Σχεδιασμός υλοποίησης Power BI: Σχεδιασμός ασφάλειας καταναλωτών αναφοράς
Σημείωμα
Αυτό το άρθρο αποτελεί μέρος της σειράς άρθρων σχεδιασμού υλοποίησης Power BI. Αυτή η σειρά εστιάζει κυρίως στην εμπειρία Power BI στο Microsoft Fabric. Για μια εισαγωγή στη σειρά, ανατρέξτε στο θέμα Σχεδιασμός υλοποίησης Power BI.
Αυτό το άρθρο σχεδιασμού ασφαλείας περιγράφει στρατηγικές για καταναλωτές μόνο για ανάγνωση. Η εστίαση είναι στα δικαιώματα θεατή για αναφορές και εφαρμογές και στον τρόπο επιβολής ασφάλειας δεδομένων. Απευθύνεται κυρίως στα εξής:
- Διαχειριστές Power BI: Οι διαχειριστές που είναι υπεύθυνοι για την εποπτεία του Power BI στον οργανισμό.
- Κέντρο αριστείας, ομάδα IT και BI: Οι ομάδες που είναι επίσης υπεύθυνες για την επίβλεψη του Power BI. Ίσως χρειαστεί να συνεργαστούν με διαχειριστές του Power BI, ομάδες ασφαλείας πληροφοριών και άλλες σχετικές ομάδες.
- Δημιουργοί και κάτοχοι περιεχομένου: Δημιουργοί BI με λειτουργία από τον χρήστη, οι οποίοι πρέπει να δημιουργούν, να δημοσιεύουν, να ασφαλίζουν και να διαχειρίζονται περιεχόμενο που καταναλώνουν άλλοι χρήστες.
Η σειρά άρθρων προορίζεται για να επεκταθεί με βάση το περιεχόμενο στη Λευκή Βίβλο για την ασφάλεια του Power BI. Ενώ η Λευκή Βίβλος ασφαλείας του Power BI εστιάζει σε βασικά τεχνικά θέματα όπως ο έλεγχος ταυτότητας, η θέση δεδομένων και η απομόνωση δικτύου, ο κύριος στόχος της σειράς είναι να σας παρέχει ζητήματα και αποφάσεις για να σας βοηθήσει να σχεδιάσετε την ασφάλεια και την προστασία των προσωπικών δεδομένων.
Σε έναν οργανισμό, πολλοί χρήστες ταξινομούνται ως καταναλωτές. Οι καταναλωτές προβάλουν περιεχόμενο που άλλοι χρήστες έχουν δημιουργήσει και δημοσιεύσει. Οι καταναλωτές είναι το επίκεντρο αυτού του άρθρου. Για τον σχεδιασμό ασφαλείας που εστιάζει στους δημιουργούς και κατόχους περιεχομένου, ανατρέξτε στο άρθρο Σχεδιασμός ασφαλείας δημιουργού περιεχομένου.
Για να αξιοποιήσετε στο έπακρο αυτό το άρθρο, είναι χρήσιμο να κατανοήσετε την έννοια των όρων κοινής χρήσης και διανομής στο πλαίσιο του Power BI.
Η κοινή χρήση είναι το σημείο όπου ένας χρήστης δίνει σε έναν άλλο χρήστη (ή ομάδα χρηστών) πρόσβαση σε ένα συγκεκριμένο στοιχείο περιεχομένου. Η δυνατότητα κοινής χρήσης στην υπηρεσία Power BI περικλείεται σε ένα στοιχείο. Συνήθως πραγματοποιείται μεταξύ ατόμων που γνωρίζονται και συνεργάζονται στενά.
Διανομή είναι το σημείο όπου το περιεχόμενο παραδίδεται σε άλλους χρήστες, οι οποίοι είναι γνωστοί ως παραλήπτες. Συχνά περιλαμβάνει μεγαλύτερο αριθμό χρηστών σε πολλές ομάδες. Οι παραλήπτες ενδέχεται να μην έχουν ζητήσει ρητά το περιεχόμενο, αλλά αναγνωρίζεται ότι το χρειάζονται για να εκτελέσουν τον ρόλο τους. Οι παραλήπτες που καταναλώνουν κατανεμημένο περιεχόμενο μπορεί να γνωρίζουν ή όχι τον αρχικό δημιουργό του περιεχομένου. Ως εκ τούτου, η διανομή ως έννοια είναι πιο τυπική από την κοινή χρήση.
Όταν συνομιλείτε με άλλα άτομα, καθορίζετε αν χρησιμοποιούν τον όρο κοινή χρήση με γενικό τρόπο ή κυριολεκτικά. Η χρήση του όρου κοινοποίησης μπορεί να ερμηνευθεί με δύο τρόπους.
- Ο όρος κοινή χρήση χρησιμοποιείται συχνά με γενικό τρόπο που σχετίζεται με την κοινή χρήση περιεχομένου με τους συναδέλφους σας. Υπάρχουν διάφορες τεχνικές για την παράδοση περιεχομένου μόνο για ανάγνωση, οι οποίες περιγράφονται σε αυτό το άρθρο.
- Η κοινή χρήση είναι επίσης μια συγκεκριμένη δυνατότητα στο Power BI. Είναι μια δυνατότητα όπου ένας χρήστης ή μια ομάδα αποκτά πρόσβαση σε ένα μοναδικό στοιχείο. Η κοινή χρήση συνδέσεων και η κοινή χρήση άμεσης πρόσβασης περιγράφονται σε αυτό το άρθρο.
Σημαντικό
Ο ρόλος διαχειριστή Power BI έχει μετονομαστεί. Το νέο όνομα του ρόλου είναι Διαχειριστής Fabric.
Στρατηγική για καταναλωτές μόνο για ανάγνωση
Στην υπηρεσία Power BI, οι καταναλωτές μπορούν να προβάλουν μια αναφορά ή έναν πίνακα εργαλείων όταν έχουν δικαιώματα και για τα δύο:
- Προβάλετε το στοιχείο Power BI που περιέχει τις απεικονίσεις (όπως μια αναφορά ή έναν πίνακα εργαλείων).
- Διαβάστε τα υποκείμενα δεδομένα (μοντέλο σημασιολογίας ή άλλη προέλευση).
Μπορείτε να παρέχετε πρόσβαση μόνο για ανάγνωση στους καταναλωτές χρησιμοποιώντας διαφορετικές τεχνικές. Οι κοινές τεχνικές που χρησιμοποιούνται από τους δημιουργούς περιεχομένου αυτοεξυπηρέτησης περιλαμβάνουν:
- Εκχώρηση πρόσβασης σε μια εφαρμογή Power BI σε χρήστες και ομάδες.
- Προσθήκη χρηστών και ομάδων σε έναν ρόλο "Θεατής χώρου εργασίας Power BI".
- Παροχή δικαιωμάτων χρηστών και ομάδων ανά στοιχείο χρησιμοποιώντας μια σύνδεση κοινής χρήσης.
- Παροχή δικαιωμάτων χρηστών και ομάδων ανά στοιχείο χρησιμοποιώντας άμεση πρόσβαση.
Οι επιλογές ρόλου της εφαρμογής Power BI και της προβολής χώρου εργασίας Power BI περιλαμβάνουν τη διαχείριση δικαιωμάτων για ένα σύνολο στοιχείων. Οι δύο τεχνικές δικαιωμάτων ανά στοιχείο περιλαμβάνουν τη διαχείριση δικαιωμάτων για ένα μεμονωμένο στοιχείο.
Φιλοδώρημα
Γενικά, η χρήση μιας εφαρμογής Power BI για τους περισσότερους καταναλωτές αποτελεί βέλτιστη πρακτική. Περιστασιακά, ο ρόλος Θεατής χώρου εργασίας μπορεί επίσης να είναι κατάλληλος. Αμφότερες οι εφαρμογές Power BI και ο ρόλος "Θεατής χώρου εργασίας" επιτρέπουν τη διαχείριση δικαιωμάτων για πολλά στοιχεία και θα πρέπει να χρησιμοποιούνται όποτε αυτό είναι εφικτό. Η διαχείριση δικαιωμάτων για μεμονωμένα στοιχεία μπορεί να είναι κουραστική, χρονοβόρα και επιρρεπής σε σφάλματα. Αντίθετα, η διαχείριση ενός συνόλου στοιχείων μειώνει τη συντήρηση και βελτιώνει την ακρίβεια.
Κατά την εξέταση των ρυθμίσεων ασφαλείας για ένα στοιχείο, μπορεί να δείτε ότι τα δικαιώματά του είναι είτε:
- Μεταβίβαση από τον χώρο εργασίας ή μια εφαρμογή.
- Εφαρμόζεται απευθείας στο στοιχείο.
Στο παρακάτω στιγμιότυπο οθόνης, εμφανίζονται τα δικαιώματα άμεσης πρόσβασης για μια αναφορά. Σε αυτή την περίπτωση, οι ρόλοι Διαχειριστής χώρου εργασίας και Μέλος εκχωρούνται ο καθένας σε μια ομάδα. Αυτοί οι ρόλοι εμφανίζονται για την αναφορά, επειδή η πρόσβαση σε επίπεδο αναφοράς μεταβιβάζεται από τον χώρο εργασίας. Υπάρχει επίσης ένας χρήστης στον οποίο εφαρμόζονται δικαιώματα ανάγνωσης απευθείας στην αναφορά.
Η στρατηγική που επιλέγετε για καταναλωτές μόνο για ανάγνωση μπορεί να διαφέρει. Θα πρέπει να βασίζεται στην μεμονωμένη λύση, στις προτιμήσεις του ποιος διαχειρίζεται τη λύση ή στις ανάγκες του καταναλωτή. Η υπόλοιπη ενότητα περιγράφει πότε πρέπει να εξετάσετε τη χρήση καθενός εκ των διαθέσιμων τεχνικών.
Λίστα ελέγχου - Όταν δημιουργείτε τη στρατηγική σας για τον τρόπο παροχής περιεχομένου σε καταναλωτές μόνο για ανάγνωση, βασικές αποφάσεις και ενέργειες περιλαμβάνουν τα εξής:
- Αξιολογήστε την υπάρχουσα στρατηγική σας για καταναλωτές μόνο για ανάγνωση: Επαληθεύστε τον τρόπο με τον οποίο το περιεχόμενο διανέμεται και κοινοποιείται προς το παρόν στους καταναλωτές. Προσδιορίστε εάν υπάρχουν ευκαιρίες βελτίωσης.
- Αποφασίστε τη στρατηγική σας για καταναλωτές μόνο για ανάγνωση: Εξετάστε ποιες είναι οι προτιμήσεις σας για τη χρήση δικαιωμάτων εφαρμογής, ρόλων χώρου εργασίας ή δικαιωμάτων ανά στοιχείο. Εάν οι αλλαγές είναι απαραίτητες για την ικανοποίηση αυτών των προτιμήσεων, δημιουργήστε ένα σχέδιο για την πραγματοποίηση βελτιώσεων.
Δικαιώματα εφαρμογής Power BI
Μια εφαρμογή Power BI παρέχει μια συλλογή αναφορών, πινάκων εργαλείων και βιβλίων εργασίας στους καταναλωτές. Μια εφαρμογή παρέχει την καλύτερη εμπειρία χρήστη για τους καταναλωτές καθώς:
- Το παράθυρο περιήγησης της εφαρμογής παρέχει μια απλή και εύχρηστη εμπειρία χρήστη. Είναι μια καλύτερη εμπειρία από την πρόσβαση σε περιεχόμενο απευθείας σε έναν χώρο εργασίας.
- Το περιεχόμενο μπορεί να οργανωθεί λογικά σε ενότητες (οι οποίες είναι όπως οι φάκελοι) στο παράθυρο περιήγησης της εφαρμογής.
- Οι καταναλωτές έχουν πρόσβαση μόνο σε συγκεκριμένα στοιχεία που έχουν συμπεριληφθεί ρητά στην εφαρμογή για το ακροατήριό τους.
- Συνδέσεις για πρόσθετες πληροφορίες, τεκμηρίωση ή άλλο περιεχόμενο μπορούν να προστεθούν στο παράθυρο περιήγησης για το ακροατήριό τους.
- Υπάρχει μια ενσωματωμένη ροή εργασιών για πρόσβαση αίτησης .
