Del via

Sikkerhet på radnivå (RLS) med Power BI

  • Artikkel

Sikkerhet på radnivå (RLS) med Power BI kan brukes til å begrense datatilgang for gitte brukere. Filtre begrenser datatilgang på radnivå, og du kan definere filtre i roller. I Power Bi-tjeneste har brukere med tilgang til et arbeidsområde tilgang til semantiske modeller i arbeidsområdet. RLS begrenser bare datatilgang for brukere med Visningstillatelser . Det gjelder ikke for administratorer, medlemmer eller bidragsytere.

Du kan konfigurere RLS for datamodeller som er importert til Power BI med Power BI. Du kan også konfigurere RLS på semantiske modeller som bruker DirectQuery, for eksempel SQL Server. For Live-tilkoblinger for Analysis Services eller Azure Analysis Services konfigurerer du sikkerhet på radnivå i modellen, ikke i Power BI. Sikkerhetsalternativet vises ikke for semantiske modeller for live-tilkobling.

Definer roller og regler i Power BI Desktop

Du kan definere roller og regler i Power BI Desktop. Med dette redigeringsprogrammet kan du veksle mellom å bruke standard rullegardingrensesnitt og et DAX-grensesnitt. Når du publiserer til Power BI, publiserer du også rolledefinisjonene.

Slik definerer du sikkerhetsroller:

  1. Importer data til Power BI Desktop-rapporten, eller konfigurer en DirectQuery-tilkobling.

    Merk

    Du kan ikke definere roller i Power BI Desktop for Live-tilkoblinger for Analysis Services. Du må gjøre dette i Analysis Services-modellen.

  2. Velg Behandle rollerModellering-fanen.

    Skjermbilde av Modellering-fanen, som uthever Behandle roller.

  3. Velg Ny i vinduet Behandle roller for å opprette en ny rolle.

    Skjermbilde av behandle roller-vinduet, utheving av knappen Opprett ny rolle.

  4. Angi et navn for rollen under Roller, og velg enter.

    Skjermbilde av behandle roller-vinduet, som uthever å gi nytt navn til en rolle.

    Merk

    Du kan for eksempel London,ParisRoleikke definere en rolle med komma.

  5. Velg tabellen du vil bruke et sikkerhetsfilter på radnivå i, under Velg tabeller.

  6. Bruk standard redigeringsprogram under Filterdata til å definere rollene dine. Uttrykkene som er opprettet, returnerer en sann eller usann verdi.

    Skjermbilde av standard redigeringsprogram for behandle roller-vinduet for å definere sikkerhet på radnivå.

    Merk

    Ikke alle sikkerhetsfiltre på radnivå som støttes i Power BI, kan defineres ved hjelp av standard redigeringsprogram. Begrensninger omfatter uttrykk som i dag bare kan defineres ved hjelp av DAX, inkludert dynamiske regler som brukernavn() eller userprincipalname(). Hvis du vil definere roller ved hjelp av disse filtrene, bytter du til å bruke DAX-redigeringsprogrammet.

  7. Du kan også velge Bytt til DAX-redigeringsprogram for å bytte til å bruke DAX-redigeringsprogrammet til å definere rollen din. DAX-uttrykk returnerer en verdi som er sann eller usann. Eksempel: [Entity ID] = “Value”. DAX-redigeringsprogrammet er komplett med autofullføring for formler (intellisense). Du kan merke av for uttrykket over uttrykksboksen for å validere uttrykket og X-knappen over uttrykksboksen for å tilbakestille endringene.

    Skjermbilde av behandle roller-vinduet, som uthever et eksempel på DAX-uttrykk.

    Merk

    Du kan bruke brukernavn() i dette uttrykket. Vær oppmerksom på at brukernavn() har formatet DOMENE\brukernavn i Power BI Desktop. I Power Bi-tjeneste og rapportserver for Power BI er det i formatet til brukerens brukerhovednavn (UPN). I denne uttrykksboksen bruker du i tillegg komma til å skille DAX-funksjonsargumenter selv om du bruker en nasjonal innstilling som vanligvis bruker semikolonskilletegn, for eksempel fransk eller tysk.

  8. Du kan bytte tilbake til standard redigeringsprogram ved å velge Bytt til standard redigeringsprogram. Alle endringer som gjøres i et redigeringsgrensesnitt, vedvarer når du bytter grensesnitt når det er mulig. Når du definerer en rolle ved hjelp av DAX-redigeringsprogrammet som ikke kan defineres i standardredigeringsprogrammet, blir du bedt om å bytte til standardredigeringsprogrammet med en advarsel om at av redigeringsprogram kan føre til at noe informasjon går tapt. Hvis du vil beholde denne informasjonen, velger du Avbryt og fortsetter bare å redigere denne rollen i DAX-redigeringsprogrammet.

    Skjermbilde av dialogboksen som bekrefter at du vil bytte til standard redigeringsprogram.

    Merk

    I denne uttrykksboksen bruker du komma til å skille DAX-funksjonsargumenter selv om du bruker en nasjonal innstilling som vanligvis bruker semikolonskilletegn, for eksempel fransk eller tysk.

