Planering av Power BI-implementering: Säkerhetsplanering för innehållsskapare

Den här artikeln om säkerhetsplanering beskriver strategier för innehållsskapare som ansvarar för att skapa semantiska modeller, dataflöden, datamarter, rapporter eller instrumentpaneler. Det är främst inriktat på:

• Power BI-administratörer: De administratörer som ansvarar för att övervaka Power BI i organisationen.
• Center of Excellence-, IT- och BI-teamet: De team som också ansvarar för att övervaka Power BI. De kan behöva samarbeta med Power BI-administratörer, informationssäkerhetsteam och andra relevanta team.
• Innehållsskapare och ägare: Bi-skapare med självbetjäning som behöver skapa, publicera, skydda och hantera innehåll som andra använder.

Serien med artiklar är avsedd att utöka innehållet i vitboken om Power BI-säkerhet. I vitboken om Power BI-säkerhet fokuserar vi på viktiga tekniska ämnen som autentisering, datahemvist och nätverksisolering, men seriens främsta mål är att ge dig överväganden och beslut som hjälper dig att planera för säkerhet och sekretess.

I en organisation är många användare innehållsskapare. Innehållsskapare skapar och publicerar innehåll som visas av andra. Innehållsskapare står i fokus för den här artikeln.

Strategi för innehållsskapare

Grunden för ett välstyrt BI-system med självbetjäning börjar med innehållsskapare och ägare. De skapar och validerar semantiska modeller och rapporter. I många fall har innehållsskapare också konfigurerat behörigheter för att hantera säkerheten för sitt innehåll.

När det gäller säkerhet och behörigheter bör du tänka på att det finns två typer av innehållsskapare: dataskapare och rapportskapare. De kan ansvara för att skapa och hantera BI-innehåll för företag eller bi-innehåll via självbetjäning .

Dataskapare

En dataskapare är alla Power BI-användare som skapar semantiska modeller, dataflöden eller datamarter.

Här följer några vanliga scenarier för dataskapare.

• Skapa en ny semantisk modell: Skapa och testa en ny datamodell i Power BI Desktop. Den publiceras sedan till Power BI-tjänst så att den kan användas som en delad semantisk modell för många rapporter. Mer information om hur du återanvänder delade semantiska modeller finns i scenariot för hanterad bi-användning med självbetjäning .
• Utöka och anpassa en semantisk modell: Skapa en live-anslutning till en befintlig delad semantisk modell i Power BI Desktop. Konvertera live-anslutningen till en lokal modell, vilket gör det möjligt att utöka modelldesignen med nya tabeller eller kolumner. Mer information om hur du utökar och anpassar delade semantiska modeller finns i scenariot för anpassningsbar hanterad bi-användning med självbetjäning .
• Skapa ett nytt dataflöde: I Power BI-tjänst skapar du ett nytt dataflöde så att det kan användas som källa av många semantiska modeller. Mer information om hur du återanvänder dataförberedelseaktiviteter finns i användningsscenariot för dataförberedelse med självbetjäning .
• Skapa en ny datamart. Skapa en ny datamart i Power BI-tjänst.

Dataskapare finns ofta i företags-BI-team och i Center of Excellence (COE). De har också en viktig roll att spela i decentraliserade affärsenheter och avdelningar som underhåller och hanterar sina egna data.

Andra överväganden om företagsledd BI, hanterad självbetjänings-BI och företags-BI finns i artikeln Innehållsägarskap och hantering .

Rapportskapare

Rapportskapare skapar rapporter och instrumentpaneler för att visualisera data som kommer från befintliga semantiska modeller.

Här följer några vanliga scenarier för rapportskapare.

• Skapa en ny rapport med en datamodell: Skapa och testa en ny rapport och datamodell i Power BI Desktop. Power BI Desktop-filen som innehåller en eller flera rapportsidor och innehåller en datamodell publiceras till Power BI-tjänst. Nya innehållsskapare använder ofta den här metoden innan de är medvetna om att använda delade semantiska modeller. Det är också lämpligt för smala användningsfall som inte behöver återanvändas.
• Skapa en liveanslutningsrapport: Skapa en ny Power BI-rapport som ansluter till en delad semantisk modell i Power BI-tjänst. Mer information om hur du återanvänder delade semantiska modeller finns i scenariot för hanterad bi-användning med självbetjäning .
• Skapa en ansluten Excel-arbetsbok: Skapa en ny Excel-rapport som ansluter till en delad semantisk modell i Power BI-tjänst. Anslutna Excel-upplevelser, i stället för nedladdningar av data, uppmuntras starkt.
• Skapa en DirectQuery-rapport: Skapa en ny Power BI-rapport som ansluter till en datakälla som stöds i DirectQuery-läge. En situation när den här metoden är användbar är när du vill dra nytta av användarsäkerhet som implementeras av källsystemet.

Rapportskapare finns i alla affärsenheter i organisationen. Det finns vanligtvis många fler rapportskapare i en organisation än dataskapare.

Behörigheter för skapare

I det här avsnittet beskrivs de vanligaste behörigheterna för dataskapare och rapportskapare.

Det här avsnittet är inte avsett att vara en allomfattande lista över alla möjliga behörigheter. I stället är det avsett att hjälpa dig att planera din strategi för att stödja olika typer av innehållsskapare. Målet bör vara att följa principen om lägsta behörighet. Den här principen ger tillräckligt med behörigheter för att användarna ska vara produktiva, utan överetableringsbehörigheter.

Skapa nytt innehåll

Följande behörigheter krävs ofta för att skapa nytt innehåll.

Behörighet	Rapportskapare	Skapare av semantisk modell	Skapare av dataflöde	Datamart-skapare
Åtkomst till den underliggande datakällan
Läs- och byggbehörigheter för semantisk modell
Läsbehörighet för dataflöde (när ett dataflöde används som källa, via arbetsytans visningsroll)
Åtkomst där den ursprungliga Power BI Desktop-filen lagras
Behörighet att använda anpassade visuella objekt

Publicera innehållsbehörigheter

Följande behörigheter krävs ofta för publicering av innehåll.

Behörighet	Rapportskapare	Skapare av semantisk modell	Skapare av dataflöde	Datamart-skapare
Arbetsyteroll: Deltagare, medlem eller administratör
Skrivbehörighet för semantisk modell (när användaren inte tillhör en arbetsyteroll)
Distributionspipelineroll för att publicera objekt (valfritt)

Uppdatera data

Följande behörigheter krävs ofta för att uppdatera data.

Behörighet	Rapportskapare	Skapare av semantisk modell	Skapare av dataflöde	Datamart-skapare
Tilldelad ägare (som har konfigurerat inställningar eller tagit över objektet)
Åtkomst till den underliggande datakällan (när en gateway inte används)
Åtkomst till datakällan i en gateway (när källan är lokal eller i ett virtuellt nätverk)

Resten av den här artikeln beskriver överväganden för innehållsskaparbehörigheter.

Checklista – När du planerar din säkerhetsstrategi för innehållsskapare omfattar viktiga beslut och åtgärder:

Identifiera innehåll för skapare

Användare kan förlita sig på dataidentifiering för att hitta semantiska modeller och datamarter. Dataidentifiering är en Power BI-funktion som gör det möjligt för innehållsskapare att hitta befintliga datatillgångar – även om de inte har några behörigheter för innehållet.

Identifiering av befintliga data är användbart för:

• Rapportskapare som vill använda en befintlig semantisk modell för en ny rapport.
• Rapportskapare som vill fråga efter data från en befintlig datamart.
• Semantiska modellskapare som vill använda en befintlig semantisk modell för en ny sammansatt modell.

Du kan konfigurera en semantisk modell eller datamart som identifierbar när den har godkänts (certifierats eller befordrats). När den kan identifieras kan innehållsskapare hitta den i datahubben.

En innehållsskapare kan också begära åtkomst till den semantiska modellen eller datamarten. I princip ber en åtkomstbegäran om skapa-behörighet, vilket krävs för att skapa nytt innehåll baserat på det. När du svarar på begäranden om åtkomst bör du överväga att använda grupper i stället för enskilda användare. Mer information om hur du använder grupper för det här ändamålet finns i Begär åtkomstarbetsflöde för konsumenter.

Tänk på följande tre exempel.

