Поделиться через

Планирование реализации Power BI: распространение содержимого и общий доступ

  • Статья

Примечание.

Эта статья входит в серию статей по планированию реализации Power BI. В этой серии основное внимание уделяется интерфейсу Power BI в Microsoft Fabric. Общие сведения о серии см. в статье о планировании реализации Power BI.

Эта статья поможет спланировать распространение и общий доступ к содержимому в Power BI и Microsoft Fabric. Это в первую очередь предназначено для:

  • Администраторы Структуры: администраторы, ответственные за надзор за Структурой в организации. Администраторы Структуры управляют параметрами администрирования, влияющими на распространение и совместное использование содержимого создателями в своей организации. Администраторы Структуры могут совместно работать с другими администраторами, чтобы управлять параметрами, доступными создателям для совместного использования их содержимого.
  • Администраторы Azure: администраторы, ответственные за управление удостоверениями в организации и создание внешних гостевых пользователей для включения Microsoft Entra B2B.
  • Центр компетенции (COE), ИТ-отделы и группы бизнес-аналитики: команды, ответственные за надзор за Power BI в организации. Эти команды отвечают за определение и продвижение определенной стратегии распространения контента.
  • Владельцы контента и создатели: команды и лица, которые чемпионы аналитики в команде или отделе, и которые делают и распространяют содержимое Power BI или Fabric. Владельцы содержимого и создатели должны сотрудничать с администраторами Azure для распространения или совместного использования содержимого внешним пользователям.

После создания содержимого, например семантических моделей или отчетов, вы обычно хотите поделиться им с другими пользователями в организации, чтобы они могли использовать его для информирования о своих решениях и действиях. Существует множество различных подходов, которые можно использовать для совместного использования содержимого Power BI и Fabric, и каждый подход имеет свои преимущества и рекомендации. Важно заботиться о том, что чрезмерное управление содержимым является общим вызовом управления и безопасности для организаций. Чтобы преодолеть эту проблему и предоставить людям доступ к нужным данным и отчетам, необходимо реализовать стратегию распространения содержимого, которая соответствует вашим потребностям и сценариям.

Примечание.

Термины совместного использования и распределения иногда используются взаимозаменяемо. В этой статье мы рассмотрим совместное использование контента и распространение содержимого следующим образом:

  • Общий доступ к содержимому включает предоставление другим пользователям доступа к элементу в рамках повседневных действий создателя контента. Например, вы можете предоставить прямой доступ к отчету другим пользователям.
  • Распространение контента включает общий доступ к контенту в масштабе для более широкой аудитории потребителей контента. Например, можно распространять отчеты в аудиторию приложений с помощью приложения.

В этой статье вы можете определить подход к распространению содержимого как потребителям контента, так и другим создателям контента:

  • Потребители контента: пользователи, которые просматривают содержимое, но не создают или не используют новые элементы. Как правило, у этих пользователей есть разрешение на чтение отчетов, но более расширенные потребители содержимого также могут запросить разрешение на сборку для выполнения нерегламентированного анализа элементов данных в сценариях использования персональных бизнес-аналитики .
  • Создатели контента: корпоративные или самостоятельные пользователи, которые создают и распространяют содержимое потребителям. Эти создатели часто используют существующие элементы, созданные другими пользователями в организации, для создания нового содержимого, например в управляемых или настраиваемых сценариях использования самостоятельной бизнес-аналитики.

Настройка ролей и управление разрешениями

Вы предоставляете им доступ к содержимому потребителям или создателям, предоставив им доступ к содержимому. Чтобы предоставить доступ пользователям и группам, необходимо задать свои роли и управлять их разрешениями:

  • Роли применяют определенные разрешения ко всему содержимому в определенной области. Например, роль рабочей области просмотра применяет разрешение только для чтения ко всему содержимому в рабочей области.
  • Разрешения определяют, что может сделать отдельный пользователь с этим содержимым. Например, применение разрешения сборки к семантической модели позволяет пользователю подключаться к отчетам и создавать отчеты на основе семантической модели.

На следующей схеме показано, где можно задать роли и разрешения в Power BI и Fabric.

На схеме показано, где можно задать роли или разрешения. Каждый элемент схемы описан в следующей таблице.

На схеме показаны следующие понятия и процессы:

Позиция Description
Элемент 1. Вы можете совместно использовать содержимое в рабочих областях, назначив пользователей и группы ролям рабочей области. Роли рабочей области могут предоставлять разрешения всем элементам в рабочей области.
Элемент 2. Вы можете совместно использовать содержимое из приложения, добавив людей в аудиторию приложений или создав приложение, которое предоставляет общий доступ к содержимому всей организации.

• Член аудитории приложения получит разрешение только для чтения для просмотра содержимого только в приложении (и не может просматривать отдельные элементы в базовой рабочей области).
• Вы можете предоставить пользователям аудитории приложений разрешения на сборку для базовых семантических моделей отчетов и панелей мониторинга приложений.
Элемент 3. Вы можете предоставить доступ к отдельным элементам, предоставив прямой доступ и установив определенные разрешения. Некоторые элементы (например, потоки данных) не поддерживают общий доступ путем прямого доступа. Для этих элементов вы используете их с помощью ролей рабочей области.
Элемент 4. Отчеты имеют дополнительные возможности. Например, вы можете предоставить прямой доступ со ссылкой, которая работает для конкретных пользователей и групп или со ссылкой для всей организации. Ссылки работают для определенных методов распространения, таких как внедрение в SharePoint Online или безопасное внедрение в внутреннюю веб-страницу. В этой статье представлен обзор всех возможных методов далее в этой статье.
Элемент 5. Вы можете распространять отчеты Power BI без настройки ролей или управления разрешениями для пользователей и групп.

• Вы можете предоставить общий доступ к отчетам Power BI, встраив их в пользовательский веб-сайт или приложение. В этом случае вы самостоятельно управляете пользовательской проверкой подлинности. Для внедрения содержимого таким образом требуется номер SKU F, P, EM или A.
• Вы также можете предоставлять общий доступ к отчетам с помощью публикации в Интернете, что является функцией Power BI, которая делает содержимое доступным для всех пользователей через общедоступный Интернет.

Настройка ролей для рабочих областей или приложений

Как показано на предыдущей схеме, вы можете предоставить общий доступ к коллекции содержимого, назначив людям роли в рабочих областях или приложениях. Рабочая область — это совместное расположение для публикации и упорядочения содержимого. Приложение — это выбор содержимого отчетов, которое вы упорядочиваете и распределяете по аудиториям.

  • Роли рабочей области определяют, может ли пользователь управлять рабочими областями, контентом и подключенными приложениями (администратор, участник или участник) или просматривать только содержимое в этой рабочей области (средство просмотра).
  • Аудитории приложений определяют, какое содержимое отображается в приложении пользователю или группе. Вы также можете опубликовать приложение во всей организации.

Администраторы структуры имеют доступ ко всем рабочим областям и содержимому рабочей области. Кроме того, емкости Fabric могут содержать один или несколько доменов, которые логически группировать рабочие области вместе. Предоставление кому-либо доступа к домену не предоставляет им доступ к рабочим областям, элементам или приложениям.

Другие вспомогательные роли для распространения содержимого или общего доступа

Существуют другие роли, которые не влияют непосредственно на общий доступ к содержимому, но которые можно использовать для поддержки распространения содержимого и совместного использования в определенных обстоятельствах:

  • Роли подключения к источнику данных определяют, может ли пользователь использовать подключение к источнику данных шлюза данных. Если семантическая модель DirectQuery использует DirectQuery с единым входом (SSO), необходимо добавить пользователя или группу в качестве роли пользователя , чтобы они могли использовать семантические модели или отчеты. Вы также можете назначить создателей роли шлюза данных, чтобы они могли добавлять и управлять своими собственными подключениями к источнику данных.
  • Роли безопасности данных управляют доступом пользователей данных в семантической модели. Если семантическая модель имеет роль безопасности данных, необходимо добавить пользователя или группу в эту роль перед предоставлением общего доступа к модели или подключенным отчетам и панелям мониторинга.
  • Роли доступа к данным OneLake управляют доступом пользователей к данным в лейкхаусе. Если вы хотите предоставить общий доступ только к подмножеству данных в lakehouse, необходимо добавить пользователя или группу в роль доступа к данным OneLake после предоставления соответствующего разрешения на чтение lakehouse.
  • Роли конвейера развертывания определяют, кто может развертывать содержимое между рабочими областями. Хотя конвейеры развертывания не связаны напрямую с распространением содержимого и общим доступом, как вы решили развернуть содержимое и кто развертывает его, может повлиять на стратегию совместного использования содержимого с создателями.

Рекомендуется использовать группы безопасности для управления разрешениями и членством в роли вместо использования отдельных учетных записей пользователей, где это возможно. Таким образом, проще управлять, особенно если у вас много пользователей. Вы также можете использовать те же группы безопасности для управления другим контролем доступа, например членством в роли безопасности данных.

