Power BI 实现计划:租户级安全性计划
备注
本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划。
这篇租户级安全性计划文章主要面向:
- Fabric 管理员:负责监督组织的 Power BI 的管理员。
- 卓越中心、IT 和 BI 团队:还负责监督 Power BI 的团队。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。
这篇文章还面向创建、发布和管理工作区中内容的自助服务 Power BI 创建者。
本系列文章旨在详细阐述 Power BI 安全白皮书中的内容。 Power BI 安全白皮书重点介绍了身份验证、数据驻留和网络隔离等关键技术主题。 实施规划系列提供了一些注意事项和决策来帮助你规划安全和隐私。
由于 Power BI 内容可以以不同方式使用和保护,因此内容创建者做出了许多战术决策。 但是,也会在租户级别做出一些战略计划决策。 这些战略计划决策是本文的重点。
建议尽早做出租户级安全决策,因为它们会影响其他所有内容。 此外,当你清楚地了解总体安全目标时,可以更轻松地做出其他安全决策。
Power BI 管理
Fabric 管理员是一个高特权角色,对 Power BI 具有大量控制权。 建议仔细考虑要向其分配此角色的人员,因为 Fabric 管理员可以执行许多高级功能,包括:
- 租户设置管理:管理员可以在管理门户中管理租户设置。 管理员可以启用或禁用设置,以及在设置中允许或禁止特定的用户或组。 请务必了解你的租户设置对用户体验有重大影响。
- 工作区角色管理:管理员可以在管理门户中更新工作区角色。 管理员可能会更新工作区安全性以访问任何数据,或授权其他用户访问 Power BI 服务中的任何数据。
- 个人工作区访问权限:管理员可以访问内容并管理任何用户的个人工作区。
- 访问租户元数据:管理员可以访问租户范围内的元数据,包括 Power BI 活动日志和由 Power BI 管理 API 检索的活动事件。
提示
作为最佳做法,你应将 Fabric 管理员角色分配给两到四个用户。 这样,你可以降低风险,同时确保实现足够的覆盖和交叉培训。
Power BI 管理员至少分配有以下内置角色之一:
- Fabric 管理员
- Power Platform 管理员
- 全局管理员 - 这是一个高特权角色,成员身份应受到限制。
分配管理员角色时,建议遵循最佳做法。
注意
Power Platform 管理员可以管理 Power BI 服务,反之则不然。 分配有 Fabric 管理员角色的人员无法管理 Power Platform 中的其他应用程序。
清单 - 在规划谁将成为 Fabric 管理员时,关键决策和操作包括:
- 确定当前分配有管理员角色的人员:验证谁分配有可以管理 Power BI 的角色之一。
- 确定应管理 Power BI 服务的人员:如果管理员太多,请制定计划,缩减总人数。 如果分配有 Power BI 管理员的用户不适合具有此类高特权角色,请制定计划来解决该问题。
- 明确角色和责任:对于每个 Power BI 管理员,务必明确他们的责任。 验证是否进行了适当的交叉培训。
安全和隐私策略
需要做出一些与安全和隐私相关的租户级决策。 采取的策略和做出的决定取决于:
- 数据文化。 目标是培养以下数据文化:数据的安全和保护是每个人的责任。
- 内容所有权和管理策略。 集中式和分散式内容管理的级别会显著影响对安全性的处理方式。
- 内容交付范围策略。 查看内容的人数将影响对该内容的安全性的处理方式。
- 遵守全球、国家/地区和行业法规的要求。
以下是一些高级安全策略示例。 你可能会选择做出影响整个组织的决策。
- 行级安全要求:你可以使用行级安全 (RLS) 来限制特定用户的数据访问。 这意味着,不同的用户在访问同一报表时会看到不同的数据。 Power BI 语义模型或数据源(使用单一登录时)可以强制实施 RLS。 有关详细信息,请参阅报表使用者安全性计划一文中的“基于使用者标识强制实施数据安全”部分。
- 数据可发现性:确定应在 Power BI 中采用的数据可发现性的程度。 可发现性影响谁可以在数据中心中查找语义模型或数据市场,以及是否允许内容作者通过使用“请求访问”工作流来请求访问这些项。 有关详细信息,请参阅可自定义的托管自助式 BI 使用场景。
- 允许存储在 Power BI 中的数据:确定某些类型的数据是否不应存储在 Power BI 中。 例如,可以指定某些敏感信息类型(如银行帐号或社会安全号码)不可存储在语义模型中。 有关详细信息,请参阅信息保护和数据丢失防护一文。