Σημείωμα
Όλες οι αναφορές σε μια εφαρμογή σε αυτό το άρθρο αναφέρονται σε μια εφαρμογή Power BI. Είναι μια διαφορετική έννοια από το Power Apps. Είναι επίσης μια διαφορετική έννοια από τις εφαρμογές Power BI για κινητές συσκευές. Σε αυτή την ενότητα, η εστίαση είναι στις εφαρμογές οργανισμού και όχι στις εφαρμογές προτύπου.
Μπορείτε να δημιουργήσετε μία εφαρμογή για κάθε χώρο εργασίας ως επίσημο τρόπο διανομής μέρους ή όλου του περιεχομένου του χώρου εργασίας. Οι εφαρμογές είναι ένας καλός τρόπος για να διανείμετε περιεχόμενο σε μεγάλο βαθμό εντός ενός οργανισμού, ειδικά σε χρήστες με τους οποίους δεν γνωρίζετε ή δεν συνεργάζεστε στενά.
Φιλοδώρημα
Για περισσότερες πληροφορίες σχετικά με τη χρήση μιας εφαρμογής Power BI για διανομή ευρέος περιεχομένου, ανατρέξτε στο σενάριο χρήσης για μεγάλες επιχειρήσεις BI . Προτείνουμε οι δημιουργοί περιεχομένου που χρειάζεται να διανείμουν περιεχόμενο να εξετάσουν το ενδεχόμενο δημιουργίας μιας εφαρμογής ως πρώτη επιλογή.
Μπορείτε να διαχειριστείτε τα δικαιώματα εφαρμογής ξεχωριστά από τους ρόλους χώρου εργασίας. Ο διαχωρισμός των δικαιωμάτων έχει δύο πλεονεκτήματα. Ενθαρρύνει τα εξής:
- Εκχώρηση πρόσβασης χώρου εργασίας σε δημιουργούς περιεχομένου. Περιλαμβάνει χρήστες που συνεργάζονται ενεργά στο περιεχόμενο, όπως δημιουργούς σημασιολογικών μοντέλων, δημιουργούς αναφορών και υπεύθυνους δοκιμών.
- Εκχώρηση δικαιωμάτων εφαρμογής σε καταναλωτές. Σε αντίθεση με τα δικαιώματα χώρου εργασίας, τα δικαιώματα εφαρμογής είναι πάντα μόνο για ανάγνωση (ή κανένα).
Όλοι οι χρήστες με πρόσβαση στον χώρο εργασίας μπορούν να προβάλουν αυτόματα την εφαρμογή (όταν μια εφαρμογή Power BI έχει δημοσιευτεί για τον χώρο εργασίας). Εξαιτίας αυτής της συμπεριφοράς, μπορείτε να θεωρήσετε εννοιολογικά ότι οι ρόλοι χώρου εργασίας μεταβιβάζονται από κάθε κοινό εφαρμογής. Ορισμένοι χρήστες με πρόσβαση στον χώρο εργασίας μπορούν επίσης να ενημερώσουν την εφαρμογή Power BI, ανάλογα με τον εκχωρημένο ρόλο χώρου εργασίας τους.
Φιλοδώρημα
Για περισσότερες πληροφορίες σχετικά με την πρόσβαση στον χώρο εργασίας, ανατρέξτε στο άρθρο Σχεδιασμός ασφαλείας δημιουργού περιεχομένου.
Η χρήση μιας εφαρμογής για τη διανομή περιεχομένου σε καταναλωτές μόνο για ανάγνωση είναι η καλύτερη επιλογή όταν:
- Θέλετε οι χρήστες να μπορούν να προβάλλουν μόνο συγκεκριμένα στοιχεία που είναι ορατά για αυτό το ακροατήριο (αντί για όλα τα στοιχεία εντός του υποκείμενου χώρου εργασίας).
- Θέλετε να διαχειρίζεστε τα δικαιώματα μόνο για ανάγνωση για την εφαρμογή ξεχωριστά από τον χώρο εργασίας.
- Θέλετε απλούστερη διαχείριση δικαιωμάτων για χρήστες μόνο για ανάγνωση σε σύγκριση με τα δικαιώματα ανά στοιχείο.
- Θέλετε να εξασφαλίσετε ότι επιβάλλεται ασφάλεια σε επίπεδο γραμμών για τους καταναλωτές (όταν έχουν δικαιώματα μόνο για ανάγνωση στο υποκείμενο μοντέλο σημασιολογίας).
- Θέλετε να εξασφαλίσετε ότι οι καταναλωτές δεν μπορούν να προβάλουν νέες και τροποποιημένες αναφορές μέχρι να αναδημοσιευτεί η εφαρμογή.
Ενώ είναι αλήθεια ότι οι αλλαγές στις αναφορές και τους πίνακες εργαλείων δεν είναι ορατές στους χρήστες της εφαρμογής μέχρι την αναδημοσίευση της εφαρμογής, υπάρχουν δύο ζητήματα που πρέπει να είναι προσεκτικά.
- Άμεσες αλλαγές σημασιολογικού μοντέλου: Οι αλλαγές στο μοντέλο σημασιολογίας ισχύουν πάντα αμέσως. Για παράδειγμα, εάν εισαγάγετε νέες αλλαγές σημασιολογίας σε ένα μοντέλο σημασιολογίας στον χώρο εργασίας, αυτό θα μπορούσε να έχει ως αποτέλεσμα να γίνουν ασταθείς οι αναφορές (ακόμη και αν δεν έχουν αναδημοσιευτεί στην εφαρμογή). Υπάρχουν δύο τρόποι για να μετριάσετε αυτόν τον κίνδυνο: Πρώτα, εκτελούνται όλες οι εργασίες ανάπτυξης στο Power BI Desktop (ξεχωριστά από τον χώρο εργασίας). Δεύτερον, μονώστε την εφαρμογή παραγωγής χρησιμοποιώντας ξεχωριστούς χώρους εργασίας για ανάπτυξη και δοκιμή. (Προαιρετικά, μπορείτε να επιτύχετε υψηλότερο επίπεδο ελέγχου της ανάπτυξης περιεχομένου χώρου εργασίας από την ανάπτυξη στις δοκιμές και την παραγωγή, χρησιμοποιώντας διοχετεύσεις ανάπτυξης.)
- Το περιεχόμενο και τα δικαιώματα δημοσιεύονται μαζί: Όταν δημοσιεύετε μια εφαρμογή, τα δικαιώματά της δημοσιεύονται ταυτόχρονα με το περιεχόμενο. Για παράδειγμα, μπορεί να έχετε αλλαγές αναφοράς σε έναν χώρο εργασίας που δεν έχουν ολοκληρωθεί, ελεγχθεί πλήρως ή εγκριθεί. Επομένως, δεν μπορείτε να αναδημοσιεύσετε την εφαρμογή απλώς για να ενημερώσετε τα δικαιώματα. Για να μετριάσετε αυτόν τον κίνδυνο, εκχωρήστε δικαιώματα εφαρμογών σε ομάδες ασφαλείας και χρησιμοποιήστε τις ιδιότητες μέλους ομάδας ασφαλείας (αντί για μεμονωμένους χρήστες) κατά την εκχώρηση δικαιωμάτων εφαρμογής. Αποφύγετε την αναδημοσίευση μιας εφαρμογής απλώς για να εφαρμόσετε αλλαγές δικαιωμάτων.
Κοινό εφαρμογής
Κάθε χώρος εργασίας στην υπηρεσία Power BI μπορεί να έχει μόνο μία εφαρμογή Power BI. Ωστόσο, μέσα στην εφαρμογή μπορείτε να δημιουργήσετε ένα ή περισσότερα ακροατήρια. Σκεφτείτε το ακόλουθο σενάριο.
- Έχετε πέντε αναφορές πωλήσεων που διανέμονται σε πολλούς χρήστες σε όλο τον παγκόσμιο οργανισμό πωλήσεών σας.
- Στην εφαρμογή ορίζεται ένα κοινό για τους αντιπροσώπους πωλήσεων. Αυτό το ακροατήριο μπορεί να δει τρεις από τις πέντε αναφορές.
- Ένα άλλο κοινό ορίζεται στην εφαρμογή για την ομάδα ηγεσίας πωλήσεων. Αυτό το ακροατήριο μπορεί να προβάλει και τις πέντε αναφορές, συμπεριλαμβανομένων των δύο αναφορών που δεν είναι διαθέσιμες στους αντιπροσώπους πωλήσεων.
Αυτή η δυνατότητα για την ανάμιξη και αντιστοίχιση περιεχομένου και ακροατηρίων έχει τα ακόλουθα πλεονεκτήματα.
- Ορισμένες αναφορές μπορούν να είναι διαθέσιμες για προβολή από πολλά ακροατήρια. Επομένως, η δημιουργία πολλών ακροατηρίων καταργεί την ανάγκη αναπαραγωγής περιεχομένου σε διαφορετικούς χώρους εργασίας.
- Ορισμένες αναφορές θα πρέπει να είναι διαθέσιμες σε ένα μόνο ακροατήριο. Επομένως, το περιεχόμενο για αυτό το κοινό μπορεί να βρίσκεται στον ίδιο χώρο εργασίας με άλλο σχετικό περιεχόμενο.
Το παρακάτω στιγμιότυπο οθόνης εμφανίζει μια εφαρμογή με δύο ακροατήρια: Sales Leadership και Sales Reps. Το παράθυρο Διαχείριση πρόσβασης ακροατηρίου παρέχει πρόσβαση στην ομάδα ακροατηρίου Sales Leadership για δύο ομάδες ασφαλείας: Sales Leadership-North America και Sales Leadership-Europe. Η αναφορά ανάλυσης μικτού περιθωρίου κέρδους που εμφανίζεται στο στιγμιότυπο οθόνης για την ομάδα ακροατηρίου Sales Leadership δεν είναι διαθέσιμη στην ομάδα ακροατηρίου Των Αντιπροσώπων πωλήσεων .
Σημείωμα
Ο όρος ομάδα ακροατηρίου χρησιμοποιείται μερικές φορές. Δεν είναι μια άμεση αναφορά στη χρήση ομάδων ασφαλείας. Περιλαμβάνει μέλη του κοινού προορισμού που θα βλέπουν τη συλλογή περιεχομένου σε μια εφαρμογή Power BI. Παρόλο που μπορείτε να αναθέσετε μεμονωμένους χρήστες σε ένα ακροατήριο, είναι βέλτιστη πρακτική να αναθέτετε ομάδες ασφαλείας, ομάδες του Microsoft 365 ή ομάδες διανομής όποτε αυτό είναι πρακτικό. Για περισσότερες πληροφορίες, ανατρέξτε στη στρατηγική για τη χρήση ομάδων στο άρθρο Σχεδιασμός ασφάλειας σε επίπεδο μισθωτή.
Όταν διαχειρίζεστε δικαιώματα για μια εφαρμογή, στη σελίδα Άμεση πρόσβαση μπορείτε να προβάλετε τα μέλη κάθε ακροατηρίου. Μπορείτε επίσης να δείτε χρήστες με έναν ρόλο χώρου εργασίας που παρατίθεται στην ενότητα Όλα τα ακροατήρια. Δεν μπορείτε να ενημερώσετε τα δικαιώματα εφαρμογής από τη σελίδα Άμεση πρόσβαση . Αντίθετα, πρέπει να δημοσιεύσετε ξανά την εφαρμογή. Ωστόσο, μπορείτε να ενημερώσετε τα δικαιώματα εφαρμογών από τη σελίδα Σε εκκρεμότητα, όταν υπάρχουν αιτήσεις ανοικτής πρόσβασης για την εφαρμογή.
Φιλοδώρημα
Η κύρια περίπτωση χρήσης για τη χρήση ακροατηρίων εφαρμογών είναι ο ορισμός συγκεκριμένων δικαιωμάτων για διαφορετικά σύνολα χρηστών. Ωστόσο, μπορείτε να γίνετε λίγο δημιουργικοί όταν χρησιμοποιείτε ακροατήρια. Ένας χρήστης μπορεί να είναι μέλος πολλών ακροατηρίων και κάθε κοινό εμφανίζεται στους θεατές της εφαρμογής ως ένα δευτερεύον σύνολο μενού. Για παράδειγμα, μπορείτε να δημιουργήσετε ένα κοινό με την ονομασία Έναρξη εδώ , το οποίο περιέχει πληροφορίες σχετικά με το πώς να χρησιμοποιήσετε την εφαρμογή, με ποια άτομα θα επικοινωνήσετε, πώς να παρέχετε σχόλια και πώς να λάβετε βοήθεια. Εναλλακτικά, μπορείτε να δημιουργήσετε ένα κοινό με την ονομασία Ορισμοί KPI που περιλαμβάνει ένα λεξικό δεδομένων. Η παροχή αυτού του τύπου πληροφοριών βοηθά τους νέους χρήστες και βελτιώνει τις προσπάθειες υιοθέτησης λύσεων.
