ını sorgulayabilir. SQL sorguları çalıştırmak için Azure Data Studio veya SQL Server Management Studio (SSMS) gibi araçları kullanabilirler. SQL uç noktası, sorguları Power BI datamart'ın (yerleşik anlam modeli yerine) altındaki yönetilen Azure SQL Veritabanı yönlendirir.

Derleme izni hakkında daha fazla bilgi için İçerik oluşturucu güvenlik planlaması makalesine bakın.

Denetim listesi - Tüketicilerin hangi sorgu tekniklerini kullanacağını planlarken, önemli kararlar ve eylemler şunlardır:

  • Excel'de Çözümle'yi kullanma konusunda kullanıcılara rehberlik oluşturun: Tüketicilere mevcut anlam modellerini Excel ile yeniden kullanmanın en iyi yolu hakkında belgeler ve eğitimler sağlayın.
  • XMLA uç noktasını kullanma konusunda kullanıcılara rehberlik oluşturun: XmlA uç noktasıyla mevcut anlamsal modelleri yeniden kullanmanın en iyi yolu hakkında tüketicilere belge ve eğitim sağlayın.
  • Datamart sorgularında kullanıcılar için rehberlik oluşturma: Tüketicilere Power BI veri akıllı cihazlarını sorgulamaya yönelik kullanılabilir teknikler hakkında belgeler ve eğitimler sağlayın.

Tüketiciler için erişim isteği iş akışı

İçerik paylaşırken, bir kullanıcının bağlantıyı (URL) başka bir kullanıcıya iletmesi yaygın bir durumdur. Alıcı içeriği görüntülemeye çalıştığında ve içeriğe erişimi olmadığını fark ettiğinde Erişim iste düğmesini seçebilir. Bu eylem Erişim iste iş akışını başlatır. Daha sonra kullanıcıdan neden erişim istediğini açıklayan bir ileti sağlaması istenir.

Aşağıdakiler için bir erişim isteği iş akışı var:

  • Power BI uygulamasına erişim.
  • Rapor veya pano gibi bir öğeye erişim.
  • Anlam modeline erişim. Anlamsal model bulunabilir olduğunda erişim isteme iş akışı hakkında daha fazla bilgi için İçerik oluşturucu güvenlik planlaması makalesine bakın.

Uygulama erişim istekleri

Bir uygulama için gönderilen bekleyen erişim istekleri hakkında bilgi edinmenin iki yolu vardır.

  • E-posta: Uygulamayla ilgili kişiler bir e-posta bildirimi alır. Varsayılan olarak, bu kişi uygulama yayımcısıdır. Kritik uygulamalar için daha iyi destek sağlamak için, kişiyi erişim isteklerine hızlı yanıt verebilen bir gruba ayarlamanızı öneririz.
  • İzinleri yönet menüsü: Çalışma alanı yöneticileri ve üyeleri erişim isteklerini görüntüleyebilir, onaylayabilir veya reddedebilir. İzinleri yönet sayfası Uygulamalar sayfasında bulunur ve her uygulama için açılabilir. Bu özellik, katkıda bulunanların bu çalışma alanı için uygulamayı güncelleştirmesine izin ver ayarı etkinleştirildiğinde çalışma alanı katkıda bulunanları tarafından da kullanılabilir.

Bir uygulama için bekleyen erişim istekleri, kullanıcı tarafından sağlanan iletiyi gösterir. Bekleyen her istek onaylanabilir veya reddedilebilir. Bir isteği onaylamayı seçerken, bir uygulama hedef kitlesi seçilmelidir.

Aşağıdaki ekran görüntüsünde bir kullanıcıdan gelen bekleyen erişim isteği gösterilmektedir. Bunu onaylamak için, satış temsilcileri veya Satış Liderliği adlı iki uygulama hedef kitleden birinin seçilmesi gerekir.

Power BI hizmeti bir Power BI uygulaması için bekleyen isteklerin ekran görüntüsü.

