Σχεδιασμός υλοποίησης Power BI: Σχεδιασμός ασφάλειας σε επίπεδο μισθωτή
Σημείωμα
Αυτό το άρθρο αποτελεί μέρος της σειράς άρθρων σχεδιασμού υλοποίησης Power BI. Αυτή η σειρά εστιάζει κυρίως στην εμπειρία Power BI στο Microsoft Fabric. Για μια εισαγωγή στη σειρά, ανατρέξτε στο θέμα Σχεδιασμός υλοποίησης Power BI.
Αυτό το άρθρο σχεδιασμού ασφάλειας σε επίπεδο μισθωτή αφορά κυρίως τα εξής:
- Διαχειριστές Fabric: Οι διαχειριστές που είναι υπεύθυνοι για την εποπτεία του Power BI στον οργανισμό.
- Κέντρο αριστείας, ομάδα IT και BI: Οι ομάδες που είναι επίσης υπεύθυνες για την επίβλεψη του Power BI. Ίσως χρειαστεί να συνεργαστούν με διαχειριστές του Power BI, ομάδες ασφαλείας πληροφοριών και άλλες σχετικές ομάδες.
Αυτό το άρθρο μπορεί επίσης να αφορά δημιουργούς Power BI με λειτουργία από τον χρήστη, οι οποίοι δημιουργούν, δημοσιεύουν και διαχειρίζονται περιεχόμενο σε χώρους εργασίας.
Η σειρά άρθρων προορίζεται για να επεκταθεί με βάση το περιεχόμενο στη Λευκή Βίβλο για την ασφάλεια του Power BI. Η Λευκή Βίβλος ασφαλείας του Power BI εστιάζει σε βασικά τεχνικά θέματα όπως ο έλεγχος ταυτότητας, η θέση δεδομένων και η απομόνωση δικτύου. Η σειρά σχεδιασμού υλοποίησης σάς παρέχει ζητήματα και αποφάσεις που θα σας βοηθήσουν να σχεδιάσετε την ασφάλεια και την προστασία προσωπικών δεδομένων.
Επειδή το περιεχόμενο Power BI μπορεί να χρησιμοποιηθεί και να εξασφαλιστεί με διαφορετικούς τρόπους, οι δημιουργοί περιεχομένου λαμβάνουν πολλές τακτικές αποφάσεις. Ωστόσο, υπάρχουν ορισμένες αποφάσεις στρατηγικού σχεδιασμού που πρέπει να ληφθούν και σε επίπεδο μισθωτή. Αυτές οι αποφάσεις στρατηγικού σχεδιασμού είναι το επίκεντρο αυτού του άρθρου.
Συνιστούμε να λάβετε τις αποφάσεις ασφάλειας σε επίπεδο μισθωτή το συντομότερο δυνατό, καθώς επηρεάζουν οτιδήποτε άλλο. Επίσης, είναι ευκολότερο να λάβετε άλλες αποφάσεις για την ασφάλεια όταν έχετε διαύγεια σχετικά με τους συνολικούς στόχους και τους στόχους ασφαλείας σας.
Διαχείριση του Power BI
Ο διαχειριστής fabric είναι ένας ρόλος υψηλών προνομίων που έχει σημαντικό έλεγχο στο Power BI. Συνιστούμε να εξετάσετε προσεκτικά ποιος έχει εκχωρηθεί αυτός ο ρόλος, επειδή ένας διαχειριστής Fabric μπορεί να εκτελέσει πολλές συναρτήσεις υψηλού επιπέδου, όπως:
- Διαχείριση ρυθμίσεων μισθωτή: Οι διαχειριστές μπορούν να διαχειριστούν τις ρυθμίσεις μισθωτή στην πύλη διαχείρισης. Μπορούν να ενεργοποιήσουν ή να απενεργοποιήσουν ρυθμίσεις και να επιτρέψουν ή να απαγορεύσουν συγκεκριμένους χρήστες ή ομάδες εντός των ρυθμίσεων. Είναι σημαντικό να κατανοήσετε ότι οι ρυθμίσεις μισθωτή σας έχουν σημαντική επιρροή στην εμπειρία χρήστη.
- Διαχείριση ρόλων χώρου εργασίας: Οι διαχειριστές μπορούν να ενημερώνουν τους ρόλους χώρου εργασίας στην πύλη διαχείρισης. Μπορούν πιθανώς να ενημερώσουν την ασφάλεια του χώρου εργασίας για να αποκτήσουν πρόσβαση σε οποιαδήποτε δεδομένα ή να εκχωρήσουν δικαιώματα σε άλλους χρήστες για πρόσβαση σε οποιαδήποτε δεδομένα στην υπηρεσία Power BI.
- Προσωπική πρόσβαση στον χώρο εργασίας: Οι διαχειριστές μπορούν να έχουν πρόσβαση σε περιεχόμενα και να διέπουν τον προσωπικό χώρο εργασίας οποιουδήποτε χρήστη.
- Πρόσβαση στα μετα-δεδομένα μισθωτή: Οι διαχειριστές μπορούν να έχουν πρόσβαση σε μετα-δεδομένα σε όλο τον μισθωτή, συμπεριλαμβανομένων των αρχείων καταγραφής δραστηριότητας του Power BI και των συμβάντων δραστηριότητας που ανακτώνται από τα API διαχειριστή του Power BI.
Φιλοδώρημα
Ως βέλτιστη πρακτική, θα πρέπει να εκχωρήσετε μεταξύ δύο και τεσσάρων χρηστών τον ρόλο διαχειριστή Fabric. Με αυτόν τον τρόπο, μπορείτε να μειώσετε τον κίνδυνο διασφαλίζοντας παράλληλα ότι υπάρχει επαρκής κάλυψη και διασταυρούμενη εκπαίδευση.
Σε έναν διαχειριστή του Power BI ανατίθεται τουλάχιστον ένας από αυτούς τους ενσωματωμένους ρόλους:
- Διαχειριστής Fabric
- Διαχειριστής Πλατφόρμας Power
- Καθολικός διαχειριστής - αυτός είναι ένας ρόλος υψηλών δικαιωμάτων και η συμμετοχή θα πρέπει να είναι περιορισμένη.
Κατά την ανάθεση ρόλων διαχειριστή, συνιστούμε να ακολουθείτε τις βέλτιστες πρακτικές.
Σημείωμα
Ενώ ένας διαχειριστής Power Platform μπορεί να διαχειριστεί την υπηρεσία Power BI, το αντίστροφο δεν είναι true. Κάποιος που έχει εκχωρηθεί στον ρόλο διαχειριστή Fabric δεν μπορεί να διαχειριστεί άλλες εφαρμογές στο Power Platform.
Λίστα ελέγχου - Όταν σχεδιάζετε ποιος θα είναι διαχειριστής Fabric, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Προσδιορίστε ποιος έχει εκχωρήσει τον ρόλο διαχειριστή τη συγκεκριμένη στιγμή: Επαληθεύστε ποιος έχει εκχωρήσει έναν από τους ρόλους που μπορούν να διαχειριστούν το Power BI.
- Προσδιορίστε ποιοι θα πρέπει να διαχειρίζονται την υπηρεσία Power BI: Εάν υπάρχουν πάρα πολλοί διαχειριστές, δημιουργήστε ένα σχέδιο για να μειώσετε τον συνολικό αριθμό. Εάν υπάρχουν χρήστες που έχουν αντιστοιχιστεί ως διαχειριστές για το Power BI που δεν είναι κατάλληλοι για έναν τέτοιο ρόλο υψηλών δικαιωμάτων, δημιουργήστε ένα σχέδιο για την επίλυση του ζητήματος.
- Αποσαφήνιση ρόλων και ευθυνών: Για κάθε διαχειριστή του Power BI, βεβαιωθείτε ότι οι ευθύνες τους είναι σαφείς. Επαληθεύστε ότι πραγματοποιήθηκε κατάλληλη διασταυρούμενη εκπαίδευση.
Στρατηγικές ασφάλειας και προστασίας προσωπικών δεδομένων
Πρέπει να λάβετε ορισμένες αποφάσεις σε επίπεδο μισθωτή που σχετίζονται με την ασφάλεια και την προστασία προσωπικών δεδομένων. Η τακτική που λαμβάνεται και οι αποφάσεις στις οποίες βασίζεστε:
- Η κουλτούρα των δεδομένων σας. Ο στόχος είναι να ενθαρρύνετε μια κουλτούρα δεδομένων που κατανοεί ότι η ασφάλεια και η προστασία των δεδομένων είναι ευθύνη όλων.
- Οι στρατηγικές κατοχής και διαχείρισης του περιεχομένου σας. Το επίπεδο κεντρικής και αποκεντρωμένης διαχείρισης περιεχομένου επηρεάζει σημαντικά τον τρόπο χειρισμού της ασφάλειας.
- Οι στρατηγικές εμβέλειας παράδοσης περιεχομένου σας. Ο αριθμός των ατόμων που προβάλουν περιεχόμενο επηρεάζει τον τρόπο χειρισμού της ασφάλειας για το περιεχόμενο.
- Οι απαιτήσεις σας για συμμόρφωση με καθολικούς, εθνικούς/περιφερειακούς και βιομηχανικούς κανονισμούς.
Ακολουθούν μερικά παραδείγματα στρατηγικών ασφαλείας υψηλού επιπέδου. Μπορείτε να επιλέξετε να λάβετε αποφάσεις που επηρεάζουν ολόκληρο τον οργανισμό.
- Απαιτήσεις για την ασφάλεια σε επίπεδο γραμμών: Μπορείτε να χρησιμοποιήσετε την ασφάλεια σε επίπεδο γραμμών (RLS) για να περιορίσετε την πρόσβαση σε δεδομένα για συγκεκριμένους χρήστες. Αυτό σημαίνει ότι διαφορετικοί χρήστες βλέπουν διαφορετικά δεδομένα κατά την πρόσβαση στην ίδια αναφορά. Ένα σημασιολογικό μοντέλο Power BI ή μια προέλευση δεδομένων (όταν χρησιμοποιείται καθολική σύνδεση) μπορεί να επιβάλλει RLS. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Επιβολή ασφάλειας δεδομένων με βάση την ταυτότητα καταναλωτή στο άρθρο Σχεδιασμός ασφαλείας καταναλωτή αναφοράς.
- Δυνατότητα εντοπισμού δεδομένων: Προσδιορίστε τον βαθμό στον οποίο θα πρέπει να ενθαρρύνεται η δυνατότητα εντοπισμού δεδομένων στο Power BI. Η δυνατότητα εντοπισμού επηρεάζει ποιος μπορεί να βρει σημασιολογικά μοντέλα ή βάσεις δεδομένων στο κέντρο δεδομένων και εάν οι συντάκτες περιεχομένου επιτρέπεται να ζητούν πρόσβαση σε αυτά τα στοιχεία χρησιμοποιώντας τη ροή εργασίας Αίτηση πρόσβασης . Για περισσότερες πληροφορίες, ανατρέξτε στο σενάριο χρήσης BI με δυνατότητα προσαρμογής με δυνατότητα προσαρμογής από τον χρήστη.
