Power BI 구현 계획: 콘텐츠 작성자 보안 계획
참고 항목
이 문서는 Power BI 구현 계획 시리즈의 일부를 구성합니다. 이 시리즈는 주로 Microsoft Fabric 내의 Power BI 환경에 중점을 둡니다. 시리즈에 대한 소개는 Power BI 구현 계획을 참조하세요.
이 보안 계획 문서에서는 의미 체계 모델, 데이터 흐름, 데이터마트, 보고서 또는 대시보드를 만드는 역할을 담당하는 콘텐츠 작성자를 위한 전략을 설명합니다. 주로 다음을 대상으로 합니다.
- Power BI 관리자: 조직의 Power BI를 감독할 책임이 있는 관리자입니다.
- 우수성 센터, IT 및 BI 팀: Power BI를 감독할 책임도 있는 팀입니다. Power BI 관리자, 정보 보안 팀 및 기타 관련 팀과 공동 작업해야 하는 경우가 있을 수 있습니다.
- 콘텐츠 작성자 및 소유자: 다른 사용자가 소비하는 콘텐츠를 만들고, 게시하고, 보호하고, 관리해야 하는 셀프 서비스 BI 작성자입니다.
일련의 문서는 Power BI 보안 백서의 콘텐츠를 확장하기 위한 것입니다. Power BI 보안 백서에서는 인증, 데이터 보존 및 네트워크 격리 등의 주요 기술 항목을 중점적으로 다루지만, 보안 및 프라이버시와 관련된 의사결정 사항과 고려 사항을 제시하는 것을 주된 목표로 합니다.
조직에서는 많은 사용자가 콘텐츠 작성자입니다. 콘텐츠 작성자는 다른 사용자가 보는 콘텐츠를 생성하고 게시합니다. 콘텐츠 작성자는 이 문서에서 중점을 두는 대상입니다.
팁
먼저 보고서 소비자 보안 계획 문서를 검토하는 것이 좋습니다. 데이터 보안을 적용하는 방법을 포함하여 읽기 전용 소비자에게 콘텐츠를 안전하게 제공하기 위한 전략을 설명합니다.
콘텐츠 작성자를 위한 전략
잘 관리되는 셀프 서비스 BI 시스템의 기반은 콘텐츠 작성자와 소유자로 시작됩니다. 의미 체계 모델과 보고서를 만들고 유효성을 검사합니다. 대부분의 경우 콘텐츠 작성자가 콘텐츠에 대한 보안을 관리할 수 있는 권한도 설정합니다.
팁
데이터의 보안과 보호를 모든 사람의 역할의 평범한 부분으로 만드는 데이터 문화를 조성하는 것이 좋습니다. 이러한 목표를 달성하기 위해서는 사용자 교육, 지원 및 학습이 필수적입니다.
보안 및 사용 권한을 위해 데이터 작성자와 보고서 작성자라는 두 가지 유형의 콘텐츠 작성자가 있음을 고려합니다. 이들은 엔터프라이즈 BI 또는 셀프 서비스 BI 콘텐츠를 만들고 관리하는 역할을 담당할 수 있습니다.
데이터 작성자
데이터 작성자는 의미 체계 모델, 데이터 흐름 또는 데이터 마트를 만드는 Power BI 사용자입니다.
다음은 몇 가지 공통 데이터 작성자 시나리오입니다.
- 새 의미 체계 모델 만들기: Power BI Desktop에서 새 데이터 모델을 만들고 테스트합니다. 그런 다음, 많은 보고서의 공유 의미 체계 모델로 사용할 수 있도록 Power BI 서비스에 게시됩니다. 공유 의미 체계 모델을 다시 사용하는 방법에 대한 자세한 내용은 관리형 셀프 서비스 BI 사용 시나리오를 참조하세요.
- 의미 체계 모델 확장 및 사용자 지정: Power BI Desktop에서 기존 공유 의미 체계 모델에 대한 실시간 연결을 만듭니다. 라이브 연결을 로컬 모델로 변환합니다. 그러면 새 테이블 또는 열로 모델 디자인을 확장할 수 있습니다. 공유 의미 체계 모델을 확장하고 사용자 지정하는 방법에 대한 자세한 내용은 사용자 지정 가능한 관리형 셀프 서비스 BI 사용 시나리오를 참조하세요.
- 새 데이터 흐름 만들기: Power BI 서비스에서 많은 의미 체계 모델이 원본으로 사용할 수 있도록 새 데이터 흐름을 만듭니다. 데이터 준비 작업을 다시 사용하는 방법에 대한 자세한 내용은 셀프 서비스 데이터 준비 사용 시나리오를 참조하세요.
- 새 데이터 마트를 만듭니다. Power BI 서비스에서 새 데이터 마트를 만듭니다.
데이터 작성자는 대개의 경우 엔터프라이즈 BI 팀과 COE(최고 전문가 조직)에 있습니다. 또한 자체 데이터를 유지하고 관리하는 분산된 사업부와 부서에서 중요한 역할을 합니다.
비즈니스 주도 BI, 관리형 셀프 서비스 BI 및 엔터프라이즈 BI에 대한 기타 고려 사항은 콘텐츠 소유권 및 관리 문서를 참조하세요.
보고서 작성자
보고서 작성자는 보고서 및 대시보드를 만들어 기존 의미 체계 모델에서 제공되는 데이터를 시각화합니다.
다음은 몇 가지 공통 보고서 작성자 시나리오입니다.
- 데이터 모델을 포함하여 새 보고서 만들기: Power BI Desktop에서 새 보고서 및 데이터 모델을 만들고 테스트합니다. 하나 이상의 보고서 페이지가 있고 데이터 모델을 포함하는 Power BI Desktop 파일이 Power BI 서비스에 게시됩니다. 새 콘텐츠 작성자는 일반적으로 공유 의미 체계 모델 사용을 인식하기 전에 이 메서드를 사용합니다. 데이터 재사용에 필요하지 않은 좁은 사용 사례에도 적합합니다.
- 라이브 연결 보고서 만들기: Power BI 서비스에서 공유 의미 체계 모델에 연결하는 새 Power BI 보고서를 만듭니다. 공유 의미 체계 모델을 다시 사용하는 방법에 대한 자세한 내용은 관리형 셀프 서비스 BI 사용 시나리오를 참조하세요.
- 연결된 Excel 통합 문서 만들기: Power BI 서비스의 공유 의미 체계 모델에 연결하는 새 Excel 보고서를 만듭니다. 데이터를 다운로드하는 대신 연결된 Excel 환경을 사용하는 것이 좋습니다.
- DirectQuery 보고서 만들기: DirectQuery 모드에서 지원되는 데이터 원본에 연결하는 새 Power BI 보고서를 만듭니다. 이 메서드가 유용한 유일한 상황은 원본 시스템에서 구현된 사용자 보안을 활용하려는 경우입니다.
보고서 작성자는 조직의 모든 사업부 곳곳에 있습니다. 일반적으로 조직에는 데이터 작성자보다 많은 보고서 작성자가 있습니다.
팁
모든 의미 체계 모델이 공유 의미 체계 모델은 아니지만 관리형 셀프 서비스 BI 전략을 채택하는 것은 여전히 가치가 있습니다. 이 전략은 가능할 때마다 공유 의미 체계 모델을 재사용합니다. 이러한 방식으로 보고서 만들기와 데이터 생성이 분리됩니다. 모든 사업부의 모든 콘텐츠 작성자는 이 전략을 효과적으로 사용할 수 있습니다.
작성자의 권한
이 섹션에서는 데이터 작성자와 보고서 작성자에게 가장 일반적인 권한을 설명합니다.
이 섹션에서는 가능한 모든 권한 목록을 다루지 않습니다. 대신 다양한 유형의 콘텐츠 작성자를 지원하기 위한 전략을 계획하는 데 도움이 되도록 작성되었습니다. 목표는 최소 권한의 원칙을 따르는 것입니다. 이 원칙을 사용하면 과잉 프로비저닝 권한 없이 사용자가 생산성을 높일 수 있는 충분한 권한을 갖게 됩니다.
새 콘텐츠 만들기
새 콘텐츠를 만들려면 일반적으로 다음 권한이 필요합니다.
사용 권한 | 보고서 작성자 | 의미 체계 모델 작성자 | 데이터 흐름 작성자 | 데이터 마트 작성자 |
---|---|---|---|---|
기본 데이터 원본에 대한 액세스 | ||||
의미 체계 모델 읽기 및 빌드 권한 | ||||
데이터 흐름 읽기 권한(데이터 흐름이 작업 영역 뷰어 역할을 통해 원본으로 사용되는 경우) | ||||
원본 Power BI Desktop 파일이 저장되는 위치에 액세스 | ||||
사용자 지정 시각적 개체를 사용할 수 있는 권한 |
콘텐츠 게시 권한
콘텐츠를 게시하려면 일반적으로 다음 권한이 필요합니다.
사용 권한 | 보고서 작성자 | 의미 체계 모델 작성자 | 데이터 흐름 작성자 | 데이터 마트 작성자 |
---|---|---|---|---|
작업 영역 역할: 기여자, 구성원 또는 관리자 | ||||
의미 체계 모델 쓰기 권한(사용자가 작업 영역 역할에 속하지 않는 경우) | ||||
항목을 게시하는 배포 파이프라인 역할(선택 사항) |
데이터 새로 고침
데이터를 새로 고치려면 일반적으로 다음 권한이 필요합니다.
사용 권한 | 보고서 작성자 | 의미 체계 모델 작성자 | 데이터 흐름 작성자 | 데이터 마트 작성자 |
---|---|---|---|---|
할당된 소유자(설정을 지정했거나 항목을 인수한 사람) | ||||
기본 데이터 원본에 대한 액세스(게이트웨이를 사용하지 않는 경우) | ||||
게이트웨이의 데이터 원본에 대한 액세스(원본이 온-프레미스 또는 가상 네트워크에 있는 경우) |
이 문서의 나머지 부분에서는 콘텐츠 작성자 권한에 대한 고려 사항을 설명합니다.
팁
콘텐츠 보기와 관련된 권한은 소비자 보안 계획 보고서 문서를 참조하세요.
검사 목록 - 콘텐츠 작성자를 위한 보안 전략을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 데이터 작성자가 누구인지 확인: 의미 체계 모델, 데이터 흐름, 데이터 마트를 만드는 사용자를 잘 알고 있는지 확인합니다. 보안 계획 활동을 시작하기 전에 요구 사항을 이해했는지 확인합니다.
- 보고서 작성자가 누구인지 확인: 보고서, 대시보드, 통합 문서, 성과 기록표를 만드는 사용자를 잘 알고 있는지 확인합니다. 보안 계획 활동을 시작하기 전에 요구 사항을 이해했는지 확인합니다.
작성자를 위한 콘텐츠 검색
사용자는 데이터 검색을 통해 의미 체계 모델과 데이터 마트를 찾을 수 있습니다. 데이터 검색은 콘텐츠 작성자가 해당 콘텐츠에 대한 권한이 없는 경우에도 기존 데이터 자산을 찾을 수 있도록 하는 Power BI 기능입니다.
기존 데이터의 검색은 다음 작성자에게 유용합니다.
- 새 보고서에 기존 의미 체계 모델을 사용하려는 보고서 작성자.
- 기존 데이터 마트의 데이터를 쿼리하려는 보고서 작성자.
- 새로운 복합 모델에 기존 의미 체계 모델을 사용하려는 의미 체계 모델 작성자.
참고 항목
Power BI의 데이터 검색은 데이터 보안 권한이 아닙니다. 보고서 작성자가 메타데이터를 읽고 데이터를 검색하고 액세스 권한을 요청할 수 있도록 하는 설정입니다.
의미 체계 모델 또는 데이터마트가 보증 (인증 또는 승격)된 경우 검색 가능으로 설정할 수 있습니다. 검색 가능한 경우 콘텐츠 작성자는 데이터 허브에서 찾을 수 있습니다.
콘텐츠 작성자는 의미 체계 모델이나 데이터 마트에 대한 액세스를 요청할 수도 있습니다. 기본적으로 액세스 요청은 빌드 권한을 요청하며, 이를 기반으로 새 콘텐츠를 만들려면 이 권한이 필요합니다. 액세스 요청에 응답할 때 개별 사용자 대신 그룹을 사용하는 것이 좋습니다. 이 목적을 위해 그룹을 사용하는 방법에 대한 자세한 내용은 소비자에 대한 액세스 워크플로 요청을 참조하세요.
다음 세 가지 예제를 고려하세요.
- 판매 요약 의미 체계 모델이 인증되었습니다. 판매 추적을 위한 신뢰할 수 있는 원본입니다. 조직 전체의 많은 셀프 서비스 보고서 작성자가 이 의미 체계 모델을 사용합니다. 따라서 의미 체계 모델을 기반으로 하는 많은 기존 보고서 및 복합 모델이 있습니다. 다른 작성자가 의미 체계 모델을 찾고 사용하도록 권장하기 위해 검색 가능으로 설정됩니다.
- 인벤토리 통계 의미 체계 모델이 인증되었습니다. 인벤토리 분석을 위한 신뢰할 수 있는 원본입니다. 의미 체계 모델 및 관련 보고서는 엔터프라이즈 BI 팀에서 유지 관리하고 배포합니다. 의미 체계 모델의 디자인이 복잡하여 엔터프라이즈 BI 팀만 인벤토리 콘텐츠를 만들고 유지 관리할 수 있습니다. 목표는 보고서 작성자가 의미 체계 모델을 사용하지 않도록 하는 것이기 때문에 검색 가능으로 설정되지 않습니다.
- Executive Bonuses 의미 체계 모델에는 기밀 정보가 포함되어 있습니다. 이 의미 체계 모델을 보거나 업데이트할 수 있는 권한은 소수의 사용자로 제한됩니다. 이 의미 체계 모델은 검색 가능으로 설정되지 않았습니다.
