Power BI 實作規劃:租使用者管理

  • 發行項

注意

本文構成Power BI實作規劃系列文章的一部分。 此系列主要著重於 Microsoft Fabric 內的 Power BI 工作負載。 如需系列簡介,請參閱 Power BI 實作規劃

本文介紹管理 Fabric 租使用者的重要考慮。 本文的目標為:

  • 網狀架構系統管理員: 負責監督組織中的 Fabric 的系統管理員。
  • IT 和系統管理員: 與其他與網狀架構系統管理員共同作業的系統管理員,以監督和整合組織內的系統。
  • 卓越中心(COE)和BI小組: 負責監督PowerBI並支持組織中的Power BI使用者。 這些小組會做出重要決策,並與網狀架構系統管理員共同作業。

管理 Power BI 服務 是系統監督一個關鍵層面。 如需詳細資訊,請參閱 系統監督。 與系統監督相關聯的例行活動通常稱為 系統管理。 系統管理活動對於協助確保內容取用者和內容建立者一直擁有Power BI的良好體驗至關重要。

如網狀架構採用成熟度層級一文所述,組織採用是指治理和數據管理做法的有效性,以支援及啟用企業 BI 及受控自助 BI。 因此,管理分析和 BI 平台的系統管理員可能會對分析採用工作的成功產生可調整且直接的影響。

注意

管理員 註冊網狀架構容量(或 進階版 容量)和管理 Power BI 服務 是不同的概念。 雖然大部分的組織只有一個 Power BI 租使用者,但組織可以針對不同的工作負載或業務單位布建多個容量。

重要

本文有時是指 Power BI 進階版 或其容量訂用帳戶(P SKU)。 請注意,Microsoft 目前正在合併購買選項,並淘汰每個容量 SKU 的 Power BI 進階版。 新的和現有的客戶應該考慮改為購買網狀架構容量訂用帳戶(F SKU)。

如需詳細資訊,請參閱 Power BI 進階版 授權的重要更新和 Power BI 進階版 常見問題

定義責任範圍

網狀架構系統管理員角色沒有單一定義,這表示網狀架構系統管理員的角色和例行責任在不同組織之間可能會有所不同。 不應該改變的是,隨著組織優先順序和目標變更,角色可以和應該隨著時間而演進。

從策略觀點來看,網狀架構系統管理員應該專注於:

  • 治理: 制定治理指導方針和原則,以支持企業 BI 和受控自助 BI。
  • 用戶授權: 在遵守組織法規和需求的同時,協助和支持能夠盡可能提高內部使用者社群能力的內部程式與系統。
  • 採用: 透過有效的治理和數據管理做法,允許更廣泛的組織 採用 Fabric

嘗試平衡治理、使用者授權和採用目標,本質上會導致競爭的優先順序。 在理想的情況下,它會導致關於優先事項的富有成效的辯論。 釐清並傳達您對各種角色和責任的期望,有助於避免不可接受的摩擦和衝突層級。

請考慮下列三個網狀架構系統管理員範例。

  • 高度關注用戶啟用: Riley 是一名網狀架構系統管理員,負責大型全球組織,對 受控自助 BI 進行大量投資。 為了為整個組織的用戶啟用自助 BI 功能,Riley 花費大量時間與卓越中心(COE)和其他系統管理員協調決策和動作。 如有需要,Riley 會逐步支援現有的 BI 解決方案。
  • 高度關注治理和合規性: Parker 是一個適用於高管制組織的網狀架構系統管理員。 在此組織中,大部分的BI開發是由集中式 企業BI 小組內的BI開發人員所處理。 派克的行政責任主要集中在審計資訊保護和安全性等領域。
  • 高度參與內容建立: Morgan 是一名網狀架構系統管理員,負責剛開始建立其 數據文化的小型組織。 目前,組織只有少數內容建立者。 除了系統監督責任之外,Morgan 是一位 BI 開發人員,會定期建立和發佈內容。 有時候,摩根會參與 共同開發專案 ,以指導同事,這有助於拓展組織中的 BI 專業知識。

檢查清單 - 規劃責任範圍時,關鍵決策和動作包括:

  • 決定策略性焦點: 決定網狀架構系統管理員應具備的戰略焦點。 需要做出決策(和取捨)時,清楚了解目標與優先順序。
  • 識別特定角色和責任: 判斷網狀架構系統管理員的特定期望。 請清楚記錄其角色和責任,並在適當時使用人力資源更新工作描述。

任命系統管理員

網狀架構系統管理員的動作會對用戶體驗、數據文化工作、治理工作、擁有和管理內容的人員,以及組織採用工作產生重大影響。 因此,您必須任命適當的人員擔任系統管理員角色。

以下是當您選取系統管理員時要考慮的一些重點。

  • 仍然意識到角色的高度特權性質。 系統管理員角色是高許可權角色,因為它已獲授權管理各種租用戶設定、工作區存取、個人工作區存取,而且可以檢視所有租用戶元數據。 如需詳細資訊,請參閱 Power BI 管理
  • 請仔細選取適合身為系統管理員的人員。 系統管理員通常需要與使用者和COE共同作業。 基於這個理由,他們應該瞭解商業智慧概念,以及使用者想要完成的工作。 具有過分個性或有嚴格限制使用者允許執行的傾向的人,可能不適合管理自助 BI 平臺。
  • 選擇 2 到 4 個系統管理員。 因為它是高許可權角色,只任命少數系統管理員。 取得正確的平衡:讓太多系統管理員會增加未核准變更發生的風險,而管理員太少會增加系統無法得到充分支持的風險。
  • 允許偶爾的系統管理員。 如果您有偶爾需要網狀架構系統管理員許可權的使用者,請考慮實作 Privileged Identity Management (PIM)。 PIM 可讓您指派 在幾個小時后到期的 Just-In-Time 角色許可權 。 此程式提供一個有用的方法來平衡風險(擁有太多全職系統管理員)與可用性(允許進行進度)。 在較大的分散式組織中,這尤其如此。 使用 PIM 時,會記錄系統管理員角色的委派,而且可以選擇性地牽涉到核准工作流程來授與許可權。
  • 讓網狀架構系統管理成為優先順序。 BI 平臺的管理通常只是許多責任之一。 請考慮如何確保使用者受到很好的支援,而且您的系統已足夠管理。
  • 定期檢閱指派給所有相關角色的人員。 有三個角色可以管理 Power BI 服務:網狀架構系統管理員、Power Platform 系統管理員和全域管理員。 請務必定期稽核這些角色的成員資格。

如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

檢查清單 – 任命系統管理員時,關鍵決策和動作包括:

  • 識別目前的網狀架構系統管理員: 檢閱目前指派給網狀架構系統管理員角色的人員。 另請考慮此檢閱中的Power Platform系統管理員和全域管理員角色。
  • 任命網狀架構系統管理員: 若要降低風險,請任命 2 到 4 人擔任 Fabric 系統管理員角色。 如果目前已指派四個以上的人員,請減少指派給 Fabric 系統管理員角色的人員數目。
  • 針對偶爾的系統管理員使用 PIM: 識別您是否有合法但偶爾需要網狀架構系統管理員許可權的人員。 實作 PIM 以指派在幾個小時後到期的 Just-In-Time 角色許可權。 記錄並傳達程序的運作方式,其中可能包含核准工作流程。
  • 指派備份並進行交叉訓練: 檢查已備妥的跨訓練狀態和檔,以處理網狀架構系統管理責任。 請確定已訓練備份人員,以便以及時且一致的方式符合優先使用者需求。
  • 定期稽核系統管理員: 確認已定期指派給網狀架構系統管理員角色的人員。

