Microsoft Fabric 採用藍圖:系統監督
注意
本文是《Microsoft Fabric 採用藍圖》系列文章的一部分。 如需系列的概觀,請參閱 Microsoft Fabric 採用藍圖 (部分機器翻譯)。
系統監督 (也稱為 Fabric 管理) 是持續進行的日常管理活動。 其特別關心:
- 治理:制定治理指導方針和原則,以支援自助和企業資料和商業智慧 (BI) 案例。
- 使用者賦能:輔助和支援內部流程與系統,以盡可能未內部使用者社群賦能,同時遵守組織的法規和需求。
- 採用:允許使用有效的治理和資料管理做法來更廣泛地採用 Fabric。
系統監督是一個廣泛且深入的主題。 本文的目標是介紹一些最重要的考量和動作,以協助您在組織採用 (部分機器翻譯) 的目標上取得成功。
Fabric 管理員
Fabric 管理員角色是 Microsoft 365 中定義的角色,其會委派管理活動的子集。 全域 Microsoft 365 管理員是隱含的 Fabric 管理員。 Power Platform 管理員也是隱含的 Fabric 管理員。
其中一個關鍵的治理決策,是要將誰指派為 Fabric 管理員。 這個集中式角色將能影響您整個租用戶 (部分機器翻譯)。 在理想情況下,組織中應該要有兩到四個人能夠管理 Fabric。 您的管理員應與卓越中心 (COE) (部分機器翻譯) 密切協調運作。
高權限角色
Fabric 管理員角色是高權限角色,因為:
- 使用者體驗:由 Fabric 管理員管理的設定對使用者功能和使用者體驗有顯著的影響。 如需詳細資訊,請參閱控管租用戶設定 (部分機器翻譯)。
- 完整安全性存取:Fabric 管理員可以更新租用戶中工作區的存取權限。 結果是管理員可以視需要允許檢視或下載資料與報表的權限。 如需詳細資訊,請參閱控管租用戶設定 (部分機器翻譯)。
- 個人工作區存取:Fabric 管理員可以存取任何使用者的內容,並控管任何使用者的個人工作區 (部分機器翻譯)。
- 中繼資料:Fabric 管理員可以檢視所有租用戶中繼資料,包括在 Fabric 入口網站中發生的所有使用者活動 (如下方的稽核和監視一節所述)。
重要
擁有太多 Fabric 管理員是有風險的。 這會增加對租用戶未經核准、非預期或不一致管理的可能性。
角色和責任
管理員每天執行的活動類型會因組織而有所不同。 您在資料文化中視為重要且賦予優先順序的項目,將會大幅影響管理員的職責 (部分機器翻譯) 以支援商業導向的自助、受控自助,以及企業資料和 BI 案例。 如需詳細資訊,請參閱內容擁有權和管理 (部分機器翻譯) 一文。
提示
最適合擔任 Fabric 管理員的人員類型,是對工具和工作負載有足夠的知識,以了解自助使用者需要完成之工作的人員。 透過這項了解,管理員便可以在使用者賦能和治理之間取得平衡。
除了 Fabric 管理員之外,還有其他角色也會使用管理員一詞。 下表描述常用且經常使用的角色。
| Role | Scope | 說明 |
|---|---|---|
| Fabric 管理員 | 租用戶 | 管理 Fabric 入口網站中的租用戶設定和其他設定。 本文中對於「管理員」的所有一般參考都是指這種類型的管理員。 |
| 容量管理員 | 單一容量 | 管理工作區和工作負載,並監視 Fabric 容量的健康情況。 |
| 資料閘道管理員 | 單一閘道 | 管理閘道資料來源設定、認證和使用者指派。 也可能處理閘道軟體更新 (或與基礎結構小組針對更新進行共同作業)。 |
| 工作區管理員 | 單一工作區 | 管理工作區設定和存取。 |
Fabric 的工作負載生態系統既廣泛且深入。 Fabric 能透過許多方式與其他系統和平台整合。 因此不時需要與其他管理員和 IT 專業人員合作。 如需詳細資訊,請參閱與其他管理員共同作業 (部分機器翻譯)。
本文的其餘部分提供 Fabric 管理員最常執行之活動的概觀。 其著重於在針對組織採用 (部分機器翻譯) 採取策略性方法時,必須有效執行的活動。
服務管理
監督租用戶是確保所有使用者都具備良好 Power BI 體驗的重要層面。 Fabric 管理員的一些主要治理責任包括:
- 租用戶設定:控制有哪些 Power BI 功能已啟用,以及要提供給組織中的哪些使用者使用。
- 網域:將具有類似特性的兩個或多個工作區組成群組。
- 工作區:檢閱和管理租用戶中的工作區。
- 內嵌程式碼:控管有哪些報告已在網際網路上公開發佈。
- 組織視覺效果:註冊和管理組織視覺效果。
- Azure 連線:與 Azure 服務整合以提供其他功能。
如需詳細資訊,請參閱租用戶管理 (部分機器翻譯)。
使用者電腦和裝置
Fabric 的採用直接取決於內容建立者和取用者擁有所需的工具和應用程式。 以下是需要考慮的一些重要問題。
- 使用者如何要求存取新工具? 是否提供對授權、資料和訓練的存取,以協助使用者有效使用工具?