다음 스크린샷은 Power BI 서비스에 있는 데이터 허브의 의미 체계 모델을 보여줍니다. 특히 검색 가능한 의미 체계 모델에 대한 액세스 요청 메시지의 예를 보여줍니다. 이 메시지는 사용자에게 현재 액세스 권한이 없는 경우에 표시됩니다. 액세스 요청 메시지가 의미 체계 모델 설정에서 사용자 지정되었습니다.
액세스 요청 메시지는 다음과 같습니다. MTD/QTD/YTD의 표준 판매 보고의 경우 이 의미 체계 모델은 신뢰할 수 있고 인증된 원본입니다. https://COE.contoso.com/RequestAccess
에 있는 양식을 작성하여 의미 체계 모델에 대한 액세스를 요청하세요. 간단한 비즈니스 타당성을 묻는 메시지가 표시되며 최고 전문가 조직의 관리자도 요청을 승인해야 합니다. 액세스는 6개월마다 감사됩니다.
참고 항목
데이터 문화와 데이터 보편화에 대한 입장은 데이터 검색을 사용하도록 설정할지 여부에 큰 영향을 줍니다. 데이터 검색에 대한 자세한 내용은 사용자 지정 가능한 관리형 셀프 서비스 BI 사용 시나리오를 참조하세요.
검색과 관련된 테넌트 설정은 세 가지가 있습니다.
- 콘텐츠 검색 테넌트 설정을 사용하면 Power BI 관리자가 데이터를 검색할 수 있는 사용자 그룹을 설정할 수 있습니다. 주로 보고서를 만들 때 기존 의미 체계 모델을 찾아야 할 수 있는 보고서 작성자를 대상으로 합니다. 또한 복합 모델 개발에 사용할 수 있는 기존 데이터를 찾을 수 있는 의미 체계 모델 작성자에도 유용합니다. 특정 보안 그룹에 대해 설정할 수 있지만 전체 조직에 대해 설정을 사용하도록 설정하는 것이 좋습니다. 개별 의미 체계 모델 및 데이터 흐름에 대한 검색 설정은 검색 가능한 항목을 제어합니다. 일반적이지는 않지만, 이 기능은 승인된 콘텐츠 작성자에게만 제한하는 것이 좋습니다.
- 인증된 콘텐츠를 검색 가능으로 설정 테넌트 설정을 사용하면 Power BI 관리자가 콘텐츠를 검색 가능하도록 설정할 수 있는 그룹을 설정할 수 있습니다(항목을 편집할 수 있는 권한과 인증 테넌트 설정에서 부여한 콘텐츠를 인증할 수 있는 권한도 있는 경우). 콘텐츠를 인증하는 기능은 엄격하게 제어해야 합니다. 대부분의 경우 콘텐츠를 인증할 수 있는 동일한 사용자가 검색 가능으로 설정할 수 있어야 합니다. 경우에 따라 승인된 데이터 작성자만 이 기능을 제한하도록 할 수 있습니다.
- 승격된 콘텐츠를 검색 가능으로 설정 테넌트 설정을 사용하면 Power BI 관리자가 콘텐츠를 검색 가능으로 설정할 수 있는 그룹을 설정할 수 있습니다(데이터를 편집할 수 있는 권한도 있는 경우). 콘텐츠를 승격하는 기능은 모든 콘텐츠 제작자에게 개방되어 있기 때문에 대부분의 경우 모든 사용자가 이 기능을 사용할 수 있어야 합니다. 일반적이지는 않지만, 이 기능은 승인된 콘텐츠 작성자에게만 제한하는 것이 좋습니다.
검사 목록 - 콘텐츠 작성자를 위한 데이터 검색을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 데이터 검색에 대한 요구 사항을 명확하게 지정: 콘텐츠 작성자가 기존 의미 체계 모델 및 데이터 마트를 찾도록 권장하는 데 대한 조직의 입장을 고려합니다. 적절한 경우 데이터 검색을 사용하는 방법에 대한 거버넌스 정책을 만듭니다.
- 콘텐츠를 검색할 수 있는 사용자 결정: Power BI 사용자가 콘텐츠를 검색할 수 있는지 또는 검색을 특정 사용자 그룹(예: 승인된 콘텐츠 작성자 그룹)으로 제한해야 할지 여부를 결정합니다. 이 결정에 따라 콘텐츠 검색 테넌트 설정을 지정합니다.
- 인증된 콘텐츠를 검색하도록 설정할 수 있는 사용자 결정: 의미 체계 모델 또는 데이터 마트를 편집할 수 있는 권한과 이를 인증할 수 있는 권한이 있는 Power BI 사용자가 콘텐츠를 검색 가능으로 설정할 수 있도록 할지 여부를 결정합니다. 이 결정에 따라 인증된 콘텐츠를 검색 가능으로 설정 테넌트 설정을 설정합니다.
- 승격된 콘텐츠를 검색하도록 설정할 수 있는 사용자 결정: 의미 체계 모델 또는 데이터 마트를 편집할 수 있는 권한이 있는 Power BI 사용자가 콘텐츠를 검색 가능으로 설정할 수 있도록 할지 여부를 결정합니다. 이 결정에 따라 승격된 콘텐츠를 검색 가능으로 설정 테넌트 설정을 설정합니다.
- 의미 체계 모델 작성자를 위한 설명서 및 학습에 포함: 의미 체계 모델 작성자가 소유하고 관리하는 의미 체계 모델 및 데이터 마트에 대한 데이터 검색을 사용하는 것이 적절한 시기에 대한 지침을 포함합니다.
- 보고서 작성자를 위한 설명서 및 학습에 포함: 데이터 검색의 작동 방식과 예상할 수 있는 사항에 대한 콘텐츠 작성자를 위한 지침을 포함합니다.
작성자를 위한 액세스 요청 워크플로
사용자는 두 가지 방법으로 콘텐츠에 대한 액세스를 요청할 수 있습니다.
- 콘텐츠 소비자의 경우: 사용자는 Power BI 서비스의 기존 보고서 또는 앱에 대한 링크를 받습니다. 항목을 보려면 소비자가 액세스 요청 단추를 선택할 수 있습니다. 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요.
- 콘텐츠 작성자의 경우: 사용자는 데이터 허브에서 의미 체계 모델 또는 데이터 마트를 검색합니다. 기존 데이터를 기반으로 새 보고서 또는 복합 모델을 만들려면 콘텐츠 작성자가 액세스 요청 단추를 선택하면 됩니다. 이 환경이 이 섹션의 핵심입니다.
기본적으로 의미 체계 모델 또는 데이터 마트에 대한 액세스 요청은 소유자에게 전송됩니다. 소유자는 데이터 새로 고침 또는 입력 자격 증명을 마지막으로 예약한 사용자입니다. 팀 의미 체계 모델의 경우 한 사용자가 액세스 요청을 처리하도록 할 수 있습니다. 그러나 이런 방법은 실용적이거나 안정적이지 않을 수도 있습니다.
한 소유자를 사용하는 대신 사용자가 의미 체계 모델 또는 데이터 마트에 대한 액세스를 요청할 때 사용자에게 제공되는 사용자 지정 지침을 정의할 수 있습니다. 사용자 지정 지침은 다음과 같은 경우에 유용합니다.
- 의미 체계 모델은 검색 가능으로 설정됩니다.
- 액세스 요청의 승인은 데이터 소유자가 아닌 다른 사용자가 수행합니다.
- 액세스 요청에 대해 수행해야 하는 기존 프로세스가 있습니다.
- 감사 또는 규정 준수를 위해 액세스를 요청한 사람, 시기 및 이유를 추적해야 합니다.
- 액세스를 요청하고 기대 사항을 설정하는 방법에 대한 설명이 필요합니다.
다음 스크린샷은 빌드 권한을 요청할 때 사용자에게 표시되는 사용자 지정 지침을 설정하는 예제를 보여줍니다. 사용자 지정 지침은 다음과 같습니다. MTD/QTD/YTD의 표준 판매 보고의 경우 이 의미 체계 모델은 신뢰할 수 있고 인증된 원본입니다. https://COE.contoso.com/RequestAccess
에 있는 양식을 작성하여 의미 체계 모델에 대한 액세스를 요청하세요. 간단한 비즈니스 타당성을 묻는 메시지가 표시되며 최고 전문가 조직의 관리자도 요청을 승인해야 합니다. 액세스는 6개월마다 감사됩니다.
폼을 만드는 여러 가지 옵션이 있습니다. Power Apps 및 Microsoft Forms 모두 사용하기 쉬운 로우 코드 옵션입니다. 단일 사용자와 독립적인 방식으로 양식을 만드는 것이 좋습니다. 적절한 팀에서 양식을 만들고, 관리하고, 모니터링하는 것이 중요합니다.
다음 사용자에게 유용한 정보를 만드는 것이 좋습니다.
- 콘텐츠 작성자 - 액세스를 요청할 때 기대되는 사항을 알 수 있도록 합니다.
- 콘텐츠 소유자 및 관리자 - 제출된 요청을 관리하는 방법을 알 수 있도록 합니다.
팁
소비자의 읽기 액세스 요청에 응답하는 방법에 대한 자세한 내용은 소비자에 대한 액세스 워크플로 요청을 참조하세요. 또한 개별 사용자 대신 그룹을 사용하는 방법에 대한 정보도 포함됩니다.
검사 목록 - 액세스 요청 워크플로를 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 액세스 요청을 처리하는 방법에 대한 기본 설정을 명확하게 지정: 소유자 승인 가능한 상황과 다른 프로세스를 사용해야 하는 경우를 결정합니다. 적절한 경우 액세스 요청을 처리하는 방법에 대한 거버넌스 정책을 만듭니다.
- 의미 체계 모델 및 데이터 마트 작성자를 위한 설명서 및 학습에 포함: 액세스 요청에 대한 사용자 지정 지침을 설정하는 방법과 경우에 대한 의미 체계 모델 및 데이터 마트 작성자에 대한 지침을 포함합니다.
- 보고서 작성자를 위한 설명서 및 학습에 포함: 의미 체계 모델 및 데이터 마트에 대한 빌드 권한을 요청할 때 예상할 수 있는 사항에 대한 보고서 작성자를 위한 지침을 포함합니다.
콘텐츠 만들기 및 게시
이 섹션에는 콘텐츠 작성자에게 적용되는 보안 측면이 포함되어 있습니다.
참고 항목
보고서, 대시보드, 성과 기록표를 보는 소비자는 보고서 소비자 보안 계획 문서를 참조하세요. 앱 권한과 관련된 고려 사항도 해당 문서에서 다룹니다.
작업 영역 역할
작업 영역 역할에 사용자 또는 그룹(보안 그룹, Microsoft 365 그룹 및 배포 목록 포함)을 추가하여 작업 영역 액세스 권한을 부여합니다. 작업 영역 역할에 사용자를 할당하면 작업 영역 및 해당 콘텐츠로 수행할 수 있는 작업을 지정할 수 있습니다.
참고 항목
작업 영역 계획 고려 사항에 대한 자세한 내용은 작업 영역 계획 문서를 참조하세요. 그룹에 대한 자세한 내용은 테넌트 수준 보안 계획 문서를 참조하세요.
작업 영역의 기본 용도는 협업이므로 작업 영역 액세스는 주로 콘텐츠를 소유하고 관리하는 사용자와 관련이 있습니다. 작업 영역 역할을 계획하기 시작하면 다음과 같은 질문을 스스로 해보는 것이 유용합니다.
- 작업 영역에서 협업이 수행되는 방식에 대한 기대치는 무엇인가요?
- 작업 영역의 콘텐츠 관리에 대한 책임은 누구에게 있나요?
- 작업 영역 역할에 개별 사용자 또는 그룹을 할당하려는 의도인가요?
Power BI 작업 영역 역할에는 관리자, 구성원, 기여자, 뷰어 등 네 가지가 있습니다. 처음 세 역할은 콘텐츠를 만들고 게시하는 콘텐츠 작성자와 관련이 있습니다. 뷰어 역할은 읽기 전용 소비자와 관련이 있습니다.
네 가지 작업 영역 역할 권한이 중첩됩니다. 즉, 작업 영역 관리자는 구성원, 기여자, 뷰어에게 제공되는 모든 기능을 갖습니다. 마찬가지로 구성원은 기여자와 뷰어에게 제공되는 모든 기능을 갖습니다. 기여자는 뷰어에게 제공되는 모든 기능을 갖습니다.
팁
네 가지 역할 각각에 대한 신뢰할 수 있는 참고 자료를 보려면 작업 영역 역할 설명서를 참조하세요.
작업 영역 관리자
관리자 역할에 할당된 사용자는 작업 영역 관리자가 됩니다. 모든 설정을 관리하고 사용자(다른 작업 영역 관리자 포함) 추가 또는 제거를 비롯한 모든 작업을 수행할 수 있습니다.
작업 영역 관리자는 Power BI 앱(앱이 있는 경우)을 업데이트하거나 삭제할 수 있습니다. 필요에 따라 기여자가 작업 영역에 대한 앱을 업데이트하도록 허용할 수 있습니다. 자세한 내용은 이 문서의 뒷부분에 있는 작업 영역 역할에 대한 변형을 참조하세요.
팁
관리자라고 할 때는 작업 영역 관리자를 말하는지 Power BI 테넌트 수준 관리자를 말하는지 명확히 해야 합니다.
신뢰할 수 있는 개인만 작업 영역 관리자가 되도록 주의하세요. 작업 영역 관리자에게는 높은 권한이 있습니다. 작업 영역의 모든 콘텐츠를 보고 관리할 수 있는 권한이 있습니다. 작업 영역 역할에 사용자(다른 관리자 포함)를 추가하고 제거할 수 있습니다. 작업 영역을 삭제할 수도 있습니다.
기본 관리자가 작업할 수 없는 경우 백업으로 작업할 수 있도록 관리자가 두 명 이상 있는 것이 좋습니다. 관리자가 없는 작업 영역을 분리된 작업 영역이라고 합니다. 분리된 상태는 사용자가 조직을 떠나고 작업 영역에 할당된 대체 관리자가 없을 때 발생합니다. 분리된 작업 영역을 검색하고 수정하는 방법에 대한 자세한 내용은 작업 영역 보기 문서를 참조하세요.