- 入站专用网络:使用专用终结点访问 Power BI 来确定是否存在网络隔离要求。 使用 Azure 专用链接时,使用 Microsoft 专用网络主干而不是通过 Internet 来发送数据流量。
- 出站专用网络:确定连接到数据源时是否需要更高的安全性。 虚拟网络 (VNet) 数据网关支持建立从 Power BI 到 VNet 中的数据源的安全出站连接。 内容存储在高级工作区中时,你可以使用 Azure VNet 数据网关。
重要
考虑网络隔离时,请先咨询 IT 基础结构和网络团队,然后才能更改任何 Power BI 租户设置。 Azure 专用链接可通过专用终结点增强入站安全性,Azure VNet 网关可在连接到数据源时增强出站安全性。 Azure VNet 网关由 Microsoft 管理而非客户管理,因此无需安装和监视本地网关。
你的某些组织级决策将生成稳固的治理策略,尤其是当它们与合规性相关时。 其他组织级决策则可以为管理和保护自己的内容的内容创建者提供指导。 生成的策略和指南应包含在集中式门户、培训材料和通信计划中。
清单 - 计划高级安全策略时,关键决策和操作包括:
- 确定与安全相关的法规要求:调查并记录每项要求,包括如何确保合规性。
- 确定高级安全策略:确定哪些重要安全要求应包含在治理策略中。
- 与其他管理员协作:联系相关系统管理员,讨论如何满足安全要求以及存在哪些技术先决条件。 计划执行专门的概念证明。
- 更新 Power BI 租户设置:设置每个相关的 Power BI 租户设置。 定期计划后续评审。
- 创建和发布用户指南:创建高级安全策略文档。 包含有关流程以及用户如何请求豁免标准流程的详细信息。 在集中式门户和培训材料中提供此信息。
- 更新培训材料:对于高级安全策略,确定应在用户培训材料中包含哪些要求或指南。
与 Microsoft Entra ID 集成
Power BI 安全性建立在 Microsoft Entra 租户的基础上。 以下 Microsoft Entra 概念与 Power BI 租户的安全性相关。
- 用户访问:访问 Power BI 服务需要使用用户帐户(以及 Power BI 许可证:免费、Power BI Pro 或 Premium Per User - PPU)。 你可以将内部用户和来宾用户都添加到 Microsoft Entra ID,也可以将他们与本地 Active Directory (AD) 同步。 有关来宾用户的详细信息,请参阅外部用户策略。
- 安全组:在 Power BI 租户设置中提供某些功能时,需要使用 Microsoft Entra 安全组。 可能还需要组来有效地保护 Power BI 工作区内容或分发内容。 有关详细信息,请参阅使用组的策略。
- 条件访问策略:你可以设置针对 Power BI 服务和 Power BI 移动应用的条件访问。 Microsoft Entra 条件访问可以在各种情况下限制身份验证。 例如,你可以强制执行以下策略:
- 要求对部分或所有用户进行多重身份验证。
- 仅允许符合组织策略的设备。
- 允许来自特定网络或 IP 范围的连接。
- 阻止来自未加入域的计算机的连接。
- 阻止风险登录的连接。
- 仅允许某些类型的设备建立连接。
- 有条件地允许或拒绝特定用户访问 Power BI。
- 服务主体:可能需要创建 Microsoft Entra 应用注册来预配服务主体。 当 Power BI 管理员想要借助 Power BI 管理员 API 运行无人参与的计划脚本来提取数据时,建议使用服务主体身份验证。 在自定义应用程序中嵌入 Power BI 内容时也可以使用服务主体。
- 实时策略:可以选择设置实时会话控制或访问控制策略,其中涉及 Microsoft Entra ID 和 Microsoft Defender for Cloud 应用程序。 例如,可以禁止在 Power BI 服务中下载具有特定敏感度标签的报表。 有关详细信息,请参阅信息保护和数据丢失防护一文。
可能难以在不受限制的访问和过度限制的访问(这会导致用户感到沮丧)之间找到适当的平衡。 最佳策略是咨询 Microsoft Entra 管理员,了解当前设置的内容。 尽量随时响应业务需求,同时注意必要的限制。
提示
