Planlægning af Power BI-implementering: Planlægning af sikkerhed for indholdsoprettere

Bemærk

Denne artikel er en del af power BI-implementeringsplanlægningsserierne. I denne serie fokuseres der primært på Power BI-oplevelsen i Microsoft Fabric. Du kan få en introduktion til serien under Planlægning af implementering af Power BI.

I denne artikel om sikkerhedsplanlægning beskrives strategier for indholdsoprettere, der er ansvarlige for at oprette semantiske modeller, dataflow, datamarts, rapporter eller dashboards. Det er primært rettet mod:

• Power BI-administratorer: De administratorer, der er ansvarlige for at styre Power BI i organisationen.
• Center of Excellence, IT og BI-teamet: De teams, der også er ansvarlige for at lede Power BI. De skal muligvis samarbejde med Power BI-administratorer, informationssikkerhedsteams og andre relevante teams.
• indholdsoprettere og -ejere: Selvbetjente BI-oprettere, der har brug for at oprette, publicere, sikre og administrere indhold, som andre bruger.

Serien af artikler er beregnet til at udvide indholdet i Hvidbogen om Sikkerhed i Power BI. Selvom hvidbogen om sikkerhed i Power BI fokuserer på vigtige tekniske emner som godkendelse, dataopbevaring og netværksisolering, er det primære mål for serien at give dig overvejelser og beslutninger, der kan hjælpe dig med at planlægge sikkerhed og beskyttelse af personlige oplysninger.

I en organisation er mange brugere indholdsoprettere. Indholdsforfattere producerer og publicerer indhold, der vises af andre. Indholdsforfattere er i fokus i denne artikel.

Tip

Vi anbefaler, at du gennemser artiklen Rapportér planlægning af forbrugersikkerhed først. Den beskriver strategier for sikker levering af indhold til skrivebeskyttede forbrugere, herunder hvordan datasikkerhed gennemtvinges.

Strategi for indholdsoprettere

Grundlaget for et velstyret selvbetjenings-BI-system begynder med indholdsoprettere og -ejere. De opretter og validerer semantiske modeller og rapporter. I mange tilfælde konfigurerer indholdsoprettere også tilladelser til at administrere sikkerheden for deres indhold.

Tip

Vi anbefaler, at du fremmer en datakultur , der gør sikkerhed og beskyttelse af data til en normal del af alles rolle. For at nå dette mål er brugeruddannelse, support og uddannelse afgørende.

Af hensyn til sikkerhed og tilladelser skal du overveje, at der er to typer indholdsforfattere: oprettere af data og rapportoprettere. De kan være ansvarlige for at oprette og administrere virksomheds-BI - eller selvbetjenings-BI-indhold .

Dataoprettere

En dataopretter er enhver Power BI-bruger, der opretter semantiske modeller, dataflow eller datamarts.

Her er nogle almindelige scenarier for dataoprettere.

• Opret en ny semantisk model: Opret og test en ny datamodel i Power BI Desktop. Den publiceres derefter til Power BI-tjeneste, så den kan bruges som en delt semantisk model for mange rapporter. Du kan få flere oplysninger om genbrug af delte semantiske modeller i det administrerede selvbetjente BI-forbrugsscenarie .
• Udvid og tilpas en semantisk model: Opret en direkte forbindelse til en eksisterende delt semantisk model i Power BI Desktop. Konvertér den direkte forbindelse til en lokal model, hvilket gør det muligt at udvide modeldesignet med nye tabeller eller kolonner. Du kan få flere oplysninger om udvidelse og tilpasning af delte semantiske modeller i det administrerede selvbetjente bi-forbrugsscenarie , der kan tilpasses.
• Opret et nyt dataflow: Opret et nyt dataflow i Power BI-tjenesten, så det kan bruges som kilde af mange semantiske modeller. Du kan få flere oplysninger om genbrug af dataforberedelsesaktiviteter i brugsscenariet for selvbetjent dataforberedelse .
• Opret en ny datamart. Opret en ny datamart i Power BI-tjeneste.

Dataoprettere findes ofte i virksomheds-BI-teams og i COE (Center of Excellence). De har også en vigtig rolle at spille i decentraliserede forretningsenheder og afdelinger, der vedligeholder og administrerer deres egne data.

Du kan finde andre overvejelser om virksomhedsledet BI, administreret selvbetjenings-BI og virksomheds-BI i artiklen Indholdsejerskab og -administration .

Rapportoprettere

Rapportoprettere opretter rapporter og dashboards for at visualisere data, der stammer fra eksisterende semantiske modeller.

Her er nogle almindelige scenarier for rapportoprettere.

• Opret en ny rapport, herunder en datamodel: Opret og test en ny rapport og datamodel i Power BI Desktop. Den Power BI Desktop-fil, der indeholder en eller flere rapportsider og indeholder en datamodel, publiceres på Power BI-tjeneste. Nye indholdsforfattere bruger ofte denne metode, før de er opmærksomme på at bruge delte semantiske modeller. Det er også velegnet til smalle use cases, der ikke har behov for genbrug af data.
• Opret en rapport med direkte forbindelse: Opret en ny Power BI-rapport, der opretter forbindelse til en delt semantisk model i Power BI-tjenesten. Du kan få flere oplysninger om genbrug af delte semantiske modeller i det administrerede selvbetjente BI-forbrugsscenarie .
• Opret en forbundet Excel-projektmappe: Opret en ny Excel-rapport, der opretter forbindelse til en delt semantisk model i Power BI-tjenesten. Forbundne Excel-oplevelser i stedet for download af data opfordres på det kraftigste.
• Opret en DirectQuery-rapport: Opret en ny Power BI-rapport, der opretter forbindelse til en understøttet datakilde i DirectQuery-tilstand. En situation, hvor denne metode er nyttig, er, når du vil drage fordel af brugersikkerhed, der er implementeret af kildesystemet.

Rapportoprettere findes i alle forretningsenheder i organisationen. Der er normalt mange flere rapportoprettere i en organisation end dataoprettere.

Tip

Selvom ikke alle semantiske modeller er en delt semantisk model, er det stadig værd at vedtage en administreret selvbetjeningsstrategi for BI . Denne strategi genbruger delte semantiske modeller, når det er muligt. På den måde afkobles oprettelse af rapporter og oprettelse af data. Alle oprettere af indhold fra en hvilken som helst forretningsenhed kan bruge denne strategi effektivt.

Tilladelser til oprettere

I dette afsnit beskrives de mest almindelige tilladelser for dataoprettere og rapportoprettere.

Dette afsnit er ikke beregnet til at være en altomfattende liste over alle mulige tilladelser. Det er snarere beregnet til at hjælpe med at planlægge din strategi for at understøtte forskellige typer indholdsoprettere. Dit mål bør være at følge princippet om mindst mulige rettigheder. Dette princip gør det muligt for brugerne at have tilstrækkelige tilladelser til at være produktive uden tilladelser til overklaring.

Oprettelse af nyt indhold

Følgende tilladelser er ofte påkrævet for at oprette nyt indhold.

Tilladelse	Rapportopretter	Semantisk modelopretter	Opretter af dataflow	Opretter af datamart
Adgang til den underliggende datakilde
Semantisk model tilladelserne Læs og Opret
Tilladelse til læsning af dataflow (når et dataflow bruges som kilde via rollen Læser i arbejdsområdet)
Adgang, hvor den oprindelige Power BI Desktop-fil er gemt
Tilladelse til at bruge brugerdefinerede visualiseringer

Publicering af indholdstilladelser

Følgende tilladelser er ofte påkrævet for at publicere indhold.

Tilladelse	Rapportopretter	Semantisk modelopretter	Opretter af dataflow	Opretter af datamart
Arbejdsområderolle: Bidragyder, Medlem eller Administrator
Skrivetilladelse til semantisk model (når brugeren ikke tilhører en arbejdsområderolle)
Udrulningspipelinerolle til publicering af elementer (valgfrit)

Opdaterer data

Følgende tilladelser er ofte påkrævet for at opdatere data.

Tilladelse	Rapportopretter	Semantisk modelopretter	Opretter af dataflow	Opretter af datamart
Ejer tildelt (der har konfigureret indstillinger eller overtaget elementet)
Adgang til den underliggende datakilde (når en gateway ikke bruges)
Adgang til datakilden i en gateway (når kilden er i det lokale miljø eller i et virtuelt netværk)

I resten af denne artikel beskrives overvejelser i forbindelse med tilladelser til indholdsoprettere.

Tip

Du kan finde tilladelser, der er relateret til visning af indhold, i artiklen Rapportér planlægning af forbrugersikkerhed.

Tjekliste – Når du planlægger din sikkerhedsstrategi for indholdsoprettere, omfatter vigtige beslutninger og handlinger:

• Find ud af, hvem dine dataoprettere er: Sørg for, at du er fortrolig med, hvem der opretter semantiske modeller, dataflow og datamarts. Kontrollér, at du forstår, hvad deres behov er, før du starter dine sikkerhedsplanlægningsaktiviteter.
• Find ud af, hvem dine rapportoprettere er: Sørg for, at du er fortrolig med, hvem der opretter rapporter, dashboards, projektmapper og scorecards. Kontrollér, at du forstår, hvad deres behov er, før du starter dine sikkerhedsplanlægningsaktiviteter.

Find indhold til oprettere

Brugerne kan stole på dataregistrering for at finde semantiske modeller og datamarts. Dataregistrering er en Power BI-funktion, der gør det muligt for indholdsoprettere at finde eksisterende dataaktiver – også selvom de ikke har nogen tilladelser til det pågældende indhold.

Registrering af eksisterende data er nyttig til:

• Rapportoprettere, der vil bruge en eksisterende semantisk model til en ny rapport.
• Rapportoprettere, der vil forespørge om data fra en eksisterende datamart.
• Semantiske modeloprettere, der vil bruge en eksisterende semantisk model til en ny sammensat model.

Bemærk

Dataregistrering i Power BI er ikke en tilladelse til datasikkerhed. Det er en indstilling, der gør det muligt for rapportoprettere at læse metadata, hvilket hjælper dem med at finde data og anmode om adgang til dem.

Du kan konfigurere en semantisk model eller datamart som synlig, når den er blevet godkendt (certificeret eller fremhævet). Når det er muligt at finde det, kan indholdsforfattere finde det i OneLake-kataloget.

En indholdsopretter kan også anmode om adgang til den semantiske model eller datamart. I bund og grund beder en adgangsanmodning om tilladelsen Opret, som er påkrævet for at oprette nyt indhold, der er baseret på det. Når du besvarer anmodninger om adgang, kan du overveje at bruge grupper i stedet for individuelle brugere. Du kan få flere oplysninger om, hvordan du bruger grupper til dette formål, under Anmod om adgangsarbejdsproces for forbrugere.

Se følgende tre eksempler.

• Den semantiske model Salgsoversigt er certificeret. Det er den pålidelige og autoritative kilde til salgssporing. Mange selvbetjente rapportoprettere i hele organisationen bruger denne semantiske model. Så der er mange eksisterende rapporter og sammensatte modeller baseret på den semantiske model. Hvis du vil opfordre andre oprettere til at finde og bruge den semantiske model, er den angivet til at være synlig.
• Den semantiske lagerstatistikmodel er certificeret. Det er en pålidelig og autoritativ kilde til lageranalyse. Den semantiske model og relaterede rapporter vedligeholdes og distribueres af virksomheds-BI-teamet. På grund af det komplekse design af den semantiske model er det kun enterprise BI-teamet, der har tilladelse til at oprette og vedligeholde lagerindhold. Da målet er at afskrække rapportoprettere fra at bruge den semantiske model, er den ikke angivet som synlig.
• Den semantiske model Executive Bonusser indeholder meget fortrolige oplysninger. Tilladelser til at få vist eller opdatere denne semantiske model er begrænset til nogle få brugere. Denne semantiske model er ikke angivet som synlig.

På følgende skærmbillede vises en semantisk model i OneLake-kataloget på Fabric-portalen. Det viser specifikt et eksempel på en meddelelse om anmodningsadgang for en semantisk model, der kan registreres. Denne meddelelse vises, når brugeren ikke har adgang i øjeblikket. Meddelelsen Anmodning om adgang er blevet tilpasset i indstillingerne for semantiske modeller.

Meddelelsen Anmodning om adgang lyder: I forbindelse med standardsalgsrapportering for MTD/QTD/YTD er denne semantiske model den autoritative og certificerede kilde. Anmod om adgang til den semantiske model ved at udfylde formularen på https://COE.contoso.com/RequestAccess. Du bliver bedt om en kort forretningsberettigelse, og lederen af Center of Excellence skal også godkende anmodningen. Adgang vil blive revideret hver sjette måned.