Дополнительные сведения и варианты использования групп безопасности в Fabric и Power BI см . в стратегии использования групп безопасности.

Управление разрешениями элемента

При совместном использовании содержимого с помощью ролей рабочей области или аудиторий приложений к набору содержимого применяются определенные разрешения . Эти разрешения определяют, что может сделать отдельный пользователь с содержимым. Например, если назначить пользователя роли рабочей области просмотра, они получают разрешение на чтение всех элементов в этой рабочей области. Затем они могут просматривать только это содержимое, но не изменять его или подключаться к элементам данных для создания собственного содержимого.

Вы также можете предоставлять общий доступ к содержимому, управляя разрешениями для отдельных элементов контента. Например, если вы управляете разрешениями семантической модели, вы можете предоставить кому-то разрешение на сборку для подключения и создания собственного содержимого на основе этой семантической модели. Когда вы предоставляете общий доступ к элементу содержимого через прямой доступ, вы предоставляете определенные разрешения этому элементу для пользователя или группы.

Вы можете назначить пользователей следующим разрешениям для элементов Power BI или Fabric:

  • Разрешение только для чтения (представление): позволить кому-то видеть содержимое без изменения. Некоторые элементы, такие как lakehouses, позволяют более детально управлять тем, как пользователи могут просматривать содержимое (например , разрешения ReadData или ReadAll). Другие элементы, такие как семантические модели, позволяют пользователям просматривать сведения об элементе , но не просматривать его содержимое (например, данные).
  • Разрешение на повторное использование: позвольте кому-то предоставить доступ к содержимому другим пользователям. Если у кого-то есть разрешения на повторное предоставление общего доступа и сборки, они также могут предоставить кому-то другому пользователю разрешение на сборку.
  • Разрешение на сборку: позвольте кому-то подключиться к элементу данных (например , семантической модели), чтобы создать собственное содержимое (например , отчеты). Пользователям также может потребоваться разрешение на сборку для просмотра отчетов на основе составных семантических моделей. Если вы предоставляете разрешение на сборку для аудитории отчета или приложения, оно автоматически применяется к базовым семантических моделям.
  • Разрешение на запись (изменение): позвольте кому-то изменить элемент и сохранить их изменения.

Предупреждение

Не путайте разрешение сборки с разрешением на запись. Например, разрешение на сборку учитывает любую безопасность данных (например, безопасность на уровне строк), которая применяется для элемента, в то время как разрешение на запись не поддерживается (так как пользователь может задать и изменить эти правила безопасности).

Распределение содержимого и совместное использование перекрываются многими другими важными областями. Следующие темы рассматриваются в серии планирования реализации Power BI. Ознакомьтесь с статьями, приведенными в этой серии, по мере планирования совместного использования и распространения содержимого:

  • Рабочие области. Планирование настройки и использования рабочих областей влияет на то, будет ли вы предоставлять общий доступ к содержимому из рабочей области или нет. Планирование на уровне рабочей области важно для стратегии распространения контента, например настройку доступа к рабочей области и управление ими.
  • Шлюзы данных. При распространении содержимого другим пользователям и его содержимом используется локальный или виртуальный сетевой шлюзы данных, может потребоваться также управлять доступом к шлюзу. Убедитесь, что вы управляете доступом как к шлюзу, так и к его подключениям к источнику данных.
  • Управление жизненным циклом контента. Как вы решите, что вы будете совместно использовать содержимое, может повлиять на управление жизненным циклом этого содержимого. Обычно вы делитесь содержимым в рамках действий после развертывания.
  • Защита информации и защита от потери данных: чрезмерное использование содержимого или совместное использование содержимого неуместным образом представляет собой риск управления и безопасности для организаций. Одним из способов устранения этого риска является практика защиты от потери данных для Power BI.
  • Безопасность. Общий доступ — это важный раздел в контексте защиты содержимого Power BI и Fabric. Убедитесь, что вы проводите планирование предоставления общего доступа к контенту потребителям и создателям контента для предоставления общего доступа к содержимому создателям.
  • Аудит и мониторинг. Следует регулярно проводить аудит и мониторинг действий по совместному использованию и распространенности путем проведения аудита на уровне клиента.

Общие сведения о соответствующих параметрах администрирования администратор Fabric может использовать для управления тем, как создатели совместно используют содержимое, см. в разделе "Экспорт и общий доступ к параметрам клиента".

Оставшаяся часть этой статьи позволяет принимать решения о том, какие роли и разрешения следует предоставить потребителям контента и создателям, чтобы предоставить им общий доступ к содержимому.

Планирование распространения содержимого потребителям

Большинству пользователей, использующих содержимое в вашей организации, потребуется только просмотреть его (разрешение на чтение) и не изменить его (разрешение на запись) или создать собственное содержимое на его основе (разрешение на сборку). Потребители контента обычно являются бизнес-пользователями, которым требуется доступ к элементам отчетов (в этом случае они часто называются потребителями отчетов). Некоторые пользователи также могут запросить разрешение на сборку для элементов данных, чтобы включить собственное обнаружение данных в Power BI Desktop, Excel или других клиентских средствах.

Как правило, потребители, запрашивающие разрешение на сборку, выполняют личную бизнес-аналитику. Однако с течением времени вы можете ожидать, что некоторые из этих пользователей будут развиваться от строго потребителей контента до стать создателями контента, которые хотят поделиться своим контентом с другими пользователями.

Предвидеть на раннем этапе, как вы будете поддерживать и обучать этих пользователей не только о том, как создавать контент, но и о том, как они могут соответствующим образом поделиться им.

Потребители содержимого могут быть внутренними или внешними для организации в зависимости от того, есть ли у них удостоверение Microsoft Entra в той же организации, что и при публикации содержимого:

  • Внутренние пользователи: пользователи, принадлежащие той же организации, что и содержимое, которое они используют.
  • Внешние пользователи: пользователи, принадлежащие другой организации, как содержимое, которое они используют. Эти пользователи могут принадлежать филиалу или дочерней организации, несмотря на совместное использование одной родительской организации. Они также могут быть временными участниками совместной работы (например, консультантами) или клиентами.

На следующей схеме представлен обзор различных подходов, которые можно использовать для распространения содержимого Power BI или Fabric потребителям внутри организации или за ее пределами.

На этой схеме представлен обзор множества возможных подходов. Остальная часть этой статьи поможет вам понять эти варианты и выбрать те, которые лучше всего соответствуют вашим потребностям.

На схеме показаны подходы к распространению содержимого или совместному доступу к ним потребителям. Каждый элемент схемы описан в следующей таблице.

На схеме показаны следующие понятия и процессы:

Позиция Description
Элемент 1. Создатели контента создают и развертывают содержимое в своей организации. Они могут распространять содержимое другим внутренним пользователям, использующим Fabric (например, портал Fabric или мобильное приложение Power BI). Создатели также могут совместно использовать элементы отчетов, внедряя их в другие внутренние службы, отличные от Fabric.
Элемент 2. Создатели также могут совместно использовать элементы за пределами организации. Они могут распространять содержимое внешним гостевым пользователям, которые были добавлены в организацию с помощью Microsoft Entra B2B. Создатели также могут предоставлять доступ к элементам отчетности внешним пользователям.
Элемент 3. Содержимое развертывается в клиенте Fabric, где потребители могут использовать или просматривать его.
Элемент 4. Емкость Структуры необходима для создания и совместного использования элементов Fabric. Если емкость Fabric отсутствует, создатели по-прежнему могут создавать, развертывать и совместно использовать элементы Power BI (например, потоки данных, семантические модели и отчеты).
Элемент 5. Содержимое развертывается в рабочей области, которая может содержать различные элементы, которые могут быть организованы в папки. Рабочие области могут принадлежать конвейерам развертывания и доменам (не изображены на этой схеме).
Элемент 6. Создатели могут совместно использовать содержимое для внутренних пользователей или внешних гостевых пользователей, которые являются потребителями контента, назначив их роли рабочей области просмотра. Эта роль предоставляет доступ только для чтения ко всему содержимому в рабочей области.
Элемент 7. Создатели могут совместно использовать отдельные элементы для внутренних пользователей или групп, предоставляя прямой доступ или предоставляя ссылку. Пользователи, использующие ссылку в организации, у которых нет прямого доступа, могут запросить ее. Создатели, которые совместно используют содержимое с помощью ссылок, также могут изменить URL-адрес для фильтрации отчета с помощью параметров строки запроса.
Элемент 8. Выбранные элементы отчетов в рабочей области можно упаковить в приложение.
Элемент 9. Создатели могут распространять содержимое через приложения, создавая и добавляя внутренних или внешних гостевых пользователей, которые являются потребителями контента в одну или несколько аудиторий приложений. Создатели могут упорядочивать содержимое приложения в аудитории, при этом каждая аудитория имеет доступ к разным подмножествам содержимого.
Элемент 10. Создатели могут хранить файлы содержимого, такие как PBIX-файлы Power BI Desktop , в SharePoint или OneDrive для работы или учебного заведения.
Элемент 11. Создатели могут совместно использовать ссылку на PBIX-файлы из SharePoint или OneDrive для работы или учебного заведения. Если у внутреннего пользователя есть лицензия Power BI Pro, они могут просматривать отчеты из этих файлов, не открывая их (даже если файлы не публикуются в рабочей области). Получатели ссылки, у которых нет доступа или лицензии Power BI Pro, не могут просматривать файлы.
Элемент 12. Создатели могут совместно использовать элементы отчетов через прямой доступ с помощью интерфейса, отличного от Fabric. Они могут:

• Внедрение содержимого в Microsoft Teams (как вкладка в чате или канале команды).
• Внедрение содержимого в презентацию PowerPoint.
• Внедрение содержимого в SharePoint Online.
• Внедрение содержимого в приложение холста PowerApps (для которого требуются лицензии PowerApps, но не F, P, A или EM SKU).
• Внедрение содержимого на внутренний веб-сайт (также называется безопасным внедрением).
• Внедрение содержимого в внутреннее приложение (также известное как Внедрение для вашей организации, для которого требуется номер SKU F, P, A или EM).
Отчеты о подписках и подписках отчетов с разбивкой на страницы, которые обеспечивают плановую доставку статических отчетов по электронной почте. Вы также можете использовать обычные подписки и динамические подписки для каждого получателя как для отчетов, так и для отчетов с разбивкой на страницы.
Экспорт в API файлов (например, с помощью Power Automate для доставки экспортированных отчетов по электронной почте).
Элемент 13. Создатели также имеют различные варианты предоставления общего доступа к элементам отчетности внешним пользователям за пределами Fabric. Они могут:

• Безопасное внедрение содержимого на внешний веб-сайт (требуется номер F, P, A или EM SKU).
• Безопасное внедрение содержимого в внешнее приложение (также известное как Внедрение для клиентов).
Публикация в Интернете для отчетов, которая делает содержимое доступным для всех пользователей через общедоступный Интернет. Публикация в Интернете рекомендуется только для содержимого, подходящего для общедоступной аудитории. Публикация в Интернете не подходит для конфиденциальных или конфиденциальных отчетов. Дополнительные сведения см. в статье Публикация в Интернете из Power BI.

Существует множество допустимых подходов к распространению содержимого. Вы даже можете использовать несколько подходов для распространения одного и того же содержимого в зависимости от ваших потребностей и вариантов использования. Важно, чтобы вы нашли подход, который является эффективным и устойчивым.

В следующих разделах описаны шаги, которые необходимо предпринять для определения подхода к совместному использованию содержимого с потребителями.

Шаг 1. Определение того, кто потребитель и как они получают доступ

Первым шагом при распространении содержимого потребителям является определение того, кто будет нуждаться в доступе к содержимому. В зависимости от количества и типа потребителей вы будете выбирать способ распространения содержимого.

Изучите и задокументируйте ответы на следующие вопросы:

  • Сколько потребителей есть?
  • Какое содержимое требуется для этих потребителей?
  • Требуется ли пользователям доступ к подключениям к источнику данных шлюза данных для просмотра содержимого, использующего режим DirectQuery для запроса локальных или частных источников данных сети?

Убедитесь, что вы определяете, кто потребители содержимого и как они будут использовать его. Одна группа потребителей может иметь разные потребности и предпочтения, отличные от другой группы. Другая группа может воспользоваться другой стратегией распространения контента.

Вы можете заранее распространять содержимое, настраивать процессы для пользователей, запрашивать доступ к себе или подготавливать доступ на уровне организации для всех пользователей.

В следующих разделах вы можете определить, какой вариант лучше подходит для ваших обстоятельств.

Вариант 1. Распространение содержимого потребителям

Вы можете заранее распространить содержимое потребителям, а затем уведомить их о содержимом и о том, как они могут получить к нему доступ. С помощью этого подхода вы собираете список всех потребителей и назначаете их группе рассылки, группе рассылки, группе безопасности или группе безопасности, чтобы упростить общий доступ к содержимому. Затем можно объявить доступность содержимого через централизованный портал или другой метод обмена данными.

Этот подход полезен, когда:

  • Необходимо распространить содержимое в определенную, большую аудиторию, например целый отдел или регион.
  • Вы хотите более жестко контролировать доступ к содержимому и выпускам, например, когда вы хотите проводить обучение пользователей для приложения или отчета перед предоставлением доступа.
  • Вы еще не настроили процессы для потребителей для обнаружения содержимого.
  • Вы используете централизованную модель владения контентом и доставки.

Пошаговое руководство по созданию и добавлению участников в группу безопасности Microsoft Entra см . в этом руководстве.

Вариант 2. Потребители запрашивают доступ к содержимому

Вы также можете использовать подход на основе обнаружения, где потребители ищут содержимое, соответствующее им. Благодаря этому подходу потребители просматривают централизованный портал для содержимого, доступного для них. При выборе элемента, к которому у них нет доступа, он может запросить доступ от владельца контента, который должен утвердить его, прежде чем потребитель содержимого сможет просмотреть этот элемент.

Этот подход полезен, когда:

  • Вы курировали централизованный список содержимого для пользователей для изучения и доступа, например одного из поддерживаемых на канале Microsoft Teams или сайте SharePoint.
  • У вас есть процессы, чтобы владельцы контента могли быстро и надежно реагировать на запросы на доступ.
  • Существует множество возможных элементов, которые пользователи могут просматривать в зависимости от текущих задач и целей.
  • Вы используете децентрализованную модель владения контентом и области доставки контента.

Вы можете использовать подтверждение для повышения или сертификации качества содержимого при его распространении таким образом. Подтверждение помогает сделать качество и надежное содержимое более легко обнаруживаемым потребителями.

Этот подход лучше всего подходит для распространения содержимого создателям (а не потребителям) в сценариях использования управляемой или настраиваемой управляемой бизнес-аналитики . В этих сценариях вы предоставляете создателям доступ только для чтения к семантической модели, к которым они могут обнаруживать и запрашивать разрешения на сборку. Эти создатели могут использовать эти семантические модели для создания собственного содержимого.

Вариант 3. Вся организация может получить доступ к содержимому

Некоторые материалы могут иметь отношение ко всей организации, например отчеты о инициативах на уровне организации. С помощью этого подхода вы предоставляете общий доступ к содержимому через приложения или прямой доступ. Затем вся организация может получить доступ к содержимому в приложении или по ссылке.

Этот подход полезен, когда:

  • Содержимое и базовые данные подходят для всей организации.
  • У вас есть процессы для потребителей контента, чтобы найти и понять это содержимое, например обучение, рабочие часы или часто задаваемые вопросы (часто задаваемые вопросы).

Предупреждение

Следует ограничить, какое содержимое доступно для всей организации. Некоторые владельцы контента могут сделать приложения и ссылки доступными для всей организации, чтобы обойти административные расходы на управление доступом к содержимому. Такой подход может быстро привести к перехачению содержимого и пользователям, которые не могут найти нужное содержимое.

Чтобы избежать этой ситуации, регулярно проводите аудит клиента для выявления и просмотра доступных приложений и ссылок на уровне организации.

Ожидайте, что подход к распространению содержимого будет развиваться с течением времени при масштабировании и росте. Например, можно начать с распространения содержимого для пользователей самообслуживания заранее. По мере достижения более высокого уровня зрелости в ключевых областях, таких как владение контентом, область доставки контента и управление, можно масштабировать до подхода, в котором пользователи обнаруживают и запрашивают доступ к содержимому самостоятельно.

Шаг 2. Определение того, где потребители будут просматривать содержимое

После определения того, кто является потребителями и как они должны получить доступ к содержимому, затем вы определяете, где эти лица могут просматривать содержимое.

Потребители могут просматривать содержимое четырьмя способами, в частности с помощью следующих способов:

  • Ссылки на отдельные элементы контента.
  • Рабочие области.
  • Приложения.
  • Интерфейсы, отличные от Структуры, например, где содержимое внедрено в другие службы, пользовательские приложения или веб-сайты.

В следующих разделах вы можете определить, какой вариант лучше подходит для ваших обстоятельств.

Вариант 1. Просмотр отдельных элементов содержимого в Fabric

Вы можете предоставить потребителям доступ к отдельным элементам содержимого, к которым они могут получить доступ по ссылке. Когда вы предоставляете общий доступ к содержимому таким образом (называется прямым доступом), вы также можете предоставить потребителям возможность повторно использовать содержимое другим пользователям или создавать содержимое на основе базовых элементов данных. Если у кого-то, кто получает ссылку, нет доступа к элементу, им будет предложено запросить доступ от исходного владельца контента.

