Plánovanie implementácie služby Power BI: Plánovanie zabezpečenia spotrebiteľov zostáv

  • Článok

Poznámka

Tento článok je súčasťou série článkov k plánovaniu implementácie služby Power BI. Táto séria sa zameriava predovšetkým na vyťaženie služby Power BI v rámci služby Microsoft Fabric. Úvod do série nájdete v téme Plánovanie implementácie služby Power BI.

Tento článok o plánovaní zabezpečenia popisuje stratégie pre používateľov s prístupom iba na čítanie. Dôraz sa kladie na povolenia diváka pre zostavy a aplikácie a na to, ako vynútiť zabezpečenie údajov. Zameriava sa predovšetkým na:

  • Správcovia služby Power BI: správcovia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii.
  • Centrum excelentnosti, IT a tím BI: Tímy, ktoré tiež zodpovedajú za dohľad nad službou Power BI. Možno budú musieť spolupracovať so správcami služby Power BI, tímami zabezpečenia informácií a ďalšími relevantnými tímami.
  • Tvorcovia a vlastníci obsahu: Samoobslužní tvorcovia BI, ktorí potrebujú vytvárať, publikovať, zabezpečiť a spravovať obsah, ktorý spotrebúvajú ostatní používatelia.

Séria článkov je určená na rozbalenie obsahu v technickej dokumentácii zabezpečenia služby Power BI. Zatiaľ čo technická dokumentácia k zabezpečeniu v službe Power BI sa zameriava na kľúčové technické témy, ako je overovanie, pobyt údajov a izolácia siete, hlavným cieľom série je poskytnúť vám dôležité informácie a rozhodnutia, ktoré vám pomôžu pri plánovaní zabezpečenia a ochrany osobných údajov.

V organizácii sú mnohí používatelia klasifikovaní ako spotrebitelia. Spotrebitelia zobrazujú obsah, ktorý vytvorili a publikovali iní používatelia. Spotrebitelia sú stredobodom tohto článku. Informácie o plánovaní zabezpečenia zamerané na tvorcov a vlastníkov obsahu nájdete v článku Plánovanie zabezpečenia tvorcu obsahu.

Ak chcete tento článok získať na maximum, je užitočné pochopiť význam pojmov zdieľanie a distribúcia v kontexte služby Power BI.

Zdieľanie je miesto, kde jeden používateľ poskytuje inému používateľovi (alebo skupine používateľov) prístup ku konkrétnej položke obsahu. Možnosti zdieľania v služba Power BI sú obmedzené na jednu položku. Najčastejšie sa to odohráva medzi jednotlivcami, ktorí sa navzájom poznajú a úzko spolupracujú.

Distribúcia je miesto, kde sa obsah dodáva iným používateľom, ktorí sú známi ako príjemcovia. Často zahŕňa väčší počet používateľov vo viacerých tímoch. Príjemcovia nemusia výslovne žiadať o obsah, ale rozpozná, že ho potrebujú na vykonanie svojej roly. Príjemcovia, ktorí spotrebúvajú distribuovaný obsah, môžu, ale nemusia poznať pôvodného tvorcu obsahu. Distribúcia ako koncept je preto formálnejšia než zdieľanie.

Keď rozprávate s inými ľuďmi, určite, či používajú pojem zdieľanie všeobecným spôsobom alebo doslovne. Použitie výrazu zdieľanie sa dá interpretovať dvoma spôsobmi.

  • Termín zdieľanie sa často používa vo všeobecnom zmysle, ktorý súvisí so zdieľaním obsahu s kolegami. Existuje niekoľko techník na dodávanie obsahu iba na čítanie, ktoré sú popísané v tomto článku.
  • Zdieľanie je tiež špecifickou funkciou v službe Power BI. Je to možnosť, v ktorej používateľovi alebo skupine je udelený prístup k jednej položke. Zdieľanie prepojení a zdieľanie priameho prístupu sú popísané v tomto článku.

Dôležité

Rola správcu služby Power BI bola premenovaná. Nový názov roly je správca služby Fabric.

Stratégia pre spotrebiteľov iba na čítanie

V služba Power BI si spotrebitelia môžu zobraziť zostavu alebo tabuľu, keď majú povolenie na oboje:

  • Zobrazte položku Power BI, ktorá obsahuje vizualizácie (napríklad zostavu alebo tabuľu).
  • Prečítajte si základné údaje (sémantický model, predtým známy ako množina údajov alebo iný zdroj).

Spotrebiteľom môžete poskytnúť prístup iba na čítanie pomocou rôznych techník. Medzi bežné techniky, ktoré používajú samoobslužní tvorcovia obsahu, patria:

  • Poskytnutie prístupu používateľom a skupinám k aplikácii služby Power BI.
  • Pridanie používateľov a skupín do roly Čitateľ pracovného priestoru služby Power BI.
  • Poskytnutie povolení používateľom a skupinám na položku pomocou prepojenia na zdieľanie.
  • Poskytnutie používateľom a skupinám na položku pomocou priameho prístupu.

Možnosti roly Zobrazovač aplikácií služby Power BI a pracovného priestoru služby Power BI zahŕňajú spravovanie povolení pre množinu položiek. Tieto dve techniky povolení pre jednotlivé položky zahŕňajú spravovanie povolení pre jednu jednotlivú položku.

Tip

Vo všeobecnosti je najvhodnejším postupom používať aplikáciu služby Power BI pre väčšinu spotrebiteľov. Príležitostne môže byť vhodná aj rola čitateľa pracovného priestoru. Aplikácie Power BI aj rola čitateľa pracovného priestoru umožňujú správu povolení pre mnohé položky a mali by sa používať vždy, keď je to možné. Spravovanie povolení pre jednotlivé položky môže byť zdĺhavé, časovo náročné a náchylné na chyby. Riadenie množiny položiek naopak znižuje údržbu a zvyšuje presnosť.

Pri kontrole nastavení zabezpečenia položky sa môže zobraziť, že jej povolenia sú:

  • Zdedené z pracovného priestoru alebo aplikácie.
  • Použije sa priamo na položku.

Na nasledujúcej snímke obrazovky sú pre zostavu zobrazené povolenia priameho prístupu . V tomto prípade sú roly Spravovanie pracovného priestoru a roly členov priradené skupine. Tieto roly sa zobrazujú pre zostavu, pretože prístup na úrovni zostavy je zdedený z pracovného priestoru. Je tu aj jeden používateľ, ktorý má priamo na zostavu použité povolenia na čítanie.

Snímka obrazovky znázorňujúca povolenia priameho prístupu pre zostavu v služba Power BI.

Stratégia, ktorú si vyberiete pre spotrebiteľov určených iba na čítanie, sa môže líšiť. Mala by byť založená na individuálnom riešení, preferenciách, kto spravuje riešenie, alebo na potrebách zákazníka. Zvyšok tejto časti popisuje, kedy zvážiť použitie každej z dostupných techník.

Kontrolný zoznam – kľúčové rozhodnutia a akcie zahŕňajú:

  • Vyhodnoťte svoju existujúcu stratégiu pre spotrebiteľov iba na čítanie: Overte, ako je obsah momentálne distribuovaný a zdieľaný pre spotrebiteľov. Identifikujte, či existujú príležitosti na zlepšenie.
  • Rozhodnite sa pre svoju stratégiu pre používateľov iba na čítanie: Zvážte, aké sú vaše preferencie na používanie povolení aplikácie, rolí pracovného priestoru alebo povolení pre jednotlivé položky. Ak sú zmeny potrebné na splnenie týchto predvolieb, vytvorte plán zlepšenia.

Povolenia aplikácie Power BI

Aplikácia služby Power BI poskytuje kolekciu zostáv, tabúľ a zošitov pre spotrebiteľov. Aplikácia poskytuje používateľom najlepšie používateľské prostredie, pretože:

  • Navigačná tabla aplikácie poskytuje jednoduché a intuitívne používateľské prostredie. Je to krajšie prostredie ako prístup k obsahu priamo v pracovnom priestore.
  • Obsah je možné logicky usporiadať do sekcií (ktoré sú podobné priečinkom) na navigačnej table aplikácie.
  • Používatelia majú prístup iba ku konkrétnym položkám, ktoré sú explicitne zahrnuté v aplikácii pre ich cieľovú skupinu.
  • Prepojenia na ďalšie informácie, dokumentáciu alebo iný obsah môžete pridať na navigačnú tablu pre svoju cieľovú skupinu.
  • Je tu vstavaný pracovný postup Žiadosť o prístup .