许多组织都拥有本地 Active Directory (AD) 环境,将其与云中的 Microsoft Entra ID 同步。 此设置称为混合标识解决方案,不在本文讨论范围内。 要了解的重要概念是,要让 Power BI 等基于云的服务正常运行,Microsoft Entra ID 中必须存在用户、组和服务主体。 混合标识解决方案适用于 Power BI。 建议与 Microsoft Entra 管理员讨论适合组织的最佳解决方案。
清单:确定 Microsoft Entra 集成需求时,关键决策和操作包括:
- 与 Microsoft Entra 管理员协作:与 Microsoft Entra 管理员协作,了解现有的 Microsoft Entra 策略。 确定是否有任何策略(当前的或计划的)会影响 Power BI 服务和/或 Power BI 移动应用程序中的用户体验。
- 决定何时应使用用户访问与服务主体:对于自动化操作,决定何时使用服务主体而不是用户访问。
- 创建或更新用户指南:确定是否需要为 Power BI 用户社区记录安全主题。 这样,他们会知道使用组和条件访问策略会发生什么。
外部用户策略
Power BI 支持 Microsoft Entra 企业到企业 (B2B)。 为了进行协作,可以邀请外部用户(例如来自客户或合作伙伴公司的用户)作为 Microsoft Entra 中的来宾用户。 外部用户可以使用 Power BI 和许多其他 Azure 和 Microsoft 365 服务。
重要
Microsoft Entra B2B 白皮书是了解如何处理外部用户策略的最佳资源。 本文仅介绍与计划相关的最重要的注意事项。
当外部用户来自也设置了 Microsoft Entra 的其他组织时,会有一些好处。
- 主租户管理凭据:用户的主租户控制其标识和凭据管理。 无需同步标识。
- 主租户管理用户状态:用户离开组织且帐户被删除或禁用的同时,用户将无法再访问你的 Power BI 内容。 这是一个非常大的好处,因为你可能不知道某个人员离开了组织。
- 用户许可的灵活性:有成本上合算的许可选项。 外部用户可能已拥有 Power BI Pro 或 PPU 许可证,在这种情况下,无需为其分配一个。 还可以通过向其分配 Fabric(免费)许可证,授予其对高级容量或 Fabric F64 或更高版本容量工作区中内容的访问权限。
重要
有时本文指的是 Power BI Premium 或其容量订阅 (P SKU)。 请注意,Microsoft 目前正在合并购买选项并停用 Power BI Premium Per Capacity SKU。 新客户和现有客户应考虑改为购买 Fabric 容量订阅 (F SKU)。
有关详细信息,请参阅 Power BI Premium 许可即将进行的重要更新和 Power BI Premium 常见问题解答。
关键设置
启用和管理外部用户的访问方式有两个方面:
- 由 Microsoft Entra 管理员管理的 Microsoft Entra 设置。 这些 Microsoft Entra 设置是先决条件。
- 由 Power BI 管理员在管理门户中管理的 Power BI 租户设置。 这些设置将控制 Power BI 服务中的用户体验。
来宾邀请过程
可以使用两种方法来邀请来宾用户加入租户。
- 计划邀请:你可以在 Microsoft Entra 中提前设置外部用户。 这样,Power BI 用户需要使用来宾帐户来分配权限(例如应用权限)时即可使用来宾帐户。 尽管这需要一些预先规划,但它是最一致的过程,因为它支持所有 Power BI 安全功能。 管理员可以使用 PowerShell 高效地添加大量外部用户。
- 临时邀请:Power BI 用户向外部用户(之前未设置)共享或分发内容时,Microsoft Entra ID 中会自动生成来宾帐户。 如果你预先不知道外部用户是谁,则该方法很有用。 但必须先在 Microsoft Entra ID 中启用此功能。 临时邀请方法适用于临时每项权限和应用权限。
提示
并非 Power BI 服务中的每个安全选项都支持触发临时邀请。 因此,分配权限时会出现不一致的用户体验(例如工作区安全性、每项权限、应用权限)。 建议尽可能使用计划邀请方法,因为它可以实现一致的用户体验。
客户租户 ID
每个 Microsoft Entra 租户都有一个称为租户 ID 的全局唯一标识符 (GUID)。 在 Power BI 中,它称为客户租户 ID (CTID)。 CTID 允许 Power BI 服务从其他组织租户的角度定位内容。 与外部用户共享内容时,需将 CTID 追加到 URL 后面。
