Sicherheit auf Zeilenebene (row-level security; RLS) mit Power BI DesktopRow-level security (RLS) with Power BI Desktop

Die Sicherheit auf Zeilenebene (row-level security; RLS) mit Power BI Desktop kann zum Einschränken des Datenzugriffs für bestimmte Benutzer verwendet werden.Row-level security (RLS) with Power BI Desktop can be used to restrict data access for given users. Filter beschränken die Daten auf Zeilenebene.Filters restrict data at the row level. Sie können Filter für Rollen definieren.You can define filters within roles.

Sie können RLS jetzt für Datenmodelle konfigurieren, die mithilfe von Power BI Desktop in Power BI importiert wurden.You can now configure RLS for data models imported into Power BI with Power BI Desktop. Sie können auch RLS für Datasets konfigurieren, die DirectQuery verwenden, z. B. SQL Server.You can also configure RLS on datasets that are using DirectQuery, such as SQL Server. Bisher konnte RLS nur in lokalen Analysis Services-Modellen außerhalb von Power BI implementiert werden.Previously, you were only able to implement RLS within on-premises Analysis Services models outside of Power BI. Für Liveverbindungen von Analysis Services konfigurieren Sie RLS auf dem lokalen Modell.For Analysis Services live connections, you configure Row-level security on the on-premises model. Die Sicherheitsoption wird nicht für Liveverbindungsdatasets angezeigt.The security option will not show up for live connection datasets.

Wichtig

Wenn Sie im Power BI-Dienst Rollen/Regeln definiert haben, müssen Sie diese Rollen in Power BI Desktop neu erstellen und den Bericht im Dienst veröffentlichen.If you defined roles/rules within the Power BI service, you will need to recreate those roles within Power BI Desktop and publish the report to the service.

Erfahren Sie mehr über die Optionen für RLS innerhalb des Power BI-Diensts.Learn more about options for RLS within the Power BI Service.

Definieren von Rollen und Regeln in Power BI DesktopDefine roles and rules within Power BI Desktop

Sie können Rollen und Regeln in Power BI Desktop definieren.You can define roles and rules within Power BI Desktop. Wenn Sie etwas in Power BI veröffentlichen, werden auch die Rollendefinitionen veröffentlicht.When you publish to Power BI, it will also publish the role definitions.

Gehen Sie wie folgt vor, um Sicherheitsrollen zu definieren:To define security roles, you can do the following.

  1. Importieren Sie Daten in Ihren Power BI Desktop-Bericht, oder konfigurieren Sie eine DirectQuery-Verbindung.Import data into your Power BI Desktop report, or configure a DirectQuery connection.

    Hinweis

    Sie können in Power BI Desktop keine Rollen für Analysis Services-Liveverbindungen definieren.You cannot define roles within Power BI Desktop for Analysis Services live connections. Sie müssen sie im Analysis Services-Modell definieren.You will need to do that within the Analysis Services model.

  2. Wählen Sie die Registerkarte Modellierung aus.Select the Modeling tab.
  3. Wählen Sie Rollen verwalten aus.Select Manage Roles.

  4. Wählen Sie Erstellen aus.Select Create.

  5. Geben Sie einen Namen für die Rolle an.Provide a name for the role.
  6. Wählen Sie die Tabelle aus, auf die eine DAX-Regel angewendet werden soll.Select the table that you want to apply a DAX rule.
  7. Geben Sie die DAX-Ausdrücke ein.Enter the DAX expressions. Dieser Ausdruck muss TRUE oder FALSE zurückgeben.This expression should return a true or false. Zum Beispiel: [Entitäts-ID] = "Wert".For example: [Entity ID] = “Value”.

    Hinweis

    Sie können username() innerhalb dieses Ausdrucks verwenden.You can use username() within this expression. Beachten Sie, dass username() in Power BI Desktop das Format DOMÄNE\Benutzername aufweist.Be aware that username() will have the format of DOMAIN\username within Power BI Desktop. Im Power BI-Dienst weist es das Format des UPN des Benutzers auf.Within the Power BI service, it will be in the format of the user's UPN. Alternativ können Sie userprincipalname() verwenden, wodurch der Benutzer immer im Format seines Benutzerprinzipalnamens zurückgegeben wird.Alternatively, you can use userprincipalname() which will always return the user in the format of their user principal name.