與其他系統管理員共同作業

雖然網狀架構系統管理員是高許可權角色,但僅限於管理 Fabric。 因此,有時您必須與其他系統管理員共同作業。

以下是網狀架構系統管理員與其他 系統管理員共同作業的一些常見原因。

  • 裝置安裝和安裝: 您可能需要與IT、基礎結構小組或桌面支援小組合作,才能安裝、更新或管理 用戶裝置
  • 訂用帳戶和授權購買: 需要 Microsoft 365 中的計費管理員角色,才能管理訂用帳戶和購買授權。 計費管理員也可能負責成本分析和管理。 如需集中式和分散式(自助)管理授權方式的詳細資訊,請參閱 用戶授權
  • 授權指派和使用者管理: 需要 Microsoft 365 中的授權管理員角色,才能將授權指派給特定使用者(已購買的)。 需要使用者管理員角色,才能管理用戶的屬性。 當您打算根據使用者屬性實作自動化時,與用戶系統管理員合作會很有説明(例如,自動授權指派或自動群組指派)。 如需詳細資訊,請參閱常用的 Microsoft 365 系統管理中心角色
  • Microsoft Entra 系統管理員:您需要與 Microsoft Entra(先前稱為 Azure Active Directory) 系統管理員合作的原因有很多。 通常,原因包括設定或管理使用者、群組和服務主體的需求。 如需詳細資訊,請參閱 租用戶層級安全性規劃
  • 源數據存取: 您可能需要與系統管理員或資料庫管理員合作,才能代表 內容建立者存取數據。 有時候,當語意模型以前稱為數據集的語意模型,根據內容取用者的身分識別強制執行數據安全性時,可能也需要代表內容取用者要求存取權。
  • 數據外洩防護和數據分類: 您可能需要與 Microsoft Purview 系統管理員共同作業,以進行治理和信息保護。
  • Teams 整合: 在整合 Power BI 與 Microsoft Teams 時,您可能需要與 Teams 系統管理員共同作業。
  • OneDrive 和 SharePoint 整合: 在整合 Power BI 與 OneDrive 或 SharePoint 時,您可能需要與其他系統管理員共同作業。
  • 工作區管理: 您可能需要與 網狀架構工作區管理員 共同作業,以規劃、組織或保護特定工作區內的內容。
  • 生命週期管理: 部署和管理內容變更時,您可能需要與 部署管線管理員Azure DevOps 系統管理員共同作業。
  • 進階版 容量管理:管理 進階版 容量,您可能需要與容量管理員共同作業。
  • 數據閘道管理: 您可能需要與 閘道系統管理員 共同作業,才能管理及保護內部部署數據閘道。 如需詳細資訊,請參閱 管理網關
  • Power Platform 系統管理: 您可能需要整合 Power BI 與其他 Power Platform 應用程式之間的解決方案(例如 Power Automate 或 Power Apps)。
  • Azure 系統管理: 您可能需要與 Azure 系統管理員合作,以設定、存取及保護您想要與 Power BI 整合的其他 Azure 服務
  • 安全性管理和稽核: 您的組織可能會有特定的合規性、安全性或隱私權需求。 在此情況下,您可能需要與安全性小組共同作業,以找出並降低風險。
  • 網路:連線到不同的數據源和系統時,您可能需要以效能和安全性原因與網路管理員合作
  • 行動裝置管理: 您可能需要與 Intune 系統管理員共同作業,才能 管理行動裝置 原則和安全性。

重要

網狀架構系統管理員不應該自行做出決策或採取動作(例如變更 租用戶設定)。 所有關鍵決策都應該討論、規劃及記載。 除了與其他系統管理員共同作業外,請務必完全牽涉 到COEBI策略工作小組。 也可能適合讓執行 贊助者 參與策略性決策。

檢查清單 – 與其他系統管理員共同作業時,關鍵決策和動作包括:

  • 判斷誰將管理裝置設定和安裝: 請確定您知道誰管理貴組織的裝置。 熟悉其程式和需求。 請做好視需要與他們合作的準備。
  • 識別誰將管理訂用帳戶和授權: 請確定您知道誰管理組織的訂用帳戶和授權。 熟悉其程式和需求。 請做好視需要與他們合作的準備。
  • 識別誰將指派授權及管理使用者、群組和服務主體: 請確定您知道誰管理貴組織的使用者、群組和服務主體。 熟悉其程式和需求。 請做好視需要與他們合作的準備。
  • 判斷任何其他要諮詢的系統管理員: 當您完成實作規劃程式時,請識別其他相關系統管理員。 邀請他們參加相關的會議,並參與相關的決策程式。 視需要更新檔和程式。

控管 Power BI 服務

控管和管理 Power BI 服務 是網狀架構系統管理員的主要責任之一。 本節說明如何在網狀架構管理入口網站中控管和管理許多常見的設定和功能。

控管租用戶設定

租用戶設定 是控制哪些 Power BI 特性和功能啟用的主要方式,以及組織中哪些使用者。 管理租用戶設定是網狀架構系統管理員最重要的責任之一。

因為內容建立者和內容取用者可以輕鬆地瞭解 Power BI 中可用的特性和功能(來自檔),所以當他們無法執行預期的事情時,可能會導致挫折。 它也會導致使用者不滿,且組織採用、使用者採用和解決方案採用效率較低。

以下是讓使用者感到困惑和沮喪的一些常見問題。

  • 為什麼我無法建立工作區?
  • 為什麼我無法匯出數據?
  • 為什麼我的自定義視覺效果無法運作?
  • 為什麼我無法認證語意模型?
  • 為什麼我無法指派敏感度標籤?
  • 為什麼我無法將應用程式推送至特定使用者?

重要

每個租用戶設定都應該符合 您組織中的治理 指導方針和原則。 當網狀架構系統管理員自行決定啟用或停用設定時,通常是您需要改善和精簡治理程序的明確指標。

本節的其餘部分說明管理租用戶設定的下列程式。

  1. 檢閱租用戶設定
  2. 決定租用戶設定
  3. 更新租用戶設定
  4. 檔租用戶設定
  5. 管理租用戶設定
  6. 稽核租用戶設定

步驟 1:檢閱租用戶設定

請務必檢閱每個租用戶設定,以清楚瞭解您租使用者的目前狀態。 雖然您應該檢閱所有租用戶設定,但您可以排定特定重大設定的優先順序,先根據風險評估檢閱。

以下是檢閱程式期間需要考慮的一些因素。

  • 設定: 目前是否已啟用或停用特定租用戶設定?
  • 許可權: 特定租用戶設定是否適用於整個組織? 還是特定安全組可以使用或拒絕

注意

默認會啟用某些租用戶設定,而其他則預設為停用。

您可以使用下列兩種方式之一編譯租用戶設定的目前狀態。

下表說明如何記錄租用戶設定的目前狀態。

上次檢閱日期 租用戶設定 目前值 允許的安全組 不允許安全組 委派給其他系統管理員的租用戶設定
2023年10月15日 建立工作區 為特定安全組啟用 Power BI 工作區建立者、Power BI 系統管理員、Power BI COE、Power BI 支援 N/A N/A
2023年10月15日 匯出至 Excel 針對整個組織啟用,但特定安全組除外 N/A 銷售團隊-歐洲 N/A
2023年11月1日 跨工作區使用語意模型 針對整個組織啟用 N/A N/A N/A
2023年11月1日 Certification 為特定安全組啟用 Power BI 認證 SME N/A 網域系統管理員可以啟用/停用
2023年11月5日 允許特定用戶開啟外部數據共用 為特定安全組啟用 Power BI 外部數據共用 N/A N/A

如需安全組的其他考慮,請參閱 規劃 Power BI 群組

如需允許租用戶設定狀態的詳細資訊,請參閱 如何使用租用戶設定

警告

有時候,當系統管理員監視租使用者時,他們發現的情況並不理想。 例如,他們可能會在用戶活動數據中看到太多數據導出。 在此實例中,系統管理員可能會想要停用相關的租用戶設定。 不過,在完全停用功能之前,請務必先瞭解用戶依賴特定技術的原因。 這是因為禁止功能可能會導致使用者沮喪,進而吸引使用者建立因應措施。 請考慮解決方案可能需要重新設計,或進一步的使用者教育和訓練可能會減輕疑慮。