以下是将 CTID 追加到 URL 后面的示例:https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456
需要为外部用户提供组织的 CTID 时,可以通过打开“关于 Power BI”对话框窗口在 Power BI 服务中找到它。 可从 Power BI 服务右上角的“帮助和支持(?)”菜单中获取。 CTID 追加到租户 URL 的末尾。
组织品牌打造
组织中经常发生外部来宾访问时,最好使用自定义品牌。 它可以帮助用户识别他们正在访问的组织租户。 自定义品牌元素包括徽标、封面图像和主题颜色。
以下屏幕截图显示来宾帐户访问 Power BI 服务时该服务的情况。 其中包括“来宾内容”选项,该选项在将 CTID 追加到 URL 后面时可用。
外部数据共享
除了与外部用户共享报表,某些组织还需要执行其他操作。 他们要与外部用户共享语义模型,例如合作伙伴、客户或供应商。
就地语义模型共享(也称为跨租户语义模型共享)旨在允许外部用户使用你创建、管理和提供的数据创建他们自己的自定义报表和复合模型。 (你创建的)原始共享语义模型保留在你的 Power BI 租户中。 相关报表和模型存储在外部用户的 Power BI 租户中。
将就地语义模型设置为共享工作存在多个安全方面的问题。
- 租户设置:允许来宾用户在自己的租户中使用共享语义模型:此设置指定是否可以使用外部数据共享功能。 需要启用该设置才能使其他两个设置(如下所示)中的任何一个生效。 该设置由 Power BI 管理员为整个组织启用或禁用。
- 租户设置: 允许特定用户开启外部数据共享:此设置指定哪些用户组可以与外部共享数据。 此处获得允许的用户组将可以使用第三个设置(如下所述)。 此设置由 Power BI 管理员管理。
- 语义模型设置:外部共享:此设置指定外部用户是否可以使用该特定语义模型。 此设置由每个特定语义模型的内容创建者和所有者管理。
- 语义模型权限:读取和生成:支持内容创建者的标准语义模型权限仍已部署就绪。
重要
通常,术语使用者用于指代使用组织中其他人制作的内容且只进行查看操作的用户。 但是,通过就地语义模型共享,存在语义模型生成者和语义模型的使用者。 在这种情况下,语义模型的使用者通常是其他组织中的内容创建者。
如果为语义模型指定了行级安全性,则外部用户将遵循该安全性。 有关详细信息,请参阅报表使用者安全性计划一文中的“基于使用者标识强制实施数据安全”部分。
外部用户订阅
如前所述,在 Microsoft Entra ID 中通常将外部用户作为来宾用户进行管理。 除了这种通用方法,Power BI 还提供了其他功能,用于向组织外部的用户分发报表订阅。
Power BI 的“允许将电子邮件订阅发送给外部用户”租户设置会指定是否允许用户向尚未成为 Microsoft Entra 来宾用户的外部用户发送电子邮件订阅。 建议根据贵组织管理外部用户帐户的严格程度或灵活程度设置此租户设置。
提示
管理员可以使用获取报表订阅作为管理 API 来验证正在向哪些外部用户发送订阅。 显示外部用户的电子邮件地址。 主体类型未解析,因为 Microsoft Entra ID 中未设置外部用户。
清单 - 在规划如何处理外部来宾用户时,关键决策和操作包括:
- 确定 Power BI 中外部用户的要求:确定哪些用例适用于外部协作。 说明适合将 Power BI 与 Microsoft Entra B2B 结合使用的方案。 确定与外部用户的协作是常见还是罕见。
- 确定当前的 Microsoft Entra 设置:与 Microsoft Entra 管理员协作,了解当前是如何设置外部协作的。 确定将 B2B 与 Power BI 结合使用会产生哪些影响。
- 决定如何邀请外部用户:与 Microsoft Entra 管理员协作,决定如何在 Microsoft Entra ID 中创建来宾帐户。 决定是否允许临时邀请。 决定在多大程度上使用计划邀请方法。 确保理解并记录整个过程。
- 创建和发布有关外部用户的用户指南:为内容创建者创建文档,指导其如何与外部用户共享内容(特别是在需要计划邀请过程时)。 包括有关允许外部用户编辑和管理内容时外部用户将受到的限制的信息。 将此信息发布到集中式门户和培训材料。
- 确定如何处理外部数据共享:决定是否应允许外部数据共享,以及是否仅限于一组特定的已批准内容创建者。 根据你的决定设置“允许来宾用户在自己的租户中使用共享语义模型”租户设置和“允许特定用户开启外部数据共享”租户设置。 为语义模型创建者提供有关外部数据共享的信息。 将此信息发布到集中式门户和培训材料。
