Plánovanie implementácie služby Power BI: Plánovanie zabezpečenia tvorcu obsahu

Poznámka

Tento článok je súčasťou série článkov k plánovaniu implementácie služby Power BI. Táto séria sa zameriava predovšetkým na vyťaženie služby Power BI v rámci služby Microsoft Fabric. Úvod do série nájdete v téme Plánovanie implementácie služby Power BI.

Tento článok o plánovaní zabezpečenia popisuje stratégie pre tvorcov obsahu, ktorí sú zodpovední za vytváranie sémantických modelov (predtým známych ako množiny údajov), tokov údajov, údajov, zostáv alebo tabúľ. Zameriava sa predovšetkým na:

• Správcovia služby Power BI: správcovia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii.
• Centrum excelentnosti, IT a tím BI: Tímy, ktoré tiež zodpovedajú za dohľad nad službou Power BI. Možno budú musieť spolupracovať so správcami služby Power BI, tímami zabezpečenia informácií a ďalšími relevantnými tímami.
• Tvorcovia a vlastníci obsahu: Samoobslužní tvorcovia BI, ktorí potrebujú vytvárať, publikovať, zabezpečiť a spravovať obsah, ktorý ostatní používatelia spotrebúvajú.

Séria článkov je určená na rozbalenie obsahu v technickej dokumentácii zabezpečenia služby Power BI. Zatiaľ čo technická dokumentácia k zabezpečeniu v službe Power BI sa zameriava na kľúčové technické témy, ako je overovanie, pobyt údajov a izolácia siete, hlavným cieľom série je poskytnúť vám dôležité informácie a rozhodnutia, ktoré vám pomôžu pri plánovaní zabezpečenia a ochrany osobných údajov.

V organizácii sú mnohými používateľmi tvorcovia obsahu. Tvorcovia obsahu vytvárajú a publikuje obsah, ktorý prezerá niekto iný. Tvorcom obsahu sa venuje tento článok.

Tip

Odporúčame vám, aby ste si najskôr prečítali článok Plánovanie zabezpečenia spotrebiteľov zostáv. Popisuje stratégie bezpečného poskytovania obsahu spotrebiteľom, ktorí majú len na čítanie, ako vynútiť zabezpečenie údajov.

Stratégia pre tvorcov obsahu

Základom dobre riadeného samoobslužného systému BI začínajú tvorcovia a vlastníci obsahu. Vytvárajú a overujú sémantické modely a zostavy. V mnohých prípadoch tvorcovia obsahu tiež nastavujú povolenia na spravovanie zabezpečenia svojho obsahu.

Tip

Odporúčame, aby ste podporovali kultúru údajov, ktorá zabezpečí, aby zabezpečenie a ochrana údajov boli bežnou súčasťou roly všetkých používateľov. Na dosiahnutie tohto cieľa je nevyhnutné vzdelávanie používateľov, podpora a školenie.

Na účely zabezpečenia a povolení sa vezmime do úvahy dva typy tvorcov obsahu: tvorcovia údajov a tvorcovia zostáv. Môžu vytvárať a spravovať podnikový obsah BI alebo samoobslužný obsah BI .

Tvorcovia údajov

Tvorcom údajov je každý používateľ služby Power BI, ktorý vytvára sémantické modely, toky údajov alebo dátovémarty.

Tu je niekoľko bežných scenárov tvorcov údajov.

• Vytvorenie nového sémantického modelu: Vytvorte a otestujte nový dátový model v aplikácii Power BI Desktop. Potom sa publikuje v služba Power BI, aby ho bolo možné použiť ako zdieľaný sémantický model pre mnohé zostavy. Ďalšie informácie o opätovnom používaní zdieľaných sémantických modelov nájdete v scenári používania spravovaného samoobslužného bi .
• Rozšírenie a prispôsobenie sémantického modelu: Vytvorte dynamické pripojenie k existujúcemu zdieľanému sémantickému modelu v aplikácii Power BI Desktop. Konvertujte dynamické pripojenie na lokálny model, ktorý umožňuje rozšírenie návrhu modelu o nové tabuľky alebo stĺpce. Ďalšie informácie o rozširovaní a prispôsobení zdieľaných sémantických modelov nájdete v scenári používania prispôsobiteľnej spravovanej samoobslužnej služby BI .
• Vytvorenie nového toku údajov: V služba Power BI vytvorte nový tok údajov, aby ho mohli mnohé sémantické modely používať ako zdroj. Ďalšie informácie o opätovnom použití aktivít prípravy údajov nájdete v scenári samoobslužnej prípravy údajov.
• Vytvorte nový údajový graf. V služba Power BI vytvorte nový údajový graf.

Tvorcov údajov možno často nájsť v tímoch podnikových tímov BI a v Centre excelentnosti (CE). Zohrávajú tiež kľúčovú úlohu v decentralizovaných organizačných jednotkách a oddeleniach, ktoré zachovávajú a spravujú svoje vlastné údaje.

Ďalšie informácie o analytických nástrojoch BI pod vedením podniku, spravovaných samoobslužných nástrojoch BI a podnikových nástrojoch BI nájdete v článku Vlastníctvo a spravovanie obsahu.

Tvorcovia zostáv

Tvorcovia zostáv vytvárajú zostavy a tabule na vizualizáciu údajov, ktoré pochádzajú z existujúcich sémantických modelov.

Tu je niekoľko bežných scenárov tvorcov zostáv.

• Vytvorenie novej zostavy vrátane dátového modelu: Vytvorte a otestujte novú zostavu a dátový model v aplikácii Power BI Desktop. Súbor aplikácie Power BI Desktop, ktorý obsahuje jednu alebo viac strán zostavy a obsahuje dátový model, sa publikuje v služba Power BI. Noví tvorcovia obsahu bežne používajú túto metódu ešte predtým, ako budú vedieť o používaní zdieľaných sémantických modelov. Vhodné je použiť aj prípady úzkeho použitia, ktoré nepotrebujú opätovné použitie údajov.
• Vytvorenie zostavy s dynamickým pripojením: Vytvorte novú zostavu Power BI, ktorá sa pripája k zdieľanému sémantickému modelu v služba Power BI. Ďalšie informácie o opätovnom používaní zdieľaných sémantických modelov nájdete v scenári používania spravovaného samoobslužného bi .
• Vytvorenie pripojeného excelového zošita: Vytvorte novú excelovú zostavu, ktorá sa pripája k zdieľanému sémantickému modelu v služba Power BI. Pripojenie prostredia Excelu sa namiesto sťahovania údajov dôrazne odporúčajú.
• Vytvorenie zostavy DirectQuery: Vytvorte novú zostavu služby Power BI, ktorá sa pripája k podporovanému zdroju údajov v režime DirectQuery. Jednou z možností, keď je táto metóda užitočná, je vtedy, keď chcete využiť zabezpečenie používateľa, ktoré je implementované zdrojovým systémom.

Tvorcov zostáv nájdete v každej organizačnej lekcii v organizácii. V organizácii zvyčajne existuje oveľa viac tvorcov zostáv ako tvorcov údajov.

Tip

Hoci nie každý sémantický model je zdieľaným sémantickým modelom, stále stojí za prijatie spravovanej samoobslužnej stratégie BI . Táto stratégia opätovne používa zdieľané sémantické modely vždy, keď je to možné. Týmto spôsobom sa vytváranie zostáv a vytváranie údajov dekódujú. Každý tvorca obsahu z ľubovoľnej obchodnej jednotky môže efektívne využiť túto stratégiu.

Povolenia pre tvorcov

Táto časť popisuje najčastejšie povolenia pre tvorcov údajov a tvorcov zostáv.

Táto časť nie je určená ako úplný zoznam všetkých možných povolení. Jeho cieľom je skôr pomôcť pri plánovaní vašej stratégie na podporu rôznych typov tvorcov obsahu. Vaším cieľom by malo byť dodržovať zásadu najmenej oprávnení. Táto zásada umožňuje dostatočný počet povolení pre používateľov, aby boli produktívni, a to bez prílišného poskytovania povolení.

Vytváranie nového obsahu

Na vytváranie nového obsahu sa bežne vyžadujú nasledujúce povolenia.

Povolenie	Tvorca zostavy	Tvorca sémantických modelov	Tvorca toku údajov	Tvorca údajového grafu
Prístup k základnému zdroju údajov
Sémantický model – povolenia na čítanie a vytváranie
Povolenie na čítanie toku údajov (keď sa tok údajov používa ako zdroj prostredníctvom roly Čitateľ pracovného priestoru)
Prístup, kde je uložený pôvodný súbor aplikácie Power BI Desktop
Povolenie na používanie vlastných vizuálov

Povolenia na publikovanie obsahu

Na publikovanie obsahu sa bežne vyžadujú nasledujúce povolenia.

Povolenie	Tvorca zostavy	Tvorca sémantických modelov	Tvorca toku údajov	Tvorca údajového grafu
Rola pracovného priestoru: Prispievateľ, Člen alebo Spravovanie
Povolenie na zápis v sémantickom modeli (keď používateľ nepatrí do roly pracovného priestoru)
Rola kanála nasadenia na publikovanie položiek (voliteľné)

Obnovenie údajov

Nasledujúce povolenia sa zvyčajne vyžadujú na obnovenie údajov.

Povolenie	Tvorca zostavy	Tvorca sémantických modelov	Tvorca toku údajov	Tvorca údajového grafu
Priradený vlastník (kto nastavil nastavenia alebo prevzal položku)
Prístup k základnému zdroju údajov (ak sa brána nepoužíva)
Prístup k zdroju údajov v bráne (keď je zdroj lokálny alebo vo virtuálnej sieti)

V zvyšnej časti tohto článku sa popisujú dôležité informácie týkajúce sa povolení tvorcu obsahu.

Tip

Povolenia týkajúce sa zobrazovania obsahu nájdete v článku Plánovanie zabezpečenia spotrebiteľov zostáv.

Kontrolný zoznam – pri plánovaní stratégie zabezpečenia pre tvorcov obsahu sú k hlavným rozhodnutiam a akciám zahrnuté:

• Zistite, kto sú vaši tvorcovia údajov: Uistite sa, že viete, kto vytvára sémantické modely, toky údajov a dátovémarty. Pred spustením aktivít plánovania zabezpečenia si overte, či rozumiete ich potrebám.
• Určite, kto sú vaši tvorcovia zostáv: Skontrolujte, či viete, kto vytvára zostavy, tabule, zošity a prehľady ukazovateľov výkonu. Pred spustením aktivít plánovania zabezpečenia si overte, či rozumiete ich potrebám.

Objavte obsah pre tvorcov

Používatelia sa môžu spoliehať na vyhľadávanie údajov pri hľadaní sémantických modelov a údajovýchmartov. Zisťovanie údajov je funkcia služby Power BI, ktorá tvorcom obsahu umožňuje vyhľadať existujúce položky údajov, a to aj v prípade, že nemajú žiadne povolenia pre tento obsah.

Zisťovanie existujúcich údajov je užitočné v týchto prípade:

• Tvorcovia zostáv, ktorí chcú použiť existujúci sémantický model pre novú zostavu.
• Tvorcovia zostáv, ktorí chcú dotazovať údaje z existujúceho údajového grafu.
• Tvorcovia sémantických modelov, ktorí chcú používať existujúci sémantický model pre nový zložený model.

Poznámka

Zisťovanie údajov v službe Power BI nie je povolením na zabezpečenie údajov. Ide o nastavenie, ktoré umožňuje tvorcom zostáv čítať metaúdaje, čo im pomáha zisťovať údaje a žiadať o prístup k nim.

Sémantický model alebo údajový graf môžete nastaviť ako vyhľadateľný vtedy, keď bol odporučený (certifikovaný alebo propagovaný). Keď je to možné zisťovať, tvorcovia obsahu ho môžu nájsť v centre údajov.

Tvorca obsahu môže tiež požiadať o prístup k sémantickému modelu alebo dátovému grafu. V podstate žiadosť o prístup požiada o povolenie na vytváranie, ktoré sa vyžaduje na vytvorenie nového obsahu, ktorý je na ňom založený. Pri odpovedaní na žiadosti o prístup zvážte použitie skupín namiesto jednotlivých používateľov. Ďalšie informácie o tom, ako používať skupiny na tento účel, nájdete v téme Pracovný postup Žiadosti o prístup pre spotrebiteľov.

Zvážte nasledujúce tri príklady.

• Sémantický model súhrnu predaja je certifikovaný. Ide o dôveryhodný a smerodajný zdroj na sledovanie predaja. Tento sémantický model používajú mnohí tvorcovia samoobslužných zostáv v rámci organizácie. Existuje teda mnoho existujúcich zostáv a zložených modelov založených na sémantickom modeli. Ak chcete povzbudiť ostatných tvorcov, aby tento sémantický model našli a používali, nastavte ho ako vyhľadateľný.
• Sémantický model inventára statov je certifikovaný. Je to dôveryhodný a smerodajný zdroj na analýzu zásob. Sémantický model a súvisiace zostavy sú udržiavané a distribuované podnikovým tímom BI. Z dôvodu zložitého návrhu sémantického modelu môže vytvárať a udržiavať obsah inventára iba podnikový tím BI. Keďže cieľom je odradiť tvorcov zostáv používať sémantický model, nie je nastavený ako vyhľadateľný.
• Sémantický model Executive Bonusy obsahuje vysoko dôverné informácie. Povolenia na zobrazenie alebo aktualizáciu tohto sémantického modelu sú obmedzené na niekoľkých používateľov. Tento sémantický model nie je nastavený ako vyhľadateľný.

Nasledujúca snímka obrazovky znázorňuje sémantický model v údajovom centre na služba Power BI. Konkrétne zobrazuje príklad správy Požiadať o prístup pre vyhľadateľný sémantický model. Toto hlásenie sa zobrazí, keď používateľ nemá práve prístup. Správa Požiadať o prístup bola prispôsobená v sémantických nastaveniach modelu.

Správa Požiadať o prístup znie: V prípade štandardného hlásenia predaja hodnoty MTD/QTD/YTD je tento sémantický model autoritatívnym a certifikovaným zdrojom. O prístup k sémantickému modelu požiadajte vyplnením formulára na lokalite https://COE.contoso.com/RequestAccess. Zobrazí sa výzva na stručné podnikové odôvodnenie a manažér Centra excelentnosti bude musieť žiadosť schváliť. Prístup sa bude auditovať každých šesť mesiacov.