Poznámka

Všetky odkazy na aplikáciu uvedené v tomto článku odkazujú na aplikáciu služby Power BI. Ide o iný koncept ako služba Power Apps. Ide tiež o iný koncept ako v prípade mobilných aplikácií Power BI. V tejto časti sa dôraz kladie na aplikácie organizácie a nie na aplikácie šablón.

Jednu aplikáciu môžete vytvoriť pre každý pracovný priestor ako formálny spôsob distribúcie obsahu pracovného priestoru alebo celého pracovného priestoru. Aplikácie sú dobrým spôsobom, ako distribuovať obsah v rámci organizácie všeobecne, najmä tým používateľom, ktorých nepoznáte alebo s ktorými úzko nespolupracujete.

Tip

Ďalšie informácie o používaní aplikácie Power BI na širokú distribúciu obsahu nájdete v scenári používania podnikovej služby BI . Odporúčame, aby tvorcovia obsahu, ktorí potrebujú distribuovať obsah, zvážia vytvorenie aplikácie ako svojej prvej voľby.

Povolenia aplikácie spravujete oddelene od rolí pracovného priestoru. Rozdelenie povolení má dve výhody. Podporuje sa:

  • Poskytnutie prístupu k pracovnému priestoru tvorcom obsahu. Zahŕňa používateľov, ktorí aktívne spolupracujú na obsahu, ako sú napríklad sémantickí tvorcovia modelov, tvorcovia zostáv a testeri.
  • Poskytnutie povolení aplikácie spotrebiteľom. Na rozdiel od povolení pracovného priestoru sú povolenia aplikácie vždy určené iba na čítanie (alebo žiadne).

Všetci používatelia s prístupom k pracovnému priestoru môžu aplikáciu automaticky zobraziť (keď je aplikácia Power BI publikovaná pre pracovný priestor). Vzhľadom na toto správanie si môžete koncepčne predstaviť roly pracovného priestoru ako zdedené každou cieľovou skupinou aplikácií. Niektorí používatelia s prístupom k pracovnému priestoru môžu tiež aktualizovať aplikáciu Power BI v závislosti od ich priradenej roly pracovného priestoru.

Tip

Ďalšie informácie o prístupe k pracovnému priestoru nájdete v článku Plánovanie zabezpečenia tvorcu obsahu.

Použitie aplikácie na distribúciu obsahu spotrebiteľom iba na čítanie je najlepšou voľbou, keď:

  • Chcete, aby používatelia mohli zobrazovať iba konkrétne položky, ktoré sú viditeľné pre danú cieľovú skupinu (a nie všetky položky v základnom pracovnom priestore).
  • Chcete spravovať povolenia iba na čítanie pre aplikáciu oddelene od pracovného priestoru.
  • Chcete jednoduchšiu správu povolení pre používateľov s povolením len na čítanie ako pre jednotlivé položky.
  • Chcete zabezpečiť, aby sa zabezpečenie na úrovni riadkov vynucovali pre používateľov (keď majú povolenie iba na čítanie v základnom sémantickom modeli).
  • Chcete zabezpečiť, aby používatelia nemohli zobrazovať nové a zmenené zostavy, kým sa aplikácia znova nepublikuje.

Aj keď je pravda, že zmeny v zostavách a tabuliach sa používateľom aplikácie nezobrazujú, kým sa aplikácia znova nepublikuje, je potrebné zvážiť dve dôležité informácie.

  • Okamžité sémantické zmeny modelu: Sémantické zmeny modelu sa vždy prejavia okamžite. Ak napríklad v pracovnom priestore predstavíte prelomové zmeny v sémantickom modeli, môže to spôsobiť nestabilitu zostáv (aj keď sa v aplikácii ešte nepublikovali). Existujú dva spôsoby, ako toto riziko zmierniť: Po prvé, všetky vývojové práce môžete vykonať v aplikácii Power BI Desktop (oddelene od pracovného priestoru). Po druhé, izolujte produkčnú aplikáciu použitím samostatných pracovných priestorov na vývoj a testovanie. (Voliteľne môžete dosiahnuť vyššiu úroveň kontroly nad nasadením obsahu pracovného priestoru od vývoja až po testovanie a produkciu pomocou kanálov nasadenia.)
  • Publikovanie obsahu a povolení: Pri publikovaní aplikácie sa jej povolenia publikujú v rovnakom čase ako obsah. Môžete mať napríklad zmeny zostavy v pracovnom priestore, ktoré ešte nie sú dokončené, plne otestované alebo schválené. Takže aplikáciu nemôžete opätovne publikovať len preto, aby ste aktualizovali povolenia. Ak chcete toto riziko zmierniť, priraďte povolenia aplikácie skupinám zabezpečenia a pri udeľovaní povolení aplikácie použite členstvá v skupinách zabezpečenia (namiesto jednotlivých používateľov). Vyhnite sa opätovnému publikovaniu aplikácie len na použitie zmien povolení.

Cieľová skupina aplikácií

Každý pracovný priestor v služba Power BI môže mať len jednu aplikáciu služby Power BI. V aplikácii však môžete vytvoriť jedno alebo viacero cieľových skupín. Zvážte nasledujúci scenár.

  • Máte päť zostáv predaja, ktoré sú distribuované mnohým používateľom v rámci celej globálnej organizácie predaja.
  • V aplikácii sa definuje jedna cieľová skupina pre obchodných zástupcov. Toto publikum môže zobraziť tri z piatich zostáv.
  • V aplikácii sa definuje ďalšia cieľová skupina pre vedenie predaja. Toto publikum môže zobraziť všetkých päť zostáv vrátane dvoch zostáv, ktoré nie sú k dispozícii obchodným zástupcom.

Táto možnosť kombinovať a zhodovať obsah a diváci majú nasledujúce výhody.

  • Niektoré zostavy môžu byť k dispozícii na prezeranie pre viacero účastníkov. Vytvorením viacerých cieľových skupín sa teda odstráni potreba duplikovať obsah v rôznych pracovných priestoroch.
  • Niektoré zostavy by mali byť k dispozícii len pre jednu cieľovú skupinu. Obsah pre jednu cieľovú skupinu sa teda môže nachádzať v tom istom pracovnom priestore ako iný súvisiaci obsah.

Nasledujúca snímka obrazovky znázorňuje aplikáciu s dvomi cieľovými skupinami: Vedenie predaja a Obchodný zástupca. Tabla Spravovať prístup k cieľovej skupine Vedenie predaja poskytuje prístup k skupine cieľové skupiny Sales Leadership (Vedenie predaja) pre dve skupiny zabezpečenia: Sales Leadership-North America (Vedenie predaja – Severná Amerika) a Sales Leadership-Europe (Vedenie predaja v Európe). Zostava Gross Margin Analysis (Analýza hrubej marže), ktorá je zobrazená na snímke obrazovky pre skupinu cieľové skupiny Sales Leadership (Vedenie predaja), nie je k dispozícii pre skupinu cieľových skupín Sales Reps (Zástupcovia predaja).

Snímka obrazovky nastavenia cieľovej skupiny aplikácií v služba Power BI.

Poznámka

Niekedy sa používa pojem skupina publika. Nie je to priamy odkaz na používanie skupín zabezpečenia. Patrí sem aj členovia cieľovej skupiny, ktorí budú vidieť kolekciu obsahu v rámci aplikácie Power BI. Hoci môžete priradiť jednotlivých používateľov cieľovej skupine, najlepšie je priradiť skupiny zabezpečenia, skupiny v Microsoft 365 alebo distribučné skupiny vždy, keď je to praktické. Ďalšie informácie nájdete v téme Stratégia používania skupín v článku Plánovanie zabezpečenia na úrovni nájomníka.

Keď spravujete povolenia pre aplikáciu, na stránke Direct Access môžete zobraziť členov každej cieľovej skupiny. Môžete tiež zobraziť používateľov s rolou pracovného priestoru uvedenú v zozname Celá cieľová skupina. Nie je možné aktualizovať povolenia aplikácie zo stránky Priamy prístup . Namiesto toho musíte aplikáciu znova publikovať. Povolenia aplikácie však môžete aktualizovať zo stránky Čakajúce , keď sa pre aplikáciu nachádzajú otvorené žiadosti o prístup.

