Power BI 實作規劃：租用戶層級安全性規劃

注意

本文是 Power BI 實作規劃 系列文章的一部分。本系列著重於規劃在 Microsoft Fabric 內實作 Power BI 體驗。請參閱系列簡介。

此租用戶層級安全性規劃文章的主要目標讀者為：

網狀架構系統管理員：負責監督組織中Power BI的系統管理員。
卓越中心、IT 和 BI 小組：負責監督 Power BI 的團隊。他們可能需要與 Power BI 管理員、資訊安全團隊和其他相關團隊共同作業。

自助式 Power BI 建立者在工作區中建立、發佈和管理內容，本文也可能與他們相關。

此系列文章旨在擴充 Power BI 安全性白皮書中的內容。 Power BI 安全性白皮書著重於驗證、資料落地和網路隔離等重要技術主題。實作規劃系列指南旨在提供有助於您規劃安全性和隱私權的考慮因素和決策。

由於 Power BI 內容的使用和保護方式因人而異，因此內容建立者會制定許多策略性決策。不過，租戶層級也有一些策略規劃決策。這些策略性規劃決策是本文的重點。

建議盡早做出租用戶層級安全性決策，因為此類決策會影響其他所有項目。此外，當您清楚了解整體安全性目標和目的時，更容易做出其他安全性決策。

Power BI 系統管理

Fabric 管理員屬於高級特殊權限角色，對 Power BI 有相當大的控制權。建議仔細考量要指派擔任此角色的人員，因為 Fabric 管理員能夠執行許多高階功能，包括：

租用戶設定管理：網狀架構管理員可以管理管理入口網站中的租用戶設定。他們可以啟用或停用設定，以及允許或不允許設定中的特定使用者或群組。請務必了解您的租用戶設定對使用者體驗有重大影響。
工作區角色管理：系統管理員可以在管理入口網站中將自己新增至工作區管理員角色。他們可能會更新工作區安全性以存取任何數據，或將許可權授與其他使用者存取 Fabric 中的任何數據。
個人工作區存取：系統管理員可以存取內容，並管理任何使用者的個人工作區。
存取租使用者元數據：系統管理員可以存取整個租使用者的元數據，包括 Power BI 系統管理員 API 所擷取的 Power BI 活動記錄和活動事件。

提示

建議您將兩到四位使用者指派給 Fabric 管理員角色。如此一來，您就可以降低風險，同時確保有足夠的涵蓋範圍和交叉訓練。

Power BI 管理員至少被指派擔任了其中一個內建角色：

Fabric 管理員
Power Platform 系統管理員
全域管理員 – 這是高級特殊權限角色，其成員資格應加以限制。

指派管理員角色時，建議遵循最佳做法。

注意

雖然 Power Platform 管理員可以管理 Power BI 服務，但反過來說，Power BI 服務管理員卻無法管理 Power Platform。獲指派 Fabric 管理員角色的人員無法管理 Power Platform 中的其他應用程式。

檢查清單 – 規劃誰將成為 Fabric 管理員時，關鍵決策和行動包括：

識別目前獲派系統管理員角色的人員：確認誰已指派給其中一個可管理 Power BI 的角色。
判斷誰應該管理 Power BI 服務：如果有太多系統管理員，請建立計劃來減少總數。如果指派為 Power BI 管理員的使用者不適合擔任這類高級特殊權限角色，請制定方案來解決此問題。
釐清角色和責任：針對 Power BI 的每個系統管理員，請確定其責任清楚。確認已進行適當的交叉訓練。

安全性和隱私權策略

您必須做出一些與安全性和隱私權相關的租用戶層級決策。您所採取的策略及所做的決策取決於：

您的資料文化。目標是鼓勵一種資料文化，了解資料安全性和保護人人有責。
您的內容擁有權和管理策略。集中式和分散式內容管理層級會大幅影響安全性的處理方式。
您的內容傳遞範圍策略。檢視內容的人數會影響內容的安全性處理方式。
您需遵循全球、國家/地區及產業的法規要求。

