Rivitason suojaus (RLS) Power BI:ssä
Power BI:n rivitason suojauksen (RLS) avulla voidaan rajoittaa tietojen käyttöä tietyille käyttäjille. Suodattimet rajoittavat tietojen käyttöä rivitasolla ja voit määrittää roolien sisäisiä suodattimia. Power BI -palvelussa käyttäjillä, joilla on työtilan käyttöoikeus, on käyttöoikeus työtilan semanttisiin malleihin. Rivitason suojaus rajoittaa tietojen käyttöä vain käyttäjille, joilla on Katselija-käyttöoikeudet . Se ei koske järjestelmänvalvojia, jäseniä tai osallistujia.
Voit määrittää rivitason suojauksen Power BI:hin tuoduille tietomalleille Power BI:n avulla. Voit myös määrittää rivitason suojauksen semanttisissa malleissa, jotka käyttävät DirectQueryä, kuten SQL Serveriä. Jos käytät Analysis Servicesiä tai Azure Analysis Services reaaliaikaisia yhteyksiä, määrität rivitason suojauksen mallissa, et Power BI:ssä. Suojausvaihtoehtoa ei näy reaaliaikaisen yhteyden semanttisille malleille.
Roolien ja sääntöjen määrittäminen Power BI Desktopissa
Voit määrittää rooleja ja sääntöjä Power BI Desktopissa. Tällä editorilla voit vaihtaa avattavan oletuskäyttöliittymän ja DAX-liittymän välillä. Kun julkaiset Power BI:ssä, julkaiset myös roolimääritykset.
Käyttöoikeusroolien määrittäminen:
Tuo tietoja Power BI Desktop -raporttiin tai määritä DirectQuery-yhteys.
Huomautus
Power BI Desktopissa ei voi määrittää rooleja reaaliaikaisille Analysis Services -yhteyksille. Se on tehtävä Analysis Services -mallissa.
Valitse Mallinnus-välilehdeltä Roolien hallinta.
Luo uusi rooli valitsemalla Roolien hallinta -ikkunassa Uusi.
Anna roolille nimi Roolit-kohdassa ja valitse Enter.
Huomautus
Et voi määrittää roolia pilkulla, esimerkiksi
London,ParisRole
.Valitse Valitse taulukot -kohdassa taulukko, johon haluat käyttää rivitason suojaussuodatinta.
Määritä roolit oletuseditorin avulla kohdassa Suodata tiedot. Luodut lausekkeet palauttavat arvon tosi tai epätosi.
Huomautus
Kaikkia Power BI:n rivitason suojauksen suodattimia ei voi määrittää oletuseditoria käyttämällä. Rajoitukset sisältävät lausekkeita, jotka nykyään voidaan määrittää vain käyttämällä DAXia, mukaan lukien dynaamiset säännöt, kuten username() tai userprincipalname(). Jos haluat määrittää roolit näiden suodattimien avulla, siirry DAX-editorin käyttöön.
Voit halutessasi vaihtaa roolisi DAX-editorin käyttöön valitsemalla Vaihda DAX-editoriin . DAX-lausekkeet palauttavat arvon tosi tai epätosi. Esimerkki:
[Entity ID] = “Value”
. DAX-editori on valmis kaavojen (intellisense) automaattisella täydennyksellä. Voit palauttaa muutokset valitsemalla lausekeruudun yläpuolelta valintamerkin lausekkeen vahvistamiseksi ja X-painikkeen lausekeruudun yläpuolella.Huomautus
Voit käyttää lausekkeessa funktiota username( ). Huomaa, että username() on Power BI Desktopissa muodossa TOIMIALUE\käyttäjänimi . Power BI -palvelussa ja Power BI -raporttipalvelimessa se esitetään käyttäjän täydellinen käyttäjätunnus (UPN) muodossa. Voit lisäksi käyttää tässä lausekeruudussa pilkkuja DAX-funktioargumenttien erottamiseen, vaikka käyttäisit tavallisesti puolipisteerottimia, kuten ranskaa tai saksaa.
