Power BI 實作規劃:租用戶層級安全性規劃
注意
本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃。
此租用戶層級安全性規劃文章的主要目標讀者為:
- Fabric 管理員:負責監督組織中 Power BI 的管理員。
- 卓越中心、IT 和 BI 團隊:同時負責監督 Power BI 的團隊。 他們可能需要與 Power BI 管理員、資訊安全團隊和其他相關團隊共同作業。
本文也可能與建立、發佈和管理工作區中內容的自助 Power BI 建立者相關。
此系列文章旨在擴充 Power BI 安全性白皮書中的內容。 Power BI 安全性白皮書著重於驗證、資料落地和網路隔離等重要技術主題。 實作規劃系列文章則提供有助於規劃安全性和隱私權的考量和決策。
由於 Power BI 內容的使用和保護方式因人而異,因此內容建立者會制定許多策略性決策。 不過,租用戶層級也有一些策略性規劃決策。 這些策略性規劃決策是本文的重點。
建議盡早做出租用戶層級安全性決策,因為此類決策會影響其他所有項目。 此外,當您清楚了解整體安全性目標和目的時,更容易做出其他安全性決策。
Power BI 系統管理
Fabric 管理員屬於高級特殊權限角色,對 Power BI 有相當大的控制權。 建議仔細考量要指派擔任此角色的人員,因為 Fabric 管理員能夠執行許多高階功能,包括:
- 租用戶設定管理:管理員可以在管理入口網站中管理租用戶設定。 他們可以啟用或停用設定,以及允許或不允許設定中的特定使用者或群組。 請務必了解您的租用戶設定對使用者體驗有重大影響。
- 工作區角色管理:管理員可以在管理入口網站中更新工作區角色。 他們可能會更新工作區安全性以存取任何資料,或授權其他使用者存取 Power BI 服務中的任何資料。
- 個人工作區存取:管理員可以存取任何使用者的內容,並控管任何使用者的個人工作區。
- 租用戶中繼資料的存取:管理員可以存取整個租用戶的中繼資料,包括透過 Power BI 管理員 API 擷取的 Power BI 活動記錄和活動事件。
提示
建議您將兩到四位使用者指派給 Fabric 管理員角色。 如此一來,您就可以降低風險,同時確保有足夠的涵蓋範圍和交叉訓練。
Power BI 管理員至少被指派擔任了其中一個內建角色:
- Fabric 管理員
- Power Platform 系統管理員
- 全域管理員 – 這是高級特殊權限角色,其成員資格應加以限制。
指派管理員角色時,建議遵循最佳做法。
注意
雖然 Power Platform 管理員可以管理 Power BI 服務,但 Power BI 服務管理員無法管理 Power Platform。 獲指派 Fabric 管理員角色的人員無法管理 Power Platform 中的其他應用程式。
檢查清單 – 規劃誰將成為 Fabric 管理員時,關鍵決策和行動包括:
- 識別目前獲指派擔任管理員角色的人員:確認獲指派擔任可以管理 Power BI 的其中一個角色。
- 確定應該管理 Power BI 服務的人員:如果有太多管理員,請制定方案來減少總數。 如果指派為 Power BI 管理員的使用者不適合擔任這類高級特殊權限角色,請制定方案來解決此問題。
- 釐清角色和責任:確定每個 Power BI 管理員的責任明確。 確認已進行適當的交叉訓練。
安全性和隱私權策略
您必須做出一些與安全性和隱私權相關的租用戶層級決策。 您所採取的策略及所做的決策取決於:
- 您的資料文化。 目標是鼓勵一種資料文化,了解資料安全性和保護人人有責。
- 您的內容擁有權和管理策略。 集中式和分散式內容管理層級會大幅影響安全性的處理方式。
- 您的內容傳遞範圍策略。 檢視內容的人數會影響內容的安全性處理方式。
- 您符合全球、國家/地區和產業法規的需求。
以下是一些高階安全性策略範例。 您可以選擇做出影響整個組織的決策。
- 資料列層級安全性需求:您可以使用資料列層級安全性 (RLS) 來限制特定使用者的資料存取。 這表示存取相同報表時,不同使用者會看到不同資料。 Power BI 語意模型或數據源(使用單一登錄時)可以強制執行 RLS。 如需詳細資訊,請參閱報表取用者安全性規劃一文中的<根據取用者身分識別強制執行資料安全性>一節。
- 資料可探索性:確定在 Power BI 中建議探索資料的程度。 可探索性會影響誰可以在資料中樞內尋找語意模型或資料超市,以及是否允許內容作者使用 [要求存取] 工作流程來要求存取這些項目。 如需詳細資訊,請參閱<可自訂的受控自助式 BI>使用案例。
- 允許儲存在 Power BI 中的資料:確定是否有不應該儲存在 Power BI 中的特定資料類型。 例如,您可以指定不允許將特定敏感性資訊類型 (例如銀行帳戶號碼或社會安全號碼) 儲存在語意模型中。 如需詳細資訊,請參閱資訊保護和資料外洩防護一文。
