Power BI-implementatieplanning: planning voor consumentenbeveiliging rapporteren

  • Artikel

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel over beveiligingsplanning worden strategieën voor alleen-lezengebruikers beschreven. De focus ligt op viewermachtigingen voor rapporten en apps en het afdwingen van gegevensbeveiliging. Het is voornamelijk gericht op:

  • Power BI-beheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Power BI in de organisatie.
  • Center of Excellence, IT en BI-team: de teams die ook verantwoordelijk zijn voor het toezicht op Power BI. Mogelijk moeten ze samenwerken met Power BI-beheerders, informatiebeveiligingsteams en andere relevante teams.
  • Makers en eigenaren van inhoud: selfservice BI-makers die inhoud moeten maken, publiceren, beveiligen en beheren die andere gebruikers gebruiken.

De reeks artikelen is bedoeld om de inhoud in het technische document over Power BI-beveiliging uit te breiden. Hoewel het technische document over Power BI-beveiliging zich richt op belangrijke technische onderwerpen, zoals verificatie, gegevenslocatie en netwerkisolatie, is het primaire doel van de reeks u overwegingen en beslissingen te bieden om u te helpen bij het plannen van beveiliging en privacy.

In een organisatie worden veel gebruikers geclassificeerd als consumenten. Consumenten bekijken inhoud die andere gebruikers hebben gemaakt en gepubliceerd. Consumenten zijn de focus van dit artikel. Zie het artikel Over beveiligingsplanning voor inhoudsmakers en -eigenaren voor beveiligingsplanning voor inhoudsmakers.

Om het meeste uit dit artikel te halen, is het handig om inzicht te krijgen in de betekenis van de termen delen en distributie in de context van Power BI.

Delen is de plaats waar de ene gebruiker een andere gebruiker (of groep gebruikers) toegang geeft tot een specifiek inhoudsitem. De mogelijkheid voor delen in de Power BI-service is beperkt tot één item. Het gebeurt meestal tussen individuen die elkaar kennen en nauw samenwerken.

Distributie is waar inhoud wordt geleverd aan andere gebruikers, die ook wel geadresseerden worden genoemd. Het omvat vaak een groter aantal gebruikers in meerdere teams. Ontvangers hebben mogelijk niet expliciet om de inhoud gevraagd, maar het wordt herkend dat ze deze nodig hebben om hun rol uit te voeren. Ontvangers die gedistribueerde inhoud gebruiken, kennen mogelijk of niet de oorspronkelijke maker van de inhoud. Als zodanig is distributie als concept formeler dan delen.

Wanneer u met anderen praat, moet u bepalen of ze de term delen op een algemene manier of letterlijk gebruiken. Het gebruik van de term delen kan op twee manieren worden geïnterpreteerd.

  • De term delen wordt vaak op een algemene manier gebruikt met betrekking tot het delen van inhoud met collega's. Er zijn verschillende technieken voor het leveren van alleen-lezen inhoud, die in dit artikel worden beschreven.
  • Delen is ook een specifieke functie in Power BI. Het is een mogelijkheid waarbij een gebruiker of groep toegang krijgt tot één item. Koppelingen voor delen en delen met directe toegang worden beschreven in dit artikel.

Belangrijk

De naam van de Power BI-beheerder is gewijzigd. De nieuwe naam van de rol is Fabric-beheerder.

Strategie voor alleen-lezengebruikers

In de Power BI-service kunnen gebruikers een rapport of dashboard bekijken wanneer ze gemachtigd zijn voor beide:

  • Bekijk het Power BI-item dat de visualisaties bevat (zoals een rapport of dashboard).
  • Lees de onderliggende gegevens (semantisch model, voorheen een gegevensset genoemd) of een andere bron.

U kunt alleen-lezentoegang bieden aan consumenten met behulp van verschillende technieken. De algemene technieken die worden gebruikt door selfservice-makers van inhoud zijn onder andere:

  • Gebruikers en groepen toegang verlenen tot een Power BI-app.
  • Gebruikers en groepen toevoegen aan de rol Viewer voor Power BI-werkruimten.
  • Gebruikers en groepen per item machtigingen verlenen met behulp van een koppeling voor delen.
  • Gebruikers en groepen per item machtigingen verlenen met behulp van directe toegang.

De rolopties van de Power BI-app en power BI-werkruimteviewer omvatten het beheren van machtigingen voor een set items. De twee technieken voor machtigingen per item omvatten het beheren van machtigingen voor één afzonderlijk item.

Tip

Over het algemeen is het een best practice om een Power BI-app te gebruiken voor de meeste consumenten. Af en toe kan de rol Viewer voor werkruimten ook geschikt zijn. Zowel Power BI-apps als de rol Werkruimteviewer staan het beheren van machtigingen voor veel items toe en moeten waar mogelijk worden gebruikt. Het beheren van machtigingen voor afzonderlijke items kan tijdrovend, tijdrovend en foutgevoelig zijn. Het beheren van een set items vermindert daarentegen het onderhoud en verbetert de nauwkeurigheid.

Wanneer u beveiligingsinstellingen voor een item bekijkt, ziet u mogelijk dat de bijbehorende machtigingen een van de volgende zijn:

  • Overgenomen van de werkruimte of een app.
  • Rechtstreeks op het item worden toegepast.

In de volgende schermopname worden de machtigingen voor directe toegang weergegeven voor een rapport. In dit geval worden de werkruimte-Beheer en lidrollen aan elke groep toegewezen. Deze rollen worden weergegeven voor het rapport omdat de toegang op rapportniveau wordt overgenomen van de werkruimte. Er is ook één gebruiker met leesmachtigingen die rechtstreeks op het rapport zijn toegepast.

Schermopname van de machtigingen voor directe toegang voor een rapport in de Power BI-service.

De strategie die u kiest voor alleen-lezengebruikers, kan verschillen. Deze moet zijn gebaseerd op de afzonderlijke oplossing, de voorkeuren van wie de oplossing beheert of de behoeften van de consument. In de rest van deze sectie wordt beschreven wanneer u rekening moet houden met het gebruik van elk van de beschikbare technieken.

Controlelijst : bij het maken van uw strategie voor het leveren van inhoud aan consumenten met het kenmerk Alleen-lezen, zijn belangrijke beslissingen en acties:

  • Evalueer uw bestaande strategie voor alleen-lezen consumenten: controleer hoe inhoud momenteel wordt gedistribueerd en gedeeld met consumenten. Bepaal of er mogelijkheden zijn voor verbetering.
  • Bepaal uw strategie voor alleen-lezengebruikers: Bedenk wat uw voorkeuren zijn voor het gebruik van app-machtigingen, werkruimterollen of machtigingen per item. Als er wijzigingen nodig zijn om aan deze voorkeuren te voldoen, maakt u een plan voor het aanbrengen van verbeteringen.

Power BI-app-machtigingen

Een Power BI-app levert een verzameling rapporten, dashboards en werkmappen aan consumenten. Een app biedt de beste gebruikerservaring voor consumenten, omdat:

  • Het navigatiedeelvenster van de app biedt een eenvoudige en intuïtieve gebruikerservaring. Het is een mooier ervaring dan het rechtstreeks openen van inhoud in een werkruimte.
  • Inhoud kan logisch worden ingedeeld in secties (zoals mappen) in het navigatiedeelvenster van de app.
  • Consumenten hebben alleen toegang tot specifieke items die expliciet zijn opgenomen in de app voor hun publiek.
  • Koppelingen naar aanvullende informatie, documentatie of andere inhoud kunnen worden toegevoegd aan het navigatiedeelvenster voor hun publiek.
  • Er is een ingebouwde werkstroom voor toegang aanvragen .

Notitie

Alle verwijzingen naar een app in dit artikel verwijzen naar een Power BI-app. Het is een ander concept dan Power Apps. Het is ook een ander concept dan de mobiele Power BI-toepassingen. In deze sectie ligt de focus op organisatie-apps in plaats van sjabloon-apps.