Voit vaihtaa takaisin oletuseditoriin valitsemalla Vaihda oletuseditoriin. Kaikki jommassakummassa editorin käyttöliittymässä tehdyt muutokset säilyvät, kun käyttöliittymää vaihdetaan, kun se on mahdollista. Kun määrität roolia käyttämällä DAX-editoria, jota ei voi määrittää oletuseditorissa, näyttöön tulee varoitus siitä, että joitain tietoja menetetään, jos yrität vaihtaa oletuseditoriin. Jos haluat säilyttää nämä tiedot, valitse Peruuta ja jatka vain tämän roolin muokkaamista DAX-editorissa.
Huomautus
Erota DAX-funktioargumentit toisistaan pilkuilla tämän lausekeruudun avulla, vaikka käyttäisit tavallisesti puolipisteerottimia, kuten ranskaa tai saksaa.
Valitse Tallenna.
Käyttäjille ei voi määrittää roolia Power BI Desktopissa. Voit määrittää ne Power BI -palvelussa. Voit ottaa käyttöön Power BI Desktopin dynaamisen suojauksen hyödyntämällä username() - tai userprincipalname() -DAX-funktioita, kun oikeat suhteet on määritetty.
Oletuksena rivitason suojauksen suodatukseen käytetään yksisuuntaisia suodattimia, olivatpa suhteet sitten määritetty yksi- vai kaksisuuntaisiin. Voit ottaa kaksisuuntaisen ristisuodatuksen manuaalisesti käyttöön rivitason suojauksen yhteydessä valitsemalla suhteen ja valitsemalla Ota suojaussuodattimet käyttöön molempiin suuntiin -valintaruudun. Huomaa, että jos taulukko osallistuu useisiin kaksisuuntaisiin suhteisiin, voit valita tämän asetuksen vain yhdelle näistä suhteista. Valitse tämä vaihtoehto, kun olet ottanut käyttöön myös dynaamisen rivitason suojauksen palvelintasolla, jolla rivitason suojaus perustuu käyttäjänimeen tai kirjautumistunnukseen.
Lisätietoja on artikkelissa Kaksisuuntainen ristiinsuodatus käyttämällä DirectQueryä Power BI:ssä ja teknisessä artikkelissa Taulukkomuotoisen liiketoimintatietojen semanttisen mallin suojaaminen.
Mallin suojauksen hallinta
Jos haluat hallita semanttisen mallin suojausta, avaa työtila, johon tallensit semanttisen mallin Fabricissa, ja toimi seuraavasti:
Valitse Fabricissa semanttisen mallin Lisää asetuksia -valikko. Tämä valikko tulee näkyviin, kun pidät hiiren osoitinta semanttisen mallin nimen päällä.
Valitse Suojaus.
Suojaus vie sinut roolitason suojauksen sivulle, jolla voit lisätä jäseniä luomaasi rooliin. Osallistuja (ja korkeammat työtilaroolit) näkevät suojauksen ja voivat määrittää käyttäjille roolin.
Jäseniin käsitteleminen
Lisää jäseniä
Power BI -palvelussa voit lisätä jäsenen rooliin kirjoittamalla käyttäjän tai käyttöoikeusryhmän sähköpostiosoitteen tai nimen. Et voi lisätä Power BI:ssä luotuja ryhmiä. Voit lisätä jäseniä, jotka ovat organisaatiosi ulkopuolisia henkilöitä.
Voit määrittää rivitason suojauksen seuraavien ryhmien avulla.
- Jakeluryhmä
- Sähköpostia käyttävä ryhmä
- Microsoft Entra -käyttöoikeusryhmä
Huomaa, että Microsoft 365 -ryhmiä ei tueta eikä niitä voi lisätä mihinkään rooliin.
Roolin nimen tai jäsenten vieressä suluissa oleva numero voi myös nähdä, kuinka monta jäsentä rooliin kuuluu.
Jäsenten poistaminen
Voit poistaa jäseniä valitsemalla hänen nimensä vieressä olevan X-merkin.
Roolin vahvistaminen Power BI -palvelussa
Voit varmistaa, että määrittämäsi rooli toimii oikein Power BI -palvelussa, testaamalla roolin.
- Valitse Enemmän vaihtoehtoja (...) roolin vieristä.
- Valitse Testaa roolina.
