Power BI 實作規劃:租用戶層級安全性規劃
注意
本文構成Power BI實作規劃系列文章的一部分。 此系列主要著重於 Microsoft Fabric 內的 Power BI 體驗。 如需系列簡介,請參閱 Power BI 實作規劃。
此租使用者層級安全性規劃文章主要針對:
- Power BI 系統管理員: 負責監督組織中的 Power BI 的系統管理員。
- 卓越中心、IT和 BI 小組: 負責監督 Power BI 的小組。 他們可能需要與 Power BI 系統管理員、資訊安全小組和其他相關小組共同作業。
本文也可能與建立、發佈和管理工作區中內容的自助 Power BI 建立者相關。
這系列文章旨在擴充Power BI安全性白皮書中的內容。 雖然 Power BI 安全性白皮書著重於驗證、數據落地和網路隔離等重要技術主題,但系列的主要目標是為您提供考慮和決策,以協助您規劃安全性和隱私權。
因為 Power BI 內容可以用不同的方式使用及保護,因此內容建立者會做出許多戰術決策。 不過,租用戶層級也有一些策略性規劃決策。 這些策略性規劃決策是本文的重點。
建議您儘早做出租用戶層級的安全性決策,因為它們會影響其他所有專案。 此外,一旦您清楚瞭解整體安全性目標和目標,就能更輕鬆地做出其他安全性決策。
Power BI 系統管理
Power BI 系統管理員是高許可權角色,可大幅控制 Power BI。 建議您仔細考慮指派給此角色的人員,因為 Power BI 系統管理員可以執行許多高階功能,包括:
- 租用戶設定管理:管理員 istrators 可以在管理入口網站中管理租用戶設定。 他們可以啟用或停用設定,並允許或不允許設定中的特定使用者或群組。 請務必瞭解您的租用戶設定對用戶體驗有重大影響。
- 工作區角色管理:管理員 istrators 可以在管理入口網站中更新工作區角色。 他們可能會更新工作區安全性以存取任何數據,或將許可權授與其他使用者,以存取 Power BI 服務 中的任何數據。
- 個人工作區存取:管理員 istrators 可以存取內容,並管理任何用戶的個人工作區。
- 存取租使用者元數據:管理員 istrators 可以存取整個租使用者的元數據,包括 Power BI 系統管理員 API 所擷取的 Power BI 活動記錄和活動事件。
提示
最佳做法是,您應該將兩到四個使用者指派給網狀架構系統管理員角色。 如此一來,您就可以降低風險,同時確保有足夠的涵蓋範圍和交叉訓練。
Power BI 系統管理員至少屬於下列 其中一個內建角色:
- Power BI 系統管理員 (Microsoft 365)
- Power Platform 系統管理員 (Microsoft 365)
- 全域管理員 (Microsoft Entra ID— 先前稱為 Azure Active Directory)
注意
雖然 Power Platform 系統管理員可以管理 Power BI 服務,但反向不是真的。 指派給網狀架構系統管理員角色的人員無法管理 Power Platform 中的其他應用程式。
檢查清單 - 規劃誰將成為 Power BI 系統管理員時,關鍵決策和動作包括:
- 識別目前獲指派系統管理員角色的人員:確認指派給其中一個 Power BI 系統管理角色的人員: 網狀架構系統管理員、Power Platform 系統管理員和全域管理員。
- 判斷誰應該管理 Power BI 服務:如果有太多 Power BI 系統管理員,請建立計劃來減少總數。 如果指派為Power BI系統管理員的使用者不適合這類高許可權角色,請建立方案來解決此問題。
- 釐清角色和責任: 針對每個Power BI系統管理員,請確定其責任清楚。 確認已發生適當的交叉訓練。
安全性和隱私權策略
您必須做出一些與安全性和隱私權相關的租用戶層級決策。 採取的策略和您做出的決定將依賴:
- 您的數據 文化特性。 目標是鼓勵數據文化,了解數據的安全性和保護是每個人的責任。
- 您的 內容擁有權和管理 策略。 集中式和分散式內容管理層級會大幅影響安全性的處理方式。
- 您的 內容傳遞範圍 策略。 檢視內容的人員數目會影響內容的安全性處理方式。
- 您符合全球、國家/地區和產業法規的需求。
以下是一些高階安全性策略範例。 您可以選擇做出影響整個組織的決策。
- 數據列層級安全性的需求: 您可以使用資料列層級安全性 (RLS) 來限制特定使用者的數據存取。 這表示存取相同報表時,不同的使用者會看到不同的數據。 Power BI 語意模型(先前稱為數據集)或數據源(使用單一登錄時)可以強制執行 RLS。 如需詳細資訊,請參閱報表取用者安全性規劃一文中的<根據取用者身分識別強制執行數據安全性>一節。
- 數據可探索性: 判斷 Power BI 中應鼓勵數據探索的程度。 可探索性會影響誰可以在數據中 樞中找到語意模型或數據超市,以及是否允許內容作者要求存取這些專案(使用 要求存取 工作流程)。 如需詳細資訊,請參閱 可自定義的受控自助 BI 使用案例。