- 輸入私人網路:確定是否有使用私人端點存取 Power BI 以隔離網路的需求。 當您使用 Azure Private Link 時,會使用 Microsoft 私人網路網骨幹傳送資料流量,而不是透過網際網路傳送。
- 輸出私人網路:確定連線到資料來源時是否需要更多安全性。 虛擬網路 (VNet) 資料閘道可讓您安全地從 Power BI 輸出連線到 VNet 中的資料來源。 當內容儲存在 Premium 工作區時,您可以使用 Azure VNet 資料閘道。
重要
考慮網路隔離時,請先與您的 IT 基礎結構和網路小組合作,再變更任何 Power BI 租用戶設定。 Azure Private Link 允許透過私人端點增強「輸入」安全性,而 Azure VNet 閘道則允許在連線到資料來源時增強「輸出」安全性。 Azure VNet 閘道是由 Microsoft 管理,而不是由客戶管理,因此可消除安裝和監視內部部署閘道的額外負荷。
某些組織層級決策會產生公司治理原則,特別是當這些決策與合規性相關時。 其他組織層級決策則可能會產生指導方針,您可以將這些指導方針提供給負責管理和保護自己內容的內容建立者。 產生的原則和指導方針應包含在您的集中式入口網站、訓練教材及通訊計劃中。
檢查清單 - 規劃高階安全性策略時,關鍵決策和行動包括:
- 識別與安全性相關的法規需求:調查並記載每個需求,包括您如何確保符合規範。
- 識別高階安全性策略:確定哪些安全性需求的重要性足以包含在治理原則中。
- 與其他管理員合作:連絡相關的系統管理員,討論如何符合安全性需求及存在哪些技術必要條件。 規劃執行技術性概念證明。
- 更新 Power BI 租用戶設定:設定每個相關的 Power BI 租用戶設定。 排程定期後續檢閱。
- 建立和發佈使用者指引:建立高階安全性策略的文件。 包含程序及使用者如何要求豁免標準程序的相關細節。 在您的集中式入口網站和訓練教材中提供此資訊。
- 更新訓練教材:針對高階安全性策略,確定您應該在使用者訓練教材中包含哪些需求或指導方針。
與 Microsoft Entra ID 整合
Power BI 安全性是以 Microsoft Entra 租用戶為基礎。 下列 Microsoft Entra 概念與 Power BI 租用戶的安全性相關。
- 使用者存取:若要存取 Power BI 服務,除了需要使用者帳戶,還需要 Power BI 授權 (免費、Power BI Pro 或 Premium Per User - PPU)。 您可以將內部使用者和來賓使用者新增至 Microsoft Entra ID,這些使用者也可以與內部部署 Active Directory (AD) 同步。 如需來賓使用者的詳細資訊,請參閱外部使用者的策略。
- 安全性群組:在 Power BI 租用戶設定中提供特定功能時,需要Microsoft Entra 安全性群組。 您可能也需要群組,才能有效地保護 Power BI 工作區內容或發佈內容。 如需詳細資訊,請參閱使用群組的策略。
- 條件式存取原則:您可以設定 Power BI 服務和 Power BI 行動裝置應用程式的條件式存取。 Microsoft Entra 條件式存取可以在各種情況下限制驗證。 例如,您可以強制執行下列原則:
- 部分或所有使用者需要多重要素驗證。
- 只允許符合組織原則的裝置。
- 允許來自特定網路或 IP 範圍的連線。
- 封鎖來自未加入網域之電腦的連線。
- 封鎖風險性登入的連線。
- 只允許特定類型的裝置連線。
- 有條件地允許或拒絕特定使用者存取 Power BI。
- 服務主體:您可能必須建立 Microsoft Entra 應用程式註冊,才能佈建服務主體。 當 Power BI 管理員想執行無人參與的排程指令碼,以使用 Power BI 管理員 API 擷取資料時,建議使用服務主體驗證。 在自訂應用程式中內嵌 Power BI 內容時,服務主體也很有用。
- 即時原則:您可以選擇設定即時工作階段控制或存取控制原則,過程會用到 Microsoft Entra ID 和 Microsoft Defender for Cloud Apps。 例如,您可以在 Power BI 服務中的報表具有特定敏感度標籤時,禁止下載該報表。 如需詳細資訊,請參閱資訊保護和資料外洩防護一文。
在不受限制的存取與過度限制的存取之間,可能很難找到正確的平衡點 (這讓使用者感到挫折)。 最佳策略是與您的 Microsoft Entra 管理員合作,以了解目前的設定。 試著對業務需求保持回應,同時留意必要的限制。
提示
許多組織都有內部部署 Active Directory (AD) 環境,會與雲端的 Microsoft Entra ID 同步。 此設定稱為混合式身分識別解決方案,不在本文介紹範圍內。 Microsoft Entra ID 必須有使用者、群組和服務主體,Power BI 等雲端式服務才能運作,請務必了解這個重要概念。 擁有混合式身分識別解決方案適用於 Power BI。 建議您與 Microsoft Entra 管理員討論最適合貴組織的解決方案。