Sinut ohjataan raporttiin, joka julkaistiin Power BI Desktopista tämän semanttisen mallin kanssa, jos se on olemassa. Koontinäytöt eivät ole käytettävissä testaukseen Testaa roolina -vaihtoehdon avulla.
Sivun otsikossa näkyy käytettävä rooli. Testaa muita rooleja, roolien yhdistelmiä tai tiettyä henkilöä valitsemalla Tarkastellaan nyt käyttäjänä. Tässä näet testattavaan henkilöön tai rooliin liittyvät tärkeät käyttöoikeustiedot. Lisätietoja oikeuksien vuorovaikutuksesta rivitason suojauksen kanssa on artikkelissa Rivitason suojauksen käyttökokemus.
Testaa muita semanttiseen malliin yhdistettyjä raportteja valitsemalla Sivun otsikossa Tarkasteleminen . Voit testata vain samassa työtilassa olevia raportteja kuin semanttinen mallisi.
Voit palata normaaliin tarkasteluun valitsemalla Takaisin rivitason suojaukseen.
Huomautus
Testaa roolina -ominaisuus ei toimi DirectQuery-malleissa, joissa kertakirjautuminen on käytössä. Lisäksi kaikkia raportin ominaisuuksia ei voida vahvistaa Testi-roolissa rooliominaisuutena, mukaan lukien Q&A-visualisoinnit, Nopeat merkitykselliset tiedot -visualisoinnit ja Copilot.
DAX-funktion username() tai userprincipalname() käyttö
Voit hyödyntää tietojoukossa DAX-funktioita username() ja userprincipalname( ). Voit käyttää niitä lausekkeissa Power BI Desktopissa. Kun julkaiset mallin, sitä käytetään Power BI -palvelussa.
Power BI Desktopissa username() palauttaa käyttäjän muodossa TOIMIALUE\Käyttäjä ja userprincipalname() palauttaa käyttäjän muodossa user@contoso.com.
Power BI -palvelussa sekä username() että userprincipalname() palauttavat käyttäjän ensisijaisen nimen (UPN). Se näyttää samalta kuin sähköpostiosoite.
Rivitason suojauksen käyttäminen työtilojen kanssa Power BI:ssä
Jos julkaiset Power BI Desktop -raportin Työtilassa Power BI -palvelussa, RLS-roolit otetaan käyttöön jäsenille, joille on määritetty katselijan rooli työtilassa. Vaikka katsojille annetaan semanttisen mallin muodostamisoikeudet, rivitason suojaus on edelleen voimassa. Jos esimerkiksi muodostamisoikeudet saaneet katselijat käyttävät Analysoi Excelissä -toimintoa, heidän näkymänsä tietoihin on rajoitettu rivitason suojauksen avulla. Työtilan jäsenillä, joille on määritetty järjestelmänvalvoja, jäsen tai osallistuja, on semanttisen mallin muokkausoikeus, joten rivitason suojaus ei koske heitä. Jos haluat, että rivitason suojaus koskee työtilan henkilöitä, voit määrittää heille vain Katselija-roolin. Lue lisää työtilojen rooleista.
Huomioitavat asiat ja rajoitukset
Voit tarkistaa pilvimallien rivitason suojauksen tämänhetkiset rajoitukset täältä:
- Jos määritit aiemmin rooleja ja sääntöjä Power BI -palvelussa, sinun on luotava ne uudelleen Power BI Desktopissa.
- Voit määrittää rivitason suojauksen vain semanttisissa malleissa, jotka on luotu Power BI Desktopin avulla. Jos haluat ottaa rivitason suojauksen käyttöön Excelillä luoduille semanttisille malleille, sinun on ensin muunnettava tiedostosi Power BI Desktop (PBIX) -tiedostoiksi. Lisätietoja.
- Palvelun päänimiä ei voi lisätä rivitason suojauksen rooliin. Näin ollen rivitason suojausta ei käytetä sovelluksiin, jotka käyttävät palvelun päänimeä lopullisena voimassa olevana käyttäjätietona.
- Vain tuonti- ja DirectQuery-yhteyksiä tuetaan. Reaaliaikaisia yhteyksiä Analysis Servicesiin käsitellään paikallisessa mallissa.