Bemærk

Din datakultur og din holdning til datademokratisering bør have stor indflydelse på, om du aktiverer dataregistrering. Du kan finde flere oplysninger om dataregistrering i det tilpassede administrerede selvbetjente BI-forbrugsscenarie .

Der er tre lejerindstillinger relateret til registrering.

• Indstillingen Find indholdslejer giver Power BI-administratorer mulighed for at angive, hvilke grupper af brugere der har tilladelse til at finde data. Det er primært rettet mod rapportoprettere, der muligvis skal finde eksisterende semantiske modeller, når der oprettes rapporter. Det er også nyttigt for semantiske modeloprettere, der kan søge efter eksisterende data, som de kan bruge i deres sammensatte modeludvikling. Selvom det er muligt at angive det for bestemte sikkerhedsgrupper, er det en god idé at aktivere indstillingen for hele organisationen. Registreringsindstillingen for individuelle semantiske modeller og dataflow styrer, hvad der kan registreres. Mindre almindeligt kan du overveje kun at begrænse denne funktion til godkendte indholdsoprettere.
• Lejerindstillingen Gør certificeret indhold synlig gør det muligt for Power BI-administratorer at angive, hvilke grupper der kan angive, at indhold skal kunne registreres (når de også har tilladelse til at redigere elementet samt tilladelse til at certificere indhold, som er tildelt af lejerindstillingen certificering ). Evnen til at certificere indhold bør styres nøje. I de fleste tilfælde skal de samme brugere, der har tilladelse til at certificere indhold, have tilladelse til at angive det som søgbart. I nogle situationer kan det være en god idé kun at begrænse denne funktion til godkendte dataoprettere.
• Lejerindstillingen Gør fremhævet indhold synlig giver Power BI-administratorer mulighed for at angive, hvilke grupper der kan angive indholdet som søgbart (når de også har tilladelse til at redigere dataene). Da muligheden for at fremhæve indhold er åben for alle oprettere af indhold, skal denne funktion i de fleste tilfælde være tilgængelig for alle brugere. Mindre almindeligt kan du overveje at begrænse denne funktion til kun godkendte indholdsoprettere.

Tjekliste – Når du planlægger dataregistrering for dine indholdsoprettere, omfatter vigtige beslutninger og handlinger:

• Tydeliggør behovet for dataregistrering: Overvej, hvad din organisations holdning er til at tilskynde indholdsoprettere til at finde eksisterende semantiske modeller og datamarts. Når det er relevant, skal du oprette en styringspolitik for, hvordan dataregistrering skal bruges.
• Beslut, hvem der kan finde indhold: Beslut, om en Power BI-bruger har tilladelse til at finde indhold, eller om registreringen skal begrænses til visse grupper af brugere (f.eks. en gruppe af godkendte indholdsoprettere). Angiv indstillingen Find indholdslejer for at justere i forhold til denne beslutning.
• Beslut, hvem der kan angive, at certificeret indhold skal kunne registreres: Beslut, om en Power BI-bruger (der har tilladelse til at redigere den semantiske model eller datamart samt tilladelse til at certificere den) kan angive den som synlig. Angiv lejerindstillingen Gør certificeret indhold, der kan registreres, for at justere i forhold til denne beslutning.
• Beslut, hvem der kan angive, at fremhævet indhold skal kunne registreres: Beslut, om en Power BI-bruger (der har tilladelse til at redigere den semantiske model eller datamart) kan angive den som synlig. Angiv lejerindstillingen Gør fremhævet indhold, der kan registreres, for at justere i forhold til denne beslutning.
• Inkludere i dokumentation og oplæring af semantiske modeloprettere: Medtag vejledning til dine semantiske modeloprettere om, hvornår det er hensigtsmæssigt at bruge dataregistrering til de semantiske modeller og datamarts, de ejer og administrerer.
• Medtag i dokumentation og oplæring for rapportoprettere: Medtag vejledning til dine indholdsforfattere om, hvordan dataregistrering fungerer, og hvad de kan forvente.

Anmod om adgangsarbejdsproces for oprettere

En bruger kan anmode om adgang til indhold på to måder.

• For indholdsforbrugere: En bruger modtager et link til en eksisterende rapport eller app i Power BI-tjenesten. Forbrugeren kan vælge knappen Anmod om adgang for at få vist elementet. Du kan få flere oplysninger i artiklen Rapportér planlægning af forbrugersikkerhed.
• For indholdsforfattere: Brugeren finder en semantisk model eller datamart i OneLake-kataloget. Hvis du vil oprette en ny rapport eller sammensat model, der er baseret på de eksisterende data, kan opretteren af indholdet vælge knappen Anmod om adgang . Denne oplevelse er i fokus i dette afsnit.

Som standard sendes en anmodning om adgang til en semantisk model eller en datamart til ejeren. Ejeren er den bruger, der senest har planlagt opdatering af data eller inputlegitimationsoplysninger. Det kan være acceptabelt for team semantiske modeller at stole på, at én bruger behandler adgangsanmodninger. Det er dog muligvis ikke praktisk eller pålideligt.

I stedet for at stole på én ejer kan du definere brugerdefinerede instruktioner , der præsenteres for brugerne, når de anmoder om adgang til en semantisk model eller datamart. Brugerdefinerede instruktioner er nyttige, når:

• Den semantiske model er angivet som synlig.
• Godkendelse af adgangsanmodningen udføres af en anden end dataejeren.
• Der er en eksisterende proces på plads, der skal følges for adgangsanmodninger.
• Sporing af, hvem der anmodede om adgang, hvornår og hvorfor er nødvendig af hensyn til overvågning eller overholdelse af angivne standarder.
• Det er nødvendigt at forklare, hvordan du anmoder om adgang, og for at angive forventninger.

På følgende skærmbillede vises et eksempel på konfiguration af brugerdefinerede instruktioner, som en bruger får vist, når vedkommende anmoder om tilladelsen Opret. De brugerdefinerede instruktioner læses: Denne semantiske model er den autoritative og certificerede kilde til standardsalgsrapportering for MTD/QTD/YTD. Anmod om adgang til den semantiske model ved at udfylde formularen på https://COE.contoso.com/RequestAccess. Du bliver bedt om en kort forretningsberettigelse, og lederen af Center of Excellence skal også godkende anmodningen. Adgang vil blive revideret hver sjette måned.

Der er mange muligheder for at oprette en formular. Power Apps og Microsoft Forms er begge indstillinger med lav kode og brugervenlige. Vi anbefaler, at du opretter en formular på en måde, der er uafhængig af en enkelt bruger. Det er afgørende, at formularen oprettes, administreres og overvåges af det rette team.

Vi anbefaler, at du opretter nyttige oplysninger om:

• Indholdsforfattere, så de ved, hvad de kan forvente, når de anmoder om adgang.
• Indholdsejere og -administratorer, så de ved, hvordan de administrerer anmodninger, der sendes.

Tip

Du kan få flere oplysninger om besvarelse af anmodninger om læseadgang fra forbrugere under Anmod om adgangsarbejdsproces for forbrugere. Den indeholder også oplysninger om brug af grupper (i stedet for individuelle brugere).

Tjekliste – Når du planlægger arbejdsprocessen for anmodning om adgang , omfatter vigtige beslutninger og handlinger:

• Tydeliggør indstillinger for, hvordan du håndterer adgangsanmodninger: Find ud af, i hvilke situationer det er acceptabelt for ejerens godkendelse, og hvornår en anden proces skal bruges. Når det er relevant, skal du oprette en styringspolitik for, hvordan adgangsanmodninger skal håndteres.
• Inkludere i dokumentation og oplæring af semantiske model- og datamartoprettere: Medtag vejledning til din semantiske model og datamartoprettere om, hvordan og hvornår du skal angive brugerdefinerede instruktioner til adgangsanmodninger.
• Inkludere i dokumentation og oplæring for rapportoprettere: Medtag vejledning til dine rapportoprettere om, hvad de kan forvente, når de anmoder om oprettelsestilladelser til semantiske modeller og datamarts.

Opret og udgiv indhold

Dette afsnit indeholder sikkerhedsaspekter, der gælder for indholdsoprettere.

Bemærk

For forbrugere, der får vist rapporter, dashboards og scorecards, skal du se artiklen Rapportér planlægning af forbrugersikkerhed. Overvejelser, der er relateret til apptilladelser, er også omfattet af denne artikel.

Arbejdsområderoller

Du giver adgang til arbejdsområdet ved at føje brugere eller grupper (herunder sikkerhedsgrupper, Microsoft 365-grupper og distributionslister) til arbejdsområderoller. Når du tildeler brugere til arbejdsområderoller, kan du angive, hvad de kan gøre med arbejdsområdet og dets indhold.

Bemærk

Du kan få flere oplysninger om overvejelser i forbindelse med planlægning af arbejdsområder i artiklerne om planlægning af arbejdsområder. Du kan få flere oplysninger om grupper i artiklen Planlægning af sikkerhed på lejerniveau.

Da det primære formål med et arbejdsområde er samarbejde, er adgang til arbejdsområdet hovedsageligt relevant for de brugere, der ejer og administrerer indholdet. Når du begynder at planlægge arbejdsområderoller, er det nyttigt at stille dig selv følgende spørgsmål.

• Hvad er forventningerne til, hvordan samarbejdet vil ske i arbejdsområdet?
• Hvem er ansvarlig for at administrere indholdet i arbejdsområdet?
• Er det hensigten at tildele individuelle brugere eller grupper til arbejdsområderoller?

Der er fire roller i Power BI-arbejdsområdet: Administrator, Medlem, Bidragyder og Fremviser. De første tre roller er relevante for indholdsforfattere, der opretter og publicerer indhold. Rollen Læser er relevant for skrivebeskyttede forbrugere.

De fire tilladelser til arbejdsområderollen er indlejret. Det betyder, at administratorer af arbejdsområder har alle de funktioner, der er tilgængelige for medlemmer, bidragydere og seere. På samme måde har medlemmer alle de funktioner, der er tilgængelige for bidragydere og seere. Bidragydere har alle de funktioner, der er tilgængelige for seere.

Tip

Se dokumentationen til arbejdsområderoller for at få den autoritative reference for hver af de fire roller.

Administrator af arbejdsområde

Brugere, der er tildelt rollen Administrator, bliver arbejdsområdeadministratorer. De kan administrere alle indstillinger og udføre alle handlinger, herunder tilføje eller fjerne brugere (herunder andre arbejdsområdeadministratorer).

Administratorer af arbejdsområder kan opdatere eller slette Power BI-appen (hvis der findes en). De kan eventuelt give bidragydere mulighed for at opdatere appen for arbejdsområdet. Du kan få flere oplysninger under Variationer af arbejdsområderoller senere i denne artikel.

Tip

Når du henviser til en administrator, skal du sørge for at afklare, om du taler om en administrator af et arbejdsområde eller en Power BI-administrator på lejerniveau.

Sørg for at sikre, at kun pålidelige personer, der er tillid til, er administratorer af arbejdsområder. En administrator af arbejdsområdet har høje rettigheder. De har adgang til at få vist og administrere alt indhold i arbejdsområdet. De kan tilføje og fjerne brugere (herunder andre administratorer) til alle arbejdsområderoller. De kan også slette arbejdsområdet.

Vi anbefaler, at der er mindst to administratorer, så én fungerer som sikkerhedskopi, hvis den primære administrator ikke er tilgængelig. Et arbejdsområde, der ikke har en administrator, kaldes et mistet arbejdsområde. Den tabte status opstår, når en bruger forlader organisationen, og der ikke er tildelt nogen alternativ administrator til arbejdsområdet. Du kan finde flere oplysninger om, hvordan du registrerer og retter tabte arbejdsområder, i Administrer arbejdsområder.

Ideelt set bør du kunne bestemme, hvem der er ansvarlig for arbejdsområdeindholdet, efter hvem arbejdsområdets administratorer og medlemmer er (og de kontakter, der er angivet for arbejdsområdet). Nogle organisationer indfører dog en strategi for ejerskab og administration af indhold, der begrænser oprettelse af arbejdsområder til bestemte brugere eller grupper. De har typisk en etableret proces til oprettelse af arbejdsområder, der administreres af it-afdelingen. I dette tilfælde vil arbejdsområdeadministratorerne være it-afdelingen i stedet for de brugere, der opretter og publicerer indholdet direkte.

Medlem af arbejdsområdet

Brugere, der er tildelt rollen Medlem, kan tilføje andre brugere af arbejdsområdet (men ikke administratorer). De kan også administrere tilladelser for alt indhold i arbejdsområdet.

Medlemmer af arbejdsområdet kan publicere eller annullere publiceringen af appen for arbejdsområdet, dele et arbejdsområdeelement eller appen og tillade andre brugere at dele arbejdsområdeelementer i appen.

