Del via

Planlægning af Power BI-implementering: Planlægning af sikkerhed på lejerniveau

  • Artikel

Bemærk

Denne artikel er en del af power BI-implementeringsplanlægningsserierne. I denne serie fokuseres der primært på Power BI-oplevelsen i Microsoft Fabric. Du kan få en introduktion til serien under Planlægning af implementering af Power BI.

Denne artikel om planlægning af sikkerhed på lejerniveau er primært rettet mod:

  • Fabric-administratorer: De administratorer, der er ansvarlige for at styre Power BI i organisationen.
  • Center of Excellence, IT og BI-teamet: De teams, der også er ansvarlige for at lede Power BI. De skal muligvis samarbejde med administratorer af Power BI, informationssikkerhedsteams og andre relevante teams.

Denne artikel kan også være relevant for Power BI-oprettere af selvbetjening, der opretter, publicerer og administrerer indhold i arbejdsområder.

Serien af artikler er beregnet til at udvide indholdet i Hvidbogen om Sikkerhed i Power BI. Hvidbogen om sikkerhed i Power BI fokuserer på vigtige tekniske emner, f.eks. godkendelse, dataopbevaring og netværksisolering. Implementeringsplanlægningsserien giver dig overvejelser og beslutninger, der kan hjælpe dig med at planlægge sikkerhed og beskyttelse af personlige oplysninger.

Da Power BI-indhold kan bruges og sikres på forskellige måder, træffer indholdsoprettere mange taktiske beslutninger. Der er dog også nogle strategiske planlægningsbeslutninger, der skal træffes på lejerniveau. Disse strategiske planlægningsbeslutninger er fokus for denne artikel.

Vi anbefaler, at du træffer sikkerhedsbeslutninger på lejerniveau så tidligt som muligt, fordi de påvirker alt andet. Det er også nemmere at træffe andre sikkerhedsbeslutninger, når du har klarhed over dine overordnede sikkerhedsmål og -målsætninger.

Power BI-administration

Fabric-administratoren er en rolle med mange rettigheder, der har betydelig kontrol over Power BI. Vi anbefaler, at du nøje overvejer, hvem der er tildelt denne rolle, da en Fabric-administrator kan udføre mange funktioner på højt niveau, herunder:

  • administration af lejerindstillinger: Fabric-administratorer kan administrere de lejerindstillinger, der på administrationsportalen. De kan aktivere eller deaktivere indstillinger og tillade eller forbyde bestemte brugere eller grupper i indstillinger. Det er vigtigt at forstå, at dine lejerindstillinger har en betydelig indflydelse på brugeroplevelsen.
  • rolleadministration af arbejdsområder: Administratorer kan føje sig selv til rollen administrator af arbejdsområdet på administrationsportalen. De kan potentielt opdatere sikkerheden i arbejdsområdet for at få adgang til alle data eller give andre brugere rettigheder til at få adgang til data i Fabric.
  • Adgang til personligt arbejdsområde: Administratorer kan få adgang til indhold og styre personlige arbejdsområde for alle brugere.
  • Adgang til lejermetadata: Administratorer kan få adgang til metadata for hele lejeren, herunder Power BI-aktivitetslogge og aktivitetshændelser, der hentes af api'erne til Power BI-administratorer.

Tip

Som bedste praksis skal du tildele mellem to og fire brugere rollen Som Fabric-administrator. På den måde kan du reducere risikoen og samtidig sikre, at der er tilstrækkelig dækning og tværgående træning.

En administrator af Power BI er tildelt mindst én af disse indbyggede roller:

  • Fabric-administrator
  • Power Platform-administrator
  • Global administrator – dette er en rolle med store rettigheder, og medlemskabet skal begrænses.

Når du tildeler administratorroller, anbefaler vi, at du følger bedste praksis.

Bemærk

Selvom en Power Platform-administrator kan administrere Power BI-tjeneste, er det omvendte ikke sandt. En person, der er tildelt rollen Som Fabric-administrator, kan ikke administrere andre programmer på Power Platform.

Tjekliste – Når du planlægger, hvem der skal være Fabric-administrator, omfatter vigtige beslutninger og handlinger:

  • Identificer, hvem der i øjeblikket har fået tildelt administratorrollen: Kontrollér, hvem der er tildelt til en af de roller, der kan administrere Power BI.
  • Find ud af, hvem der skal administrere Power BI-tjenesten: Hvis der er for mange administratorer, skal du oprette en plan for at reducere det samlede antal. Hvis der er brugere, der er tildelt som administratorer for Power BI, som ikke er velegnet til en sådan rolle med rettigheder med mange rettigheder, skal du oprette en plan for at løse problemet.
  • Tydeliggør roller og ansvarsområder: For hver administrator af Power BI skal du sørge for, at deres ansvar er klart. Kontrollér, at der er foretaget relevant tværgående oplæring.

Strategier for sikkerhed og beskyttelse af personlige oplysninger

Du skal træffe nogle beslutninger på lejerniveau, der vedrører sikkerhed og beskyttelse af personlige oplysninger. De trufne taktikker og de beslutninger, du træffer, er afhængige af:

  • Din datakultur. Målet er at fremme en datakultur, der forstår, at sikkerhed og beskyttelse af data er alles ansvar.
  • Dit indholdsejerskab og dine administrationsstrategier . Niveauet for central og decentraliseret indholdsstyring påvirker i høj grad den måde, sikkerheden håndteres på.
  • Dine strategier for levering af indhold. Antallet af personer, der får vist indhold, påvirker, hvordan sikkerhed skal håndteres for indholdet.
  • Dine krav for at overholde globale, nationale/regionale og brancheregler.

Her er nogle eksempler på sikkerhedsstrategier på højt niveau. Du kan vælge at træffe beslutninger, der påvirker hele organisationen.