Επιλογές δικαιωμάτων εφαρμογής
Όταν δημιουργείτε (ή αναδημοσιεύετε) μια εφαρμογή, κάθε κοινό διαθέτει ένα τμήμα παραθύρου Διαχείριση πρόσβασης ακροατηρίου. Σε αυτό το τμήμα παραθύρου, τα παρακάτω δικαιώματα είναι διαθέσιμα.
- Εκχώρηση πρόσβασης σε: Για κάθε ακροατήριο, μπορείτε να εκχωρήσετε πρόσβαση σε μεμονωμένους χρήστες και ομάδες. Είναι δυνατή η δημοσίευση της εφαρμογής σε ολόκληρο τον οργανισμό όταν ενεργοποιηθεί από τη ρύθμιση μισθωτή Δημοσίευση εφαρμογών σε ολόκληρο τον οργανισμό και η εφαρμογή δεν εγκαθίσταται αυτόματα. Όποτε είναι εφικτό, συνιστούμε να αναθέσετε ομάδες σε ακροατήρια, επειδή η προσθήκη ή κατάργηση χρηστών περιλαμβάνει την αναδημοσίευση της εφαρμογής. Όλοι οι χρήστες με πρόσβαση στον χώρο εργασίας έχουν αυτόματα δικαίωμα προβολής ή ενημέρωσης της εφαρμογής, ανάλογα με τον ρόλο τους στον χώρο εργασίας.
- Δικαιώματα σημασιολογικού μοντέλου: Μπορούν να εκχωρηθούν δύο τύποι δικαιωμάτων σημασιολογικού μοντέλου κατά τη δημοσίευση μιας εφαρμογής:
- Επανάληψη κοινής χρήσης μοντέλου σημασιολογίας: Όταν ενεργοποιηθεί, στους χρήστες της εφαρμογής εκχωρείται το δικαίωμα Κοινής χρήσης εκ νέου στα υποκείμενα σημασιολογικά μοντέλα με άλλους χρήστες. Είναι λογικό να ενεργοποιήσετε αυτή την επιλογή όταν τα υποκείμενα σημασιολογικά μοντέλα μπορούν να κοινοποιηθούν ξανά εύκολα με οποιονδήποτε. Συνιστούμε να λάβετε έγκριση από τους κατόχους μοντέλου σημασιολογίας προτού εκχωρήσετε το δικαίωμα κοινής χρήσης εκ νέου σε ένα κοινό εφαρμογής.
- Δόμηση σημασιολογικού μοντέλου: Όταν είναι ενεργοποιημένο, στους χρήστες της εφαρμογής εκχωρείται το δικαίωμα δόμησης για τα σημασιολογικά μοντέλα. Το δικαίωμα δόμησης επιτρέπει στους χρήστες να δημιουργούν νέες αναφορές, να εξάγουν υποκείμενα δεδομένα από αναφορές και πολλά άλλα. Συνιστούμε να λάβετε έγκριση από τους κατόχους μοντέλου σημασιολογίας προτού εκχωρήσετε δικαιώματα δόμησης σε ένα κοινό εφαρμογής.
Η δυνατότητα προσθήκης δικαιωμάτων κοινής χρήσης μοντέλου σημασιολογίας ή δόμησης κατά τη δημοσίευση μιας εφαρμογής είναι βολική. Ωστόσο, συνιστούμε να εξετάσετε τη διαχείριση δικαιωμάτων εφαρμογών και δικαιωμάτων σημασιολογικών μοντέλων ξεχωριστά. Εδώ είναι οι λόγοι για τους οποίους.
- Το κοινόχρηστο σημασιολογικό μοντέλο μπορεί να βρίσκεται σε ξεχωριστό χώρο εργασίας: Εάν το μοντέλο σημασιολογίας δημοσιευτεί σε ξεχωριστό χώρο εργασίας από την εφαρμογή, θα χρειαστεί να διαχειριστείτε απευθείας τα δικαιώματά του. Η δυνατότητα προσθήκης δικαιωμάτων ανάγνωσης, δημιουργίας ή κοινής χρήσης εκ νέου κατά τη δημοσίευση μιας εφαρμογής λειτουργεί μόνο για σημασιολογικά μοντέλα που βρίσκονται στον ίδιο χώρο εργασίας με την εφαρμογή. Για αυτόν το λόγο, συνιστούμε να αποκτήσετε τη συνήθεια να διαχειρίζεστε ανεξάρτητα τα δικαιώματα σημασιολογικών μοντέλων.
- Η διαχείριση των δικαιωμάτων μοντέλου σημασιολογίας πραγματοποιείται ξεχωριστά: Εάν καταργήσετε ή αλλάξετε δικαιώματα για μια εφαρμογή, αυτή η ενέργεια επηρεάζει μόνο την εφαρμογή. Δεν καταργεί αυτόματα τυχόν δικαιώματα σημασιολογικού μοντέλου που έχουν ανατεθεί προηγουμένως. Με αυτόν τον τρόπο, μπορείτε να θεωρήσετε τα δικαιώματα εφαρμογής και τα δικαιώματα σημασιολογικών μοντέλων ως αποσυνδεδετικά. Θα χρειαστεί να διαχειριστείτε το μοντέλο σημασιολογίας απευθείας, ξεχωριστά από την εφαρμογή, όταν αλλάζουν τα δικαιώματα σημασιολογικού μοντέλου ή χρειάζεται να καταργηθούν.
- Τα δικαιώματα σημασιολογικού μοντέλου πρέπει να ελέγχονται: Η εκχώρηση δικαιωμάτων σημασιολογικού μοντέλου μέσω μιας εφαρμογής καταργεί το στοιχείο ελέγχου από τον κάτοχο του μοντέλου σημασιολογίας. Η εκχώρηση του δικαιώματος κοινής χρήσης εκ νέου βασίζεται σε ορθή κρίση από τους χρήστες που επιλέγουν να μορφήσουν εκ νέου τα σημασιολογικά μοντέλα. Η διαχείριση της εσωτερικής διαχείρισης ή των οδηγιών ασφαλείας μπορεί να γίνει πιο δύσκολη όταν επιτρέπεται η κοινή χρήση εκ νέου.
- Οι καταναλωτές και οι δημιουργοί έχουν διαφορετικούς στόχους: Συνήθως, υπάρχουν πολύ περισσότεροι καταναλωτές περιεχομένου από ότι οι δημιουργοί σε έναν οργανισμό. Σύμφωνα με την αρχή του ελάχιστου δικαιώματος, οι καταναλωτές χρειάζονται μόνο δικαίωμα ανάγνωσης για το υποκείμενο μοντέλο σημασιολογίας. Δεν χρειάζονται δικαίωμα δημιουργίας, εκτός εάν σκοπεύουν να δημιουργήσουν νέες αναφορές.
Φιλοδώρημα
Για περισσότερες πληροφορίες σχετικά με το πότε να χρησιμοποιείτε ξεχωριστούς χώρους εργασίας δεδομένων και χώρους εργασίας αναφορών, ανατρέξτε στο άρθρο Σχεδιασμός σε επίπεδο χώρου εργασίας.
Δικαιώματα προ-εγκατάστασης εφαρμογής
Μετά τη δημοσίευση μιας εφαρμογής Power BI, ένας χρήστης συνήθως χρειάζεται να την εγκαταστήσει ώστε να μπορεί να την ανοίξει. Ένας χρήστης μπορεί να εγκαταστήσει μια εφαρμογή από τη σελίδα Εφαρμογές στην υπηρεσία Power BI ή χρησιμοποιώντας μια σύνδεση που έχει λάβει από άλλον χρήστη. Θα μπορούν να βρουν (και να εγκαταστήσουν) μια εφαρμογή όταν συμπεριληφθούν σε τουλάχιστον ένα ακροατήριο της εφαρμογής.
Μια εναλλακτική προσέγγιση για την εγκατάσταση μιας εφαρμογής είναι να την προωθήσετε στους καταναλωτές της εφαρμογής. Έχει ως αποτέλεσμα την προεγκατάσταση της εφαρμογής, έτσι ώστε να εμφανίζεται αυτόματα στη σελίδα Εφαρμογές στην υπηρεσία Power BI. Αυτή η προσέγγιση είναι μια διευκόλυνση για τους καταναλωτές καθώς δεν χρειάζεται να βρουν και να εγκαταστήσουν την εφαρμογή. Ωστόσο, οι προεγκατεστημένες εφαρμογές μπορεί να γίνουν ενοχλητικές για τους χρήστες, επειδή μπορεί να κατακλυστούν από πάρα πολλές εφαρμογές που δεν τους αφορούν.
Η ρύθμιση μισθωτή Προώθηση εφαρμογών στους τελικούς χρήστες ελέγχει ποιος επιτρέπεται να εγκαθιστά αυτόματα εφαρμογές. Συνιστούμε να χρησιμοποιήσετε αυτήν τη δυνατότητα, επειδή είναι βολική για τους χρήστες. Ωστόσο, συνιστούμε επίσης να εκπαιδεύετε τους δημιουργούς περιεχομένου σας σχετικά με το πότε πρέπει να το χρησιμοποιούν, ώστε να μην χρησιμοποιείται υπερβολικά.
Φιλοδώρημα
Όταν δημοσιεύετε μια εφαρμογή, εάν επιλέξετε να εγκαταστήσετε αυτόματα την εφαρμογή, δεν μπορείτε να ορίσετε το κοινό σε ολόκληρο τον οργανισμό (εάν είναι ενεργοποιημένη από τη ρύθμιση μισθωτή Προώθηση εφαρμογών στους τελικούς χρήστες ).
Λίστα ελέγχου - Όταν δημιουργείτε τη στρατηγική σας για τη χρήση εφαρμογών για θεατές περιεχομένου, βασικές αποφάσεις και ενέργειες περιλαμβάνουν τα εξής:
- Αποφασίστε τη στρατηγική χρήσης των εφαρμογών: Καθορίστε τις προτιμήσεις σας για τον τρόπο χρήσης των εφαρμογών. Βεβαιωθείτε ότι ευθυγραμμίζεται με τη συνολική στρατηγική σας για καταναλωτές μόνο για ανάγνωση.
- Αποφασίστε ποιοι μπορούν να δημοσιεύουν εφαρμογές σε ολόκληρο τον οργανισμό: Αποφασίστε ποιοι δημιουργοί αναφορών θα μπορούν να δημοσιεύουν σε ολόκληρο τον οργανισμό. Ορίστε τη ρύθμιση μισθωτή Δημοσίευση εφαρμογών σε ολόκληρο τον οργανισμό για να συμφωνεί με αυτήν την απόφαση.
- Αποφασίστε ποιοι μπορούν να προωθήσουν εφαρμογές στους τελικούς χρήστες: Αποφασίστε ποιοι δημιουργοί αναφορών Power BI θα μπορούν να προεγκαταστήσουν εφαρμογές. Ορίστε τη ρύθμιση μισθωτή Προώθηση εφαρμογών σε τελικούς χρήστες για να συμβαδίζετε με αυτήν την απόφαση.
- Δημιουργία και δημοσίευση οδηγιών για δημιουργούς περιεχομένου: Παροχή τεκμηρίωσης και εκπαίδευσης για δημιουργούς περιεχομένου. Συμπεριλάβετε απαιτήσεις και προτιμήσεις για τον τρόπο πιο αποτελεσματικής χρήσης των εφαρμογών.
- Προσδιορίστε τον τρόπο χειρισμού των αιτήσεων πρόσβασης στην εφαρμογή: Βεβαιωθείτε ότι υπάρχει μια διαδικασία για την αντιστοίχιση επαφών και τον χειρισμό αιτήσεων πρόσβασης εφαρμογών εγκαίρως.
