Power BI:n käyttöönoton suunnittelu: Raportin kuluttajan suojauksen suunnittelu
Muistiinpano
Tämä artikkeli on osa Power BI:n käyttöönoton suunnittelun artikkelisarjaa. Tässä sarjassa keskitytään ensisijaisesti Microsoft Fabricin Power BI -kokemukseen. Johdanto sarjaan on artikkelissa Power BI:n käyttöönoton suunnittelu.
Tässä suojauksen suunnitteluartikkelissa kuvataan vain luku -kuluttajille tarkoitettuja strategioita. Painopisteenä ovat raporttien ja sovellusten katseluoikeudet ja tietosuojan pakottaminen. Se on ensisijaisesti kohdistettu seuraaviin:
- Power BI -järjestelmänvalvojat: Järjestelmänvalvojat, jotka vastaavat Power BI:n valvonnasta organisaatiossa.
- Center of Excellence, IT ja BI-tiimi: Tiimit, jotka vastaavat myös Power BI:n valvonnasta. Heidän täytyy ehkä tehdä yhteistyötä Power BI -järjestelmänvalvojien, tietoturvatiimien ja muiden asiaankuuluvien tiimien kanssa.
- Sisällöntekijät ja omistajat: Omatoimisen BI-sisällöntuottajat, joiden on luotava, julkaistava, suojattava ja hallittava muiden käyttäjien käyttämää sisältöä.
Artikkelisarja on tarkoitettu laajennemaan Power BI:n suojausta koskevan julkaisun sisältöön. Vaikka Power BI:n suojauksen teknisessä raportissa keskitytään keskeisiin teknisiin aihealueisiin, kuten todentamiseen, tietojen tallennukseen ja verkon eristämiseen, sarjan ensisijaisena tavoitteena on tarjota huomioon otettavia seikkoja ja päätöksiä, jotka auttavat sinua suunnittelemaan suojausta ja yksityisyyttä.
Organisaatiossa monet käyttäjät luokitellaan kuluttajiksi. Kuluttajat tarkastelevat sisältöä, jonka muut käyttäjät ovat luoneet ja julkaisseet. Kuluttajat ovat tämän artikkelin painopisteenä. Sisällöntekijöisiin ja omistajiin keskittyvästä suojauksen suunnittelusta on artikkelissa Sisällöntekijän suojauksen suunnittelu .
Jotta saat kaiken irti tästä artikkelista, on hyödyllistä ymmärtää termien jakaminen ja jakelu merkityksessä Power BI:n yhteydessä.
Jakaminen antaa toiselle käyttäjälle (tai käyttäjäryhmälle) käyttöoikeuden tiettyyn sisältökohteeseen. Power BI -palvelun jakamisominaisuus on rajoitettu yhteen kohteeseen. Yleensä se tapahtuu ihmisten välillä, jotka tuntevat toisensa ja työskentelevät tiiviisti yhdessä.
Jakelussa sisältö toimitetaan muille käyttäjille, joita kutsutaan vastaanottajiksi. Siihen liittyy usein suurempi määrä käyttäjiä useissa tiimeissä. Vastaanottajat eivät ehkä ole pyytäneet sisältöä erikseen, mutta on tunnistettu, että he tarvitsevat sisältöä roolinsa suorittamiseen. Jaettua sisältöä käyttävät vastaanottajat saattavat tuntea tai olla tutustumatta sisällön alkuperäiseen luojaan. Näin ollen konseptin jakelu on muodollisempaa kuin jakaminen.
Kun keskustelet muiden ihmisten kanssa, määritä, käyttävätkö he termiä jakaminen yleisellä tavalla vai kirjaimellisesti. Termin jakaminen voidaan tulkita kahdella tavalla.
- Termiä jakaminen käytetään usein yleisesti suhteessa sisällön jakamiseen kollegoiden kanssa. Vain luku -sisällön toimittamiseen on useita tekniikoita, jotka on kuvattu tässä artikkelissa.
- Jakaminen on myös tietty ominaisuus Power BI:ssä. Se on ominaisuus, jossa käyttäjälle tai ryhmälle myönnetään käyttöoikeus yksittäiseen kohteeseen. Linkkien jakaminen ja suora käyttöoikeuksien jakaminen on kuvattu tässä artikkelissa.
Tärkeä
Power BI -järjestelmänvalvojan rooli on nimetty uudelleen. Roolin uusi nimi on Fabric-järjestelmänvalvoja.
Vain luku -kuluttajien strategia
Power BI -palvelussa kuluttajat voivat tarkastella raporttia tai koontinäyttöä, kun heillä on oikeudet molempiin:
- Näytä Power BI -kohde, joka sisältää visualisoinnit (kuten raportti tai koontinäyttö).
- Lue pohjana olevat tiedot (semanttinen malli tai muu lähde).
Voit tarjota kuluttajille vain luku -oikeudet käyttämällä eri tekniikoita. Omatoimisen sisällöntekijöiden käyttämiä yleisiä tekniikoita ovat seuraavat:
- Käyttäjien ja ryhmien käyttöoikeuksien myöntäminen Power BI -sovellukselle.
- Käyttäjien ja ryhmien lisääminen Power BI -työtilan Katselija-rooliin.
- Jakaminenlinkin avulla antaa käyttäjille ja ryhmille kohdekohtaiset käyttöoikeudet.
- Tarjoaa käyttäjille ja ryhmille kohdekohtaisia käyttöoikeuksia käyttämällä suoraa käyttöoikeutta.
Power BI -sovelluksen ja Power BI -työtilan Katselija-roolivaihtoehtoihin liittyy tietoyksiköiden käyttöoikeuksien hallinta. Kaksi kohdekohtaista käyttöoikeustekniikkaa sisältävät yhden yksittäisen kohteen käyttöoikeuksien hallinnan.
Vihje
Power BI -sovellusta on yleensä paras käytäntö käyttää useimmille kuluttajille. Toisinaan myös työtilan Katselija-rooli voi olla sopiva. Sekä Power BI -sovellukset että työtilan Katselija-rooli sallivat käyttöoikeuksien hallinnan monelle kohteelle, ja niitä tulee käyttää aina, kun se on mahdollista. Yksittäisten kohteiden käyttöoikeuksien hallinta voi olla työlästä, aikaa vievää ja virhe altis. Sen sijaan kohdejoukon hallinta vähentää ylläpitoa ja parantaa tarkkuutta.
Kun tarkastelet kohteen suojausasetuksia, saatat nähdä, että sen käyttöoikeudet ovat seuraavat:
- Peritty työtilasta tai sovelluksesta.
- Otettu käyttöön suoraan kohteelle.
Seuraavassa näyttökuvassa näkyvät raportin suorat käyttöoikeudet . Tässä esiintymässä työtilan järjestelmänvalvojan ja jäsenen roolit määritetään ryhmälle. Nämä roolit näytetään raportissa, koska raporttitason käyttöoikeus periytyy työtilasta. Myös yhdellä käyttäjällä on suoraan raportissa käytössä lukuoikeudet.
Vain luku -kuluttajille valitsemasi strategia voi olla erilainen. Sen pitäisi perustua yksittäiseen ratkaisuun, ratkaisun hallinnan mieltymyksiin tai kuluttajan tarpeisiin. Tämän osion loppuosassa kuvataan, milloin kannattaa harkita kunkin käytettävissä olevan tekniikan käyttöä.
Tarkistusluettelo – Kun luot strategiaa, jonka mukaan sisältöä voidaan tarjota vain luku -kuluttajille, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Arvioi olemassa oleva vain luku -kuluttajille tarkoitettu strategia: Tarkista, miten sisältö jaetaan ja jaetaan kuluttajille tällä hetkellä. Selvitä, onko parantamisen mahdollisuuksia.
- Päätä vain luku -kuluttajille tarkoitettu strategia: Mieti, mitä asetukset ovat sovelluksen käyttöoikeuksien, työtilaroolien tai kohdekohtaisten käyttöoikeuksien käyttämiseen. Jos näiden asetusten täyttäminen edellyttää muutoksia, luo parannussuunnitelma.
Power BI -sovelluksen käyttöoikeudet
Power BI -sovellus tarjoaa kuluttajille joukon raportteja, koontinäyttöjä ja työkirjoja. Sovellus tarjoaa kuluttajille parhaan mahdollisen käyttökokemuksen, koska:
- Sovelluksen siirtymisruutu tarjoaa yksinkertaisen ja intuitiivisen käyttökokemuksen. Se on mukavampi käyttökokemus kuin sisällön käyttäminen suoraan työtilassa.
- Sisältö voidaan järjestää loogisesti osioihin (jotka ovat kuin kansioita) sovelluksen siirtymisruudussa.
- Kuluttajilla on pääsy vain tiettyihin kohteisiin, jotka on nimenomaisesti sisällytetty sovellukseen yleisölle.