U kunt één app voor elke werkruimte maken als een formele manier om bepaalde of alle werkruimte-inhoud te distribueren. Apps zijn een goede manier om inhoud breed binnen een organisatie te distribueren, met name voor gebruikers die u niet kent of niet nauw samenwerkt.

Tip

Zie het enterprise BI-gebruiksscenario voor meer informatie over het gebruik van een Power BI-app voor uitgebreide inhoudsdistributie. Het is raadzaam dat makers van inhoud die inhoud moeten distribueren, overwegen om een app als eerste keuze te maken.

U beheert app-machtigingen afzonderlijk van werkruimterollen. De scheiding van machtigingen heeft twee voordelen. Het moedigt het volgende aan:

  • Werkruimtetoegang verlenen aan makers van inhoud. Het omvat gebruikers die actief samenwerken aan de inhoud, zoals semantische modelmakers, rapportmakers en testers.
  • App-machtigingen verlenen aan consumenten. In tegenstelling tot werkruimtemachtigingen zijn app-machtigingen altijd alleen-lezen (of geen).

Alle gebruikers met werkruimtetoegang kunnen de app automatisch bekijken (wanneer een Power BI-app is gepubliceerd voor de werkruimte). Vanwege dit gedrag kunt u conceptueel denken aan werkruimterollen als overgenomen door elke app-doelgroep. Sommige gebruikers met werkruimtetoegang kunnen de Power BI-app ook bijwerken, afhankelijk van hun toegewezen werkruimterol.

Tip

Zie het artikel Over beveiligingsplanning voor inhoudsmaker voor meer informatie over toegang tot werkruimten.

Het gebruik van een app om inhoud te distribueren naar alleen-lezen consumenten is de beste keuze wanneer:

  • U wilt dat gebruikers alleen specifieke items kunnen bekijken die zichtbaar zijn voor die doelgroep (in plaats van alle items in de onderliggende werkruimte).
  • U wilt machtigingen voor alleen-lezen voor de app afzonderlijk van de werkruimte beheren.
  • U wilt eenvoudiger machtigingenbeheer voor alleen-lezengebruikers dan machtigingen per item.
  • U wilt ervoor zorgen dat beveiliging op rijniveau wordt afgedwongen voor consumenten (wanneer ze alleen-lezenmachtigingen hebben voor het onderliggende semantische model).
  • U wilt ervoor zorgen dat consumenten geen nieuwe en gewijzigde rapporten kunnen weergeven totdat de app opnieuw is gepubliceerd.

Hoewel het waar is dat wijzigingen in rapporten en dashboards pas zichtbaar zijn voor gebruikers van de app nadat de app opnieuw is gepubliceerd, zijn er twee overwegingen die voorzichtigheid vereisen.

  • Onmiddellijke wijzigingen in het semantische model: wijzigingen in Semantische modellen worden altijd onmiddellijk van kracht. Als u bijvoorbeeld wijzigingen die fouten veroorzaken in een semantisch model in de werkruimte introduceert, kan dit per ongeluk leiden tot instabiele rapporten (ook al zijn ze niet opnieuw gepubliceerd in de app). Er zijn twee manieren om dit risico te beperken: voer eerst alle ontwikkelwerkzaamheden uit in Power BI Desktop (los van de werkruimte). Ten tweede moet u de productie-app isoleren met behulp van afzonderlijke werkruimten voor ontwikkeling en testen. (Optioneel kunt u een hoger niveau van controle bereiken over het implementeren van werkruimte-inhoud van ontwikkeling tot testen en productie met behulp van implementatiepijplijnen.)
  • Inhoud en machtigingen worden samen gepubliceerd: wanneer u een app publiceert, worden de bijbehorende machtigingen op hetzelfde moment als de inhoud gepubliceerd. U kunt bijvoorbeeld rapportwijzigingen hebben in een werkruimte die nog niet zijn voltooid, volledig getest of goedgekeurd. U kunt de app dus niet opnieuw publiceren om machtigingen bij te werken. Als u dit risico wilt beperken, wijst u app-machtigingen toe aan beveiligingsgroepen en gebruikt u lidmaatschappen van beveiligingsgroepen (in plaats van afzonderlijke gebruikers) bij het verlenen van app-machtigingen. Voorkom dat een app opnieuw wordt gepubliceerd om machtigingswijzigingen toe te passen.

App-doelgroep

Elke werkruimte in de Power BI-service kan slechts één Power BI-app hebben. In de app kunt u echter een of meer doelgroepen maken. Bekijk het volgende scenario.

  • U hebt vijf verkooprapporten die zijn gedistribueerd naar veel gebruikers in uw wereldwijde verkooporganisatie.
  • Eén doelgroep wordt gedefinieerd in de app voor de verkoopmedewerkers. Deze doelgroep kan drie van de vijf rapporten bekijken.
  • Er wordt een andere doelgroep gedefinieerd in de app voor het verkoopleidersteam. Deze doelgroep kan alle vijf de rapporten bekijken, inclusief de twee rapporten die niet beschikbaar zijn voor verkoopmedewerkers.

Deze mogelijkheid om inhoud en doelgroepen te combineren en te vergelijken heeft de volgende voordelen.

  • Bepaalde rapporten kunnen beschikbaar zijn voor weergave door meerdere doelgroepen. Als u meerdere doelgroepen maakt, hoeft u dus geen inhoud in verschillende werkruimten te dupliceren.
  • Bepaalde rapporten mogen slechts voor één doelgroep beschikbaar zijn. Inhoud voor die ene doelgroep kan zich dus in dezelfde werkruimte bevinden als andere gerelateerde inhoud.

In de volgende schermopname ziet u een app met twee doelgroepen: Sales Leadership en Sales Reps. Het deelvenster Doelgroeptoegang beheren biedt toegang tot de doelgroep Verkoopleiderschap voor twee beveiligingsgroepen: Sales Leadership-Noord-Amerika en Sales Leadership-Europe. Het rapport Brutomargeanalyse dat wordt weergegeven in de schermopname van de doelgroep Verkoopleiderschap is niet beschikbaar voor de doelgroepgroep Verkoopvertegenwoordigers .

Schermopname van het instellen van de app-doelgroep in de Power BI-service.

Notitie

De term doelgroepgroep wordt soms gebruikt. Het is geen directe verwijzing naar het gebruik van beveiligingsgroepen. Het bevat leden van de doelgroep die de verzameling inhoud in een Power BI-app zal zien. Hoewel u afzonderlijke gebruikers aan een doelgroep kunt toewijzen, is het een best practice om beveiligingsgroepen, Microsoft 365-groepen of distributiegroepen toe te wijzen wanneer dat praktisch is. Zie de strategie voor het gebruik van groepen in het artikel over beveiligingsplanning op tenantniveau voor meer informatie.

Wanneer u machtigingen voor een app beheert, kunt u op de pagina Direct Access de leden van elke doelgroep bekijken. U kunt gebruikers ook zien met een werkruimterol die wordt vermeld onder alle doelgroepen. U kunt de app-machtigingen niet bijwerken vanaf de pagina Direct Access . In plaats daarvan moet u de app opnieuw publiceren. U kunt echter app-machtigingen bijwerken vanaf de pagina In behandeling wanneer er openstaande toegangsaanvragen voor de app zijn.

Tip

De primaire use case voor het gebruik van app-doelgroepen is het definiëren van specifieke machtigingen voor verschillende sets gebruikers. U kunt echter een beetje creatief worden bij het gebruik van doelgroepen. Een gebruiker kan lid zijn van meerdere doelgroepen en elke doelgroep wordt weergegeven voor kijkers van de app als een secundaire set menu's. U kunt bijvoorbeeld een doelgroep maken met de naam Start Hier met informatie over het gebruik van de app, wie contact moet opnemen, hoe u feedback kunt geven en hoe u hulp kunt krijgen. U kunt ook een doelgroep maken met de naam KPI-definities die een gegevenswoordenlijst bevatten. Het verstrekken van dit type informatie helpt nieuwe gebruikers en verbetert de acceptatie van oplossingen.