Ρόλος "Θεατής χώρου εργασίας"
Όπως περιγράφεται στα άρθρα Σχεδιασμού χώρου εργασίας, ο κύριος σκοπός ενός χώρου εργασίας είναι η συνεργασία. Οι συνεργάτες χώρου εργασίας, όπως οι δημιουργοί μοντέλων σημασιολογίας, οι δημιουργοί αναφορών και οι δοκιμαστές, πρέπει να ανατίθενται σε έναν από τους τρεις ρόλους: Συμβάλλων, Μέλος ή Διαχειριστής. Αυτοί οι ρόλοι περιγράφονται στο άρθρο Σχεδιασμός ασφαλείας δημιουργού περιεχομένου.
Μπορείτε να αναθέσετε τον ρόλο "Θεατής χώρου εργασίας" στους καταναλωτές. Η δυνατότητα πρόσβασης των καταναλωτών απευθείας σε έναν χώρο εργασίας μπορεί να έχει νόημα για μικρές ομάδες και ανεπίσημες ομάδες που συνεργάζονται στενά.
Η δυνατότητα απευθείας πρόσβασης στο περιεχόμενο χώρου εργασίας από τους καταναλωτές είναι μια καλή επιλογή όταν:
- Η τυπικότητα μιας εφαρμογής, με τα ξεχωριστά δικαιώματά της, δεν είναι απαραίτητη.
- Οι θεατές επιτρέπεται να προβάλλουν όλα τα στοιχεία που είναι αποθηκευμένα εντός του χώρου εργασίας.
- Θέλετε απλούστερη διαχείριση δικαιωμάτων από τα δικαιώματα ανά στοιχείο.
- Οι χρήστες χώρου εργασίας μπορεί επίσης να προβάλουν μια εφαρμογή (όταν δημοσιεύεται μια εφαρμογή για τον χώρο εργασίας).
- Σκοπός των θεατών είναι να ελέγξουν το περιεχόμενο προτού δημοσιευτεί σε μια εφαρμογή.
Δείτε ορισμένες προτάσεις για την υποστήριξη θεατών χώρου εργασίας.
- Οργανώστε το περιεχόμενο σε κάθε χώρο εργασίας έτσι ώστε τα στοιχεία να βρίσκονται εύκολα από τους καταναλωτές αναφορών και να ευθυγραμμίζονται καλά με την ασφάλεια. Ο οργανισμός χώρου εργασίας κατά περιοχή θέματος ή έργο συνήθως λειτουργεί καλά.
- Διαχωρίστε το περιεχόμενο ανάπτυξης και δοκιμής από το περιεχόμενο παραγωγής, ώστε να μην είναι δυνατή η πρόσβαση των θεατών σε στοιχεία που βρίσκονται σε εξέλιξη, ώστε να μην είναι δυνατή η πρόσβαση σε αυτά.
- Χρησιμοποιήστε εφαρμογές (ή δικαιώματα ανά στοιχείο, ανάλογα με την περίπτωση), όταν αναμένετε να έχετε πολλές αιτήσεις πρόσβασης για επεξεργασία. Δεν υπάρχει ροή εργασιών Αίτηση πρόσβασης για χώρους εργασίας.
Λίστα ελέγχου - Όταν δημιουργείτε τη στρατηγική σας για τη χρήση χώρων εργασίας για θεατές περιεχομένου, βασικές αποφάσεις και ενέργειες περιλαμβάνουν τα εξής:
- Αποφασίστε μια στρατηγική για τη χρήση του ρόλου Θεατής χώρου εργασίας: Καθορίστε ποιες είναι οι προτιμήσεις σας για τον τρόπο χρήσης των χώρων εργασίας για καταναλωτές. Βεβαιωθείτε ότι ευθυγραμμίζεται με τη συνολική στρατηγική σας για καταναλωτές μόνο για ανάγνωση.
- Δημιουργία και δημοσίευση οδηγιών για δημιουργούς περιεχομένου: Παροχή τεκμηρίωσης και εκπαίδευσης για δημιουργούς περιεχομένου. Συμπεριλάβετε απαιτήσεις και προτιμήσεις για τον πιο αποτελεσματικό τρόπο χρήσης των δικαιωμάτων χώρου εργασίας.
Δικαιώματα ανά στοιχείο
Η κοινή χρήση μεμονωμένων στοιχείων εκχωρεί δικαίωμα σε ένα μόνο στοιχείο. Οι λιγότερο έμπειροι δημιουργοί περιεχομένου συνήθως χρησιμοποιούν αυτή την τεχνική ως κύρια τεχνική κοινής χρήσης, καθώς οι εντολές κοινής χρήσης εμφανίζονται σε περίοπτη θέση στην υπηρεσία Power BI. Για αυτόν τον λόγο, είναι σημαντικό να εκπαιδεύσετε τους δημιουργούς περιεχομένου σας στις διάφορες επιλογές κοινής χρήσης, όπως πότε να χρησιμοποιούν δικαιώματα εφαρμογών αντί για ρόλους χώρου εργασίας.
Τα δικαιώματα ανά στοιχείο είναι μια καλή επιλογή όταν:
- Θέλετε να παρέχετε πρόσβαση μόνο για ανάγνωση σε ένα στοιχείο (αναφορά ή πίνακα εργαλείων).
- Δεν θέλετε ο καταναλωτής να βλέπει όλο το περιεχόμενο που δημοσιεύεται σε έναν χώρο εργασίας.
- Δεν θέλετε ο καταναλωτής να βλέπει όλο το περιεχόμενο που έχει δημοσιευτεί σε ένα κοινό εφαρμογής.
Χρησιμοποιήστε τα δικαιώματα ανά στοιχείο με φειδή τρόπο, επειδή η κοινή χρήση εκχωρεί δικαίωμα Ανάγνωσης σε ένα μόνο στοιχείο. Κατά κάποιο τρόπο, μπορείτε να θεωρήσετε τα δικαιώματα ανά στοιχείο ως παράκαμψη των ρόλων χώρου εργασίας ή των δικαιωμάτων εφαρμογής.
Φιλοδώρημα
Συνιστούμε να χρησιμοποιείτε δικαιώματα εφαρμογής όποτε αυτό είναι εφικτό. Στη συνέχεια, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε ρόλους χώρου εργασίας για να ενεργοποιήσετε την απευθείας πρόσβαση στον χώρο εργασίας. Τέλος, χρησιμοποιήστε δικαιώματα ανά στοιχείο όταν ικανοποιούν τα παραπάνω κριτήρια. Τα δικαιώματα εφαρμογών και οι ρόλοι χώρου εργασίας καθορίζουν την ασφάλεια για μια συλλογή περιεχομένου (αντί για μεμονωμένα στοιχεία), το οποίο αποτελεί καλύτερη πρακτική ασφάλειας.
Η κοινή χρήση πολλών στοιχείων με χρήση δικαιωμάτων ανά στοιχείο μπορεί να είναι κουραστική και επιρρεπής σε σφάλματα, ιδιαίτερα κατά την κοινή χρήση σε μεμονωμένους χρήστες αντί για ομάδες. Εξετάστε αυτό το σενάριο: Έχετε 40 αναφορές που έχετε μοιραστεί με συναδέλφους χρησιμοποιώντας τους μεμονωμένους λογαριασμούς χρηστών τους. Όταν ένας συνάδελφος μεταφέρεται σε διαφορετικό τμήμα, θα πρέπει να ανακαλέσετε την πρόσβασή του, το οποίο θα περιλαμβάνει δικαιώματα επεξεργασίας και για τις 40 αναφορές.
Σημαντικό
Η κοινή χρήση περιεχομένου από έναν προσωπικό χώρο εργασίας θα πρέπει να γίνεται σπάνια. Οι προσωπικοί χώροι εργασίας είναι καταλληλότεροι για μη κρίσιμο, ανεπίσημο ή προσωρινό περιεχόμενο. Εάν έχετε μια κατάσταση όπου οι δημιουργοί περιεχομένου κοινοποιούν συχνά σημαντικό ή κρίσιμο περιεχόμενο από τους προσωπικούς τους χώρους εργασίας, θα πρέπει να κάνετε τις κατάλληλες ενέργειες για να μετακινήσετε αυτό το περιεχόμενο σε έναν τυπικό χώρο εργασίας. Για περισσότερες πληροφορίες, ανατρέξτε στο σενάριο προσωπικής χρήσης BI .
Όταν κάνετε κοινή χρήση ενός μεμονωμένου στοιχείου, έχετε διάφορες επιλογές δικαιωμάτων.
- Δικαίωμα κοινής χρήσης εκ νέου: Όταν είναι ενεργοποιημένη, οι χρήστες μπορούν να κάνουν κοινή χρήση του στοιχείου με άλλους χρήστες, συμπεριλαμβανομένων των υποκείμενων σημασιολογικών μοντέλων του. Είναι λογικό να εκχωρήσετε αυτό το δικαίωμα όταν το στοιχείο μπορεί να τεθεί εύκολα σε κοινή χρήση με οποιονδήποτε. Καταργεί το στοιχείο ελέγχου από το άτομο ή την ομάδα που διαχειρίζεται το στοιχείο. Επομένως, βασίζεται σε καλή κρίση από τους χρήστες στους οποίους έχει εκχωρηθεί το δικαίωμα κοινής χρήσης εκ νέου. Ωστόσο, η διαχείριση της εσωτερικής διαχείρισης ή των οδηγιών ασφαλείας μπορεί να γίνει πιο δύσκολη όταν επιτραπεί η κοινή χρήση εκ νέου.
- Δικαίωμα δόμησης: Όταν είναι ενεργοποιημένο, στους χρήστες εκχωρείται δικαίωμα δόμησης για το υποκείμενο μοντέλο σημασιολογίας. Το δικαίωμα δόμησης επιτρέπει στους χρήστες να δημιουργούν νέο περιεχόμενο που βασίζεται στο μοντέλο σημασιολογίας. Τους επιτρέπει επίσης να εξάγουν υποκείμενα δεδομένα από αναφορές και πολλά άλλα. Ζητήματα για την εκχώρηση δικαιώματος δημιουργίας περιγράφονται στο άρθρο Σχεδιασμός ασφαλείας δημιουργού περιεχομένου.
Τα δικαιώματα ανά στοιχείο για αναφορές και πίνακες εργαλείων μπορούν να έχουν νόημα για ανεπίσημα σενάρια όταν γίνεται κοινή χρήση περιεχομένου με μερικούς χρήστες. Είναι καλή ιδέα να εκπαιδεύσετε τους χρήστες στη διαχείριση δικαιωμάτων με εφαρμογές και χώρους εργασίας, ειδικά όταν κάνουν κοινή χρήση περιεχομένου με μεγάλο αριθμό χρηστών ή χρηστών εκτός της ομάδας τους. Είναι σημαντικό να τονίσουμε τα ακόλουθα σημεία.
- Γίνεται πιο δύσκολο να προσδιορίσουμε ποιο περιεχόμενο έχει κοινοποιηθεί σε ποιους χρήστες, επειδή τα δικαιώματα σε κάθε αναφορά και πίνακα εργαλείων πρέπει να εξεταστούν ξεχωριστά.
- Σε πολλές παρουσίες, ορίζεται δικαίωμα κοινής χρήσης εκ νέου καθώς η εμπειρία χρήστη ενεργοποιεί αυτή την επιλογή από προεπιλογή. Επομένως, υπάρχει κίνδυνος το περιεχόμενο να κοινοποιηθεί σε ένα ευρύτερο σύνολο χρηστών από τον προβλεπόμενο. Αυτό το αποτέλεσμα μπορεί να αποτραπεί αν καταργήσετε την επιλογή της επιλογής Να επιτρέπεται στους παραλήπτες η κοινή χρήση αυτής της αναφοράς κατά την κοινή χρήση. Η ελαχιστοποίηση της κοινής χρήσης με αυτόν τον τρόπο αποτελεί πρόβλημα εκπαίδευσης των χρηστών. Ο δημιουργός περιεχομένου που καθορίζει τα δικαιώματα κοινής χρήσης θα πρέπει να λαμβάνει υπόψη αυτή την επιλογή κάθε φορά.
- Όλες οι αλλαγές στις αναφορές και τους πίνακες εργαλείων είναι άμεσα ορατές από άλλους χρήστες, γεγονός που θα μπορούσε να προκαλέσει σύγχυση στους χρήστες όταν οι τροποποιήσεις περιεχομένου αποτελούν εργασία σε εξέλιξη. Αυτό το ζήτημα μπορεί να μετριαστεί με τη διανομή περιεχομένου σε μια εφαρμογή ή με τη χρήση ξεχωριστών χώρων εργασίας για τον διαχωρισμό του περιεχομένου ανάπτυξης, δοκιμής και παραγωγής. Για περισσότερες πληροφορίες, ανατρέξτε στο σενάριο χρήσης δημοσίευσης περιεχομένου από τον χρήστη.