- Linkkejä lisätietoihin, dokumentaatioon tai muuhun sisältöön voidaan lisätä yleisön siirtymisruutuun.
- Käytössä on sisäinen Pyydä käyttöoikeutta -työnkulku.
Muistiinpano
Kaikki viittaukset sovellukseen tässä artikkelissa viittaavat Power BI -sovellukseen. Käsite on erilainen kuin Power Appsissa. Se on myös eri käsite kuin Power BI -mobiilisovellukset. Tässä osiossa painopisteenä ovat organisaation sovellukset mallisovellusten sijaan.
Voit luoda kullekin työtilalle yhden sovelluksen virallisena tapana jakaa työtilan sisältöä tai kaikkea sitä. Sovellukset ovat hyvä tapa jakaa sisältöä laaja-alaisesti organisaatiossa erityisesti käyttäjille, joita et tunne tai jotka eivät tee tiivistä yhteistyötä.
Vihje
Lisätietoja Power BI -sovelluksen käyttämisestä laajaan sisällön jakeluun on yrityksen BI-käyttöskenaariossa . Suosittelemme, että sisällöntuottajat, joiden on jaettava sisältöä, harkitsevat sovelluksen luomista ensimmäisenä valintanaan.
Hallitset sovelluksen käyttöoikeuksia erillään työtilan rooleista. Käyttöoikeuksien erottelulla on kaksi etua. Tukee
- Työtilan käyttöoikeuksien myöntäminen sisällöntekijöille. Se sisältää käyttäjät, jotka tekevät aktiivisesti yhteistyötä sisällön parissa, kuten semanttiset mallin luojat, raportin luojat ja testaajat.
- Myönnetään sovelluksen käyttöoikeudet kuluttajille. Toisin kuin työtilan käyttöoikeudet, sovelluksen käyttöoikeudet ovat aina vain luku -tilassa (tai ei mitään).
Kaikki käyttäjät, joilla on työtilan käyttöoikeus, voivat tarkastella sovellusta automaattisesti (kun työtilalle on julkaistu Power BI -sovellus). Tämän toiminnan vuoksi voit käsitteellisesti ajatella, että työtilan roolit periytyvät kunkin sovellusryhmän mukaan. Osa käyttäjistä, joilla on työtilan käyttöoikeus, voi myös päivittää Power BI -sovellusta määritetyn työtilaroolinsa mukaan.
Vihje
Lisätietoja työtilan käyttöoikeudesta on sisällön luojan suojauksen suunnittelua käsittelevässä artikkelissa.
Sovelluksen käyttäminen sisällön jakamiseen vain luku -kuluttajille on paras vaihtoehto, kun:
- Haluat, että käyttäjät voivat tarkastella vain tiettyjä kohteita, jotka näkyvät kyseiselle kohderyhmälle (pohjana olevan työtilan kaikkien kohteiden sijaan).
- Haluat hallita sovelluksen vain luku -käyttöoikeuksia erillään työtilasta.
- Haluat yksinkertaisemman käyttöoikeuksien hallinnan vain luku -käyttäjille kuin kohdekohtaiset käyttöoikeudet.
- Haluat varmistaa, että rivitason suojausta käytetään kuluttajille (kun heillä on pohjana olevan semanttisen mallin Vain luku -oikeus).
- Haluat varmistaa, että kuluttajat eivät voi tarkastella uusia ja muutettuja raportteja, ennen kuin sovellus julkaistaan uudelleen.
Vaikka onkin totta, että raporttien ja koontinäyttöjen muutokset eivät näy sovelluksen käyttäjille ennen sovelluksen uudelleenjulkaisemista, on olemassa kaksi huomioon otettavaa seikkaa, jotka edellyttävät varovaisuutta.
- Välittömät semanttisen mallin muutokset: Semanttisen mallin muutokset tulevat aina voimaan välittömästi. Jos esimerkiksi otat käyttöön semanttisen mallin rikkovat muutokset työtilassa, se voi tahattomasti johtaa siihen, että raportit muuttuvat epävakaiksi (vaikka niitä ei ole julkaistu uudelleen sovelluksessa). Tätä riskiä voi vähentää kahdella tavalla: Tee ensin kaikki kehitystyö Power BI Desktopissa (työtilasta erillään). Toiseksi eristä tuotantosovellus käyttämällä erillisiä työtiloja kehitystä ja testausta varten. (Vaihtoehtoisesti voit hallita paremmin työtilan sisällön käyttöönottoa kehityksestä testaukseen ja tuotantoon käyttöönottoputkien avulla.)
- Sisältö ja käyttöoikeudet julkaistaan yhdessä: Kun julkaiset sovelluksen, sen käyttöoikeudet julkaistaan samaan aikaan sisällön kanssa. Sinulla voi olla esimerkiksi työtilan raporttimuutoksia, jotka eivät ole vielä valmiita, täysin testattuja tai hyväksyttyjä. Et voi siis julkaista sovellusta uudelleen vain käyttöoikeuksien päivittämiseksi. Voit pienentää tätä riskiä määrittämällä sovelluksen käyttöoikeudet käyttöoikeusryhmille ja käyttämällä käyttöoikeusryhmän jäsenyyksiä (yksittäisten käyttäjien sijaan) myöntäessäsi sovelluksen käyttöoikeuksia. Vältä sovelluksen uudelleenjulkaisemista vain käyttöoikeusmuutosten ottaminen käyttöön.
Sovelluksen yleisö
Jokaisella Power BI -palvelun työtilalla voi olla vain yksi Power BI -sovellus. Sovelluksessa voit kuitenkin luoda yhden tai useamman käyttäjäohjelman. Esimerkkitilanne:
- Sinulla on viisi myyntiraporttia, jotka on jaettu useille käyttäjille koko globaalissa myyntiorganisaatiossasi.
- Sovelluksessa määritetään yksi kohderyhmä myyntiedustajille. Tämä yleisö voi tarkastella kolmea viidestäraportista.
- Sovelluksessa määritetään toinen käyttäjäryhmä myynnin johtotiimille. Tämä yleisö voi tarkastella kaikkia viittä raporttia, mukaan lukien kahta raporttia, jotka eivät ole myyntiedustajien käytettävissä.
Tämä mahdollisuus yhdistää sisältöä ja yleisöjä tuo seuraavia etuja.
- Tietyt raportit voivat olla käytettävissä useiden käyttäjäryhmien tarkastelua varten. Näin ollen useiden käyttäjäryhmien luominen poistaa tarpeen monistaa sisältö eri työtiloissa.
- Tiettyjen raporttien tulee olla vain yhden yleisön käytettävissä. Yhden yleisön sisältö voi siis sijaita samassa työtilassa kuin muu aiheeseen liittyvä sisältö.
Seuraavassa näyttökuvassa näkyy sovellus, jossa on kaksi käyttäjäryhmää: Sales Leadership ja Sales Reps. Yleisön käyttöoikeuksien hallinta -ruudussa on pääsy Sales Leadership - yleisöryhmään kahdelle käyttöoikeusryhmälle: Sales Leadership-North America ja Sales Leadership-Europe. Myyntikateanalyysi-raportti, joka näkyy Myyntijohtajuus-ryhmän näyttökuvassa, ei ole myyntiedustajien yleisöryhmän käytettävissä.
Muistiinpano
Termiä yleisöryhmä käytetään joskus. Se ei ole suora viittaus käyttöoikeusryhmien käyttöön. Siihen kuuluu kohderyhmän jäseniä, jotka näkevät Power BI -sovelluksen sisältökokoelman. Vaikka voit määrittää yksittäisiä käyttäjiä tietylle käyttäjäryhmälle, parhaiden käytäntöjen mukaan on määritettävä käyttöoikeusryhmiä, Microsoft 365 -ryhmiä tai jakeluryhmiä käytännön mukaan. Lisätietoja on vuokraajatason suojauksen suunnitteluartikkelin artikkelissa Ryhmien käyttämisen strategia.
Kun hallitset sovelluksen käyttöoikeuksia, Voit tarkastella kunkin yleisön jäseniä Direct Access -sivulla. Näet myös käyttäjät, joilla on työtilan rooli, lueteltuna kohdassa Kaikki yleisö. Et voi päivittää sovelluksen käyttöoikeuksia Direct Access -sivulta. Sen sijaan sinun on julkaistava sovellus uudelleen. Voit kuitenkin päivittää sovelluksen käyttöoikeudet Odottava-sivulta, kun sovellukselle on avoimia käyttöoikeuspyyntöjä.