Poznámka

Vaša kultúra údajov a váš postoj k demokratizácii údajov by mali silne ovplyvniť to, či povolíte vyhľadávanie údajov. Ďalšie informácie o vyhľadávaní údajov nájdete v scenári prispôsobiteľného spravovaného samoobslužného používania BI .

Existujú tri nastavenia nájomníka týkajúce sa zisťovania.

• Nastavenie nájomníka Zisťovanie obsahu umožňuje správcom služby Power BI nastaviť, ktoré skupiny používateľov môžu objavovať údaje. Zameriava sa predovšetkým na tvorcov zostáv, ktorí potrebujú pri vytváraní zostáv vyhľadávať existujúce sémantické modely. Je užitočný aj pre tvorcov sémantických modelov, ktorí môžu hľadať existujúce údaje, ktoré môžu použiť vo vývoji zložených modelov. Aj keď je možné nastaviť ho pre konkrétne skupiny zabezpečenia, je vhodné povoliť nastavenie pre celú organizáciu. Nastavenie zisťovania jednotlivých sémantických modelov a tokov údajov bude riadiť to, čo je možné objaviť. Menej často by ste mohli zvážiť obmedzenie tejto funkcie iba na schválených tvorcov obsahu.
• Nastavenie Nastaviť certifikovaného obsahu zistiteľného nájomníka umožňuje správcom služby Power BI nastaviť, ktoré skupiny môžu nastaviť obsah ako vyhľadateľný (ak majú tiež povolenie na úpravu položky a povolenie na certifikáciu obsahu, ktorému sa udeľuje nastavenie nájomníka certifikácie). Možnosť certifikovať obsah by sa mala prísne kontrolovať. Vo väčšine prípadov by tí istí používatelia, ktorí majú povolenie na certifikáciu obsahu, mali mať možnosť nastaviť ho ako vyhľadateľný. V niektorých situáciách možno budete chcieť obmedziť túto funkciu iba na schválených tvorcov údajov.
• Nastavenie nájomníka Nastaviť propagovaný obsah ako vyhľadateľný umožňuje správcom služby Power BI nastaviť, ktoré skupiny môžu obsah nastaviť ako vyhľadateľný (vtedy, keď majú tiež povolenie na úpravu údajov). Keďže možnosť propagovať obsah je otvorená pre všetkých tvorcov obsahu, vo väčšine prípadov by táto funkcia mala byť k dispozícii pre všetkých používateľov. Menej často by ste mohli zvážiť obmedzenie tejto možnosti len na schválených tvorcov obsahu.

Kontrolný zoznam – pri plánovaní zisťovania údajov pre tvorcov obsahu sú tu kľúčové rozhodnutia a akcie:

• Objasnenie potrieb zisťovania údajov: Zvážte pozíciu vašej organizácie na stimulovaní tvorcov obsahu, aby našli existujúce sémantické modely a dátovémarty. Ak je to vhodné, vytvorte politiku riadenia o spôsobe používania vyhľadávania údajov.
• Rozhodnite sa, kto bude môcť objavovať obsah: Rozhodnite sa, či má ktorýkoľvek používateľ služby Power BI možnosť objavovať obsah, alebo či by mal byť objav obmedzený na určité skupiny používateľov (napríklad na skupinu schválených tvorcov obsahu). Nastavte nastavenie nájomníka Objavte obsah tak, aby bolo v súlade s týmto rozhodnutím.
• Rozhodnite sa, kto bude môcť nastaviť certifikovaný obsah ako vyhľadateľný: Rozhodnite sa, či ho môže nastaviť každý používateľ služby Power BI (ktorý má povolenie na úpravu sémantického modelu alebo dátového grafu, ako aj povolenie na jeho certifikáciu). Nastavte nastavenie Nastaviť certifikovaného obsahu ako vyhľadateľného nájomníka tak, aby bolo v súlade s týmto rozhodnutím.
• Rozhodnite sa, kto bude môcť nastaviť propagovaný obsah ako vyhľadateľný: Rozhodnite sa, či ho môže nastaviť každý používateľ služby Power BI (ktorý má povolenie na úpravu sémantického modelu alebo dátového grafu). Nastavte nastavenie Nastaviť propagovaný obsah ako vyhľadateľného nájomníka tak, aby bolo v súlade s týmto rozhodnutím.
• Zahrnutie do dokumentácie a školení pre tvorcov sémantických modelov: zahrňte usmernenie pre vašich tvorcov sémantických modelov o tom, kedy je vhodné používať zisťovanie údajov pre sémantické modely a dátovémarty, ktoré vlastnia a spravujú.
• Zahrnutie do dokumentácie a školení pre tvorcov zostáv: zahrňte sprievodný materiál pre tvorcov obsahu o tom, ako funguje vyhľadávanie údajov a čo môžu očakávať.

Pracovný postup žiadosti o prístup pre tvorcov

Používateľ môže požiadať o prístup k obsahu dvomi spôsobmi.

• Pre používateľov obsahu: Používateľ dostane prepojenie na existujúcu zostavu alebo aplikáciu v služba Power BI. Ak chcete zobraziť položku, spotrebiteľ môže vybrať tlačidlo Požiadať o prístup . Ďalšie informácie nájdete v článku Plánovanie bezpečnosti spotrebiteľov zostáv.
• Pre tvorcov obsahu: Používateľ objaví sémantický model alebo údajový graf v centre údajov. Ak chcete vytvoriť novú zostavu alebo zložený model na základe existujúcich údajov, tvorca obsahu môže vybrať tlačidlo Požiadať o prístup . Táto skúsenosť je zameraná na túto časť.

Žiadosť o prístup k sémantickému modelu alebo údajového diagramu sa predvolene odosiela vlastníkovi. Vlastníkom je používateľ, ktorý posledné plánované obnovenie údajov alebo vstupné poverenia. Spoliehanie sa na jedného používateľa pri spracovávaní žiadostí o prístup môže byť prijateľné pre tímové sémantické modely. Nemusí to však byť praktické alebo spoľahlivé.

Namiesto toho, aby ste sa spoliehali na jedného vlastníka, môžete definovať vlastné pokyny , ktoré sa používateľom zobrazia, keď požiadajú o prístup k sémantickému modelu alebo dátovému grafu. Vlastné pokyny sú užitočné v prípadoch, keď:

• Sémantický model je nastavený ako vyhľadateľný.
• Schválenie žiadosti o prístup vykoná niekto iný ako vlastník údajov.
• Existuje existujúci proces, ktorý je potrebné v prípade žiadostí o prístup dodržať.
• Sledovanie používateľov, ktorí požadovali prístup, kedy a prečo je to potrebné z dôvodu auditovania alebo dodržiavania súladu.
• Na požiadanie o prístup je potrebné vysvetlenie a stanovenie očakávaní.

Nasledujúca snímka obrazovky znázorňuje príklad nastavenia vlastných pokynov, ktoré sa používateľovi zobrazia, keď požiadajú o povolenie na vytváranie. Vlastné pokyny: Pre štandardné vykazovanie predaja hodnoty MTD/QTD/YTD je tento sémantický model autoritatívnym a certifikovaným zdrojom. O prístup k sémantickému modelu požiadajte vyplnením formulára na lokalite https://COE.contoso.com/RequestAccess. Zobrazí sa výzva na stručné podnikové odôvodnenie a manažér Centra excelentnosti bude musieť žiadosť schváliť. Prístup sa bude auditovať každých šesť mesiacov.

Existuje veľa možností, ako formulár vytvoriť. Power Apps aj Microsoft Forms predstavujú veľmi jednoduché možnosti s minimálnym použitím kódu. Odporúčame, aby ste vytvorili formulár tak, aby bol nezávislý od jedného používateľa. Je dôležité, aby bol formulár vytvorený, spravovaný a monitorovaný správnym tímom.

Odporúčame, aby ste vytvorili užitočné informácie pre:

• Tvorcovia obsahu, aby vedeli, čo môžu očakávať, keď požiadajú o prístup.
• Vlastníci obsahu a správcovia, aby vedeli, ako spravovať odoslané žiadosti.

Tip

Ďalšie informácie o reagovaní na žiadosti spotrebiteľov o prístup na čítanie nájdete v téme Pracovný postup Žiadosti o prístup pre spotrebiteľov. Obsahuje aj informácie o používaní skupín (namiesto jednotlivých používateľov).

Kontrolný zoznam – pri plánovaní pracovného postupu Požiadať o prístup sú kľúčové rozhodnutia a akcie:

• Objasnite predvoľby, ako spracovávať žiadosti o prístup: Určte, v ktorých situáciách je prijateľné pre schválenie vlastníka a kedy sa má použiť iný proces. Ak je to vhodné, vytvorte politiku riadenia o spôsobe spracovávania žiadostí o prístup.
• Zahrnutie do dokumentácie a školení pre sémantických tvorcov modelov a údajových grafov: uveďte sprievodný materiál pre sémantický model a tvorcov údajových grafov o tom, ako a kedy nastaviť vlastné pokyny pre žiadosti o prístup.
• Zahrnutie do dokumentácie a školení pre tvorcov zostáv: zahrňte pre tvorcov zostáv sprievodný materiál o tom, čo môžu očakávať pri vyžiadaní povolení na vytváranie pre sémantické modely a dátovémarty.

Vytvorenie a publikovanie obsahu

Táto časť obsahuje aspekty zabezpečenia, ktoré sa vzťahujú na tvorcov obsahu.

Poznámka

Informácie o používateľoch, ktorí zobrazujú zostavy, tabule a prehľady ukazovateľov výkonu, nájdete v článku Plánovanie zabezpečenia spotrebiteľa zostáv. Informácie týkajúce sa povolení aplikácie sú tiež popísané v tomto článku.

Roly pracovného priestoru

Prístup k pracovnému priestoru udeľujete pridaním používateľov alebo skupín (vrátane skupín zabezpečenia, skupín v Microsoft 365 a distribučných zoznamov) k rolám pracovného priestoru. Priradenie používateľov k rolám pracovného priestoru vám umožní určiť, čo môžu s pracovným priestorom a jeho obsahom vykonávať.

Poznámka

Ďalšie informácie o plánovaní pracovného priestoru nájdete v článkoch o plánovaní pracovného priestoru. Ďalšie informácie o skupinách nájdete v článku Plánovanie zabezpečenia na úrovni nájomníka.

Keďže hlavným účelom pracovného priestoru je spolupráca, prístup k pracovnému priestoru je väčšinou relevantný pre používateľov, ktorí vlastnia a spravujú jeho obsah. Keď začnete plánovať roly pracovného priestoru, je užitočné položiť si nasledujúce otázky.

• Aké sa očakávania v tom, ako bude prebiehať spolupráca v pracovnom priestore?
• Kto bude zodpovedať za spravovanie obsahu v pracovnom priestore?
• Je zámerom priradiť k rolám pracovného priestoru jednotlivých používateľov alebo skupiny?

Existujú štyri roly pracovného priestoru služby Power BI: Spravovanie, Member, Contributor a Viewer. Prvé tri roly sa vzťahujú na tvorcov obsahu, ktorí vytvárajú a publikujú obsah. Rola Čitateľ je relevantná pre spotrebiteľov, ktorí majú len čítanie.

Štyri povolenia pre rolu pracovného priestoru sú vnorené. To znamená, že správcovia pracovného priestoru majú všetky možnosti, ktoré sú k dispozícii pre členov, prispievateľov a divákov. Podobne majú členovia všetky možnosti, ktoré sú k dispozícii prispievateľom a divákom. Prispievatelia majú všetky možnosti, ktoré majú diváci k dispozícii.

Tip

V dokumentácii k rolám pracovného priestoru nájdete autoritatívny odkaz na každú zo štyroch rolí.

Správca pracovného priestoru

Používatelia s priradenou rolou Spravovanie sa stanú správcami pracovného priestoru. Môžu spravovať všetky nastavenia a vykonávať všetky akcie vrátane pridávania alebo odstraňovania používateľov (vrátane iných správcov pracovných priestorov).

Správcovia pracovného priestoru môžu aktualizovať alebo odstrániť aplikáciu Power BI (ak existuje). Voliteľne môžu prispievateľom povoliť aktualizáciu aplikácie pre pracovný priestor. Ďalšie informácie nájdete v časti Variácie k rolám pracovného priestoru ďalej v tomto článku.

Tip

Pri odkazovaní na správcu nezabudnite vysvetliť, či hovoríme o správcovi pracovného priestoru alebo o správcovi na úrovni nájomníka služby Power BI.

Uistite sa, že správcovia pracovného priestoru sú len dôveryhodní a spoľahliví jednotlivci. Správca pracovného priestoru má vysoké oprávnenia. Majú prístup na zobrazenie a spravovanie všetkého obsahu v pracovnom priestore. Môžu pridávať a odoberať používateľov (vrátane iných správcov) do ľubovoľnej roly pracovného priestoru. Môžu tiež odstrániť pracovný priestor.

Odporúčame, aby tam boli aspoň dvaja správcovia, aby jeden slúžil ako záloha, ak by primárny správca nebol k dispozícii. Pracovný priestor, ktorý nemá správcu, je známy ako osirelý pracovný priestor. Osirelý stav nastane, keď používateľ opustí organizáciu, a neexistuje žiadny alternatívny správca priradený k pracovnému priestoru. Ďalšie informácie o tom, ako zistiť a opraviť osirelé pracovné priestory, nájdete v článku Zobrazenie pracovných priestorov .

V ideálnom prípade by ste mali byť schopní určiť, kto je zodpovedný za obsah pracovného priestoru, tým, kto sú správcami a členmi pracovného priestoru (a kontaktmi uvedenými pre pracovný priestor). Niektoré organizácie však prijmú stratégiu vlastníctva a správy obsahu, ktorá obmedzuje vytváranie pracovných priestorov na konkrétnych používateľov alebo skupiny. Zvyčajne majú vytvorený proces vytvárania pracovného priestoru, ktorý spravuje IT oddelenie. V tomto prípade by správcovia pracovného priestoru boli it oddelením, a nie používateľmi, ktorí priamo vytvárajú a publikujú obsah.

