共用方式為

Power BI 實作規劃:內容建立者安全性規劃

  • 發行項

注意

本文構成Power BI實作規劃系列文章的一部分。 此系列主要著重於 Microsoft Fabric 內的 Power BI 體驗。 如需系列簡介,請參閱 Power BI 實作規劃

此安全性規劃文章說明負責建立語意模型的內容建立者策略(先前稱為數據集)、數據流、數據超市、報表或儀錶板。 主要以下列目標為目標:

  • Power BI 系統管理員: 負責監督組織中的 Power BI 的系統管理員。
  • 卓越中心、IT和 BI 小組: 負責監督 Power BI 的小組。 他們可能需要與 Power BI 系統管理員、資訊安全小組和其他相關小組共同作業。
  • 內容建立者和擁有者: 需要建立、發佈、保護及管理其他人取用內容的自助 BI 建立者。

這系列文章旨在擴充Power BI安全性白皮書的內容。 雖然 Power BI 安全性白皮書著重於驗證、數據落地和網路隔離等重要技術主題,但系列的主要目標是為您提供考慮和決策,以協助您規劃安全性和隱私權。

在組織中,許多使用者都是 內容建立者。 內容建立者會產生併發佈其他人檢視的內容。 內容建立者是本文的重點。

提示

建議您先檢閱 報表取用者安全性規劃 文章。 它描述為只讀取用者安全地提供內容的策略,包括如何強制執行數據安全性。

內容建立者的策略

妥善治理的自助 BI 系統的基礎從內容建立者和擁有者開始。 他們會建立及驗證語意模型和報表。 在許多情況下,內容建立者也會設定許可權來管理其內容的安全性。

提示

建議您培養 數據文化, 讓數據的安全性和保護成為每個人角色的正常部分。 為了實現該目標,使用者教育、支援和訓練至關重要。

基於安全性和許可權的目的,請考慮有兩種類型的內容建立者:數據建立者和報表建立者。 他們可以負責建立和管理企業 BI 或自助 BI 內容。

數據建立者

數據建立者是任何建立語意模型、數據流或 Datamarts 的 Power BI 使用者。

以下是一些常見的數據建立者案例。

  • 建立新的語意模型: 在Power BI Desktop中建立及測試新的數據模型。 然後,它會發行至 Power BI 服務,以便將其作為許多報表的共用語意模型。 如需重複使用共用語意模型的詳細資訊,請參閱 受控自助 BI 使用案例。
  • 擴充和自定義語意模型:Power BI Desktop中建立現有共用語意模型的即時連線 。 將即時連線轉換為本機模型,以新的數據表或數據行擴充模型設計。 如需擴充和自定義共用語意模型的詳細資訊,請參閱 可自定義的受控自助 BI 使用案例。
  • 建立新的數據流:在 Power BI 服務 中,建立新的數據流,讓許多語意模型可作為來源。 如需重複使用數據準備活動的詳細資訊,請參閱 自助數據準備 使用案例。
  • 建立新的 Datamart。 在 Power BI 服務 中,建立新的 Datamart

數據建立者通常會在企業 BI 小組和卓越中心 (COE) 中找到。 它們也有在分散業務單位和部門中扮演的重要角色,這些單位和部門會維護及管理自己的數據。

如需商務導向 BI、受控自助 BI 和企業 BI 的其他考慮,請參閱 內容擁有權和管理 一文。

報表建立者

報表建立者會建立報表和儀錶板,以可視化來自現有語意模型的數據。

以下是一些常見的報表建立者案例。

  • 建立包含數據模型的新報表: 在 Power BI Desktop 中建立及測試新的報表和數據模型。 包含一或多個報表頁面且包含數據模型的 Power BI Desktop 檔案會發行至 Power BI 服務。 新的內容建立者通常會使用這個方法,然後才知道使用共用語意模型。 它也適用於不需要重複使用數據的範圍使用案例。
  • 建立即時連線報表:建立新的Power BI報表,以聯機到 Power BI 服務中的共用語意模型。 如需重複使用共用語意模型的詳細資訊,請參閱 受控自助 BI 使用案例。
  • 建立連接的Excel活頁簿:建立新的Excel報表,以聯機到 Power BI 服務中的共用語意模型。 強烈建議 連線 Excel 體驗,而不是下載數據。
  • 建立 DirectQuery 報表: 建立新的 Power BI 報表,以在 DirectQuery 模式中連接到支持的數據源。 此方法很有用的其中一種情況是,當您想要利用來源系統所實作的使用者安全性時。

報表建立者可在組織中每個業務單位中找到。 組織中的報表建立者通常比數據建立者多得多。

提示

雖然並非每個語意模型都是共用語意模型,但仍值得採用 受控自助 BI 策略。 此策略會盡可能重複使用共用語意模型。 如此一來,報表建立和數據建立就會 分離。 任何業務單位的任何內容建立者都可以有效地使用此策略。

建立者的許可權

本節說明數據建立者和報表建立者最常見的許可權。

本節並非要成為每個可能許可權的全含清單。 相反地,它旨在協助您規劃支援不同類型的內容建立者的策略。 您的目標應該是遵循 最低許可權原則。 此原則可讓使用者擁有足夠的許可權來提高生產力,而不需要過度布建許可權。

建立新內容

建立新內容通常需要下列許可權。

權限 報表建立者 語意模型建立者 數據流建立者 Datamart 建立者
存取基礎數據源
語意模型讀取和建置許可權
資料流讀取許可權(當資料流作為來源使用時,請透過工作區查看器角色)
儲存原始 Power BI Desktop 檔案的存取
使用自定義視覺效果的許可權

發佈內容許可權

發佈內容通常需要下列許可權。

權限 報表建立者 語意模型建立者 數據流建立者 Datamart 建立者
工作區角色:參與者、成員或 管理員
語意模型寫入權限 (當使用者不屬於工作區角色時)
部署管線角色以發佈項目 (選擇性)

重新整理資料

重新整理數據通常需要下列許可權。

權限 報表建立者 語意模型建立者 數據流建立者 Datamart 建立者
已指定擁有者(誰已設定設定或接管專案)
基礎資料來源的存取權(未使用閘道時)
存取閘道中的數據來源(當來源在內部部署或虛擬網路中時)

本文的其餘部分說明內容建立者許可權的考慮。

提示

如需檢視內容的相關許可權,請參閱 報表取用者安全性規劃 一文。

檢查清單 - 規劃內容建立者的安全性策略時,關鍵決策和動作包括:

  • 判斷數據建立者是誰: 確定您熟悉誰正在建立語意模型、數據流和數據超市。 開始安全性規劃活動之前,請確認您瞭解其需求。
  • 判斷報表建立者是誰: 確定您熟悉誰正在建立報表、儀錶板、活頁簿和計分卡。 開始安全性規劃活動之前,請確認您瞭解其需求。

探索建立者的內容

用戶可以依賴 數據探索 來尋找語意模型和數據超市。 數據探索是一項 Power BI 功能,可讓內容建立者找出現有的數據資產,即使它們沒有該內容的任何許可權也一樣。

探索現有資料對於:

  • 想要針對新報表使用現有語意模型的報表建立者。
  • 想要從現有 Datamart 查詢數據的報表建立者。
  • 想要為新的複合模型使用現有語意模型的語意模型建立者。

注意

Power BI 中的數據探索 不是數據安全性許可權。 這是一項設定,可讓報表建立者讀取元數據,協助他們探索數據並要求其存取權。

您可以將語意模型或 Datamart 設定為可探索的語意模型(經過認證或升階)。 在可探索時,內容建立者可以在數據中 中找到它。

內容建立者也可以要求存取語意模型或 Datamart。 基本上,存取要求會 要求建置許可權,這是根據它建立新內容所需的許可權。 回應存取要求時,請考慮使用群組而非個別使用者。 如需有關如何針對此用途使用群組的詳細資訊,請參閱 要求取用者的存取工作流程。

請考慮下列三個範例。

  • 銷售摘要語意模型已通過認證。 這是銷售追蹤的信任和權威來源。 整個組織的許多自助報表建立者都會使用此語意模型。 因此,根據語意模型,有許多現有的報表和複合模型。 若要鼓勵其他建立者尋找和使用語意模型,它會設定為可探索的。
  • 清查統計數據語意模型已通過認證。 這是庫存分析的信任和權威來源。 企業 BI 小組會維護及散發語意模型和相關報表。 由於語意模型的複雜設計,只允許企業BI小組建立和維護清查內容。 由於目標是阻止報表建立者使用語意模型,因此不會將其設定為可探索。
  • Executive Bonuses 語意模型包含高度機密的資訊。 檢視或更新此語意模型的許可權僅限於少數使用者。 此語意模型未設定為可探索。

下列螢幕快照顯示 Power BI 服務 中數據中樞的語意模型。 具體來說,它會顯示可探索語意模型的 「要求存取」訊息範例。 當使用者目前沒有存取權時,會顯示此訊息。 語 意模型設定中已自定義要求存取 訊息。

要求 存取 訊息會讀取: 針對 MTD/QTD/YTD 的標準銷售報告,此語意模型是權威且經認證的來源。請完成位於 https://COE.contoso.com/RequestAccess的表單,以要求存取語意模型。系統會要求您提供簡短的業務理由,而卓越中心經理也需要核准要求。存取權會每隔六個月稽核一次。