- Όταν ένας χρήστης θέτει σε κοινή χρήση περιεχόμενο από τον προσωπικό χώρο εργασίας του και αποχωρεί από τον οργανισμό, το ΤΜΉΜΑ IT συνήθως απενεργοποιεί τον λογαριασμό χρήστη του. Στην περίπτωση αυτή, όλοι οι παραλήπτες του κοινόχρηστου περιεχομένου θα χάσουν αμέσως την πρόσβαση στο περιεχόμενο.
Υπάρχουν τρεις συγκεκριμένοι τύποι κοινής χρήσης: κοινή χρήση συνδέσεων, άμεση κοινή χρήση πρόσβασης και κοινόχρηστες προβολές.
Συνδέσεις δικαιωμάτων ανά στοιχείο
Όταν κοινοποιείτε ένα μεμονωμένο στοιχείο, η προεπιλεγμένη εμπειρία οδηγεί σε μια σύνδεση κοινής χρήσης. Υπάρχουν τρεις τύποι συνδέσεων κοινής χρήσης.
- Άτομα στον οργανισμό σας: Όταν είναι ενεργοποιημένη στις ρυθμίσεις μισθωτή Power BI, αυτός ο τύπος σύνδεσης κοινής χρήσης είναι ένας απλός τρόπος για να παρέχετε πρόσβαση μόνο για ανάγνωση σε όλους τους χρήστες εντός του οργανισμού. Ωστόσο, η σύνδεση κοινής χρήσης δεν θα λειτουργεί για εξωτερικούς χρήστες. Αυτή η επιλογή είναι η καταλληλότερη για την περίπτωση όπου οποιοσδήποτε μπορεί να προβάλει το περιεχόμενο και η σύνδεση μπορεί να κοινοποιηθεί ελεύθερα σε ολόκληρο τον οργανισμό. Εκτός εάν είναι απενεργοποιημένη από τη ρύθμιση μισθωτή Να επιτρέπεται η κοινή χρήση για εκχώρηση πρόσβασης σε όλους τους χρήστες στον οργανισμό σας, αυτός ο τύπος κοινής χρήσης είναι ο προεπιλεγμένος.
- Άτομα με υπάρχουσα πρόσβαση: Αυτή η επιλογή δεν δημιουργεί μια νέα σύνδεση κοινής χρήσης. Αντίθετα, σας επιτρέπει να ανακτήσετε τη διεύθυνση URL, ώστε να μπορείτε να την στείλετε σε κάποιον που έχει ήδη πρόσβαση.
- Συγκεκριμένα άτομα: Αυτή η επιλογή παράγει μια σύνδεση κοινής χρήσης για συγκεκριμένους χρήστες ή ομάδες. Συνιστούμε να χρησιμοποιείτε αυτήν την επιλογή τις περισσότερες φορές καθώς παρέχει συγκεκριμένη πρόσβαση. Εάν εργάζεστε συνήθως με εξωτερικούς χρήστες, μπορείτε να χρησιμοποιήσετε αυτόν τον τύπο σύνδεσης για χρήστες-επισκέπτες που υπάρχουν ήδη στο αναγνωριστικό Microsoft Entra. Για περισσότερες πληροφορίες σχετικά με τη διαδικασία προγραμματισμένης πρόσκλησης για τη δημιουργία χρηστών-επισκεπτών, ανατρέξτε στο άρθρο Σχεδιασμός ασφάλειας σε επίπεδο μισθωτή.
Σημαντικό
Συνιστούμε να εξετάσετε τον περιορισμό της ρύθμισης μισθωτή Να επιτρέπονται κοινόχρηστες συνδέσεις για εκχώρηση πρόσβασης σε όλους τους χρήστες στον οργανισμό σας στα μέλη μιας ομάδας. Μπορείτε να δημιουργήσετε ένα όνομα ομάδας, όπως Κοινή χρήση του Power BI σε ολόκληρο τον οργανισμό και, στη συνέχεια, να προσθέσετε έναν μικρό αριθμό χρηστών που κατανοούν τις επιπτώσεις της κοινής χρήσης σε ολόκληρο τον οργανισμό. Εάν ανησυχείτε για υπάρχουσες συνδέσεις σε όλο τον οργανισμό, μπορείτε να χρησιμοποιήσετε το API διαχειριστή για να βρείτε όλα τα στοιχεία που έχουν τεθεί σε κοινή χρήση με ολόκληρο τον οργανισμό.
Μια σύνδεση κοινής χρήσης προσθέτει δικαίωμα ανάγνωσης στο στοιχείο. Το δικαίωμα κοινής χρήσης εκ νέου επιλέγεται από προεπιλογή. Μπορείτε επίσης να προσθέσετε δικαίωμα δημιουργίας στο υποκείμενο μοντέλο σημασιολογίας ταυτόχρονα με τη δημιουργία της σύνδεσης κοινής χρήσης.
Φιλοδώρημα
Συνιστούμε να διδάξετε στους δημιουργούς περιεχομένου να ενεργοποιήσουν την επιλογή Δικαίωμα δημιουργίας μόνο όταν ο καταναλωτής της αναφοράς είναι επίσης ένας δημιουργός περιεχομένου που ίσως χρειαστεί να δημιουργήσει αναφορές, να εξαγάγει δεδομένα ή να δημιουργήσει ένα σύνθετο μοντέλο από το υποκείμενο μοντέλο σημασιολογίας.
Η διαχείριση των συνδέσεων κοινής χρήσης είναι ευκολότερη από την κοινή χρήση άμεσης πρόσβασης, ιδιαίτερα όταν χρειάζεται να κάνετε μαζικές αλλαγές. Είναι ένα σημαντικό πλεονέκτημα όταν εκχωρούνται δικαιώματα κοινής χρήσης σε μεμονωμένους χρήστες, περισσότερο από τις ομάδες (το οποίο συμβαίνει συνήθως όταν οι χρήστες με λειτουργία από τον χρήστη είναι υπεύθυνοι για τη διαχείριση των δικαιωμάτων). Εξετάστε τις παρακάτω συγκρίσεις.
- Σύνδεση κοινής χρήσης: 20 μεμονωμένοι χρήστες αποκτούν πρόσβαση με μια σύνδεση κοινής χρήσης. Με μία μόνο αλλαγή στη σύνδεση, επηρεάζει και τους 20 χρήστες.
- Άμεση πρόσβαση: Σε 20 άτομα εκχωρείται άμεση πρόσβαση σε ένα στοιχείο. Για να κάνετε μια αλλαγή, πρέπει να τροποποιηθούν και τα 20 δικαιώματα χρήστη.
Δικαιώματα άμεσης πρόσβασης ανά στοιχείο
Μπορείτε επίσης να επιτύχετε δικαιώματα ανά στοιχείο χρησιμοποιώντας την άμεση πρόσβαση. Η άμεση πρόσβαση περιλαμβάνει τη ρύθμιση των δικαιωμάτων για ένα μεμονωμένο στοιχείο. Μπορείτε επίσης να καθορίσετε τυχόν δικαιώματα μεταβίβασης που προέρχονται από ρόλους χώρου εργασίας.
Όταν εκχωρείτε σε έναν χρήστη άμεση πρόσβαση, του εκχωρείται δικαίωμα ανάγνωσης για το στοιχείο. Το δικαίωμα κοινής χρήσης εκ νέου επιλέγεται από προεπιλογή, όπως είναι το δικαίωμα δόμησης για το υποκείμενο μοντέλο σημασιολογίας. Συνιστούμε να διδάξετε στους δημιουργούς περιεχομένου να ενεργοποιήσουν το δικαίωμα δόμησης μόνο όταν ο καταναλωτής αυτής της αναφοράς είναι επίσης δημιουργός περιεχομένου που ίσως χρειαστεί να δημιουργήσει αναφορές, να εξαγάγει δεδομένα ή να δημιουργήσει σύνθετα μοντέλα από το υποκείμενο μοντέλο σημασιολογίας.
Φιλοδώρημα
Η εμπειρία χρήστη καθιστά την εκχώρηση δικαιωμάτων κοινής χρήσης εκ νέου και δημιουργίας πολύ απλή, αλλά ο χρήστης που κάνει την κοινή χρήση θα πρέπει πάντα να επαληθεύει εάν αυτά τα δικαιώματα είναι απαραίτητα.
Κοινόχρηστες προβολές
Χρησιμοποιήστε μια κοινόχρηστη προβολή για να μοιραστείτε μια φιλτραρισμένη προοπτική μιας αναφοράς με έναν άλλο χρήστη. Μπορείτε να δημοσιεύσετε μια κοινόχρηστη προβολή χρησιμοποιώντας μια σύνδεση κοινής χρήσης ή με απευθείας πρόσβαση.
Οι κοινόχρηστες προβολές είναι μια προσωρινή έννοια. Λήγουν αυτόματα μετά από 180 ημέρες. Για αυτόν τον λόγο, οι κοινόχρηστες απόψεις είναι καταλληλότερες για ανεπίσημα και προσωρινά σενάρια κοινής χρήσης. Βεβαιωθείτε ότι οι χρήστες σας γνωρίζουν αυτόν τον περιορισμό.
Λίστα ελέγχου - Κατά τη δημιουργία της στρατηγικής σας για χρήση δικαιωμάτων ανά στοιχείο, βασικές αποφάσεις και ενέργειες περιλαμβάνουν τα εξής:
- Αποφασίστε τη στρατηγική για τη χρήση της δυνατότητας κοινής χρήσης: Καθορίστε ποιες είναι οι προτιμήσεις σας για τον τρόπο χρήσης των δικαιωμάτων ανά στοιχείο. Βεβαιωθείτε ότι ευθυγραμμίζεται με τη συνολική στρατηγική σας για καταναλωτές μόνο για ανάγνωση.
- Αποφασίστε ποιοι μπορούν να δημοσιεύουν συνδέσεις σε ολόκληρο τον οργανισμό: Αποφασίστε ποιοι δημιουργοί αναφορών θα μπορούν να δημοσιεύουν συνδέσεις για ολόκληρο τον οργανισμό. Ορίστε τη ρύθμιση μισθωτή Να επιτρέπονται κοινόχρηστες συνδέσεις για εκχώρηση πρόσβασης σε όλους τους χρήστες στον οργανισμό σας, ώστε να συμβαδίζει με αυτήν την απόφαση.
- Δημιουργία και δημοσίευση οδηγιών για δημιουργούς περιεχομένου: Παροχή τεκμηρίωσης και εκπαίδευσης για δημιουργούς περιεχομένου που περιλαμβάνει απαιτήσεις και προτιμήσεις για τον πιο αποτελεσματικό τρόπο χρήσης των δικαιωμάτων ανά στοιχείο. Βεβαιωθείτε ότι είναι σαφείς σχετικά με τα πλεονεκτήματα και τα μειονεκτήματα των δικαιωμάτων ανά στοιχείο. Συμπεριλάβετε οδηγίες για το πότε πρέπει να χρησιμοποιείτε συνδέσεις κοινής χρήσης και πότε να χρησιμοποιείτε κοινή χρήση άμεσης πρόσβασης.
Άλλες τεχνικές ερωτημάτων καταναλωτών
Οι πιο συνηθισμένοι τρόποι αλληλεπίδρασης των καταναλωτών με το Power BI είναι με εφαρμογές, χώρους εργασίας και δικαιώματα ανά στοιχείο (περιγράφονται προηγουμένως σε αυτό το άρθρο).
Υπάρχουν και άλλες τεχνικές που μπορούν να χρησιμοποιήσουν οι καταναλωτές για να υποβάλλουν ερωτήματα σε δεδομένα του Power BI. Καθεμία από τις ακόλουθες τεχνικές ερωτήματος απαιτεί σημασιολογικό μοντέλο ή δικαίωμα δόμησης datamart.