이상적으로는 작업 영역 관리자와 구성원(및 작업 영역에 대해 지정된 연락처)을 통해 작업 영역 콘텐츠에 대한 책임자를 결정할 수 있어야 합니다. 그러나 일부 조직에서는 작업 영역 만들기를 특정 사용자 또는 그룹으로 제한하는 콘텐츠 소유권 및 관리 전략을 채택합니다. 일반적으로 이런 조직에는 IT 부서에서 관리하는 확립된 작업 영역 만들기 프로세스가 있습니다. 이 경우 작업 영역 관리자는 콘텐츠를 직접 만들고 게시하는 사용자가 아닌 IT 부서입니다.
작업 영역 구성원
구성원 역할에 할당된 사용자는 다른 작업 영역 사용자(관리자가 아님)를 추가할 수 있습니다. 작업 영역의 모든 콘텐츠에 대한 권한을 관리할 수도 있습니다.
작업 영역 구성원은 작업 영역에 대한 앱을 게시하거나 게시 취소하고, 작업 영역 항목 또는 앱을 공유하고, 다른 사용자가 앱의 작업 영역 항목을 공유하도록 허용할 수 있습니다.
작업 영역 구성원은 작업 영역 콘텐츠 만들기를 관리하고 앱을 게시해야 하는 사용자로 제한해야 합니다. 경우에 따라 작업 영역 관리자가 해당 목적을 충족하므로 사용자 또는 그룹을 구성원 역할에 할당할 필요가 없을 수도 있습니다. 작업 영역 관리자가 작업 영역 콘텐츠와 직접 관련이 없는 경우(예: IT가 작업 영역 만들기 프로세스를 관리하기 때문에) 작업 영역 구성원이 작업 영역 콘텐츠를 책임지는 실제 소유자일 수 있습니다.
작업 영역 기여자
기여자 역할에 할당된 사용자는 작업 영역 콘텐츠를 만들거나 편집하거나 삭제할 수 있습니다.
작업 영역 설정에서 허용되지 않는 한 기여자는 Power BI 앱(작업 영역에 대한 앱이 있는 경우)을 업데이트할 수 없습니다. 자세한 내용은 이 문서의 뒷부분에 있는 작업 영역 역할에 대한 변형을 참조하세요.
조직의 콘텐츠 작성자 대부분은 작업 영역 기여자입니다.
작업 영역 뷰어
뷰어 역할에 할당된 사용자는 모든 작업 영역 콘텐츠를 보고 상호 작용할 수 있습니다.
뷰어 역할은 소규모 팀과 비공식 시나리오의 읽기 전용 소비자와 관련이 있습니다. 소비자 보안 계획 보고서 문서에 모두 설명되어 있습니다.
작업 영역 소유권 고려 사항
새 작업 영역을 설정하기 위해 다음 작업이 수행되는 예제를 생각해 보세요.
- 특정 Power BI 챔피언 및 COE(최고 전문가 조직)의 위성 구성원에게 새 작업 영역을 만들 수 있는 테넌트 설정의 권한이 부여되었습니다. 이들은 콘텐츠 조직 전략 및 이름 지정 표준에 대해 학습했습니다.
- 귀하(콘텐츠 작성자)가 관리할 새 프로젝트에 대한 작업 영역을 만들기 위해 요청을 제출합니다. 작업 영역에 프로젝트의 진행률을 추적하는 보고서가 포함됩니다.
- 사업부의 Power BI 챔피언이 요청을 받습니다. 이들은 새 작업 영역이 합당한지 확인합니다. 그런 다음 작업 영역을 만들고 작업 영역 관리자 역할에 Power BI 챔피언 보안 그룹(사업부용)을 할당합니다.
- Power BI 챔피언이 작업 영역 구성원 역할에 귀하(콘텐츠 작성자)를 할당합니다.
- 신뢰할 수 있는 동료를 작업 영역 구성원 역할에 할당하여 귀하가 자리를 비운 경우에 백업할 담당자를 두어야 합니다.
- 다른 동료들은 의미 체계 모델 및 보고서를 포함하여 작업 영역 콘텐츠를 만들 책임이 있으므로 작업 영역 기여자 역할에 할당합니다.
- 관리자가 프로젝트 진행 상황을 모니터링하기 위한 액세스를 요청했기 때문에 작업 영역 뷰어 역할에 관리자를 할당합니다. 관리자가 앱을 게시하기 전에 작업 영역의 콘텐츠를 검토하려고 합니다.
- 귀하는 설명 및 연락처와 같은 다른 작업 영역 속성을 관리할 책임이 있습니다. 또한 지속적으로 작업 영역 액세스 권한을 관리할 책임이 있습니다.
앞의 예제는 분산된 사업부에서 독립적으로 작업할 수 있도록 허용하는 효과적인 방법을 보여줍니다. 또한 최소 권한의 원칙을 보여줍니다.
관리되는 콘텐츠 또는 보다 엄격하게 관리되는 중요한 콘텐츠의 경우 작업 영역 역할에 개별 사용자 계정이 아니라 그룹을 할당하는 것이 가장 좋습니다. 이렇게 하면 작업 영역과 별도로 그룹 구성원 자격을 관리할 수 있습니다. 그러나 역할에 그룹을 할당할 때 사용자가 여러 작업 영역 역할에 할당될 수 있습니다(사용자가 여러 그룹에 속하기 때문). 이 경우 유효한 권한은 이들에게 할당된 가장 높은 역할을 기반으로 합니다. 자세한 고려 사항은 그룹 사용 전략을 참조하세요.
작업 영역이 여러 개인 또는 팀이 공동 소유하는 경우 콘텐츠 관리가 복잡할 수 있습니다. 작업 영역을 분리하여 다중 팀 소유권 시나리오를 방지하도록 합니다. 이렇게 하면 책임이 명확하고 역할 할당을 간단하게 설정할 수 있습니다.
작업 영역 역할의 변형
네 가지 작업 영역 역할에는 두 가지 변형이 있습니다(앞 부분에서 설명).
- 기본적으로 작업 영역 관리자 및 구성원만 작업 영역에 대한 앱을 만들고 게시하고 업데이트할 수 있습니다. 기여자가 이 작업 영역의 앱 옵션을 업데이트하도록 허용 설정은 작업 영역 수준 설정입니다. 이 설정을 사용하면 작업 영역 관리자는 작업 영역의 앱을 업데이트하는 권한을 기여자에게 위임할 수 있습니다. 그러나 기여자는 새 앱을 게시하거나 새 앱을 편집할 권한이 있는 사용자를 변경할 수 없습니다. 이 설정은 기여자가 앱(작업 영역에 앱이 있는 경우)을 업데이트할 수는 있지만 구성원에게 제공되는 다른 권한을 부여하지 않으려는 경우에 유용합니다.
- 다시 게시 차단 및 패키지 새로 고침 사용 안 함 테넌트 설정은 의미 체계 모델 소유자가 업데이트를 게시할 수 있도록 허용합니다. 작업 영역 관리자, 구성원, 기여자를 사용하도록 설정하면 이들이 우선 의미 체계 모델을 소유자로 인수하지 않는 한 변경 내용을 게시할 수 없습니다. 이 설정은 전체 조직에 적용되기 때문에 테넌트용 모든 의미 체계 모델에 영향을 주므로 매우 주의해서 사용하도록 설정합니다. 의미 체계 모델 작성자는 작업 영역 역할의 일반적인 동작을 변경하므로 기대 사항을 전달해야 합니다.
Important
항목별 권한은 표준 작업 영역 역할의 재정의로 간주될 수도 있습니다. 항목별 권한에 대한 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요.
검사 목록 - 작업 영역 역할을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 책임 매트릭스 만들기: 콘텐츠를 생성, 유지 관리, 게시, 보호 및 지원할 때 각 기능을 처리해야 할 책임자를 매핑합니다. 작업 영역 역할을 계획할 때 이 정보를 사용합니다.
- 콘텐츠 작성자의 작업 영역 역할을 할당하기 위한 전략 결정: 관리자, 구성원 또는 기여자로 설정할 사용자와 상황(예: 작업 역할 또는 주제 영역)에서 결정합니다. 보안 문제를 일으키는 불일치가 있는 경우 작업 영역을 더 잘 구성할 수 있는 방법을 다시 고려합니다.
- 작업 영역 역할에 보안 그룹과 개인 중 무엇을 사용할지 비교하여 결정: 그룹을 사용해야 하는 사용 사례와 목적을 결정합니다. 사용자 계정을 사용하여 보안을 적용해야 하는 경우와 그룹이 요구되거나 더 나은 경우에 대해 구체적으로 설명합니다.
- 콘텐츠 작성자에게 작업 영역 역할 관리에 대한 지침 제공: 콘텐츠 작성자를 위해 작업 영역 역할을 관리하는 방법에 대한 설명서를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- 작업 영역 역할 할당 설정 및 테스트: 콘텐츠 작성자에게 콘텐츠를 편집하고 게시하는 데 필요한 기능이 있는지 확인합니다.
앱 작성자 권한
작업 영역 관리자 또는 구성원인 콘텐츠 작성자는 Power BI 앱을 만들고 게시할 수 있습니다.
작업 영역 관리자는 작업 영역에서 작업 영역 기여자가 앱을 업데이트할 수 있도록 허용하는 설정을 지정할 수도 있습니다. 이는 기여자에게 평소에는 없는 다른 권한을 부여하기 때문에 작업 영역 역할 보안에 대한 변형입니다. 이 설정은 작업 영역별로 설정됩니다.
팁
읽기 전용 소비자에게 콘텐츠를 제공하는 방법에 대한 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요. 이 문서에는 앱의 대상 그룹을 포함하여 앱 소비자의 앱 권한에 대한 정보가 포함되어 있습니다.
검사 목록 - 앱 작성자 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- Power BI 앱을 만들고 게시할 수 있는 사용자에 대한 전략 결정: Power BI 앱을 만들고 게시할 수 있는 사용자를 명확히 지정합니다.
- 기여자가 Power BI 앱을 업데이트할 수 있는 경우 결정: 기여자가 Power BI 앱을 업데이트하도록 허용해야 할 상황을 명확히 지정합니다. 이 기능이 필요한 경우 작업 영역 설정을 업데이트합니다.
데이터 원본 권한
데이터 작성자가 새 프로젝트를 시작할 때 외부 데이터 원본에 액세스하는 데 필요한 권한은 가장 먼저 고려해야 할 보안 관련 사항 중 하나입니다. 개인 정보 보호 수준, 네이티브 데이터베이스 쿼리 및 사용자 지정 커넥터를 비롯한 다른 데이터 원본 관련 문제에 대한 지침도 필요할 수 있습니다.
데이터 원본에 대한 액세스
데이터 작성자가 의미 체계 모델, 데이터 흐름 또는 데이터 마트를 만들 때 데이터를 검색하려면 데이터 원본으로 인증해야 합니다. 일반적으로 인증에는 서비스 계정에 대한 사용자 자격 증명(계정 및 암호)이 수반됩니다.
데이터 원본에 액세스하기 위한 특정 서비스 계정을 만드는 것이 유용한 경우도 있습니다. 조직에서 서비스 계정을 사용하는 방법에 대한 지침은 IT 부서에 문의하세요. 허용되는 경우 서비스 계정을 사용하면 다음을 수행할 수 있습니다.
- 데이터 원본에 필요한 권한을 중앙 집중화합니다.
- 데이터 원본에 대한 권한이 필요한 개별 사용자 수를 줄입니다.
- 사용자가 조직을 떠날 때 데이터 새로 고침 오류를 방지합니다.
팁
서비스 계정을 사용하도록 선택하는 경우 자격 증명에 대한 액세스 권한이 있는 사용자를 엄격하게 제어하는 것이 좋습니다. 정기적으로(예: 3개월마다) 또는 액세스 권한이 있는 사람이 조직을 떠날 때 암호를 바꿉니다.
데이터 원본에 액세스할 때 최소 권한의 원칙을 적용하여 사용자(또는 서비스 계정)가 필요한 데이터 만 읽을 수 있는 권한을 갖도록 합니다. 이들에게 데이터 수정을 수행할 수 있는 권한은 없어야 합니다. 이러한 서비스 계정을 만드는 데이터베이스 관리자는 예상 쿼리 및 워크로드에 대해 문의하고 적절한 최적화(예: 인덱스) 및 리소스를 준비하는 단계를 수행해야 합니다.
팁
셀프 서비스 데이터 작성자에게 직접 데이터 원본 액세스를 제공하기 어려운 경우 간접 접근 방식을 사용하는 것을 고려합니다. Power BI 서비스에서 데이터 흐름을 만들 수 있고 셀프 서비스 데이터 작성자가 데이터 원본을 만들 수 있도록 할 수 있습니다. 이 방법은 데이터 원본의 쿼리 부하를 줄이고 일관된 데이터 스냅샷을 제공하는 추가적인 이점이 있습니다. 자세한 내용은 셀프 서비스 데이터 준비 및 고급 데이터 준비 사용 시나리오를 참조하세요.
자격 증명(계정 및 암호)은 두 가지 방법 중 하나로 적용할 수 있습니다.
- Power BI Desktop: 자격 증명이 암호화되어 사용자 컴퓨터에 로컬로 저장됩니다.
- Power BI 서비스: 자격 증명이 암호화되어 다음 중 하나에 대해 안전하게 저장됩니다.
- 의미 체계 모델(데이터 게이트웨이를 사용하여 데이터 원본에 도달하지 않는 경우).
- 게이트웨이 데이터 원본(표준 게이트웨이 또는 가상 네트워크 게이트웨이 서비스를 사용하여 데이터 원본에 도달하는 경우).