- 确定如何处理外部用户的 Power BI 许可证:如果来宾用户没有现有的 Power BI 许可证,请确定为其分配许可证的过程。 确保记录该过程。
- 在相关用户文档中包含 CTID:在用户文档中记录追加租户 ID (CTID) 的 URL。 包括有关创建者和使用者如何使用追加了 CTID 的 URL 的示例。
- 在 Power BI 中设置自定义品牌:在管理门户中,设置自定义品牌,以帮助外部用户确定他们正在访问哪些组织租户。
- 验证或更新租户设置:检查 Power BI 服务中当前设置的租户设置。 基于针对管理外部用户访问所做的决定,根据需要更新这些设置。
文件位置策略
应适当存储不同类型的文件。 因此,务必帮助用户了解文件和数据应存储到的位置。
可能存在与 Power BI Desktop 文件和 Excel 工作簿相关的风险,因为它们可能包含导入的数据。 此数据可能包括客户信息、个人身份信息 (PII)、专有信息或受法规或合规要求约束的数据。
提示
很容易忽略存储在 Power BI 服务之外的文件。 建议在规划安全性时考虑到它们。
以下是 Power BI 实现中可能涉及的一些文件类型。
- 源文件
- Power BI Desktop 文件:发布到 Power BI 服务的内容的原始文件 (.pbix)。 如果文件包含数据模型,则其中可能包含导入的数据。
- Excel 工作簿:Excel 工作簿 (.xlsx) 可能包含与 Power BI 服务中语义模型的连接。 其中还可能包含导出的数据。 这些工作簿可能是发布到 Power BI 服务的内容的原始工作簿(作为工作区中的工作簿项)。
- 分页报表文件:发布到 Power BI 服务的内容的原始报表文件 (.rdl) 文件。
- 源数据文件:包含已导入 Power BI 模型的源数据的平面文件(例如 .csv 或 .txt)或 Excel 工作簿。
- 导出的文件和其他文件
- Power BI Desktop 文件:从 Power BI 服务下载的 .pbix 文件。
- PowerPoint 和 PDF 文件:从 Power BI 服务下载的 PowerPoint 演示文稿 (.pptx) 和 PDF 文档。
- Excel 和 CSV 文件:从 Power BI 服务中的报表导出的数据。
- 分页报表文件:从 Power BI 服务中的分页报表导出的文件。 支持 Excel、PDF 和 PowerPoint。 分页报表还支持其他导出文件格式,包括 Word、XML 或 Web 存档。 如果使用将文件导出到报表 API,则还支持图像格式。
- 电子邮件文件:来自订阅的电子邮件图像和附件。
你需要决定用户可以在哪些位置存储文件,哪些位置不可以。 通常,该过程需要创建用户可以参考的治理策略。 源文件和导出文件的位置应受到保护,以确保授权用户进行适当的访问。
以下是有关使用文件的一些建议。
- 将文件存储在共享库中:使用 Teams 网站、SharePoint 库或适用于工作或学校的 OneDrive 共享库。 避免使用个人库和驱动器。 确保备份存储位置。 此外,确保存储位置启用了版本控制,以便可以回滚到旧版本。
- 尽可能使用 Power BI 服务:尽可能使用 Power BI 服务来共享和分发内容。 这样,始终可以对访问进行全面审核。 仅少数协作处理内容的用户可以在文件系统上存储和共享文件。
- 请勿使用电子邮件:不鼓励使用电子邮件共享文件。 通过电子邮件将 Excel 工作簿或 Power BI Desktop 文件发送给 10 个用户时,会产生 10 个文件副本。 始终存在包含错误(内部或外部)电子邮件地址的风险。 此外,更大的风险是文件被转发给其他人。 (为最大程度地降低这种风险,请与 Exchange Online 管理员协作,根据文件扩展名的大小或类型实现阻止附件的规则。信息保护和数据丢失防护一文中介绍了 Power BI 的其他数据丢失防护策略。)
- 使用模板文件:有时,需要与其他人共享 Power BI Desktop 文件。 在这种情况下,请考虑创建和共享 Power BI Desktop 模板 (.pbit) 文件。 模板文件仅包含元数据,因此它在大小上小于源文件。 此方法将要求收件人输入数据源凭据,以刷新模型数据。
管理门户中的租户设置可以控制用户在从 Power BI 服务导出时可以使用哪些导出格式。 务必查看和设置这些设置。 该活动是对规划导出文件可使用的文件位置的补充。
提示
