Freigeben Ihrer Daten und Verwalten von Berechtigungen
Gilt für:✅Warehouse und Mirrored Database in Microsoft Fabric
Die Freigabe ist eine bequeme Möglichkeit, Benutzern lesezugriff auf Ihre Daten für den nachgeschalteten Verbrauch zu ermöglichen. Mithilfe der Freigabe können nachgeschaltete Benutzer in Ihrer Organisation ein Warehouse mit T-SQL, Spark oder Power BI nutzen. Sie können die Berechtigungsebene anpassen, die dem freigegebenen Empfänger gewährt wird, um die entsprechende Zugriffsebene bereitzustellen.
Hinweis
Sie müssen ein Administrator oder Mitglied in Ihrem Arbeitsbereich sein, um ein Element in Microsoft Fabric freizugeben.
Erste Schritte
Nachdem Sie das Lagerelement identifiziert haben, das Sie für einen anderen Benutzer in Ihrem Fabric-Arbeitsbereich freigeben möchten, wählen Sie die schnelle Aktion in der Zeile aus, die Sie freigeben möchten.
Im folgenden animierten GIF werden die Schritte zum Auswählen eines freizugebenden Warehouses, zum Auswählen der zuzuweisenden Berechtigungen und schließlich zum Erteilen der Berechtigungen für einen anderen Benutzer dargestellt.
Freigeben eines Warehouse
Sie können Ihr Warehouse im OneLake Data Hub oder Ihr Warehouse-Element freigeben, indem Sie in der schnellen Aktion Freigeben auswählen, wie in der folgenden Abbildung hervorgehoben.
Sie werden mit Optionen aufgefordert, auszuwählen, für wen Sie das Warehouse freigeben möchten, für welche Berechtigungen sie erteilt werden sollen, und ob sie per E-Mail benachrichtigt werden sollen.
Füllen Sie alle erforderlichen Felder aus, und wählen Sie "Zugriff gewähren" aus.
Wenn der freigegebene Empfänger die E-Mail empfängt, kann er Öffnen auswählen und zur Warehouse Data Hub-Seite navigieren.
Abhängig von der Zugriffsebene, die dem freigegebenen Empfänger gewährt wurde, kann er nun eine Verbindung mit dem SQL-Analyseendpunkt herstellen, das Warehouse abfragen, Berichte erstellen oder Daten über Spark lesen.
Fabric-Sicherheitsrollen
Hier finden Sie weitere Details zu den einzelnen Berechtigungen:
- Wenn keine zusätzlichen Berechtigungen ausgewählt sind: Der freigegebene Empfänger erhält standardmäßig die Berechtigung „Lesen“. Sie erlaubt dem Empfänger nur das Herstellen einer Verbindung mit dem SQL-Analyseendpunkt. Diese Berechtigung ist das Äquivalent zu CONNECT-Berechtigungen in SQL Server. Der freigegebene Empfänger kann keine Tabelle abfragen oder eine Funktion oder gespeicherte Prozedur anzeigen oder ausführen, es sei denn, sie erhalten Zugriff auf Objekte innerhalb des Warehouse mithilfe der T-SQL GRANT-Anweisung .
Tipp
ReadData (vom Warehouse für T-SQL-Berechtigungen verwendet), ReadAll (verwendet von OneLake und dem SQL-Analyseendpunkt) und Build (verwendet von Power BI) sind separate Berechtigungen, die sich nicht überlappen.
"Alle Daten mit SQL lesen" ist ausgewählt ("ReadData"-Berechtigungen)- Der freigegebene Empfänger kann alle Objekte im Warehouse lesen. ReadData entspricht der db_datareader-Rolle in SQL Server. Der freigegebene Empfänger kann Daten aus allen Tabellen und Sichten innerhalb des Warehouse lesen. Wenn Sie einige Objekte im Warehouse weiter einschränken und präzisen Zugriff gewähren möchten, können Sie dies mithilfe von T-SQL-Anweisungen
GRANT
//REVOKE
DENY
tun.- Im SQL-Analyseendpunkt des Lakehouse entspricht Alle SQL-Endpunktdaten lesen der Option Alle Daten mit SQL lesen.