팁
의미 체계 모델 데이터 원본에 대한 자격 증명을 이미 입력한 경우 연결 문자열 및 데이터베이스 이름과 정확히 일치하면 Power BI 서비스에서 자동으로 해당 자격 증명을 다른 의미 체계 모델 데이터 원본에 바인딩합니다. Power BI 서비스 및 Power BI Desktop 모두 각 데이터 원본에 대한 자격 증명을 입력하는 것처럼 보입니다. 그러나 소유자가 동일한 일치하는 데이터 원본에 동일한 자격 증명을 적용할 수 있습니다. 그런 점에서 의미 체계 모델 자격 증명은 소유자로 범위가 지정됩니다.
자격 증명은 Power BI Desktop 및 Power BI 서비스의 데이터 모델과 별도로 암호화되고 저장됩니다. 이러한 데이터 분리에는 다음과 같은 보안 이점이 있습니다.
- 여러 의미 체계 모델, 데이터 흐름 및 데이터 마트에 자격 증명을 쉽게 재사용할 수 있습니다.
- 누군가가 의미 체계 모델의 메타데이터를 구문 분석할 때 자격 증명을 추출할 수 없습니다.
- Power BI Desktop에서 다른 사용자는 자격 증명을 먼저 적용하지 않고는 원래 데이터 원본에 연결하여 데이터를 새로 고칠 수 없습니다.
일부 데이터 원본은 Power BI 서비스에서 자격 증명을 입력할 때 설정할 수 있는 SSO(Single Sign-On)를 지원합니다(의미 체계 모델 또는 게이트웨이 데이터 원본의 경우). SSO를 사용하도록 설정하면 Power BI는 인증된 사용자의 자격 증명을 데이터 원본으로 보냅니다. 이 옵션을 사용하면 Power BI가 행 수준 보안과 같이 데이터 원본에 설정된 보안 설정을 적용할 수 있습니다. SSO는 데이터 모델의 테이블이 DirectQuery 스토리지 모드를 사용하는 경우에 특히 유용합니다.
개인 정보 수준
데이터 개인 정보 보호 수준은 특정 데이터 원본이 다른 데이터 원본과 격리되는 정도를 정의하는 격리 수준을 지정합니다. 적절하게 설정하면 Power Query가 원본 간에 호환되는 데이터만 전송하게 됩니다. Power Query가 데이터 원본 간에 데이터를 전송할 수 있는 경우, Power BI로 전송되는 데이터의 양을 줄이는 보다 효율적인 쿼리가 발생할 수 있습니다. 데이터 원본 간에 데이터를 전송할 수 없는 경우, 성능이 저하될 수 있습니다.
세 가지 개인 정보 보호 수준이 있습니다.
- 비공개: 다른 모든 데이터 원본에서 격리해야 하는 중요한 데이터 또는 기밀 데이터를 포함합니다. 이 수준은 가장 제한적입니다. 비공개 데이터 원본 데이터는 다른 데이터 원본과 공유할 수 없습니다. 예를 들어 직원 급여 값이 포함된 인적 자원 데이터베이스는 비공개 개인 정보 보호 수준으로 설정해야 합니다.
- 조직: 공개 데이터 원본에서 격리되지만 다른 조직 데이터 원본에 표시됩니다. 이 수준이 가장 일반적입니다. 조직의 데이터 원본 데이터는 비공개 데이터 원본 또는 조직의 기타 데이터 원본과 공유할 수 있습니다. 대부분의 내부 운영 데이터베이스는 조직의 개인 정보 보호 수준으로 설정할 수 있습니다.
- 공용: 모든 데이터 원본에 표시할 수 있는 중요하지 않은 데이터입니다. 이 수준은 제한이 가장 적습니다. 공용 데이터 원본 데이터는 다른 데이터 원본과 공유할 수 있습니다. 예를 들어 정부 웹 사이트에서 얻은 인구 조사 보고서는 공개 개인 정보 보호 수준으로 설정할 수 있습니다.
서로 다른 데이터 원본의 쿼리를 결합하는 경우 올바른 개인 정보 보호 수준을 설정하는 것이 중요합니다. 개인 정보 보호 수준이 올바르게 설정되면 한 데이터 원본의 데이터를 다른 데이터 원본으로 전송하여 데이터를 효율적으로 쿼리할 수 있습니다.
의미 체계 모델 작성자에게 Excel 통합 문서와 Azure SQL Database의 테이블이라는 두 가지 데이터 원본이 있는 시나리오를 생각해 보세요. Excel 통합 문서에서 제공되는 값을 사용하여 Azure SQL Database 테이블의 데이터를 필터링하려고 합니다. Power Query가 Azure SQL Database에 대한 SQL 문을 생성하는 가장 효율적인 방법은 WHERE 절을 적용하여 필요한 필터링을 수행하는 것입니다. 그러나 해당 SQL 문에는 Excel 통합 문서에서 제공되는 값이 포함된 WHERE 절 조건자가 포함됩니다. Excel 통합 문서에 중요한 데이터가 포함된 경우 데이터베이스 관리자가 추적 도구를 사용하여 SQL 문을 볼 수 있으므로 보안 위반을 나타낼 수 있습니다. 대안으로, 효율성은 떨어지지만 Power Query 매시업 엔진이 데이터베이스 테이블의 전체 결과 집합을 다운로드하고 Power BI 서비스에서 필터링 자체를 수행하면 됩니다. 이 방법은 덜 효율적이고 느리지만 안전합니다.
각 데이터 원본에 대해 개인 정보 보호 수준을 설정할 수 있습니다.
- Power BI Desktop의 데이터 모델러별.
- Power BI 서비스의 의미 체계 모델 소유자별(게이트웨이가 필요하지 않은 클라우드 데이터 원본의 경우).
- Power BI 서비스의 게이트웨이 데이터 원본 작성자 및 소유자별(게이트웨이 데이터 원본의 경우).
Important
Power BI Desktop에서 설정한 개인 정보 보호 수준은 Power BI 서비스에 전송되지 않습니다.
성능을 향상시키기 위해 개인 정보 보호 수준을 무시할 수 있는 Power BI Desktop 보안 옵션이 있습니다. 이 옵션을 사용하여 데이터 보안을 위반할 위험이 없는 경우(중요하지 않은 개발 또는 테스트 데이터로 작업하고 있기 때문에) 데이터 모델을 개발하는 동안 쿼리 성능을 향상시킬 수 있습니다. 그러나 이 설정은 Power BI 서비스에 적용되지 않습니다.
자세한 내용은 Power BI Desktop 개인 정보 수준을 참조하세요.
네이티브 데이터베이스 쿼리
효율적인 Power Query 쿼리를 만들려면 네이티브 쿼리를 사용하여 데이터에 액세스할 수 있습니다. 네이티브 쿼리는 데이터 원본에서 지원하는 언어로 작성된 문입니다. 네이티브 쿼리는 일반적으로 Azure SQL Database와 같은 관계형 데이터베이스인 특정 데이터 원본에서만 지원됩니다.
네이티브 쿼리는 악의적인 SQL 문을 실행할 수 있으므로 보안 위험을 초래할 수 있습니다. 악의적인 문은 데이터 수정을 수행하거나 데이터베이스 레코드를 삭제할 수 있습니다(사용자에게 데이터 원본에 필요한 권한이 있는 경우). 이러한 이유로 기본적으로 네이티브 쿼리를 Power BI Desktop에서 실행하려면 사용자 승인이 필요합니다.
사전 승인 요구 사항을 사용하지 않도록 설정할 수 있는 Power BI Desktop 보안 옵션이 있습니다. 사용자 승인이 필요한 기본 설정을 그대로 두는 것이 좋습니다. 특히, 다른 사용자가 Power BI Desktop 파일을 새로 고칠 수 있다고 예상되는 경우에 그렇습니다.
사용자 지정 커넥터
개발자는 Power Query SDK를 사용하여 사용자 지정 커넥터를 만들 수 있습니다. 사용자 지정 커넥터를 사용하면 독점 데이터 원본에 액세스하거나 사용자 지정 데이터 확장으로 특정 인증을 구현할 수 있습니다. 일부 사용자 지정 커넥터는 Microsoft에서 인증하여 ‘인증된 커넥터’로 배포합니다. 인증된 커넥터는 Microsoft에서 테스트 및 승인한 특정 지정된 코드 요구 사항을 충족하는지 확인하기 위해 감사와 검토를 거쳤습니다.
인증되지 않은 커넥터의 사용을 제한하는 Power BI Desktop 데이터 확장 보안 옵션이 있습니다. 기본적으로 인증되지 않은 커넥터를 로드하려고 하면 오류가 발생합니다. 인증되지 않은 커넥터를 허용하도록 이 옵션을 설정하면 사용자 지정 커넥터가 유효성 검사 또는 경고 없이 로드됩니다.
인증되지 않은 코드가 로드되지 않도록 방지하는 데이터 확장 보안 수준을 더 높은 수준으로 유지하는 것이 좋습니다. 그러나 직접 개발한 커넥터 또는 Microsoft 인증 경로 밖의 신뢰할 수 있는 컨설턴트나 공급업체에서 제공하는 커넥터와 같은 특정 커넥터를 로드하려는 경우가 있을 수 있습니다.
참고 항목
사내에서 개발한 커넥터 개발자는 인증서를 사용하여 커넥터에 서명하는 단계를 수행할 수 있으므로 보안 설정을 변경할 필요 없이 커넥터를 사용할 수 있습니다. 자세한 내용은 신뢰할 수 있는 타사 커넥터를 참조하세요.
검사 목록 - 데이터 원본 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 각 데이터 원본에 직접 액세스할 수 있는 사용자 결정: 데이터 원본에 직접 액세스할 수 있는 데이터 작성자를 결정합니다. 직접 액세스 권한이 있는 사용자 수를 줄이는 전략이 있는 경우 선호하는 대안(예: 데이터 흐름 사용)을 명확히 지정합니다.
- 데이터 원본에 액세스하는 방법 결정: 데이터 원본에 액세스하는 데 개별 사용자 자격 증명을 사용할지 또는 해당 용도로 서비스 계정을 만들어야 할지를 결정합니다. Single Sign-On이 적절한 경우를 결정합니다.
- 의미 체계 모델 작성자에게 데이터 원본에 액세스하는 방법에 대한 지침 제공: 콘텐츠 작성자를 위해 조직 데이터 원본에 액세스하는 방법에 대한 설명서를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- 의미 체계 모델 작성자에게 개인 정보 보호 수준에 대한 지침 제공: 중요한 데이터 또는 기밀 데이터로 작업할 때 개인 정보 보호 수준 및 그 영향을 인식하도록 의미 체계 모델 작성자에게 지침을 제공합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- 게이트웨이 연결 작성자에게 개인 정보 보호 수준에 대한 지침 제공: 중요한 데이터 또는 기밀 데이터로 작업할 때 개인 정보 보호 수준 및 그 영향을 인식하도록 의미 체계 모델 작성자에게 지침을 제공합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- 네이티브 데이터베이스 쿼리를 사용하기 위한 전략 결정: 네이티브 데이터베이스 쿼리를 사용하기 위한 전략을 고려합니다. Power Query가 네이티브 쿼리를 실행할 때 사전 승인을 사용하지 않도록 Power BI Desktop 네이티브 데이터베이스 쿼리 옵션을 설정하는 방법과 경우에 대해 의미 체계 모델 작성자를 교육합니다.
- 사용자 지정 커넥터를 사용하기 위한 전략 결정: 사용자 지정 커넥터를 사용하기 위한 전략을 고려합니다. 인증되지 않은 커넥터의 사용이 합당한지 여부를 결정합니다. 이 경우 의미 체계 모델 작성자에게 Power BI Desktop 데이터 확장 옵션을 설정하는 방법과 경우에 대해 교육합니다.
의미 체계 모델 작성자 권한
다양한 방법으로 사용자 또는 그룹에 의미 체계 모델을 편집할 수 있는 권한을 할당할 수 있습니다.
- 작업 영역 역할: 작업 영역 역할에 할당하면 작업 영역의 모든 의미 체계 모델에 액세스할 수 있습니다. 기존 의미 체계 모델을 보거나 편집하는 기능은 할당한 작업 영역 역할에 따라 달라집니다. 관리자, 구성원, 기여자는 작업 영역 내에서 콘텐츠를 게시하거나 편집할 수 있습니다.
- 항목별 권한 링크: 보고서에 대한 공유 링크를 만든 경우 의미 체계 모델을 읽을 수 있는 권한(및 필요에 따라 빌드, 쓰기 및/또는 다시 공유)도 링크에서 간접적으로 부여됩니다.
- 항목별 직접 액세스 권한: 특정 의미 체계 모델에 직접 액세스 권한을 할당할 수 있습니다.
다음 스크린샷에서는 콜 센터 데이터 의미 체계 모델에 할당된 사용 권한을 확인합니다. 한 사용자에게는 항목별 직접 액세스 권한을 사용하여 부여된 읽기 권한이 있습니다. 나머지 사용자 및 그룹은 작업 영역 역할에 할당되어 있으므로 권한이 있습니다.
팁
사용자 또는 그룹이 작업 영역에서 특정 항목을 보거나 편집하려는 경우 항목별 권한(링크 또는 직접 액세스)을 사용하는 것이 가장 좋습니다. 사용자가 작업 영역의 모든 항목에 액세스할 수 없는 경우에 가장 적합합니다. 대부분의 경우 작업 영역 역할을 사용하여 보안을 더 간편하게 관리할 수 있도록 작업 영역을 디자인하는 것이 좋습니다. 가능하면 항목별 사용 권한을 설정하지 마세요.
의미 체계 모델 권한
다음과 같은 의미 체계 모델 권한을 할당할 수 있습니다.
- 읽기: 주로 보고서 소비자를 대상으로 하는 이 권한을 통해 보고서에서 의미 체계 모델의 데이터를 쿼리할 수 있습니다. 읽기 전용 콘텐츠를 볼 수 있는 권한에 대한 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요.
- 빌드: 보고서 작성자를 대상으로 하는 이 권한을 통해 사용자는 공유 의미 체계 모델을 기반으로 새 보고서를 만들 수 있습니다. 자세한 내용은 이 문서의 뒷부분에 있는 보고서 작성자 권한 섹션을 참조하세요.