Opties voor app-machtigingen

Wanneer u een app maakt (of opnieuw publiceert), heeft elke doelgroep een deelvenster Doelgroeptoegang beheren. In dat deelvenster zijn de volgende machtigingen beschikbaar.

  • Toegang verlenen tot: Voor elke doelgroep kunt u toegang verlenen aan afzonderlijke gebruikers en groepen. Het is mogelijk om de app te publiceren naar de hele organisatie wanneer deze is ingeschakeld door de tenantinstelling Publiceren naar de hele organisatietenant en de app niet automatisch wordt geïnstalleerd. Waar mogelijk raden we u aan groepen toe te wijzen aan doelgroepen, omdat het toevoegen of verwijderen van gebruikers inhoudt dat de app opnieuw wordt gepubliceerd. Iedereen met toegang tot de werkruimte heeft automatisch toestemming om de app te bekijken of bij te werken, afhankelijk van hun werkruimterol.
  • Semantische modelmachtigingen: er kunnen twee typen semantische modelmachtigingen worden verleend tijdens het publiceren van een app:
    • Semantisch model opnieuw delen: wanneer deze optie is ingeschakeld, krijgen app-gebruikers de machtiging Opnieuw delen voor de onderliggende semantische modellen met anderen. Het is zinvol om deze optie in te schakelen wanneer de onderliggende semantische modellen gemakkelijk opnieuw kunnen worden gedeeld met iedereen. We raden u aan goedkeuring te krijgen van de semantische modeleigenaar(s) voordat u de machtiging Opnieuw delen verleent aan een app-doelgroep.
    • Semantisch model bouwen: wanneer deze functie is ingeschakeld, krijgen app-gebruikers de machtiging Build voor de semantische modellen. Met samenstellingsmachtigingen kunnen gebruikers nieuwe rapporten maken, onderliggende gegevens exporteren uit rapporten en meer. U wordt aangeraden goedkeuring te krijgen van de semantische modeleigenaar(s) voordat u buildmachtigingen verleent aan een app-doelgroep.

De mogelijkheid om het semantische model opnieuw te delen of samenstellingsmachtigingen toe te voegen tijdens het publiceren van een app is handig. We raden u echter aan om app-machtigingen en semantische modelmachtigingen afzonderlijk te beheren. Hier volgen de redenen waarom.

  • Het gedeelde semantische model bevindt zich mogelijk in een afzonderlijke werkruimte: als het semantische model wordt gepubliceerd naar een afzonderlijke werkruimte van de app, moet u de bijbehorende machtigingen rechtstreeks beheren. De mogelijkheid om lees-, build- of hersharemachtigingen toe te voegen terwijl een app wordt gepubliceerd, werkt alleen voor semantische modellen die zich in dezelfde werkruimte bevinden als de app. Daarom raden we u aan om onafhankelijk van elkaar semantische modelmachtigingen te beheren.
  • Semantische modelmachtigingen worden afzonderlijk beheerd: als u machtigingen voor een app verwijdert of wijzigt, is deze actie alleen van invloed op de app. Er worden niet automatisch semantische modelmachtigingen verwijderd die eerder zijn toegewezen. Op deze manier kunt u de app-machtigingen en semantische modelmachtigingen beschouwen als ontkoppeld. U moet het semantische model rechtstreeks, los van de app, beheren wanneer semantische modelmachtigingen worden gewijzigd of verwijderd.
  • Semantische modelmachtigingen moeten worden beheerd: het verlenen van semantische modelmachtigingen via een app verwijdert het besturingselement van de semantische modeleigenaar. Het verlenen van de machtiging Opnieuw delen is afhankelijk van het goede oordeel van gebruikers die ervoor kiezen om het semantische model(en) opnieuw te delen. Uw interne governance- of beveiligingsrichtlijnen kunnen moeilijker worden beheerd wanneer het opnieuw delen is toegestaan.
  • Consumenten en makers hebben verschillende doelen: Meestal zijn er veel meer inhoudsgebruikers dan makers in een organisatie. In overeenstemming met het principe van minimale bevoegdheden hebben consumenten alleen leesmachtigingen nodig voor het onderliggende semantische model. Ze hebben geen samenstellingsmachtigingen nodig, tenzij ze nieuwe rapporten willen maken.

Tip

Zie het planningsartikel op werkruimten op werkruimteniveau voor meer informatie over het gebruik van afzonderlijke gegevenswerkruimten en rapportagewerkruimten.

Pre-installatierechten voor apps

Nadat u een Power BI-app hebt gepubliceerd, moet een gebruiker deze doorgaans installeren , zodat deze kan worden geopend. Een gebruiker kan een app installeren vanaf de pagina Apps in de Power BI-service of door een koppeling te gebruiken die hij of zij van een andere gebruiker heeft ontvangen. Ze kunnen een app vinden (en installeren) wanneer ze zijn opgenomen in ten minste één doelgroep van de app.

Een alternatieve methode voor het installeren van een app is het pushen naar app-consumenten. Dit resulteert in de pre-installatie van de app, zodat deze automatisch wordt weergegeven op de pagina Apps in de Power BI-service. Deze benadering is handig voor consumenten omdat ze de app niet hoeven te vinden en te installeren. Vooraf geïnstalleerde apps kunnen echter een ergernis worden voor gebruikers, omdat ze mogelijk worden overweldigd door te veel apps die niet relevant voor hen zijn.

De tenantinstelling Push-apps naar eindgebruikers bepaalt wie apps automatisch mag installeren. We raden u aan deze functie te gebruiken, omdat dit handig is voor gebruikers. We raden u echter ook aan om uw makers van inhoud te informeren wanneer ze deze moeten gebruiken, zodat deze niet te veel worden gebruikt.

Tip

Als u bij het publiceren van een app de optie selecteert om de app automatisch te installeren, kunt u de doelgroep niet instellen op de hele organisatie (indien ingeschakeld door de tenantinstelling Push-apps voor eindgebruikers ).

Controlelijst : bij het maken van uw strategie voor het gebruik van apps voor inhoudsviewers zijn belangrijke beslissingen en acties:

  • Bepaal de strategie voor het gebruik van apps: Definieer uw voorkeuren voor het gebruik van apps. Zorg ervoor dat deze overeenkomt met uw algemene strategie voor alleen-lezengebruikers.
  • Bepalen wie apps naar de hele organisatie kan publiceren: bepaal welke makers van rapporten naar de hele organisatie kunnen publiceren. Stel de instelling Apps publiceren in op de hele tenantinstelling van de organisatie , zodat deze overeenkomt met deze beslissing.
  • Bepalen wie apps naar eindgebruikers kan pushen: bepaal welke Power BI-rapportmakers apps vooraf kunnen installeren. Stel de tenantinstelling Push-apps in op tenantinstellingen van eindgebruikers om te voldoen aan deze beslissing.
  • Richtlijnen voor makers van inhoud maken en publiceren: documentatie en training bieden voor makers van inhoud. Neem vereisten en voorkeuren op voor het gebruik van apps die het effectiefst zijn.
  • Bepaal hoe toegangsaanvragen voor apps moeten worden verwerkt: zorg ervoor dat een proces wordt uitgevoerd om contactpersonen toe te wijzen en aanvragen voor app-toegang tijdig af te handelen.