  • Krav til sikkerhed på rækkeniveau: Du kan bruge sikkerhed på rækkeniveau til at begrænse adgang til data for bestemte brugere. Det betyder, at forskellige brugere kan se forskellige data, når de får adgang til den samme rapport. En semantisk Power BI-model eller en datakilde (når du bruger enkeltlogon) kan gennemtvinge sikkerhed på rækkeniveau. Du kan få flere oplysninger i afsnittet Gennemtving datasikkerhed baseret på forbrugeridentitet i artiklen Rapportér planlægning af forbrugersikkerhed.
  • Dataopdaglighed: Find ud af, i hvilket omfang registrering af data skal fremmes i Power BI. Registrering påvirker, hvem der kan finde semantiske modeller eller datamarts i OneLake-katalog, og om indholdsforfattere har tilladelse til at anmode om adgang til disse elementer ved hjælp af Anmod om adgang arbejdsproces. Du kan få flere oplysninger i det brugerdefinerede administrerede selvbetjente BI-forbrugsscenarie .
  • Data, der må gemmes i Power BI: Find ud af, om der er visse typer data, der ikke skal gemmes i Power BI. Du kan f.eks. angive, at visse typer følsomme oplysninger, f.eks. bankkontonumre eller CPR-numre, ikke kan gemmes i en semantisk model. Du kan få flere oplysninger i artiklen Beskyttelse af oplysninger og forebyggelse af datatab.
  • indgående private netværk: Find ud af, om der er krav til netværksisolation ved hjælp af private slutpunkter for at få adgang til Power BI. Når du bruger Azure Private Link, sendes datatrafik ved hjælp af Microsofts private netværk i stedet for at gå over internettet.
  • Udgående privat netværk: Find ud af, om der kræves mere sikkerhed, når der oprettes forbindelse til datakilder. VNet-datagatewayen (Virtual Network) muliggør sikker udgående forbindelse fra Power BI til datakilder i et VNet. Du kan bruge en Azure VNet-datagateway, når indhold gemmes i et Premium-arbejdsområde.

Vigtigt

Når du overvejer netværksisolering, skal du arbejde med din it-infrastruktur og netværksteams, før du ændrer nogen af Fabric-lejerindstillingerne. Azure Private Link giver mulighed for forbedret indgående sikkerhed via private slutpunkter, mens en Azure VNet-gateway giver mulighed for forbedret udgående sikkerhed, når der oprettes forbindelse til datakilder. Azure VNet-gatewayen er Microsoft-administreret i stedet for kundeadministrerede, så det eliminerer omkostningerne ved at installere og overvåge gateways i det lokale miljø.

Nogle af dine beslutninger på organisationsniveau vil resultere i faste styringspolitikker, især når de er relateret til overholdelse af angivne standarder. Andre beslutninger på organisationsniveau kan resultere i vejledning, som du kan give til indholdsforfattere, der er ansvarlige for at administrere og beskytte deres eget indhold. De resulterende politikker og retningslinjer bør inkluderes i din centraliserede portal, undervisningsmateriale og kommunikationsplan.

Tip

Se de andre artikler i denne serie for at få yderligere forslag, der relaterer til sikkerhedsplanlægning for rapportforbrugere og oprettere af indhold.

Tjekliste – Når du planlægger dine sikkerhedsstrategier på højt niveau, omfatter vigtige beslutninger og handlinger:

  • Identificer lovmæssige krav, der er relateret til sikkerhed: Undersøg og dokumenter hvert enkelt krav, herunder hvordan du sikrer overholdelse af angivne standarder.
  • Identificer sikkerhedsstrategier på højt niveau: Find ud af, hvilke sikkerhedskrav der er vigtige nok til, at de skal medtages i en styringspolitik.
  • Samarbejd med andre administratorer: Kontakt de relevante systemadministratorer for at få en beskrivelse af, hvordan du opfylder sikkerhedskravene, og hvilke tekniske forudsætninger der findes. Plan for at lave en teknisk blåstempling.
  • Opdater indstillingerne for Fabric-lejeren: Konfigurer hver relevant Indstilling for Fabric-lejer. Planlæg løbende opfølgningsgennemgange.
  • Opret og udgiv brugervejledning: Opret dokumentation til sikkerhedsstrategier på højt niveau. Medtag oplysninger om processen, og hvordan en bruger kan anmode om en undtagelse fra standardprocessen. Gør disse oplysninger tilgængelige i din centraliserede portal og undervisningsmateriale.
  • Opdater undervisningsmateriale: For sikkerhedsstrategier på højt niveau skal du bestemme, hvilke krav eller retningslinjer du skal inkludere i brugertræningsmaterialet.

Integration med Microsoft Entra-id

Power BI-sikkerhed er baseret på grundlaget for en Microsoft Entra-lejer . Følgende Microsoft Entra-begreber er relevante for sikkerheden i en Power BI-lejer.

  • brugeradgang: Adgang til Power BI-tjenesten kræver en brugerkonto (ud over en Power BI--licens: Gratis, Power BI Pro eller Premium pr. bruger – Premium pr. bruger). Du kan føje både interne brugere og gæstebrugere til Microsoft Entra ID, eller de kan synkroniseres med en Active Directory i det lokale miljø (AD). Du kan få flere oplysninger om gæstebrugere under Strategi for eksterne brugere.
  • Sikkerhedsgrupper: Der kræves Microsoft Entra-sikkerhedsgrupper, når visse funktioner skal være tilgængelige i lejerindstillingerne. Du har muligvis også brug for grupper for effektivt at sikre indhold i Power BI-arbejdsområdet eller for at distribuere indhold. Du kan få mere at vide under Strategi for brug af grupper.
  • politikker for betinget adgang: Du kan konfigurere betinget adgang til Power BI-tjenesten og Power BI-mobilappen. Betinget adgang til Microsoft Entra kan begrænse godkendelse i forskellige situationer. Du kan f.eks. gennemtvinge politikker, der:
    • Kræv multifaktorgodkendelse for nogle eller alle brugere.
    • Tillad kun enheder, der overholder organisationens politikker.
    • Tillad forbindelse fra et bestemt netværk eller IP-område(r).
    • Bloker forbindelse fra en computer, der ikke er tilsluttet et domæne.
    • Bloker forbindelse for et risikabelt logon.
    • Tillad kun, at visse typer enheder opretter forbindelse.
    • Tillad eller afvis betinget adgang til Power BI for bestemte brugere.
  • tjenesteprincipaler: Du skal muligvis oprette en Microsoft Entra--appregistrering for at klargøre en tjenesteprincipal. Godkendelse af tjenesteprincipal er en anbefalet praksis, når en Power BI-administrator vil køre automatiske, planlagte scripts, der udtrækker data ved hjælp af API'erne til Power BI-administratorer. Tjenesteprincipaler er også nyttige, når du integrerer Power BI-indhold i et brugerdefineret program.
  • politikker i realtid: Du kan vælge at konfigurere politikker for sessionskontrol i realtid eller politikker for adgangskontrol, hvilket omfatter både Microsoft Entra ID og Microsoft Defender for Cloud Apps. Du kan f.eks. forbyde download af en rapport i Power BI-tjeneste, når den har en bestemt følsomhedsmærkat. Du kan få flere oplysninger i artiklerne om beskyttelse af oplysninger og forebyggelse af datatab.

Det kan være svært at finde den rette balance mellem ubegrænset adgang og alt for restriktiv adgang (hvilket frustrerer brugerne). Den bedste strategi er at samarbejde med din Microsoft Entra-administrator om at forstå, hvad der er konfigureret i øjeblikket. Prøv at forblive lydhør over for virksomhedens behov, samtidig med at du er opmærksom på de nødvendige begrænsninger.