檢查清單 - 識別 Microsoft Entra 整合的需求時,關鍵決策和行動包括:
- 與 Microsoft Entra 管理員合作:與 Microsoft Entra 管理員合作,了解現有的 Microsoft Entra 原則。 確定是否有任何原則 (目前或計劃性) 會影響 Power BI 服務和/或 Power BI 行動裝置應用程式中的使用者體驗。
- 決定使用者存取與服務主體的使用時機:針對自動化作業,決定何時使用服務主體,而不是使用者存取。
- 建立或更新使用者指引:確定是否有必須為 Power BI 使用者社群記載的安全性主題。 如此一來,他們就會知道使用群組和條件式存取原則的預期結果。
外部使用者的策略
Power BI 支援 Microsoft Entra 企業對企業 (B2B)。 例如,來自客戶或合作夥伴公司的外部使用者可受邀作為 Microsoft Entra ID 中的來賓使用者,以進行共同作業。 外部使用者可以使用 Power BI 以及許多其他 Azure 和 Microsoft 365 服務。
重要
Microsoft Entra B2B 技術白皮書是了解處理外部使用者策略的最佳資源。 本文只會說明與規劃相關的最重要考量。
當來自另一個組織的外部使用者同時設定 Microsoft Entra ID 時,會有下列優勢。
- 主租用戶會管理認證:使用者的主租用戶保有其身分識別和認證管理的控制權。 您不需要同步身分識別。
- 主租用戶會管理使用者的狀態:當使用者離開該組織且帳戶遭到移除或停用時,使用者將立即無法再存取您的 Power BI 內容。 這是一個重要優勢,因為您可能不知道何時有人離開組織。
- 使用者授權的彈性:有符合成本效益的授權選項。 外部使用者可能已有 Power BI Pro 或 PPU 授權,在此情況下,您不需要為其指派授權。 您也可以將 Fabric (免費) 授權指派給外部使用者,授權他們存取 Premium 容量、Fabric F64 或更大容量工作區中的內容。
重要
此文章有時會提及 Power BI Premium 或其容量訂用帳戶 (P SKU)。 請注意,Microsoft 目前正在整合購買選項,並按容量 SKU 淘汰 Power BI Premium。 新客戶和現有客戶應考慮改為購買 Fabric 容量訂用帳戶 (F SKU)。
如需詳細資訊,請參閱 Power BI Premium 授權的重要更新和 Power BI Premium 常見問題集。
金鑰設定
啟用外部使用者存取及管理其運作方式有兩個層面:
- Microsoft Entra 設定,由 Microsoft Entra 管理員管理。 這些 Microsoft Entra 設定是必要條件。
- Power BI 租用戶設定,由 Power BI 管理員在管理入口網站中管理。 這些設定會控制 Power BI 服務中的使用者體驗。
來賓邀請程序
您可以透過兩種方式邀請來賓使用者加入您的租用戶。
- 計劃性邀請:您可以在 Microsoft Entra ID 中事先設定外部使用者。 如此一來,每當 Power BI 使用者需要指派權限時 (例如應用程式權限),就能有來賓帳戶可供使用。 雖然需要一些預先規劃,但這是最一致的程序,因為所有 Power BI 安全性功能都受到支援。 系統管理員可以使用 PowerShell,有效率地新增大量外部使用者。
- 臨時邀請:當 Power BI 使用者與外部使用者共用內容或對其發佈內容時,可以在 Microsoft Entra ID 中自動產生來賓帳戶 (如果先前未設定外部使用者)。 當您事先不知道外部使用者是誰時,此方法會很有用。 不過,必須先在 Microsoft Entra ID 中啟用此功能。 臨時邀請方法適用於臨時個別項目權限和應用程式權限。
提示
Power BI 服務中的安全性選項並非全都支援觸發臨時邀請。 因此,指派權限時的使用者體驗會不一致 (例如因工作區安全性、個別項目權限和應用程式權限而異)。 建議盡可能使用計劃性邀請方法,因為這會產生一致的使用者體驗。
客戶用戶 ID
每個 Microsoft Entra 租用戶都有一個通用唯一識別碼 (GUID),稱為「租用戶識別碼」。 在 Power BI 稱為「客戶租用戶識別碼 (CTID)」。 CTID 可讓 Power BI 服務從不同組織租用戶的觀點找出內容。 您必須在與外部使用者共用內容時,將 CTID 附加至 URL。
以下是將 CTID 附加至 URL 的範例:https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456