Medlemmer af arbejdsområdet skal være begrænset til de brugere, der skal administrere oprettelsen af arbejdsområdets indhold og publicere appen. I nogle tilfælde opfylder arbejdsområdeadministratorerne dette formål, så du behøver muligvis ikke at tildele brugere eller grupper til rollen Medlem. Når arbejdsområdeadministratorerne ikke er direkte relateret til indholdet i arbejdsområdet (f.eks. fordi it-programmet administrerer oprettelsesprocessen for arbejdsområdet), kan arbejdsområdets medlemmer være de sande ejere, der er ansvarlige for arbejdsområdeindholdet.

Bidragyder til arbejdsområde

Brugere, der er tildelt rollen Bidragyder, kan oprette, redigere eller slette arbejdsområdeindhold.

Bidragydere kan ikke opdatere Power BI-appen (når der findes en til arbejdsområdet), medmindre det er tilladt af indstillingen for arbejdsområdet. Du kan få flere oplysninger under Variationer af arbejdsområderoller senere i denne artikel.

De fleste indholdsforfattere i organisationen er bidragydere til arbejdsområder.

Arbejdsområdefremviser

Brugere, der er tildelt rollen Læser, kan få vist og interagere med alt arbejdsområdeindhold.

Rollen Læser er relevant for skrivebeskyttede forbrugere for små teams og uformelle scenarier. Den er fuldt beskrevet i artiklen Planlægning af forbrugersikkerhed i rapporten.

Overvejelser i forbindelse med ejerskab af arbejdsområde

Overvej et eksempel, hvor følgende handlinger udføres for at konfigurere et nyt arbejdsområde.

1. Bestemte Power BI-mestre og satellitmedlemmer af COE (Center of Excellence) har fået tilladelse i lejerindstillingerne til at oprette nye arbejdsområder. De er blevet oplært i strategier for indholdsorganisation og navngivningsstandarder.
2. Du (en indholdsopretter) sender en anmodning om at oprette et arbejdsområde til et nyt projekt, som du skal administrere. Arbejdsområdet indeholder rapporter, der sporer projektets status.
3. Anmodningen modtages af en Power BI-mester for din forretningsenhed. De fastslår, at et nyt arbejdsområde er berettiget. De opretter derefter et arbejdsområde og tildeler sikkerhedsgruppen Power BI Champions (for deres forretningsenhed) til arbejdsområdets administratorrolle.
4. Power BI-mesteren tildeler dig (indholdsopretteren) rollen Medlem af arbejdsområdet.
5. Du tildeler en kollega, der er tillid til, til rollen medlem af arbejdsområdet for at sikre, at der er en sikkerhedskopi, hvis du ikke er til stede.
6. Du tildeler andre kollegaer rollen bidragyder til arbejdsområdet, fordi de er ansvarlige for at oprette indholdet i arbejdsområdet, herunder semantiske modeller og rapporter.
7. Du tildeler din chef rollen som arbejdsområdefremviser, fordi vedkommende har anmodet om adgang til at overvåge projektets status. Din chef vil gerne gennemse indholdet i arbejdsområdet, før du publicerer en app.
8. Du tager ansvar for at administrere andre egenskaber for arbejdsområdet, f.eks. beskrivelse og kontakter. Du tager også ansvaret for løbende at administrere adgang til arbejdsområder.

I det forrige eksempel vises en effektiv måde at give en decentraliseret forretningsenhed mulighed for at handle uafhængigt af hinanden. Det viser også princippet om mindst privilegium.

For styret indhold eller kritisk indhold, der administreres mere stramt, er det bedste praksis at tildele grupper i stedet for individuelle brugerkonti til arbejdsområderoller. På den måde kan du administrere gruppemedlemskabet separat fra arbejdsområdet. Men når du tildeler grupper til roller, er det muligt, at brugerne bliver tildelt til flere arbejdsområderoller (fordi brugeren tilhører flere grupper). I dette tilfælde er deres gældende tilladelser baseret på den højeste rolle, de er tildelt til. Du kan få mere at vide under Strategi for brug af grupper.

Når et arbejdsområde ejes af flere personer eller teams, kan det gøre administrationen af indholdet kompliceret. Prøv at undgå scenarier med ejerskab over flere team ved at adskille arbejdsområder. På den måde er ansvarsområder klare, og rolletildelinger er ligetil at konfigurere.

Variationer af arbejdsområderoller

Der er to variationer af de fire arbejdsområderoller (beskrevet tidligere).

• Som standard er det kun administratorer og medlemmer af arbejdsområdet, der kan oprette, publicere og opdatere appen for arbejdsområdet. Indstillingen Tillad, at bidragydere opdaterer appen for denne indstilling for arbejdsområdet er en indstilling på arbejdsområdeniveau, som gør det muligt for arbejdsområdeadministratorer at delegere muligheden for at opdatere appen for arbejdsområdet til bidragydere. Bidragydere kan dog ikke publicere en ny app eller ændre, hvem der har tilladelse til at redigere den. Denne indstilling er nyttig, når du ønsker, at bidragydere skal kunne opdatere appen (når der findes en for arbejdsområdet), men ikke tildele de andre tilladelser, der er tilgængelige for medlemmer.
• Lejerindstillingen Bloker genudgiv og deaktiver pakkeopdatering giver kun semantiske modelejere mulighed for at publicere opdateringer. Når indstillingen er aktiveret, kan arbejdsområdeadministratorer, medlemmer og bidragydere ikke publicere ændringer, medmindre de først overtager den semantiske model som ejer. Da denne indstilling gælder for hele organisationen, skal du aktivere den med en vis forsigtighed, da den påvirker alle semantiske modeller for lejeren. Sørg for at kommunikere med dine semantiske modeloprettere, hvad du kan forvente, fordi det ændrer arbejdsområderollernes normale funktionsmåde.

Vigtigt

Tilladelser pr. element kan også opfattes som en tilsidesættelse af standardarbejdsområderollerne. Du kan få flere oplysninger om tilladelser pr. element i artiklen Rapportér planlægning af forbrugersikkerhed.

Tjekliste – Når du planlægger arbejdsområderoller, omfatter vigtige beslutninger og handlinger:

• Opret en ansvarsmatrix: Kortlæg, hvem der forventes at håndtere hver funktion, når du opretter, vedligeholder, publicerer, sikrer og understøtter indhold. Brug disse oplysninger, når du planlægger dine arbejdsområderoller.
• Beslut din strategi for tildeling af arbejdsområderoller for indholdsoprettere: Find ud af, hvilke brugere der skal være administrator, medlem eller bidragyder, og under hvilke omstændigheder (f.eks. jobrolle eller emneområde). Hvis der er uoverensstemmelser, der forårsager et sikkerhedsproblem, skal du overveje, hvordan dine arbejdsområder kan organiseres bedre.
• Find ud af, hvordan sikkerhedsgrupper i forhold til enkeltpersoner skal bruges til arbejdsområderoller: Fastlæg de use cases og formål, du skal bruge grupper til. Vær specifik for, hvornår sikkerhed skal anvendes ved hjælp af brugerkonti i forhold til, hvornår en gruppe er påkrævet eller foretrækkes.
• Vejledning til indholdsoprettere om administration af arbejdsområderoller: Medtag dokumentation til indholdsforfattere om, hvordan du administrerer arbejdsområderoller. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
• Konfigurer og test rolletildelinger for arbejdsområder: Kontrollér, at indholdsoprettere har den funktionalitet, de skal bruge til at redigere og publicere indhold.

Tilladelser til appudviklere

Indholdsforfattere, der er administratorer eller medlemmer af arbejdsområdet, kan oprette og publicere en Power BI-app.

En arbejdsområdeadministrator kan også angive en indstilling i arbejdsområdet, som gør det muligt for bidragydere af arbejdsområder at opdatere appen. Det er en variation i forhold til sikkerhed for arbejdsområderoller, fordi den giver bidragydere en anden tilladelse, de normalt ikke ville have. Denne indstilling angives pr. arbejdsområde.

Tip

Du kan finde flere oplysninger om levering af indhold til skrivebeskyttede forbrugere i artiklen Rapportér planlægning af forbrugersikkerhed. Denne artikel indeholder oplysninger om apptilladelser for appforbrugere, herunder målgrupper for appen.

Tjekliste – Når du planlægger tilladelser til appoprettere, omfatter vigtige beslutninger og handlinger:

• Beslut, hvem der kan oprette og publicere Power BI-apps: Tydeliggør, hvem der skal have tilladelse til at oprette og publicere Power BI-apps.
• Find ud af, hvornår bidragydere kan opdatere Power BI-apps: Tydeliggør de situationer, hvor en bidragyder skal have tilladelse til at opdatere Power BI-apps. Opdater indstillingen for arbejdsområdet, når denne funktion er påkrævet.

Datakildetilladelser

Når en dataopretter starter et nyt projekt, er de tilladelser, der kræves for at få adgang til eksterne datakilder, en af deres første sikkerhedsrelaterede overvejelser. De har muligvis også brug for vejledning i andre datakilderelaterede spørgsmål, herunder niveauer for beskyttelse af personlige oplysninger, oprindelige databaseforespørgsler og brugerdefinerede connectors.

Adgang til datakilde

Når en dataopretter opretter en semantisk model, et dataflow eller en datamart, skal vedkommende godkende med datakilder for at hente data. Godkendelse omfatter normalt brugerlegitimationsoplysninger (konto og adgangskode), som kan være for en tjenestekonto.

Nogle gange er det nyttigt at oprette bestemte tjenestekonti til adgang til datakilder. Kontakt it-afdelingen for at få vejledning til, hvordan tjenestekonti skal bruges i din organisation. Når de er tilladt, kan brugen af tjenestekonti:

• Centraliser de tilladelser, der er nødvendige for datakilder.
• Reducer antallet af individuelle brugere, der skal have tilladelser til en datakilde.
• Undgå fejl i dataopdatering, når en bruger forlader organisationen.

Tip

Hvis du vælger at bruge tjenestekonti, anbefaler vi, at du nøje styrer, hvem der har adgang til legitimationsoplysningerne. Roter adgangskoder regelmæssigt (f.eks. hver tredje måned), eller når en person, der har adgang, forlader organisationen.

Når du tilgår datakilder, skal du anvende princippet om færrest mulige rettigheder for at sikre, at brugere (eller tjenestekonti) har tilladelse til kun at læse de data, de har brug for. De bør aldrig have tilladelse til at udføre dataændringer. Databaseadministratorer, der opretter disse tjenestekonti, skal forespørge om forventede forespørgsler og arbejdsbelastninger og tage skridt til at sikre tilstrækkelige optimeringer (f.eks. indekser) og ressourcer er på plads.

Tip

Hvis det er svært at give direkte adgang til datakilder til selvbetjente dataoprettere, kan du overveje at bruge en indirekte tilgang. Du kan oprette dataflow i Power BI-tjeneste og give oprettere af selvbetjente data mulighed for at hente data fra dem. Denne fremgangsmåde har de ekstra fordele ved at reducere forespørgselsbelastningen på datakilden og levere et ensartet snapshot af data. Du kan få flere oplysninger i scenarierne med selvbetjent dataforberedelse og avancerede forbrugsscenarier for dataforberedelse .

Legitimationsoplysningerne (konto og adgangskode) kan anvendes på to måder.

• Power BI Desktop-: Legitimationsoplysninger krypteres og gemmes lokalt på brugercomputeren.
• Power BI-tjenesten: Legitimationsoplysninger krypteres og gemmes sikkert for enten:
  • Den semantiske model (når en datagateway ikke bruges til at nå datakilden).
  • Gatewaydatakilden (når en standardgateway eller en virtuel netværksgatewaytjeneste bruges til at nå datakilden).

Tip

Når du allerede har angivet legitimationsoplysninger for en semantisk modeldatakilde, binder Power BI-tjeneste automatisk disse legitimationsoplysninger til andre semantiske modeldatakilder, når der er et nøjagtigt match mellem forbindelsesstreng og databasenavn. Både Power BI-tjeneste og Power BI Desktop får det til at se ud, som om du angiver legitimationsoplysninger for hver datakilde. Den kan dog anvende de samme legitimationsoplysninger på matchende datakilder, der har samme ejer. I den forbindelse er legitimationsoplysninger for semantiske modeller begrænset til ejeren.

Legitimationsoplysningerne krypteres og gemmes separat fra datamodellen i både Power BI Desktop og Power BI-tjeneste. Denne dataadskillelse har følgende sikkerhedsfordele.

