回忆是一座桥
却是通往寂寞的牢

PowerBI云端许可证类型与权限体系说明

前言

PowerBI的许可证类型以及权限体系比较精细与全面,但随之而来的则是理解成本的增加,虽然官方文档都有说明,但官方描述可能不好理解,因此本篇文章将对部分概念进行提炼总结,以更简洁易懂的语言来进行描述,减少理解成本。

下面是一些与此相关的官方文档链接:

https://learn.microsoft.com/zh-cn/power-bi/fundamentals/service-features-license-type

https://learn.microsoft.com/zh-cn/power-bi/connect-data/service-datasets-permissions

https://learn.microsoft.com/zh-cn/power-bi/collaborate-share/service-roles-new-workspaces

许可证类型与功能说明

FREE:可在我的工作区中新建报表,但不能删除与重命名,也不能共享。即使具有其他工作区的权限,但也不能发布报表到其他工作区。

PRO:可以新建PRO工作区,可以编辑工作区内容,可以与其它PRO/PPU账号共享。使用 Pro 许可证时,总的存储容量不能超过租户存储限制 10 GB 乘以租户中的 Pro 许可证数量,并且创建的PRO工作区的存储限制为10GB。

PPU:可以新建PRO/PPU工作区,在PRO的权限基础上增加了个人高级容量的功能,如分页报表等。其中,PRO工作区的内容可与PRO账号共享,但PPU工作区的内容只能与PPU账号共享。

Premium:租户级许可,主要功能:可以使PRO/PPU账号创建Premium工作区,在Premium工作区中,不限制许可,所有具有浏览权限的账号均可查看Premium工作区的内容,但只有PRO/PPU账号可以编辑与共享工作区内容。另外当FREE账号拥有了Premium工作区的参与者及以上权限时,将因为许可证问题而无法访问工作区,但仍可以从报表链接或Data Hub里访问工作区中的报表。使用Premium许可证时,总的存储容量为100TB,创建的Premium工作区的存储使用量总是显示为0,即对每个用户都没有存储限制,只考虑租户的总存储使用量。

数据集与工作区权限说明

1、通过链接共享的权限最大为只读权限,即使有生成权限也会受到RLS的限制。

2、阅读权限指通过报表访问数据集,生成权限指通过其他工具访问数据集的权限,都是只读的

3、生成权限只是对只读权限进行更细节的控制,但有了生成权限才可以通过XMLA访问数据集、在Excel中分析、将报表复制到别的工作区、以及在PBI Desktop中连接云端的数据集。此外,有了生成权限,还可以使用REST API进行DAX查询,但需要在租户设置里打开了“数据集执行REST API”选项。

4、单个数据集的直接访问中可增加写入权限,写入权限涵盖了生成权限,具有写入权限则不受RLS限制,还可以下载pbix文件。但具有写入权限也不能在云端portal里设置数据集和刷新数据集,在云端portal里刷新数据集的权限只能通过工作区参与者及以上的角色获得。此外,具有写入权限,则可以通过XMLA连接编辑该数据集(需要租户设置里打开XMLA的读写权限)

5、工作区查看器角色只有最低的只读权限,无生成权限,受RLS的限制

6、工作区参与者角色能获得工作区所有数据集的生成与写入权限,能够设置网关、配置RLS安全性、计划刷新、发布与删除报表、刷新数据集等,由于参与者角色具有写入权限故不受RLS的限制。只有具有了工作区参与者及以上的权限时,才能通过PowerAuttomate使用PowerBI的刷新数据集、运行DAX查询等接口。但如果使用REST API运行DAX查询则只需要有数据集的生成权限即可(在租户设置里打开了“数据集执行REST API”选项),但使用REST API刷新数据集则仍然需要工作区参与者及以上权限。另外,工作区参与者并不能共享报表以及管理数据集权限,也不能添加或改变任何工作区角色。

7、工作区成员具有参与者的所有权限,并且可以共享报表、管理数据集权限、添加成员及以下工作区角色,但只能添加角色而不能删除角色。

8、工作区管理员具有成员的所有权限,并且可以添加或删除任意工作区角色(包括管理员角色)以及删除工作区。

9、在PPU或Premium工作区的设置里可以获取到连接到工作区的XMLA终结点,可以使用第三方SSAS模型工具连接该XMLA终结点。通过 XMLA 终结点进行的访问遵守在工作区/应用级别设置的安全组成员身份。
(1)工作区参与者及更高级别角色拥有“写入”数据集权限,这实际上相当于 Analysis Services 数据库管理员。 他们可以从 Visual Studio 部署新的数据集,并在 SSMS 中执行 TMSL 脚本。(需要租户设置里打开XMLA的读写权限)
(2)拥有“生成”数据集权限的用户相当于 Analysis Services 数据库读取者。 他们可以连接到并浏览数据集,从而使用并可视化数据。 由于遵守的是行级别安全性 (RLS) 规则,因此他们无法查看内部数据集元数据。
(3)通常不支持需要 Analysis Services 服务器管理员权限(而不是数据库管理员)的操作。

总结

权限是很敏感的一个东西,需要遵守最小化准则,权限设置一旦错误,将可能导致严重的后果,因此对PowerBI的权限体系有足够的了解是每一位PowerBI开发者的必修课。

未经允许不得转载:夕枫 » PowerBI云端许可证类型与权限体系说明
订阅评论
提醒
guest
0 评论
内联反馈
查看所有评论