Člen pracovného priestoru

Používatelia s priradenou rolou Člen môžu pridávať iných používateľov pracovného priestoru (nie však správcov). Môžu tiež spravovať povolenia pre všetok obsah v pracovnom priestore.

Členovia pracovného priestoru môžu publikovať alebo zrušiť publikovanie aplikácie pre pracovný priestor, zdieľať položku pracovného priestoru alebo aplikáciu a povoliť ostatným používateľom zdieľať položky pracovného priestoru aplikácie.

Členovia pracovného priestoru by mali byť obmedzení na používateľov, ktorí potrebujú spravovať vytváranie obsahu pracovného priestoru a publikovať aplikáciu. V niektorých prípadoch na tento účel správcovia pracovného priestoru pracujú, a preto možno nebudete musieť k role Člena priraďovať žiadnych používateľov ani skupiny. Keď správcovia pracovného priestoru priamo nesúvisia s obsahom pracovného priestoru (napríklad preto, že IT spravuje proces vytvárania pracovného priestoru), členovia pracovného priestoru môžu byť skutočnými vlastníkmi zodpovednými za obsah pracovného priestoru.

Prispievateľ pracovného priestoru

Používatelia s priradenou rolou Prispievateľ môžu vytvárať, upravovať alebo odstraňovať obsah pracovného priestoru.

Prispievatelia nemôžu aktualizovať aplikáciu Power BI (ak existuje pre pracovný priestor), pokiaľ to nastavenie pracovného priestoru nepovolí. Ďalšie informácie nájdete v časti Variácie k rolám pracovného priestoru ďalej v tomto článku.

Väčšina tvorcov obsahu v organizácii sú prispievateľmi pracovného priestoru.

Zobrazovač pracovných priestorov

Používatelia s priradenou rolou Čitateľ môžu zobrazovať a pracovať so všetkým obsahom pracovného priestoru.

Rola Čitateľ je relevantná pre používateľov s povolením len na čítanie pre malé tímy a neformálne scenáre. Je plne popísaná v článku Plánovanie bezpečnosti spotrebiteľov zostáv.

Dôležité informácie o vlastníctve pracovného priestoru

Zoberme si príklad, kde sa na nastavenie nového pracovného priestoru vykonávajú nasledujúce akcie.

1. Konkrétnym šampiónom služby Power BI a satelitným členom Centra excelentnosti (COE) bolo udelené povolenie v nastaveniach nájomníka na vytváranie nových pracovných priestorov. Boli vyškolení v stratégiách organizácie obsahu a štandardoch pomenovania.
2. Vy (tvorca obsahu) odošlete žiadosť o vytvorenie pracovného priestoru pre nový projekt, ktorý budete spravovať. Pracovný priestor bude obsahovať zostavy, ktoré sledujú priebeh projektu.
3. Žiadosť dostane šampión služby Power BI pre svoju organizačnú jednotku. Zistili, že nový pracovný priestor je oprávnený. Potom vytvoria pracovný priestor a priradia skupine zabezpečenia šampiónov služby Power BI (pre svoju obchodnú jednotku) k role Spravovanie pracovného priestoru.
4. Šampión služby Power BI vám priradí rolu Člen pracovného priestoru (tvorca obsahu).
5. K role člena pracovného priestoru priradíte dôveryhodného kolegu, aby ste zaistili, že k dispozícii bude zálohovanie, ak nie ste.
6. Rolu Prispievateľa pracovného priestoru priradíte ostatným kolegom, pretože budú zodpovední za vytváranie obsahu pracovného priestoru vrátane sémantických modelov a zostáv.
7. Priraďte svojho manažéra k role čitateľa pracovného priestoru, pretože požiadali o prístup na monitorovanie vývoja projektu. Váš manažér by pred publikovaním aplikácie chcel skontrolovať obsah v pracovnom priestore.
8. Nesiete zodpovednosť za spravovanie ďalších vlastností pracovného priestoru, ako sú popis a kontakty. Vy tiež priebežne nesiete zodpovednosť za priebežný prístup k pracovnému priestoru.

Predchádzajúci príklad ukazuje účinný spôsob, ako umožniť decentralizovanej obchodnej jednotke schopnosť konať nezávisle. Ukazuje tiež zásadu najmenej oprávnení.

V prípade riadeného obsahu alebo kritického obsahu, ktorý sa lepšie spravuje, je najlepšie priradiť k rolám pracovného priestoru skupiny namiesto jednotlivých používateľských kont. Týmto spôsobom môžete spravovať členstvo v skupine oddelene od pracovného priestoru. Keď však priradíte skupiny k rolám, je možné, že používatelia sa priradia k viacerým rolám pracovného priestoru (pretože používateľ patrí do viacerých skupín). V takom prípade sú ich účinné povolenia založené na najvyššej role, ku ktorej sú priradení. Ďalšie informácie nájdete v téme Stratégia na používanie skupín.

Keď je pracovný priestor spoluvlastníkom viacerých jednotlivcov alebo tímov, môže skomplikovať spravovanie obsahu. Vyhnite sa scenárom vlastníctva viacerých tímov tak, že oddelíte pracovné priestory. Týmto spôsobom sú zodpovednosti jasné a priradenia rolí sa dajú jednoducho nastaviť.

Variácie rolí pracovného priestoru

Existujú dva varianty, ktorými sú štyri roly pracovného priestoru (popísané vyššie).

• Predvolene môžu aplikáciu pre pracovný priestor vytvárať, publikovať a aktualizovať len správcovia a členovia pracovného priestoru. Možnosť Povoliť prispievateľom aktualizovať aplikáciu pre toto nastavenie pracovného priestoru predstavuje nastavenie na úrovni pracovného priestoru, ktoré umožňuje správcom pracovného priestoru delegovať možnosť aktualizovať aplikáciu pre pracovný priestor na prispievateľov. Prispievatelia však nemôžu publikovať novú aplikáciu ani zmeniť, kto má povolenie na jej úpravu. Toto nastavenie je užitočné, ak chcete, aby prispievatelia mohli aktualizovať aplikáciu (ak existuje v pracovnom priestore), ale nemôžete udeliť ďalšie povolenia, ktoré sú k dispozícii členom.
• Nastavenie Nájomníka Blokovať znova publikovať a zakázať obnovenie balíka umožňuje iba vlastníkom sémantických modelov publikovať aktualizácie. Keď je táto možnosť povolená, správcovia, členovia a prispievatelia pracovného priestoru nemôžu publikovať zmeny, pokiaľ najprv neprevezmú sémantický model ako jeho vlastník. Keďže toto nastavenie sa vzťahuje na celú organizáciu, povoľte ho opatrne, pretože ovplyvňuje všetky sémantické modely nájomníka. Nezabudnite sémantickým tvorcom modelu oznámiť, čo môžu očakávať, pretože sa tým zmení normálne správanie rolí pracovného priestoru.

Dôležité

Povolenia pre jednotlivé položky si môžete predstaviť aj ako prepísanie štandardných rolí pracovného priestoru. Ďalšie informácie o povoleniach pre jednotlivé položky nájdete v článku Plánovanie zabezpečenia spotrebiteľov zostáv.

Kontrolný zoznam – pri plánovaní rolí pracovného priestoru medzi kľúčové rozhodnutia a akcie patria tieto:

• Vytvorenie matice zodpovednosti: Zmapujte, kto má spracovať jednotlivé funkcie pri vytváraní, udržiavaní, publikovaní, zabezpečení a podporovaní obsahu. Tieto informácie použite pri plánovaní rolí pracovného priestoru.
• Rozhodnite sa o svojej stratégii priradenia rolí pracovného priestoru tvorcom obsahu: Určte, ktorí používatelia musia byť správcom, členom alebo prispievateľom, a za akých okolností (ako je napríklad rola pracovnej pozície alebo oblasť predmetu). Ak existujú nezhody, ktoré spôsobujú obavy o zabezpečenie, zvážte, ako by mohli byť vaše pracovné priestory lepšie usporiadané.
• Určite, ako sa majú skupiny zabezpečenia v porovnaní s jednotlivcami používať na roly pracovného priestoru: Určte prípady použitia a účely, na ktoré budete musieť použiť skupiny. Používajte konkrétne informácie o tom, kedy sa má použiť zabezpečenie pomocou používateľských kont, a kedy sa vyžaduje alebo uprednostňuje skupina.
• Poskytnite tvorcom obsahu usmernenie o spravovaní rolí pracovného priestoru: Zahrňte dokumentáciu pre tvorcov obsahu o tom, ako spravovať roly pracovného priestoru. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
• Nastavenie a testovanie priradení roly pracovného priestoru: Overte, či tvorcovia obsahu majú funkcie, ktoré potrebujú na úpravu a publikovanie obsahu.

Povolenia tvorcu aplikácie

Tvorcovia obsahu, ktorí sú správcami alebo členmi pracovného priestoru, môžu vytvoriť a publikovať aplikáciu služby Power BI.

Správca pracovného priestoru môže tiež určiť nastavenie v pracovnom priestore, ktoré umožňuje prispievateľom pracovného priestoru aktualizovať aplikáciu. Je to zmena zabezpečenia rolí pracovného priestoru, pretože udeľuje prispievateľom ešte jedno povolenie, ktoré by za normálnych okolností nemali. Toto nastavenie sa nastavuje podľa pracovného priestoru.

Tip

Ďalšie informácie o doručovaní obsahu spotrebiteľom iba na čítanie nájdete v článku Plánovanie bezpečnosti spotrebiteľov zostáv. Tento článok obsahuje informácie o povoleniach aplikácie pre používateľov aplikácií vrátane cieľových skupín pre aplikáciu.

Kontrolný zoznam – pri plánovaní povolení tvorcu aplikácií sú k hlavným rozhodnutiam a akciám zahrnuté tieto:

• Rozhodnite sa o svojej stratégii pre to, kto môže vytvárať a publikovať aplikácie Power BI: Objasnite, kto by mal mať povolenie na vytváranie a publikovanie aplikácií Power BI.
• Určenie, kedy prispievatelia môžu aktualizovať aplikácie Power BI: Objasnite situácie, kedy by mal mať prispievateľ možnosť aktualizovať aplikácie Power BI. Keď je táto funkcia potrebná, aktualizujte nastavenie pracovného priestoru.

Povolenia zdroja údajov

Keď tvorca údajov spustí nový projekt, povolenia potrebné na prístup k externým zdrojom údajov sú jednou z ich prvých dôležitých informácií týkajúcich sa zabezpečenia. Môžu tiež potrebovať usmernenie týkajúce sa iných zdrojov údajov súvisiacich s prostredím vrátane úrovní ochrany osobných údajov, natívnych databázových dotazov a vlastných konektorov.

Prístup k zdroju údajov

Keď tvorca údajov vytvorí sémantický model, tok údajov alebo údajový graf, musí sa overiť pomocou zdrojov údajov, aby sa načítali údaje. Overovanie zvyčajne zahŕňa poverenia používateľa (konto a heslo), ktoré by mohli byť pre konto služby.

Niekedy je užitočné vytvoriť konkrétne kontá služby na prístup k zdrojom údajov. Pokyny, ako používať kontá služby vo vašej organizácii, nájdete v it oddelení. Ak sú povolené, používanie kont služby môže:

• Centralizovať povolenia potrebné pre zdroje údajov.
• Znížte počet jednotlivých používateľov, ktorí potrebujú povolenia na prístup k zdroju údajov.
• Vyhnite sa zlyhaniam obnovenia údajov pri odchode používateľa z organizácie.

Tip

Ak sa rozhodnete používať kontá služby, odporúčame vám prísne kontrolovať, kto má k povereniam prístup. Pravidelne rotujte heslá (napríklad každé tri mesiace), alebo keď používateľ s prístupom opustí organizáciu.

Pri prístupe k zdrojom údajov použite princíp najmenej oprávnení, aby ste zaistili, že používatelia (alebo kontá služby) budú mať povolenie iba na čítanie potrebných údajov. Nikdy by nemali mať povolenie na vykonávanie úprav údajov. Správcovia databázy, ktorí vytvárajú tieto kontá služby, by mali zisťovať očakávané dotazy a vyťaženia a podniknúť kroky na zabezpečenie primeraných optimalizácií (napríklad indexov) a zdrojov.

Tip

Ak je ťažké poskytnúť priamy prístup k zdroju údajov pre samoobslužných tvorcov údajov, zvážte použitie nepriameho prístupu. V služba Power BI môžete vytvárať toky údajov a povoliť tvorcom samoobslužných údajov, aby z nich mohli získavať údaje. Tento prístup prináša ďalšie výhody zníženia zaťaženia dotazu na zdroj údajov a poskytovanie konzistentnej snímky údajov. Ďalšie informácie nájdete v scenároch samoobslužnej prípravy údajov a pokročilej prípravy údajov.

Prihlasovacie údaje (konto a heslo) možno použiť jedným z dvoch spôsobov.

• Power BI Desktop: Poverenia sú šifrované a uložené lokálne v používateľskom počítači.
• služba Power BI: Poverenia sú šifrované a bezpečne uložené pre jednu z týchto oboch:
  • Sémantický model (keď sa brána údajov nepoužíva na dosiahnutie zdroja údajov).
  • Zdroj údajov brány (keď sa na prístup k zdroju údajov používa štandardná brána alebo služba brány virtuálnej siete).

Tip

Ak ste už zadali poverenia pre zdroj údajov sémantického modelu, služba Power BI automaticky naviaže tieto poverenia na iné zdroje údajov sémantického modelu, keď sa vyskytne presná zhoda reťazec pripojenia a názvu databázy. Služba Power BI aj aplikácia Power BI Desktop budú vyzerať tak, ako keby ste zadávali poverenia pre každý zdroj údajov. Rovnaké poverenia však môžete použiť aj na zodpovedajúce zdroje údajov, ktoré majú rovnakého vlastníka. V tomto ohľade sú poverenia sémantického modelu obmedzené na vlastníka .

Poverenia sú šifrované a uložené oddelene od dátového modelu v aplikácii Power BI Desktop aj v služba Power BI. Toto rozdelenie údajov má nasledujúce výhody zabezpečenia.