Vihje
Sovelluksen käyttäjäryhmien ensisijainen käyttötapaus on määrittää tietyt käyttöoikeudet eri käyttäjäjoukoille. Voit kuitenkin olla hieman luova käyttäessäsi yleisöjä. Käyttäjä voi olla useiden käyttäjäryhmien jäsen, ja jokainen käyttäjäryhmä näytetään sovelluksen katselijille toissijaisena valikkojoukkona. Voit esimerkiksi luoda aloita tästä -nimisen yleisön, joka sisältää tietoja sovelluksen käyttämisestä, siitä, keneen ottaa yhteyttä, miten antaa palautetta ja miten saada apua. Voit myös luoda yleisön nimeltä KPI Definitions , joka sisältää tietohakemiston. Tämäntyyppisten tietojen tarjoaminen auttaa uusia käyttäjiä ja parantaa ratkaisujen käyttöönottotoimia .
Sovelluksen käyttöoikeusasetukset
Kun luot sovelluksen (tai julkaiset sen uudelleen), kullakin käyttäjäryhmällä on Hallitse yleisön käyttöoikeuksia -ruutu. Seuraavat käyttöoikeudet ovat käytettävissä kyseisessä ruudussa.
- Myönnä käyttöoikeus : Kullekin käyttäjäryhmälle voit myöntää käyttöoikeuden yksittäisille käyttäjille ja ryhmille. Sovellus voidaan julkaista koko organisaatiolle, kun Julkaise sovellukset koko organisaation vuokraajaan -asetus on käytössä eikä sovellusta asenneta automaattisesti. Suosittelemme, että määrität ryhmiä kohderyhmille aina, kun se on mahdollista, koska käyttäjien lisääminen tai poistaminen edellyttää sovelluksen uudelleenjulkaisemista. Kaikilla, joilla on työtilan käyttöoikeus, on automaattisesti oikeus tarkastella tai päivittää sovellusta työtilaroolinsa mukaan.
- Semanttisen mallin käyttöoikeudet: Sovelluksen julkaisemisen aikana voidaan myöntää kaksi semanttisen mallin käyttöoikeustyyppiä:
- Semanttinen malli Uudelleenjakaminen: Kun se on käytössä, sovelluksen käyttäjille myönnetään uudelleenjakamisoikeus pohjana olevaan semanttiseen malliin tai malliin muiden kanssa. Tämä asetus on järkevää ottaa käyttöön, kun pohjana oleva semanttinen malli tai mallit voidaan helposti jakaa kenelle tahansa. Suosittelemme, että hankit hyväksynnän semanttisen mallin omistajilta ennen kuin myönnät uudelleenjakamisoikeuden sovelluksen yleisölle.
- Semanttisen mallin koonti: Kun se on käytössä, sovelluksen käyttäjille myönnetään semanttisten mallien muodostamisoikeus . Muodostamisoikeuden avulla käyttäjät voivat esimerkiksi luoda uusia raportteja, viedä pohjana olevia tietoja raporteista. Suosittelemme, että hankit hyväksynnän semanttisen mallin omistajilta ennen koontiversion käyttöoikeuksien myöntämistä sovellusyleisölle.
Mahdollisuus lisätä semanttisen mallin uudelleenjakamis- tai muodostamisoikeudet sovelluksen julkaisemisen aikana on kätevä. Suosittelemme kuitenkin, että harkitset sovellusten käyttöoikeuksien ja semanttisen mallin käyttöoikeuksien hallintaa erikseen. Seuraavassa on syy, miksi.
- Jaettu semanttinen malli voi olla erillisessä työtilassa: Jos semanttinen malli julkaistaan erilliseen työtilaan sovelluksesta, sinun on hallittava sen käyttöoikeuksia suoraan. Mahdollisuus lisätä luku-, muodostamis- tai uudelleenjakamisoikeuksia sovelluksen julkaisemisen aikana toimii vain semanttisissa malleissa, jotka ovat samassa työtilassa kuin sovellus. Tästä syystä suosittelemme, että otat käyttöön semanttisen mallin käyttöoikeuksien hallinnan erikseen.
- Semanttisen mallin käyttöoikeuksia hallitaan erikseen: Jos poistat tai muutat sovelluksen käyttöoikeuksia, kyseinen toiminto vaikuttaa vain sovellukseen. Se ei poista automaattisesti mitään aiemmin määritettyjä semanttisen mallin käyttöoikeuksia. Näin voit ajatella, että sovelluksen käyttöoikeudet ja semanttiset mallin käyttöoikeudet erotetaan toisistaan. Sinun on hallittava semanttista mallia suoraan sovelluksesta erillään, kun semanttisen mallin käyttöoikeuksia muutetaan tai ne on poistettava.
- Semanttisen mallin käyttöoikeuksia tulisi hallita: Semanttisen mallin käyttöoikeuksien myöntäminen sovelluksella poistaa ohjausobjektin semanttisen mallin omistajalta. Uudelleenjakamisoikeuden myöntäminen perustuu käyttäjien hyvään tuomioon, sillä he ovat päättäneet jakaa semanttisen mallin tai mallit uudelleen. Sisäisen hallinnon tai suojauksen ohjeista voi tulla vaikeampi hallita, kun uudelleenjakaminen sallitaan.
- Kuluttajilla ja luojilla on erilaiset tavoitteet: Yleensä sisällön kuluttajia on paljon enemmän kuin organisaation sisällön tekijöitä. Pienin oikeus -periaatteen mukaisesti kuluttajat tarvitsevat vain pohjana olevan semanttisen mallin lukuoikeuden. He eivät tarvitse muodostamisoikeutta, elleivät he aio luoda uusia raportteja.
Vihje
Lisätietoja siitä, milloin kannattaa käyttää erillisiä tietotyötiloja ja raportointityötiloja, on työtilatason suunnittelua käsittelevässä artikkelissa.
Sovelluksen esiasennuksen oikeudet
Kun olet julkaissut Power BI -sovelluksen, käyttäjän on yleensä asennettava se, jotta hän voi avata sen. Käyttäjä voi asentaa sovelluksen Power BI -palvelun Sovellukset-sivulta tai käyttämällä toiselta käyttäjältä saatuaan linkkiä. He löytävät (ja asentavat) sovelluksen, kun ne ovat mukana vähintään yhdessä sovelluksen käyttäjäryhmässä.
Vaihtoehtoinen tapa asentaa sovellus on lähettää se sovelluksen kuluttajille. Se johtaa sovelluksen esiasennukseen niin, että se näkyy automaattisesti Power BI -palvelun Sovellukset-sivulla. Tästä lähestymistavasta on hyötyä kuluttajille, koska heidän ei tarvitse etsiä ja asentaa sovellusta. Valmiiksi asennetuista sovelluksista voi kuitenkin tulla ikävää käyttäjille, koska liian monet sovellukset, jotka eivät ole merkityksellisiä heille, saattavat hukkua niihin.
Lähetä sovelluksia käyttäjille -vuokraaja-asetus määrittää, kuka saa asentaa sovelluksia automaattisesti. Suosittelemme, että käytät tätä ominaisuutta, koska se on kätevää käyttäjille. Suosittelemme kuitenkin myös, että opetat sisällöntekijöille, milloin sitä kannattaa käyttää, jotta niitä ei käytetä liikaa.
Vihje
Kun julkaiset sovelluksen, jos valitset sovelluksen automaattisen asennusvaihtoehdon, et voi määrittää käyttäjäryhmää koko organisaatioksi (jos se on käytössä Lähetä sovellukset käyttäjille -vuokraaja-asetuksella).
Tarkistusluettelo – Kun luot strategiaasi sovellusten käyttämiseksi sisällön katselijille, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Päätä sovellusten käyttöstrategiasta: Määritä asetuksesi sovellusten käyttöä varten. Varmista, että se on yhdenmukainen yleisen vain luku -kuluttajia koskevan strategiasi kanssa.
- Päätä, kuka voi julkaista sovelluksia koko organisaatiolle: Päätä, ketkä raportin luojat voivat julkaista koko organisaatiolle. Määritä Julkaise sovelluksia koko organisaation vuokraajalle -asetus tämän päätöksen mukaisesti.
- Päätä, kuka voi lähettää sovelluksia käyttäjille: Päätä, ketkä Power BI -raporttien luojat voivat esiasenneta sovelluksia. Määritä Push-sovellukset käyttäjille -vuokraaja-asetus tämän päätöksen mukaisesti.
- Luo ja julkaise sisällöntekijöille ohjeita: anna sisällöntekijöille dokumentaatiota ja koulutusta. Sisällytä vaatimukset ja asetukset siitä, miten sovelluksia käytetään tehokkaimmin.
- Määritä, miten voit käsitellä sovelluksen käyttöoikeuspyyntöjä: Varmista, että on käynnissä prosessi, jolla määritetään yhteyshenkilöitä ja käsitellään sovellusten käyttöoikeuspyyntöjä oikea-aikaisesti.
Työtilan katselijan rooli
Kuten Työtilan suunnittelu -artikkeleissa on kuvattu, työtilan ensisijainen tarkoitus on yhteistyö. Työtilan yhteistyökumppanit, kuten semanttiset mallin luojat, raportin luojat ja testaajat, tulisi määrittää johonkin kolmesta roolista: osallistuja, jäsen tai järjestelmänvalvoja. Nämä roolit on kuvattu sisällön luojan suojauksen suunnittelua käsittelevässä artikkelissa.