- Δεδομένα που επιτρέπεται να αποθηκευτούν στο Power BI: Προσδιορίστε εάν υπάρχουν ορισμένοι τύποι δεδομένων που δεν πρέπει να αποθηκευτούν στο Power BI. Για παράδειγμα, μπορεί να καθορίσετε ότι ορισμένοι τύποι ευαίσθητων πληροφοριών, όπως οι αριθμοί τραπεζικών λογαριασμών ή οι αριθμοί κοινωνικής ασφάλισης, δεν μπορούν να αποθηκευτούν σε ένα μοντέλο σημασιολογίας. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο Προστασία πληροφοριών και αποτροπή απώλειας δεδομένων.
- Εισερχόμενη ιδιωτική δικτύωση: Προσδιορίστε εάν υπάρχουν απαιτήσεις για την απομόνωση δικτύου χρησιμοποιώντας ιδιωτικά τελικά σημεία για πρόσβαση στο Power BI. Όταν χρησιμοποιείτε την Ιδιωτική σύνδεση Azure, η κυκλοφορία δεδομένων αποστέλλεται χρησιμοποιώντας τον κορμό του ιδιωτικού δικτύου της Microsoft αντί να διασχίσει το Internet.
- Εξερχόμενη ιδιωτική δικτύωση: Προσδιορίστε εάν απαιτείται περισσότερη ασφάλεια κατά τη σύνδεση σε προελεύσεις δεδομένων. Η πύλη δεδομένων εικονικού δικτύου (VNet) επιτρέπει την ασφαλή εξερχόμενη συνδεσιμότητα από το Power BI σε προελεύσεις δεδομένων εντός ενός VNet. Μπορείτε να χρησιμοποιήσετε μια πύλη δεδομένων Azure VNet όταν το περιεχόμενο αποθηκεύεται σε έναν χώρο εργασίας Premium.
Σημαντικό
Όταν εξετάζετε την απομόνωση δικτύου, συνεργαστείτε με τις ομάδες υποδομής IT και δικτύωσης προτού αλλάξετε οποιαδήποτε από τις ρυθμίσεις μισθωτή Power BI. Η Ιδιωτική σύνδεση Azure επιτρέπει βελτιωμένη εισερχόμενη ασφάλεια μέσω ιδιωτικών τελικών σημείων, ενώ μια πύλη Azure VNet επιτρέπει βελτιωμένη εξερχόμενη ασφάλεια κατά τη σύνδεση σε προελεύσεις δεδομένων. Η πύλη Azure VNet είναι διαχειριζόμενη από τη Microsoft και όχι διαχειριζόμενη από τον πελάτη, επομένως εξαλείφει τα γενικά έξοδα εγκατάστασης και παρακολούθησης πυλών εσωτερικής εγκατάστασης.
Ορισμένες από τις αποφάσεις σας σε επίπεδο οργανισμού θα έχουν ως αποτέλεσμα πολιτικές σταθερής διαχείρισης, ιδιαίτερα όταν σχετίζονται με τη συμμόρφωση. Άλλες αποφάσεις σε επίπεδο οργανισμού μπορεί να οδηγήσουν σε οδηγίες που μπορείτε να παρέχετε σε δημιουργούς περιεχομένου που είναι υπεύθυνοι για τη διαχείριση και τη διασφάλιση του δικού τους περιεχομένου. Οι πολιτικές και οι οδηγίες που προκύπτουν θα πρέπει να περιλαμβάνονται στην κεντρική πύλη σας, στο εκπαιδευτικό υλικό και στο σχέδιο επικοινωνίας σας.
Φιλοδώρημα
Ανατρέξτε στα άλλα άρθρα αυτής της σειράς για πρόσθετες προτάσεις που σχετίζονται με τον σχεδιασμό ασφαλείας για καταναλωτές αναφορών και δημιουργούς περιεχομένου.
Λίστα ελέγχου - Κατά τον σχεδιασμό στρατηγικών ασφαλείας υψηλού επιπέδου, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Προσδιορισμός κανονιστικών απαιτήσεων που σχετίζονται με την ασφάλεια: Διερευνήστε και καταγράψτε κάθε απαίτηση, συμπεριλαμβανομένου του τρόπου με τον οποίο θα διασφαλίσετε τη συμμόρφωση.
- Προσδιορισμός στρατηγικών ασφαλείας υψηλού επιπέδου: Προσδιορίστε ποιες απαιτήσεις ασφαλείας είναι αρκετά σημαντικές ώστε να συμπεριληφθούν σε μια πολιτική διαχείρισης.
- Συνεργασία με άλλους διαχειριστές: Επικοινωνήστε με τους σχετικούς διαχειριστές συστήματος για να συζητήσετε πώς να ικανοποιήσετε τις απαιτήσεις ασφαλείας και ποιες τεχνικές προϋποθέσεις υπάρχουν. Σκοπεύετε να κάνετε μια τεχνική επαλήθευση ιδέας.
- Ενημέρωση ρυθμίσεων μισθωτή Power BI: Ρυθμίστε κάθε σχετική ρύθμιση μισθωτή Power BI. Να προγραμματίζετε τακτικά ελέγχους παρακολούθησης.
- Δημιουργία και δημοσίευση οδηγιών χρήστη: Δημιουργία τεκμηρίωσης για στρατηγικές ασφαλείας υψηλού επιπέδου. Συμπεριλάβετε λεπτομέρειες σχετικά με τη διαδικασία και τον τρόπο με τον οποίο ένας χρήστης μπορεί να ζητήσει εξαίρεση από την τυπική διαδικασία. Καταστήστε αυτές τις πληροφορίες διαθέσιμες στο κεντρικό σας υλικό πύλης και εκπαίδευσης.
- Ενημέρωση εκπαιδευτικού υλικού: Για τις στρατηγικές ασφαλείας υψηλού επιπέδου, προσδιορίστε τις απαιτήσεις ή τις οδηγίες που θα πρέπει να συμπεριλάβετε στο εκπαιδευτικό υλικό των χρηστών.
Ενοποίηση με το Microsoft Entra ID
Η ασφάλεια του Power BI βασίζεται στη βάση ενός μισθωτή Microsoft Entra . Οι ακόλουθες έννοιες του Microsoft Entra σχετίζονται με την ασφάλεια ενός μισθωτή Power BI.
- Πρόσβαση χρήστη: Η πρόσβαση στην υπηρεσία Power BI απαιτεί έναν λογαριασμό χρήστη (επιπλέον μιας άδειας χρήσης Power BI: δωρεάν, Power BI Pro ή Premium ανά χρήστη - PPU). Μπορείτε να προσθέσετε τόσο εσωτερικούς χρήστες όσο και χρήστες-επισκέπτες στο Αναγνωριστικό Microsoft Entra ή μπορούν να συγχρονιστούν με μια υπηρεσία καταλόγου Active Directory (AD) εσωτερικής εγκατάστασης. Για περισσότερες πληροφορίες σχετικά με τους χρήστες-επισκέπτες, ανατρέξτε στο θέμα Στρατηγική για εξωτερικούς χρήστες.
- Ομάδες ασφαλείας: Απαιτούνται ομάδες ασφαλείας Microsoft Entra όταν κάνετε ορισμένες δυνατότητες διαθέσιμες στις ρυθμίσεις μισθωτή Power BI. Μπορεί επίσης να χρειαστείτε ομάδες για την αποτελεσματική προστασία του περιεχομένου χώρου εργασίας Power BI ή για διανομή περιεχομένου. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Στρατηγική για τη χρήση ομάδων.
- Πολιτικές πρόσβασης υπό όρους: Μπορείτε να ρυθμίσετε την πρόσβαση υπό όρους στην υπηρεσία Power BI και την εφαρμογή Power BI για κινητές συσκευές. Η πρόσβαση υπό όρους του Microsoft Entra μπορεί να περιορίσει τον έλεγχο ταυτότητας σε διάφορες περιπτώσεις. Για παράδειγμα, μπορείτε να επιβάλετε πολιτικές που:
- Να απαιτείται έλεγχος ταυτότητας πολλών παραγόντων για ορισμένους ή για όλους τους χρήστες.
- Να επιτρέπονται μόνο οι συσκευές που συμμορφώνονται με τις εταιρικές πολιτικές.
- Να επιτρέπεται συνδεσιμότητα από ένα συγκεκριμένο δίκτυο ή περιοχές IP.
- Αποκλεισμός συνδεσιμότητας από υπολογιστή που δεν συμμετέχει σε τομέα.
- Αποκλεισμός συνδεσιμότητας για επικίνδυνη σύνδεση.
- Να επιτρέπεται η σύνδεση μόνο ορισμένων τύπων συσκευών.
- Να επιτρέπεται ή να αρνείται η πρόσβαση στο Power BI υπό όρους για συγκεκριμένους χρήστες.
- Κύριες υπηρεσίες: Ίσως χρειαστεί να δημιουργήσετε μια καταχώρηση εφαρμογής Microsoft Entra για την παροχή μιας κύριας υπηρεσίας. Ο έλεγχος ταυτότητας κύριας υπηρεσίας είναι μια προτεινόμενη πρακτική όταν ένας διαχειριστής Power BI θέλει να εκτελεί δέσμες ενεργειών χωρίς επίβλεψη, προγραμματισμένες, που εξάγουν δεδομένα χρησιμοποιώντας τα API διαχειριστή power BI. Οι οντότητες υπηρεσίας είναι επίσης χρήσιμες όταν ενσωματώνετε περιεχόμενο Power BI σε μια προσαρμοσμένη εφαρμογή.
- Πολιτικές σε πραγματικό χρόνο: Μπορείτε να επιλέξετε να ρυθμίσετε πολιτικές ελέγχου περιόδου λειτουργίας ή ελέγχου πρόσβασης σε πραγματικό χρόνο, οι οποίες αφορούν τόσο το Αναγνωριστικό Microsoft Entra όσο και το Microsoft Defender για εφαρμογές cloud. Για παράδειγμα, μπορείτε να απαγορεύσετε τη λήψη μιας αναφοράς στην υπηρεσία Power BI όταν έχει μια συγκεκριμένη ετικέτα ευαισθησίας. Για περισσότερες πληροφορίες, ανατρέξτε στα άρθρα προστασίας πληροφοριών και αποτροπής απώλειας δεδομένων.
Μπορεί να είναι δύσκολο να βρεθεί η σωστή ισορροπία μεταξύ της μη περιορισμένης πρόσβασης και της υπερβολικά περιοριστικής πρόσβασης (που απογοητεύει τους χρήστες). Η καλύτερη στρατηγική είναι να συνεργαστείτε με τον διαχειριστή σας Microsoft Entra για να κατανοήσετε τι έχει ρυθμιστεί αυτή τη στιγμή. Προσπαθήστε να παραμείνετε ανταπόκριση στις ανάγκες της επιχείρησης ενώ παράλληλα προσέχετε τους απαραίτητους περιορισμούς.