• Semantikmodellen Sales Summary är certifierad. Det är den betrodda och auktoritativa källan för försäljningsspårning. Många rapportskapare med självbetjäning i hela organisationen använder den här semantiska modellen. Det finns därför många befintliga rapporter och sammansatta modeller baserade på den semantiska modellen. För att uppmuntra andra skapare att hitta och använda den semantiska modellen anges den som identifierbar.
• Inventeringsstatistikens semantiska modell är certifierad. Det är en betrodd och auktoritativ källa för inventeringsanalys. Den semantiska modellen och relaterade rapporter underhålls och distribueras av företags-BI-teamet. På grund av den komplexa designen av semantikmodellen är det bara företags-BI-teamet som får skapa och underhålla lagerinnehåll. Eftersom målet är att avskräcka rapportskapare från att använda den semantiska modellen anges den inte som identifierbar.
• Semantikmodellen executive bonusar innehåller mycket konfidentiell information. Behörigheter för att visa eller uppdatera den här semantiska modellen är begränsade till några användare. Den här semantiska modellen är inte inställd som identifierbar.

Följande skärmbild visar en semantisk modell i datahubben i Power BI-tjänst. Mer specifikt visas ett exempel på ett meddelande om begärandeåtkomst för en semantisk modell som kan identifieras. Det här meddelandet visas när användaren för närvarande inte har åtkomst. Meddelandet Begär åtkomst har anpassats i inställningarna för semantisk modell.

Meddelandet Begär åtkomst lyder: För standardförsäljningsrapportering av MTD/QTD/YTD är den här semantiska modellen den auktoritativa och certifierade källan. Begär åtkomst till den semantiska modellen genom att fylla i formuläret som finns på https://COE.contoso.com/RequestAccess. Du kommer att bli ombedd att ange en kort affärsmotivering, och chefen för Center of Excellence kommer också att behöva godkänna begäran. Åtkomsten granskas var sjätte månad.

Det finns tre klientinställningar relaterade till identifiering.

• Med inställningen Identifiera innehållsklient kan Power BI-administratörer ange vilka grupper av användare som ska kunna identifiera data. Den riktar sig främst till rapportskapare som kan behöva hitta befintliga semantiska modeller när de skapar rapporter. Det är också användbart för semantiska modellskapare som kan söka efter befintliga data som de kan använda i sin sammansatta modellutveckling. Även om det är möjligt att ställa in det för specifika säkerhetsgrupper är det en bra idé att aktivera inställningen för hela organisationen. Identifieringsinställningen för enskilda semantiska modeller och dataflöden styr vad som kan identifieras. Mindre vanligt kan du överväga att begränsa den här funktionen endast till godkända innehållsskapare.
• Inställningen För att identifiera certifierat innehåll kan Power BI-administratörer ange vilka grupper som ska kunna identifiera innehåll (när de också har behörighet att redigera objektet samt behörighet att certifiera innehåll, vilket beviljas av inställningen Certifieringsklient). Möjligheten att certifiera innehåll bör kontrolleras noggrant. I de flesta fall bör samma användare som får certifiera innehåll tillåtas att ange det som identifierbart. I vissa situationer kanske du bara vill begränsa den här funktionen till godkända dataskapare.
• Inställningen Gör framhävt innehåll identifierbart klientorganisation gör att Power BI-administratörer kan ange vilka grupper som kan ange innehållet som identifierbart (när de också har behörighet att redigera data). Eftersom möjligheten att höja upp innehåll är öppen för alla innehållsskapare bör den här funktionen i de flesta fall vara tillgänglig för alla användare. Mindre vanligt är att du kan överväga att begränsa den här funktionen till endast godkända innehållsskapare.

Checklista – När du planerar dataidentifiering för innehållsskapare är viktiga beslut och åtgärder:

Begär åtkomstarbetsflöde för skapare

En användare kan begära åtkomst till innehåll på två sätt.

• För innehållskonsumenter: En användare får en länk till en befintlig rapport eller app i Power BI-tjänst. Om du vill visa objektet kan konsumenten välja knappen Begär åtkomst . Mer information finns i artikeln Rapport om konsumentsäkerhetsplanering .
• För innehållsskapare: Användaren identifierar en semantisk modell eller datamart i datahubben. Om du vill skapa en ny rapport eller en sammansatt modell baserat på befintliga data kan innehållsskapare välja knappen Begär åtkomst . Den här upplevelsen är i fokus för det här avsnittet.

Som standard går en begäran om åtkomst till en semantisk modell eller en datamart till ägaren. Ägaren är den användare som senast schemalagda datauppdateringen eller indataautentiseringsuppgifterna. Att förlita sig på en användare för att bearbeta åtkomstbegäranden kan vara acceptabelt för teamets semantiska modeller. Det kanske dock inte är praktiskt eller tillförlitligt.

I stället för att förlita dig på en ägare kan du definiera anpassade instruktioner som visas för användare när de begär åtkomst till en semantisk modell eller datamart. Anpassade instruktioner är användbara när:

• Den semantiska modellen anges som identifierbar.
• Godkännande av åtkomstbegäran görs av någon annan än dataägaren.
• Det finns en befintlig process på plats som måste följas för åtkomstbegäranden.
• Spårning av vem som begärde åtkomst, när och varför är nödvändigt av gransknings- eller efterlevnadsskäl.
• Förklaring är nödvändig för hur du begär åtkomst och för att ange förväntningar.

Följande skärmbild visar ett exempel på hur du konfigurerar anpassade instruktioner som en användare ser när de begär behörigheten Skapa. De anpassade anvisningarna lyder: För standardförsäljningsrapportering av MTD/QTD/YTD är den här semantiska modellen den auktoritativa och certifierade källan. Begär åtkomst till den semantiska modellen genom att fylla i formuläret som finns på https://COE.contoso.com/RequestAccess. Du kommer att bli ombedd att ange en kort affärsmotivering, och chefen för Center of Excellence kommer också att behöva godkänna begäran. Åtkomsten granskas var sjätte månad.

Det finns många alternativ för att skapa ett formulär. Power Apps och Microsoft Forms är båda enkla alternativ med låg kod. Vi rekommenderar att du skapar ett formulär på ett sätt som är oberoende av en enskild användare. Det är viktigt att formuläret skapas, hanteras och övervakas av rätt team.

Vi rekommenderar att du skapar användbar information för:

• Innehållsskapare så att de vet vad de kan förvänta sig när de begär åtkomst.
• Innehållsägare och administratörer så att de vet hur de hanterar begäranden som skickas.

Checklista – När du planerar arbetsflödet för begärandeåtkomst omfattar viktiga beslut och åtgärder:

Skapa och publicera innehåll

Det här avsnittet innehåller säkerhetsaspekter som gäller för innehållsskapare.

Arbetsyteroller

Du ger arbetsyteåtkomst genom att lägga till användare eller grupper (inklusive säkerhetsgrupper, Microsoft 365-grupper och distributionslistor) i arbetsyteroller. Genom att tilldela användare till arbetsyteroller kan du ange vad de kan göra med arbetsytan och dess innehåll.

Eftersom det primära syftet med en arbetsyta är samarbete är åtkomst till arbetsytor mest relevant för de användare som äger och hanterar dess innehåll. När du börjar planera för arbetsyteroller är det bra att ställa dig följande frågor.

• Vad är förväntningarna på hur samarbete kommer att ske på arbetsytan?
• Vem ansvarar för att hantera innehållet på arbetsytan?
• Är avsikten att tilldela enskilda användare eller grupper till arbetsyteroller?

Det finns fyra Power BI-arbetsyteroller: Administratör, Medlem, Deltagare och Visningsprogram. De tre första rollerna är relevanta för innehållsskapare som skapar och publicerar innehåll. Rollen Viewer är relevant för skrivskyddade konsumenter.

De fyra rollbehörigheterna för arbetsytan är kapslade. Det innebär att arbetsyteadministratörer har alla tillgängliga funktioner för medlemmar, deltagare och tittare. På samma sätt har medlemmarna alla funktioner som är tillgängliga för deltagare och tittare. Deltagare har alla funktioner som är tillgängliga för tittarna.

Arbetsyteadministratör

Användare som har tilldelats administratörsrollen blir arbetsyteadministratörer. De kan hantera alla inställningar och utföra alla åtgärder, inklusive att lägga till eller ta bort användare (inklusive andra arbetsyteadministratörer).

Arbetsyteadministratörer kan uppdatera eller ta bort Power BI-appen (om det finns någon). De kan också tillåta deltagare att uppdatera appen för arbetsytan. Mer information finns i Variationer i arbetsyteroller senare i den här artikeln.

Se till att endast betrodda och tillförlitliga personer är arbetsyteadministratörer. En arbetsyteadministratör har hög behörighet. De har åtkomst till att visa och hantera allt innehåll på arbetsytan. De kan lägga till och ta bort användare (inklusive andra administratörer) till valfri arbetsyteroll. De kan också ta bort arbetsytan.