Этот подход полезен, когда:

  • Вы делитесь содержимым ограниченной аудитории, а не распространяете его на широкую аудиторию.
  • Потребители должны получить доступ только к нескольким элементам.
  • Вы хотите позже внедрить это содержимое в другую внутреннюю службу или веб-сайт.
  • Вы хотите предоставить пользователям коллекцию ссылок на другое содержимое.

При совместном использовании отдельных элементов контента рассмотрите следующие моменты:

  • Используйте подтверждения, чтобы помочь потребителям найти и запросить доступ к качественному контенту.
  • Аудит и мониторинг опубликованных элементов для выявления избыточных или недоиспользуемых элементов для проверки.
  • Создайте процесс для регулярного просмотра ожидающих запросов на доступ. Убедитесь, что отзывы предоставляются пользователям при отказе в доступе. Он должен объяснить причину и рассказать им, где они могут найти альтернативную информацию.

Предупреждение

Управление доступом к содержимому может быстро стать бременем для некоторых владельцев контента. По мере улучшения уровня зрелости в области доставки содержимого рекомендуется предоставлять разрешения повторного доступа и обучать пользователей, как совместно использовать содержимое друг друга, где это необходимо.

Потребители с разрешением повторного доступа могут создавать ссылки на общие представления, которые могут включать параметры состояния, такие как текущий фильтр и выбор среза. Общие представления могут оказаться полезными для упрощения обсуждения интерактивных отчетов. Кроме того, это хорошая альтернатива совместному использованию статических снимков экрана, так как получатели могут взаимодействовать с содержимым. Например, общие представления являются эффективным способом для пользователей сообщать о проблемах или несоответствиях в отчетах, так как создатели могут легко видеть активные срезы пользователя.

Владельцы содержимого могут управлять общими представлениями в области "Управление разрешениями ".

Вариант 2. Просмотр содержимого в рабочей области

Содержимое можно распространять с помощью рабочих областей. С помощью этого подхода вы предоставляете пользователям доступ только для чтения к содержимому рабочей области, добавив их в роль просмотра. Средства просмотра не могут изменять содержимое или создавать новое содержимое из элементов в рабочей области. Вместо этого вы распространяете ссылку на рабочую область, которая позволяет им просматривать и открывать отдельные элементы контента.

Дополнительные сведения о ролях рабочей области см. в разделе "Роли в рабочих областях".

Этот подход полезен, когда:

  • Потребители предпочитают работу с рабочей областью по сравнению с интерфейсом приложения.
  • Вы отделяете рабочие области по типу элемента и содержит только элементы отчетов в рабочей области.
  • Вы хотите предоставить пользователям возможность просматривать элементы данных в рабочей области и запрашивать разрешение на сборку.
  • Вы хотите проверить содержимое перед публикацией в приложении.

При планировании распространения содержимого в средства просмотра рабочих областей рассмотрите следующие моменты:

  • Убедитесь, что вы используете четкие соглашения об именовании рабочих областей, чтобы пользователи могли легко находить рабочие области, содержащие нужное содержимое.
  • Упорядочение элементов рабочей области в папки. Организация рабочей области упрощает поиск нужных пользователем объектов.
  • Размещение содержимого не предназначено для прямого потребления в других рабочих областях. Разделение рабочих областей по типу элемента гарантирует, что потребители не будут путать или перегружены элементами, которые не используются для них.
  • Регулярно аудит членства в роли рабочей области. Мониторинг членства в роли помогает избежать ситуаций, когда потребитель ошибочно предоставляет повышенные разрешения.

Вариант 3. Просмотр содержимого в приложении

Вы можете распространять содержимое через приложения, которые объединяют связанное содержимое в простом пользовательском интерфейсе, который упрощает взаимодействие с потребителями контента. В отличие от просмотра содержимого в рабочих областях, приложения не путают или перегружать потребителей, показывая неотрепортные элементы (например, семантические модели).

При распространении содержимого через приложения нет риска случайного предоставления потребителям разрешений на запись. Приложения требуют совместного использования содержимого путем добавления потребителей в аудиторию приложений. Кроме того, можно поделиться приложением со всей организацией.

Невозможно опубликовать приложение для предоставления доступа к содержимому из нескольких рабочих областей. Если вы хотите предоставить общий доступ к содержимому, опубликованному в нескольких рабочих областях, одному потребителю, необходимо опубликовать несколько приложений или предоставить им доступ к отдельным элементам или рабочим областям.

Этот подход полезен, когда:

  • Вы хотите распределить несколько элементов рабочей области (но не все элементы) потребителям.
  • Необходимо распространять содержимое из одной рабочей области многим потребителям.
  • Вы хотите предоставить разным потребителям доступ к разным подмножествам содержимого приложения.

При совместном использовании содержимого в приложении рассмотрите следующие моменты:

  • Упорядочение содержимого в папки, чтобы упростить поиск пользователями того, что они ищут.
  • Добавьте ссылки на приложение для пользователей, чтобы запросить поддержку, сообщить о проблемах или отправить отзыв.
  • Включите полезное описание приложения и контактного лица , чтобы пользователи знали, что такое приложение.
  • Если отчеты используют общие семантические модели, расположенные в других рабочих областях, убедитесь, что потребители имеют разрешение на чтение для этих семантических моделей, чтобы они могли просматривать отчеты в приложении.

Рекомендуется распространять содержимое потребителям с помощью приложений. Приложения предоставляют более полную возможность, чем предоставление доступа к ролям рабочей области или совместное использование коллекции ссылок на отдельные элементы.

Вариант 4. Просмотр содержимого из других служб

У вас есть различные варианты распространения содержимого для потребителей в вашей организации за пределами Fabric. В этой ситуации потребители содержимого просматривают содержимое из других приложений и служб.

Этот подход полезен, когда:

  • Потребители намерены использовать содержимое вместе или вместе с другими приложениями.
  • Для обеспечения оптимального взаимодействия с потребителями требуются другие службы или приложения.
  • Вы хотите предоставить удобный доступ к содержимому, распространяемого по нескольким рабочим областям (например, с портала SharePoint Online или внутреннего веб-сайта).

Потребители, которые просматривают содержимое из других служб, по-прежнему требуют прямого доступа к элементам Power BI. Убедитесь, что вы сначала делитесь отдельными элементами с этими пользователями или распределяете их с помощью прямого доступа к группе безопасности, к которой принадлежат пользователи.

Каждый подход имеет определенные варианты использования, которые они могут поддерживать:

  • Внедрение в Microsoft Teams. Этот вариант может оказаться полезным при использовании отчетов Power BI для координации проекта или другой совместной работы.
  • Внедрение в PowerPoint. Этот вариант может быть полезным, если вы хотите интегрировать отчеты Power BI в презентации или отображать несколько отчетов постоянно на экране. Примерами могут быть отчеты, показывающие инциденты или открытые заказы в производственном заводе.
  • Внедрение в SharePoint Online. Этот вариант может оказаться полезным, если вы хотите централизировать отчеты на сайте SharePoint, чтобы обеспечить совместную работу или когда SharePoint является предпочтительным способом распространения и управления доступом к различным типам контента в организации.
  • Внедрение в приложения на основе холста Power Apps. Этот вариант может быть полезным, если вы хотите, чтобы содержимое Power BI сообщало о решениях пользователей и действиях в приложении, созданном с помощью Power Apps. Например, у вас может быть приложение для регистрации мест в открытом офисе, а также отчет Power BI, показывающий данные о доступности мест и заполнении офиса. Однако Power Apps требует лицензий как для создателей, так и для потребителей.
  • Внедрение на внутренний веб-сайт или внешнее приложение. Этот вариант может оказаться полезным, если вы хотите интегрировать отчеты Power BI с другими пользовательскими разработанными содержимым. Однако этот подход требует больше усилий по разработке. Когда это сделано для внутреннего веб-сайта, вы можете использовать подход внедрения для организации . Когда это делается для внешнего приложения, вы можете использовать подход для внедрения клиентов . Для этого подхода требуется емкость Fabric (SKU F) или Power BI Embedded (SKU EM).
  • Подписки на отчет: этот параметр позволяет подписываться потребителям на отчеты и отчеты с разбивкой на страницы, которые могут доставлять статические отчеты по электронной почте или на сайт SharePoint по расписанию. Для отчетов подписки имеют преимущество уведомления потребителей при обновлении данных в базовой семантической модели. Этот подход лучше всего сочетать с другими методами, например совместное использование содержимого из приложения. Таким образом, потребители знают только проверку приложения при обновлении содержимого внутри.
  • Экспорт в API файлов: этот параметр позволяет использовать ограниченные сценарии, если требуется распространять статические версии отчетов в виде PDF-документа (.pdf) или файла PowerPoint (.pptx).

Предупреждение

Избегайте распространения содержимого в виде экспортированных файлов, если это не обязательно. Например, обычно пользователи запрашивают экспортированные отчеты по электронной почте или SharePoint. Этот подход не является стратегией распространения содержимого, которая масштабируется. Кроме того, файлы могут создавать риски управления и безопасности. Пользователи также не могут воспользоваться интерактивными функциями, такими как перекрестная фильтрация или детализация в отчетах.