- 允許儲存在Power BI 中的數據: 判斷是否有特定類型的數據不應該儲存在Power BI中。 例如,您可以指定某些敏感性資訊類型,例如銀行帳戶號碼或社會安全號碼,不允許儲存在語意模型中。 如需詳細資訊,請參閱 資訊保護和數據外洩防護 一文。
- 輸入專用網: 使用私人端點來存取 Power BI,判斷網路隔離是否有需求。 當您使用 Azure Private Link 時,數據流量會使用 Microsoft 專用網骨幹傳送,而不是透過因特網傳送。
- 輸出專用網: 判斷連線到數據源時是否需要更多安全性。 虛擬網絡 (VNet) 資料閘道可讓您安全地從 Power BI 連線到 VNet 內的數據源。 當內容儲存在 進階版 工作區時,您可以使用 Azure VNet 數據閘道。
重要
考慮網路隔離時,請先與您的IT基礎結構和網路小組合作,再變更任何Power BI租用戶設定。 Azure Private Link 允許透過私人端點增強輸入安全性,而 Azure VNet 閘道則允許在連線到數據源時增強輸出安全性。 Azure VNet 閘道由 Microsoft 管理,而不是客戶管理,因此可消除安裝和監視內部部署閘道的額外負荷。
某些組織層級決策會導致公司治理原則,特別是當它們與合規性相關時。 其他組織層級決策可能會導致您可以提供給負責管理及保護自己內容的內容建立者提供的指引。 產生的原則和指導方針應包含在 集中式入口網站、 訓練 教材和 通訊計劃中。
提示
如需與報表取用者和內容建立者的安全性規劃相關的其他建議,請參閱本系列中的其他文章。
檢查清單 - 規劃高階安全性策略時,關鍵決策和動作包括:
- 識別與安全性相關的法規需求: 調查並記錄每個需求,包括如何確保合規性。
- 識別高階安全性策略: 判斷哪些安全性需求足夠重要,使其應該包含在治理原則中。
- 與其他系統管理員共同作業: 請連絡相關系統管理員,討論如何符合安全性需求,以及有哪些技術必要條件存在。 規劃執行技術概念證明。
- 更新 Power BI 租使用者設定: 設定每個相關的 Power BI 租用戶設定。 定期排程後續檢閱。
- 建立及發佈使用者指引: 建立高階安全性策略的檔。 包含程式的詳細數據,以及使用者如何要求豁免標準程式。 在您的集中式入口網站和訓練教材中提供這項資訊。
- 更新訓練教材: 針對高階安全性策略,請決定您應該包含在用戶訓練教材中的哪些需求或指導方針。
與 Microsoft Entra 識別碼整合
Power BI 安全性是以 Microsoft Entra 租用戶為基礎所建置。 下列 Microsoft Entra 概念與 Power BI 租使用者的安全性相關。
- 使用者存取:存取 Power BI 服務 需要使用者帳戶(除了 Power BI 授權:免費、Power BI Pro 或 進階版 每個使用者 - PPU)。 您可以將內部使用者和來賓使用者新增至 Microsoft Entra ID,也可以同步處理 內部部署的 Active Directory (AD)。 如需來賓用戶的詳細資訊,請參閱 外部使用者策略。
- 安全組: 在 Power BI 租用戶設定中提供特定功能時,需要 Microsoft Entra 安全組。 您可能也需要群組,才能有效地保護 Power BI 工作區內容或發佈內容。 如需詳細資訊,請參閱 使用群組的策略。
- 條件式存取原則:您可以設定 Power BI 服務 和 Power BI 行動裝置應用程式的條件式存取。 Microsoft Entra 條件式 存取 可以在各種情況下限制驗證。 例如,您可以強制執行下列原則:
- 需要部分或所有使用者的多重要素驗證。
- 只允許符合組織原則的裝置。
- 允許來自特定網路或IP範圍的連線。
- 封鎖來自未加入網域的計算機的連線。
- 封鎖有風險登入的連線。
- 只允許特定類型的裝置連線。
- 有條件地允許或拒絕特定使用者的Power BI存取權。
- 服務主體: 您可能需要建立 Microsoft Entra 應用程式註冊 來布建服務主體。 當 Power BI 系統管理員想要使用 Power BI 系統管理員 API 來擷取數據的自動排程腳本時,建議使用服務主體驗證。 在自定義應用程式中內嵌Power BI內容時,服務主體也很有用。
- 實時原則:您可以選擇設定即時會話控制或訪問控制原則,其中包含 Microsoft Entra ID 和 適用於雲端的 Microsoft Defender Apps。 例如,當報表具有特定敏感度標籤時,您可以禁止在 Power BI 服務 中下載報表。 如需詳細資訊,請參閱 資訊保護和數據外洩防護 文章。
在不受限制的存取與過度限制的存取之間,可能很難找到正確的平衡點(這會挫敗使用者)。 最佳策略是與您的 Microsoft Entra 系統管理員合作,以瞭解目前設定的內容。 嘗試繼續響應業務需求,同時留意必要的限制。
提示