  9. Velg Lagre.

Du kan ikke tilordne brukere til en rolle i Power BI Desktop. Du tilordner dem i Power Bi-tjeneste. Du kan aktivere dynamisk sikkerhet i Power BI Desktop ved å bruke DAX-funksjonene username() eller userprincipalname() og ha de riktige relasjonene konfigurert.

Som standard bruker filtrering av sikkerhet på radnivå enkeltveisfiltre, enten relasjonene er satt til én retning eller toveis. Du kan aktivere toveis kryssfiltrering manuelt med sikkerhet på radnivå ved å merke av for relasjonen og merke av for Bruk sikkerhetsfilter i begge retninger . Vær oppmerksom på at hvis en tabell deltar i flere toveisrelasjoner, kan du bare velge dette alternativet for én av disse relasjonene. Velg dette alternativet når du også har implementert dynamisk sikkerhet på radnivå på servernivå, der sikkerhet på radnivå er basert på brukernavn eller påloggings-ID.

Hvis du vil ha mer informasjon, kan du se toveis kryssfiltrering ved hjelp av DirectQuery i Power BI og teknisk artikkel om sikring av semantisk modell for tabell BI.

Skjermbilde av innstillingen for modellrelasjon for å bruke sikkerhetsfilter i begge retninger.

Administrer sikkerhet på modellen

Hvis du vil administrere sikkerhet på semantisk modell, åpner du arbeidsområdet der du lagret semantisk modell i Fabric, og gjør følgende:

  1. Velg Menyen Flere alternativer for en semantisk modell i Fabric. Denne menyen vises når du holder pekeren over et semantisk modellnavn.

    Skjermbilde som viser Flere alternativer-menyen i navigasjonsmenyen.

  2. Velg Sikkerhet.

    Skjermbilde som viser Flere alternativer-menyen med Sikkerhet valgt.

Sikkerhet tar deg til siden Sikkerhet på rollenivå der du legger til medlemmer i en rolle du opprettet. Bidragsytere (og roller for høyere arbeidsområde) vil se Sikkerhet og kan tilordne brukere til en rolle. Som et notat kan du bare administrere sikkerhet på modeller som har sikkerhetsroller på radnivå som allerede er definert i Power BI Desktop, eller når du redigerer datamodellen i Power BI-tjenesten.

Arbeide med medlemmer

Legg til medlemmer

I Power Bi-tjeneste kan du legge til et medlem i rollen ved å skrive inn e-postadressen eller navnet på brukeren eller sikkerhetsgruppen. Du kan ikke legge til grupper som er opprettet i Power BI. Du kan legge til medlemmer eksternt i organisasjonen.

Du kan bruke følgende grupper til å konfigurere sikkerhet på radnivå.

Vær oppmerksom på at Microsoft 365-grupper ikke støttes og ikke kan legges til i noen roller.

Skjermbilde som viser hvordan du legger til et medlem.

Du kan også se hvor mange medlemmer som er en del av rollen av tallet i parenteser ved siden av rollenavnet eller ved siden av Medlemmer.

Skjermbilde som viser medlemmer i rollen.

Fjern medlemmer

Du kan fjerne medlemmer ved å velge X ved siden av navnet.

Skjermbilde som viser hvordan du fjerner et medlem.

Validerer rollen i Power Bi-tjeneste

Du kan bekrefte at rollen du definerte, fungerer som den skal i Power Bi-tjeneste ved å teste rollen.

  1. Velg Flere alternativer (...) ved siden av rollen.
  2. Velg Test som rolle.

Skjermbilde av alternativet Test som rolle.

Du omdirigeres til rapporten som ble publisert fra Power BI Desktop med denne semantiske modellen, hvis den finnes. Instrumentbord er ikke tilgjengelige for testing ved hjelp av alternativet Test som rolle .

I toppteksten på siden vises rollen som brukes. Test andre roller, en kombinasjon av roller eller en bestemt person ved å velge Nå som. Her ser du viktige tillatelsesdetaljer som gjelder personen eller rollen som testes. Hvis du vil ha mer informasjon om hvordan tillatelser samhandler med RLS, kan du se brukeropplevelsen for RLS.

Skjermbilde av Nå vises som rullegardinliste for en bestemt person.

Test andre rapporter som er koblet til den semantiske modellen, ved å velge Visning i toppteksten på siden. Du kan bare teste rapporter i samme arbeidsområde som den semantiske modellen.

Skjermbilde av Visning for å velge en annen rapport som skal testes.

Hvis du vil gå tilbake til normalvisning, velger du Tilbake til sikkerhet på radnivå.

Merk

Funksjonen Test som rolle fungerer ikke for DirectQuery-modeller med enkel pålogging (SSO) aktivert. I tillegg kan ikke alle aspekter ved en rapport valideres i funksjonen Test som rolle, inkludert Q&A-visualiseringer, visualiseringer for hurtiginnsikter og Copilot.

Bruke DAX-funksjonen username() eller userprincipalname()

Du kan dra nytte av DAX-funksjonene brukernavn() eller userprincipalname() i datasettet. Du kan bruke dem i uttrykk i Power BI Desktop. Når du publiserer modellen, brukes den i Power Bi-tjeneste.