- 쓰기: 의미 체계 모델을 만들기, 게시, 관리하는 의미 체계 모델 작성자를 대상으로 하는 이 권한을 통해 사용자는 의미 체계 모델을 편집할 수 있습니다. 자세한 내용은 이 섹션의 뒷부분에 설명되어 있습니다.
- 다시 공유: 의미 체계 모델에 기존 권한이 있는 사용자를 대상으로 하는 이 권한을 통해 사용자는 의미 체계 모델을 다른 사용자와 공유할 수 있습니다. 자세한 내용은 이 섹션의 뒷부분에 설명되어 있습니다.
작업 영역 관리자 또는 구성원은 의미 체계 모델에 대한 권한을 편집할 수 있습니다.
의미 체계 모델 읽기 권한
의미 체계 모델 읽기 권한은 주로 소비자를 대상으로 합니다. 사용자가 보고서에 표시되는 데이터를 볼 수 있도록 하려면 이 권한이 필요합니다. 의미 체계 모델을 기반으로 하는 보고서에는 읽기 권한도 있어야 합니다. 그렇지 않으면 보고서를 로드하지 못합니다. 보고서 읽기 권한을 설정하는 방법에 대한 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요.
의미 체계 모델 빌드 권한
콘텐츠 작성자에게는 의미 체계 모델 읽기 권한 외에도 의미 체계 모델 빌드 권한이 필요합니다. 특히 보고서 작성자는 빌드 권한을 통해 다음을 수행할 수 있습니다.
- 의미 체계 모델을 기반으로 새 Power BI 보고서를 만듭니다.
- Excel에서 분석을 사용하여 의미 체계 모델에 연결합니다.
- XMLA 엔드포인트를 사용하여 의미 체계 모델을 쿼리합니다.
- 시각적 개체에서 검색한 요약된 데이터 대신 Power BI 보고서 시각적 개체 기본 데이터를 내보냅니다.
- Power BI 의미 체계 모델에 대한 DirectQuery 연결을 만듭니다. 이 경우 새 의미 체계 모델은 하나 이상의 기존 Power BI 의미 체계 모델(체이닝이라고 함)에 연결됩니다. 연결된 의미 체계 모델을 쿼리하려면 의미 체계 모델 작성자에게 모든 업스트림 의미 체계 모델에 대한 빌드 권한이 필요합니다. 자세한 내용은 이 문서 뒷부분에 나오는 연결된 의미 체계 모델을 참조하세요.
여러 가지 방법으로 직접 또는 간접적으로 사용자 또는 그룹에 빌드 권한을 부여할 수 있습니다.
- 다음을 통해 직접 빌드 권한을 부여합니다.
- Power BI 서비스의 의미 체계 설정 페이지에서 의미 체계 모델 권한을 설정합니다.
- Power BI REST API를 사용하여 의미 체계 모델 권한을 설정합니다.
- 다음을 통해 간접적으로 빌드 권한을 부여합니다.
- 보고서 또는 대시보드를 공유하고 의미 체계 모델에 빌드 권한을 부여하는 옵션을 설정합니다.
- Power BI 앱을 게시하고 고급 옵션(대상 그룹에 대해)을 설정하여 관련 의미 체계 모델에 대한 빌드 권한을 부여합니다.
- 관리자, 구성원 또는 기여자 작업 영역 역할에 사용자를 할당합니다.
세분화된 항목별로 보안을 관리하려는 경우 의미 체계 모델에 직접 빌드 권한을 설정하는 것이 적합합니다. 간접적으로 빌드 권한을 설정하는 것은 간접적인 방법 중 하나를 통해 콘텐츠를 보거나 사용할 사용자가 새 콘텐츠도 만드는 경우에 적합합니다.
팁
보고서 또는 Power BI 앱을 보는 사용자는 기본 의미 체계 모델을 사용하여 새 콘텐츠를 만드는 사용자와 다른 경우가 많습니다. 대부분의 소비자는 뷰어일 뿐이므로 새 콘텐츠를 만들 필요가 없습니다. 콘텐츠 작성자에게 필요한 사용 권한 수를 최소로 부여하도록 교육하는 것이 좋습니다.
의미 체계 모델 쓰기 권한
일반적으로 의미 체계 모델을 편집하고 관리할 수 있는 사용자에 대한 권한 설정은 사용자를 관리자, 구성원 또는 기여자 작업 영역 역할에 할당하여 수행됩니다. 그러나 특정 의미 체계 모델에 대한 쓰기 권한을 설정할 수도 있습니다.
사용 권한을 관리하고 감사하는 가장 간단한 방법이기 때문에 가능한 한 작업 영역 역할을 사용하는 것이 좋습니다. 작업 영역을 더 적게 만들기로 선택한 경우 항목별로 의미 체계 모델 쓰기 권한을 사용하고, 작업 영역에는 다른 사용 권한 관리가 필요한 다양한 주제 영역에 대한 의미 체계 모델이 포함됩니다.
팁
작업 영역을 구성하는 방법에 대한 지침은 작업 영역 계획 문서를 참조하세요.
의미 체계 모델 재공유 권한
의미 체계 모델 다시 공유 권한을 사용하면 기존 권한이 있는 사용자가 의미 체계 모델을 다른 사용자와 공유할 수 있습니다. 사용자 재량에 따라 의미 체계 모델의 콘텐츠를 자유롭게 공유할 수 있는 경우 이 권한을 부여할 수 있습니다.
대부분의 경우 다시 공유 권한의 사용을 제한하여 의미 체계 모델 권한을 신중하게 제어하는 것이 좋습니다. 다시 공유 권한을 부여하기 전에 의미 체계 모델 소유자로부터 승인을 받습니다.
의미 체계 모델 데이터 보안
데이터 보안을 적용하여 더 적은 수의 의미 체계 모델 및 보고서를 만들 계획을 세울 수 있습니다. 목표는 콘텐츠를 보는 사용자의 ID에 따라 데이터 보안을 적용하는 것입니다.
의미 체계 모델 작성자는 두 가지 방법으로 데이터 보안을 강화할 수 있습니다.
- RLS(행 수준 보안)를 사용하면 데이터 모델러가 데이터 하위 집합에 대한 액세스를 제한할 수 있습니다.
- OLS(개체 수준 보안)를 통해 데이터 모델러는 특정 테이블 및 열과 관련 메타데이터에 대한 액세스를 제한할 수 있습니다.
RLS 및 OLS 구현은 보고서 소비자를 대상으로 합니다. 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요. 의미 체계 모델에 대한 보기 전용 권한이 있는 소비자에게 RLS 및 OLS를 적용하는 방법과 경우를 설명합니다.
다른 보고서 작성자를 대상으로 하는 RLS 및 OLS의 경우 이 문서의 뒷부분에 있는 보고서 작성자 권한 섹션의 데이터 보안을 참조하세요.
연결된 의미 체계 모델
Power BI 의미 체계 모델은 업스트림 의미 체계 모델에 대한 연결인 체이닝이라는 프로세스를 통해 다른 의미 체계 모델에 연결할 수 있습니다. 자세한 내용은 Power BI 의미 체계 모델 및 Analysis Services에 DirectQuery 사용을 참조하세요.
Power BI 의미 체계 모델에 DirectQuery 연결 허용 테넌트 설정을 사용하면 Power BI 관리자가 연결된 의미 체계 모델을 만들 수 있는 콘텐츠 작성자 그룹을 설정할 수 있습니다. 의미 체계 모델 작성자가 의미 체계 모델을 연결하는 것을 제한하지 않으려면 전체 조직에 대해 이 설정을 사용하도록 설정하고 작업 영역 액세스 및 의미 체계 모델 권한을 사용할 수 있습니다. 경우에 따라 이 기능을 승인된 콘텐츠 작성자로 제한하는 것을 고려할 수 있습니다.
참고 항목
의미 체계 모델 작성자로서 사용자는 의미 체계 모델에 대한 연결을 제한할 수 있습니다. 이 작업은 Power BI Desktop에서 이 의미 체계 모델에 대한 DirectQuery 연결 권장 안 함 옵션을 사용하도록 설정하여 수행됩니다. 자세한 내용은 게시된 의미 체계 모델에 대한 DirectQuery 연결 관리를 참조하세요.
의미 체계 모델 API 쿼리
경우에 따라 Power BI REST API를 사용하여 DAX 쿼리를 실행해야 할 수 있습니다. 예를 들어 데이터 품질 유효성 검사를 수행해야 할 수 있습니다. 자세한 내용은 데이터 세트 - 쿼리 실행을 참조하세요.
데이터 세트 쿼리 실행 REST API 테넌트 설정을 사용하면 Power BI 관리자가 Power BI REST API를 사용하여 DAX 쿼리를 보낼 수 있는 사용자 그룹을 설정할 수 있습니다. 대부분의 경우 전체 조직에 대해 이 설정을 사용하도록 설정하고 작업 영역 액세스 및 의미 체계 모델 권한을 사용할 수 있습니다. 경우에 따라 이 기능을 승인된 콘텐츠 작성자로 제한하는 것을 고려할 수 있습니다.
검사 목록 - 의미 체계 모델 작성자 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 의미 체계 모델 작성자 권한에 대한 전략 결정: 의미 체계 모델 작성자의 보안을 관리하기 위한 기본 설정 및 요구 사항을 결정합니다. 주제 영역 및 데이터 민감도 수준을 고려합니다. 또한 중앙 집중식 사업부와 분산된 사업부에서 데이터 및 사용 권한을 관리할 책임을 맡을 수 있는 사용자를 고려합니다.
- 의미 체계 모델 작성자에 대해 작업 영역 역할이 처리되는 방법 검토: 작업 영역 디자인 프로세스에 미치는 영향을 확인합니다. 각 주제 영역에 대한 작업 영역 역할 및 의미 체계 모델 보안을 보다 쉽게 관리할 수 있도록 각 주제 영역에 대해 별도의 데이터 작업 영역을 만듭니다.
- 의미 체계 모델 작성자에게 권한 관리에 대한 지침 제공: 의미 체계 모델 작성자를 위한 의미 체계 모델 권한 관리 방법에 대한 설명서를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- Power BI 의미 체계 모델에 DirectQuery 연결을 사용할 수 있는 사용자 결정: Power BI 의미 체계 모델 작성자(의미 체계 모델에 대한 기존 빌드 권한 포함)가 Power BI 의미 체계 모델에 대한 연결을 만들 수 있는 제한 사항이 있는지 여부를 결정합니다. 이 결정에 따라 Power BI 의미 체계 모델에 DirectQuery 연결 허용 테넌트 설정을 지정합니다. 이 기능을 제한하기로 결정한 경우 그룹(예: Power BI 승인 의미 체계 모델 작성자)을 사용할 것을 고려합니다.
- REST API를 사용하여 Power BI 의미 체계 모델을 쿼리할 수 있는 사용자 결정: Power BI REST API를 사용하여 Power BI 콘텐츠 작성자가 Power BI 의미 체계 모델을 쿼리하지 못하도록 제한할지 여부를 결정합니다. 이 결정에 따라 데이터 세트 실행 쿼리 REST API 테넌트 설정을 지정합니다. 이 기능을 제한하기로 결정한 경우 그룹(예: Power BI 승인 보고서 작성자)을 사용할 것을 고려합니다.
- 의미 체계 모델 작성자를 위한 RLS 또는 OLS 사용에 대한 전략 결정: RLS 또는 OLS를 사용하려는 목적과 사용 사례를 고려합니다. 의미 체계 모델 작성자에게 RLS 또는 OLS를 적용하려는 경우 작업 영역 디자인 전략의 요소와 읽기 및 편집 권한이 있는 사용자를 고려합니다.
보고서 작성자 권한
보고서 작성자는 Power BI 서비스에서 보고서를 만들거나 Power BI Desktop에서 보고서를 게시하려면 작업 영역 액세스 권한이 필요합니다. 대상 작업 영역의 관리자, 구성원 또는 기여자여야 합니다.
가능하면 보고서 작성자는 기존 공유 의미 체계 모델을 사용해야 합니다(라이브 연결 또는 DirectQuery를 통해). 이렇게 하면 보고서 만들기 프로세스가 의미 체계 모델 만들기 프로세스와 분리됩니다. 이러한 유형의 분리는 보안 및 팀 개발 시나리오에 많은 이점을 제공합니다.
보고서 작성자는 작업 영역 관리자, 구성원 또는 기여자여야 합니다.
의미 체계 모델과 달리 보고서에는 쓰기 권한이 없습니다. 보고서 작성자를 지원하려면 작업 영역 역할을 사용해야 합니다. 이러한 이유로 최적의 작업 영역 디자인은 콘텐츠 조직과 보안 요구 사항의 균형을 맞추는 데 중요합니다.
팁
보고서 소비자를 지원하는 권한(항목별 읽기 및 다시 공유 권한 포함)은 보고서 소비자 보안 계획 문서를 참조하세요.
기본 의미 체계 모델에 대한 읽기 및 빌드 권한
보고서 작성자는 연결된 의미 체계 모델를 포함하여 보고서에서 사용할 의미 체계 모델에 대한 읽기 및 빌드 권한이 있어야 합니다. 해당 권한은 개별 의미 체계 모델에 대해 명시적으로 부여할 수도 있고, 보고서 작성자가 작업 영역 관리자, 구성원 또는 기여자인 경우 작업 영역 의미 체계 모델에 대해 암시적으로 부여할 수도 있습니다.
작업 영역에서 의미 체계 모델 사용 테넌트 설정을 사용하면 Power BI 관리자가 다른 작업 영역에 있는 의미 체계 모델을 사용하는 보고서를 만들 수 있는 사용자 그룹을 설정할 수 있습니다. 이 설정은 의미 체계 모델 및 보고서 작성자를 대상으로 합니다. 일반적으로 전체 조직에 대해 이 설정을 사용하도록 설정하고 작업 영역 액세스 설정 및 의미 체계 모델 권한을 사용하는 것이 좋습니다. 이렇게 하면 기존 의미 체계 모델의 사용을 권장할 수 있습니다. 경우에 따라 이 기능을 승인된 콘텐츠 작성자로만 제한하는 것을 고려할 수 있습니다.