步驟 2:決定租用戶設定

檢閱目前的租用戶設定之後,是時候檢查決策程式了。 針對每個租用戶設定,使用工作坊主動討論並判斷應允許或不允許哪些特性和功能,以及哪些使用者。

請記住,每個租用戶設定都代表治理決策。 因此,預期會與其他人共同作業,以達成正確的決定。 根據您的情況,決策程式可能涉及與COE、執行贊助者、安全性小組、BI小組或其他人員(例如專案關係人或冠軍)共同作業。

提示

其中一個最大的挑戰是決定當您遇到現有租用戶設定與目標與有目的決策之間不一致的情況時,該怎麼做。 準備好在遇到這些衝突時加以解決。

以下是決策過程中要考慮的一些因素。

  • 哪些治理決策已經存在? 可能的話,請參閱您所做的現有決策。 始終致力於保持一致且有效率。 此外,您必須注意內部或外部合規性需求。 適用時,租用戶設定應與更廣泛的治理原則一致。 例如,可能有一個目前的 治理原則 會指定組織外部共用數據的時機、人員及方式。
  • 神秘 做出新的治理決策嗎? 當您需要決定租用戶設定時,請讓交談中的所有相關對象參與其中。 通常,單靠網狀架構系統管理員並不適合做出租使用者設定的決策。 如需組合工作小組和執行研討會的相關信息,請參閱 BI 策略規劃
  • 決定是暫時的嗎? 有時候,租用戶設定只會在短時間內設定。 這通常是為了讓 COE、BI 和 IT 小組在在整個組織中更廣泛地發行之前,先熟悉新功能的時間。 如此一來,您就可以確認與治理指導方針的一致,而且使用者社群將受到很好的支援。
  • 不同的業務單位或團隊會以不同的方式處理嗎? 在較大的組織中,單一方法很少運作。 為了適應不同小組的需求和技能,有時候您可能需要為不同的物件設定不同的租用戶設定。 在治理指導方針中,一律允許有能力的團隊盡可能彈性地運作。
  • 是否有核准程式? 視特定主體而定,可能需要核准。 當租用戶設定與安全性或合規性相關時,尤其如此。
  • 重新檢閱每個決策的排程為何? 定期排程每個租用戶設定決策的檢閱。 每年兩次是這個目的的好排程。

下表說明您可以如何記錄決策。

決策日期 決策 參與的決策者 核准的決定 受影響的租用戶設定 暫止動作
2023年10月15日 COE 會針對建立和管理工作區的最佳做法,訓練核准的內容建立者。 核准的建立者可以來自任何業務單位。 COE 和項目關係人 埃利斯·特納(執行贊助商)和泰勒·菲力浦斯(COE領先) 建立工作區 檢閱 Power BI 工作區建立 群組的現有成員
2023年10月15日 允許導出至 Excel。 COE 會追蹤活動記錄中的動作,並連絡過度使用動作的使用者。 銷售團隊-歐洲的暫時限制存在,因為目前正在調查的問題。 COE 和安全性 埃利斯·特納(執行贊助商)和傑西·歐文(首席技術官) 匯出至 Excel 60 天內就歐洲問題進行後續追蹤
2023年11月1日 我們強烈建議使用共用語意模型來鼓勵數據重複使用、將數據尋址接收器降到最低,並減少數據重複。 Coe 埃利斯·特納(執行贊助商) 跨工作區使用語意模型 N/A
2023年11月1日 COE 會針對認證報表和數據資產的程式和需求,訓練核准的內容建立者。 核准的建立者可以來自任何業務單位。 COE 和項目關係人 埃利斯·特納(執行贊助商)和泰勒·菲力浦斯(COE領先) Certification 檢閱 Power BI 認證 SME 群組的現有成員
2023年11月5日 組織的數據共享原則涵蓋如何在組織外部共享數據。 所有用戶都必須每年檢閱並認可此原則。 來自 COE 的訓練可協助使用者在 Power BI 中運作時遵守規範。 COE、安全性和合規性 傑西·歐文(首席技術官) 允許特定用戶開啟外部數據共用 檢閱 Power BI 外部數據共用群組的現有成員

請考慮包含其他內容資訊,說明決策的原因。 此外,也包含現有相關文件或原則位置的連結。

注意

表格中顯示的範例刻意示範如何平衡使用者授權、合規性和內部需求。 如需其他考慮,請參閱 治理

步驟 3:更新租用戶設定

既然現有的租用戶設定和有目的的決策可供使用,您就可以更新租用戶設定。

更新程式期間的考慮包括:

  • 神秘 會處理更新嗎? 如果您有數個網狀架構系統管理員,最好一或兩個網狀架構系統管理員主要負責更新租用戶設定。 目標是確保程式一致、瞭解良好且控制良好。
  • 哪些測試程式已就緒? 視租用戶設定而定,變更時可能會有其他效果。 進行廣泛變更之前進行測試。 如需範例,請參閱 控制跨工作區的語意模型使用。
  • 是否有變更管理程式? 請考慮如何避免決策、文件和結果更新之間的差異。 小組之間的溝通是變更管理的關鍵成功因素。 根據您的稽核需求,您可以選擇維護內部變更記錄檔,以追蹤誰做了哪些變更、何時和原因(記錄活動記錄中 擷取的內容以外的更多詳細數據)。
  • 如何處理與用戶的通訊? 進行會影響用戶能夠執行的變更時,請務必 傳達 變更。 請務必避免用戶沮喪和不必要的支援要求。

步驟 4:檔租用戶設定

此時,請確定您已有可重複的方法可記錄租用戶設定值。 如需簡化的範例,請參閱上述步驟 1 中的表格,也就是檢閱租用戶設定。

以下是檔要考慮的一些層面。

  • 擷取快照集數據: 記錄租用戶設定值時,建議您定期建立新的時間點快照集。 為此,每周建立快照集一次是不錯的頻率。 使用取得租使用者 設定 REST API 將程式自動化。
  • 提供快照集數據的系統管理員存取權:管理員 istrators、COE 和內部稽核員應該可以存取所有快照集數據。 若要識別任何已變更的租用戶設定,請比較兩個快照集(例如,本周與上周相比)。 活動記錄中的數據可補充快照集數據,以完整瞭解變更的內容、時間與物件。 如需詳細資訊,請參閱下面的步驟 6,這是關於稽核租用戶設定。
  • 為使用者提供目前設定的摘要:租用戶設定值是一種檔類型,可在集中式入口網站提供給使用者社群使用。 例如,對於無法取得功能的使用者而言,這是一個有用的參考。 如果使用者想要使用功能,檔也可以協助使用者知道要要求加入的安全組。 若要減少手動工作層級,REST API 的最新快照集結果可以散發給使用者做為 Power BI 報表。 視您的需求而定,您可能需要將數據的快照集與手動維護的其他數據合併(例如租用戶設定的描述、設定的理由、其他信息的連結,或要求存取之窗體的連結)。

注意

如先前的步驟 2 所述,您也會有與決策程式相關的檔。 一般而言,該類型的檔僅適用於COE和系統管理員(而非所有Power BI使用者)。 如需簡化的範例,請參閱步驟 2。

步驟 5:管理租用戶設定

租用戶設定需要持續注意。 以下是需要考慮的一些層面。

  • 新的租用戶設定: 您如何知道何時有新的租用戶設定? 由於 Fabric 是持續演進的雲端服務,因此您可以預期會定期引進新的租用戶設定。 瞭解新租用戶設定的其中一種方式,是檢視 管理入口網站中租用戶設定頁面頂端所宣佈的訊息 。 另一種方式是比較您從目前快照集擷取的數據與先前的快照集(如步驟 4 所述)。
  • 現有租使用者設定的變更: 您如何知道現有租用戶設定的行為何時有所變更? 租用戶設定變更通常會在Power BI部落格網狀架構部落格中宣告。 請務必遵循這些部落格來瞭解任何通知。
  • 進行中的使用者要求: 您要如何管理使用者要求? 例如,想要 認證 內容的使用者知道提交要求,以成為允許它的特定安全組成員。 這是一個有效的工作流程,方法是發佈租用戶設定的檔供用戶參考(如上述步驟 4 所述)。 您可以選擇使用表單來收集這些類型的要求。 或者,您可以透過 技術支援中心路由傳送要求。
  • 新的安全組: 如果租用戶設定僅限於特定安全組,則適當的安全組是否已經存在? 還是需要建立新的安全組? 您如何協調在必要時建立新的安全組? 如需詳細資訊,請參閱 使用群組的策略。