Vi rekommenderar att det finns minst två administratörer så att en fungerar som en säkerhetskopia om den primära administratören inte är tillgänglig. En arbetsyta som inte har någon administratör kallas för en överbliven arbetsyta. Den överblivna statusen inträffar när en användare lämnar organisationen och det inte finns någon alternativ administratör tilldelad till arbetsytan. Mer information om hur du identifierar och åtgärdar överblivna arbetsytor finns i artikeln Visa arbetsytor .

Helst bör du kunna avgöra vem som ansvarar för arbetsytans innehåll genom att ange vilka arbetsyteadministratörer och medlemmar som är (och de kontakter som angetts för arbetsytan). Vissa organisationer antar dock en strategi för innehållsägarskap och hantering som begränsar skapandet av arbetsytor till specifika användare eller grupper. De har vanligtvis en etablerad process för att skapa arbetsytor som hanteras av IT-avdelningen. I det här fallet skulle arbetsyteadministratörerna vara IT-avdelningen i stället för de användare som direkt skapar och publicerar innehållet.

Medlem i arbetsytan

Användare som har tilldelats rollen Medlem kan lägga till andra arbetsyteanvändare (men inte administratörer). De kan också hantera behörigheter för allt innehåll på arbetsytan.

Medlemmar i arbetsytan kan publicera eller avpublicera appen för arbetsytan, dela ett arbetsyteobjekt eller appen och tillåta andra användare att dela arbetsyteobjekt i appen.

Medlemmar i arbetsytan bör begränsas till de användare som behöver hantera skapandet av arbetsytans innehåll och publicera appen. I vissa fall uppfyller arbetsyteadministratörerna det syftet, så du kanske inte behöver tilldela några användare eller grupper till medlemsrollen. När arbetsyteadministratörerna inte är direkt relaterade till arbetsytans innehåll (till exempel eftersom IT hanterar processen för att skapa arbetsytor) kan arbetsytemedlemmarna vara de verkliga ägare som ansvarar för innehållet på arbetsytan.

Arbetsytedeltagare

Användare som har tilldelats rollen Deltagare kan skapa, redigera eller ta bort arbetsyteinnehåll.

Deltagare kan inte uppdatera Power BI-appen (när en sådan finns för arbetsytan) om det inte har tillåtits av arbetsyteinställningen. Mer information finns i Variationer i arbetsyteroller senare i den här artikeln.

De flesta innehållsskapare i organisationen är arbetsytedeltagare.

Visningsprogram för arbetsyta

Användare som har tilldelats rollen Viewer kan visa och interagera med allt innehåll på arbetsytan.

Rollen Viewer är relevant för skrivskyddade konsumenter för små team och informella scenarier. Det beskrivs fullständigt i artikeln Rapport om konsumentsäkerhetsplanering .

Överväganden för ägarskap för arbetsyta

Tänk dig ett exempel där följande åtgärder vidtas för att konfigurera en ny arbetsyta.

1. Specifika Power BI-mästare och satellitmedlemmar i Center of Excellence (COE) har beviljats behörighet i klientinställningarna för att skapa nya arbetsytor. De har tränats i strategier för innehållsorganisation och namngivningsstandarder.
2. Du (en innehållsskapare) skickar en begäran om att skapa en arbetsyta för ett nytt projekt som du ska hantera. Arbetsytan innehåller rapporter som spårar projektets förlopp.
3. En Power BI-mästare för din affärsenhet tar emot begäran. De fastställer att en ny arbetsyta är berättigad. De skapar sedan en arbetsyta och tilldelar säkerhetsgruppen Power BI Champions (för deras affärsenhet) till rollen som administratör för arbetsytan.
4. Power BI-mästaren tilldelar dig (innehållsskaparen) till arbetsytans medlemsroll.
5. Du tilldelar en betrodd kollega till arbetsytans medlemsroll för att säkerställa att det finns en säkerhetskopia om du är borta.
6. Du tilldelar andra kollegor rollen deltagare i arbetsytan eftersom de ansvarar för att skapa arbetsytans innehåll, inklusive semantiska modeller och rapporter.
7. Du tilldelar din chef rollen Visningsprogram för arbetsytan eftersom de har begärt åtkomst för att övervaka projektets förlopp. Din chef vill granska innehåll på arbetsytan innan du publicerar en app.
8. Du tar ansvar för att hantera andra egenskaper för arbetsytor, till exempel beskrivning och kontakter. Du tar också ansvar för att hantera åtkomst till arbetsytor kontinuerligt.

I föregående exempel visas ett effektivt sätt att ge en decentraliserad affärsenhet möjlighet att agera självständigt. Den visar också principen om lägsta behörighet.

För styrt innehåll eller kritiskt innehåll som hanteras mer noggrant är det bästa praxis att tilldela grupper i stället för enskilda användarkonton till arbetsyteroller. På så sätt kan du hantera gruppmedlemskapet separat från arbetsytan. Men när du tilldelar grupper till roller är det möjligt att användare tilldelas flera arbetsyteroller (eftersom användaren tillhör flera grupper). I så fall baseras deras gällande behörigheter på den högsta roll som de tilldelas till. Mer information finns i Strategi för att använda grupper.

När en arbetsyta samägs av flera personer eller team kan det göra hanteringen av innehållet komplicerad. Försök att undvika scenarier med flera teamägarskap genom att separera arbetsytor. På så sätt är ansvarsområden tydliga och rolltilldelningar är enkla att konfigurera.

Variationer i arbetsyteroller

Det finns två varianter av de fyra arbetsyterollerna (beskrivs tidigare).

• Som standard kan endast arbetsyteadministratörer och medlemmar skapa, publicera och uppdatera appen för arbetsytan. Alternativet Tillåt deltagare att uppdatera appalternativet för den här arbetsyteinställningen är en inställning på arbetsytans nivå som gör att arbetsyteadministratörer kan delegera möjligheten att uppdatera appen för arbetsytan till deltagare. Deltagare kan dock inte publicera en ny app eller ändra vem som har behörighet att redigera den. Den här inställningen är användbar när du vill att deltagare ska kunna uppdatera appen (när en sådan finns för arbetsytan), men ändå inte bevilja andra behörigheter som är tillgängliga för medlemmar.
• Inställningen Blockera ompublicering och inaktivera paketuppdateringsklient tillåter endast semantiska modellägare att publicera uppdateringar. När det är aktiverat kan arbetsyteadministratörer, medlemmar och deltagare inte publicera ändringar om de inte först tar över semantikmodellen som ägare. Eftersom den här inställningen gäller för hela organisationen aktiverar du den med ett mått av försiktighet eftersom den påverkar alla semantiska modeller för klientorganisationen. Var noga med att kommunicera med dina semantiska modellskapare vad de kan förvänta sig eftersom det ändrar det normala beteendet för arbetsyteroller.

Checklista – När du planerar för arbetsyteroller inkluderar viktiga beslut och åtgärder:

Behörigheter för appskapare

Innehållsskapare som är arbetsyteadministratörer eller medlemmar kan skapa och publicera en Power BI-app.

En arbetsyteadministratör kan också ange en inställning på arbetsytan som gör att arbetsytedeltagare kan uppdatera appen. Det är en variant av arbetsytans rollsäkerhet eftersom den ger deltagare en annan behörighet som de normalt inte skulle ha. Den här inställningen anges per arbetsyta.

Checklista – När du planerar för behörigheter för appskapare inkluderar viktiga beslut och åtgärder:

Behörigheter för datakälla

När en dataskapare startar ett nytt projekt är behörigheter som krävs för att komma åt externa datakällor en av deras första säkerhetsrelaterade överväganden. De kan också behöva vägledning om andra datakällans relaterade frågor, inklusive sekretessnivåer, interna databasfrågor och anpassade anslutningsappar.

Åtkomst till datakälla

När en dataskapare skapar en semantisk modell, ett dataflöde eller ett datamart måste de autentisera med datakällor för att hämta data. Vanligtvis omfattar autentisering autentiseringsuppgifter (konto och lösenord), vilket kan vara för ett tjänstkonto.

Ibland är det användbart att skapa specifika tjänstkonton för åtkomst till datakällor. Kontakta IT-avdelningen om du vill ha vägledning om hur tjänstkonton ska användas i din organisation. När de är tillåtna kan användning av tjänstkonton:

• Centralisera behörigheter som behövs för datakällor.
• Minska antalet enskilda användare som behöver behörighet till en datakälla.
• Undvik datauppdateringsfel när en användare lämnar organisationen.

