Plánování implementace Power BI: Plánování zabezpečení tvůrce obsahu

Poznámka:

Tento článek je součástí řady článků o plánování implementace Power BI. Tato série se zaměřuje především na prostředí Power BI v Rámci Microsoft Fabric. Úvod do série najdete v tématu Plánování implementace Power BI.

Tento článek o plánování zabezpečení popisuje strategie pro tvůrce obsahu, kteří zodpovídají za vytváření sémantických modelů, toků dat, datových diagramů, sestav nebo řídicích panelů. Primárně se zaměřuje na:

• Správci Power BI: Správci, kteří jsou zodpovědní za dohled nad Power BI v organizaci.
• Center of Excellence, IT a BI team: Týmy, které jsou také zodpovědné za dohled nad Power BI. Možná budou muset spolupracovat se správci Power BI, týmy zabezpečení informací a dalšími relevantními týmy.
• Tvůrci a vlastníci obsahu: Samoobslužní tvůrci BI, kteří potřebují vytvářet, publikovat, zabezpečit a spravovat obsah, který ostatní využívají.

Řada článků je určená k rozšíření obsahu dokumentu white paper o zabezpečení Power BI. Dokument white paper o zabezpečení Power BI se zaměřuje na klíčová technická témata, jako je ověřování, rezidence dat a izolace sítě, hlavním cílem série je poskytnout vám důležité informace a rozhodnutí, které vám pomůžou naplánovat zabezpečení a ochranu osobních údajů.

V organizaci je mnoho uživatelů tvůrci obsahu. Tvůrci obsahu vytvářejí a publikují obsah, který si prohlížejí ostatní. Tvůrci obsahu se zaměřují na tento článek.

Tip

Doporučujeme, abyste si nejprve prostudovali článek o plánování zabezpečení uživatelů sestavy. Popisuje strategie bezpečného poskytování obsahu uživatelům jen pro čtení, včetně toho, jak vynutit zabezpečení dat.

Strategie pro tvůrce obsahu

Základem dobře řízeného samoobslužného systému BI začíná tvůrci obsahu a vlastníci. Vytvářejí a ověřují sémantické modely a sestavy. V mnoha případech tvůrci obsahu také nastavují oprávnění ke správě zabezpečení obsahu.

Tip

Doporučujeme, abyste podporovali kulturu dat, která zajišťuje zabezpečení a ochranu dat jako normální součást role všech uživatelů. K dosažení tohoto cíle je nezbytné vzdělávání uživatelů, podpora a školení.

Pro účely zabezpečení a oprávnění zvažte, že existují dva typy tvůrců obsahu: tvůrci dat a tvůrci sestav. Můžou být zodpovědní za vytváření a správu podnikového bi nebo samoobslužného obsahu BI .

Tvůrci dat

Tvůrce dat je libovolný uživatel Power BI, který vytváří sémantické modely, toky dat nebo datové diagramy.

Tady jsou některé běžné scénáře pro tvůrce dat.

• Vytvoření nového sémantického modelu: Vytvoření a otestování nového datového modelu v Power BI Desktopu Potom se publikuje do služba Power BI, aby se mohl použít jako sdílený sémantický model pro mnoho sestav. Další informace o opakovaném použití sdílených sémantických modelů najdete ve scénáři použití spravované samoobslužné služby BI .
• Rozšíření a přizpůsobení sémantického modelu: Vytvořte živé připojení k existujícímu sdílenému sémantickému modelu v Power BI Desktopu. Převeďte živé připojení na místní model, který umožňuje rozšířit návrh modelu o nové tabulky nebo sloupce. Další informace o rozšíření a přizpůsobení sdílených sémantických modelů najdete v přizpůsobitelném scénáři použití samoobslužných služeb BI .
• Vytvořte nový tok dat: V služba Power BI vytvořte nový tok dat, aby ho bylo možné použít jako zdroj mnoha sémantických modelů. Další informace o opětovném použití aktivit přípravy dat najdete ve scénáři použití samoobslužné přípravy dat.
• Vytvořte nový datový diagram. V služba Power BI vytvořte nový datový diagram.

Tvůrci dat se často nacházejí v podnikových týmech BI a ve center of Excellence (COE). Mají také klíčovou roli, kterou hrají v decentralizovaných organizačních jednotkách a odděleních, která udržují a spravují svá vlastní data.

Další informace o business-led BI, spravované samoobslužné BI a podnikové BI najdete v článku Vlastnictví a správa obsahu.

Tvůrci sestav

Tvůrci sestav vytvářejí sestavy a řídicí panely pro vizualizaci dat, která pocházejí z existujících sémantických modelů.

Tady je několik běžných scénářů pro tvůrce sestav.

• Vytvoření nové sestavy včetně datového modelu: Vytvoření a otestování nové sestavy a datového modelu v Power BI Desktopu Soubor Power BI Desktopu, který obsahuje jednu nebo více stránek sestavy a obsahuje datový model, se publikuje do služba Power BI. Noví tvůrci obsahu tuto metodu běžně používají předtím, než budou vědět o používání sdílených sémantických modelů. Je také vhodné pro úzké případy použití, které nepotřebují opakované použití dat.
• Vytvoření sestavy živého připojení: Vytvořte novou sestavu Power BI, která se připojí ke sdílenému sémantickému modelu v služba Power BI. Další informace o opakovaném použití sdílených sémantických modelů najdete ve scénáři použití spravované samoobslužné služby BI .
• Vytvoření připojeného excelového sešitu: Vytvořte novou excelovou sestavu, která se připojí ke sdílenému sémantickému modelu v služba Power BI. Propojené prostředí Excelu místo stahování dat se důrazně doporučuje.
• Vytvoření sestavy DirectQuery: Vytvořte novou sestavu Power BI, která se připojuje k podporovanému zdroji dat v režimu DirectQuery. Jednou z situací, kdy je tato metoda užitečná, je, když chcete využít zabezpečení uživatelů implementované zdrojovým systémem.

Tvůrci sestav se nacházejí v každé organizační jednotce v organizaci. V organizaci je obvykle mnohem více tvůrců sestav než tvůrci dat.

Tip

I když ne každý sémantický model je sdílený sémantický model, stojí za to přijmout spravovanou samoobslužnou strategii BI . Tato strategie opakovaně používá sdílené sémantické modely, kdykoli je to možné. Vytváření sestav a vytváření dat se tímto způsobem oddělí. Tuto strategii může efektivně využívat jakýkoli tvůrce obsahu z jakékoli obchodní jednotky.

Oprávnění pro tvůrce

Tato část popisuje nejběžnější oprávnění pro tvůrce dat a tvůrce sestav.

Tato část není určená jako kompletní seznam všech možných oprávnění. Spíše je vhodné pomoct s plánováním strategie pro podporu různých typů tvůrců obsahu. Vaším cílem by mělo být dodržovat zásadu nejnižších oprávnění. Tento princip umožňuje dostatek oprávnění, aby uživatelé byli produktivní, aniž by museli zřizovat oprávnění.

Vytváření nového obsahu

Pro vytváření nového obsahu se běžně vyžadují následující oprávnění.

Oprávnění	Tvůrce sestav	Sémantický model creator	Tvůrce toku dat	Tvůrce datového diagramu
Přístup k podkladovému zdroji dat
Sémantická oprávnění ke čtení a sestavení modelu
Oprávnění ke čtení toku dat (pokud se tok dat používá jako zdroj prostřednictvím role Prohlížeče pracovního prostoru)
Přístup k umístění, kde je uložený původní soubor Power BI Desktopu
Oprávnění k používání vlastních vizuálů

Publikování oprávnění k obsahu

Pro publikování obsahu se běžně vyžadují následující oprávnění.

Oprávnění	Tvůrce sestav	Sémantický model creator	Tvůrce toku dat	Tvůrce datového diagramu
Role pracovního prostoru: Přispěvatel, Člen nebo Správce
Sémantická oprávnění k zápisu modelu (pokud uživatel nepatří do role pracovního prostoru)
Role kanálu nasazení pro publikování položek (volitelné)

Aktualizace dat

Pro aktualizaci dat se běžně vyžadují následující oprávnění.

Oprávnění	Tvůrce sestav	Sémantický model creator	Tvůrce toku dat	Tvůrce datového diagramu
Přiřazený vlastník (kdo nastavil nastavení nebo převzal položku)
Přístup k podkladovému zdroji dat (pokud se brána nepoužívá)
Přístup ke zdroji dat v bráně (pokud je zdroj místní nebo ve virtuální síti)

Zbývající část tohoto článku popisuje důležité informace o oprávněních tvůrce obsahu.

Tip

Oprávnění související se zobrazením obsahu najdete v článku Plánování zabezpečení uživatelů sestavy.

Kontrolní seznam – Při plánování strategie zabezpečení pro tvůrce obsahu patří klíčová rozhodnutí a akce:

• Určete, kdo jsou tvůrci dat: Ujistěte se, že znáte, kdo vytváří sémantické modely, toky dat a datové diagramy. Než začnete s plánováním zabezpečení, ověřte, že rozumíte jejich potřebám.
• Určete, kdo jsou tvůrci sestav: Ujistěte se, kdo vytváří sestavy, řídicí panely, sešity a přehledy výkonnostních metrik. Než začnete s plánováním zabezpečení, ověřte, že rozumíte jejich potřebám.

Zjišťování obsahu pro tvůrce

Uživatelé můžou při hledání sémantických modelů a datových diagramů spoléhat na zjišťování dat. Zjišťování dat je funkce Power BI, která tvůrcům obsahu umožňuje vyhledat existující datové prostředky, i když nemají žádná oprávnění k tomuto obsahu.

Zjišťování existujících dat je užitečné pro:

• Tvůrci sestav, kteří chtějí pro novou sestavu použít existující sémantický model.
• Tvůrci sestav, kteří chtějí dotazovat data z existujícího datového diagramu
• Sémantický model tvůrci, kteří chtějí použít existující sémantický model pro nový složený model.

Poznámka:

Zjišťování dat v Power BI není oprávněním zabezpečení dat. Jedná se o nastavení, které autorům sestav umožňuje číst metadata, což jim pomáhá zjišťovat data a žádat o přístup k nim.

Sémantický model nebo datový diagram můžete nastavit jako zjistitelný, když je schválen (certifikovaný nebo povýšený). Když je zjistitelný, můžou ho tvůrci obsahu najít v datovém centru.

Tvůrce obsahu může také požádat o přístup k sémantickému modelu nebo datovému diagramu. Žádost o přístup v podstatě požádá o oprávnění k sestavení, které je potřeba k vytvoření nového obsahu. Při reagování na žádosti o přístup zvažte použití skupin místo jednotlivých uživatelů. Další informace o tom, jak používat skupiny pro tento účel, naleznete v tématu Žádost o pracovní postup přístupu pro uživatele.

Podívejte se na následující tři příklady.

• Sémantický model Sales Summary je certifikovaný. Je to důvěryhodný a autoritativní zdroj pro sledování prodeje. Tento sémantický model používá mnoho samoobslužných tvůrců sestav v celé organizaci. Existuje tedy mnoho existujících sestav a složených modelů založených na sémantickém modelu. Chcete-li podpořit ostatní tvůrce, aby našli a používali sémantický model, je nastaven jako zjistitelný.
• Sémantický model Inventory Stats je certifikovaný. Je to důvěryhodný a autoritativní zdroj pro analýzu inventáře. Sémantický model a související sestavy se spravují a distribuují týmem podnikového BI. Vzhledem ke složitému návrhu sémantického modelu může vytvářet a udržovat obsah inventáře pouze tým podnikového BI. Vzhledem k tomu, že cílem je zabránit tvůrcům sestav v používání sémantického modelu, není nastaven jako zjistitelný.
• Sémantický model sémantických bonusů executive obsahuje vysoce důvěrné informace. Oprávnění k zobrazení nebo aktualizaci tohoto sémantického modelu jsou omezena na několik uživatelů. Tento sémantický model není nastavený jako zjistitelný.

Následující snímek obrazovky ukazuje sémantický model v datovém centru v služba Power BI. Konkrétně ukazuje příklad žádosti o přístupovou zprávu pro zjistitelný sémantický model. Tato zpráva se zobrazí, když uživatel momentálně nemá přístup. Zpráva o přístupu k žádosti byla přizpůsobena v nastavení sémantického modelu.

Zpráva o přístupu k žádosti čte: Pro standardní vykazování prodeje MTD/QTD/YTD je tento sémantický model autoritativním a certifikovaným zdrojem. Požádejte o přístup k sémantickému modelu vyplněním formuláře umístěného na https://COE.contoso.com/RequestAccessadrese . Budete požádáni o stručné obchodní odůvodnění a manažer centra efektivity bude muset žádost schválit také. Access bude auditován každých šest měsíců.