Часто предпочтение распределенным файлам является указанием низкого уровня зрелости и необходимости в управлении ими и поддержке пользователей.

Хорошим примером того, когда можно распространять файлы, является то, когда отчеты должны храниться для целей аудита.

Если вы решили распространять содержимое с помощью подписок отчетов или экспорта, рассмотрите возможность использования меток конфиденциальности с политикой Защита от потери данных Microsoft Purview для Power BI. Соответствующее использование меток конфиденциальности может предотвратить экспортированные файлы с конфиденциальными данными от эксфильтрации вашей организации.

Шаг 3. Определение того, находятся ли потребители за пределами организации

В некоторых случаях может потребоваться распространить содержимое внешним потребителям. В этом случае у вас есть несколько вариантов распространения содержимого за пределами организации.

Вариант 1. Создание повторяющихся удостоверений для внешних потребителей

В этом подходе создаются повторяющиеся удостоверения для внешних потребителей, которые становятся внутренними потребителями. Администратор Azure создает новую учетную запись внешнего потребителя в клиенте, который он должен использовать для доступа к содержимому. Затем администратор Microsoft 365 выделяет соответствующие лицензии для каждого пользователя новому удостоверению для доступа к содержимому. Хотя этот вариант является самым простым, он включает в себя затраты и затраты для создания и управления новыми учетными записями.

Этот подход полезен, когда:

  • Ограничения Microsoft Entra B2B препятствуют выполнению необходимых действий. Примеры ограничений Microsoft Entra B2B для потребителей:
    • Внешние гостевые пользователи могут не открывать файлы, экспортированные из отчетов с меткой конфиденциальности с параметрами защиты.
    • Внешние гостевые пользователи не могут использовать Power BI Desktop для подключения к семантической модели или потокам данных, которые находятся в служба Power BI.
    • Внешние гостевые пользователи не могут использовать анализ в Excel.
  • У вас нет навыков разработки или ресурсов для внедрения содержимого в пользовательское приложение.
  • Существует не много долгосрочных, внешних потребителей.

Вариант 2. Создание гостевой учетной записи Microsoft Entra B2B для внешних потребителей

Microsoft Entra B2B — это хороший вариант распространения содержимого внешним потребителям. При таком подходе администратор Azure добавляет внешнего потребителя в качестве внешнего гостевого пользователя в идентификатор Microsoft Entra. Если для доступа к содержимому требуется внешний пользователь, администратор Azure или администратор Microsoft 365 могут подготовить лицензию на пользователя для удостоверения.

Внешние пользователи также могут использовать собственную лицензию (BYOL) для получения лицензий от своих организаций для доступа к содержимому, требующего лицензии на пользователя. Если у гостевого пользователя есть соответствующая лицензия, создатели могут предоставить им общий доступ к содержимому.

Если вам нужно распространить содержимое для потребителей за пределами организации, настоятельно рекомендуется прочитать содержимое Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B.

Внешние пользователи создают внешних гостевых пользователей администратором Azure. Если гостевой пользователь требует лицензии, администратор Microsoft 365 может назначить лицензию гостевему пользователю. Затем эти гостевые пользователи могут получить доступ к Fabric, включая рабочие области, приложения и элементы. Доступ к Fabric внешним гостевым пользователям можно контролировать в параметрах клиента администратором Fabric.

Пользователям не требуется лицензия Power BI Pro для просмотра содержимого в емкости Fabric. Однако создатели требуют лицензии Power BI Pro для создания и совместного использования содержимого Power BI. Пользователям требуется лицензия Power BI Pro для просмотра содержимого в рабочей области, использующая режим лицензии Pro или Premium на пользователя (PPU).

Microsoft Entra B2B требует включения определенных параметров на портале администрирования Fabric. Общие сведения о соответствующих параметрах, которые администратор Структуры может использовать для управления тем, как создатели совместно используют содержимое, см. в разделе "Экспорт и общий доступ к параметрам клиента".

Ниже приведены некоторые сценарии, в которых можно использовать Microsoft Entra B2B для доставки содержимого внешним потребителям:

Этот подход полезен, когда:

  • Существует управляемое число внешних потребителей.
  • У вас есть емкость Fabric и требуется, чтобы внешние потребители могли воспользоваться бесплатной аудиторией, или внешние потребители имеют собственные лицензии Power BI Pro для использования с BYOL.
  • У вас нет навыков разработки или ресурсов для внедрения содержимого в пользовательское приложение.

Microsoft Entra B2B имеет ограничения, которые следует учитывать. Тщательно спланируйте и проводите тест с одним или несколькими внешними пользователями перед фиксацией подхода к распространению содержимого.

Вариант 3. Внедрение содержимого на пользовательском веб-сайте или приложении

В этом подходе используется номер SKU F, P, A или EM SKU для внедрения содержимого на пользовательском внешнем веб-сайте или приложении (внедрение для клиентов). Этот подход требует навыков, времени и ресурсов для разработки пользовательского приложения и управления проверкой подлинности. Она обеспечивает гибкость и контроль над процессом доступа.

Этот подход полезен, когда:

  • У вас есть опыт, время и ресурсы для разработки и обслуживания пользовательского приложения.
  • У вас есть существующее пользовательское приложение, в котором требуется внедрить содержимое Power BI.
  • Вы распространяете содержимое многим внешним сторонам или клиентам.
  • Вы хотите монетизировать доступ к закрытому содержимому Power BI, чтобы получить доход.

Вариант 4. Публикация содержимого для общедоступной аудитории с помощью публикации в Интернете

Публикация в Интернете предоставляет доступ к отчетам Power BI всем пользователям в Интернете. Для этого не требуется проверка подлинности и доступ. Так как пользователям отчетов не нужно принадлежать организации или иметь лицензию Power BI, эта методика хорошо подходит для журналистики данных. В этом процессе отчеты внедрены в записи блога, веб-сайты, сообщения электронной почты или социальные медиа.

Этот вариант выгоден, когда:

  • Содержимое не содержит конфиденциальную информацию и предназначено для общедоступной аудитории.
  • Вы хотите внедрить или связать содержимое на общедоступном веб-сайте, например с помощью элемента iframe HTML.

Публикация в Интернете — это эффективный метод, который позволяет делиться отчетами Power BI со всеми. Он может предоставлять частные или конфиденциальные данные, случайно или намеренно. Поэтому эта функция отключена по умолчанию. Администратор Power BI должен включить эту функцию и ограничить его использование определенным доверенным пользователям или группам безопасности.

Публикация в Интернете зависит от многих ограничений. Проверьте, работает ли дизайн отчета при использовании публикации в Интернете перед фиксацией этого подхода.

Шаг 4. Определение рекомендаций по лицензированию потребителей

К настоящему времени вы готовы решить, как распространять содержимое потребителям. Теперь необходимо убедиться, что потребители имеют соответствующие лицензии для доступа к содержимому и просмотра этого содержимого. В зависимости от способа распространения содержимого может потребоваться для каждого пользователя, для каждой емкости или других лицензий.

  • Лицензии на пользователей: пользователям содержимого могут потребоваться лицензии Microsoft Fabric Free, Power BI Pro или Premium на пользователя (PPU) для просмотра содержимого в зависимости от других факторов (описанных далее в этом разделе).
  • Лицензии на емкость. Для внедрения содержимого в пользовательское приложение требуется либо емкость Fabric (FKU), либо Power BI Embedded (EM SKU).
  • Другие лицензии: если вы распространяете содержимое с помощью других служб или приложений, потребители содержимого могут требовать другие лицензии. Например, создатели содержимого и потребители требуют лицензии Power Apps для распространения и просмотра содержимого с помощью этой службы.

Перед решением о подходе к распространению содержимого убедитесь, что вы оцениваете ежемесячные (и ежегодные) затраты на лицензирование (если требуются новые лицензии). Этот упреждающий подход может помочь избежать сюрпризов, которые могут отложить доставку содержимого или привести к непредвиденным проблемам и затратам позже.

Рекомендации по лицензиям на пользователя и на емкость см . в подписках, лицензиях и пробных версиях.

В следующих разделах описаны конкретные лицензии на пользователя, которые могут потребоваться для потребителей.

Сценарий 1. Потребители не требуют лицензии

Хотя создатели контента всегда требуют лицензии на публикацию и предоставление общего доступа к содержимому, существуют определенные обстоятельства, в которых потребители не требуют лицензии для просмотра опубликованного содержимого.

  • Содержимое распространяется публично через публикацию в Интернете.
  • Потребители получают доступ к внедренному содержимому через внешний веб-сайт или приложение (который использует сценарий внедрения для клиентов ).