När du kommer åt datakällor använder du principen om minsta behörighet för att säkerställa att användare (eller tjänstkonton) har behörighet att endast läsa de data de behöver. De bör aldrig ha behörighet att utföra dataändringar. Databasadministratörer som skapar dessa tjänstkonton bör fråga om förväntade frågor och arbetsbelastningar och vidta åtgärder för att säkerställa att lämpliga optimeringar (som index) och resurser finns på plats.

Autentiseringsuppgifterna (kontot och lösenordet) kan tillämpas på något av två sätt.

• Power BI Desktop: Autentiseringsuppgifter krypteras och lagras lokalt på användardatorn.
• Power BI-tjänst: Autentiseringsuppgifterna krypteras och lagras på ett säkert sätt för något av följande:
  • Den semantiska modellen (när en datagateway inte används för att nå datakällan).
  • Gatewaydatakällan (när en standardgateway eller en virtuell nätverksgatewaytjänst används för att nå datakällan).

Autentiseringsuppgifter krypteras och lagras separat från datamodellen i både Power BI Desktop och Power BI-tjänst. Den här dataseparationen har följande säkerhetsfördelar.

• Det underlättar återanvändning av autentiseringsuppgifter för flera semantiska modeller, dataflöden och datamarter.
• När någon parsar metadata för en semantisk modell kan de inte extrahera autentiseringsuppgifterna.
• I Power BI Desktop kan en annan användare inte ansluta till den ursprungliga datakällan för att uppdatera data utan att först tillämpa autentiseringsuppgifterna.

Vissa datakällor stöder enkel inloggning (SSO) som kan anges när autentiseringsuppgifter anges i Power BI-tjänst (för semantisk modell eller gatewaydatakällor). När du aktiverar enkel inloggning skickar Power BI den autentiserade användarens autentiseringsuppgifter till datakällan. Med det här alternativet kan Power BI uppfylla de säkerhetsinställningar som har konfigurerats i datakällan, till exempel säkerhet på radnivå. Enkel inloggning är särskilt användbart när tabeller i datamodellen använder DirectQuery-lagringsläge.

Sekretessnivåer

Datasekretessnivåer anger isoleringsnivåer som definierar graden av att en datakälla är isolerad från andra datakällor. När de har angetts på rätt sätt ser de till att Power Query endast överför kompatibla data mellan källor. När Power Query kan överföra data mellan datakällor kan det resultera i effektivare frågor som minskar mängden data som skickas till Power BI. När det inte går att överföra data mellan datakällor kan det leda till långsammare prestanda.

Det finns tre sekretessnivåer.

• Privat: Innehåller känsliga eller konfidentiella data som måste isoleras från alla andra datakällor. Den här nivån är den mest restriktiva. Privata datakällor kan inte delas med andra datakällor. Till exempel ska en personaldatabas som innehåller lönevärden för anställda anges till sekretessnivån Privat.
• Organisation: Isolerad från offentliga datakällor men är synlig för andra organisationsdatakällor. Den här nivån är den vanligaste. Organisationsdatakällor kan delas med privata datakällor eller andra organisationsdatakällor. De flesta interna driftdatabaser kan ställas in med sekretessnivån Organisations.
• Offentlig: Icke-känsliga data som kan göras synliga för alla datakällor. Den här nivån är den minst restriktiva. Data från offentliga datakällor kan delas med alla andra datakällor. Till exempel kan en folkräkningsrapport som hämtats från en statlig webbplats anges till den offentliga sekretessnivån.

När du kombinerar frågor från olika datakällor är det viktigt att du anger rätt sekretessnivåer. När sekretessnivåerna har angetts korrekt finns det potential för data från en datakälla att överföras till en annan datakälla för att effektivt fråga efter data.

Tänk dig ett scenario där en semantisk modellskapare har två datakällor: en Excel-arbetsbok och en tabell i en Azure SQL Database. De vill filtrera data i Azure SQL Database-tabellen med hjälp av ett värde som kommer från Excel-arbetsboken. Det mest effektiva sättet för Power Query att generera en SQL-instruktion för Azure SQL Database är att tillämpa en WHERE-sats för att utföra nödvändig filtrering. Den SQL-instruktionen innehåller dock en WHERE-sats som predikat med ett värde som kommer från Excel-arbetsboken. Om Excel-arbetsboken innehåller känsliga data kan den utgöra ett säkerhetsintrång eftersom databasadministratören kan visa SQL-instruktionen med hjälp av ett spårningsverktyg. Även om det är mindre effektivt är alternativet att Power Query-kombinationsmotorn laddar ned hela resultatuppsättningen i databastabellen och utför själva filtreringen i Power BI-tjänst. Den här metoden blir mindre effektiv och långsam, men säker.

Sekretessnivåer kan anges för varje datakälla:

• Av datamodellerare i Power BI Desktop.
• Av semantiska modellägare i Power BI-tjänst (för molndatakällor, som inte kräver en gateway).
• Av skapare och ägare av gatewaydatakällor i Power BI-tjänst (för gatewaydatakällor).

Det finns ett säkerhetsalternativ för Power BI Desktop som gör det möjligt att ignorera sekretessnivåer för att förbättra prestandan. Du kan använda det här alternativet för att förbättra frågeprestanda när du utvecklar en datamodell när det inte finns någon risk för intrång i datasäkerheten (eftersom du arbetar med utvecklings- eller testdata som inte är känsliga). Den här inställningen respekteras dock inte av Power BI-tjänst.

Mer information finns i Sekretessnivåer för Power BI Desktop.

Interna databasfrågor

Om du vill skapa effektiva Power Query-frågor kan du använda en intern fråga för att komma åt data. En intern fråga är en instruktion som skrivits på ett språk som stöds av datakällan. Interna frågor stöds endast av specifika datakällor, som vanligtvis är relationsdatabaser som Azure SQL Database.

Interna frågor kan utgöra en säkerhetsrisk eftersom de kan köra en skadlig SQL-instruktion. En skadlig instruktion kan utföra dataändringar eller ta bort databasposter (när användaren har de behörigheter som krävs i datakällan). Därför kräver interna frågor som standard användargodkännande för att köras i Power BI Desktop.

Det finns ett säkerhetsalternativ för Power BI Desktop som gör att du kan inaktivera kravet på förhandsgodkännande. Vi rekommenderar att du lämnar standardinställningen som kräver användargodkännande, särskilt när du förväntar dig att Power BI Desktop-filen kan uppdateras av andra användare.

Anpassade anslutningsprogram

Utvecklare kan använda Power Query SDK för att skapa anpassade anslutningsappar. Anpassade anslutningsappar ger åtkomst till egna datakällor eller implementerar specifik autentisering med anpassade datatillägg. Vissa anpassade anslutningsappar är certifierade och distribuerade av Microsoft som certifierade anslutningsappar. Certifierade anslutningsappar har granskats och granskats för att säkerställa att de uppfyller vissa angivna kodkrav som Microsoft har testat och godkänt.

Det finns ett säkerhetsalternativ för Power BI Desktop-datatillägg som begränsar användningen av icke-certifierade anslutningsappar. Som standard utlöses ett fel när ett försök görs att läsa in en icke-certifierad anslutningsapp. Genom att ange det här alternativet för att tillåta icke-certifierade anslutningsappar läses anpassade anslutningsappar in utan validering eller varning.

Vi rekommenderar att du behåller säkerhetsnivån för datatillägget på den högre nivån, vilket förhindrar inläsning av icke-certifierad kod. Det kan dock finnas fall där du vill läsa in specifika anslutningsappar, kanske anslutningsappar som du har utvecklat, eller anslutningsappar som tillhandahålls av en betrodd konsult eller leverantör utanför Microsofts certifieringssökväg.

Checklista – När du planerar behörigheter för datakällor inkluderar viktiga beslut och åtgärder:

Behörigheter för semantisk modellskapare

Du kan tilldela behörighet att redigera en semantisk modell till en användare eller grupp på olika sätt.

• Arbetsyteroll: Tilldelning till någon av arbetsyterollerna ger åtkomst till alla semantiska modeller på arbetsytan. Möjligheten att visa eller redigera en befintlig semantisk modell beror på vilken arbetsyteroll du tilldelar. Administratörer, medlemmar och deltagare kan publicera eller redigera innehåll på en arbetsyta.
• Behörighetslänkar per objekt: Om en delningslänk har skapats för en rapport beviljas även behörighet att läsa semantikmodellen (och eventuellt skapa, skriva och/eller dela om) indirekt av länken.
• Direktåtkomstbehörigheter per objekt: Du kan tilldela direktåtkomstbehörighet till en specifik semantisk modell.