Poznámka:

Vaše datová kultura a váš postoj k demokratizaci dat by měly mít silný vliv na to, jestli povolíte zjišťování dat. Další informace o zjišťování dat najdete v přizpůsobitelném scénáři samoobslužného použití BI .

Ke zjišťování se vztahují tři nastavení tenanta.

• Nastavení tenanta Zjistit obsah umožňuje správcům Power BI nastavit, které skupiny uživatelů mohou zjišťovat data. Primárně se zaměřuje na tvůrce sestav, kteří by při vytváření sestav potřebovali vyhledat existující sémantické modely. Je také užitečné pro sémantické tvůrce modelů, kteří můžou hledat existující data, která mohou použít ve vývoji složeného modelu. I když je možné ji nastavit pro konkrétní skupiny zabezpečení, je vhodné povolit nastavení pro celou organizaci. Nastavení zjišťování u jednotlivých sémantických modelů a toků dat bude určovat, co je zjistitelné. Méně často můžete zvážit omezení této funkce jenom na schválené tvůrce obsahu.
• Nastavení zjistitelného obsahu certifikovaného obsahu umožňuje správcům Power BI nastavit, které skupiny můžou nastavit, aby byl obsah zjistitelný (pokud mají také oprávnění k úpravám položky a oprávnění k certifikaci obsahu, který je udělen nastavením certifikačního tenanta). Schopnost certifikovat obsah by měla být přísně řízena. Ve většině případů by měli mít stejní uživatelé, kteří mají povoleno certifikovat obsah, aby ho mohli nastavit jako zjistitelný. V některých situacích můžete chtít tuto funkci omezit jenom na schválené tvůrce dat.
• Nastavení zjistitelného tenanta upřednostnit obsah umožňuje správcům Power BI nastavit, které skupiny můžou obsah nastavit jako zjistitelný (pokud mají také oprávnění k úpravám dat). Vzhledem k tomu, že možnost propagovat obsah je otevřená všem tvůrcům obsahu, ve většině případů by tato funkce měla být dostupná všem uživatelům. Méně často můžete zvážit omezení této možnosti jenom na schválené tvůrce obsahu.

Kontrolní seznam – Při plánování zjišťování dat pro tvůrce obsahu patří klíčová rozhodnutí a akce:

• Objasnění potřeb při zjišťování dat: Zvažte, jaká je pozice vaší organizace na podporu tvůrců obsahu, aby našli stávající sémantické modely a datové diagramy. V případě potřeby vytvořte zásady správného řízení o tom, jak se má používat zjišťování dat.
• Rozhodněte se, kdo může zjistit obsah: Rozhodněte se, jestli má některý uživatel Power BI povoleno zjišťovat obsah, nebo jestli má být zjišťování omezeno na určité skupiny uživatelů (například skupinu schválených tvůrců obsahu). Nastavte nastavení Zjistit tenanta obsahu tak, aby odpovídalo tomuto rozhodnutí.
• Rozhodněte se, kdo může nastavit certifikovaný obsah, který má zjistitelný: Rozhodněte se, jestli ho může nastavit libovolný uživatel Power BI (který má oprávnění k úpravám sémantického modelu nebo datového diagramu, a také oprávnění k jeho certifikaci). Nastavte nastavení zjistitelného tenanta Pro certifikaci obsahu tak, aby odpovídalo tomuto rozhodnutí.
• Rozhodněte se, kdo může nastavit propagovaný obsah, aby byl zjistitelný: Určete, jestli ho může nastavit libovolný uživatel Power BI (který má oprávnění k úpravám sémantického modelu nebo datového diagramu). Nastavte nastavení zjistitelného tenanta upřednostnit obsah tak, aby odpovídalo tomuto rozhodnutí.
• Zahrnout do dokumentace a trénování pro sémantické tvůrce modelů: Uveďte pokyny pro sémantické tvůrce modelu, kdy je vhodné použít zjišťování dat pro sémantické modely a datové diagramy, které vlastní a spravují.
• Zahrnout do dokumentace a školení pro tvůrce sestav: Uveďte pokyny pro tvůrce obsahu o tom, jak zjišťování dat funguje a co můžou očekávat.

Žádost o pracovní postup přístupu pro tvůrce

Uživatel může požádat o přístup k obsahu dvěma způsoby.

• Pro uživatele obsahu: Uživatel obdrží odkaz na existující sestavu nebo aplikaci v služba Power BI. Pokud chcete položku zobrazit, může příjemce vybrat tlačítko Požádat o přístup . Další informace najdete v článku o plánování zabezpečení uživatelů sestav.
• Pro tvůrce obsahu: Uživatel zjistí sémantický model nebo datový diagram v datovém centru. Pokud chcete vytvořit novou sestavu nebo složený model založený na existujících datech, tvůrce obsahu může vybrat tlačítko Požádat o přístup . Toto prostředí je zaměřeno na tuto část.

Ve výchozím nastavení žádost o přístup k sémantickému modelu nebo datovému diagramu přejde k vlastníkovi. Vlastníkem je uživatel, který naposledy naplánovanou aktualizaci dat nebo vstupní přihlašovací údaje. Spoléhat se na jednoho uživatele, aby zpracovával žádosti o přístup, může být přijatelné pro týmové sémantické modely. To ale nemusí být praktické ani spolehlivé.

Místo toho, abyste se museli spoléhat na jednoho vlastníka, můžete definovat vlastní pokyny , které se uživatelům zobrazí, když požadují přístup k sémantickému modelu nebo datovému diagramu. Vlastní pokyny jsou užitečné v následujících případech:

• Sémantický model je nastaven jako zjistitelný.
• Schválení žádosti o přístup provede někdo jiný než vlastník dat.
• Existuje existující proces, který je potřeba dodržovat pro žádosti o přístup.
• Sledování toho, kdo požádal o přístup, kdy a proč je nezbytné z důvodů auditování nebo dodržování předpisů.
• Vysvětlení je nezbytné pro vyžádání přístupu a nastavení očekávání.

Následující snímek obrazovky ukazuje příklad nastavení vlastních pokynů, které uživatel uvidí, když požádá o oprávnění k sestavení. Vlastní pokyny: Pro standardní vykazování prodeje MTD/QTD/YTD je tento sémantický model autoritativním a certifikovaným zdrojem. Požádejte o přístup k sémantickému modelu vyplněním formuláře umístěného na https://COE.contoso.com/RequestAccessadrese . Budete požádáni o stručné obchodní odůvodnění a manažer centra efektivity bude muset žádost schválit také. Access bude auditován každých šest měsíců.

Formulář můžete vytvořit mnoha způsoby. Power Apps i Microsoft Forms jsou možnosti s nízkými a snadno použitelnými kódy. Doporučujeme vytvořit formulář způsobem, který je nezávislý na jednom uživateli. Je důležité, aby byl formulář vytvořený, spravovaný a monitorovaný správným týmem.

Doporučujeme vytvořit užitečné informace pro:

• Tvůrci obsahu, aby věděli, co mají očekávat, když požadují přístup.
• Vlastníci obsahu a správci, aby věděli, jak spravovat odeslané žádosti.

Tip

Další informace o reagování na žádosti o přístup pro čtení od uživatelů naleznete v tématu Žádost o pracovní postup přístupu pro uživatele. Obsahuje také informace o používání skupin (místo jednotlivých uživatelů).

Kontrolní seznam – Při plánování pracovního postupu žádosti o přístup zahrnují klíčová rozhodnutí a akce:

• Objasnění předvoleb pro zpracování žádostí o přístup: Určete, pro které situace je přijatelné pro schválení vlastníka a kdy se má použít jiný proces. V případě potřeby vytvořte zásadu správného řízení týkající se způsobu zpracování žádostí o přístup.
• Zahrnout do dokumentace a trénování pro sémantické modely a tvůrce datového diagramu: Uveďte pokyny pro sémantický model a tvůrce datového diagramu o tom, jak a kdy nastavit vlastní pokyny pro žádosti o přístup.
• Zahrnout do dokumentace a školení pro tvůrce sestav: Zahrňte pokyny pro tvůrce sestav o tom, co můžou očekávat při vyžádání oprávnění k sestavení pro sémantické modely a datové diagramy.

Vytvoření a publikování obsahu

Tato část obsahuje aspekty zabezpečení, které platí pro tvůrce obsahu.

Poznámka:

Informace o uživatelích, kteří zobrazují sestavy, řídicí panely a přehledy výkonnostních metrik, najdete v článku Plánování zabezpečení uživatelů sestav. Důležité informace týkající se oprávnění aplikace jsou popsané také v tomto článku.

Role pracovního prostoru

Přístup k pracovnímu prostoru udělíte přidáním uživatelů nebo skupin (včetně skupin zabezpečení, skupin Microsoftu 365 a distribučních seznamů) do rolí pracovního prostoru. Přiřazení uživatelů k rolím pracovního prostoru umožňuje určit, co můžou dělat s pracovním prostorem a jeho obsahem.

Poznámka:

Další informace o aspektech plánování pracovních prostorů najdete v článcích o plánování pracovních prostorů. Další informace o skupinách najdete v článku plánování zabezpečení na úrovni tenanta.

Vzhledem k tomu, že primárním účelem pracovního prostoru je spolupráce, přístup k pracovnímu prostoru je většinou relevantní pro uživatele, kteří vlastní a spravují jeho obsah. Když začínáte plánovat role pracovního prostoru, je užitečné se zeptat na následující otázky.

• Jaká jsou očekávání týkající se spolupráce v pracovním prostoru?
• Kdo bude zodpovědný za správu obsahu v pracovním prostoru?
• Je záměr přiřadit jednotlivým uživatelům nebo skupinám role pracovního prostoru?

Existují čtyři role pracovního prostoru Power BI: správce, člen, přispěvatel a prohlížeč. První tři role jsou relevantní pro tvůrce obsahu, kteří vytvářejí a publikují obsah. Role čtenáře je relevantní pro uživatele jen pro čtení.

Čtyři oprávnění role pracovního prostoru jsou vnořená. To znamená, že správci pracovního prostoru mají všechny možnosti dostupné členům, přispěvatelům a divákům. Stejně tak mají členové k dispozici všechny možnosti pro přispěvatele a diváky. Přispěvatelé mají všechny možnosti, které mají čtenáři k dispozici.

Tip

V dokumentaci k rolím pracovního prostoru najdete autoritativní referenční informace pro každou ze čtyř rolí.

Správce pracovního prostoru

Uživatelé přiřazení k roli Správce se stanou správci pracovního prostoru. Můžou spravovat všechna nastavení a provádět všechny akce, včetně přidávání nebo odebírání uživatelů (včetně jiných správců pracovního prostoru).

Správci pracovního prostoru můžou aplikaci Power BI aktualizovat nebo odstranit (pokud existuje). Volitelně můžou přispěvatelům povolit aktualizaci aplikace pro pracovní prostor. Další informace najdete v části Varianty rolí pracovního prostoru dále v tomto článku.

Tip

Při odkazování na správce nezapomeňte objasnit, jestli hovoříte o správci pracovního prostoru nebo o správci na úrovni tenanta Power BI.

Dbejte na to, aby byli správci pracovních prostorů jenom důvěryhodní a spolehliví jednotlivci. Správce pracovního prostoru má vysoká oprávnění. Mají přístup k zobrazení a správě veškerého obsahu v pracovním prostoru. Můžou přidávat a odebírat uživatele (včetně jiných správců) do libovolné role pracovního prostoru. Můžou také odstranit pracovní prostor.

Doporučujeme, aby byli alespoň dva správci, aby jeden sloužil jako záloha, pokud primární správce není k dispozici. Pracovní prostor, který nemá správce, se označuje jako osamocený pracovní prostor. Osamocený stav nastane, když uživatel opustí organizaci a k pracovnímu prostoru není přiřazen žádný alternativní správce. Další informace o tom, jak rozpoznat a opravit osamocené pracovní prostory, najdete v článku Zobrazení pracovních prostorů .

V ideálním případě byste měli být schopni určit, kdo je zodpovědný za obsah pracovního prostoru tím, kdo jsou správci a členové pracovního prostoru (a kontakty určené pro daný pracovní prostor). Některé organizace ale přijmou strategii vlastnictví obsahu a správy , která omezuje vytváření pracovních prostorů na konkrétní uživatele nebo skupiny. Obvykle mají vytvořený proces vytváření pracovního prostoru, který spravuje ODDĚLENÍ IT. V tomto případě by správci pracovního prostoru místo uživatelů, kteří obsah vytvářejí a publikují, it oddělením.

Člen pracovního prostoru

Uživatelé přiřazení k roli Člen mohou přidávat další uživatele pracovního prostoru (ale ne správce). Můžou také spravovat oprávnění pro veškerý obsah v pracovním prostoru.

Členové pracovního prostoru můžou publikovat nebo zrušit publikování aplikace pro pracovní prostor, sdílet položku pracovního prostoru nebo aplikaci a umožnit ostatním uživatelům sdílet položky pracovního prostoru aplikace.