Voit määrittää työtilan Katselija-roolin kuluttajille. Jos kuluttajille annetaan mahdollisuus käyttää sisältöä suoraan työtilassa, se voi olla järkevää pienille tiimeille ja epävirallisille tiimeille, jotka tekevät tiivistä yhteistyötä.
On hyvä vaihtoehto antaa kuluttajille mahdollisuus käyttää työtilan sisältöä suoraan, kun:
- Sovelluksen muodollisuus erillisin käyttöoikeuksin ei ole tarpeen.
- Katselijat voivat tarkastella kaikkia työtilaan tallennettuja kohteita.
- Haluat yksinkertaisemman käyttöoikeuksien hallinnan kuin kohdekohtaiset käyttöoikeudet.
- Työtilan käyttäjät voivat myös tarkastella sovellusta (kun työtilalle julkaistaan sovellus).
- Tarkoituksena on, että katselijat voivat tarkastella sisältöä ennen kuin se julkaistaan sovelluksessa.
Seuraavassa on joitakin ehdotuksia työtilan katselijien tukemiseksi.
- Voit järjestää sisällön kuhunkin työtilaan siten, että raportin kuluttajat helposti paikannavat kohteet, jolloin ne sopivat hyvin yhteen suojauksen kanssa. Työtilan järjestely aihealueen tai projektin mukaan toimii yleensä hyvin.
- Eristä kehitys- ja testisisältö tuotantosisällöstä niin, että keskeneräiset kohteet eivät ole tarkastelija käytettävissä.
- Käytä sovelluksia (tai kohdekohtaisia käyttöoikeuksia tarvittaessa), kun aiot käsitellä useita käyttöoikeuspyyntöjä. Työtiloille ei ole Pyydä käyttöoikeutta -työnkulkua.
Tarkistusluettelo – Kun luot strategiaa, jonka mukaan sisällön katselijat käyttävät työtiloja, tärkeimpiä päätöksiä ja toimintoja ovat seuraavat:
- Päätä työtilan Katselija-roolin käyttämisen strategiasta: Määritä, mitkä ovat asetuksesi siitä, miten työtiloja käytetään kuluttajille. Varmista, että se on yhdenmukainen yleisen vain luku -kuluttajia koskevan strategiasi kanssa.
- Luo ja julkaise sisällöntekijöille ohjeita: anna sisällöntekijöille dokumentaatiota ja koulutusta. Sisällytä vaatimuksia ja asetuksia siitä, miten voit käyttää työtilan käyttöoikeuksia tehokkaimmin.
Kohdekohtaiset käyttöoikeudet
Yksittäisen kohteen jakaminen myöntää käyttöoikeuden yksittäiseen kohteeseen. Vähemmän kokeneet sisällöntekijät käyttävät tätä tekniikkaa usein ensisijaisena jakamistekniikkana, koska jakamiskomennot näkyvät näkyvästi Power BI -palvelussa. Tästä syystä on tärkeää kouluttaa sisällöntuottajat erilaisiin jakamisvaihtoehtoihin, kuten siihen, milloin sovelluksen käyttöoikeuksia kannattaa käyttää työtilaroolien sijaan.
Kohdekohtaiset käyttöoikeudet ovat hyvä valinta, kun:
- Haluat antaa vain luku -käyttöoikeuden yhteen kohteeseen (raporttiin tai koontinäyttöön).
- Et halua, että kuluttaja näkee kaiken työtilassa julkaistun sisällön.
- Et halua, että kuluttaja näkee kaiken sovelluksen yleisölle julkaistun sisällön.
Käytä kohdekohtaisia käyttöoikeuksia säästeliäästi, koska jakaminen myöntää lukuoikeuden yhdelle kohteelle. Tietyllä tavalla voit ajatella kohdekohtaisia käyttöoikeuksia työtilan roolien tai sovelluskäyttöoikeuksien ohittamisena.
Vihje
Suosittelemme, että käytät sovelluksen käyttöoikeuksia aina kun se on mahdollista. Seuraavaksi kannattaa harkita työtilaroolien käyttämistä suoran työtilan käytön mahdollistamiseksi. Käytä lopuksi kohdekohtaisia käyttöoikeuksia, kun ne täyttävät edellä mainitut ehdot. Sovelluksen käyttöoikeudet ja työtilaroolit määrittävät molemmat suojausta sisältökokoelmalle (yksittäisten kohteiden sijaan), mikä on parempi suojauskäytäntö.
Useiden kohteiden jakaminen kohdekohtaisilla käyttöoikeuksilla voi olla työlästä ja virhe altista etenkin, kun jaetaan yksittäisille käyttäjille ryhmien sijaan. Mieti tätä skenaariota: Sinulla on 40 raporttia, jotka olet jakanut työtovereille heidän yksittäisten käyttäjätiliensa avulla. Kun yksi työtoveri siirtyy toiselle osastolle, sinun on peruutettava hänen käyttöoikeutensa, mikä edellyttää kaikkien 40 raportin muokkausoikeuksia.
Tärkeä
Sisällön jakaminen henkilökohtaisesta työtilasta tulisi tehdä harvoin. Henkilökohtaiset työtilat soveltuvat parhaiten ei-kriittiseen, epäviralliseen tai väliaikaiseen sisältöön. Jos olet tilanteessa, jossa sisällön luojat jakavat usein tärkeää tai tärkeää sisältöä henkilökohtaisista työtiloistaan, sinun on tehtävä tarvittavat toimet kyseisen sisällön siirtämiseksi vakiotyötilaan. Lisätietoja on henkilökohtaisen BI:n käyttöskenaariossa.
Kun jaat yksittäisen kohteen, sinulla on useita käyttöoikeusvaihtoehtoja.
- Uudelleenjakamisoikeus: Kun asetus on käytössä, käyttäjät voivat jakaa kohteen muiden käyttäjien kanssa, mukaan lukien sen pohjana olevat semanttiset mallit. Tämän käyttöoikeuden myöntäminen on järkevää, kun kohde voidaan jakaa helposti kenen tahansa kanssa. Se poistaa ohjausobjektin kohdetta hallitsevalta henkilöltä tai tiimiltä. Tämä perustuu siis käyttäjien hyvään arviointiin, kun heille myönnetään uudelleenjakamisoikeus. Sisäisen hallinnon tai suojauksen ohjeista voi kuitenkin tulla vaikeampi hallita, kun uudelleenjakaminen sallitaan.
- Muodostamisoikeus: Kun muodostamisoikeus on käytössä, käyttäjille myönnetään pohjana olevan semanttisen mallin muodostamisoikeus . Muodostamisoikeuden avulla käyttäjät voivat luoda uutta semanttiseen malliin perustuvaa sisältöä. Sen avulla he voivat myös viedä pohjana olevia tietoja raporteista ja niin edelleen. Koontiversio-käyttöoikeuden myöntämisessä huomioitavat seikat on kuvattu sisällön luojan suojauksen suunnittelua käsittelevässä artikkelissa.
Kohteiden mukaiset raporttien ja koontinäyttöjen käyttöoikeudet voivat olla järkeviä epämuodollisissa tilanteissa, kun sisältöä jaetaan muutaman käyttäjän kanssa. Suosittelemme opettamaan käyttäjille käyttöoikeuksien hallinnasta sovellusten ja työtilojen avulla sen sijaan, varsinkin kun he jakavat sisältöä suurelle määrälle käyttäjiä tai käyttäjiä tiiminsä ulkopuolella. On tärkeää korostaa seuraavia kohtia.
- On vaikeampaa määrittää, mikä sisältö on jaettu kummallekin käyttäjälle, koska kunkin raportin ja koontinäytön käyttöoikeudet on tarkistettava erikseen.
- Monissa tapauksissa uudelleenjakamisen käyttöoikeus on määritetty, koska käyttökokemus ottaa tämän asetuksen käyttöön oletusarvoisesti. On siis olemassa riski siitä, että sisältö jaetaan laajemmalle käyttäjäjoukolle kuin on tarkoitus. Tämä tulos voidaan estää poistamalla valinta Salli vastaanottajien jakaa tämä raportti -asetuksen valinta jakamista käytettäessä. Ylijakamisen pienentäminen tällä tavalla on käyttäjän koulutusongelma. Sisällöntekijän, joka määrittää jakamisoikeudet, tulisi ottaa tämä valinta huomioon aina.
- Muut voivat heti tarkastella kaikkia raporttien ja koontinäyttöjen muutoksia, mikä saattaa hämmentää käyttäjiä, kun sisällön muutoksia tehdään. Tätä aihetta voidaan lieventää jakamalla sisältöä sovelluksessa tai käyttämällä erillisiä työtiloja kehityksen, testin ja tuotantosisällön erottamiseksi. Lisätietoja on artikkelissa Omatoiminen sisällön julkaiseminen käyttöskenaariossa.