Φιλοδώρημα
Πολλοί οργανισμοί έχουν ένα περιβάλλον υπηρεσίας καταλόγου Active Directory (AD) εσωτερικής εγκατάστασης, το οποίο συγχρονίζονται με το αναγνωριστικό Microsoft Entra στο cloud. Αυτή η ρύθμιση είναι γνωστή ως λύση υβριδικής ταυτότητας , η οποία δεν εμπίπτει στην εμβέλεια αυτού του άρθρου. Η σημαντική έννοια που πρέπει να κατανοήσετε είναι ότι οι χρήστες, οι ομάδες και οι οντότητες υπηρεσίας πρέπει να υπάρχουν στο αναγνωριστικό Microsoft Entra για να λειτουργούν οι υπηρεσίες που βασίζονται στο cloud, όπως το Power BI. Η ύπαρξη μιας λύσης υβριδικής ταυτότητας θα λειτουργήσει για το Power BI. Συνιστούμε να μιλήσετε με τους διαχειριστές του Microsoft Entra σχετικά με την καλύτερη λύση για τον οργανισμό σας.
Λίστα ελέγχου - Κατά τον προσδιορισμό των αναγκών για ενοποίηση με το Microsoft Entra, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Συνεργασία με διαχειριστές Microsoft Entra: Συνεργαστείτε με τους διαχειριστές του Microsoft Entra για να μάθετε ποιες υπάρχουσες πολιτικές του Microsoft Entra εφαρμόζονται. Προσδιορίστε εάν υπάρχουν πολιτικές (τρέχουσες ή προγραμματισμένες) που θα επηρεάσουν την εμπειρία χρήστη στην υπηρεσία Power BI ή/και στις εφαρμογές Power BI για κινητές συσκευές.
- Αποφασίστε πότε θα πρέπει να χρησιμοποιείται η πρόσβαση χρήστη έναντι της κύριας υπηρεσίας: Για αυτοματοποιημένες λειτουργίες, αποφασίστε πότε θα χρησιμοποιήσετε μια κύρια υπηρεσία αντί για την πρόσβαση του χρήστη.
- Δημιουργία ή ενημέρωση οδηγιών χρήστη: Προσδιορίστε εάν υπάρχουν θέματα ασφάλειας που θα πρέπει να τεκμηριώσετε για την κοινότητα χρηστών του Power BI. Με αυτόν τον τρόπο, θα γνωρίζουν τι να περιμένουν για τη χρήση ομάδων και πολιτικών πρόσβασης υπό όρους.
Στρατηγική για εξωτερικούς χρήστες
Το Power BI υποστηρίζει Microsoft Entra Business-to-Business (B2B). Οι εξωτερικοί χρήστες, για παράδειγμα από μια εταιρεία πελάτη ή συνεργάτη, μπορούν να προσκληθούν ως χρήστες-επισκέπτες στο Αναγνωριστικό Microsoft Entra για σκοπούς συνεργασίας. Οι εξωτερικοί χρήστες μπορούν να εργαστούν με το Power BI και πολλές άλλες υπηρεσίες Azure και Microsoft 365.
Σημαντικό
Η Λευκή Βίβλος του Microsoft Entra B2B είναι ο καλύτερος πόρος για να μάθετε σχετικά με στρατηγικές χειρισμού εξωτερικών χρηστών. Αυτό το άρθρο περιορίζεται στην περιγραφή των πιο σημαντικών ζητημάτων που σχετίζονται με τον σχεδιασμό.
Υπάρχουν πλεονεκτήματα όταν ένας εξωτερικός χρήστης προέρχεται από έναν άλλο οργανισμό με καθορισμένο επίσης το Microsoft Entra ID.
- Ο κεντρικός μισθωτής διαχειρίζεται τα διαπιστευτήρια: Ο κεντρικός μισθωτής του χρήστη παραμένει στον έλεγχο της ταυτότητας και της διαχείρισης διαπιστευτηρίων. Δεν χρειάζεται να συγχρονίσετε ταυτότητες.
- Ο κεντρικός μισθωτής διαχειρίζεται την κατάσταση του χρήστη: Όταν ένας χρήστης αποχωρήσει από αυτόν τον οργανισμό και ο λογαριασμός καταργηθεί ή απενεργοποιηθεί, με άμεση ισχύ, ο χρήστης δεν θα έχει πλέον πρόσβαση στο περιεχόμενό σας Power BI. Είναι ένα σημαντικό πλεονέκτημα καθώς μπορεί να μην γνωρίζετε πότε κάποιος έχει αποχωρήσει από τον οργανισμό του.
- Ευελιξία για την παραχώρηση αδειών χρήσης χρηστών: Υπάρχουν οικονομικά αποδοτικές επιλογές εκχώρησης αδειών χρήσης. Ένας εξωτερικός χρήστης μπορεί να έχει ήδη μια άδεια χρήσης Power BI Pro ή PPU, σε αυτή την περίπτωση δεν χρειάζεται να του εκχωρήσετε μία. Είναι επίσης δυνατό να τους παραχωρήσετε πρόσβαση σε περιεχόμενο σε Premium εκχωρημένους πόρους ή Fabric F64 ή μεγαλύτερο χώρο εργασίας εκχωρημένων πόρων, εκχωρώντας μια άδεια χρήσης Fabric (δωρεάν).
Σημαντικό
Κατά καιρούς αυτό το άρθρο αναφέρεται στο Power BI Premium ή στις συνδρομές εκχωρημένων πόρων του (P SKU). Να γνωρίζετε ότι η Microsoft ενοποιεί επί του παρόντος επιλογές αγοράς και αποσύρει το Power BI Premium ανά SKU εκχωρημένων πόρων. Οι νέοι και υπάρχοντες πελάτες θα πρέπει να εξετάσουν το ενδεχόμενο αγοράς συνδρομών εκχωρημένων πόρων Fabric (F SKU).
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Σημαντικές ενημερώσεις που αφορούν την παραχώρηση αδειών χρήσης Power BI Premium και συνήθεις ερωτήσεις για το Power BI Premium.
Ρυθμίσεις κλειδιού
Υπάρχουν δύο πτυχές για την ενεργοποίηση και διαχείριση του τρόπου λειτουργίας της εξωτερικής πρόσβασης χρήστη:
- Ρυθμίσεις Microsoft Entra των οποίων η διαχείριση γίνεται από έναν διαχειριστή Microsoft Entra. Αυτές οι ρυθμίσεις του Microsoft Entra αποτελούν προϋπόθεση.
- Ρυθμίσεις μισθωτή Power BI, τις οποίες διαχειρίζεται ένας διαχειριστής Power BI στην πύλη διαχείρισης. Αυτές οι ρυθμίσεις θα ελέγχουν την εμπειρία χρήστη στην υπηρεσία Power BI.
Διαδικασία πρόσκλησης επισκέπτη
Υπάρχουν δύο τρόποι για να προσκαλέσετε χρήστες-επισκέπτες στον μισθωτή σας.
- Προγραμματισμένες προσκλήσεις: Μπορείτε να ρυθμίσετε εξωτερικούς χρήστες εκ των προτέρων στο Αναγνωριστικό Microsoft Entra. Με αυτόν τον τρόπο, ο λογαριασμός επισκέπτη είναι έτοιμος κάθε φορά που ένας χρήστης του Power BI χρειάζεται να τον χρησιμοποιήσει για την εκχώρηση δικαιωμάτων (για παράδειγμα, δικαιώματα εφαρμογής). Παρόλο που απαιτεί κάποιον προκαταβολικό σχεδιασμό, είναι η πιο συνεπής διαδικασία καθώς υποστηρίζονται όλες οι δυνατότητες ασφάλειας του Power BI. Ένας διαχειριστής μπορεί να χρησιμοποιήσει το PowerShell για να προσθέσει αποτελεσματικά έναν μεγάλο αριθμό εξωτερικών χρηστών.
- Προσκλήσεις ad hoc: Ένας λογαριασμός επισκέπτη μπορεί να δημιουργηθεί αυτόματα στο αναγνωριστικό Microsoft Entra τη στιγμή που ένας χρήστης του Power BI κοινοποιεί ή διανέμει περιεχόμενο σε έναν εξωτερικό χρήστη (ο οποίος δεν είχε ρυθμιστεί προηγουμένως). Αυτή η προσέγγιση είναι χρήσιμη όταν δεν γνωρίζετε εκ των προτέρων ποιοι θα είναι οι εξωτερικοί χρήστες. Ωστόσο, αυτή η δυνατότητα πρέπει πρώτα να ενεργοποιηθεί στο Αναγνωριστικό Microsoft Entra. Η προσέγγιση πρόσκλησης ad hoc λειτουργεί για ad hoc δικαιώματα ανά στοιχείο και δικαιώματα εφαρμογής.
Φιλοδώρημα
Δεν υποστηρίζουν όλες οι επιλογές ασφαλείας στην υπηρεσία Power BI την ενεργοποίηση μιας πρόσκλησης ad hoc. Για αυτόν τον λόγο, υπάρχει μια ασυνεπής εμπειρία χρήστη κατά την εκχώρηση δικαιωμάτων (για παράδειγμα, ασφάλεια χώρου εργασίας έναντι δικαιωμάτων ανά στοιχείο έναντι δικαιωμάτων εφαρμογής). Όποτε είναι εφικτό, συνιστούμε να χρησιμοποιήσετε την προγραμματισμένη προσέγγιση πρόσκλησης, επειδή οδηγεί σε μια συνεπή εμπειρία χρήστη.
Αναγνωριστικό μισθωτή πελάτη
Κάθε μισθωτής Microsoft Entra έχει ένα καθολικά μοναδικό αναγνωριστικό (GUID) γνωστό ως αναγνωριστικό μισθωτή. Στο Power BI, είναι γνωστό ως αναγνωριστικό μισθωτή πελάτη (CTID). Το CTID επιτρέπει στην υπηρεσία Power BI να εντοπίζει περιεχόμενο από την προοπτική ενός διαφορετικού εταιρικού μισθωτή. Πρέπει να προσαρτήσετε το CTID σε διευθύνσεις URL κατά την κοινή χρήση περιεχομένου με έναν εξωτερικό χρήστη.
Ακολουθεί ένα παράδειγμα προσάρτησης του CTID σε μια διεύθυνση URL: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456
Όταν πρέπει να καταχωρήσετε το CTID για τον οργανισμό σας σε έναν εξωτερικό χρήστη, μπορείτε να το βρείτε στην υπηρεσία Power BI, ανοίγοντας το παράθυρο διαλόγου Πληροφορίες για το Power BI . Είναι διαθέσιμο από το μενού Βοήθεια & υποστήριξη (?) που βρίσκεται στην επάνω δεξιά γωνία της υπηρεσίας Power BI. Το CTID προσαρτάται στο τέλος της διεύθυνσης URL μισθωτή.