以下是一些高階安全性策略範例。您可以選擇做出影響整個組織的決策。

數據列層級安全性的需求：您可以使用資料列層級安全性 （RLS）來限制特定使用者的數據存取。這表示存取相同報表時，不同使用者會看到不同資料。 Power BI 語意模型或數據源（使用單一登錄時）可以強制執行 RLS。如需詳細資訊，請參閱報表取用者安全性規劃一文中的＜根據取用者身分識別強制執行資料安全性＞一節。
數據可探索性：判斷 Power BI 中應鼓勵數據探索的程度。可發現性影響誰能在 OneLake 目錄中找到語意模型，以及內容作者是否被允許透過 請求存取 工作流程申請存取這些項目。如需詳細資訊，請參閱<可自訂的受控自助式 BI>使用案例。
允許儲存在Power BI 中的數據：判斷是否有特定類型的數據不應該儲存在Power BI中。例如，您可以指定不允許將特定敏感性資訊類型 (例如銀行帳戶號碼或社會安全號碼) 儲存在語意模型中。如需詳細資訊，請參閱資訊保護和資料外洩防護一文。
入站私人網路：使用私人端點來存取 Power BI，判斷是否需要網路隔離。當您使用 Azure Private Link 時，會使用 Microsoft 私人網路網骨幹傳送資料流量，而不是透過網際網路傳送。
輸出專用網：判斷連線到數據源時是否需要更多安全性。虛擬網路 (VNet) 資料閘道可讓您安全地從 Power BI 輸出連線到 VNet 中的資料來源。當內容儲存在 Premium 工作區時，您可以使用 Azure VNet 資料閘道。

重要

考慮網路隔離時，請先與您的 IT 基礎設施與網路團隊協同合作，再變更任何 Fabric 租用戶設定。 Azure Private Link 允許透過私人端點增強「輸入」安全性，而 Azure VNet 閘道則允許在連線到資料來源時增強「輸出」安全性。 Azure VNet 閘道是由 Microsoft 管理，而不是由客戶管理，因此可消除安裝和監視內部部署閘道的額外負荷。

某些組織層級決策會產生公司治理原則，特別是當這些決策與合規性相關時。其他組織層級決策則可能會產生指導方針，您可以將這些指導方針提供給負責管理和保護自己內容的內容建立者。產生的原則和指導方針應包含在您的集中式入口網站、訓練教材及通訊計劃中。

提示

若要為報表取用者和內容建立者提供與安全性規劃相關的其他建議，請參閱本系列中的其他文章。

檢查清單 - 規劃高階安全性策略時，關鍵決策和行動包括：

識別與安全性相關的法規需求：調查並記錄每個需求，包括如何確保合規性。
識別高階安全性策略：判斷哪些安全性需求足夠重要，使其應該包含在治理原則中。
與其他系統管理員共同作業：請連絡相關系統管理員，討論如何符合安全性需求，以及有哪些技術必要條件存在。規劃進行技術概念驗證。
更新 Fabric 租用戶設定：設定每個相關的 Fabric 租用戶設定。定期排程後續檢討。
建立及發佈使用者指引：建立高階安全性策略的檔。包含程序及使用者如何要求豁免標準程序的相關細節。在您的集中式入口網站和訓練教材中提供此資訊。
更新訓練教材：針對高階安全性策略，請決定您應該包含在用戶訓練教材中的哪些需求或指導方針。

與 Microsoft Entra ID 整合

Power BI 安全性是以 Microsoft Entra 租用戶為基礎。下列 Microsoft Entra 概念與 Power BI 租用戶的安全性相關。

使用者存取：存取 Power BI 服務需要用戶帳戶（除了 Power BI 授權：免費、Power BI Pro 或 Premium Per User - PPU）。您可以將內部使用者和來賓使用者新增至 Microsoft Entra ID，這些使用者也可以與內部部署 Active Directory (AD) 同步。如需來賓使用者的詳細資訊，請參閱外部使用者的策略。
安全組：在租用戶設定中提供特定功能時，需要Microsoft Entra 安全組。您可能也需要群組，才能有效地保護 Power BI 工作區內容或發佈內容。如需詳細資訊，請參閱使用群組的策略。
條件式存取原則：您可以設定Power BI服務和Power BI行動裝置應用程式的條件式存取。 Microsoft Entra 條件式存取可以在各種情況下限制驗證。例如，您可以強制執行下列原則：
- 部分或所有使用者需要多重要素驗證。
- 只允許符合組織原則的裝置。
- 允許來自特定網路或 IP 範圍的連線。
- 封鎖來自未加入網域之電腦的連線。
- 封鎖風險性登入的連線。
- 只允許特定類型的裝置連線。
- 有條件地允許或拒絕特定使用者存取 Power BI。
服務主體：您可能需要建立 Microsoft Entra 應用程式註冊以布建服務主體。當 Power BI 管理員想執行無人參與的排程指令碼，以使用 Power BI 管理員 API 擷取資料時，建議使用服務主體身份驗證。在自訂應用程式中內嵌 Power BI 內容時，服務主體也很有用。
實時原則：您可以選擇設定即時會話控制或訪問控制原則，包括Microsoft Entra ID 和 Microsoft Defender for Cloud Apps。例如，您可以在 Power BI 服務中的報表具有特定敏感度標籤時，禁止下載該報表。如需詳細資訊，請參閱資訊保護和資料外洩防護一文。

在不受限制的存取與過度限制的存取之間，可能很難找到正確的平衡點 (這讓使用者感到挫折)。最佳策略是與您的 Microsoft Entra 管理員合作，以了解目前的設定。試著對業務需求保持回應，同時留意必要的限制。