- 內容取用者要如何檢視其他人發佈的內容?
- 內容建立者要如何開發、管理及發佈內容? 決定哪些工具和應用程式適合哪些使用案例的準則為何?
- 您要如何安裝和設定工具? 那是否包括相關的必要條件和資料連線元件?
- 您要如何管理工具和應用程式的持續更新?
如需詳細資訊,請參閱使用者工具和裝置 (部分機器翻譯)。
架構
在 Fabric 的內容中,結構與資料結構、容量管理和資料閘道結構和管理有關。
資料架構
「資料結構」是指管理及定義所收集資料的原則、做法和方法,以及其內嵌、儲存、管理、整合、模型化及使用的方式。
需要決定許多資料結構決策。 COE 經常需要參與資料結構設計和規劃。 管理員也經常會參與其中,尤其當管理員會管理資料庫或 Azure 基礎結構時。
重要
資料結構決策會 Fabric 採用、使用者滿意度和個別專案的成功率產生重大影響。
會影響採用的一些資料結構考量包括:
- 對於組織的整個資料結構來說,Fabric 比較適合用於哪個位置? 是否有其他現有的元件 (例如企業資料倉儲 (EDW) 或資料湖) 對於計畫上的考量來說很重要?
- Fabric 是以端對端的方式用於資料準備、資料模型化和資料呈現,還是只用於其中一些功能?
- 是否遵循受控自助 (部分機器翻譯) 模式,以在資料重複使用與報表建立者彈性之間找出最佳平衡?
- 使用者會在哪裡取用內容? 一般而言,傳遞內容的三個主要方式包括:Fabric 入口網站、Power BI 報表伺服器,以及內嵌在自訂應用程式中。 此外,對於會在 Teams 中花費大量時間的使用者來說,Microsoft Teams (英文) 是便利的替代方案。
- 誰負責管理和維護資料結構? 是集中式小組還是分散式小組? COE (部分機器翻譯) 在此小組中又是以何種方式代表? 是否需要某些技能?
- 哪些資料來源 (部分機器翻譯) 是最重要的? 我們將取得哪些類型的資料?
- 有哪些語意模型連線模式和儲存模式 (部分機器翻譯) 選擇 (例如 Direct Lake、匯入、即時連線、DirectQuery 或複合模型架構) 最適合使用案例?
- 使用 Lakehouse (部分機器翻譯)、倉儲 (部分機器翻譯) 及共用語意模型能夠在何種程度上鼓勵資料重複使用?
- 使用資料管線 (部分機器翻譯)、筆記本 (部分機器翻譯) 及資料流程 (部分機器翻譯) 能夠在何種程度上鼓勵資料準備邏輯和進階資料準備的重複使用?
在做出結構決策之前,管理員必須充分了解 Fabric 的技術功能,以及其利害關係人的需求和目標。
提示
養成完成技術概念證明 (POC) 來測試假設和想法的好習慣。 當目標是提供較小單位的工作時,有些組織也會將其稱為「微專案」。 POC 的目標是要儘早解決未知問題並降低風險。 POC 不一定是拋棄式的工作,但其範圍應該要很窄。 最佳做法檢閱 (如指導和使用者賦能 (部分機器翻譯) 一文所述) 是協助內容建立者做出重要結構決策的另一個實用方式。
產能管理
容量 (部分機器翻譯) 包括大規模提供分析解決方案的功能與特性。 有兩種類型的 Fabric 組織授權 (部分機器翻譯):Premium Per User (PPU) 和容量。 有數種類型的容量授權 (部分機器翻譯)。 容量授權的類型會決定支援哪些 Fabric 工作負載。
重要
本文有時會提及 Power BI Premium 或其容量訂用帳戶 (P SKU)。 請注意,Microsoft 目前正在整合購買選項,並按容量 SKU 淘汰 Power BI Premium。 新客戶和現有客戶應考慮改為購買 Fabric 容量訂用帳戶 (F SKU)。
如需詳細資訊,請參閱 Power BI Premium 授權的重要更新 (英文) 和 Power BI Premium 常見問題集 (部分機器翻譯)。
容量的使用在建立、管理、發佈和散發內容的策略中扮演重要角色。 對容量進行投資的幾個主要原因包括:
- 對大量唯讀使用者進行無限制的 Power BI 內容發佈 (部分機器翻譯)。 由具有免費 Power BI 授權的使用者進行的內容取用僅於 Premium 容量中提供,而非 PPU。 由免費使用者進行的內容取用也可透過 F64 Fabric 容量授權或更高版本提供。
- 存取 Fabric 體驗 (部分機器翻譯) 以產生端對端分析。
- 部署管線 (部分機器翻譯) 以管理將內容發佈至開發、測試和實際執行工作區。 強烈建議針對重要內容採用這些做法,以改善發行穩定性。
- XMLA 端點 (部分機器翻譯),其為用於管理和發佈語意模型,或從任何符合 XMLA 規範的工具查詢語意模型的業界標準通訊協定。
- 增加的模型大小限制,包括大型語意模型 (部分機器翻譯) 支援。
- 更頻繁的資料重新整理 (部分機器翻譯)。
- 在與主區域不同的特定地理區域中儲存資料 (部分機器翻譯)。
上述並非完全清單。 如需完整清單,請參閱 Power BI Premium 功能 (部分機器翻譯)。
管理網狀架構容量