數據中樞中要求存取訊息的螢幕快照,其語意模型設定為可探索。

注意

您的數據文化特性和數據民主化的立場應該對您是否啟用數據探索產生強烈影響。 如需數據探索的詳細資訊,請參閱 可自定義的受控自助 BI 使用案例。

有三個與探索相關的租用戶設定。

  • [ 探索內容 租使用者] 設定可讓 Power BI 系統管理員設定哪些使用者群組可以探索數據。 主要針對建立報表時可能需要找出現有語意模型的報表建立者。 它也適用於語意模型建立者,他們可能會尋找可在複合模型開發中使用的現有數據。 雖然可以針對特定安全組進行設定,但最好為整個組織啟用設定。 個別語意模型和數據流上的探索設定將控制可探索的內容。 較不常見,您可能只考慮將這項功能限製為已核准的內容建立者。
  • [讓認證內容可探索的租用戶設定] 可讓Power BI系統管理員設定哪些群組可以設定可探索的內容(當他們也有編輯項目的許可權,以及認證租用戶設定所授與的內容的許可權時)。 認證內容的能力應受到嚴格控制。 在大部分情況下,允許認證內容的相同用戶應允許將其設定為可探索。 在某些情況下,您可能只想將這項功能限製為已核准的數據建立者。
  • [ 建立可探索 的內容租使用者] 設定可讓 Power BI 系統管理員將哪些群組設定為可探索的內容(當他們也有編輯數據的許可權時)。 由於升級內容的能力會開放給所有內容建立者,在大部分情況下,所有使用者都應該可以使用這項功能。 較不常見,您可能會考慮將這項功能限製為僅核准的內容建立者。

檢查清單 - 規劃內容建立者的數據探索時,關鍵決策和動作包括:

  • 釐清數據探索的需求: 考慮貴組織對於鼓勵內容建立者尋找現有語意模型和數據超市的立場。 適當時,請建立治理原則,以瞭解如何使用數據探索。
  • 決定誰可以探索內容: 決定是否允許任何 Power BI 使用者探索內容,或探索是否應該限制為特定使用者群組(例如,已核准的內容建立者群組)。 設定 [ 探索內容 租使用者] 設定以配合此決策。
  • 決定誰可以設定可探索的認證內容: 決定任何 Power BI 使用者(誰有權編輯語意模型或 Datamart,以及認證它的許可權)都可以將其設定為可探索。 設定 [ 讓認證的內容可供 探索的租使用者] 設定,以符合此決策。
  • 決定誰可以設定可探索的升級內容: 決定任何 Power BI 使用者(誰有權編輯語意模型或 Datamart)是否可以將它設定為可探索。 設定 [ 建立可 探索的內容的租使用者] 設定,以配合此決策。
  • 包含在語意模型建立者的文件和訓練中: 包含語意模型建立者的指導方針,說明何時適合針對語意模型使用數據探索,以及其擁有和管理的數據超市。
  • 包含在報表建立者的文件和訓練中: 包含內容建立者關於數據探索運作方式的指引,以及其預期。

要求建立者的存取工作流程

用戶可以透過兩種方式要求存取內容。

  • 對於內容取用者:使用者會收到 Power BI 服務 中現有報表或應用程式的連結。 若要檢視專案,取用者可以選取 [ 要求存取 ] 按鈕。 如需詳細資訊,請參閱 報表取用者安全性規劃 一文。
  • 對於內容建立者: 使用者會在數據中樞內探索語意模型或 Datamart。 若要根據現有的數據建立新的報表或複合模型,內容建立者可以選取 [要求存取 ] 按鈕。 此體驗是本節的重點。

根據預設,存取語意模型或 Datamart 的要求會傳送給 擁有者。 擁有者是上次排程數據重新整理或輸入認證的使用者。 對小組語意模型而言,依賴一個用戶來處理存取要求可能可以接受。 不過,這可能不實用或可靠。

您可以定義自定義指示,當使用者要求存取語意模型或 Datamart 時,可以定義 向使用者呈現的自定義指示 。 自訂指示在下列情況下很有用:

  • 語意模型會設定為 探索的。
  • 數據擁有者以外的人員將會核准存取要求。
  • 現有的程序必須遵循存取要求。
  • 追蹤要求存取的人員、時機和原因,以因稽核或合規性原因。
  • 如何要求存取權,以及設定預期,需要說明。

下列螢幕快照顯示設定使用者要求建置許可權時看到的自定義指示範例。 自定義指示會讀取: 針對 MTD/QTD/YTD 的標準銷售報告,此語意模型是權威且經認證的來源。請完成位於 https://COE.contoso.com/RequestAccess的表單,以要求存取語意模型。系統會要求您提供簡短的業務理由,而卓越中心經理也需要核准要求。存取權會每隔六個月稽核一次。

Power BI 服務 中語意模型要求存取設定的螢幕快照。

有許多選項可以建立表單。 Power AppsMicrosoft Forms 都是低程式碼、易於使用的選項。 建議您以與單一用戶無關的方式建立表單。 您的表單必須由適當的小組建立、管理及監視。

建議您為下列專案建立實用資訊:

  • 內容建立者,讓他們知道要求存取權時會發生什麼事。
  • 內容擁有者和系統管理員,讓他們知道如何管理提交的要求。

提示

如需回應取用者讀取存取要求的詳細資訊,請參閱 要求取用者的存取工作流程。 它也包含使用群組的相關信息(而不是個別使用者)。

檢查清單 - 規劃 要求存取 工作流程時,關鍵決策和動作包括:

  • 釐清如何處理存取要求的喜好設定: 判斷哪些情況可以接受擁有者核准,以及何時應使用不同的程式。 適當時,請建立控管原則,以瞭解如何處理存取要求。
  • 包含在語意模型和數據超市建立者的檔和定型中: 包含語意模型和 Datamart 建立者關於如何及何時設定存取要求的自定義指示的指引。
  • 包含在報表建立者的文件和訓練中: 包含報表建立者在要求語意模型和 Datamarts 建置許可權時可預期其預期情況的指引。

建立和發佈內容

本節包含適用於內容建立者的安全性層面。

注意

如需檢視報表、儀錶板和計分卡的取用者,請參閱 報表取用者安全性規劃 文章。 該文章也涵蓋與應用程式許可權相關的考慮。

工作區角色

您可以將使用者或群組(包括安全組、Microsoft 365 群組和通訊組清單)新增至 工作區角色,以授與工作區存取權。 將使用者指派給工作區角色可讓您指定他們可以使用工作區及其內容執行的動作。

注意

如需工作區規劃考慮的詳細資訊,請參閱 工作區規劃 文章。 如需群組的詳細資訊,請參閱 租用戶層級安全性規劃 一文。

由於工作區的主要用途是共同作業,因此工作區存取權大多與擁有和管理其內容的用戶相關。 開始規劃工作區角色時,詢問自己下列問題會很有説明。

  • 工作區中將如何進行共同作業的預期為何?
  • 神秘 將負責管理工作區中的內容?
  • 是否打算將個別使用者或群組指派給工作區角色?

Power BI 工作區角色有四個:管理員、成員、參與者和查看器。 前三個角色與建立者和發佈內容的內容建立者有關。 查看器角色與唯讀取用者相關。

四個工作區角色許可權是巢狀的。 這表示工作區系統管理員擁有所有可供成員、參與者和檢視者使用的功能。 同樣地,成員擁有可供參與者和檢視者使用的所有功能。 參與者具有所有可供檢視者使用的功能。

提示

如需四個角色的授權參考,請參閱工作區角色檔。

工作區管理員

指派給 管理員 角色的用戶會成為工作區系統管理員。 他們可以管理所有設定並執行所有動作,包括新增或移除使用者(包括其他工作區系統管理員)。

工作區管理員可以更新或刪除Power BI應用程式(如果有的話)。 他們可以選擇性地允許參與者更新工作區的應用程式。 如需詳細資訊,請參閱 本文稍後的工作區角色 變化。

提示

參考系統管理員時,請務必釐清您是在談論工作區系統管理員或Power BI租用戶層級系統管理員。

請小心確保只有受信任且可靠的個人是工作區系統管理員。 工作區系統管理員具有高許可權。 他們有權檢視及管理工作區中的所有內容。 他們可以將使用者(包括其他系統管理員)新增和移除至任何工作區角色。 他們也可以刪除工作區。

我們建議至少有兩個系統管理員,以便當主要系統管理員無法使用時,做為備份。 沒有系統管理員的工作區稱為 孤立工作區。 當使用者離開組織,且沒有指派給工作區的替代系統管理員時,就會發生孤立狀態。 如需如何偵測及修正孤立工作區的詳細資訊,請參閱 檢視工作區 一文。

在理想情況下,您應該能夠判斷工作區系統管理員和成員是誰負責工作區內容的人員(以及為工作區指定的聯繫人)。 不過,某些組織會採用 內容擁有權和管理 策略,以將工作區建立限制為特定使用者或群組。 他們通常會有由 IT 部門管理的已建立 工作區建立程式 。 在此情況下,工作區系統管理員會是IT部門,而不是直接建立和發佈內容的使用者。