Tip

Hlavným prípadom použitia pre používanie cieľových skupín aplikácií je definovanie konkrétnych povolení pre rôzne množiny používateľov. Pri používaní cieľovej skupiny však môžete byť trochu kreatívni. Používateľ môže byť členom viacerých skupín a každá cieľová skupina sa divákom aplikácie zobrazuje ako sekundárna množina ponúk. Môžete napríklad vytvoriť cieľovú skupinu s názvom Spustiť tu , ktorá obsahuje informácie o tom, ako používať aplikáciu, koho kontaktovať, ako poskytnúť pripomienky a ako získať pomoc. Alebo môžete vytvoriť cieľovú skupinu s názvom Definície kľúčových ukazovateľov výkonu, ktorá obsahuje slovník údajov. Poskytnutie tohto typu informácií pomáha novým používateľom a zlepšuje úsilie o prijatie riešení.

Možnosti povolení aplikácie

Pri vytváraní (alebo opätovnom publikovaní) aplikácie má každá cieľová skupina tablu Spravovať prístup k cieľovej skupine. Na tejto table sú k dispozícii nasledujúce povolenia.

  • Udeliť prístup: Pre každú cieľovú skupinu môžete udeliť prístup jednotlivým používateľom a skupinám. Aplikáciu je možné publikovať do celej organizácie, ak to umožňuje nastavenie nájomníka Publikovať aplikácie pre celú organizáciu , pričom aplikácia sa nenainštaluje automaticky. Vždy, keď je to možné, odporúčame, aby ste priradili skupiny cieľovej skupine, pretože pridanie alebo odstránenie používateľov zahŕňa opätovné publikovanie aplikácie. Každý s prístupom k pracovnému priestoru má automaticky povolenie na zobrazenie alebo aktualizáciu aplikácie v závislosti od jej roly pracovného priestoru.
  • Povolenia pre sémantický model: Počas publikovania aplikácie možno udeliť dva typy povolení sémantického modelu:
    • Opätovné zdieľanie sémantického modelu: Keď je toto zdieľanie povolené, používateľom aplikácie sa udelí povolenie na opätovné zdieľanie k základným sémantickým modelom s ostatnými. Túto možnosť je vhodné povoliť, keď základné sémantické modely možno jednoducho opätovne zdieľať s kýmkoľvek. Odporúčame, aby ste pred udelením povolenia na opätovné zdieľanie cieľovej skupine aplikácií získali schválenie od vlastníkov sémantických modelov.
    • Zostava sémantického modelu: ak je táto možnosť povolená, používateľom aplikácie sa udelí povolenie na vytváranie pre sémantické modely. Povolenie na vytváranie umožňuje používateľom vytvárať nové zostavy, exportovať základné údaje zo zostáv a využívať ďalšie možnosti. Odporúčame, aby ste pred udelením povolenia na vytváranie cieľovej skupine aplikácií získali schválenie od vlastníkov sémantických modelov.

Možnosť pridať sémantický model povolenia na opätovné zdieľanie alebo vytváranie počas publikovania aplikácie je praktická. Odporúčame vám však samostatne zvážiť spravovanie povolení aplikácie a sémantických modelov povolení. Tu sú dôvody, prečo.

  • Zdieľaný sémantický model sa môže nachádzať v samostatnom pracovnom priestore: Ak je sémantický model publikovaný v samostatnom pracovnom priestore od aplikácie, budete musieť spravovať jeho povolenia priamo. Možnosť pridať povolenia na čítanie, vytvorenie alebo opätovné zdieľanie počas publikovania aplikácie funguje len pre sémantické modely, ktoré sa nachádzajú v rovnakom pracovnom priestore ako aplikácia. Z tohto dôvodu odporúčame, aby ste sa zvykli samostatne spravovať povolenia sémantického modelu.
  • Povolenia pre sémantický model sa spravujú samostatne: Ak odstránite alebo zmeníte povolenia pre aplikáciu, táto akcia ovplyvní len aplikáciu. Automaticky sa neodstránia žiadne povolenia sémantického modelu, ktoré boli predtým priradené. Týmto spôsobom si môžete povolenia aplikácie a sémantické povolenia modelu predstaviť ako dekadované. Sémantický model budete musieť spravovať priamo, oddelene od aplikácie, keď sa zmenia alebo bude potrebné odstrániť povolenia sémantického modelu.
  • Mali by sa riadiť povolenia sémantického modelu: Udelenie povolení sémantického modelu prostredníctvom aplikácie odstraňuje ovládací prvok od vlastníka sémantického modelu. Udelenie povolenia na opätovné zdieľanie závisí od dobrého úsudku používateľov, ktorí sa rozhodnú opätovne zdieľať sémantické modely. Ak je povolené opätovné zdieľanie, spravovanie vašich interných usmernení pre riadenie alebo zabezpečenie môže byť oveľa ťažšie.
  • Spotrebitelia a tvorcovia majú rôzne ciele: V organizácii je zvyčajne oveľa viac spotrebiteľov obsahu ako tvorcov. V súlade so zásadou najmenších oprávnení spotrebitelia potrebujú pre základný sémantický model povolenie iba na čítanie. Ak nemajú v úmysle vytvárať nové zostavy, nepotrebujú povolenie na vytváranie.

Tip

Ďalšie informácie o tom, kedy používať samostatné pracovné priestory údajov a pracovné priestory zostáv, nájdete v článku Plánovanie na úrovni pracovného priestoru.

Práva na predinštalovanie aplikácie

Po publikovaní aplikácie Power BI ju používateľ zvyčajne potrebuje nainštalovať, aby ju mohol otvoriť. Používateľ môže nainštalovať aplikáciu zo stránky Aplikácie v služba Power BI alebo pomocou prepojenia, ktoré dostal od iného používateľa. Budú môcť nájsť (a nainštalovať) aplikáciu, ak sú súčasťou aspoň jednej cieľovej skupiny aplikácie.

Alternatívnym prístupom na inštaláciu aplikácie je jej doručenie spotrebiteľom aplikácií. Výsledkom je predinštalovanie aplikácie, ktorá sa automaticky zobrazí na stránke Aplikácie v služba Power BI. Tento prístup predstavuje pre používateľov pohodlie, pretože nepotrebujú aplikáciu nájsť a nainštalovať. Predinštalované aplikácie sa však môžu pre používateľov stať nepríjemnosťami, pretože ich môže zahltiť príliš veľa aplikácií, ktoré pre nich nie sú relevantné.

Nastavenie nájomníka Zobrazovať aplikácie koncovým používateľom riadi, kto má povolenie na automatickú inštaláciu aplikácií. Odporúčame, aby ste túto funkciu používali, pretože je vhodná pre používateľov. Zároveň však odporúčame, aby ste svojich tvorcov obsahu informovali o tom, kedy ho používať, aby sa nepre využíval.

Tip

Ak pri publikovaní aplikácie vyberiete možnosť automatickej inštalácie aplikácie, nemôžete nastaviť cieľovú skupinu ako celú organizáciu (ak je to povolené nastavením nájomníka Zobrazovať aplikácie koncovým používateľom ).

Kontrolný zoznam – pri vytváraní stratégie používania aplikácií pre divákov obsahu sú kľúčové rozhodnutia a akcie:

  • Rozhodnite sa pre stratégiu používania aplikácií: Definujte svoje preferencie pre spôsob používania aplikácií. Zabezpečte, aby bola v súlade s vašou celkovou stratégiou pre spotrebiteľov, ktorí majú len čítanie.
  • Rozhodnite sa, kto bude môcť publikovať aplikácie pre celú organizáciu: Rozhodnite sa, ktorí tvorcovia zostáv budú môcť publikovať v celej organizácii. Ak chcete toto rozhodnutie zosúladiť s týmto rozhodnutím, nastavte nastavenie Publikovať aplikácie pre celého nájomníka organizácie.
  • Rozhodnite sa, kto bude môcť zobrazovať aplikácie koncovým používateľom: Rozhodnite sa, ktorí tvorcovia zostáv Power BI môžu aplikácie vopred nainštalovať. Nastavením nájomníka Presunutie aplikácií koncovým používateľom zarovnajte toto rozhodnutie.
  • Sprievodný materiál k vytváraniu a publikovaniu pre tvorcov obsahu: zadajte dokumentáciu a školenia pre tvorcov obsahu. Uveďte požiadavky a predvoľby o tom, ako aplikácie používať čo najefektívnejšie.
  • Určite, ako spracovávať žiadosti o prístup k aplikácii: Zabezpečte, aby bol proces nastavený na priradenie kontaktov a včasné spracovanie žiadostí o prístup k aplikácii.

