语义模型权限
本文介绍 Power BI 服务中的语义模型权限以及用户如何获取这些权限。
什么是语义模型权限?
下表描述了控制 Power BI 服务中语义模型的访问权限的四个权限级别。 该表还描述了语义模型所有者对语义模型拥有的权限,以及只有语义模型所有者才能执行的其他操作。
| 权限 | 说明 |
|---|---|
| 阅读 | 允许用户访问报表和其他解决方案,例如 Premium/PPU 工作区上的复合模型(这些模型从语义模型读取数据)。 允许用户查看语义模型设置。 |
| 构建 | 允许用户从语义模型生成新内容,并查找使用该语义模型的内容。 允许用户访问以下类型的报表:访问 Power BI Pro 工作区上的复合模。 允许用户生成复合模型。 允许用户将数据提取到“在 Excel 中分析”。 允许使用外部 API(如 XMLA)进行查询。 允许用户查看隐藏的数据字段。 |
| 重新共享 | 允许用户授予语义模型访问权限。 |
| 写入 | 允许用户重新发布语义模型。 允许用户备份和还原语义模型。 允许用户通过 XMLA 对语义模型进行更改。 允许用户编辑语义模型设置,但数据刷新、凭据和自动聚合除外。 |
| 所有者 | 语义模型所有者本身不是权限,而是拥有语义模型所有权限的概念角色。 第一个语义模型所有者是创建语义模型的人员,之后是在语义模型设置中接管语义模型后配置语义模型的最后一个人。 除了可以显式授予的此表中所述的权限外,语义模型所有者还可以配置语义模型刷新、凭据和自动聚合。 |
注意
生成权限主要是一种可发现性功能。 有了它,用户就可以使用 XMLA 终结点轻松发现语义模型,并根据发现的模型生成 Power BI 报表和其他可用项,如 Excel 数据透视表和非 Microsoft 数据可视化工具。 有读取权限但没有生成权限的用户可以使用与他们共享的现有报表并与之交互。 不应依靠授予读取权限但不授予生成权限来保护敏感数据。 具有读取权限的用户,即使没有生成权限,也能够访问语义模型中的数据并与之交互。
如何获取语义模型权限?
通过工作区角色隐式获取的权限
用户在工作区中的角色可隐式授予他们对工作区中语义模型的权限,如下表所述。
| 管理员 | 成员 | 参与者 | 查看器 | |
|---|---|---|---|---|
| 读取 | 
|
|
|
|
| 生成 |
|
|
|
|
| 重新共享 |
|
|
|
|
| 写入 |
|
|
|
|
注意
若要更改或删除通过工作区角色继承的权限,则只能由用户通过在工作区中更改或删除其角色来进行。 不能使用管理权限页来显式更改或删除角色。
通过“管理语义模型权限”页显式授予的权限
在工作区中具有“管理员”或“成员”角色的用户可以使用管理权限页向其他用户显式授予权限。
通过链接获取的权限
当用户共享报表或语义模型时,系统会创建提供语义模型权限的链接。 有权访问这些链接的用户能够访问语义模型。 在语义模型所在工作区中具有“管理员”或“成员”角色的用户可以在管理权限页上管理这些链接。
在应用中授予的权限
如果应用所有者在应用权限配置中允许,则用户可以获取对应用中使用的语义模型的权限。
通过 REST API 授予的权限
可以通过 REST API 设置语义模型权限。 有关详细信息,请参阅 Power BI REST API 上下文中的语义模型权限。
语义模型权限和行级别安全性 (RLS)
行级别安全性(RLS) 可能会影响对语义模型具有读取或生成权限的用户从语义模型读取数据的能力。
- 如果未在语义模型中定义 RLS,则对语义模型具有写入、读取或生成权限的用户可以从语义模型读取数据。
- 在语义模型中定义 RLS 时:
- 只有对语义模型具有读取或生成权限的用户无法从语义模型读取数据,除非它们属于其 RLS 角色之一。
- 对语义模型具有写入权限的用户可以从语义模型读取数据,而不管它们是否属于其任何 RLS 角色。
相关内容
- 共享对语义模型的访问权限
- 管理语义模型访问权限
- 语义模型 REST API 权限