工作區成員

指派給成員角色的使用者可以新增其他工作區使用者(但不是系統管理員)。 他們也可以管理工作區中所有內容的許可權。

工作區成員可以發佈或取消發佈工作區的應用程式、共用工作區專案或應用程式,並允許其他使用者共用應用程式的工作區專案。

工作區成員應受限於需要管理工作區內容建立和發佈應用程式的使用者。 在某些情況下,工作區管理員會達到該目的,因此您可能不需要將任何使用者或群組指派給成員角色。 當工作區管理員與工作區內容不直接相關時(例如,因為IT會管理工作區建立程式),工作區成員可能是負責工作區內容的真正擁有者。

工作區參與者

指派給參與者角色的使用者可以建立、編輯或刪除工作區內容。

除非工作區設定允許,否則參與者無法更新 Power BI 應用程式(當工作區存在時)。 如需詳細資訊,請參閱 本文稍後的工作區角色 變化。

組織中的大部分內容建立者都是工作區參與者。

工作區查看器

指派給檢視者角色的使用者可以檢視及與所有工作區內容互動。

查看器角色與小型小組和非正式案例的唯讀取用者相關。 報告取用者安全性規劃一文已完整說明

工作區擁有權考慮

請考慮採取下列動作來設定新工作區的範例。

  1. 特定 Power BI 冠軍和卓越中心 (COE) 的衛星成員已獲授與租用戶設定中建立新工作區的許可權。 他們已經過內容組織策略和命名標準的訓練。
  2. 您(內容建立者)提交要求,以針對您將管理的新專案建立工作區。 工作區會包含追蹤專案進度的報告。
  3. 商務單位的Power BI擁護者會收到要求。 他們會判斷新的工作區是否合理。 然後,他們會建立工作區,並將Power BI擁護者安全組(適用於其業務單位)指派給工作區 管理員角色。
  4. Power BI 冠軍會將您 (內容建立者) 指派給工作區成員角色。
  5. 您會將受信任的同事指派給工作區成員角色,以確保您應該離開備份。
  6. 您可以將其他同事指派給工作區參與者角色,因為它們將負責建立工作區內容,包括語意模型和報表。
  7. 您可以將管理員指派給工作區查看器角色,因為它們已要求存取以監視項目的進度。 您的管理員想要先檢閱工作區中的內容,再發佈應用程式。
  8. 您必須負責管理其他工作區屬性,例如描述和聯繫人。 您也會負責持續管理工作區存取權。

上一個範例顯示一種有效方式,可讓分散式業務單位獨立運作。 它也會顯示 最低許可權的原則。

對於受控的內容或更嚴格管理的重要內容,最佳做法是將群組而非個別用戶帳戶指派給工作區角色。 如此一來,您就可以分開管理群組成員資格與工作區。 不過,當您將群組指派給角色時,使用者可能會被指派給多個工作區角色(因為使用者屬於多個群組)。 在此情況下,其有效許可權是以指派給的最高角色為基礎。 如需詳細資訊,請參閱 使用群組的策略。

當工作區由多個個人或小組共同擁有時,它可以讓內容管理變得複雜。 嘗試藉由區隔工作區來避免多小組擁有權案例。 如此一來,責任就清晰明瞭,角色指派很容易設定。

工作區角色的變化

四個工作區角色有兩種變化(先前所述)。

  • 根據預設,只有工作區系統管理員和成員可以建立、發佈及更新工作區的應用程式。 [ 允許參與者更新此工作區 ] 設定的應用程式選項是工作區層級設定,可讓工作區系統管理員將工作區的應用程式更新為參與者的能力。 不過,參與者無法發佈新的應用程式或變更誰有權編輯它。 當您希望參與者能夠更新應用程式時,此設定很有用(當工作區有應用程式存在時),但尚未將其他許可權授與成員。
  • [ 封鎖重新發佈並停用套件 重新整理租使用者] 設定只允許語意模型擁有者發佈更新。 啟用時,除非工作區管理員、成員和參與者先接管語意模型作為其擁有者,否則無法發佈變更。 由於此設定適用於整個組織,因此請謹慎啟用它,因為它會影響租使用者的所有語意模型。 請務必與您的語意模型建立者溝通預期的內容,因為它會變更工作區角色的正常行為。

重要

個別項目許可權也可以視為標準工作區角色的覆寫。 如需每個專案許可權的詳細資訊,請參閱 報表取用者安全性規劃 一文。

檢查清單 - 規劃工作區角色時,關鍵決策和動作包括:

  • 建立責任矩陣: 找出誰預期會在建立、維護、發佈、保護及支持內容時處理每個函式。 規劃工作區角色時,請使用此資訊。
  • 決定指派內容建立者工作區角色的策略: 決定哪些使用者應該是系統管理員、成員或參與者,以及在某些情況下(例如工作角色或主旨區域)。 如果造成安全性考慮的不符,請重新考慮如何更妥善地組織您的工作區。
  • 決定安全組與個人應如何用於工作區角色: 判斷您需要使用群組的使用案例和用途。 請特別說明何時應使用使用者帳戶來套用安全性,而不是何時需要或慣用群組。
  • 提供內容建立者關於管理工作區角色的指引: 包含內容建立者關於如何管理工作區角色的檔。 將此資訊發佈至您的集中式入口網站和訓練教材。
  • 設定及測試工作區角色指派: 確認內容建立者具有編輯和發佈內容所需的功能。

應用程式建立者許可權

身為工作區系統管理員或成員的內容建立者可以建立及發佈Power BI 應用程式。

工作區系統管理員也可以在工作區中指定設定,讓 工作區參與者更新應用程式。 這是工作區角色安全性的變化,因為它會授與參與者他們通常不會擁有的其他許可權。 此設定是以每個工作區為基礎設定。

提示

如需將內容傳遞至唯讀取用者的詳細資訊,請參閱 報表取用者安全性規劃 一文。 本文包含應用程式取用者的應用程式許可權相關信息,包括應用程式的物件。

檢查清單 - 規劃應用程式建立者許可權時,關鍵決策和動作包括:

  • 決定您可以建立及發佈Power BI 應用程式的人員策略: 釐清應允許誰建立及發佈Power BI 應用程式。
  • 判斷參與者何時可以更新Power BI應用程式: 釐清應允許參與者更新Power BI 應用程式的情況。 需要此功能時,請更新工作區設定。

數據源許可權

當數據建立者啟動新專案時,存取外部數據源所需的許可權是其第一個安全性相關考慮之一。 它們可能也需要其他數據源相關事項的指引,包括隱私權等級、原生資料庫查詢和自定義連接器。

數據源的存取權

當數據建立者建立語意模型、數據流或數據超市時,它們必須向數據源進行驗證,才能擷取數據。 通常,驗證牽涉到使用者認證(帳戶和密碼),這可能適用於服務帳戶。

有時候建立特定服務帳戶來存取數據源很有用。 請洽詢 IT 部門,以取得組織中應如何使用服務帳戶的指引。 允許使用服務帳戶時,可以使用服務帳戶:

  • 集中數據源所需的許可權。
  • 減少需要數據源許可權的個別用戶數目。
  • 當使用者離開組織時,請避免數據重新整理失敗。

提示

如果您選擇使用服務帳戶,建議您嚴格控制誰可以存取認證。 定期輪替密碼(例如每三個月一次),或有存取權的人員離開組織時。

存取數據源時,請套用最低許可權原則,以確保使用者(或服務帳戶)有權只讀取所需的數據。 他們不應該有執行數據修改的許可權。 建立這些服務帳戶的資料庫管理員應該詢問預期的查詢和工作負載,並採取步驟,以確保適當的優化(例如索引)和資源已就緒。

提示

如果很難提供自助數據建立者的直接數據源存取權,請考慮使用間接方法。 您可以在 Power BI 服務 中建立數據流,並允許自助數據建立者從中源數據。 這種方法有減少數據源上查詢負載以及提供一致數據快照集的新增優點。 如需詳細資訊,請參閱 自助數據準備進階數據準備 使用案例。

認證(帳戶和密碼)可以兩種方式之一套用。

  • Power BI Desktop: 認證會加密並儲存在本機用戶電腦上。
  • Power BI 服務:認證會加密並安全地儲存下列任一項:
    • 語意模型(當數據閘道未用於連線到數據源時)。
    • 閘道資料源(當標準閘道虛擬網路閘道服務用來連線數據源時)。

提示

當您已經輸入語意模型數據源的認證時,當 連接字串 和資料庫名稱完全相符時,Power BI 服務 會自動將這些認證系結至其他語意模型數據源。 Power BI 服務 和 Power BI Desktop 都看起來像是輸入每個數據源的認證。 不過,它可以將相同的認證套用至具有相同擁有者的相符數據源。 在這方面,語意模型認證 的範圍會限定 為擁有者。

認證會與 Power BI Desktop 和 Power BI 服務 中的數據模型分開加密和儲存。 此數據區隔具有下列安全性優點。

  • 它有助於重複使用多個語意模型、數據流和數據超市的認證。
  • 當有人剖析語意模型的元數據時,就無法擷取認證。
  • 在 Power BI Desktop 中,其他使用者無法連線到原始數據源以重新整理數據,而不需要先套用認證。