Brukernavn() i Power BI Desktop user@contoso.com

I Power Bi-tjeneste vil brukernavn() og userprincipalname() begge returnere brukerens brukerhovednavn (UPN). Dette ligner på en e-postadresse.

Bruke RLS med arbeidsområder i Power BI

Hvis du publiserer Power BI Desktop-rapporten til et arbeidsområde i Power Bi-tjeneste, brukes RLS-rollene på medlemmer som er tilordnet seerrollen i arbeidsområdet. Selv om seere får kompileringstillatelser til semantisk modell, gjelder RLS fortsatt. Hvis brukere med byggtillatelser for eksempel bruker Analyser i Excel, begrenses visningen av dataene av RLS. Medlemmer av arbeidsområdet som er tilordnet administrator, medlem eller bidragsyter , har redigeringstillatelse for den semantiske modellen, og derfor gjelder ikke RLS for dem. Hvis du vil at RLS skal gjelde for personer i et arbeidsområde, kan du bare tilordne dem Seer-rollen . Les mer om roller i arbeidsområder.

Hensyn og begrensninger

Du kan se gjeldende begrensninger for sikkerhet på radnivå på skymodeller her:

  • Hvis du tidligere har definert roller og regler i Power Bi-tjeneste, må du opprette dem på nytt i Power BI Desktop.
  • Du kan bare definere RLS på semantiske modeller som er opprettet med Power BI Desktop. Hvis du vil aktivere RLS for semantiske modeller som er opprettet med Excel, må du først konvertere filene til Power BI Desktop-filer (PBIX). Finn ut mer.
  • Tjenestekontohavere kan ikke legges til i en RLS-rolle. Følgelig brukes ikke RLS for apper som bruker en tjenestekontohaver som den endelige effektive identiteten.
  • Bare import- og DirectQuery-tilkoblinger støttes. Live-tilkoblinger til Analysis Services håndteres i den lokale modellen.
  • Funksjonen Test som rolle/Vis som rolle fungerer ikke for DirectQuery-modeller med enkel pålogging (SSO) aktivert.
  • Funksjonen Test som rolle/visning som rolle viser bare rapporter fra arbeidsområdet for semantiske modeller.
  • Funksjonen Test som rolle/Vis som rolle fungerer ikke for paginerte rapporter.

Husk at hvis en Power BI-rapport refererer til en rad med RLS konfigurert, vises den samme meldingen som for et slettet eller ikke-eksisterende felt. For disse brukerne ser det ut til at rapporten er brutt.

Vanlige spørsmål

Spørsmål: Hva om jeg tidligere har opprettet roller og regler for et datasett i Power Bi-tjeneste? Fungerer de fortsatt hvis jeg ikke gjør noe?
Svar: Nei, visualobjekter gjengis ikke riktig. Du må opprette rollene og reglene i Power BI Desktop på nytt og deretter publisere til Power Bi-tjeneste.

Spørsmål: Kan jeg opprette disse rollene for Analysis Services-datakilder?
Svar: Ja, hvis du importerte dataene til Power BI Desktop. Hvis du bruker en live-tilkobling, kan du ikke konfigurere RLS i Power Bi-tjeneste. Du definerer RLS lokalt i Analysis Services-modellen.

Spørsmål: Kan jeg bruke RLS til å begrense kolonnene eller målene som er tilgjengelige for brukerne mine?
Svar: Nei, hvis en bruker har tilgang til en bestemt rad med data, kan de se alle kolonnene med data for denne raden. Hvis du vil begrense tilgangen til kolonner og kolonnemetadata, kan du vurdere å bruke sikkerhet på objektnivå.

Spørsmål: Lar RLS meg skjule detaljerte data, men gi tilgang til data oppsummert i visualobjekter?
Svar: Nei, du sikrer individuelle rader med data, men brukere kan alltid se enten detaljene eller de summerte dataene.

Spørsmål: Datakilden min har allerede definerte sikkerhetsroller (for eksempel SQL Server-roller eller SAP BW-roller). Hva er relasjonen mellom disse rollene og RLS?
Svar: Svaret avhenger av om du importerer data eller bruker DirectQuery. Hvis du importerer data til Power BI-datasettet, brukes ikke sikkerhetsrollene i datakilden. I dette tilfellet bør du definere RLS for å håndheve sikkerhetsregler for brukere som kobler til i Power BI. Hvis du bruker DirectQuery, brukes sikkerhetsrollene i datakilden. Når en bruker åpner en rapport, sender Power BI en spørring til den underliggende datakilden, som bruker sikkerhetsregler på dataene basert på brukerens legitimasjon.

Spørsmål: Kan en bruker tilhøre mer enn én rolle?
Svar: En bruker kan tilhøre flere roller, og rollene er additive. Hvis en bruker for eksempel tilhører rollene Salg og Markedsføring, kan de se data for begge disse rollene.

Relatert innhold

Spørsmål? Prøv å spørre Power BI-fellesskap forslag? Bidra med ideer for å forbedre Power BI