Rol Werkruimteviewer

Zoals beschreven in de artikelen over werkruimteplanning, is het primaire doel van een werkruimte samenwerking. Werkruimtemedewerkers, zoals semantische modelmakers, rapportmakers en testers, moeten worden toegewezen aan een van de drie rollen: Inzender, Lid of Beheer. Deze rollen worden beschreven in het artikel over de beveiligingsplanning van inhoudsmaker.

U kunt de rol Viewer voor werkruimten toewijzen aan consumenten. Gebruikers rechtstreeks toegang geven tot inhoud in een werkruimte, kunnen zinvol zijn voor kleine teams en informele teams die nauw samenwerken.

Gebruikers rechtstreeks toegang geven tot werkruimte-inhoud is een goede keuze wanneer:

  • De formaliteit van een app, met de bijbehorende afzonderlijke machtigingen, is niet nodig.
  • Kijkers mogen alle items weergeven die zijn opgeslagen in de werkruimte.
  • U wilt eenvoudiger machtigingenbeheer dan machtigingen per item.
  • Werkruimtegebruikers kunnen ook een app bekijken (wanneer een app wordt gepubliceerd voor de werkruimte).
  • Het is de bedoeling dat kijkers inhoud beoordelen voordat ze in een app worden gepubliceerd.

Hier volgen enkele suggesties voor het ondersteunen van werkruimteviewers.

  • Organiseer inhoud in elke werkruimte zodat de items zich eenvoudig kunnen bevinden door rapportgebruikers en zodat ze goed aansluiten op beveiliging. De organisatie van werkruimten op onderwerpgebied of project werkt meestal goed.
  • Scheid de ontwikkelings- en testinhoud van productie-inhoud, zodat werk-in-progress items niet toegankelijk zijn voor kijkers.
  • Gebruik apps (of machtigingen per item indien van toepassing) wanneer u verwacht dat er veel toegangsaanvragen moeten worden verwerkt. Er is geen werkstroom voor toegang aanvragen voor werkruimten.

Controlelijst : bij het maken van uw strategie voor het gebruik van werkruimten voor inhoudsviewers zijn belangrijke beslissingen en acties:

  • Bepaal een strategie voor het gebruik van de rol Werkruimteviewer: Definieer wat uw voorkeuren zijn voor het gebruik van werkruimten voor consumenten. Zorg ervoor dat deze overeenkomt met uw algemene strategie voor alleen-lezengebruikers.
  • Richtlijnen voor makers van inhoud maken en publiceren: documentatie en training bieden voor makers van inhoud. Neem vereisten en voorkeuren op voor het gebruik van werkruimtemachtigingen.

Machtigingen per item

Het delen van afzonderlijke items verleent machtigingen aan één item. Minder ervaren makers van inhoud gebruiken deze techniek meestal als de primaire methode voor delen, omdat de opdrachten voor delen prominent worden weergegeven in de Power BI-service. Daarom is het belangrijk om uw makers van inhoud te informeren over de verschillende opties voor delen, waaronder wanneer u app-machtigingen moet gebruiken in plaats van werkruimterollen.

Machtigingen per item zijn een goede keuze wanneer:

  • U wilt alleen-lezentoegang bieden tot één item (rapport of dashboard).
  • U wilt niet dat de consument alle inhoud bekijkt die is gepubliceerd naar een werkruimte.
  • U wilt niet dat de consument alle inhoud bekijkt die is gepubliceerd naar een app-doelgroep.

Gebruik machtigingen per item spaarzaam omdat delen leesmachtigingen verleent aan één item. Op een manier kunt u machtigingen per item beschouwen als een onderdrukking van werkruimterollen of app-machtigingen.

Tip

U wordt aangeraden waar mogelijk app-machtigingen te gebruiken. Overweeg vervolgens werkruimterollen te gebruiken om directe toegang tot werkruimten in te schakelen. Gebruik ten slotte machtigingen per item wanneer ze voldoen aan de bovenstaande criteria. App-machtigingen en werkruimterollen geven allebei beveiliging op voor een verzameling inhoud (in plaats van afzonderlijke items), wat een betere beveiligingspraktijk is.

Het delen van veel items met machtigingen per item kan tijdrovend en foutgevoelig zijn, met name wanneer u deelt met afzonderlijke gebruikers in plaats van groepen. Houd rekening met dit scenario: u hebt 40 rapporten die u met collega's hebt gedeeld met behulp van hun afzonderlijke gebruikersaccounts. Wanneer een collega overdraagt naar een andere afdeling, moet u de toegang intrekken. Dit omvat bewerkingsmachtigingen voor alle 40 rapporten.

Belangrijk

Het delen van inhoud vanuit een persoonlijke werkruimte moet niet vaak worden uitgevoerd. Persoonlijke werkruimten zijn het meest geschikt voor niet-kritieke, informele of tijdelijke inhoud. Als u een situatie hebt waarin makers van inhoud vaak belangrijke of kritieke inhoud delen vanuit hun persoonlijke werkruimten, moet u de juiste actie ondernemen om die inhoud naar een standaardwerkruimte te verplaatsen. Zie het persoonlijke BI-gebruiksscenario voor meer informatie.

Wanneer u een afzonderlijk item deelt, hebt u verschillende machtigingsopties.

  • Machtiging voor opnieuw delen: wanneer deze optie is ingeschakeld, kunnen gebruikers het item delen met andere gebruikers, inclusief de onderliggende semantische modellen. Het is logisch om deze machtiging te verlenen wanneer het item gemakkelijk kan worden gedeeld met iedereen. Hiermee verwijdert u het besturingselement van de persoon of het team dat het item beheert. Het is dus afhankelijk van het goede oordeel van gebruikers die de machtiging Opnieuw delen krijgen. Uw interne governance- of beveiligingsrichtlijnen kunnen echter moeilijker worden beheerd wanneer het opnieuw delen is toegestaan.
  • Samenstellingsmachtiging: wanneer deze optie is ingeschakeld, krijgen gebruikers de machtiging Build voor het onderliggende semantische model. Met samenstellingsmachtigingen kunnen gebruikers nieuwe inhoud maken die is gebaseerd op het semantische model. Hiermee kunnen ze ook onderliggende gegevens exporteren uit rapporten en meer. Overwegingen voor het verlenen van samenstellingsmachtigingen worden beschreven in het artikel over de beveiligingsplanning van inhoudsmaker.

Machtigingen per item voor rapporten en dashboards kunnen zinvol zijn voor informele scenario's wanneer inhoud wordt gedeeld met een paar gebruikers. Het is een goed idee om gebruikers te informeren over het beheren van machtigingen met apps en werkruimten, vooral wanneer ze inhoud delen met grote aantallen gebruikers of gebruikers buiten hun team. Het is belangrijk om de volgende punten te benadrukken.

  • Het wordt moeilijker om te bepalen welke inhoud met welke gebruikers is gedeeld, omdat de machtigingen voor elk rapport en dashboard afzonderlijk moeten worden gecontroleerd.
  • In veel gevallen is de machtiging Opnieuw delen ingesteld omdat de gebruikerservaring deze optie standaard inschakelt. Er bestaat dus een risico dat inhoud wordt gedeeld met een bredere set gebruikers dan bedoeld. Dit resultaat kan worden voorkomen door het uitschakelen van de optie Ontvangers toestaan om dit rapport te delen wanneer ze delen. Het minimaliseren van oversharing op deze manier is een probleem met gebruikerstraining. De maker van de inhoud die de machtigingen voor delen instelt, moet deze keuze elke keer overwegen.
  • Alle wijzigingen in rapporten en dashboards kunnen onmiddellijk door anderen worden weergegeven, wat gebruikers kan verwarren wanneer wijzigingen in inhoud bezig zijn. Dit probleem kan worden beperkt door inhoud in een app te distribueren of door afzonderlijke werkruimten te gebruiken om ontwikkelings-, test- en productie-inhoud te scheiden. Zie het scenario voor het publiceren van selfservice-inhoud voor meer informatie.
  • Wanneer een gebruiker inhoud deelt vanuit zijn persoonlijke werkruimte en de organisatie verlaat, schakelt IT meestal zijn of haar gebruikersaccount uit. In dit geval verliezen alle geadresseerden van de gedeelde inhoud onmiddellijk de toegang tot de inhoud.