提示

許多組織都有內部部署 Active Directory (AD) 環境，會與雲端的 Microsoft Entra ID 同步。此設定稱為混合式身分識別解決方案，不在本文介紹範圍內。 Microsoft Entra ID 必須有使用者、群組和服務主體，Power BI 等雲端式服務才能運作，請務必了解這個重要概念。擁有混合式身分識別解決方案適用於 Power BI。建議您與 Microsoft Entra 管理員討論最適合貴組織的解決方案。

檢查清單 - 識別 Microsoft Entra 整合的需求時，關鍵決策和行動包括：

請與Microsoft Entra 系統管理員合作：與Microsoft Entra 系統管理員共同作業，以找出現有的Microsoft Entra 原則。確定是否有任何原則 (目前或計劃性) 會影響 Power BI 服務和/或 Power BI 行動裝置應用程式中的使用者體驗。
決定何時應使用使用者存取與服務主體：針對自動化作業，決定何時使用服務主體，而不是使用者存取。
建立或更新使用者指引：判斷是否需要為Power BI使用者社群記載安全性主題。如此一來，他們就會知道使用群組和條件式存取原則的預期結果。

外部使用者的策略

Power BI 支援 Microsoft Entra 企業對企業 (B2B)。例如，來自客戶或合作夥伴公司的外部使用者可受邀作為 Microsoft Entra ID 中的來賓使用者，以進行共同作業。外部使用者可以使用 Power BI 以及許多其他 Azure 和 Microsoft 365 服務。

重要

Microsoft Entra B2B 技術白皮書是了解處理外部使用者策略的最佳資源。本文只會說明與規劃相關的最重要考量。

當來自另一個組織的外部使用者同時設定 Microsoft Entra ID 時，會有下列優勢。

使用者的家租戶管理認證：使用者的家租戶保有對身分識別和認證管理的控制權。您不需要同步身分識別。
主租使用者會管理用戶的狀態：當使用者離開該組織且帳戶遭到移除或停用時，立即生效，使用者將無法再存取您的Power BI內容。這是一個重要優勢，因為您可能不知道何時有人離開組織。
使用者授權的彈性：有符合成本效益的授權選項。外部使用者可能已有 Power BI Pro 或 PPU 授權，在此情況下，您不需要為其指派授權。您也可以將 Fabric (免費) 授權指派給他們，以授予他們存取 Premium 容量或 Fabric F64 及更大容量工作區中的內容的權限。

重要

本文指的是 Power BI Premium 或其容量訂用帳戶（P SKU）。目前，Microsoft 正在整合購買選項，並淘汰 Power BI Premium 按容量計費的 SKU。新客戶和現有客戶應考慮改為購買 Fabric 容量訂用帳戶 (F SKU)。

如需詳細資訊，請參閱 Power BI Premium 授權的重要更新和 Power BI Premium 常見問題集。

金鑰設定

啟用外部使用者存取及管理其運作方式有兩個層面：

Microsoft Entra 設定，由 Microsoft Entra 管理員管理。這些 Microsoft Entra 設定是必要條件。
管理入口網站中由 Power BI 系統管理員負責管理的 Fabric 租戶設定。這些設定會控制 Power BI 服務中的使用者體驗。

來賓邀請程序

有兩種方法可以邀請來賓使用者到您的租戶。

計劃邀請：您可以事先在 Microsoft Entra ID 中設定外部使用者。如此一來，每當 Power BI 使用者需要指派權限時 (例如應用程式權限)，就能有來賓帳戶可供使用。雖然需要一些預先規劃，但這是最一致的程序，因為所有 Power BI 安全性功能都受到支援。系統管理員可以使用 PowerShell，有效率地新增大量外部使用者。
臨時邀請：當 Power BI 使用者將內容共用或分發給尚未設定的外部使用者時，可以在 Microsoft Entra ID 中自動產生來賓帳戶。當您事先不知道外部使用者是誰時，此方法會很有用。不過，必須先在 Microsoft Entra ID 中啟用此功能。臨時邀請方法適用於臨時個別項目權限和應用程式權限。

提示

Power BI 服務中的安全性選項並非全都支援觸發臨時邀請。因此，指派權限時的使用者體驗會不一致 (例如因工作區安全性、個別項目權限和應用程式權限而異)。建議盡可能使用計劃性邀請方法，因為這會產生一致的使用者體驗。

客戶用戶 ID

每個 Microsoft Entra 租用戶都有一個通用唯一識別碼 (GUID)，稱為「租用戶識別碼」。在 Power BI 中稱為「客戶租用戶識別碼 (CTID)」。。 CTID 可讓 Power BI 服務從不同組織租用戶的觀點找出內容。您必須在與外部使用者共用內容時，將 CTID 附加至 URL。