Tip

Mange organisationer har et ad-miljø (Active Directory i det lokale miljø), som de synkroniserer med Microsoft Entra-id i cloudmiljøet. Denne konfiguration kaldes en hybrididentitetsløsning , som ikke er omfattet af denne artikel. Det vigtige begreb at forstå er, at brugere, grupper og tjenesteprincipaler skal findes i Microsoft Entra ID, for at cloudbaserede tjenester som Power BI kan fungere. Hvis du har en hybrid identitetsløsning, fungerer det for Power BI. Vi anbefaler, at du taler med dine Microsoft Entra-administratorer om den bedste løsning for din organisation.

Tjekliste – Når du identificerer behov for Microsoft Entra-integration, omfatter vigtige beslutninger og handlinger:

  • Arbejd med Microsoft Entra-administratorer: Samarbejd med dine Microsoft Entra-administratorer for at finde ud af, hvilke eksisterende Microsoft Entra-politikker der er på plads. Find ud af, om der er nogen politikker (aktuelle eller planlagte), der påvirker brugeroplevelsen i Power BI-tjeneste og/eller i Power BI-mobilprogrammerne.
  • Beslut, hvornår brugeradgang i forhold til tjenesteprincipal skal bruges: I forbindelse med automatiserede handlinger skal du beslutte, hvornår du vil bruge en tjenesteprincipal i stedet for brugeradgang.
  • Opret eller opdater brugervejledning: Find ud af, om der er sikkerhedsemner, som du skal dokumentere for Power BI-brugergruppen. På den måde ved de, hvad de kan forvente ved brug af grupper og politikker for betinget adgang.

Strategi for eksterne brugere

Power BI understøtter Microsoft Entra Business-to-Business (B2B). Eksterne brugere, f.eks. fra en kunde eller partnervirksomhed, kan inviteres som gæstebrugere i Microsoft Entra-id til samarbejdsformål. Eksterne brugere kan arbejde med Power BI og mange andre Azure- og Microsoft 365-tjenester.

Vigtigt

Microsoft Entra B2B-hvidbogen er den bedste ressource til at lære om strategier til håndtering af eksterne brugere. Denne artikel er begrænset til at beskrive de vigtigste overvejelser, der er relevante for planlægningen.

Der er fordele, når en ekstern bruger er fra en anden organisation, der også har konfigureret Microsoft Entra ID.

  • Lejer til startsiden administrerer legitimationsoplysningerne: Brugerens lejer til hjemmet forbliver i kontrol over sin identitet og administration af legitimationsoplysninger. Du behøver ikke at synkronisere identiteter.
  • lejeren Start administrerer brugerens status: Når en bruger forlader organisationen, og kontoen fjernes eller deaktiveres med øjeblikkelig virkning, har brugeren ikke længere adgang til dit Power BI-indhold. Det er en betydelig fordel, fordi du muligvis ikke ved, hvornår nogen har forladt deres organisation.
  • Fleksibilitet i forbindelse med brugerlicensering: Der er omkostningseffektive licensmuligheder. En ekstern bruger har muligvis allerede en Power BI Pro- eller Premium pr. bruger-licens, i hvilket tilfælde du ikke behøver at tildele en til vedkommende. Det er også muligt at give dem adgang til indhold i en Premium-kapacitet eller Et Fabric F64-arbejdsområde eller et arbejdsområde med større kapacitet ved at tildele dem en Fabric-licens (gratis).

Vigtigt

Denne artikel henviser til tider Power BI Premium eller dens kapacitetsabonnementer (P-SKU'er). Vær opmærksom på, at Microsoft i øjeblikket konsoliderer købsmuligheder og udfaser Power BI Premium pr. kapacitets-SKU'er. Nye og eksisterende kunder bør overveje at købe Fabric-kapacitetsabonnementer (F SKU'er) i stedet.

Du kan få flere oplysninger under Vigtige opdateringer, der kommer til Power BI Premium-licenser og Ofte stillede spørgsmål om Power BI Premium.

Nøgleindstillinger

Der er to aspekter ved aktivering og administration af, hvordan ekstern brugeradgang fungerer:

  • Microsoft Entra-indstillinger , der administreres af en Microsoft Entra-administrator. Disse Microsoft Entra-indstillinger er en forudsætning.
  • Fabric-lejerindstillinger, der administreres af en Power BI-administrator på administrationsportalen. Disse indstillinger styrer brugeroplevelsen i Power BI-tjeneste.

Proces for gæsteinvitation

Der er to måder at invitere gæstebrugere til din lejer på.

  • planlagte invitationer: Du kan konfigurere eksterne brugere forud for tiden i Microsoft Entra ID. På den måde er gæstekontoen klar, når en Power BI-bruger skal bruge den til at tildele tilladelser (f.eks. apptilladelser). Selvom det kræver en vis forhåndsplanlægning, er det den mest ensartede proces, fordi alle Power BI-sikkerhedsfunktioner understøttes. En administrator kan bruge PowerShell til effektivt at tilføje et stort antal eksterne brugere.
  • ad hoc-invitationer: En gæstekonto kan genereres automatisk i Microsoft Entra-id på det tidspunkt, hvor en Power BI-bruger deler eller distribuerer indhold til en ekstern bruger (som ikke tidligere er konfigureret). Denne fremgangsmåde er nyttig, når du ikke på forhånd ved, hvem de eksterne brugere skal være. Denne funktion skal dog først aktiveres i Microsoft Entra ID. Ad hoc-invitationstilgangen fungerer for ad hoc-tilladelser pr. element og apptilladelser.

Tip

Det er ikke alle sikkerhedsmuligheder i Power BI-tjeneste, der understøtter udløsning af en ad hoc-invitation. Derfor er der en inkonsekvent brugeroplevelse, når du tildeler tilladelser (f.eks. sikkerhed i arbejdsområder i forhold til tilladelser pr. element i forhold til apptilladelser). Når det er muligt, anbefaler vi, at du bruger den planlagte invitationstilgang, da det resulterer i en ensartet brugeroplevelse.

Kundelejer-id

Alle Microsoft Entra-lejere har et GUID (Globally Unique Identifier), der kaldes lejer-id'et. I Power BI kaldes det kundelejer-id'et (CTID). CTID gør det muligt for Power BI-tjeneste at finde indhold set fra en anden organisationslejer. Du skal føje CTID til URL-adresser, når du deler indhold med en ekstern bruger.