Bir uygulamayı yayımladığınızda, içerik ve izinler aynı anda yayımlanır. Daha önce açıklandığı gibi, içerik değişiklikleri olmadan yalnızca uygulama izinlerini yayımlamak mümkün değildir. Ancak bir özel durum vardır: Bekleyen erişim isteğini onayladığınızda (önceki ekran görüntüsünde gösterilen gibi), izin değişikliği çalışma alanında en son içerik yayımlanmadan gerçekleşir.

Çalışma alanı erişim istekleri

Çalışma alanı erişimi, Yönetici rolüne veya Üye rolüne ait kullanıcılar tarafından verilir.

Çalışma alanını görüntülemeye çalışan bir kullanıcı, çalışma alanı rolünün üyesi olmadığında erişim reddedildi iletisi alır. Çalışma alanları için yerleşik erişim isteği iş akışı olmadığından, bunlar en iyi şekilde birlikte çalışan küçük ekipler ve resmi olmayan ekipler için kullanılır. Power BI uygulamasının daha büyük ekipler ve daha geniş içerik dağıtım senaryoları için daha uygun olmasının bir nedeni de budur.

Öğe başına erişim istekleri

Rapor gibi tek bir öğe için gönderilen bekleyen erişim istekleri hakkında bilgi edinmenin iki yolu vardır.

  • E-posta: Öğeyle ilgili kişiler bir e-posta bildirimi alır. Kritik raporlar için daha iyi destek sağlamak için, kişiyi erişim isteklerine hızlı yanıt verebilen bir gruba ayarlamanızı öneririz.
  • İzinleri yönet menüsü: Çalışma alanı yöneticileri ve üyeler her öğenin İzinleri yönet sayfasına erişebilir. Bekleyen erişim isteklerini görüntüleyebilir, onaylayabilir veya reddedebilir.

Erişim isteklerini gruplarla yönetme

Kullanıcı bir Power BI öğesi (rapor veya anlam modeli gibi) veya Power BI uygulaması için erişim isteme formunu gönderdiğinde, istek tek bir kullanıcı için gönderilir. Ancak, birçok büyük kuruluşun iç güvenlik ilkelerine uymak için grupları kullanması gerekir.

İçerikleri her zaman güvenli hale getirmek için bireyler yerine grupları kullanmanızı öneririz. Grupları planlama hakkında daha fazla bilgi için Kiracı düzeyinde güvenlik planlaması makalesine bakın.

Tek tek kullanıcılar yerine gruplara erişim sağlamak istiyorsanız, erişim isteğini işleyen içerik sahibinin veya yöneticinin isteği birden çok adımda tamamlaması gerekir:

  1. Power BI'da bekleyen isteği reddedin (tek bir kullanıcıyla ilişkilendirildiği için).
  2. İstek sahibini geçerli işleminize göre doğru gruba ekleyin.
  3. İstek sahibine artık erişimi olduğunu bildirin.

İpucu

İçerik oluşturucularından derleme erişimi isteklerine yanıt verme hakkında bilgi için bkz. Oluşturucular için erişim iş akışı isteme. Ayrıca, erişim istekleri için form kullanma hakkında öneriler de içerir.

Denetim listesi - Erişim iste iş akışını planlarken önemli kararlar ve eylemler şunlardır:

  • Uygulama erişim isteklerini kimin işlemesi gerektiğini belirleme: Uygulama erişim isteklerini zamanında işlemek için bir işlemin uygulandığını emin olun. İşlemi desteklemek için uygulama kişilerinin atandığından emin olun.
  • Öğe başına istekleri kimin işlemesi gerektiğini belirleme: Erişim isteklerini zamanında işlemek için bir işlemin gerçekleştiğini emin olun. İşlemi desteklemek için kişilerin her öğeye atandığından emin olun.
  • İçerik oluşturucuları için belgelere ve eğitime dahil edin: İçerik oluşturucuların erişim isteklerini zamanında nasıl işleyeceklerini anladığınızdan emin olun. Tek bir kullanıcı yerine bir grup kullanılması gerektiğinde isteklerin nasıl işleneceğini onların farkında olmalarını sağlayın.
  • Belgelere ve eğitime dahil edin: İçerik oluşturucularınıza erişim isteklerini etkili bir şekilde yönetme konusunda rehberlik ekleyin. Ayrıca, tüketicilerin erişim isteği iletisine hangi bilgileri dahil etmeleri konusunda rehberlik de içerir.

Tüketici kimliğine göre veri güvenliğini zorunlu kılma

Veri güvenliğini zorunlu kılarak daha az anlam modeli ve rapor oluşturmayı planlayabilirsiniz. Amaç, içeriği görüntüleyen kullanıcının kimliğine göre veri güvenliğini zorunlu kılmaktır.

Örneğin, her satış temsilcisinin yalnızca kendi bölgesi için satış sonuçlarını göreceğini bilerek tek bir satış raporunu tüm satış temsilcileriyle (tüketiciler) paylaşabileceğinizi düşünün. Bu yaklaşım, bölge başına bu satış bölgesindeki satış temsilcileriyle paylaşılması gereken ayrı raporlar oluşturma karmaşıklığını önlemenizi sağlar.

Bazı kuruluşların onaylı (sertifikalı veya tanıtılan) anlamsal modeller veya datamart'lar için özel gereksinimleri vardır. Yaygın olarak kullanılacak veriler için veri güvenliğinin kullanılması gerekebilir.

Veri güvenliğini birden çok yolla gerçekleştirebilirsiniz.

  • Power BI anlam modeli: Power BI veri oluşturucusu olarak satır düzeyi güvenliği (RLS) ve nesne düzeyinde güvenliği (OLS) zorunlu kılabilirsiniz. RLS, veri modeli satırlarını filtreleyen rollerin ve kuralların tanımlanmasını içerirken OLS belirli tablo veya sütunlara erişimi kısıtlar. Bu tanımlı RLS ve OLS kuralları, dilimleyici ve filtre seçimleri gibi anlamsal modelin dışında depolanan başvurulara uygulanmaz. Hem RLS hem de OLS teknikleri bu bölümün ilerleyen bölümlerinde açıklanmıştır.
  • Analysis Services: Canlı bağlantı semantik modeli, Azure Analysis Services (AAS) veya SQL Server Analysis Services (SSAS) tarafından barındırılan bir uzak veri modeline bağlanabilir. Uzak model, tüketici kimliğine göre RLS veya OLS'yi zorunlu kılabilir.
  • Veri kaynağı: Azure SQL Veritabanı gibi bazı veri kaynakları RLS'yi zorunlu kılabilir. Bu durumda Power BI modeli, mevcut güvenlikten yararlanmak yerine yeniden tanımlayabilir. Kaynakta tanımlanan RLS karmaşık olduğunda bu yaklaşım önemli bir avantaj olabilir. DirectQuery modeli geliştirip yayımlayabilir ve çoklu oturum açmayı (SSO) etkinleştirmek için Power BI hizmeti anlam modelinin veri kaynağı kimlik bilgilerini ayarlayabilirsiniz. Rapor tüketicisi bir raporu açtığında Power BI, kimliğini veri kaynağına geçirir. Daha sonra veri kaynağı, rapor tüketicisinin kimliğine göre RLS'yi zorlar. Azure SQL Veritabanı RLS hakkında daha fazla bilgi için bu makaleye bakın.

Not

Azure SQL Veritabanı gibi kaynak sistemler, kullanıcının görebileceklerini daraltmak için görünümler gibi teknikler de kullanabilir. Bu geçerli bir teknik olsa da, bu bölümün odağıyla ilgili değildir.