- Kun käyttäjä jakaa sisältöä omasta työtilastaan ja lähtee organisaatiosta, IT-toiminto yleensä poistaa käyttäjän käyttäjätilin käytöstä. Tässä tapauksessa kaikki jaetun sisällön vastaanottajat menettävät heti sisällön käyttöoikeuden.
Jakamistyyppejä on kolme: linkkien jakaminen, suora käyttöoikeuksien jakaminen ja jaetut näkymät.
Kohdekohtaiset käyttöoikeuslinkit
Kun jaat yksittäisen kohteen, oletuskokemus johtaa jakamislinkkiin. Jakamislinkkejä on kolmenlaisia.
- Henkilöt organisaatiossasi: Kun tämä jakamislinkki on otettu käyttöön Power BI -vuokraaja-asetuksissa, se on helppo tapa tarjota vain luku -käyttöoikeudet kaikille organisaatiossa. Jakamislinkki ei kuitenkaan toimi ulkoisille käyttäjille. Tämä vaihtoehto sopii parhaiten siihen, kun kuka tahansa voi tarkastella sisältöä ja linkki voidaan jakaa vapaasti koko organisaatiossa. Tämäntyyppinen jakaminen on oletustyyppi, ellei Sitä ole poistettu käytöstä Salli jaettavat linkit -toiminnolla myöntääksesi käyttöoikeuden kaikille organisaatiosi vuokraaja-asetuksissa.
- Henkilöt, joilla on aiemmin luotu käyttöoikeus: Tämä vaihtoehto ei luo uutta jakamislinkkiä. Sen sijaan sen avulla voit noutaa URL-osoitteen, jotta voit lähettää sen jollekulle, jolla on jo käyttöoikeus.
- Tietyt henkilöt: Tämä vaihtoehto tuottaa jakamislinkin tietyille käyttäjille tai ryhmille. Suosittelemme, että käytät tätä vaihtoehtoa suurimman osan ajasta, koska se tarjoaa tarkan käyttöoikeuden. Jos työskentelet usein ulkoisten käyttäjien kanssa, voit käyttää tämäntyyppistä linkkiä vieraskäyttäjille, jotka ovat jo olemassa Microsoft Entra -tunnuksella. Lisätietoja vieraskäyttäjien luomisesta suunnitellusta kutsuprosessista on vuokraajatason suojauksen suunnittelua käsittelevässä artikkelissa.
Tärkeä
Suosittelemme, että harkitset Salli jaettavat linkit -asetuksen rajoittamista käyttöoikeuden myöntämiseksi kaikille organisaatiosi vuokraaja-asetuksissa ryhmän jäsenille. Voit luoda ryhmänimen, kuten Power BI:n jaa koko organisaatiolle, ja lisätä sitten pienen määrän käyttäjiä, jotka ymmärtävät koko organisaation laajuisen jakamisen vaikutukset. Jos olet huolissasi organisaation laajuisia linkkejä, voit etsiä järjestelmänvalvojan ohjelmointirajapinnan avulla kaikki kohteet, jotka on jaettu koko organisaation kanssa.
Jakamislinkki lisää kohteen lukuoikeuden. Uudelleenjakamisoikeus on oletusarvoisesti valittuna. Voit myös lisätä muodostamisoikeuden pohjana olevaan semanttiseen malliin samaan aikaan, kun jakamislinkki luodaan.
Vihje
Suosittelemme, että opetat sisällöntekijöille muodostamisoikeusasetuksen käyttöön vain silloin, kun raportin kuluttaja on myös sisällöntekijä, jonka täytyy ehkä luoda raportteja, viedä tietoja tai luoda yhdistelmämalli pohjana olevasta semanttisesta mallista.
Linkkien jakaminen on helpompaa kuin suora käyttöoikeuksien jakaminen, erityisesti jos joukkomuutokset on tehtävä. Se on merkittävä etu, kun yksittäisille käyttäjille myönnetään jakamisoikeudet ryhmiä enemmän (mikä tapahtuu yleensä, kun omatoimiset käyttäjät vastaavat käyttöoikeuksien hallinnasta). Kokeile seuraavia vertailuja.
- Jakamislinkki: 20 yksittäiselle käyttäjälle myönnetään käyttöoikeus jakamislinkin avulla. Yhdellä linkin muutoksella se vaikuttaa 20 käyttäjään.
- Suora käyttö: 20 henkilölle myönnetään suora pääsy kohteeseen. Jos haluat tehdä muutoksen, kaikkia 20 käyttöoikeutta on muokattava.
Kohdekohtaiset suorat käyttöoikeudet
Voit myös saavuttaa kohdekohtaiset käyttöoikeudet käyttämällä suoraa käyttöoikeutta. Suora käyttö edellyttää käyttöoikeuksien määrittämistä yhdelle kohteelle. Voit myös määrittää minkä tahansa perityn käyttöoikeuden, joka on johdettu työtilarooleista.
Kun myönnät käyttäjälle suoran käyttöoikeuden, hänelle myönnetään kohteen lukuoikeus. Uudelleenjakamisoikeus on oletusarvoisesti valittuna, samoin kuin pohjana olevan semanttisen mallin muodostamisoikeus. Suosittelemme, että opetat sisällöntekijöille muodostamisoikeuden käyttöön vain, kun tämän raportin kuluttaja on myös sisällöntekijä, jonka täytyy ehkä luoda raportteja, viedä tietoja tai luoda yhdistelmämalleja pohjana olevasta semanttisesta mallista.
Vihje
Käyttäjäkokemus tekee uudelleenjakamisen ja muodostamisoikeuksien myöntämisestä hyvin yksinkertaista, mutta jakamista suorittavan käyttäjän on aina tarkistettava, ovatko kyseiset käyttöoikeudet tarpeellisia.
Jaetut näkymät
Jaetun näkymän avulla voit jakaa raportin suodatetun perspektiivin toisen käyttäjän kanssa. Voit julkaista jaetun näkymän käyttämällä jakamislinkkiä tai suoraa käyttöoikeutta.
Jaetut näkymät ovat väliaikainen käsite. Ne vanhenevat automaattisesti 180 päivän kuluttua. Tästä syystä jaetut näkymät soveltuvat parhaiten epäviralliseen ja väliaikaiseen jakamiseen. Varmista, että käyttäjät ovat tietoisia tästä rajoituksesta.
Tarkistusluettelo – Kun luot strategiaasi kohdekohtaisten käyttöoikeuksien käyttämiseksi, tärkeimmät päätökset ja toiminnot sisältävät seuraavat:
- Päätä jakamisominaisuuden käyttöstrategia: Määritä, mitkä ovat asetuksesi kohdekohtaisten käyttöoikeuksien käytölle. Varmista, että se on yhdenmukainen yleisen vain luku -kuluttajia koskevan strategiasi kanssa.
- Päätä, kuka voi julkaista linkkejä koko organisaatiolle: Päätä, ketkä raportin luojat voivat julkaista linkkejä koko organisaatiolle. Määritä Salli jaettavissa olevat linkit niin, että kaikille organisaatiosi vuokraaja-asetuksissa myönnetään käyttöoikeus tämän päätöksen mukaisesti.
- Luo ja julkaise sisällöntekijöille ohjeita: tarjoa sisällöntekijöille dokumentaatiota ja koulutusta, joka sisältää vaatimuksia ja asetuksia siitä, miten kohdekohtaisia käyttöoikeuksia käytetään tehokkaimmin. Varmista, että ne ovat selvillä kohdekohtaisten käyttöoikeuksien eduista ja haitoista. Sisällytä ohjeita siitä, milloin jaetaan linkkejä ja milloin suoraa jakamista käytetään.
Muut kuluttajakyselytekniikat
Yleisimpiä tapoja, joilla kuluttajat voivat käyttää Power BI:tä, ovat sovellukset, työtilat ja kohdekohtaiset käyttöoikeudet (kuvattu aiemmin tässä artikkelissa).
On myös muita tekniikoita, joita kuluttajat voivat käyttää Power BI -tietojen kyselemiseen. Jokainen seuraavista kyselytekniikoista edellyttää semanttisen mallin tai tietomartin muodostamisoikeutta.
- Analysoi Excelissä: Kuluttajat, jotka haluavat käyttää Exceliä, voivat tehdä kyselyn Power BI:n semanttiseen malliin Analysoi Excelissä -toiminnolla. Tämä ominaisuus on erinomainen vaihtoehto tietojen viemiseksi Exceliin, koska tiedot eivät ole kaksoiskappaleita. Reaaliaikaisen semanttisen mallin yhteyden avulla käyttäjät voivat luoda pivot-taulukoita, kaavioita ja osittajia. Sen jälkeen he voivat julkaista työkirjan Power BI -palvelun työtilaan, jolloin kuluttajat voivat avata sen ja käsitellä sitä.