Členové pracovního prostoru by měli být omezeni na uživatele, kteří potřebují spravovat vytváření obsahu pracovního prostoru a publikovat aplikaci. V některých případech správci pracovního prostoru tento účel splní, takže k roli Člen nemusí být potřeba přiřazovat žádné uživatele ani skupiny. Pokud správci pracovního prostoru přímo nesouvisí s obsahem pracovního prostoru (například protože IT spravuje proces vytváření pracovního prostoru), můžou být členy pracovního prostoru skutečnými vlastníky, kteří zodpovídají za obsah pracovního prostoru.

Přispěvatel pracovního prostoru

Uživatelé přiřazení k roli Přispěvatel mohou vytvářet, upravovat nebo odstraňovat obsah pracovního prostoru.

Přispěvatelé nemůžou aktualizovat aplikaci Power BI (pokud existuje pro pracovní prostor), pokud to nastavení pracovního prostoru nepovolilo. Další informace najdete v části Varianty rolí pracovního prostoru dále v tomto článku.

Většina tvůrců obsahu v organizaci je přispěvateli pracovních prostorů.

Prohlížeč pracovních prostorů

Uživatelé přiřazení k roli Čtenář můžou zobrazit veškerý obsah pracovního prostoru a pracovat s ním.

Role čtenáře je relevantní pro uživatele jen pro čtení pro malé týmy a neformální scénáře. Je plně popsána v článku o plánování zabezpečení spotřebitele sestavy.

Aspekty vlastnictví pracovního prostoru

Představte si příklad, ve kterém se pro nastavení nového pracovního prostoru provádějí následující akce.

1. Konkrétním šampiónům Power BI a satelitním členům COE (Center of Excellence) bylo uděleno oprávnění k vytváření nových pracovních prostorů v nastavení tenanta. Vytrénovali jsme je ve strategiích organizace obsahu a standardech pojmenování.
2. Vy (tvůrce obsahu) odešlete žádost o vytvoření pracovního prostoru pro nový projekt, který budete spravovat. Pracovní prostor bude obsahovat sestavy, které sledují průběh projektu.
3. Žádost obdrží šampion Power BI pro vaši organizační jednotku. Určí, že je nový pracovní prostor oprávněný. Pak vytvoří pracovní prostor a přiřadí skupinu zabezpečení Power BI champions (pro svoji organizační jednotku) k roli správce pracovního prostoru.
4. Šampion Power BI vás (tvůrce obsahu) přiřadí k roli člena pracovního prostoru.
5. Přiřadíte důvěryhodnému kolegovi roli člena pracovního prostoru, abyste měli jistotu, že je záloha pryč.
6. Dalším kolegům přiřadíte roli Přispěvatel pracovního prostoru, protože budou zodpovědní za vytváření obsahu pracovního prostoru, včetně sémantických modelů a sestav.
7. Správce přiřadíte k roli Čtenář pracovního prostoru, protože požádali o přístup ke sledování průběhu projektu. Před publikováním aplikace by váš nadřízený chtěl zkontrolovat obsah v pracovním prostoru.
8. Zodpovídáte za správu dalších vlastností pracovního prostoru, jako je popis a kontakty. Zodpovídáte také za správu přístupu k pracovnímu prostoru průběžně.

Předchozí příklad ukazuje efektivní způsob, jak umožnit decentralizované obchodní jednotce pracovat nezávisle. Ukazuje také princip nejnižších oprávnění.

U spravovaného obsahu nebo kritického obsahu, který je přesněji spravovaný, je osvědčeným postupem přiřazovat skupiny místo jednotlivých uživatelských účtů k rolím pracovního prostoru. Tímto způsobem můžete členství ve skupině spravovat odděleně od pracovního prostoru. Když ale přiřadíte skupiny k rolím, je možné, že se uživatelé přiřadí k více rolím pracovního prostoru (protože uživatel patří do více skupin). V takovém případě jsou jejich efektivní oprávnění založená na nejvyšší roli, ke které jsou přiřazeny. Další důležité informace najdete v tématu Strategie použití skupin.

Když je pracovní prostor vlastněný více jednotlivci nebo týmy, může být správa obsahu složitá. Pokuste se vyhnout scénářům vlastnictví více týmů oddělením pracovních prostorů. Díky tomu jsou zodpovědnosti jasné a přiřazení rolí je jednoduché nastavit.

Varianty rolí pracovního prostoru

Existují dvě varianty čtyř rolí pracovního prostoru (popsané dříve).

• Ve výchozím nastavení můžou aplikaci pro pracovní prostor vytvářet, publikovat a aktualizovat jenom správci a členové pracovního prostoru. Možnost Povolit přispěvatelům aktualizovat možnost aplikace pro toto nastavení pracovního prostoru je nastavení na úrovni pracovního prostoru , které správcům pracovního prostoru umožňuje delegovat možnost aktualizovat aplikaci pro tento pracovní prostor přispěvatelům. Přispěvatelé ale nemůžou publikovat novou aplikaci nebo změnit, kdo má oprávnění k jeho úpravám. Toto nastavení je užitečné, když chcete, aby přispěvatelé mohli aplikaci aktualizovat (pokud existuje pro pracovní prostor), ale ostatním oprávněním, která mají členové k dispozici, neudělíte.
• Nastavení tenanta pro aktualizaci balíčků se znovu publikuje a zakáže jenom sémantické vlastníky modelu, aby publikovali aktualizace. Pokud je tato možnost povolená, správci pracovního prostoru, členové a přispěvatelé nemůžou publikovat změny, pokud jako vlastníka nepřevezmou sémantický model. Vzhledem k tomu, že toto nastavení platí pro celou organizaci, povolte ho s mírou opatrnosti, protože ovlivňuje všechny sémantické modely tenanta. Nezapomeňte sdělit tvůrcům sémantických modelů, co mají očekávat, protože mění normální chování rolí pracovního prostoru.

Důležité

Oprávnění pro jednotlivé položky lze také považovat za přepsání standardních rolí pracovního prostoru. Další informace o oprávněních pro jednotlivé položky najdete v článku Plánování zabezpečení uživatelů sestavy.

Kontrolní seznam – Při plánování rolí pracovního prostoru patří klíčová rozhodnutí a akce:

• Vytvoření matice odpovědnosti: Namapujte, kdo má při vytváření, údržbě, publikování, zabezpečení a podpůrném obsahu zpracovávat jednotlivé funkce. Tyto informace použijte při plánování rolí pracovního prostoru.
• Rozhodněte se o strategii přiřazování rolí pracovního prostoru tvůrcům obsahu: Určete, kteří uživatelé by měli být správcem, členem nebo přispěvatelem a za jakých okolností (například role pracovní pozice nebo oblast předmětu). Pokud dojde k neshodám, které způsobují problém se zabezpečením, zamyslete se nad tím, jak by se vaše pracovní prostory mohly lépe uspořádat.
• Určete, jak se mají skupiny zabezpečení a jednotlivci používat pro role pracovního prostoru: Určete případy použití a účely, které budete potřebovat použít. Konkrétní informace o tom, kdy je třeba použít zabezpečení pomocí uživatelských účtů a kdy je skupina povinná nebo upřednostňovaná.
• Poskytněte pokyny pro tvůrce obsahu týkající se správy rolí pracovního prostoru: Uveďte dokumentaci pro tvůrce obsahu o tom, jak spravovat role pracovního prostoru. Tyto informace publikujte na centralizovaný portál a školicí materiály.
• Nastavení a testování přiřazení rolí pracovního prostoru: Ověřte, že tvůrci obsahu mají funkce, které potřebují k úpravám a publikování obsahu.

Oprávnění tvůrce aplikací

Tvůrci obsahu, kteří jsou správci nebo členové pracovního prostoru, můžou vytvořit a publikovat aplikaci Power BI.

Správce pracovního prostoru může také zadat nastavení v pracovním prostoru, které umožňuje přispěvatelům pracovního prostoru aktualizovat aplikaci. Jde o variantu zabezpečení role pracovního prostoru, protože uděluje přispěvatelům jedno druhé oprávnění, které by normálně neměli. Toto nastavení se nastavuje pro jednotlivé pracovní prostory.

Tip

Další informace o doručování obsahu uživatelům jen pro čtení najdete v článku Plánování zabezpečení uživatelů sestavy. Tento článek obsahuje informace o oprávněních aplikace pro uživatele aplikace, včetně cílových skupin aplikace.

Kontrolní seznam – Při plánování oprávnění pro tvůrce aplikací zahrnují klíčová rozhodnutí a akce:

• Rozhodněte se, kdo může vytvářet a publikovat aplikace Power BI: Určete, kdo by měl mít oprávnění vytvářet a publikovat aplikace Power BI.
• Určete, kdy můžou přispěvatelé aktualizovat aplikace Power BI: Vyjasněte si situace, kdy má přispěvatel mít povoleno aktualizovat aplikace Power BI. Aktualizujte nastavení pracovního prostoru, pokud je tato schopnost nutná.

Oprávnění ke zdroji dat

Když tvůrce dat spustí nový projekt, oprávnění potřebná pro přístup k externím zdrojům dat jsou jedním z prvních aspektů souvisejících se zabezpečením. Můžou také potřebovat pokyny týkající se jiných zdrojů dat, včetně úrovní ochrany osobních údajů, nativních databázových dotazů a vlastních konektorů.

Přístup ke zdroji dat

Když tvůrce dat vytvoří sémantický model, tok dat nebo datový diagram, musí se ověřit pomocí zdrojů dat, aby načetl data. Ověřování obvykle zahrnuje přihlašovací údaje uživatele (účet a heslo), které můžou být pro účet služby.

Někdy je užitečné vytvořit konkrétní účty služeb pro přístup ke zdrojům dat. Pokyny k používání účtů služeb ve vaší organizaci najdete v it oddělení. Pokud jsou povolené, může použití účtů služeb:

• Centralizovaná oprávnění potřebná pro zdroje dat
• Snižte počet jednotlivých uživatelů, kteří potřebují oprávnění ke zdroji dat.
• Vyhněte se selháním aktualizace dat, když uživatel opustí organizaci.

Tip

Pokud se rozhodnete používat účty služeb, doporučujeme pečlivě řídit, kdo má k přihlašovacím údajům přístup. Pravidelně obměňujte hesla (například každé tři měsíce) nebo když někdo, kdo má přístup, opustí organizaci.

Při přístupu ke zdrojům dat použijte zásadu nejnižšího oprávnění , aby uživatelé (nebo účty služeb) měli oprávnění ke čtení jenom dat, která potřebují. Nikdy by neměli mít oprávnění k provádění úprav dat. Správci databází, kteří tyto účty služby vytvářejí, by měli inquire o očekávaných dotazech a úlohách a podniknout kroky k zajištění odpovídajících optimalizací (jako jsou indexy) a prostředků.

Tip

Pokud je obtížné poskytnout přímý přístup ke zdroji dat samoobslužným tvůrcům dat, zvažte použití nepřímého přístupu. Toky dat můžete vytvářet v služba Power BI a umožnit samoobslužným tvůrcům dat zdroj dat z nich. Tento přístup přináší další výhody snížení zatížení dotazů na zdroj dat a zajištění konzistentního snímku dat. Další informace najdete v samoobslužné přípravě dat a pokročilých scénářích použití přípravy dat.

Přihlašovací údaje (účet a heslo) je možné použít jedním ze dvou způsobů.

• Power BI Desktop: Přihlašovací údaje se šifrují a ukládají místně na uživatelském počítači.
• služba Power BI: Přihlašovací údaje se šifrují a bezpečně ukládají pro:
  • Sémantický model (pokud se brána dat nepoužívá pro přístup ke zdroji dat).
  • Zdroj dat brány (pokud se ke zdroji dat používá standardní brána nebo služba brány virtuální sítě).

Tip

Pokud jste už zadali přihlašovací údaje ke zdroji dat sémantického modelu, služba Power BI tyto přihlašovací údaje automaticky sváže s jinými sémantickými zdroji dat modelu, pokud se přesně shoduje s připojovací řetězec a názvem databáze. Služba Power BI i Power BI Desktop vypadají tak, že zadáváte přihlašovací údaje pro každý zdroj dat. Může ale použít stejné přihlašovací údaje pro odpovídající zdroje dat, které mají stejného vlastníka. V tomto ohledu jsou přihlašovací údaje sémantického modelu vymezeny na vlastníka.

Přihlašovací údaje se šifrují a ukládají odděleně od datového modelu v Power BI Desktopu i v služba Power BI. Toto oddělení dat má následující výhody zabezpečení.

• Usnadňuje opakované použití přihlašovacích údajů pro více sémantických modelů, toků dat a datových diagramů.
• Když někdo analyzuje metadata sémantického modelu, nemůže extrahovat přihlašovací údaje.
• V Power BI Desktopu se jiný uživatel nemůže připojit k původnímu zdroji dat, aby aktualizoval data, aniž by nejdřív použil přihlašovací údaje.