I följande skärmbild ser du de behörigheter som tilldelats till call center-datasemantikmodellen . En användare har läsbehörighet, vilket har beviljats med hjälp av direktåtkomstbehörigheter per objekt. De återstående användarna och grupperna har behörigheter eftersom de har tilldelats till arbetsyteroller.

Behörigheter för semantisk modell

Du kan tilldela följande semantiska modellbehörigheter.

• Läs: Den här behörigheten riktar sig främst till rapportkonsumenter och tillåter att en rapport frågar efter data i semantikmodellen. Mer information om behörigheter för att visa skrivskyddat innehåll finns i artikeln Rapportera konsumentsäkerhetsplanering .
• Build: Med den här behörigheten riktad till rapportskapare kan användare skapa nya rapporter baserat på den delade semantiska modellen. Mer information finns i avsnittet Behörigheter för rapportskapare senare i den här artikeln.
• Skriv: Den här behörigheten riktar sig till semantiska modellskapare som skapar, publicerar och hanterar semantiska modeller. Med den här behörigheten kan användarna redigera den semantiska modellen. Det beskrivs senare i det här avsnittet.
• Dela igen: Den här behörigheten riktar sig till alla som har befintlig behörighet till semantikmodellen och tillåter användare att dela semantikmodellen med en annan användare. Det beskrivs senare i det här avsnittet.

En arbetsyteadministratör eller medlem kan redigera behörigheterna för en semantisk modell.

Läsbehörighet för semantisk modell

Läsbehörigheten för semantikmodellen riktar sig främst till konsumenter. Den här behörigheten krävs för att användare ska kunna visa data som visas i rapporter. Tänk på att rapporter baserade på den semantiska modellen också måste ha läsbehörighet. annars kan rapporten inte läsas in. Mer information om hur du anger läsbehörigheter för rapporten finns i artikeln Rapport för konsumentsäkerhetsplanering .

Behörighet att skapa semantisk modell

Förutom semantisk modell läsbehörighet behöver innehållsskapare även semantisk modell Build-behörighet. Mer specifikt tillåter build-behörigheten rapportskapare att:

• Skapa nya Power BI-rapporter baserat på den semantiska modellen.
• Anslut till den semantiska modellen med hjälp av Analysera i Excel.
• Fråga den semantiska modellen med hjälp av XMLA-slutpunkten.
• Exportera underliggande data i Power BI-rapporten (i stället för sammanfattade data som hämtats av det visuella objektet).
• Skapa en DirectQuery-anslutning till en Power BI-semantisk modell. I det här fallet ansluter den nya semantiska modellen till en eller flera befintliga Power BI-semantiska modeller (kallas för länkning). För att köra frågor mot länkade semantiska modeller behöver den semantiska modellskaparen skapa behörighet för alla överordnade semantiska modeller. Mer information finns i Länkade semantiska modeller senare i den här artikeln.

Du kan ge Build-behörighet till en användare eller grupp, direkt eller indirekt, på olika sätt.

• Bevilja build direkt genom att:
  • Ange semantisk modellbehörighet på sidan för semantiska modellinställningar i Power BI-tjänst.
  • Ange semantiska modellbehörigheter med hjälp av Power BI REST API.
• Bevilja build indirekt genom att:
  • Dela en rapport eller instrumentpanel och ange alternativet för att bevilja semantisk modell Build-behörighet.
  • Publicera en Power BI-app och ange det avancerade alternativet (för en målgrupp) för att ge Build-behörighet för relaterade semantiska modeller.
  • Tilldela användare till arbetsyterollerna Administratör, Medlem eller Deltagare.

Det är lämpligt att ange build-behörighet direkt för en semantisk modell när du vill hantera säkerhet på detaljerad basis per objekt. Att ställa in build-behörighet indirekt är lämpligt när de användare som ska visa eller använda innehållet via någon av de indirekta metoderna också skapar nytt innehåll.

Skrivbehörighet för semantisk modell

Vanligtvis utförs inställningen av behörigheter för vem som kan redigera och hantera semantiska modeller genom att tilldela användare till arbetsyterollen Administratör, Medlem eller Deltagare. Det går dock också att ange skrivbehörighet för en specifik semantisk modell.

Vi rekommenderar att du använder arbetsyteroller när det är möjligt eftersom det är det enklaste sättet att hantera och granska behörigheter. Använd semantikmodellens skrivbehörigheter per objekt när du har valt att skapa färre arbetsytor och en arbetsyta innehåller semantiska modeller för olika ämnesområden som kräver olika behörighetshantering.

Semantisk modell Dela om behörighet

Med den semantiska modellens omdelningsbehörighet kan en användare med befintlig behörighet dela semantikmodellen med andra användare. Du kan ge den här behörigheten när innehåll i den semantiska modellen kan delas fritt, baserat på användarens diskretion.

I många fall rekommenderar vi att du begränsar användningen av behörigheten Dela om för att säkerställa att semantiska modellbehörigheter kontrolleras noggrant. Få godkännande från semantiska modellägare innan du beviljar behörigheten Dela om.

Datasäkerhet för semantisk modell

Du kan planera att skapa färre semantiska modeller och rapporter genom att framtvinga datasäkerhet. Målet är att framtvinga datasäkerhet baserat på identiteten för den användare som visar innehållet.

En semantisk modellskapare kan framtvinga datasäkerhet på två sätt.

• Med säkerhet på radnivå (RLS) kan en datamodellerare begränsa åtkomsten till en delmängd data.
• Med säkerhet på objektnivå (OLS) kan en datamodellerare begränsa åtkomsten till specifika tabeller och kolumner samt deras metadata.

Implementeringen av RLS och OLS riktar sig till rapportkonsumenter. Mer information finns i artikeln Rapportera konsumentsäkerhetsplanering . Den beskriver hur och när RLS och OLS tillämpas för konsumenter som har visningsbehörighet till semantikmodellen.

Information om RLS och OLS som riktar sig till andra rapportskapare finns i datasäkerhet i avsnittet Behörigheter för rapportskapare senare i den här artikeln.

Länkade semantiska modeller

Power BI-semantiska modeller kan ansluta till andra semantiska modeller i en process som kallas länkning, som är anslutningar till överordnade semantiska modeller. Mer information finns i Använda DirectQuery för Power BI-semantiska modeller och Analysis Services.

Med inställningen Tillåt DirectQuery-anslutningar till Power BI-semantikmodeller kan Power BI-administratörer konfigurera vilka grupper av innehållsskapare som kan skapa länkade semantiska modeller. Om du inte vill begränsa semantiska modellskapare från att länka semantiska modeller kan du låta den här inställningen vara aktiverad för hela organisationen och förlita dig på åtkomst till arbetsytor och semantiska modellbehörigheter. I vissa fall kan du överväga att begränsa den här funktionen till godkända innehållsskapare.

API-frågor för semantisk modell

I vissa situationer kanske du vill köra en DAX-fråga med hjälp av Power BI REST API. Du kanske till exempel vill utföra valideringar av datakvalitet. Mer information finns i Datauppsättningar – Kör frågor.

Med klientinställningen Kör frågor för datauppsättningar i REST API kan Power BI-administratörer ange vilka grupper av användare som kan skicka DAX-frågor med hjälp av Power BI REST API. I de flesta fall kan du lämna den här inställningen aktiverad för hela organisationen och förlita dig på åtkomst till arbetsytor och semantiska modellbehörigheter. I vissa fall kan du överväga att begränsa den här funktionen till godkända innehållsskapare.

Checklista – När du planerar för behörigheter för semantisk modellskapare är viktiga beslut och åtgärder:

Behörigheter för rapportskapare

Rapportskapare behöver åtkomst till arbetsytan för att skapa rapporter i Power BI-tjänst eller publicera dem från Power BI Desktop. De måste vara antingen administratör, medlem eller deltagare på målarbetsytan.

När det är möjligt bör rapportskapare använda en befintlig delad semantisk modell (via en live-anslutning eller DirectQuery). På så sätt frikopplas processen för att skapa rapporter från processen för att skapa semantiska modeller. Den här typen av separation ger många fördelar för säkerhets- och teamutvecklingsscenarier.

En rapportskapare måste vara arbetsyteadministratör, medlem eller deltagare.