Επωνυμία οργανισμού
Όταν η πρόσβαση εξωτερικών επισκεπτών πραγματοποιείται συχνά στον οργανισμό σας, είναι καλή ιδέα να χρησιμοποιήσετε την προσαρμοσμένη εμπορική προσαρμογή. Βοηθά τους χρήστες να προσδιορίσουν ποιον εταιρικό μισθωτή έχουν πρόσβαση. Τα στοιχεία προσαρμοσμένης εμπορικής προσαρμογής περιλαμβάνουν ένα λογότυπο, μια εικόνα εξωφύλλου και ένα χρώμα θέματος.
Το παρακάτω στιγμιότυπο οθόνης εμφανίζει την εμφάνιση της υπηρεσίας Power BI κατά την πρόσβαση από έναν λογαριασμό επισκέπτη. Περιλαμβάνει μια επιλογή Περιεχόμενο επισκέπτη, η οποία είναι διαθέσιμη όταν το CTID προσαρτηθεί στη διεύθυνση URL.
Κοινή χρήση εξωτερικών δεδομένων
Ορισμένοι οργανισμοί έχουν μια απαίτηση να κάνουν περισσότερα από την κοινή χρήση αναφορών με εξωτερικούς χρήστες. Σκοπεύουν να μοιράζονται σημασιολογικά μοντέλα με εξωτερικούς χρήστες, όπως συνεργάτες, πελάτες ή προμηθευτές.
Ο στόχος για την επιτόπου κοινή χρήση σημασιολογικών μοντέλων (γνωστό και ως κοινή χρήση σημασιολογικών μοντέλων μεταξύ μισθωτών) είναι να επιτρέπεται στους εξωτερικούς χρήστες να δημιουργούν τις δικές τους προσαρμοσμένες αναφορές και σύνθετα μοντέλα, χρησιμοποιώντας δεδομένα που δημιουργείτε, διαχειρίζεστε και παρέχετε. Το αρχικό κοινόχρηστο μοντέλο σημασιολογίας (που δημιουργήθηκε από εσάς) παραμένει στον μισθωτή σας Power BI. Οι εξαρτώμενες αναφορές και μοντέλα αποθηκεύονται στον μισθωτή Power BI του εξωτερικού χρήστη.
Υπάρχουν διάφορες πτυχές ασφαλείας για τη δημιουργία επιτόπου εργασιών κοινής χρήσης σημασιολογικών μοντέλων.
- Ρύθμιση μισθωτή: Να επιτρέπεται στους χρήστες-επισκέπτες η εργασία με κοινόχρηστα σημασιολογικά μοντέλα στους δικούς τους μισθωτές: Αυτή η ρύθμιση καθορίζει εάν μπορεί να χρησιμοποιηθεί η δυνατότητα εξωτερικής κοινής χρήσης δεδομένων. Πρέπει να ενεργοποιηθεί για να εφαρμοστεί οποιαδήποτε από τις δύο άλλες ρυθμίσεις (εμφανίζεται στη συνέχεια). Είναι ενεργοποιημένη ή απενεργοποιημένη για ολόκληρο τον οργανισμό από τον διαχειριστή Power BI.
- Ρύθμιση μισθωτή: Να επιτρέπεται σε συγκεκριμένους χρήστες να ενεργοποιούν την κοινή χρήση εξωτερικών δεδομένων: Αυτή η ρύθμιση καθορίζει ποιες ομάδες χρηστών μπορούν να κάνουν κοινή χρήση δεδομένων εξωτερικά. Οι ομάδες χρηστών που επιτρέπονται εδώ θα μπορούν να χρησιμοποιήσουν την τρίτη ρύθμιση (περιγράφεται στη συνέχεια). Η διαχείριση αυτής της ρύθμισης γίνεται από τον διαχειριστή του Power BI.
- Ρύθμιση μοντέλου σημασιολογίας: Εξωτερική κοινή χρήση: Αυτή η ρύθμιση καθορίζει αν αυτό το συγκεκριμένο μοντέλο σημασιολογίας μπορεί να χρησιμοποιηθεί από εξωτερικούς χρήστες. Η διαχείριση αυτής της ρύθμισης γίνεται από δημιουργούς και κατόχους περιεχομένου για κάθε συγκεκριμένο μοντέλο σημασιολογίας.
- Δικαίωμα σημασιολογικού μοντέλου: Ανάγνωση και δόμηση: Τα τυπικά δικαιώματα μοντέλου σημασιολογίας για την υποστήριξη δημιουργών περιεχομένου εξακολουθούν να υπάρχουν.
Σημαντικό
Συνήθως, ο όρος καταναλωτής χρησιμοποιείται για να αναφερθεί σε χρήστες μόνο προβολής που καταναλώνουν περιεχόμενο που παράγεται από άλλους χρήστες στον οργανισμό. Ωστόσο, με την επιτόπου κοινή χρήση σημασιολογικών μοντέλων, υπάρχει ένας παραγωγός του μοντέλου σημασιολογίας και ένας καταναλωτής του μοντέλου σημασιολογίας. Σε αυτή την περίπτωση, ο καταναλωτής του μοντέλου σημασιολογίας είναι συνήθως ένας δημιουργός περιεχομένου στον άλλο οργανισμό.
Εάν έχει καθοριστεί ασφάλεια σε επίπεδο γραμμών για το μοντέλο σημασιολογίας, ισχύει για τους εξωτερικούς χρήστες. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Επιβολή ασφάλειας δεδομένων με βάση την ταυτότητα καταναλωτή στο άρθρο Σχεδιασμός ασφαλείας καταναλωτή αναφοράς.
Συνδρομές εξωτερικών χρηστών
Η διαχείριση των εξωτερικών χρηστών είναι συνήθως ως χρήστες-επισκέπτες στο Microsoft Entra ID, όπως περιγράφεται προηγουμένως. Επιπλέον αυτής της κοινής προσέγγισης, το Power BI παρέχει και άλλες δυνατότητες για τη διανομή συνδρομών αναφορών σε χρήστες εκτός του οργανισμού.
Η ρύθμιση μισθωτή Power BI Να επιτρέπεται η αποστολή συνδρομών ηλεκτρονικού ταχυδρομείου σε εξωτερικούς χρήστες καθορίζει εάν οι χρήστες επιτρέπεται να στέλνουν συνδρομές ηλεκτρονικού ταχυδρομείου σε εξωτερικούς χρήστες που δεν είναι ακόμα χρήστες-επισκέπτες του Microsoft Entra. Συνιστούμε να ορίσετε αυτήν τη ρύθμιση μισθωτή ώστε να ταιριάζει με το πόσο αυστηρά ή ευέλικτα προτιμά ο οργανισμός σας να διαχειρίζεται εξωτερικούς λογαριασμούς χρηστών.
Φιλοδώρημα
Οι διαχειριστές μπορούν να επαληθεύσουν ποιοι εξωτερικοί χρήστες λαμβάνουν συνδρομές χρησιμοποιώντας το API Λήψη συνδρομών αναφοράς ως διαχειριστές. Εμφανίζεται η διεύθυνση ηλεκτρονικού ταχυδρομείου για τον εξωτερικό χρήστη. Ο κύριος τύπος δεν έχει διαγραφεί , επειδή ο εξωτερικός χρήστης δεν έχει ρυθμιστεί στο αναγνωριστικό Του Microsoft Entra.
Λίστα ελέγχου - Κατά τον σχεδιασμό για τον τρόπο χειρισμού εξωτερικών χρηστών-επισκεπτών, βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Προσδιορισμός απαιτήσεων για εξωτερικούς χρήστες στο Power BI: Προσδιορίστε ποιες περιπτώσεις χρήσης υπάρχουν για εξωτερική συνεργασία. Διευκρινίστε τα σενάρια για χρήση του Power BI με το Microsoft Entra B2B. Προσδιορίστε εάν η συνεργασία με εξωτερικούς χρήστες είναι συχνή ή σπάνια εμφάνιση.
- Καθορίστε τις τρέχουσες ρυθμίσεις του Microsoft Entra: Συνεργαστείτε με τον διαχειριστή του Microsoft Entra για να μάθετε πώς έχει ρυθμιστεί αυτή τη στιγμή η εξωτερική συνεργασία. Προσδιορίστε ποιες θα είναι οι επιπτώσεις στη χρήση του B2B με το Power BI.
- Αποφασίστε πώς θα προσκαλέσετε εξωτερικούς χρήστες: Συνεργαστείτε με τους διαχειριστές του Microsoft Entra για να αποφασίσετε τον τρόπο δημιουργίας λογαριασμών-επισκεπτών στο Αναγνωριστικό Microsoft Entra. Αποφασίστε εάν θα επιτρέπονται οι προσκλήσεις ad hoc. Αποφασίστε σε ποιο βαθμό θα χρησιμοποιηθεί η προγραμματισμένη προσέγγιση πρόσκλησης. Βεβαιωθείτε ότι ολόκληρη η διαδικασία είναι κατανοητή και τεκμηριωθεί.
- Δημιουργία και δημοσίευση οδηγιών χρήστη σχετικά με εξωτερικούς χρήστες: Δημιουργήστε τεκμηρίωση για τους δημιουργούς περιεχομένου σας που θα τους καθοδηγήσει σχετικά με τον τρόπο κοινής χρήσης περιεχομένου με εξωτερικούς χρήστες (ιδιαίτερα όταν απαιτείται η προγραμματισμένη διαδικασία πρόσκλησης). Συμπεριλάβετε πληροφορίες σχετικά με τους περιορισμούς που θα αντιμετωπίσουν οι εξωτερικοί χρήστες εάν σκοπεύουν να έχουν εξωτερικούς χρήστες να επεξεργάζονται και να διαχειρίζονται περιεχόμενο. Δημοσιεύστε αυτές τις πληροφορίες στο κεντρικό σας υλικό πύλης και εκπαίδευσης.
- Προσδιορίστε τον τρόπο χειρισμού της εξωτερικής κοινής χρήσης δεδομένων: Αποφασίστε αν θα επιτρέπεται η κοινή χρήση εξωτερικών δεδομένων και αν περιορίζεται σε ένα συγκεκριμένο σύνολο εγκεκριμένων δημιουργών περιεχομένου. Ορίστε τη ρύθμιση μισθωτή Να επιτρέπεται στους χρήστες-επισκέπτες η εργασία με κοινόχρηστα σημασιολογικά μοντέλα στους δικούς τους μισθωτές και τη ρύθμιση Μισθωτή να επιτρέπεται σε συγκεκριμένους χρήστες να ενεργοποιήσουν τον μισθωτή κοινής χρήσης εξωτερικών δεδομένων για να συμβαδίσουν με την απόφασή σας. Καταχωρήστε πληροφορίες σχετικά με την κοινή χρήση εξωτερικών δεδομένων για τους δημιουργούς μοντέλου σημασιολογίας. Δημοσιεύστε αυτές τις πληροφορίες στο κεντρικό σας υλικό πύλης και εκπαίδευσης.
