權限模型
Microsoft Fabric 具有彈性的許可權模型,可讓您控制組織中數據的存取。 本文說明 Fabric 中不同類型的許可權,以及它們如何一起運作,以控制組織中數據的存取。
工作區是將專案分組在 Fabric 中的邏輯實體。 工作區角色會定義工作區的訪問許可權。 雖然專案會儲存在一個工作區中,但可以跨 Fabric 與其他用戶共用。 當您共用 Fabric 專案時,您可以決定要授與您共用專案之使用者的許可權。 某些專案,例如 Power BI 報表,可更細微地控制數據。 您可以設定報表,以便根據其許可權,檢視報表的使用者只會看到其保留的部分數據。
工作區角色
工作區角色可用來控制工作區及其內內容的存取權。 網狀架構管理員可以將工作區角色指派給個別使用者或群組。 工作區角色受限於特定工作區,且不適用於其他工作區、工作區位於的容量或租使用者。
有四個工作區角色,且會套用至工作區內的所有專案。 沒有任何這些角色的用戶無法存取工作區。 角色如下:
查看器 - 可以檢視工作區中的所有內容,但無法加以修改。
參與者 - 可以檢視和修改工作區中的所有內容。
成員 - 可以檢視、修改及共用工作區中的所有內容。
系統管理員 - 可以檢視、修改、共用及管理工作區中的所有內容,包括管理許可權。
下表顯示每個角色擁有的一小組功能。 如需完整且更詳細的清單,請參閱 Microsoft Fabric 工作區角色。
| 功能 | 管理 | 成員 | 參與者 | 檢視者 |
|---|---|---|---|---|
| 刪除工作區 | ✅ | ❌ | ❌ | ❌ |
| 新增管理員 | ✅ | ❌ | ❌ | ❌ |
| 新增成員 | ✅ | ✅ | ❌ | ❌ |
| 寫入資料 | ✅ | ✅ | ✅ | ❌ |
| 建立項目 | ✅ | ✅ | ✅ | ❌ |
| 讀取資料 | ✅ | ✅ | ✅ | ✅ |
項目權限
項目許可權可用來控制工作區內個別 Fabric 專案的存取權。 項目許可權僅限於特定專案,且不適用於其他專案。 使用項目許可權來控制誰可以在工作區中檢視、修改及管理個別專案。 您可以使用項目許可權,讓使用者存取工作區中沒有存取權的單一專案。
當您與使用者或群組共享專案時,您可以設定項目許可權。 共用項目預設會將該專案的讀取許可權授與使用者。 讀取許可權可讓使用者查看該專案的元數據,並檢視與其相關聯的任何報表。 不過,讀取許可權不允許使用者在 SQL 或 OneLake 中存取基礎數據。
不同的網狀架構專案有不同的許可權。 若要深入瞭解每個項目的許可權,請參閱:
計算許可權
您也可以在 Fabric 中的特定計算引擎內設定許可權,特別是透過 SQL 端點或在語意模型中設定。 計算引擎許可權可啟用更細微的數據訪問控制,例如數據表和數據列層級安全性。
SQL 端點 - SQL 端點 提供 OneLake 中數據表的直接 SQL 存取,而且可以透過 SQL 命令以原生方式設定安全性。 這些許可權僅適用於透過 SQL 進行的查詢。
語意模型 - 語意模型 允許使用DAX定義安全性。 使用 DAX 定義的限制適用於透過語意模型或以語意模型為基礎的 Power BI 報表來查詢的使用者。
您可以在下列文章中找到詳細資訊:
OneLake 許可權 (資料存取角色)
OneLake 有自己的許可權,可透過 OneLake 資料存取角色控管 OneLake 中檔案和資料夾的存取權。 OneLake 資料存取角色可讓使用者在 Lakehouse 內建立自定義角色,並在存取 OneLake 時,只授與指定資料夾的讀取許可權。 針對每個 OneLake 角色,用戶可以指派使用者、安全組,或根據工作區角色授與自動指派。
深入瞭解 OneLake 數據 存取控制 模型,並檢視操作指南。
運算順序
網狀架構有三個不同的安全性層級。 用戶必須具有每個層級的存取權,才能存取數據。 每個層級都會循序評估,以判斷使用者是否具有存取權。 安全性規則,例如Microsoft 資訊保護原則會在指定的層級進行評估,以允許或不允許存取。 評估網狀架構安全性時的作業順序為:
- Entra 驗證:檢查使用者是否能夠向 Microsoft Entra 租使用者進行驗證。
- 網狀架構存取:檢查使用者是否可以存取 Microsoft Fabric。
- 數據安全性:檢查使用者是否可以在數據表或檔案上執行要求的動作。
範例
本節提供如何在 Fabric 中設定許可權的兩個範例。
範例 1:設定小組許可權
Wingtip Toys 已為整個組織設定一個租使用者,以及三個容量。 每個容量都代表不同的區域。 Wingtip Toys 在 美國、歐洲和亞洲運營。 每個容量都有組織中每個部門的工作區,包括銷售部門。
銷售部門有經理、銷售小組負責人和銷售小組成員。 Wingtip Toys 還為整個組織聘請了一位分析師。
下表顯示銷售部門中每個角色的需求,以及如何設定許可權以啟用這些角色。
| 角色 | 需求 | 設定 |
|---|---|---|
| 經理 | 檢視和修改整個組織中銷售部門的所有內容 | 組織中所有銷售工作區的成員角色 |
| 小組負責人 | 檢視和修改特定區域中銷售部門的所有內容 | 區域中銷售工作區的成員角色 |
| 銷售團隊成員 | ||
| 分析人員 | 檢視整個組織中銷售部門的所有內容 | 組織中所有銷售工作區的查看器角色 |
Wingtip 也有一份季度報告,其中列出其每個銷售成員的銷售收入。 此報表會儲存在財務工作區中。 藉由使用數據列層級安全性,會設定報表,讓每個銷售成員只能看到自己的銷售數據。 小組潛在客戶可以看到其區域中所有銷售成員的銷售數據,而銷售經理可以看到組織中所有銷售成員的銷售數位。
範例 2:工作區和項目許可權
當您共用專案或變更其許可權時,工作區角色不會變更。 本節中的範例顯示工作區和專案許可權的互動方式。
維羅妮卡和瑪塔合作。 維羅妮卡是她想與瑪塔分享的報告的擁有者。 如果維羅妮卡與 Marta 共用這份報告,則無論她擁有的工作區角色為何,Marta 都能存取報告。
假設 Marta 在儲存報表的工作區中具有查看器角色。 如果維羅妮卡決定從報表中移除 Marta 的項目許可權,Marta 仍然可以在工作區中檢視報表。 Marta 也可以從工作區開啟報表,並檢視其內容。 這是因為 Marta 具有工作區的檢視許可權。
如果維羅妮卡不想讓 Marta 檢視報表,則從報表中移除 Marta 的專案許可權是不夠的。 維羅妮卡也需要從工作區中移除 Marta 的查看器許可權。 若沒有工作區查看器許可權,Marta 將無法看到報表存在,因為她無法存取工作區。 Marta 也無法使用報表的鏈接,因為她無法存取報表。
現在 Marta 沒有工作區查看器角色,如果維羅妮卡決定再次與她共用報表,Marta 將能夠使用維羅妮卡與她共用的連結來檢視報表,而不需要存取工作區。
範例 3:Power BI 應用程式許可權
共用 Power BI 報表時,您通常會希望收件者只能存取報表,而不是存取工作區中的專案。 為此,您可以使用 Power BI 應用程式 ,或直接與使用者共用報表。
此外,您可以使用數據列層級安全性 (RLS)來限制檢視者存取數據,使用 RLS,您可以建立可存取數據特定部分的角色,並限制只傳回使用者身分識別可存取之結果的結果。
當匯入模型在語意模型中匯入數據,且收件者可以存取此專案做為應用程式的一部分時,這會正常運作。 有了 DirectLake,報表會直接從 Lakehouse 讀取數據,而報表收件者必須能夠存取湖中的這些檔案。 您可以透過數種方式來執行此動作:
- 直接授
ReadData與 Lakehouse 的許可權。 - 將數據源認證從 單一登入 (SSO) 切換至可存取 Lake 中檔案的固定身分識別。
因為 RLS 是在語意模型中定義,因此數據會先讀取,然後篩選數據列。
如果在建置報表的 SQL 端點中定義任何安全性,查詢會自動回復到 DirectQuery 模式。 如果您不想要此預設後援行為,您可以使用原始 Lakehouse 數據表的快捷方式來建立新的 Lakehouse,而不是在新 Lakehouse 的 SQL 中定義 RLS 或 OLS。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應