許多組織都有 內部部署的 Active Directory (AD) 環境,其與雲端中的 Microsoft Entra ID 同步處理。 此設定稱為 混合式身分 識別解決方案,本文的範圍不足。 要瞭解的重要概念是,使用者、群組和服務主體必須存在於 Microsoft Entra ID 中,Power BI 等雲端式服務才能運作。 擁有混合式身分識別解決方案適用於Power BI。 建議您與 Microsoft Entra 系統管理員討論組織的最佳解決方案。
檢查清單 - 識別 Microsoft Entra 整合的需求時,關鍵決策和動作包括:
- 使用 Microsoft Entra 系統管理員: 與您的 Microsoft Entra 系統管理員共同作業,以找出現有的 Microsoft Entra 原則。 判斷是否有任何原則(目前或已規劃)會影響Power BI行動裝置應用程式中 Power BI 服務和/或用戶體驗。
- 決定何時應使用使用者存取與服務主體: 針對自動化作業,決定何時使用服務主體,而不是使用者存取。
- 建立或更新使用者指引: 判斷是否需要為Power BI使用者社群記載安全性主題。 如此一來,他們就會知道使用群組和條件式存取原則的預期。
外部使用者的策略
Power BI 支援 Microsoft Entra Business-to-Business (B2B)。 外部使用者,例如來自客戶或合作夥伴公司,可以邀請為 Microsoft Entra ID 中的來賓用戶進行共同作業。 外部使用者可以與 Power BI 和其他許多 Azure 和 Microsoft 365 服務搭配使用。
重要
Microsoft Entra B2B 白皮書是了解處理外部使用者策略的最佳資源。 本文僅限於描述與規劃相關的最重要的考慮。
當外部用戶來自另一個同時設定 Microsoft Entra ID 的組織時,會有優點。
- 主租使用者會管理認證: 使用者的住家租使用者會控制其身分識別和管理認證。 您不需要同步處理身分識別。
- 主租使用者會管理用戶的狀態: 當使用者離開該組織且帳戶遭到移除或停用時,立即生效,使用者將無法再存取您的Power BI內容。 這是一個重要優勢,因為您可能不知道有人何時離開組織。
- 使用者授權的彈性: 有符合成本效益 的授權選項。 外部使用者可能已經有 Power BI Pro 或 PPU 授權,在此情況下,您不需要將一個授權指派給他們。 您也可以將網狀架構(免費)授權指派給他們,以授與他們存取 進階版 容量或網狀架構 F64 或更大容量工作區中的內容存取權。
重要
本文有時是指 Power BI 進階版 或其容量訂用帳戶(P SKU)。 請注意,Microsoft 目前正在合併購買選項,並淘汰每個容量 SKU 的 Power BI 進階版。 新的和現有的客戶應該考慮改為購買網狀架構容量訂用帳戶(F SKU)。
如需詳細資訊,請參閱 Power BI 進階版 授權的重要更新和 Power BI 進階版 常見問題。
金鑰設定
啟用和管理外部使用者存取的運作方式有兩個層面:
- 由 Microsoft Entra 系統管理員管理的 Microsoft Entra 設定 。 這些 Microsoft Entra 設定是必要條件。
- 由 Power BI 系統管理員在管理入口網站中管理的 Power BI 租用戶設定 。 這些設定將控制 Power BI 服務 中的用戶體驗。
來賓邀請程式
有兩種方式可以邀請來賓使用者加入您的租使用者。
- 計劃邀請: 您可以事先在 Microsoft Entra ID 中設定 外部使用者 。 如此一來,每當 Power BI 使用者需要使用它來指派許可權時,來賓帳戶就已準備就緒(例如,應用程式許可權)。 雖然它需要一些預先規劃,但它是最一致的程式,因為所有 Power BI 安全性功能都受到支援。 系統管理員可以使用 PowerShell 有效率地新增大量外部使用者。
- 臨機操作邀請: 來賓帳戶可以在Power BI使用者共用或發佈內容給外部用戶時自動在 Microsoft Entra ID 中產生(先前未設定的使用者)。 當您事先不知道外部用戶是誰時,此方法很有用。 不過,必須先 在 Microsoft Entra ID 中啟用此功能。 臨機操作邀請方法適用於 特定個別專案許可權 和應用程式許可權。
提示
Power BI 服務 中的每個安全性選項都不支援觸發臨機操作邀請。 因此,指派許可權時用戶體驗不一致(例如工作區安全性與個別專案許可權與應用程式許可權)。 盡可能使用計劃邀請方法,因為它會產生一致的用戶體驗。
客戶用戶 ID
每個 Microsoft Entra 租使用者都有稱為租使用者 識別碼的全域唯一標識碼 (GUID)。 在 Power BI 中,它稱為客戶租使用者識別碼 (CTID)。 CTID 可讓 Power BI 服務 從不同組織租用戶的觀點找出內容。 您必須在與外部使用者共享內容時,將 CTID 附加至 URL。
以下是將 CTID 附加至 URL 的範例: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456
