Delen via

Uw gegevens delen en machtigingen beheren

  • Artikel

Van toepassing op: Magazijn en gespiegelde database in Microsoft Fabric

Delen is een handige manier om gebruikers leestoegang te bieden tot uw gegevens voor downstreamverbruik. Met delen kunnen downstreamgebruikers in uw organisatie een magazijn gebruiken met behulp van T-SQL, Spark of Power BI. U kunt het machtigingsniveau aanpassen dat de gedeelde geadresseerde krijgt om het juiste toegangsniveau te bieden.

Notitie

U moet een beheerder of lid in uw werkruimte zijn om een item te delen in Microsoft Fabric.

Aan de slag

Nadat u het magazijnitem hebt geïdentificeerd dat u wilt delen met een andere gebruiker in uw Fabric-werkruimte, selecteert u de snelle actie in de rij om te delen.

De volgende gif-animatie controleert de stappen om een magazijn te selecteren dat u wilt delen, selecteer de machtigingen die u wilt toewijzen en verleen vervolgens de machtigingen aan een andere gebruiker.

Een gif-animatie met interactie met de Fabric-portal waarbij een gebruiker een magazijn deelt in Microsoft Fabric met een andere gebruiker.

Een magazijn delen

  1. U kunt uw magazijn delen vanuit het OneLake- of Warehouse-item door Delen te kiezen in snelle actie, zoals is gemarkeerd in de volgende afbeelding.

  2. U wordt gevraagd met opties om te selecteren met wie u het magazijn wilt delen, met welke machtigingen ze moeten worden verleend en of ze per e-mail worden gewaarschuwd.

  3. Vul alle vereiste velden in en selecteer Toegang verlenen.

  4. Wanneer de gedeelde geadresseerde de e-mail ontvangt, kan hij of zij Openen selecteren en naar de cataloguspagina van Het OneLake-magazijn navigeren.

    Schermopname van de e-mailmelding van de gedeelde gebruiker van een gedeeld magazijn.

  5. Afhankelijk van het toegangsniveau dat de gedeelde ontvanger heeft gekregen, kan de gedeelde ontvanger nu verbinding maken met het SQL-analyse-eindpunt, query's uitvoeren op het warehouse, rapporten maken of gegevens lezen via Spark.

Infrastructuurbeveiligingsrollen

Hier vindt u meer informatie over elk van de opgegeven machtigingen:

  • Als er geen extra machtigingen zijn geselecteerd : de gedeelde geadresseerde ontvangt standaard de machtiging Lezen, waardoor de ontvanger alleen verbinding kan maken met het SQL Analytics-eindpunt, het equivalent van CONNECT-machtigingen in SQL Server. De gedeelde geadresseerde kan geen query's uitvoeren op een tabel of weergave of uitvoering van een functie of opgeslagen procedure, tenzij ze toegang krijgen tot objecten in het warehouse met behulp van de T-SQL GRANT-instructie .

Tip

ReadData (gebruikt door het warehouse voor T-SQL-machtigingen), ReadAll (gebruikt door OneLake en het SQL-analyse-eindpunt) en Build (gebruikt door Power BI) zijn afzonderlijke machtigingen die niet overlappen.

  • Alle gegevens lezen met BEHULP van SQL is geselecteerd ('ReadData'-machtigingen): de gedeelde ontvanger kan alle objecten in het magazijn lezen. ReadData is het equivalent van db_datareader rol in SQL Server. De gedeelde ontvanger kan gegevens lezen uit alle tabellen en weergaven in het magazijn. Als u bepaalde objecten in het magazijn verder wilt beperken en gedetailleerde toegang wilt bieden, kunt u dit doen met behulp van T-SQL-instructiesGRANTDENY/REVOKE/.

    • In het SQL-analyse-eindpunt van Lakehouse is 'Alle SQL-eindpuntgegevens lezen' gelijk aan 'Alle gegevens lezen met behulp van SQL'.