„Alle Daten mit Apache Spark lesen“ ist ausgewählt („ReadAll“-Berechtigungen): Der freigegebene Empfänger hat Lesezugriff auf die zugrunde liegenden Parquet-Dateien in OneLake, die mithilfe von Spark genutzt werden können. ReadAll sollte nur gewährt werden, wenn der freigegebene Empfänger den vollständigen Zugriff auf die Dateien Ihres Warehouses mithilfe der Spark-Engine wünscht.
Das Kontrollkästchen „Berichte mit dem Standarddataset erstellen“ ist aktiviert (Berechtigungen vom Typ „Build“). Der freigegebene Empfänger kann basierend auf dem Standardsemantikmodell, das mit Ihrem Warehouse verbunden ist, Berichte erstellen. Build muss bereitgestellt werden, wenn der freigegebene Empfänger Build-Berechtigungen für das Standardsemantikmodell haben möchte, um Power BI-Berichte für diese Daten zu erstellen. Das Kontrollkästchen Build ist standardmäßig aktiviert, kann aber deaktiviert werden.
ReadData-Berechtigungen
Mit ReadData-Berechtigungen kann der freigegebene Empfänger den Warehouse-Editor im schreibgeschützten Modus öffnen und die Tabellen und Sichten innerhalb des Warehouses abfragen. Der freigegebene Empfänger kann auch den bereitgestellten SQL-Analyseendpunkt kopieren und eine Verbindung mit einem Clienttool herstellen, um diese Abfragen auszuführen.
ReadAll-Berechtigungen
Ein freigegebener Empfänger mit ReadAll-Berechtigungen kann im Warehouse-Editor den AbFS-Pfad (Azure Blob File System) zur spezifischen Datei in OneLake im Bereich „Eigenschaften“ finden. Der freigegebene Empfänger kann dann diesen Pfad in einem Spark-Notebook verwenden, um die Daten zu lesen.
Im folgenden Screenshot kann beispielsweise ein Benutzer mit ReadAll-Berechtigungen die Daten in FactSale
mit einer Spark-Abfrage in einem neuen Notizbuch abfragen.
Buildberechtigungen
Mit Build-Berechtigungen kann der freigegebene Empfänger basierend auf dem Standardsemantikmodell, das mit dem Warehouse verbunden ist, Berichte erstellen. Der freigegebene Empfänger kann Power BI-Berichte aus dem Data Hub oder mithilfe von Power BI Desktop erstellen.
Verwalten von Berechtigungen
Auf der Berechtigungen verwalten wird die Liste der Benutzer angezeigt, denen Zugriff durch Zuweisen von Arbeitsbereichsrollen oder Elementberechtigungen gewährt wurde.
Wenn Sie Mitglied der Rollen "Administrator " oder "Mitglied " sind, wechseln Sie zu Ihrem Arbeitsbereich, und wählen Sie "Weitere Optionen" aus. Wählen Sie dann Berechtigungen verwalten aus.
Für Benutzer, die Arbeitsbereichsrollen bereitgestellt wurden, werden der entsprechende Benutzer, die Arbeitsbereichsrolle und die entsprechenden Berechtigungen angezeigt. Mitglieder der Arbeitsbereichsrollen "Administrator", "Mitglied" und "Mitwirkender" haben Lese-/Schreibzugriff auf Elemente in diesem Arbeitsbereich. Betrachter verfügen über ReadData-Berechtigungen und können alle Tabellen und Ansichten innerhalb des Warehouses in diesem Arbeitsbereich abfragen. Die Elementberechtigungen Read, ReadData und ReadAll können Benutzern gewährt werden.
Sie können Berechtigungen mithilfe von Berechtigungen verwalten hinzufügen oder entfernen:
- Zugriffsberechtigungen entfernen entfernt sämtliche Elementberechtigungen.
- ReadData entfernen entfernt die ReadData-Berechtigungen.
- ReadAll entfernen entfernt ReadAll-Berechtigungen.
- Build entfernen entfernt Build-Berechtigungen für das entsprechende Standardsemantikmodell.
Datenschutzfunktionen
Microsoft Fabric Data Warehouse unterstützt mehrere Technologien, mit denen Administratoren vertrauliche Daten vor unbefugter Anzeige schützen können. Durch das Sichern oder Verschleiern von Daten von nicht autorisierten Benutzer*innen oder Rollen können diese Sicherheitsfeatures sowohl in einem Warehouse- als auch SQL-Analyseendpunkt Schutz von Daten ohne Anwendungsänderungen bereitstellen.