- XMLA-päätepiste: Kuluttajat voivat tehdä kyselyn semanttiseen malliin yhdistämällä XMLA-päätepisteeseen. XMLA-yhteensopiva sovellus voi muodostaa yhteyden Premium-työtilaan tallennettuun semanttiseen malliin, tehdä siitä kyselyn ja käyttää sitä. Tästä ominaisuudesta on hyötyä, kun kuluttajat haluavat käyttää Power BI:n semanttista mallia tietolähteenään tietojen visualisointityökalussa Microsoftin ekosysteemin ulkopuolella.
- Tietomarssieditori: Kuluttajat voivat tehdä kyselyn Power BI -tietomartille datamart-editorin avulla. Se on verkkopohjainen visualisoinnin kyselyeditori, jolla voidaan luoda kyselyitä, joita ei voi koodia luoda. Tarjolla on myös verkkopohjainen SQL-editori käyttäjille, jotka haluavat kirjoittaa SQL-kyselyitä. Molemmat editorit kyselevät hallitusta Azure SQL -tietokannasta, joka on Power BI -tietomarssin taustalla (sisäänrakennetun semanttisen mallin sijaan).
- SQL-päätepiste: Kuluttajat voivat tehdä kyselyn Power BI -tietomartille SQL-päätepisteen avulla. He voivat käyttää SQL-kyselyiden suorittamiseen työkaluja, kuten Azure Data Studio tai SQL Server Management Studiota (SSMS). SQL-päätepiste ohjaa kyselyt hallittuun Azure SQL -tietokantaan, joka on Power BI -tietomartin taustalla (sisäänrakennetun semanttisen mallin sijaan).
Lisätietoja muodostamisoikeudesta on sisällön luojan suojauksen suunnittelua käsittelevässä artikkelissa.
Tarkistusluettelo – Kun suunnittelet, mitä kyselytekniikoita kuluttajat käyttävät, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Luo käyttäjille ohjeet Analysoi Excelissä -toiminnon käyttöön: Tarjoa kuluttajille dokumentaatiota ja koulutusta siitä, miten voit käyttää nykyisiä semanttisia malleja uudelleen Excelissä.
- Luo käyttäjille ohjeita XMLA-päätepisteen käyttöön: Tarjoa kuluttajille dokumentaatiota ja koulutusta parhaalla tavalla, jolla voit käyttää uudelleen olemassa olevia semanttisia malleja XMLA-päätepisteen avulla.
- Luo käyttäjille ohjeita tietomarssikyselyihin: Anna kuluttajille ohjeita ja koulutusta käytettävissä olevista tekniikoista, joiden avulla he voivat tehdä kyselyjä Power BI -tietomalleille.
Pyydä käyttöoikeustyönkulkua kuluttajille
Sisältöä jaettaessa on yleistä, että yksi käyttäjä välittää linkin (URL) toiselle käyttäjälle. Kun vastaanottaja yrittää tarkastella sisältöä ja huomaa, ettei hänellä ole käyttöoikeutta siihen, hän voi valita Pyydä käyttöoikeutta -painikkeen. Tämä toiminto käynnistää Pyynnön käyttöoikeus -työnkulun. Käyttäjää pyydetään sitten antamaan viesti, jossa kerrotaan, miksi hän haluaa käyttää.
Pyynnön käyttöoikeustyönkulku on olemassa sille:
- Power BI -sovelluksen käyttöoikeus.
- Käyttöoikeus kohteeseen, kuten raporttiin tai koontinäyttöön.
- Semanttisen mallin käyttöoikeus. Lisätietoja Pyydä käyttöoikeutta -työnkulusta, kun semanttinen malli on löydettävissä, on sisällön luojan suojauksen suunnittelua koskevassa artikkelissa.
Sovelluksen käyttöoikeuspyynnöt
On olemassa kaksi tapaa, joilla voit saada tietoja odottavasta käyttöoikeuspyynnöstä, joka on lähetetty sovellukselle.
- Sähköposti: Sovelluksen yhteyshenkilöt saavat sähköposti-ilmoituksen. Tämä yhteyshenkilö on oletusarvoisesti sovelluksen julkaisija. Tärkeiden sovellusten tuen parantamiseksi suosittelemme, että asetat yhteyshenkilön ryhmään, joka pystyy vastaamaan nopeasti käyttöoikeuspyyntöihin.
- Käyttöoikeusvalikon hallinta: Työtilan järjestelmänvalvojat ja jäsenet voivat tarkastella, hyväksyä tai hylätä käyttöoikeuspyyntöjä. Käyttöoikeuksien hallinta -sivu on käytettävissä Sovellukset-sivulla, ja se voidaan avata kullekin sovellukselle. Tämä ominaisuus on työtilan osallistujien käytettävissä myös silloin, kun Salli osallistujien päivittää sovellus tätä työtilaa varten -asetus on käytössä.
Sovelluksen odottavissa käyttöoikeuspyynnöissä näkyy käyttäjän antama sanoma. Jokainen odottava pyyntö voidaan hyväksyä tai hylätä. Kun päätät hyväksyä pyynnön, sovelluksen yleisö täytyy valita.
Seuraavassa näyttökuvassa näkyy odottava käyttöoikeuspyyntö käyttäjältä. Jotta voit hyväksyä sen, toinen kahdesta sovellusryhmästä, Myyntiedustajat tai Myyntijohtajuus, on valittava.
Kun julkaiset sovelluksen, sisältö ja sen käyttöoikeudet julkaistaan samanaikaisesti. Kuten aiemmin kuvattiin, et voi julkaista vain sovelluksen käyttöoikeuksia ilman sisällön muutoksia. Tähän liittyy kuitenkin yksi poikkeus: Kun hyväksyt odottavan käyttöoikeuspyynnön (kuten edellisessä näyttökuvassa näkyvän), käyttöoikeuden muutos tapahtuu ilman viimeisimmän sisällön julkaisemista työtilassa.
Työtilan käyttöoikeuspyynnöt
Työtilan käyttöoikeuden myöntävät käyttäjät, jotka kuuluvat järjestelmänvalvojan tai jäsenen rooliin.
Käyttäjä, joka yrittää tarkastella työtilaa, saa käyttö estettyjen sanoman, kun hän ei ole työtilan roolin jäsen. Koska työtiloille ei ole sisäänrakennettua Pyynnön käyttöoikeus -työnkulkua, niitä kannattaa käyttää pienille tiimeille ja epävirallisille tiimeille, jotka tekevät tiivistä yhteistyötä. Tämä on yksi syy siihen, miksi Power BI -sovellus sopii paremmin suurempien tiimien ja laajempien sisällön jakeluskenaarioiden pariin.
Kohdekohtaiset käyttöoikeuspyynnöt
On olemassa kaksi tapaa, joilla voit saada tietoja odottavasta käyttöoikeuspyynnöstä, joka on lähetetty yksittäiselle kohteelle, kuten raportti.
- Sähköposti: Kohteen yhteyshenkilöt saavat sähköposti-ilmoituksen. Jotta voit tarjota parempaa tukea kriittisille raporteille, suosittelemme, että asetat yhteyshenkilön ryhmään, joka pystyy vastaamaan nopeasti käyttöoikeuspyyntöihin.
- Käyttöoikeusvalikon hallinta: Työtilan järjestelmänvalvojat ja jäsenet voivat käyttää kunkin kohteen Käyttöoikeuksien hallinta -sivua. He voivat tarkastella, hyväksyä tai hylätä käyttöoikeuksia odottavia pyyntöjä.
Käyttöoikeuspyyntöjen hallinta ryhmien avulla
Kun käyttäjä lähettää Pyydä käyttöoikeus -lomakkeen Power BI -kohteelle (kuten raportille tai semanttisille mallille) tai Power BI -sovellukselle, pyyntö lähetetään yksittäiselle käyttäjälle. Monien suurten organisaatioiden on kuitenkin käytettävä ryhmiä sisäisten suojauskäytäntöjensä noudattamiseksi.
Suosittelemme, että käytät ryhmiä yksilöiden sijaan sisällön suojaamiseen aina, kun se on käytännöllistä. Lisätietoja ryhmien suunnittelusta on artikkelissa Vuokraajatason suojauksen suunnittelu .
Jos aiot antaa käyttöoikeudet ryhmiin yksittäisten käyttäjien sijaan, käyttöoikeuspyyntöä käsittelevän sisällön omistajan tai järjestelmänvalvojan on suoritettava pyyntö useassa vaiheessa:
- Hylkää odottava pyyntö Power BI:ssä (koska se liittyy yksittäiseen käyttäjään).
- Lisää pyytäjä oikeaan ryhmään nykyisen prosessisi mukaan.
- Ilmoita pyytäjälle, että heillä on nyt käyttöoikeus.