Er zijn drie specifieke typen delen: koppelingen delen, directe toegang delen en gedeelde weergaven.

Wanneer u een afzonderlijk item deelt, resulteert de standaardervaring in een koppeling voor delen. Er zijn drie typen koppelingen voor delen.

  • Mensen in uw organisatie: Wanneer dit type koppeling voor delen is ingeschakeld in uw Power BI-tenantinstellingen, is dit type koppeling voor delen een eenvoudige manier om alleen-lezentoegang te bieden aan iedereen binnen de organisatie. De koppeling voor delen werkt echter niet voor externe gebruikers. Deze optie is het meest geschikt voor wanneer iedereen de inhoud kan bekijken en de koppeling vrij kan worden gedeeld in de hele organisatie. Tenzij deze optie is uitgeschakeld door de koppelingen delen toestaan om toegang te verlenen aan iedereen in de tenantinstelling van uw organisatie , is dit type delen de standaardinstelling.
  • Mensen met bestaande toegang: Met deze optie maakt u geen nieuwe koppeling voor delen. In plaats daarvan kunt u de URL ophalen, zodat u deze kunt verzenden naar iemand die al toegang heeft.
  • Specifieke personen: deze optie produceert een koppeling voor delen voor specifieke gebruikers of groepen. U wordt aangeraden deze optie meestal te gebruiken omdat deze specifieke toegang biedt. Als u vaak met externe gebruikers werkt, kunt u dit type koppeling gebruiken voor gastgebruikers die al bestaan in Microsoft Entra-id (voorheen Bekend als Azure Active Directory). Zie het artikel over beveiligingsplanning op tenantniveau voor meer informatie over het geplande uitnodigingsproces voor het maken van gastgebruikers.

Belangrijk

U wordt aangeraden de koppelingen voor delen toestaan te beperken om toegang te verlenen aan iedereen in uw organisatietenant-instelling voor leden van een groep. U kunt een groepsnaam maken, zoals Power BI Share voor de hele organisatie, en vervolgens een klein aantal gebruikers toevoegen die inzicht hebben in de gevolgen van het delen in de hele organisatie. Als u zich zorgen maakt over bestaande koppelingen voor de hele organisatie, kunt u de beheer-API gebruiken om alle items te vinden die met de hele organisatie zijn gedeeld.

Een koppeling voor delen voegt leesmachtigingen toe aan het item. De machtiging Opnieuw delen is standaard geselecteerd. Het is ook mogelijk om de samenstellingsmachtiging toe te voegen aan het onderliggende semantische model op hetzelfde moment dat de koppeling voor delen wordt gemaakt.

Tip

Het is raadzaam om inhoudsmakers te leren de optie Samenstellingsmachtiging alleen in te schakelen wanneer de gebruiker van het rapport ook een maker van inhoud is die rapporten moet maken, gegevens moet exporteren of een samengesteld model moet maken op basis van het onderliggende semantische model.

Het delen van koppelingen is eenvoudiger dan het delen van directe toegang, met name wanneer u bulksgewijs wijzigingen moet aanbrengen. Het is een belangrijk voordeel wanneer individuele gebruikers machtigingen voor delen krijgen, meer dan groepen (wat vaak gebeurt wanneer selfservicegebruikers verantwoordelijk zijn voor het beheren van machtigingen). Bekijk de volgende vergelijkingen.

  • Koppeling voor delen: 20 afzonderlijke gebruikers krijgen toegang met een koppeling voor delen. Met één wijziging in de koppeling is dit van invloed op alle 20 gebruikers.
  • Directe toegang: 20 personen krijgen directe toegang tot een item. Als u een wijziging wilt aanbrengen, moeten alle 20 gebruikersmachtigingen worden gewijzigd.

Machtigingen voor directe toegang per item

U kunt ook machtigingen per item bereiken met behulp van directe toegang. Directe toegang omvat het instellen van de machtigingen voor één item. U kunt ook alle overgenomen machtigingen bepalen die zijn afgeleid van werkruimterollen.

Wanneer u een gebruiker directe toegang verleent, krijgen ze leesmachtigingen voor het item. De machtiging Opnieuw delen is standaard geselecteerd, net als de samenstellingsmachtiging voor het onderliggende semantische model. Het is raadzaam om makers van inhoud alleen toestemming te geven om samenstellingsmachtigingen in te schakelen wanneer de consument van dit rapport ook een maker van inhoud is die mogelijk rapporten moet maken, gegevens moet exporteren of samengestelde modellen moet maken op basis van het onderliggende semantische model.

Tip

De gebruikerservaring maakt het verlenen van machtigingen voor opnieuw delen en bouwen zeer eenvoudig, maar de gebruiker die het delen uitvoert, moet altijd controleren of deze machtigingen nodig zijn.

Gedeelde weergaven

Gebruik een gedeelde weergave om een gefilterd perspectief van een rapport te delen met een andere gebruiker. U kunt een gedeelde weergave publiceren met behulp van een koppeling voor delen of via directe toegang.

Gedeelde weergaven zijn een tijdelijk concept. Ze verlopen automatisch na 180 dagen. Daarom zijn gedeelde weergaven het meest geschikt voor informele en tijdelijke scenario's voor delen. Zorg ervoor dat uw gebruikers op de hoogte zijn van deze beperking.

Controlelijst : bij het maken van uw strategie voor het gebruik van machtigingen per item zijn belangrijke beslissingen en acties:

  • Bepaal de strategie voor het gebruik van de functie voor delen: definieer wat uw voorkeuren zijn voor het gebruik van machtigingen per item. Zorg ervoor dat deze overeenkomt met uw algemene strategie voor alleen-lezengebruikers.
  • Bepalen wie koppelingen naar de hele organisatie kan publiceren: bepaal welke makers van rapporten koppelingen voor de hele organisatie kunnen publiceren. Stel de koppelingen Voor delen toestaan in om toegang te verlenen aan iedereen in de tenantinstelling van uw organisatie , zodat deze wordt afgestemd op deze beslissing.
  • Richtlijnen voor makers van inhoud maken en publiceren: geef documentatie en training voor makers van inhoud die vereisten en voorkeuren bevatten voor het gebruik van machtigingen per item. Zorg ervoor dat ze duidelijk zijn over de voor- en nadelen van machtigingen per item. Neem richtlijnen op voor het gebruik van koppelingen voor delen en wanneer u direct toegang delen wilt gebruiken.

Andere querytechnieken voor consumenten

De meest voorkomende manieren waarop consumenten met Power BI kunnen communiceren, zijn met apps, werkruimten en machtigingen per item (eerder beschreven in dit artikel).

Er zijn andere technieken die consumenten kunnen gebruiken om query's uit te voeren op Power BI-gegevens. Voor elk van de volgende querytechnieken is een semantisch model of datamart-samenstellingsmachtiging vereist.