Rola čitateľa pracovného priestoru

Ako je popísané v článkoch o plánovaní pracovného priestoru, hlavným účelom pracovného priestoru je spolupráca. Spolupracovníci pracovného priestoru, ako sú napríklad sémantickí tvorcovia modelov, tvorcovia zostáv a testeri, by mali byť priradení k jednej z troch rolí: Prispievateľ, Člen alebo Spravovanie. Tieto roly sú popísané v článku Plánovanie zabezpečenia tvorcu obsahu.

Spotrebiteľom môžete priradiť rolu Čitateľ pracovného priestoru. Umožniť spotrebiteľom prístup k obsahu priamo v pracovnom priestore môže mať zmysel pre malé tímy a neformálne tímy, ktoré úzko spolupracujú.

Umožniť spotrebiteľom priamy prístup k obsahu pracovného priestoru je dobrou voľbou, keď:

  • Oprávnenie aplikácie so samostatnými povoleniami nie je potrebné.
  • Diváci môžu zobraziť všetky položky uložené v pracovnom priestore.
  • Chcete mať jednoduchšiu správu povolení ako povolenia pre jednotlivé položky.
  • Používatelia pracovného priestoru môžu tiež zobraziť aplikáciu (keď je aplikácia publikovaná pre pracovný priestor).
  • Zámerom je, aby si diváci pred publikovaním v aplikácii mohli prezerať obsah.

Tu je niekoľko návrhov na podporu divákov pracovného priestoru.

  • Usporiadajte obsah do každého pracovného priestoru tak, aby sa položky jednoducho nachádzali používateľmi zostavy a aby boli v súlade so zabezpečením. Organizácia pracovného priestoru podľa oblasti predmetu alebo projektu zvyčajne funguje dobre.
  • Oddeľte vývojový a testovací obsah od produkčného obsahu, aby pre divákov nemohli získať prístup k položke prebiehajúcemu v práci.
  • Ak očakávate, že budete mať množstvo žiadostí o prístup na spracovanie, použite aplikácie (alebo povolenia pre jednotlivé položky). Neexistuje pracovný postup Žiadosť o prístup pre pracovné priestory.

Kontrolný zoznam – pri vytváraní stratégie na používanie pracovných priestorov pre divákov obsahu patria kľúčové rozhodnutia a akcie:

  • Rozhodnite sa pre stratégiu používania roly Čitateľ pracovného priestoru: Zadefinujte, aké sú vaše preferencie pre používanie pracovných priestorov pre spotrebiteľov. Zabezpečte, aby bola v súlade s vašou celkovou stratégiou pre spotrebiteľov, ktorí majú len čítanie.
  • Sprievodný materiál k vytváraniu a publikovaniu pre tvorcov obsahu: zadajte dokumentáciu a školenia pre tvorcov obsahu. Zahrnutie požiadaviek a preferencií na to, ako používať povolenia pracovného priestoru najefektívnejšie.

Povolenia pre položku

Zdieľanie jednotlivých položiek udeľuje povolenie na jednu položku. Menej skúsení tvorcovia obsahu bežne používajú túto metódu ako primárnu techniku zdieľania, pretože príkazy zdieľania sa výrazne zobrazujú v služba Power BI. Z tohto dôvodu je dôležité vzdelávať tvorcov obsahu o rôznych možnostiach zdieľania vrátane toho, kedy použiť povolenia aplikácie namiesto rolí pracovného priestoru.

Povolenia pre položku sú dobrou voľbou v týchto prípadoch:

  • Chcete poskytnúť prístup iba na čítanie k jednej položke (zostave alebo tabuli).
  • Nechcete, aby si používateľ zobrazoval všetok obsah publikovaný v pracovnom priestore.
  • Nechcete, aby si používateľ zobrazoval všetok obsah publikovaný cieľovej skupine aplikácie.

Povolenia pre jednotlivé položky používajte zriedkavo, pretože zdieľanie udeľuje povolenie na čítanie pre jednu položku. Povolenia pre jednotlivé položky si môžete predstaviť ako prepísanie rolí pracovného priestoru alebo povolení aplikácie.

Tip

Odporúčame používať povolenia aplikácie vždy, keď je to možné. V ďalšom kroku zvážte použitie rolí pracovného priestoru na povolenie priameho prístupu k pracovnému priestoru. Nakoniec použite povolenia pre položku, ak spĺňajú vyššie uvedené kritériá. Povolenia aplikácie a roly pracovného priestoru špecifikujú zabezpečenie pre kolekciu obsahu (namiesto jednotlivých položiek), čo je lepšia prax zabezpečenia.

Zdieľanie mnohých položiek pomocou povolení pre jednotlivé položky môže byť zdĺhavé a náchylné na chyby, najmä pri zdieľaní s jednotlivými používateľmi namiesto skupín. Zoberme si tento scenár: Máte 40 zostáv, ktoré ste zdieľali s kolegami pomocou ich individuálnych používateľských kont. Keď niektorý kolega prestúpi do iného oddelenia, budete musieť zrušiť ich prístup, čo bude zahŕňať úpravu povolení pre všetkých 40 zostáv.

Dôležité

Zdieľanie obsahu z osobného pracovného priestoru by sa malo vykonávať zriedkavo. Osobné pracovné priestory sú najvhodnejšie pre nevýskytný, neformálny alebo dočasný obsah. Ak je situácia, v ktorej tvorcovia obsahu často zdieľajú dôležitý alebo kritický obsah zo svojich osobných pracovných priestorov, mali by ste prijať vhodné opatrenia na presunutie tohto obsahu do štandardného pracovného priestoru. Ďalšie informácie nájdete v scenári používania osobných údajov služby BI .

Pri zdieľaní jednotlivej položky máte niekoľko možností povolení.

  • Povolenie na opätovné zdieľanie: Keď je to povolené, používatelia môžu zdieľať položku s inými používateľmi vrátane jej základných sémantických modelov. Udelenie tohto povolenia má zmysel, keď položku možno ľahko zdieľať s kýmkoľvek. Odstráni ovládací prvok od osoby alebo tímu, ktorý spravuje položku. Spolieha sa teda na dobrý úsudok používateľov, ktorým bolo udelené povolenie na opätovné zdieľanie. Ak je však povolené opätovné zdieľanie, spravovanie vašich interných usmernení pre riadenie alebo zabezpečenie môže byť oveľa ťažšie.
  • Povolenie na vytváranie: Keď je toto povolenie povolené, používateľom sa udeľuje povolenie na vytváranie pre základný sémantický model. Povolenie Build umožňuje používateľom vytvárať nový obsah založený na sémantickom modeli. Umožňuje im tiež exportovať základné údaje zo zostáv a ďalšie. Dôležité informácie o udelení povolenia na vytváranie sú popísané v článku Plánovanie zabezpečenia tvorcu obsahu.

Povolenia pre jednotlivé položky pre zostavy a tabule môžu mať zmysel pre neformálne scenáre, keď sa obsah zdieľa s niekoľkými používateľmi. Je vhodné vzdelávať používateľov o spravovaní povolení s aplikáciami a pracovnými priestormi, najmä keď zdieľajú obsah veľkému počtu používateľov alebo používateľov mimo ich tímu. Je dôležité zdôrazniť nasledujúce body.

  • Je oveľa ťažšie určiť, ktorý obsah sa zdieľa s používateľmi, pretože povolenia pre každú zostavu a tabuľu sa musia revidovať jednotlivo.
  • V mnohých prípadoch je povolenie na opätovné zdieľanie nastavené, pretože používateľské prostredie túto možnosť predvolene povoľuje. Existuje teda riziko, že obsah sa zdieľa s širšou skupinou používateľov, než je zamýšľané. Tomuto výsledku sa dá zabrániť zrušením začiarknutia možnosti Povoliť príjemcom zdieľať túto zostavu pri zdieľaní. Minimalizácia nadmerného zdieľania týmto spôsobom predstavuje problém so vzdelávaním používateľov. Tvorca obsahu, ktorý nastavuje povolenia na zdieľanie, by mal túto možnosť vždy zvážiť.
  • Všetky zmeny v zostavách a tabuliach môžu ostatní zobraziť okamžite, čo by mohlo zmiasť používateľov, keď prebiehajú úpravy obsahu. Tieto obavy je možné zmierniť distribúciou obsahu v aplikácii alebo použitím samostatných pracovných priestorov na oddelenie vývoja, testovania a produkčného obsahu. Ďalšie informácie nájdete v scenári samoobslužného publikovania obsahu.
  • Keď používateľ zdieľa obsah zo svojho osobného pracovného priestoru a opustí organizáciu, IT zvyčajne zakáže jeho používateľské konto. V tomto prípade všetci príjemcovia zdieľaného obsahu okamžite stratia prístup k obsahu.