Her er et eksempel på tilføjelse af CTID til en URL-adresse: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

Når du har brug for at angive CTID for din organisation til en ekstern bruger, kan du finde det i Power BI-tjeneste ved at åbne dialogboksen Om Power BI. Den er tilgængelig i menuen Hjælp og support (?), der er placeret øverst til højre i Power BI-tjeneste. CTID føjes til slutningen af lejerens URL-adresse.

Skærmbillede af dialogboksen Om Power BI med kundelejer-id'et fremhævet.

Organisationsbranding

Når ekstern gæsteadgang ofte sker i din organisation, er det en god idé at bruge brugerdefineret branding. Brugerdefineret branding hjælper brugerne med at identificere, hvilken organisationslejer de har adgang til. Brandingelementer kan omfatte et logo, et forsidebillede og en temafarve.

På følgende skærmbillede kan du se, hvordan Power BI-tjeneste ser ud, når en gæstekonto åbnes. Den indeholder indstillingen Gæsteindhold , som er tilgængelig, når CTID føjes til URL-adressen.

Skærmbillede af Power BI-tjeneste med indstillingen Gæsteindhold fremhævet.

Deling af eksterne data

Nogle organisationer har et krav om at gøre mere end at dele rapporter med eksterne brugere. De har til hensigt at dele semantiske modeller med eksterne brugere, f.eks. partnere, kunder eller leverandører.

Målet for lokal semantisk modeldeling (også kendt som deling af semantiske modeller på tværs af lejere) er at give eksterne brugere mulighed for at oprette deres egne tilpassede rapporter og sammensatte modeller ved hjælp af data, du opretter, administrerer og leverer. Den oprindelige delte semantiske model (oprettet af dig) forbliver i din Power BI-lejer. De afhængige rapporter og modeller gemmes i den eksterne brugers Power BI-lejer.

Der er flere sikkerhedsaspekter til at få deling af semantiske modeller på stedet til at fungere.

  • lejerindstilling: Tillad, at gæstebrugere arbejder med delte semantiske modeller i deres egne lejere: Denne indstilling angiver, om funktionen til deling af eksterne data kan bruges. Den skal aktiveres, for at en af de to andre indstillinger (vist næste) kan træde i kraft. Den er aktiveret eller deaktiveret for hele organisationen af Power BI-administratoren.
  • lejerindstilling: Tillad, at bestemte brugere aktiverer ekstern datadeling: Denne indstilling angiver, hvilke grupper af brugere der kan dele data eksternt. De grupper af brugere, der er tilladt her, har tilladelse til at bruge den tredje indstilling (beskrevet næste). Denne indstilling administreres af Power BI-administratoren.
  • semantisk modelindstilling: ekstern deling: Denne indstilling angiver, om den specifikke semantiske model kan bruges af eksterne brugere. Denne indstilling administreres af indholdsoprettere og -ejere for hver bestemt semantiske model.
  • semantisk modeltilladelse: Læs og Build: Standardtilladelserne til semantisk model til understøttelse af indholdsoprettere findes stadig.

Vigtigt

Begrebet forbruger bruges typisk til at referere til brugere, der kun bruger indhold, der er produceret af andre i organisationen. Men med lokal deling af semantisk model er der en producent af den semantiske model og en forbruger af den semantiske model. I denne situation er forbrugeren af den semantiske model normalt indholdsopretter i den anden organisation.

Hvis sikkerhed på rækkeniveau er angivet for din semantiske model, bliver den hædret for eksterne brugere. Du kan få flere oplysninger i afsnittet Gennemtving datasikkerhed baseret på forbrugeridentitet i artiklen Rapportér planlægning af forbrugersikkerhed.

Abonnementer på eksterne brugere

Det er mest almindeligt, at eksterne brugere administreres som gæstebrugere i Microsoft Entra ID, som tidligere beskrevet. Ud over denne almindelige fremgangsmåde indeholder Power BI andre funktioner til distribution af rapportabonnementer til brugere uden for organisationen.

Lejerindstillingen Tillad, at mailabonnementer sendes til eksterne brugere i Power BI, angiver, om brugerne har tilladelse til at sende mailabonnementer til eksterne brugere, der endnu ikke er Gæstebrugere af Microsoft Entra. Vi anbefaler, at du angiver denne lejerindstilling, så den passer til, hvor strengt eller fleksibelt din organisation foretrækker at administrere eksterne brugerkonti.

Tip

Administratorer kan bekræfte, hvilke eksterne brugere der sendes abonnementer ved hjælp af API'en Hent rapportabonnementer som administrator. Mailadressen for den eksterne bruger vises. Hovedtypen er ikke løst, fordi den eksterne bruger ikke er konfigureret i Microsoft Entra-id.

Tjekliste – Når du planlægger, hvordan eksterne gæstebrugere skal håndteres, omfatter vigtige beslutninger og handlinger:

  • Identificer krav til eksterne brugere i Power BI-: Find ud af, hvilke use cases der er til eksternt samarbejde. Tydeliggør scenarierne for brug af Power BI med Microsoft Entra B2B. Find ud af, om samarbejde med eksterne brugere er en almindelig eller sjælden forekomst.
  • Fastlæg de aktuelle Microsoft Entra-indstillinger: Samarbejd med Microsoft Entra-administratoren for at finde ud af, hvordan eksternt samarbejde er konfigureret i øjeblikket. Find ud af, hvilken indvirkning det vil få på brugen af B2B med Power BI.
  • Beslut, hvordan du vil invitere eksterne brugere: Samarbejd med dine Microsoft Entra-administratorer om at beslutte, hvordan gæstekonti skal oprettes i Microsoft Entra ID. Beslut, om ad hoc-invitationer skal være tilladt. Beslut, i hvilket omfang den planlagte invitationstilgang skal bruges. Sørg for, at hele processen er forstået og dokumenteret.
  • Opret og publicer brugervejledning om eksterne brugere: Opret dokumentation til dine indholdsforfattere, der kan vejlede dem i, hvordan de deler indhold med eksterne brugere (især når den planlagte invitationsproces er påkrævet). Medtag oplysninger om begrænsninger, som eksterne brugere står over for, hvis de vil have eksterne brugere til at redigere og administrere indhold. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
  • Find ud af, hvordan du håndterer ekstern datadeling: Beslut, om ekstern datadeling skal være tilladt, og om den er begrænset til et bestemt sæt godkendte indholdsoprettere. Angiv lejerindstillingen Tillad, at gæstebrugere kan arbejde med delte semantiske modeller i deres egne lejere og indstillingen Tillad, at bestemte brugere aktiverer lejerindstillingen for deling af eksterne data, så de stemmer overens med din beslutning. Angiv oplysninger om ekstern datadeling for dine semantiske modeloprettere. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
  • Find ud af, hvordan du håndterer Power BI-licenser for eksterne brugere: Hvis gæstebrugeren ikke har en eksisterende Power BI-licens, skal du beslutte dig for processen for at tildele dem en licens. Sørg for, at processen er dokumenteret.
  • Medtag dit CTID i relevant brugerdokumentation: Registrer den URL-adresse, der tilføjer lejer-id'et (CTID) i brugerdokumentationen. Medtag eksempler til oprettere og forbrugere om, hvordan du bruger URL-adresser, der tilføjer CTID.
  • Konfigurer brugerdefineret branding i Power BI: Konfigurer brugerdefineret branding på administrationsportalen for at hjælpe eksterne brugere med at identificere, hvilken organisationslejer de har adgang til.
  • Bekræft eller opdater lejerindstillinger: Kontrollér, hvordan lejerindstillingerne i øjeblikket er konfigureret i Power BI-tjenesten. Opdater dem efter behov baseret på de beslutninger, der er truffet for at administrere ekstern brugeradgang.