某些數據源支援單一登錄 (SSO),這可以在 Power BI 服務 中輸入認證時設定(適用於語意模型或網關數據源)。 當您啟用 SSO 時,Power BI 會將已驗證使用者的認證傳送至數據源。 此選項可讓 Power BI 接受資料源中設定的安全性設定,例如數據列層級安全性。 當數據模型中的數據表使用 DirectQuery 儲存模式時,SSO 特別有用。

隱私權等級

數據隱私權等級會指定隔離等級 ,以定義一個數據源與其他數據源隔離的程度。 適當地設定時,它們可確保Power Query 只會在來源之間傳輸相容的數據。 當 Power Query 可以在數據源之間傳輸數據時,可能會導致更有效率的查詢,以減少傳送至 Power BI 的數據量。 當它無法在數據源之間傳輸數據時,可能會導致效能變慢。

有三個隱私權層級。

  • 私用: 包含必須與其他所有數據源隔離的機密數據。 此層級是最嚴格的。 私人數據源無法與任何其他數據源共用。 例如,包含員工薪資值的人力資源資料庫應該設定為私人隱私權層級。
  • 組織: 與公用數據源隔離,但其他組織數據源可以看到。 此層級是最常見的層級。 組織數據源可以與私人數據源或其他組織數據源共用。 大部分的內部操作資料庫都可以使用組織隱私權層級來設定。
  • 公用: 任何數據源都可以看到的非敏感數據。 此層級是限制最少的。 公用數據源可以與任何其他數據源共用。 例如,從政府網站取得的人口普查報告可以設定為公開隱私權等級。

結合來自不同數據源的查詢時,請務必設定正確的隱私權等級。 正確設定隱私權等級時,可能會有數據從某個數據源傳輸到另一個數據源,以有效率地查詢數據。

假設語意模型建立者有兩個數據源:Excel 活頁簿和 Azure SQL 資料庫 中的數據表。 他們想要使用從 Excel 活頁簿來源的值來篩選 Azure SQL 資料庫 數據表中的數據。 Power Query 為 Azure SQL 資料庫 產生 SQL 語句最有效率的方式,就是套用 WHERE 子句來執行必要的篩選。 不過,該 SQL 語句會包含 WHERE 子句述詞,其中包含從 Excel 活頁簿來源的值。 如果 Excel 活頁簿包含敏感數據,它可能會代表安全性缺口,因為資料庫管理員可以使用追蹤工具來檢視 SQL 語句。 雖然效率較低,但 Power Query 混搭引擎可以下載資料庫數據表的整個結果集,並在 Power BI 服務 中執行篩選本身。 這種方法的效率和速度較慢,但很安全。

您可以為每個資料來源設定隱私權等級:

重要

您在 Power BI Desktop 中設定的隱私權等級不會傳輸至 Power BI 服務。

Power BI Desktop 安全性選項可讓您忽略隱私權等級以改善效能。 當您沒有違反資料安全性的風險時,您可以使用此選項來改善查詢效能,同時開發數據模型(因為您正在使用開發或測試不敏感的數據)。 不過,Power BI 服務 不接受此設定。

如需詳細資訊,請參閱 Power BI Desktop 隱私權等級

原生資料庫查詢

若要建立有效率的 Power Query 查詢,您可以使用 原生查詢 來存取數據。 原生查詢是以數據源支持的語言撰寫的語句。 原生查詢僅受特定數據源支援,通常是 Azure SQL 資料庫 等關係資料庫。

原生查詢可能會造成安全性風險,因為它們可能會執行惡意 SQL 語句。 惡意語句可能會執行資料修改或刪除資料庫記錄(當使用者擁有數據源中的必要許可權時)。 因此,根據預設,原生查詢需要使用者核准才能在Power BI Desktop中執行。

Power BI Desktop 安全性選項可讓您停用預先核准的需求。 建議您保留需要使用者核准的預設設定,特別是當您預期其他使用者可能會重新整理Power BI Desktop 檔案時。

自訂連接器

開發人員可以使用 Power Query SDK 來建立 自定義連接器。 自定義連接器允許存取專屬數據源,或使用自定義數據延伸模組實作特定驗證。 某些自定義連接器是由 Microsoft 認證並散發為 認證的連接器。 已稽核並檢閱認證連接器,以確保它們符合 Microsoft 已測試及核准的特定指定程式代碼需求。

Power BI Desktop 數據延伸模組安全性選項 會限制使用未經認證的連接器。 根據預設,嘗試載入未經認證的連接器時,就會引發錯誤。 藉由將此選項設定為允許未經認證的連接器,自定義連接器將會載入而不需驗證或警告。

我們建議您將數據延伸模塊安全性層級保持在較高層級,這可防止載入未經認證的程序代碼。 不過,在某些情況下,您可能會想要載入特定連接器、您可能開發的連接器,或由 Microsoft 認證路徑外部信任的顧問或廠商提供給您的連接器。

注意

內部開發連接器的開發人員可以採取步驟,使用憑證簽署連接器,讓您不需要變更安全性設定即可使用連接器。 如需詳細資訊,請參閱 受信任的第三方連接器

檢查清單 - 規劃數據源許可權時,關鍵決策和動作包括:

  • 決定誰可以直接存取每個數據源: 決定哪些數據建立者可以直接存取數據源。 如果有減少直接存取人數的策略,請釐清偏好的替代方案(或許是使用數據流)。
  • 決定應如何存取數據源: 判斷是否要使用個別使用者認證來存取數據源,或是否應針對該目的建立服務帳戶。 判斷單一登錄是否適當。
  • 提供有關存取數據源的語意模型建立者的指引: 包含內容建立者關於如何存取組織數據源的檔。 將資訊發佈至您的集中式入口網站和訓練教材。
  • 提供有關隱私權層級的語意模型建立者的指引: 提供語意模型建立者的指引,讓他們知道隱私權層級,以及在處理敏感性或機密數據時的影響。 將此資訊發佈至您的集中式入口網站和訓練教材。
  • 提供網關聯機建立者關於隱私權等級的指引: 提供語意模型建立者的指引,讓他們知道隱私權層級及其使用機密數據時的含意。 將此資訊發佈至您的集中式入口網站和訓練教材。
  • 決定使用原生資料庫查詢的策略: 請考慮使用原生資料庫查詢的策略。 教育語意模型建立者如何及何時設定Power BI Desktop原生資料庫查詢選項,以在Power Query執行原生查詢時停用預先核准。
  • 決定使用自定義連接器的策略: 請考慮使用自定義連接器的策略。 判斷是否合理使用非認證連接器,在此情況下,教育語意模型建立者如何及何時設定 Power BI Desktop 數據延伸模組選項。

語意模型建立者許可權

您可以透過不同方式,將許可權指派給使用者或群組編輯語意模型。

  • 工作區角色: 指派給任何工作區角色,可讓您存取工作區中的所有語意模型。 檢視或編輯現有語意模型的能力取決於您指派的 工作區角色 。 管理員 istrators、成員和參與者可以在工作區內發佈或編輯內容。
  • 個別專案許可權連結: 如果 已為報表建立共享連結 ,則連結也會間接授與讀取語意模型的許可權(以及選擇性地讀取、建置、寫入和/或重新共用)。
  • 個別專案直接訪問許可權:您可以將直接訪問許可權指派給特定語意模型。

在下列螢幕快照中,請注意指派給 通話中心數據 語意模型的許可權。 一位使用者具有讀取許可權,這是使用個別專案直接訪問許可權授與的。 其餘的使用者和群組具有許可權,因為它們已指派給工作區角色。

Power BI 服務 的螢幕快照,其中顯示使用者和群組語意模型的直接訪問許可權。

提示

當使用者或群組在工作區中檢視或編輯一個特定專案時,使用個別專案許可權(連結或直接存取)效果最佳。 當使用者不允許存取工作區中的所有專案時,最適合使用。 在大部分情況下,我們建議您設計工作區,讓安全性更容易使用工作區角色來管理。 請盡可能避免設定每個項目的許可權。

語意模型許可權

您可以指派下列 語意模型許可權

  • 讀取: 主要以報表取用者為目標,此許可權可讓報表查詢語意模型中的數據。 如需檢視只讀內容之許可權的詳細資訊,請參閱 報表取用者安全性規劃 一文。
  • 組建: 以報表建立者為目標,此許可權可讓使用者根據共用語意模型建立新的報表。 如需詳細資訊,請參閱本文稍後的 報表建立者許可權 一節。
  • 寫入: 針對建立、發佈和管理語意模型的語意模型建立者,此許可權可讓用戶編輯語意模型。 本節稍後將說明。
  • 重新共享: 針對具有語意模型現有許可權的任何人,此許可權可讓使用者與其他用戶共用語意模型。 本節稍後將說明。

工作區系統管理員或成員可以編輯語意模型的許可權。

語意模型讀取許可權

語意模型讀取許可權主要以取用者為目標。 用戶必須具備此許可權,才能檢視報表中顯示的數據。 請注意,以語意模型為基礎的報表也必須具有讀取許可權;否則,報表將無法載入。 如需設定報表讀取許可權的詳細資訊,請參閱 報表取用者安全性規劃 一文。