當您需要為組織提供 CTID 給外部使用者時,您可以開啟 [關於 Power BI] 對話框視窗,在 Power BI 服務 中找到它。 您可以從位於 Power BI 服務 右上方的 [說明與支援] 選單取得。 CTID 會附加至租使用者 URL 的結尾。
![[關於 Power BI] 對話框視窗的螢幕快照,其中已醒目提示客戶租使用者標識碼。](media/powerbi-implementation-planning-security-tenant-level-planning/determine-customer-tenant-id.png)
組織商標
當您的組織經常發生外部來賓存取時,最好使用 自定義商標。 它可協助用戶識別他們正在存取的組織租使用者。 自定義商標元素包括標誌、封面影像和主題色彩。
下列螢幕快照顯示來賓帳戶存取時 Power BI 服務 的外觀。 它包含 來賓內容 選項,當 CTID 附加至 URL 時,即可使用此選項。
![醒目提示 [來賓內容] 選項的 Power BI 服務 螢幕快照。](media/powerbi-implementation-planning-security-tenant-level-planning/organizational-branding.png)
外部數據共用
有些組織必須執行更多任務作,而不是與外部用戶共享報表。 他們想要與外部用戶共用語意模型,例如合作夥伴、客戶或廠商。
就地語意模型共用(也稱為跨租用戶語意模型共用)的目標是允許外部使用者使用您建立、管理和提供的數據來建立自己的自定義報表和複合模型。 原始共用語意模型(由您建立)會保留在 Power BI 租使用者中。 相依報表和模型會儲存在外部使用者的Power BI租使用者中。
進行就地語意模型共用工作有數個安全性層面。
- 租使用者設定: 允許來賓使用者在自己的租使用者中使用共用語意模型: 此設定會指定是否可以使用外部數據共用功能。 必須啟用其他兩個設定之一(如下所示)才會生效。 Power BI 系統管理員為整個組織啟用或停用此功能。
- 租使用者設定: 允許特定用戶開啟外部數據共享: 此設定會指定哪些使用者群組可以在外部共享數據。 這裡允許的使用者群組可以使用第三個設定(如下所述)。 此設定是由Power BI系統管理員所管理。
- 語意模型設定:外部共用:此設定會指定外部使用者是否可以使用該特定語意模型。 此設定是由每個特定語意模型的內容建立者和擁有者所管理。
- 語意模型許可權: 讀取 和 建置: 支持內容建立者的標準語意模型許可權仍然存在。
重要
一般而言,取用者一詞是用來參考僅檢視使用者,這些使用者會取用組織中其他人所產生的內容。 不過,使用就地語意模型共用時,語意模型的產生者和語意模型的取用者。 在此情況下,語意模型的取用者通常是另一個組織中的內容建立者。
如果為語意模型指定數據列層級安全性,則外部使用者會接受此安全性。 如需詳細資訊,請參閱報表取用者安全性規劃一文中的<根據取用者身分識別強制執行數據安全性>一節。
外部使用者訂用帳戶
外部使用者最常以 Microsoft Entra ID 中的來賓使用者身分管理,如先前所述。 除了這個常見的方法之外,Power BI 還提供其他功能,將報表訂閱散發給組織外部的使用者。
Power BI 允許將電子郵件訂閱傳送給外部使用者租使用者 設定,指定是否允許使用者將電子郵件訂閱傳送給尚未成為 Microsoft Entra 來賓使用者的外部使用者。 建議您設定此租用戶設定,以符合組織想要管理外部用戶帳戶的嚴格或靈活程度。
提示
管理員 istrators 可以使用 來驗證哪些外部使用者正在傳送訂閱以 管理員 API 的形式取得報表訂閱。 會顯示外部使用者的電子郵件位址。 無法解析主體類型,因為外部使用者未在 Microsoft Entra ID 中設定。
檢查清單 - 規劃如何處理外部來賓使用者時,關鍵決策和動作包括:
- 識別 Power BI 中外部使用者的需求: 判斷外部共同作業有哪些使用案例。 釐清搭配 Microsoft Entra B2B 使用 Power BI 的案例。 判斷與外部使用者的共同作業是常見的還是罕見的。
- 判斷目前的 Microsoft Entra 設定: 與 Microsoft Entra 系統管理員共同作業,以瞭解目前如何設定外部共同作業。 判斷搭配 Power BI 使用 B2B 對哪些影響。
- 決定如何邀請外部使用者: 與 Microsoft Entra 系統管理員共同作業,以決定如何在 Microsoft Entra ID 中建立來賓帳戶。 決定是否允許臨機操作邀請。 決定將使用計劃邀請方法的程度。 請確定已瞭解並記載整個程式。