• Det letter genbrug af legitimationsoplysninger til flere semantiske modeller, dataflow og datamarts.
• Når nogen fortolker metadataene for en semantisk model, kan de ikke udtrække legitimationsoplysningerne.
• I Power BI Desktop kan en anden bruger ikke oprette forbindelse til den oprindelige datakilde for at opdatere data uden først at anvende legitimationsoplysningerne.

Nogle datakilder understøtter enkeltlogon (SSO), som kan angives, når du angiver legitimationsoplysninger i Power BI-tjeneste (for semantiske model- eller gatewaydatakilder). Når du aktiverer SSO, sender Power BI den godkendte brugers legitimationsoplysninger til datakilden. Denne indstilling gør det muligt for Power BI at overholde de sikkerhedsindstillinger, der er konfigureret i datakilden, f.eks. sikkerhed på rækkeniveau. SSO er især nyttig, når tabeller i datamodellen bruger DirectQuery-lagringstilstand.

Niveauer for beskyttelse af personlige oplysninger

Niveauer for beskyttelse af personlige oplysninger angiver isolationsniveauer, der definerer, i hvor høj grad én datakilde er isoleret fra andre datakilder. Når de er indstillet korrekt, sikrer de, at Power Query kun sender kompatible data mellem kilder. Når Power Query kan overføre data mellem datakilder, kan det resultere i mere effektive forespørgsler, der reducerer mængden af data, der sendes til Power BI. Når den ikke kan overføre data mellem datakilder, kan det resultere i en langsommere ydeevne.

Der er tre niveauer for beskyttelse af personlige oplysninger.

• Private: Indeholder følsomme eller fortrolige data, der skal isoleres fra alle andre datakilder. Dette niveau er det mest restriktive. Private datakildedata kan ikke deles med andre datakilder. En HR-database, der indeholder medarbejderlønværdier, skal f.eks. angives til niveauet Privat beskyttelse af personlige oplysninger.
• Organisationsdata: Isoleret fra offentlige datakilder, men er synlig for andre organisationsdatakilder. Dette niveau er det mest almindelige. Datakildedata til organisationer kan deles med private datakilder eller andre organisationsdatakilder. De fleste interne driftsmæssige databaser kan angives med niveauet for beskyttelse af personlige oplysninger for organisationen.
• Offentlige: Ikke-følsomme data, der kan gøres synlige for en hvilken som helst datakilde. Dette niveau er det mindst restriktive. Offentlige datakildedata kan deles med en hvilken som helst anden datakilde. En censusrapport, der er hentet fra et offentligt websted, kan f.eks. indstilles til niveauet for offentlig beskyttelse af personlige oplysninger.

Når du kombinerer forespørgsler fra forskellige datakilder, er det vigtigt, at du angiver de korrekte niveauer for beskyttelse af personlige oplysninger. Når niveauerne for beskyttelse af personlige oplysninger er angivet korrekt, er der mulighed for, at data fra én datakilde overføres til en anden datakilde for effektivt at forespørge om data.

Overvej et scenarie, hvor en semantisk modelopretter har to datakilder: en Excel-projektmappe og en tabel i en Azure SQL Database. De vil filtrere dataene i Azure SQL Database-tabellen ved hjælp af en værdi, der stammer fra Excel-projektmappen. Den mest effektive måde at oprette en SQL-sætning til Azure SQL Database på er ved at anvende en WHERE-delsætning for at udføre den nødvendige filtrering. Denne SQL-sætning vil dog indeholde et WHERE-delsætnings prædikat med en værdi, der stammer fra Excel-projektmappen. Hvis Excel-projektmappen indeholder følsomme data, kan det udgøre et sikkerhedsbrud, fordi databaseadministratoren kan få vist SQL-sætningen ved hjælp af et sporingsværktøj. Selvom det er mindre effektivt, er alternativet, at Power Query-miksprogrammet downloader hele resultatsættet i databasetabellen og udfører selve filtreringen i Power BI-tjeneste. Denne fremgangsmåde vil være mindre effektiv og langsom, men sikker.

Niveauer for beskyttelse af personlige oplysninger kan angives for hver datakilde:

• Af dataudformere i Power BI Desktop.
• Af semantiske modelejere i Power BI-tjeneste (for datakilder i cloudmiljøet, som ikke kræver en gateway).
• Af oprettere og ejere af gatewaydatakilder i Power BI-tjeneste (for gatewaydatakilder).

Vigtigt

De niveauer for beskyttelse af personlige oplysninger, du angiver i Power BI Desktop, overføres ikke til Power BI-tjeneste.

Der er en sikkerhedsindstilling i Power BI Desktop, der gør det muligt at ignorere niveauer for beskyttelse af personlige oplysninger for at forbedre ydeevnen. Du kan bruge denne indstilling til at forbedre ydeevnen af forespørgsler, mens du udvikler en datamodel, når der ikke er risiko for at bryde datasikkerheden (fordi du arbejder med udviklings- eller testdata, der ikke er følsomme). Denne indstilling er dog ikke overholdt af Power BI-tjeneste.

Du kan få flere oplysninger under Niveauer for beskyttelse af personlige oplysninger i Power BI Desktop.

Oprindelige databaseforespørgsler

Hvis du vil oprette effektive Power Query-forespørgsler, kan du bruge en oprindelig forespørgsel til at få adgang til data. En oprindelig forespørgsel er en sætning, der er skrevet på et sprog, der understøttes af datakilden. Oprindelige forespørgsler understøttes kun af bestemte datakilder, som typisk er relationsdatabaser som Azure SQL Database.

Oprindelige forespørgsler kan udgøre en sikkerhedsrisiko, fordi de kan køre en skadelig SQL-sætning. En skadelig sætning kan udføre dataændringer eller slette databaseposter (når brugeren har de nødvendige tilladelser i datakilden). Derfor kræver oprindelige forespørgsler som standard brugergodkendelse for at køre i Power BI Desktop.

Der er en sikkerhedsindstilling i Power BI Desktop, der giver dig mulighed for at deaktivere kravet om forhåndsgodkendelse. Vi anbefaler, at du forlader den standardindstilling, der kræver brugergodkendelse, især når du forventer, at Power BI Desktop-filen kan opdateres af andre brugere.

Brugerdefinerede connectorer

Udviklere kan bruge Power Query SDK til at oprette brugerdefinerede connectors. Brugerdefinerede connectors giver adgang til beskyttede datakilder eller implementerer specifik godkendelse med brugerdefinerede dataudvidelser. Nogle brugerdefinerede connectors er certificeret og distribueret af Microsoft som certificerede connectors. Certificerede connectors er blevet overvåget og gennemset for at sikre, at de opfylder visse angivne kodekrav, som Microsoft har testet og godkendt.

Der er en sikkerhedsindstilling for dataudvidelser i Power BI Desktop, der begrænser brugen af ikke-certificerede connectors. Der udløses som standard en fejl, når der gøres forsøg på at indlæse en ikke-certificeret connector. Når du angiver denne indstilling for at tillade ikke-certificerede connectors, indlæses brugerdefinerede connectors uden validering eller advarsel.

Vi anbefaler, at du bevarer sikkerhedsniveauet for din dataudvidelse på det højere niveau, hvilket forhindrer indlæsning af ikke-certificeret kode. Der kan dog være tilfælde, hvor du vil indlæse bestemte connectors, måske connectors, som du har udviklet, eller forbindelser, der er leveret til dig af en konsulent eller leverandør, der er tillid til, uden for Microsoft-certificeringsstien.

Bemærk

Udviklere af indbyggede connectors kan tage skridt til at signere en connector med et certifikat, så du kan bruge connectoren uden at skulle ændre dine sikkerhedsindstillinger. Du kan få flere oplysninger under Tredjepartsconnectors, der er tillid til.

Tjekliste – Når du planlægger tilladelser til datakilder, omfatter vigtige beslutninger og handlinger:

• Beslut, hvem der har direkte adgang til de enkelte datakilder: Find ud af, hvilke dataoprettere der har tilladelse til at få direkte adgang til en datakilde. Hvis der er en strategi for at reducere antallet af personer med direkte adgang, skal du præcisere, hvad det foretrukne alternativ er (måske ved hjælp af dataflow).
• Beslut, hvordan datakilder skal tilgås: Bestem, om individuelle brugerlegitimationsoplysninger skal bruges til at få adgang til en datakilde, eller om der skal oprettes en tjenestekonto til dette formål. Afgør, hvornår enkeltlogon er relevant.
• Vejledning til semantiske modeloprettere om adgang til datakilder: Medtag dokumentation til indholdsforfattere om, hvordan de får adgang til organisationens datakilder. Publicer oplysningerne på din centraliserede portal og undervisningsmaterialet.
• Giv vejledning til semantiske modeloprettere om niveauer for beskyttelse af personlige oplysninger: Giv vejledning til semantiske modeloprettere for at gøre dem opmærksomme på niveauer for beskyttelse af personlige oplysninger og deres konsekvenser, når de arbejder med følsomme eller fortrolige data. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
• Giv vejledning til oprettere af gatewayforbindelser om niveauer for beskyttelse af personlige oplysninger: Giv vejledning til semantiske modeloprettere for at gøre dem opmærksomme på niveauer for beskyttelse af personlige oplysninger og deres konsekvenser, når de arbejder med følsomme eller fortrolige data. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
• Beslut, hvilken strategi der skal bruges til at bruge oprindelige databaseforespørgsler: Overvej din strategi for brug af oprindelige databaseforespørgsler. Oplær semantiske modeloprettere i, hvordan og hvornår du skal angive indstillingen oprindelige databaseforespørgsler i Power BI Desktop for at deaktivere forhåndsgodkendelse, når Power Query kører oprindelige forespørgsler.
• Beslut, hvilken strategi der skal bruges for at bruge brugerdefinerede connectors: Overvej din strategi for brug af brugerdefinerede connectors. Find ud af, om brugen af ikke-certificerede connectors er berettiget, i hvilket tilfælde oplær semantiske modeloprettere om, hvordan og hvornår du skal angive indstillingen Power BI Desktop-dataudvidelse.

Tilladelser til oprettelse af semantiske modeller

Du kan tildele tilladelse til at redigere en semantisk model til en bruger eller gruppe på forskellige måder.

• arbejdsområderolle: Tildeling til en af arbejdsområderollerne giver adgang til alle semantiske modeller i arbejdsområdet. Muligheden for at få vist eller redigere en eksisterende semantisk model afhænger af den arbejdsområderolle , du tildeler. Administratorer, medlemmer og bidragydere kan publicere eller redigere indhold i et arbejdsområde.
• links til tilladelser pr. element: Hvis der blev oprettet et delingslink for en rapport, tildeles tilladelsen til at læse den semantiske model (og eventuelt build, skriv og/eller dele igen) også indirekte af linket.
• tilladelser til direkte adgang pr. element: Du kan tildele direkte adgang tilladelse til en bestemt semantisk model.

På følgende skærmbillede kan du se de tilladelser, der er tildelt semantisk model for call center-data . En bruger har tilladelsen Læs, som blev tildelt ved hjælp af tilladelser til direkte adgang pr. element. De resterende brugere og grupper har tilladelser, fordi de er tildelt til arbejdsområderoller.

Tip

Brug af tilladelser pr. element (links eller direkte adgang) fungerer bedst, når det er hensigten, at en bruger eller gruppe skal få vist eller redigere et bestemt element i arbejdsområdet. Den er bedst egnet, når brugeren ikke har tilladelse til at få adgang til alle elementer i arbejdsområdet. I de fleste tilfælde anbefaler vi, at du designer dine arbejdsområder, så sikkerhed er nemmere at administrere med arbejdsområderoller. Undgå at angive tilladelser pr. element, når det er muligt.

Semantiske modeltilladelser

Du kan tildele følgende semantiske modeltilladelser.

• Læs: Denne tilladelse er primært målrettet rapportforbrugere og giver en rapport mulighed for at forespørge om data i den semantiske model. Du kan finde flere oplysninger om tilladelser til at få vist skrivebeskyttet indhold i artiklen Rapportér planlægning af forbrugersikkerhed.
• Build: Målrettet mod rapportoprettere giver denne tilladelse brugerne mulighed for at oprette nye rapporter baseret på den delte semantiske model. Du kan få flere oplysninger i afsnittet Tilladelser til rapportopretter senere i denne artikel.
• Skriv: Målrettet mod semantiske modeloprettere, der opretter, publicerer og administrerer semantiske modeller, giver denne tilladelse brugerne mulighed for at redigere den semantiske model. Den beskrives senere i dette afsnit.
• Videredel: Målrettet mod alle med eksisterende tilladelse til den semantiske model, giver denne tilladelse brugerne mulighed for at dele den semantiske model med en anden bruger. Den beskrives senere i dette afsnit.

En administrator eller et medlem af et arbejdsområde kan redigere tilladelserne for en semantisk model.