Existujú tri konkrétne typy zdieľania: zdieľanie prepojení, zdieľanie priameho prístupu a zdieľané zobrazenia.

Keď zdieľate konkrétnu položku, výsledkom predvoleného prostredia je prepojenie na zdieľanie. Existujú tri typy prepojení na zdieľanie.

  • Ľudia vo vašej organizácii: Ak je tento typ prepojenia na zdieľanie povolený v nastaveniach nájomníka služby Power BI, ide o jednoduchý spôsob, ako poskytnúť prístup iba na čítanie všetkým používateľom v organizácii. Prepojenie na zdieľanie však nebude fungovať pre externých používateľov. Táto možnosť je najvhodnejšia v prípade, keď si môže obsah zobraziť hocikto a prepojenie je možné voľne zdieľať v celej organizácii. Ak nie je zakázané v nastavení nájomníka Povoliť zdieľanie, ktorým môžete udeliť prístup všetkým používateľom vo vašej organizácii , tento typ zdieľania je predvolený.
  • Ľudia s existujúcim prístupom: Táto možnosť nevytvorí nové prepojenie na zdieľanie. Namiesto toho vám umožňuje načítať URL adresu, aby ste ju mohli odoslať niekomu, kto už má prístup.
  • Konkrétni ľudia: Táto možnosť vytvorí prepojenie na zdieľanie pre konkrétnych používateľov alebo skupiny. Odporúčame, aby ste túto možnosť väčšinu času používali, pretože poskytuje konkrétny prístup. Ak bežne pracujete s externými používateľmi, môžete tento typ prepojenia použiť pre hosťovských používateľov, ktorí už existujú v identifikátore Microsoft Entra (predtým označovanom ako Azure Active Directory). Ďalšie informácie o plánovanom procese pozvánky na vytvorenie hosťovských používateľov nájdete v článku Plánovanie zabezpečenia na úrovni nájomníka.

Dôležité

Odporúčame vám zvážiť obmedzenie prepojenia Povoliť zdieľanie, aby ste udelili prístup všetkým používateľom vo vašej organizácii na nastavenie nájomníka pre členov skupiny. Môžete vytvoriť názov skupiny, napríklad Zdieľať v službe Power BI na celú organizáciu, a potom pridať malý počet používateľov, ktorí porozumejú dôsledkom zdieľania v rámci celej organizácie. Ak sa obávate existujúcich prepojení pre celú organizáciu, môžete použiť rozhranie API správcu na vyhľadanie všetkých položiek, ktoré boli zdieľané s celou organizáciou.

Prepojenie na zdieľanie pridá k položke povolenie na čítanie. Povolenie na opätovné zdieľanie je predvolene vybraté. Rovnako je možné pridať povolenie na vytváranie k základnému sémantickému modelu zároveň s prepojením na zdieľanie.

Tip

Odporúčame, aby ste informovali tvorcov obsahu, aby povolili možnosť Povolenia na vytváranie iba vtedy, ak je používateľom zostavy aj tvorca obsahu, ktorý by mohol potrebovať vytvárať zostavy, exportovať údaje alebo vytvárať zložený model zo základného sémantického modelu.

Správa zdieľania prepojení je jednoduchšia ako zdieľanie priameho prístupu, a to najmä vtedy, keď potrebujete vykonávať hromadné zmeny. Ide o významnú výhodu, keď jednotliví používatelia udeľujú povolenia na zdieľanie, a to viac ako skupinám (k čomu bežne dochádza, keď sú samoobslužní používatelia zodpovední za spravovanie povolení). Zvážte nasledujúce porovnania.

  • Zdieľanie prepojenia: 20 individuálnym používateľom je udelený prístup s prepojením na zdieľanie. Pri jedinej zmene prepojenia to ovplyvní všetkých 20 používateľov.
  • Priamy prístup: 20 jednotlivcom je udelený priamy prístup k položke. Ak chcete vykonať zmenu, musíte upraviť všetkých 20 povolení používateľa.

Povolenia na priamy prístup pre jednotlivé položky

Môžete tiež získať povolenia pre jednotlivé položky pomocou priameho prístupu. Priamy prístup zahŕňa nastavenie povolení pre jednu položku. Môžete tiež určiť všetky zdedené povolenia odvodené z rolí pracovného priestoru.

Keď udelíte priamemu používateľovi prístup, udelí sa mu povolenie na čítanie pre danú položku. Povolenie na opätovné zdieľanie je predvolene vybraté rovnako ako povolenie na vytváranie pre základný sémantický model. Odporúčame, aby ste naučiť tvorcov obsahu povoliť povolenie na vytváranie len vtedy, ak je spotrebiteľom tejto zostavy aj tvorca obsahu, ktorý môže potrebovať vytvárať zostavy, exportovať údaje alebo vytvárať zložené modely zo základného sémantického modelu.

Tip

Používateľské prostredie umožňuje veľmi jednoduché udelenie povolení na opätovné zdieľanie a vytváranie, ale používateľ, ktorý vykoná zdieľanie, by mal vždy overiť, či sú tieto povolenia potrebné.

Zdieľané zobrazenia

Zdieľané zobrazenie môžete použiť na zdieľanie filtrovanej perspektívy zostavy s iným používateľom. Zdieľané zobrazenie môžete publikovať pomocou prepojenia na zdieľanie alebo priameho prístupu.

Zdieľané zobrazenia sú dočasným konceptom. Po 180 dňoch im automaticky vyprší platnosť. Z tohto dôvodu sú zdieľané zobrazenia najvhodnejšie pre scenáre neformálneho a dočasného zdieľania. Uistite sa, že vaši používatelia o tomto obmedzení vedeli.

Kontrolný zoznam – pri vytváraní stratégie na používanie povolení pre jednotlivé položky sú kľúčové rozhodnutia a akcie:

  • Rozhodnite sa pre stratégiu používania funkcie zdieľania: Zadefinujte, aké sú vaše preferencie na používanie povolení pre jednotlivé položky. Zabezpečte, aby bola v súlade s vašou celkovou stratégiou pre spotrebiteľov, ktorí majú len čítanie.
  • Rozhodnite sa, kto bude môcť publikovať prepojenia pre celú organizáciu: Rozhodnite sa, ktorí tvorcovia zostáv budú môcť publikovať prepojenia pre celú organizáciu. Ak chcete toto rozhodnutie zosúladiť, nastavte nastavenie Povoliť zdieľanie prepojení na udelenie prístupu všetkým používateľom v organizácii.
  • Sprievodný materiál k vytváraniu a publikovaniu pre tvorcov obsahu: Poskytnite dokumentáciu a školenia pre tvorcov obsahu, ktoré zahŕňajú požiadavky a predvoľby na najefektívnejšie používanie povolení pre jednotlivé položky. Uistite sa, že majú prehľad o výhodách a nevýhodách povolení pre jednotlivé položky. Uveďte pokyny, kedy použiť zdieľanie prepojení a kedy použiť priame zdieľanie prístupu.

Ďalšie techniky spotrebiteľských dotazov

Najčastejšie spôsoby interakcie používateľov so službou Power BI sú s aplikáciami, pracovnými priestormi a povoleniami pre jednotlivé položky (predtým popísané v tomto článku).

Existujú aj iné techniky, ktoré spotrebitelia môžu použiť na dotazovanie údajov služby Power BI. Každá z nasledujúcich techník dotazu vyžaduje sémantický model alebo povolenie na vytváranie údajového grafu.