- Προσδιορίστε τον τρόπο χειρισμού των αδειών χρήσης του Power BI για εξωτερικούς χρήστες: Εάν ο χρήστης-επισκέπτης δεν διαθέτει μια υπάρχουσα άδεια χρήσης Power BI, αποφασίστε τη διαδικασία για την εκχώρηση άδειας χρήσης σε αυτούς. Βεβαιωθείτε ότι η διαδικασία τεκμηριώνεται.
- Συμπεριλάβετε το CTID σας σε σχετική τεκμηρίωση χρήστη: Καταγράψτε τη διεύθυνση URL που προσαρτά το αναγνωριστικό μισθωτή (CTID) στην τεκμηρίωση χρήστη. Συμπεριλάβετε παραδείγματα για δημιουργούς και καταναλωτές σχετικά με τον τρόπο χρήσης διευθύνσεων URL που προσαρτούν το CTID.
- Ρύθμιση προσαρμοσμένης εμπορικής προσαρμογής στο Power BI: Στην πύλη διαχείρισης, ρυθμίστε την προσαρμοσμένη εμπορική προσαρμογή για να βοηθήσετε τους εξωτερικούς χρήστες να προσδιορίσουν ποιον εταιρικό μισθωτή έχουν πρόσβαση.
- Επαλήθευση ή ενημέρωση ρυθμίσεων μισθωτή: Ελέγξτε τον τρόπο με τον οποίο έχουν ρυθμιστεί οι ρυθμίσεις μισθωτή στην υπηρεσία Power BI. Ενημερώστε τις όπως απαιτείται με βάση τις αποφάσεις που λαμβάνονται για τη διαχείριση της πρόσβασης εξωτερικών χρηστών.
Στρατηγική για τις θέσεις αρχείων
Υπάρχουν διαφορετικοί τύποι αρχείων που πρέπει να αποθηκευτούν κατάλληλα. Επομένως, είναι σημαντικό να βοηθήσετε τους χρήστες να κατανοήσουν τις προσδοκίες σχετικά με το πού πρέπει να βρίσκονται τα αρχεία και τα δεδομένα.
Μπορεί να υπάρχει κίνδυνος που σχετίζεται με αρχεία του Power BI Desktop και βιβλία εργασίας του Excel, καθώς μπορεί να περιέχουν δεδομένα που έχουν εισαχθεί. Αυτά τα δεδομένα μπορεί να περιλαμβάνουν πληροφορίες πελατών, προσωπικά αναγνωρίσιμα στοιχεία (PII), ιδιόκτητες πληροφορίες ή δεδομένα που υπόκεινται σε κανονιστικές απαιτήσεις ή απαιτήσεις συμμόρφωσης.
Φιλοδώρημα
Είναι εύκολο να παραβλέψετε τα αρχεία που είναι αποθηκευμένα εκτός της υπηρεσίας Power BI. Συνιστούμε να τα εξετάζετε όταν σχεδιάζετε ασφάλεια.
Ακολουθούν ορισμένοι από τους τύπους αρχείων που μπορεί να εμπλέκονται σε μια υλοποίηση Power BI.
- Αρχεία προέλευσης
- Αρχεία Power BI Desktop: Τα αρχικά αρχεία (.pbix) για περιεχόμενο που δημοσιεύεται στην υπηρεσία Power BI. Όταν το αρχείο περιέχει ένα μοντέλο δεδομένων, μπορεί να περιέχει δεδομένα που έχουν εισαχθεί.
- Βιβλία εργασίας του Excel: Τα βιβλία εργασίας του Excel (.xlsx) μπορεί να περιλαμβάνουν συνδέσεις σε σημασιολογικά μοντέλα στην υπηρεσία Power BI. Μπορεί επίσης να περιέχουν δεδομένα που έχουν εξαχθεί. Μπορεί να είναι ακόμη και αρχικά βιβλία εργασίας για περιεχόμενο που δημοσιεύεται στην υπηρεσία Power BI (ως στοιχείο βιβλίου εργασίας σε έναν χώρο εργασίας).
- Αρχεία σελιδοποιημένης αναφοράς: Τα αρχικά αρχεία αναφοράς (.rdl) για περιεχόμενο που δημοσιεύεται στην υπηρεσία Power BI.
- Αρχεία δεδομένων προέλευσης: Επίπεδα αρχεία (για παράδειγμα, .csv ή .txt) ή βιβλία εργασίας του Excel που περιέχουν δεδομένα προέλευσης που έχουν εισαχθεί σε ένα μοντέλο Power BI.
- Αρχεία που έχουν εξαχθεί και άλλα αρχεία
- Αρχεία Power BI Desktop: Τα αρχεία .pbix που έχουν ληφθεί από την υπηρεσία Power BI.
- Αρχεία PowerPoint και PDF: Οι παρουσιάσεις του PowerPoint (.pptx) και τα έγγραφα PDF που έχουν ληφθεί από την υπηρεσία Power BI.
- Αρχεία Excel και CSV: Δεδομένα που εξάγονται από αναφορές στην υπηρεσία Power BI.
- Αρχεία σελιδοποιημένης αναφοράς: Τα αρχεία που εξάγονται από σελιδοποιημένες αναφορές στην υπηρεσία Power BI. Υποστηρίζονται τα Excel, PDF και PowerPoint. Υπάρχουν και άλλες μορφές αρχείων εξαγωγής για σελιδοποιημένες αναφορές, συμπεριλαμβανομένων των Word, XML ή αρχειοθήκης Web. Όταν χρησιμοποιείτε το API εξαγωγής αρχείων σε αναφορές, υποστηρίζονται επίσης μορφές εικόνας.
- Αρχεία ηλεκτρονικού ταχυδρομείου: Εικόνες ηλεκτρονικού ταχυδρομείου και συνημμένα από συνδρομές.
Θα πρέπει να λάβετε ορισμένες αποφάσεις σχετικά με το πού μπορούν ή δεν μπορούν να αποθηκεύσουν αρχεία οι χρήστες. Συνήθως, αυτή η διαδικασία περιλαμβάνει τη δημιουργία μιας πολιτικής διαχείρισης στην οποία μπορούν να αναφέρονται οι χρήστες. Οι θέσεις για τα αρχεία προέλευσης και τα αρχεία που έχουν εξαχθεί θα πρέπει να προστατεύονται ώστε να εξασφαλίζεται η κατάλληλη πρόσβαση από εξουσιοδοτημένους χρήστες.
Ακολουθούν ορισμένες προτάσεις για την εργασία με αρχεία.
- Αποθήκευση αρχείων σε μια κοινόχρηστη βιβλιοθήκη: Χρησιμοποιήστε μια τοποθεσία Teams, μια βιβλιοθήκη του SharePoint ή ένα OneDrive για την εταιρική ή σχολική κοινόχρηστη βιβλιοθήκη. Αποφύγετε τη χρήση προσωπικών βιβλιοθηκών και μονάδων δίσκου. Βεβαιωθείτε ότι έχει δημιουργηθεί ένα αντίγραφα ασφαλείας για τη θέση αποθήκευσης. Επίσης, βεβαιωθείτε ότι η θέση αποθήκευσης έχει ενεργοποιημένη τη διαχείριση εκδόσεων, ώστε να μπορείτε να επαναφέρετε σε μια προηγούμενη έκδοση.
- Χρησιμοποιήστε την υπηρεσία Power BI όσο το δυνατόν περισσότερο: Όποτε είναι δυνατό, χρησιμοποιήστε την υπηρεσία Power BI για κοινή χρήση και διανομή περιεχομένου. Με αυτόν τον τρόπο, υπάρχει πάντα πλήρης έλεγχος της πρόσβασης. Η αποθήκευση και κοινή χρήση αρχείων σε ένα σύστημα αρχείων θα πρέπει να δεσμεύεται για τον μικρό αριθμό χρηστών που συνεργάζονται σε περιεχόμενο.
- Μην χρησιμοποιείτε ηλεκτρονικό ταχυδρομείο: Δεν συνιστάται η χρήση ηλεκτρονικού ταχυδρομείου για κοινή χρήση αρχείων. Όταν κάποιος στέλνει ένα βιβλίο εργασίας του Excel με email ή ένα αρχείο του Power BI Desktop σε 10 χρήστες, αυτό έχει ως αποτέλεσμα 10 αντίγραφα του αρχείου. Υπάρχει πάντα ο κίνδυνος να συμπεριλάβετε μια λανθασμένη (εσωτερική ή εξωτερική) διεύθυνση ηλεκτρονικού ταχυδρομείου. Επίσης, υπάρχει μεγαλύτερος κίνδυνος να προωθηθεί το αρχείο σε κάποιον άλλο. (Για να ελαχιστοποιήσετε αυτόν τον κίνδυνο, συνεργαστείτε με τον διαχειριστή του Exchange Online για να εφαρμόσετε κανόνες για τον αποκλεισμό συνημμένων με βάση συνθήκες μεγέθους ή τύπου επέκτασης αρχείου. Άλλες στρατηγικές αποτροπής απώλειας δεδομένων για το Power BI περιγράφονται στα άρθρα προστασίας πληροφοριών και αποτροπής απώλειας δεδομένων.)
- Χρήση αρχείων προτύπου: Περιστασιακά, υπάρχει νόμιμη ανάγκη κοινής χρήσης ενός αρχείου Power BI Desktop με κάποιον άλλο. Σε αυτήν την περίπτωση, εξετάστε το ενδεχόμενο δημιουργίας και κοινής χρήσης ενός αρχείου προτύπου (.pbit) του Power BI Desktop. Ένα αρχείο προτύπου περιέχει μόνο μετα-δεδομένα, επομένως είναι μικρότερο σε μέγεθος από το αρχείο προέλευσης. Αυτή η τεχνική θα απαιτεί από τον παραλήπτη να εισαγάγει διαπιστευτήρια προέλευσης δεδομένων για να ανανεώσει τα δεδομένα του μοντέλου.
Υπάρχουν ρυθμίσεις μισθωτή στην πύλη διαχείρισης που ελέγχουν ποιες μορφές εξαγωγής επιτρέπεται να χρησιμοποιούν οι χρήστες κατά την εξαγωγή από την υπηρεσία Power BI. Είναι σημαντικό να εξετάσετε και να ορίσετε αυτές τις ρυθμίσεις. Είναι μια συμπληρωματική δραστηριότητα στον σχεδιασμό για τις θέσεις αρχείων που θα πρέπει να χρησιμοποιηθούν για τα εξαγόμενα αρχεία.
Φιλοδώρημα
Ορισμένες μορφές εξαγωγής υποστηρίζουν την προστασία πληροφοριών από άκρο σε άκρο χρησιμοποιώντας κρυπτογράφηση. Εξαιτίας των κανονιστικών απαιτήσεων, ορισμένοι οργανισμοί έχουν μια έγκυρη ανάγκη να περιορίσουν ποιες μορφές εξαγωγής μπορούν να χρησιμοποιήσουν οι χρήστες. Το άρθρο Προστασία πληροφοριών για το Power BI περιγράφει παράγοντες που πρέπει να λάβετε υπόψη όταν αποφασίζετε ποιες μορφές εξαγωγής θα ενεργοποιήσετε ή απενεργοποιήσετε στις ρυθμίσεις μισθωτή. Στις περισσότερες περιπτώσεις, συνιστούμε να περιορίζετε τις δυνατότητες εξαγωγής μόνο όταν πρέπει να πληροίτε συγκεκριμένες κανονιστικές απαιτήσεις. Μπορείτε να χρησιμοποιήσετε το αρχείο καταγραφής δραστηριότητας του Power BI για να προσδιορίσετε ποιοι χρήστες πραγματοποιούν πολλές εξαγωγές. Στη συνέχεια, μπορείτε να διδάξετε σε αυτούς τους χρήστες πιο αποτελεσματικές και ασφαλείς εναλλακτικές λύσεις.
