Del dine data, og administrer tilladelser

Gælder for:✅Warehouse og Mirrored Database i Microsoft Fabric

Deling er en nem måde at give brugerne læseadgang til dine data til downstream-forbrug. Deling gør det muligt for downstreambrugere i din organisation at forbruge et lager ved hjælp af T-SQL, Spark eller Power BI. Du kan tilpasse det tilladelsesniveau, som den delte modtager tildeles for at give det relevante adgangsniveau.

Bemærk

Du skal være administrator eller medlem af dit arbejdsområde for at kunne dele et element i Microsoft Fabric.

Kom i gang

Når du har identificeret det lagerelement, du vil dele med en anden bruger i dit Fabric-arbejdsområde, skal du vælge den hurtige handling i rækken, der skal deles.

I følgende animerede gif gennemgås trinnene for at vælge et lager, der skal deles, de tilladelser, der skal tildeles, og til sidst Tildel tilladelserne til en anden bruger.

Del et lager

1. Du kan dele dit lager fra varen OneLake eller Warehouse ved at vælge Del fra hurtig handling som fremhævet på følgende billede.

2. Du bliver bedt om at vælge, hvem du vil dele lageret med, hvilke tilladelser der skal tildeles dem, og om de får besked via mail.

3. Udfyld alle obligatoriske felter, og vælg Tildel adgang.

4. Når den delte modtager modtager mailen, kan vedkommende vælge Åbn og navigere til katalogsiden For lager OneLake.

   

5. Afhængigt af det adgangsniveau, som den delte modtager har fået tildelt, kan den delte modtager nu oprette forbindelse til SQL Analytics-slutpunktet, sende forespørgsler til Lageret, oprette rapporter eller læse data via Spark.

Fabric-sikkerhedsroller

Her er flere oplysninger om hver af de angivne tilladelser:

• Hvis der ikke er valgt flere tilladelser – Den delte modtager modtager modtager som standard tilladelsen "Læs", som kun giver modtageren mulighed for at oprette forbindelse til SQL Analytics-slutpunktet, hvilket svarer til CONNECT-tilladelser i SQL Server. Den delte modtager kan ikke forespørge om en tabel eller visning eller udføre nogen funktion eller lagret procedure, medmindre vedkommende får adgang til objekter i lageret ved hjælp af T-SQL GRANT-sætningen .

Tip

ReadData (bruges af lageret til T-SQL-tilladelser), ReadAll (bruges af OneLake og SQL Analytics-slutpunktet) og Build (bruges af Power BI) er separate tilladelser, der ikke overlapper hinanden.

• "Læs alle data ved hjælp af SQL" er valgt ("ReadData"-tilladelser)- Den delte modtager kan læse alle objekterne i lageret. ReadData svarer til db_datareader rolle i SQL Server. Den delte modtager kan læse data fra alle tabeller og visninger i lageret. Hvis du vil begrænse og give detaljeret adgang til nogle objekter i Lageret, kan du gøre dette ved hjælp af T-SQL-sætningerGRANTDENY/REVOKE/.

  • I SQL Analytics-slutpunktet for Lakehouse svarer "Læs alle SQL-slutpunktsdata" til "Læs alle data ved hjælp af SQL".

• "Læs alle data ved hjælp af Apache Spark" er valgt ("ReadAll"-tilladelser)- Den delte modtager har læseadgang til de underliggende parquetfiler i OneLake, som kan bruges ved hjælp af Spark. ReadAll skal kun angives, hvis den delte modtager ønsker fuld adgang til lagerets filer ved hjælp af Spark-programmet.

• Afkrydsningsfeltet "Opret rapporter på standarddatasættet" er markeret ("Build"-tilladelser)- Den delte modtager kan oprette rapporter oven på den semantiske standardmodel, der er forbundet til dit lager. Build skal angives, hvis den delte modtager ønsker buildtilladelser til den semantiske standardmodel for at oprette Power BI-rapporter for disse data. Afkrydsningsfeltet Opret er markeret som standard, men markeringen kan fjernes.

ReadData-tilladelser

Med Læsedata-tilladelser kan den delte modtager åbne lagereditoren i skrivebeskyttet tilstand og forespørge tabellerne og visningerne i lageret. Den delte modtager kan også vælge at kopiere det angivne SQL Analytics-slutpunkt og oprette forbindelse til et klientværktøj for at køre disse forespørgsler.

ReadAll-tilladelser

En delt modtager med tilladelsen ReadAll kan finde stien til Azure Blob File System (ABFS) til den specifikke fil i OneLake fra ruden Egenskaber i Warehouse-editoren. Den delte modtager kan derefter bruge denne sti i en Spark-notesbog til at læse disse data.

På følgende skærmbillede kan en bruger med tilladelsen LæsAlle f.eks. forespørge dataene i FactSale med en Spark-forespørgsel i en ny notesbog.

Opret tilladelser

Med tilladelsen Opret kan den delte modtager oprette rapporter oven på den semantiske standardmodel, der er forbundet til lageret. Den delte modtager kan oprette Power BI-rapporter fra OneLake-kataloget eller også gøre det samme ved hjælp af Power BI Desktop.