Till skillnad från semantiska modeller finns det inte skrivbehörighet för rapporter. För att stödja rapportskapare måste arbetsyteroller användas. Därför är optimal arbetsytedesign viktigt för att balansera innehållsorganisationens och säkerhetsbehoven.

Läs- och byggbehörigheter för underliggande semantisk modell

Rapportskapare måste ha läs- och byggbehörigheter för de semantiska modeller som deras rapporter ska använda, vilket inkluderar länkade semantiska modeller. Den behörigheten kan beviljas uttryckligen för de enskilda semantiska modellerna, eller så kan den beviljas implicit för arbetsytesemantiska modeller när rapportskaparen är arbetsyteadministratör, medlem eller deltagare.

Med inställningen Använd semantiska modeller mellan arbetsytor kan Power BI-administratörer konfigurera vilka grupper av användare som kan skapa rapporter som använder semantiska modeller som finns på andra arbetsytor. Den här inställningen riktar sig till semantiska modell- och rapportskapare. Vanligtvis rekommenderar vi att du lämnar den här inställningen aktiverad för hela organisationen och förlitar dig på åtkomstinställningar för arbetsytor och semantiska modellbehörigheter. På så sätt kan du uppmuntra till användning av befintliga semantiska modeller. I vissa fall kan du överväga att begränsa den här funktionen endast till godkända innehållsskapare.

Det finns också inställningen Tillåt liveanslutningar , som gör att Power BI-administratörer kan konfigurera vilka grupper av användare som kan skapa liveanslutningar till semantiska modeller i Power BI Desktop eller Excel. Den riktar sig specifikt till rapportskapare och kräver också att de beviljas läs- och byggbehörighet för den semantiska modell som rapporten ska använda. Vi rekommenderar att du lämnar den här inställningen aktiverad för hela organisationen och förlitar dig på åtkomst till arbetsytor och semantiska modellbehörigheter. På så sätt kan du uppmuntra till användning av befintliga semantiska modeller. I vissa fall kan du överväga att begränsa den här funktionen endast till godkända innehållsskapare.

Datasäkerhet för underliggande semantisk modell

RLS och OLS (beskrivs tidigare i den här artikeln) riktar sig till rapportkonsumenter. Men ibland måste det också tillämpas för rapportskapare. Det är motiverat att skapa separata arbetsytor när RLS måste tillämpas för rapportskapare och även rapportkonsumenter.

Föreställ dig följande scenario.

• Centraliserade delade semantiska modeller med RLS: Företags-BI-teamet publicerade försäljningssemantiska modeller till arbetsytan Försäljningsdata . Dessa semantiska modeller tillämpar RLS för att visa försäljningsdata för rapportkonsumentens tilldelade försäljningsregion.
• Decentraliserade rapportskapare med självbetjäning: Affärsenheten för försäljning och marknadsföring har många duktiga analytiker som skapar egna rapporter. De publicerar sina rapporter på arbetsytan Sales Analytics .
• Läs- och byggbehörigheter för semantiska modeller: När det är möjligt använder analytikerna semantiska modeller från arbetsytan Försäljningsdata för att undvika onödig duplicering av data. Eftersom analytikerna bara har läs- och byggbehörigheter för dessa semantiska modeller (utan skriv- eller redigeringsbehörighet) tillämpas RLS för rapportskaparna (och även rapportkonsumenterna).
• Redigera behörigheter för rapporteringsarbetsytan: Analytikerna har fler rättigheter på arbetsytan Sales Analytics . Med arbetsyterollerna administratör, medlem eller deltagare kan de publicera och hantera sina rapporter.

Mer information om RLS och OLS finns i artikeln Rapportera konsumentsäkerhetsplanering . Den beskriver hur och när RLS och OLS tillämpas för konsumenter som har visningsbehörighet till semantikmodellen.

Ansluta till externa semantiska modeller

När en rapportskapare ansluter till en delad semantisk modell för sin rapport ansluter de vanligtvis till en delad semantisk modell som har publicerats i sin egen Power BI-klientorganisation. När behörighet har beviljats går det också att ansluta till en delad semantisk modell i en annan klientorganisation. Den andra klientorganisationen kan vara en partner, kund eller leverantör.

Den här funktionen kallas semantisk modelldelning på plats (kallas även för delning av semantiska modeller mellan klientorganisationer). Rapporterna som skapas av rapportskaparen (eller nya sammansatta modeller som skapats av en semantisk modellskapare) lagras och skyddas i din Power BI-klientorganisation med hjälp av din normala process. Den ursprungliga delade semantiska modellen finns kvar i den ursprungliga Power BI-klientorganisationen och alla behörigheter hanteras där.

Mer information finns i artikeln säkerhetsplanering på klientorganisationsnivå. Den innehåller information om klientinställningar och semantiska modellinställningar som gör att extern delning fungerar.

Aktuella tabeller

I Power BI Desktop kan semantiska modellskapare ange att en modelltabell ska bli en aktuell tabell. När den semantiska modellen publiceras i Power BI-tjänst kan rapportskapare använda galleriet Datatyper i Excel för att hitta den aktuella tabellen, så att de kan lägga till aktuella tabelldata för att utöka sina Excel-kalkylblad.

Med inställningen Tillåt anslutningar till aktuella tabeller kan Power BI-administratörer konfigurera vilka grupper av användare som kan komma åt aktuella tabeller. Den riktar sig till Excel-användare som vill komma åt Aktuella Power BI-tabeller i Excel-organisationsdatatyper. Vi rekommenderar att du lämnar den här inställningen aktiverad för hela organisationen och förlitar dig på åtkomst till arbetsytor och semantiska modellbehörigheter. På så sätt kan du uppmuntra användningen av aktuella tabeller.

Behörigheter för anpassade visuella objekt

Förutom grundläggande visuella objekt kan Power BI-rapportskapare använda anpassade visuella objekt. I Power BI Desktop kan anpassade visuella objekt laddas ned från Microsoft AppSource. De kan också utvecklas internt med hjälp av Power BI SDK och installeras genom att öppna den visuella filen (.pbviz).

Vissa visuella objekt som är tillgängliga för nedladdning från AppSource är certifierade visuella objekt. Certifierade visuella objekt uppfyller vissa angivna kodkrav som Power BI-teamet har testat och godkänt. Testerna kontrollerar att visuella objekt inte har åtkomst till externa tjänster eller resurser.

Med inställningen Tillåt visuella objekt som skapats av Power BI SDK-klientorganisationen kan Power BI-administratörer styra vilka grupper av användare som kan använda anpassade visuella objekt.

Det finns också inställningen Lägg till och använd endast certifierade visuella objekt, vilket gör att Power BI-administratörer kan blockera användningen av icke-certifierade visuella objekt i Power BI-tjänst. Den här inställningen kan aktiveras eller inaktiveras för hela organisationen.

Power BI Desktop har ett alternativ för att visa en säkerhetsvarning när en rapportskapare lägger till ett anpassat visuellt objekt i rapporten. Rapportskapare kan inaktivera det här alternativet. Det här alternativet testar inte om det visuella objektet är certifierat.

Power BI-administratörer kan godkänna och distribuera anpassade visuella objekt för organisationen. Rapportskapare kan sedan enkelt identifiera, uppdatera och använda dessa visuella objekt. Administratörer kan sedan hantera dessa visuella objekt genom att uppdatera versioner eller inaktivera och aktivera specifika anpassade visuella objekt. Den här metoden är användbar när du vill göra ett internt utvecklat visuellt objekt tillgängligt för rapportskaparna eller när du skaffar ett anpassat visuellt objekt från en leverantör som inte finns i AppSource. Mer information finns i Visuella Power BI-organisationsobjekt.

Överväg en balanserad strategi för att endast aktivera certifierade anpassade visuella objekt i din organisation (med klientinställningen och grupprincipen som beskrevs tidigare), samtidigt som du distribuerar visuella objekt i organisationen för att hantera eventuella undantag.

Checklista – När du planerar för behörigheter för rapportskapare inkluderar viktiga beslut och åtgärder:

Behörigheter som skapar dataflöde

Dataflöden är användbara för att centralisera dataförberedelser så att arbetet i Power Query inte upprepas i många semantiska modeller. De är en byggsten för att uppnå en enda sanningskälla, hindra analytiker från att kräva direkt åtkomst till källor och för att hjälpa till att utföra åtgärder för att extrahera, transformera och läsa in (ETL) i stor skala.

En dataflödesskapare måste vara arbetsyteadministratör, medlem eller deltagare.