Сценарий 2. Потребители требуют бесплатных лицензий Microsoft Fabric

При распространении или совместном использовании содержимого, опубликованного в емкости Fabric, потребители по-прежнему требуют лицензии на доступ к содержимому. Они могут сделать это без каких-либо затрат с бесплатной лицензией Microsoft Fabric, и им не нужна другая лицензия на пользователя, например Power BI Pro. У организации есть неограниченные бесплатные лицензии Microsoft Fabric, которые они могут использовать для предоставления доступа к содержимому Fabric и Power BI.

Сценарий 3. Для потребителей требуются лицензии Power BI Pro

Создатели содержимого всегда требуют лицензии Power BI Pro для совместного использования содержимого Power BI, даже если это содержимое опубликовано в рабочей области в емкости Fabric. Однако создатели содержимого не требуют лицензии Power BI Pro для создания или совместного использования содержимого Fabric.

Для потребителей содержимого требуется лицензия Power BI Pro:

  • Используйте содержимое, которое находится в рабочей области, которая не использует режим лицензии емкости Fabric.
  • Совместное использование содержимого Power BI с другими потребителями.
  • Предварительная версия общих PBIX-файлов, хранящихся в OneDrive для работы или учебного заведения или SharePoint.
  • Используйте гостевую учетную запись Microsoft Entra B2B, которая не может использовать BYOL.

Сценарий 4. Для потребителей требуются лицензии Power BI Pro или PPU

Если содержимое опубликовано в рабочей области, использующую режим лицензии PPU, создатели контента и потребители контента требуют лицензии PPU для совместного использования и просмотра этого содержимого.

Предоставление пользователю лицензии Power BI Pro или PPU не предоставляет им разрешения на сборку или запись для элементов Power BI, которые уже развернуты в рабочей области. Лицензии влияют на то, что пользователь может сделать, но не влияет на разрешения элемента или различные роли в Fabric.

Шаг 5. Определение того, требуются ли потребители разрешения на сборку

Некоторые потребители могут иметь более сложные потребности, которые не соответствуют доступному содержимому только для чтения. Эти потребители могут воспользоваться разрешением на сборку базовых элементов данных (например, семантических моделей), чтобы они могли создавать новое содержимое (например, отчеты).

В конечном итоге потребители могут делиться своим контентом с другими пользователями, в то время как они также становятся создателями контента.

Если вы предоставляете разрешение на сборку, убедитесь, что вы обучаете потребителей контента о том, как создать собственное содержимое с помощью Power BI или Excel. Если вы этого не сделали, эти пользователи могут использовать свои разрешения для экспорта данных в Excel, что делает их недействительным преимущество, которое имеет разрешение на сборку в первую очередь.

Вариант 1. Нет разрешений на сборку

Самый простой сценарий заключается в том, что пользователям нужно только просматривать содержимое, и они не хотят создавать собственное содержимое.

Этот подход полезен, когда:

  • В настоящее время вам не хватает ресурсов или процессов для поддержки потребителей, чтобы они могли успешно создавать собственное содержимое.
  • Вы еще не обучили пользователей, как подключиться и создать содержимое из элементов данных.
  • Потребители выражают, что они хотят только просматривать содержимое и не создавать его.
  • Нет необходимости в бизнесе для потребителей создавать собственное содержимое.

В этих сценариях необходимо предоставить альтернативные подходы к предоставлению разрешений на сборку, когда потребители по-прежнему хотят анализировать и изучать данные.

Рассмотрим следующие функции Power BI, которые обеспечивают гибкость для потребителей:

  • Параметры поля: можно создавать параметры поля в семантических моделях, которые поддерживают динамический выбор измерений и мер в отчетах. Этот параметр предоставляет пользователям возможность выбрать поле из среза, а затем это поле будет использоваться в визуальных элементах.
  • Визуальный элемент дерева декомпозиции: вы можете использовать визуальный элемент дерева декомпозиции в отчетах, чтобы пользователи могли просматривать данные в нескольких измерениях, которые они выбирают.
  • Персонализация визуальных элементов. Вы можете включить персонализацию визуальных элементов в отчете, что позволяет потребителям изменять визуальные элементы в соответствии с самими собой. Они могут изменять любой визуальный элемент, включая визуальный тип, параметры формата и поля, используемые визуальным элементом. Они также могут настроить страницу отчета на любое поле, выбранное из семантической модели, что позволяет им выполнять нерегламентированный анализ.

Если потребители не требуют разрешения на сборку сейчас, они могут потребовать его в будущем. Бизнес-цели и потребности в данных могут быстро развиваться. Обучение пользователей создавать собственное содержимое и выполнять собственный анализ является хорошим способом масштабирования реализации, позволяя пользователям и повысить зрелость языка и региональных параметров данных.

Вариант 2. Разрешение на сборку аудитории приложений

Вы можете предоставить разрешение на сборку членам аудитории приложения, которая применяется ко всем базовым семантических моделям для отчетов и панелей мониторинга, включенных в приложение.

Этот подход полезен, когда:

  • Содержимое распространяется с помощью приложений Power BI.
  • Пользователям требуется разрешение на сборку только для семантических моделей.
  • Необходимо предоставить нескольким пользователям разрешение на сборку нескольких элементов в одной рабочей области.

Не предоставляйте разрешения на сборку, добавляя потребителей в роли рабочей области "Администратор", "Член" или "Участник". Эти роли предоставляют разрешение на запись , а не разрешение на сборку . Если у пользователей есть разрешение на запись, безопасность на уровне строк не применяется, и она позволяет им просматривать и изменять правила безопасности.

Вариант 3. Разрешение на сборку элементов

Вы можете предоставить разрешение на сборку отдельным элементам данных в рабочей области.

Этот подход полезен, когда:

  • Вы предоставляете доступ к содержимому рабочей области путем добавления потребителей в роль просмотра.
  • Необходимо предоставить разрешение на сборку только для определенных элементов.
  • Вы планируете предоставить разрешение на сборку для небольшого подмножества пользователей.

Контрольный список . При планировании распространения содержимого потребителям, к ключевым решениям и действиям относятся:

  • Определите, кому будет распространяться содержимое: если вы этого еще не сделали, определите, сколько пользователей требуется доступ к содержимому. Определите все соответствующие сегменты пользователей и определите, имеют ли эти сегменты различные потребности или способы использования содержимого, которое может повлиять на метод распространения.
  • Планирование модели безопасности данных. Определите, применяется ли ваше содержимое безопасность данных и как вы планируете управлять членством в роли безопасности.
  • Планирование модели разрешений. Определите, кто должен получить доступ к содержимому и как этот доступ влияет на методы распространения.
  • Создайте группы безопасности Microsoft Entra и добавьте пользователей в группы: использование групп безопасности для управления членством в ролях, доступом и разрешениями является более эффективным и масштабируемым, чем управление отдельными учетными записями.
  • Добавьте группы безопасности в роли безопасности данных: если вы используете безопасность на уровне строк или безопасность на уровне объектов, убедитесь, что группы безопасности назначаются соответствующим ролям.
  • Предоставление общего доступа к шлюзам данных. При необходимости предоставьте доступ к шлюзу данных, добавив потребителей в подключения к источнику данных с помощью роли пользователя (или пользователя с общим доступом).
  • Определите способ обработки внешних пользователей: определите, нужно ли предоставлять доступ к содержимому любому потребителю за пределами организации. Если это так, решите, какой подход будет использоваться для совместного использования содержимого с этими пользователями.
  • Добавление внешних гостевых пользователей. Если вы планируете предоставить общий доступ к содержимому с помощью Microsoft Entra B2B, попросите соответствующих администраторов добавить гостевых пользователей.
  • Выделение лицензий на пользователя. Убедитесь, что у потребителей есть соответствующие лицензии для доступа к содержимому. Если вы планируете внедрить содержимое в другие службы, убедитесь, что эти службы имеют другие требования к лицензированию.
  • Определите подход к совместному доступу к содержимому: определите, будет ли вы предоставлять общий доступ к содержимому через приложения, рабочие области или прямой доступ к отдельным элементам. Если вы используете прямой доступ, решите, как пользователи должны получать доступ к элементам (например, через централизованный портал или с помощью содержимого, внедренного в другую службу, например Teams).
  • Определите, как предоставить разрешение на сборку: определите, будет ли предоставлено разрешение на сборку на всех, и если да, вы предоставляете его через аудитории приложений или отдельные элементы контента.
  • Предоставление разрешения на сборку: при необходимости предоставьте пользователю разрешение на сборку, которому потребуется выполнить собственный анализ базовых элементов данных.

Планирование совместного использования содержимого с другими создателями

В корпоративных и самостоятельных сценариях необходимо предоставить общий доступ к содержимому другим создателям. Совместное использование содержимого с другими создателями упрощает совместную работу среди разработчиков, работающих над тем же содержимым. Он также упрощает обнаружение данных и демократизацию данных среди пользователей самообслуживания, которые создают собственное содержимое.

На следующей схеме представлен обзор различных подходов, которые можно использовать для совместного использования содержимого с другими создателями.

Схема показывает подходы к распространению содержимого и данных другим создателям или совместному доступу к ним. Каждый элемент схемы описан в следующей таблице.