Tilladelse til læsning af semantisk model

Den semantiske model Tilladelsen Læs er primært rettet mod forbrugere. Denne tilladelse er påkrævet, for at brugerne kan få vist data, der vises i rapporter. Vær opmærksom på, at rapporter, der er baseret på den semantiske model, også skal have læsetilladelse. Ellers kan rapporten ikke indlæses. Du kan få flere oplysninger om, hvordan du angiver tilladelser til læsning af rapporten, i artiklen Rapportér planlægning af forbrugersikkerhed.

Tilladelse til oprettelse af semantisk model

Ud over tilladelsen Læs for semantisk model skal indholdsoprettere også have tilladelsen Opret semantisk model. Tilladelsen Opret giver oprettere af rapporter mulighed for at:

• Opret nye Power BI-rapporter baseret på den semantiske model.
• Opret forbindelse til den semantiske model ved hjælp af Analysér i Excel.
• Forespørg den semantiske model ved hjælp af XMLA-slutpunktet.
• Eksportér underliggende data i Power BI-rapportvisualiseringen (i stedet for de opsummerede data, der hentes af visualiseringen).
• Opret en DirectQuery-forbindelse til en semantisk Power BI-model. I dette tilfælde opretter den nye semantiske model forbindelse til en eller flere eksisterende semantiske Power BI-modeller (kaldet sammenkædning). Hvis den semantiske modelopretter skal forespørge på sammenkædede semantiske modeller, skal vedkommende have tilladelsen Opret for alle semantiske upstreammodeller. Du kan få flere oplysninger under Sammenkædede semantiske modeller senere i denne artikel.

Du kan tildele tilladelsen Opret til en bruger eller gruppe direkte eller indirekte på forskellige måder.

• Tildel build direkte af:
  • Angivelse af semantiske modeltilladelser på siden med indstillinger for semantiske modeller i Power BI-tjeneste.
  • Angivelse af semantiske modeltilladelser ved hjælp af REST API'en til Power BI.
• Tildel build indirekte af:
  • Deling af en rapport eller et dashboard og indstilling af muligheden for at give semantisk model tilladelsen Opret.
  • Publicering af en Power BI-app og angivelse af den avancerede indstilling (for en målgruppe) for at give tilladelsen Opret for de relaterede semantiske modeller.
  • Tildeling af brugere til arbejdsområderollerne Administrator, Medlem eller Bidragyder.

Det er hensigtsmæssigt at angive tilladelsen Opret direkte for en semantisk model, når du vil administrere sikkerhed på en detaljeret basis pr. element. Det er hensigtsmæssigt at angive tilladelsen Opret indirekte, når de brugere, der får vist eller bruger indholdet via en af de indirekte metoder, også opretter nyt indhold.

Tip

De brugere, der får vist en rapport eller en Power BI-app, er ofte forskellige fra de brugere, der opretter nyt indhold ved hjælp af den eller de underliggende semantiske modeller. De fleste forbrugere er kun seere, så de behøver ikke at oprette nyt indhold. Vi anbefaler, at du oplære dine oprettere af indhold til at tildele det mindste antal tilladelser, der kræves.

Skrivetilladelse til semantisk model

Normalt gøres det at angive tilladelser for, hvem der kan redigere og administrere semantiske modeller, ved at tildele brugere til arbejdsområderollen Administrator, Medlem eller Bidragyder. Det er dog også muligt at angive skrivetilladelse for en bestemt semantisk model.

Vi anbefaler, at du bruger arbejdsområderoller, når det er muligt, da det er den nemmeste måde at administrere og overvåge tilladelser på. Brug den semantiske model Skrivetilladelser pr. element, når du har valgt at oprette færre arbejdsområder, og et arbejdsområde indeholder semantiske modeller til forskellige emneområder, der kræver forskellig administration af tilladelser.

Tip

Du kan finde vejledning i, hvordan du organiserer arbejdsområder, i artiklerne om planlægning af arbejdsområder.

Tilladelse til at dele semantisk model igen

Den semantiske model Tilladelsen Del igen giver en bruger med eksisterende tilladelse til at dele den semantiske model med andre brugere. Du kan tildele denne tilladelse, når indhold i den semantiske model frit kan deles, afhængigt af brugerens skøn.

I mange tilfælde anbefaler vi, at du begrænser brugen af tilladelsen Del igen for at sikre, at semantiske modeltilladelser styres omhyggeligt. Hent godkendelse fra den eller de semantiske modelejere, før du tildeler tilladelsen Del igen.

Datasikkerhed for semantisk model

Du kan planlægge at oprette færre semantiske modeller og rapporter ved at gennemtvinge datasikkerhed. Formålet er at gennemtvinge datasikkerhed baseret på identiteten af den bruger, der får vist indholdet.

En semantisk modelopretter kan gennemtvinge datasikkerhed på to måder.

• Sikkerhed på rækkeniveau (RLS) gør det muligt for en dataudformer at begrænse adgangen til et undersæt af data.
• Sikkerhed på objektniveau (OLS) gør det muligt for en dataudformer at begrænse adgangen til bestemte tabeller og kolonner og deres metadata.

Implementeringen af sikkerhed på rækkeniveau og OLS er målrettet rapportforbrugere. Du kan få flere oplysninger i artiklen Rapportér planlægning af forbrugersikkerhed. Den beskriver, hvordan og hvornår sikkerhed på rækkeniveau og OLS gennemtvinges for forbrugere, der kun har visningstilladelse til den semantiske model.

I forbindelse med sikkerhed på rækkeniveau og OLS, der er målrettet andre rapportoprettere, skal du se datasikkerhed i afsnittet Tilladelser til rapportopretter senere i denne artikel.

Sammenkædede semantiske modeller

Semantiske Power BI-modeller kan oprette forbindelse til andre semantiske modeller i en proces, der kaldes sammenkædning, som er forbindelser til upstream semantiske modeller. Du kan få flere oplysninger i Brug sammensatte modeller i Power BI Desktop.

Lejerindstillingen Tillad DirectQuery-forbindelser til semantiske Power BI-modeller gør det muligt for Power BI-administratorer at konfigurere, hvilke grupper af indholdsforfattere der kan oprette sammenkædede semantiske modeller. Hvis du ikke vil begrænse semantiske modeloprettere fra at sammenkæde semantiske modeller, kan du lade denne indstilling være aktiveret for hele organisationen og stole på tilladelser til arbejdsområder og semantiske modeller. I nogle tilfælde kan du overveje at begrænse denne funktion til godkendte indholdsoprettere.

Bemærk

Som semantisk modelopretter kan du begrænse sammenkædningen til din semantiske model. Det gøres ved at aktivere indstillingen Fraråd DirectQuery-forbindelse til denne semantiske model i Power BI Desktop. Du kan finde flere oplysninger under Administrer DirectQuery-forbindelser til en publiceret semantisk model.

Api-forespørgsler til semantisk model

I nogle situationer kan det være en god idé at udføre en DAX-forespørgsel ved hjælp af REST API'en til Power BI. Det kan f.eks. være en god idé at udføre valideringer af datakvalitet. Du kan få flere oplysninger under Datasæt – Udfør forespørgsler.

Indstillingen for REST API-lejeren til udførelse af datasætforespørgsler gør det muligt for Power BI-administratorer at angive, hvilke grupper af brugere der kan sende DAX-forespørgsler ved hjælp af Power BI REST-API'en. I de fleste tilfælde kan du lade denne indstilling være aktiveret for hele organisationen og være afhængig af adgang til arbejdsområder og semantiske modeltilladelser. I nogle tilfælde kan du overveje at begrænse denne funktion til godkendte indholdsoprettere.

Tjekliste – Når der planlægges semantiske modeloprettertilladelser, omfatter vigtige beslutninger og handlinger:

• Beslut, hvilken strategi der skal anvendes for semantiske modeloprettertilladelser: Find ud af, hvilke indstillinger og krav der findes til administration af sikkerhed for semantiske modeloprettere. Overvej emneområdet og datafølsomhedsniveauet. Overvej også, hvem der har tilladelse til at tage ansvar for administration af data og tilladelser i centraliserede og decentrale forretningsenheder.
• Gennemse, hvordan arbejdsområderoller håndteres for semantiske modeloprettere: Find ud af, hvilken indvirkning det har på designprocessen for dit arbejdsområde. Opret separate dataarbejdsområder for hvert emneområde, så du nemmere kan administrere arbejdsområderollerne og semantisk modelsikkerhed for hvert emneområde.
• Vejledning til semantiske modeloprettere om administration af tilladelser: Medtag dokumentation til semantiske modeloprettere om, hvordan du administrerer semantiske modeltilladelser. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
• Beslut, hvem der kan bruge DirectQuery-forbindelser til semantiske Power BI-modeller: Beslut, om der skal være nogen begrænsninger for, hvilke power BI-semantiske modeloprettere (med eksisterende buildtilladelse til en semantisk model) kan oprette en forbindelse til en semantisk Power BI-model. Angiv lejerindstillingen Tillad DirectQuery-forbindelser til semantiske Power BI-modeller for at tilpasse sig denne beslutning. Hvis du beslutter dig for at begrænse denne funktion, kan du overveje at bruge en gruppe, f.eks . Power BI-godkendte semantiske modeloprettere.
• Beslut, hvem der kan forespørge power BI-semantiske modeller ved hjælp af REST API-: Beslut, om du vil begrænse power BI-indholdsoprettere fra at forespørge power BI-semantiske modeller ved hjælp af REST API'en til Power BI. Angiv lejerindstillingen for REST API-lejeren for Dataset Execute Queries for at justere i forhold til denne beslutning. Hvis du beslutter dig for at begrænse denne funktion, kan du overveje at bruge en gruppe, f.eks . Power BI-godkendte rapportoprettere.
• Beslut, hvilken strategi der skal bruges for RLS eller OLS for semantiske modeloprettere: Overvej, hvilke use cases og formål du vil bruge RLS eller OLS. Faktor i strategi for arbejdsområdedesign, og hvem der har læse- eller redigeringstilladelser, når du vil gennemtvinge sikkerhed på rækkeniveau eller OLS for semantiske modeloprettere.

Tilladelser til rapportopretter

Rapportoprettere skal have adgang til arbejdsområdet for at oprette rapporter i Power BI-tjeneste eller publicere dem fra Power BI Desktop. De skal enten være administrator, medlem eller bidragyder i målarbejdsområdet.

Når det er muligt, skal rapportoprettere bruge en eksisterende delt semantisk model (via en direkte forbindelse eller DirectQuery). På den måde afkobles rapportoprettelsesprocessen fra processen til oprettelse af semantiske modeller. Denne type adskillelse giver mange fordele i forbindelse med sikkerheds- og teamudviklingsscenarier.

En rapportopretter skal være administrator, medlem eller bidragyder til arbejdsområdet.

I modsætning til semantiske modeller er der ikke skrivetilladelse til rapporter. Hvis du vil understøtte rapportoprettere, skal arbejdsområderoller bruges. Derfor er et optimalt arbejdsområdedesign vigtigt for at balancere organisationen af indhold og sikkerhedsbehov.

Tip

Du kan se tilladelser til at understøtte rapportforbrugere (herunder læse- og delingstilladelser pr. element) i artiklen Rapport om planlægning af forbrugersikkerhed.

Læse- og buildtilladelser for den underliggende semantiske model

Rapportoprettere skal have læse- og buildtilladelser til de semantiske modeller, som deres rapporter skal bruge, hvilket omfatter sammenkædede semantiske modeller. Denne tilladelse kan tildeles eksplicit for de enkelte semantiske modeller, eller den kan tildeles implicit for semantiske arbejdsområdemodeller, når rapportopretteren er administrator, medlem eller bidragyder af arbejdsområder.

Lejerindstillingen Brug semantiske modeller på tværs af arbejdsområder giver Power BI-administratorer mulighed for at konfigurere, hvilke grupper af brugere der kan oprette rapporter, der bruger semantiske modeller, der er placeret i andre arbejdsområder. Denne indstilling er målrettet semantisk model og rapportoprettere. Normalt anbefaler vi, at du lader denne indstilling være aktiveret for hele organisationen og er afhængig af adgangsindstillinger for arbejdsområder og semantiske modeltilladelser. På den måde kan du tilskynde til brug af eksisterende semantiske modeller. I nogle tilfælde kan du overveje kun at begrænse denne funktion til godkendte indholdsforfattere.

