Modelo de permissão
O Microsoft Fabric tem um modelo de permissão flexível que permite controlar o acesso aos dados em sua organização. Este artigo explica os diferentes tipos de permissões no Fabric e como elas funcionam juntas para controlar o acesso aos dados em sua organização.
Um espaço de trabalho é uma entidade lógica para agrupar itens na Malha. As funções de espaço de trabalho definem permissões de acesso para espaços de trabalho. Embora os itens sejam armazenados em um espaço de trabalho, eles podem ser compartilhados com outros usuários no Fabric. Ao compartilhar itens de malha, você pode decidir quais permissões conceder ao usuário com quem está compartilhando o item. Certos itens, como relatórios do Power BI, permitem um controle ainda mais granular dos dados. Os relatórios podem ser configurados para que, dependendo de suas permissões, os usuários que os visualizam vejam apenas uma parte dos dados que possuem.
Funções do espaço de trabalho
As funções de espaço de trabalho são usadas para controlar o acesso a espaços de trabalho e o conteúdo dentro deles. Um administrador de malha pode atribuir funções de espaço de trabalho a usuários ou grupos individuais. As funções do espaço de trabalho estão confinadas a um espaço de trabalho específico e não se aplicam a outros espaços de trabalho, à capacidade em que o espaço de trabalho está ou ao locatário.
Há quatro funções de espaço de trabalho e elas se aplicam a todos os itens dentro do espaço de trabalho. Os usuários que não têm nenhuma dessas funções, não podem acessar o espaço de trabalho. As funções são:
Visualizador - Pode visualizar todo o conteúdo no espaço de trabalho, mas não pode modificá-lo.
Colaborador - Pode visualizar e modificar todo o conteúdo no espaço de trabalho.
Membro - Pode visualizar, modificar e compartilhar todo o conteúdo no espaço de trabalho.
Admin - Pode visualizar, modificar, compartilhar e gerenciar todo o conteúdo no espaço de trabalho, incluindo o gerenciamento de permissões.
Esta tabela mostra um pequeno conjunto de recursos que cada função tem. Para obter uma lista completa e mais detalhada, consulte Funções do espaço de trabalho Microsoft Fabric.
| Funcionalidade | Administrador | Membro | Contribuinte | Visualizador |
|---|---|---|---|---|
| Excluir o espaço de trabalho | ✅ | ❌ | ❌ | ❌ |
| Adicionar administradores | ✅ | ❌ | ❌ | ❌ |
| Adicionar membros | ✅ | ✅ | ❌ | ❌ |
| Escrever dados | ✅ | ✅ | ✅ | ❌ |
| Criar itens | ✅ | ✅ | ✅ | ❌ |
| Ler dados | ✅ | ✅ | ✅ | ✅ |
Permissões de item
As permissões de item são usadas para controlar o acesso a itens individuais do Fabric em um espaço de trabalho. As permissões de item são limitadas a um item específico e não se aplicam a outros itens. Use permissões de item para controlar quem pode exibir, modificar e gerenciar itens individuais em um espaço de trabalho. Você pode usar permissões de item para conceder a um usuário acesso a um único item em um espaço de trabalho ao qual ele não tem acesso.
Ao compartilhar o item com um usuário ou grupo, você pode configurar as permissões do item. O compartilhamento de um item concede ao usuário a permissão de leitura para esse item por padrão. As permissões de leitura permitem que os usuários vejam os metadados desse item e visualizem todos os relatórios associados a ele. No entanto, as permissões de leitura não permitem que os usuários acessem dados subjacentes no SQL ou no OneLake.
Itens de malha diferentes têm permissões diferentes. Para saber mais sobre as permissões para cada item, consulte:
Permissões de computação
As permissões também podem ser definidas dentro de um mecanismo de computação específico no Fabric, especificamente por meio do ponto de extremidade de análise SQL ou em um modelo semântico. As permissões do mecanismo de computação permitem um controle de acesso a dados mais granular, como segurança em nível de tabela e linha.
Ponto de extremidade de análise SQL - O ponto de extremidade de análise SQL fornece acesso SQL direto a tabelas no OneLake e pode ter a segurança configurada nativamente por meio de comandos SQL. Essas permissões só se aplicam a consultas feitas por meio de SQL.
Modelo semântico - Os modelos semânticos permitem que a segurança seja definida usando DAX. As restrições definidas usando DAX se aplicam a usuários que consultam por meio do modelo semântico ou relatórios do Power BI criados no modelo semântico.
Você pode encontrar mais informações nestes artigos:
Permissões OneLake (funções de acesso a dados)
O OneLake tem suas próprias permissões para controlar o acesso a arquivos e pastas no OneLake por meio de funções de acesso a dados do OneLake. As funções de acesso a dados do OneLake permitem que os usuários criem funções personalizadas dentro de um lakehouse e concedam permissões de leitura somente para as pastas especificadas ao acessar o OneLake. Para cada função OneLake, os usuários podem atribuir usuários, grupos de segurança ou conceder uma atribuição automática com base na função de espaço de trabalho.
Saiba mais sobre o Modelo de Controle de Acesso a Dados do OneLake e veja os guias de instruções.