Satır düzeyi güvenlik

Satır düzeyi güvenlik (RLS), veri modelleyicinin bir veri alt kümesine erişimi kısıtlamasına olanak tanır. Genellikle bazı rapor tüketicilerinin diğer satış bölgelerinin satış sonuçları gibi belirli verileri göremeyeceklerinden emin olmak için kullanılır.

İpucu

Farklı tüketici gruplarını desteklemek için birden çok veri modeli oluşturan birini fark ettiyseniz RLS'nin gereksinimlerini karşılayıp karşılamayacağını denetleyin. Birden çok veri modeli yerine tek bir veri modeli oluşturmak, test etmek ve bakımını yapmak genellikle daha iyidir.

Dikkatli olun, çünkü Bir Power BI raporu RLS yapılandırılmış bir satıra başvuruda bulunursa, silinen veya var olmayan bir alanla aynı ileti görüntülenir. Bu kullanıcılar için rapor bozuk gibi görünüyor.

RLS'nin ayarlanması için iki adım vardır: kurallar ve rol eşlemeleri.

RLS kuralları

Anlamsal modeller için, veri modelleyici bir veya daha fazla rol oluşturarak Power BI Desktop'ta RLS ayarlayabilir. Bir rolün modelde benzersiz bir adı vardır ve genellikle bir veya daha fazla kural içerir. Kurallar, Veri Çözümleme İfadeleri (DAX) filtre ifadelerini kullanarak model tablolarında filtreleri zorunlu kılar. Varsayılan olarak, bir modelin rolü yoktur.

Önemli

Rolleri olmayan bir model, kullanıcıların (veri modelini sorgulama izni olan) tüm model verilerine erişimi olduğu anlamına gelir.

Kural ifadeleri satır bağlamında değerlendirilir. Satır bağlamı, ifadenin her satır için o satırın sütun değerleri kullanılarak değerlendirildiğini gösterir. İfade döndürdüğünde TRUE, kullanıcı satırı görebilir. Statik veya dinamik kurallar tanımlayabilirsiniz.

  • Statik kurallar: gibi [Region] = "Midwest"sabitlere başvuran DAX ifadelerini kullanın.
  • Dinamik kurallar: Ortam değerlerini döndüren belirli DAX işlevlerini kullanın (sabitlerin aksine). Ortam değerleri üç belirli DAX işlevinden döndürülür: USERNAME, USERPRINCIPALNAME ve CUSTOMDATA. Model tablosu kullanıcı adı değerlerini depoladığında dinamik kuralların tanımlanması basit ve etkilidir. Veri temelli RLS tasarımını zorunlu kılmanıza olanak sağlar.

RLS rol eşlemeleri

Modeli Power BI hizmeti yayımladıktan sonra, ilgili raporlara erişen kullanıcılardan önce rol eşlemeleri ayarlamanız gerekir. Rol eşlemesi, Microsoft Entra güvenlik nesnelerini rollere atamayı içerir. Güvenlik nesneleri kullanıcı hesapları veya güvenlik grupları olabilir.

Mümkün olduğunda, rolleri güvenlik gruplarına eşlemek en iyi yöntemdir. Bu şekilde daha az eşleme olur ve grup üyeliği yönetimi grubun sahibi tarafından işlenebilir.

Microsoft Entra'dan gelen güvenlik hesabı bilgilerini içerik oluşturucularınızın kullanımına sunmanızı öneririz. Seçeneklerden biri, Microsoft Entra Id ile eşitlenmiş durumda tutulan verilerle bir veri akışı oluşturmaktır. Bu şekilde, içerik oluşturucular veri akışı verilerini tümleştirerek veri odaklı bir anlam modeli oluşturabilir.

İpucu

Kuralı olmayan bir rol tanımlamak mümkündür. Bu durumda rol, tüm model tablolarının tüm satırlarına erişim sağlar. Bir yöneticinin veya kullanıcının modeldeki tüm verileri görüntülemesine izin verildiğinde bu rol türünü ayarlamak uygundur.