Der er også lejerindstillingen Tillad direkte forbindelser , som gør det muligt for Power BI-administratorer at konfigurere, hvilke grupper af brugere der kan oprette direkte forbindelser til semantiske modeller i Power BI Desktop eller Excel. Den er målrettet specifikt til rapportoprettere, og det kræver også, at de får tilladelsen Læs og Opret for den semantiske model, som rapporten bruger. Vi anbefaler, at du lader denne indstilling være aktiveret for hele organisationen og er afhængig af tilladelser til adgang til arbejdsområder og semantiske modeltilladelser. På den måde kan du tilskynde til brug af eksisterende semantiske modeller. I nogle tilfælde kan du overveje kun at begrænse denne funktion til godkendte indholdsforfattere.

Datasikkerhed for underliggende semantisk model

RLS og OLS (beskrevet tidligere i denne artikel) er målrettet rapportforbrugere. Nogle gange skal den dog også gennemtvinges for rapportoprettere. Oprettelse af separate arbejdsområder er berettiget, når sikkerhed på rækkeniveau skal gennemtvinges for rapportoprettere og også rapportforbrugere.

Overvej følgende scenarie.

• centraliserede delte semantiske modeller med RLS-: Virksomheds-BI-teamet har publiceret semantiske salgsmodeller til arbejdsområdet Sales Data. Disse semantiske modeller gennemtvinger sikkerhed på rækkeniveau for at vise salgsdata for det tildelte salgsområde for rapportforbrugeren.
• decentraliseret selvbetjente rapportoprettere: Forretningsenheden salg og marketing har mange dygtige analytikere, der opretter deres egne rapporter. De publicerer deres rapporter i arbejdsområdet Sales Analytics .
• læse- og buildtilladelser til semantiske modeller: Når det er muligt, bruger analytikerne semantiske modeller fra arbejdsområdet Sales Data for at undgå unødvendig duplikering af data. Da analytikerne kun har læse- og buildtilladelser til disse semantiske modeller (uden skrive- eller redigeringstilladelser), gennemtvinges sikkerhed på rækkeniveau for rapportopretterne (og også rapportforbrugerne).
• Rediger tilladelser tiltil rapportering af arbejdsområder: Analytikerne har flere rettigheder i arbejdsområdet Sales Analytics. Rollerne administrator, medlem eller bidragyder giver dem mulighed for at publicere og administrere deres rapporter.

Du kan få flere oplysninger om sikkerhed på rækkeniveau og OLS i artiklen Rapportér planlægning af forbrugersikkerhed. Den beskriver, hvordan og hvornår sikkerhed på rækkeniveau og OLS gennemtvinges for forbrugere, der kun har visningstilladelse til den semantiske model.

Oprettelse af forbindelse til eksterne semantiske modeller

Når en rapportopretter opretter forbindelse til en delt semantisk model for deres rapport, opretter vedkommende normalt forbindelse til en delt semantisk model, der er publiceret i deres egen Power BI-lejer. Når der er tildelt tilladelse, er det også muligt at oprette forbindelse til en delt semantisk model i en anden lejer. Den anden lejer kan være en partner, kunde eller leverandør.

Denne funktionalitet er kendt som lokal semantisk modeldeling (også kendt som deling af semantisk model på tværs af lejere). De rapporter, der oprettes af rapportopretteren (eller nye sammensatte modeller, der er oprettet af en semantisk modelopretter), gemmes og sikres i din Power BI-lejer ved hjælp af din normale proces. Den oprindelige delte semantiske model forbliver i den oprindelige Power BI-lejer, og alle tilladelser administreres der.

Du kan få flere oplysninger i artiklen Planlægning af sikkerhed på lejerniveau. Den indeholder oplysninger om lejerindstillingerne og semantiske modelindstillinger, der får ekstern deling til at fungere.

Udvalgte tabeller

I Power BI Desktop kan semantiske modeloprettere angive en modeltabel til at blive en udvalgt tabel. Når den semantiske model publiceres til Power BI-tjeneste, kan rapportoprettere bruge datatypegalleriet i Excel til at finde den udvalgte tabel, så de kan tilføje udvalgte tabeldata for at forbedre deres Excel-regneark.

Indstillingen Tillad forbindelser til udvalgte tabeller lejer gør det muligt for Fabric-administratorer at konfigurere, hvilke grupper af brugere der kan få adgang til udvalgte tabeller. Det er målrettet Excel-brugere, der vil have adgang til Udvalgte Power BI-tabeller i Excel-organisationsdatatyper. Vi anbefaler, at du lader denne indstilling være aktiveret for hele organisationen og er afhængig af tilladelser til adgang til arbejdsområder og semantiske modeltilladelser. På den måde kan du tilskynde til brug af udvalgte tabeller.

Tilladelser til brugerdefineret visualisering

Ud over kernevisualiseringer kan power BI-rapportoprettere bruge brugerdefinerede visualiseringer. I Power BI Desktop kan brugerdefinerede visualiseringer downloades fra Microsoft AppSource. De kan også udvikles internt ved hjælp af Power BI SDK og installeres ved at åbne visualiseringsfilen (.pbviz).

Nogle visualiseringer, der kan downloades fra AppSource, er certificerede visualiseringer. Certificerede visualiseringer opfylder visse angivne kodekrav, som Power BI-teamet har testet og godkendt. Testene kontrollerer, at visualiseringer ikke har adgang til eksterne tjenester eller ressourcer.

Indstillingen Tillad visualiseringer, der er oprettet af Power BI SDK-lejeren , gør det muligt for Power BI-administratorer at styre, hvilke grupper af brugere der kan bruge brugerdefinerede visualiseringer.

Der er også lejerindstillingen Tilføj og brug kun certificerede visualiseringer, som gør det muligt for Power BI-administratorer at blokere brugen af ikke-certificerede visualiseringer i Power BI-tjeneste. Denne indstilling kan aktiveres eller deaktiveres for hele organisationen.

Bemærk

Hvis du blokerer brugen af ikke-certificerede visualiseringer, gælder det kun for Power BI-tjeneste. Hvis du vil begrænse brugen af dem i Power BI Desktop, skal du bede fabric-administratoren om at bruge en gruppepolitikindstilling til at blokere deres brug i Power BI Desktop. Hvis du tager dette trin, sikrer du, at rapportoprettere ikke spilder tid og kræfter på at oprette en rapport, der ikke fungerer, når de publiceres til Power BI-tjeneste. Vi anbefaler på det kraftigste, at du konfigurerer dine brugere til at have ensartede oplevelser i Power BI-tjeneste (med lejerindstillingen) og Power BI Desktop (med gruppepolitik).

Power BI Desktop har mulighed for at vise en sikkerhedsadvarsel, når en rapportopretter føjer en brugerdefineret visualisering til rapporten. Rapportoprettere kan deaktivere denne indstilling. Denne indstilling tester ikke, om visualiseringen er certificeret.

Power BI-administratorer kan godkende og installere brugerdefinerede visualiseringer til deres organisation. Oprettere af rapporter kan derefter nemt finde, opdatere og bruge disse visualiseringer. Administratorer kan derefter administrere disse visualiseringer ved at opdatere versioner eller deaktivere og aktivere bestemte brugerdefinerede visualiseringer. Denne fremgangsmåde er nyttig, når du vil gøre en internt udviklet visualisering tilgængelig for dine rapportoprettere, eller når du henter en brugerdefineret visualisering fra en leverandør, der ikke er i AppSource. Du kan få flere oplysninger under Visualiseringer til power BI-organisationer.

Overvej en afbalanceret strategi om kun at aktivere certificerede brugerdefinerede visualiseringer i din organisation (med lejerindstillingen og gruppepolitik, der tidligere er beskrevet), mens du udruller visualiseringer til organisationer for at håndtere eventuelle undtagelser.

Tjekliste – Når du planlægger tilladelser til rapportoprettere, omfatter vigtige beslutninger og handlinger:

• Beslut strategien for tilladelser til rapportoprettere: Find ud af, hvilke indstillinger og krav der findes til administration af sikkerhed for rapportoprettere. Overvej emneområdet og datafølsomhedsniveauet. Overvej også, hvem der har tilladelse til at tage ansvar for at oprette og administrere rapporter i centraliserede og decentrale forretningsenheder.
• Gennemse, hvordan arbejdsområderoller håndteres for rapportoprettere: Find ud af, hvilken indvirkning det har på designprocessen for dit arbejdsområde. Opret separate dataarbejdsområder og rapporteringsarbejdsområder for hvert emneområde, så arbejdsområderollerne (og den underliggende semantiske modelsikkerhed) forenkles for emneområdet.
• Vejledning til rapportoprettere om administration af tilladelser: Medtag dokumentation til rapportoprettere om, hvordan du administrerer tilladelser for rapportforbrugere. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
• Beslut, hvem der kan bruge delte semantiske modeller: Beslut, om der skal være nogen begrænsninger for, hvilke Power BI-rapportoprettere (der allerede har læse- og buildtilladelser til en semantisk model) kan bruge semantiske modeller på tværs af arbejdsområder. Angiv lejerindstillingen Brug semantiske modeller på tværs af arbejdsområder for at justere i forhold til denne beslutning. Hvis du beslutter dig for at begrænse denne funktion, kan du overveje at bruge en gruppe, f.eks . Power BI-godkendte rapportoprettere.
• Beslut, hvem der kan bruge direkte forbindelser: Beslut, om der skal være nogen begrænsninger for, hvilke Power BI-rapportoprettere (der allerede har tilladelsen Læs og Opret for en semantisk model) kan bruge direkte forbindelser. Angiv lejerindstillingen Tillad direkte forbindelser for at justere i forhold til denne beslutning. Hvis du beslutter dig for at begrænse denne funktion, kan du overveje at bruge en gruppe, f.eks . Power BI-godkendte rapportoprettere.
• Beslut, hvilken strategi der skal bruges til sikkerhed på rækkeniveau for rapportoprettere: Overvej, hvilke use cases og formål du vil bruge sikkerhed på rækkeniveau. Faktor i strategi for arbejdsområdedesign for at sikre, at sikkerhed på rækkeniveau gennemtvinges for rapportoprettere.
• Beslut, hvilken strategi der skal bruges af brugerdefinerede visualiseringer: Overvej din strategi, som rapportoprettere kan bruge brugerdefinerede visualiseringer til. Angiv indstillingen Tillad visualiseringer, der er oprettet af Power BI SDK-lejeren , for at justere i forhold til denne beslutning. Opret en proces til brug af visualiseringer til organisationer, når det er relevant.

Tilladelser til opretter af dataflow

Dataflow er nyttige til centralisering af dataforberedelse, så det arbejde, der udføres i Power Query, ikke gentages på tværs af mange semantiske modeller. De er en byggesten til at opnå en enkelt kilde til sandhed, der forhindrer analytikere i at kræve direkte adgang til kilder og til at hjælpe med at udføre etl-handlinger (extract, transform and load) i stor skala.

En opretter af dataflow skal være administrator, medlem eller bidragyder til arbejdsområdet.

Hvis du vil bruge et dataflow (f.eks. fra en ny datamodel, der er oprettet i Power BI Desktop eller i et andet arbejdsområde), kan en semantisk modelopretter tilhøre en hvilken som helst rolle i arbejdsområdet, herunder rollen Seer. Der er ikke noget begreb om sikkerhed på rækkeniveau for dataflow.

Ud over arbejdsområderoller skal lejerindstillingen Opret og brug dataflow være aktiveret. Denne lejerindstilling gælder for hele organisationen.

Overvej følgende scenarie.

• Mange semantiske modeller i organisationen skal gennemtvinge dynamisk sikkerhed på rækkeniveau. Det kræver, at brugerens hovednavne (UPN'er) gemmes i den semantiske model (for at filtrere efter rapportens forbrugers identitet).
• En dataflowopretter, der tilhører HR-afdelingen, opretter et dataflow med aktuelle medarbejderoplysninger, herunder deres UPN'er. De konfigurerer dataflowet til at blive opdateret dagligt.
• Semantiske modeloprettere bruger derefter dataflowet i deres modeldesign til at konfigurere sikkerhed på rækkeniveau.

Du kan få flere oplysninger om brug af dataflow i scenarierne med selvbetjent dataforberedelse og avanceret brug af dataforberedelse .

Tjekliste – Når du planlægger tilladelser til opretter af dataflow, omfatter vigtige beslutninger og handlinger:

• Beslut, hvilken strategi der skal bruges til oprettelse af dataflowtilladelser: Find ud af, hvilke indstillinger og krav der findes til administration af sikkerhed for oprettere af dataflow. Overvej, hvem der har tilladelse til eller opfordres til at tage ansvar for administrationen af aktiviteter til dataforberedelse i centraliserede og decentrale forretningsenheder.
• Beslut, hvem der kan oprette dataflows: Beslut, om der skal være nogen begrænsninger, som oprettere af Power BI-data kan oprette dataflow for. Angiv lejerindstillingen Opret og brug dataflow for at justere i forhold til denne beslutning.
• Gennemse, hvordan arbejdsområderoller håndteres for oprettere af dataflow: Find ud af, hvilken indvirkning det har på designprocessen for dit arbejdsområde. Opret separate dataflowarbejdsområder pr. emneområde, så du kan håndtere arbejdsområderoller og tilladelser separat for hvert emneområde, når det er relevant.