語意模型建置許可權

除了語意模型讀取許可權之外,內容建立者也需要語意模型 建置許可權。 具體而言,[建置] 許可權可讓報表建立者:

  • 根據語意模型建立新的Power BI報表。
  • 使用 連線 語意模型在 Excel 中分析。
  • 使用 XMLA 端點查詢語意模型。
  • 匯出 Power BI 報表視覺效果基礎數據(而不是視覺效果所擷取的摘要數據)。
  • 建立 Power BI 語意模型的 DirectQuery 連線。 在此情況下,新的語意模型會連接到一或多個現有的PowerBI語意模型(稱為 鏈結)。 若要查詢鏈結式語意模型,語意模型建立者將需要所有上游語意模型的建置許可權。 如需詳細資訊,請參閱 本文稍後的鏈結語意模型

您可以透過不同的方式,直接或間接將組建許可權授與使用者或群組。

  • 透過下列方式直接授與組建:
  • 透過下列方式間接授與組建:
    • 共用 報表或儀錶板,並設定授與語意模型建置許可權的選項。
    • 發佈 Power BI 應用程式並設定進階選項(適用於物件),以授與相關語意模型的建置許可權。
    • 將使用者指派給 管理員、成員或參與者工作區角色

當您想要以細微、每個項目為基礎管理安全性時,直接設定語意模型的建置許可權是適當的。 透過其中一個間接方法檢視或使用內容的使用者也會建立新內容時,間接設定建置許可權是適當的。

提示

檢視報表或 Power BI 應用程式的使用者通常與使用基礎語意模型建立新內容的使用者不同。 大部分的取用者都是檢視者,因此不需要建立新的內容。 建議您教育內容建立者授與所需的最少許可權數目。

語意模型寫入許可權

通常,將使用者指派給 管理員、成員或參與者工作區角色,即可設定誰可以編輯和管理語意模型的許可權。 不過,您也可以針對特定語意模型設定寫入許可權。

建議您盡可能使用工作區角色,因為這是管理和稽核許可權的最簡單方式。 當您選擇建立較少的工作區時,請使用語意模型以個別專案撰寫許可權,而工作區包含需要不同許可權管理之不同主題區域的語意模型。

提示

如需如何組織工作區的指引,請參閱 工作區規劃 文章。

語意模型重新共享許可權

語意模型 Reshare 許可權可讓具有現有許可權的使用者與其他用戶共用語意模型。 您可以根據使用者自由裁量權,在語意模型中的內容自由共用時,授與此許可權。

在許多情況下,我們建議限制使用 Reshare 許可權,以確保謹慎控制語意模型許可權。 授與重新共享許可權之前,請先取得語意模型擁有者的核准。

語意模型數據安全性

您可以藉由強制執行數據安全性,規劃建立較少的語意模型和報表。 目標是根據檢視內容之使用者的身分識別來強制執行數據安全性。

語意模型建立者可以透過兩種方式強制執行數據安全性。

RLS 和 OLS 的實作是以報表取用者為目標。 如需詳細資訊,請參閱 報表取用者安全性規劃 一文。 它描述對具有語意模型檢視許可權的取用者,如何及何時強制執行 RLS 和 OLS。

如需以其他報表建立者為目標的 RLS 和 OLS,請參閱本文稍後的 報表建立者許可權 一節中的數據安全性。

鏈結語意模型

Power BI 語意模型可以連接到稱為 鏈結的程式中的其他語意模型,也就是上游語意模型的連線。 如需詳細資訊,請參閱 使用 DirectQuery for Power BI 語意模型和 Analysis Services

允許 Power BI 語意模型租用戶設定的 DirectQuery 連線可讓 Power BI 系統管理員設定哪些內容建立者群組可以建立鏈結的語意模型。 如果您不想將語意模型建立者限制為鏈結語意模型,您可以讓整個組織啟用此設定,並依賴工作區存取和語意模型許可權。 在某些情況下,您可能會考慮將這項功能限製為已核准的內容建立者。

注意

身為語意模型建立者,您可以將鏈結限制為語意模型。 它可藉由在 Power BI Desktop 中啟用與這個語意模型 選項的「禁止 DirectQuery 連線」來完成。 如需詳細資訊,請參閱 管理已發行語意模型的 DirectQuery 連線。

語意模型 API 查詢

在某些情況下,您可能想要使用Power BI REST API來執行DAX查詢。 例如,您可能想要執行資料質量驗證。 如需詳細資訊,請參閱 數據集 - 執行查詢

數據集 執行查詢 REST API 租使用者設定可讓 Power BI 系統管理員使用 Power BI REST API 來設定哪些使用者群組可以傳送 DAX 查詢。 在大部分情況下,您可以讓整個組織啟用此設定,並依賴工作區存取權和語意模型許可權。 在某些情況下,您可能會考慮將這項功能限製為已核准的內容建立者。

檢查清單 - 規劃語意模型建立者許可權時,關鍵決策和動作包括:

  • 決定語意模型建立者許可權的策略: 決定管理語意模型建立者安全性的喜好設定和需求。 請考慮數據敏感度的主題區域和層級。 也請考慮誰可以負責管理集中式和分散式業務單位中的數據和許可權。
  • 檢閱如何為語意模型建立者處理工作區角色: 判斷工作區設計程序的影響。 為每個主題區域建立個別的數據工作區,以便更輕鬆地管理每個主題區域的工作區角色和語意模型安全性。
  • 提供有關管理許可權的語意模型建立者的指引: 包含有關如何管理語意模型許可權的語意模型建立者檔。 將此資訊發佈至您的集中式入口網站和訓練教材。
  • 決定誰可以使用Power BI語意模型的 DirectQuery 連線: 決定 Power BI 語意模型建立者(具有語意模型的現有建置許可權)是否應該有任何限制,可以建立 Power BI 語意模型的連線。 將 [允許 DirectQuery 連線至 Power BI 語意模型租使用者] 設定,以配合此決策。 如果您決定限制這項功能,請考慮使用Power BI核准的語意模型建立者群組。
  • 決定誰可以使用 REST API 查詢 Power BI 語意模型: 決定是否要使用 Power BI REST API 來限制 Power BI 內容建立者查詢 Power BI 語意模型。 設定數據集執行查詢 REST API 租用戶設定,以配合此決策。 如果您決定限制這項功能,請考慮使用Power BI核准的報表建立者群組。
  • 決定 RLS 或 OLS 用於語意模型建立者的策略: 請考慮您想要使用 RLS 或 OLS 的使用案例和用途。 當您想要針對語意模型建立者強制執行 RLS 或 OLS 時,考慮工作區設計策略,以及具有讀取與編輯許可權的人員。

報表建立者許可權

報表建立者需要工作區存取權,才能在 Power BI 服務 中建立報表,或從 Power BI Desktop 發佈報表。 它們必須是目標工作區中的系統管理員、成員或參與者。

可能的話,報表建立者應該使用現有的共用語意模型(透過即時連線或 DirectQuery)。 如此一來,報表建立程式就會 與語意模型建立程序分離 。 這種類型的分離為安全性和小組開發案例提供了許多優點。

報表建立者必須是工作區系統管理員、成員或參與者。

不同於語意模型,報表沒有寫入許可權。 若要支援報表建立者,必須使用工作區角色。 因此,最佳工作區設計對於平衡內容組織和安全性需求很重要。

提示

如需支援報表取用者的許可權(包括讀取和重新共用每個項目的許可權),請參閱 報表取用者安全性規劃 一文。

基礎語意模型的讀取和建置許可權

報表建立者必須具有其報表將使用之語意模型的讀取和建置許可權,其中包括 鏈結語意模型。 當報表建立者是工作區系統管理員、成員或參與者時,該許可權可以明確授與個別語意模型,也可以隱含地授與工作區語意模型。

工作區 使用語意模型租用戶設定可讓Power BI系統管理員設定哪些使用者群組可以建立使用其他工作區中語意模型的報表。 此設定是以語意模型和報表建立者為目標。 通常,建議您讓整個組織啟用此設定,並依賴工作區存取設定和語意模型許可權。 如此一來,您就可以鼓勵使用現有的語意模型。 在某些情況下,您可能只考慮將這項功能限製為已核准的內容建立者。

另外還有 [允許即時連線 租使用者] 設定,可讓Power BI系統管理員設定哪些使用者可以在Power BI Desktop 或Excel中建立語意模型的即時連線。 它特別針對報表建立者,而且也需要授與報表將使用之語意模型的讀取和建置許可權。 建議您讓整個組織啟用此設定,並依賴工作區存取和語意模型許可權。 如此一來,您就可以鼓勵使用現有的語意模型。 在某些情況下,您可能只考慮將這項功能限製為已核准的內容建立者。

基礎語意模型的數據安全性

RLS 和 OLS(本文先前所述)是以報表取用者為目標。 不過,有時也需要針對報表建立者強制執行它。 需要針對報表建立者和報表取用者強制執行 RLS 時,建立個別工作區是合理的。