- Ανάλυση στο Excel: Οι καταναλωτές που προτιμούν να χρησιμοποιούν το Excel μπορούν να υποβάλλουν ερωτήματα σε ένα σημασιολογικό μοντέλο Power BI χρησιμοποιώντας την Ανάλυση στο Excel. Αυτή η δυνατότητα είναι μια εξαιρετική εναλλακτική λύση για την εξαγωγή δεδομένων στο Excel, επειδή τα δεδομένα δεν είναι διπλότυπα. Με μια δυναμική σύνδεση στο μοντέλο σημασιολογίας, οι χρήστες μπορούν να δημιουργούν Συγκεντρωτικούς Πίνακες, γραφήματα και αναλυτές. Στη συνέχεια, μπορούν να δημοσιεύσουν το βιβλίο εργασίας σε έναν χώρο εργασίας στην υπηρεσία Power BI, ο οποίος επιτρέπει στους καταναλωτές να το ανοίξουν και να αλληλεπιδράσουν με αυτό.
- Τελικό σημείο XMLA: Οι καταναλωτές μπορούν να υποβάλλουν ερωτήματα σε ένα μοντέλο σημασιολογίας μέσω σύνδεσης στο τελικό σημείο XMLA. Μια εφαρμογή συμβατή με XMLA μπορεί να συνδεθεί, να ζητήσει και να καταναλώσει ένα μοντέλο σημασιολογίας που είναι αποθηκευμένο σε έναν χώρο εργασίας Premium. Αυτή η δυνατότητα είναι χρήσιμη όταν οι καταναλωτές θέλουν να χρησιμοποιήσουν ένα σημασιολογικό μοντέλο Power BI ως προέλευση δεδομένων για ένα εργαλείο απεικόνισης δεδομένων εκτός του οικοσυστήματος της Microsoft.
- Πρόγραμμα επεξεργασίας δεδομένων: Οι καταναλωτές μπορούν να υποβάλλουν ερωτήματα σε ένα datamart του Power BI χρησιμοποιώντας το πρόγραμμα επεξεργασίας δεδομένων. Είναι ένα πρόγραμμα επεξεργασίας οπτικών ερωτημάτων που βασίζεται στο web για τη δημιουργία ερωτημάτων χωρίς κώδικα. Υπάρχει επίσης ένα πρόγραμμα επεξεργασίας SQL που βασίζεται στο web για την περίπτωση που οι καταναλωτές προτιμούν να συντάσσουν ερωτήματα SQL. Και τα δύο προγράμματα επεξεργασίας υποβάλλουν ερώτημα στη διαχειριζόμενη βάση δεδομένων SQL Azure που αποτελεί τη βάση δεδομένων Power BI (αντί για το ενσωματωμένο μοντέλο σημασιολογίας).
- Τελικό σημείο SQL: Οι καταναλωτές μπορούν να υποβάλλουν ερωτήματα σε ένα σύνολο δεδομένων Power BI χρησιμοποιώντας το τελικό σημείο SQL. Μπορούν να χρησιμοποιήσουν εργαλεία όπως το Azure Data Studio ή το SQL Server Management Studio (SSMS) για την εκτέλεση ερωτημάτων SQL. Το τελικό σημείο SQL κατευθύνει τα ερωτήματα στη διαχειριζόμενη βάση δεδομένων SQL Azure που αποτελεί τη βάση δεδομένων Power BI (αντί για το ενσωματωμένο μοντέλο σημασιολογίας).
Για περισσότερες πληροφορίες σχετικά με το δικαίωμα δημιουργίας, ανατρέξτε στο άρθρο Σχεδιασμός ασφαλείας δημιουργού περιεχομένου.
Λίστα ελέγχου - Κατά τον σχεδιασμό των τεχνικών ερωτημάτων που θα χρησιμοποιούν οι καταναλωτές, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Δημιουργία οδηγιών για τους χρήστες σχετικά με τη χρήση της δυνατότητας "Ανάλυση στο Excel": Παροχή τεκμηρίωσης και εκπαίδευσης για καταναλωτές σχετικά με τον καλύτερο τρόπο επαναχρησιμοποίησης υπαρχόντων σημασιολογικών μοντέλων με το Excel.
- Δημιουργία οδηγιών για τους χρήστες σχετικά με τη χρήση του τελικού σημείου XMLA: Παροχή τεκμηρίωσης και εκπαίδευσης για καταναλωτές σχετικά με τον καλύτερο τρόπο για την επαναχρησιμοποίηση υπαρχόντων μοντέλων σημασιολογίας με το τελικό σημείο XMLA.
- Δημιουργία οδηγιών για χρήστες σχετικά με ερωτήματα datamart: Παροχή τεκμηρίωσης και εκπαίδευσης για καταναλωτές σχετικά με τις διαθέσιμες τεχνικές για την υποβολή ερωτημάτων σε datamarts του Power BI.
Αίτηση πρόσβασης ροής εργασιών για καταναλωτές
Κατά την κοινή χρήση περιεχομένου, είναι σύνηθες ένας χρήστης να προωθεί μια σύνδεση (διεύθυνση URL) σε έναν άλλο χρήστη. Όταν ο παραλήπτης προσπαθεί να προβάλει το περιεχόμενο και ανακαλύψει ότι δεν έχει πρόσβαση σε αυτό, μπορεί να επιλέξει το κουμπί Αίτηση πρόσβασης . Αυτή η ενέργεια ξεκινά τη ροή εργασιών Αίτηση πρόσβασης . Στη συνέχεια, ζητείται από τον χρήστη να δώσει ένα μήνυμα για να εξηγήσει γιατί θέλει πρόσβαση.
Υπάρχει μια ροή εργασιών αίτησης πρόσβασης για:
- Πρόσβαση σε μια εφαρμογή Power BI.
- Πρόσβαση σε ένα στοιχείο, όπως σε μια αναφορά ή έναν πίνακα εργαλείων.
- Πρόσβαση σε ένα σημασιολογικό μοντέλο. Για περισσότερες πληροφορίες σχετικά με τη ροή εργασιών Αίτηση πρόσβασης όταν είναι ανιχνεύσιμο ένα μοντέλο σημασιολογίας, ανατρέξτε στο άρθρο Σχεδιασμός ασφαλείας δημιουργού περιεχομένου.
Αιτήσεις πρόσβασης στην εφαρμογή
Υπάρχουν δύο τρόποι για να μάθετε σχετικά με αιτήσεις πρόσβασης σε εκκρεμότητα που έχουν υποβληθεί για μια εφαρμογή.
- Ηλεκτρονικό ταχυδρομείο: Οι επαφές για την εφαρμογή λαμβάνουν μια ειδοποίηση ηλεκτρονικού ταχυδρομείου. Από προεπιλογή, αυτή η επαφή είναι ο εκδότης της εφαρμογής. Για να παρέχετε καλύτερη υποστήριξη για κρίσιμες εφαρμογές, συνιστάται να ορίσετε την επαφή σε μια ομάδα που μπορεί να ανταποκριθεί γρήγορα σε αιτήσεις πρόσβασης.
- Μενού διαχείρισης δικαιωμάτων: Οι διαχειριστές χώρου εργασίας και τα μέλη μπορούν να προβάλλουν, εγκρίνουν ή απορρίπτουν αιτήσεις πρόσβασης. Η σελίδα Διαχείριση δικαιωμάτων είναι διαθέσιμη στη σελίδα Εφαρμογές και μπορεί να ανοίξει για κάθε εφαρμογή. Αυτή η δυνατότητα είναι επίσης διαθέσιμη στους συμβάλλοντες στον χώρο εργασίας όταν είναι ενεργοποιημένη η ρύθμιση Να επιτρέπεται στους συμβάλλοντες η ενημέρωση της εφαρμογής για αυτόν τον χώρο εργασίας .
Οι αιτήσεις πρόσβασης σε εκκρεμότητα για μια εφαρμογή εμφανίζουν το μήνυμα που παρέχεται από τον χρήστη. Κάθε αίτηση σε εκκρεμότητα μπορεί να εγκριθεί ή να απορριφθεί. Όταν επιλέγετε να εγκρίνετε μια αίτηση, πρέπει να επιλέγεται ένα κοινό εφαρμογής.
Το παρακάτω στιγμιότυπο οθόνης εμφανίζει μια εκκρεμή αίτηση πρόσβασης από έναν χρήστη. Για να εγκριθεί, πρέπει να επιλεγεί ένα από τα δύο ακροατήρια εφαρμογών, οι Αντιπρόσωποι πωλήσεων ή η Ηγεσία πωλήσεων.
Όταν δημοσιεύετε μια εφαρμογή, το περιεχόμενο και τα δικαιώματα δημοσιεύονται ταυτόχρονα. Όπως περιγράφηκε προηγουμένως, δεν είναι δυνατή η δημοσίευση μόνο των δικαιωμάτων εφαρμογής χωρίς αλλαγές περιεχομένου. Ωστόσο, υπάρχει μία εξαίρεση: Όταν εγκρίνετε μια αίτηση πρόσβασης σε εκκρεμότητα (όπως αυτή που εμφανίζεται στο προηγούμενο στιγμιότυπο οθόνης), η αλλαγή δικαιωμάτων πραγματοποιείται χωρίς να δημοσιεύσετε το πιο πρόσφατο περιεχόμενο στον χώρο εργασίας.
Αιτήσεις πρόσβασης στον χώρο εργασίας
Η πρόσβαση στον χώρο εργασίας εκχωρείται από χρήστες που ανήκουν στον ρόλο διαχειριστή ή μέλους.
Ένας χρήστης που επιχειρεί να προβάλει έναν χώρο εργασίας λαμβάνει ένα μήνυμα δεν επιτρέπεται όταν δεν είναι μέλος ενός ρόλου χώρου εργασίας. Δεδομένου ότι δεν υπάρχει μια ενσωματωμένη ροή εργασιών "Αίτηση πρόσβασης " για χώρους εργασίας, χρησιμοποιούνται καλύτερα για μικρές ομάδες και ανεπίσημες ομάδες που συνεργάζονται στενά. Αυτός είναι ένας λόγος για τον οποίο μια εφαρμογή Power BI είναι πιο κατάλληλη για μεγαλύτερες ομάδες και ευρύτερα σενάρια διανομής περιεχομένου.
Αιτήσεις πρόσβασης ανά στοιχείο
Υπάρχουν δύο τρόποι για να μάθετε σχετικά με τις αιτήσεις πρόσβασης σε εκκρεμότητα που έχουν υποβληθεί για ένα μεμονωμένο στοιχείο, όπως μια αναφορά.
- Ηλεκτρονικό ταχυδρομείο: Οι επαφές για το στοιχείο λαμβάνουν μια ειδοποίηση ηλεκτρονικού ταχυδρομείου. Για να παρέχετε καλύτερη υποστήριξη για κρίσιμες αναφορές, συνιστάται να ορίσετε την επαφή σε μια ομάδα που μπορεί να ανταποκριθεί γρήγορα σε αιτήσεις πρόσβασης.
- Μενού διαχείρισης δικαιωμάτων: Οι διαχειριστές και τα μέλη του χώρου εργασίας μπορούν να έχουν πρόσβαση στη σελίδα Διαχείριση δικαιωμάτων για κάθε στοιχείο. Μπορούν να προβάλλουν, εγκρίνουν ή απορρίψουν την πρόσβαση σε εκκρεμείς αιτήσεις.
Διαχείριση αιτήσεων πρόσβασης με ομάδες
Όταν ένας χρήστης υποβάλλει τη φόρμα Αίτηση πρόσβασης για ένα στοιχείο Power BI (όπως μια αναφορά ή μοντέλο σημασιολογίας) ή μια εφαρμογή Power BI, η αίτηση υποβάλλεται για έναν μεμονωμένο χρήστη. Ωστόσο, πολλοί μεγάλοι οργανισμοί πρέπει να χρησιμοποιούν ομάδες για τη συμμόρφωση με τις εσωτερικές πολιτικές ασφαλείας τους.
Συνιστούμε να χρησιμοποιείτε ομάδες, αντί για μεμονωμένα άτομα, για τη διασφάλιση περιεχομένου όποτε αυτό είναι πρακτικό. Για περισσότερες πληροφορίες σχετικά με τον σχεδιασμό για ομάδες, ανατρέξτε στο άρθρο Σχεδιασμός ασφάλειας σε επίπεδο μισθωτή.
Εάν σκοπεύετε να παρέχετε πρόσβαση σε ομάδες αντί για μεμονωμένους χρήστες, ο κάτοχος ή διαχειριστής περιεχομένου που επεξεργάζεται την αίτηση πρόσβασης θα πρέπει να ολοκληρώσει την αίτηση σε πολλά βήματα:
- Απορρίψτε την αίτηση σε εκκρεμότητα στο Power BI (επειδή έχει συσχετιστεί με έναν μεμονωμένο χρήστη).