  • Analyzovať v Exceli: Používatelia, ktorí radšej používajú Excel, môžu dotazovať sémantický model služby Power BI pomocou funkcie Analyzovať v Exceli. Táto funkcia je skvelou alternatívou k exportu údajov do Excelu, pretože údaje nie sú duplicitné. Pomocou dynamického pripojenia k sémantickému modelu môžu používatelia vytvárať kontingenčné tabuľky, grafy a rýchle filtre. Potom môžu publikovať zošit do pracovného priestoru v služba Power BI, ktorý umožňuje spotrebiteľom ho otvoriť a pracovať s ním.
  • Koncový bod XMLA: Spotrebitelia môžu dotazovať sémantický model pripojením ku koncovému bodu XMLA. Aplikácia, ktorá je kompatibilná s XMLA, sa môže pripojiť k sémantickému modelu uloženému v pracovnom priestore Premium, dotazovať ho a využívať ho. Táto funkcia je užitočná, keď spotrebitelia chcú použiť sémantický model služby Power BI ako svoj zdroj údajov pre nástroj na vizualizáciu údajov mimo ekosystému spoločnosti Microsoft.
  • Editor datamart: Spotrebitelia môžu dotazovať údajový graf služby Power BI pomocou editora datamart. Je to webový editor dotazov vizuálu na vytváranie dotazov bez použitia kódu. K dispozícii je aj webový editor SQL, v ktorom spotrebitelia uprednostňujú písanie dotazov SQL. Oba editory dotazujú spravovanú databázu Azure SQL, ktorá je základom dátového grafu služby Power BI (a nie vstavaného sémantického modelu).
  • Koncový bod SQL: Spotrebitelia môžu dotazovať údajový graf služby Power BI pomocou koncového bodu SQL. Na spúšťanie dotazov SQL môžu použiť nástroje, ako napríklad Azure Data Studio alebo SQL Server Management Studio (SSMS). Koncový bod SQL prismeruje dotazy na spravovanú databázu Azure SQL, ktorá je základom dátového grafu služby Power BI (nie vstavaného sémantického modelu).

Ďalšie informácie o povolení na vytváranie nájdete v článku Plánovanie zabezpečenia tvorcu obsahu.

Kontrolný zoznam – pri plánovaní techník dotazov, ktoré budú spotrebitelia používať, ku kľúčovým rozhodnutiam a akciám patria:

  • Vytvorenie sprievodného materiálu pre používateľov pri používaní funkcie Analyzovať v Exceli: Poskytnite dokumentáciu a školenia pre používateľov, ktorí sa používajú na najlepší spôsob opätovného použitia existujúcich sémantických modelov s Excelom.
  • Vytvorenie sprievodného materiálu pre používateľov k používaniu koncového bodu XMLA: poskytnite dokumentáciu a školenia pre používateľov na najlepší spôsob opätovného použitia existujúcich sémantických modelov s koncovým bodom XMLA.
  • Vytvorenie sprievodného materiálu pre používateľov v prípade dotazov datamart: poskytnite dokumentáciu a školenie pre spotrebiteľov o dostupných technikách na dotazovanie súhrnov údajov služby Power BI.

Pracovný postup žiadosti o prístup pre spotrebiteľov

Pri zdieľaní obsahu je bežné, že jeden používateľ preposiela prepojenie (URL) inému používateľovi. Keď sa príjemca pokúsi zobraziť obsah a zistí, že nemá k nemu prístup, môže vybrať tlačidlo Požiadať o prístup . Týmto krokom sa spustí pracovný postup Žiadosť o prístup . Používateľ má potom zadať správu s cieľom vysvetliť, prečo chce mať prístup.

Existuje pracovný postup Žiadosť o prístup pre:

  • Prístup k aplikácii Power BI.
  • Prístup k položke, ako je napríklad zostava alebo tabuľa.
  • Prístup k sémantickému modelu. Ďalšie informácie o pracovnom postupe Žiadosť o prístup , keď je možné vyhľadať sémantický model, nájdete v článku Plánovanie zabezpečenia tvorcu obsahu.

Žiadosti o prístup k aplikácii

Existujú dva spôsoby, ako získať informácie o čakajúcich žiadostiach o prístup, ktoré boli odoslané pre aplikáciu.

  • E-mail: Kontakty aplikácie dostanú e-mailové oznámenie. Tento kontakt je predvolene vydavateľom aplikácie. Ak chcete poskytovať lepšiu podporu kritických aplikácií, odporúčame nastaviť kontakt na skupinu, ktorá je schopná rýchlo reagovať na žiadosti o prístup.
  • Ponuka Spravovať povolenia: Správcovia a členovia pracovného priestoru môžu zobrazovať, schvaľovať alebo odmietnuť žiadosti o prístup. Stránka Spravovať povolenia je k dispozícii na stránke Aplikácie a môže byť otvorená pre každú aplikáciu. Táto funkcia je k dispozícii aj pre prispievateľov pracovného priestoru, keď je povolené nastavenie Povoliť prispievateľom aktualizovať aplikáciu pre tento pracovný priestor .

Správa od používateľa sa zobrazí v žiadostiach čakajúcich na prístup pre aplikáciu. Každú čakajúcu žiadosť možno schváliť alebo odmietnuť. Keď sa rozhodnete schváliť žiadosť, musí byť vybratá cieľová skupina aplikácie.

Na nasledujúcej snímke obrazovky je zobrazená čakajúca žiadosť o prístup od používateľa. Ak ju chcete schváliť, musí byť vybratá jedna z dvoch skupín aplikácií, Obchodný zástupca alebo Vedenie predaja.

Snímka obrazovky zobrazujúca žiadosti, ktoré čakajú na schválenie pre aplikáciu služby Power BI v služba Power BI.

Pri publikovaní aplikácie sa obsah a povolenia publikujú zároveň. Ako sme už uviedli skôr, nie je možné publikovať len povolenia aplikácie bez toho, aby sa obsah zmenil. Existuje však jedna výnimka: Keď schválite čakajúcu žiadosť o prístup (napríklad žiadosť zobrazenú na predchádzajúcej snímke obrazovky), dôjde k zmene povolenia bez publikovania najnovšieho obsahu v pracovnom priestore.

Žiadosti o prístup k pracovnému priestoru

Prístup k pracovnému priestoru udeľujú používatelia, ktorí patria do roly Spravovanie alebo člena.

Používateľ, ktorý sa pokúša zobraziť pracovný priestor, dostane správu o prístupe , keď nie je členom roly pracovného priestoru. Keďže neexistuje vstavaný pracovný postup Žiadosť o prístup pre pracovné priestory, najlepšie sa používa pre malé tímy a neformálne tímy, ktoré úzko spolupracujú. To je jeden z dôvodov, prečo je aplikácia služby Power BI vhodnejšia pre väčšie tímy a širšie scenáre distribúcie obsahu.

Žiadosti o prístup podľa položky

Existujú dva spôsoby, ako získať informácie o čakajúcich žiadostiach o prístup, ktoré boli odoslané pre jednotlivú položku, ako je napríklad zostava.

  • E-mail: Kontakty pri položke dostanú e-mailové oznámenie. Ak chcete poskytovať lepšiu podporu kritickým zostavám, odporúčame nastaviť kontakt na skupinu, ktorá je schopná rýchlo reagovať na žiadosti o prístup.
  • Ponuka Spravovať povolenia: Správcovia a členovia pracovného priestoru majú prístup k stránke Spravovať povolenia pre každú položku. Môžu zobraziť, schváliť alebo odmietnuť prístup čakajúci na žiadosti.

Správa žiadostí o prístup so skupinami

Keď používateľ odošle formulár Žiadosť o prístup pre položku Power BI (ako je napríklad zostava alebo sémantický model) alebo aplikáciu Power BI, žiadosť sa odošle individuálnemu používateľovi. Mnohé veľké organizácie však musia používať skupiny na dodržiavanie svojich politík vnútornej bezpečnosti.

Odporúčame, aby ste na zabezpečenie obsahu vždy, keď je to praktické, používali skupiny, a nie jednotlivcov. Ďalšie informácie o plánovaní skupín nájdete v článku Plánovanie zabezpečenia na úrovni nájomníka.

Ak máte v úmysle poskytnúť prístup k skupinám namiesto jednotlivých používateľov, vlastník obsahu alebo správca, ktorý spracováva žiadosť o prístup, bude musieť žiadosť vyplniť vo viacerých krokoch:

  1. Odmietnuť čakajúcu žiadosť v službe Power BI (pretože je priradená k jednotlivému používateľovi).
  2. Podľa aktuálneho procesu pridajte žiadateľa do správnej skupiny.
  3. Informujte žiadateľa, že teraz má prístup.

Tip

Informácie o reagovaní na žiadosti o prístup na vytváranie od tvorcov obsahu nájdete v téme Žiadosť o prístup pre tvorcov obsahu. Obsahuje tiež odporúčania týkajúce sa používania formulára na žiadosti o prístup.