Strategi for filplaceringer

Der er forskellige filtyper, der skal gemmes korrekt. Det er derfor vigtigt at hjælpe brugerne med at forstå forventningerne til, hvor filer og data skal placeres.

Der kan være risiko forbundet med Power BI Desktop-filer og Excel-projektmapper, fordi de kan indeholde importerede data. Disse data kan omfatte kundeoplysninger, personidentificerbare oplysninger, beskyttede oplysninger eller data, der er underlagt lovmæssige krav eller overholdelse af angivne standarder.

Tip

Det er nemt at overse de filer, der er gemt uden for Power BI-tjeneste. Vi anbefaler, at du overvejer dem, når du planlægger sikkerhed.

Her er nogle af de filtyper, der kan være involveret i en Power BI-implementering.

  • Kildefiler
    • Power BI Desktop-filer: De oprindelige filer (.pbix) for indhold, der er publiceret til Power BI-tjenesten. Når filen indeholder en datamodel, kan den indeholde importerede data.
    • Excel-projektmapper: Excel-projektmapper (.xlsx) kan indeholde forbindelser til semantiske modeller i Power BI-tjenesten. De kan også indeholde eksporterede data. De kan endda være oprindelige projektmapper til indhold, der er publiceret til Power BI-tjeneste (som et projektmappeelement i et arbejdsområde).
    • sideinddelte rapportfiler: De oprindelige rapportfiler (.rdl)-filer for indhold, der er publiceret til Power BI-tjenesten.
    • Kildedatafiler: Flade filer (f.eks. .csv eller .txt) eller Excel-projektmapper, der indeholder kildedata, der er importeret til en Power BI-model.
  • Eksporterede filer og andre filer
    • Power BI Desktop-filer: De .pbix-filer, der er hentet fra Power BI-tjenesten.
    • PowerPoint- og PDF-filer: PowerPoint-præsentationer (.pptx) og PDF-dokumenter, der er hentet fra Power BI-tjenesten.
    • Excel- og CSV-filer: Data, der eksporteres fra rapporter i Power BI-tjenesten.
    • sideinddelte rapportfiler: De filer, der eksporteres fra sideinddelte rapporter i Power BI-tjenesten. Excel, PDF og PowerPoint understøttes. Der findes også andre eksportfilformater for sideinddelte rapporter, herunder Word, XML eller webarkiv. Når du bruger API'en til eksport af filer til rapporter, understøttes billedformater også.
    • Mailfiler: Mailbilleder og vedhæftede filer fra abonnementer.

Du skal træffe nogle beslutninger om, hvor brugerne kan eller ikke kan gemme filer. Denne proces omfatter typisk oprettelse af en styringspolitik, som brugerne kan referere til. Placeringerne for kildefiler og eksporterede filer skal sikres for at sikre passende adgang for godkendte brugere.

Her er nogle anbefalinger til at arbejde med filer.

  • Gem filer i et delt bibliotek: Brug et Teams-websted, et SharePoint-bibliotek eller et delt OneDrive til arbejde eller skole. Undgå at bruge personlige biblioteker og drev. Sørg for, at lagerplaceringen er sikkerhedskopieret. Sørg også for, at lagringsplaceringen har aktiveret versionering, så det er muligt at gå tilbage til en tidligere version.
  • Brug Power BI-tjenesten så meget som muligt: Når det er muligt, skal du bruge Power BI-tjenesten til deling og distribution af indhold. På den måde er der altid fuld overvågning af adgang. Lagring og deling af filer på et filsystem skal være reserveret til det lille antal brugere, der samarbejder om indhold.
  • Brug ikke mail: Fraråd brugen af mail til deling af filer. Når en person sender en Excel-projektmappe eller en Power BI Desktop-fil til 10 brugere, resulterer det i 10 kopier af filen. Der er altid risiko for at inkludere en forkert (intern eller ekstern) mailadresse. Der er også en større risiko for, at filen videresendes til en anden. (For at minimere denne risiko skal du samarbejde med Exchange Online-administratoren om at implementere regler for at blokere vedhæftede filer baseret på betingelser af størrelse eller filtype. Andre strategier til forebyggelse af datatab i Power BI er beskrevet i artiklerne om beskyttelse af oplysninger og forebyggelse af datatab.)
  • Brug skabelonfiler: Nogle gange er der et legitimt behov for at dele en Power BI Desktop-fil med en anden. I dette tilfælde kan du overveje at oprette og dele en Power BI Desktop-skabelonfil (.pbit). En skabelonfil indeholder kun metadata, så den er mindre end kildefilen. Denne teknik kræver, at modtageren angiver legitimationsoplysningerne for datakilden for at opdatere modeldataene.

Der er lejerindstillinger på administrationsportalen, der styrer, hvilke eksportformater brugerne må bruge, når de eksporterer fra Power BI-tjeneste. Det er vigtigt at gennemse og angive disse indstillinger. Det er en supplerende aktivitet til planlægning af de filplaceringer, der skal bruges til de eksporterede filer.

Tip

Visse eksportformater understøtter beskyttelse af oplysninger fra ende til anden ved hjælp af kryptering. På grund af lovmæssige krav har nogle organisationer et gyldigt behov for at begrænse, hvilke eksportformater brugerne kan bruge. I artiklen Information protection for Power BI beskrives de faktorer, der skal overvejes, når du beslutter, hvilke eksportformater der skal aktiveres eller deaktiveres i lejerindstillingerne. I de fleste tilfælde anbefaler vi, at du kun begrænser eksportfunktioner, når du skal opfylde specifikke lovmæssige krav. Du kan bruge Power BI-aktivitetsloggen til at identificere, hvilke brugere der udfører mange eksporter. Du kan derefter lære disse brugere om mere effektive og sikre alternativer.