RLS kullanıcı deneyimi

Bazı kuruluşlar, standart Power BI izinlerine ek olarak RLS'yi ikincil bir güvenlik katmanı olarak kullanmayı tercih eder. Aşağıdaki senaryoyu göz önünde bulundurun: Raporun bağlantısını kuruluşun tamamıyla paylaşırsınız. Raporu görüntüleyen tüm kullanıcıların, rapordaki verileri görebilmesi için bir RLS rolüne eşlenmesi gerekir. RLS rolüne eşlenmemişse hiçbir veri görmezler.

RLS'nin varlığı tüketiciler için varsayılan deneyimi değiştirir.

  • Anlam modeli için RLS tanımlanmadığında: Anlam modeli üzerinde en az Okuma iznine sahip oluşturucular ve tüketiciler anlam modelindeki tüm verileri görüntüleyebilir.
  • Semantik modelde RLS tanımlandığında: Anlam modeli üzerinde yalnızca Okuma iznine sahip oluşturucular ve tüketiciler yalnızca görmelerine izin verilen verileri görüntüleyebilir (RLS rol eşlemelerine göre).

Not

Bazı kuruluşlar, özellikle hassas veriler söz konusu olduğunda ek bir güvenlik katmanı olarak RLS'yi zorunlu kılır. Bu nedenle, sertifikalı anlamsal modeller için RLS gerektirebilirsiniz. Bu gereksinim, anlamsal modeli onaylamadan önce bir iç gözden geçirme ve onay süreciyle gerçekleştirilebilir.

Kullanıcı çalışma alanında veya uygulamada bir raporu görüntülediğinde, RLS anlam modeli izinlerine bağlı olarak zorunlu kılınabilir veya uygulanmayabilir. Bu nedenle, içerik tüketicilerinin ve oluşturucularının yalnızca RLS'nin zorunlu kılınması gerektiğinde temel alınan anlam modeli üzerinde Okuma iznine sahip olması kritik önem taşır.

RLS'nin zorlanıp zorlanmadığını belirleyen izin kuralları aşağıdadır.

  • Kullanıcının anlam modeli üzerinde Okuma izni var: RLS, kullanıcı için zorunlu kılındı.
  • Kullanıcının anlam modeli üzerinde Okuma ve Derleme izinleri vardır: RLS kullanıcı için zorlanır.
  • Kullanıcının semantik modelde Yazma izni vardır: RLS kullanıcı için zorlanmaz, yani anlam modelindeki tüm verileri görebilir. Yazma izni, bir anlam modelini düzenleme olanağı sağlar. İki yoldan biriyle verilebilir:

İpucu

RLS'nin içerik oluşturucular için çalışması için ayrı çalışma alanları kullanma hakkında daha fazla bilgi için yönetilen self servis BI kullanım senaryosuna bakın.

RLS hakkında daha fazla bilgi için bkz . Power BI modeli verilerine erişimi kısıtlama.

Datamarts için RLS

Power BI datamarts, RLS'i de zorunlu kılabilir. Ancak, uygulama farklıdır.

Temel fark, datamarts için RLS'nin Power BI Desktop yerine Power BI hizmeti ayarlanmasıdır.

Diğer bir fark, datamart'ların hem anlamsal modelde hem de datamart ile ilişkili yönetilen Azure SQL Veritabanı RLS'yi zorunlu kılmalarıdır. RLS'yi her iki katmanda da zorunlu tutma tutarlılık ve esneklik sağlar. Anlam modeline veya yönetilen Azure SQL Veritabanı bağlanarak kullanıcının verileri nasıl sorguladığına bakılmaksızın aynı RLS filtreleri uygulanır.

Daha fazla bilgi için bkz . datamarts için RLS.