  • Alle gegevens lezen met Apache Spark is geselecteerd ('Leesall'-machtigingen): de gedeelde ontvanger heeft leestoegang tot de onderliggende Parquet-bestanden in OneLake, die kunnen worden gebruikt met Spark. ReadAll mag alleen worden opgegeven als de gedeelde ontvanger volledige toegang wil tot de bestanden van uw magazijn met behulp van de Spark-engine.

  • Het selectievakje 'Rapporten maken op de standaardgegevensset' is ingeschakeld ('Samenstellingsmachtigingen'). De gedeelde ontvanger kan rapporten maken boven op het standaard semantische model dat is verbonden met uw magazijn. Build moet worden opgegeven als de gedeelde geadresseerde machtigingen voor build wil voor het standaard semantische model, om Power BI-rapporten over deze gegevens te maken. Het selectievakje Build is standaard ingeschakeld, maar kan worden uitgeschakeld.

Leesgegevensmachtigingen

Met ReadData-machtigingen kan de gedeelde ontvanger de warehouse-editor openen in de modus Alleen-lezen en query's uitvoeren op de tabellen en weergaven in het magazijn. De gedeelde ontvanger kan er ook voor kiezen om het opgegeven SQL Analytics-eindpunt te kopiëren en verbinding te maken met een clienthulpprogramma om deze query's uit te voeren.

Leesall-machtigingen

Een gedeelde ontvanger met ReadAll-machtigingen kan het ABFS-pad (Azure Blob File System) vinden naar het specifieke bestand in OneLake vanuit het deelvenster Eigenschappen in de warehouse-editor. De gedeelde ontvanger kan dit pad vervolgens in een Spark Notebook gebruiken om deze gegevens te lezen.

In de volgende schermopname kan een gebruiker met ReadAll-machtigingen bijvoorbeeld een query uitvoeren op de gegevens FactSale met een Spark-query in een nieuw notebook.

Schermopname van de Fabric-portal waarin een gebruiker een Spark-notebook opent om een query uit te voeren op de snelkoppeling Warehouse.

Samenstellingsmachtigingen

Met samenstellingsmachtigingen kan de gedeelde ontvanger rapporten maken boven op het standaard semantische model dat is verbonden met het magazijn. De gedeelde ontvanger kan Power BI-rapporten maken vanuit de OneLake-catalogus of hetzelfde doen met Behulp van Power BI Desktop.

Machtigingen beheren

Op de pagina Machtigingen beheren ziet u de lijst met gebruikers die toegang hebben gekregen door ze toe te wijzen aan werkruimterollen of itemmachtigingen.

Als u lid bent van de werkruimterollen Beheerder of Lid , gaat u naar uw werkruimte en selecteert u Meer opties. Selecteer vervolgens Machtigingen beheren.

Schermopname van een gebruiker die machtigingen beheren selecteert in het contextmenu van het magazijn.

Voor gebruikers die werkruimterollen hebben opgegeven, ziet u de bijbehorende gebruiker, werkruimterol en machtigingen. Leden van de werkruimterollen Beheerder, Lid en Inzender hebben lees-/schrijftoegang tot items in deze werkruimte. Kijkers hebben leesgegevensmachtigingen en kunnen query's uitvoeren op alle tabellen en weergaven in het magazijn in die werkruimte. Itemmachtigingen Lezen, ReadData en ReadAll kunnen aan gebruikers worden verstrekt.

Schermopname van de pagina Machtigingen beheren van het magazijn in de fabric-portal.

U kunt ervoor kiezen om machtigingen toe te voegen of te verwijderen met behulp van machtigingen beheren:

  • Als u de toegang verwijdert, worden alle itemmachtigingen verwijderd.
  • Als u ReadData verwijdert, worden de ReadData-machtigingen verwijderd.
  • Met ReadAll verwijdert u ReadAll-machtigingen.
  • Als u build verwijdert, worden buildmachtigingen voor het bijbehorende standaard-semantische model verwijderd.

Schermopname van een gebruiker die de machtiging ReadAll van een gedeelde ontvanger verwijdert.