監督 Fabric 容量的健康情況是管理員不可或缺的持續活動。 每個容量 SKU 都包括一組資源。 容量單位 (CU) 可用來測量每個 SKU 的計算資源。
警告
在缺乏管理,且持續超過容量資源限制的情況下,很容易會導致效能挑戰和使用者體驗挑戰。 如果未能正確管理,這兩項挑戰都可能導致對採用工作的負面影響。
針對管理 Fabric 容量的建議:
- 定義是誰負責管理容量。 確認角色和責任,以釐清採取各種動作的原因、時機及人員。
- 建立將發佈至容量之內容的特定準則集。 這個問題在有多個業務單位使用單一容量時特別相關,因為如果容量管理不佳,可能會中斷其他使用者。 在將新內容發佈至實際執行容量之前,請考慮要求進行最佳做法檢閱 (部分機器翻譯) (例如合理的語意模型大小和效率計算)。
- 定期使用 Fabric 容量計量應用程式 (部分機器翻譯) 以了解容量的資源使用率和模式。 最重要的是,尋找一致的過度使用模式,因為其將會導致使用者中斷。 使用模式的分析也應該讓您知道容量的使用量是否過低,這表示可以從投資中獲得更多價值。
- 設定租用戶設定 (部分機器翻譯),讓 Fabric 在容量超載 (英文),或是發生中斷或事件時通知您。
Autoscale
自動調整 (部分機器翻譯) 的目的是處理容量使用層級中偶爾或非預期發生的高載。 自動調整可以透過自動增加 CPU 資源以支援增加的工作負載來回應這些高載。
自動化擴大能以財務影響換取效能和使用者體驗挑戰風險的降低。 如果容量無法妥善管理,自動調整可能會比預期更頻繁地觸發。 在此情況下,計量應用程式 (部分機器翻譯) 可協助您判斷底層問題及執行容量規劃。
分散式容量管理
容量管理員需負責指派工作區 (部分機器翻譯) 給特定容量。
請注意,如果工作區管理員擁有 PPU 授權,工作區系統管理員也可以將工作區指派給 PPU。 不過,所有其他工作區使用者也必須擁有 PPU 授權,才能在工作區中針對 Power BI 內容進行共同作業或加以檢視。 其他 Fabric 工作負載不能包括在指派給 PPU 的工作區中。
可以設定多個容量,以方便不同業務單位進行分散式管理。 針對 Fabric 的特定層面進行分散式管理,是在靈活度和控制之間取得平衡的絕佳方式。
以下範例說明管理容量的其中一種方式。
- 購買 (部分機器翻譯) Microsoft 365 中的 P3 容量節點。 其包括 32 個虛擬核心 (V 核心)。
- 使用 16 個 V 核心來建立第一個容量。 其將由銷售小組使用。
- 使用 8 個 V 核心來建立第二個容量。 其將由營運小組使用。
- 使用剩餘 8 個 V 核心來建立第三個容量。 其將支援一般用途。
上述範例有數個優點。
- 您可以為每個容量設定個別的容量管理員 (部分機器翻譯)。 因此,這能促成分散式的管理情況。
- 如果某個容量未能妥善管理,其影響會被限制在該容量內。 其他容量不會受到影響。
- 針對其他業務單位的計費和退款相當直覺。
- 可以輕鬆地將不同的工作區指派給不同的容量。
不過,上述範例也有缺點。
- 每個容量的限制 (部分機器翻譯) 較低。 語意模型允許的最大記憶體大小並不是所購買的整個 P3 容量節點大小。 其是裝載語意模型的所指派容量大小。
- 其中一個較小的容量更有可能在某個時間點需要擴大。
- 租用戶中有更多容量需要管理。
注意
每個容量的 Power BI Premium 資源稱為 V 核心。 不過,Fabric 容量會將其稱為容量單位 (CU)。 每個 SKU 的 CU 和 V 核心的規模都不同。 如需詳細資訊,請參閱 Fabric 授權 (部分機器翻譯) 文件。
資料閘道結構和管理
資料閘道 (部分機器翻譯) 可在組織資料來源與 Fabric 服務之間促成安全且有效率的資料傳輸。 當資料來源具有下列屬性時,需要資料閘道才能與內部部署或雲端服務建立資料連線:
- 位於企業資料中心內。
- 設定在防火牆後方。
- 虛擬網路內。
- 位於虛擬機器內。
閘道一共有三種類型。
- 內部部署的資料閘道 (標準模式) 是一種閘道服務,可支援連線到註冊的資料來源,以供許多使用者使用。 閘道軟體安裝和更新會安裝在客戶所管理的電腦上。
- 內部部署的資料閘道 (個人模式) 是僅支援資料重新整理的閘道服務。 此閘道模式通常會安裝在內容建立者的電腦上。 其僅支援由單一使用者使用。 其不支援即時連線或 DirectQuery 連線。
- 虛擬網路資料閘道是支援許多使用者進行連線的 Microsoft 受控服務。 具體來說,其支援針對儲存在指派給 Premium 容量或 Premium Per User 的工作區中的語意模型和資料流程進行連線。
提示
誰可以安裝閘道軟體是一項治理決策。 對大多數組織而言,強烈建議使用標準模式的資料閘道,或是虛擬網路資料閘道。 其比個人模式的資料閘道更具可調整性、可管理性及可稽核性。
分散式閘道管理