請參考下列案例。

  • 使用 RLS 的集中式共用語意模型: 企業 BI 小組已將銷售語意模型發佈至 [銷售數據 ] 工作區。 這些語意模型會強制執行 RLS,以顯示報表取用者所指派銷售區域的銷售數據。
  • 分散式自助報表建立者: 銷售和行銷業務單位有許多能夠建立其報表的分析師。 他們會將其報表發佈至 Sales Analytics 工作區。
  • 讀取和建置語意模型的許可權:可能的話,分析師會使用 Sales Data 工作區中的語意模型,以避免不必要的重複數據。 因為分析師對這些語意模型只有讀取和建置許可權(沒有寫入或編輯許可權),因此會針對報表建立者強制執行 RLS(以及報表取用者)。
  • 編輯報告工作區的許可權:分析師在 Sales Analytics 工作區中擁有更多許可權。 系統管理員、成員或參與者工作區角色可讓他們發佈和管理其報表。

如需 RLS 和 OLS 的詳細資訊,請參閱 報表取用者安全性規劃 一文。 它描述對具有語意模型檢視許可權的取用者,如何及何時強制執行 RLS 和 OLS。

連線 外部語意模型

當報表建立者連線到其報表的共用語意模型時,他們通常會連線到已在自己的Power BI租使用者中發佈的共用語意模型。 授與許可權時,也可以連線至另一個租使用者中的共用語意模型。 其他租使用者可能是合作夥伴、客戶或廠商。

這項功能稱為 就地語意模型共用 (也稱為 跨租用戶語意模型共用)。 報表建立者所建立的報表(或語意模型建立者所建立的新複合模型)會使用一般程式,儲存並保護於 Power BI 租使用者中。 原始共用語意模型會保留在其原始 Power BI 租使用者中,而且所有許可權都會在那裡管理。

如需詳細資訊,請參閱 租用戶層級安全性規劃 一文。 其中包含讓外部共享運作之租用戶設定和語意模型設定的相關信息。

在 Power BI Desktop 中,語意模型建立者可以將模型數據表設定為成為精選數據表 當語意模型發佈至 Power BI 服務 時,報表建立者可以使用 Excel 中的數據類型庫來尋找精選數據表,讓他們新增精選數據表數據以增強 Excel 工作表。

[ 允許與精選數據表 的連線] 租用戶設定可讓 Power BI 系統管理員設定哪些使用者群組可以存取精選數據表。 其以 Excel 用戶為目標,想要 存取 Excel 組織數據類型中的 Power BI 精選數據表。 建議您讓整個組織啟用此設定,並依賴工作區存取和語意模型許可權。 如此一來,您就可以鼓勵使用精選數據表。

自定義視覺效果許可權

除了核心視覺效果之外,Power BI 報表建立者也可以使用 自定義視覺效果。 在 Power BI Desktop 中,您可以從 Microsoft AppSource 下載自定義視覺效果。 您也可以使用 Power BI SDK 在內部開發它們,並藉由開啟視覺檔案 (.pbviz) 來安裝它們。

某些可從 AppSource 下載的視覺效果是 經過認證的視覺效果。 經認證的視覺效果符合 Power BI 小組已測試及核准的特定指定程式代碼需求。 測試會檢查視覺效果不會存取外部服務或資源。

[ 允許 Power BI SDK 租使用者建立的視覺效果] 設定可讓 Power BI 系統管理員控制哪些使用者群組可以使用自定義視覺效果。

另外還有 [僅新增及使用認證的視覺效果] 租用戶設定,這可讓Power BI系統管理員封鎖在 Power BI 服務中使用未經認證的視覺效果。 您可以針對整個組織啟用或停用此設定。

注意

如果您封鎖使用未經認證的視覺效果,則只會套用至 Power BI 服務。 如果您想要限制其在Power BI Desktop中的使用,請要求系統管理員使用 組策略設定 來封鎖其在Power BI Desktop中的使用。 採取此步驟可確保報表建立者不會浪費時間和精力來建立發行至 Power BI 服務 時無法運作的報表。 強烈建議您將使用者設定為在 Power BI 服務 (使用租用戶設定) 和 Power BI Desktop 中擁有一致的體驗(使用組策略)。

當報表建立者將自定義視覺效果新增至報表時,Power BI Desktop 可以選擇顯示安全性警告。 報表建立者可以停用此選項。 此選項不會測試視覺效果是否已通過認證。

Power BI 系統管理員可以核准及部署其組織的自定義視覺效果。 然後,報表建立者可以輕鬆地探索、更新和使用這些視覺效果。 管理員 istrators 接著可以藉由更新版本或停用並啟用特定的自定義視覺效果來管理這些視覺效果。 當您想要讓報表建立者可以使用內部開發的視覺效果,或從不在 AppSource 中的廠商取得自定義視覺效果時,這個方法很有用。 如需詳細資訊,請參閱 Power BI組織視覺效果

請考慮平衡的策略,只在您的組織中啟用經認證的自定義視覺效果(使用先前所述的租用戶設定和組策略),同時部署組織視覺效果來處理任何例外狀況。

檢查清單 - 規劃報表建立者許可權時,關鍵決策和動作包括:

  • 決定報表建立者許可權的策略: 決定管理報表建立者安全性的喜好設定和需求。 請考慮數據敏感度的主題區域和層級。 此外,請考慮誰可以負責在集中式和分散式業務單位中建立和管理報表。
  • 檢閱如何為報表建立者處理工作區角色: 判斷對工作區設計程序的影響。 為每個主題區域建立個別的數據工作區和報告工作區,因此主題區域可以簡化工作區角色(和基礎語意模型安全性)。
  • 提供報表建立者關於管理許可權的指引: 包含報表建立者關於如何管理報表取用者許可權的檔。 將此資訊發佈至您的集中式入口網站和訓練教材。
  • 決定誰可以使用共用語意模型: 決定 Power BI 報表建立者(誰已經有語意模型的讀取和建置許可權)是否可以跨工作區使用語意模型的任何限制。 設定 [ 跨工作區使用語意模型] 租用戶 設定,以配合此決策。 如果您決定限制這項功能,請考慮使用Power BI核准的報表建立者群組。
  • 決定誰可以使用即時連線: 決定 Power BI 報表建立者(已擁有語意模型的讀取和建置許可權)是否可以使用即時連線的任何限制。 設定 [ 允許即時連線 租使用者] 設定,以配合此決策。 如果您決定限制這項功能,請考慮使用Power BI核准的報表建立者群組。
  • 決定報表建立者使用 RLS 的策略: 考慮您想要使用數據列層級安全性的使用案例和用途。 考慮工作區設計策略,以確保報表建立者強制執行 RLS。
  • 決定使用自定義視覺效果的策略: 考慮報表建立者可以使用自定義視覺效果的策略。 設定 [允許 Power BI SDK 租使用者建立的視覺效果] 設定,以配合此決策。 視需要建立使用組織視覺效果的程式。

數據流建立者許可權

數據流 有助於集中處理數據準備,讓 Power Query 中完成的工作不會在許多語意模型中重複。 它們是達成單一 事實來源、防止分析師要求直接存取來源,以及協助大規模執行擷取、轉換和載入 (ETL) 作業的建置組塊。

數據流建立者必須是工作區系統管理員、成員或參與者。

若要取用數據流(例如,從 Power BI Desktop 或另一個工作區中建立的新數據模型),語意模型建立者可以屬於任何工作區角色,包括查看器角色。 數據流沒有 RLS 的概念。

除了工作區角色之外, 還必須啟用建立和使用數據流 租用戶設定。 此租用戶設定適用於整個組織。

請參考下列案例。

  • 組織中的許多語意模型都需要強制執行動態 RLS。 它要求用戶主體名稱 (UPN) 儲存在語意模型中(依報表取用者的身分識別進行篩選)。
  • 屬於人力資源部門的數據流建立者會建立目前員工詳細數據的數據流,包括其UPN。 他們會設定數據流以每日重新整理。
  • 語意模型建立者接著會取用其模型設計中的數據流來設定 RLS。

如需使用數據流的詳細資訊,請參閱自助數據準備和進階數據準備使用案例。

檢查清單 - 規劃數據流建立者許可權時,關鍵決策和動作包括:

  • 決定數據流建立者許可權的策略: 決定管理數據流建立者安全性的喜好設定和需求。 請考慮允許或鼓勵誰負責在集中式和分散式業務單位中管理數據準備活動。
  • 決定誰可以建立數據流: 決定 Power BI 數據建立者是否可以建立數據流的任何限制。 設定 [ 建立和使用數據流租使用者 ] 設定,以配合此決策。
  • 檢閱如何為數據流建立者處理工作區角色: 判斷工作區設計程式有何影響。 為每個主題區域建立個別的數據流工作區,以便適當時分別處理每個主題區域的工作區角色和許可權。

Datamart 建立者許可權

Datamart 是自助分析解決方案,可讓用戶儲存和探索完全受控關係資料庫中載入的數據。 它也包含自動產生的語意模型。

Datamarts 提供簡單的低程式代碼體驗,以擷取來自不同數據原始資料,以及使用 Power Query Online 擷取、轉換和載入 (ETL) 數據。 數據會載入完全受控的 Azure SQL 資料庫,而且不需要微調或優化。 自動產生的語意模型一律會與受控資料庫同步處理,因為它處於 DirectQuery 模式。