Om du vill använda ett dataflöde (till exempel från en ny datamodell som skapats i Power BI Desktop eller på en annan arbetsyta) kan en semantisk modellskapare tillhöra valfri arbetsyteroll, inklusive rollen Läsare. Det finns inget begrepp om RLS för dataflöden.

Förutom arbetsyteroller måste klientinställningen Skapa och använda dataflöden vara aktiverad. Den här klientinställningen gäller för hela organisationen.

Föreställ dig följande scenario.

• Många semantiska modeller i organisationen behöver framtvinga dynamisk RLS. Det kräver att användarens huvudnamn (UPN) lagras i den semantiska modellen (för att filtrera efter rapportkonsumentens identitet).
• En dataflödesskapare, som tillhör personalavdelningen, skapar ett dataflöde med aktuell information om anställda, inklusive deras UPN. De konfigurerar dataflödet så att det uppdateras dagligen.
• Semantiska modellskapare använder sedan dataflödet i sina modelldesigner för att konfigurera RLS.

Mer information om hur du använder dataflöden finns i självbetjäningsdataförberedelser och avancerade användningsscenarier för dataförberedelse .

Checklista – När du planerar för behörigheter för dataflödesskapare inkluderar viktiga beslut och åtgärder:

Behörigheter för Datamart-skapare

En datamart är en analyslösning med självbetjäning som gör det möjligt för användare att lagra och utforska data som läses in i en fullständigt hanterad relationsdatabas. Den består också av en automatiskt genererad semantisk modell.

Datamarts ger en enkel lågkodsupplevelse för att mata in data från olika datakällor och för att extrahera, transformera och läsa in (ETL) data med hjälp av Power Query Online. Data läses in i en Azure SQL Database som är helt hanterad och som inte kräver någon justering eller optimering. Den automatiskt genererade semantiska modellen synkroniseras alltid med den hanterade databasen eftersom den är i DirectQuery-läge.

Du kan skapa en datamart när du antingen är arbetsyteadministratör, medlem eller deltagare. Arbetsyteroller mappas också till roller på databasnivå i Azure SQL Database (eftersom databasen är helt hanterad kan användarbehörigheter inte redigeras eller hanteras i relationsdatabasen).

Med inställningen Skapa datamarts-klientorganisation kan Power BI-administratörer konfigurera vilka grupper av användare som kan skapa datamarter.

Datamart-delning

För datamarter får termen delning en betydelse som skiljer sig från andra Power BI-innehållstyper. Vanligtvis riktas en delningsåtgärd mot en konsument eftersom den ger skrivskyddad behörighet till ett objekt, till exempel en rapport.

Delning av ett datamart riktar sig till innehållsskapare (snarare än konsumenter). Den ger läs- och byggbehörigheter, vilket gör att användarna kan fråga antingen den semantiska modellen eller relationsdatabasen, beroende på vilket de föredrar.

Genom att dela en datamart kan innehållsskapare:

• Skapa innehåll med hjälp av den automatiskt genererade semantiska modellen: Den semantiska modellen är det semantiska lager som Power BI-rapporter kan skapas på. De flesta rapportskapare bör använda den semantiska modellen.
• Anslut till och fråga Azure SQL Database: Relationsdatabasen är användbar för innehållsskapare som vill skapa nya semantiska modeller eller sidnumrerade rapporter. De kan skriva SQL-frågor (Structured Query Language) för att hämta data med hjälp av SQL-slutpunkten.

Datamart säkerhet på radnivå

Du kan definiera RLS för datamarter för att begränsa dataåtkomsten för angivna användare. RLS konfigureras i datamartredigeraren i Power BI-tjänst och tillämpas automatiskt på den automatiskt genererade semantiska modellen och Azure SQL Database (som säkerhetsregler).

Oavsett hur en användare väljer att ansluta till datamart (till den semantiska modellen eller databasen) tillämpas identiska RLS-behörigheter.

Checklista – När du planerar för behörigheter för datamart-skapare inkluderar viktiga beslut och åtgärder:

Behörigheter för styrkortsskapare

Med mått i Power BI kan du kurera specifika mått och spåra dem mot viktiga affärsmål. Mått läggs till i styrkort, som kan delas med andra användare och visas i ett enda fönster.

Styrkort kan skyddas med tre behörighetsnivåer:

• Arbetsyta.
• Styrkortsbehörigheter (per objekt).
• Mått (inom styrkortet).

En användare som skapar eller fullständigt hanterar ett styrkort måste vara arbetsyteadministratör, medlem eller deltagare.

Eftersom mått ofta omfattar flera ämnesområden rekommenderar vi att du skapar en separat arbetsyta så att du oberoende kan hantera behörigheter för skapare och konsumenter.

Med inställningen Skapa och använda mått för klientorganisation kan Power BI-administratörer konfigurera vilka grupper av användare som kan skapa styrkortsmått.

Styrkortsbehörigheter

Du kan tilldela följande styrkortsbehörigheter.

• Läs: Med den här behörigheten kan en användare visa styrkortet.
• Dela igen: Den här behörigheten riktar sig till alla som har befintlig behörighet till styrkortet och tillåter att användarna delar styrkortet med en annan användare.

I enlighet med andra innehållstyper i Power BI-tjänst är behörigheterna per objekt användbara när avsikten är att dela ett objekt med en annan användare. Vi rekommenderar att du använder arbetsyteroller och appbehörigheter när det är möjligt.

Behörigheter på måttnivå

Varje styrkort har en uppsättning behörigheter på måttnivå som du kan konfigurera i styrkortsinställningarna. Behörigheter på måttnivå (inom ett styrkort) kan beviljas på ett annat sätt än arbetsytan eller styrkortsbehörigheterna (per objekt).

Med rollerna på måttnivå kan du ange:

• Vem kan visa enskilda mått på ett styrkort.
• Vem kan uppdatera enskilda mått genom att:
  • Uppdaterar statusen under en incheckning.
  • Lägga till anteckningar under en incheckning.
  • Uppdaterar det aktuella värdet under en incheckning.

För att minska nivån på framtida underhåll är det möjligt att ange standardbehörigheter som ärvs av submetri som du skapar i framtiden.

Checklista – När du planerar för behörigheter för måttskapare inkluderar viktiga beslut och åtgärder:

Publicera innehåll

Det här avsnittet innehåller ämnen som rör publicering av innehåll som är relevanta för innehållsskapare.

Arbetsytor

Innehållsskapare behöver administratörs-, medlems- eller deltagarrollåtkomst för att publicera innehåll till en arbetsyta. Mer information finns i arbetsyterollerna som beskrevs tidigare i den här artikeln.

Med undantag för personlig BI bör innehållsskapare uppmuntras att publicera innehåll till standardarbetsytor i stället för sin personliga arbetsyta.

Inställningen Blockera ompublicering och inaktivera paketuppdateringsklient ändrar beteendet för publicering av semantiska modeller. När det är aktiverat kan arbetsyteadministratörer, medlemmar eller deltagare inte publicera ändringar i en semantisk modell. Endast den semantiska modellägaren får publicera en uppdatering (tvinga fram övertagandet av en semantisk modell innan en uppdaterad semantisk modell publiceras). Eftersom den här klientinställningen gäller för hela organisationen aktiverar du den med ett mått av försiktighet eftersom den påverkar alla semantiska modeller för hela klientorganisationen. Var noga med att kommunicera med dina semantiska modellskapare vad de kan förvänta sig eftersom det ändrar det normala beteendet för arbetsyteroller.

Power Apps-synkronisering

Det går att skapa en Power Apps-lösning som innehåller inbäddade Power BI-rapporter. Power Apps-processen skapar automatiskt en dedikerad Power BI-arbetsyta för att lagra och skydda Power BI-rapporter och semantiska modeller. Det finns en synkroniseringsprocess för att hantera objekt som finns i både Power Apps och Power BI.

Processen synkroniserar säkerhetsroller för att säkerställa att Power BI ärver samma roller som ursprungligen konfigurerades i Power Apps. Det gör också att innehållsskaparen kan hantera behörigheter för vem som kan visa Power BI-rapporter (och relaterade semantiska modeller) som är inbäddade i en Power App.

Mer information om hur du synkroniserar Power Apps-roller med Power BI-arbetsyteroller finns i Behörighetssynkronisering mellan Power Apps-miljön och Power BI-arbetsytan.

Åtkomst till distributionspipeline

Innehållsskapare och ägare kan använda Power BI-distributionspipelines för självbetjäning av innehållspublicering. Distributionspipelines förenklar publiceringsprocessen och förbättrar kontrollnivån när nytt innehåll släpps.