步驟 6:稽核租用戶設定

最後,請務必定期稽核租用戶設定的程式。 以下是稽核租用戶設定時要識別的一些動作。

  • 租使用者設定已變更:使用 Updated 管理員 FeatureSwitch 活動,在活動記錄尋找已變更的值。 此活動只會指出已更新專案(無論是啟用或停用,還是已指派不同的安全組)。 若要瞭解變更的內容,您必須比較目前的快照集與先前的快照集(如步驟 4 所述)。
  • 引進了新的租用戶設定: 在管理入口網站中尋找 訊息 ,或比較您從目前快照集擷取的數據與先前的快照集(如步驟 4 所述)。
  • 群組成員資格已變更: 在某些情況下,可能不足以知道指派哪一個安全組。 您可能需要判斷安全組成員資格,其可組成個別用戶和服務主體。 您可以使用 Microsoft Graph 來來源群組成員資格數據。 如需詳細資訊,請參閱 使用者和群組數據

此外,您可能想要在租用戶設定已更新時收到警示通知。 您可以使用 Microsoft 365適用於雲端的 Microsoft Defender Apps 的稽核記錄警示功能,在租使用者設定變更時收到通知,以及使用 Updated 管理員 FeatureSwitch 稽核記錄事件。 如需啟用警示的詳細資訊,請參閱 租用戶層級稽核

檢查清單 – 規劃及管理租用戶設定時,關鍵決策和動作包括:

  • 檢閱所有目前的租用戶設定: 檢閱所有租用戶設定來判斷目前的狀態。 識別指派給每個設定的安全組。
  • 識別現有的原則和決策: 編譯現有的治理原則或先前的決策,使其可供使用。
  • 討論和決定: 排程研討會,以考慮並決定應允許或不允許哪些使用者,以及哪些使用者。 請確定所有決策都符合數據文化特性目標、治理指導方針和內部原則。 請務必讓所有相關決策者和項目關係人參與每個主題。 適當時取得其他核准。
  • 建立排程以重新檢閱決策: 設定排程,定期重新檢閱決策和租用戶設定(例如每年兩次)。
  • 進行更新: 根據研討會中所做的決策更新租用戶設定。
  • 使用 API 擷取快照集數據:使用取得租使用者 設定 REST API,讓程式更有效率,並可能以排程方式自動建立快照集。
  • 為使用者建立檔: 為您的使用者社群建立租用戶設定的檔。 將文件發佈至您的集中式入口網站。 包含用戶必須屬於存取功能或功能的安全組。
  • 建立處理使用者要求的程式: 設定程式,讓使用者如何要求存取功能或功能。
  • 設定定期管理租用戶設定的程式: 建立排程,以便儘快識別新的租用戶設定。
  • 設定稽核: 建立稽核程式,以便追蹤租用戶設定何時變更,以及由誰變更。

控管網域

在 Fabric 中使用網域,將具有類似特性的兩個或多個工作區分組在一起。 例如,您可以建立網域來將所有銷售工作區群組在一起,以及財務工作區的另一個網域。 網域代表單一管理界限。 網域的使用也有助於將工作區擁有權和管理責任分散到整個組織。

如需規劃網域的詳細資訊,請參閱 工作區網域

提示

本節所述的 Fabric 網域與 Microsoft 365 中的網域不同

步驟 1:檢閱網域

第一個步驟是檢閱現有的網域和租用戶環境,以便您瞭解目前的狀態。 以下是檢閱程式期間需要考慮的一些因素。

  • 網域: 如果有,哪些網域存在? 每個網域的名稱和描述是否清楚指出其用途?
  • 許可權:神秘 每個網域的網域管理員嗎? 神秘 每個網域的網域參與者 神秘? 所有指派的系統管理員和參與者是否都符合網域的預期用途?
  • 指派的工作區: 哪些工作區會指派給每個網域? 所有指派的工作區是否都符合網域的預期用途?
  • 委派的租用戶設定: 哪些租用戶設定已委派給網域管理員(或容量管理員),以便覆 默認設定?

步驟 2:決定網域

檢閱網域之後,是時候檢查決策程式了。

針對現有的工作區,請考慮如何將工作區分組在一起,以形成單一管理界限。 如需您可以組織相關工作區的詳細資訊和方式,請參閱 工作區網域

以下是決策過程中要考慮的一些因素。

  • 哪些治理決策已經存在? 可能的話,請參閱現有的決策。 針對工作區和網域設定,其一致且有效率。
  • 內容擁有權和管理有多分散? 請考慮整個組織目前的內容擁有權和管理方式。 有時候,分散式方法稱為 分散式同盟或數據 網格 架構。 在分析將工作區組織成網域的需求時,將該資訊納入考慮。
  • 哪些網域群組會正常運作? 有許多方法可將工作區分組為單一管理界限。 例如,您可以選擇依主旨區域、小組、業務單位或專案來組織網域。 請記住,工作區只能指派給一個網域。 如需詳細資訊,請參閱 工作區網域
  • 應該允許 神秘 管理每個網域? 在理想情況下, 網域系統管理員 是直接擁有和管理網域內容的使用者。 此外,網域系統管理員應該熟悉主題領域的內部、地區和政府法規。 他們也應該熟悉所有內部治理和安全性需求。
  • 神秘 將允許將工作區指派給網域? 網域 參與者角色 包含允許使用者將工作區指派給網域的使用者。 網域參與者也必須是工作區管理員,才能將工作區指派給網域。 請考慮您想要委派給組織中的自助使用者多少控制權。
  • 不同的網域會以不同的方式處理嗎? 在較大的組織中,某些網域可能會有不同的原則。 準備好根據不同小組的需求和技能來調整您的決策。 如需詳細資訊,請參閱 覆寫租用戶層級設定

步驟 3:更新網域

此時,您現有的網域設定和有目的的決策可供使用。 您現在已準備好新增、變更或移除網域(如有必要)。

請務必遵循現有的變更管理做法,並通知將受到任何變更影響的所有使用者。

步驟 4:檔網域

視您擁有的網域數目而定,您可以建立檔來增強系統管理入口網站中可用的資訊。 您的檔案可能包括:

  • 更多內容或詳細數據,例如網域用途,以及為何個別網域很有用。
  • 神秘 核准網域,以及何時。
  • 神秘 網域擁有者或管理員是 ,如果它與系統管理員入口網站中設定的網域系統管理員不同。
  • 與網域相關的任何其他合規性或法規需求。

步驟 5:管理網域

網域應該定期在管理入口網站檢閱。 每季,或每年兩次,應該很好地達到這個目的。

此外,請考慮如何管理想要建立新網域、變更現有網域或將工作區新增至網域的使用者要求。

步驟 6:稽核網域

您應該有定期稽核網域及其設定的程式。 以下是使用活動記錄來稽核網域時的一些動作。

  • 已建立新的網域:尋找 InsertDataDomainAs 管理員 活動。
  • 現有的網域已變更:尋找UpdateDataDomainAs 管理員 活動。
  • 工作區已指派給網域:尋找 UpdateDataDomainFoldersRelationsAs 管理員 活動。
  • 網域系統管理員或網域參與者已變更:尋找 UpdateDataDomainAccessAs 管理員 活動。

檢查清單 - 規劃和管理網域時,關鍵決策和動作包括:

  • 檢閱目前的網域: 檢閱管理入口網站中的所有網域,以判斷目前的狀態。
  • 討論並決定: 判斷哪些網域群組最適合符合您的需求。 考慮如何管理網域時,涉及相關的決策者和項目關係人。
  • 確認是否需要核准: 判斷建立新網域時,是否應該有程式從其他人取得核准。
  • 建立重新檢閱的排程: 設定排程以定期重新檢閱網域。
  • 進行更新: 在出現新需求時更新網域。
  • 建立檔: 如果您需要記錄其他資訊,請為您的網域建立檔。
  • 建立處理使用者要求的程式: 設定使用者如何要求新網域的程式。
  • 設定稽核: 建立稽核程式,以便追蹤新網域的建立時間,或何時發生變更。