某些导出格式支持通过使用加密实现端到端信息保护。 出于监管要求,某些组织需要限定用户可以使用哪些导出格式。 Power BI 的信息保护一文介绍了决定在租户设置中启用或禁用哪些导出格式时要考虑的因素。 大多数情况下,建议你仅在必须满足特定法规要求时才限制导出功能。 你可以使用 Power BI 活动日志来确定哪些用户正在执行大量导出。 然后,你可以向这些用户传授更高效且更安全的替代方法。
清单 - 规划文件位置时,关键决策和操作包括:
- 确定文件的存放位置:决定文件的存储位置。 确定是否有不应使用的特定位置。
- 创建和发布有关文件位置的文档:创建用户文档,以说明管理和保护文件的责任。 其中还应说明可(或不可)存储文件的任何位置。 将此信息发布到集中式门户和培训材料。
- 设置导出的租户设置:查看并设置与要支持的导出格式相关的每个租户设置。
使用组的策略
出于以下原因,建议使用 Microsoft Entra 安全组来保护 Power BI 内容。
- 减少维护:无需修改 Power BI 内容的权限即可修改安全组成员身份。 可以向组中添加新用户,也可以从组中删除不需要的用户。
- 提高准确度:由于组成员身份更改是一次性完成的,因此权限分配更加准确。 如果检测到错误,则可以更轻松地进行更正。
- 委托:你可以将管理组成员身份的责任委托给组所有者。
高级组决策
关于如何使用组,需要做出一些战略决策。
用于创建和管理组的权限
关于创建和管理组,需要做出两个关键决定。
- 谁可以创建组? 通常,只有 IT 才能创建安全组。 但可以将用户添加到内置的组管理员 Microsoft Entra 角色。 这样,某些受信任的用户(如 Power BI 支持者或 COE 的附属成员)可以为其业务部门创建组。
- 谁可以管理组成员? 通常,IT 管理组成员身份。 但可以指定一位或多位有权添加和删除组成员的组所有者。 分散式团队或 COE 的附属成员可以管理特定于 Power BI 的组的成员时,使用自助组管理会很有帮助。
规划 Power BI 组
务必创建高级策略来说明如何使用组保护 Power BI 内容和许多其他用途。
组的各种用例
考虑以下组用例。
用例 | 说明 | 示例组名称 |
---|---|---|
与 Power BI 卓越中心 (COE) 通信 | 包含与 COE 关联的所有用户,包括 COE 的所有核心成员和附属成员。 根据需要,你还可以仅为核心成员创建单独的组。 该组很可能是与 Teams 站点关联的 Microsoft 365 组。 | • Power BI 卓越中心 |
与 Power BI 领导团队通信 | 包括合作领导组织中的 Power BI 计划的执行发起人和业务部门代表。 | • Power BI 指导委员会 |
与 Power BI 用户社区通信 | 包括分配有任何类型的 Power BI 用户许可证的所有用户。 这对于向组织中的所有 Power BI 用户发布公告很有用。 该组很可能是与 Teams 站点关联的 Microsoft 365 组。 | • Power BI 社区 |
支持 Power BI 用户社区 | 包括直接与用户社区交互以处理 Power BI 支持问题的技术支持用户。 此电子邮件地址(和 Teams 站点(如果适用))对用户可用且可见。 | • Power BI 用户支持 |
提供已升级的支持 | 包括提供已升级的支持的特定用户,通常来自 Power BI COE。 此电子邮件地址(和 Teams 站点(如果适用))通常是专用的,仅供用户支持团队使用。 | • Power BI 已升级的用户支持 |
管理 Power BI 服务 | 包括可以管理 Power BI 服务的特定用户。 根据需要,可以将此组的成员与 Microsoft 365 中的角色相关联,以简化管理。 | • Power BI 管理员 |
通知允许的功能和逐步推出功能 | 包括可在管理门户中进行特定租户设置的用户(如果该功能将受到限制或者如果该功能将逐步推广到用户组)。 许多租户设置将要求新建特定于 Power BI 的组。 | • Power BI 工作区创建者 • Power BI 外部数据共享 |
管理数据网关 | 包括可以管理网关群集的一组或多组用户。 存在多个网关或分散式团队管理网关时,可能会有多个这种类型的组。 | • Power BI 网关管理员 • Power BI 网关数据源创建者 • Power BI 网关数据源所有者 • Power BI 网关数据源用户 |
管理 Premium 容量 | 包括可以管理高级容量的用户。 存在多个容量或分散式团队管理容量时,可能会有多个这种类型的组。 | • Power BI 容量参与者 |