Některé zdroje dat podporují jednotné přihlašování (SSO), které je možné nastavit při zadávání přihlašovacích údajů do služba Power BI (pro sémantické modely nebo zdroje dat brány). Když povolíte jednotné přihlašování, Power BI odešle do zdroje dat přihlašovací údaje ověřeného uživatele. Tato možnost umožňuje Power BI respektovat nastavení zabezpečení, která jsou nastavená ve zdroji dat, například zabezpečení na úrovni řádků. Jednotné přihlašování je zvlášť užitečné, když tabulky v datovém modelu používají režim úložiště DirectQuery.

Úrovně ochrany osobních údajů

Úrovně ochrany osobních údajů dat určují úrovně izolace, které definují stupeň izolace jednoho zdroje dat od jiných zdrojů dat. Při vhodném nastavení zajistí, že Power Query přenáší pouze kompatibilní data mezi zdroji. Když Power Query dokáže přenášet data mezi zdroji dat, může vést k efektivnějším dotazům, které snižují objem dat odesílaných do Power BI. Pokud nemůže přenášet data mezi zdroji dat, může to mít za následek pomalejší výkon.

Existují tři úrovně ochrany osobních údajů.

• Soukromé: Zahrnuje citlivá nebo důvěrná data, která musí být izolovaná od všech ostatních zdrojů dat. Tato úroveň je nejvíce omezující. Soukromá data zdroje dat nelze sdílet s žádnými jinými zdroji dat. Například databáze lidských zdrojů, která obsahuje hodnoty mzdy zaměstnanců, by měla být nastavena na úroveň Soukromí.
• Organizace: Izolovaná od veřejných zdrojů dat, ale je viditelná pro jiné zdroje dat organizace. Tato úroveň je nejběžnější. Data zdroje dat organizace je možné sdílet s privátními zdroji dat nebo jinými zdroji dat organizace. Většinu interních provozních databází je možné nastavit na úrovni ochrany osobních údajů organizace.
• Veřejné: Necitlivá data, která by mohla být viditelná pro jakýkoli zdroj dat. Tato úroveň je nejméně omezující. Data veřejného zdroje dat je možné sdílet s jakýmkoli jiným zdrojem dat. Například sestavu sčítání lidu získanou z webu státní správy lze nastavit na úroveň Veřejné ochrany osobních údajů.

Při kombinování dotazů z různých zdrojů dat je důležité nastavit správné úrovně ochrany osobních údajů. Pokud jsou úrovně ochrany osobních údajů správně nastavené, existuje potenciál pro přenos dat z jednoho zdroje dat do jiného zdroje dat za účelem efektivního dotazování dat.

Představte si scénář, ve kterém má tvůrce sémantického modelu dva zdroje dat: excelový sešit a tabulku ve službě Azure SQL Database. Chtějí filtrovat data v tabulce Azure SQL Database pomocí hodnoty ze sešitu Excelu. Nejúčinnějším způsobem, jak Power Query vygenerovat příkaz SQL pro azure SQL Database, je použít klauzuli WHERE k provedení potřebného filtrování. Tento příkaz SQL však bude obsahovat predikát klauzule WHERE s hodnotou zdrojovou z excelového sešitu. Pokud excelový sešit obsahuje citlivá data, může to představovat porušení zabezpečení, protože správce databáze může příkaz SQL zobrazit pomocí nástroje pro trasování. I když je méně efektivní, alternativou je, že mashupový modul Power Query stáhne celou sadu výsledků databázové tabulky a provede filtrování v služba Power BI. Tento přístup bude méně efektivní a pomalý, ale bezpečný.

Úrovně ochrany osobních údajů je možné nastavit pro každý zdroj dat:

• Modelátory dat v Power BI Desktopu.
• Sémantické vlastníky modelů v služba Power BI (pro cloudové zdroje dat, které nevyžadují bránu).
• Tvůrci a vlastníci dat brány v služba Power BI (pro zdroje dat brány).

Důležité

Úrovně ochrany osobních údajů nastavené v Power BI Desktopu se nepřenesou do služba Power BI.

Existuje možnost zabezpečení Power BI Desktopu, která umožňuje ignorovat úrovně ochrany osobních údajů, aby se zlepšil výkon. Tuto možnost můžete použít ke zlepšení výkonu dotazů při vývoji datového modelu, pokud neexistuje žádné riziko porušení zabezpečení dat (protože pracujete s vývojovými nebo testovacími daty, která nejsou citlivá). Toto nastavení ale služba Power BI nedotknou.

Další informace najdete v tématu Úrovně ochrany osobních údajů v Power BI Desktopu.

Nativní databázové dotazy

Pokud chcete vytvářet efektivní dotazy Power Query, můžete pro přístup k datům použít nativní dotaz. Nativní dotaz je příkaz napsaný v jazyce podporovaném zdrojem dat. Nativní dotazy jsou podporovány pouze konkrétními zdroji dat, což jsou obvykle relační databáze, jako je Azure SQL Database.

Nativní dotazy můžou představovat bezpečnostní riziko, protože by mohly spustit škodlivý příkaz SQL. Škodlivý příkaz může provádět úpravy dat nebo odstraňovat záznamy databáze (pokud má uživatel požadovaná oprávnění ve zdroji dat). Z tohoto důvodu nativní dotazy ve výchozím nastavení vyžadují schválení uživatele ke spuštění v Power BI Desktopu.

Existuje možnost zabezpečení Power BI Desktopu, která umožňuje zakázat požadavek na předběžné schválení. Doporučujeme ponechat výchozí nastavení, které vyžaduje schválení uživatelem, zejména pokud předpokládáte, že soubor Power BI Desktopu může aktualizovat jiní uživatelé.

Vlastní konektory

Vývojáři můžou pomocí sady Power Query SDK vytvářet vlastní konektory. Vlastní konektory umožňují přístup k proprietárním zdrojům dat nebo implementují konkrétní ověřování s vlastními rozšířeními dat. Některé vlastní konektory jsou certifikované a distribuované microsoftem jako certifikované konektory. Certifikované konektory byly auditovány a zkontrolovány, aby se zajistilo, že splňují určité zadané požadavky na kód, které Microsoft otestoval a schválil.

Existuje možnost zabezpečení datového rozšíření Power BI Desktopu, která omezuje použití necertifikovaných konektorů. Ve výchozím nastavení se při pokusu o načtení necertifikovaného konektoru vyvolá chyba. Nastavením této možnosti povolíte necertifikované konektory, vlastní konektory se načtou bez ověření nebo upozornění.

Doporučujeme zachovat úroveň zabezpečení vašeho datového rozšíření na vyšší úrovni, což brání načtení necertifikovaného kódu. Mohou však existovat případy, kdy chcete načíst konkrétní konektory, třeba konektory, které jste vytvořili, nebo konektory, které vám poskytl důvěryhodný konzultant nebo dodavatel mimo certifikační cestu Microsoftu.

Poznámka:

Vývojáři interních konektorů můžou podniknout kroky k podepsání konektoru pomocí certifikátu, což vám umožní používat konektor bez nutnosti měnit nastavení zabezpečení. Další informace naleznete v tématu Důvěryhodné konektory třetích stran.

Kontrolní seznam – Při plánování oprávnění ke zdroji dat patří klíčová rozhodnutí a akce:

• Rozhodněte se, kdo má přímý přístup ke každému zdroji dat: Určete, kteří tvůrci dat mají přístup přímo ke zdroji dat. Pokud existuje strategie pro snížení počtu lidí s přímým přístupem, ujasněte si, co je upřednostňovaná alternativa (třeba pomocí toků dat).
• Rozhodněte se, jak se mají přistupovat ke zdrojům dat: Určete, jestli se pro přístup ke zdroji dat použijí přihlašovací údaje jednotlivých uživatelů nebo jestli se má pro tento účel vytvořit účet služby. Určete, kdy je vhodné jednotné přihlašování.
• Poskytněte pokyny pro sémantické tvůrce modelů o přístupu ke zdrojům dat: Uveďte dokumentaci pro tvůrce obsahu o tom, jak získat přístup ke zdrojům dat organizace. Publikujte informace na centralizovaný portál a školicí materiály.
• Poskytněte pokyny pro sémantické tvůrce modelů o úrovních ochrany osobních údajů: Poskytněte pokyny tvůrcům sémantických modelů, které jim umožní zjistit úrovně ochrany osobních údajů a jejich důsledky při práci s citlivými nebo důvěrnými daty. Tyto informace publikujte na centralizovaný portál a školicí materiály.
• Poskytněte pokyny pro tvůrce připojení brány o úrovních ochrany osobních údajů: Poskytněte pokyny pro sémantické tvůrce modelů, aby si uvědomili úrovně ochrany osobních údajů a jejich důsledky při práci s citlivými nebo důvěrnými daty. Tyto informace publikujte na centralizovaný portál a školicí materiály.
• Rozhodněte se o strategii pro používání nativních databázových dotazů: Zvažte strategii pro použití nativních databázových dotazů. Informujte sémantické tvůrce modelů o tom, jak a kdy nastavit možnost nativních databázových dotazů Power BI Desktopu zakázat předběžné schválení, když Power Query spouští nativní dotazy.
• Rozhodněte se o strategii používání vlastních konektorů: Zvažte strategii použití vlastních konektorů. Určete, jestli je použití necertifikovaných konektorů oprávněné, v takovém případě informovat sémantické tvůrce modelů o tom, jak a kdy nastavit možnost rozšíření dat Power BI Desktopu.

Sémantická oprávnění pro tvůrce modelu

Oprávnění k úpravě sémantického modelu můžete uživateli nebo skupině přiřadit různými způsoby.

• Role pracovního prostoru: Přiřazení k některé z rolí pracovního prostoru poskytuje přístup ke všem sémantickým modelům v pracovním prostoru. Možnost zobrazit nebo upravit existující sémantický model závisí na přiřazené roli pracovního prostoru. Správci, členové a přispěvatelé můžou publikovat nebo upravovat obsah v pracovním prostoru.
• Odkazy na oprávnění pro jednotlivé položky: Pokud byl pro sestavu vytvořen odkaz pro sdílení, oprávnění ke čtení sémantického modelu (a volitelně, sestavení, zápis a/nebo opětovné sdílení) je také nepřímo uděleno odkazem.
• Oprávnění přímého přístupu pro jednotlivé položky: Oprávnění přímého přístupu můžete přiřadit konkrétnímu sémantickému modelu.

Na následujícím snímku obrazovky si všimněte oprávnění přiřazených k sémantickému modelu data centra Call Center. Jeden uživatel má oprávnění ke čtení, které bylo uděleno pomocí oprávnění přímého přístupu pro jednotlivé položky. Zbývající uživatelé a skupiny mají oprávnění, protože jsou přiřazeni k rolím pracovního prostoru.

Tip

Použití oprávnění pro jednotlivé položky (odkazy nebo přímý přístup) funguje nejlépe, když je záměrem uživatele nebo skupiny zobrazit nebo upravit jednu konkrétní položku v pracovním prostoru. Nejvhodnější je, když uživatel nemá povolený přístup ke všem položkám v pracovním prostoru. Ve většině případů doporučujeme navrhnout pracovní prostory tak, aby se zabezpečení snadněji spravoval s rolemi pracovního prostoru. Pokud je to možné, vyhněte se nastavování oprávnění pro jednotlivé položky.

Sémantická oprávnění modelu

Můžete přiřadit následující sémantická oprávnění modelu.

• Čtení: Cílí se primárně na uživatele sestavy. Toto oprávnění umožňuje sestavě dotazovat se na data v sémantickém modelu. Další informace o oprávněních pro zobrazení obsahu jen pro čtení najdete v článku Plánování zabezpečení uživatelů sestavy.
• Sestavení: Cílí na tvůrce sestav, toto oprávnění umožňuje uživatelům vytvářet nové sestavy na základě sdíleného sémantického modelu. Další informace najdete v části Oprávnění tvůrce sestav dále v tomto článku.
• Napište: Cílí na sémantické tvůrce modelu, kteří vytvářejí, publikují a spravují sémantické modely, toto oprávnění umožňuje uživatelům upravovat sémantický model. Popisuje se dále v této části.
• Znovu sdílet: Cílí na každého, kdo má stávající oprávnění k sémantickému modelu, toto oprávnění umožňuje uživatelům sdílet sémantický model s jiným uživatelem. Popisuje se dále v této části.

Správce nebo člen pracovního prostoru může upravit oprávnění pro sémantický model.

Oprávnění ke čtení sémantického modelu

Oprávnění ke čtení sémantického modelu je primárně zaměřeno na uživatele. Toto oprávnění se vyžaduje, aby uživatelé mohli zobrazit data zobrazená v sestavách. Mějte na paměti, že sestavy založené na sémantickém modelu musí mít také oprávnění ke čtení; jinak se sestava nenačte. Další informace o nastavení oprávnění ke čtení sestavy najdete v článku Plánování zabezpečení uživatelů sestavy.