  • Analyseren in Excel: consumenten die liever Excel gebruiken, kunnen een query uitvoeren op een semantisch Power BI-model met behulp van Analyseren in Excel. Deze mogelijkheid is een uitstekend alternatief voor het exporteren van gegevens naar Excel omdat de gegevens niet worden gedupliceerd. Met een liveverbinding met het semantische model kunnen gebruikers draaitabellen, grafieken en slicers maken. Vervolgens kunnen ze de werkmap publiceren naar een werkruimte in de Power BI-service, zodat gebruikers deze kunnen openen en ermee kunnen werken.
  • XMLA-eindpunt: consumenten kunnen een semantisch model opvragen door verbinding te maken met het XMLA-eindpunt. Een toepassing die compatibel is met XMLA, kan verbinding maken met, query's uitvoeren en een semantisch model gebruiken dat is opgeslagen in een Premium-werkruimte. Deze mogelijkheid is handig als consumenten een semantisch Power BI-model willen gebruiken als hun gegevensbron voor een hulpprogramma voor gegevensvisualisatie buiten het Microsoft-ecosysteem.
  • Datamart-editor: consumenten kunnen een query uitvoeren op een Power BI-datamart met behulp van de datamart-editor. Het is een webgebaseerde visuele queryeditor voor het maken van query's zonder code. Er is ook een webgebaseerde SQL-editor voor wanneer gebruikers liever SQL-query's schrijven. Beide editors voeren een query uit op de beheerde Azure SQL Database die ten grondslag valt aan de Power BI-datamart (in plaats van het ingebouwde semantische model).
  • SQL-eindpunt: consumenten kunnen een query uitvoeren op een Power BI-datamart met behulp van het SQL-eindpunt. Ze kunnen hulpprogramma's zoals Azure Data Studio of SQL Server Management Studio (SSMS) gebruiken om SQL-query's uit te voeren. Het SQL-eindpunt stuurt query's naar de beheerde Azure SQL Database die ten grondslag valt aan de Power BI-datamart (in plaats van het ingebouwde semantische model).

Zie het artikel over de beveiligingsplanning voor inhoudsmaker voor meer informatie over de samenstellingsmachtiging .

Controlelijst : bij het plannen van de querytechnieken die consumenten gebruiken, zijn belangrijke beslissingen en acties:

  • Richtlijnen maken voor gebruikers over het gebruik van Analyseren in Excel: geef documentatie en training voor consumenten op de beste manier om bestaande semantische modellen opnieuw te gebruiken met Excel.
  • Richtlijnen maken voor gebruikers over het gebruik van het XMLA-eindpunt: geef documentatie en training voor consumenten op de beste manier om bestaande semantische modellen opnieuw te gebruiken met het XMLA-eindpunt.
  • Richtlijnen maken voor gebruikers over datamart-query's: geef documentatie en training voor consumenten over de beschikbare technieken voor het uitvoeren van query's op Power BI-datamarts.

Toegangswerkstroom aanvragen voor consumenten

Bij het delen van inhoud is het gebruikelijk dat een gebruiker een koppeling (URL) doorstuurt naar een andere gebruiker. Wanneer de geadresseerde de inhoud probeert weer te geven en ontdekt dat deze geen toegang heeft, kan hij of zij de knop Toegang aanvragen selecteren. Met deze actie wordt de werkstroom Toegang aanvragen gestart. De gebruiker wordt vervolgens gevraagd een bericht op te geven om uit te leggen waarom ze toegang willen.

Er bestaat een werkstroom voor toegang aanvragen voor:

  • Toegang tot een Power BI-app.
  • Toegang tot een item, zoals een rapport of dashboard.
  • Toegang tot een semantisch model. Zie het artikel over de beveiligingsplanning voor inhoudsmaker voor meer informatie over de werkstroom Toegang aanvragen wanneer een semantisch model kan worden gedetecteerd.

Toegangsaanvragen voor apps

Er zijn twee manieren om meer te weten te komen over openstaande toegangsaanvragen die zijn verzonden voor een app.

  • E-mail: De contactpersoon(s) voor de app ontvangt een e-mailmelding. Deze contactpersoon is standaard de uitgever van de app. Als u betere ondersteuning wilt bieden voor kritieke apps, raden we u aan de contactpersoon in te stellen op een groep die snel kan reageren op toegangsaanvragen.
  • Menu Machtigingen beheren: werkruimtebeheerders en leden kunnen toegangsaanvragen bekijken, goedkeuren of weigeren. De pagina Machtigingen beheren is beschikbaar op de pagina Apps en kan voor elke app worden geopend. Deze mogelijkheid is ook beschikbaar voor inzenders van werkruimten wanneer de inzenders toestaan om de app voor deze werkruimte-instelling bij te werken is ingeschakeld.

In afwachting van toegangsaanvragen voor een app wordt het bericht weergegeven dat de gebruiker heeft opgegeven. Elke aanvraag in behandeling kan worden goedgekeurd of geweigerd. Wanneer u ervoor kiest om een aanvraag goed te keuren, moet een app-doelgroep worden geselecteerd.

In de volgende schermopname ziet u een in behandeling zijnde toegangsaanvraag van een gebruiker. Als u dit wilt goedkeuren, moet een van de twee app-doelgroepen, vertegenwoordigers of Sales Leadership worden geselecteerd.

Schermopname van de aanvragen die in behandeling zijn voor een Power BI-app in de Power BI-service.

Wanneer u een app publiceert, worden de inhoud en de machtigingen tegelijkertijd gepubliceerd. Zoals eerder beschreven, is het niet mogelijk om alleen de app-machtigingen te publiceren zonder inhoudswijzigingen. Er is echter één uitzondering: wanneer u een aanvraag voor in behandeling zijnde toegang goedkeurt (zoals de aanvraag die in de vorige schermafbeelding wordt weergegeven), treedt de machtigingswijziging op zonder de meest recente inhoud in de werkruimte te publiceren.

Toegangsaanvragen voor werkruimten

Werkruimtetoegang wordt verleend door gebruikers die deel uitmaken van de Beheer rol of lidrol.

Een gebruiker die een werkruimte probeert weer te geven, ontvangt een bericht dat de toegang is geweigerd wanneer deze geen lid is van een werkruimterol. Omdat er geen ingebouwde werkstroom voor aanvraagtoegang is voor werkruimten, worden ze het beste gebruikt voor kleine teams en informele teams die nauw samenwerken. Dat is een van de redenen waarom een Power BI-app beter geschikt is voor grotere teams en bredere scenario's voor inhoudsdistributie.

Toegangsaanvragen per item

Er zijn twee manieren om meer te weten te komen over aanvragen voor toegang in behandeling die zijn ingediend voor een afzonderlijk item, zoals een rapport.

  • E-mail: de contactpersoon(s) voor het item ontvangt een e-mailmelding. Als u betere ondersteuning wilt bieden voor kritieke rapporten, raden we u aan de contactpersoon in te stellen op een groep die snel kan reageren op toegangsaanvragen.
  • Menu Machtigingen beheren: Werkruimtebeheerders en leden hebben toegang tot de pagina Machtigingen beheren voor elk item. Ze kunnen aanvragen voor toegang in behandeling bekijken, goedkeuren of weigeren.

Toegangsaanvragen beheren met groepen

Wanneer een gebruiker het toegangsformulier Aanvraag indient voor een Power BI-item (zoals een rapport of semantisch model) of een Power BI-app, wordt de aanvraag verzonden voor een afzonderlijke gebruiker. Veel grote organisaties moeten echter groepen gebruiken om te voldoen aan hun interne beveiligingsbeleid.

U wordt aangeraden groepen te gebruiken in plaats van personen, voor het beveiligen van inhoud wanneer dat praktisch is. Zie het artikel over beveiligingsplanning op tenantniveau voor meer informatie over het plannen van groepen.

Als u toegang wilt verlenen tot groepen in plaats van afzonderlijke gebruikers, moet de inhoudseigenaar of -beheerder die de aanvraag voor toegang verwerkt, de aanvraag in meerdere stappen voltooien:

  1. De aanvraag in behandeling weigeren in Power BI (omdat deze is gekoppeld aan een afzonderlijke gebruiker).
  2. Voeg de aanvrager toe aan de juiste groep volgens uw huidige proces.
  3. Informeer de aanvrager dat deze nu toegang heeft.

Tip

Zie De werkstroom Toegang aanvragen voor makers voor informatie over het reageren op aanvragen voor buildtoegang van makers van inhoud. Het bevat ook aanbevelingen voor het gebruik van een formulier voor toegangsaanvragen.