以下是將 CTID 附加至 URL 的範例：https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

當您必須將貴組織的 CTID 提供給外部使用者時，您可以在 Power BI 服務中開啟 [關於 Power BI] 對話方塊視窗找到該識別碼。此視窗位於 Power BI 服務右上方的 [說明與支援 (?)] 功能表中。 CTID 會附加至租用戶 URL 的結尾。

[關於 Power BI] 對話方塊視窗的螢幕擷取畫面，其中已醒目提示客戶租用戶識別碼。

組織商標

當您的組織中經常發生外部來賓存取時，最好使用自訂商標。自定義品牌有助於使用者辨識他們所造訪的組織租戶。商標元素可以包含標誌、封面影像和主題色彩。

下列螢幕擷取畫面顯示來賓帳戶存取 Power BI 服務時的外觀。其中包括 [來賓內容] 選項，當 CTID 附加至 URL 後即可使用。

Power BI 服務的螢幕擷取畫面，其中已醒目提示 [來賓內容] 選項。

有些組織除了與外部使用者共用報表之外，還必須執行更多工作。他們想要與外部使用者 (例如合作夥伴、客戶或廠商) 共用語意模型。

就地語意模型共用 (也稱為「跨租用戶語意模型共用」) 的目標是允許外部使用者使用您建立、管理及提供的資料來建立自己的自訂報表與複合模型。原始共用語意模型 (由您建立) 會保留在 Power BI 租用戶中。相依性報表和模型會儲存在外部使用者的 Power BI 租戶。

執行就地語意模型共用工作涉及數個安全性層面。

租使用者設定： 允許來賓使用者在自己的租使用者中使用共用語意模型：此設定會指定是否可以使用外部數據共用功能。必須啟用以下顯示的其他兩個設定之一才會生效。此設定是由 Power BI 管理員針對整個組織啟用或停用。
租使用者設定： 允許特定用戶開啟外部數據共享：此設定會指定哪些使用者群組可以在外部共享數據。這裡允許的使用者群組可以使用第三項設定 (如下所述)。此設定是由 Power BI 管理員管理。
語意模型設定：外部共用：此設定會指定外部使用者是否可以使用該特定語意模型。此設定是由每個特定語意模型的內容建立者和擁有者管理。
語意模型許可權：讀取和建置：支持內容建立者的標準語意模型許可權仍然存在。

重要

通常，「消費者」一詞用來指稱僅瀏覽組織中其他人所製作內容的使用者。不過，使用就地語意模型共用時，則有語意模型的「產生者」和語意模型的「取用者」。在此情況下，語意模型的取用者通常是其他組織中的內容建立者。

如果為語意模型指定資料列層級安全性，則該安全性適用於外部使用者。如需詳細資訊，請參閱報表取用者安全性規劃一文中的＜根據取用者身分識別強制執行資料安全性＞一節。

外部使用者訂閱

如先前描述，外部使用者在 Microsoft Entra ID 中最常被管理為來賓使用者。除了這個常見的方法之外，Power BI 還提供其他功能，可將報表訂閱發佈給組織外部的使用者。

Power BI 的 [允許將電子郵件訂閱傳送給外部使用者] 租用戶設定會指定是否允許使用者將電子郵件訂閱傳送給還不是Microsoft Entra 來賓使用者的外部使用者。建議您設定此租用戶設定，以符合組織想要管理外部使用者帳戶的嚴格或靈活程度。

提示

管理員可以使用 GetReportSubscriptionsAsAdmin API 來確認哪些外部使用者會收到訂閱。這會顯示外部使用者的電子郵件地址。主要類型是無法解析，因為 Microsoft Entra ID 中未設定外部使用者。

檢查清單 - 規劃如何處理外部來賓使用者時，關鍵決策和行動包括：

識別 Power BI 中外部使用者的需求：判斷外部共同作業有哪些使用案例。釐清搭配 Microsoft Entra B2B 使用 Power BI 的情境。確定與外部使用者共同作業是常見的情況還是罕見的情況。
判斷目前的Microsoft Entra 設定：與Microsoft Entra 系統管理員共同作業，以瞭解目前如何設定外部共同作業。確定搭配 Power BI 使用 B2B 會有哪些影響。
決定如何邀請外部使用者：與Microsoft Entra 系統管理員共同作業，以決定如何在 Microsoft Entra 識別符中建立來賓帳戶。決定是否允許臨時邀請。決定使用計劃性邀請方法的程度。確定了解並記載整個程序。
建立及發佈外部使用者的使用者指引：為您的內容建立者建立文件，引導他們如何與外部使用者共用內容（特別是需要計劃邀請程式時）。如果他們想要讓外部使用者編輯和管理內容，則包含外部使用者所面臨限制的相關資訊。將此資訊發佈至您的集中式入口網站和訓練教材。
決定如何處理外部數據共享：決定是否應該允許外部數據共用，以及是否僅限於一組特定的已核准內容建立者。設定 允許來賓使用者在其租用戶中使用共用語義模型 和 允許特定使用者開啟外部資料共用 的租用戶設定，以符合您的決策。請提供語意模型創建者有關外部資料共享的信息。將此資訊發佈至您的集中式入口網站和訓練教材。
決定如何處理外部使用者的Power BI授權：如果外部使用者沒有現有的Power BI授權，請決定指派授權的流程。確保記錄程序。
在相關的使用者文件中包含您的 CTID：在使用者文件中記錄附加租戶 ID（CTID）的 URL。包含創作者和使用者的範例，說明如何使用附加 CTID 的 URL。
在 Power BI 中設定自訂品牌：在管理入口網站中，設定自訂品牌，以協助外部使用者識別他們存取的組織租戶。
確認或更新租用戶設定：檢查 Power BI 服務中目前如何設定租用戶設定。根據為管理外部使用者存取所做的決策，視需要更新這些設定。