На схеме показаны следующие понятия и процессы:

Позиция Description
Элемент 1. Создатели контента создают и развертывают содержимое в своей организации. Они могут совместно использовать содержимое с другими внутренними пользователями, использующими Fabric (например, портал Fabric или мобильное приложение Power BI).
Элемент 2. Создатели также могут совместно использовать элементы за пределами организации. Они могут распространять содержимое внешним гостевым пользователям, которые были добавлены в организацию с помощью Microsoft Entra B2B. В некоторых сценариях создатели также могут предоставлять доступ к файлам содержимого внешним пользователям.
Элемент 3. Содержимое развертывается в клиенте Fabric, где создатели могут использовать или просматривать его.
Элемент 4. Емкость Структуры необходима для создания и совместного использования элементов Fabric.
Элемент 5. Содержимое развертывается в рабочей области.
Элемент 6. Создатели могут распространять содержимое с другими внутренними пользователями или внешними гостевыми пользователями, которые являются создателями контента, назначая им роли администратора, участника или рабочей области участника. Рекомендуется использовать принцип наименьших привилегий при совместном использовании содержимого по роли рабочей области.
Элемент 7. Создатели также могут совместно использовать содержимое с другими внутренними пользователями или внешними гостевыми пользователями, которые являются создателями контента, предоставляя доступ к отдельным элементам через ссылки. Когда создатели имеют доступ к элементам данных через прямые доступ или роли рабочей области, они могут обнаружить это содержимое с помощью каталога OneLake.
Элемент 8. В рабочей области в емкости Fabric создатели могут создавать и использовать lakehouse, которые включают таблицы и файлы в папках.
Элемент 9. Создатели могут совместно использовать данные в папке Lakehouse другим внутренним пользователям или внешним гостевым пользователям, которые являются создателями с помощью ролей доступа к данным OneLake, которые также называются управлением доступом на основе ролей (RBAC).
Элемент 10. В рабочей области в емкости Fabric создатели могут создавать и использовать базы данных KQL, составляющие таблицы и файлы в папках.
Элемент 11. Создатели могут совместно использовать данные из папок базы данных Lakehouse или KQL внешним пользователям за пределами организации с помощью внешнего доступа к данным.

Шаг 1. Определение того, кто создатели и как они получают доступ

Первым шагом при совместном использовании содержимого с создателями является определение того, кто они и как они должны получить доступ к элементам или данным, которые им нужно сделать и поделиться своим содержимым.

Затем вы готовы выполнить следующие задачи:

  • Общий доступ к шлюзам. При необходимости настройте доступ к шлюзу данных, добавив потребителей в подключения к источнику данных в роли пользователя (или пользователя с общим доступом).
  • Создание рабочих областей. Создание и предоставление общего доступа к рабочей области, в которой создатели должны опубликовать свое содержимое, если у них еще нет. Создатели могут потребовать доступа к нескольким рабочим областям, если они планируют использовать отдельные рабочие области для разработки, тестирования и совместного использования содержимого с потребителями. Кроме того, вы можете предоставить доступ к существующей рабочей области , содержащей другое содержимое, к которому создатели должны получить доступ (описано далее в этой статье).
  • Выделение лицензий. Создатели нуждаются в разных лицензиях в зависимости от содержимого, которое они производят.
    • Лицензии Power BI Pro всегда требуются для создания и совместного использования содержимого Power BI.
    • Лицензии PPU необходимы для создания и совместного использования содержимого, если в рабочей области используется режим лицензии PPU.
    • Лицензия не требуется для создания и совместного использования элементов Fabric, если рабочая область находится в емкости Fabric.

Вариант 1. Вы предоставляете доступ к создателям

Вы можете заранее предоставлять доступ к содержимому создателям, например подход , описанный для потребителей контента.

Этот подход полезен, когда:

  • Создатели должны получить доступ только к нескольким элементам данных.
  • Вы хотите больше контроля над тем, какие создатели содержимого могут найти и использовать.

Вариант 2. Создатели находят элементы и запрашивают доступ из каталога OneLake

Необходимо поощрять пользователей использовать каталог OneLake для обнаружения содержимого, которое они могут использовать в качестве источника данных. Там и при необходимости создатели содержимого могут запрашивать доступ к этим элементам данных. После предоставления разрешения на сборку они могут создать новое содержимое на основе этих элементов.

Этот подход полезен, когда:

  • Вы используете подтверждения для повышения качества и сертификации содержимого.
  • Содержимое помечается как обнаруживаемое, чтобы пользователи могли найти его в каталоге OneLake.
  • Вы создали процесс для устойчивого управления запросами доступа.
  • Пользователи прошли обучение по поиску и использованию элементов данных в Fabric.

Чтобы просмотреть элемент данных в каталоге OneLake, создатели должны иметь доступ к этому элементу, или его необходимо пометить как обнаруживаемым. Например, вы можете предоставить создателям разрешение на чтение семантических моделей или пометить эти семантические модели как доступные для обнаружения, что позволяет пользователям находить их и запрашивать разрешение на сборку для их использования.

Шаг 2. Решение о разрешениях создателя

В зависимости от того, как создатели будут использовать содержимое, им может потребоваться разные разрешения.

Вариант 1. Разрешение на запись

Вы можете предоставить создателям содержимого разрешение на запись для редактирования и совместной работы над элементом. При предоставлении создателям содержимого разрешения на запись убедитесь, что при необходимости вы также предоставляете доступ к файлам содержимого.

Предоставьте создателям разрешения на запись, когда:

  • Создатели должны изменить или управлять элементом.
  • Вы будете сотрудничать с создателями элемента.

Если создатели содержимого будут сотрудничать, вы должны спланировать, как они могут сделать это. Например, рассмотрим, как использовать управление версиями для отслеживания изменений и управления ими.

Вариант 2. Разрешение на сборку

Вы можете предоставить создателям содержимого разрешение на сборку для подключения и использования семантических моделей для создания нового содержимого. С разрешением на сборку создатели содержимого не смогут изменять исходный элемент.

Предоставьте создателям разрешения на сборку, когда создатели будут создавать новое содержимое из существующих семантических моделей.

Некоторые типы элементов данных, такие как lakehouses или хранилища данных, не поддерживают разрешение на сборку. Вместо этого, если создатели хотят использовать эти элементы данных для создания собственного содержимого, необходимо предоставить им разрешение на чтение.

Вариант 3. Разрешение на чтение

Вы можете предоставить создателям разрешение на чтение определенных элементов данных Fabric, таких как lakehouses. Таким образом, они могут создавать собственное содержимое (например, семантические модели и отчеты), не изменяя исходный элемент данных.

Предоставьте создателям разрешение на чтение, если:

  • Создатели должны обнаруживать семантические модели в каталоге OneLake, чтобы просмотреть их метаданные, а затем запросить разрешение на сборку от владельца содержимого.
  • Создатели должны использовать элементы данных Fabric, такие как lakehouses или хранилища данных, для создания собственного содержимого.

Шаг 3. Определение того, находятся ли создатели вне организации

Если создатели содержимого за пределами организации требуют доступа к элементам или данным, вам потребуется выполнить определенные действия. Здесь также применяются сценарии и рекомендации для потребителей содержимого.

У вас есть несколько вариантов совместного использования содержимого с внешними создателями. Первые два варианта аналогичны тому, как вы предоставляете общий доступ к содержимому внешним потребителям, за исключением предоставления разрешения на запись создателям.

Вариант 1. Создание повторяющихся удостоверений для внешних создателей

Вы можете создать учетную запись внешнего потребителя в клиенте, которую они должны использовать для доступа к содержимому.

При использовании повторяющихся удостоверений для внешних создателей рекомендуется использовать:

  • Внешние создатели должны получить доступ к другим внутренним службам или они предпочитают использовать отдельную внутреннюю учетную запись.
  • Политики организации или параметры администратора не позволяют предоставлять общий доступ к бизнес-бизнесу (B2B).
  • Ограничения Microsoft Entra B2B препятствуют выполнению необходимых действий. Ниже приведены примеры ограничений Microsoft Entra B2B для создателей:
    • Внешние гостевые пользователи не могут использовать Power BI Desktop для подключения к семантической модели или потокам данных, которые находятся в служба Power BI и не могут публиковаться из Power BI Desktop.
    • Внешние гостевые пользователи не могут задать метки конфиденциальности.
    • Внешние гостевые пользователи не могут установить локальный шлюз данных.

Вариант 2. Создание гостевой учетной записи Microsoft Entra B2B для внешних создателей

Вы можете добавить внешнего создателя в качестве гостевого пользователя и предоставить им общий доступ к элементу. Гостевые пользователи могут принести собственную лицензию Power BI Pro или PPU для использования в клиенте узла. Однако гостевые пользователи имеют несколько ключевых ограничений при создании и совместном использовании содержимого Power BI с другими пользователями, например ограничения для совместного использования семантической модели на месте.