Vihje
Katso kohdasta Pyydä sisällöntuottajille käyttöoikeuksien työnkulkua lisätietoja yhteyden muodostamispyyntöihin vastaamisesta sisällöntekijöiltä. Se sisältää myös suosituksia lomakkeen käyttämisestä käyttöoikeuspyynnöissä.
Tarkistusluettelo – Kun suunnittelet Pyydä käyttöoikeutta -työnkulkua, tärkeimmät päätökset ja toiminnot ovat seuraavat:
- Määritä, kenen tulee käsitellä sovelluksen käyttöoikeuspyyntöjä: Varmista, että on käynnissä prosessi, jolla sovelluksen käyttöoikeuspyyntöjä käsitellään oikea-aikaisesti. Varmista, että sovelluksen yhteystiedot on määritetty tukemaan prosessia.
- Määritä, kenen tulee käsitellä kohdekohtaisia pyyntöjä: Varmista, että käyttöoikeuspyyntöjä käsitellään oikea-aikaisesti. Varmista, että kullekin kohteelle on määritetty yhteyshenkilöt prosessin tukemiseksi.
- Sisällytä sisällöntekijöille tarkoitettuihin ohjeisiin ja koulutukseen: Varmista, että sisällöntuottajat ymmärtävät, miten käyttöoikeuspyyntöjä käsitellään oikea-aikaisesti. Kerro heille, miten pyyntöjä käsitellään, kun ryhmää tulee käyttää yksittäisen käyttäjän sijaan.
- Sisällytä dokumentaatioon ja koulutukseen: Sisällytä sisällöntekijöille ohjeita siihen, miten käyttöoikeuspyyntöjä hallitaan tehokkaasti. Voit myös antaa kuluttajille ohjeita siitä, mitä tietoja heidän käyttöoikeuspyyntöönsä sisällytetään.
Tietosuojan pakottaminen käyttäjätietojen perusteella
Tietoturvan avulla voit luoda vähemmän semanttisia malleja ja raportteja. Tavoitteena on pakottaa tietosuoja sisältöä tarkastelevan käyttäjän käyttäjätietojen perusteella.
Ajattele esimerkiksi, että voit jakaa yksittäisen myyntiraportin kaikkien myyjien (kuluttajien) kanssa tietäen, että jokainen myyjä näkee vain oman alueensa myyntitulokset. Tämän lähestymistavan avulla voit välttää sen, kuinka monimutkaisia ovat erillisten raporttien luominen aluetta kohden ja joka pitää jakaa kyseisen myyntialueen myyjien kanssa.
Joillakin organisaatioilla on tiettyjä vaatimuksia tuetuille (sertifioiduille tai ylennetyille) semanttisille malleille tai tietomalleille. Tietojen laajasti käytössä saattaa olla tarve käyttää tietosuojaa.
Voit suorittaa tietosuojan monella tavalla.
- Power BI:n semanttinen malli: Power BI -tietojen luojana voit pakottaa rivitason suojauksen (RLS) ja objektitason suojauksen (OLS). Rivitason suojaus sisältää roolien ja sääntöjen määrittämisen, jotka suodattavat tietomallin rivejä, kun taas OLS rajoittaa pääsyn tiettyihin taulukoihin tai sarakkeisiin. Nämä määritetyt RLS- ja OLS-säännöt eivät koske viittauksia, jotka on tallennettu semanttisen mallin ulkopuolelle, kuten osittaja- ja suodatinvalintoja. Sekä RLS- että OLS-tekniikoita käsitellään tarkemmin myöhemmin tässä osiossa.
- Analysis Services: Semanttinen reaaliaikainen yhteysmalli voi muodostaa yhteyden etätietomalliin, jota isännöi joko Azure Analysis Services (AAS) tai SQL Server Analysis Services (SSAS). Etämalli voi pakottaa rivitason suojauksen tai OLS:n kuluttajatietojen perusteella.
- Tietolähde: Jotkin tietolähteet, kuten Azure SQL -tietokanta, voivat pakottaa rivitason suojauksen. Tässä tapauksessa Power BI -malli voi hyödyntää olemassa olevaa suojausta sen uudelleenmääritettämisen sijaan. Tämä lähestymistapa voi olla merkittävä etu, kun lähteessä määritetty rivitason suojaus on monimutkainen. Voit kehittää ja julkaista DirectQuery-mallin ja määrittää semanttisen mallin tietolähteen tunnistetiedot Power BI -palvelussa kertakirjautumisen (SSO) käyttöönottamiseksi. Kun raportin käyttäjä avaa raportin, Power BI välittää käyttäjätiedot tietolähteelle. Tietolähde pakottaa sitten rivitason suojauksen raportin kuluttajan käyttäjätietojen perusteella. Lisätietoja Azuren SQL-tietokannan RLS-lausekkeesta on tässä artikkelissa.
Muistiinpano
Lähdejärjestelmät, kuten Azure SQL -tietokanta, voivat myös käyttää tekniikoita, kuten näkymiä, rajoittaakseen käyttäjien näkemiä tietoja. Tämä tekniikka on kelvollinen, mutta sillä ei ole merkitystä tämän osion tarkastelun kannalta.
Rivitason suojaus
Rivitason suojauksen (RLS) avulla tietojen mallintaja voi rajoittaa tietojen alijoukon käyttöä. Sen avulla varmistetaan yleensä, että jotkut raportin kuluttajat eivät näe tiettyjä tietoja, kuten muiden myyntialueiden myyntituloksia.
Vihje
Jos olet huomannut jonkun luovan useita tietomalleja eri kuluttajaryhmien tukemiseksi, tarkista, täyttääkö rivitason suojaus heidän vaatimuksensa. Yleensä on parempi luoda, testata ja ylläpitää yhtä tietomallia useiden tietomallien sijaan.
Ole varovainen, koska jos Power BI -raportti viittaa riviin, jolle on määritetty riviN SUOJAUS, sama sanoma näytetään kuin poistetulle tai ei-olemassa olevalle kentälle. Näillä käyttäjillä vaikuttaa siltä, että raportti on rikki.
Rivitason suojauksen määrittämisessä on kaksi vaihetta: säännöt ja roolien yhdistämismääritykset.
RLS-säännöt
Semanttisissa malleissa tietojen mallintaja voi määrittää rivitason suojauksen Power BI Desktopissa luomalla yhden tai useamman roolin. Roolilla on yksilöivä nimi mallissa, ja se sisältää yleensä yhden tai useamman säännön. Säännöt valvovat mallitaulukoiden suodattimia DAX-suodatinlausekkeiden avulla. Mallilla ei ole oletusarvoisesti rooleja.
Tärkeä
Malli ilman rooleja tarkoittaa, että käyttäjillä (joilla on tietomallikyselyn käyttöoikeus) on pääsy kaikkiin mallitietoihin.
Sääntölausekkeet arvioidaan rivikontekstin sisällä. Rivikonteksti tarkoittaa, että lauseke arvioidaan jokaiselle riville käyttämällä kyseisen rivin sarakearvoja. Kun lauseke palauttaa TRUE
arvon , käyttäjä voi nähdä rivin. Voit määrittää sääntöjä, jotka ovat joko staattisia tai dynaamisia.
- Staattiset säännöt: Käytä DAX-lausekkeita, jotka viittaavat vakioihin, kuten
[Region] = "Midwest"
. - Dynaamiset säännöt: Käytä tiettyjä DAX-funktioita, jotka palauttavat ympäristöarvoja (vakioihin verrattuna). Ympäristöarvot palautetaan kolmesta tietystä DAX-funktiosta: USERNAME, USERPRINCIPALNAME ja CUSTOMDATA. Dynaamisten sääntöjen määrittäminen on yksinkertaista ja tehokasta, kun mallitaulukko tallentaa käyttäjänimen arvot. Niiden avulla voit toteuttaa tietopohjaisen RLS-rakenteen.
RLS-roolien yhdistämismääritykset
Kun olet julkaissut mallin Power BI -palveluun, sinun on määritettävä roolien yhdistämismääritykset , ennen kuin käyttäjät käyttävät aiheeseen liittyviä raportteja. Roolien yhdistämiseen kuuluu Microsoft Entra -suojausobjektien määrittäminen rooleille. Suojausobjektit voivat olla käyttäjätilejä tai käyttöoikeusryhmiä.
Roolien yhdistäminen käyttöoikeusryhmiin on paras käytäntö aina, kun se on mahdollista. Näin yhdistämismäärityksiä tulee olemaan vähemmän, ja ryhmän omistaja voi hoitaa ryhmän jäsenyyden hallinnan.
Suosittelemme, että tuot Microsoft Entran suojaustilin tiedot sisällöntuottajien saataville. Yksi vaihtoehto on luoda tietovuo , jonka tiedot on synkronoitu Microsoft Entra -tunnuksen kanssa. Näin sisällöntuottajat voivat integroida tietovuon tiedot ja luoda tietoihin perustuvan semanttisen mallin.