Sémantická oprávnění k sestavení modelu

Kromě sémantického modelu oprávnění ke čtení potřebují tvůrci obsahu také oprávnění k sestavení sémantického modelu. Konkrétně oprávnění k sestavení umožňuje tvůrcům sestav:

• Vytváření nových sestav Power BI na základě sémantického modelu
• Připojte se k sémantickému modelu pomocí funkce Analyzovat v aplikaci Excel.
• Dotazování sémantického modelu pomocí koncového bodu XMLA
• Exportujte podkladová data vizuálu sestavy Power BI (místo souhrnných dat načtených vizuálem).
• Vytvořte připojení DirectQuery k sémantickému modelu Power BI. V tomto případě se nový sémantický model připojí k jednomu nebo několika existujícím sémantickým modelům Power BI (označované jako řetězení). K dotazování zřetězených sémantických modelů bude tvůrce sémantických modelů potřebovat oprávnění k sestavení pro všechny upstreamové sémantické modely. Další informace naleznete v tématu Řetězené sémantické modely dále v tomto článku.

Oprávnění k sestavení můžete uživateli nebo skupině udělit přímo nebo nepřímo různými způsoby.

• Udělit sestavení přímo:
  • Nastavení sémantických oprávnění modelu na stránce nastavení sémantického modelu v služba Power BI
  • Nastavení sémantických oprávnění modelu pomocí rozhraní REST API Power BI
• Udělte sestavení nepřímo:
  • Sdílení sestavy nebo řídicího panelu a nastavení možnosti udělení sémantického modelu oprávnění k sestavení
  • Publikování aplikace Power BI a nastavení pokročilé možnosti (pro cílovou skupinu) pro udělení oprávnění k sestavení u souvisejících sémantických modelů
  • Přiřazení uživatelů k rolím pracovního prostoru správce, člena nebo přispěvatele

Nastavení oprávnění k sestavení přímo pro sémantický model je vhodné, pokud chcete spravovat zabezpečení na podrobné úrovni pro jednotlivé položky. Nastavení oprávnění k sestavení nepřímo je vhodné, když uživatelé, kteří budou obsah zobrazovat nebo používat prostřednictvím jedné z nepřímých metod, také vytvoří nový obsah.

Tip

Uživatelé, kteří zobrazují sestavu nebo aplikaci Power BI, se často liší od uživatelů, kteří vytvářejí nový obsah pomocí základních sémantických modelů. Většina uživatelů je jenom diváky, takže nemusí vytvářet nový obsah. Doporučujeme informovat tvůrce obsahu, aby udělili nejmenší požadovaný počet oprávnění.

Sémantický model – Oprávnění k zápisu

Nastavení oprávnění pro uživatele, kteří můžou upravovat a spravovat sémantické modely, se obvykle provádí přiřazením uživatelů k roli správce, člena nebo přispěvatele pracovního prostoru. Je ale také možné nastavit oprávnění k zápisu pro konkrétní sémantický model.

Pokud je to možné, doporučujeme používat role pracovního prostoru, protože je to nejjednodušší způsob, jak spravovat a auditovat oprávnění. Pokud jste se rozhodli vytvořit méně pracovních prostorů, použijte oprávnění k zápisu sémantického modelu pro jednotlivé položky a pracovní prostor obsahuje sémantické modely pro různé oblasti předmětu, které vyžadují správu různých oprávnění.

Tip

Pokyny k uspořádání pracovních prostorů najdete v článcích o plánování pracovních prostorů.

Sémantický model – Znovu sdílet oprávnění

Sémantický model Reshare oprávnění umožňuje uživateli s existujícím oprávněním sdílet sémantický model s jinými uživateli. Toto oprávnění můžete udělit, pokud lze obsah v sémantickém modelu volně sdílet na základě vlastního uvážení.

V mnoha případech doporučujeme omezit použití oprávnění Znovu sdílet, abyste měli jistotu, že se pečlivě kontrolují sémantická oprávnění modelu. Před udělením oprávnění Znovu sdílet získejte schválení od sémantických vlastníků modelu.

Zabezpečení dat sémantického modelu

Vynucováním zabezpečení dat můžete naplánovat vytváření méně sémantických modelů a sestav. Cílem je vynutit zabezpečení dat na základě identity uživatele, který si obsah prohlíží.

Sémantický tvůrce modelu může vynutit zabezpečení dat dvěma způsoby.

• Zabezpečení na úrovni řádků (RLS) umožňuje modelátoru dat omezit přístup k podmnožině dat.
• Zabezpečení na úrovni objektů (OLS) umožňuje modelátoru dat omezit přístup ke konkrétním tabulkám a sloupcům a jejich metadatům.

Implementace zabezpečení na úrovni řádků a OLS se zaměřuje na uživatele sestav. Další informace najdete v článku o plánování zabezpečení pro spotřebitele. Popisuje, jak a kdy se pro uživatele, kteří mají oprávnění jen pro sémantický model, vynucují zabezpečení na úrovni řádků a OLS.

Informace o zabezpečení na úrovni řádků a OLS cílených na ostatní tvůrce sestav najdete v části Zabezpečení dat v části Oprávnění tvůrce sestav dále v tomto článku.

Zřetězené sémantické modely

Sémantické modely Power BI se můžou připojit k jiným sémantickým modelům v procesu označovaném jako řetězení, což jsou připojení k upstreamovým sémantickým modelům. Další informace najdete v tématu Použití DirectQuery pro sémantické modely Power BI a Analysis Services.

Nastavení tenanta Povolit připojení DirectQuery k sémantickým modelům Power BI umožňuje správcům Power BI nastavit, které skupiny autorů obsahu můžou vytvářet zřetězené sémantické modely. Pokud nechcete omezit sémantické modely tvůrců modelů zřetězování sémantických modelů, můžete toto nastavení ponechat povolené pro celou organizaci a spoléhat se na přístup k pracovnímu prostoru a na sémantická oprávnění modelu. V některýchpřípadechch

Poznámka:

Jako sémantický model tvůrce můžete omezit řetězení na sémantický model. To se provádí tak, že v Power BI Desktopu povolíte připojení DirectQuery k této sémantickému modelu . Další informace najdete v tématu Správa připojení DirectQuery k publikovanému sémantickému modelu.

Dotazy rozhraní API sémantického modelu

V některých situacích můžete chtít spustit dotaz DAX pomocí rozhraní REST API Power BI. Můžete například chtít provést ověření kvality dat. Další informace najdete v tématu Datové sady – Spouštění dotazů.

Nastavení tenanta Rozhraní REST API pro spouštění dotazů datové sady umožňuje správcům Power BI nastavit, které skupiny uživatelů můžou odesílat dotazy DAX pomocí rozhraní REST API Power BI. Ve většině případů můžete toto nastavení ponechat povolené pro celou organizaci a spoléhat se na přístup k pracovnímu prostoru a na sémantická oprávnění modelu. V některýchpřípadechch

Kontrolní seznam – Při plánování oprávnění pro sémantického tvůrce modelu zahrnují klíčová rozhodnutí a akce:

• Rozhodněte se o strategii pro sémantická oprávnění tvůrce modelu: Určete, jaké předvolby a požadavky existují pro správu zabezpečení pro sémantické tvůrce modelů. Zvažte oblast předmětu a úroveň citlivosti dat. Zvažte také, kdo může převzít odpovědnost za správu dat a oprávnění v centralizovaných a decentralizovaných obchodních jednotkách.
• Zkontrolujte, jak se role pracovního prostoru zpracovávají pro sémantické tvůrce modelů: Určete, jaký je dopad na proces návrhu pracovního prostoru. Vytvořte samostatné pracovní prostory dat pro každou oblast předmětu, abyste mohli snadněji spravovat role pracovního prostoru a zabezpečení sémantických modelů pro každou oblast předmětu.
• Poskytněte pokyny pro sémantické tvůrce modelů o sémantických oprávněních: Uveďte dokumentaci pro sémantické tvůrce modelů o sémantických oprávněních modelu. Tyto informace publikujte na centralizovaný portál a školicí materiály.
• Rozhodněte se, kdo může používat připojení DirectQuery pro sémantické modely Power BI: Rozhodněte se, jestli mají existovat nějaká omezení, pro které by tvůrci sémantických modelů Power BI (s existujícím oprávněním k sestavení pro sémantický model) mohli vytvořit připojení k sémantickému modelu Power BI. Nastavte možnost Povolit připojení DirectQuery k nastavení tenanta sémantických modelů Power BI tak, aby odpovídala tomuto rozhodnutí. Pokud se rozhodnete tuto funkci omezit, zvažte použití skupiny, jako jsou sémantické tvůrce sémantických modelů Power BI.
• Rozhodněte se, kdo může dotazovat sémantické modely Power BI pomocí rozhraní REST API: Rozhodněte se, jestli chcete tvůrcům obsahu Power BI omezit dotazování na sémantické modely Power BI pomocí rozhraní REST API Power BI. Nastavte nastavení tenanta ROZHRANÍ REST API pro spouštění dotazů datové sady tak, aby odpovídalo tomuto rozhodnutí. Pokud se rozhodnete tuto funkci omezit, zvažte použití skupiny, jako jsou tvůrci sestav schválených Power BI.
• Rozhodněte se o strategii pro použití zabezpečení na úrovni řádků nebo OLS pro sémantické tvůrce modelů: Zvažte, které případy použití a účely máte v úmyslu používat zabezpečení na úrovni řádků nebo OLS. Pokud chcete vynutit zabezpečení na úrovni řádků nebo OLS pro sémantické tvůrce modelů, zastavte v návrhové strategii pracovního prostoru a kdo má oprávnění ke čtení a úpravám.

Oprávnění tvůrce sestav

Tvůrci sestav potřebují přístup k pracovnímu prostoru, aby mohli vytvářet sestavy v služba Power BI nebo je publikovat z Power BI Desktopu. Musí být buď správcem, členem nebo přispěvatelem v cílovém pracovním prostoru.

Kdykoli je to možné, tvůrci sestav by měli použít existující sdílený sémantický model (prostřednictvím živého připojení nebo DirectQuery). Tímto způsobem se proces vytváření sestavy oddělí od procesu vytváření sémantického modelu. Tento typ oddělení poskytuje mnoho výhod pro scénáře zabezpečení a vývoje týmů.

Tvůrce sestav musí být správcem pracovního prostoru, členem nebo přispěvatelem.

Na rozdíl od sémantických modelů neexistuje oprávnění k zápisu pro sestavy. Aby bylo možné podporovat tvůrce sestav, musí být použity role pracovního prostoru. Z tohoto důvodu je optimální návrh pracovního prostoru důležitý pro vyvážení potřeb organizace obsahu a zabezpečení.

Tip

Oprávnění pro podporu uživatelů sestav (včetně oprávnění ke čtení a opětovnému sdílení pro jednotlivé položky) najdete v článku Plánování zabezpečení uživatelů sestavy.

Oprávnění ke čtení a sestavení pro základní sémantický model

Tvůrci sestav musí mít oprávnění ke čtení a sestavení pro sémantické modely, které budou jejich sestavy používat, včetně zřetězených sémantických modelů. Toto oprávnění je možné udělit explicitně pro jednotlivé sémantické modely nebo ho lze implicitně udělit pro sémantické modely pracovního prostoru, pokud je tvůrce sestav správcem, členem nebo přispěvatelem pracovního prostoru.

Nastavení Použití sémantických modelů napříč tenanty pracovních prostorů umožňuje správcům Power BI nastavit, které skupiny uživatelů můžou vytvářet sestavy, které používají sémantické modely umístěné v jiných pracovních prostorech. Toto nastavení se zaměřuje na sémantický model a tvůrce sestav. Obvykle doporučujeme ponechat toto nastavení povolené pro celou organizaci a spoléhat se na nastavení přístupu k pracovnímu prostoru a na sémantická oprávnění modelu. Tímto způsobem můžete podpořit použití stávajících sémantických modelů. V některých případech můžete zvážit omezení této schopnosti jenom na schválené tvůrce obsahu.

K dispozici je také nastavení Povolit živá připojení tenanta, které správcům Power BI umožňuje nastavit, které skupiny uživatelů můžou vytvářet živá připojení k sémantickým modelům v Power BI Desktopu nebo Excelu. Cílí se konkrétně na tvůrce sestav a také vyžaduje, aby jim byla udělena oprávnění ke čtení a sestavení v sémantickém modelu, který bude sestava používat. Doporučujeme ponechat toto nastavení povolené pro celou organizaci a spoléhat se na přístup k pracovnímu prostoru a na sémantická oprávnění modelu. Tímto způsobem můžete podpořit použití stávajících sémantických modelů. V některých případech můžete zvážit omezení této schopnosti jenom na schválené tvůrce obsahu.