라이브 연결 허용 테넌트 설정도 있습니다. 이 테넌트 설정을 사용하면 Power BI 관리자가 Power BI Desktop 또는 Excel에서 의미 체계 모델에 대한 라이브 연결을 만들 수 있는 사용자 그룹을 설정할 수 있습니다. 특히 보고서 작성자를 대상으로 하며 보고서에서 사용할 의미 체계 모델에 대한 읽기 및 빌드 권한을 부여해야 합니다. 전체 조직에 대해 이 설정을 사용하도록 설정하고 작업 영역 액세스 및 의미 체계 모델 권한을 사용하는 것이 좋습니다. 이렇게 하면 기존 의미 체계 모델의 사용을 권장할 수 있습니다. 경우에 따라 이 기능을 승인된 콘텐츠 작성자로만 제한하는 것을 고려할 수 있습니다.
기본 의미 체계 모델에 대한 데이터 보안
RLS 및 OLS(이 문서의 앞 부분에서 설명)는 보고서 소비자를 대상으로 합니다. 그러나 경우에 따라 보고서 작성자에 대해서도 적용해야 합니다. 보고서 작성자와 보고서 소비자에게도 RLS를 적용해야 하는 경우 별도의 작업 영역을 만드는 것이 합당합니다.
다음 시나리오를 살펴 보십시오.
- RLS를 사용한 중앙 집중식 공유 의미 체계 모델: 엔터프라이즈 BI 팀은 판매 의미 체계 모델을 판매 데이터 작업 영역에 게시했습니다. 이러한 의미 체계 모델은 RLS를 적용하여 보고서 소비자의 할당된 판매 지역에 대한 판매 데이터를 표시합니다.
- 분산된 셀프 서비스 보고서 작성자: 영업 및 마케팅 사업부에는 자체 보고서를 만드는 많은 유능한 분석가가 있습니다. 이들은 보고서를 판매 분석 작업 영역에 게시합니다.
- 의미 체계 모델에 대한 읽기 및 빌드 권한: 가능하면 분석가는 판매 데이터 작업 영역의 의미 체계 모델을 사용하여 불필요한 데이터 중복을 방지합니다. 분석가는 이러한 의미 체계 모델에 대한 읽기 및 빌드 권한만 가지고 있으므로(쓰기 또는 편집 권한이 없음) 보고서 작성자(및 보고서 소비자도)에게 RLS가 적용됩니다.
- 보고 작업 영역에 대한 권한 편집: 분석가는 판매 분석 작업 영역에서 더 많은 권한을 갖습니다. 관리자, 구성원 또는 기여자 작업 영역 역할을 사용하면 보고서를 게시하고 관리할 수 있습니다.
RLS 및 OLS에 대한 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요. 의미 체계 모델에 대한 보기 전용 권한이 있는 소비자에게 RLS 및 OLS를 적용하는 방법과 경우를 설명합니다.
외부 의미 체계 모델에 연결
보고서 작성자가 보고서의 공유 의미 체계 모델에 연결하는 경우 일반적으로 자체 Power BI 테넌트에서 게시된 공유 의미 체계 모델에 연결합니다. 권한이 부여되면 다른 테넌트의 공유 의미 체계 모델에 연결할 수도 있습니다. 다른 테넌트는 파트너, 고객 또는 공급업체일 수 있습니다.
이 기능을 현재 위치 의미 체계 모델 공유(테넌트 간 의미 체계 모델 공유라고도 함)라고 합니다. 보고서 작성자가 만든 보고서(또는 의미 체계 모델 작성자가 만든 새 복합 모델)는 일반적인 프로세스를 사용하여 Power BI 테넌트에 저장되고 보호됩니다. 원래의 공유 의미 체계 모델은 원래 Power BI 테넌트에 유지되며 모든 권한이 관리됩니다.
자세한 내용은 테넌트 수준 보안 계획 문서를 참조하세요. 여기에는 외부 공유를 사용하게 만드는 테넌트 설정 및 의미 체계 모델 설정에 대한 정보가 포함됩니다.
주요 테이블
Power BI Desktop에서 의미 체계 모델 작성자는 모델 테이블을 주요 테이블이 되도록 설정할 수 있습니다. 의미 체계 모델이 Power BI 서비스에 게시되면 보고서 작성자는 Excel의 데이터 형식 갤러리를 사용하여 주요 테이블을 찾을 수 있으므로 주요 테이블 데이터를 추가하여 Excel 워크시트를 보강할 수 있습니다.
주요 테이블에 대한 연결 허용 테넌트 설정을 사용하면 Power BI 관리자가 주요 테이블에 액세스할 수 있는 사용자 그룹을 설정할 수 있습니다. Excel 조직 데이터 형식의 Power BI 주요 테이블에 액세스하려는 Excel 사용자를 대상으로 합니다. 전체 조직에 대해 이 설정을 사용하도록 설정하고 작업 영역 액세스 및 의미 체계 모델 권한을 사용하는 것이 좋습니다. 이렇게 하면 주요 테이블의 사용을 권장할 수 있습니다.
사용자 지정 시각적 개체 권한
Power BI 보고서 작성자는 핵심 시각적 개체 외에도 사용자 지정 시각적 개체를 사용할 수 있습니다. Power BI Desktop의 Microsoft AppSource에서 사용자 지정 시각적 개체를 다운로드할 수 있습니다. 또한 Power BI SDK를 사용하여 사내에서 개발할 수 있고, 시각적 개체 파일(.pbviz)을 열어 설치할 수도 있습니다.
AppSource에서 다운로드할 수 있는 일부 시각적 개체는 인증된 시각적 개체입니다. 인증된 시각적 개체는 Power BI 팀이 테스트하고 승인한 특정 지정된 코드 요구 사항을 충족합니다. 테스트는 시각적 개체가 외부 서비스나 리소스에 액세스하지 않는지 확인합니다.
Power BI SDK에서 만든 시각적 개체 허용 테넌트 설정을 사용하면 Power BI 관리자가 사용자 지정 시각적 개체를 사용할 수 있는 사용자 그룹을 제어할 수 있습니다.
인증된 시각적 개체만 추가 및 사용 테넌트 설정도 있습니다. 이 테넌트 설정을 사용하면 Power BI 관리자가 Power BI 서비스에서 인증되지 않은 시각적 개체의 사용을 차단할 수 있습니다. 이 설정은 전체 조직에 대해 사용하거나 사용하지 않도록 설정할 수 있습니다.
참고 항목
인증되지 않은 시각적 개체의 사용을 차단하는 경우 Power BI 서비스에만 적용됩니다. Power BI Desktop에서 사용을 제한하려면 시스템 관리자에게 그룹 정책 설정을 사용하여 Power BI Desktop 사용을 차단하도록 요청합니다. 이 단계를 수행하면 보고서 작성자가 Power BI 서비스에 게시할 때 작동하지 않는 보고서를 만드느라 시간과 노력을 낭비하지 않도록 할 수 있습니다. Power BI 서비스(테넌트 설정 사용) 및 Power BI Desktop(그룹 정책 사용)에서 사용자가 일관된 경험을 하도록 설정할 것을 적극 권장합니다.
Power BI Desktop에는 보고서 작성자가 보고서에 사용자 지정 시각적 개체를 추가할 때 보안 경고를 표시하는 옵션이 있습니다. 보고서 작성자는 이 옵션을 사용하지 않도록 설정할 수 있습니다. 이 옵션은 시각적 개체가 인증되었는지 여부를 테스트하지 않습니다.
Power BI 관리자는 조직의 사용자 지정 시각적 개체를 승인하고 배포할 수 있습니다. 보고서 작성자는 이러한 Power BI 시각적 개체를 쉽게 검색, 업데이트, 사용할 수 있습니다. 그러면 관리자가 버전을 업데이트하거나 특정 사용자 지정 시각적 개체의 사용 여부를 설정하여 이러한 시각적 개체를 관리할 수 있습니다. 이 방법은 보고서 작성자가 사내에서 개발한 시각적 개체를 사용할 수 있도록 하거나 AppSource에 없는 공급업체에서 사용자 지정 시각적 개체를 획득할 때 유용합니다. 자세한 내용은 Power BI 조직 시각적 개체를 참조하세요.
조직의 시각적 개체를 배포하여 예외를 처리하는 동시에 조직에서 인증된 사용자 지정 시각적 개체만 사용하도록 설정(앞 부분에서 설명한 테넌트 설정 및 그룹 정책 사용)하는 균형 잡힌 전략을 고려합니다.
검사 목록 - 보고서 작성자 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 보고서 작성자 권한에 대한 전략 결정: 보고서 작성자의 보안을 관리하기 위한 기본 설정 및 요구 사항을 결정합니다. 주제 영역 및 데이터 민감도 수준을 고려합니다. 또한 중앙 집중식 사업부와 분산된 사업부에서 보고서를 만들고 관리할 책임을 맡을 수 있는 사람을 고려합니다.
- 보고서 작성자에 대해 작업 영역 역할이 처리되는 방법 검토: 작업 영역 디자인 프로세스에 미치는 영향을 확인합니다. 각 주제 영역에 대해 별도의 데이터 작업 영역 및 보고 작업 영역을 만들어 주제 영역에 대한 작업 영역 역할(및 기본 의미 체계 모델 보안)을 간소화합니다.
- 보고서 작성자에게 사용 권한 관리에 대한 지침 제공: 보고서 작성자를 위해 보고서 소비자의 사용 권한을 관리하는 방법에 대한 설명서를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- 공유 의미 체계 모델을 사용할 수 있는 사용자 결정: Power BI 보고서 작성자(의미 체계 모델에 대한 읽기 및 빌드 권한이 이미 있는 사용자)가 작업 영역에서 의미 체계 모델을 사용하는 데 제한 사항을 둘지 여부를 결정합니다. 이 결정에 따라 작업 영역에서 의미 체계 모델 사용 테넌트 설정을 지정합니다. 이 기능을 제한하기로 결정한 경우 그룹(예: Power BI 승인 보고서 작성자)을 사용할 것을 고려합니다.
- 사용할 수 있는 사용자 결정: Power BI 보고서 작성자(의미 체계 모델에 대한 읽기 및 빌드 권한이 이미 있는 사용자)가 작업 영역에서 라이브 연결을 사용하는 데 제한 사항을 둘지 여부를 결정합니다. 이 결정에 따라 라이브 연결 허용 테넌트 설정을 지정합니다. 이 기능을 제한하기로 결정한 경우 그룹(예: Power BI 승인 보고서 작성자)을 사용할 것을 고려합니다.
- 보고서 작성자를 위한 RLS 사용 전략 결정: 행 수준 보안을 사용하려는 목적과 사용 사례를 고려합니다. 보고서 작성자에 대해 RLS가 적용되도록 작업 영역 디자인 전략의 요소를 고려합니다.
- 사용자 지정 시각적 개체를 사용하기 위한 전략 결정: 보고서 작성자가 사용자 지정 시각적 개체를 사용할 수 있는 전략을 고려합니다. 이 결정에 따라 Power BI SDK에서 만든 시각적 개체 허용 테넌트 설정을 지정합니다. 적절한 경우 조직의 시각적 개체를 사용하기 위한 프로세스를 만듭니다.
데이터 흐름 작성자 권한
데이터 흐름은 Power Query에서 수행된 작업이 여러 의미 체계 모델에 걸쳐 반복되지 않도록 데이터 준비를 중앙 집중화하는 데 유용합니다. 단일 데이터 소스(single source of truth)를 달성하고, 분석가가 원본에 직접 액세스하지 못하게 하고, ETL(추출, 변환 및 로드) 작업을 대규모로 수행하는 데 도움이 되는 구성 요소입니다.
데이터 흐름 작성자는 작업 영역 관리자, 구성원 또는 기여자여야 합니다.
데이터 흐름(예: Power BI Desktop 또는 다른 작업 영역에서 만든 새 데이터 모델의 데이터 흐름)을 사용하려면 의미 체계 모델 작성자가 뷰어 역할을 비롯한 모든 작업 영역 역할에 속할 수 있습니다. 데이터 흐름에 대한 RLS 개념은 없습니다.
작업 영역 역할 외에도 데이터 흐름 만들기 및 사용 테넌트 설정을 사용하도록 설정해야 합니다. 이 테넌트 설정은 전체 조직에 적용됩니다.
다음 시나리오를 살펴 보십시오.
- 조직의 많은 의미 체계 모델은 동적 RLS를 적용해야 합니다. 보고서 소비자의 ID를 기준으로 필터링하려면 UPN(사용자 보안 주체 이름)을 의미 체계 모델에 저장해야 합니다.
- 인사부에 속한 데이터 흐름 작성자는 UPN을 포함하여 현재 직원 세부 정보의 데이터 흐름을 만듭니다. 매일 새로 고치도록 데이터 흐름을 설정합니다.
- 그런 다음 의미 체계 모델 작성자는 모델 디자인에서 데이터 흐름을 사용하여 RLS를 설정합니다.
데이터 흐름 사용에 대한 자세한 내용은 셀프 서비스 데이터 준비 및 고급 데이터 준비 사용 시나리오를 참조하세요.
검사 목록 - 데이터 흐름 작성자 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 데이터 흐름 작성자 권한에 대한 전략 결정: 데이터 흐름 작성자의 보안을 관리하기 위한 기본 설정 및 요구 사항을 결정합니다. 중앙 집중식 사업부와 분산된 사업부에서 데이터 준비 활동을 관리할 책임을 맡을 수 있거나 권장되는 사용자를 고려합니다.
- 데이터 흐름을 만들 수 있는 사용자 결정: Power BI 데이터 작성자가 데이터 흐름을 만들 수 있는 제한 사항을 둘지 여부를 결정합니다. 이 결정에 따라 데이터 흐름 만들기 및 사용 테넌트 설정을 지정합니다.