當您必須將貴組織的 CTID 提供給外部使用者時,您可以在 Power BI 服務中開啟 [關於 Power BI] 對話方塊視窗找到該識別碼。 此視窗位於 Power BI 服務右上方的 [說明與支援 (?)] 功能表中。 CTID 會附加至租用戶 URL 的結尾。
組織商標
當您的組織中經常發生外部來賓存取時,最好使用自訂商標。 這可協助使用者識別目前存取的組織租用戶。 自訂商標元素包括標誌、封面影像和佈景主題色彩。
下列螢幕擷取畫面顯示來賓帳戶存取 Power BI 服務時的外觀。 其中包括 [來賓內容] 選項,當 CTID 附加至 URL 後即可使用。
外部資料共用
有些組織除了與外部使用者共用報表之外,還必須執行更多工作。 他們想要與外部使用者 (例如合作夥伴、客戶或廠商) 共用語意模型。
就地語意模型共用 (也稱為「跨租用戶語意模型共用」) 的目標是允許外部使用者使用您建立、管理及提供的資料來建立自己的自訂報表與複合模型。 原始共用語意模型 (由您建立) 會保留在 Power BI 租用戶中。 相依報表和模型會儲存在外部使用者的 Power BI 租用戶中。
執行就地語意模型共用工作涉及數個安全性層面。
- 租用戶設定:[允許來賓使用者使用自己租用戶中的共用語意模型]:此設定會指定是否可以使用外部資料共用功能。 必須啟用以下顯示的其他兩個設定之一才會生效。 此設定是由 Power BI 管理員針對整個組織啟用或停用。
- 租用戶設定:[允許特定用戶開啟外部資料共用]:此設定會指定哪些使用者群組可以在外部共用資料。 這裡允許的使用者群組可以使用第三項設定 (如下所述)。 此設定是由 Power BI 管理員管理。
- 語意模型設定:[外部共用]:此設定會指定外部使用者是否可以使用該特定語意模型。 此設定是由每個特定語意模型的內容建立者和擁有者管理。
- 語意模型權限:[讀取] 和 [建置]:仍有支援內容建立者的標準語意模型權限。
重要
一般而言,「取用者」一詞是用來指稱取用組織中其他人所產生內容的僅供檢視使用者。 不過,使用就地語意模型共用時,則有語意模型的「產生者」和語意模型的「取用者」。 在此情況下,語意模型的取用者通常是其他組織中的內容建立者。
如果為語意模型指定資料列層級安全性,則該安全性適用於外部使用者。 如需詳細資訊,請參閱報表取用者安全性規劃一文中的<根據取用者身分識別強制執行資料安全性>一節。
外部使用者訂閱
如前所述,外部使用者在 Microsoft Entra ID 中最常以來賓使用者身分進行管理。 除了這個常見的方法之外,Power BI 還提供其他功能,可將報表訂閱發佈給組織外部的使用者。
Power BI 的 [允許將電子郵件訂閱傳送給外部使用者] 租用戶設定會指定是否允許使用者將電子郵件訂閱傳送給還不是Microsoft Entra 來賓使用者的外部使用者。 建議您設定此租用戶設定,以符合組織想要管理外部使用者帳戶的嚴格或靈活程度。
提示
管理員可以使用 GetReportSubscriptionsAsAdmin API 來確認哪些外部使用者會收到訂閱。 這會顯示外部使用者的電子郵件地址。 主體類型「無法解析」,因為 Microsoft Entra ID 中未設定外部使用者。
檢查清單 - 規劃如何處理外部來賓使用者時,關鍵決策和行動包括:
- 識別 Power BI 中外部使用者的需求:確定外部共同作業有哪些使用案例。 釐清搭配 Microsoft Entra B2B 使用 Power BI 的案例。 確定與外部使用者共同作業是常見的情況還是罕見的情況。
- 確定目前的 Microsoft Entra 設定:與 Microsoft Entra 管理員合作,了解目前如何設定外部共同作業。 確定搭配 Power BI 使用 B2B 會有哪些影響。
- 決定如何邀請外部使用者:與 Microsoft Entra 管理員合作,決定如何在 Microsoft Entra ID 中建立來賓帳戶。 決定是否允許臨時邀請。 決定使用計劃性邀請方法的程度。 確定了解並記載整個程序。
- 建立和發佈外部使用者的相關使用者指引:為您的內容建立者建立文件,以引導他們如何與外部使用者共用內容 (特別是需要計劃性邀請程序時)。 如果他們想要讓外部使用者編輯和管理內容,則包含外部使用者所面臨限制的相關資訊。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 確定如何處理外部資料共用:決定應該允許外部資料共用,還是僅限一組特定的已核准內容建立者使用。 設定 [允許來賓使用者使用自己租用戶中的共用語意模型] 租用戶設定和 [允許特定使用者開啟外部資料共用] 租用戶設定以符合您的決策。 提供語意模型建立者的外部資料共用相關資訊。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 確定如何處理外部使用者的 Power BI 授權:如果來賓用戶沒有現有的 Power BI 授權,請決定指派授權的程序。 確定記載該程序。