控管工作區

工作區是 Fabric 中的基本概念。 工作區可作為儲存和保護內容的容器。 主要是工作區是專為內容建立、共同作業和內容發佈而設計。

管理 入口網站中的工作區頁面 可讓網狀架構系統管理員檢閱和管理租使用者中的所有工作區。

以下是網狀架構系統管理員可能參與管理工作區的幾個原因。

  • 取得標準工作區的存取權。 例如,當內容的主要擁有者在休假時,網狀架構系統管理員可能需要協助處理情況(例如數據重新整理失敗)。 在此情況下,他們必須自行指派給工作區角色。
  • 取得個人工作區的暫時存取權。 網狀架構系統管理員可以存取其他用戶的個人工作區,但只能存取 24 小時。 當工作區擁有者離開組織或休假時,暫時存取個人工作區會很有説明。
  • 管理工作區角色。 網狀架構系統管理員有權管理租使用者中所有工作區的工作區角色。 當集中式小組管理工作區存取權時,這很有説明。 當工作區處於孤立狀態(表示沒有工作區管理員)因僱用終止或轉移而發生時,也很有説明。
  • 重新指派工作區。 若要解除鎖定其他功能,有時需要更新工作區的工作區 授權模式 。 例如,網狀架構管理員可以將工作區從 Pro進階版 變更為容量。
  • 判斷工作區的類型。 網狀架構管理員可以檢閱 指派工作區的SKU層 。 例如,系統管理員可以快速判斷目前指派給 PPU 的租使用者中有四個工作區。
  • 找出和/或復原已刪除的工作區。 工作區 狀態 可以指出工作區已刪除。 在短暫的期間內,如果工作區遭到錯誤刪除,網狀架構管理員可以還原工作區。 或者,他們可以 將已刪除的個人工作區還原為標準工作區 。 如需詳細資訊,請參閱 工作區保留
  • 更新工作區名稱。 網狀架構管理員可以重新命名工作區,可能是因為它的名稱不符合已建立 的命名慣例

注意

管理工作區的參與程度取決於指派給網狀架構系統管理員的角色和責任。 您的內容擁有權和管理策略也會影響網狀架構系統管理員參與工作區管理的程度。

步驟 1:檢閱工作區

第一個步驟是檢閱現有的工作區和租用戶環境,以便您瞭解目前的狀態。 以下是檢閱程式期間需要考慮的一些因素。

  • 目前的工作區: 檢閱目前存在的所有工作區。 您也應該檢閱每個工作區的角色指派和設定,以確保其適當。
  • 目前的租用戶設定:檢閱 [建立工作區租使用者] 設定的目前設定。

有兩種方式可以編譯目前工作區的清單。

  • 在管理入口網站檢視工作區清單。 清單可以匯出至 CSV 檔案。
  • 使用系統管理 API,以程序設計方式擷取租使用者清查
    • 元數據掃描 API(也稱為掃描器 API)。 這組 API 可讓您以異步方式尋找已變更的工作區。 因為它能夠以累加方式擷取變更的工作區,因此最適合具有大量工作區的大型組織。 如需詳細資訊,請參閱 元數據掃描 API
    • 取得群組為 管理員 REST API 或 Get-PowerBIWorkspace PowerShell Cmdlet。 這些方法會傳回租使用者中所有工作區的數據,因此最適合具有較低數據磁碟區的較小組織。 如需詳細資訊,請參閱 群組 API 或工作區 Cmdlet

步驟 2:決定工作區

檢閱工作區之後,是時候檢查決策程式了。

以下是決策過程中要考慮的一些因素。

  • 哪些治理決策已經存在? 可能的話,請參閱現有的 工作區治理 決策。 目的是讓工作區設定保持一致且有效率。
  • 應該允許 神秘 建立工作區? 請考慮工作區建立許可權是數據文化特性和治理決策。
  • 是否應該有建立工作區的特定程式? 請務必建立 工作區建立程式 ,方便使用者遵循。
  • 如何命名工作區? 判斷工作區命名慣例是否有利於組織。
  • 如何組織工作區? 依主旨和範圍來組織工作區通常很有用。 將內容組織到工作區的方法可能會因部門而異。
  • 個人工作區中包含多少內容? 請考慮組織內適當使用個人工作區的內容
  • 神秘 應該可以存取工作區嗎? 您應該主要限制 工作區存取 權給建立和管理內容的使用者。 如需詳細資訊,請參閱 內容建立者安全性規劃

如需進一步考慮,請參閱租用戶層級工作區規劃和工作區層級工作區規劃

步驟 3:更新工作區

此時,您現有的工作區和有目的的決策可供使用。 如果您發現工作區已重新命名或重新組織,您現在已準備好進行任何必要的調整。

更新程式期間的考慮包括:

  • 神秘 會處理更新嗎? 如果您有數個網狀架構系統管理員,請判斷工作區是由一或兩個特定系統管理員所管理。 請確定程式一致、瞭解良好且受到妥善控制。
  • 是否有變更管理程式? 請考慮如何避免決策、文件和結果更新之間的差異。 小組之間的溝通是變更管理的關鍵成功因素。 根據您的稽核需求,您可以選擇維護內部變更記錄檔,以追蹤誰做了哪些變更、何時和原因(記錄活動記錄中 擷取的內容以外的更多詳細數據)。
  • 如何處理與用戶的通訊? 進行會影響用戶能夠執行的變更時,請務必 傳達 變更。 請務必避免用戶沮喪和不必要的支援要求。

步驟 4:檔工作區

視您擁有的工作區數目而定,您可能會建立檔,以增強從系統管理入口網站或 REST API 取得的資訊。 這種類型的檔是租使用者清查的重要部分。 您的檔案可能包括:

  • 更多內容或詳細數據,例如工作區的預期用途(如果工作區描述中尚未提及的話)。
  • 神秘 核准工作區,以及何時。
  • 如果擁有者與工作區系統管理員不同,則 神秘 指派為工作區擁有者。
  • 與工作區中儲存之內容相關的合規性或法規需求。
  • 工作區是否包含特別敏感的資訊。
  • 工作區的治理需求。
  • 適用於工作區的生命週期管理程式。

步驟 5:管理工作區

持續管理工作區主要涉及:

  • 建立新的工作區。
  • 更新工作區元數據(例如名稱或描述)。
  • 更新工作區角色。
  • 復原已刪除的工作區。
  • 重新指派工作區(例如,從 Pro 指派至 PPU)。
  • 管理 [ 建立工作區 租使用者] 設定。

視角色和責任而定,次要系統管理員活動可能包括:

  • 將內容(例如語意模型或報表)發佈至工作區。
  • 針對與現有工作區內容相關的問題進行疑難解答。

重要

網狀架構系統管理員角色是可以執行許多 高階功能的高許可權角色。 值得注意的是,角色不會自動授與租使用者中所有數據的存取權。 不過,因為系統管理員有權管理租使用者中的工作區,所以他們可以將存取權(透過工作區角色)授與其他使用者,包括自己。

步驟 6:稽核工作區

您應該有定期稽核工作區的程式。 以下是使用活動記錄來稽核工作區時所要識別的一些動作。

  • [建立工作區租使用者] 設定已變更:使用 Updated 管理員 FeatureSwitch 活動,尋找活動記錄中已變更的租用戶設定值。 專案名稱將會是 CreateAppWorkspaces
  • 網狀架構系統管理員已取得用戶個人工作區的存取權:尋找 Add 管理員 PersonalWorkspaceAccess 活動。 工作區名稱的格式 為 PersonalWorkspace-NameOfUser。 當系統自動撤銷存取權時,不會記錄任何活動,這會在24小時後發生。
  • 已建立新的工作區: 尋找 CreateFolder 活動。
  • 現有的工作區已變更: 尋找 UpdateFolder 活動。
  • 工作區的存取權已變更: 尋找 UpdateWorkspaceAccess 活動或 UpdateFolderAccess 活動。
  • 已重新指派工作區: 尋找 MigrateWorkspaceIntoCapacity 活動。
  • 工作區已指派給網域:尋找 UpdateDataDomainFoldersRelationsAs 管理員 活動。