檔案位置的策略

檔案類型各式各樣，應該予以適當地儲存。因此，請務必協助使用者了解檔案和資料預期應位於何處。

由於 Power BI Desktop 檔案和 Excel 活頁簿可能包含匯入的資料，因此具有相關風險。此資料可能包括客戶資訊、個人識別資訊 (PII)、專屬資訊，或是受法規或合規性需求拘束的資料。

提示

儲存在 Power BI 服務外部的檔案很容易遭到忽略。建議您在規劃安全性時將它們列入考量。

以下是 Power BI 實作中可能涉及的一些檔案類型。

來源檔案
- Power BI Desktop 檔案：發佈至 Power BI 服務之內容的源檔（.pbix）。當檔案包含資料模型時，則可能包含匯入的資料。
- Excel 活頁簿：Excel 活頁簿（.xlsx）可能包含 Power BI 服務中語意模型的連線。還可能包含匯出的資料。甚至可能是發佈至 Power BI 服務之內容的原始活頁簿 (作為工作區中的活頁簿項目)。
- 分頁報表檔案：發佈到 Power BI 服務的內容的原始報表檔案（.rdl）。
- 源數據檔：一般檔案（例如，.csv 或 .txt）或包含已匯入 Power BI 模型的源數據的 Excel 活頁簿。
匯出的檔案和其他檔案
- Power BI Desktop 檔案：已從 Power BI 服務下載的 .pbix 檔案。
- PowerPoint 和 PDF 檔案：PowerPoint 簡報（.pptx）和從 Power BI 服務下載的 PDF 檔。
- Excel 和 CSV 檔案：從 Power BI 服務中的報表匯出的數據。
- 編頁報表檔案：從 Power BI 服務中的編頁報表導出的檔案。支援 Excel、PDF 和 PowerPoint。編頁報告還有其他匯出檔案格式，包括 Word、XML 或網頁封存。使用將檔案匯出至報表 API 時，也支援影像格式。
- 電子郵件檔：來自訂用帳戶的電子郵件影像和附件。

您必須對使用者可以或不可以儲存檔案的位置做出一些決策。一般而言，該程序涉及建立使用者可以參考的治理原則。來源檔案和匯出的檔案位置應受到保護，以確保供授權使用者適當存取。

以下是使用檔案的一些建議。

將檔案儲存在共用文檔庫中：使用 Teams 網站、SharePoint 文檔庫或商務用 OneDrive 或學校共用文檔庫。避免使用個人文件庫和磁碟機。確定備份儲存體位置。也請確定儲存位置已啟用版本控制，以便復原至舊版。
盡可能使用 Power BI 服務：盡可能使用 Power BI 服務來共用和發佈內容。如此一來，就能始終確保完整稽核存取。在檔案系統上儲存和共用檔案的權限，應該保留給少數共同處理內容的使用者。
請勿使用電子郵件：禁止使用電子郵件來共用檔案。當有人以電子郵件傳送 Excel 活頁簿或 Power BI Desktop 檔案給 10 位使用者時，就會產生 10 份檔案。肯定會有包含不正確 (內部或外部) 電子郵件地址的風險。此外，將檔案轉寄給其他人的風險也會更高。 (若要將此風險降至最低，請與您的 Exchange Online 管理員合作，實作規則來根據檔案大小或副檔名類型等條件封鎖附件。如需 Power BI 中其他資料外洩防護策略的說明，請參閱資訊保護和資料外洩防護一文。)
使用範本檔案：有時候，需要與其他人共用Power BI Desktop 檔案。在此情況下，請考慮建立和共用 Power BI Desktop 範本 (.pbit) 檔案。範本檔案只會包含中繼資料，因此大小小於來源檔案。這項技術需要收件者輸入資料來源認證，以重新整理模型資料。

管理入口網站中有租用戶設定，可控制從 Power BI 服務匯出時，允許使用者使用哪些匯出格式。請務必檢閱並設定這些設定。其他作業還包括規劃要用於匯出檔案的檔案位置。