• Uľahčuje opätovné použitie poverení pre viaceré sémantické modely, toky údajov a dátovémarty.
• Keď niekto analyzuje metaúdaje sémantického modelu, nemôže extrahovať poverenia.
• V aplikácii Power BI Desktop sa iný používateľ nemôže pripojiť k pôvodnému zdroju údajov na obnovenie údajov bez toho, aby najprv musel použiť prihlasovacie údaje.

Niektoré zdroje údajov podporujú jediné prihlásenie (SSO), ktoré je možné nastaviť pri zadávaní poverení v služba Power BI (pre sémantický model alebo zdroje údajov brány). Keď povolíte jediné prihlásenie, Power BI odošle prihlasovacie údaje overeného používateľa do zdroja údajov. Táto možnosť umožňuje službe Power BI ctiť nastavení zabezpečenia, ktoré sú nastavené v zdroji údajov, ako je napríklad zabezpečenie na úrovni riadkov. Jediné prihlásenie je užitočné najmä vtedy, keď tabuľky v dátovom modeli používajú režim úložiska DirectQuery.

Úrovne ochrany osobných údajov

Úrovne ochrany osobných údajov určujú úrovne izolácie, ktoré definujú, do akej miery je jeden zdroj údajov izolovaný od iných zdrojov údajov. Ak je to vhodné, zabezpečia, že Power Query prenáša medzi zdrojmi iba kompatibilné údaje. Ak môže Power Query prenášať údaje medzi zdrojmi údajov, môže mať za následok efektívnejšie dotazy, ktoré znížia objem údajov odosielaných do služby Power BI. Ak nemôže prenášať údaje medzi zdrojmi údajov, môže to mať za následok nižší výkon.

Existujú tri úrovne ochrany osobných údajov.

• Súkromné: Zahŕňa citlivé alebo dôverné údaje, ktoré musia byť izolované od všetkých ostatných zdrojov údajov. Táto úroveň je najprísnejšia. Údaje zo zdroja súkromných údajov nie je možné zdieľať so žiadnymi inými zdrojmi údajov. Napríklad databáza ľudských zdrojov, ktorá obsahuje hodnoty platov zamestnancov, by mala byť nastavená na úroveň ochrany osobných údajov v súkromnom formáte.
• Organizačné: Izolované od verejných zdrojov údajov, ale je viditeľné pre iné zdroje údajov organizácie. Táto úroveň je najbežnejšia. Údaje zdroja údajov organizácie je možné zdieľať so zdrojmi súkromných údajov alebo inými zdrojmi údajov organizácie. Väčšinu interných operačných databáz je možné nastaviť na úrovni ochrany osobných údajov organizácie.
• Verejné: Údaje, ktoré nie sú citlivé, by mohli byť viditeľné pre akýkoľvek zdroj údajov. Táto úroveň je najmenej obmedzujúca. Údaje z verejného zdroja údajov je možné zdieľať s ktorýmkoľvek iným zdrojom údajov. Napríklad zostavu sčítania ľudu získanú z webovej lokality štátnej správy možno nastaviť na úroveň ochrany osobných údajov vo verejnom záujme.

Pri kombinovaní dotazov z rôznych zdrojov údajov je dôležité nastaviť správnu úroveň ochrany osobných údajov. Ak sú úrovne ochrany osobných údajov správne nastavené, existuje možnosť preniesť údaje z jedného zdroja údajov do iného zdroja údajov na efektívne dotazovanie údajov.

Predstavte si scenár, v ktorom má tvorca sémantických modelov dva zdroje údajov: excelový zošit a tabuľku v databáze Azure SQL. Chcú filtrovať údaje v tabuľke databázy Azure SQL pomocou hodnoty, ktorá pochádza z excelového zošita. Najúčinnejší spôsob, ako môže Power Query vygenerovať príkaz SQL pre databázu Azure SQL, je použiť klauzulu WHERE na vykonanie potrebného filtrovania. Tento príkaz SQL však bude obsahovať predikát klauzuly WHERE s hodnotou, ktorá pochádza z excelového zošita. Ak zošit programu Excel obsahuje citlivé údaje, môže to predstavovať porušenie zabezpečenia, pretože správca databázy mohol zobraziť príkaz SQL pomocou nástroja na sledovanie. Menej efektívnym je však to, že mashup modul Power Query stiahne celú množinu výsledkov tabuľky databázy a vykoná samotné filtrovanie v služba Power BI. Tento prístup bude menej efektívny a pomalý, ale bezpečný.

Úrovne ochrany osobných údajov je možné nastaviť pre každý zdroj údajov:

• Modelári údajov v aplikácii Power BI Desktop.
• V prípade sémantických vlastníkov modelov v služba Power BI (pre cloudové zdroje údajov, ktoré nevyžadujú bránu).
• Tvorcovia a vlastníci zdroja údajov brány v služba Power BI (pre zdroje údajov brány).

Dôležité

Úrovne ochrany osobných údajov, ktoré ste nastavili v aplikácii Power BI Desktop, sa neprenesú do služba Power BI.

K dispozícii je možnosť zabezpečenia aplikácie Power BI Desktop, ktorá umožňuje ignorovať úrovne ochrany osobných údajov na zlepšenie výkonu. Túto možnosť môžete použiť na zlepšenie výkonu dotazov pri vývoji dátového modelu, keď neexistuje riziko narušenia zabezpečenia údajov (pretože pracujete s vývojom alebo testovaním údajov, ktoré nie sú citlivé). Toto nastavenie však služba Power BI nepochová.

Ďalšie informácie nájdete v téme Úrovne ochrany osobných údajov v Power BI Desktope.

Natívne databázové dotazy

Ak chcete vytvoriť efektívne dotazy Power Query, môžete na prístup k údajom použiť natívny dotaz . Natívny dotaz je príkaz napísaný v jazyku podporovanom zdrojom údajov. Natívne dotazy sú podporované len určitými zdrojmi údajov, ktoré sú zvyčajne relačnými databázami, ako je databáza Azure SQL.

Natívne dotazy môžu predstavovať riziko zabezpečenia, pretože by mohli byť spúšťané škodlivým príkazom SQL. Škodlivé vyhlásenie môže vykonávať úpravy údajov alebo odstraňovať záznamy databázy (ak má používateľ požadované povolenia v zdroji údajov). Z tohto dôvodu natívne dotazy predvolene vyžadujú schválenie používateľa na spustenie v aplikácii Power BI Desktop.

K dispozícii je možnosť zabezpečenia aplikácie Power BI Desktop, ktorá umožňuje vypnúť požiadavku pre predbežné schválenie. Odporúčame ponechať predvolené nastavenie vyžadujúce schválenie používateľmi, a to najmä vtedy, ak očakávate, že súbor Power BI Desktop by mohli obnoviť ostatní používatelia.

Vlastné konektory

Vývojári môžu pomocou súpravy SDK doplnku Power Query vytvárať vlastné konektory. Vlastné konektory umožňujú prístup k vlastníckym zdrojom údajov alebo implementujú konkrétne overovanie s vlastnými údajovými rozšíreniami. Niektoré vlastné konektory sú certifikované a distribuované spoločnosťou Microsoft ako certifikované konektory. Certifikované konektory boli auditované a kontrolované, aby sa zabezpečilo, že spĺňajú určité špecifikované požiadavky na kód, ktoré otestovala a schválila spoločnosť Microsoft.

K dispozícii je možnosť zabezpečenia údajového rozšírenia v aplikácii Power BI Desktop, ktorá obmedzuje používanie necertifikovaných konektorov. V predvolenom nastavení sa pri pokuse o načítanie necertifikovaného konektora vyvolá chyba. Nastavením tejto možnosti, aby ste povolili necertifikované konektory, sa vlastné konektory načítajú bez overenia alebo upozornenia.

Odporúčame, aby ste mali úroveň zabezpečenia údajového rozšírenia na vyššej úrovni, čo zabraňuje načítaniu necertifikovaného kódu. V niektorých prípadoch však budete chcieť načítať konkrétne konektory, napríklad konektory, ktoré ste vyvinuli, alebo konektory, ktoré vám poskytol dôveryhodný konzultant alebo dodávateľ mimo certifikačnej cesty spoločnosti Microsoft.

Poznámka

Vývojári interných vyvinutých konektorov môžu vykonať kroky na podpísanie konektora s certifikátom, čo vám umožní používať konektor bez nutnosti zmeny nastavení zabezpečenia. Ďalšie informácie nájdete v téme Dôveryhodné konektory tretích strán.

Kontrolný zoznam – pri plánovaní povolení zdroja údajov sú ku kľúčovým rozhodnutiam a akciám zahrnuté tieto:

• Rozhodnite sa, kto môže priamo získať prístup ku každému zdroju údajov: Určte, ktorí tvorcovia údajov majú priamy prístup k zdroju údajov. Ak existuje stratégia na zníženie počtu ľudí s priamym prístupom, objasnite, aká je preferovaná alternatíva (možno pomocou tokov údajov).
• Rozhodnite sa, ako by sa mali získať prístup k zdrojom údajov: Určte, či sa budú používať prihlasovacie údaje jednotlivých používateľov na prístup k zdroju údajov alebo či sa na tento účel má vytvoriť konto služby. Určte, kedy je vhodné jediné prihlásenie.
• Poskytnite usmernenie pre tvorcov sémantických modelov o prístupe k zdrojom údajov: Zahrnutie dokumentácie pre tvorcov obsahu o prístupe k zdrojom údajov organizácie. Publikujte informácie na centralizovaný portál a školiace materiály.
• Poskytnite usmernenie pre tvorcov sémantických modelov o úrovniach ochrany osobných údajov: Poskytnite usmernenie pre tvorcov sémantických modelov, aby si boli vedomí úrovní ochrany osobných údajov a ich vplyvov pri práci s citlivými alebo dôvernými údajmi. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
• Poskytnite tvorcom pripojení brány usmernenie o úrovniach ochrany osobných údajov: Poskytnite usmernenie pre tvorcov sémantických modelov, aby si boli vedomí úrovní ochrany osobných údajov a ich dôsledkov pri práci s citlivými alebo dôvernými údajmi. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
• Rozhodnite sa pre stratégiu používania natívnych databázových dotazov: Zvážte svoju stratégiu používania natívnych databázových dotazov. Vzdelávajte tvorcov sémantických modelov o tom, ako a kedy nastaviť možnosť natívnych databázových dotazov aplikácie Power BI Desktop na zakázanie predbežného schválenia pri spustení natívnych dotazov v doplnku Power Query.
• Rozhodnite sa o stratégii používania vlastných konektorov: Zvážte svoju stratégiu používania vlastných konektorov. Určite, či je použitie necertifikovaných konektorov oprávnené. V takom prípade tvorcovia sémantických modelov zistite, ako a kedy nastaviť možnosť údajového rozšírenia aplikácie Power BI Desktop.

Povolenia pre tvorcu sémantických modelov

Používateľovi alebo skupine môžete rôznymi spôsobmi priradiť povolenie na úpravu sémantického modelu.

• Rola pracovného priestoru: Priradenie ľubovoľnej roly pracovného priestoru poskytuje prístup k všetkým sémantickým modelom v pracovnom priestore. Možnosť zobraziť alebo upraviť existujúci sémantický model závisí od roly pracovného priestoru, ktorú priradíte. Spravovanie stratorov, členov a prispievateľov môžu publikovať alebo upravovať obsah v rámci pracovného priestoru.
• Prepojenia na povolenia pre položku: Ak bolo prepojenie na zdieľanie vytvorené pre zostavu, prepojenie na čítanie sémantického modelu (a prípadne vytváranie, zapisovaie a/alebo opätovné zdieľanie) je tiež nepriamo udelené prepojením.
• Povolenia na priamy prístup pre jednotlivé položky: Môžete priradiť povolenie priameho prístupu ku konkrétnemu sémantickému modelu.

Na nasledujúcej snímke obrazovky si všimnite povolenia priradené k sémantickému modelu údajov call centra. Jeden používateľ má povolenie na čítanie, ktoré bolo udelené pomocou povolení priameho prístupu pre jednotlivé položky. Zostávajúci používatelia a skupiny majú povolenia, pretože sú priradení k rolám pracovného priestoru.

Tip

Povolenie na položku (prepojenia alebo priamy prístup) funguje najlepšie, ak je zámerom používateľa alebo skupiny zobraziť alebo upraviť jednu konkrétnu položku v pracovnom priestore. Najvhodnejšia je, ak používateľ nemá povolenie na prístup ku všetkým položkám v pracovnom priestore. Vo väčšine prípadov odporúčame navrhnúť pracovné priestory tak, aby sa zabezpečenie jednoduchšie spravovalo s rolami pracovného priestoru. Nenastavujte povolenia pre položku vždy, keď je to možné.

Povolenia pre sémantický model

Môžete priradiť nasledujúce povolenia sémantického modelu.

• Prečítajte si: Zamerané predovšetkým na spotrebiteľov zostáv, toto povolenie umožňuje zostave dotazovať údaje v sémantickom modeli. Ďalšie informácie o povoleniach na zobrazenie obsahu iba na čítanie nájdete v článku Plánovanie zabezpečenia spotrebiteľa zostavy.
• Zostava: Táto rola zameraná na tvorcov zostáv umožňuje používateľom vytvárať nové zostavy na základe zdieľaného sémantického modelu. Ďalšie informácie nájdete v časti Povolenia tvorcu zostáv ďalej v tomto článku.
• Písanie: Zamerané na tvorcov sémantických modelov, ktorí vytvárajú, publikujú a spravujú sémantické modely, toto povolenie umožňuje používateľom upravovať sémantický model. Popis nájdete ďalej v tejto časti.
• Opätovné zdieľanie: Zamerané na každého, kto má existujúce povolenie na sémantický model, toto povolenie umožňuje používateľom zdieľať sémantický model s iným používateľom. Popis nájdete ďalej v tejto časti.

Správca pracovného priestoru alebo člen môžu upravovať povolenia pre sémantický model.

Povolenie na čítanie sémantického modelu

Sémantický model povolenie na čítanie je primárne zamerané na spotrebiteľov. Toto povolenie sa vyžaduje, aby používatelia mohli zobrazovať údaje, ktoré sa zobrazujú v zostavách. Zostavy založené na sémantickom modeli musia mať tiež povolenie na čítanie. V opačnom prípade sa zostava nepodarí načítať. Ďalšie informácie o nastavení povolení zostavy na čítanie nájdete v článku Plánovanie zabezpečenia spotrebiteľov zostáv.