Zabezpečení dat pro základní sémantický model

Zabezpečení na úrovni řádků a OLS (popsané výše v tomto článku) jsou zaměřeny na uživatele sestav. Někdy je ale také potřeba vynutit tvůrce sestav. Vytvoření samostatných pracovních prostorů je odůvodněné, když je potřeba vynutit zabezpečení na úrovni řádků pro tvůrce sestav a také uživatele sestav.

Zvažte následující scénář.

• Centralizované sdílené sémantické modely s RLS: Tým podnikového BI publikoval prodejní sémantické modely do pracovního prostoru Sales Data . Tyto sémantické modely vynucují zabezpečení na úrovni řádků k zobrazení prodejních dat pro přiřazenou prodejní oblast příjemce sestavy.
• Decentralizovaní tvůrci samoobslužných sestav: Prodejní a marketingová organizační jednotka má mnoho schopných analytiků, kteří vytvářejí vlastní sestavy. Publikují své sestavy do pracovního prostoru Sales Analytics .
• Oprávnění ke čtení a sestavení pro sémantické modely: Kdykoli je to možné, analytici používají sémantické modely z pracovního prostoru Sales Data , aby se zabránilo zbytečnému duplikování dat. Vzhledem k tomu, že analytici mají oprávnění jen ke čtení a sestavení u těchto sémantických modelů (bez oprávnění k zápisu nebo úpravám), vynucuje se zabezpečení na úrovni řádků pro tvůrce sestav (a také uživatele sestav).
• Oprávnění k úpravám pracovního prostoru pro vytváření sestav: Analytici mají v pracovním prostoru Sales Analytics více práv. Role pracovního prostoru správce, člena nebo přispěvatele jim umožňují publikovat a spravovat sestavy.

Další informace o zabezpečení na úrovni řádků a OLS najdete v článku Plánování zabezpečení uživatelů sestav. Popisuje, jak a kdy se pro uživatele, kteří mají oprávnění jen pro sémantický model, vynucují zabezpečení na úrovni řádků a OLS.

Připojení k externím sémantickým modelům

Když se tvůrce sestavy připojí ke sdílenému sémantickému modelu sestavy, obvykle se připojí ke sdílenému sémantickému modelu publikovanému ve vlastním tenantovi Power BI. Po udělení oprávnění je také možné se připojit ke sdílenému sémantickému modelu v jiném tenantovi. Druhým tenantem může být partner, zákazník nebo dodavatel.

Tato funkce se označuje jako místní sémantické sdílení modelu (označované také jako sémantické sdílení modelu mezi tenanty). Sestavy vytvořené tvůrcem sestav (nebo novými složenými modely vytvořenými tvůrcem sémantických modelů) se ukládají a zabezpečují ve vašem tenantovi Power BI pomocí normálního procesu. Původní sdílený sémantický model zůstane v původním tenantovi Power BI a všechna oprávnění se tam spravují.

Další informace najdete v článku plánování zabezpečení na úrovni tenanta. Obsahuje informace o nastavení tenanta a nastavení sémantického modelu, která umožňují externí sdílení fungovat.

Doporučené tabulky

V Power BI Desktopu můžou tvůrci sémantických modelů nastavit tabulku modelu tak, aby se stala doporučenou tabulkou. Když se sémantický model publikuje do služba Power BI, můžou tvůrci sestav pomocí galerie datových typů v Excelu najít doporučenou tabulku, aby mohli přidávat doporučená data tabulky k rozšíření excelových listů.

Nastavení Povolit připojení k doporučeným tabulkám umožňuje správcům Power BI nastavit, které skupiny uživatelů mají přístup k doporučeným tabulkám. Cílí na uživatele Excelu, kteří chtějí získat přístup k doporučeným tabulkám Power BI v datových typech organizace Excelu. Doporučujeme ponechat toto nastavení povolené pro celou organizaci a spoléhat se na přístup k pracovnímu prostoru a na sémantická oprávnění modelu. Tímto způsobem můžete podpořit používání doporučených tabulek.

Oprávnění vlastního vizuálu

Kromě základních vizuálů můžou tvůrci sestav Power BI používat vlastní vizuály. V Power BI Desktopu si můžete vlastní vizuály stáhnout z Microsoft AppSource. Dají se také vyvíjet interně pomocí sady Power BI SDK a nainstalovat tak, že otevřete soubor vizuálu (.pbviz).

Některé vizuály dostupné ke stažení z AppSource jsou certifikované vizuály. Certifikované vizuály splňují určité požadavky na kód, které tým Power BI otestoval a schválil. Testy kontrolují, že vizuály nemají přístup k externím službám nebo prostředkům.

Nastavení Povolit vizuály vytvořené nastavením tenanta sady Power BI SDK umožňuje správcům Power BI řídit, které skupiny uživatelů můžou používat vlastní vizuály.

K dispozici je také nastavení přidání a použití certifikovaných vizuálů, které správcům Power BI umožňuje blokovat používání necertifikovaných vizuálů v služba Power BI. Toto nastavení je možné povolit nebo zakázat pro celou organizaci.

Poznámka:

Pokud zablokujete použití necertifikovaných vizuálů, platí jenom pro služba Power BI. Pokud chcete omezit jejich použití v Power BI Desktopu, požádejte správce systému, aby pomocí nastavení zásad skupiny zablokovali jejich použití v Power BI Desktopu. Provedením tohoto kroku zajistíte, aby tvůrci sestav neztráceli čas a úsilí při vytváření sestavy, která nebude fungovat při publikování do služba Power BI. Důrazně doporučujeme nastavit uživatele tak, aby měli konzistentní prostředí v služba Power BI (s nastavením tenanta) a Power BI Desktopu (se zásadami skupiny).

Power BI Desktop nabízí možnost zobrazit upozornění zabezpečení, když tvůrce sestavy přidá do sestavy vlastní vizuál. Tvůrci sestav můžou tuto možnost zakázat. Tato možnost netestuje, jestli je vizuál certifikovaný.

Správci Power BI můžou schvalovat a nasazovat vlastní vizuály pro svoji organizaci. Tvůrci sestav pak můžou tyto vizuály snadno zjišťovat, aktualizovat a používat. Správci pak můžou tyto vizuály spravovat aktualizací verzí nebo zakázáním a povolením konkrétních vlastních vizuálů. Tento přístup je užitečný v případě, že chcete zpřístupnit interně vyvinutý vizuál tvůrcům sestav nebo když vlastní vizuál získáte od dodavatele, který není v AppSource. Další informace najdete v organizačních vizuálech Power BI.

Zvažte vyváženou strategii povolení jenom certifikovaných vlastních vizuálů ve vaší organizaci (s dříve popsanými nastavením tenanta a zásadami skupiny) a nasazováním vizuálů organizace za účelem zpracování jakýchkoli výjimek.

Kontrolní seznam – Při plánování oprávnění tvůrce sestav zahrnují klíčová rozhodnutí a akce:

• Rozhodněte se o strategii oprávnění tvůrce sestav: Určete, jaké předvolby a požadavky existují pro správu zabezpečení pro tvůrce sestav. Zvažte oblast předmětu a úroveň citlivosti dat. Zvažte také, kdo může převzít odpovědnost za vytváření a správu sestav v centralizovaných a decentralizovaných obchodních jednotkách.
• Přečtěte si, jak se role pracovního prostoru zpracovávají pro tvůrce sestav: Zjistěte, jaký je dopad na proces návrhu pracovního prostoru. Vytvořte samostatné pracovní prostory dat a pracovní prostory pro vytváření sestav pro každou oblast předmětu, takže role pracovního prostoru (a základní zabezpečení sémantického modelu) jsou pro danou oblast zjednodušeny.
• Poskytněte pokyny pro tvůrce sestav o správě oprávnění: Uveďte dokumentaci pro tvůrce sestav o tom, jak spravovat oprávnění pro uživatele sestav. Tyto informace publikujte na centralizovaný portál a školicí materiály.
• Rozhodněte se, kdo může používat sdílené sémantické modely: Rozhodněte se, jestli mají mít tvůrci sestav Power BI (kteří už oprávnění ke čtení a sestavení pro sémantický model) můžou používat sémantické modely napříč pracovními prostory. Nastavte nastavení Použít sémantické modely napříč tenanty pracovních prostorů tak, aby odpovídalo tomuto rozhodnutí. Pokud se rozhodnete tuto funkci omezit, zvažte použití skupiny, jako jsou tvůrci sestav schválených Power BI.
• Rozhodněte se, kdo může používat živá připojení: Rozhodněte se, jestli mají mít tvůrci sestav Power BI (kteří už oprávnění ke čtení a sestavení pro sémantický model) můžou používat živá připojení. Nastavte nastavení Povolit tenanta živých připojení tak, aby odpovídalo tomuto rozhodnutí. Pokud se rozhodnete tuto funkci omezit, zvažte použití skupiny, jako jsou tvůrci sestav schválených Power BI.
• Rozhodněte se o strategii použití zabezpečení na úrovni řádků pro tvůrce sestav: Zvažte, které případy použití a účely máte v úmyslu použít zabezpečení na úrovni řádků. Faktorem ve strategii návrhu pracovního prostoru za účelem zajištění vynucení zabezpečení na úrovni řádků pro tvůrce sestav.
• Rozhodněte se o strategii použití vlastních vizuálů: Zvažte strategii, pro kterou mohou tvůrci sestav používat vlastní vizuály. Nastavte možnost Povolit vizuály vytvořené nastavením tenanta sady Power BI SDK, aby odpovídaly tomuto rozhodnutí. V případě potřeby vytvořte proces pro použití vizuálů organizace.

Oprávnění pro tvůrce toku dat

Toky dat jsou užitečné pro centralizaci přípravy dat, aby se práce provedená v Power Query neopakuje v mnoha sémantických modelech. Jedná se o stavební blok pro dosažení jednoho zdroje pravdy, který brání analytikům v vyžadování přímého přístupu ke zdrojům a k provádění operací extrakce, transformace a načítání (ETL) ve velkém měřítku.

Tvůrce toku dat musí být správcem pracovního prostoru, členem nebo přispěvatelem.

Pokud chcete využívat tok dat (například z nového datového modelu vytvořeného v Power BI Desktopu nebo v jiném pracovním prostoru), může sémantický tvůrce modelu patřit do libovolné role pracovního prostoru, včetně role Čtenář. Pro toky dat neexistuje žádný koncept zabezpečení na úrovni řádků.

Kromě rolí pracovního prostoru musí být povolené nastavení tenanta Vytvořit a používat toky dat. Toto nastavení tenanta platí pro celou organizaci.

Zvažte následující scénář.

• Řada sémantických modelů v organizaci musí vynucovat dynamické zabezpečení na úrovni řádků. Vyžaduje, aby hlavní názvy uživatelů (UPN) byly uloženy v sémantickém modelu (k filtrování podle identity příjemce sestavy).
• Tvůrce toku dat, který patří do oddělení lidských zdrojů, vytvoří tok dat s aktuálními podrobnostmi o zaměstnancích včetně hlavních názvů uživatelů ( UPN). Nastaví tok dat tak, aby se aktualizoval každý den.
• Sémantické tvůrce modelů pak tok dat spotřebovávají ve svých návrzích modelů k nastavení zabezpečení na úrovni řádků.

Další informace o používání toků dat najdete v samoobslužné přípravě dat a pokročilých scénářích použití přípravy dat.

Kontrolní seznam – Při plánování oprávnění pro tvůrce toku dat zahrnují klíčová rozhodnutí a akce:

• Rozhodněte se o strategii oprávnění pro tvůrce toku dat: Určete, jaké předvolby a požadavky existují pro správu zabezpečení pro tvůrce toků dat. Zvažte, kdo může nebo doporučuje převzít odpovědnost za správu aktivit přípravy dat v centralizovaných a decentralizovaných obchodních jednotkách.
• Rozhodněte se, kdo může vytvářet toky dat: Rozhodněte se, jestli mají existovat nějaká omezení, pro která můžou tvůrci dat Power BI vytvářet toky dat. Nastavte nastavení tenanta Vytvořit a používat toky dat tak, aby odpovídalo tomuto rozhodnutí.
• Přečtěte si, jak se role pracovního prostoru zpracovávají pro tvůrce toků dat: Zjistěte, jaký je dopad na proces návrhu pracovního prostoru. Vytvořte samostatné pracovní prostory toku dat pro každou oblast předmětu, abyste mohli v případě potřeby zpracovávat role a oprávnění pracovního prostoru samostatně pro každou oblast předmětu.

Oprávnění pro tvůrce datového diagramu

Datamart je samoobslužné analytické řešení, které uživatelům umožňuje ukládat a zkoumat data načtená v plně spravované relační databázi. Skládá se také z automaticky generovaného sémantického modelu.