Tjekliste – Når du planlægger filplaceringer, omfatter de vigtigste beslutninger og handlinger:

  • Identificer, hvor filerne skal placeres: Beslut, hvor filerne skal gemmes. Find ud af, om der er bestemte placeringer, der ikke skal bruges.
  • Opret og udgiv dokumentation om filplaceringer: Opret brugerdokumentation, der tydeliggør ansvaret for administration og sikring af filer. Den skal også beskrive de placeringer, hvor filer skal (eller ikke skal) gemmes. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.
  • Angiv lejerindstillingerne for eksporter: Gennemse og angiv hver lejerindstilling, der er relateret til de eksportformater, du vil understøtte.

Strategi for brug af grupper

Vi anbefaler, at du bruger Microsoft Entra-sikkerhedsgrupper til at sikre Power BI-indhold af følgende årsager.

  • Reduceret vedligeholdelse: Medlemskabet af sikkerhedsgruppen kan ændres, uden at det er nødvendigt at ændre tilladelserne til Power BI-indholdet. Nye brugere kan føjes til gruppen, og unødvendige brugere kan fjernes fra gruppen.
  • Forbedret nøjagtighed: Da ændringerne af gruppemedlemskabet foretages én gang, resulterer det i mere nøjagtige tildelinger af tilladelser. Hvis der registreres en fejl, kan den nemmere rettes.
  • delegering: Du kan delegere ansvaret for administration af gruppemedlemskab til den gruppeejer.

Gruppebeslutninger på højt niveau

Der skal træffes nogle strategiske beslutninger om, hvordan grupper skal bruges.

Tilladelse til at oprette og administrere grupper

Der er to vigtige beslutninger, der skal træffes om oprettelse og administration af grupper.

  • Hvem har tilladelse til at oprette en gruppe? Normalt er det kun it-brugere, der kan oprette sikkerhedsgrupper. Det er dog muligt at føje brugere til den indbyggede gruppeadministrators Microsoft Entra-rolle. På den måde kan visse brugere, der er tillid til, f.eks. Power BI-mestre eller satellitmedlemmer af dit COE, oprette grupper for deres forretningsenhed.
  • Hvem har tilladelse til at administrere medlemmer af en gruppe? Det er almindeligt, at it-medarbejdere administrerer gruppemedlemskab. Det er dog muligt at angive en eller flere gruppeejere , der har tilladelse til at tilføje og fjerne gruppemedlemmer. Det er nyttigt at bruge selvbetjeningsgruppestyring , når et decentralt team eller satellitmedlemmer af COE har tilladelse til at administrere medlemskabet af Power BI-specifikke grupper.

Tip

At tillade selvbetjeningsgruppeadministration og angive decentraliserede gruppeejere er gode måder at balancere effektivitet og hastighed med styring på.

Planlægning af Power BI-grupper

Det er vigtigt, at du opretter en strategi på højt niveau for, hvordan du bruger grupper til at beskytte Power BI-indhold og mange andre anvendelser.

Forskellige use cases for grupper

Overvej følgende use cases for grupper.

Use case Beskrivelse Eksempel på gruppenavn
Kommunikation med Power BI Center of Excellence (COE) Omfatter alle brugere, der er knyttet til COE'et, herunder alle kerne- og satellitmedlemmer af COE'et. Afhængigt af dine behov kan du også oprette en separat gruppe for kun kernemedlemmerne. Det er sandsynligvis en Microsoft 365-gruppe, der er korreleret med et Teams-websted. • Power BI Center of Excellence
Kommunikation med Power BI-ledelsesteamet Omfatter chefsponsor og repræsentanter fra forretningsenheder, der samarbejder om at lede Power BI-initiativet i organisationen. • Power BI-styregruppe
Kommunikation med Power BI-bruger community'et Omfatter alle brugere, der er tildelt en hvilken som helst type Power BI-brugerlicens. Det er nyttigt til at sende meddelelser til alle Power BI-brugere i din organisation. Det er sandsynligvis en Microsoft 365-gruppe, der er korreleret med et Teams-websted. • Power BI-community
Understøttelse af Power BI-bruger community'et Omfatter helpdeskbrugere, der interagerer direkte med bruger community'et for at håndtere supportproblemer i Power BI. Denne mailadresse (og Teams-webstedet, hvis det er relevant) er tilgængelig og synlig for brugerpopulationen. • Power BI-brugersupport
Giver eskaleret support Omfatter bestemte brugere, normalt fra Power BI COE, som yder eskaleret support. Denne mailadresse (og Teams-webstedet, hvis det er relevant) er typisk privat, kun til brug for brugersupportteamet. • Power BI eskalerede brugersupport
Administration af Power BI-tjeneste Omfatter bestemte brugere, der har tilladelse til at administrere Power BI-tjeneste. Medlemmer af denne gruppe kan eventuelt korreleres med rollen i Microsoft 365 for at forenkle administrationen. • Power BI-administratorer
Meddelelse om tilladte funktioner og gradvis udrulning af funktioner Omfatter brugere, der er tilladt for en bestemt lejerindstilling på administrationsportalen (hvis funktionen er begrænset), eller hvis funktionen skal udrulles gradvist til grupper af brugere. Mange af lejerindstillingerne kræver, at du opretter en ny Power BI-specifik gruppe. • Oprettere af Power BI-arbejdsområder

• Ekstern datadeling i Power BI
Administration af datagateways Omfatter en eller flere grupper af brugere, der har tilladelse til at administrere en gatewayklynge. Der kan være flere grupper af denne type, når der er flere gateways, eller når decentraliserede teams administrerer gateways. • Power BI-gatewayadministratorer

• Oprettere af datakilder til Power BI-gateway

• Ejere af datakilder til Power BI-gateway

• Brugere af datakilden til Power BI-gatewayen
Administration af Premium-kapaciteter Omfatter brugere, der har tilladelse til at administrere en Premium-kapacitet. Der kan være flere grupper af denne type, når der er flere kapaciteter, eller når decentraliserede teams administrerer kapaciteter. • Bidragydere til Power BI-kapacitet
Sikring af arbejdsområder, apps og elementer Mange grupper, der er baseret på emneområder og tilladt adgang til administration af sikkerhed for roller i Power BI-arbejdsområder, apptilladelser og tilladelser pr. element. • Administratorer af Power BI-arbejdsområder

• Medlemmer af Power BI-arbejdsområdet

• Bidragydere til Power BI-arbejdsområder

• Brugere af Power BI-arbejdsområder

• Power BI-applæsere
Udrulning af indhold Omfatter de brugere, der kan udrulle indhold ved hjælp af en Power BI-udrulningspipeline. Denne gruppe bruges sammen med tilladelser til arbejdsområdet. • Administratorer af Power BI-udrulningspipeline
Automatisere administrative handlinger Omfatter de tjenesteprincipaler, der har tilladelse til at bruge Power BI-API til integrering eller administrative formål. • Power BI-tjeneste hovedstole

Grupper for Lejerindstillinger for Fabric

Afhængigt af de interne processer, du har på plads, har du andre grupper, der er nødvendige. Disse grupper er nyttige, når du administrerer lejerindstillingerne. Her er nogle eksempler.