保护工作区、应用和项 | 许多基于主题区域且有权管理 Power BI 工作区角色、应用权限和每项权限的安全性的组。 | • Power BI 工作区管理员 • Power BI 工作区成员 • Power BI 工作区参与者 • Power BI 工作区查看者 • Power BI 应用查看者 |
部署内容 | 包括可以使用 Power BI 部署管道部署内容的用户。 此组与工作区权限结合使用。 | • Power BI 部署管道管理员 |
自动执行管理操作 | 包括可以使用 Power BI API 进行嵌入或管理的服务主体。 | • Power BI 服务主体 |
Power BI 组的租户设置
根据现有的内部流程,你将拥有其他必需的组。 这些组在管理租户设置时很有用。 下面是一些示例。
- Power BI 工作区创建者:需要限定谁可以创建工作区时很有用。 它用于设置“创建工作区”租户设置。
- Power BI 认证行业专家:指定谁可以使用经认证的内容背书时很有用。 它用于设置“认证”租户设置。
- Power BI 批准的内容创建者:需要批准、培训或策略确认以安装 Power BI Desktop 或获取 Power BI Pro 或 PPU 许可证时很有用。 它可供鼓励内容创建功能的租户设置使用,例如“允许 DirectQuery 连接到 Power BI 语义模型”、“将应用推送给最终用户”、“允许 XMLA 终结点”等。
- Power BI 外部工具用户:允许特定用户组使用外部工具时很有用。 它由组策略使用,或者在必须仔细控制软件安装或请求时使用。
- Power BI 自定义开发人员:需要控制谁可以在 Power BI 之外的其他应用程序中嵌入内容时很有用。 它用于设置“在应用中嵌入内容”租户设置。
- Power BI 公开发布:需要限定谁可以公开发布数据时很有用。 它用于设置“发布到 Web”租户设置。
- 与整个组织之间的 Power BI 共享:需要限定谁可以与组织中的每个人共享链接时很有用。 它用于设置“允许通过可共享的链接向组织中的所有人员授予访问权限”租户设置。
- Power BI 外部数据共享:需要允许某些用户与外部用户共享语义模型时很有用。 它用于设置“允许特定用户打开外部数据共享”租户设置。
- 许可的 Power BI 来宾用户访问权限:需要对已从组织获取许可证的已批准外部用户进行分组时很有用。 它用于设置“允许 Microsoft Entra 来宾用户访问 Power BI”租户设置。
- Power BI 来宾用户访问 BYOL:需要将在本组织中自带许可 (BYOL) 的已批准的外部用户进行分组时很有用。 它用于设置“允许 Microsoft Entra 来宾用户访问 Power BI”租户设置。
提示
有关规划工作区访问时使用组的注意事项,请参阅工作区级规划一文。 有关规划如何保护工作区、应用和项的信息,请参阅报表使用者安全性计划一文。
组类型
你可以创建不同的组类型。
- 安全组:主要目标是授予对资源的访问权限时,安全组是最佳选择。
- 启用了邮件的安全组:需要授予对资源的访问权限并通过电子邮件将消息分发给整个组时,启用了邮件的安全组是一个不错的选择。
- Microsoft 365 组:此类组包含 Teams 站点和电子邮件地址。 主要目标是在 Teams 站点中进行通信或协作时,它是最佳选择。 Microsoft 365 组只有成员和所有者;没有查看者角色。 因此,它的主要目的是协作。 这种类型的组以前称为 Office 365 组、新式组或统一组。
- 通讯组:可以使用通讯组向用户列表发送广播通知。 目前,它被视为规定向后兼容性的旧版概念。 对于新用例,建议创建启用了邮件的安全组。
请求新组,或要使用现有组时,务必了解它的类型。 组的类型可决定它的使用方式和管理方式。
- Power BI 权限:并非每种类型的安全操作都支持每种类型的组。 设置 Power BI 安全选项时,安全组(包括启用了邮件的安全组)提供最高的覆盖率。 Microsoft 文档通常推荐 Microsoft 365 组。 但对于 Power BI 来说,它的功能不如安全组。 有关 Power BI 权限的详细信息,请参阅此安全性计划系列中的后续文章。
- Power BI 租户设置:只能在允许或禁止用户组使用 Power BI 租户设置时使用安全组(包括启用了邮件的安全组)。
- 高级 Microsoft Entra 功能:并非所有组类型都支持某些类型的高级功能。 例如,Microsoft 365 组不支持在组内嵌套组。 尽管某些组类型支持基于 Microsoft Entra ID 中的用户属性的动态组成员身份,但 Power BI 不支持使用动态成员身份的组。