Kontrolný zoznam – pri plánovaní pracovného postupu Požiadať o prístup sú kľúčové rozhodnutia a akcie:

  • Určenie, kto by mal spracovávať žiadosti o prístup k aplikácii: Zabezpečte, aby bol proces včas spustený na spracovanie žiadostí o prístup k aplikáciám. Skontrolujte, či sú na podporu procesu priradené kontakty aplikácie.
  • Určenie, kto by mal spracovávať žiadosti o jednotlivé položky: Zabezpečte, aby sa proces spracovával so žiadosťami o prístup včas. Zabezpečte, aby sa ku každej položke priradili kontakty na podporu procesu.
  • Zahrnutie do dokumentácie a školenia pre tvorcov obsahu: Zabezpečte, aby tvorcovia obsahu včas pochopili, ako spracovávať žiadosti o prístup. Uistite sa, ako pracovať so žiadosťami, kedy sa má skupina používať, a nie jednotlivým používateľom.
  • Zahrnutie do dokumentácie a školení: zahrňte sprievodný materiál pre tvorcov obsahu, ktorý sa bude týkať efektívnej správy žiadostí o prístup. Uveďte tiež usmernenie pre spotrebiteľov o tom, aké informácie majú zahrnúť do správy so žiadosťou o prístup.

Vynútenie zabezpečenia údajov na základe identity spotrebiteľa

Menej sémantických modelov a zostáv môžete vytvoriť vynucovaním zabezpečenia údajov. Cieľom je vynútiť zabezpečenie údajov na základe identity používateľa, ktorý zobrazuje obsah.

Predpokladajme napríklad, že jednu zostavu predaja môžete zdieľať so všetkými predajcami (spotrebiteľmi), pričom budete vedieť, že jednotliví predajcovia uvidia len výsledky predaja pre svoju oblasť. Tento prístup vám umožňuje vyhnúť sa zložitosti vytvárania samostatných zostáv pre každú oblasť , ktoré by bolo potrebné zdieľať s predajcami z danej oblasti predaja.

Niektoré organizácie majú špecifické požiadavky na odporúčané (certifikované alebo podporované) sémantické modely alebo dátovémarty. V prípade údajov, ktoré sa budú bežne používať, môže existovať požiadavka na použitie zabezpečenia údajov.

Zabezpečenie údajov môžete dosiahnuť viacerými spôsobmi.

  • Sémantický model služby Power BI: Ako tvorca údajov služby Power BI môžete vynútiť zabezpečenie na úrovni riadkov (RLS) a zabezpečenie na úrovni objektu (OLS). Zabezpečenie na úrovni riadkov zahŕňa definovanie rolí a pravidiel, ktoré filtrujú riadky dátového modelu, zatiaľ čo služba OLS obmedzuje prístup ku konkrétnym tabuľkám alebo stĺpcom. Tieto definované pravidlá zabezpečenia na úrovni riadkov a OLS sa nevzťahujú na odkazy uložené mimo sémantického modelu, ako je napríklad rýchly filter a výbery filtrov. Techniky zabezpečenia na úrovni riadkov aj systému OLS sú podrobnejšie popísané ďalej v tejto časti.
  • Analysis Services: Sémantický model dynamického pripojenia sa môže pripojiť k vzdialenému dátovému modelu, ktorý je hosťovaný službou Azure Analysis Services (AAS) alebo službou SQL Server Analysis Services (SSAS). Vzdialený model môže vynútiť zabezpečenie na úrovni riadkov alebo OLS na základe identity zákazníka.
  • Zdroj údajov: Niektoré zdroje údajov, napríklad databáza Azure SQL, môžu vynútiť zabezpečenie na úrovni riadkov. V tomto prípade model Power BI môže namiesto opätovného definovania využiť existujúce zabezpečenie. Tento prístup môže predstavovať významnú výhodu, ak je zabezpečenie na úrovni riadkov definované v zdroji zložité. Môžete vyvíjať a publikovať model DirectQuery a nastaviť poverenia zdroja údajov sémantického modelu v služba Power BI na povolenie jediného prihlásenia (SSO). Keď používateľ zostavy otvorí zostavu, služba Power BI odovzdá zdroju údajov svoju identitu. Zdroj údajov potom vynucuje zabezpečenie na úrovni riadkov na základe identity zákazníka zostavy. Ďalšie informácie o zabezpečení na úrovni riadkov databázy Azure SQL nájdete v tomto článku.

Poznámka

Zdrojové systémy, ako je napríklad databáza Azure SQL, môžu tiež používať techniky, ako napríklad zobrazenia, aby zúžili možnosti, ktoré používateľ môže vidieť. Hoci je to platná technika, nie je relevantná pre zameranie tejto časti.

Zabezpečenie na úrovni riadkov

Zabezpečenie na úrovni riadkov umožňuje modelárovi údajov obmedziť prístup k podmnožine údajov. Zvyčajne sa používa na zabezpečenie toho, aby niektorí používatelia zostáv nemohli vidieť konkrétne údaje, ako napríklad výsledky predaja v iných oblastiach predaja.

Tip

Ak ste si všimli, že niekto vytvára viacero dátových modelov na podporu rôznych skupín spotrebiteľov, skontrolujte, či zabezpečenie na úrovni riadkov bude spĺňať ich požiadavky. Zvyčajne je lepšie vytvárať, testovať a udržiavať jeden dátový model, nie viacero dátových modelov.

Dbajte, pretože ak zostava služby Power BI odkazuje na riadok s nakonfigurovaným zabezpečením na úrovni riadkov, potom sa bude zobrazovať rovnaká správa ako pre odstránené alebo iné ako existujúce pole. Pre týchto používateľov to vyzerá tak, že zostava je nefunkčná.

Existujú dva kroky na nastavenie zabezpečenia na úrovni riadkov: pravidlá a priradenia rolí.

Pravidlá zabezpečenia na úrovni riadkov

V prípade sémantických modelov môže modelár údajov nastaviť zabezpečenie na úrovni riadkov v aplikácii Power BI Desktop vytvorením jednej alebo viacerých rolí. Rola má v modeli jedinečný názov a zvyčajne obsahuje jedno alebo viacero pravidiel. Pravidlá vynucujú filtre v tabuľkách modelov pomocou výrazov filtra DAX (Data Analysis Expressions). Model predvolene nemá žiadne roly.

Dôležité

Model bez rolí znamená, že používatelia (ktorí majú povolenie na dotazovanie dátového modelu) majú prístup ku všetkým údajom modelu.

Výrazy pravidla sa vyhodnocujú v rámci kontextu riadka. Kontext riadka znamená, že výraz sa vyhodnotí pre každý riadok pomocou hodnôt stĺpca daného riadka. Keď výraz vráti TRUEhodnotu , používateľ uvidí riadok. Môžete definovať pravidlá, ktoré sú statické alebo dynamické.

  • Statické pravidlá: používajte výrazy DAX, ktoré odkazujú na konštanty, ako napríklad [Region] = "Midwest".
  • Dynamické pravidlá: Používajte špecifické funkcie DAX, ktoré vracajú hodnoty prostredia (na rozdiel od konštáv). Hodnoty prostredia sa vracajú z troch konkrétnych funkcií jazyka DAX: USERNAME, USERPRINCIPALNAME a CUSTOMDATA. Definovanie dynamických pravidiel je jednoduché a účinné, keď tabuľka modelu ukladá hodnoty mena používateľa. Umožňujú vynútiť návrh zabezpečenia na úrovni riadkov riadený údajmi.

Priradenia k rolám zabezpečenia na úrovni riadkov

Po publikovaní modelu do služba Power BI je potrebné nastaviť mapovania rolí vopred, aby používatelia získali prístup k súvisiacim zostavám. Priradenie roly zahŕňa priradenie objektov zabezpečenia Microsoft Entra k rolám. Objektmi zabezpečenia môžu byť používateľské kontá alebo skupiny zabezpečenia.

Vždy, keď je to možné, je najlepším postupom priradiť roly skupinám zabezpečenia. Týmto spôsobom bude priradení menej a vlastník skupiny bude môcť spracovať správu členstva v skupine.

Odporúčame, aby ste informácie o konte zabezpečenia zo služby Microsoft Entra sprístupnili tvorcom obsahu. Jednou z možností je vytvorenie toku údajov s údajmi, ktoré sú synchronizované s identifikáciou Microsoft Entra ID. Týmto spôsobom môžu tvorcovia obsahu integrovať údaje toku údajov a vytvoriť sémantický model riadený údajmi.

Tip

Je možné definovať rolu, ktorá nemá žiadne pravidlá. V tomto prípade rola poskytuje prístup ku všetkým riadkom všetkých tabuliek modelu. Nastavenie tohto typu roly je vhodné, ak si správca alebo používateľ môžu zobraziť všetky údaje v modeli.