Λίστα ελέγχου - Κατά τον σχεδιασμό για τοποθεσίες αρχείων, οι βασικές αποφάσεις και ενέργειες περιλαμβάνουν:
- Προσδιορίστε πού πρέπει να βρίσκονται τα αρχεία: Αποφασίστε πού πρέπει να αποθηκευτούν τα αρχεία. Προσδιορίστε εάν υπάρχουν συγκεκριμένες θέσεις που δεν πρέπει να χρησιμοποιηθούν.
- Δημιουργία και δημοσίευση τεκμηρίωσης σχετικά με τις θέσεις αρχείων: Δημιουργία τεκμηρίωσης χρήστη που αποσαφηνίζει τις ευθύνες για τη διαχείριση και τη διασφάλιση αρχείων. Θα πρέπει επίσης να περιγράφει οποιεσδήποτε θέσεις όπου τα αρχεία πρέπει (ή δεν πρέπει) να αποθηκεύονται. Δημοσιεύστε αυτές τις πληροφορίες στο κεντρικό σας υλικό πύλης και εκπαίδευσης.
- Ορίστε τις ρυθμίσεις μισθωτή για εξαγωγές: Εξετάστε και ορίστε κάθε ρύθμιση μισθωτή που σχετίζεται με τις μορφές εξαγωγής που θέλετε να υποστηρίξετε.
Στρατηγική για τη χρήση ομάδων
Συνιστούμε τη χρήση ομάδων ασφαλείας Του Microsoft Entra για την προστασία περιεχομένου Power BI για τους παρακάτω λόγους.
- Μειωμένη συντήρηση: Η συμμετοχή σε ομάδα ασφαλείας μπορεί να τροποποιηθεί χωρίς να χρειάζεται να τροποποιηθούν τα δικαιώματα για το περιεχόμενο Power BI. Οι νέοι χρήστες μπορούν να προστεθούν στην ομάδα και οι περιττοί χρήστες μπορούν να καταργηθούν από την ομάδα.
- Βελτιωμένη ακρίβεια: Επειδή οι αλλαγές μέλους ομάδας πραγματοποιούνται μία φορά, οδηγεί σε πιο ακριβείς αναθέσεις δικαιωμάτων. Εάν εντοπιστεί ένα σφάλμα, μπορεί να διορθωθεί πιο εύκολα.
- Ανάθεση: Μπορείτε να αναθέσετε την ευθύνη διαχείρισης της συμμετοχής στην ομάδα στον κάτοχο της ομάδας.
Αποφάσεις ομάδων υψηλού επιπέδου
Υπάρχουν ορισμένες στρατηγικές αποφάσεις που πρέπει να ληφθούν σχετικά με τον τρόπο χρήσης των ομάδων.
Δικαίωμα για τη δημιουργία και τη διαχείριση ομάδων
Υπάρχουν δύο βασικές αποφάσεις που πρέπει να ληφθούν σχετικά με τη δημιουργία και τη διαχείριση ομάδων.
- Ποιος επιτρέπεται να δημιουργήσει μια ομάδα; Συνήθως, μόνο το ΙΤ μπορεί να δημιουργεί ομάδες ασφαλείας. Ωστόσο, μπορείτε να προσθέσετε χρήστες στον ενσωματωμένο ρόλο διαχειριστή ομάδων Microsoft Entra. Με αυτόν τον τρόπο, ορισμένοι αξιόπιστοι χρήστες, όπως οι ήρωες Power BI ή τα δορυφορικά μέλη του COE σας, μπορούν να δημιουργήσουν ομάδες για την επιχειρηματική τους μονάδα.
- Ποιος επιτρέπεται να διαχειρίζεται μέλη μιας ομάδας; Είναι σύνηθες το it να διαχειρίζεται την ιδιότητα μέλους της ομάδας. Ωστόσο, μπορείτε να καθορίσετε έναν ή περισσότερους κατόχους ομάδας που επιτρέπεται να προσθέσουν και να καταργήσουν μέλη ομάδας. Η χρήση της διαχείρισης ομάδων αυτοεξυπηρέτησης είναι χρήσιμη όταν μια αποκεντρωμένη ομάδα ή μέλη δορυφόρου του COE επιτρέπεται να διαχειρίζονται τα μέλη ομάδων του Power BI.
Φιλοδώρημα
Η δυνατότητα διαχείρισης ομάδων αυτοεξυπηρέτησης και ο καθορισμός αποκεντρωμένων κατόχων ομάδων είναι ένας εξαιρετικός τρόπος για να εξισορροπήσετε την αποτελεσματικότητα και την ταχύτητα με τη διακυβέρνηση.
Σχεδιασμός για ομάδες του Power BI
Είναι σημαντικό να δημιουργήσετε μια στρατηγική υψηλού επιπέδου για τον τρόπο χρήσης ομάδων για τη διασφάλιση περιεχομένου Power BI και πολλών άλλων χρήσεων.
Διάφορες περιπτώσεις χρήσης για ομάδες
Εξετάστε τις ακόλουθες περιπτώσεις χρήσης για ομάδες.
Υπόθεση χρήσης | Περιγραφή | Παράδειγμα ονόματος ομάδας |
---|---|---|
Επικοινωνία με το Κέντρο αριστείας του Power BI (COE) | Περιλαμβάνει όλους τους χρήστες που σχετίζονται με το COE, συμπεριλαμβανομένων όλων των βασικών και δορυφορικών μελών του COE. Ανάλογα με τις ανάγκες σας, μπορείτε επίσης να δημιουργήσετε μια ξεχωριστή ομάδα μόνο για τα βασικά μέλη. Είναι πιθανό να είναι μια ομάδα του Microsoft 365 που συσχετίζεται με μια τοποθεσία Teams. | • Κέντρο αριστείας του Power BI |
Επικοινωνία με την ηγετική ομάδα του Power BI | Περιλαμβάνει τον εκτελεστικό χορηγό και εκπροσώπους από επιχειρηματικές μονάδες που συνεργάζονται στην ηγεσία της πρωτοβουλίας Power BI στον οργανισμό. | • Διευθύνουσα επιτροπή του Power BI |
Επικοινωνία με την κοινότητα χρηστών του Power BI | Περιλαμβάνει όλους τους χρήστες στους οποίους έχει εκχωρηθεί οποιοσδήποτε τύπος άδειας χρήσης Power BI. Είναι χρήσιμο για την πραγματοποίηση ανακοινώσεων σε όλους τους χρήστες του Power BI στον οργανισμό σας. Είναι πιθανό να είναι μια ομάδα του Microsoft 365 που συσχετίζεται με μια τοποθεσία Teams. | • Κοινότητα του Power BI |
Υποστήριξη της κοινότητας χρηστών του Power BI | Περιλαμβάνει χρήστες υπηρεσίας βοήθειας που αλληλεπιδρούν απευθείας με την κοινότητα χρηστών για τον χειρισμό προβλημάτων υποστήριξης του Power BI. Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου (και η τοποθεσία Teams, εάν υπάρχει) είναι διαθέσιμες και ορατές στον πληθυσμό των χρηστών. | • Υποστήριξη χρηστών του Power BI |
Παροχή κλιμακούμενης υποστήριξης | Περιλαμβάνει συγκεκριμένους χρήστες, συνήθως από το Power BI COE, οι οποίοι παρέχουν κλιμακούμενη υποστήριξη. Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου (και η τοποθεσία Teams, εάν υπάρχει) είναι συνήθως ιδιωτικές, για χρήση μόνο από την ομάδα υποστήριξης χρηστών. | • Κλιμακούμενη υποστήριξη χρηστών από το Power BI |
Διαχείριση της υπηρεσίας Power BI | Περιλαμβάνει συγκεκριμένους χρήστες στους οποίους επιτρέπεται να διαχειρίζονται την υπηρεσία Power BI. Προαιρετικά, τα μέλη αυτής της ομάδας μπορούν να συσχετίζονται με τον ρόλο στο Microsoft 365 για την απλοποίηση της διαχείρισης. | • Διαχειριστές Power BI |
Ειδοποίηση επιτρεπόμενων δυνατοτήτων και σταδιακής κυκλοφορίας δυνατοτήτων | Περιλαμβάνει χρήστες που επιτρέπονται για μια συγκεκριμένη ρύθμιση μισθωτή στην πύλη διαχείρισης (εάν η δυνατότητα θα είναι περιορισμένη) ή εάν η δυνατότητα πρόκειται να εκχωρηθεί σταδιακά σε ομάδες χρηστών. Πολλές από τις ρυθμίσεις μισθωτή θα απαιτούν τη δημιουργία μιας νέας ομάδας Power BI. | • Δημιουργοί χώρου εργασίας Power BI • Κοινή χρήση εξωτερικών δεδομένων του Power BI |
Διαχείριση πυλών δεδομένων | Περιλαμβάνει μία ή περισσότερες ομάδες χρηστών που επιτρέπεται να διαχειρίζονται ένα σύμπλεγμα πυλών. Ενδέχεται να υπάρχουν πολλές ομάδες αυτού του τύπου όταν υπάρχουν πολλές πύλες ή όταν οι αποκεντρωμένες ομάδες διαχειρίζονται πύλες. | • Διαχειριστές πύλης Power BI • Δημιουργοί προέλευσης δεδομένων πύλης Power BI • Κάτοχοι προέλευσης δεδομένων πύλης Power BI • Χρήστες προέλευσης δεδομένων πύλης Power BI |
Διαχείριση Premium εκχωρημένων πόρων | Περιλαμβάνει τους χρήστες που επιτρέπεται να διαχειρίζονται εκχωρημένους πόρους Premium. Μπορεί να υπάρχουν πολλές ομάδες αυτού του τύπου όταν υπάρχουν πολλά σύνολα εκχωρημένων πόρων ή όταν οι αποκεντρωμένες ομάδες διαχειρίζονται εκχωρημένους πόρους. | • Συμβάλλοντες στους εκχωρημένους πόρους του Power BI |
Ασφάλεια χώρων εργασίας, εφαρμογών και στοιχείων | Πολλές ομάδες που βασίζονται σε θεματικές περιοχές και έχουν δικαίωμα πρόσβασης για τη διαχείριση της ασφάλειας των ρόλων χώρου εργασίας Power BI, των δικαιωμάτων εφαρμογών και των δικαιωμάτων ανά στοιχείο. | • Διαχειριστές χώρου εργασίας Power BI • Μέλη του χώρου εργασίας Power BI • Συμβάλλοντες στον χώρο εργασίας Power BI • Θεατές χώρου εργασίας Power BI • Θεατές εφαρμογών Power BI |
Ανάπτυξη περιεχομένου | Περιλαμβάνει τους χρήστες που μπορούν να αναπτύξουν περιεχόμενο χρησιμοποιώντας μια διοχέτευση ανάπτυξης Power BI. Αυτή η ομάδα χρησιμοποιείται σε συνδυασμό με τα δικαιώματα χώρου εργασίας. | • Διαχειριστές διοχέτευσης ανάπτυξης Power BI |
Αυτοματοποίηση λειτουργιών διαχείρισης | Περιλαμβάνει τις κύριες υπηρεσίες που επιτρέπεται να χρησιμοποιούν API του Power BI για σκοπούς ενσωμάτωσης ή διαχείρισης. | • Κύριες υπηρεσίες Power BI |
Ομάδες για τις ρυθμίσεις μισθωτή Power BI
Ανάλογα με τις εσωτερικές διαδικασίες που έχετε σε ισχύ, θα έχετε άλλες ομάδες που είναι απαραίτητες. Αυτές οι ομάδες είναι χρήσιμες κατά τη διαχείριση των ρυθμίσεων μισθωτή. Ακολουθούν μερικά παραδείγματα.