- 管理方式不同:创建或管理组的请求可能会根据组的类型(启用了邮件的安全组和通讯组在 Exchange 中进行管理)路由给不同的管理员。 因此,内部流程将根据组的类型而有所不同。
组命名约定
你最终可能会在 Microsoft Entra ID 中使用许多组来支持 Power BI 实现。 因此,对于组的命名方式,务必达成一致的模式。 良好的命名约定将有助于确定组的用途并使组更易于管理。
请考虑使用以下标准命名约定:<前缀><用途> - <主题/范围/部门><[环境]>
下表描述了命名约定的每个部分。
- 前缀:用于将所有 Power BI 组组合在一起。 该组将用于多个分析工具时,前缀可能是 BI,而不是 Power BI。 在这种情况下,描述用途的文本将更加通用,因此将适用于多种分析工具。
- 用途:用途会有所不同。 它可能用于工作区角色、应用权限、项级权限、行级安全性或其他用途。 有时,一个组可以实现多种用途。
- 主题/范围/部门:用于阐明该组适用于谁。 它通常会描述组成员身份。 它还可以指定谁管理该组。 有时,一个组可以用于多种用途。 例如,可以使用一个组来管理一系列财务工作区。
- 环境:可选。 有助于区分开发、测试和生产。
以下是一些应用标准命名约定的组名称示例。
- Power BI 工作区管理员 - 财务 [开发]
- Power BI 工作区成员 - 财务 [开发]
- Power BI 工作区参与者 - 财务 [开发]
- Power BI 工作区查看者 - 财务 [开发]
- Power BI 应用查看者 - 财务
- Power BI 网关管理员 - 企业 BI
- Power BI 网关管理员 - 财务
每组的决定数
规划需要哪些组时,必须做出多个决定。
内容创建者或所有者请求新组时,理想情况下他们使用窗体来提供以下信息。
- 名称和用途:建议的组名称及其预期用途。 请考虑在组名称中包含 Power BI(使用多个 BI 工具时则包含 BI)以明确指示组的范围。
- 电子邮件地址:组成员还需要进行通信时的电子邮件地址。 并非所有类型的组都需要启用邮件。
- 组类型:选项包括安全组、启用了邮件的安全组、Microsoft 365 组和通讯组。
- 组所有者:谁可以拥有和管理组成员。
- 组成员身份:将成为组成员的目标用户。 请考虑是否可以添加外部用户和内部用户,或者是否有理由将外部用户添加到其他组。
- 使用即时组成员分配:可以使用 Privileged Identity Management (PIM) 来以时间可控的方式即时访问组。 用户需要临时访问时,此服务会很有帮助。 PIM 对需要偶尔访问的 Power BI 管理员也很有帮助。
提示
基于组织结构图的现有组并不总是非常适用于 Power BI。 如果现有组满足你的需求,请使用它们。 但请准备好在需要时创建特定于 Power BI 的组。
清单 - 制定如何使用组的策略时,关键决策和操作包括:
- 决定组的使用策略:确定需要使用组的用例和用途。 具体说明何时应使用用户帐户应用安全性,而不是何时需要或首选组。
- 为特定于 Power BI 的组创建命名约定:确保为支持 Power BI 通信、功能、管理或安全性的组使用一致的命名约定。
- 决定谁可以创建组:明确是否所有组的创建都需要通过 IT。 或者,是否可以授权某些个人(如 COE 的附属成员)为其业务部门创建组。
- 创建关于如何请求新组的流程:创建一个窗体,供用户请求创建新组。 确保已部署流程来快速响应新请求。 请记住,如果请求延迟,用户可能会开始向个人帐户分配权限。
- 决定何时可以使用分散式组管理:对于适用于特定团队的组,决定组所有者(非 IT)何时可以管理组中的成员。
- 决定是否将使用即时组成员身份:确定 Privileged Identity Management 是否有用。 如果有用,确定它可以用于哪些组(例如 Power BI 管理员组)。
- 查看当前有哪些组:确定可以使用哪些现有组,以及需要创建哪些组。
- 查看每个租户设置:对于每个租户设置,确定其是否可供一组特定的用户使用。 确定是否需要新建组来设置租户设置。
- 为用户创建和发布有关组的指南:包括内容创建者文档,其中包含使用组的要求或首选项。 确保用户在请求新组时知道要请求哪些内容。 将此信息发布到集中式门户和培训材料。
相关内容
在本系列的下一篇文章中,了解如何将内容安全地传递给只读报表使用者。