內部部署的資料閘道 (標準模式) 和虛擬網路資料閘道支援可註冊的特定資料來源類型,以及連線詳細資料和認證儲存的方式。 使用者可以授與權限以使用閘道資料來源,讓他們可以安排重新整理或執行 DirectQuery 查詢。
閘道管理的某些層面可以有效地以分散式的基礎完成,以在靈活度和控制上取得平衡。 例如,營運小組可能有專用於其自助內容建立者和資料擁有者小組的閘道。
分散式閘道管理以下列方式分工時的效果最佳。
由分散式資料擁有者管理:
- 部門式資料來源連線資訊和隱私權層級。
- 部門式資料來源儲存的認證 (包括更新例行密碼變更的責任)。
- 部門式資料來源使用者,允許其使用每個資料來源。
由集中式資料擁有者管理 (包括廣泛用於整個組織的資料來源;管理會集中化,以避免重複的資料來源):
- 集中式資料來源連線資訊和隱私權層級。
- 集中式資料來源儲存的認證 (包括更新例行密碼變更的責任)。
- 集中式資料來源使用者,允許其使用每個資料來源。
由 IT 所管理:
- 閘道軟體更新 (閘道更新通常會在每月發行)。
- 安裝驅動程式和自訂連接器 (與安裝在使用者電腦 (部分機器翻譯) 上的相同)。
- 閘道叢集管理 (閘道叢集中用於高可用性、災害復原,以及消除可能會導致嚴重使用者中斷之單一失敗點的電腦數目)。
- 伺服器管理 (例如作業系統、RAM、CPU 或網路連線能力)。
- 閘道加密金鑰的管理與備份。
- 監視閘道記錄,以評定何時需要擴大或擴增。
- 警示閘道電腦上的停機時間或持續性低資源。
提示
透過允許分散式小組管理閘道的某些層面,使他們可以更快速地採取動作。 分散式閘道管理的取捨意味著需要執行更多閘道伺服器,讓每部伺服器都能夠專用於組織的特定區域。 如果閘道管理完全由 IT 處理,就必須制定良好的流程,以便快速處理要求以新增資料來源並套用使用者更新。
使用者授權
每個使用者都需要一個商業授權,其會與 Microsoft Entra 身分識別整合。 使用者授權可以是免費、Pro 或 Premium Per User (PPU)。
使用者授權是透過訂用帳戶取得,其能搭配開始和結束日期授與特定數目的授權。
注意
雖然每個使用者都需要授權,但只需要 Pro 或 PPU 授權才能共用 Power BI 內容。 具有免費授權的使用者可以建立及共用 Power BI 項目以外的 Fabric 內容。
採購訂用帳戶的方法有兩種。
自助式購買
重要的治理 (部分機器翻譯) 決策會與允許或鼓勵自助購買的程度有關。
自助購買對於下列情況很實用:
- 業務部門分散的大型組織,其擁有採購權並希望直接使用信用卡處理付款。
- 想要盡可能輕鬆地按每月履約承諾購買訂用帳戶的組織。
請考慮在下列情況下停用自助購買:
- 集中採購流程已就緒,可滿足監管、安全性和治理要求。
- 折扣定價是透過 Enterprise 合約 (EA) 取得。
- 現有的流程已就緒,可處理公司間退款。
- 現有的流程已就緒,可處理群組型 (部分機器翻譯) 授權指派。
- 已完成取得授權的必要條件,例如核准、正當由、訓練或治理原則需求。
- 存在嚴格控制存取權的合理需求,例如法規要求。
使用者授權試用版
另一項重要的治理決策為是否允許使用者授權試用版。 根據預設,會啟用試用版。 這表示與同事共用內容時,如果收件者沒有 Pro 或 PPU 授權,系統會提示他們開始試用版以檢視內容 (如果內容不在容量支援的工作區內的話)。 試用版體驗目的在提供方便,讓使用者能夠繼續進行正常的工作流程。
一般而言,不建議停用試用版。 這可能會鼓勵使用者尋求解決方法,像是透過匯出資料或在支援的工具和流程之外工作。
僅在以下情況下考慮停用試用版:
- 有嚴重的成本考慮,導致不太可能在試用期結束時授與完整的授權。
- 具有取得授權的必要條件 (例如核准、正當理由或訓練需求)。 在試用期間滿足這項需求是不夠的。
- 存在嚴格控制對 Fabric 存取的合理需求,例如法規要求。
提示
請勿在取得 Fabric 授權上引入太多障礙。 需要完成工作的使用者終究會找到方法,但那些方法可能會牽涉到不理想的因應措施。 例如,在沒有使用 Fabric 的授權的情況下,即便有明顯更好的方法可用,人們仍可能會過度依賴在檔案系統上或透過電子郵件來共用檔案。
成本管理
管理及最佳化雲端服務 (例如 Fabric) 的成本,是一項重要的活動。 以下是您可以考慮的數個活動。
- 分析會使用 (以及更重要的,未使用) 為其配置之 Fabric 授權的人員,並做出必要調整。 Fabric 使用量是使用活動記錄 (部分機器翻譯) 來加以分析。
- 分析容量 (部分機器翻譯) 或 Premium Per User (部分機器翻譯) 的成本效益。 除了額外的功能 (部分機器翻譯) 之外,請執行成本/益處分析,以判斷在有大量取用者的情況下,容量授權是否更具成本效益。
- 仔細監視和管理 Fabric 容量 (部分機器翻譯)。 了解在一段時間內的使用模式,可讓您預測何時應購買更多容量 (部分機器翻譯)。 例如,您可以選擇將單一容量從 P1 擴大至 P2,或從一個 P1 容量擴增至兩個 P1 容量。