  8. Wählen Sie nach der Erstellung des DAX-Ausdrucks das Häkchen über dem Ausdrucksfeld aus, um den Ausdruck zu überprüfen.After you have created the DAX expression, you can select the check above the expression box to validate the expression.

  9. Wählen Sie Speichern.Select Save.

In Power BI Desktop ist es nicht möglich, Benutzer einer Rolle zuzuweisen.You cannot assign users to a role within Power BI Desktop. Dies ist nur im Power BI-Dienst möglich.This is done within the Power BI service. Sie können die dynamische Sicherheit in Power BI Desktop aktivieren, indem Sie username()- oder userprincipalname()-DAX-Funktionen verwenden und die richtigen Beziehungen konfigurieren.You can enable dynamic security within Power BI Desktop by making use of the username() or userprincipalname() DAX functions and having the proper relationships configured.

Überprüfen der Rolle in Power BI DesktopValidating the role within Power BI Desktop

Nachdem Sie Ihre Rolle erstellt haben, können Sie die Ergebnisse der Rolle in Power BI Desktop testen.After you have created your role, you can test the results of the role within Power BI Desktop. Wählen Sie dazu Als Rollen anzeigen aus.To do this, select View As Roles.

Mit dem Dialog Als Rollen anzeigen können Sie die Ansicht für einen bestimmten Benutzer oder eine bestimmte Rolle ändern.The View as roles dialog allows you to change the view of what you are seeing for that specific user or role. Ihnen werden die Rollen angezeigt, die Sie erstellt haben.You will see the roles you have created.

Wählen Sie die Rolle aus, die Sie erstellt haben, und wählen Sie anschließend OK aus, um diese Rolle auf die vor Ihnen liegende Ansicht anzuwenden.You select the role you created and then select OK to apply that role to what you are viewing. Die Berichte werden nur die für diese Rolle relevanten Daten rendern.The reports will only render the data relevant for that role.

Sie können auch „Anderer Benutzer“ auswählen und einen bestimmten Benutzer angeben.You can also select Other user and supply a given user. Am besten geben Sie den Benutzerprinzipalnamen (User Principal Name; UPN) an, da der Power BI-Dienst diesen verwendet.It is best to supply the User Principal Name (UPN) as that is what the Power BI service will use. Wählen Sie OK aus, und die Berichte rendern auf Grundlage dessen, was dem Benutzer angezeigt wird.Select OK and the reports will render based on what that user can see.

Hinweis

In Power BI Desktop werden auf diesem Weg nur dann unterschiedliche Ergebnisse angezeigt, wenn Sie die dynamische Sicherheit basierend auf Ihren DAX-Ausdrücken verwenden.Within Power BI Desktop, this will only display different results if you are using dynamic security based on your DAX expressions.

EinschränkungenLimitations

Es folgt eine Liste der aktuellen Einschränkungen für die Sicherheit auf Zeilenebene für Cloudmodelle.Here is a list of the current limitations for row-level security on cloud models.

  • Wenn Sie bereits Rollen/Regeln im Power BI-Dienst definiert hatten, müssen Sie diese in Power BI Desktop neu erstellen.If you previously had roles/rules defined within the Power BI service, you will need to recreate them within Power BI Desktop.
  • Sie können RLS nur auf den mithilfe des Power BI Desktop-Clients erstellten Datasets definieren.You can define RLS only on the datasets created using Power BI Desktop client. Wenn Sie RLS für mit Excel erstellte Datasets aktivieren möchten, müssen Sie Ihre Dateien zunächst in PBIX-Dateien konvertieren.If you want to enable RLS for datasets created with Excel, you will need to convert your files into PBIX files first. Weitere InformationenLearn more
  • Es werden nur ETL- und DirectQuery-Verbindungen unterstützt.Only ETL, and DirectQuery connections are supported. Live-Verbindungen zu Analysis Services werden im lokalen Modell verarbeitet.Live connections to Analysis Services are handled in the on-premises model.
  • RLS unterstützt derzeit weder Q&A noch Cortana.Q&A and Cortana is not supported with RLS at this time. Das Q&A-Eingabefeld für Dashboards wird nicht angezeigt, wenn für alle Modelle RLS konfiguriert ist.You will not see the Q&A input box for dashboards if all models have RLS configured. Das ist zwar geplant, jedoch können wir noch keinen Zeitplan nennen.This is on the roadmap, but a timeline is not available.
  • Die externe Freigabe wird zurzeit nicht für Datasets unterstützt, die RLS verwenden.External sharing is not currently supported with datasets that use RLS.
  • Für jedes bestehende Modell beträgt die Maximalzahl der Azure AD-Prinzipale (d.h. der Einzelbenutzer oder Sicherheitsgruppen), die Sicherheitsrollen zugewiesen werden können, 1.000.For any given model, the maximum number of Azure AD principals (i.e. individual users or security groups) that can be assigned to security roles is 1,000. Um Rollen große Benutzerzahlen zuzuweisen, achten Sie darauf, die Zuweisung an Sicherheitsgruppen statt an Einzelbenutzer vorzunehmen.To assign large numbers of users to roles, be sure to assign security groups, rather than individual users.