Datové diagramy poskytují jednoduché prostředí s nízkým kódem pro příjem dat z různých zdrojů dat a extrakci, transformaci a načítání (ETL) dat pomocí Power Query Online. Data se načtou do služby Azure SQL Database, která je plně spravovaná a nevyžaduje žádné ladění ani optimalizaci. Automaticky generovaný sémantický model se vždy synchronizuje se spravovanou databází, protože je v režimu DirectQuery.

Datový diagram můžete vytvořit, když jste správcem pracovního prostoru, členem nebo přispěvatelem. Role pracovního prostoru se také mapují na role na úrovni databáze ve službě Azure SQL Database (protože je však databáze plně spravovaná, uživatelská oprávnění se nedají upravovat ani spravovat v relační databázi).

Nastavení tenanta Vytvořit datové diagramy umožňuje správcům Power BI nastavit, které skupiny uživatelů můžou vytvářet datové diagramy.

Sdílení datového diagramu

U datových diagramů přebírá sdílení termínů význam, který se liší od jiných typů obsahu Power BI. Operace sdílení je obvykle cílená na příjemce, protože poskytuje oprávnění jen pro čtení k jedné položce, jako je sestava.

Sdílení datového diagramu se zaměřuje na tvůrce obsahu (nikoli na uživatele). Uděluje oprávnění ke čtení a sestavení, která uživatelům umožňují dotazovat se na sémantický model nebo relační databázi podle toho, co preferují.

Sdílení datového diagramu umožňuje tvůrcům obsahu:

• Vytváření obsahu pomocí automaticky generovaného sémantického modelu: Sémantický model je sémantická vrstva, na které lze sestavy Power BI sestavit. Většina tvůrců sestav by měla používat sémantický model.
• Připojení ke službě Azure SQL Database a jejich dotazování: Relační databáze je užitečná pro tvůrce obsahu, kteří chtějí vytvářet nové sémantické modely nebo stránkované sestavy. Můžou psát dotazy jazyka SQL (Structured Query Language), které načítají data pomocí koncového bodu SQL.

Zabezpečení na úrovni řádků datového diagramu

Zabezpečení na úrovni řádků můžete definovat pro datové diagramy , abyste omezili přístup k datům pro zadané uživatele. Zabezpečení na úrovni řádků je nastavené v editoru datového diagramu v služba Power BI a automaticky se použije na automaticky vygenerovaný sémantický model a službu Azure SQL Database (jako pravidla zabezpečení).

Bez ohledu na to, jak se uživatel rozhodne připojit k datovému diagramu (k sémantickému modelu nebo databázi), vynucují se stejná oprávnění RLS.

Kontrolní seznam – Při plánování oprávnění tvůrce datového diagramu zahrnují klíčová rozhodnutí a akce:

• Rozhodněte se o strategii oprávnění pro tvůrce datového diagramu: Určete, jaké předvolby a požadavky existují pro správu zabezpečení pro tvůrce datového diagramu. Zvažte, kdo může nebo doporučuje převzít odpovědnost za správu dat v centralizovaných a decentralizovaných obchodních jednotkách.
• Rozhodněte se, kdo může vytvářet datové diagramy: Rozhodněte se, jestli mají existovat nějaká omezení, pro která můžou tvůrci dat Power BI vytvořit datový diagram. Nastavte nastavení tenanta Create datamarts tak, aby odpovídalo tomuto rozhodnutí. Pokud se rozhodnete omezit, kdo může vytvářet datové diagramy, zvažte použití skupiny, jako jsou tvůrci datových diagramů schválených Power BI.
• Přečtěte si, jak se role pracovního prostoru zpracovávají pro tvůrce datových diagramů: Zjistěte, jaký je dopad na proces návrhu pracovního prostoru. Vytvořte samostatné datové pracovní prostory pro každou oblast předmětu, aby bylo možné zjednodušit role pracovního prostoru a zabezpečení sémantických modelů pro předmětnou oblast.
• Poskytněte pokyny pro tvůrce datového diagramu o správě oprávnění: Uveďte dokumentaci pro tvůrce datového diagramu o tom, jak spravovat oprávnění datového diagramu. Tyto informace publikujte na centralizovaný portál a školicí materiály.
• Rozhodněte se o strategii použití zabezpečení na úrovni řádků v datových diagramech: Zvažte, které případy použití a účely máte v úmyslu používat zabezpečení na úrovni řádků v rámci datového diagramu.

Oprávnění tvůrce přehledu výkonnostních metrik

Metriky v Power BI umožňují kurátorovat konkrétní metriky a sledovat je proti klíčovým obchodním cílům. Metriky se přidají do přehledů výkonnostních metrik, které je možné sdílet s ostatními uživateli a zobrazit je v jednom podokně.

Přehledy výkonnostních metrik je možné zabezpečit třemi úrovněmi oprávnění:

• Pracovní plocha.
• Oprávnění přehledu výkonnostních metrik (podle položky)
• Metriky (v přehledu výkonnostních metrik)

Uživatel, který vytváří nebo plně spravuje přehled výkonnostních metrik, musí být správcem pracovního prostoru, členem nebo přispěvatelem.

Vzhledem k tomu, že metriky často pokrývají více oblastí předmětu, doporučujeme vytvořit samostatný pracovní prostor, abyste mohli nezávisle spravovat oprávnění pro tvůrce a uživatele.

Nastavení tenanta Vytvořit a používat metriky umožňuje správcům Power BI nastavit, které skupiny uživatelů můžou vytvářet metriky přehledu výkonnostních metrik .

Oprávnění přehledu výkonnostních metrik

Můžete přiřadit následující oprávnění přehledu výkonnostních metrik.

• Čtení: Toto oprávnění umožňuje uživateli zobrazit přehled výkonnostních metrik.
• Znovu sdílet: Cílí na každého, kdo má stávající oprávnění k přehledu výkonnostních metrik, toto oprávnění umožňuje uživatelům sdílet přehled výkonnostních metrik s jiným uživatelem.

V souladu s jinými typy obsahu v služba Power BI jsou oprávnění pro jednotlivé položky užitečná, pokud chcete sdílet jednu položku s jiným uživatelem. Pokud je to možné, doporučujeme používat role pracovního prostoru a oprávnění aplikace.

Oprávnění na úrovni metrik

Každá přehled výkonnostních metrik má sadu oprávnění na úrovni metrik, která můžete nastavit v nastavení přehledu výkonnostních metrik. Oprávnění na úrovni metrik (v rámci přehledu výkonnostních metrik) se dají udělit odlišně od pracovního prostoru nebo oprávnění přehledu výkonnostních metrik (podle položky).

Role na úrovni metrik umožňují nastavit:

• Kdo může zobrazit jednotlivé metriky v přehledu výkonnostních metrik.
• Kdo může aktualizovat jednotlivé metriky:
  • Aktualizace stavu během vrácení se změnami
  • Přidávání poznámek během vracení se změnami
  • Aktualizace aktuální hodnoty během vrácení se změnami

Pokud chcete snížit úroveň budoucí údržby, je možné nastavit výchozí oprávnění, která budou zděděna dílčími metrikami, které vytvoříte v budoucnu.

Kontrolní seznam – Při plánování oprávnění tvůrce metrik zahrnují klíčová rozhodnutí a akce:

• Rozhodněte se o strategii oprávnění tvůrce přehledů výkonnostních metrik: Určete, jaké předvolby a požadavky existují pro správu zabezpečení pro tvůrce přehledů výkonnostních metrik. Zvažte, kdo může nebo doporučuje převzít odpovědnost za správu dat v centralizovaných a decentralizovaných obchodních jednotkách.
• Rozhodněte se, kdo může vytvářet přehledy výkonnostních metrik: Rozhodněte se, jestli mají existovat nějaká omezení, pro která můžou tvůrci dat Power BI vytvářet přehledy výkonnostních metrik. Nastavte nastavení tenanta Vytvořit a používat metriky, aby bylo možné ho shodovat s tímto rozhodnutím. Pokud se rozhodnete omezit, kdo může vytvářet přehledy výkonnostních metrik, zvažte použití skupiny, jako jsou tvůrci schválených přehledů výkonnostních metrik Power BI.
• Přečtěte si, jak se role pracovního prostoru zpracovávají pro tvůrce přehledů výkonnostních metrik: Zjistěte, jaký je dopad na proces návrhu pracovního prostoru. Pokud obsah pokrývá předmětné oblasti, zvažte vytvoření samostatných pracovních prostorů pro přehledy výkonnostních metrik.
• Poskytněte pokyny pro tvůrce přehledů výkonnostních metrik o správě oprávnění: Uveďte dokumentaci pro tvůrce přehledů výkonnostních metrik o správě oprávnění na úrovni metrik. Tyto informace publikujte na centralizovaný portál a školicí materiály.

Publikování obsahu

Tato část obsahuje témata související s publikováním obsahu, které jsou relevantní pro tvůrce obsahu.

Pracovní prostory

Tvůrci obsahu budou potřebovat přístup správce, člena nebo přispěvatele k publikování obsahu do pracovního prostoru. Další informace najdete v rolích pracovního prostoru popsaných výše v tomto článku.

S výjimkou osobního BI by tvůrci obsahu měli být vyzváni k publikování obsahu do standardních pracovních prostorů místo jejich osobního pracovního prostoru.

Nastavení tenanta aktualizace balíčku se znovu publikuje a zakáže, změní chování pro sémantické modely publikování. Pokud je tato možnost povolená, správci pracovního prostoru, členové nebo přispěvatelé nemůžou publikovat změny do sémantického modelu. Publikovat aktualizaci může pouze sémantický vlastník modelu (vynucení převzetí sémantického modelu před publikováním aktualizovaného sémantického modelu). Vzhledem k tomu, že toto nastavení tenanta platí pro celou organizaci, povolte ho s mírou opatrnosti, protože ovlivňuje všechny sémantické modely pro celého tenanta. Nezapomeňte sdělit tvůrcům sémantických modelů, co mají očekávat, protože mění normální chování rolí pracovního prostoru.

Synchronizace Power Apps

Je možné vytvořit řešení Power Apps, které obsahuje vložené sestavy Power BI. Proces Power Apps automaticky vytvoří vyhrazený pracovní prostor Power BI pro ukládání a zabezpečení sestav a sémantických modelů Power BI. Pokud chcete spravovat položky, které existují v Power Apps i Power BI, existuje proces synchronizace.

Proces synchronizuje role zabezpečení, aby se zajistilo, že Power BI dědí stejné role, které byly původně nastavené v Power Apps. Umožňuje také tvůrci obsahu spravovat oprávnění, která můžou zobrazit sestavy Power BI (a související sémantické modely), které jsou vložené do aplikace Power App.

Další informace o synchronizaci rolí Power Apps s rolemi pracovního prostoru Power BI najdete v tématu Synchronizace oprávnění mezi prostředím Power Apps a pracovním prostorem Power BI.

Přístup ke kanálu nasazení

Tvůrci a vlastníci obsahu můžou používat kanály nasazení Power BI pro samoobslužné publikování obsahu. Kanály nasazení zjednodušují proces publikování a zlepšují úroveň řízení při vydávání nového obsahu.

Oprávnění kanálu (pro uživatele, kteří můžou nasadit obsah s kanálem nasazení) spravujete odděleně od rolí pracovního prostoru. Pro uživatele provádějící nasazení se vyžaduje přístup k pracovnímu prostoru i kanálu nasazení.

Tvůrci obsahu můžou také potřebovat:

• Oprávnění k vytvoření pracovního prostoru (pokud je potřeba vytvořit pracovní prostory kanálem)
• Oprávnění ke kapacitě Premium nebo Fabric (při přiřazení pracovních prostorů kanálem)

Důležité

Někdy se tento článek týká Power BI Premium nebo jejích předplatných kapacity (SKU P). Mějte na paměti, že Microsoft v současné době konsoliduje možnosti nákupu a vyřazuje Power BI Premium na skladové položky kapacity. Místo toho by měli noví a stávající zákazníci zvážit nákup předplatných kapacity Fabric (SKU F).

Další informace najdete v tématu Důležité aktualizace týkající se licencování Power BI Premium a nejčastějších dotazů k Power BI Premium.

Další informace najdete v tématu Přístup ke kanálu nasazení.

Koncový bod XMLA

Koncový bod XMLA používá protokol XMLA k zveřejnění všech funkcí tabulkového datového modelu, včetně některých operací modelování dat, které Power BI Desktop nepodporuje. K programovým změnám datového modelu můžete použít rozhraní API tabulkového objektového modelu (TOM).

Koncový bod XMLA také poskytuje připojení. K sémantickému modelu se můžete připojit jenom v případě, že má pracovní prostor nastavený režim licence na Premium na uživatele, Premium na kapacitu nebo Embedded. Po vytvoření připojení může nástroj kompatibilní se standardem XMLA pracovat s datovým modelem za účelem čtení nebo zápisu dat. Další informace o tom, jak můžete použít koncový bod XMLA ke sémantickému modelu, najdete v pokročilém scénáři použití správy datového modelu.