- 如果使用量層級偶爾會出現尖峰,建議使用自動調整 (部分機器翻譯) 來確保使用者體驗不會中斷。 自動調整會將容量資源擴大 24 小時,然後將其縮小為正常層級 (如果不存在持續的活動的話)。 透過限制 V 核心數目上限和/或在 Azure 中設定的消費限制,來管理自動調整成本。 由於定價模型,自動調整最適合處理偶爾非規劃的使用量增加問題。
- 針對 Azure 資料來源,請盡可能將其共置於與 Fabric 租用戶相同的區域中。 這可避免產生 Azure 輸出費用。 資料輸出費用雖然很低,但在大規模的情況下可能會增加相當多的非規劃性成本。
安全性、資訊保護和資料外洩防護
安全性、資訊保護和資料外洩防護 (DLP) 是所有內容建立者、取用者和管理員的共同責任。 這並不是一件小工作,原因是無處不在的敏感性資訊:個人資料、客戶資料或客戶撰寫的資料、受保護的健康資訊、智慧財產權、專屬組織資訊,還有更多其他資訊。 政府、產業和合約法規可能會對您所建立與安全性相關的治理 (部分機器翻譯) 指導方針和原則產生重大影響。
Power BI 安全性白皮書 (部分機器翻譯) 是了解各種考量的絕佳資源,包括 Microsoft 管理的層面。 本節將介紹客戶需負責管理的數個主題。
使用者職責
某些組織會要求 Fabric 使用者接受自助使用者通知。 這是一份說明使用者針對保護組織資料的責任和期望的文件。
將其實作自動化的其中一種方法是使用 Microsoft Entra 使用規定原則。 使用者必須先檢視並同意原則,才能首次造訪 Fabric 入口網站。 您也可以要求定期認可,例如於每年度續約。
資料安全性
在雲端共同責任模型中,保護資料一律是客戶的責任。 透過自助資料平台,自助內容建立者必須負責妥善保護他們與同事共用的內容。
COE 應提供文件和訓練 (部分機器翻譯),以協助內容建立者採用最佳做法 (特別是在處理超敏感性資料上)。
管理員可以透過自行遵循最佳做法來協助這一點。 管理員也可以在看到可在管理工作區 (部分機器翻譯)、稽核使用者活動 (部分機器翻譯),或管理閘道認證和使用者時發現的問題時提出疑慮。 通常還會有數個除了少數使用者外會加以限制的租用戶設定 (部分機器翻譯) (例如發佈至 Web (部分機器翻譯) 的能力,或將應用程式發佈至整個組織 (部分機器翻譯) 的能力)。
外部來賓使用者
外部使用者 (例如合作夥伴、客戶、廠商和顧問) 對於某些組織很常見,對於其他則相當罕見。 處理外部使用者的方式是一項治理決策。
外部使用者存取是由租用戶設定 (部分機器翻譯) 和特定 Microsoft Entra ID 設定所控制。 如需外部使用者考量的詳細資料,請檢閱使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者 (部分機器翻譯) 白皮書。
資訊保護和資料外洩防護
Fabric 支援以下列方式進行資訊保護和資料外洩防護 (DLP) 的功能。
- 資訊保護:Microsoft Purview 資訊保護 (先前稱為 Microsoft 資訊保護) 包括探索、分類和保護資料的功能。 其中一個主要原則是,分類後的資料將能得到更好的保護。 分類資料的關鍵建置組塊是敏感度標籤 (部分機器翻譯)。 如需詳細資訊,請參閱 Power BI 規劃的資訊保護 (部分機器翻譯)。
- Power BI 資料外洩防護:Microsoft Purview 資料外洩防護 (先前稱為 Office 365 資料外洩防護) 支援 Power BI 的 DLP 原則 (部分機器翻譯)。 透過使用敏感度標籤或敏感性資訊類型,Power BI 的 DLP 原則可協助組織找出敏感性語意模型。 如需詳細資訊,請參閱 Power BI 規劃的資料外洩防護 (部分機器翻譯)。
- Microsoft Defender for Cloud Apps:Microsoft Defender for Cloud Apps (部分機器翻譯) (先前稱為 Microsoft Cloud App Security) 支援可協助保護資料的原則,包括在使用者與 Power BI 服務互動時的即時控制。 如需詳細資訊,請參閱 Power BI 規劃的 Defender for Cloud Apps (部分機器翻譯)。
資料落地
對於需要將資料儲存在某個地理區域內的組織,可以將 Fabric 容量設定為與 Fabric 租用戶的主區域不同的特定區域 (部分機器翻譯)。
加密金鑰
Microsoft 使用透明伺服器端加密和憑證自動輪替,處理 Microsoft 資料中心中的「待用資料」。 對於依法規需求需要自行管理 Premium 加密金鑰 (部分機器翻譯) 的客戶,可以將 Premium 容量設定為使用 Azure Key Vault (部分機器翻譯)。 使用客戶自控金鑰 (也稱為「攜帶您自己的金鑰」或 BYOK) 是一項預防措施,可確保在服務操作員發生人為錯誤時,不會公開客戶資料。