- 建立及發佈外部使用者的使用者指引: 為您的內容建立者建立文件,引導他們如何與外部使用者共用內容(特別是需要計劃邀請程式時)。 包含外部使用者想要編輯和管理內容時,外部用戶將面臨之限制的相關信息。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 決定如何處理外部數據共享: 決定是否應該允許外部數據共用,以及是否僅限於一組特定的已核准內容建立者。 設定 [允許來賓使用者在自己的租使用者] 租用戶設定中使用共用語意模型,以及 [允許特定使用者開啟外部數據共用租使用者] 設定,以符合您的決策。 提供語意模型建立者的外部數據共享相關信息。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 決定如何處理外部使用者的Power BI授權: 如果來賓用戶沒有現有的Power BI授權,請決定指派授權的程式。 請確定已記載此程式。
- 在相關的用戶檔中包含您的 CTID: 記錄在使用者檔中附加租使用者識別碼 (CTID) 的 URL。 包含建立者和取用者的範例,說明如何使用附加 CTID 的 URL。
- 在 Power BI 中設定自訂商標: 在管理入口網站中,設定自定義商標,以協助外部使用者識別他們存取的組織租使用者。
- 確認或更新租用戶設定:檢查 Power BI 服務 中目前如何設定租用戶設定。 根據管理外部使用者存取權所做的決策,視需要更新它們。
檔案位置的策略
應該適當儲存不同類型的檔案。 因此,請務必協助使用者瞭解檔案和數據應位於何處的預期。
可能會有與 Power BI Desktop 檔案和 Excel 活頁簿相關聯的風險,因為它們可以包含匯入的數據。 此數據可能包括客戶資訊、個人標識資訊(PII)、專屬資訊,或受法規或合規性需求約束的數據。
提示
很容易忽略儲存在 Power BI 服務 外部的檔案。 建議您在規劃安全性時加以考慮。
以下是一些可能涉及Power BI實作的文件類型。
- 原始程序檔
- Power BI Desktop 檔案:發佈至 Power BI 服務 之內容的源檔 (.pbix)。 當檔案包含數據模型時,它可能包含匯入的數據。
- Excel 活頁簿:Excel 活頁簿(.xlsx)可能包含 Power BI 服務 中語意模型的連線。 它們也可能包含匯出的數據。 它們甚至可能是發佈至 Power BI 服務 內容的原始活頁簿(作為工作區中的活頁簿專案)。
- 編頁報表檔案:發佈至 Power BI 服務 之內容的原始報表檔案 (.rdl) 檔案。
- 源數據檔: 一般檔案(例如,.csv或.txt)或包含已匯入 Power BI 模型的源數據的 Excel 活頁簿。
- 匯出和其他檔案
- Power BI Desktop 檔案:已從 Power BI 服務 下載的 .pbix 檔案。
- PowerPoint 和 PDF 檔案:從 Power BI 服務 下載的 PowerPoint 簡報(.pptx)和 PDF 檔。
- Excel 和 CSV 檔案:從 Power BI 服務 報表導出的數據。
- 編頁報表檔案:從 Power BI 服務 中的編頁報表導出的檔案。 支援 Excel、PDF 和 PowerPoint。 編頁報表也有其他 匯出檔格式 ,包括 Word、XML 或 Web 封存。 使用 導出檔案至報表 API 時,也支援影像格式。
- 電子郵件檔: 來自訂用帳戶的電子郵件影像和附件。
您必須對使用者可以或無法儲存盤案的位置做出一些決定。 一般而言,該程式牽涉到建立使用者可以參考的治理原則。 來源檔案和導出檔案的位置應受到保護,以確保授權用戶的適當存取權。
以下是使用檔案的一些建議。
- 將檔案儲存在共用文檔庫中: 使用 Teams 網站、SharePoint 文檔庫或商務用 OneDrive 或學校共用文檔庫。 避免使用個人連結庫和磁碟驅動器。 請確定已備份記憶體位置。 也請確定記憶體位置已啟用版本控制,以便復原至舊版。
- 盡可能使用 Power BI 服務:盡可能使用 Power BI 服務 來共用和發佈內容。 如此一來,一律會完整稽核存取權。 在文件系統上儲存和共用檔案應該保留給在內容上共同作業的少數使用者。
- 請勿使用電子郵件: 禁止使用電子郵件來共用檔案。 當有人傳送 Excel 活頁簿或 Power BI Desktop 檔案給 10 位使用者時,會產生 10 份檔案。 一律有包含不正確(內部或外部)電子郵件地址的風險。 此外,檔案將轉寄給其他人的風險也會更高。 (若要將此風險降至最低,請與您的 Exchange Online 系統管理員合作,根據大小或擴展名類型的條件來實作規則來封鎖附件。Power BI 的其他數據外洩防護策略會在資訊保護和數據外洩防護文章中說明。
- 使用範本檔案: 有時候,需要與其他人共用Power BI Desktop 檔案。 在此情況下,請考慮建立及共用 Power BI Desktop 樣本 (.pbit) 檔案。 範本檔案只包含元數據,因此大小小於原始程序檔。 這項技術需要收件者輸入數據源認證,才能重新整理模型數據。
系統管理入口網站中有租用戶設定,可控制從 Power BI 服務 匯出時,允許使用者使用哪些匯出格式。 請務必檢閱和設定這些設定。 規劃應該用於匯出檔案的檔案位置是補充活動。
提示