- Δημιουργοί χώρων εργασίας Power BI: Χρήσιμο όταν πρέπει να περιορίσετε ποιος μπορεί να δημιουργεί χώρους εργασίας. Χρησιμοποιείται για τη ρύθμιση μισθωτή Δημιουργία χώρων εργασίας.
- Ειδικοί επί του θέματος πιστοποίησης Power BI: Χρήσιμο να καθορίσετε ποιος επιτρέπεται να χρησιμοποιεί την πιστοποιημένη έγκριση για το περιεχόμενο. Χρησιμοποιείται για τη ρύθμιση μισθωτή πιστοποίησης .
- Εγκεκριμένοι δημιουργοί περιεχομένου του Power BI: Χρήσιμο όταν χρειάζεστε έγκριση, εκπαίδευση ή αναγνώριση πολιτικής για την εγκατάσταση του Power BI Desktop ή για την απόκτηση άδειας χρήσης Power BI Pro ή PPU. Χρησιμοποιείται από τις ρυθμίσεις μισθωτή που ενθαρρύνουν τις δυνατότητες δημιουργίας περιεχομένου, όπως να επιτρέπονται συνδέσεις DirectQuery σε σημασιολογικά μοντέλα Power BI, να προωθούν εφαρμογές σε τελικούς χρήστες, να επιτρέπονται τελικά σημεία XMLA και άλλα.
- Εξωτερικοί χρήστες εργαλείων του Power BI: Χρήσιμο όταν επιτρέπετε τη χρήση εξωτερικών εργαλείων για μια επιλεκτική ομάδα χρηστών. Χρησιμοποιείται από την πολιτική ομάδας ή όταν οι εγκαταστάσεις ή οι αιτήσεις λογισμικού πρέπει να ελέγχονται προσεκτικά.
- Προσαρμοσμένοι προγραμματιστές του Power BI: Χρήσιμο όταν πρέπει να ελέγχετε ποιος επιτρέπεται να ενσωματώνει περιεχόμενο σε άλλες εφαρμογές εκτός του Power BI. Χρησιμοποιείται για τη ρύθμιση μισθωτή Ενσωμάτωση περιεχομένου σε εφαρμογές .
- Δημόσια δημοσίευση του Power BI: Χρήσιμο όταν πρέπει να περιορίσετε ποιος μπορεί να δημοσιεύει δεδομένα δημόσια. Χρησιμοποιείται για τη ρύθμιση μισθωτή Δημοσίευση στο web .
- Κοινή χρήση του Power BI σε ολόκληρο τον οργανισμό: Χρήσιμο όταν πρέπει να περιορίσετε τα άτομα που μπορούν να κοινοποιούν μια σύνδεση με όλους τους χρήστες στον οργανισμό. Χρησιμοποιείται για τη ρύθμιση μισθωτή Να επιτρέπονται κοινόχρηστες συνδέσεις για εκχώρηση πρόσβασης σε όλους τους χρήστες στον οργανισμό σας.
- Κοινή χρήση εξωτερικών δεδομένων του Power BI: Χρήσιμο όταν πρέπει να επιτρέπετε σε ορισμένους χρήστες να κάνουν κοινή χρήση σημασιολογικών μοντέλων με εξωτερικούς χρήστες. Χρησιμοποιείται για τη ρύθμιση Να επιτρέπεται σε συγκεκριμένους χρήστες να ενεργοποιήσουν τη ρύθμιση μισθωτή κοινής χρήσης εξωτερικών δεδομένων.
- Άδεια χρήσης χρήστη-επισκέπτη power BI: Χρήσιμο όταν πρέπει να ομαδοποιήσετε εγκεκριμένους εξωτερικούς χρήστες στους οποίους έχει εκχωρηθεί άδεια χρήσης από τον οργανισμό σας. Χρησιμοποιείται για τη ρύθμιση της ρύθμισης Να επιτρέπεται στους χρήστες-επισκέπτες του Microsoft Entra η πρόσβαση στον μισθωτή Power BI .
- Πρόσβαση επισκεπτών του Power BI BYOL: Χρήσιμο όταν πρέπει να ομαδοποιήσετε εγκεκριμένους εξωτερικούς χρήστες που διαθέτουν δική τους άδεια χρήσης (BYOL) από τον κεντρικό οργανισμό τους. Χρησιμοποιείται για τη ρύθμιση της ρύθμισης Να επιτρέπεται στους χρήστες-επισκέπτες του Microsoft Entra η πρόσβαση στον μισθωτή Power BI .
Φιλοδώρημα
Για ζητήματα σχετικά με τη χρήση ομάδων κατά τον σχεδιασμό για πρόσβαση στον χώρο εργασίας, ανατρέξτε στο άρθρο Σχεδιασμός σε επίπεδο χώρου εργασίας. Για πληροφορίες σχετικά με τον σχεδιασμό για τη διασφάλιση χώρων εργασίας, εφαρμογών και στοιχείων, ανατρέξτε στο άρθρο Σχεδιασμός ασφάλειας καταναλωτών αναφοράς.
Τύπος ομάδας
Μπορείτε να δημιουργήσετε διαφορετικούς τύπους ομάδων.
- Ομάδα ασφαλείας: Μια ομάδα ασφαλείας είναι η καλύτερη επιλογή όταν ο κύριος στόχος σας είναι η εκχώρηση πρόσβασης σε έναν πόρο.
- Ομάδα ασφαλείας με δυνατότητα αλληλογραφίας: Όταν θέλετε να εκχωρήσετε πρόσβαση σε έναν πόρο και να διανείμετε μηνύματα σε ολόκληρη την ομάδα μέσω ηλεκτρονικού ταχυδρομείου, μια ομάδα ασφαλείας με δυνατότητα αλληλογραφίας είναι μια καλή επιλογή.
- Ομάδα Microsoft 365: Αυτός ο τύπος ομάδας διαθέτει μια τοποθεσία Teams και μια διεύθυνση ηλεκτρονικού ταχυδρομείου. Είναι η καλύτερη επιλογή όταν ο κύριος στόχος είναι η επικοινωνία ή η συνεργασία σε μια τοποθεσία Teams. Μια ομάδα του Microsoft 365 έχει μόνο μέλη και κατόχους. δεν υπάρχει ρόλος θεατή. Για τον λόγο αυτό, κύριος σκοπός της είναι η συνεργασία. Αυτός ο τύπος ομάδας ήταν παλαιότερα γνωστός ως ομάδα του Office 365, σύγχρονη ομάδα ή ενοποιημένη ομάδα.
- Ομάδα διανομής: Μπορείτε να χρησιμοποιήσετε μια ομάδα διανομής για να στείλετε μια ειδοποίηση μετάδοσης σε μια λίστα χρηστών. Σήμερα, θεωρείται ότι είναι μια έννοια παλαιού τύπου που παρέχει συμβατότητα με προηγούμενες εκδόσεις. Για νέες περιπτώσεις χρήσης, συνιστούμε να δημιουργήσετε μια ομάδα ασφαλείας με δυνατότητα αλληλογραφίας.
Όταν ζητάτε μια νέα ομάδα ή σκοπεύετε να χρησιμοποιήσετε μια υπάρχουσα ομάδα, είναι σημαντικό να γνωρίζετε τον τύπο της. Ο τύπος ομάδας μπορεί να προσδιορίσει τον τρόπο χρήσης και διαχείρισής της.
- Δικαιώματα Power BI: Δεν υποστηρίζονται όλοι οι τύποι ομάδας για κάθε τύπο λειτουργίας ασφαλείας. Οι ομάδες ασφαλείας (συμπεριλαμβανομένων των ομάδων ασφαλείας με δυνατότητα αλληλογραφίας) προσφέρουν την υψηλότερη κάλυψη όταν πρόκειται για τον ορισμό επιλογών ασφαλείας Power BI. Η τεκμηρίωση της Microsoft συνιστά γενικά ομάδες του Microsoft 365. Ωστόσο, στην περίπτωση του Power BI, δεν είναι τόσο ικανές όσο οι ομάδες ασφαλείας. Για περισσότερες πληροφορίες σχετικά με τα δικαιώματα power BI, ανατρέξτε στα παρακάτω άρθρα αυτής της σειράς σχετικά με τον σχεδιασμό ασφαλείας.
- Ρυθμίσεις μισθωτή Power BI: Μπορείτε να χρησιμοποιήσετε ομάδες ασφαλείας (συμπεριλαμβανομένων ομάδων ασφαλείας με δυνατότητα αλληλογραφίας) μόνο όταν επιτρέπετε σε ομάδες χρηστών να εργάζονται με τις ρυθμίσεις μισθωτή Power BI.
- Προηγμένες δυνατότητες του Microsoft Entra: Ορισμένοι τύποι προηγμένων δυνατοτήτων δεν υποστηρίζονται για όλους τους τύπους ομάδων. Για παράδειγμα, οι ομάδες του Microsoft 365 δεν υποστηρίζουν ένθεση ομάδων εντός μιας ομάδας. Παρόλο που ορισμένοι τύποι ομάδων υποστηρίζουν δυναμική συμμετοχή σε ομάδες με βάση τα χαρακτηριστικά χρήστη στο Αναγνωριστικό Microsoft Entra, οι ομάδες που χρησιμοποιούν δυναμική συμμετοχή δεν υποστηρίζονται για το Power BI.
- Διαφορετική διαχείριση: Η αίτησή σας για δημιουργία ή διαχείριση μιας ομάδας μπορεί να δρομολογείται σε διαφορετικό διαχειριστή με βάση τον τύπο της ομάδας (η διαχείριση των ομάδων ασφαλείας με δυνατότητα αλληλογραφίας και των ομάδων διανομής γίνεται στο Exchange). Επομένως, η εσωτερική διαδικασία σας θα διαφέρει ανάλογα με τον τύπο της ομάδας.