Povolenie na vytváranie sémantických modelov

Okrem sémantického modelu povolenia na čítanie potrebujú tvorcovia obsahu aj povolenie na vytváranie sémantického modelu. Povolenie na vytváranie konkrétne umožňuje tvorcom zostáv:

• Vytvárať nové zostavy Power BI na základe sémantického modelu.
• Pripojenie k sémantickému modelu pomocou Analyzovať v Exceli.
• Dotazujte sémantický model pomocou koncového bodu XMLA.
• Exportovanie základných údajov zostavy Power BI (namiesto súhrnných údajov načítaných vizuálom).
• Vytvorte pripojenie DirectQuery k sémantickému modelu služby Power BI. V tomto prípade sa nový sémantický model pripojí k jednému alebo viacerým existujúcim sémantickým modelom služby Power BI (známym ako reťazenie). Na dotazovanie reťazených sémantických modelov bude tvorca sémantických modelov potrebovať povolenie na vytváranie pre všetky upstreamové sémantické modely. Ďalšie informácie nájdete v časti Reťazené sémantické modely ďalej v tomto článku.

Povolenie na vytváranie môžete používateľovi alebo skupine udeliť priamo alebo nepriamo rôznymi spôsobmi.

• Udelenie kompolu priamo prostredníctvom:
  • Nastavenie povolení sémantického modelu na stránke sémantických modelov v služba Power BI.
  • Nastavenie povolení sémantického modelu pomocou rozhrania Power BI REST API.
• Udeľte zostavu nepriamo prostredníctvom:
  • Zdieľanie zostavy alebo tabule a nastavenie možnosti udeliť povolenie na vytváranie sémantického modelu.
  • Publikovanie aplikácie Power BI a nastavenie rozšírenej možnosti (pre cieľovú skupinu) na udelenie povolenia na vytváranie súvisiacich sémantických modelov.
  • Priradenie používateľov k rolám pracovného priestoru Spravovanie, Člena alebo Prispievateľa.

Ak chcete spravovať zabezpečenie na základe podrobných údajov podľa položky, je vhodné nastaviť povolenie na vytváranie priamo pre sémantický model. Nepriamo nastavenie povolenia na vytváranie je vhodné vtedy, keď používatelia, ktorí budú zobrazovať alebo používať obsah prostredníctvom niektorej z nepriamych metód, vytvoria aj nový obsah.

Tip

Používatelia, ktorí si často prezerajú zostavu alebo aplikáciu Power BI, sa často líšia od používateľov, ktorí vytvárajú nový obsah pomocou základných sémantických modelov. Väčšina používateľov je len divákmi, preto nemusia vytvárať nový obsah. Odporúčame, aby ste informovali svojich tvorcov obsahu, aby udelili čo najmenší počet požadovaných povolení.

Povolenie na zápis v sémantickom modeli

Nastavenie povolení pre používateľov, ktorí môžu upravovať a spravovať sémantické modely, sa zvyčajne vykoná priradením používateľov k role pracovného priestoru Spravovanie, člena alebo prispievateľa. Je však tiež možné nastaviť povolenie na zápis pre konkrétny sémantický model.

Odporúča sa používať roly pracovného priestoru vždy, keď je to možné, pretože ide o najjednoduchší spôsob spravovania a auditu povolení. Ak ste sa rozhodli vytvárať menej pracovných priestorov a pracovný priestor obsahuje sémantické modely pre rôzne oblasti, ktoré vyžadujú rôzne spravovanie povolení, použite sémantický model povolenia na základe jednotlivých položiek.

Tip

Usmernenia o tom, ako usporiadať pracovné priestory, nájdete v článkoch o plánovaní pracovného priestoru.

Povolenie na opätovné zdieľanie sémantického modelu

Povolenie na opätovné zdieľanie sémantického modelu umožňuje používateľovi s existujúcim povolením na zdieľanie sémantického modelu s ostatnými používateľmi. Toto povolenie môžete udeliť, keď sa obsah v sémantickom modeli môže voľne zdieľať na základe vlastného uváženia používateľa.

V mnohých prípadoch sa odporúča obmedziť použitie povolenia na opätovné zdieľanie, aby sa zabezpečilo, že povolenia sémantického modelu sa pozorne kontrolujú. Pred udelením povolenia na opätovné zdieľanie získajte schválenie od vlastníkov sémantických modelov.

Zabezpečenie údajov sémantického modelu

Menej sémantických modelov a zostáv môžete vytvoriť vynucovaním zabezpečenia údajov. Cieľom je vynútiť zabezpečenie údajov na základe identity používateľa, ktorý zobrazuje obsah.

Tvorca sémantických modelov môže vynútiť zabezpečenie údajov dvomi spôsobmi.

• Zabezpečenie na úrovni riadkov umožňuje modelárovi údajov obmedziť prístup k podmnožine údajov.
• Zabezpečenie na úrovni objektu (Object-Level Security, OLS) umožňuje modelárovi údajov obmedziť prístup ku konkrétnym tabuľkám a stĺpcom a k ich metaúdajom.

Implementácia zabezpečenia na úrovni riadkov a systému OLS je zameraná na spotrebiteľov zostáv. Ďalšie informácie nájdete v článku Plánovanie bezpečnosti spotrebiteľov zostáv. Popisuje, ako a kedy sa vynucujú zabezpečenie na úrovni riadkov a OLS pre spotrebiteľov, ktorí majú povolenie iba na zobrazenie pre sémantický model.

Informácie o zabezpečení na úrovni riadkov a službe OLS zameranej na iných tvorcov zostáv nájdete v časti o zabezpečení údajov v časti Povolenia tvorcu zostáv ďalej v tomto článku.

Z reťazené sémantické modely

Sémantické modely služby Power BI sa môžu pripojiť k iným sémantickým modelom v procese známom ako reťazenie, čo je pripojenie k upstreamovým sémantickým modelom. Ďalšie informácie nájdete v téme Používanie režimu DirectQuery pre sémantické modely služby Power BI a Analysis Services.

Nastavenie Povoliť pripojenia DirectQuery k sémantickým modelom služby Power BI umožňuje správcom služby Power BI nastaviť skupiny tvorcov obsahu, ktoré môžu vytvárať z reťazcované sémantické modely. Ak nechcete obmedziť sémantických tvorcov modelov z reťazenia sémantických modelov, môžete toto nastavenie ponechať povolené pre celú organizáciu a spoliehať sa na prístup k pracovnému priestoru a povoleniam sémantického modelu. V niektorých prípadoch môžete zvážiť obmedzenie tejto možnosti na schválených tvorcov obsahu.

Poznámka

Ako tvorca sémantických modelov môžete reťazenie obmedziť na sémantický model. Vykonáva sa to povolením možnosti Odradiť pripojenie DirectQuery k tomuto sémantickému modelu v aplikácii Power BI Desktop. Ďalšie informácie nájdete v téme Spravovanie pripojení DirectQuery k publikovanému sémantickému modelu.

Dotazy rozhrania API sémantického modelu

V niektorých situáciách možno budete chcieť vykonať dotaz DAX pomocou rozhrania Power BI REST API. Môžete napríklad chcieť vykonať overenie kvality údajov. Ďalšie informácie nájdete v téme Množiny údajov – Vykonanie dotazov.

Nastavenie nájomníka rozhrania REST API množiny údajov Execute Queries umožňuje správcom služby Power BI nastaviť, ktoré skupiny používateľov môžu odosielať dotazy DAX pomocou rozhrania Power BI REST API. Vo väčšine prípadov môžete toto nastavenie ponechať povolené pre celú organizáciu a spoliehať sa na povolenia na prístup k pracovnému priestoru a sémantický model. V niektorých prípadoch môžete zvážiť obmedzenie tejto možnosti na schválených tvorcov obsahu.

Kontrolný zoznam – pri plánovaní povolení pre tvorcu sémantických modelov sú k hlavným rozhodnutiam a akciám zahrnuté tieto:

• Rozhodnite sa o stratégii pre povolenia tvorcu sémantických modelov: Určite, aké preferencie a požiadavky existujú na spravovanie zabezpečenia pre tvorcov sémantických modelov. Zvážte oblasť a úroveň citlivosti údajov. Zvážte tiež, kto má povolené prevziať zodpovednosť za spravovanie údajov a povolení v centralizovaných a decentralizovaných organizačných jednotkách.
• Pozrite si, ako sa riešia roly pracovného priestoru pre tvorcov sémantických modelov: Určte, aký vplyv to má na proces návrhu pracovného priestoru. Vytvorte samostatné pracovné priestory údajov pre každú oblasť, aby ste mohli jednoduchšie spravovať roly pracovného priestoru a zabezpečenie sémantických modelov pre každú oblasť.
• Poskytnite usmernenie pre tvorcov sémantických modelov o spravovaní povolení: Zahrnutie dokumentácie pre tvorcov sémantických modelov o spravovaní povolení sémantických modelov. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
• Rozhodnite sa, kto môže používať pripojenia DirectQuery pre sémantické modely Power BI: Rozhodnite sa, či budú existovať nejaké obmedzenia, pre ktoré tvorcovia sémantických modelov Power BI (s existujúcimi povoleniami na vytváranie pre sémantický model) môžu vytvoriť pripojenie k sémantickému modelu služby Power BI. Nastavte nastavenie Povoliť pripojenia DirectQuery k sémantickým modelom služby Power BI tak, aby bolo v súlade s týmto rozhodnutím. Ak sa rozhodnete obmedziť túto možnosť, zvážte použitie skupiny, ako napríklad tvorcov sémantických modelov schválených službou Power BI.
• Rozhodnite sa, kto bude môcť dotazovať sémantické modely Power BI pomocou rozhrania REST API: Rozhodnite sa, či chcete obmedziť tvorcom obsahu služby Power BI dotazovanie sémantických modelov Power BI pomocou rozhrania Power BI REST API. Nastavenie nájomníka rozhrania REST API Spúšťanie dotazov množiny údajov nastavte tak, aby bolo v súlade s týmto rozhodnutím. Ak sa rozhodnete obmedziť túto možnosť, zvážte použitie skupiny, ako sú napríklad schválení tvorcovia zostáv v službe Power BI.
• Rozhodnite sa o stratégii používania zabezpečenia na úrovni riadkov alebo OLS pre tvorcov sémantických modelov: Zvážte, ktoré prípady použitia a účely plánujete použiť zabezpečenie na úrovni riadkov alebo OLS. Faktor v stratégii návrhu pracovného priestoru a kto má povolenia na čítanie a úpravu, keď chcete vynútiť zabezpečenie na úrovni riadkov alebo OLS pre tvorcov sémantických modelov.

Povolenia tvorcu zostáv

Tvorcovia zostáv potrebujú prístup k pracovnému priestoru na vytváranie zostáv v služba Power BI alebo ich publikovanie z aplikácie Power BI Desktop. Musí byť správcom, členom alebo prispievateľom v cieľovom pracovnom priestore.

Vždy, keď je to možné, tvorcovia zostáv by mali používať existujúci zdieľaný sémantický model (prostredníctvom dynamického pripojenia alebo režimu DirectQuery). Týmto spôsobom sa proces vytvorenia zostavy odpojí od procesu vytvárania sémantického modelu. Tento typ odchodu poskytuje mnoho výhod pre scenáre zabezpečenia a vývoja tímu.

Tvorca zostavy musí byť správcom, členom alebo prispievateľom pracovného priestoru.

Na rozdiel od sémantických modelov neexistuje pre zostavy povolenie na zápis. Ak chcete podporiť tvorcov zostáv, musíte použiť roly pracovného priestoru. Z tohto dôvodu je optimálny návrh pracovného priestoru dôležitý na vyváženie potrieb organizácie obsahu a zabezpečenia.

Tip

Povolenia na podporu spotrebiteľov zostáv (vrátane povolení na čítanie a opätovné zdieľanie na položku) nájdete v článku Plánovanie zabezpečenia pre spotrebiteľov zostáv.

Načítať a vytvoriť povolenia pre základný sémantický model

Tvorcovia zostáv musia mať povolenia na čítanie a vytváranie v sémantických modeloch, ktoré budú používať ich zostavy, vrátane reťazených sémantických modelov. Toto povolenie možno udeliť explicitne v individuálnych sémantických modeloch alebo možno ho udeliť implicitne pre sémantické modely pracovného priestoru, keď je tvorca zostavy správcom, členom alebo prispievateľom pracovného priestoru.

Nastavenie Používanie sémantických modelov v rámci nájomníka pracovných priestorov umožňuje správcom služby Power BI nastaviť skupiny používateľov, ktoré môžu vytvárať zostavy používajúce sémantické modely umiestnené v iných pracovných priestoroch. Toto nastavenie je zamerané na sémantický model a tvorcov zostáv. Zvyčajne sa odporúča ponechať toto nastavenie povolené pre celú organizáciu a spoliehať sa na nastavenia prístupu k pracovnému priestoru a povolenia pre sémantický model. Týmto spôsobom môžete podporovať používanie existujúcich sémantických modelov. V niektorých prípadoch môžete zvážiť obmedzenie tejto funkcie iba na schválených tvorcov obsahu.

K dispozícii je aj nastavenie nájomníka Povoliť dynamické pripojenia , ktoré umožňuje správcom služby Power BI nastaviť, ktoré skupiny používateľov môžu vytvárať dynamické pripojenia k sémantickým modelom v aplikácii Power BI Desktop alebo Exceli. Je zameraná konkrétne na tvorcov zostáv a tiež vyžaduje, aby im bolo udelené povolenie na čítanie a vytváranie v sémantickom modeli, ktorý bude zostava používať. Odporúčame, aby ste toto nastavenie ponechali povolené pre celú organizáciu a spoliehali sa na povolenia na prístup k pracovnému priestoru a sémantickému modelu. Týmto spôsobom môžete podporovať používanie existujúcich sémantických modelov. V niektorých prípadoch môžete zvážiť obmedzenie tejto funkcie iba na schválených tvorcov obsahu.