- 在相關的使用者文件加入 CTID:在使用者文件記錄附加租用戶識別碼 (CTID) 的 URL。 包含建立者和取用者的範例,說明如何使用附加 CTID 的 URL。
- 在 Power BI 中設定自訂商標:在管理入口網站中設定自訂商標,以協助外部使用者識別目前存取的組織租用戶。
- 確認或更新租用戶設定:查看目前如何在 Power BI 服務中設定租用戶設定。 根據為管理外部使用者存取所做的決策,視需要更新這些設定。
檔案位置的策略
檔案類型各式各樣,應該予以適當地儲存。 因此,請務必協助使用者了解檔案和資料預期應位於何處。
由於 Power BI Desktop 檔案和 Excel 活頁簿可能包含匯入的資料,因此具有相關風險。 此資料可能包括客戶資訊、個人識別資訊 (PII)、專屬資訊,或是受法規或合規性需求拘束的資料。
提示
儲存在 Power BI 服務外部的檔案很容易遭到忽略。 建議您在規劃安全性時將這些檔案列入考量。
以下是 Power BI 實作中可能涉及的一些檔案類型。
- 來源檔案
- Power BI Desktop 檔案:發佈至 Power BI 服務之內容的原始檔案 (.pbix)。 當檔案包含資料模型時,則可能包含匯入的資料。
- Excel 活頁簿:Excel 活頁簿 (.xlsx) 可能會連接到 Power BI 服務中的語意模型, 因此還可能包含匯出的資料。 甚至可能是發佈至 Power BI 服務之內容的原始活頁簿 (作為工作區中的活頁簿項目)。
- 編頁報告檔案:發佈至 Power BI 服務之內容的原始報表檔案 (.rdl)。
- 來源資料檔案:一般檔案 (例如 .csv 或 .txt) 或是包含已匯入至 Power BI 模型之來源資料的 Excel 活頁簿。
- 匯出的檔案和其他檔案
- Power BI Desktop 檔案:已從 Power BI 服務下載的 .pbix 檔案。
- PowerPoint 和 PDF 檔案:從 Power BI 服務下載的 PowerPoint 簡報 (.pptx) 和 PDF 文件。
- Excel 和 CSV 檔案:從 Power BI 服務中的報表匯出的資料。
- 編頁報告檔案:從 Power BI 服務中的編頁報告匯出的檔案。 支援 Excel、PDF 和 PowerPoint。 編頁報告還有其他匯出檔案格式,包括 Word、XML 或網頁封存。 使用將檔案匯出至報表 API 時,也支援影像格式。
- 電子郵件檔案:來自訂閱的電子郵件影像和附件。
您必須對使用者可以或不可以儲存檔案的位置做出一些決策。 一般而言,該程序涉及建立使用者可以參考的治理原則。 來源檔案和匯出的檔案位置應受到保護,以確保供授權使用者適當存取。
以下是使用檔案的一些建議。
- 將檔案儲存在共用文件庫中:使用 Teams 網站、SharePoint 文件庫,或是工作或學校用 OneDrive 共用文件庫。 避免使用個人文件庫和磁碟機。 確定備份儲存體位置。 也請確定儲存位置已啟用版本控制,以便復原至舊版。
- 盡可能多使用 Power BI 服務:盡可能使用 Power BI 服務來共用和發佈內容。 如此一來,就能一律確保完整稽核存取權。 在檔案系統上儲存和共用檔案的權限,應該保留給少數共同處理內容的使用者。
- 不要使用電子郵件:不建議使用電子郵件來共用檔案。 當有人以電子郵件傳送 Excel 活頁簿或 Power BI Desktop 檔案給 10 位使用者時,就會產生 10 份檔案。 肯定會有包含不正確 (內部或外部) 電子郵件地址的風險。 此外,將檔案轉寄給其他人的風險也會更高。 (若要將此風險降至最低,請與您的 Exchange Online 管理員合作,實作規則來根據檔案大小或副檔名類型等條件封鎖附件。如需 Power BI 中其他資料外洩防護策略的說明,請參閱資訊保護和資料外洩防護一文。)
- 使用範本檔案:有時會有與其他人共用 Power BI Desktop 檔案的合法需求。 在此情況下,請考慮建立和共用 Power BI Desktop 範本 (.pbit) 檔案。 範本檔案只會包含中繼資料,因此大小小於來源檔案。 這項技術需要收件者輸入資料來源認證,以重新整理模型資料。
管理入口網站中有租用戶設定,可控制從 Power BI 服務匯出時,允許使用者使用哪些匯出格式。 請務必檢閱並設定這些設定。 其他作業還包括規劃要用於匯出檔案的檔案位置。
提示
特定匯出格式支援使用加密進行端對端資訊保護。 由於法規需求,有些組織必須明確限制使用者可以使用的匯出格式。 Power BI 的資訊保護一文說明決定在租用戶設定中啟用或停用哪些匯出格式時所要考慮的因素。 在大部分情況下,建議您只有在必須符合特定法規需求時才限制匯出功能。 您可以使用 Power BI 活動記錄來識別哪些使用者正在執行許多匯出。 然後,您可以教導這些使用者更有效率且安全的替代方案。
