權限模型
Microsoft Fabric 具有彈性的許可權模型,可讓您控制組織中數據的存取權。 本文說明 Fabric 中不同類型的許可權,以及它們如何一起運作,以控制組織中數據的存取。
工作區是將專案分組在 Fabric 中的邏輯實體。 工作區角色會定義工作區的訪問許可權。 雖然專案會儲存在一個工作區中,但可以跨 Fabric 與其他用戶共用。 當您共用 Fabric 專案時,您可以決定要授與您共用專案之使用者的許可權。 某些專案,例如 Power BI 報表,可更細微地控制數據。 您可以設定報表,以便根據其許可權,檢視報表的使用者只會看到其保留的部分數據。
工作區角色
工作區角色可用來控制工作區及其內內容的存取權。 網狀架構管理員可以將工作區角色指派給個別使用者或群組。 工作區角色受限於特定工作區,且不適用於其他工作區、工作區位於的容量或租使用者。
有四個工作區角色,且會套用至工作區內的所有專案。 沒有任何這些角色的用戶無法存取工作區。 角色如下:
查看器 - 可以檢視工作區中的所有內容,但無法加以修改。
參與者 - 可以檢視和修改工作區中的所有內容。
成員 - 可以檢視、修改及共用工作區中的所有內容。
管理員 - 可以檢視、修改、共用和管理工作區中的所有內容,包括管理許可權。
下表顯示每個角色擁有的一小組功能。 如需完整且更詳細的清單,請參閱 Microsoft Fabric 工作區角色。
| 功能 | 管理 | 成員 | 參與者 | 檢視者 |
|---|---|---|---|---|
| 刪除工作區 | ✅ | ❌ | ❌ | ❌ |
| 新增管理員 | ✅ | ❌ | ❌ | ❌ |
| 新增成員 | ✅ | ✅ | ❌ | ❌ |
| 寫入資料 | ✅ | ✅ | ✅ | ❌ |
| 建立項目 | ✅ | ✅ | ✅ | ❌ |
| 讀取資料 | ✅ | ✅ | ✅ | ✅ |
項目權限
項目許可權可用來控制工作區內個別 Fabric 專案的存取權。 項目許可權僅限於特定專案,且不適用於其他專案。 使用項目許可權來控制誰可以在工作區中檢視、修改及管理個別專案。 您可以使用項目許可權,讓使用者存取工作區中沒有存取權的單一專案。
當您與使用者或群組共享專案時,您可以設定項目許可權。 共用項目預設會將該專案的讀取許可權授與使用者。 讀取許可權可讓使用者查看該專案的元數據,並檢視與其相關聯的任何報表。 不過,讀取許可權不允許使用者在 SQL 或 OneLake 中存取基礎數據。
不同的網狀架構專案有不同的許可權。 若要深入瞭解每個項目的許可權,請參閱:
計算許可權
您也可以在 Fabric 中的特定計算引擎內設定許可權,特別是透過 SQL 端點或在語意模型中設定。 計算引擎許可權可啟用更細微的數據訪問控制,例如數據表和數據列層級安全性。
SQL 端點 - SQL 端點 提供 OneLake 中數據表的直接 SQL 存取,而且可以透過 SQL 命令以原生方式設定安全性。 這些許可權僅適用於透過 SQL 進行的查詢。
語意模型 - 語意模型 允許使用DAX定義安全性。 使用 DAX 定義的限制適用於透過語意模型或以語意模型為基礎的 Power BI 報表來查詢的使用者。
您可以在下列文章中找到詳細資訊:
範例
本節提供如何在 Fabric 中設定許可權的兩個範例。
範例 1:設定小組許可權
Wingtip Toys 已為整個組織設定一個租使用者,以及三個容量。 每個容量都代表不同的區域。 Wingtip Toys 在 美國、歐洲和亞洲運營。 每個容量都有組織中每個部門的工作區,包括銷售部門。
銷售部門有經理、銷售小組負責人和銷售小組成員。 Wingtip Toys 還為整個組織聘請了一位分析師。
下表顯示銷售部門中每個角色的需求,以及如何設定許可權以啟用這些角色。
| 角色 | 需求 | 設定 |
|---|---|---|
| 經理 | 檢視和修改整個組織中銷售部門的所有內容 | 組織中所有銷售工作區的成員角色 |
| 小組負責人 | 檢視和修改特定區域中銷售部門的所有內容 | 區域中銷售工作區的成員角色 |
| 銷售團隊成員 | ||
| 分析人員 | 檢視整個組織中銷售部門的所有內容 | 組織中所有銷售工作區的查看器角色 |
Wingtip 也有一份季度報告,其中列出其每個銷售成員的銷售收入。 此報表會儲存在財務工作區中。 系統會使用數據列層級安全性來設定報表,讓每個銷售成員只能看到自己的銷售數據。 小組潛在客戶可以看到其區域中所有銷售成員的銷售數據,而銷售經理可以看到組織中所有銷售成員的銷售數位。
範例 2:工作區和項目許可權
當您共用專案或變更其許可權時,工作區角色不會變更。 本節中的範例顯示工作區和專案許可權的互動方式。
維羅妮卡和瑪塔合作。 維羅妮卡是她想與瑪塔分享的報告的擁有者。 如果維羅妮卡與 Marta 共用這份報告,則無論她擁有的工作區角色為何,Marta 都能存取報告。
假設 Marta 在儲存報表的工作區中具有查看器角色。 如果維羅妮卡決定從報表中移除 Marta 的項目許可權,Marta 仍然可以在工作區中檢視報表。 Marta 也可以從工作區開啟報表,並檢視其內容。 這是因為 Marta 具有工作區的檢視許可權。
如果維羅妮卡不想讓 Marta 檢視報表,則從報表中移除 Marta 的專案許可權是不夠的。 維羅妮卡也需要從工作區中移除 Marta 的查看器許可權。 若沒有工作區查看器許可權,Marta 將無法看到報表存在,因為她無法存取工作區。 Marta 也無法使用報表的鏈接,因為她無法存取報表。
現在 Marta 沒有工作區查看器角色,如果維羅妮卡決定再次與她共用報表,Marta 將能夠使用維羅妮卡與她共用的連結來檢視報表,而不需要存取工作區。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應