某些匯出格式支援使用加密的端對端信息保護。 由於法規需求,某些組織必須有效限制使用者可以使用的導出格式。 Power BI 的資訊保護文章說明決定要在租用戶設定中啟用或停用哪些匯出格式時要考慮的因素。 在大部分情況下,我們建議您只在必須符合特定法規需求時才限制導出功能。 您可以使用 Power BI 活動記錄 來識別哪些使用者正在執行許多匯出。 然後,您可以教導這些使用者更有效率且安全的替代方案。
檢查清單 - 規劃檔案位置時,主要決策和動作包括:
- 識別應儲存盤案的位置: 決定應儲存盤案的位置。 判斷是否有不應該使用的特定位置。
- 建立及發佈檔案位置的相關文件: 建立用戶檔,以釐清管理和保護檔案的責任。 它也應該描述任何檔案應該儲存的位置(或不應該儲存)。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 設定導出的租用戶設定: 檢閱並設定與您想要支援之匯出格式相關的每個租用戶設定。
使用群組的策略
基於下列原因,建議您使用 Microsoft Entra 安全組 來保護 Power BI 內容。
- 減少維護: 不需要修改 Power BI 內容的許可權,即可修改安全組成員資格。 您可以將新的使用者新增至群組,而不需要的使用者可以從群組中移除。
- 改善正確性: 因為群組成員資格變更一次,所以會產生更精確的許可權指派。 如果偵測到錯誤,可以更輕鬆地更正錯誤。
- 委派: 您可以將管理群組成員資格的責任委派給 群組擁有者。
高層級群組決策
對於群組的使用方式,有一些策略性決策需要做出。
建立和管理群組的許可權
建立和管理群組有兩個關鍵決策。
- 神秘 允許建立群組嗎? 通常只有IT可以建立安全組。 不過,可以將使用者新增至內 建群組管理員 Microsoft Entra 角色。 如此一來,某些受信任的使用者,例如 Power BI 冠軍或 COE 的附屬成員,可以為其業務單位建立群組。
- 神秘 允許管理群組的成員嗎? IT 通常會管理群組成員資格。 不過,您可以指定一或多個 允許新增和移除群組成員的群組擁有者 。 當允許分散式小組或 COE 的附屬成員管理 Power BI 特定群組的成員資格時,使用 自助群組管理 會很有説明。
規劃Power BI群組
請務必建立高階策略,以瞭解如何使用群組來保護 Power BI 內容和其他許多用途。
群組的各種使用案例
請考慮下列群組的使用案例。
| 使用案例 | 說明 | 範例組名 |
|---|---|---|
| 與 Power BI 卓越中心通訊 (COE) | 包含與 COE 相關聯的所有使用者,包括 COE 的所有核心和附屬成員。 視您的需求而定,您也可能只為核心成員建立個別的群組。 這可能是與 Teams 網站相互關聯的 Microsoft 365 群組。 | • Power BI 卓越中心 |
| 與 Power BI 領導小組通訊 | 包括主管發起人和來自在組織中領導 Power BI 方案共同作業的商務單位代表。 | • Power BI 指導委員會 |
| 與 Power BI 使用者社群通訊 | 包含獲指派任何類型的Power BI使用者授權的所有使用者。 這對於向貴組織中的所有Power BI用戶發出公告很有用。 這可能是與 Teams 網站相互關聯的 Microsoft 365 群組。 | • Power BI 社群 |
| 支援Power BI 使用者社群 | 包含直接與使用者社群互動以處理Power BI支援問題的技術支援中心使用者。 此電子郵件位址(和 Teams 網站,如果適用的話)可供使用者母體看見。 | • Power BI 用戶支援 |
| 提供呈報的支援 | 包含特定使用者,通常是來自Power BI COE,他們提供呈報的支援。 此電子郵件位址(如果適用的話)通常是私人的,僅供用戶支援小組使用。 | • Power BI 已呈報用戶支援 |
| 管理員 註冊 Power BI 服務 | 包含允許管理 Power BI 服務的特定使用者。 或者,此群組的成員可以與 Microsoft 365 中的角色相互關聯,以簡化管理。 | • Power BI 系統管理員 |
| 通知允許的功能,並逐步推出功能 | 包含系統管理入口網站中允許特定租用戶設定的使用者(如果功能會受到限制),或將此功能逐漸推出給使用者群組時。 許多租用戶設定都需要您建立新的Power BI特定群組。 | • Power BI 工作區建立者 • Power BI 外部數據共用 |
| 管理數據閘道 | 包含一或多個允許使用者管理閘道叢集的使用者群組。 當有多個閘道或分散式小組管理閘道時,可能會有數個此類型的群組。 | • Power BI 閘道管理員 • Power BI 閘道數據源建立者 • Power BI 閘道數據源擁有者 • Power BI 閘道數據源使用者 |
| 管理 進階版容量 | 包含允許使用者管理 進階版容量。 當有多個容量或分散式小組管理容量時,可能會有數個此類型的群組。 | • Power BI 容量參與者 |