Používateľské prostredie zabezpečenia na úrovni riadkov

Niektoré organizácie sa okrem štandardných povolení služby Power BI rozhodnú cieľavedome používať zabezpečenie na úrovni riadkov ako sekundárnu vrstvu zabezpečenia. Zoberme si nasledujúci scenár: Zdieľate prepojenie na zostavu s celou organizáciou. Každý používateľ, ktorý si zobrazí zostavu, musí byť priradený k role zabezpečenia na úrovni riadkov, aby mohol zobraziť údaje v zostave. Ak nie sú mapované k role zabezpečenia na úrovni riadkov, nezoradia sa im žiadne údaje.

Prítomnosť zabezpečenia na úrovni riadkov mení predvolené prostredie pre používateľov.

  • Keď zabezpečenie na úrovni riadkov nie je definované pre sémantický model: Tvorcovia a spotrebitelia s povolením na čítanie môžu v sémantickom modeli zobraziť všetky údaje v sémantickom modeli.
  • Keď je zabezpečenie na úrovni riadkov definované v sémantickom modeli: Tvorcovia a spotrebitelia s povolením iba na čítanie v sémantickom modeli budú môcť zobraziť len údaje, ktoré im je povolené zobraziť (na základe ich priradenia roly zabezpečenia na úrovni riadkov).

Poznámka

Niektoré organizácie vynucujú zabezpečenie na úrovni riadkov ako ďalšiu vrstvu zabezpečenia, a to najmä v prípade zapojenia citlivých údajov. Z tohto dôvodu sa môžete rozhodnúť, že budete vyžadovať zabezpečenie na úrovni riadkov pre sémantické modely, ktoré sú certifikované. Túto požiadavku možno splniť interným procesom kontroly a schválenia pred certifikáciou sémantického modelu.

Keď používateľ zobrazí zostavu v pracovnom priestore alebo aplikácii, zabezpečenie na úrovni riadkov sa môže, ale nemusí vynútiť v závislosti od jeho povolení pre sémantický model. Z tohto dôvodu je mimoriadne dôležité, aby používatelia a tvorcovia obsahu mali povolenie na čítanie iba v prípade základného sémantického modelu, keď je potrebné vynútiť zabezpečenie na úrovni riadkov.

Tu sú pravidlá povolení, ktoré určujú, či je zabezpečenie na úrovni riadkov vynútené.

  • Používateľ má v sémantickom modeli povolenie na čítanie: zabezpečenie na úrovni riadkov sa vynucuje pre používateľa.
  • Používateľ má v sémantickom modeli povolenia na čítanie a vytváranie: zabezpečenie na úrovni riadkov sa vynúti pre používateľa.
  • Používateľ má povolenie na zápis v sémantickom modeli: Zabezpečenie na úrovni riadkov sa pre používateľa nevynucuje, čo znamená, že môže zobraziť všetky údaje v sémantickom modeli. Povolenie na zápis poskytuje možnosť upravovať sémantický model. Možno ju udeliť jedným z dvoch spôsobov:

Tip

Ďalšie informácie o používaní samostatných pracovných priestorov na zabezpečenie na úrovni riadkov (RLS) pre tvorcov obsahu nájdete v scenári samoobslužného používania bi .

Ďalšie informácie o zabezpečení na úrovni riadkov nájdete v téme Obmedzenie prístupu k údajom modelu Power BI.

Zabezpečenie na úrovni riadkov pre údajové množiny

Údajovémarty služby Power BI môžu tiež vynútiť zabezpečenie na úrovni riadkov. Implementácia je však odlišná.

Hlavným rozdielom je, že zabezpečenie na úrovni riadkov pre údajové súhrny je nastavené v služba Power BI, a nie v aplikácii Power BI Desktop.

Ďalším rozdielom je, že množiny údajov vynucujú zabezpečenie na úrovni riadkov v sémantickom modeli aj spravovanej databáze Azure SQL, ktorá je priradená k dátovému grafu. Vynútenie zabezpečenia na úrovni riadkov v oboch vrstvách poskytuje konzistenciu a flexibilitu. Rovnaké filtre zabezpečenia na úrovni riadkov sa použijú bez ohľadu na to, ako používateľ dotazuje údaje, či už pripojením k sémantickému modelu alebo spravovanej databáze Azure SQL.

Ďalšie informácie nájdete v téme Zabezpečenie na úrovni riadkov pre údajovémarty.

Zabezpečenie na úrovni objektu

Zabezpečenie na úrovni objektu (Object-Level Security, OLS) umožňuje modelárovi údajov obmedziť prístup ku konkrétnym tabuľkám a stĺpcom a k ich metaúdajom. Služba OLS sa zvyčajne používa na zabezpečenie toho, aby citlivé stĺpce, ako napríklad plat zamestnancov, neboli pre niektorých používateľov viditeľné. Hoci prístup k mierkam nie je možné obmedziť, každá mierka, ktorá odkazuje na obmedzený stĺpec, bude obmedzená.

Zoberme si príklad tabuľky zamestnancov. Obsahuje stĺpce, v ktorými sa nachádza meno zamestnanca a telefónne číslo, ako aj plat. Pomocou služby OLS môžete zabezpečiť, aby len určití používatelia, ako napríklad starší zamestnanci ľudských zdrojov, mohli vidieť platové hodnoty. Pre používateľov, ktorí nemôžu zobraziť platové hodnoty, je to, ako by tento stĺpec neexistoval.

Nezabudnite, pretože ak vizuál zostavy Power BI obsahuje plat, používateľom, ktorí nemajú prístup k danmu poľu, sa zobrazí chybové hlásenie. Správa ich informuje o tom, že objekt neexistuje. Pre týchto používateľov to vyzerá tak, že zostava je nefunkčná.

Poznámka

V dátovom modeli môžete tiež definovať perspektívy . Perspektíva definuje zobrazovateľné podmnožiny objektov modelu, čo pomáha tvorcom zostáv poskytnúť špecifické zameranie. Perspektívy nie sú určené na obmedzenie prístupu k objektom modelu. Používateľ môže aj napriek tomu dotazovať tabuľku alebo stĺpec, aj keď nie je preňho viditeľné. Z tohto dôvodu perspektívy namiesto funkcie zabezpečenia považujte za používateľské pohodlie.

V aplikácii Power BI Desktop v súčasnosti nie je k dispozícii rozhranie na nastavenie služby OLS. Môžete použiť nástroj Tabular Editor, ktorý je nástrojom tretej strany na vytváranie, údržbu a spravovanie modelov. Ďalšie informácie nájdete v scenári používania rozšírenej správy dátových modelov.

Ďalšie informácie o službe OLS nájdete v téme Obmedzenie prístupu k objektom modelu Power BI.

Kontrolný zoznam – pri plánovaní zabezpečenia na úrovni riadkov a systému OLS patria kľúčové rozhodnutia a akcie:

  • Rozhodnite sa o stratégii používania zabezpečenia na úrovni riadkov: Zvážte, pre ktoré prípady a účely plánujete použiť zabezpečenie na úrovni riadkov.
  • Rozhodnite sa o stratégii používania služby OLS: Zvážte, pre ktoré prípady a účely máte v úmysle použiť zabezpečenie na úrovni objektu.
  • Zvážte požiadavky na certifikovaný obsah: Ak máte proces toho, čo je potrebné na certifikáciu sémantického modelu, rozhodnite sa, či zahrniete nejaké konkrétne požiadavky na používanie RLS alebo OLS.
  • Vytvorenie a publikovanie používateľského usmernenia: Vytvorte dokumentáciu pre používateľov, ktorá obsahuje požiadavky a preferencie na používanie zabezpečenia na úrovni riadkov a systému OLS. Popíšte, ako získať informácie o mapovaní používateľov, ak existujú v centralizovanom umiestnení.
  • Aktualizácia vzdelávacích materiálov: Zahrnutie kľúčových informácií o požiadavkách a preferenciách pre zabezpečenie na úrovni riadkov a systém OLS do materiálov na školenie používateľov. Poskytnite používateľom príklady, aby pochopili, kedy je vhodné použiť ktorúkoľvek z techník zabezpečenia údajov.

Súvisiaci obsah

V nasledujúcom článku v tejto sérii získate informácie o plánovaní zabezpečenia pre tvorcov obsahu, ktorí sú zodpovední za vytváranie sémantických modelov, tokov údajov, údajov, zostáv alebo tabúľ.