Controlelijst : bij het plannen van de werkstroom Toegang aanvragen zijn belangrijke beslissingen en acties:

  • Bepalen wie toegangsaanvragen voor apps moet verwerken: zorg ervoor dat er een proces wordt uitgevoerd om aanvragen voor app-toegang tijdig af te handelen. Zorg ervoor dat app-contactpersonen zijn toegewezen om het proces te ondersteunen.
  • Bepalen wie aanvragen per item moet verwerken: zorg ervoor dat er een proces is om toegangsaanvragen tijdig te verwerken. Zorg ervoor dat contactpersonen aan elk item zijn toegewezen om het proces te ondersteunen.
  • Opnemen in documentatie en training voor makers van inhoud: Zorg ervoor dat makers van inhoud op een tijdige manier toegangsaanvragen kunnen verwerken. Zorg ervoor dat ze weten hoe aanvragen moeten worden verwerkt wanneer een groep moet worden gebruikt in plaats van een afzonderlijke gebruiker.
  • Opnemen in documentatie en training: neem richtlijnen op voor uw makers van inhoud over het effectief beheren van toegangsaanvragen. Neem ook richtlijnen op voor consumenten over welke informatie ze moeten opnemen in hun bericht over toegangsaanvragen.

Gegevensbeveiliging afdwingen op basis van consumentenidentiteit

U kunt van plan zijn om minder semantische modellen en rapporten te maken door gegevensbeveiliging af te dwingen. Het doel is om gegevensbeveiliging af te dwingen op basis van de identiteit van de gebruiker die de inhoud bekijkt.

Denk er bijvoorbeeld aan dat u één verkooprapport kunt delen met alle verkopers (consumenten), wetende dat elke verkoper alleen verkoopresultaten voor hun regio ziet. Met deze aanpak kunt u voorkomen dat afzonderlijke rapporten per regio worden gemaakt die moeten worden gedeeld met de verkopers uit die verkoopregio.

Sommige organisaties hebben specifieke vereisten voor goedgekeurde (gecertificeerde of gepromoveerde) semantische modellen of datamarts. Voor gegevens die veel worden gebruikt, is er mogelijk een vereiste om gegevensbeveiliging te gebruiken.

U kunt gegevensbeveiliging op meerdere manieren uitvoeren.

  • Semantisch Power BI-model: als maker van Power BI-gegevens kunt u beveiliging op rijniveau (RLS) en BEVEILIGING op objectniveau (OLS) afdwingen. RLS omvat het definiëren van rollen en regels waarmee gegevensmodelrijen worden gefilterd, terwijl OLS de toegang tot specifieke tabellen of kolommen beperkt. Deze gedefinieerde RLS- en OLS-regels zijn niet van toepassing op verwijzingen die buiten het semantische model zijn opgeslagen, zoals slicer- en filterselecties. Beide RLS- en OLS-technieken worden verderop in deze sectie beschreven.
  • Analysis Services: Een semantisch model voor liveverbindingen kan verbinding maken met een extern gegevensmodel, dat wordt gehost door Azure Analysis Services (AAS) of SQL Server Analysis Services (SSAS). Het externe model kan RLS of OLS afdwingen op basis van de consumentenidentiteit.
  • Gegevensbron: Sommige gegevensbronnen, zoals Azure SQL Database, kunnen beveiliging op rijniveau afdwingen. In dit geval kan het Power BI-model profiteren van de bestaande beveiliging in plaats van dit opnieuw te definiëren. Deze benadering kan een aanzienlijk voordeel zijn wanneer RLS die in de bron is gedefinieerd, complex is. U kunt een DirectQuery-model ontwikkelen en publiceren en de gegevensbronreferenties van het semantische model instellen in de Power BI-service om eenmalige aanmelding (SSO) in te schakelen. Wanneer een rapportgebruiker een rapport opent, geeft Power BI hun identiteit door aan de gegevensbron. De gegevensbron dwingt vervolgens beveiliging op rijniveau af op basis van de identiteit van de rapportgebruiker. Zie dit artikel voor meer informatie over Azure SQL Database RLS.

Notitie

Bronsystemen, zoals Azure SQL Database, kunnen ook technieken zoals weergaven gebruiken om te beperken wat de gebruiker kan zien. Hoewel dit een geldige techniek is, is deze niet relevant voor de focus van deze sectie.

Beveiliging op rijniveau

Met beveiliging op rijniveau (RLS) kan een gegevensmodeller de toegang tot een subset van gegevens beperken. Het wordt meestal gebruikt om ervoor te zorgen dat sommige rapportgebruikers geen specifieke gegevens kunnen zien, zoals verkoopresultaten van andere verkoopregio's.

Tip

Als u hebt gemerkt dat iemand meerdere gegevensmodellen maakt om verschillende groepen consumenten te ondersteunen, controleert u of RLS aan hun vereisten voldoet. Het is doorgaans beter om één gegevensmodel te maken, te testen en te onderhouden in plaats van meerdere gegevensmodellen.

Zorg ervoor dat als een Power BI-rapport verwijst naar een rij met RLS die is geconfigureerd, hetzelfde bericht wordt weergegeven als voor een verwijderd of niet-bestaand veld. Voor deze gebruikers lijkt het alsof het rapport is verbroken.

Er zijn twee stappen voor het instellen van RLS: regels en roltoewijzingen.

RLS-regels

Voor semantische modellen kan een gegevensmodeller RLS instellen in Power BI Desktop door een of meer rollen te maken. Een rol heeft een unieke naam in het model en bevat meestal een of meer regels. Regels dwingen filters af op modeltabellen met behulp van DAX-filterexpressies (Data Analysis Expressions). Een model heeft standaard geen rollen.

Belangrijk

Een model zonder rollen betekent dat gebruikers (die gemachtigd zijn om een query uit te voeren op het gegevensmodel) toegang hebben tot alle modelgegevens.

Regelexpressies worden geëvalueerd binnen rijcontext. Rijcontext betekent dat de expressie voor elke rij wordt geëvalueerd met behulp van de kolomwaarden van die rij. Wanneer de expressie wordt geretourneerd TRUE, kan de gebruiker de rij zien. U kunt regels definiëren die statisch of dynamisch zijn.

  • Statische regels: GEBRUIK DAX-expressies die verwijzen naar constanten, zoals [Region] = "Midwest".
  • Dynamische regels: gebruik specifieke DAX-functies die omgevingswaarden retourneren (in plaats van constanten). Omgevingswaarden worden geretourneerd van drie specifieke DAX-functies: USERNAME, USERPRINCIPALNAME en CUSTOMDATA. Het definiëren van dynamische regels is eenvoudig en effectief wanneer in een modeltabel gebruikersnaamwaarden worden opgeslagen. Hiermee kunt u een gegevensgestuurd RLS-ontwerp afdwingen.

RLS-roltoewijzingen

Nadat u het model naar het Power BI-service hebt gepubliceerd, moet u roltoewijzingen instellen voordat gebruikers gerelateerde rapporten openen. Roltoewijzing omvat het toewijzen van Microsoft Entra-beveiligingsobjecten aan rollen. Beveiligingsobjecten kunnen gebruikersaccounts of beveiligingsgroepen zijn.

Waar mogelijk is het een best practice om rollen toe te wijzen aan beveiligingsgroepen. Op die manier zijn er minder toewijzingen en kan het beheer van groepslidmaatschappen worden verwerkt door de eigenaar van de groep.

U wordt aangeraden beveiligingsaccountgegevens van Microsoft Entra beschikbaar te maken voor uw makers van inhoud. Een optie is om een gegevensstroom te maken met gegevens die gesynchroniseerd worden gehouden met Microsoft Entra-id. Op die manier kunnen makers van inhoud de gegevensstroomgegevens integreren om een semantisch model op basis van gegevens te produceren.