- 데이터 흐름 작성자에 대해 작업 영역 역할이 처리되는 방법 검토: 작업 영역 디자인 프로세스에 미치는 영향을 확인합니다. 적절한 경우 각 주제 영역에 대해 작업 영역 역할과 사용 권한을 별도로 처리할 수 있도록 주제 영역별로 별도의 데이터 흐름 작업 영역을 만듭니다.
데이터 마트 작성자 권한
데이터 마트는 사용자가 완전 관리형 관계형 데이터베이스에 로드된 데이터를 저장하고 탐색할 수 있도록 하는 셀프 서비스 분석 솔루션입니다. 또한 자동 생성된 의미 체계 모델로 구성됩니다.
데이터 마트는 다양한 데이터 원본에서 데이터를 수집하고, Power Query Online을 사용하여 데이터를 ETL(추출, 변환 및 로드)하는 단순한 로우 코드 환경을 제공합니다. 데이터는 완전히 관리되고 튜닝 또는 최적화가 필요하지 않은 Azure SQL Database에 로드됩니다. 자동 생성된 의미 체계 모델은 DirectQuery 모드에 있으므로 항상 관리되는 데이터베이스와 동기화됩니다.
작업 영역 관리자, 구성원 또는 기여자인 경우 데이터 마트를 만들 수 있습니다. 또한 작업 영역 역할은 Azure SQL 데이터베이스의 데이터베이스 수준 역할에 매핑됩니다(그러나 데이터베이스가 완전히 관리되므로 관계형 데이터베이스에서 사용자 권한을 편집하거나 관리할 수 없음).
데이터 마트 만들기 테넌트 설정을 사용하면 Power BI 관리자가 데이터 마트를 만들 수 있는 사용자 그룹을 설정할 수 있습니다.
데이터 마트 공유
데이터 마트의 경우 공유라는 용어는 다른 Power BI 콘텐츠 형식과 다른 의미를 사용합니다. 일반적으로 공유 작업은 한 항목(예: 보고서)에 읽기 전용 권한을 제공하기 때문에 소비자를 대상으로 합니다.
데이터 마트 공유는 소비자가 아니라 콘텐츠 작성자를 대상으로 합니다. 의미 체계 모델 또는 관계형 데이터베이스 중 사용자가 선호하는 것을 쿼리할 수 있는 읽기 및 빌드 권한을 부여합니다.
데이터 마트를 공유하면 콘텐츠 작성자가 다음을 수행할 수 있습니다.
- 자동 생성된 의미 체계 모델을 사용하여 콘텐츠 빌드: 의미 체계 모델은 Power BI 보고서를 빌드할 수 있는 의미 체계 계층입니다. 대부분의 보고서 작성자는 의미 체계 모델을 사용해야 합니다.
- Azure SQL Database에 연결 및 쿼리: 관계형 데이터베이스는 새 의미 체계 모델 또는 페이지를 매긴 보고서를 만들려는 콘텐츠 작성자에 유용합니다. SQL 엔드포인트를 사용하여 데이터를 검색하는 SQL(구조적 쿼리 언어) 쿼리를 작성할 수 있습니다.
데이터 마트 행 수준 보안
데이터 마트에 대한 RLS를 정의하여 지정된 사용자의 데이터 액세스를 제한할 수 있습니다. RLS는 Power BI 서비스의 데이터 마트 편집기에서 설정되며 자동 생성된 의미 체계 모델과 Azure SQL Database(보안 규칙으로)에 자동으로 적용됩니다.
사용자가 데이터 마트(의미 체계 모델 또는 데이터베이스)에 연결하도록 선택하는 방법에 관계없이 동일한 RLS 권한이 적용됩니다.
검사 목록 - 데이터 마트 작성자 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 데이터 마트 작성자 권한에 대한 전략 결정: 데이터 마트 작성자의 보안을 관리하기 위한 기본 설정 및 요구 사항을 결정합니다. 중앙 집중식 사업부와 분산된 사업부에서 데이터를 관리할 책임을 맡을 수 있거나 권장되는 사용자를 고려합니다.
- 데이터 마트를 만들 수 있는 사용자 결정: Power BI 데이터 작성자가 데이터 마트를 만들 수 있는 제한 사항을 둘지 여부를 결정합니다. 이 결정에 따라 데이터 마트 만들기 테넌트 설정을 지정합니다. 데이터 마트를 만들 수 있는 사용자를 제한하기로 결정한 경우 그룹(예: Power BI 승인된 데이터 마트 작성자)을 사용할 것을 고려합니다.
- 데이터 마트 작성자에 대해 작업 영역 역할이 처리되는 방법 검토: 작업 영역 디자인 프로세스에 미치는 영향을 확인합니다. 주제 영역에 대해 작업 영역 역할 및 의미 체계 모델 보안을 간소화할 수 있도록 주제 영역당 별도의 데이터 작업 영역을 만듭니다.
- 데이터 마트 작성자에게 권한 관리에 대한 지침 제공: 데이터 마트 작성자를 위해 데이터 마트 사용 권한을 관리하는 방법에 대한 설명서를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
- 데이터 마트에서 RLS를 사용하기 위한 전략 결정: 데이터 마트 내에서 RLS를 사용하려는 목적과 사용 사례를 고려합니다.
성과 기록표 작성자 권한
Power BI의 메트릭을 통해 특정 메트릭을 큐레이팅하고 주요 업무 목표를 추적할 수 있습니다. 메트릭은 성과 기록표에 추가되어 다른 사용자와 공유하고 단일 창에서 볼 수 있습니다.
성과 기록표는 다음 세 가지 수준의 권한으로 보호할 수 있습니다.
- 작업 영역.
- 성과 기록표(항목별) 권한.
- 메트릭(성과 기록표 내).
성과 기록표를 만들거나 완전히 관리하는 사용자는 작업 영역 관리자, 구성원 또는 기여자여야 합니다.
메트릭은 여러 주제 영역에 걸쳐 있는 경우가 많기 때문에 작성자와 소비자에 대한 권한을 독립적으로 관리할 수 있도록 별도의 작업 영역을 만드는 것이 좋습니다.
메트릭 만들기 및 사용 테넌트 설정을 사용하면 Power BI 관리자가 성과 기록표 메트릭을 만들 수 있는 사용자 그룹을 설정할 수 있습니다.
성과 기록표 권한
다음 성과 기록표 권한을 할당할 수 있습니다.
- 읽기: 이 권한을 사용하면 사용자가 성과 기록표를 볼 수 있습니다.
- 다시 공유: 성과 기록표에 기존 권한이 있는 사용자를 대상으로 하는 이 권한을 통해 사용자는 성과 기록표를 다른 사용자와 공유할 수 있습니다.
Power BI 서비스의 다른 콘텐츠 형식과 마찬가지로 항목별 권한은 한 항목을 다른 사용자와 공유하려는 경우에 유용합니다. 가능하면 작업 영역 역할 및 앱 권한을 사용하는 것이 좋습니다.
메트릭 수준 권한
각 성과 기록표에는 성과 기록표 설정에서 지정할 수 있는 메트릭 수준 권한 집합이 있습니다. 메트릭 수준 권한(성과 기록표 내)은 작업 영역 또는 성과 기록표(항목별) 권한과 다르게 부여될 수 있습니다.
메트릭 수준 역할을 사용하면 다음을 설정할 수 있습니다.
- 성과 기록표에서 개별 메트릭을 볼 수 있는 사람.
- 다음을 기준으로 개별 메트릭을 업데이트할 수 있는 사람.
- 체크 인하는 동안 상태 업데이트.
- 체크 인하는 동안 메모 추가.
- 체크 인하는 동안 현재 값 업데이트.
향후 유지 관리 수준을 줄이기 위해 나중에 만든 하위 메트릭에서 상속할 기본 권한을 설정할 수 있습니다.
검사 목록 - 메트릭 작성자 권한을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 성과 기록표 작성자 권한에 대한 전략 결정: 성과 기록표 작성자의 보안을 관리하기 위한 기본 설정 및 요구 사항을 결정합니다. 중앙 집중식 사업부와 분산된 사업부에서 데이터를 관리할 책임을 맡을 수 있거나 권장되는 사용자를 고려합니다.
- 성과 기록표를 만들 수 있는 사용자 결정: Power BI 데이터 작성자가 성과 기록표를 만들 수 있는 제한 사항을 둘지 여부를 결정합니다. 이 결정에 따라 메트릭 만들기 및 사용 테넌트 설정을 지정합니다. 성과 기록표를 만들 수 있는 사용자를 제한하기로 결정한 경우 그룹(예: Power BI 승인된 성과 기록표 작성자)을 사용할 것을 고려합니다.
- 작성자에 대해 작업 영역 역할이 처리되는 방법 검토: 작업 영역 디자인 프로세스에 미치는 영향을 확인합니다. 콘텐츠가 제목 영역에 걸쳐 있을 때 성과 기록표에 대해 별도의 주제 영역을 만드는 것이 좋습니다.
- 성과 기록표 작성자에게 사용 권한 관리에 대한 지침 제공: 성과 기록표 작성자를 위해 메트릭 수준 권한을 관리하는 방법에 대한 설명서를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
콘텐츠 게시
이 섹션에는 콘텐츠 작성자와 관련된 콘텐츠를 게시하는 것과 관련된 항목이 포함되어 있습니다.
작업 영역
콘텐츠 작성자가 작업 영역에 콘텐츠를 게시하려면 관리자, 구성원 또는 기여자 역할 액세스 권한이 필요합니다. 자세한 내용은 이 문서의 뒷부분에 설명된 작업 영역 역할을 참조하세요.
개인 BI를 제외하고, 콘텐츠 작성자는 개인 작업 영역 대신 표준 작업 영역에 콘텐츠를 게시하도록 권장해야 합니다.
다시 게시 차단 및 패키지 새로 고침 사용 안 함 테넌트 설정은 의미 체계 모델 게시에 대한 동작을 변경합니다. 이 권한을 사용하도록 설정하면 작업 영역 관리자, 구성원 또는 기여자가 변경 내용을 의미 체계 모델에 게시할 수 없습니다. 의미 체계 모델 소유자만이 업데이트를 게시할 수 있습니다(업데이트된 의미 체계 모델을 게시하기 전에 의미 체계 모델을 강제로 인수). 이 테넌트 설정은 전체 조직에 적용되기 때문에 전체 테넌트에서 모든 의미 체계 모델에 영향을 주므로 주의해서 사용하도록 설정합니다. 의미 체계 모델 작성자는 작업 영역 역할의 일반적인 동작을 변경하므로 기대 사항을 전달해야 합니다.
Power Apps 동기화
포함된 Power BI 보고서를 포함하는 Power Apps 솔루션을 만들 수 있습니다. Power Apps 프로세스는 자동으로 Power BI 보고서 및 의미 체계 모델을 저장하고 보호하는 전용 Power BI 작업 영역을 만듭니다. Power Apps와 Power BI 모두에 있는 항목을 관리하기 위해 동기화 프로세스가 있습니다.
이 프로세스는 보안 역할을 동기화하여 Power BI가 Power Apps에서 처음 설정한 것과 동일한 역할을 상속하도록 합니다. 또한 콘텐츠 작성자는 Power App에 포함된 Power BI 보고서(및 관련 의미 체계 모델)를 볼 수 있는 사용자에 대한 권한을 관리할 수 있습니다.
Power Apps 역할과 Power BI 작업 영역 역할을 동기화하는 방법에 대한 자세한 내용은 Power Apps 환경과 Power BI 작업 영역 간의 권한 동기화를 참조하세요.
배포 파이프라인 액세스
콘텐츠 작성자와 소유자는 셀프 서비스 콘텐츠 게시에 Power BI 배포 파이프라인을 사용할 수 있습니다. 배포 파이프라인은 새 콘텐츠를 릴리스할 때 게시 프로세스를 간소화하고 제어 수준을 향상시킵니다.
파이프라인 권한(배포 파이프라인을 사용하여 콘텐츠를 배포할 수 있는 사용자)은 작업 영역 역할과 별도로 관리합니다. 배포를 수행하는 사용자에게는 작업 영역과 배포 파이프라인 모두에 대한 액세스가 필요합니다.
콘텐츠 작성자에게 다음 권한도 필요할 수 있습니다.
- 작업 영역 만들기 권한(파이프라인에서 작업 영역을 만들어야 하는 경우).
- 프리미엄 또는 Fabric 용량 권한(파이프라인에서 작업 영역을 할당하는 경우).
Important
때때로 이 문서는 Power BI Premium 또는 P SKU(프리미엄 용량 구독)를 언급합니다. Microsoft는 현재 구매 옵션을 통합하고 용량당 Power BI Premium SKU를 사용 중지하고 있습니다. 신규 및 기존 고객은 대신 F SKU(Fabric 용량 구독)로 구매를 고려해야 합니다.
자세한 내용은 Power BI Premium 라이선스 관련 중요 업데이트 및 Power BI Premium FAQ를 참조하세요.
자세한 내용은 배포 파이프라인 액세스를 참조하세요.
XMLA 엔드포인트
XMLA 엔드포인트는 XMLA 프로토콜을 사용하여 Power BI Desktop에서 지원하지 않는 일부 데이터 모델링 작업을 포함하여 테이블 형식 데이터 모델의 모든 기능을 노출합니다. TOM(테이블 형식 개체 모델) API를 사용하여 데이터 모델을 프로그래밍 방식으로 변경할 수 있습니다.
XMLA 엔드포인트도 연결을 제공합니다. 라이선스 모드가 있는 작업 영역이 사용자 단위 Premium, 용량 단위 Premium 또는 Embedded로 설정된 경우에만 의미 체계 모델에 연결할 수 있습니다. 연결이 완료되면 XMLA 규격 도구가 데이터 모델에서 데이터를 읽거나 쓰는 작업을 할 수 있습니다. XMLA 엔드포인트를 사용하여 의미 체계 모델을 관리하는 방법에 대한 자세한 내용은 고급 데이터 모델 관리 사용 시나리오를 참조하세요.