Nesne düzeyinde güvenlik

Nesne düzeyinde güvenlik (OLS), veri modelleyicinin belirli tablo ve sütunlara ve bunların meta verilerine erişimi kısıtlamasına olanak tanır. OlS'yi genellikle çalışan maaşı gibi hassas sütunların belirli kullanıcılara görünmediğinden emin olmak için kullanırsınız. Ölçülere erişimi kısıtlamak mümkün olmasa da, kısıtlanmış bir sütuna başvuran tüm ölçüler kısıtlanır.

Çalışan tablosu örneğini düşünün. Çalışanın adını ve telefon numarasını ve ayrıca maaşını depolayan sütunlar içerir. OLS'yi kullanarak yalnızca üst düzey İnsan Kaynakları personeli gibi belirli kullanıcıların maaş değerlerini görebilmesini sağlayabilirsiniz. Maaş değerlerini göremeyen kullanıcılar için bu sütun yok gibi olur.

Dikkatli olun, çünkü Bir Power BI rapor görseli maaş içeriyorsa, bu alana erişimi olmayan kullanıcılar bir hata iletisi alır. İleti, nesnenin mevcut olmadığını onlara bildirir. Bu kullanıcılar için rapor bozuk gibi görünüyor.

Not

Ayrıca bir veri modelinde perspektifler tanımlayabilirsiniz. Perspektif, rapor oluşturucularına belirli bir odak sağlamaya yardımcı olmak için model nesnelerinin görüntülenebilir alt kümelerini tanımlar. Perspektifler, model nesnelerine erişimi kısıtlamak için tasarlanmamıştır. Bir kullanıcı, tablo veya sütun görünür olmasa bile sorgulayabilir. Bu nedenle, perspektifleri bir güvenlik özelliği yerine kullanıcı kolaylığı olarak düşünün.

Şu anda Power BI Desktop'ta OLS'yi ayarlamak için bir arabirim yoktur. Modelleri oluşturmak, korumak ve yönetmek için üçüncü taraf bir araç olan Tablosal Düzenleyici'yi kullanabilirsiniz. Daha fazla bilgi için gelişmiş veri modeli yönetimi kullanım senaryosuna bakın.

OLS hakkında daha fazla bilgi için bkz . Power BI model nesnelerine erişimi kısıtlama.

Denetim listesi - RLS ve OLS planlaması yaparken önemli kararlar ve eylemler şunlardır:

  • RLS'nin kullanımına yönelik stratejiye karar verin: Satır düzeyi güvenliği kullanmayı planladığınız kullanım örneklerini ve amaçları göz önünde bulundurun.
  • OLS'nin kullanımına yönelik stratejiye karar verin: Nesne düzeyinde güvenlik kullanmayı planladığınız kullanım örneklerini ve amaçları göz önünde bulundurun.
  • Sertifikalı içerik gereksinimlerini göz önünde bulundurun: Anlamsal modeli onaylamak için gerekenlere ilişkin bir süreciniz varsa, RLS veya OLS'yi kullanmak için belirli gereksinimleri dahil edip etmeyeceğinize karar verin.
  • Kullanıcı kılavuzu oluşturma ve yayımlama: Kullanıcılar için RLS ve OLS kullanma gereksinimleri ve tercihleri içeren belgeler oluşturun. Merkezi bir konumda mevcutsa kullanıcı eşleme bilgilerinin nasıl alınıp alınmadığını açıklayın.
  • Eğitim malzemelerini güncelleştirme: Kullanıcı eğitim malzemelerine RLS ve OLS gereksinimleri ve tercihleri hakkında önemli bilgileri ekleyin. Kullanıcıların veri güvenliği tekniklerinden birini kullanmanın uygun olduğu zamanları anlaması için örnekler sağlayın.

İlgili içerik

Bu serinin sonraki makalesinde anlamsal modeller, veri akışları, veri akıllı grafikler, raporlar veya panolar oluşturmakla sorumlu içerik oluşturucular için güvenlik planlaması hakkında bilgi edinin.