Tip

Het is mogelijk om een rol te definiëren die geen regels bevat. In dit geval biedt de rol toegang tot alle rijen van alle modeltabellen. Het instellen van dit type rol is geschikt wanneer een beheerder of gebruiker alle gegevens in het model mag weergeven.

RLS-gebruikerservaring

Sommige organisaties kiezen ervoor om RLS doelbewust te gebruiken als een secundaire beveiligingslaag, naast standaard Power BI-machtigingen. Houd rekening met het volgende scenario: u deelt een koppeling naar een rapport met de hele organisatie. Elke gebruiker die het rapport bekijkt, moet worden toegewezen aan een RLS-rol om gegevens in het rapport te kunnen zien. Als ze niet zijn toegewezen aan een RLS-rol, zien ze geen gegevens.

De aanwezigheid van beveiliging op rijniveau wijzigt de standaardervaring voor consumenten.

  • Wanneer RLS niet is gedefinieerd voor het semantische model: makers en consumenten met ten minste leesmachtigingen voor het semantische model kunnen alle gegevens in het semantische model bekijken.
  • Wanneer RLS is gedefinieerd op het semantische model: makers en consumenten met alleen leesmachtigingen voor het semantische model kunnen alleen de gegevens bekijken die ze mogen zien (op basis van hun RLS-roltoewijzing).

Notitie

Sommige organisaties dwingen beveiliging op rijniveau af als extra beveiligingslaag, met name wanneer gevoelige gegevens betrokken zijn. Daarom kunt u ervoor kiezen om RLS te vereisen voor semantische modellen die zijn gecertificeerd. Deze vereiste kan worden uitgevoerd met een intern beoordelings- en goedkeuringsproces voordat het semantische model wordt gecertificeerd.

Wanneer een gebruiker een rapport bekijkt in een werkruimte of een app, kan RLS al dan niet worden afgedwongen, afhankelijk van de semantische modelmachtigingen. Daarom is het essentieel dat inhoudsgebruikers en makers alleen leesmachtigingen hebben voor het onderliggende semantische model wanneer beveiliging op rijniveau moet worden afgedwongen.

Hier volgen de machtigingsregels die bepalen of beveiliging op rijniveau wordt afgedwongen.

  • Gebruiker heeft leesmachtigingen voor het semantische model: RLS wordt afgedwongen voor de gebruiker.
  • Gebruiker heeft lees- en buildmachtigingen voor het semantische model: RLS wordt afgedwongen voor de gebruiker.
  • Gebruiker heeft schrijfmachtigingen voor het semantische model: RLS wordt niet afgedwongen voor de gebruiker, wat betekent dat ze alle gegevens in het semantische model kunnen zien. De schrijfmachtiging biedt de mogelijkheid om een semantisch model te bewerken. Deze kan op twee manieren worden toegekend:
    • Met de rol Inzender, Lid of Beheer werkruimte (voor de werkruimte waarin het semantische model wordt opgeslagen).
    • Met de machtiging per item semantisch model schrijven.

Tip

Zie het beheerde bi-gebruiksscenario voor selfservice bi voor meer informatie over het gebruik van afzonderlijke werkruimten, zodat RLS werkt voor makers van inhoud.

Zie Toegang tot Power BI-modelgegevens beperken voor meer informatie over beveiliging op rijniveau.

Beveiliging op rijniveau voor datamarts

Power BI-gegevensmarts kunnen ook beveiliging op rijniveau afdwingen. De implementatie is echter anders.

Het belangrijkste verschil is dat RLS voor datamarts is ingesteld in de Power BI-service, in plaats van in Power BI Desktop.

Een ander verschil is dat datamarts beveiliging op rijniveau afdwingen op zowel het semantische model als de beheerde Azure SQL Database die is gekoppeld aan de datamart. Het afdwingen van beveiliging op beide lagen biedt consistentie en flexibiliteit. Dezelfde RLS-filters worden toegepast, ongeacht de wijze waarop de gebruiker query's uitvoert op de gegevens, ongeacht of dit het geval is door verbinding te maken met het semantische model of met de beheerde Azure SQL Database.

Zie RLS voor datamarts voor meer informatie.

Beveiliging op objectniveau

Met beveiliging op objectniveau (OLS) kan een gegevensmodeller de toegang tot specifieke tabellen en kolommen en hun metagegevens beperken. Normaal gesproken gebruikt u OLS om ervoor te zorgen dat gevoelige kolommen, zoals salaris van werknemers, niet zichtbaar zijn voor bepaalde gebruikers. Hoewel het niet mogelijk is om de toegang tot metingen te beperken, wordt elke meting die verwijst naar een beperkte kolom zelf beperkt.

Bekijk een voorbeeld van een tabel werknemer. Het bevat kolommen waarin de naam en het telefoonnummer van de werknemer en het salaris worden opgeslagen. U kunt OLS gebruiken om ervoor te zorgen dat alleen bepaalde gebruikers, zoals senior personeelszaken, salariswaarden kunnen zien. Voor gebruikers die geen salariswaarden kunnen zien, is het alsof die kolom niet bestaat.

Zorg ervoor dat als een Power BI-rapportvisual salaris bevat, gebruikers die geen toegang tot dat veld hebben, een foutbericht krijgen. In het bericht wordt aangegeven dat het object niet bestaat. Voor deze gebruikers lijkt het alsof het rapport is verbroken.

Notitie

U kunt ook perspectieven definiëren in een gegevensmodel. Een perspectief definieert bekijkbare subsets van modelobjecten om een specifieke focus te bieden voor rapportmakers. Perspectieven zijn niet bedoeld om de toegang tot modelobjecten te beperken. Een gebruiker kan nog steeds een query uitvoeren op een tabel of kolom, zelfs als deze niet zichtbaar is. Overweeg daarom perspectieven als gebruikerscomfort in plaats van een beveiligingsfunctie.

Er is momenteel geen interface in Power BI Desktop om OLS in te stellen. U kunt Tabular Editor gebruiken. Dit is een hulpprogramma van derden voor het maken, onderhouden en beheren van modellen. Zie het gebruiksscenario voor geavanceerd gegevensmodelbeheer voor meer informatie.

Zie Toegang tot Power BI-modelobjecten beperken voor meer informatie over OLS.

Controlelijst : bij het plannen van RLS en OLS zijn belangrijke beslissingen en acties:

  • Beslis over de strategie voor het gebruik van beveiliging op rijniveau: overweeg voor welke gebruiksscenario's en doeleinden u beveiliging op rijniveau wilt gebruiken.
  • Bepaal de strategie voor het gebruik van OLS: Overweeg voor welke gebruiksscenario's en doeleinden u de beveiliging op objectniveau wilt gebruiken.
  • Overweeg vereisten voor gecertificeerde inhoud: als u een proces hebt voor wat nodig is om een semantisch model te certificeren, moet u beslissen of u specifieke vereisten voor het gebruik van RLS of OLS wilt opnemen.
  • Gebruikersrichtlijnen maken en publiceren: documentatie maken voor gebruikers met vereisten en voorkeuren voor het gebruik van RLS en OLS. Beschrijf hoe u gebruikerstoewijzingsgegevens kunt verkrijgen als deze zich op een centrale locatie bevinden.
  • Trainingsmateriaal bijwerken: neem belangrijke informatie op over vereisten en voorkeuren voor RLS en OLS in trainingsmateriaal voor gebruikers. Geef voorbeelden voor gebruikers om te begrijpen wanneer het geschikt is om een van beide technieken voor gegevensbeveiliging te gebruiken.

Gerelateerde inhoud

In het volgende artikel in deze reeks vindt u informatie over beveiligingsplanning voor makers van inhoud die verantwoordelijk zijn voor het maken van semantische modellen, gegevensstromen, datamarts, rapporten of dashboards.