XMLA 엔드포인트를 통해 액세스할 때는 기존 권한이 적용됩니다. 작업 영역 관리자, 구성원, 기여자는 암시적으로 의미 체계 모델 쓰기 권한을 갖습니다. 즉, Visual Studio에서 새 의미 체계 모델을 배포하고 SSMS(SQL Server Management Studio)에서 TMSL(테이블 형식 모델링 스크립팅 언어) 스크립트를 실행할 수 있습니다.
의미 체계 모델 빌드 권한이 있는 사용자는 XMLA 엔드포인트를 사용하여 데이터 사용량 및 시각화를 위한 의미 체계 모델에 연결하고 찾아볼 수 있습니다. RLS 규칙이 적용되며 사용자는 내부 의미 체계 모델 메타데이터를 볼 수 없습니다.
온-프레미스 의미 체계 모델을 사용하여 XMLA 엔드포인트 및 Excel에서 분석 허용 테넌트 설정은 XMLA 엔드포인트를 사용하여 Power BI 서비스에서 의미 체계 모델을 쿼리 및/또는 유지 관리할 수 있는 사용자 그룹을 제어하는 두 가지 기능을 나타냅니다. 또한 Excel에서 분석을 SSAS(온-프레미스 SQL Server Analysis Services) 모델과 함께 사용할 수 있는지 여부도 결정합니다.
참고 항목
해당 테넌트 설정의 Excel에서 분석 설정은 SSAS(온-프레미스 SQL Server Analysis Services) 모델에만 적용됩니다. Power BI 서비스에서 Power BI 의미 체계 모델에 연결하는 표준 Excel에서 분석 기능은 라이브 연결 허용 테넌트 설정에 의해 제어됩니다.
웹에 게시
웹에 게시는 인터넷의 모든 사용자에게 Power BI 보고서에 대한 액세스를 제공하는 기능입니다. 인증이 필요하지 않으며 감사 목적으로 액세스가 기록되지 않습니다. 보고서 소비자는 조직에 속하거나 Power BI 라이선스가 없어도 되므로 이 기술은 블로그 게시물, 웹 사이트, 이메일 또는 소셜 미디어에 보고서가 포함되는 프로세스인 데이터 저널리즘에 적합합니다.
주의
웹에 게시하면 실수로든 의도적으로든 중요한 데이터나 기밀 데이터가 노출될 가능성이 있습니다. 이러한 이유로 이 기능은 기본적으로 사용하지 않도록 설정됩니다. 웹에 게시는 공개적으로 볼 수 있는 데이터가 포함된 보고서에만 사용해야 합니다.
웹에 게시 테넌트 설정을 사용하면 Power BI 관리자가 웹에 보고서를 게시할 수 있는 사용자 그룹을 제어할 수 있습니다. 더 높은 수준의 제어를 유지하려면 이 테넌트 설정에 다른 그룹(예: Power BI 관리자 또는 다른 유형의 콘텐츠 작성자)을 포함하지 않는 것이 좋습니다. 대신 보안 그룹(예: Power BI 공개 게시)을 사용하여 특정 사용자 액세스를 적용합니다. 보안 그룹이 잘 관리되는지 확인합니다.
사용자 지정 앱에 포함
앱에 콘텐츠 포함 테넌트 설정을 사용하면 Power BI 관리자가 Power BI 서비스 외부에서 Power BI 콘텐츠를 포함할 수 있는 사용자를 제어할 수 있습니다. 사용자 지정 애플리케이션에 Power BI 콘텐츠를 포함할 계획인 경우 특정 그룹(예: 앱 개발자)에 대해 이 설정을 사용하도록 설정합니다.
PowerPoint에 포함
PowerPoint용 Power BI 추가 기능 사용 테넌트 설정을 사용하면 Power BI 관리자가 PowerPoint 프레젠테이션에 Power BI 보고서 페이지를 포함할 수 있는 사용자를 제어할 수 있습니다. 적절한 경우 보고서 작성자와 같은 특정 그룹에 대해 이 설정을 사용하도록 설정합니다.
참고 항목
이 기능이 작동하려면 사용자가 PowerPoint용 Power BI 추가 기능을 설치해야 합니다. 이 추가 기능을 사용하려면 사용자가 Office 추가 기능 저장소에 액세스할 수 있거나 관리자 관리 추가 기능으로 추가 기능을 사용할 수 있어야 합니다. 자세한 내용은 PowerPoint용 Power BI 추가 기능을 참조하세요.
보고서 작성자에게 PowerPoint 프레젠테이션을 저장하는 위치와 공유하는 사용자에 대해 주의하도록 교육합니다. Power BI 보고서 시각적 개체의 이미지가 프레젠테이션을 열 때 사용자에게 표시되기 때문입니다. 해당 이미지는 PowerPoint 파일이 마지막으로 연결된 때부터 캡처됩니다. 그러나 수신 사용자에게 볼 수 있는 권한이 없는 데이터가 이 이미지에 실수로 표시될 수 있습니다.
참고 항목
이미지는 수신 사용자에게 아직 추가 기능이 없거나 추가 기능이 Power BI 서비스에 연결하여 데이터를 검색할 때까지 유용할 수 있습니다. 사용자가 연결되면 사용자가 볼 수 있는 데이터(RLS 적용)만 Power BI에서 검색됩니다.
템플릿 앱
템플릿 앱을 사용하면 Power BI 파트너와 소프트웨어 공급업체는 코딩이 거의 없거나 전혀 없는 Power BI 앱을 만들고 모든 Power BI 고객에게 배포할 수 있습니다.
템플릿 앱 게시 테넌트 설정을 사용하면 Power BI 관리자가 조직 외부에서(예: Microsoft AppSource를 통해) 템플릿 앱을 게시할 수 있는 사용자를 제어할 수 있습니다. 대부분의 조직에서는 이 테넌트 설정을 사용하지 않도록 설정하거나 엄격하게 제어해야 합니다. 보안 그룹(예: Power BI 외부 템플릿 앱 작성자)을 사용하는 것이 좋습니다.
메일 구독
자신과 다른 사용자가 Power BI 보고서, 대시보드 및 페이지를 매긴 보고서를 구독할 수 있습니다. 그러면 Power BI에서 사용자가 설정한 일정에 따라 전자 메일을 보냅니다. 메일에는 스냅샷과 보고서 또는 대시보드에 대한 링크가 포함됩니다.
작업 영역 관리자, 구성원 또는 기여자인 경우 다른 사용자를 포함하는 구독을 만들 수 있습니다. 보고서가 프리미엄 작업 영역에 있는 경우 그룹(도메인에 있든 없든) 및 외부 사용자를 구독할 수 있습니다. 구독을 설정할 때 항목에 권한을 부여하는 옵션도 있습니다. 항목별 직접 액세스 권한은 보고서 소비자 보안 계획 문서에 설명된 이 목적으로 사용됩니다.
주의
메일 구독 기능은 내부 및 외부 대상 그룹과 콘텐츠를 공유할 가능성이 있습니다. 또한 기본 의미 체계 모델에 RLS가 적용되면 구독 사용자의 보안 컨텍스트를 사용하여 첨부 파일 및 이미지가 생성됩니다.
전자 메일 구독 테넌트 설정을 사용하면 Power BI 관리자가 전체 조직에서 이 기능을 사용할지 또는 사용하지 않을지를 제어할 수 있습니다.
라이선스 및 테넌트 설정 제한과 관련된 첨부 파일에 관해 몇 가지 제한 사항이 있습니다. 자세한 내용은 Power BI 서비스의 보고서 및 대시보드에 대한 메일 구독을 참조하세요.
검사 목록 - 콘텐츠 게시를 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 콘텐츠를 게시할 위치, 방법, 사람에 대한 전략 결정: 콘텐츠가 게시되는 위치에 대한 기본 설정 및 요구 사항을 결정합니다.
- 작업 영역 액세스 확인: 작업 영역 디자인 방법을 확인합니다. 작업 영역 액세스 역할을 사용하여 콘텐츠를 게시해야 할 위치에 대한 전략을 지원하는 방법을 확인합니다.
- 배포 파이프라인 권한을 처리하는 방법 결정: 배포 파이프라인을 사용하여 콘텐츠를 게시할 수 있는 사용자를 결정합니다. 그에 따라 배포 파이프라인 권한을 설정합니다. 작업 영역 액세스도 제공되는지 확인합니다.
- XMLA 엔드포인트를 사용하여 의미 체계 모델에 연결할 수 있는 사용자 결정: XMLA 엔드포인트를 사용하여 의미 체계 모델을 쿼리하거나 관리할 수 있는 사용자를 결정합니다. 이 결정에 따라 온-프레미스 의미 체계 모델을 사용하여 XMLA 엔드포인트 및 Excel에서 분석 허용 테넌트 설정을 지정합니다. 이 기능을 제한하기로 결정한 경우 그룹(예: Power BI 승인된 콘텐츠 작성자)을 사용할 것을 고려합니다.
- 보고서를 공개적으로 게시할 수 있는 사용자 결정: Power BI 보고서(있는 경우)를 공개적으로 게시할 수 있는 사용자를 결정합니다. 이 결정에 따라 웹에 게시 테넌트 설정을 지정합니다. 그룹(예: Power BI 공개 게시)을 사용합니다.
- 사용자 지정 앱에 콘텐츠를 포함할 수 있는 사용자 결정: Power BI 서비스 외부에 콘텐츠를 포함할 수 있는 사용자를 결정합니다. 이 결정에 따라 앱에서 콘텐츠 포함 테넌트 설정을 지정합니다.
- PowerPoint에 콘텐츠를 포함할 수 있는 사용자 결정: PowerPoint에 콘텐츠를 포함할 수 있는 사용자를 결정합니다. 이 결정에 따라 PowerPoint용 Power BI 추가 기능 사용 테넌트 설정을 지정합니다.
- 템플릿 앱을 게시할 수 있는 사용자 결정: 조직 외부의 템플릿 앱을 사용하기 위한 전략을 결정합니다. 이 결정에 따라 템플릿 앱 게시 테넌트 설정을 지정합니다.
- 구독을 사용하도록 설정할지 여부 결정: 구독을 사용하기 위한 전략이 무엇인지 확인합니다. 이 결정에 따라 전자 메일 구독 테넌트 설정을 지정합니다.
데이터 새로 고침
게시되면 데이터 작성자가 의미 체계 모델 및 데이터 흐름(가져온 데이터가 포함됨)이 주기적으로 새로 고쳐지도록 해야 합니다. 또한 의미 체계 모델 및 데이터 흐름 소유자에 대한 적절한 전략을 결정해야 합니다.
의미 체계 모델 소유자
각 의미 체계 모델에는 단일 사용자 계정인 소유자가 있습니다. 의미 체계 모델 소유자는 의미 체계 모델 새로 고침을 설정하고 의미 체계 모델 매개 변수를 설정해야 합니다.
기본적으로 의미 체계 모델 소유자는 빌드 권한을 원하는 보고서 작성자로부터도 액세스 요청을 받습니다(의미 체계 모델에 대한 액세스 요청 설정이 사용자 지정 지침을 제공하도록 설정되지 않은 경우). 자세한 내용은 이 문서의 작성자를 위한 액세스 요청 워크플로 섹션을 참조하세요.
Power BI에서 의미 체계 모델을 새로 고치기 위해 자격 증명을 가져올 수 있는 두 가지 방법이 있습니다.
- 의미 체계 모델 소유자는 의미 체계 모델 설정에 자격 증명을 저장합니다.
- 의미 체계 모델 소유자는 의미 체계 모델 설정(저장된 자격 증명이 있는 데이터 원본 포함)에서 게이트웨이를 참조하세요.
다른 사용자가 새로 고침을 설정하거나 의미 체계 모델 매개 변수를 설정해야 하는 경우 의미 체계 모델의 소유권을 가져와야 합니다. 의미 체계 모델 소유권은 작업 영역 관리자, 구성원 또는 기여자가 인수할 수 있습니다.
주의
의미 체계 모델 소유권을 얻으면 의미 체계 모델에 대해 저장된 자격 증명이 영구적으로 제거됩니다. 데이터 새로 고침 작업을 다시 시작할 수 있도록 자격 증명을 다시 입력해야 합니다.
이상적으로 의미 체계 모델 소유자는 의미 체계 모델을 담당하는 사용자입니다. 의미 체계 모델 소유자가 조직을 떠나거나 역할을 변경하면 의미 체계 모델 소유자를 업데이트해야 합니다. 또한 Microsoft Entra ID에서 의미 체계 모델 소유자의 사용자 계정을 사용하지 않도록 설정하면 데이터 새로 고침이 자동으로 비활성화됩니다. 이 경우 데이터 새로 고침 작업을 다시 시작할 수 있도록 다른 사용자가 의미 체계 모델의 소유권을 인수해야 합니다.
데이터 흐름 소유자
의미 체계 모델과 마찬가지로, 데이터 흐름에는 단일 사용자 계정인 소유자도 있습니다. 의미 체계 모델 소유자에 대한 이전 항목에서 제공된 정보와 지침은 데이터 흐름 소유자에게도 적용됩니다.
검사 목록 - 데이터 새로 고침 프로세스와 관련된 보안을 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.
- 의미 체계 모델 소유자를 위한 전략 결정: 의미 체계 모델 소유자 관리에 대한 기본 설정과 요구 사항이 무엇인지 결정합니다.
- 데이터 흐름 소유자에 대한 전략 결정: 데이터 흐름 소유자를 관리하기 위한 기본 설정 및 요구 사항을 결정합니다.
- 의미 체계 모델 작성자를 위한 설명서 및 학습에 포함: 데이터 작성자를 위해 각 항목 유형에 대한 소유자를 관리하는 방법에 대한 지침을 포함합니다.
관련 콘텐츠
Power BI 구현 결정에 도움이 되는 기타 고려 사항, 조치, 의사 결정 기준 및 권장 사항은 고려해야 할 주제 영역을 참조하세요.