- Testaa roolina/Näytä roolina -ominaisuus ei toimi DirectQuery-malleissa, joissa kertakirjautuminen on käytössä.
- Testaa roolina/näytä roolina -ominaisuus näyttää vain semanttisten mallien työtilan raportit.
- Testaa roolina/Näytä roolina -ominaisuus ei toimi sivutetuissa raporteissa.
Muista, että jos Power BI -raportti viittaa riviin, jolle on määritetty rivitason suojaus, sama sanoma tulee näkyviin kuin poistetulle tai ei-olemassa olevalle kentälle. Näillä käyttäjillä vaikuttaa siltä, että raportti on rikki.
UKK
Kysymys: Entä jos olen aiemmin luonut rooleja ja sääntöjä tietojoukolle Power BI -palvelussa? Toimivatko ne edelleen, jos en tee mitään?
Vastaus: Ei, visualisointeja ei hahmonneta oikein. Sinun on luotava roolit ja säännöt uudelleen Power BI Desktopissa ja sen jälkeen julkaistava ne Power BI -palveluun.
Kysymys: Voinko luoda nämä roolit Analysis Services -tietolähteille?
Vastaus: Kyllä, jos tiedot on tuotu Power BI Desktopiin. Jos käytät reaaliaikaista yhteyttä, et voi määrittää rivitason suojausta Power BI -palvelun sisällä. Voit määrittää rivitason suojauksen Analysis Services -mallissa paikallisesti.
Kysymys: voinko käyttää rivitason suojausta rajoittamaan käyttäjien käytössä olevia sarakkeita tai mittareita?
Vastaus: Ei. Jos käyttäjällä on tietyn tietorivin käyttöoikeus, hän voi nähdä kaikki kyseisen rivin tietosarakkeet. Jos haluat rajoittaa sarakkeiden ja sarakkeiden metatietojen käyttöä, harkitse objektitason suojauksen käyttämistä.
Kysymys: Salliiko rivitason suojaus tarkkojen tietojen piilottamisen ja visualisoinneissa olevien yhteenvetotietojen käytön?
Vastaus: Ei, voit suojata yksittäisiä tietorivejä, mutta käyttäjät voivat aina nähdä tarkat tiedot tai yhteenvetotiedot.
Kysymys: Tietolähteeseeni on jo määritetty käyttöoikeusrooleja (esimerkiksi SQL Server -rooleja tai SAP BW -rooleja). Mikä näiden roolien ja rivitason suojauksen välinen suhde on?
Vastaus: Vastaus riippuu siitä, tuotko tietoja vai käytätkö DirectQuerya. Jos tuot tietoja Power BI -tietojoukkoosi, tietolähteesi käyttöoikeusrooleja ei käytetä. Tässä tapauksessa sinun on määritettävä rivitason suojaus, jotta voit pakottaa suojaussäännöt käyttäjille, jotka muodostavat yhteyden Power BI:ssä. Jos käytät DirectQueryä, käytetään tietolähteesi käyttöoikeusrooleja. Kun käyttäjä avaa raportin, Power BI lähettää pohjana olevaan tietolähteeseen kyselyn, joka soveltaa tietoihin suojaussääntöjä käyttäjän tunnistetietojen perusteella.
Kysymys: Voiko käyttäjä kuulua useampaan kuin yhteen rooliin?
Vastaus: Käyttäjä voi kuulua useisiin rooleihin, ja roolit ovat lisääviä. Jos käyttäjä esimerkiksi kuuluu sekä Myynti- että Markkinointi-rooleihin, hän voi nähdä molempien roolien tiedot.
Liittyvä sisältö
- Tietojen käytön rajoittaminen rivitason suojauksen (RLS) avulla Power BI Desktopissa
- Rivitason suojauksen (RLS) ohjeet Power BI Desktopissa
- Power BI:n käyttöönoton suunnittelu: Raportin kuluttajan suojauksen suunnittelu
- RLS upotetuille isv-ohjelmistokehitysten skenaarioille
Kysyttävää? Voit esittää kysymyksiä Power BI -yhteisön ehdotuksille? Kerro ideasi Power BI:n parantamiseksi