  • oprettere af Power BI-arbejdsområder: Nyttig, når du har brug for at begrænse, hvem der kan oprette arbejdsområder. Den bruges til at konfigurere lejerindstillingen Opret arbejdsområder .
  • Eksperter i Power BI-certificeringsemne: Nyttig til at angive, hvem der har tilladelse til at bruge den certificerede godkendelse til indhold. Den bruges til at konfigurere lejerindstillingen certificering .
  • Power BI-godkendte indholdsforfattere: Nyttig, når du har brug for godkendelse eller oplæring, eller en politikgodkendelse til installation af Power BI Desktop eller til at få en Power BI Pro- eller Premium pr. bruger-licens. Den bruges af lejerindstillinger, der opfordrer til oprettelse af indhold, f.eks . Tillad DirectQuery-forbindelser til semantiske Power BI-modeller, Push-apps til slutbrugere, Tillad XMLA-slutpunkter og andre.
  • eksterne værktøjsbrugere af Power BI: Nyttig, når du tillader brug af eksterne værktøjer for en selektiv gruppe af brugere. Det bruges af gruppepolitik, eller når softwareinstallationer eller -anmodninger skal styres omhyggeligt.
  • brugerdefinerede Power BI-udviklere: Nyttig, når du har brug for at styre, hvem der har tilladelse til at integrere indhold i andre programmer uden for Power BI. Den bruges til at konfigurere lejerindstillingen Integrer indhold i apps .
  • offentlige publiceringi Power BI: Nyttig, når du har brug for at begrænse, hvem der kan publicere data offentligt. Den bruges til at konfigurere lejerindstillingen Publicer på internettet .
  • Power BI-deling til hele organisationen: Nyttig, når du har brug for at begrænse, hvem der kan dele et link med alle i organisationen. Den bruges til at konfigurere lejerindstillingen Tillad deling af links for at give adgang til alle i organisationen .
  • ekstern datadelingi Power BI: Nyttig, når du har brug for at give visse brugere tilladelse til at dele semantiske modeller med eksterne brugere. Den bruges til at konfigurere lejerindstillingen Tillad, at bestemte brugere aktiverer lejeren til deling af eksterne data.
  • Power BI-gæstebrugeradgang med licens: Nyttig, når du skal gruppere godkendte eksterne brugere, der er tildelt en licens af din organisation. Den bruges til at konfigurere lejerindstillingen Tillad gæstebrugere af Microsoft Entra adgang til Power BI .
  • adgang til BYOLfor Power BI-gæstebrugere: Nyttig, når du har brug for at gruppere godkendte eksterne brugere, der medbringer deres egen licens (BYOL) fra deres hjemmeorganisation. Den bruges til at konfigurere lejerindstillingen Tillad gæstebrugere af Microsoft Entra adgang til Power BI .

Tip

Du kan få mere at vide om brug af grupper, når du planlægger adgang til arbejdsområder, i artiklen Planlægning på arbejdsområdeniveau . Du kan finde oplysninger om planlægning af beskyttelse af arbejdsområder, apps og elementer i artiklen Rapportér planlægning af forbrugersikkerhed.

Gruppetype

Du kan oprette forskellige typer grupper.

  • Sikkerhedsgruppe: En sikkerhedsgruppe er det bedste valg, når dit primære mål er at give adgang til en ressource.
  • mailaktiveret sikkerhedsgruppe: Når du har brug for at give adgang til en ressource og distribuere meddelelser til hele gruppen via mail, er en mailaktiveret sikkerhedsgruppe et godt valg.
  • Microsoft 365-gruppe: Denne type gruppe har et Teams-websted og en mailadresse. Det er det bedste valg, når det primære mål er kommunikation eller samarbejde på et Teams-websted. En Microsoft 365-gruppe har kun medlemmer og ejere. der ikke er en seerrolle. Derfor er dets primære formål samarbejde. Denne type gruppe var tidligere kendt som en Office 365-gruppe, en moderne gruppe eller en samlet gruppe.
  • distributionsgruppe: Du kan bruge en distributionsgruppe til at sende en udsendelsesmeddelelse til en liste over brugere. I dag anses det for at være et ældre koncept, der giver bagudkompatibilitet. I forbindelse med nye use cases anbefaler vi, at du i stedet opretter en mailaktiveret sikkerhedsgruppe.

Når du anmoder om en ny gruppe, eller du vil bruge en eksisterende gruppe, er det vigtigt at være opmærksom på dens type. Gruppetypen kan bestemme, hvordan den bruges og administreres.

  • Power BI-tilladelser: Ikke alle typer grupper understøttes for alle typer sikkerhedshandlinger. Sikkerhedsgrupper (herunder mailaktiverede sikkerhedsgrupper) giver den højeste dækning, når det gælder angivelse af Sikkerhedsindstillinger i Power BI. Microsoft-dokumentation anbefaler generelt Microsoft 365-grupper. I forbindelse med Power BI er de dog ikke så kompatible som sikkerhedsgrupper. Du kan få flere oplysninger om Power BI-tilladelser i de senere artikler i denne serie om sikkerhedsplanlægning.
  • Fabric-lejerindstillinger: Du kan kun bruge sikkerhedsgrupper (herunder mailaktiverede sikkerhedsgrupper), når du tillader eller ikke tillader grupper af brugere at arbejde med lejerindstillinger.
  • Avancerede Microsoft Entra-funktioner: Visse typer avancerede funktioner understøttes ikke for alle gruppetyper. Microsoft 365-grupper understøtter f.eks. ikke indlejring af grupper i en gruppe. Selvom nogle gruppetyper understøtter dynamisk gruppemedlemskab baseret på brugerattributter i Microsoft Entra ID, understøttes grupper, der bruger dynamisk medlemskab, ikke for Power BI.
  • Administreret forskelligt: Din anmodning om at oprette eller administrere en gruppe kan blive dirigeret til en anden administrator baseret på typen af gruppe (mailaktiverede sikkerhedsgrupper og distributionsgrupper administreres i Exchange). Derfor varierer din interne proces afhængigt af typen af gruppe.