Tilladelser til opretter af datamart

En datamart er en selvbetjent analyseløsning, der gør det muligt for brugerne at gemme og udforske data, der er indlæst i en fuldt administreret relationsdatabase. Den består også af en automatisk genereret semantisk model.

Datamarts giver en enkel oplevelse med lav kode til at indtage data fra forskellige datakilder og til at udtrække, transformere og indlæse dataene ved hjælp af Power Query Online. Dataene indlæses i en Azure SQL Database, der er fuldt administreret og ikke kræver justering eller optimering. Den automatisk genererede semantiske model synkroniseres altid med den administrerede database, fordi den er i DirectQuery-tilstand.

Du kan oprette en datamart, når du enten er administrator, medlem af arbejdsområdet eller bidragyder. Arbejdsområderoller knyttes også til roller på databaseniveau i Azure SQL Database (da databasen er fuldt administreret, kan brugertilladelser ikke redigeres eller administreres i relationsdatabasen).

Lejerindstillingen Opret datamarts gør det muligt for Power BI-administratorer at konfigurere, hvilke grupper af brugere der kan oprette datamarts.

Datamartdeling

For datamarts har orddeling en betydning, der er forskellig fra andre Power BI-indholdstyper. Normalt er en delingshandling målrettet en forbruger, fordi den giver skrivebeskyttet tilladelse til ét element, f.eks. en rapport.

Deling af en datamart er målrettet indholdsoprettere (i stedet for forbrugere). Den giver tilladelserne Læs og Opret, hvilket giver brugerne mulighed for at forespørge enten den semantiske model eller relationsdatabasen, alt efter hvad de foretrækker.

Deling af en datamart gør det muligt for indholdsoprettere at:

• Opret indhold ved hjælp af den automatisk genererede semantiske model: Den semantiske model er det semantiske lag, som Power BI-rapporter kan bygges på. De fleste rapportoprettere skal bruge den semantiske model.
• Opret forbindelse til og forespørg azure SQL Database: Relationsdatabasen er nyttig for indholdsforfattere, der vil oprette nye semantiske modeller eller sideinddelte rapporter. De kan skrive SQL-forespørgsler (structured query language) for at hente data ved hjælp af SQL-slutpunktet.

Datamart sikkerhed på rækkeniveau

Du kan definere sikkerhed på rækkeniveau for datamarts for at begrænse adgang til data for angivne brugere. Sikkerhed på rækkeniveau er konfigureret i datamarteditoren i Power BI-tjeneste, og den anvendes automatisk på den automatisk genererede semantiske model og Azure SQL Database (som sikkerhedsregler).

Uanset hvordan en bruger vælger at oprette forbindelse til datamart (til den semantiske model eller databasen), gennemtvinges identiske RLS-tilladelser.

Tjekliste – Når du planlægger tilladelser til oprettelse af datamart, omfatter vigtige beslutninger og handlinger:

• Beslut strategien for tilladelser til datamartoprettere: Find ud af, hvilke indstillinger og krav der findes til administration af sikkerhed for datamartoprettere. Overvej, hvem der har tilladelse til eller opmuntret til at tage ansvar for administration af data i centraliserede og decentrale forretningsenheder.
• Beslut, hvem der kan oprette datamarts: Beslut, om der skal være nogen begrænsninger, som Oprettere af Power BI-data kan oprette en datamart for. Angiv lejerindstillingen Opret datamarts for at justere i forhold til denne beslutning. Hvis du beslutter dig for at begrænse, hvem der kan oprette datamarts, kan du overveje at bruge en gruppe, f.eks . Power BI-godkendte datamartoprettere.
• Gennemse, hvordan arbejdsområderoller håndteres for datamartoprettere: Find ud af, hvilken indvirkning det har på designprocessen for dit arbejdsområde. Opret separate dataarbejdsområder pr. emneområde, så arbejdsområderoller og semantisk modelsikkerhed kan forenkles for emneområdet.
• Vejledning til datamartoprettere om administration af tilladelser: Medtag dokumentation til datamartoprettere om, hvordan du administrerer datamarttilladelser. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
• Beslut, hvilken strategi der skal bruges til at bruge sikkerhed på rækkeniveau i datamarts: Overvej, hvilke use cases og formål du vil bruge sikkerhed på rækkeniveau i en datamart.

Tilladelser til oprettelse af scorecard

Med målepunkter i Power BI kan du organisere specifikke målepunkter og spore dem i forhold til vigtige forretningsmål. Målepunkter føjes til scorecards, som kan deles med andre brugere og vises i en enkelt rude.

Scorecards kan sikres med tre tilladelsesniveauer:

• Arbejdsområde.
• Scorecardtilladelser (pr. element).
• Målepunkter (i scorecardet).

En bruger, der opretter eller administrerer et scorecard fuldt ud, skal være administrator, medlem eller bidragyder for arbejdsområdet.

Da målepunkter ofte strækker sig over flere emneområder, anbefaler vi, at du opretter et separat arbejdsområde, så du uafhængigt kan administrere tilladelser for oprettere og forbrugere.

Lejerindstillingen Opret og brug målepunkter giver Power BI-administratorer mulighed for at konfigurere, hvilke grupper af brugere der kan oprette scorecardmålepunkter.

Scorecardtilladelser

Du kan tildele følgende scorecardtilladelser.

• Læs: Denne tilladelse giver en bruger mulighed for at få vist scorecardet.
• Videredel: Målrettet mod alle med eksisterende tilladelse til scorecardet, giver denne tilladelse brugerne mulighed for at dele scorecardet med en anden bruger.

I overensstemmelse med andre indholdstyper i Power BI-tjeneste er tilladelserne pr. element nyttige, når hensigten er at dele ét element med en anden bruger. Vi anbefaler, at du bruger arbejdsområderoller og apptilladelser, når det er muligt.

Tilladelser på målepunktsniveau

Hvert scorecard har et sæt tilladelser på metrikniveau, som du kan konfigurere i indstillingerne for scorecardet. Tilladelserne på målepunktsniveau (i et scorecard) kan tildeles på en anden måde end tilladelserne for arbejdsområdet eller scorecardet (pr. element).

Rollerne på målepunktsniveau giver dig mulighed for at angive:

• Hvem kan få vist individuelle målepunkter på et scorecard.
• Hvem kan opdatere individuelle målepunkter ved at:
  • Opdaterer status under en indtjekning.
  • Tilføjelse af noter under en indtjekning.
  • Opdaterer den aktuelle værdi under en indtjekning.

Hvis du vil reducere niveauet af fremtidig vedligeholdelse, er det muligt at angive standardtilladelser, der nedarves af undermetriske data, du opretter fremover.

Tjekliste – Når du planlægger tilladelser til oprettere af metrikværdier, omfatter vigtige beslutninger og handlinger:

• Beslut, hvilken strategi der skal anvendes for oprettertilladelser til scorecardet: Find ud af, hvilke indstillinger og krav der er til administration af sikkerhed for oprettere af scorecards. Overvej, hvem der har tilladelse til eller opmuntret til at tage ansvar for administration af data i centraliserede og decentrale forretningsenheder.
• Beslut, hvem der kan oprette scorecards: Beslut, om der skal være nogen begrænsninger, som oprettere af Power BI-data kan oprette scorecards for. Angiv lejerindstillingen Opret og brug metrikværdier for at justere i forhold til denne beslutning. Hvis du beslutter dig for at begrænse, hvem der kan oprette scorecards, kan du overveje at bruge en gruppe, f.eks . power BI-godkendte scorecardoprettere.
• Gennemse, hvordan arbejdsområderoller håndteres for scorecardoprettere: Find ud af, hvilken indvirkning det har på designprocessen for dit arbejdsområde. Overvej at oprette separate arbejdsområder til scorecards, når indholdet strækker sig over emneområder.
• Vejledning til scorecardoprettere om administration af tilladelser: Medtag dokumentation til scorecardoprettere om, hvordan du administrerer tilladelser på målepunktsniveau. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.

Publicerer indhold

Dette afsnit indeholder emner, der er relateret til publicering af indhold, der er relevante for indholdsoprettere.

Arbejdsområder

Indholdsforfattere skal have administrator-, medlem- eller bidragyderrolleadgang for at kunne publicere indhold til et arbejdsområde. Du kan få flere oplysninger i de arbejdsområderoller , der er beskrevet tidligere i denne artikel.

Med undtagelse af personlig BI bør oprettere af indhold opfordres til at publicere indhold til standardarbejdsområder i stedet for deres personlige arbejdsområde.

Indstillingen Bloker genudgivelse og deaktiver lejer for pakkeopdatering ændrer funktionsmåden for publicering af semantiske modeller. Når indstillingen er aktiveret, kan arbejdsområdeadministratorer, medlemmer eller bidragydere ikke publicere ændringer til en semantisk model. Det er kun ejeren af den semantiske model, der har tilladelse til at publicere en opdatering (tvinge overtagelsen af en semantisk model, før der publiceres en opdateret semantisk model). Da denne lejerindstilling gælder for hele organisationen, skal du aktivere den med en vis forsigtighed, da den påvirker alle semantiske modeller for hele lejeren. Sørg for at kommunikere med dine semantiske modeloprettere, hvad du kan forvente, fordi det ændrer arbejdsområderollernes normale funktionsmåde.

Power Apps-synkronisering

Det er muligt at oprette en Power Apps-løsning, der indeholder integrerede Power BI-rapporter. Power Apps-processen opretter automatisk et dedikeret Power BI-arbejdsområde til lagring og sikring af Power BI-rapporter og semantiske modeller. Hvis du vil administrere elementer, der findes i både Power Apps og Power BI, er der en synkroniseringsproces.

Processen synkroniserer sikkerhedsroller for at sikre, at Power BI arver de samme roller, som oprindeligt blev konfigureret i Power Apps. Den giver også indholdsforfatteren mulighed for at administrere tilladelser for, hvem der kan få vist De Power BI-rapporter (og relaterede semantiske modeller), der er integreret i en Power App.

Du kan få flere oplysninger om synkronisering af Power Apps-roller med Power BI-arbejdsområderoller under Tilladelsessynkronisering mellem Power Apps-miljø og Power BI-arbejdsområde.

Adgang til udrulningspipeline

Indholdsforfattere og -ejere kan bruge Power BI-udrulningspipelines til selvbetjeningsudgivelse af indhold. Udrulningspipelines forenkler publikationsprocessen og forbedrer kontrolniveauet, når der frigives nyt indhold.

Du administrerer pipelinetilladelser (for brugere, der kan udrulle indhold med en udrulningspipeline) separat fra arbejdsområderollerne. Adgang til både arbejdsområdet og udrulningspipelinen er påkrævet for de brugere, der udfører en udrulning.

Oprettere af indhold kan også have brug for:

• Tilladelser til oprettelse af arbejdsområder (når arbejdsområder skal oprettes af pipelinen).
• Premium- eller Fabric-kapacitetstilladelser (når arbejdsområder tildeles af pipelinen).

Vigtigt

Denne artikel henviser til tider Power BI Premium eller dens kapacitetsabonnementer (P-SKU'er). Vær opmærksom på, at Microsoft i øjeblikket konsoliderer købsmuligheder og udfaser Power BI Premium pr. kapacitets-SKU'er. Nye og eksisterende kunder bør overveje at købe Fabric-kapacitetsabonnementer (F SKU'er) i stedet.

Du kan få flere oplysninger under Vigtige opdateringer, der kommer til Power BI Premium-licenser og Ofte stillede spørgsmål om Power BI Premium.

Du kan få flere oplysninger under Adgang til udrulningspipeline.

XMLA-slutpunkt

XMLA-slutpunktet bruger XMLA-protokollen til at vise alle funktioner i en tabeldatamodel, herunder nogle datamodelleringshandlinger , der ikke understøttes af Power BI Desktop. Du kan bruge TOM-API'en (Tabular Object Model) til at foretage programmatiske ændringer af en datamodel.

XMLA-slutpunktet giver også forbindelse. Du kan kun oprette forbindelse til en semantisk model, når arbejdsområdets licenstilstand er angivet til Premium pr. bruger, Premium pr. kapacitet eller Embedded. Når der er oprettet forbindelse, kan et XMLA-kompatibelt værktøj arbejde på datamodellen til at læse eller skrive data. Du kan finde flere oplysninger om, hvordan du kan bruge XMLA-slutpunktet til administration af en semantisk model, i brugsscenariet for administration af avancerede datamodeller.