提示

特定匯出格式支援使用加密進行端對端資訊保護。由於法規需求，有些組織必須明確限制使用者可以使用的匯出格式。 Power BI 的資訊保護一文說明決定在租用戶設定中啟用或停用哪些匯出格式時所要考慮的因素。在大部分情況下，建議您只有在必須符合特定法規需求時才限制匯出功能。您可以使用 Power BI 活動記錄來識別哪些使用者正在執行許多匯出。然後，您可以教導這些使用者更有效率且安全的替代方案。

檢查清單 - 規劃檔案位置時，關鍵決策和行動包括：

識別應儲存盤案的位置：決定應儲存盤案的位置。確定是否有不應該使用的特定位置。
建立及發佈檔案位置的相關文件：建立用戶檔，以釐清管理和保護檔案的責任。該文件也應該說明可以 (或不可以) 儲存檔案的任何位置。將此資訊發佈至您的集中式入口網站和訓練教材。
設定租戶設定中的匯出選項：檢視並設定您想要支援的匯出格式相關的每個租戶設定。

使用群組的策略

基於下列原因，建議使用 Microsoft Entra 安全性群組來保護 Power BI 內容。

減少維護：不需要修改 Power BI 內容的許可權，即可修改安全組成員資格。您可以新增使用者至群組，也可以從群組移除不必要的使用者。
改善正確性：因為群組成員資格變更一次，所以會產生更精確的許可權指派。如果偵測到錯誤，可以更輕鬆地更正錯誤。
委派：您可以將管理群組成員資格的責任委派給群組擁有者。

高階群組決策

關於如何使用群組，有一些策略性決策。

建立和管理群組的權限

建立和管理群組有兩個關鍵決策。

誰可以建立群組？ 通常只有 IT 人員可以建立安全性群組。不過，您可以將使用者新增至 Microsoft Entra 內建「群組管理員」角色。如此一來，特定受信任的使用者 (例如 Power BI 擁護者或 COE 的附屬成員) 就可以為其業務單位建立群組。
誰可以管理群組的成員？ 通常由 IT 人員管理群組成員。不過，您可以指定一或多個允許新增和移除群組成員的「群組擁有者」。當允許分散式小組或 COE 的附屬成員管理 Power BI 特定群組的成員資格時，使用「自助群組管理」會很有幫助。

提示

允許自助群組管理並指定分散式群組擁有者是平衡治理效率與速度的絕佳方式。

規劃 Power BI 群組

請務必建立高階策略，說明如何使用群組來保護 Power BI 內容及進行許多其他用途。

群組的各種使用案例

請考慮下列群組使用案例。

使用案例	說明	範例群組名稱
與 Power BI 卓越中心 (COE) 通訊	包含與 COE 相關聯的所有使用者，包括 COE 的所有核心和附屬成員。視您的需求而定，您也可能只為核心成員建立個別的群組。這可能是與 Teams 網站相互關聯的 Microsoft 365 群組。	• Power BI 卓越中心
與 Power BI 領導團隊通訊	包含執行發起人和業務單位代表，這些人員會協同合作在組織中領導 Power BI 行動方案。	• Power BI 指導委員會
與 Power BI 使用者社群通訊	包含獲指派任何 Power BI 使用者授權類型的所有使用者。有助於向貴組織中的所有 Power BI 使用者發出公告。這可能是與 Teams 網站相互關聯的 Microsoft 365 群組。	• Power BI 社群
支援 Power BI 使用者社群	包含直接與使用者社群互動以處理 Power BI 支援問題的技術支援中心使用者。此電子郵件地址 (以及 Teams 網站，如果適用) 可供使用者群體查看和使用。	• Power BI 使用者支援
提供升級支援	包含來自 Power BI COE 的特定使用者，這些使用者提供升級支援。此電子郵件地址和 Teams 網站 (如果適用) 通常是私人的，僅供使用者支援小組使用。	• Power BI 升級的使用者支援
管理 Power BI 服務	包含允許管理 Power BI 服務的特定使用者。 (選擇性) 此群組的成員可以與 Microsoft 365 中的角色相互關聯，以簡化管理。	• Power BI 管理員
通知允許的功能並逐步推出這些功能	包含管理入口網站中特定租用戶設定所允許的使用者 (如果功能將受到限制或要將功能逐步推出給使用者群組)。許多租用戶設定都需要您建立新的 Power BI 特定群組。	• Power BI 工作區建立者 • Power BI 外部資料共用
管理資料閘道	包含一或多個允許管理閘道叢集的使用者群組。當有多個閘道或分散式小組管理閘道時，可能會有數個此類型的群組。	• Power BI 閘道管理員 • Power BI 閘道資料來源創建者 • Power BI 閘道資料來源擁有者 • Power BI 閘道資料來源使用者
管理進階容量	包含被允許管理 Premium 容量的使用者。當有多個容量或分散式小組管理容量時，可能會有數個此類型的群組。	• Power BI 容量貢獻者
保護工作區、應用程式和項目	有許多群組是根據主題領域設置的，並被授予權限以管理 Power BI 工作區角色、應用程式權限和逐項目權限。	• Power BI 工作區管理員 • Power BI 工作區成員 • Power BI 工作區參與者 • Power BI 工作區檢視者 • Power BI 應用程式檢視者
部署內容	包含可使用 Power BI 部署管線來部署內容的使用者。此群組會與工作區權限搭配使用。	• Power BI 部署管線管理員
自動化管理作業	包含允許使用 Power BI API 進行內嵌或管理用途的服務主體。	• Power BI 服務主體