Navngivningskonvention for gruppe

Det er sandsynligt, at du ender med mange grupper i Microsoft Entra ID for at understøtte din Power BI-implementering. Det er derfor vigtigt at have et aftalt mønster for, hvordan grupper navngives. En god navngivningskonvention hjælper med at bestemme formålet med gruppen og gøre det nemmere at administrere.

Overvej at bruge følgende standardkonvention til navngivning: Præfiksformål<>< - >emne/område/afdeling<>[miljø]<>

På følgende liste beskrives hver del af navngivningskonventionen.

  • præfiks: Bruges til at gruppere alle Power BI-grupper sammen. Når gruppen bruges til mere end ét analyseværktøj, er præfikset muligvis kun BI i stedet for Power BI. I så fald vil den tekst, der beskriver formålet, være mere generisk, så den er relateret til mere end ét analyseværktøj.
  • Formål: Formålet varierer. Det kan være for en arbejdsområderolle, apptilladelser, tilladelser på elementniveau, sikkerhed på rækkeniveau eller andre formål. Nogle gange kan flere formål være opfyldt med en enkelt gruppe.
  • emne/område/afdeling: Bruges til at præcisere, hvem gruppen gælder for. Den beskriver ofte gruppemedlemskabet. Den kan også referere til, hvem der administrerer gruppen. Nogle gange kan en enkelt gruppe bruges til flere formål. En samling af økonomiarbejdsområder kan f.eks. administreres med en enkelt gruppe.
  • Miljø: Valgfri. Nyttig til at skelne mellem udvikling, test og produktion.

Her er nogle eksempler på gruppenavne, der anvender standard navngivningskonventionen.

  • Administratorer af Power BI-arbejdsområder – Finance [Dev]
  • Medlemmer af Power BI-arbejdsområdet – Finance [Dev]
  • Bidragydere til Power BI-arbejdsområder – Finance [Dev]
  • Brugere af Power BI-arbejdsområder – Finance [Dev]
  • Power BI-appfremvisere – Finance
  • Power BI-gatewayadministratorer – Enterprise BI
  • Power BI-gatewayadministratorer – Finance

Beslutninger pr. gruppe

Når du planlægger, hvilke grupper du skal bruge, skal der træffes flere beslutninger.

Når en opretter eller ejer af indhold anmoder om en ny gruppe, skal de ideelt set bruge en formular til at angive følgende oplysninger.

  • Navn og formål: Et foreslået gruppenavn og det tiltænkte formål. Overvej at medtage Power BI (eller kun BI , når du har flere BI-værktøjer) i gruppenavnet for tydeligt at angive omfanget af gruppen.
  • Mailadresse: En mailadresse, når kommunikation også er påkrævet for gruppemedlemmerne. Det er ikke alle typer grupper, der behøver at være mailaktiveret.
  • Gruppetype: Indstillinger omfatter sikkerhedsgruppe, mailaktiveret sikkerhedsgruppe, Microsoft 365-gruppe og distributionsgruppe.
  • gruppeejer: Hvem har tilladelse til at eje og administrere medlemmerne af gruppen.
  • Gruppemedlemskab: De tiltænkte brugere, der skal være medlemmer af gruppen. Overvej, om eksterne brugere og interne brugere kan tilføjes, eller om der er en begrundelse for at placere eksterne brugere i en anden gruppe.
  • Brug af tildeling af gruppemedlemstildeling lige i tiden: Du kan bruge PIM- (Privileged Identity Management) til at tillade tidsboksbaseret, just-in-time-adgang til en gruppe. Denne tjeneste kan være nyttig, når brugerne har brug for midlertidig adgang. PIM er også nyttig for Power BI-administratorer, der har brug for lejlighedsvis adgang.

Tip

Eksisterende grupper, der er baseret på organisationsdiagrammet, fungerer ikke altid godt til Power BI-formål. Brug eksisterende grupper, når de opfylder dine behov. Vær dog forberedt på at oprette Power BI-specifikke grupper, når behovet opstår.

Tjekliste – Når du opretter din strategi for, hvordan du bruger grupper, omfatter vigtige beslutninger og handlinger:

  • Beslut, hvilken strategi der skal bruges for at bruge grupper: Fastlæg de use cases og formål, du skal bruge grupper til. Vær specifik for, hvornår sikkerhed skal anvendes ved hjælp af brugerkonti i forhold til, hvornår en gruppe er påkrævet eller foretrækkes.
  • Opret en navngivningskonvention for Power BI-specifikke grupper: Sørg for, at der bruges en ensartet navngivningskonvention for grupper, der understøtter Power BI-kommunikation, funktioner, administration eller sikkerhed.
  • Beslut, hvem der har tilladelse til at oprette grupper: Tydeliggør, om al gruppeoprettelse er påkrævet for at gennemgå it-tjenesten. Eller om visse personer (f.eks. satellitmedlemmer af COE) kan tildeles tilladelse til at oprette grupper for deres forretningsenhed.
  • Opret en proces til anmodning om en ny gruppe: Opret en formular, hvor brugerne kan anmode om oprettelse af en ny gruppe. Sørg for, at der er en proces på plads, hvor du hurtigt kan svare på nye anmodninger. Vær opmærksom på, at hvis anmodninger forsinkes, kan brugerne blive fristet til at begynde at tildele tilladelser til individuelle konti.
  • Beslut, hvornår decentraliseret gruppestyring er tilladt: For grupper, der gælder for et bestemt team, skal du beslutte, hvornår det er acceptabelt for en gruppeejer (uden for it-virksomheden) at administrere medlemmer i gruppen.
  • Beslut, om gruppemedlemskabet just-in-time skal bruges: Find ud af, om privilegeret identitetsstyring er nyttig. Hvis det er tilfældet, skal du bestemme, hvilke grupper den kan bruges til (f.eks. Power BI-administratorgruppen).
  • Gennemse, hvilke grupper der findes i øjeblikket: Find ud af, hvilke eksisterende grupper der kan bruges, og hvilke grupper der skal oprettes.
  • Gennemse hver lejerindstilling: For hver lejerindstilling skal du afgøre, om den er tilladt eller ikke tilladt for et bestemt sæt brugere. Afgør, om der skal oprettes en ny gruppe for at konfigurere lejerindstillingen.
  • Opret og udgiv vejledning til brugere om grupper: Medtag dokumentation til oprettere af indhold, der indeholder krav eller præferencer, til brug af grupper. Sørg for, at de ved, hvad de skal bede om, når de anmoder om en ny gruppe. Publicer disse oplysninger på din centraliserede portal og undervisningsmateriale.

Relateret indhold

I den næste artikel i denne serie kan du få mere at vide om, hvordan du sikkert kan levere indhold til skrivebeskyttede rapportforbrugere.