Zabezpečenie údajov pre základný sémantický model

Zabezpečenie na úrovni riadkov a OLS (popísané vyššie v tomto článku) sú zamerané na spotrebiteľov zostáv. Niekedy je však potrebné vynútiť ho aj pre tvorcov zostáv. Vytvorenie samostatných pracovných priestorov je oprávnené, keď je zabezpečenie na úrovni riadkov potrebné vynútiť pre tvorcov zostáv a aj používateľov zostáv.

Zvážte nasledujúci scenár.

• Centralizované zdieľané sémantické modely so zabezpečením na úrovni riadkov: Tím podnikovej služby BI publikoval sémantické modely predaja do pracovného priestoru Údaje o predaji. Tieto sémantické modely vynucujú zabezpečenie na úrovni riadkov, aby zobrazovali údaje o predaji pre priradenú oblasť predaja zákazníka zostavy.
• Decentralizované samoobslužné tvorcov zostáv: Obchodná jednotka predaja a marketingu má mnoho schopných analytikov, ktorí vytvárajú svoje vlastné zostavy. Publikujú svoje zostavy v pracovnom priestore Sales Analytics .
• Povolenia na čítanie a vytváranie pre sémantické modely: Vždy, keď je to možné, analytici používajú sémantické modely z pracovného priestoru Údaje o predaji, aby sa vyhli zbytočnej duplicite údajov. Keďže analytici majú v týchto sémantických modeloch povolenia iba na čítanie a vytváranie (bez povolení na zápis alebo úpravu), zabezpečenie na úrovni riadkov sa vynucuje pre tvorcov zostáv (a tiež pre spotrebiteľov zostáv).
• Úprava povolení pre pracovný priestor vytvárania zostáv: Analytici majú viac práv v pracovnom priestore Sales Analytics . Roly správcu, člena alebo prispievateľa im umožňujú publikovať a spravovať svoje zostavy.

Ďalšie informácie o zabezpečení na úrovni riadkov a službe OLS nájdete v článku Plánovanie zabezpečenia spotrebiteľov v zostavách. Popisuje, ako a kedy sa vynucujú zabezpečenie na úrovni riadkov a OLS pre spotrebiteľov, ktorí majú povolenie iba na zobrazenie pre sémantický model.

Pripojenie externých sémantických modelov

Keď sa tvorca zostavy pripojí k zdieľanému sémantickému modelu svojej zostavy, zvyčajne sa pripojí k zdieľanému sémantickému modelu, ktorý bol publikovaný vo vlastnom nájomníkovi služby Power BI. Po udelení povolenia sa môžete pripojiť aj k zdieľanému sémantickému modelu v inom nájomníkovi. Ďalším nájomníkom môže byť partner, zákazník alebo dodávateľ.

Táto funkcia je známa ako zdieľanie sémantických modelov na mieste (známe aj ako zdieľanie sémantických modelov medzi nájomníkmi). Zostavy vytvorené tvorcom zostavy (alebo nové zložené modely vytvorené tvorcom sémantických modelov) sú uložené a zabezpečené v nájomníkovi služby Power BI pomocou normálneho procesu. Pôvodný zdieľaný sémantický model zostáva v pôvodnom nájomníkovi služby Power BI a všetky povolenia sa tam spravujú.

Ďalšie informácie nájdete v článku Plánovanie zabezpečenia na úrovni nájomníka. Obsahuje informácie o nastaveniach nájomníka a sémantických nastaveniach modelu, s ktorými funguje externé zdieľanie.

Odporúčané tabuľky

V aplikácii Power BI Desktop môžu tvorcovia sémantických modelov nastaviť tabuľku modelu, aby sa stala odporúčanou tabuľkou. Po publikovaní sémantického modelu do služba Power BI môžu tvorcovia zostáv použiť galériu typov údajov v Exceli na nájdenie odporúčanej tabuľky, čo im umožní pridať odporúčané údaje tabuľky, aby rozšírili svoje excelové hárky.

Nastavenie Povoliť pripojenia k odporúčaným tabuľkám umožňuje správcom služby Power BI nastaviť skupiny používateľov s prístupom k odporúčaným tabuľkám. Je zameraná na používateľov Excelu, ktorí chcú získať prístup k odporúčaným tabuľkám služby Power BI v typoch údajov organizácie Excelu. Odporúčame, aby ste toto nastavenie ponechali povolené pre celú organizáciu a spoliehali sa na povolenia na prístup k pracovnému priestoru a sémantickému modelu. Týmto spôsobom môžete podporovať používanie odporúčaných tabuliek.

Povolenia vlastných vizuálov

Okrem základných vizuálov môžu tvorcovia zostáv v službe Power BI používať vlastné vizuály. V aplikácii Power BI Desktop si môžete vlastné vizuály stiahnuť zo služby Microsoft AppSource. Môžu sa tiež vyvíjať interne pomocou súpravy SDK služby Power BI a nainštalovať otvorením súboru vizuálu (.pbviz).

Niektoré vizuály, ktoré sú k dispozícii na stiahnutie zo služby AppSource, sú certifikované vizuály. Certifikované vizuály spĺňajú určité špecifikované požiadavky na kód, ktoré otestoval a schválil tím služby Power BI. Testy skontrolujú, či vizuály nepristupujú k externým službám alebo zdrojom.

Nastavenie Povoliť vizuály vytvorené nájomníkom súpravy Power BI SDK umožňuje správcom služby Power BI kontrolovať, ktoré skupiny používateľov môžu používať vlastné vizuály.

K dispozícii je aj nastavenie nájomníka Pridať a používať iba certifikované vizuály, ktoré umožňuje správcom služby Power BI zablokovať používanie necertifikovaných vizuálov v služba Power BI. Toto nastavenie je možné povoliť alebo zakázať v celej organizácii.

Poznámka

Ak blokovanie používania necertifikovaných vizuálov platí len pre služba Power BI. Ak chcete obmedziť ich používanie v aplikácii Power BI Desktop, požiadajte správcov systému, aby použili nastavenie skupinovej politiky na blokovanie ich používania v aplikácii Power BI Desktop. Vykonaním tohto kroku tvorcovia zostáv nestrácajú čas a úsilie pri vytváraní zostavy, ktorá nebude po publikovaní v služba Power BI fungovať. Dôrazne odporúčame, aby ste nastavili, aby používatelia mali konzistentné skúsenosti v služba Power BI (s nastavením nájomníka) a aplikácii Power BI Desktop (so skupinovou politikou).

Power BI Desktop má možnosť zobraziť upozornenie zabezpečenia, keď tvorca zostavy pridá do zostavy vlastný vizuál. Tvorcovia zostáv môžu túto možnosť zakázať. Táto možnosť testuje, či je vizuál certifikovaný.

Správcovia služby Power BI môžu schváliť a nasadiť vlastné vizuály pre svoju organizáciu. Tvorcovia zostáv potom tieto vizuály jednoducho nájdu, aktualizujú a použijú. Spravovanie vizuály potom môžu tieto vizuály spravovať aktualizáciou verzií alebo zakázaním a povolením konkrétnych vlastných vizuálov. Tento prístup je užitočný, ak chcete sprístupniť interný vyvinutý vizuál tvorcom zostáv alebo keď získate vlastný vizuál od dodávateľa, ktorý sa nenachádza v službe AppSource. Ďalšie informácie nájdete v téme Vizuály služby Power BI pre organizácie.

Zvážte vyváženú stratégiu povolenia iba certifikovaných vlastných vizuálov vo vašej organizácii (s nastavením nájomníka a skupinovú politiku, ktorá bola predtým popísaná) pri nasadzovaní vizuálov pre organizácie na spracovanie akýchkoľvek výnimiek.

Kontrolný zoznam – pri plánovaní povolení tvorcu zostáv sú k hlavným rozhodnutiam a akciám zahrnuté tieto:

• Rozhodnite sa o stratégii povolení pre tvorcov zostáv: Určte, aké preferencie a požiadavky existujú na spravovanie zabezpečenia pre tvorcov zostáv. Zvážte oblasť a úroveň citlivosti údajov. Zvážte tiež, kto má povolené prevziať zodpovednosť za vytváranie a spravovanie zostáv v centralizovaných a decentralizovaných obchodných jednotkách.
• Prečítajte si, ako tvorcovia zostáv spracúvajú roly pracovného priestoru: Určte, aký vplyv to má na váš proces návrhu pracovného priestoru. Vytvorte samostatné pracovné priestory údajov a pracovné priestory zostáv pre každú oblasť, takže roly pracovného priestoru (a základné zabezpečenie sémantických modelov) sa pre príslušnú oblasť zjednodušia.
• Poskytnite tvorcom zostáv usmernenie o spravovaní povolení: Zahrňte dokumentáciu pre tvorcov zostáv o tom, ako spravovať povolenia pre používateľov zostáv. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
• Rozhodnite sa, kto môže používať zdieľané sémantické modely: Rozhodnite sa, či budú existovať obmedzenia, pre ktoré tvorcovia zostáv Power BI (ktorí už majú povolenia na čítanie a vytváranie pre sémantický model) môžu používať sémantické modely v pracovných priestoroch. Nastavte nastavenie Používanie sémantických modelov v rámci nájomníka pracovných priestorov tak, aby bolo možné s týmto rozhodnutím zosúladiť. Ak sa rozhodnete obmedziť túto možnosť, zvážte použitie skupiny, ako sú napríklad schválení tvorcovia zostáv v službe Power BI.
• Rozhodnite sa, kto môže používať dynamické pripojenia: Rozhodnite sa, či budú existovať nejaké obmedzenia, pre ktoré tvorcovia zostáv Power BI (ktorí už majú povolenie na čítanie a vytváranie pre sémantický model) môžu používať dynamické pripojenia. Nastavte nastavenie Povoliť dynamické pripojenia nájomníka na zosúladenie s týmto rozhodnutím. Ak sa rozhodnete obmedziť túto možnosť, zvážte použitie skupiny, ako sú napríklad schválení tvorcovia zostáv v službe Power BI.
• Rozhodnite sa o stratégii používania zabezpečenia na úrovni riadkov pre tvorcov zostáv: Zvážte, ktoré prípady a účely plánujete použiť zabezpečenie na úrovni riadkov. Faktor v stratégii návrhu pracovného priestoru, aby sa zabezpečilo, že zabezpečenie na úrovni riadkov sa vynucuje pre tvorcov zostáv.
• Rozhodnite sa o stratégii používania vlastných vizuálov: Zvážte svoju stratégiu, pre ktorú môžu tvorcovia zostáv používať vlastné vizuály. Nastavte nastavenie Povoliť vizuály vytvorené nájomníkom súpravy Power BI SDK tak, aby bolo v súlade s týmto rozhodnutím. Vytvorte podľa potreby proces používania vizuálov pre organizácie.

Povolenia tvorcu toku údajov

Toky údajov sú užitočné na centralizovanie prípravy údajov tak, aby sa práca vykonaná v doplnku Power Query neopakovala v mnohých sémantických modeloch. Sú stavebným blokom na dosiahnutie jediného zdroja pravdy, ktorý analytikom bráni v tom, aby vyžadovali priamy prístup k zdrojom, a pomáha vykonávať vo väčšom meradle operácie extrahovania, transformácie a načítania (ETL).

Tvorca toku údajov musí byť správcom, členom alebo prispievateľom pracovného priestoru.

Ak chcete používať tok údajov (napríklad z nového dátového modelu vytvoreného v aplikácii Power BI Desktop alebo inom pracovnom priestore), tvorca sémantických modelov môže patriť do ľubovoľnej roly pracovného priestoru vrátane roly Čitateľ. Neexistuje žiadna koncepcia zabezpečenia na úrovni riadkov pre toky údajov.

Okrem rolí pracovného priestoru musí byť povolené aj nastavenie nájomníka Vytvárať a používať toky údajov. Toto nastavenie nájomníka sa vzťahuje na celú organizáciu.

Zvážte nasledujúci scenár.

• Mnoho sémantických modelov v organizácii musí vyžadovať dynamické zabezpečenie na úrovni riadkov. Vyžaduje sa, aby boli hlavné názvy používateľov (UPN) uložené v sémantickom modeli (na filtrovanie podľa identity používateľa zostavy).
• Tvorca toku údajov, ktorý patrí do oddelenia ľudských zdrojov, vytvorí tok údajov aktuálnych podrobností o zamestnancoch vrátane ich hlavných mien používateľov. Nastavujú tok údajov na každodenné obnovovanie.
• Tvorcovia sémantických modelov potom používajú tok údajov vo svojich návrhoch modelov na nastavenie zabezpečenia na úrovni riadkov.

Ďalšie informácie o používaní tokov údajov nájdete v scenároch samoobslužnej prípravy údajov a pokročilej prípravy údajov.

Kontrolný zoznam – pri plánovaní povolení tvorcu toku údajov sú k hlavným rozhodnutiam a akciám zahrnuté tieto:

• Rozhodnite sa o stratégii pre povolenia tvorcu toku údajov: Určite, aké preferencie a požiadavky existujú na spravovanie zabezpečenia pre tvorcov tokov údajov. Zvážte, kto má povolené alebo podporované prevziať zodpovednosť za riadenie aktivít prípravy údajov v centralizovaných a decentralizovaných organizačných jednotkách.
• Rozhodnite sa, kto môže vytvárať toky údajov: Rozhodnite sa, či budú existovať nejaké obmedzenia, pre ktoré tvorcovia údajov služby Power BI môžu vytvárať toky údajov. Nastavenie nájomníka Vytvoriť a používať toky údajov nastavte tak, aby bolo v súlade s týmto rozhodnutím.
• Pozrite si, ako tvorcovia tokov údajov spracúvajú roly pracovného priestoru: Určte, aký vplyv to má na váš proces návrhu pracovného priestoru. Vytvorte samostatné pracovné priestory toku údajov pre jednotlivé oblasti, aby ste v prípade potreby mohli spracovávať roly a povolenia pracovného priestoru samostatne pre každú oblasť.

Povolenia tvorcu údajového grafu

Datamart je samoobslužné analytické riešenie, ktoré umožňuje používateľom ukladať a skúmať údaje načítané do plne spravovanej relačnej databázy. Obsahuje tiež automaticky vygenerovaný sémantický model.