檢查清單 - 規劃檔案位置時,關鍵決策和行動包括:
- 識別檔案應位於何處:決定應儲存檔案的位置。 確定是否有不應該使用的特定位置。
- 建立和發佈檔案位置的相關文件:建立使用者文件,以釐清管理和保護檔案的責任。 該文件也應該說明可以 (或不可以) 儲存檔案的任何位置。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 設定匯出的租用戶設定:檢閱並設定與您想要支援之匯出格式相關的每個租用戶設定。
使用群組的策略
基於下列原因,建議使用 Microsoft Entra 安全性群組來保護 Power BI 內容。
- 降低維護需求:不需要修改 Power BI 內容的權限,即可修改安全性群組成員資格。 您可以新增使用者至群組,也可以從群組移除不必要的使用者。
- 改善正確性:由於群組成員資格變更進行一次,因此會產生更正確的權限指派。 如果偵測到錯誤,可以更輕鬆地更正錯誤。
- 委派:您可以將管理群組成員資格的責任委派給群組擁有者。
高階群組決策
關於如何使用群組,有一些策略性決策。
建立和管理群組的權限
建立和管理群組有兩個關鍵決策。
- 誰可以建立群組? 通常只有 IT 人員可以建立安全性群組。 不過,您可以將使用者新增至 Microsoft Entra 內建「群組管理員」角色。 如此一來,特定受信任的使用者 (例如 Power BI 擁護者或 COE 的附屬成員) 就可以為其業務單位建立群組。
- 誰可以管理群組的成員? 通常是由 IT 人員管理群組成員資格。 不過,您可以指定一或多個允許新增和移除群組成員的「群組擁有者」。 當允許分散式小組或 COE 的附屬成員管理 Power BI 特定群組的成員資格時,使用「自助群組管理」會很有幫助。
規劃 Power BI 群組
請務必建立高階策略,說明如何使用群組來保護 Power BI 內容及進行許多其他用途。
群組的各種使用案例
請考慮下列群組使用案例。
使用案例 | 說明 | 範例群組名稱 |
---|---|---|
與 Power BI 卓越中心 (COE) 通訊 | 包含與 COE 相關聯的所有使用者,包括 COE 的所有核心和附屬成員。 視您的需求而定,您也可能只為核心成員建立個別的群組。 這可能是與 Teams 網站相互關聯的 Microsoft 365 群組。 | • Power BI 卓越中心 |
與 Power BI 領導團隊通訊 | 包含執行發起人和業務單位代表,這些人員會協同合作在組織中領導 Power BI 行動方案。 | • Power BI 指導委員會 |
與 Power BI 使用者社群通訊 | 包含獲指派任何 Power BI 使用者授權類型的所有使用者。 有助於向貴組織中的所有 Power BI 使用者發出公告。 這可能是與 Teams 網站相互關聯的 Microsoft 365 群組。 | • Power BI 社群 |
支援 Power BI 使用者社群 | 包含直接與使用者社群互動以處理 Power BI 支援問題的技術支援中心使用者。 此電子郵件地址和 Teams 網站 (如果適用) 可供使用者群體使用並會對其顯示。 | • Power BI 使用者支援 |
提供呈報支援 | 包含提供呈報支援的特定使用者,通常來自 Power BI COE。 此電子郵件地址和 Teams 網站 (如果適用) 通常是私人的,僅供使用者支援小組使用。 | • Power BI 呈報使用者支援 |
管理 Power BI 服務 | 包含允許管理 Power BI 服務的特定使用者。 (選擇性) 此群組的成員可以與 Microsoft 365 中的角色相互關聯,以簡化管理。 | • Power BI 管理員 |
通知允許的功能並逐步推出這些功能 | 包含管理入口網站中特定租用戶設定所允許的使用者 (如果功能將受到限制或要將功能逐步推出給使用者群組)。 許多租用戶設定都需要您建立新的 Power BI 特定群組。 | • Power BI 工作區建立者 • Power BI 外部資料共用 |
管理資料閘道 | 包含一或多個允許管理閘道叢集的使用者群組。 當有多個閘道或分散式小組管理閘道時,可能會有數個此類型的群組。 | • Power BI 閘道管理員 • Power BI 閘道資料來源建立者 • Power BI 閘道資料來源擁有者 • Power BI 閘道資料來源使用者 |
管理 Premium 容量 | 包含允許管理 Premium 容量的使用者。 當有多個容量或分散式小組管理容量時,可能會有數個此類型的群組。 | • Power BI 容量參與者 |