Přístup prostřednictvím koncového bodu XMLA bude respektovat stávající oprávnění. Správci pracovního prostoru, členové a přispěvatelé mají implicitně oprávnění k zápisu sémantického modelu, což znamená, že můžou nasazovat nové sémantické modely ze sady Visual Studio a spouštět skripty TMSL (Tabular Modeling Scripting Language) v aplikaci SQL Server Management Studio (SSMS).

Uživatelé s oprávněním k sestavení sémantického modelu můžou pomocí koncového bodu XMLA připojit a procházet sémantické modely pro spotřebu a vizualizaci dat. Pravidla zabezpečení na úrovni řádků jsou dodržena a uživatelé nevidí interní sémantická metadata modelu.

Nastavení tenanta Povolit koncové body XMLA a funkce Analyzovat v aplikaci Excel s místními sémantických modelů odkazuje na dvě možnosti: Určuje, které skupiny uživatelů můžou používat koncový bod XMLA k dotazování nebo údržbě sémantických modelů v služba Power BI. Určuje také, jestli se funkce Analyzovat v aplikaci Excel dá použít s místními modely Služba Analysis Services serveru SQL (SSAS).

Poznámka:

Aspekt Analyzovat v aplikaci Excel tohoto nastavení tenanta platí jenom pro místní modely Služba Analysis Services serveru SQL (SSAS). Standardní funkce Analyzovat v aplikaci Excel, která se připojuje k sémantickému modelu Power BI v služba Power BI, je řízena nastavením tenanta Povolit živá připojení.

Publikování na webu

Publikování na webu je funkce, která poskytuje přístup k sestavám Power BI komukoli na internetu. Nevyžaduje ověřování a přístup není protokolován pro účely auditování. Vzhledem k tomu, že uživatelé sestav nemusí patřit do organizace nebo mají licenci Power BI, je tato technika vhodná pro datovou novináři, proces, při kterém jsou sestavy vložené do blogových příspěvků, webů, e-mailů nebo sociálních médií.

Upozornění

Publikování na webu má potenciál zveřejnit citlivá nebo důvěrná data, ať už omylem nebo úmyslně. Z tohoto důvodu je tato funkce ve výchozím nastavení zakázaná. Publikování na webu by se mělo používat jenom pro sestavy, které obsahují data, která můžou zobrazit veřejnost.

Nastavení Publikovat do webového tenanta umožňuje správcům Power BI řídit, které skupiny uživatelů můžou publikovat sestavy na webu. Pokud chcete zachovat vyšší úroveň řízení, doporučujeme do tohoto nastavení tenanta zahrnout jiné skupiny (jako jsou správci Power BI nebo jiné typy tvůrců obsahu). Místo toho vynucujte konkrétní uživatelský přístup pomocí skupiny zabezpečení, jako je veřejné publikování Power BI. Ujistěte se, že je skupina zabezpečení dobře spravovaná.

Vkládání do vlastních aplikací

Nastavení vkládat obsah do tenanta aplikací umožňuje správcům Power BI řídit, kteří uživatelé můžou vkládat obsah Power BI mimo služba Power BI. Pokud plánujete vložit obsah Power BI do vlastních aplikací, povolte toto nastavení pro konkrétní skupiny, jako jsou vývojáři aplikací.

Vkládání v PowerPointu

Nastavení povolit doplněk Power BI pro tenanta PowerPointu umožňuje správcům Power BI řídit, kteří uživatelé můžou vkládat stránky sestav Power BI do powerpointových prezentací. Pokud je to vhodné, povolte toto nastavení pro konkrétní skupiny, jako jsou tvůrci sestav.

Poznámka:

Aby tato funkce fungovala, musí si uživatelé nainstalovat doplněk Power BI pro PowerPoint. Aby mohli doplněk používat, musí mít uživatelé buď přístup k úložišti doplňků Pro Office, nebo musí být doplněk zpřístupněný jako doplněk spravovaný správcem. Další informace najdete v doplňku Power BI pro PowerPoint.

Informujte tvůrce sestav, aby byli opatrní ohledně toho, kam ukládají své powerpointové prezentace a s kým je sdílejí. Je to proto, že se uživatelům při otevření prezentace zobrazí obrázek vizuálů sestav Power BI. Tato image se zachycuje od posledního připojení powerpointového souboru. Obrázek ale může neúmyslně odhalit data, která přijímající uživatel nemá oprávnění k zobrazení.

Poznámka:

Obrázek může být užitečný, když přijímající uživatel ještě doplněk nemá, nebo dokud se doplněk nepřipojí k služba Power BI k načtení dat. Po připojení uživatele se z Power BI načtou jenom data, která uživatel uvidí (vynucuje jakékoli zabezpečení na úrovni řádků).

Aplikace šablon

Aplikace šablon umožňují partnerům a dodavatelům softwaru Power BI vytvářet aplikace Power BI s minimálním nebo žádným kódováním a nasazovat je do libovolného zákazníka Power BI.

Nastavení tenanta Publikovat aplikace šablon umožňuje správcům Power BI řídit, kteří uživatelé můžou publikovat aplikace šablon mimo organizaci, například prostřednictvím Microsoft AppSource. U většiny organizací by toto nastavení tenanta mělo být zakázané nebo úzce řízené. Zvažte použití skupiny zabezpečení, jako jsou tvůrci externích aplikací šablon Power BI.

Odběry e-mailů

Můžete se přihlásit k odběru sestav, řídicích panelů a stránkovaných sestav Power BI sami a dalších uživatelů. Power BI pak odešle e-mail podle nastaveného plánu. E-mail bude obsahovat snímek a odkaz na sestavu nebo řídicí panel.

Předplatné, které zahrnuje další uživatele, můžete vytvořit, když jste správcem, členem nebo přispěvatelem pracovního prostoru. Pokud je sestava v pracovním prostoru Premium, můžete se přihlásit k odběru skupin (ať už jsou ve vaší doméně nebo ne) a externích uživatelů. Při nastavování předplatného je také možnost udělit oprávnění k položce. Pro tento účel se používají přímá přístupová oprávnění pro jednotlivé položky, která jsou popsána v článku Plánování zabezpečení uživatelů sestavy.

Upozornění

Funkce odběru e-mailu má potenciál sdílet obsah interním a externím cílovým skupinám. Pokud se zabezpečení na úrovni řádků vynucuje u základního sémantického modelu, přílohy a obrázky se generují pomocí kontextu zabezpečení uživatele, který se přihlašuje k odběru.

Nastavení tenanta Předplatná e-mailu umožňuje správcům Power BI řídit, jestli je tato funkce povolená nebo zakázaná pro celou organizaci.

Existují určitá omezení týkající se příloh souvisejících s omezeními licencování a nastavení tenanta. Další informace najdete v tématu Odběry e-mailů pro sestavy a řídicí panely v služba Power BI.

Kontrolní seznam – Při plánování publikování obsahu patří klíčová rozhodnutí a akce:

• Rozhodněte se o strategii, kde se má obsah publikovat, jak a kým: Určete, jaké předvolby a požadavky existují pro to, kde se obsah publikuje.
• Ověření přístupu k pracovnímu prostoru: Potvrďte přístup k návrhu pracovního prostoru. Ověřte, jak používat přístupové role pracovního prostoru k podpoře vaší strategie pro umístění publikování obsahu.
• Určete, jak zpracovávat oprávnění kanálu nasazení: Rozhodněte se, kteří uživatelé mají oprávnění publikovat obsah pomocí kanálu nasazení. Odpovídajícím způsobem nastavte oprávnění kanálu nasazení. Ujistěte se, že je k dispozici i přístup k pracovnímu prostoru.
• Rozhodněte se, kdo se může připojit k sémantickým modelům pomocí koncového bodu XMLA: Rozhodněte, kteří uživatelé mají oprávnění dotazovat nebo spravovat sémantické modely pomocí koncového bodu XMLA. Nastavte nastavení Klienta Povolit koncové body XMLA a Analyzovat v aplikaci Excel s nastavením tenanta místních sémantických modelů tak, aby odpovídaly tomuto rozhodnutí. Pokud se rozhodnete tuto funkci omezit, zvažte použití skupiny, jako jsou tvůrci schváleného obsahu Power BI.
• Rozhodněte se, kdo může publikovat sestavy veřejně: Rozhodněte, kteří uživatelé mají oprávnění publikovat sestavy Power BI veřejně, pokud existují. Nastavení Publikovat do webového tenanta nastavte tak, aby odpovídalo tomuto rozhodnutí. Použijte skupinu, jako je veřejné publikování Power BI.
• Rozhodněte se, kdo může vkládat obsah do vlastních aplikací: Určete, kdo má mít povoleno vkládat obsah mimo služba Power BI. Nastavte nastavení Vložit obsah v tenantovi aplikací tak, aby odpovídalo tomuto rozhodnutí.
• Rozhodněte se, kdo může vkládat obsah do PowerPointu: Určete, kdo má mít povoleno vkládat obsah do PowerPointu. Nastavte doplněk Povolit Power BI pro nastavení tenanta PowerPointu tak, aby odpovídal tomuto rozhodnutí.
• Rozhodněte se, kdo může publikovat aplikace šablon: Určete, jaká je vaše strategie použití aplikací šablon mimo organizaci. Nastavte nastavení tenanta Publikovat aplikace šablony tak, aby odpovídalo tomuto rozhodnutí.
• Rozhodněte se, jestli chcete povolit předplatná: Ověřte, jaká je vaše strategie používání předplatných. Nastavte nastavení tenanta e-mailových předplatných tak, aby odpovídalo tomuto rozhodnutí.

Aktualizovat data

Po publikování by tvůrci dat měli zajistit, aby se jejich sémantické modely a toky dat (obsahující importovaná data) pravidelně aktualizovaly. Měli byste také rozhodnout o vhodných strategiích pro sémantický model a vlastníky toku dat.

Vlastník sémantického modelu

Každý sémantický model má vlastníka, což je jeden uživatelský účet. Vlastník sémantického modelu je nutný k nastavení sémantické aktualizace modelu a nastavení sémantických parametrů modelu.

Ve výchozím nastavení obdrží vlastník sémantického modelu také žádosti o přístup od tvůrců sestav, kteří chtějí oprávnění k sestavení (pokud nejsou nastavena nastavení vyžádat přístup pro sémantický model tak, aby poskytovaly vlastní pokyny). Další informace najdete v části Žádost o přístup pro tvůrce v tomto článku.

Existují dva způsoby, jak Může Power BI získat přihlašovací údaje k aktualizaci sémantického modelu.

• Sémantický vlastník modelu ukládá přihlašovací údaje v nastavení sémantického modelu.
• Sémantický vlastník modelu odkazuje na bránu v nastavení sémantického modelu (který obsahuje zdroj dat s uloženými přihlašovacími údaji).

Pokud jiný uživatel potřebuje nastavit parametry sémantického modelu nebo aktualizovat nebo nastavit, musí převzít vlastnictví sémantického modelu. sémantické vlastnictví modelu může převzít správce pracovního prostoru, člen nebo přispěvatel.

Upozornění

Převzetí sémantického vlastnictví modelu trvale odebere všechny uložené přihlašovací údaje pro sémantický model. Přihlašovací údaje je nutné znovu zadat, aby se operace aktualizace dat mohly obnovit.

V ideálním případě je vlastníkem sémantického modelu uživatel, který zodpovídá za sémantický model. Vlastník sémantického modelu byste měli aktualizovat, když opustí organizaci nebo změní role. Mějte také na paměti, že když je uživatelský účet vlastníka sémantického modelu zakázán v ID Microsoft Entra, aktualizace dat se automaticky zakáže. V takovém případě musí jiný uživatel převzít vlastnictví sémantického modelu, aby operace aktualizace dat mohly pokračovat.

Vlastník toku dat

Podobně jako sémantické modely mají toky dat také vlastníka, což je jeden uživatelský účet. Informace a pokyny uvedené v předchozím tématu o sémantických modelech se vztahují také na vlastníky toku dat.

Kontrolní seznam – Při plánování zabezpečení souvisejících s procesy aktualizace dat patří klíčová rozhodnutí a akce:

• Rozhodněte se o strategii pro sémantické vlastníky modelu: Určete, jaké předvolby a požadavky existují pro správu sémantických vlastníků modelů.
• Rozhodněte se o strategii pro vlastníky toku dat: Určete, jaké předvolby a požadavky existují pro správu vlastníků toku dat.
• Zahrnout do dokumentace a školení pro sémantické tvůrce modelů: Uveďte pokyny pro tvůrce dat o tom, jak spravovat vlastníky pro jednotlivé typy položek.

Související obsah

Další aspekty, akce, rozhodovací kritéria a doporučení, které vám pomůžou při rozhodování o implementaci Power BI, najdete v předmětech, které je potřeba vzít v úvahu.