Datamarts poskytujú jednoduché prostredie s minimálnym použitím kódu na ingestovanie údajov z rôznych zdrojov údajov a na extrahovanie, transformáciu a načítanie údajov pomocou služby Power Query Online. Údaje sa načítajú do plne spravovanej databázy Azure SQL Database a nevyžaduje žiadne ladenie ani optimalizáciu. Automaticky generovaný sémantický model sa vždy synchronizuje so spravovanou databázou, pretože je v režime DirectQuery.

Údajový diagram môžete vytvoriť, keď ste buď správcom, členom alebo prispievateľom pracovného priestoru. Roly pracovného priestoru sa takisto priraďujú k rolám na úrovni databázy v databáze Azure SQL (keďže je však databáza plne spravovaná, povolenia používateľa nie je možné v relačnej databáze upraviť ani spravovať).

Nastavenie nájomníka Vytvoriť súhrny údajov umožňuje správcom služby Power BI nastaviť skupiny používateľov, ktoré môžu vytvárať údajové súhrny.

Zdieľanie údajových grafov

V prípade datamarts platí, že zdieľanie výrazu sa líši od iných typov obsahu služby Power BI. Operácia zdieľania je zvyčajne zameraná na spotrebiteľa, pretože poskytuje povolenie iba na čítanie k jednej položke, ako je napríklad zostava.

Zdieľanie údajového grafu je zamerané na tvorcov obsahu (nie na spotrebiteľov). Udeľuje povolenia na čítanie a vytváranie, čo používateľom umožňuje dotazovať buď sémantický model, alebo relačnú databázu podľa toho, čo preferujú.

Zdieľanie údajového grafu umožňuje tvorcom obsahu:

• Vytváranie obsahu pomocou automaticky vygenerovaného sémantického modelu: sémantickým modelom je sémanttická vrstva, na ktorej možno vytvárať zostavy služby Power BI. Väčšina tvorcov zostáv by mala používať sémantický model.
• Pripojenie dotazovania databázy Azure SQL: Relačná databáza je užitočná pre tvorcov obsahu, ktorí chcú vytvárať nové sémantické modely alebo stránkované zostavy. Môžu písať dotazy jazyka štruktúrovaných dotazov (SQL) na načítanie údajov pomocou koncového bodu SQL.

Zabezpečenie na úrovni riadkov v údajovom grafe

Zabezpečenie na úrovni riadkov môžete definovať pre datamarts na obmedzenie prístupu k údajom pre zadaných používateľov. Zabezpečenie na úrovni riadkov sa nastaví v editore údajových grafov v služba Power BI a automaticky sa použije na automaticky generovaný sémantický model a databázu Azure SQL (ako pravidlá zabezpečenia).

Bez ohľadu na to, ako sa používateľ rozhodne pripojiť k dátovému grafu (k sémantickému modelu alebo databáze), vynucujú sa identické povolenia zabezpečenia na úrovni riadkov.

Kontrolný zoznam – pri plánovaní povolení tvorcu údajových grafov platí, že kľúčové rozhodnutia a akcie zahŕňajú:

• Rozhodnite sa o stratégii pre povolenia tvorcu údajových grafov: Určite, aké preferencie a požiadavky existujú na spravovanie zabezpečenia pre tvorcov údajových grafov. Zvážte, kto má povolené alebo podporované prevziať zodpovednosť za spravovanie údajov v centralizovaných a decentralizovaných organizačných jednotkách.
• Rozhodnite sa, kto môže vytvárať údajovémarty: Rozhodnite sa, či budú existovať nejaké obmedzenia, pre ktoré tvorcovia údajov služby Power BI môžu vytvárať datamart. Nastavte nastavenie nájomníka Vytvoriť údajovémarty , aby ste sa zosúladili s týmto rozhodnutím. Ak sa rozhodnete obmedziť, kto môže vytvárať údajovémarty, zvážte použitie skupiny, ako sú napríklad schválení tvorcovia údajových grafov v službe Power BI.
• Pozrite si, ako sa riešia roly pracovného priestoru pre tvorcov údajových grafov: Určte, aký vplyv to má na váš proces návrhu pracovného priestoru. Vytvorte samostatné pracovné priestory údajov pre jednotlivé oblasti, aby bolo možné zjednodušiť roly pracovného priestoru a sémantické zabezpečenie modelu pre oblasť predmetu.
• Poskytuje usmernenie pre tvorcov údajov datamart týkajúce sa spravovania povolení: Zahrnutie dokumentácie pre tvorcov údajových grafov o spravovaní povolení datamart. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
• Rozhodnite sa o stratégii používania zabezpečenia na úrovni riadkov v údajových súhrnoch: Zvážte, ktoré prípady a účely plánujete používať zabezpečenie na úrovni riadkov v údajovom grafe.

Povolenia tvorcu prehľadu ukazovateľov výkonu

Metriky v službe Power BI umožňujú vytvoriť konkrétne metriky a sledovať ich v súvislosti s hlavnými obchodnými cieľmi. Metriky sa pridávajú do prehľadov ukazovateľov výkonu, ktoré je možné zdieľať s ostatnými používateľmi a zobraziť na jednej table.

Prehľady ukazovateľov výkonu možno zabezpečiť tromi úrovňami povolení:

• Pracovného priestoru.
• Prehľad ukazovateľov výkonu (podľa položky) povolenia.
• Metriky (v rámci prehľadu ukazovateľov výkonu).

Používateľ, ktorý vytvorí alebo úplne spravuje prehľad ukazovateľov výkonu, musí byť správcom, členom alebo prispievateľom pracovného priestoru.

Keďže metriky sa často týkajú viacerých oblastí, odporúčame vytvoriť samostatný pracovný priestor, aby ste mohli nezávisle spravovať povolenia pre tvorcov a spotrebiteľov.

Nastavenie nájomníka vytvoriť a používať metriky umožňuje správcom služby Power BI nastaviť skupiny používateľov, ktorí môžu vytvárať metriky prehľadu ukazovateľov výkonu.

Povolenia prehľadu ukazovateľov výkonu

Môžete priradiť nasledujúce povolenia prehľadu ukazovateľov výkonu.

• Prečítajte si: Toto povolenie umožňuje používateľovi zobraziť prehľad ukazovateľov výkonu.
• Opätovné zdieľanie: Zamerané na každého, kto má existujúce povolenie na prehľad ukazovateľov výkonu, toto povolenie umožňuje používateľom zdieľať prehľad ukazovateľov výkonu s iným používateľom.

V súlade s inými typmi obsahu v služba Power BI sú povolenia pre jednotlivé položky užitočné, ak je zámerom zdieľať jednu položku s iným používateľom. Kedykoľvek to bude možné, odporúčame používať roly pracovného priestoru a povolenia aplikácie.

Povolenia na úrovni metriky

Každý prehľad ukazovateľov výkonu má množinu povolení na úrovni metriky , ktoré môžete nastaviť v nastaveniach prehľadu ukazovateľov výkonu. Povolenia na úrovni metriky (v rámci prehľadu ukazovateľov výkonu) možno udeliť inak ako v pracovnom priestore alebo povolenia prehľadu ukazovateľov výkonu (podľa položky).

Roly na úrovni metriky vám umožňujú nastaviť:

• Kto prehľad ukazovateľov výkonu môžete zobraziť jednotlivé metriky.
• Kto môžete aktualizovať jednotlivé metriky:
  • Aktualizuje sa stav počas kontroly.
  • Pridanie poznámok počas kontroly.
  • Aktualizuje aktuálnu hodnotu počas kontroly.

Ak chcete znížiť úroveň budúcej údržby, je možné nastaviť predvolené povolenia, ktoré budú zdedené podmetrikami, ktoré vytvoríte v budúcnosti.

Kontrolný zoznam – pri plánovaní povolení tvorcu metriky zahŕňajú kľúčové rozhodnutia a akcie:

• Rozhodnite sa o stratégii povolení pre tvorcov prehľadov ukazovateľov výkonu: Určte, aké preferencie a požiadavky existujú na spravovanie zabezpečenia pre tvorcov prehľadov ukazovateľov výkonu. Zvážte, kto má povolené alebo podporované prevziať zodpovednosť za spravovanie údajov v centralizovaných a decentralizovaných organizačných jednotkách.
• Rozhodnite sa, kto môže vytvárať prehľady ukazovateľov výkonu: Rozhodnite sa, či budú existovať nejaké obmedzenia, pre ktoré tvorcovia údajov služby Power BI môžu vytvárať prehľady ukazovateľov výkonu. Nastavte nastavenie nájomníka Vytvoriť a používať Metriky tak, aby bolo v súlade s týmto rozhodnutím. Ak sa rozhodnete obmedziť, kto môže vytvárať prehľady ukazovateľov výkonu, zvážte použitie skupiny, ako je napríklad schválená zostava prehľadov ukazovateľov výkonu v službe Power BI.
• Pozrite si, ako sa riešia roly pracovného priestoru pre tvorcov prehľadov ukazovateľov výkonu: Určte, aký vplyv to má na váš proces návrhu pracovného priestoru. Keď obsah zahŕňa oblasti zamerania na jednotlivé oblasti, zvážte vytvorenie samostatných pracovných priestorov pre prehľady ukazovateľov výkonu.
• Zadajte usmernenie pre tvorcov prehľadov ukazovateľov výkonu o spravovaní povolení: Zahrnutie dokumentácie pre tvorcov prehľadov ukazovateľov výkonu o spravovaní povolení na úrovni metriky. Tieto informácie publikujte na centralizovaný portál a školiace materiály.

Publikovanie obsahu

Táto časť obsahuje témy týkajúce sa publikovania obsahu, ktoré sú relevantné pre tvorcov obsahu.

Pracovné priestory

Tvorcovia obsahu budú na publikovanie obsahu v pracovnom priestore potrebovať prístup k role správcu, člena alebo prispievateľa. Ďalšie informácie nájdete v téme Roly pracovného priestoru popísané vyššie v tomto článku.

Okrem osobných funkcií BI by sa mali tvorcovia obsahu odporúčať publikovať obsah do štandardných pracovných priestorov namiesto ich osobného pracovného priestoru.

Nastavenie nájomníka Blokovať opätovné publikovanie a zakázanie obnovenia balíka zmení správanie publikovania sémantických modelov. Keď je táto možnosť povolená, správcovia pracovného priestoru, členovia alebo prispievatelia nemôžu publikovať zmeny v sémantickom modeli. Publikovať aktualizáciu má iba sémantický vlastník modelu (pred publikovaním aktualizovaného sémantického modelu núti prevzatie sémantického modelu). Keďže toto nastavenie nájomníka sa vzťahuje na celú organizáciu, povoľte ho opatrne, pretože ovplyvňuje všetky sémantické modely pre celého nájomníka. Nezabudnite sémantickým tvorcom modelu oznámiť, čo môžu očakávať, pretože sa tým zmení normálne správanie rolí pracovného priestoru.

Synchronizácia služby Power Apps

Je možné vytvoriť riešenie služby Power Apps, ktoré obsahuje vložené zostavy Power BI. Proces služby Power Apps automaticky vytvorí vyhradený pracovný priestor služby Power BI na ukladanie a zabezpečenie zostáv a sémantických modelov služby Power BI. Na správu položiek, ktoré existujú v službe Power Apps aj Power BI, existuje proces synchronizácie.

Proces synchronizuje roly zabezpečenia, aby sa zabezpečilo, že Power BI zdedí rovnaké roly, ktoré boli pôvodne nastavené v službe Power Apps. Tiež umožňuje tvorcovi obsahu spravovať povolenia pre používateľov, ktorí môžu zobrazovať zostavy Power BI (a súvisiace sémantické modely), ktoré sú vložené v aplikácii Power App.

Ďalšie informácie o synchronizácii rolí služby Power Apps s rolami pracovného priestoru služby Power BI nájdete v téme Synchronizácia povolení medzi prostredím služby Power Apps a pracovným priestorom služby Power BI.

Prístup ku kanálu nasadenia

Tvorcovia a vlastníci obsahu môžu použiť kanály nasadenia služby Power BI na samoobslužné publikovanie obsahu. Kanály nasadenia zjednodušujú proces publikovania a zlepšujú úroveň kontroly pri vydávaní nového obsahu.

Povolenia pre kanál môžete spravovať (pre používateľov, ktorí môžu nasadiť obsah pomocou kanála nasadenia) oddelene od rolí pracovného priestoru. Používatelia, ktorí vykonávajú nasadenie, vyžadujú prístup k pracovnému priestoru aj kanálu nasadenia.

Tvorcovia obsahu môžu tiež potrebovať:

• povolenia na vytváranie pracovných priestorov (keď kanál musí vytvoriť pracovné priestory).
• Povolenia na kapacitu Premium alebo Fabric (keď kanál priraďuje pracovné priestory).

Dôležité

V čase, keď sa tento článok týka služby Power BI Premium alebo jej predplatných kapacity (skladové jednotky SKU P). Spoločnosť Microsoft v súčasnosti konsoliduje možnosti nákupu a vyradí skladové jednotky SKU služby Power BI Premium na kapacitu. Noví a existujúci zákazníci by namiesto toho mali zvážiť zakúpenie predplatného kapacity služby Fabric (skladové jednotky F SKU).

Ďalšie informácie nájdete v téme Dôležitá aktualizácia pre licencie Power BI Premium a Power BI Premium: najčastejšie otázky.

Ďalšie informácie nájdete v téme Prístup ku kanálu nasadenia.

Koncový bod XMLA

Koncový bod XMLA používa protokol XMLA na zobrazenie všetkých funkcií tabuľkového dátového modelu vrátane niektorých operácií modelovania údajov, ktoré Nie sú podporované aplikáciou Power BI Desktop. Na vykonanie programových zmien v dátovom modeli môžete použiť rozhranie API tabuľkového objektového modelu (TOM).

Koncový bod XMLA tiež poskytuje pripojenie. K sémantickému modelu sa môžete pripojiť iba vtedy, keď má pracovný priestor svoj licenčný režim nastavený na Premium na používateľa, Premium na kapacitu alebo Embedded. Po vytvorení pripojenia môže nástroj kompatibilný s XMLA pracovať s dátovým modelom na čítanie alebo zapisovanie údajov. Ďalšie informácie o tom, ako môžete použiť koncový bod XMLA na spravovanie sémantického modelu, nájdete v scenári rozšíreného spravovania dátového modelu.