- Προσθέστε τον αιτούντα στη σωστή ομάδα σύμφωνα με την τρέχουσα διαδικασία σας.
- Ειδοποιήστε τον αιτούντα ότι έχει πλέον πρόσβαση.
Φιλοδώρημα
Ανατρέξτε στο θέμα Αίτηση πρόσβασης ροής εργασιών για δημιουργούς για πληροφορίες σχετικά με την ανταπόκριση σε αιτήσεις για πρόσβαση δόμησης από δημιουργούς περιεχομένου. Περιλαμβάνει επίσης προτάσεις σχετικά με τη χρήση μιας φόρμας για αιτήσεις πρόσβασης.
Λίστα ελέγχου - Κατά τον σχεδιασμό της ροής εργασιών Για πρόσβαση αίτησης, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Καθορίστε ποιος θα πρέπει να χειρίζεται τις αιτήσεις πρόσβασης στην εφαρμογή: Βεβαιωθείτε ότι υπάρχει μια διαδικασία για τον χειρισμό των αιτήσεων πρόσβασης στην εφαρμογή εγκαίρως. Βεβαιωθείτε ότι οι επαφές εφαρμογής έχουν αντιστοιχιστεί για την υποστήριξη της διαδικασίας.
- Προσδιορίστε ποιος θα πρέπει να χειρίζεται αιτήσεις ανά στοιχείο: Βεβαιωθείτε ότι υπάρχει μια διαδικασία για τον χειρισμό των αιτήσεων πρόσβασης εγκαίρως. Βεβαιωθείτε ότι έχουν αντιστοιχιστεί επαφές σε κάθε στοιχείο για την υποστήριξη της διαδικασίας.
- Συμπερίληψη στην τεκμηρίωση και την εκπαίδευση για δημιουργούς περιεχομένου: Βεβαιωθείτε ότι οι δημιουργοί περιεχομένου κατανοούν τον τρόπο χειρισμού των αιτήσεων πρόσβασης εγκαίρως. Να γνωρίζουν τον τρόπο χειρισμού αιτήσεων όταν μια ομάδα πρέπει να χρησιμοποιείται αντί για έναν μεμονωμένο χρήστη.
- Συμπερίληψη στην τεκμηρίωση και την εκπαίδευση: Συμπεριλάβετε οδηγίες για τους δημιουργούς περιεχομένου σας σχετικά με τον τρόπο αποτελεσματικής διαχείρισης των αιτήσεων πρόσβασης. Επίσης, συμπεριλάβετε οδηγίες για τους καταναλωτές σχετικά με τις πληροφορίες που θα συμπεριληφθούν στο μήνυμα αίτησης πρόσβασης.
Επιβολή ασφάλειας δεδομένων με βάση την ταυτότητα καταναλωτή
Μπορείτε να προγραμματίσετε τη δημιουργία λιγότερων σημασιολογικών μοντέλων και αναφορών επιβάλλοντας ασφάλεια δεδομένων. Ο στόχος είναι η επιβολή της ασφάλειας δεδομένων με βάση την ταυτότητα του χρήστη που προβάλλει το περιεχόμενο.
Για παράδειγμα, θεωρήστε ότι μπορείτε να μοιραστείτε μια μεμονωμένη αναφορά πωλήσεων με όλους τους πωλητές (καταναλωτές), γνωρίζοντας ότι κάθε πωλητής θα βλέπει μόνο αποτελέσματα πωλήσεων για την περιοχή του. Αυτή η προσέγγιση σάς επιτρέπει να αποφύγετε την πολυπλοκότητα της δημιουργίας ξεχωριστών αναφορών ανά περιοχή , οι οποίες θα πρέπει να κοινοποιηθούν στους πωλητές από αυτήν την περιοχή πωλήσεων.
Ορισμένοι οργανισμοί έχουν συγκεκριμένες απαιτήσεις για εγκεκριμένα (πιστοποιημένα ή προβιβαζμένα) σημασιολογικά μοντέλα ή datamarts. Για τα δεδομένα που θα χρησιμοποιηθούν ευρέως, μπορεί να απαιτείται η χρήση ασφάλειας δεδομένων.
Μπορείτε να επιτύχετε ασφάλεια δεδομένων με πολλούς τρόπους.
- Σημασιολογικό μοντέλο Power BI: Ως δημιουργός δεδομένων Power BI, μπορείτε να επιβάλετε ασφάλεια σε επίπεδο γραμμών (RLS) και ασφάλεια σε επίπεδο αντικειμένου (OLS). Το RLS περιλαμβάνει τον ορισμό ρόλων και κανόνων που φιλτράρουν γραμμές μοντέλου δεδομένων, ενώ το OLS περιορίζει την πρόσβαση σε συγκεκριμένους πίνακες ή στήλες. Αυτοί οι καθορισμένοι κανόνες RLS και OLS δεν ισχύουν για αναφορές που είναι αποθηκευμένες εκτός του μοντέλου σημασιολογίας, όπως οι επιλογές αναλυτή και φίλτρου. Αμφότερες οι τεχνικές RLS και OLS περιγράφονται περαιτέρω αργότερα σε αυτή την ενότητα.
- Υπηρεσίες ανάλυσης: Ένα σημασιολογικό μοντέλο δυναμικής σύνδεσης μπορεί να συνδεθεί σε ένα απομακρυσμένο μοντέλο δεδομένων, το οποίο φιλοξενείται είτε στις Υπηρεσίες Ανάλυσης του Azure (AAS) είτε στις Υπηρεσίες ανάλυσης του SQL Server (SSAS). Το απομακρυσμένο μοντέλο μπορεί να επιβάλλει RLS ή OLS με βάση την ταυτότητα καταναλωτή.
- Προέλευση δεδομένων: Ορισμένες προελεύσεις δεδομένων, όπως η Βάση δεδομένων SQL Azure, μπορούν να επιβάλλουν RLS. Σε αυτήν την περίπτωση, το μοντέλο Power BI μπορεί να εκμεταλλευτεί την υπάρχουσα ασφάλεια αντί να την επαναπροσδιορίσει. Αυτή η προσέγγιση μπορεί να είναι ένα σημαντικό πλεονέκτημα όταν το RLS που ορίζεται στην προέλευση είναι σύνθετο. Μπορείτε να αναπτύξετε και να δημοσιεύσετε ένα μοντέλο DirectQuery και να ορίσετε τα διαπιστευτήρια προέλευσης δεδομένων του μοντέλου σημασιολογίας στην υπηρεσία Power BI για να ενεργοποιήσετε την καθολική σύνδεση (SSO). Όταν ένας καταναλωτής αναφοράς ανοίγει μια αναφορά, το Power BI μεταβιβάζει την ταυτότητά του στην προέλευση δεδομένων. Στη συνέχεια, η προέλευση δεδομένων επιβάλλει RLS με βάση την ταυτότητα του καταναλωτή αναφοράς. Για περισσότερες πληροφορίες σχετικά με το RLS βάσης δεδομένων SQL Azure, ανατρέξτε σε αυτό το άρθρο.
Σημείωμα
Τα συστήματα προέλευσης, όπως η Βάση δεδομένων SQL Azure, μπορούν επίσης να χρησιμοποιήσουν τεχνικές όπως προβολές για να περιορίσουν τα στοιχεία που μπορεί να δει ο χρήστης. Παρόλο που αυτή είναι μια έγκυρη τεχνική, δεν σχετίζεται με το επίκεντρο αυτής της ενότητας.
Ασφάλεια σε επίπεδο γραμμών
Η ασφάλεια σε επίπεδο γραμμών (RLS) επιτρέπει σε έναν δημιουργού μοντέλων δεδομένων να περιορίσει την πρόσβαση σε ένα υποσύνολο δεδομένων. Συνήθως χρησιμοποιείται για να εξασφαλίσει ότι ορισμένοι καταναλωτές αναφορών δεν μπορούν να δουν συγκεκριμένα δεδομένα, όπως τα αποτελέσματα πωλήσεων άλλων περιοχών πωλήσεων.
Φιλοδώρημα
Εάν έχετε παρατηρήσει κάποιον που δημιουργεί πολλά μοντέλα δεδομένων για την υποστήριξη διαφορετικών ομάδων καταναλωτών, ελέγξτε εάν το RLS θα ικανοποιεί τις απαιτήσεις του. Συνήθως είναι καλύτερο να δημιουργείτε, να δοκιμάσετε και να διατηρήσετε ένα μοντέλο δεδομένων αντί για πολλά μοντέλα δεδομένων.
Προσέξτε, γιατί εάν μια αναφορά Power BI αναφέρεται σε μια γραμμή με ρυθμισμένη την RLS, θα εμφανίζεται το ίδιο μήνυμα όπως για ένα πεδίο που διαγράφηκε ή δεν υπάρχει. Για αυτούς τους χρήστες, φαίνεται ότι η αναφορά έχει διακοπεί.
Υπάρχουν δύο βήματα για τη ρύθμιση του RLS: κανόνες και αντιστοιχίσεις ρόλων.
Κανόνες RLS
Για σημασιολογικά μοντέλα, ένας υπεύθυνος μοντελοποίησης δεδομένων μπορεί να ρυθμίσει την RLS στο Power BI Desktop, δημιουργώντας έναν ή περισσότερους ρόλους. Ένας ρόλος έχει ένα μοναδικό όνομα στο μοντέλο και συνήθως περιλαμβάνει έναν ή περισσότερους κανόνες. Οι κανόνες επιβάλλουν φίλτρα σε πίνακες μοντέλων χρησιμοποιώντας παραστάσεις φίλτρου παραστάσεων ανάλυσης δεδομένων (DAX). Από προεπιλογή, ένα μοντέλο δεν έχει ρόλους.
Σημαντικό
Ένα μοντέλο χωρίς ρόλους σημαίνει ότι οι χρήστες (οι οποίοι έχουν δικαίωμα υποβολής ερωτημάτων στο μοντέλο δεδομένων) έχουν πρόσβαση σε όλα τα δεδομένα μοντέλου.
Οι παραστάσεις κανόνα αξιολογούνται εντός του περιβάλλοντος γραμμής. Περιβάλλον γραμμής σημαίνει ότι η παράσταση αξιολογείται για κάθε γραμμή χρησιμοποιώντας τις τιμές στήλης αυτής της γραμμής. Όταν η παράσταση επιστρέφει TRUE
, ο χρήστης μπορεί να δει τη γραμμή. Μπορείτε να ορίσετε κανόνες που είναι στατικοί ή δυναμικοί.
- Στατικοί κανόνες: Χρησιμοποιήστε παραστάσεις DAX που αναφέρονται σε σταθερές, όπως
[Region] = "Midwest"
. - Δυναμικοί κανόνες: Χρησιμοποιήστε συγκεκριμένες συναρτήσεις DAX που επιστρέφουν περιβαλλοντικές τιμές (σε αντίθεση με τις σταθερές). Οι περιβαλλοντικές τιμές επιστρέφονται από τρεις συγκεκριμένες συναρτήσεις DAX: USERNAME, USERPRINCIPALNAME και CUSTOMDATA. Ο ορισμός δυναμικών κανόνων είναι απλός και αποτελεσματικός όταν ένας πίνακας μοντέλου αποθηκεύει τιμές ονόματος χρήστη. Σας επιτρέπουν να επιβάλετε μια σχεδίαση RLS βάσει δεδομένων.
Αντιστοιχίσεις ρόλων RLS
Μετά τη δημοσίευση του μοντέλου στην υπηρεσία Power BI, πρέπει να ρυθμίσετε αντιστοιχίσεις ρόλων πριν οι χρήστες αποκτήσουν πρόσβαση σε σχετικές αναφορές. Η αντιστοίχιση ρόλων περιλαμβάνει την εκχώρηση αντικειμένων ασφαλείας του Microsoft Entra σε ρόλους. Τα αντικείμενα ασφαλείας μπορεί να είναι λογαριασμοί χρηστών ή ομάδες ασφαλείας.
Όποτε είναι εφικτό, αποτελεί βέλτιστη πρακτική να αντιστοιχίσετε ρόλους σε ομάδες ασφαλείας. Με αυτόν τον τρόπο, θα υπάρχουν λιγότερες αντιστοιχίσεις και η διαχείριση μελών ομάδας μπορεί να γίνει από τον κάτοχο της ομάδας.