保護工作區、應用程式和項目 | 可根據主題領域允許存取以管理 Power BI 工作區角色、應用程式權限和個別項目權限的許多群組。 | • Power BI 工作區管理員 • Power BI 工作區成員 • Power BI 工作區參與者 • Power BI 工作區檢視者 • Power BI 應用程式檢視者 |
部署內容 | 包含可使用 Power BI 部署管線來部署內容的使用者。 此群組會與工作區權限搭配使用。 | • Power BI 部署管線管理員 |
自動化管理作業 | 包含允許使用 Power BI API 進行內嵌或管理用途的服務主體。 | • Power BI 服務主體 |
適用於 Power BI 租用戶設定的群組
根據現有的內部程序,您還需要其他群組。 管理租用戶設定時,這些群組會很有幫助。 以下列出一些範例。
- Power BI 工作區建立者:適用於需要限制誰可以建立工作區時。 可用來設定 [建立工作區] 租用戶設定。
- Power BI 認證主題專家:有助於指定誰可以對內容使用認證背書。 可用來設定 [認證] 租用戶設定。
- Power BI 核准的內容建立者:適用於需要核准、訓練或原則通知以安裝 Power BI Desktop 或是取得 Power BI Pro 或 PPU 授權時。 可供租用戶設定用來建議內容建立功能,例如 [允許 DirectQuery 連線至 Power BI 語意模型]、[將應用程式推送給終端使用者]、[允許 XMLA 端點] 等。
- Power BI 外部工具使用者:適用於允許特定使用者群組使用外部工具時。 可依群組原則使用,或在必須謹慎控制軟體安裝或要求時使用。
- Power BI 自訂開發人員:適用於需要控制誰可以內嵌 Power BI 外部其他應用程式中的內容時。 可用來設定 [在應用程式中內嵌內容] 租用戶設定。
- Power BI 公開發佈:適用於需要限制誰可以公開發佈資料時。 可用來設定 [發佈至 Web] 租用戶設定。
- Power BI 分享給整個組織:適用於需要限制誰可以與組織中每個人分享連結時。 可用來設定 [允許可共用的連結授與您組織中所有人員的存取權] 租用戶設定。
- Power BI 外部資料共用:適用於需要允許特定使用者與外部使用者共用語意模型時。 可用來設定 [允許特定使用者開啟外部資料共用] 租用戶設定。
- Power BI 來賓使用者存取已授權:適用於需要將組織授權的已核准外部使用者分組時。 可用來設定 [允許 Microsoft Entra 來賓使用者存取 Power BI] 租用戶設定。
- Power BI 來賓使用者存取 BYOL:適用於需要將從主要組織自備授權 (BYOL) 的已核准外部使用者分組時。 可用來設定 [允許 Microsoft Entra 來賓使用者存取 Power BI] 租用戶設定。
提示
如需規劃工作區存取時使用群組的考量,請參閱工作區層級規劃一文。 如需保護工作區、應用程式和項目的規劃資訊,請參閱報表取用者安全性規劃一文。
群組類型
您可以建立不同的群組類型。
- 安全性群組:當您的主要目標是授與資源的存取權時,安全性群組是最佳選擇。
- 擁有郵件功能的安全性群組:當您需要授與資源的存取權並透過電子郵件將訊息發佈給整個群組時,擁有郵件功能的安全性群組是不錯的選擇。
- Microsoft 365 群組:這種類型的群組具有 Teams 網站和電子郵件地址。 當主要目標是 Teams 網站中的通訊或共同作業時,這是最佳選擇。 Microsoft 365 群組只有成員和擁有者,沒有檢視者角色。 因此,其主要目的是共同作業。 這種類型的群組先前稱為 Office 365 群組、新式群組或整合群組。
- 通訊群組:您可以使用通訊群組將廣播通知傳送給使用者清單。 今天,它被認為是提供回溯相容性的舊版概念。 針對新的使用案例,建議您改為建立擁有郵件功能的安全性群組。
當您要求新群組或想要使用現有群組時,請務必注意其類型。 群組類型可以決定群組的使用和管理方式。
- Power BI 權限:並非所有群組類型都受到每個安全性作業類型的支援。 安全性群組 (包括擁有郵件功能的安全性群組) 在設定 Power BI 安全性選項方面提供最高的涵蓋範圍。 Microsoft 文件通常建議使用 Microsoft 365 群組。 不過,在 Power BI 的情況下,其功能不如安全性群組。 如需 Power BI 權限的詳細資訊,請參閱此系列中有關安全性規劃的後續文章。
- Power BI 租用戶設定:允許或不允許使用者群組使用 Power BI 租用戶設定時,您只能使用安全性群組 (包括擁有郵件功能的安全性群組)。
- 進階 Microsoft Entra 功能:某些類型的進階功能不支援所有群組類型。 例如,Microsoft 365 群組不支援一個群組內的群組巢狀結構。 雖然某些群組類型支援動態群組成員資格 (基於 Microsoft Entra ID 中的使用者屬性),但 Power BI 不支援使用動態成員資格的群組。