面向 Fabric 租用戶設定的群組

根據現有的內部程序，您還需要其他群組。管理租用戶設定時，這些群組會很有幫助。以下列出一些範例。

Power BI 工作區建立者：當您需要限制誰可以建立工作區時很有用。可用來設定 建立工作區 租戶設定。
Power BI 認證主題專家：用來指定誰被允許使用經認證的內容背書。可用來設定認證承租者設定。
Power BI 核准的內容建立者：當您需要核准、訓練或原則確認，以安裝 Power BI Desktop，或取得 Power BI Pro 或 PPU 授權時很有用。可供租用戶設置來啟用內容建立功能，例如 [允許 DirectQuery 連線至 Power BI 語意模型]、[將應用程式推送給終端使用者]、[允許 XMLA 端點] 等功能。
Power BI 外部工具使用者：當您允許選擇性使用者群組使用外部工具時很有用。可依群組原則使用，或在必須謹慎控制軟體安裝或要求時使用。
Power BI 自定義開發人員：當您需要控制哪些人允許將內容內嵌到 Power BI 外部的其他應用程式中時很有用。可用來設定 在應用程式中嵌入內容 的租用設定。
Power BI 公開發佈：當您需要限制誰可以公開發佈數據時很有用。可用來設定 [發佈至 Web] 租戶設定。
Power BI 與整個組織共用：當您需要限制誰可以與組織中的每個人共享連結時，很有用。可用來設定允許組織內所有成員透過共用連結取得存取權的租用戶設定。
Power BI 外部數據共享：當您需要允許特定使用者與外部用戶共用語意模型時，很有用。可用來設定租用戶設定「允許特定使用者開啟外部資料共用」。
Power BI 來賓使用者存取授權：當您需要將已獲得貴組織授權的外部使用者進行群組時很有用。此選項用於設定 [允許 Microsoft Entra 來賓使用者存取 Power BI] 租用戶設定。
Power BI 來賓使用者存取 BYOL：當您需要將核准的外部使用者群組化，並且他們從自己的原本組織帶入自有授權（BYOL）時，這會非常有用。此選項用於設定 [允許 Microsoft Entra 來賓使用者存取 Power BI] 租用戶設定。

提示

如需規劃工作區存取時使用群組的考量，請參閱工作區層級規劃一文。如需保護工作區、應用程式和項目的規劃資訊詳情，請參閱報告使用者安全性規劃一文。

群組類型

您可以建立不同的群組類型。

安全組：當您的主要目標是授與資源的存取權時，安全組是最佳選擇。
啟用郵件的安全組：當您需要授與資源的存取權，並透過電子郵件將郵件散發給整個群組時，啟用郵件的安全組是不錯的選擇。
Microsoft 365 群組：這種類型的群組具有Teams網站和電子郵件位址。當主要目標是 Teams 網站中的通訊或共同作業時，這是最佳選擇。 Microsoft 365 群組只有成員和擁有者，沒有檢視者角色。因此，其主要目的是共同作業。這種類型的群組先前稱為 Office 365 群組、新式群組或整合群組。
通訊群組：您可以使用通訊群組將廣播通知傳送給使用者清單。今天，它被認為是提供回溯相容性的舊版概念。針對新的使用案例，建議您改為建立擁有郵件功能的安全性群組。

當您要求新群組或想要使用現有群組時，請務必注意其類型。群組類型可以決定群組的使用和管理方式。

Power BI 許可權：並非所有類型的安全性作業都支援每種群組類型。安全性群組 (包括擁有郵件功能的安全性群組) 在設定 Power BI 安全性選項方面提供最高的涵蓋範圍。 Microsoft 文件通常建議使用 Microsoft 365 群組。不過，在 Power BI 的情況下，其不如安全群組強大。如需 Power BI 權限的詳細資訊，請參閱此系列中有關安全性規劃的後續文章。
Fabric 租用戶設定：在允許或不允許使用者群組管理租用戶設定功能時，您只能使用安全群組（包括啟用郵件功能的安全群組）。
進階Microsoft Entra功能：所有群組類型都不支援特定類型的進階功能。例如，Microsoft 365 群組不支援一個群組內的群組巢狀結構。雖然某些群組類型支援動態群組成員資格 (基於 Microsoft Entra ID 中的使用者屬性)，但 Power BI 不支援使用動態成員資格的群組。
以不同的方式管理：建立或管理群組的要求可能會根據群組類型路由傳送至不同的系統管理員（郵件啟用安全組和通訊群組是在 Exchange 中管理）。因此，您的內部程序會因群組類型而有所差異。