- Sicherheit auf Spaltenebene verhindert nicht autorisiertes Anzeigen von Spalten in Tabellen.
- Sicherheit auf Zeilenebene verhindert nicht autorisiertes Anzeigen von Zeilen in Tabellen, wobei vertraute
WHERE
-Klauselfilter-Prädikate verwendet werden. - Die dynamische Datenmaskierung verhindert die unbefugte Anzeige vertraulicher Daten mithilfe von Masken, um den Zugriff auf den Abschluss zu verhindern, z. B. E-Mail-Adressen oder Nummern.
Begrenzungen
- Wenn Sie Elementberechtigungen gewähren oder Benutzer entfernen, die zuvor Berechtigungen hatten, kann die Weitergabe bis zu zwei Stunden dauern. Die neuen Berechtigungen sind sofort in "Berechtigungen verwalten" sichtbar. Melden Sie sich erneut an, um sicherzustellen, dass sich die Berechtigungen in Ihrem SQL-Analyseendpunkt widerspiegeln.
- Freigegebene Empfänger können über die Identität des Besitzers (delegierter Modus) auf das Warehouse zugreifen. Stellen Sie sicher, dass der Besitzer des Warehouse nicht aus dem Arbeitsbereich entfernt wird.
- Freigegebene Empfänger haben nur Zugriff auf das Warehouse, für das sie eine Freigabe empfangen haben, und nicht auf andere Elemente innerhalb desselben Arbeitsbereichs wie das Warehouse. Wenn Sie anderen Benutzern in Ihrem Team Berechtigungen für die Zusammenarbeit am Warehouse (Lese- und Schreibzugriff) erteilen möchten, fügen Sie sie als Arbeitsbereichsrollen wie "Mitglied " oder "Mitwirkender" hinzu.
- Wenn Sie derzeit ein Warehouse freigeben und Alle Daten mit SQL lesen auswählen, kann der freigegebene Empfänger im schreibgeschützten Modus auf den Warehouse-Editor zugreifen. Diese freigegebenen Empfänger können Abfragen erstellen, ihre Abfragen derzeit aber nicht speichern.
- Derzeit ist die Freigabe eines Warehouse nur über die Benutzeroberfläche verfügbar.
- Wenn Sie präzisen Zugriff auf bestimmte Objekte innerhalb des Warehouse bereitstellen möchten, geben Sie das Warehouse ohne zusätzliche Berechtigungen frei, und gewähren Sie dann mithilfe der T-SQL GRANT-Anweisung granularen Zugriff auf bestimmte Objekte. Weitere Informationen finden Sie unter T-SQL-Syntax für GRANT, REVOKE und DENY.
- Wenn Sie sehen, dass die ReadAll- und ReadData-Berechtigungen im Freigabedialogfeld deaktiviert sind, aktualisieren Sie die Seite.
- Freigegebene Empfänger verfügen nicht über die Berechtigung zum erneuten Freigeben eines Warehouses.
- Wenn ein Bericht, der auf dem Warehouse basiert, für einen anderen Empfänger freigegeben wird, benötigt der freigegebene Empfänger mehr Berechtigungen, um auf den Bericht zugreifen zu können. Dies hängt vom Modus des Zugriffs auf das Semantikmodell durch Power BI ab:
- Wenn der Zugriff über den direkten Abfragemodus erfolgt, müssen ReadData-Berechtigungen (oder präzise SQL-Berechtigungen für bestimmte Tabellen/Ansichten) für das Warehouse bereitgestellt werden.
- Wenn der Zugriff über den Direct Lake-Modus erfolgt, müssen readData-Berechtigungen (oder präzise Berechtigungen für bestimmte Tabellen/Ansichten) für das Warehouse bereitgestellt werden. Der Direct Lake-Modus ist der Standardverbindungstyp für Semantikmodelle, die ein Warehouse oder einen SQL-Analyseendpunkt als Datenquelle verwenden. Weitere Informationen finden Sie unter Direct Lake-Modus.
- Wenn der Zugriff über den Importmodus erfolgt, sind keine zusätzlichen Berechtigungen erforderlich.
- Derzeit wird die direkte Freigabe eines Lagers mit einem SPN nicht unterstützt.