Functies voor gegevensbescherming

Microsoft Fabric-datawarehousing ondersteunt verschillende technologieën die beheerders kunnen gebruiken om gevoelige gegevens te beschermen tegen onbevoegde weergave. Door gegevens van niet-geautoriseerde gebruikers of rollen te beveiligen of te verdoezelen, kunnen deze beveiligingsfuncties gegevensbeveiliging bieden in zowel een warehouse- als SQL-analyse-eindpunt zonder wijzigingen in de toepassing.

  • Beveiliging op kolomniveau voorkomt dat niet-geautoriseerde weergave van kolommen in tabellen wordt voorkomen.
  • Beveiliging op rijniveau voorkomt dat niet-geautoriseerde weergave van rijen in tabellen wordt voorkomen met behulp van vertrouwde WHERE componentfilterpredicaten.
  • Dynamische gegevensmaskering voorkomt onbevoegde weergave van gevoelige gegevens door maskers te gebruiken om te voorkomen dat de toegang wordt voltooid, zoals e-mailadressen of nummers.

Beperkingen

  • Als u itemmachtigingen opgeeft of gebruikers verwijdert die eerder machtigingen hadden, kan het doorgeven van machtigingen maximaal twee uur duren. De nieuwe machtigingen zijn direct zichtbaar in Machtigingen beheren . Meld u opnieuw aan om ervoor te zorgen dat de machtigingen worden weergegeven in uw SQL Analytics-eindpunt.
  • Gedeelde ontvangers hebben toegang tot het magazijn met behulp van de identiteit van de eigenaar (gedelegeerde modus). Zorg ervoor dat de eigenaar van het magazijn niet uit de werkruimte is verwijderd.
  • Gedeelde ontvangers hebben alleen toegang tot het magazijn dat ze ontvangen en niet tot andere items in dezelfde werkruimte als het magazijn. Als u machtigingen wilt opgeven voor andere gebruikers in uw team om samen te werken aan het magazijn (lees- en schrijftoegang), voegt u deze toe als werkruimterollen zoals Lid of Inzender.
  • Wanneer u momenteel een warehouse deelt en alle gegevens lezen kiest met BEHULP van SQL, heeft de gedeelde ontvanger toegang tot de warehouse-editor in een modus met het kenmerk Alleen-lezen. Deze gedeelde ontvangers kunnen query's maken, maar kunnen hun query's momenteel niet opslaan.
  • Op dit moment is het delen van een magazijn alleen beschikbaar via de gebruikerservaring.
  • Als u gedetailleerde toegang wilt bieden tot specifieke objecten in het warehouse, deelt u het warehouse zonder extra machtigingen en geeft u gedetailleerde toegang tot specifieke objecten met behulp van de T-SQL GRANT-instructie. Zie T-SQL-syntaxis voor GRANT, REVOKE en DENY voor meer informatie.
  • Als u ziet dat de machtigingen ReadAll en ReadData zijn uitgeschakeld in het dialoogvenster voor delen, vernieuwt u de pagina.
  • Gedeelde ontvangers zijn niet gemachtigd om een magazijn opnieuw te delen.
  • Als een rapport dat boven op het magazijn is gebouwd, wordt gedeeld met een andere geadresseerde, heeft de gedeelde geadresseerde meer machtigingen nodig om toegang te krijgen tot het rapport. Dit is afhankelijk van de toegangsmodus tot het semantische model door Power BI:
    • Als deze wordt geopend via de directquerymodus, moeten leesgegevensmachtigingen (of gedetailleerde SQL-machtigingen voor specifieke tabellen/weergaven) worden verstrekt aan het warehouse.
    • Als deze worden geopend via de Direct Lake-modus, moeten leesgegevensmachtigingen (of gedetailleerde machtigingen voor specifieke tabellen/weergaven) worden verstrekt aan het warehouse. De Direct Lake-modus is het standaardverbindingstype voor semantische modellen die een warehouse- of SQL-analyse-eindpunt als gegevensbron gebruiken. Zie de Direct Lake-modus voor meer informatie.
    • Als deze wordt geopend via de importmodus , zijn er geen extra machtigingen nodig.
    • Het delen van een magazijn met een SPN wordt momenteel niet ondersteund.

Gerelateerde inhoud