| 保護工作區、應用程式和專案 | 許多以主題區域為基礎且允許存取的群組,可用來管理Power BI工作區角色、應用程式許可權和個別專案許可權的安全性。 | • Power BI 工作區系統管理員 • Power BI 工作區成員 • Power BI 工作區參與者 • Power BI 工作區查看器 • Power BI 應用程式查看器 |
| 部署內容 | 包含可使用Power BI 部署管線部署內容的使用者。 此群組會與工作區許可權搭配使用。 | • Power BI 部署管線管理員 |
| 自動化系統管理作業 | 包含允許使用Power BI API進行內嵌或系統管理之用途的服務主體。 | • Power BI 服務 主體 |
Power BI 租用戶設定的群組
視您已就地的內部程式而定,您將有其他必要群組。 管理租用戶設定時,這些群組很有説明。 以下列出一些範例。
- Power BI 工作區建立者: 當您需要限制誰可以建立工作區時很有用。 用來設定 [ 建立工作區 租使用者] 設定。
- Power BI 認證主題專家: 適合用來指定誰允許使用經認證的簽署內容。 它用來設定 認證 租用戶設定。
- Power BI 核准的內容建立者: 當您需要核准或訓練,或原則通知以安裝 Power BI Desktop,或取得 Power BI Pro 或 PPU 授權時很有用。 它由鼓勵內容建立功能的租用戶設定使用,例如允許Power BI語意模型的 DirectQuery 連線、將應用程式推送至使用者、允許 XMLA 端點和其他專案。
- Power BI 外部工具使用者: 當您允許選擇性使用者群組使用外部工具時很有用。 組策略會使用,或是必須謹慎控制軟體安裝或要求時。
- Power BI 自定義開發人員: 當您需要控制哪些人允許將內容內嵌到 Power BI 外部的其他應用程式中時很有用。 它用來設定 在應用程式 租使用者中內嵌內容設定。
- Power BI 公開發佈: 當您需要限制誰可以公開發佈數據時很有用。 它用來設定 [發佈至 Web 租使用者] 設定。
- Power BI 與整個組織共用: 當您需要限制誰可以與組織中的每個人共享連結時,很有用。 它用來設定 [允許共用連結] 來授與貴組織 租用戶設定中每個人的存取權。
- Power BI 外部數據共享: 當您需要允許特定使用者與外部用戶共用語意模型時,很有用。 它用來設定 [允許特定使用者開啟外部數據共用 租使用者] 設定。
- Power BI 來賓使用者存取授權: 當您需要將已核准的外部使用者群組給貴組織授權時很有用。 它用來設定 允許 Microsoft Entra 來賓使用者存取 Power BI 租用戶設定。
- Power BI 來賓使用者存取 BYOL: 當您需要將自有授權 (BYOL) 從其主組織帶入核准的外部使用者群組時,很有用。 它用來設定 允許 Microsoft Entra 來賓使用者存取 Power BI 租用戶設定。
提示
如需規劃工作區存取權時使用群組的考慮,請參閱 工作區層級規劃 一文。 如需規劃保護工作區、應用程式和專案的相關信息,請參閱 報表取用者安全性規劃 一文。
群組類型
您可以建立不同類型的 群組。
- 安全組: 當您的主要目標是授與資源的存取權時,安全組是最佳選擇。
- 啟用郵件的安全組: 當您需要授與資源的存取權,並透過電子郵件將郵件散發給整個群組時,啟用郵件的安全組是不錯的選擇。
- Microsoft 365 群組: 這種類型的群組具有Teams網站和電子郵件位址。 當主要目標是Teams網站中的通訊或共同作業時,這是最佳選擇。 Microsoft 365 群組只有成員和擁有者;沒有查看器角色。 因此,其主要目的是共同作業。 這種類型的群組先前稱為 Office 365 群組、新式群組或統一群組。
- 通訊群組: 您可以使用通訊群組將廣播通知傳送給使用者清單。 今天,它被認為是提供回溯相容性的舊版概念。 針對新的使用案例,建議您改為建立啟用郵件功能的安全組。
當您要求新的群組,或想要使用現有的群組時,請務必注意其類型。 群組的類型可以決定其使用和管理方式。
- Power BI 許可權: 並非所有類型的安全性作業都支援每種群組類型。 安全組(包括啟用郵件功能的安全組)在設定Power BI安全性選項方面提供最高的涵蓋範圍。 Microsoft 檔通常會建議 Microsoft 365 群組。 不過,在Power BI的情況下,它們無法與安全組一樣強大。 如需Power BI許可權的詳細資訊,請參閱 本系列中有關安全性規劃的文章。
- Power BI 租使用者設定: 在允許或不允許使用者群組使用 Power BI 租使用者設定時,您只能使用安全組(包括啟用郵件功能的安全組)。
- 進階 Microsoft Entra 功能: 所有群組類型都不支援特定類型的進階功能。 例如,您可能想要根據 Microsoft Entra 識別碼中的屬性動態管理群組成員資格(例如 使用者的部門,甚至是 自定義屬性)。 只有 Microsoft 365 群組和安全組支援動態群組成員資格。 或者,如果您想要在群組內巢狀群組,請注意 Microsoft 365 群組不支援該功能。