提示

除了使用活動記錄之外,建議您定期建立租使用者清查。 這是快照集,從時間點開始,它會描述所有工作區及其內容(例如語意模型和報表)。 它也可以擷取工作區存取的詳細數據。 如需詳細資訊,請參閱租使用者清查和租使用者清查數據的存取。

檢查清單 - 規劃和管理工作區時,關鍵決策和動作包括:

  • 檢閱目前的工作區: 檢閱管理入口網站中的所有工作區和相關租用戶設定,以判斷目前的狀態。
  • 討論並決定: 決定如何控管和管理工作區。 在決定允許誰管理工作區時,涉及相關的決策者和項目關係人。
  • 確認是否需要核准: 判斷程式是否應該存在,以在建立新的工作區時從其他人取得核准。
  • 建立重新檢閱的排程: 設定排程以定期重新檢閱工作區。
  • 進行更新: 更新工作區,包括新需求時的角色指派。
  • 建立檔: 如果您需要追蹤補充資訊,請為您的工作區建立檔。
  • 建立處理使用者要求的程式: 設定使用者如何要求新工作區的程式。
  • 設定稽核: 建立稽核程式,以便追蹤何時建立新的工作區,或何時發生變更。

控管內嵌程序代碼

當您使用 [ 發佈至 Web ] 功能時,Power BI 會產生內 嵌程序代碼。 內嵌程式代碼可用來在因特網上提供給任何人的網頁上內嵌報表。 這項功能適用於特定用途:它主要用於數據新聞或包含匿名物件可檢視之公用數據的報表,而不需要驗證。

定期檢閱和管理 內嵌程式代碼 是網狀架構系統管理員的主要責任。 這是一項特別重要的責任,因為它涉及驗證已在因特網上公開發佈的報告。

警告

有些系統管理員錯誤地認為內部應用程式或內部網路網站是內嵌發佈至 Web 報表的安全位置。 我們強烈建議您以這種方式使用這項技術,因為不論您內嵌於何處,都可以透過搜尋引擎探索透過 發佈至 Web 的報表。 為內部物件內嵌 Power BI 內容的適當做法是使用 API 內 嵌功能,或使用 無程式代碼內嵌 技術。 如需詳細資訊,請參閱 為您的組織 使用案例進行內嵌。

步驟 1:檢閱內嵌程序代碼

第一個步驟是檢閱現有的內嵌程式代碼和租用戶環境,以便您瞭解目前的狀態。 以下是檢閱程式期間需要考慮的一些因素。

步驟 2:決定內嵌程序代碼

檢閱內嵌程式代碼之後,是時候檢查決策程式了。 參與相關決策者和項目關係人討論哪些內容,如果有的話,可以發佈到網路。

也決定哪些用戶能夠將報表發佈至 Web。 當治理原則或安全策略存在時,請儘可能參考它。

重要

強烈建議您為一組非常有限的使用者啟用 [發佈至 Web 租使用者] 設定。 由於不小心發佈包含敏感數據的報表的風險很高,請考慮不允許或限制內容建立者發佈至 Web。

步驟 3:更新內嵌程序代碼

此時,您現有的內嵌程序代碼和有目的的決策可供使用。 您現在已準備好對現有的內嵌程式代碼進行暫時或永久變更。

若要判斷需要哪些更新,您可能需要進行一些進一步的研究。

  • 檢閱具有作用中內嵌程序代碼的所有報告,以確認沒有不適當的信息發佈至 Web。 也請確認基礎語意模型不包含機密或專屬資訊。
  • 請連絡發佈報表的使用者,以釐清其用途。
  • 請與內容擁有者合作,視需要將內容重新放置到適合目的的非個人工作區。 請考慮使用明確指出其包含公開可用內容的工作區。 例如, Finance Reporting [Public] 工作區名稱清楚地指出其用途。
  • 檢閱 指派給內容的敏感度標籤 。 確認敏感度標籤指出目標對像是公用物件。

步驟 4:檔內嵌程序代碼

視您的情況而定,您可能會建立一些檔,以補充系統管理入口網站中可用的資訊。 您的檔案可能包括:

  • 更多內容和詳細數據,例如目的、預定物件和理由。
  • 神秘 核准要公開發佈的內容,以及何時發佈。
  • 內容擁有者 神秘,如果它與發佈內容的使用者不同。

步驟 5:管理內嵌程序代碼

內嵌程式代碼應該定期在管理入口網站監視。 此外,請考慮如何管理想要將報表發佈至 Web 的使用者要求。

注意

並非所有報表 支援與發佈至 Web 搭配使用。 使用者可能會有 與使用此功能相關的支持 問題。

步驟 6:稽核內嵌程序代碼

請務必定期稽核內嵌程序代碼。 以下是使用活動記錄稽核內嵌程式代碼時所要識別的一些動作。

  • 已建立新的內嵌程式代碼: 尋找 PublishToWebReport 活動。
  • [發佈至 Web 租使用者] 設定已變更:使用 Updated 管理員 FeatureSwitch 活動,尋找活動記錄中已變更的租用戶設定值。 項目名稱會是 PublishToWeb

檢查清單 - 規劃及管理內嵌程式代碼時,關鍵決策和動作包括:

  • 檢閱目前的內嵌程式代碼: 檢閱管理入口網站中的所有內嵌程序代碼,以判斷目前的狀態。
  • 檢閱目前的租用戶設定:檢閱 [發佈至 Web 租使用者] 設定的設定。
  • 討論並決定: 判斷哪些內容,如果有的話,可以公開發佈哪些內容,以及由哪些用戶發佈。 適當時涉及相關的決策者和利害關係人。 可能的話,請參閱現有的治理原則。
  • 確認是否需要核准: 判斷將報表發佈至 Web 時,是否應該有程式可從其他人取得核准。
  • 建立重新檢閱的排程: 設定排程以定期重新檢閱內嵌程序代碼。
  • 進行更新: 視需要更新目前的內嵌程序代碼。 根據所做的決策更新 [發佈至 Web 租使用者] 設定(如果他們與目前發佈的內容不同)。
  • 建立檔: 如果您需要追蹤補充資訊,請建立內嵌程式代碼的檔。
  • 建立處理使用者要求的程式: 設定使用者如何要求將報表發佈至 Web 的程式,或有權將自己的報表發佈至 Web。
  • 設定稽核:建立稽核程式,以便追蹤何時建立新的內嵌程序代碼,以及發佈至 Web 租使用者設定已變更的時間

控管組織視覺效果

Power BI 報表建立者可以在Power BI報表設計中使用數種類型的視覺效果。

  • 核心視覺效果:Power BI Desktop 和 Power BI 服務 內建的預設現成視覺效果。
  • 來自 AppSource 的非認證自定義視覺效果: 由全球 Power BI 社群的第三方軟體廠商或成員開發的自定義視覺效果。
  • 來自 AppSource 的認證自定義視覺效果: 由全球 Power BI 社群的第三方軟體廠商或成員所開發的自定義視覺效果,以及通過 Microsoft 所定義的認證程式

組織可以選擇藉由註冊允許哪些特定視覺效果(和版本)來限制自定義視覺效果的使用(當報表發佈至 Power BI 服務 時)。 允許的視覺效果稱為組織視覺效果

網狀架構系統管理員負責在系統管理中心註冊和管理組織視覺效果。 他們可以註冊:

註冊組織視覺效果有許多優點。

  • 所有報表建立者的視覺效果窗格中會自動提供部分或全部自定義視覺效果。
  • 內容建立者不需要匯入 Power BI 視覺效果 (.pbiviz) 檔案。
  • 所有報表的自定義視覺效果版本都一致。
  • 報表和儀錶板會在組織視覺效果更新時自動更新。
  • 新的和變更的自定義視覺效果可以有條不紊地測試並預先核准,然後才廣泛提供給組織使用。
  • 如果現有的自定義視覺效果不再符合組織的需求,則可以快速停用或刪除。