Adgang via XMLA-slutpunktet overholder eksisterende tilladelser. Administratorer af arbejdsområder, medlemmer og bidragydere har implicit semantisk model skrivetilladelse, hvilket betyder, at de kan installere nye semantiske modeller fra Visual Studio og udføre TMSL-scripts (Tabular Modeling Scripting Language) i SQL Server Management Studio (SSMS).

Brugere med tilladelsen Opret semantisk model kan bruge XMLA-slutpunktet til at oprette forbindelse til og gennemse semantiske modeller til dataforbrug og visualisering. RLS-regler overholdes, og brugerne kan ikke se interne semantiske modelmetadata.

Lejerindstillingen Tillad XMLA-slutpunkter og Analysér i Excel med semantiske modeller i det lokale miljø refererer til to funktioner: Den styrer, hvilke grupper af brugere der kan bruge XMLA-slutpunktet til at forespørge og/eller vedligeholde semantiske modeller i Power BI-tjeneste. Den bestemmer også, om Analysér i Excel kan bruges sammen med SSAS-modeller (SQL Server Analysis Services) i det lokale miljø.

Bemærk

Analysér i Excel-aspektet af denne lejerindstilling gælder kun for SSAS-modeller (SQL Server Analysis Services) i det lokale miljø. Standardfunktionen Analysér i Excel, som opretter forbindelse til en semantisk Power BI-model i Power BI-tjeneste, styres af lejerindstillingen Tillad direkte forbindelser.

Publicer på internettet

Publicer på internettet er en funktion, der giver adgang til Power BI-rapporter til alle på internettet. Det kræver ikke godkendelse, og der logføres ikke adgang til overvågningsformål. Da rapportforbrugere ikke behøver at tilhøre organisationen eller have en Power BI-licens, er denne teknik velegnet til datajournalistik, en proces, hvor rapporter er integreret i blogindlæg, websteder, mails eller sociale medier.

Advarsel

Publicer på internettet har potentiale til at vise følsomme eller fortrolige data, uanset om de er utilsigtet eller bevidst. Derfor er denne funktion deaktiveret som standard. Publicer på internettet bør kun bruges til rapporter, der indeholder data, som kan ses af offentligheden.

Lejerindstillingen Publicer på internettet gør det muligt for Power BI-administratorer at styre, hvilke grupper af brugere der kan publicere rapporter på internettet. Hvis du vil bevare et højere kontrolniveau, anbefaler vi, at du ikke medtager andre grupper i denne lejerindstilling (f.eks. Power BI-administratorer eller andre typer indholdsoprettere). Gennemtving i stedet specifik brugeradgang ved hjælp af en sikkerhedsgruppe, f.eks . offentlig publicering af Power BI. Sørg for, at sikkerhedsgruppen administreres korrekt.

Integration i brugerdefinerede apps

Lejerindstillingen Integrer indhold i apps giver Power BI-administratorer mulighed for at styre, hvilke brugere der kan integrere Power BI-indhold uden for Power BI-tjeneste. Når du planlægger at integrere Power BI-indhold i brugerdefinerede programmer, skal du aktivere denne indstilling for bestemte grupper, f.eks. appudviklere.

Integration i PowerPoint

Indstillingen Aktivér Power BI-tilføjelsesprogram til PowerPoint-lejer giver Power BI-administratorer mulighed for at styre, hvilke brugere der kan integrere Power BI-rapportsider i PowerPoint-præsentationer. Aktivér denne indstilling for bestemte grupper, f.eks. rapportoprettere, når det er relevant.

Bemærk

Hvis denne funktion skal fungere, skal brugerne installere Power BI-tilføjelsesprogrammet til PowerPoint. Hvis du vil bruge tilføjelsesprogrammet, skal brugerne enten have adgang til Office-tilføjelsesprogrammet, eller også skal tilføjelsesprogrammet være tilgængeligt for dem som administratoradministrerede tilføjelsesprogrammer. Du kan finde flere oplysninger i Power BI-tilføjelsesprogrammet til PowerPoint.

Oplær rapportoprettere til at være forsigtige med, hvor de gemmer deres PowerPoint-præsentationer, og hvem de deler dem med. Det skyldes, at brugerne får vist et billede af power BI-rapportvisualiseringerne, når de åbner præsentationen. Dette billede hentes fra sidste gang PowerPoint-filen blev oprettet forbindelse. Billedet kan dog utilsigtet vise data, som den modtagende bruger ikke har tilladelse til at se.

Bemærk

Billedet kan være nyttigt, når den modtagende bruger endnu ikke har tilføjelsesprogrammet, eller indtil tilføjelsesprogrammet opretter forbindelse til Power BI-tjeneste for at hente data. Når brugeren opretter forbindelse, er det kun data, som brugeren kan se (gennemtvingelse af sikkerhed på rækkeniveau), der hentes fra Power BI.

Skabelonapps

Skabelonapps gør det muligt for Power BI-partnere og softwareleverandører at bygge Power BI-apps med kun lidt eller ingen kodning og udrulle dem til alle Power BI-kunder.

Lejerindstillingen Publicer skabelonapps giver Power BI-administratorer mulighed for at styre, hvilke brugere der kan publicere skabelonapps uden for organisationen, f.eks. via Microsoft AppSource. For de fleste organisationer skal denne lejerindstilling deaktiveres eller styres nøje. Overvej at bruge en sikkerhedsgruppe, f.eks . oprettere af eksterne skabelonprogrammer i Power BI.

Mailabonnementer

Du kan tilmelde dig selv og andre til Power BI-rapporter, -dashboards og sideinddelte rapporter. Power BI sender derefter en mail efter en tidsplan, du har angivet. Mailen indeholder et snapshot og et link til rapporten eller dashboardet.

Du kan oprette et abonnement, der omfatter andre brugere, når du er administrator, medlem eller bidragyder til arbejdsområdet. Hvis rapporten er i et Premium-arbejdsområde, kan du abonnere på grupper (uanset om de er i dit domæne eller ej) og eksterne brugere. Når du konfigurerer abonnementet, er der også mulighed for at tildele tilladelser til elementet. Tilladelser til direkte adgang pr. element bruges til dette formål, hvilket er beskrevet i artiklen Rapportér planlægning af forbrugersikkerhed .

Advarsel

Funktionen til mailabonnement har potentiale til at dele indhold med interne og eksterne målgrupper. Når sikkerhed på rækkeniveau gennemtvinges for den underliggende semantiske model, genereres vedhæftede filer og billeder også ved hjælp af sikkerhedskonteksten for den bruger, der abonnerer.

Lejerindstillingen Mailabonnementer giver Power BI-administratorer mulighed for at styre, om denne funktion er aktiveret eller deaktiveret for hele organisationen.

Der er nogle begrænsninger for vedhæftede filer, der er relateret til begrænsninger for licensering og lejerindstilling. Du kan få flere oplysninger under Mailabonnementer på rapporter og dashboards i Power BI-tjeneste.

Tjekliste – Når du planlægger at publicere indhold, omfatter vigtige beslutninger og handlinger:

• Beslut, hvor indhold skal publiceres, hvordan og af hvem: Bestem, hvilke indstillinger og krav der findes for, hvor indhold publiceres.
• Bekræft adgang til arbejdsområdet: Bekræft tilgangen til arbejdsområdedesign. Kontrollér, hvordan du bruger adgangsrollerne for arbejdsområdet til at understøtte din strategi for, hvor indhold skal publiceres.
• Find ud af, hvordan du håndterer tilladelser til udrulningspipeline: Beslut, hvilke brugere der har tilladelse til at publicere indhold ved hjælp af en udrulningspipeline. Angiv tilladelserne for udrulningspipelinen i overensstemmelse hermed. Sørg for, at der også er adgang til arbejdsområdet.
• Beslut, hvem der kan oprette forbindelse til semantiske modeller ved hjælp af XMLA-slutpunktet: Beslut, hvilke brugere der har tilladelse til at forespørge eller administrere semantiske modeller ved hjælp af XMLA-slutpunktet. Angiv lejerindstillingen Tillad XMLA-slutpunkter og Analysér i Excel med semantiske modeller i det lokale miljø for at justere denne beslutning. Når du beslutter dig for at begrænse denne funktion, kan du overveje at bruge en gruppe, f.eks . Power BI-godkendte indholdsoprettere.
• Beslut, hvem der kan publicere rapporter offentligt: Beslut, hvilke brugere der har tilladelse til at publicere Power BI-rapporter offentligt, hvis der er nogen. Angiv lejerindstillingen Publicer på internettet for at tilpasse den til denne beslutning. Brug en gruppe, f.eks . offentlig publicering af Power BI.
• Beslut, hvem der kan integrere indhold i brugerdefinerede apps: Find ud af, hvem der skal have tilladelse til at integrere indhold uden for Power BI-tjenesten. Angiv lejerindstillingen Integrer indhold i apps for at tilpasse dig denne beslutning.
• Beslut, hvem der kan integrere indhold i PowerPoint: Find ud af, hvem der skal have tilladelse til at integrere indhold i PowerPoint. Angiv lejerindstillingen Aktivér Power BI-tilføjelsesprogram til PowerPoint for at justere denne beslutning.
• Beslut, hvem der kan publicere skabelonapps: Find ud af, hvad din strategi er til brug af skabelonapps uden for organisationen. Angiv lejerindstillingen Publicer skabelonapps for at justere i forhold til denne beslutning.
• Beslut, om du vil aktivere abonnementer: Bekræft, hvad din strategi er for at bruge abonnementer. Angiv lejerindstillingen Mailabonnementer for at justere i forhold til denne beslutning.

Opdater data

Når de er publiceret, skal dataoprettere sikre, at deres semantiske modeller og dataflow (der indeholder importerede data) opdateres jævnligt. Du bør også beslutte dig for relevante strategier for den semantiske model og dataflowejere.

Semantisk modelejer

Hver semantisk model har en ejer, som er en enkelt brugerkonto. Ejeren af den semantiske model er påkrævet for at konfigurere semantisk modelopdatering og angive semantiske modelparametre.

Som standard modtager den semantiske modelejer også adgangsanmodninger fra rapportoprettere, der ønsker tilladelsen Opret (medmindre indstillingerne for anmodning om adgang for den semantiske model er angivet til at angive brugerdefinerede instruktioner). Du kan få flere oplysninger i afsnittet Anmod om adgang til arbejdsprocesser for oprettere i denne artikel.

Power BI kan hente legitimationsoplysninger på to måder for at opdatere en semantisk model.

• Ejeren af den semantiske model gemmer legitimationsoplysninger i indstillingerne for semantiske modeller.
• Ejeren af den semantiske model refererer til en gateway i indstillingerne for semantiske modeller (der indeholder en datakilde med gemte legitimationsoplysninger).

Hvis en anden bruger skal konfigurere opdaterings- eller semantiske modelparametre, skal vedkommende overtage ejerskabet af den semantiske model. semantisk modelejerskab kan overtages af en administrator, et medlem eller en bidragyder til arbejdsområdet.

Advarsel

Hvis du tager ejerskab over semantiske modeller, fjernes alle gemte legitimationsoplysninger for den semantiske model permanent. Legitimationsoplysningerne skal angives igen for at tillade, at dataopdateringshandlinger kan fortsætte.

Ideelt set er den semantiske modelejer den bruger, der er ansvarlig for den semantiske model. Du bør opdatere ejeren af den semantiske model, når vedkommende forlader organisationen eller ændrer roller. Vær også opmærksom på, at når den semantiske modelejers brugerkonto er deaktiveret i Microsoft Entra ID, deaktiveres dataopdatering automatisk. I dette tilfælde skal en anden bruger overtage ejerskabet af den semantiske model for at tillade, at dataopdateringshandlinger genoptages.

Ejer af dataflow

På samme måde som semantiske modeller har dataflow også en ejer, som er en enkelt brugerkonto. Oplysningerne og vejledningen i det forrige emne om semantiske modelejere gælder også for ejere af dataflow.

Tjekliste – Når du planlægger sikkerhed i forbindelse med dataopdateringsprocesser, omfatter vigtige beslutninger og handlinger:

• Beslut strategien for semantiske modelejere: Bestem, hvilke indstillinger og krav der findes til administration af semantiske modelejere.
• Beslut strategien for dataflowejere: Find ud af, hvilke indstillinger og krav der findes til administration af dataflowejere.
• Inkludere i dokumentation og oplæring af semantiske modeloprettere: Medtag vejledning til dine dataoprettere om, hvordan du administrerer ejere for hver type element.

Relateret indhold

Du kan finde andre overvejelser, handlinger, beslutningskriterier og anbefalinger, der kan hjælpe dig med beslutninger om implementering af Power BI, i de emneområder , du skal overveje.