Administrer tilladelser

På siden Administrer tilladelser vises listen over brugere, der har fået adgang ved enten at tildele til arbejdsområderoller eller elementtilladelser.

Hvis du er medlem af arbejdsområderollerne Administrator eller Medlem , skal du gå til dit arbejdsområde og vælge Flere indstillinger. Vælg derefter Administrer tilladelser.

For brugere, der har fået tildelt arbejdsområderoller, kan du se den tilsvarende bruger, rolle i arbejdsområdet og tilladelser. Medlemmer af arbejdsområderollerne Administrator, Medlem og Bidragyder har læse-/skriveadgang til elementer i dette arbejdsområde. Seere har LæseData-tilladelser og kan forespørge alle tabeller og visninger i lageret i det pågældende arbejdsområde. Elementtilladelserne Læs, ReadData og ReadAll kan gives til brugerne.

Du kan vælge at tilføje eller fjerne tilladelser ved hjælp af Administrer tilladelser:

• Fjern adgang fjerner alle elementtilladelser.
• Remove ReadData fjerner ReadData-tilladelserne .
• Remove ReadAll fjerner Tilladelsen ReadAll .
• Fjern build fjerner tilladelsen Opret for den tilsvarende semantiske standardmodel.

Funktioner til databeskyttelse

Microsoft Fabric-datawarehousing understøtter flere teknologier, som administratorer kan bruge til at beskytte følsomme data mod uautoriseret visning. Ved at beskytte eller sløre data fra uautoriserede brugere eller roller kan disse sikkerhedsfunktioner give databeskyttelse i både et Warehouse- og SQL Analytics-slutpunkt uden programændringer.

• Sikkerhed på kolonneniveau forhindrer uautoriseret visning af kolonner i tabeller.
• Sikkerhed på rækkeniveau forhindrer uautoriseret visning af rækker i tabeller ved hjælp af velkendte WHERE prædikater for delsætningsfilter.
• Dynamisk datamaskering forhindrer uautoriseret visning af følsomme data ved hjælp af masker for at forhindre adgang til fuldførelse, f.eks. mailadresser eller tal.

Begrænsninger

• Hvis du angiver elementtilladelser eller fjerner brugere, der tidligere har haft tilladelser, kan det tage op til to timer at overføre tilladelser. De nye tilladelser er synlige i Administrer tilladelser med det samme. Log på igen for at sikre, at tilladelserne afspejles i SQL Analytics-slutpunktet.
• Delte modtagere kan få adgang til lageret ved hjælp af ejerens identitet (delegeret tilstand). Sørg for, at ejeren af lageret ikke er fjernet fra arbejdsområdet.
• Delte modtagere har kun adgang til det lager, de modtager, og ikke andre elementer i det samme arbejdsområde som lageret. Hvis du vil give andre brugere i dit team tilladelse til at samarbejde om lageret (læse- og skriveadgang), skal du tilføje dem som arbejdsområderoller, f.eks . Medlem eller Bidragyder.
• Når du i øjeblikket deler et lager og vælger Læs alle data ved hjælp af SQL, kan den delte modtager få adgang til Warehouse-editoren i skrivebeskyttet tilstand. Disse delte modtagere kan oprette forespørgsler, men de kan ikke gemme deres forespørgsler i øjeblikket.
• Deling af et lager er i øjeblikket kun tilgængelig via brugeroplevelsen.
• Hvis du vil give detaljeret adgang til bestemte objekter i lageret, skal du dele lageret uden yderligere tilladelser og derefter give detaljeret adgang til bestemte objekter ved hjælp af T-SQL GRANT-sætningen. Du kan få flere oplysninger i T-SQL-syntaksen for GRANT, REVOKE og DENY.
• Hvis du kan se, at tilladelserne ReadAll og ReadData er deaktiveret i dialogboksen til deling, skal du opdatere siden.
• Delte modtagere har ikke tilladelse til at dele et lager igen.
• Hvis en rapport, der er bygget oven på lageret, deles med en anden modtager, skal den delte modtager have flere tilladelser for at få adgang til rapporten. Dette afhænger af den semantiske models adgangstilstand af Power BI:
  • Hvis du tilgås via direct-forespørgselstilstand, skal ReadData-tilladelser (eller detaljerede SQL-tilladelser til bestemte tabeller/visninger) leveres til lageret.
  • Hvis du får adgang via Direct Lake-tilstand, skal ReadData-tilladelser (eller detaljerede tilladelser til bestemte tabeller/visninger) gives til lageret. Direct Lake-tilstand er standardforbindelsestypen for semantiske modeller, der bruger et lager- eller SQL-analyseslutpunkt som datakilde. Du kan få flere oplysninger under Direct Lake-tilstand.
  • Hvis du får adgang via importtilstand , er der ikke behov for yderligere tilladelser.
  • I øjeblikket understøttes deling af et lager direkte med et SPN ikke.

Relateret indhold

• Forespørg sql analytics-slutpunktet eller lageret i Microsoft Fabric
• Sådan bruger du Microsoft Fabric-notesbøger
• Access Fabric OneLake-genveje i en Apache Spark-notesbog
• Naviger i Fabric Lakehouse-opdagelsesrejsende
• GRANT (Transact-SQL)