如需在使用者裝置上發佈自定義視覺效果的詳細資訊(用於Power BI Desktop),請參閱 自定義視覺效果

本節的其餘部分著重於管理組織視覺效果。

步驟 1:檢閱組織視覺效果

第一個步驟是檢閱現有的組織視覺效果和租用戶環境,以便您瞭解目前的狀態。

  • 目前的組織視覺效果:檢閱已新增至組織視覺效果存放庫自定義視覺效果。
  • 目前的租用戶設定:檢閱Power BI視覺效果租用戶的設定

步驟 2:決定組織視覺效果

檢閱組織視覺效果之後,是時候檢查決策程式了。 您應該準備好針對如何控管自定義視覺效果做出仔細考慮的決策。

以下是決策過程中要考慮的一些問題。

  • 組織是否允許自定義視覺效果? 在依賴自定義視覺效果時,組織可能會選擇刻意使用數個原因。
    • 品質與穩定性的期望會根據開發自定義視覺效果的人員而有所不同。
    • 免費可用的自定義視覺效果可能沒有技術支援。
    • 對於具有重大數據隱私權考慮或對數據外洩考慮非常敏感的組織,使用自定義視覺效果可能與其風險配置檔不相容。 這是因為自定義視覺效果可以存取從語意模型查詢的數據。 此外,自定義視覺效果可能會將數據傳輸回 Web 服務(通常是基於合法目的,例如呼叫 API 或執行 AI 演算法)。
  • 如何驗證及核准自定義視覺效果以供使用? 所有自定義視覺效果都應該經過測試和預先核准,以供組織使用。 此驗證程式可降低使用不受信任視覺效果的風險。 它也允許系統管理員指定已測試並核准使用的版本。
  • 神秘 允許使用自定義視覺效果嗎? [允許使用 Power BI SDK 租使用者建立的視覺效果] 設定可控制允許新增、共用或與自定義視覺效果互動的人員。 如果組織已決定限制或限制這項功能(從 AppSource 或匯入的 .pbiviz 檔案),則您可能會依賴組織視覺效果作為允許特定自定義視覺效果的方式。
  • 是否需要經過認證的視覺效果? 如果允許AppSource,某些組織偏好將它限認證視覺效果。 這可藉由設定 [新增] 並使用僅限 經認證的視覺效果租用戶設定來完成。 在此情況下,您可以使用組織視覺效果來散發已核准供組織使用的未認證視覺效果。
  • 應該集中管理自定義視覺效果嗎? 當個別報表建立者從 AppSource 下載視覺效果時,可能會有不相符的版本問題。 藉由使用組織視覺效果存放庫集中管理自定義視覺效果,讓報表建立者的程式更簡單,因為它允許租用戶內的所有Power BI報表建立者使用相同的核准版本。 不過,它確實需要網狀架構系統管理員介入,這可能會導致延遲。
  • 允許哪些來源? 組織視覺效果可以來自 AppSource 或 .pbiviz 檔案。 AppSource 通常是最佳來源,特別是當您想要使用 經認證的視覺效果時。 從廠商私下取得視覺效果,或是在內部開發時,適合使用 .pbiviz 檔案。
  • 自定義視覺效果何時應該出現在 [視覺效果] 窗格中? 在許多情況下,允許自定義視覺效果出現在 [視覺效果] 窗格中,讓所有報表建立者都能自動使用。

步驟 3:更新組織視覺效果

此時,您現有的組織視覺效果和有目的的決策可供使用。 您現在已準備好對現有的組織視覺效果進行暫時或永久變更。

您可能也需要修改與自定義視覺效果相關的租用戶設定(如果允許報表建立者下載並安裝不在組織視覺效果存放庫中的自定義視覺效果)。

注意

與自定義視覺效果相關的租用戶設定僅適用於已發佈的報表,不適用於Power BI Desktop中的報表。 若要確保報表建立者在 Power BI 服務 和 Power BI Desktop 中都有一致的自定義視覺效果選項,您必須使用組策略管理本機計算機海關視覺效果(適用於 Power BI Desktop)。 如需詳細資訊,請參閱 使用者工具和裝置

步驟 4:記錄組織視覺效果

根據您的情況,您可能會建立一些檔,以補充系統管理入口網站中可用的資訊。 您的檔案可能包括:

  • 更多內容和詳細數據,例如自定義視覺效果完成的工作。
  • 神秘 建立自定義視覺效果(例如內部開發人員或廠商),或連絡人員以取得詳細資訊。
  • 已執行以驗證視覺效果的測試,以便在更新視覺效果時重複測試。
  • 神秘 核准使用自定義視覺效果,以及何時使用。

步驟 5:管理組織視覺效果

組織視覺效果應該定期在管理入口網站加以監視。 此外,請考慮如何管理想要使用在線新自定義視覺效果的使用者要求。

有時候,您也應該檢閱每個自定義視覺效果上次更新的時間。 調查是否有較新版本可供使用。 當有較新版本可用時,您可以更新組織視覺效果,前提是它通過測試。

步驟 6:稽核組織視覺效果

請務必定期稽核組織視覺效果的程式。 以下是使用活動記錄來稽核組織視覺效果時所要識別的一些動作。

  • 已新增組織視覺效果: 尋找 InsertOrganizationalGalleryItem 活動。
  • 已更新現有的組織視覺效果: 尋找 UpdateOrganizationalGalleryItem 活動。
  • [允許使用 Power BI SDK 租使用者建立的視覺效果] 設定已變更:使用 Updated 管理員 FeatureSwitch 活動尋找活動記錄中已變更的租用戶設定值。 項目名稱會是 CustomVisualsTenant
  • [僅新增及使用認證視覺效果][封鎖未認證] 租使用者設定已變更:使用 Updated 管理員 FeatureSwitch 活動,在活動記錄中尋找已變更的租使用者設定值。 專案名稱將會是 CertifiedCustomVisualsTenant

檢查清單 – 規劃及管理組織視覺效果時,關鍵決策和動作包括:

  • 檢閱目前的組織視覺效果: 檢閱管理入口網站中的所有組織視覺效果,以判斷目前的狀態。
  • 檢閱目前的租用戶設定: 檢閱每個 Power BI視覺效果租用戶 設定。 判斷它們如何影響您對組織視覺效果的依賴。
  • 討論並決定: 決定應該如何在組織中使用自定義視覺效果,以及由誰使用。 考慮如何使用組織視覺效果、AppSource 和 .pbiviz 檔案時,涉及相關的決策者和項目關係人。
  • 建立重新檢閱的排程: 設定排程以定期重新檢閱組織視覺效果。
  • 進行更新: 視需要更新目前的組織視覺效果。 根據做出的決策來更新Power BI視覺效果租用戶設定(如果他們與目前發佈的內容不同)。
  • 管理使用者計算機:設定組策略,以確保自定義視覺效果在Power BI Desktop中管理的方式與 Power BI 服務相同。
  • 建立檔: 如果您需要追蹤補充資訊,請建立組織視覺效果的檔。
  • 建立處理使用者要求的程式: 設定使用者如何要求使用自定義視覺效果的程式(一般)或要求存取特定自定義視覺效果。
  • 設定稽核: 建立稽核程式,以便追蹤新的自定義視覺效果註冊為組織視覺效果,以及當任何 Power BI 視覺效果 租使用者設定變更時。

控管 Azure 連線

Power BI 可以與 Azure 服務整合,以擴充功能並提供其他功能。 使用 Azure 連線有三個主要原因。

  • 數據流的數據記憶體(Gen1)。 您可以直接在 Azure 中存取 Power BI 數據流 (Gen1) 的數據。 工作區可以連線至租用戶層級定義的記憶體帳戶,或聯機到工作區專屬的記憶體帳戶。 這項技術有時稱為自備湖(BYOL)。 當您想要藉由允許其他進程或其他用戶檢視或存取數據,來重複使用 Power BI 以外的數據流數據時,BYOL 策略的彈性很有説明。 如需詳細資訊,請參閱設定數據流記憶體以使用 Azure Data Lake 儲存體 Gen2自助式數據準備使用案例。