當您是工作區系統管理員、成員或參與者時,您可以建立 Datamart。 工作區角色也會對應至 Azure SQL 資料庫 中的資料庫層級角色(不過,因為資料庫是完全受控的,因此無法在關係資料庫中編輯或管理用戶權力)。

[ 建立 Datamarts 租使用者] 設定可讓 Power BI 系統管理員設定哪些使用者可以建立 Datamarts。

Datamart 共用

對於 Datamarts,共用一詞會採用與其他 Power BI 內容類型不同的意義。 通常,共享作業是以取用者為目標,因為它提供一個專案的只讀許可權,例如報表。

共用數據超市是以內容建立者為目標(而不是取用者)。 它會授與讀取和建置許可權,可讓用戶查詢語意模型或關係資料庫,無論他們偏好。

共用 Datamart 可讓內容建立者:

  • 使用自動產生的語意模型建置內容: 語意模型是可建置Power BI報表的語意層。 大部分的報表建立者都應該使用語意模型。
  • 連線 並查詢 Azure SQL 資料庫:關係資料庫適用於想要建立新語意模型或編頁報表的內容建立者。 他們可以撰寫結構化查詢語言 (SQL) 查詢,以使用 SQL 端點來擷取數據。

Datamart 數據列層級安全性

您可以定義 datamarts 的 RLS,以限制指定使用者的數據存取。 RLS 會在 Power BI 服務 的 datamart 編輯器中設定,且會自動套用至自動產生的語意模型和 Azure SQL 資料庫 (作為安全性規則)。

無論用戶選擇如何連線到 datamart(至語意模型或資料庫),都會強制執行相同的 RLS 許可權。

檢查清單 - 規劃 DataMart 建立者許可權時,關鍵決策和動作包括:

  • 決定 Datamart 建立者許可權的策略: 決定管理 Datamart 建立者安全性的喜好設定和需求。 請考慮允許或鼓勵誰負責在集中式和分散式業務單位中管理數據。
  • 決定誰可以建立 Datamart: 決定 Power BI 數據建立者是否可以建立 Datamart 的任何限制。 設定 [ 建立 datamarts 租使用者] 設定,以配合此決策。 如果您決定限制誰可以建立 Datamart,請考慮使用 Power BI 核准的 Datamart 建立者群組。
  • 檢閱 Datamart 建立者如何處理工作區角色: 判斷工作區設計程式有何影響。 為每個主題區域建立個別的數據工作區,以便簡化主題區域的工作區角色和語意模型安全性。
  • 提供數據超市建立者關於管理許可權的指引: 包含數據超市建立者關於如何管理 Datamart 許可權的檔。 將此資訊發佈至您的集中式入口網站和訓練教材。
  • 決定在 datamarts 中使用 RLS 的策略: 請考慮您想要在 Datamart 中使用 RLS 的使用案例和用途。

計分卡建立者許可權

Power BI 中的計量 可讓您策劃特定計量,並針對關鍵商務目標追蹤計量。 計量會新增至計分卡,可與其他用戶共用,並在單一窗格中檢視。

計分卡可以使用三種許可權層級來保護:

  • 工作區。
  • 計分卡 (每個專案) 許可權。
  • 計量(在計分卡內)。

建立或完全管理計分卡的用戶必須是工作區系統管理員、成員或參與者。

因為計量通常會跨越多個主題區域,因此建議您建立個別的工作區,以便您可以獨立管理建立者和取用者的許可權。

建立 及使用計量 租用戶設定可讓Power BI系統管理員設定哪些使用者群組可以建立計分卡計量。

計分卡許可權

您可以指派下列計分卡許可權。

  • 讀取: 此許可權可讓用戶檢視計分卡。
  • 重新共享: 針對具有計分卡現有許可權的任何人,此許可權可讓使用者與其他使用者共用計分卡。

與 Power BI 服務 中的其他內容類型一致,當意圖是與另一位使用者共用某個專案時,每個專案的許可權會很有用。 建議您盡可能使用工作區角色和應用程式許可權。

計量層級許可權

每個計分卡都有一組 計量層級的許可權 ,您可以在計分卡設定中設定。 計量層級許可權(在計分卡內)可以與工作區或計分卡(每個項目)許可權不同。

計量層級角色可讓您設定:

  • 神秘 可以在計分卡上檢視個別計量。
  • 神秘 可以藉由:
    • 在簽入期間更新狀態。
    • 在簽入期間新增附註。
    • 在簽入期間更新目前的值。

若要降低未來維護的層級,您可以設定未來所建立子對稱所繼承的默認許可權。

檢查清單 - 規劃計量建立者許可權時,關鍵決策和動作包括:

  • 決定計分卡建立者許可權的策略: 決定管理計分卡建立者安全性的喜好設定和需求。 請考慮允許或鼓勵誰負責在集中式和分散式業務單位中管理數據。
  • 決定誰可以建立計分卡: 決定 Power BI 數據建立者是否可以建立計分卡的任何限制。 設定 [ 建立和使用計量 租使用者] 設定,以配合此決策。 如果您決定限制誰可以建立計分卡,請考慮使用 Power BI 核准的計分卡建立者群組。
  • 檢閱如何為計分卡建立者處理工作區角色: 判斷工作區設計程式有何影響。 當內容跨越主旨區域時,請考慮為計分卡建立個別工作區。
  • 提供計分卡建立者關於管理許可權的指引: 包含如何管理計量層級許可權的計分卡建立者檔。 將此資訊發佈至您的集中式入口網站和訓練教材。

發佈內容

本節包含與發佈內容建立者相關的內容主題。

工作區

內容建立者需要系統管理員、成員或參與者角色存取權,才能將內容發佈至工作區。 如需詳細資訊,請參閱 本文稍早所述的工作區角色

除了 個人 BI 之外,應鼓勵內容建立者將內容發佈至標準工作區,而不是其個人工作區。

[ 封鎖重新發佈並停用套件 重新整理租使用者] 設定會變更發佈語意模型的行為。 啟用時,工作區管理員、成員或參與者無法將變更發佈至語意模型。 只允許語意模型擁有者發佈更新(在發佈更新的語意模型之前強制接管語意模型)。 由於此租用戶設定適用於整個組織,因此請謹慎啟用,因為它會影響整個租使用者的所有語意模型。 請務必與您的語意模型建立者溝通預期的內容,因為它會變更工作區角色的正常行為。

Power Apps 同步處理

可以建立包含內嵌 Power BI報表的Power Apps解決方案。 Power Apps 程式會自動建立專用的 Power BI 工作區,以儲存和保護 Power BI 報表和語意模型。 若要管理同時存在於Power Apps和Power BI中的專案,有一個同步處理程式。

此程式會同步處理安全性角色,以確保Power BI會繼承最初在Power Apps 中設定的相同角色。 它也可讓內容建立者管理可檢視 Power BI 報表(和相關語意模型)內嵌在 Power App 中的許可權。

如需同步處理Power Apps角色與Power BI工作區角色的詳細資訊,請參閱 Power Apps環境與Power BI工作區之間的許可權同步處理。

部署管線存取

內容建立者和擁有者可以使用Power BI 部署管線 來進行自助式內容發佈。 部署管線可簡化發行程式,並在發行新內容時改善控制層級。

您可以管理管線許可權(適用於可以使用部署管線部署內容的使用者),與工作區角色分開。 執行部署的使用者需要存取工作區和部署管線

內容建立者可能需要:

重要

本文有時是指 Power BI 進階版 或其容量訂用帳戶(P SKU)。 請注意,Microsoft 目前正在合併購買選項,並淘汰每個容量 SKU 進階版 Power BI。 新的和現有的客戶應該考慮改為購買網狀架構容量訂用帳戶(F SKU)。

如需詳細資訊,請參閱 Power BI 進階版 授權Power BI 進階版 常見問題的重要更新。

如需詳細資訊,請參閱 部署管線存取

XMLA 端點

XMLA 端點會使用 XMLA 通訊協議來公開表格式數據模型的所有功能,包括 Power BI Desktop 不支援的某些數據模型化作業 。 您可以使用 表格式物件模型 (TOM) API ,對數據模型進行程式設計變更。

XMLA 端點也提供連線能力。 只有當工作區的授權模式設定為每位使用者的 進階版、每個容量 進階版 或 Embedded 時,您才能連線到語意模型。 建立連接之後,XMLA 相容的工具就可以在數據模型上操作,以讀取或寫入數據。 如需如何使用 XMLA 端點來管理語意模型的詳細資訊,請參閱進 階數據模型管理 使用案例。

透過 XMLA 端點的存取會接受現有的許可權。 工作區系統管理員、成員和參與者隱含具有語意模型寫入許可權,這表示他們可以從Visual Studio部署新的語意模型,並在SQL Server Management Studio 中執行 表格式模型化腳本語言 (TMSL) 腳本。