Рассмотрите возможность распространения содержимого внешним гостевым пользователям, когда:

  • Внешние создатели имеют собственные лицензии Power BI Pro и PPU.
  • Вы будете совместно использовать несколько элементов содержимого с несколькими внешними создателями.
  • Вы будете распространять содержимое многим внешним создателям, у которых есть.

Внимание

Убедитесь, что вы проверяете, является ли Microsoft Entra B2B лучшим подходом, прежде чем решить использовать его. Перед фиксацией этой стратегии распространения содержимого рекомендуется провести небольшую пробную версию с несколькими создателями. Во время этого испытания убедитесь, что создатели выполняют все необходимые действия, чтобы обнаружить любые возможные предостережения или ограничения, которые могут препятствовать им делать то, что им нужно сделать.

Внешние потребители содержимого могут использовать каталог OneLake для просмотра и доступа к семантическим моделям в собственном клиенте, к которым им был предоставлен общий доступ. Эта концепция называется общим доступом к семантической модели на месте. Для этого требуется, чтобы администраторы Fabric разрешали гостевым пользователям работать с общими семантические модели в собственных параметрах клиента.

Внешние потребители контента могут подключаться к этим семантическим моделям, чтобы создавать составные семантические модели и отчеты , которые они могут публиковать в рабочих областях в собственном клиенте.

Microsoft Entra B2B и совместное использование семантической модели на месте имеют различные рекомендации и ограничения, которые следует учитывать.

Шаг 4. Определение того, какие создатели должны получить доступ

Вы можете предоставить доступ создателям на четырех разных уровнях в зависимости от того, что им нужно сделать:

  • Доступ к конвейеру развертывания: предоставляет создателям доступ к конвейеру развертывания и позволяет запускать развертывания для повышения содержимого между этапами. Создатели требуют доступа к базовым рабочим областям для использования конвейеров развертывания.
  • Доступ к рабочей области: предоставляет создателям доступ ко всему содержимому в рабочей области.
  • Доступ к элементам: предоставляет создателям доступ к одному элементу содержимого в рабочей области.
  • Доступ к данным. Предоставляет создателям доступ к определенным данным в элементе. Создатели требуют разрешения на запись для элемента, чтобы применить доступ к данным в этом элементе.

Доступ к создателю может включать несколько вариантов в зависимости от обстоятельств. Например, вы можете предоставить создателю доступ к озеру и доступ к данным, чтобы ограничить то, что они могут использовать из этого lakehouse. Затем вы можете предоставить создателю доступ к нескольким рабочим областям для публикации своих семантических моделей и отчетов, а также конвейера развертывания для развертывания содержимого между этими рабочими областями.

Следуйте принципу наименьших привилегий при предоставлении создателям доступа к конвейерам развертывания, рабочим областям и элементам. Например, избегайте назначения создателей ролям рабочей области с разрешениями, которые им не нужны, например роль администратора. Если им не нужно обновлять конфигурацию приложения или рабочей области, не назначайте создателям роль участника.

В следующих разделах показано, как определить, какие создатели доступа должны получить.

Вариант 1. Доступ к конвейеру развертывания

Вы можете предоставить создателям доступ к конвейеру развертывания для управления развертыванием содержимого между несколькими рабочими областями. Эти создатели также могут изменить конвейер развертывания и просмотреть журнал развертывания.

Этот подход полезен, когда:

  • Конвейеры развертывания будут использоваться для развертывания содержимого между рабочими областями.
  • Создатель контента будет отвечать за просмотр содержимого во время процесса развертывания.

Ограничить доступ к конвейеру развертывания только нескольким лицам, которые будут отвечать за решение о развертывании или выпуске содержимого на следующем этапе.

Вариант 2. Доступ к рабочей области

Вы можете предоставить создателям доступ ко всему содержимому в рабочей области, назначив им роль "Член" или "Участник".

Этот подход полезен, когда:

  • Создатели также получат доступ к конвейеру развертывания.
  • Создатели должны сотрудничать в рабочей области.
  • Интеграция Git используется для отслеживания изменений содержимого и управления ими в удаленный репозиторий, связанной с рабочей областью.
  • Создатели должны использовать поток данных.

Убедитесь, что вы предоставляете создателям содержимого доступ к рабочей области для публикации содержимого. Если они должны публиковать содержимое в той же рабочей области, что и исходный элемент, который они используют, убедитесь, что вы получите ясное значение.

Вариант 3. Доступ к элементам

Вы можете предоставить создателям доступ к отдельным элементам содержимого в рабочей области, предоставив общий доступ через прямой доступ. С помощью этого подхода вы предоставляете ссылку на элемент (аналогично тому, когда вы совместно использовать отдельные элементы с потребителями), или создатели запрашивают доступ после обнаружения содержимого в каталоге OneLake.

Этот подход полезен, когда:

  • Создатели будут использовать только одно или подмножество элементов в рабочей области.
  • Вы хотите поделиться элементами с создателями без предоставления доступа к рабочей области.
  • Создатели должны публиковать содержимое, создаваемое в отдельной рабочей области.
  • Создатели должны обнаруживать элементы данных из каталога OneLake.

Примечание.

Общий доступ к элементу данных, например lakehouse или семантической модели, также предоставит этому пользователю доступ к базовым данным в этом элементе. Это не то же самое, что предоставление доступа к данным объектам, таким как таблицы или файлы, с помощью ролей доступа к данным OneLake (или RBAC).

Некоторые отдельные элементы содержимого, такие как потоки данных, невозможно предоставить общий доступ. Для этих элементов необходимо предоставить доступ к рабочей области создателям, чтобы просматривать и использовать их.

Вариант 4. Доступ к данным

В некоторых случаях создателям содержимого потребуется доступ к базовым данным. В этом случае создатели могут потребовать преобразования или обогащения этих данных для других целей. У вас есть два варианта совместного использования данных в Fabric:

  • Роль доступа к данным OneLake: вы можете назначить кому-то роль доступа к данным для данных в папке lakehouse. Этот подход позволяет применять RBAC к данным OneLake, чтобы ограничить доступные данные.
  • Сочетания клавиш OneLake. Хотя это не является строго методом общего доступа, вы можете предоставить доступ к данным, создав внутренние сочетания клавиш OneLake для ссылки на данные в существующих элементах Fabric. Этот подход позволяет повторно использовать данные между командами и рабочей областью при сохранении одной копии данных.

Эти подходы полезны в следующих случаях:

  • Ваша организация имеет емкость Fabric и использует lakehouses для хранения данных для создателей.
  • Вы хотите ограничить данные, которые создатель может видеть и использовать из озера.
  • Создатели хотят преобразовать базовые данные для использования в других элементах данных.
  • Создатели не могут использовать другие подходы, такие как составные семантические модели.

Создатели должны иметь разрешение ReadAll или Write в lakehouse (через доступ к рабочей области или доступ к элементам), чтобы принадлежать роли доступа к данным OneLake. Создатели должны иметь разрешение на запись в lakehouse, чтобы создать ярлыки. Невозможно предоставить доступ к данным без первого предоставления доступа к элементу, который содержит эти данные.

Контрольный список . При совместном использовании содержимого с другими создателями, к ключевым решениям и рекомендациям относятся:

  • Определите, как создатели контента получают доступ к контенту. Решите, будете ли вы проактивно предоставлять доступ создателям контента или они должны будут сами находить и запрашивать доступ к контенту из каталога OneLake.
  • Создайте рабочую область для создателей для публикации содержимого: убедитесь, что создатели имеют доступную рабочую область для публикации семантических моделей и отчетов или создания другого содержимого на портале Fabric.
  • Выделение лицензий создателям: обратитесь к соответствующему администратору, чтобы гарантировать, что создатели имеют соответствующие лицензии для каждого пользователя для создания и совместного использования содержимого.
  • Определите, какие разрешения должны иметь создатели: определите, требуются ли создатели разрешения на чтение, сборку или запись для существующего содержимого.
  • Предоставление общего доступа к шлюзам данных. При необходимости настройте доступ к шлюзу данных, добавив потребителей в подключения к источнику данных в роли пользователя (или пользователя с общим доступом).
  • Определите способ обработки внешних пользователей: определите, будет ли вы сотрудничать с любыми создателями за пределами организации. Если это так, решите, какой подход будет использоваться для совместного использования содержимого с этими пользователями.
  • Добавьте внешних гостевых пользователей: если вы будете предоставлять общий доступ к содержимому с помощью Microsoft Entra B2B, попросите соответствующих администраторов добавить гостевых пользователей.
  • Определите, требуются ли создатели доступа к существующим элементам: определите, требуются ли создатели контента доступ к конвейерам развертывания, рабочим областям, отдельным элементам содержимого или данным в базах данных KQL или lakehouses.

Связанный контент

Дополнительные рекомендации, действия, критерии принятия решений и рекомендации по внедрению Power BI см. в статье о планировании реализации Power BI.