Συνιστούμε να καταστήσετε τις πληροφορίες λογαριασμού ασφαλείας από το Microsoft Entra διαθέσιμες στους δημιουργούς περιεχομένου σας. Μια επιλογή είναι να δημιουργήσετε μια ροή δεδομένων με δεδομένα που διατηρούνται συγχρονισμένα με το αναγνωριστικό Microsoft Entra. Με αυτόν τον τρόπο, οι δημιουργοί περιεχομένου μπορούν να ενσωματώνουν τα δεδομένα ροής δεδομένων για να δημιουργήσουν ένα σημασιολογικό μοντέλο που βασίζεται σε δεδομένα.
Φιλοδώρημα
Είναι δυνατό να ορίσετε έναν ρόλο που δεν έχει κανόνες. Σε αυτή την περίπτωση, ο ρόλος παρέχει πρόσβαση σε όλες τις γραμμές όλων των πινάκων μοντέλων. Η ρύθμιση αυτού του τύπου ρόλου είναι κατάλληλη όταν ένας διαχειριστής ή χρήστης επιτρέπεται να προβάλει όλα τα δεδομένα στο μοντέλο.
Εμπειρία χρήστη RLS
Ορισμένοι οργανισμοί επιλέγουν να χρησιμοποιούν σκόπιμα το RLS ως δευτερεύον επίπεδο ασφάλειας, εκτός από τα τυπικά δικαιώματα Power BI. Εξετάστε το ακόλουθο σενάριο: Κοινοποιείτε μια σύνδεση σε μια αναφορά με ολόκληρο τον οργανισμό. Κάθε χρήστης που προβάλλει την αναφορά πρέπει να αντιστοιχιστεί σε έναν ρόλο RLS για να μπορεί να βλέπει δεδομένα στην αναφορά. Εάν δεν έχουν αντιστοιχιστεί σε έναν ρόλο RLS, δεν θα βλέπουν δεδομένα.
Η παρουσία RLS αλλάζει την προεπιλεγμένη εμπειρία για τους καταναλωτές.
- Όταν το RLS δεν έχει οριστεί για το μοντέλο σημασιολογίας: Οι δημιουργοί και οι καταναλωτές με τουλάχιστον δικαίωμα ανάγνωσης στο μοντέλο σημασιολογίας μπορούν να προβάλουν όλα τα δεδομένα στο μοντέλο σημασιολογίας.
- Όταν οριστεί RLS στο σημασιολογικό μοντέλο: Οι δημιουργοί και οι καταναλωτές με μόνο δικαίωμα ανάγνωσης στο μοντέλο σημασιολογίας θα μπορούν να προβάλλουν μόνο τα δεδομένα που επιτρέπεται να δουν (με βάση την αντιστοίχιση ρόλων RLS).
Σημείωμα
Ορισμένοι οργανισμοί επιβάλλουν το RLS ως ένα επιπλέον επίπεδο ασφάλειας, ειδικά όταν εμπλέκονται ευαίσθητα δεδομένα. Για αυτόν τον λόγο, μπορεί να επιλέξετε να απαιτείται RLS για σημασιολογικά μοντέλα που είναι πιστοποιημένα. Αυτή η απαίτηση μπορεί να επιτευχθεί με μια εσωτερική διαδικασία ελέγχου και έγκρισης πριν από την πιστοποίηση του μοντέλου σημασιολογίας.
Όταν ένας χρήστης προβάλει μια αναφορά είτε σε έναν χώρο εργασίας είτε σε μια εφαρμογή, το RLS μπορεί να επιβληθεί ή όχι ανάλογα με τα δικαιώματα του μοντέλου σημασιολογίας. Για αυτόν τον λόγο, είναι σημαντικό οι καταναλωτές και οι δημιουργοί περιεχομένου να διαθέτουν δικαιώματα ανάγνωσης μόνο στο υποκείμενο σημασιολογικό μοντέλο όταν πρέπει να επιβληθεί RLS.
Ακολουθούν οι κανόνες δικαιωμάτων που καθορίζουν εάν επιβάλλεται το RLS.
- Ο χρήστης έχει δικαίωμα ανάγνωσης στο μοντέλο σημασιολογίας: Το RLS επιβάλλεται για τον χρήστη.
- Ο χρήστης έχει δικαιώματα ανάγνωσης και δημιουργίας στο μοντέλο σημασιολογίας: Το RLS επιβάλλεται για τον χρήστη.
- Ο χρήστης έχει δικαίωμα εγγραφής στο μοντέλο σημασιολογίας: Το RLS δεν επιβάλλεται για τον χρήστη, πράγμα που σημαίνει ότι μπορεί να δει όλα τα δεδομένα στο μοντέλο σημασιολογίας. Το δικαίωμα Εγγραφή παρέχει τη δυνατότητα επεξεργασίας ενός μοντέλου σημασιολογίας. Μπορεί να εκχωρηθεί με έναν από τους εξής δύο τρόπους:
- Με τους ρόλους χώρου εργασίας Συμβάλλων, Μέλος ή Διαχειριστής (για τον χώρο εργασίας όπου είναι αποθηκευμένο το μοντέλο σημασιολογίας).
- Με το δικαίωμα Εγγραφή σημασιολογικού μοντέλου ανά στοιχείο.
Φιλοδώρημα
Για περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης ξεχωριστών χώρων εργασίας, ώστε το RLS να λειτουργεί για δημιουργούς περιεχομένου, ανατρέξτε στο σενάριο διαχειριζόμενης χρήσης BI από τον χρήστη.
Για περισσότερες πληροφορίες σχετικά με την RLS, ανατρέξτε στο θέμα Περιορισμός πρόσβασης σε δεδομένα μοντέλου Power BI.
RLS για datamarts
Τα γραφήματα δεδομένων Power BI μπορούν επίσης να επιβάλλουν RLS. Ωστόσο, η υλοποίηση είναι διαφορετική.
Η κύρια διαφορά είναι ότι το RLS για datamarts έχει ρυθμιστεί στην υπηρεσία Power BI και όχι στο Power BI Desktop.
Μια άλλη διαφορά είναι ότι τα datamarts επιβάλλουν RLS τόσο στο σημασιολογικό μοντέλο όσο και στη διαχειριζόμενη βάση δεδομένων SQL Azure που σχετίζεται με το datamart. Η επιβολή RLS και στα δύο επίπεδα παρέχει συνέπεια και ευελιξία. Τα ίδια φίλτρα RLS εφαρμόζονται ανεξάρτητα από τον τρόπο με τον οποίο ο χρήστης υποβάλλει ερώτημα στα δεδομένα, είτε με σύνδεση στο μοντέλο σημασιολογίας είτε με τη διαχειριζόμενη βάση δεδομένων SQL Azure.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα RLS για datamarts.
Ασφάλεια σε επίπεδο αντικειμένου
Η ασφάλεια σε επίπεδο αντικειμένου (OLS) επιτρέπει σε ένα μοντέλο δεδομένων να περιορίσει την πρόσβαση σε συγκεκριμένους πίνακες και στήλες, καθώς και στα μετα-δεδομένα τους. Συνήθως χρησιμοποιείτε ols για να εξασφαλίσετε ότι ευαίσθητες στήλες, όπως ο μισθός των υπαλλήλων, δεν είναι ορατές σε ορισμένους χρήστες. Παρόλο που δεν είναι δυνατός ο περιορισμός πρόσβασης σε μετρήσεις, κάθε μέτρηση που αναφέρεται σε μια περιορισμένη στήλη θα περιορίζεται από μόνη της.
Εξετάστε ένα παράδειγμα ενός πίνακα υπαλλήλων. Περιέχει στήλες που αποθηκεύουν το όνομα του υπαλλήλου και τον αριθμό τηλεφώνου, καθώς και μισθό. Μπορείτε να χρησιμοποιήσετε το OLS για να εξασφαλίσετε ότι μόνο ορισμένοι χρήστες, όπως το ανώτερο προσωπικό ανθρώπινου δυναμικού, μπορούν να βλέπουν τις τιμές των μισθών. Για εκείνους τους χρήστες που δεν μπορούν να δουν τις τιμές μισθού, είναι σαν να μην υπάρχει αυτή η στήλη.
Να προσέχετε, επειδή εάν μια απεικόνιση αναφοράς Power BI περιλαμβάνει τον μισθό, οι χρήστες που δεν έχουν πρόσβαση σε αυτό το πεδίο θα λάβουν ένα μήνυμα σφάλματος. Το μήνυμα θα τους ενημερώσει ότι το αντικείμενο δεν υπάρχει. Για αυτούς τους χρήστες, φαίνεται ότι η αναφορά έχει διακοπεί.
Σημείωμα
Μπορείτε επίσης να ορίσετε προοπτικές σε ένα μοντέλο δεδομένων. Η προοπτική ορίζει υποσύνολα αντικειμένων μοντέλου με δυνατότητα προβολής, τα οποία βοηθούν να δοθεί μια συγκεκριμένη εστίαση στους δημιουργούς αναφορών. Οι προοπτικές δεν προορίζονται για τον περιορισμό της πρόσβασης σε αντικείμενα μοντέλου. Ένας χρήστης εξακολουθεί να μπορεί να υποβάλει ερώτημα σε έναν πίνακα ή μια στήλη ακόμα και όταν δεν είναι ορατή σε αυτούς. Επομένως, θεωρήστε τις προοπτικές ως διευκόλυνση του χρήστη και όχι ως δυνατότητα ασφαλείας.
Δεν υπάρχει αυτήν τη στιγμή διασύνδεση στο Power BI Desktop για τη ρύθμιση OLS. Μπορείτε να χρησιμοποιήσετε το Tabular Editor, το οποίο είναι ένα εργαλείο άλλου κατασκευαστή για τη δημιουργία, συντήρηση και διαχείριση μοντέλων. Για περισσότερες πληροφορίες, ανατρέξτε στο σενάριο χρήσης για τη διαχείριση μοντέλων δεδομένων για προχωρημένους.
Για περισσότερες πληροφορίες σχετικά με το OLS, ανατρέξτε στο θέμα Περιορισμός πρόσβασης σε αντικείμενα μοντέλου Power BI.
Λίστα ελέγχου - Κατά τον σχεδιασμό για RLS και OLS, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Αποφασίστε τη στρατηγική για τη χρήση του RLS: Εξετάστε για ποιες περιπτώσεις χρήσης και σκοπούς σκοπεύετε να χρησιμοποιήσετε ασφάλεια σε επίπεδο γραμμών.
- Αποφασίστε τη στρατηγική για τη χρήση της OLS: Εξετάστε σε ποιες περιπτώσεις χρήσης και σκοπούς σκοπεύετε να χρησιμοποιήσετε ασφάλεια σε επίπεδο αντικειμένου.
- Λάβετε υπόψη τις απαιτήσεις για πιστοποιημένο περιεχόμενο: Εάν έχετε μια διαδικασία για ό,τι απαιτείται για την πιστοποίηση ενός μοντέλου σημασιολογίας, αποφασίστε αν θα συμπεριλάβετε συγκεκριμένες απαιτήσεις για τη χρήση RLS ή OLS.
- Δημιουργία και δημοσίευση οδηγιών χρήστη: Δημιουργήστε τεκμηρίωση για χρήστες που περιλαμβάνει απαιτήσεις και προτιμήσεις για τη χρήση RLS και OLS. Περιγράψτε πώς μπορείτε να λάβετε πληροφορίες αντιστοίχισης χρηστών εάν υπάρχουν σε μια κεντρική θέση.
- Ενημέρωση εκπαιδευτικού υλικού: Συμπεριλάβετε βασικές πληροφορίες σχετικά με τις απαιτήσεις και τις προτιμήσεις για RLS και OLS στο εκπαιδευτικό υλικό χρήστη. Δώστε παραδείγματα στους χρήστες για να κατανοήσουν πότε είναι κατάλληλο να χρησιμοποιήσουν οποιαδήποτε τεχνική ασφάλειας δεδομένων.
Σχετικό περιεχόμενο
Στο επόμενο άρθρο αυτής της σειράς, μάθετε σχετικά με τον σχεδιασμό ασφαλείας για δημιουργούς περιεχομένου, οι οποίοι είναι υπεύθυνοι για τη δημιουργία σημασιολογικών μοντέλων, ροών δεδομένων, συνόλων δεδομένων, αναφορών ή πινάκων εργαλείων.