具有語意模型建置許可權的使用者可以使用 XMLA 端點來連線並流覽語意模型以供數據取用和視覺效果使用。 接受 RLS 規則,且使用者看不到內部語意模型元數據。

[允許 XMLA 端點] 和 [使用內部部署語意模型在 Excel 中進行分析] 租使用者設定是指兩項功能:它會控制哪些使用者群組可以使用 XMLA 端點來查詢和/或維護 Power BI 服務 中的語意模型。 它也會判斷 [在 Excel 中進行分析] 是否可與內部部署 SQL Server Analysis Services (SSAS) 模型搭配使用。

注意

該租用戶設定的 [在 Excel 中進行分析] 層面僅適用於內部部署 SQL Server Analysis Services (SSAS) 模型。 標準 [在 Excel 中分析] 功能會連線至 Power BI 服務 中的 Power BI 語意模型,是由 [允許即時 連線 租使用者設定所控制。

發佈至 Web

發佈至 Web 是一項功能,可讓您存取因特網上任何人的 Power BI 報表。 此項技術不需進行驗證,也不會記錄存取以供稽核之用。 因為報表取用者不必是組織或擁有 Power BI 授權的成員,所以這項技術很適合資料新聞學,這是一種需要將資料內嵌於部落格文章、網站、電子郵件或社交媒體的程序。

警告

發佈至 Web 可能會不小心或刻意公開敏感性或機密數據。 基於這個理由,預設會停用此功能。 發佈至 Web 應該只用於包含可供公眾檢視之數據的報表。

[ 發佈至 Web 租使用者] 設定可讓 Power BI 系統管理員控制哪些使用者可以將報表發佈至 Web 群組。 若要維持較高層級的控制,建議您不要在此租用戶設定中包含其他群組(例如 Power BI 系統管理員或其他內容類型的建立者)。 相反地,使用Power BI公用發佈安全組來強制執行特定的使用者存取權。 請確定安全組已妥善管理。

在自定義應用程式中內嵌

應用程式租使用者中內嵌內容設定可讓Power BI系統管理員控制哪些使用者可以在 Power BI 服務外部內嵌Power BI內容。 當您打算在自定義應用程式中內嵌Power BI內容時,請針對特定群組啟用此設定,例如應用程式開發人員。

在 PowerPoint 中內嵌

啟用 PowerPoint 租使用者 Power BI 載入宏設定可讓 Power BI 系統管理員控制哪些使用者可以在 PowerPoint 簡報中內嵌 Power BI 報表頁面。 適當時,請為特定群組啟用此設定,例如報表建立者。

注意

若要讓此功能能夠運作,用戶必須安裝PowerPoint的Power BI載入宏。 若要使用載入宏,用戶必須能夠存取 Office 載入宏存放區,或者必須將載入宏當作系統管理員管理的載入宏提供給他們使用。 如需詳細資訊,請參閱 PowerPoint 的 Power BI 載入宏。

教育報表建立者謹慎儲存PowerPoint 簡報的位置,以及他們與其共用的人員。 這是因為當用戶開啟簡報時,Power BI 報表視覺效果的影像會顯示給使用者。 該映像是從上次連線 PowerPoint 檔案時擷取。 不過,影像可能會不小心顯示接收使用者沒有許可權查看的數據。

注意

當接收的使用者還沒有載入宏,或直到載入宏連線到 Power BI 服務 以擷取數據時,映射才很有用。 用戶連線之後,只有使用者可以看到的數據(強制執行任何 RLS)會從 Power BI 擷取。

範本應用程式

範本應用程式 可讓 Power BI 合作夥伴和軟體廠商建置幾乎沒有程式代碼撰寫的 Power BI 應用程式,並將其部署至任何 Power BI 客戶。

[ 發佈範本應用程式 ] 租使用者設定可讓 Power BI 系統管理員控制哪些使用者可以在組織外部發佈範本應用程式,例如透過 Microsoft AppSource。 對大多數組織而言,此租用戶設定應該停用或嚴格控制。 請考慮使用安全組,例如 Power BI 外部範本應用程式建立者

電子郵件訂閱

您可以自行和其他人訂閱 Power BI 報表、儀錶板和編頁報表。 Power BI 接著會依您設定的排程傳送電子郵件。 電子郵件會包含快照集,並連結到報表或儀錶板。

當您是工作區系統管理員、成員或參與者時,您可以建立包含其他使用者的訂用帳戶。 如果報表位於 進階版 工作區中,您可以訂閱群組(不論群組是否在您的網域中),以及外部使用者。 設定訂用帳戶時,也有選項可將許可權授與專案。 個別專案直接訪問許可權會用於此用途,如報表取用者安全性規劃一文所述

警告

電子郵件訂閱功能有可能將內容分享給內部和外部物件。 此外,在基礎語意模型上強制執行 RLS 時,會使用訂閱使用者的安全性內容來產生附件和影像。

[ 電子郵件訂閱 ] 租用戶設定可讓Power BI系統管理員控制是否為整個組織啟用或停用此功能。

與授權和租用戶設定限制相關的附件有一些限制。 如需詳細資訊,請參閱 Power BI 服務 中報表和儀錶板的電子郵件訂閱。

檢查清單 - 規劃發佈內容時,關鍵決策和動作包括:

  • 決定內容發佈位置、內容發佈方式和依據者的策略: 判斷發佈內容的位置有哪些喜好設定和需求。
  • 確認工作區存取: 確認工作區設計方法。 確認如何使用工作區存取角色來支援應發佈內容的策略。
  • 決定如何處理部署管線許可權: 決定哪些使用者可以使用部署管線發佈內容。 據此設定部署管線許可權。 也請確定也會提供工作區存取權。
  • 決定誰可以使用 XMLA 端點連線到語意模型: 決定哪些使用者可以使用 XMLA 端點來查詢或管理語意模型。 使用內部部署語意模型租用戶設定來設定 [允許 XMLA 端點] 和 [在 Excel 中進行分析],以配合此決策。 當您決定限制這項功能時,請考慮使用Power BI核准的內容建立者群組。
  • 決定誰可以公開發佈報表: 決定是否允許哪些用戶公開發佈Power BI報表。 設定 [ 發佈至 Web 租使用者] 設定,以符合此決策。 使用 Power BI 公用發佈之類的群組。
  • 決定誰可以在自定義應用程式中內嵌內容:決定應允許哪些人將內容內嵌在 Power BI 服務 之外。 設定 [ 在應用程式 租使用者中內嵌內容] 設定,以符合此決策。
  • 決定誰可以在PowerPoint中內嵌內容: 決定哪些人應該允許在PowerPoint中內嵌內容。 設定 [為 PowerPoint 租使用者啟用 Power BI 載入宏] 設定,以配合此決策。
  • 決定誰可以發佈範本應用程式: 決定您在組織外部使用範本應用程式的策略。 設定 [ 發佈範本應用程式 ] 租用戶設定,以配合此決策。
  • 決定是否要啟用訂用帳戶: 確認您的策略是使用訂用帳戶。 設定 [ 電子郵件訂閱 租使用者] 設定,以符合此決策。

重新整理資料

發行之後,數據建立者應該確保其語意模型和數據流(包含匯入的數據)會定期重新整理。 您也應該決定語意模型和數據流擁有者的適當策略。

語意模型擁有者

每個語意模型都有擁有者,也就是單一用戶帳戶。 需要語意模型擁有者才能設定語意模型重新整理和設定語意模型參數。

根據預設,語意模型擁有者也會從想要建置許可權的報表建立者接收存取要求(除非 語意模型的 [要求存取設定 ] 設定為提供自定義指示)。 如需詳細資訊,請參閱 本文中的「要求建立者 存取工作流程」一節。

Power BI 有兩種方式可以取得認證來重新整理語意模型。

  • 語意模型擁有者會將認證儲存在語意模型設定中。
  • 語意模型擁有者會參考語意模型設定中的閘道(其中包含具有預存認證的數據源)。

如果不同的使用者需要設定重新整理或設定語意模型參數,則必須取得語意模型的擁有權。 可由工作區管理員、成員或參與者接管語意模型擁有權。

警告

取得語意模型擁有權會永久移除語意模型的任何預存認證。 必須重新輸入認證,才能讓數據重新整理作業繼續。

在理想情況下,語意模型擁有者是負責語意模型的使用者。 您應該在離開組織或變更角色時更新語意模型擁有者。 此外,請注意,當語意模型擁有者的用戶帳戶在 Microsoft Entra ID 中停用時,數據重新整理會自動停用。 在此情況下,其他用戶必須取得語意模型的擁有權,才能讓數據重新整理作業繼續。

資料流程擁有者

如同語意模型,數據流也有擁有者,也就是單一用戶帳戶。 上一個主題中有關 語意模型擁有者的 資訊和指引也適用於數據流擁有者。

檢查清單 - 規劃與數據重新整理程式相關的安全性時,關鍵決策和動作包括:

  • 決定語意模型擁有者的策略: 決定管理語意模型擁有者的喜好設定和需求。
  • 決定數據流擁有者的策略: 決定管理數據流擁有者的喜好設定和需求。
  • 包含在語意模型建立者的文件和訓練中: 包含數據建立者如何管理每種專案類型擁有者的指引。

相關內容

如需其他考慮、動作、決策準則和建議,以協助您進行Power BI實作決策,請參閱 要考慮的主題領域