Vihje
On mahdollista määrittää rooli, jossa ei ole sääntöjä. Tässä tapauksessa rooli tarjoaa käyttöoikeuden kaikkien mallitaulukoiden kaikkiin riveihin. Tämäntyyppisen roolin määrittäminen sopii hyvin, kun järjestelmänvalvojalla tai käyttäjällä on oikeus tarkastella kaikkia mallin tietoja.
RLS-käyttökokemus
Jotkin organisaatiot päättävät käyttää RLS:ää toissijaisena suojaustasona Power BI:n vakiokäyttöoikeuksien lisäksi. Kuvittele seuraava tilanne: jaat linkin raporttiin koko organisaation kanssa. Kaikki raporttia tarkastelevat käyttäjät on yhdistettävä rivitason suojauksen rooliin, jotta he voivat nähdä raportin tiedot. Jos niitä ei ole yhdistetty RLS-rooliin, he eivät näe mitään tietoja.
Rivitason suojauksen mukanaolo muuttaa kuluttajien oletuskäyttökokemusta.
- Kun rivitason suojausta ei ole määritetty semanttiseen malliin: Tekijät ja kuluttajat, joilla on vähintään semanttisen mallin lukuoikeudet, voivat tarkastella kaikkia semanttisen mallin tietoja .
- Kun rivitason suojaus määritetään semanttisessa mallissa: Tekijät ja kuluttajat, joilla on vain semanttisen mallin lukuoikeus, voivat tarkastella vain tietoja, jotka he saavat nähdä (RLS-roolien yhdistämisen perusteella).
Muistiinpano
Jotkin organisaatiot valvovat rivitason suojausta ylimääräisenä suojauskerroksena, erityisesti jos kyseessä ovat arkaluonteiset tiedot. Tästä syystä saatat haluta vaatia rivitason suojausta sertifioiduille semanttisille malleille. Tämä vaatimus voidaan toteuttaa sisäisellä tarkistus- ja hyväksyntäprosessilla ennen semanttisen mallin sertifiointia.
Kun käyttäjä tarkastelee raporttia joko työtilassa tai sovelluksessa, rivitason suojausta saatetaan pakottaa semanttisen mallin käyttöoikeuksista riippuen. Tästä syystä on tärkeää, että sisällönkuluttajilla ja sisällöntekijöillä on lukuoikeus vain taustalla olevaan semanttiseen malliin, kun rivitason suojaus täytyy pakottaa.
Seuraavassa on käyttöoikeussääntöjä, jotka määrittävät, käytetäänkö rivitason suojausta.
- Käyttäjällä on semanttisen mallin lukuoikeus: RLS on voimassa käyttäjälle.
- Käyttäjällä on semanttisen mallin luku- ja muodostamisoikeudet: RLS pakotetaan käyttäjälle.
- Käyttäjällä on semanttisen mallin kirjoitusoikeudet: rivitason suojausta ei pakoteta käyttäjälle, mikä tarkoittaa sitä, että hän voi nähdä kaikki tiedot semanttisessa mallissa. Kirjoitusoikeus antaa mahdollisuuden muokata semanttista mallia. Se voidaan myöntää kahdella tavalla:
- Osallistuja-, Jäsen- tai Järjestelmänvalvoja-työtilarooleilla (työtilassa, johon semanttinen malli on tallennettu).
- Käyttäen kohteen kirjoitus-semanttisen mallin käyttöoikeutta.
Vihje
Jos haluat lisätietoja siitä, miten voit käyttää erillisiä työtiloja, jotta rivitason suojaus toimii sisällöntekijöille, tutustu hallittuun omatoimisen BI:n käyttöskenaarioon.
Lisätietoja RLS:stä on artikkelissa Power BI -mallitietojen käytön rajoittaminen.
Tietojoukkojen RLS
Power BI -tietojoukot voivat myös pakottaa rivitason suojauksen. Toteutus on kuitenkin erilainen.
Suurin ero on, että tietojoukkojen rivitason suojaus määritetään Power BI -palvelussa, ei Power BI Desktopissa.
Toinen ero on, että tietojoukkojen pakottaminen käyttämään rivitason suojausta sekä semanttisessa mallissa että datamartiin liittyvässä hallitussa Azure SQL -tietokannassa. Rivitason suojauksen pakottaminen molemmissa kerroksissa tarjoaa johdonmukaisuutta ja joustavuutta. Samoja RLS-suodattimia käytetään riippumatta siitä, miten käyttäjä tekee tietokyselyjä, oli kyse sitten yhteyden muodostamisesta semanttiseen malliin tai hallittuun Azure SQL -tietokantaan.
Lisätietoja on kohdassa Tietojoukkojen rivitason suojaus.
Objektitason suojaus
Objektitason suojauksen (OLS) avulla tietojen mallintaja voi rajoittaa tiettyjen taulukoiden ja sarakkeiden käyttöä sekä niiden metatietoja. OLS-palvelun avulla varmistat yleensä, että arkaluontoiset sarakkeet, kuten työntekijän palkka, eivät näy tietyille käyttäjille. Vaikka mittareiden käyttöä ei voi rajoittaa, kaikki mittarit, jotka viittaavat rajoitettuun sarakkeeseen, rajoitetaan itse.
Otetaan esimerkiksi työntekijätaulukko. Se sisältää sarakkeet, joihin tallennetaan työntekijän nimi ja puhelinnumero sekä myös palkka. OLS-järjestelmän avulla voit varmistaa, että vain tietyt käyttäjät, kuten henkilöstöhallinnon henkilöstöpäällikkö, näkevät palkka-arvot. Niille käyttäjille, jotka eivät näe palkka-arvoja, on kuin kyseistä saraketta ei olisi olemassa.
Ole varovainen, koska jos Power BI -raportin visualisointi sisältää palkan, käyttäjät, joilla ei ole käyttöoikeutta kyseiseen kenttään, saavat virhesanoman. Viesti kertoo, ettei objektia ole olemassa. Näillä käyttäjillä vaikuttaa siltä, että raportti on rikki.
Muistiinpano
Voit myös määrittää perpektiivit tietomallissa. Perspektiivi määrittää malliobjektien tarkasteltavat alijoukot, joiden avulla raportin tekijät voivat kohdistaa ne tiettyihin asioihin. Perspektiiviä ei ole tarkoitettu rajoittamaan malliobjektien käyttöoikeuksia. Käyttäjä voi edelleen kysellä taulukkoa tai saraketta, vaikka hän ei näe sitä. Perpektiivit ovat siis pikemminkin käyttömukavuuksia kuin suojaustoimintoja.
Power BI Desktopissa ei ole tällä hetkellä käyttöliittymää OLS:n määrittämiseen. Voit käyttää Tabular Editoria, joka on kolmannen osapuolen työkalu mallien luomiseen, ylläpitoon ja hallintaan. Lisätietoja on kehittyneen tietomallin hallinnan käyttöskenaariossa.
Lisätietoja OLS-palveluista on artikkelissa Power BI -malliobjektien käyttöoikeuksien rajoittaminen.
Tarkistusluettelo – Kun suunnittelet rivitason suojausta ja OLS:ää, keskeiset päätökset ja toiminnot ovat seuraavat:
- Päätä rivitason suojauksen käyttöstrategiasta: Mieti, missä käyttötapauksissa ja tarkoituksissa aiot käyttää rivitason suojausta.
- Päätä OLS:n käyttöstrategiasta: Mieti, mihin käyttötapauksiin ja tarkoituksiin aiot käyttää objektitason suojausta.
- Harkitse sertifioidun sisällön vaatimuksia: Jos sinulla on prosessi, joka edellyttää semanttisen mallin sertifiointia, päätä, sisällytetäänkö mukaan mitään erityisiä vaatimuksia rivitason suojauksen tai OLS:n käytölle.
- Luo ja julkaise käyttäjien ohjeita: Luo käyttäjille dokumentaatio, joka sisältää rivitason suojauksen ja OLS:n käytön vaatimukset ja asetukset. Kuvaa, miten voit hankkia käyttäjän yhdistämismäärityksen tiedot, jos ne ovat keskitetyssä sijainnissa.
- Päivitä koulutusmateriaalit: Sisällytä käyttäjien koulutusmateriaaleihin keskeisiä tietoja rivitason suojauksen ja ols-suojauksen vaatimuksista ja asetuksista. Anna käyttäjille esimerkkejä siitä, milloin on tarkoituksenmukaista käyttää kumpaa tahansa tietosuojatekniikkaa.
Liittyvä sisältö
Tämän sarjan seuraavassa artikkelissa kerrotaan suojauksen suunnittelusta sisällöntekijöille, jotka vastaavat semanttisten mallien, tietovoiden, tietojoukkojen, raporttien tai koontinäyttöjen luomisesta.