群組命名慣例

您最終可能會在 Microsoft Entra ID 中擁有許多群組，以支援您的 Power BI 實作。因此，對於如何命名群組有一致的模式非常重要。良好的命名慣例有助於確定群組的用途並簡化其管理。

請考慮使用下列標準命名慣例：<前置詞><用途> - <主題/範圍/部門><[環境]>

下列清單描述命名慣例的每個部分。

前置詞：用來將所有 Power BI 群組分組在一起。當群組用於多種分析工具時，您的前置詞可能只需用「BI」而非「Power BI」。在此情況下，描述用途的文字會更一般，使其與多個分析工具相關。
目的：目的會有所不同。可能是用於工作區角色、應用程式存取權限、項目層級存取權限、資料列層級安全性或其他用途。有時候，單一群組可以滿足多個用途。
主題/範圍/部門：用來釐清群組的適用物件。通常會描述群組成員資格。也可指出管理群組的人員。有時候，單一群組可用於多個用途。例如，財務工作區集合可以使用單一群組來管理。
環境：選擇性。有助於區分開發、測試和生產環境。

以下是套用標準命名慣例的一些範例群組名稱。

Power BI 工作區管理員 - 財務 [開發]
Power BI 工作區成員 - 財務 [開發]
Power BI 工作區參與者 - 財務 [開發]
Power BI 工作區檢視者 - 財務 [開發]
Power BI 應用程式檢視者 - 財務
Power BI 閘道器管理員 - 企業 BI
Power BI 閘道管理員 - 財務

每個群組的決策

規劃您需要哪些群組時，有幾個決策必須制定。

當內容建立者或擁有者要求新群組時，理想情況下會使用表單來提供下列資訊。

名稱和用途：建議的組名及其預定用途。請考慮在群組名稱中包含 Power BI (當您有多個 BI 工具時則只包含 BI)，以清楚指出群組的範圍。
電子郵件位址：群組成員也需要通訊時的電子郵件位址。並非所有群組類型都必須擁有郵件功能。
群組類型：選項包括安全組、啟用郵件功能的安全組、Microsoft 365 群組和通訊群組。
群組擁有者：誰可以擁有和管理群組的成員。
群組成員資格：將成為群組成員的預定使用者。請考慮是否可以新增外部使用者和內部使用者，或是否有理由將外部使用者放入不同的群組。
使用及時群組成員指派：您可以使用特權身份管理 (PIM) 來允許時間框定、及時地存取群組。當使用者需要暫時存取時，這項服務會很有幫助。 PIM 對於需要偶爾存取的 Power BI 管理員也很有幫助。

提示

基於組織圖的現有群組不一定適用於 Power BI 用途。當現有群組符合您的需求時，可以使用這些群組。不過，請準備好在需求增加時建立 Power BI 特定群組。

檢查清單 - 制定如何使用群組的的策略時，關鍵決策和行動包括：

決定使用群組的策略：決定您需要使用群組的使用案例和用途。具體說明何時應使用使用者帳戶套用安全性，以及何時需要或優先使用群組。
建立 Power BI 特定群組的命名慣例：確定將支援 Power BI 通訊、功能、系統管理或安全性的群組使用一致的命名慣例。
決定允許誰建立群組：釐清所有群組建立是否需要通過 IT 批准。或是否可授權某些人 (例如 COE 的附屬成員) 為其業務單位建立群組。
建立如何要求新群組的程式：建立窗體供使用者要求建立新群組。確定有一個可快速回應新要求的程序。請記住，如果要求延遲，使用者可能會想要開始將權限指派給個人帳戶。
決定允許分散式群組管理時機：對於套用至特定小組的群組，決定群組擁有者（IT 外部）何時可以接受管理群組中的成員。
決定是否要使用「即時群組成員資格」：判斷「身分特權管理」是否有用。如果是，請確定可用於哪些群組 (例如 Power BI 管理員群組)。
檢閱目前存在的群組：判斷可以使用哪些現有群組，以及需要建立哪些群組。
檢閱每個租用戶設定：針對每個租用戶設定，判斷是否允許或不允許特定一組使用者。確定是否需要建立新群組來設定租用戶設定。
為使用者建立及發佈有關群組的指引：包含針對內容創作者的文件，其中列出使用群組的需求或偏好。確保他們知道在申請新群組時應該要求什麼。將此資訊發佈至您的集中式入口網站和訓練教材。

在本系列的下一篇文章中，了解如何將內容安全地傳遞給唯讀報表取用者。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-05-30