- 管理方式不同:建立或管理群組的要求可能會根據群組類型路由傳送給不同的管理員 (擁有郵件功能的安全性群組和通訊群組是在 Exchange 中管理)。 因此,您的內部程序會因群組類型而有所差異。
群組命名慣例
您最終可能會在 Microsoft Entra ID 中擁有許多群組,以支援您的 Power BI 實作。 因此,對於如何命名群組有一致的模式非常重要。 良好的命名慣例有助於確定群組的用途並簡化其管理。
請考慮使用下列標準命名慣例:<前置詞><用途> - <主題/範圍/部門><[環境]>
下列清單描述命名慣例的每個部分。
- 前置詞:用來將所有 Power BI 群組分組在一起。 當群組用於多個分析工具時,您的前置詞可能只有 BI,而不是 Power BI。 在此情況下,描述用途的文字會更一般,使其與多個分析工具相關。
- 用途:用途會依情況而異。 可能是用於工作區角色、應用程式權限、項目層級權限、資料列層級安全性或其他用途。 有時候,單一群組可以滿足多個用途。
- 主題/範圍/部門:用來釐清群組的適用對象。 通常會描述群組成員資格。 也可指出管理群組的人員。 有時候,單一群組可用於多個用途。 例如,財務工作區集合可以使用單一群組來管理。
- 環境:選擇性。 有助於區分開發、測試和生產環境。
以下是套用標準命名慣例的一些範例群組名稱。
- Power BI 工作區管理員 - 財務 [開發]
- Power BI 工作區成員 - 財務 [開發]
- Power BI 工作區參與者 - 財務 [開發]
- Power BI 工作區檢視者 - 財務 [開發]
- Power BI 應用程式檢視者 - 財務
- Power BI 閘道器管理員 - 企業 BI
- Power BI 閘道管理員 - 財務
每個群組的決策
規劃您需要哪些群組時,有幾個決策必須制定。
當內容建立者或擁有者要求新群組時,理想情況下會使用表單來提供下列資訊。
- 名稱和用途:建議的群組名稱及其預定用途。 請考慮在群組名稱中包含 Power BI (當您有多個 BI 工具時則只包含 BI),以清楚指出群組的範圍。
- 電子郵件地址:當群組成員也需要通訊時,請提供電子郵件地址。 並非所有群組類型都必須擁有郵件功能。
- 群組類型:選項包括安全性群組、擁有郵件功能的安全性群組、Microsoft 365 群組和通訊群組。
- 群組擁有者:誰可以擁有和管理群組的成員。
- 群組成員資格:預計將成為群組成員的使用者。 請考慮是否可以新增外部使用者和內部使用者,或是否有理由將外部使用者放入不同的群組。
- 使用 Just-In-Time 群組成員指派:您可以使用 Privileged Identity Management (PIM),將有時間範圍的 Just-In-Time 存取權授與群組。 當使用者需要暫時存取時,這項服務會很有幫助。 PIM 對於需要偶爾存取的 Power BI 管理員也很有幫助。
提示
基於組織圖的現有群組不一定適用於 Power BI 用途。 當現有群組符合您的需求時,可以使用這些群組。 不過,請準備好在需求增加時建立 Power BI 特定群組。
檢查清單 - 制定如何使用群組的的策略時,關鍵決策和行動包括:
- 決定群組使用策略:確定需要使用群組的使用案例和用途。 具體說明何時應使用使用者帳戶套用安全性,以及何時需要或優先使用群組。
- 建立 Power BI 特定群組的命名慣例:確定對支援 Power BI 通訊、功能、管理或安全性的群組使用一致的命名慣例。
- 決定誰可以建立群組:釐清是否必須透過 IT 人員建立所有群組。 或是否可授權某些人 (例如 COE 的附屬成員) 為其業務單位建立群組。
- 建立如何要求新群組的程序:建立可供使用者要求建立新群組的表單。 確定有一個可快速回應新要求的程序。 請記住,如果要求延遲,使用者可能會想要開始將權限指派給個人帳戶。
- 決定何時允許分散式群組管理:針對適用於特定小組的群組,決定何時適合 IT 以外的群組擁有者管理群組中的成員。
- 決定是否要使用 Just-In-Time 群組成員資格:確定 Privileged Identity Management 是否有用。 如果是,請確定可用於哪些群組 (例如 Power BI 管理員群組)。
- 檢閱目前存在哪些群組:確定可使用哪些現有群組,以及需要建立哪些群組。
- 檢閱每個租用戶設定:針對每個租用戶設定,確定允許或不允許特定一組使用者。 確定是否需要建立新群組來設定租用戶設定。
- 為使用者建立及發佈群組的相關指引:包含提供給內容建立者的文件,其中包括使用群組的需求或喜好設定。 確定他們知道要求新群組時所要求的內容。 將此資訊發佈至您的集中式入口網站和訓練教材。
相關內容
在本系列的下一篇文章中,了解如何將內容安全地傳遞給唯讀報表取用者。