Bekannte ProblemeKnown issues

Wenn Sie versuchen, etwas in Power BI Desktop zu veröffentlichen, das zuvor bereits veröffentlicht wurde, erhalten Sie eine Fehlermeldung. Dieses Problem ist bekannt.There is a known issue where you will receive an error message when trying to publish from Power BI Desktop if it was previously published. Das Szenario lautet wie folgt:The scenario is as follows.

  1. Anna verfügt über ein Dataset, das im Power BI-Dienst veröffentlicht wird und für RLS konfiguriert wurde.Anna has a dataset that is publised to the Power BI service and has configured RLS.
  2. Anna aktualisiert den Bericht in Power BI Desktop und veröffentlicht ihn erneut.Anna updates the report in Power BI Desktop and re-publishes.
  3. Anna erhält eine Fehlermeldung.Anna will receive an error.

Lösung: Veröffentlichen Sie die Power BI Desktop-Datei erneut im Power BI-Dienst, bis dieses Problem behoben ist.Workaround: Re-publish the Power BI Desktop file from the Power BI service until this issue is resolved. Sie erreichen dies, indem Daten abrufen > Dateien auswählen.You can do that by select Get Data > Files.

HÄUFIG GESTELLTE FRAGENFAQ

Frage: Was passiert, wenn ich im Power BI-Dienst bereits Rollen/Regeln für ein Dataset erstellt habe?Question: What if I had previously created roles/rules for a dataset in the Power BI service? Werden sie weiterhin funktionieren, wenn ich sie so belasse?Will they still work if I do nothing?
Antwort: Nein.Answer: No. Visualisierungen werden nicht ordnungsgemäß gerendert.Visuals will not render properly. Sie müssen die Rollen/Regeln in Power BI Desktop neu erstellen und anschließend im Power BI-Dienst veröffentlichen.You will have to re-create the roles/rules within Power BI Desktop and then published to the Power BI service.

Frage: Kann ich solche Rollen für Analysis Services-Datenquellen erstellen?Question: Can I creates these roles for Analysis Services data sources?
Antwort: Das ist möglich, wenn Sie die Daten in Power BI Desktop importiert haben.Answer: You can if you imported the data into Power BI Desktop. Wenn Sie eine Liveverbindung verwenden, werden Sie RLS nicht im Power BI-Dienst konfigurieren können.If you are using a live connection, you will not be able to configure RLS within the Power BI service. Dies wird im lokalen Analysis Services-Modell definiert.This is defined within the Analysis Services model on-premises.

Frage: Kann ich mit RLS die Spalten oder Measures beschränken, auf die Benutzer Zugriff haben?Question: Can I use RLS to limit the columns or measures accessible by my users?
Antwort: Nein.Answer: No. Wenn ein Benutzer Zugriff auf eine bestimmte Datenzeile hat, sind alle Datenspalten dieser Zeile für ihn sichtbar.If a user has access to a particular row of data, they can see all the columns of data for that row.

Frage: Lässt RLS in Visualisierungen das Ausblenden von Detaildaten zu, ermöglicht jedoch den Zugriff auf zusammengefasste Daten?Question: Does RLS allow me to hide detailed data but give access to data summarized in visuals?
Antwort: Nein. Sie sichern einzelne Datenzeilen, für die Benutzer werden jedoch immer entweder die Details oder die zusammengefassten Daten angezeigt.Answer: No, you secure individual rows of data but users can always see either the details or summarized data.

Nächste SchritteNext steps

Sicherheit auf Zeilenebene (row-level security; RLS) mit Power BIRow-level security (RLS) with the Power BI service

Weitere Fragen?More questions? Stellen Sie Ihre Frage in der Power BI-Community.Try asking the Power BI Community