Prístup cez koncový bod XMLA zachová existujúce povolenia. Správcovia pracovného priestoru, členovia a prispievatelia majú implicitne sémantický model povolenie na zápis, čo znamená, že môžu nasadiť nové sémantické modely z Visual Studia a spúšťať skripty jazyka na skriptovanie tabuľkového modelovania (TMSL) v nástroji SQL Server Management Studio (SSMS).

Používatelia s povolením na vytváranie sémantických modelov môžu používať koncový bod XMLA na pripojenie k sémantickým modelom a ich prehľadávanie na využitie a vizualizáciu údajov. Pravidlá zabezpečenia na úrovni riadkov sú dodržiavané a používatelia nemôžu zobraziť interné metaúdaje sémantického modelu.

Nastavenie Povoliť koncové body XMLA a funkciu Analyzovať v Exceli s lokálnymi sémantickými modelmi nastavenia nájomníka odkazuje na dve možnosti: Určuje, ktoré skupiny používateľov môžu používať koncový bod XMLA na dotazovanie a/alebo spravovanie sémantických modelov v služba Power BI. Určuje tiež, či funkciu Analyzovať v Exceli možno použiť s lokálnymi modelmi služby SQL Server Analysis Services (SSAS).

Poznámka

Aspekt Analyzovať v Exceli nastavenia nájomníka sa vzťahuje len na lokálne modely služby SQL Server Analysis Services (SSAS). Štandardná funkcia Analyzovať v Exceli, ktorá sa pripája k sémantickému modelu služby Power BI v služba Power BI, je riadená nastavením nájomníka Povoliť dynamické Pripojenie ions.

Publikovanie na webe

Funkcia Publikovať na webe je funkcia, ktorá poskytuje prístup k zostavám Služby Power BI komukoľvek na internete. Nevyžaduje overovanie a prístup sa nezapisuje do denníka na účely auditovania. Keďže používatelia zostáv nemusia patriť do organizácie alebo mať licenciu na Power BI, táto technika je vhodná pre dátovú žurnalistiku, proces, v ktorom sú zostavy vložené do blogov, webových lokalít, e-mailov alebo sociálnych médií.

Výstraha

Funkcia Publikovanie na webe môže náhodne alebo úmyselne sprístupniť citlivé alebo dôverné údaje. Z tohto dôvodu je táto funkcia predvolene zakázaná. Funkcia Publikovať na webe by sa mala použiť iba pre zostavy, ktoré obsahujú údaje, ktoré je možné zobraziť verejnosť.

Nastavenie nájomníka Publikovať na webe umožňuje správcom služby Power BI kontrolovať, ktoré skupiny používateľov môžu publikovať zostavy na webe. Na udržanie vyššej úrovne kontroly odporúčame, aby ste do tohto nastavenia nájomníka nezahrnuli iné skupiny (ako sú napríklad správcovia služby Power BI alebo iné typy tvorcov obsahu). Namiesto toho vynútite konkrétny prístup používateľa pomocou skupiny zabezpečenia, ako je napríklad verejné publikovanie služby Power BI. Skontrolujte, či je skupina zabezpečenia dobre spravovaná.

Vkladanie do vlastných aplikácií

Nastavenie nájomníka Vložiť obsah do aplikácií umožňuje správcom služby Power BI kontrolovať, ktorí používatelia môžu obsah Power BI vkladať mimo služba Power BI. Ak plánujete vložiť obsah služby Power BI do vlastných aplikácií, povoľte toto nastavenie pre konkrétne skupiny, ako sú napríklad vývojári aplikácií.

Vkladanie do PowerPointu

Nastavenie nájomníka Povoliť doplnok Power BI pre PowerPoint umožňuje správcom služby Power BI kontrolovať, ktorí používatelia môžu vkladať stránky zostavy Power BI do powerpointových prezentácií. Ak je to vhodné, povoľte toto nastavenie pre konkrétne skupiny, ako sú napríklad tvorcovia zostáv.

Poznámka

Aby táto funkcia fungovala, používatelia si musia nainštalovať doplnok Power BI pre PowerPoint. Ak chcete používať doplnok, používatelia musia mať buď prístup do obchodu s doplnkami balíka Office, alebo im musí byť doplnok sprístupnený ako doplnok spravovaný správcom. Ďalšie informácie nájdete v téme Doplnok Power BI pre PowerPoint.

Vzdelávajte tvorcov zostáv, aby boli opatrní v tom, kde si ukladajú powerpointové prezentácie a s kým ich zdieľajú. Používateľom sa po otvorení prezentácie zobrazí obrázok vizuálov zostavy Power BI. Tento obrázok sa nasníma z posledného pripojenia powerpointového súboru. Obrázok by však mohol neúmyselne odhaliť údaje, na ktoré používateľ nemá povolenie na zobrazenie.

Poznámka

Obrázok môže byť užitočný, ak prijímajúci používateľ ešte nemá doplnok, alebo kým sa doplnok nepripojí k služba Power BI na načítanie údajov. Po pripojení používateľa sa zo služby Power BI načítajú iba údaje, ktoré používateľ môže zobraziť (vynucovanie akéhokoľvek zabezpečenia na úrovni riadkov).

Aplikácie šablón

Aplikácie šablón umožňujú partnerom služby Power BI a dodávateľom softvéru vytvárať aplikácie Power BI s minimálnym alebo žiadnym kódovaním a nasadiť ich ľubovoľnému zákazníkovi so službou Power BI.

Nastavenie nájomníka Publikovať aplikácie šablón umožňuje správcom služby Power BI kontrolovať, ktorí používatelia môžu publikovať aplikácie šablón mimo organizácie, napríklad prostredníctvom služby Microsoft AppSource. Vo väčšine organizácií by toto nastavenie nájomníka malo byť zakázané alebo prísne riadené. Zvážte použitie skupiny zabezpečenia, ako sú napríklad externí tvorcovia aplikácií šablón v službe Power BI.

Odber e-mailov

Seba aj ďalších používateľov môžete prihlásiť na odber zostáv, tabúľ a stránkovaných zostáv služby Power BI. Služba Power BI potom odošle e-mail podľa nastaveného plánu. E-mail bude obsahovať snímku a prepojenie na zostavu alebo tabuľu.

Môžete vytvoriť predplatné, ktoré zahŕňa aj iných používateľov, keď ste správcom, členom alebo prispievateľom pracovného priestoru. Ak sa zostava nachádza v pracovnom priestore Premium, môžete prihlásiť na odber skupiny (bez ohľadu na to, či sa nachádzajú alebo nie sú vo vašej doméne) a externí používatelia. Pri nastavovaní predplatného je k dispozícii aj možnosť udeliť povolenia pre položku. Na tento účel sa používajú povolenia na priamy prístup pre jednotlivé položky, ktoré sú popísané v článku Plánovanie zabezpečenia spotrebiteľov zostáv.

Výstraha

Funkcia prihlásenia na odber e-mailov môže zdieľať obsah s interným a externým publikom. Po vynútení zabezpečenia na úrovni riadkov v základnom sémantickom modeli sa prílohy a obrázky vygenerujú aj pomocou kontextu zabezpečenia používateľa, ktorý sa prihlási na odber.

Nastavenie nájomníka Prihlásenie na odber e-mailov umožňuje správcom služby Power BI kontrolovať, či je táto funkcia povolená alebo zakázaná v celej organizácii.

Existujú určité obmedzenia týkajúce sa príloh súvisiacich s obmedzeniami nastavenia licencií a nájomníka. Ďalšie informácie nájdete v téme Prihlásenie na odber e-mailov so zostavami a tabuľami v služba Power BI.

Kontrolný zoznam – pri plánovaní publikovania obsahu sú k hlavným rozhodnutiam a akciám zahrnuté:

• Rozhodnite sa o stratégii, kde by mal byť obsah publikovaný, ako a kým: Určte, aké preferencie a požiadavky existujú pre miesto publikovania obsahu.
• Overenie prístupu k pracovnému priestoru: Potvrďte prístup k návrhu pracovného priestoru. Overte, ako používať roly prístupu k pracovnému priestoru na podporu vašej stratégie, v ktorej by sa mal obsah publikovať.
• Zistite, ako spracovať povolenia kanála nasadenia: Rozhodnite sa, ktorí používatelia budú môcť publikovať obsah pomocou kanála nasadenia. Nastavte zodpovedajúcim spôsobom povolenia pre kanál nasadenia. Uistite sa, že je k dispozícii aj prístup k pracovnému priestoru.
• Rozhodnite sa, kto sa môže pripojiť k sémantickým modelom pomocou koncového bodu XMLA: Rozhodnite sa, ktorí používatelia budú môcť dotazovať alebo spravovať sémantické modely pomocou koncového bodu XMLA. Nastavte nastavenie Povoliť koncové body XMLA a funkciu Analyzovať v Exceli s lokálnymi sémantickými modelmi nájomníka tak, aby bolo v súlade s týmto rozhodnutím. Keď sa rozhodnete obmedziť túto možnosť, zvážte použitie skupiny, ako sú napríklad schválení tvorcovia obsahu v službe Power BI.
• Rozhodnite sa, kto bude môcť publikovať zostavy verejne: Rozhodnite sa, ktorí používatelia budú môcť publikovať zostavy Power BI verejne, ak existujú. Nastavte nastavenie nájomníka Publikovať na webe , aby ste sa s týmto rozhodnutím zosúladili. Použite skupinu, ako je napríklad verejné publikovanie v službe Power BI.
• Rozhodnite sa, kto môže vložiť obsah do vlastných aplikácií: Určte, kto by mal mať povolenie na vkladanie obsahu mimo služba Power BI. Nastavenie nájomníka Vložiť obsah do aplikácií nastavte tak, aby bolo v súlade s týmto rozhodnutím.
• Rozhodnite sa, kto môže vložiť obsah do PowerPointu: Určte, kto by mal mať povolenie na vkladanie obsahu v PowerPointe. Ak chcete toto rozhodnutie zosúladiť s týmto rozhodnutím, nastavte nastavenie Povoliť doplnok Power BI pre nájomníka PowerPointu.
• Rozhodnite sa, kto môže publikovať aplikácie šablón: Určte, aká je vaša stratégia pre používanie aplikácií šablón mimo organizácie. Nastavte nastavenie nájomníka Publikovať aplikácie šablón na zosúladenie s týmto rozhodnutím.
• Rozhodnite sa, či chcete povoliť odbery: Potvrďte, aká je vaša stratégia používania predplatných. Nastavte nastavenie nájomníka Prihlásenie na odber e-mailov, aby bolo v súlade s týmto rozhodnutím.

Obnoviť údaje

Po publikovaní by tvorcovia údajov mali zabezpečiť, aby sa ich sémantické modely a toky údajov (ktoré obsahujú importované údaje) pravidelne obnovovali. Mali by ste sa tiež rozhodnúť o vhodných stratégiách pre sémantický model a vlastníkov toku údajov.

Vlastník sémantického modelu

Každý sémantický model má vlastníka, ktorý je jedným používateľským kontom. Vlastník sémantického modelu je povinný nastaviť obnovenie sémantického modelu a nastaviť parametre sémantického modelu.

V predvolenom nastavení vlastník sémantického modelu dostáva žiadosti o prístup aj od tvorcov zostáv, ktorí chcú mať povolenia na vytváranie (pokiaľ nie sú nastavenia Prístupu k žiadosti pre sémantický model nastavené na poskytnutie vlastných pokynov). Ďalšie informácie nájdete v časti Žiadosť o prístup k pracovnému postupu pre tvorcov v tomto článku.

Existujú dva spôsoby, ako môže služba Power BI získať poverenia na obnovenie sémantického modelu.

• Vlastník sémantického modelu ukladá poverenia v sémantických nastaveniach modelu.
• Vlastník sémantického modelu odkazuje na bránu v sémantických nastaveniach modelu (ktorý obsahuje zdroj údajov s uloženými prihlasovacími údajmi).

Ak iný používateľ potrebuje nastaviť obnovenie alebo nastaviť sémantické parametre modelu, musí prevziať vlastníctvo sémantického modelu. Vlastníctvo sémantického modelu môže prevziať správca, člen alebo prispievateľ pracovného priestoru.

Výstraha

Ak vezmeme sémantické vlastníctvo modelu, natrvalo sa odstránia všetky uložené poverenia pre sémantický model. Poverenia je potrebné znova zadať, aby sa umožnilo obnovenie operácií obnovenia údajov.

V ideálnom prípade je vlastníkom sémantického modelu používateľ, ktorý je zodpovedný za sémantický model. Vlastníka sémantického modelu by ste mali aktualizovať pri odchode z organizácie alebo pri zmene rolí. Nezabudnite tiež, že keď je používateľské konto vlastníka sémantického modelu zakázané v službe Microsoft Entra ID (predtým známe ako Azure Active Directory), obnovenie údajov sa automaticky vypne. V tomto prípade musí iný používateľ prevziať vlastníctvo sémantického modelu, aby sa umožnilo obnovenie operácií obnovenia údajov.

Vlastník toku údajov

Podobne ako sémantické modely, aj toky údajov majú vlastníka, ktorý je jedným používateľským kontom. Informácie a pokyny uvedené v predchádzajúcej téme o vlastníkoch sémantických modelov sa vzťahujú aj na vlastníkov tokov údajov.

Kontrolný zoznam – pri plánovaní zabezpečenia súvisiaceho s procesmi obnovenia údajov sú ku kľúčovým rozhodnutiam a akciám zahrnuté:

• Rozhodnite sa o stratégii pre vlastníkov sémantických modelov: Určite, aké preferencie a požiadavky existujú na spravovanie vlastníkov sémantických modelov.
• Rozhodnite sa o stratégii pre vlastníkov tokov údajov: Určte, aké preferencie a požiadavky existujú pre spravovanie vlastníkov tokov údajov.
• Zahrnutie do dokumentácie a školení pre tvorcov sémantických modelov: zahrňte sprievodný materiál pre tvorcov údajov o spravovaní vlastníkov jednotlivých typov položiek.

Súvisiaci obsah

Ďalšie dôležité informácie, akcie, kritériá rozhodovania a odporúčania, ktoré vám pomôžu pri rozhodnutiach o implementácii služby Power BI, nájdete v témach, ktoré je potrebné zvážiť.