Ordem de funcionamento
O Fabric tem três níveis de segurança diferentes. Um usuário deve ter acesso em cada nível para acessar os dados. Cada nível é avaliado sequencialmente para determinar se um usuário tem acesso. As regras de segurança, como as políticas de Proteção de Informações da Microsoft, são avaliadas em um determinado nível para permitir ou não o acesso. A ordem de operação ao avaliar a segurança da malha é:
- Autenticação do Entra: verifica se o usuário consegue se autenticar no locatário do Microsoft Entra.
- Acesso à malha: verifica se o usuário pode acessar o Microsoft Fabric.
- Segurança de dados: Verifica se o usuário pode executar a ação solicitada em uma tabela ou arquivo.
Exemplos
Esta seção fornece dois exemplos de como as permissões podem ser configuradas no Fabric.
Exemplo 1: Configurando permissões de equipe
A Wingtip Toys é configurada com um inquilino para toda a organização e três capacidades. Cada capacidade representa uma região diferente. A Wingtip Toys opera nos Estados Unidos, Europa e Ásia. Cada capacidade tem um espaço de trabalho para cada departamento da organização, incluindo o departamento de vendas.
O departamento de vendas tem um gerente, um líder da equipe de vendas e membros da equipe de vendas. A Wingtip Toys também emprega um analista para toda a organização.
A tabela a seguir mostra os requisitos para cada função no departamento de vendas e como as permissões são configuradas para habilitá-las.
| Role | Necessidade | Configurar |
|---|---|---|
| Gestor | Visualizar e modificar todo o conteúdo do departamento de vendas em toda a organização | Uma função de membro para todos os espaços de trabalho de vendas na organização |
| Líder de equipa | Visualizar e modificar todo o conteúdo do departamento de vendas em uma região específica | Uma função de membro para o espaço de trabalho de vendas na região |
| Membro da equipa de vendas | ||
| Analista | Veja todo o conteúdo do departamento de vendas em toda a organização | Uma função de visualizador para todos os espaços de trabalho de venda na organização |
A Wingtip também tem um relatório trimestral que lista sua receita de vendas por membro de vendas. Este relatório é armazenado em um espaço de trabalho financeiro. Usando a segurança em nível de linha, o relatório é configurado para que cada membro de vendas possa ver apenas seus próprios números de vendas. Os líderes de equipe podem ver os números de vendas de todos os membros de vendas em sua região, e o gerente de vendas pode ver os números de vendas de todos os membros de vendas na organização.
Exemplo 2: Permissões de espaço de trabalho e item
Quando você compartilha um item ou altera suas permissões, as funções do espaço de trabalho não são alteradas. O exemplo nesta seção mostra como as permissões de espaço de trabalho e item interagem.
Verónica e Marta trabalham juntas. Verónica é dona de um relatório que quer partilhar com Marta. Se Verónica partilhar o relatório com Marta, Marta poderá aceder ao mesmo independentemente da função no espaço de trabalho que tenha.
Digamos que Marta tenha um papel de visualizador no espaço de trabalho onde o relatório está armazenado. Se Veronica decidir remover as permissões de item de Marta do relatório, Marta ainda poderá visualizar o relatório no espaço de trabalho. Marta também poderá abrir o relatório a partir da área de trabalho e visualizar o seu conteúdo. Isso ocorre porque Marta tem permissões de exibição para o espaço de trabalho.
Se Veronica não quiser que Marta veja o relatório, remover as permissões de item de Marta do relatório não é suficiente. Veronica também precisa remover as permissões de visualizador de Marta do espaço de trabalho. Sem as permissões do visualizador do espaço de trabalho, Marta não poderá ver que o relatório existe porque não poderá acessar o espaço de trabalho. Marta também não poderá usar o link para a reportagem, porque não tem acesso à reportagem.
Agora que Marta não tem um papel de visualizador do espaço de trabalho, se Veronica decidir compartilhar o relatório com ela novamente, Marta poderá visualizá-lo usando o link que Veronica compartilha com ela, sem ter acesso ao espaço de trabalho.
Exemplo 3: Permissões do Aplicativo Power BI
Ao compartilhar relatórios do Power BI, muitas vezes você deseja que seus destinatários tenham acesso apenas aos relatórios e não aos itens no espaço de trabalho. Para isso, você pode usar aplicativos do Power BI ou compartilhar relatórios diretamente com os usuários.
Além disso, você pode limitar o acesso do visualizador aos dados usando a segurança em nível de linha (RLS), com a RLS você pode criar funções que têm acesso a determinadas partes dos seus dados e limitar os resultados que retornam apenas o que a identidade do usuário pode acessar.
Isso funciona bem ao usar modelos de importação, pois os dados são importados no modelo semântico e os destinatários têm acesso a isso como parte do aplicativo. Com o DirectLake, o relatório lê os dados diretamente do Lakehouse e o destinatário do relatório precisa ter acesso a esses arquivos no lago. Você pode fazer isso de várias maneiras:
- Dê
ReadDatapermissão diretamente na Lakehouse. - Alterne a credencial da fonte de dados de logon único (SSO) para uma identidade fixa que tenha acesso aos arquivos no lago.
Como a RLS é definida no Modelo Semântico, os dados serão lidos primeiro e, em seguida, as linhas serão filtradas.
Se alguma segurança for definida no ponto de extremidade de análise SQL no qual o relatório é criado, as consultas retornarão automaticamente ao modo DirectQuery. Se você não quiser esse comportamento de fallback padrão, poderá criar um novo Lakehouse usando atalhos para as tabelas no Lakehouse original e não definir RLS ou OLS em SQL no novo Lakehouse.