- 以不同的方式管理: 建立或管理群組的要求可能會根據群組類型路由傳送至不同的系統管理員(郵件啟用安全組和通訊群組是在 Exchange 中管理)。 因此,您的內部程式會根據群組的類型而有所不同。
群組命名慣例
您最終可能會有許多群組在 Microsoft Entra ID 中支援您的 Power BI 實作。 因此,對於如何命名群組而言,請務必有一個已同意的模式。 良好的命名慣例有助於判斷群組的用途,並讓管理更簡單。
請考慮使用下列標準命名慣例: <前置><詞用途> - <主題/範圍/部門><[環境]>
下列清單描述命名慣例的每個部分。
- 前置詞: 用來將所有 Power BI 群組分組在一起。 當群組用於多個分析工具時,您的前置詞可能只是 BI,而不是 Power BI。 在此情況下,描述用途的文字會更泛型,使其與多個分析工具相關。
- 目的: 目的會有所不同。 它可以用於工作區角色、應用程式許可權、專案層級許可權、數據列層級安全性或其他用途。 有時候,單一群組可以滿足多個用途。
- 主題/範圍/部門: 用來釐清群組的適用物件。 它通常會描述群組成員資格。 它也可以參考誰管理群組。 有時候,單一群組可用於多個用途。 例如,財務工作區集合可以使用單一群組來管理。
- 環境: 選擇性。 有助於區分開發、測試和生產環境。
以下是套用標準命名慣例的一些範例組名。
- Power BI 工作區系統管理員 - 財務 [開發]
- Power BI 工作區成員 - 財務 [開發]
- Power BI 工作區參與者 - 財務 [開發]
- Power BI 工作區檢視者 - 財務 [開發]
- Power BI 應用程式查看器 - 財務
- Power BI 閘道系統管理員 - Enterprise BI
- Power BI 閘道管理員 - 財務
每個群組的決策
規劃您需要哪些群組時,必須做出數個決策。
當內容建立者或擁有者要求新群組時,最好是使用表單來提供下列資訊。
- 名稱和用途: 建議的組名及其預定用途。 請考慮在 組名中包含Power BI (或只有 BI 工具),以清楚指出群組的範圍。
- 電子郵件位址: 群組成員也需要通訊時的電子郵件位址。 並非所有類型的群組都需要啟用郵件功能。
- 群組類型: 選項包括安全組、啟用郵件功能的安全組、Microsoft 365 群組和通訊群組。
- 群組擁有者:神秘 允許擁有和管理群組的成員。
- 群組成員資格: 將成為群組成員的預定使用者。 請考慮是否可以新增外部使用者和內部使用者,或是否有理由將外部使用者放入不同的群組。
- 使用 Just-In-Time 群組成員指派: 您可以使用 Privileged Identity Management (PIM) 來允許時間 Boxed、Just-In-Time、存取群組。 當使用者需要暫時存取權時,這項服務會很有説明。 PIM 對於偶爾需要存取權的 Power BI 系統管理員也很有説明。
提示
以組織結構為基礎的現有群組不一定適用於Power BI用途。 符合您的需求時,請使用現有的群組。 不過,請準備好在需要時建立Power BI特定群組。
檢查清單 - 建立如何使用群組的策略時,關鍵決策和動作包括:
- 決定使用群組的策略: 決定您需要使用群組的使用案例和用途。 請特別說明何時應使用使用者帳戶來套用安全性,而不是何時需要或慣用群組。
- 建立 Power BI 特定群組的命名慣例: 確定將支援 Power BI 通訊、功能、系統管理或安全性的群組使用一致的命名慣例。
- 決定允許誰建立群組: 釐清是否需要建立所有群組才能通過IT。 或者某些個人(例如 COE 的衛星成員)是否可以獲得為其業務單位建立群組的許可權。
- 建立如何要求新群組的程式: 建立窗體供使用者要求建立新群組。 請確定有一個程式可快速回應新的要求。 請記住,如果要求延遲,使用者可能會想要開始將許可權指派給個人帳戶。
- 決定允許分散式群組管理時機: 對於套用至特定小組的群組,決定群組擁有者(IT 外部)何時可以接受管理群組中的成員。
- 決定是否要使用 Just-In-Time 群組成員資格: 判斷 Privileged Identity Management 是否有用。 如果是,請判斷它可用於哪些群組(例如 Power BI 系統管理員群組)。
- 檢閱目前存在的群組: 判斷可以使用哪些現有群組,以及需要建立哪些群組。
- 檢閱每個租用戶設定: 針對每個租用戶設定,判斷是否允許或不允許特定一組使用者。 判斷是否需要建立新的群組來設定租用戶設定。
- 建立及發佈使用者關於群組的指引: 包含包含使用群組需求或喜好設定之內容建立者的檔。 請確定他們知道要求新群組時要要求的內容。 將此資訊發佈至您的集中式入口網站和訓練教材。
相關內容
在本系列中的下一篇文章中,瞭解將內容安全地傳遞至只讀報表取用者的方式。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應