Σύμβαση ονομασίας ομάδας
Είναι πιθανό ότι θα καταλήξετε με πολλές ομάδες στο Microsoft Entra ID για να υποστηρίξετε την υλοποίηση Power BI. Επομένως, είναι σημαντικό να έχετε ένα συμφωνημένο μοτίβο για τον τρόπο με τον οποίο ονομάζονται οι ομάδες. Μια καλή σύμβαση ονοματοθεσιών θα σας βοηθήσει να προσδιορίσετε τον σκοπό της ομάδας και να κάνετε απλούστερη τη διαχείριση.
Εξετάστε τη χρήση της ακόλουθης σύμβασης τυπικής ονοματοθεσιών: <Σκοπός> προθήματος<>- <Θέμα/Εμβέλεια/Τμήμα><[Περιβάλλον]>
Η παρακάτω λίστα περιγράφει κάθε τμήμα της σύμβασης ονοματοθεσιών.
- Πρόθημα: Χρησιμοποιείται για την ομαδοποίηση όλων των ομάδων Power BI. Όταν η ομάδα θα χρησιμοποιηθεί για περισσότερα από ένα αναλυτικά εργαλεία, το πρόθημα μπορεί να είναι μόνο BI και όχι Power BI. Στην περίπτωση αυτή, το κείμενο που περιγράφει τον σκοπό θα είναι πιο γενικό, ώστε να σχετίζεται με περισσότερα από ένα εργαλεία ανάλυσης.
- Σκοπός: Ο σκοπός θα διαφέρει. Μπορεί να αφορά έναν ρόλο χώρου εργασίας, δικαιώματα εφαρμογής, δικαιώματα σε επίπεδο στοιχείου, ασφάλεια σε επίπεδο γραμμών ή άλλο σκοπό. Ορισμένες φορές, πολλοί σκοποί μπορεί να ικανοποιηθούν με μία μόνο ομάδα.
- Θέμα/Εμβέλεια/Τμήμα: Χρησιμοποιείται για να αποσαφηνιστεί σε ποιον εφαρμόζεται η ομάδα. Θα περιγράφει συχνά την ιδιότητα μέλους της ομάδας. Μπορεί επίσης να αναφέρεται στο ποιος διαχειρίζεται την ομάδα. Ορισμένες φορές, μία μόνο ομάδα μπορεί να χρησιμοποιηθεί για πολλούς σκοπούς. Για παράδειγμα, η διαχείριση μιας συλλογής χώρων εργασίας οικονομικών στοιχείων μπορεί να γίνει με μία μόνο ομάδα.
- Περιβάλλον: Προαιρετικό. Χρήσιμο για τη διαφοροποίηση μεταξύ ανάπτυξης, δοκιμής και παραγωγής.
Ακολουθούν ορισμένα παραδείγματα ονομάτων ομάδων που εφαρμόζουν τη σύμβαση τυπικής ονομασίας.
- Διαχειριστές χώρου εργασίας Power BI - Οικονομικά [Dev]
- Μέλη χώρου εργασίας Power BI - Οικονομικά [Dev]
- Συμβάλλοντες στον χώρο εργασίας Power BI - Οικονομικά [Dev]
- Θεατές χώρου εργασίας Power BI - Οικονομικά [Dev]
- Θεατές εφαρμογής Power BI - Οικονομικά
- Διαχειριστές πύλης Power BI - Enterprise BI
- Διαχειριστές πύλης Power BI - Οικονομικά
Αποφάσεις ανά ομάδα
Όταν σχεδιάζετε για τις ομάδες που θα χρειαστείτε, πρέπει να ληφθούν πολλές αποφάσεις.
Όταν ένας δημιουργός περιεχομένου ή κάτοχος ζητήσει μια νέα ομάδα, ιδανικά χρησιμοποιεί μια φόρμα για να παρέχει τις ακόλουθες πληροφορίες.
- Όνομα και σκοπός: Ένα προτεινόμενο όνομα ομάδας και ο επιδιωκόμενος σκοπός της. Εξετάστε το ενδεχόμενο να συμπεριλάβετε το Power BI (ή απλώς το BI όταν έχετε πολλά εργαλεία BI) στο όνομα της ομάδας για να υποδείξετε με σαφήνεια την εμβέλεια της ομάδας.
- Διεύθυνση ηλεκτρονικού ταχυδρομείου: Μια διεύθυνση ηλεκτρονικού ταχυδρομείου όταν απαιτείται επίσης επικοινωνία για τα μέλη της ομάδας. Δεν χρειάζεται να ενεργοποιούνται όλοι οι τύποι ομάδων η αλληλογραφία.
- Τύπος ομάδας: Οι επιλογές περιλαμβάνουν ομάδα ασφαλείας, ομάδα ασφαλείας με δυνατότητα αλληλογραφίας, ομάδα του Microsoft 365 και ομάδα διανομής.
- Κάτοχος ομάδας: Ποιος επιτρέπεται να είναι κάτοχος και να διαχειρίζεται τα μέλη της ομάδας.
- Συμμετοχή σε ομάδα: Οι προβλεπόμενοι χρήστες που θα είναι μέλη της ομάδας. Εξετάστε εάν μπορούν να προστεθούν εξωτερικοί χρήστες και εσωτερικοί χρήστες ή εάν υπάρχει αιτιολόγηση για την τοποθέτηση εξωτερικών χρηστών σε διαφορετική ομάδα.
- Χρήση της ανάθεσης μέλους ομάδας just-in-time: Μπορείτε να χρησιμοποιήσετε τη Διαχείριση προνομιούχων ταυτοτήτων (PIM) για να επιτρέψετε την πρόσβαση σε μια ομάδα με χρονικό πλαίσιο, εγκαίρως. Αυτή η υπηρεσία μπορεί να είναι χρήσιμη όταν οι χρήστες χρειάζονται προσωρινή πρόσβαση. Το PIM είναι επίσης χρήσιμο για διαχειριστές Power BI που χρειάζονται περιστασιακή πρόσβαση.
Φιλοδώρημα
Οι υπάρχουσες ομάδες που βασίζονται στο γράφημα οργανισμού δεν λειτουργούν πάντα καλά για σκοπούς Power BI. Χρησιμοποιήστε υπάρχουσες ομάδες όταν ικανοποιούν τις ανάγκες σας. Ωστόσο, να είστε έτοιμοι να δημιουργήσετε ομάδες για το Power BI όταν προκύψει ανάγκη.
Λίστα ελέγχου - Όταν δημιουργείτε τη στρατηγική σας για τον τρόπο χρήσης ομάδων, βασικές αποφάσεις και ενέργειες περιλαμβάνουν τα εξής:
- Αποφασίστε τη στρατηγική για τη χρήση των ομάδων: Προσδιορίστε τις περιπτώσεις χρήσης και τους σκοπούς που θα χρειαστεί να χρησιμοποιήσετε ομάδες. Να είστε συγκεκριμένοι σχετικά με το πότε πρέπει να εφαρμόζεται ασφάλεια χρησιμοποιώντας λογαριασμούς χρηστών σε σχέση με όταν μια ομάδα είναι απαραίτητη ή προτιμάται.
- Δημιουργία σύμβασης ονομασίας για ομάδες του Power BI: Βεβαιωθείτε ότι χρησιμοποιείται μια συνεπής σύμβαση ονομασίας για ομάδες που θα υποστηρίζουν την επικοινωνία, τις δυνατότητες, τη διαχείριση ή την ασφάλεια του Power BI.
- Αποφασίστε ποιος επιτρέπεται να δημιουργεί ομάδες: Διευκρινίστε εάν απαιτείται όλες οι δημιουργίες ομάδων να περνούν από το πεδίο IT. Ή εάν ορισμένα άτομα (όπως τα δορυφορικά μέλη του COE) μπορούν να λάβουν άδεια για τη δημιουργία ομάδων για την επιχειρηματική τους μονάδα.
- Δημιουργήστε μια διαδικασία για τον τρόπο αίτησης μιας νέας ομάδας: Δημιουργήστε μια φόρμα για να ζητήσουν οι χρήστες τη δημιουργία μιας νέας ομάδας. Βεβαιωθείτε ότι υπάρχει μια διαδικασία για την ταχεία ανταπόκριση σε νέες αιτήσεις. Λάβετε υπόψη ότι εάν οι αιτήσεις καθυστερήσουν, οι χρήστες ενδέχεται να μπουν στον πειρασμό να αρχίσουν να εκχωρούν δικαιώματα σε λογαριασμούς μεμονωμένων ατόμων.
- Αποφασίστε πότε επιτρέπεται η αποκεντρωμένη διαχείριση ομάδας: Για τις ομάδες που ισχύουν για μια συγκεκριμένη ομάδα, αποφασίστε πότε θα γίνει αποδεκτή για τον κάτοχο μιας ομάδας (εκτός αυτής) για τη διαχείριση των μελών της ομάδας.
- Αποφασίστε εάν θα χρησιμοποιηθεί η συμμετοχή σε ομάδες που βρίσκονται αμέσως εντός του χρόνου: Προσδιορίστε εάν η Διαχείριση προνομιούχων ταυτοτήτων θα είναι χρήσιμη. Σε αυτήν την περίπτωση, προσδιορίστε για ποιες ομάδες μπορεί να χρησιμοποιηθεί (όπως η ομάδα διαχειριστών Power BI).
- Εξετάστε ποιες ομάδες υπάρχουν αυτήν τη στιγμή: Προσδιορίστε ποιες υπάρχουσες ομάδες μπορούν να χρησιμοποιηθούν και ποιες ομάδες πρέπει να δημιουργηθούν.
- Εξετάστε κάθε ρύθμιση μισθωτή: Για κάθε ρύθμιση μισθωτή, προσδιορίστε εάν θα επιτρέπεται ή δεν επιτρέπεται για ένα συγκεκριμένο σύνολο χρηστών. Προσδιορίστε εάν πρέπει να δημιουργηθεί μια νέα ομάδα για να ρυθμίσετε τη ρύθμιση μισθωτή.
- Δημιουργία και δημοσίευση οδηγιών για χρήστες σχετικά με τις ομάδες: Συμπεριλάβετε τεκμηρίωση για δημιουργούς περιεχομένου που περιλαμβάνει απαιτήσεις ή προτιμήσεις για τη χρήση ομάδων. Βεβαιωθείτε ότι γνωρίζουν τι πρέπει να ζητήσουν όταν ζητούν μια νέα ομάδα. Δημοσιεύστε αυτές τις πληροφορίες στο κεντρικό σας υλικό πύλης και εκπαίδευσης.
Σχετικό περιεχόμενο
Στο επόμενο άρθρο αυτής της σειράς, μάθετε σχετικά με τρόπους ασφαλούς παράδοσης περιεχομένου σε καταναλωτές αναφορών μόνο για ανάγνωση.