Du hanterar pipelinebehörigheter (för användare som kan distribuera innehåll med en distributionspipeline) separat från arbetsyterollerna. Åtkomst till både arbetsytan och distributionspipelinen krävs för de användare som utför en distribution.

Innehållsskapare kan också behöva:

• Behörigheter för att skapa arbetsytor (när arbetsytor måste skapas av pipelinen).
• Premium- eller Fabric-kapacitetsbehörigheter (när arbetsytor tilldelas av pipelinen).

Mer information finns i Åtkomst till distributionspipeline.

XMLA-slutpunkt

XMLA-slutpunkten använder XMLA-protokollet för att exponera alla funktioner i en tabelldatamodell, inklusive vissa datamodelleringsåtgärder som inte stöds av Power BI Desktop. Du kan använda API:et för tabellobjektmodell (TOM) för att göra programmässiga ändringar i en datamodell.

XMLA-slutpunkten ger också anslutning. Du kan bara ansluta till en semantisk modell när arbetsytan har sitt licensläge inställt på Premium per användare, Premium per kapacitet eller Inbäddad. När en anslutning har upprättats kan ett XMLA-kompatibelt verktyg köras på datamodellen för att läsa eller skriva data. Mer information om hur du kan använda XMLA-slutpunkten för att hantera en semantisk modell finns i scenariot för hantering av avancerade datamodeller.

Åtkomst via XMLA-slutpunkten respekterar befintliga behörigheter. Arbetsyteadministratörer, medlemmar och deltagare har implicit semantisk modellskrivningsbehörighet, vilket innebär att de kan distribuera nya semantiska modeller från Visual Studio och köra TMSL-skript (Tabular Modeling Scripting Language) i SQL Server Management Studio (SSMS).

Användare med behörigheten Semantic Model Build kan använda XMLA-slutpunkten för att ansluta till och bläddra i semantiska modeller för dataförbrukning och visualisering. RLS-regler respekteras och användarna kan inte se interna semantiska modellmetadata.

Inställningen Tillåt XMLA-slutpunkter och Analysera i Excel med lokala semantiska modeller refererar till två funktioner: Den styr vilka grupper av användare som kan använda XMLA-slutpunkten för att fråga efter och/eller underhålla semantiska modeller i Power BI-tjänst. Den avgör också om Analysera i Excel kan användas med lokala SSAS-modeller (SQL Server Analysis Services).

Publicera på webben

Publicera på webben är en funktion som ger åtkomst till Power BI-rapporter till alla på Internet. Det kräver inte autentisering och åtkomst loggas inte i granskningssyfte. Eftersom rapportkonsumenter inte behöver tillhöra organisationen eller ha en Power BI-licens passar den här tekniken bra för datajournalistik, en process där rapporter är inbäddade i blogginlägg, webbplatser, e-postmeddelanden eller sociala medier.

Med inställningen Publicera till webbklient kan Power BI-administratörer styra vilka grupper av användare som kan publicera rapporter på webben. För att upprätthålla en högre kontrollnivå rekommenderar vi att du inte inkluderar andra grupper i den här klientinställningen (till exempel Power BI-administratörer eller andra typer av innehållsskapare). Framtvinga i stället specifik användaråtkomst med hjälp av en säkerhetsgrupp, till exempel offentlig Power BI-publicering. Se till att säkerhetsgruppen är väl hanterad.

Bädda in i anpassade appar

Med inställningen Bädda in innehåll i appar kan Power BI-administratörer styra vilka användare som kan bädda in Power BI-innehåll utanför Power BI-tjänst. När du planerar att bädda in Power BI-innehåll i anpassade program aktiverar du den här inställningen för specifika grupper, till exempel apputvecklare.

Bädda in i PowerPoint

Med inställningen Aktivera Power BI-tillägg för PowerPoint-klientorganisation kan Power BI-administratörer styra vilka användare som kan bädda in Power BI-rapportsidor i PowerPoint-presentationer. När det är lämpligt aktiverar du den här inställningen för specifika grupper, till exempel rapportskapare.

Utbilda rapportskapare att vara försiktiga med var de sparar sina PowerPoint-presentationer och vem de delar dem med. Det beror på att en bild av visuella Power BI-rapportobjekt visas för användarna när de öppnar presentationen. Avbildningen har tagits från den senaste gången PowerPoint-filen var ansluten. Bilden kan dock oavsiktligt avslöja data som den mottagande användaren inte har behörighet att se.

Mallappar

Med mallappar kan Power BI-partner och programvaruleverantörer skapa Power BI-appar med liten eller ingen kodning och distribuera dem till alla Power BI-kunder.

Med inställningen Publicera mallappar kan Power BI-administratörer styra vilka användare som kan publicera mallappar utanför organisationen, till exempel via Microsoft AppSource. För de flesta organisationer bör den här klientinställningen inaktiveras eller kontrolleras noggrant. Överväg att använda en säkerhetsgrupp, till exempel skapare av externa power BI-mallappar.

E-postprenumerationer

Du kan prenumerera själv och andra på Power BI-rapporter, instrumentpaneler och sidnumrerade rapporter. Power BI skickar sedan ett e-postmeddelande enligt ett schema som du anger. E-postmeddelandet innehåller en ögonblicksbild och en länk till rapporten eller instrumentpanelen.

Du kan skapa en prenumeration som innehåller andra användare när du är arbetsyteadministratör, medlem eller deltagare. Om rapporten finns i en Premium-arbetsyta kan du prenumerera på grupper (oavsett om de finns i din domän eller inte) och externa användare. När du konfigurerar prenumerationen finns det också möjlighet att bevilja behörigheter till objektet. Behörigheter för direkt åtkomst per objekt används för detta ändamål, vilket beskrivs i artikeln Rapport för konsumentsäkerhetsplanering .

Med klientinställningen e-postprenumerationer kan Power BI-administratörer styra om den här funktionen är aktiverad eller inaktiverad för hela organisationen.

Det finns vissa begränsningar för bilagor som rör licensierings- och klientinställningsbegränsningar. Mer information finns i E-postprenumerationer för rapporter och instrumentpaneler i Power BI-tjänst.

Checklista – När du planerar för publicering av innehåll omfattar viktiga beslut och åtgärder:

Uppdatera data

När dataskaparna har publicerats bör de se till att deras semantiska modeller och dataflöden (som innehåller importerade data) uppdateras regelbundet. Du bör också besluta om lämpliga strategier för semantikmodellen och dataflödesägare.

Semantisk modellägare

Varje semantisk modell har en ägare, vilket är ett enskilt användarkonto. Semantisk modellägare krävs för att konfigurera semantisk modelluppdatering och ange semantiska modellparametrar.

Som standard tar semantikmodellens ägare också emot åtkomstbegäranden från rapportskapare som vill ha Build-behörigheter (såvida inte inställningarna för begärandeåtkomst för den semantiska modellen anges för att tillhandahålla anpassade instruktioner). Mer information finns i avsnittet Begär åtkomstarbetsflöde för skapare i den här artikeln.

Det finns två sätt som Power BI kan hämta autentiseringsuppgifter för att uppdatera en semantisk modell.

• Semantikmodellens ägare lagrar autentiseringsuppgifter i inställningarna för semantisk modell.
• Ägaren av semantikmodellen refererar till en gateway i inställningarna för semantisk modell (som innehåller en datakälla med lagrade autentiseringsuppgifter).

Om en annan användare behöver konfigurera uppdatering eller ställa in semantiska modellparametrar måste de ta över ägarskapet för den semantiska modellen. semantisk modellägarskap kan övertas av en arbetsyteadministratör, medlem eller deltagare.

Helst är den semantiska modellens ägare den användare som ansvarar för den semantiska modellen. Du bör uppdatera semantikmodellens ägare när de lämnar organisationen eller ändrar roller. Tänk också på att när semantikmodellens ägares användarkonto inaktiveras i Microsoft Entra-ID inaktiveras datauppdatering automatiskt. I det här fallet måste en annan användare ta över ägarskapet för den semantiska modellen för att datauppdateringsåtgärder ska kunna återupptas.

Dataflödesägare

Precis som semantiska modeller har dataflöden också en ägare, som är ett enda användarkonto. Informationen och vägledningen i föregående avsnitt om ägare av semantiska modeller gäller även för dataflödesägare.

Checklista – När du planerar för säkerhet som rör datauppdateringsprocesser är viktiga beslut och åtgärder:

Relaterat innehåll

Andra överväganden, åtgärder, beslutskriterier och rekommendationer som hjälper dig med beslut om Power BI-implementering finns i ämnesområdena att överväga.