請注意,Premium Per User (PPU) (部分機器翻譯) 只有在針對整個 Fabric 租用戶啟用 BYOK 時才支援使用 BYOK。
稽核和監視
請務必使用稽核資料來分析採用工作、了解使用模式、教育使用者、支援使用者、降低風險、改善合規性、管理授權成本,以及監視效能。 如需稽核資料為何很有價值的詳細資訊,請參閱稽核和監視概觀 (部分機器翻譯)。
視您的角色和目標而定,有不同的方式可以進行稽核和監視。 下列文章說明各種考量和規劃活動。
- 報表層級稽核 (部分機器翻譯):報表建立者可用來了解有哪些使用者正在使用他們建立、發佈和共用的報表的技巧。
- 資料層級稽核 (部分機器翻譯):資料建立者可用來追蹤他們建立、發佈和共用之資料資產的效能和使用模式的方法。
- 租用戶層級稽核:管理員可以採取來建立端對端稽核解決方案的重要決策和動作。
- 租用戶層級監視 (部分機器翻譯):管理員可以採取來監視 Power BI 服務 (包括更新和公告) 的戰術動作。
REST API
Power BI REST API (部分機器翻譯) 和 Fabric REST API (英文) 能提供關於您 Fabric 租用戶的大量資訊。 使用 REST API 來擷取資料應該在管理和控管 Fabric 實作方面扮演重要角色。 如需規劃使用 REST API 進行稽核的詳細資訊,請參閱租用戶層級稽核 (部分機器翻譯)。
您可以擷取稽核資料來建置稽核解決方案、以程式設計方式管理內容,或提高例行動作的效率。 下表提供您可以使用 REST API 執行的一些動作。
| 動作 | 文件資源 |
|---|---|
| 稽核使用者活動 | 用來取得活動事件的 REST API (部分機器翻譯) |
| 稽核工作區、項目和權限 | 用來取得租用戶清查的非同步中繼資料掃描 REST API 集合 (部分機器翻譯) |
| 稽核與整個組織共用的內容 | 用來檢查廣泛共用連結之使用的 REST API (部分機器翻譯) |
| 稽核租用戶設定 | 用來檢查租用戶設定的 REST API (部分機器翻譯) |
| 發佈內容 | 用來從部署管線部署項目的 REST API (部分機器翻譯) 或用來將報表複製到另一個工作區的 REST API (部分機器翻譯) |
| 管理內容 | 用來重新整理語意模型的 REST API (部分機器翻譯) 或用來接管語意模型擁有權的 REST API (部分機器翻譯) |
| 管理閘道資料來源 | 用來更新閘道資料來源認證的 REST API (部分機器翻譯) |
| 匯出內容 | 用來匯出報表的 REST API (部分機器翻譯) |
| 建立工作區 | 用來建立新工作區的 REST API (部分機器翻譯) |
| 管理工作區權限 | 用來將使用者權限指派給工作區的 REST API (部分機器翻譯) |
| 更新工作區名稱或描述 | 用來更新工作區屬性的 REST API (部分機器翻譯) |
| 還原工作區 | 用來還原已刪除之工作區的 REST API (部分機器翻譯) |
| 以程式設計方式從語意模型擷取查詢結果 | 用來針對語意模型執行 DAX 查詢的 REST API (部分機器翻譯) |
| 將工作區指派給容量 | 用來將工作區指派給容量的 REST API (部分機器翻譯) |
| 以程式設計方式變更資料模型 | 表格式物件模型 (TOM) API (部分機器翻譯) |
| 在自訂應用程式中內嵌 Power BI 內容 | Power BI 內嵌式分析用戶端 API (部分機器翻譯) |
提示
還有其他許多 Power BI REST API。 如需完整清單,請參閱使用 Power BI REST API (部分機器翻譯)。
規劃變更
每個月,Microsoft 都會推出新的 Fabric 功能和特性。 若要確保效率,涉及系統監督的所有人都必須持續取得最新資訊。 如需詳細資訊,請參閱租用戶層級監視 (部分機器翻譯)。
重要
不要低估持續取得最新資訊的重要性。 如果您落後公告的資訊幾個月,可能會變得難以正確管理 Fabric 並支援您的使用者。
注意事項和關鍵措施
檢查清單 - 您可以針對系統監督採取的考量和重要動作。
改進系統監督:
- 確認誰可以成為 Fabric 管理員:如果具有 Fabric 管理員角色的人員相當多,可能的話,請減少授與該角色的人員數目。
- 針對偶爾擔任管理員的人員使用 PIM:如果您有「偶爾」需要 Fabric 管理員權限的人員,請考慮在 Microsoft Entra ID 中實作 Privileged Identity Management (PIM)。 其設計目的是指派會在幾個小時後到期的 Just-In-Time 角色權限。
- 訓練管理員:檢查為處理 Fabric 管理責任所準備之交叉訓練與文件的狀態。 請確定已訓練候補人員,以便以一致的方式及時滿足需求。
改善 Fabric 服務的管理:
- 檢閱租用戶設定:對所有租用戶設定進行檢閱,以確保其符合資料文化特性 (部分機器翻譯) 目標和治理 (部分機器翻譯) 指導方針和原則。 確認為每個設定指派哪些群組。
- 記錄租用戶設定:為內部 Fabric 社群建立租用戶設定文件,並將其張貼在集中式入口網站中。 包括使用者需要要求哪些群組才能使用功能。 使用取得租用戶設定 REST API (英文) 來讓流程更有效率,並定期建立設定的快照集。
- 自訂 [取得說明] 連結:建立使用者資源時 (如指導和使用者賦能 (部分機器翻譯) 一文所述),請更新租用戶設定 (部分機器翻譯) 以自訂 [取得說明] 功能表選項底下的連結。 其會將使用者導向您的文件、社群和說明。
改善使用者電腦和裝置的管理:
- 建立一致的上線流程:檢閱您處理新內容建立者上線方式的流程。 判斷是否可同時處理軟體 (例如 Power BI Desktop) 和使用者授權 (免費、Pro 或 PPU) 的新要求。 其可以簡化上線,因為新的內容建立者不一定知道要問什麼。
- 處理使用者電腦更新:確定自動化流程已就緒,以安裝及更新軟體、驅動程式和設定,以確保所有使用者都有相同的版本。
資料結構規劃:
- 評定端對端資料結構的外觀:確定您已清楚了解:
- 您組織中的不同業務單位目前使用 Fabric 的方式,以及您想要使用 Fabric 的方式。 判斷是否存在差距。
- 是否有應解決的任何風險。
- 是否有任何要解決的高維護情況。
- 哪些資料來源對於 Fabric 使用者很重要,以及其記錄和探索方式。
- 檢閱現有的資料閘道:了解組織中所使用的閘道。 確認閘道管理員和使用者已正確設定。 確認誰負責支援每個閘道,而且存在可靠的流程來讓閘道伺服器保持在最新狀態。
- 確認個人閘道的使用:檢查使用中的個人閘道數目,以及該閘道是由誰使用。 如果有顯著的使用量,請採取步驟以使用標準模式閘道。
改善使用者授權的管理:
- 檢閱要求使用者授權的流程:釐清讓使用者取得授權的流程是什麼 (包括任何必要條件)。 判斷是否需要對流程進行改進。
- 決定如何處理自助授權購買:釐清是否啟用自助授權購買。 如果這些設定不符合您意圖的授權購買方式,請更新這些設定。
- 確認使用者試用版的處理方式:確認使用者授權試用版已啟用或停用。 請注意,所有使用者試用版都是 Premium Per User。 其適用於註冊試用版的免費授權使用者,以及註冊 Premium Per User 試用版的 Pro 使用者。
改善成本管理:
- 決定您的成本管理目標:考慮如何在資源的成本、功能、使用模式和有效使用上取得平衡。 安排至少以每年為週期的例行流程以評估成本。
- 取得活動記錄資料:確定您可以存取活動記錄資料,以協助分析成本。 其可以用來了解誰正在 (或未在) 使用指派給他們的授權。
改善安全性和資料保護:
- 釐清對資料保護的預期:確保對資料保護的預期 (例如使用敏感度標籤的方式) 會記錄下來並傳達給使用者。
- 決定如何處理外部使用者:了解並記錄與和外部使用者共用 Fabric 內容相關的組織原則。 請確定 Fabric 中的設定支援您針對外部使用者的原則。
- 設定監視:調查使用 Microsoft Defender for Cloud Apps 來監視 Fabric 中使用者行為和活動的情況。
改善稽核和監視:
- 規劃稽核需求:收集和記錄稽核解決方案的關鍵商務需求。 請考慮您對稽核和監視的優先順序。 做出與稽核解決方案類型、權限、要使用的技術,以及資料需求相關的重要決策。 請與 IT 商討以釐清目前存在的稽核流程,以及針對建置新解決方案存在的需求喜好設定。
- 考慮角色和責任:識別哪些小組將參與稽核解決方案的建置,以及對稽核資料的持續分析。
- 擷取和儲存使用者活動資料:如果您目前未擷取和儲存未經處理資料,請開始擷取使用者活動資料。
- 擷取和儲存租用戶清查資料的快照集:開始擷取中繼資料以建置租用戶清查,其中會描述所有工作區和項目。
- 擷取和儲存使用者和群組資料的快照集:開始擷取有關使用者、群組和服務主體的中繼資料。
- 建立策展的資料模型:執行未經處理資料的資料清理和轉換,以建立可支援稽核解決方案分析報告的策展資料模型。
- 分析稽核資料並根據結果採取動作:建立分析報告以分析策展的稽核資料。 釐清預期要採取哪些動作、由誰採取,以及何時採取。
- 包括其他稽核資料:在一段時間後,判斷其他稽核資料是否有助於補充活動記錄資料,例如安全性資料。
提示
如需詳細資訊,請參閱租用戶層級稽核。
使用 REST API:
- 規劃對 REST API 的使用:考慮從 Power BI REST API 和 Fabric REST API 擷取哪些資料最有用。
- 執行概念證明:執行小型概念證明以驗證資料需求、技術選擇和權限。
要思考的問題
使用如可在下面找到的問題來評定系統監督。
- 是否有任何已啟用或停用的非慣用系統管理設定? 例如,是否允許整個組織發佈至 Web (我們強烈建議限制此功能)。
- 系統管理設定和原則是否與使用者的工作方式一致,或是會加以禁止?