  • 語意模型備份和還原。 您可能需要針對災害復原目的備份和還原語意模型、符合數據保留需求,或移轉數據模型。 如需詳細資訊,請參閱使用Power BI進階版 備份和還原語意模型。

  • Azure Log Analytics 整合。 您可以分析語意模型活動、效能和趨勢。 Log Analytics 整合可讓您檢閱 Analysis Services 引擎所產生的診斷數據(裝載 Power BI 語意模型)。 如需詳細資訊,請參閱 數據集事件記錄檔。

    注意

    數據集名稱變更已在 Power BI 服務 和檔中推出,不過可能有一些實例,例如事件記錄作業,但變更尚未發生。

如果您使用 Azure 連線的主要使用案例是用於資料記憶體(上述第一點所述的 BYOL),建議您改為考慮使用 數據流 Gen2OneLake 。 雖然兩者都使用ADLS Gen2來儲存數據,但它們提供不同的功能、有稍微不同的用途,以及使用不同的記憶體選項(視數據的寫入方式而定)。 例如:OneLake 會以開放式 Delta Parquet 格式儲存表格式數據和數據流 Gen2 數據,而 Power BI 數據流的輸出 則以 通用數據模型格式儲存數據。 如需詳細資訊,請參閱 從數據流第 1 代到第 2 代的取得。

本節的其餘部分著重於管理管理入口網站中的 Azure 連線。

步驟 1:檢閱 Azure 連線

第一個步驟是檢閱現有的 Azure 連線和租用戶環境,以便您瞭解目前的狀態。 有兩個領域需要檢閱。

首先,檢閱管理入口網站中的現有設定。

  • 目前的租用戶層級記憶體設定:檢閱租用戶層級記憶體目前設定的方式。 它提供預設的 Azure 連線,讓工作區系統管理員可以選擇在其工作區設定內連線。
  • 目前的工作區層級記憶體許可權: 檢閱是否 啟用工作區層級記憶體許可權 。 啟用時,允許工作區系統管理員將工作區連線到自己的ADLS Gen2帳戶。

其次,請檢閱工作區系統管理員租用戶設定的 Azure Log Analytics 連線設定 啟用時,它可讓工作區系統管理員將工作區連線到ADLS Gen2帳戶,以便傳送語意模型的診斷數據。

步驟 2:決定 Azure 連線

檢閱 Azure 連線之後,是時候檢查決策程式了。

以下是決策過程中要考慮的一些問題。

  • Azure 連線的使用是否符合您的數據策略和使用者需求? 請考慮 Azure 連線是否對數據流的記憶體很有用(Gen1)。 判斷您是否有使用語意模型備份和還原功能的需求。 請考慮是否需要 Azure Log Analytics 整合。
  • 什麼是集中式數據記憶體與分散式? 了解分散式小組的需求,以及個人或部門目前是否維護自己的 Azure 儲存體 帳戶。 判斷是否允許工作區系統管理員連線自己的ADLS Gen2帳戶,或您是否想要對所有工作區使用一個ADLS Gen2帳戶(租用戶層級記憶體)。
  • 如何使用 OneLake 與 Azure 連線? 隨著 OneLake引進,請考慮您是否可以選擇逐漸移至使用 OneLake 進行數據儲存區 (BYOL)。

如需詳細資訊,請參閱 工作區與 ADLS Gen2 整合。

如需詳細資訊,請參閱 工作區與 Azure Log Analytics 整合。

步驟 3:更新 Azure 連線

此時,您現有的 Azure 連線可供使用,而且您已針對是否打算整合 Data Lake 與 Power BI 做出有目的的決策。 您現在已準備好根據調查結果來調整設定。

步驟 4:記錄 Azure 連線

根據您的情況,您應該建立一些檔,以補充系統管理入口網站中可用的資訊。 您的檔案可能包含:

  • 已核准供使用之租用戶層級的數據湖位置。 包含擁有和管理數據湖的人員,以及要連絡的人員以取得詳細資訊。
  • 工作區層級的數據湖是否可以整合。 其他資訊,例如做出的關鍵決策和原因,應該記錄以供日後參考。

步驟 5:管理 Azure 連線

系統管理入口網站應不時監視 Azure 連線。

請考慮如何在組織中支援多個 ADLS Gen2 帳戶(如果允許工作區層級的 Azure 連線)。

此外,請考慮如何管理想要將工作區連線至 Azure Log Analytics 的使用者要求。

步驟 6:稽核 Azure 連線

請務必定期稽核 Azure 連線的程式。 使用活動記錄來稽核 Azure 連線時,有數個動作可識別。

  • 工作區已連線到 ADLS Gen2: 尋找 AddLinkToExternalResource 活動。 ResourceType 會指出其為記憶體帳戶或 Log Analytics。
  • 工作區已與 ADLS Gen2 中斷連線: 尋找 DeleteLinkToExternalResource 活動。 ResourceType 會指出其為記憶體帳戶或 Log Analytics。
  • 已啟用或停用租用戶層級記憶體: 使用 AddExternalResourceDeleteLinkToExternalResource 活動,在活動記錄中尋找已變更的值。
  • 已啟用或停用工作區層級記憶體:使用 Updated 管理員 FeatureSwitch 活動,在活動記錄中尋找已變更的值。 項目名稱會是 storageAccountAttachForWorkspace 管理員 sEnabledSwitchState 會是 true 或 false。
  • 工作區系統管理員租使用者的 Azure Log Analytics 連線已變更:此租使用者設定可讓部分或所有工作區系統管理員整合自己的 ADLS Gen2 帳戶。 使用 Updated 管理員 FeatureSwitch 活動,在活動記錄中尋找已變更的租用戶設定值。 項目名稱會是LogAnalyticsAttachForWorkspace 管理員 s

檢查清單 - 規劃和管理 Azure 連線時,關鍵決策和動作包括:

  • 檢閱目前的 Azure 連線: 檢閱管理入口網站中 Azure 連線的租用戶層級和工作區層級設定,以判斷目前的狀態。 另請檢閱工作區系統管理員租用戶設定的 Azure Log Analytics 連線設定。
  • 討論並決定: 決定是否要整合 Azure 連線與 Power BI。 接下來,決定您最適合用於 OneLake 與 Azure 連線的數據記憶體 (BYOL)。
  • 確認是否需要核准: 判斷程式是否應該存在,以取得使用工作區層級記憶體帳戶的核准。
  • 建立重新檢閱的排程: 設定排程以定期重新檢閱 Azure 連線。
  • 進行更新: 視需要更新目前的 Azure 連線,以修改租用戶層級和工作區層級的記憶體許可權。 此外,也會根據做出的決策來更新 工作區系統管理員 租使用者的 Azure Log Analytics 連線設定(如果他們與目前設定的內容不同)。
  • 建立檔: 如果您需要追蹤補充資訊,請建立 Azure 連線的檔。
  • 建立處理使用者要求的程式: 設定使用者如何要求能夠使用 Azure 連線的程式。
  • 設定稽核: 建立稽核程式,以便監視工作區何時設定 Azure 連線,或設定變更時。

稽核 Power BI 的使用方式

租用戶層級的稽核數據可讓您分析採用工作、瞭解使用模式、教育使用者、支持使用者、降低風險、改善合規性、管理授權成本,以及監視效能。 請務必儘早擷取和儲存Power BI稽核數據,即使目前還沒準備好分析數據也一樣。

如需在Power BI 中稽核用戶、活動和解決方案的相關信息,請參閱 租用戶層級稽核

監視 Power BI 服務

監視是指持續的活動,可通知您發生了什麼事。 監視通常是涉及警示和自動化的被動活動,但有時會主動完成。

如需監視Power BI的相關信息,請參閱 租用戶層級監視

相關內容

如需更多考慮、動作、決策準則和指引,以協助您進行Power BI實作決策,請參閱 Power BI實作規劃