- 是否已準備好流程以嚴苛地評估新的設定,並決定其設定方式? 或者,作為預防措施,是否僅設定最具限制性的設定?
- 是否已使用 Microsoft Entra 安全性群組來管理人員可以執行的動作?
- 中央小組是否能夠看到有效的稽核和監視 (部分機器翻譯) 工具?
- 監視解決方案是否能描述資料資產、使用者活動或兩者的相關資訊?
- 是否可對稽核和監視工具採取動作? 是否已設定明確的閾值和動作,還是監視報告只會描述資料資產中的內容?
- Azure Log Analytics (部分機器翻譯) 是否用於 (或規劃用於) 對 Fabric 容量的詳細監視? 決策者是否清楚 Azure Log Analytics 的潛在優點和成本?
- 是否已使用敏感度標籤和資料外洩防護原則? 決策者是否清楚這些功能的潛在優點和成本?
- 管理員是否知道目前的授權數目和授權成本? 有多少比例的 BI 總成本會用於 Fabric 容量,以及 Pro 和 PPU 授權? 如果組織只針對 Power BI 內容使用 Pro 授權,則根據目前的使用者數目和使用模式,切換至 Power BI Premium 或 Fabric 容量是否是較具成本效益的做法?
成熟度等級
下列成熟度層級可協助您評定 Power BI 系統監督的目前狀態。
| 等級 | 系統監督狀態 |
|---|---|
| 100:初始 | • 租用戶設定是由依獲多個管理員根據其最佳判斷獨立設定。 • 會視需要滿足如閘道和容量的結構需求。 不過,並沒有策略性計畫。 • 未使用 Fabric 活動記錄,或選擇性地用於戰術用途。 |
| 200:可重複 | • 租用戶設定刻意與已建立的治理指導方針和原則保持一致。 會定期檢閱所有租用戶設定。 • 僅選取少數特定管理員。 所有管理員都充分了解使用者會在 Fabric 中嘗試完成的工作,因此能夠良好地支援使用者。 • 存在定義完善的流程,以供使用者要求授權和軟體。 使用者可以輕鬆找到要求表單。 已指定自助購買設定。 • 已在 Microsoft 365 中設定敏感度標籤。 不過,標籤的使用仍然不一致。 使用者無法充分了解資料保護的優點。 |
| 300:已定義 | • 租用戶設定已在集中式入口網站中完整記載以供使用者參考,包括如何要求存取正確的群組。 • 有交叉訓練和文件可供管理員使用,以確保持續性、穩定性和一致性。 • 敏感度標籤會一致地指派給內容。 使用者了解使用敏感度標籤在資料保護上的優點。 • 已準備好自動化流程,可將 Fabric 活動記錄和 API 資料匯出至安全的位置以進行報告和稽核。 |
| 400:能力 | • 管理員與 COE 和治理小組密切合作,以提供對 Fabric 的監督。 已成功實現使用者賦能與治理之間的平衡。 • 資料架構的分散式管理 (例如閘道或容量管理) 已有效地處理,以在靈活度和控制之間取得平衡。 • 適用於資料外洩防護的自動化原則已在 Microsoft Defender for Cloud Apps 中設定並主動加以監視。 • 會主動分析活動記錄和 API 資料,以監視和稽核 Fabric 活動。 會根據資料採取主動式動作。 |
| 500:高效率 | • Fabric 管理員會與 COE 密切合作,以主動持續取得最新資訊。 會經常檢閱來自 Fabric 產品小組的部落格文章和發行計畫,以針對即將到來的變更進行規劃。 • 定期進行成本管理分析,以確保能以符合成本效益的方式滿足使用者需求。 • 會使用 Fabric REST API 來定期擷取租用戶設定值。 • 會主動使用活動記錄和 API 資料來了解和改善採用和治理工作。 |
相關內容
如需系統監督和 Fabric 管理的詳細資訊,請參閱下列資源。
- 管理 Microsoft Fabric
- 管理 Power BI - 第 1 部分 (部分機器翻譯)
- 管理 Power BI - 第 2 部分 (部分機器翻譯)
- 管理員訓練營 – 第 1 天
- 管理員訓練營 – 第 2 天
- Power BI 安全性白皮書 (部分機器翻譯)
- 外部來賓使用者白皮書 (部分機器翻譯)
- Power BI 實作規劃 (部分機器翻譯)
在 Microsoft Fabric 採用藍圖系列的下一篇文章 (部分機器翻譯) 中,了解有效的變更管理。