Die Sicherheit auf Zeilenebene (row-level security; RLS) mit Power BI kann zum Einschränken des Datenzugriffs für bestimmte Benutzer verwendet werden. Filter beschränken die Daten auf Zeilenebene. Sie können Filter für Rollen definieren.

Sie können RLS für Datenmodelle konfigurieren, die mithilfe von Power BI Desktop in Power BI importiert wurden. Sie können auch RLS für Datasets konfigurieren, die DirectQuery verwenden, z. B. SQL Server. Bisher konnte RLS nur in lokalen Analysis Services-Modellen außerhalb von Power BI implementiert werden. Für Liveverbindungen von Analysis Services konfigurieren Sie RLS auf dem lokalen Modell. Die Sicherheitsoption wird nicht für Liveverbindungsdatasets angezeigt.

Definieren von Rollen und Regeln in Power BI Desktop

Sie können Rollen und Regeln in Power BI Desktop definieren. Wenn Sie etwas in Power BI veröffentlichen, werden auch die Rollendefinitionen veröffentlicht.

Wenn Sie die dynamische Sicherheit nutzen möchten, müssen Sie den Previewschalter „Kreuzfilterung in beide Richtungen für DirectQuery aktivieren“. Dadurch können Sie plattformübergreifend filtern und die Sicherheitsfilter in beide Richtungen anwenden.

Gehen Sie wie folgt vor, um Sicherheitsrollen zu definieren:

  1. Importieren Sie Daten in Ihren Power BI Desktop-Bericht, oder konfigurieren Sie eine DirectQuery-Verbindung.

    Hinweis:

    Sie können in Power BI Desktop keine Rollen für Analysis Services-Liveverbindungen definieren. Sie müssen sie im Analysis Services-Modell definieren.

  2. Wählen Sie die Registerkarte Modellierung aus.

  3. Wählen Sie Rollen verwalten aus.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie einen Namen für die Rolle an.

  6. Wählen Sie die Tabelle aus, auf die eine DAX-Regel angewendet werden soll.

  7. Geben Sie die DAX-Ausdrücke ein. Dieser Ausdruck muss TRUE oder FALSE zurückgeben. Zum Beispiel: [Entitäts-ID] = "Wert".

    Hinweis:

    Sie können username() innerhalb dieses Ausdrucks verwenden. Beachten Sie, dass username() in Power BI Desktop das Format DOMÄNE\Benutzername aufweist. Im Power BI-Dienst weist es das Format des UPN des Benutzers auf. Alternativ können Sie userprincipalname() verwenden, wodurch der Benutzer immer im Format seines Benutzerprinzipalnamens zurückgegeben wird.

  8. Wählen Sie nach der Erstellung des DAX-Ausdrucks das Häkchen über dem Ausdrucksfeld aus, um den Ausdruck zu überprüfen.

  9. Wählen Sie Speichern.

In Power BI Desktop ist es nicht möglich, Benutzer einer Rolle zuzuweisen. Dies ist nur im Power BI-Dienst möglich. Sie können die dynamische Sicherheit in Power BI Desktop aktivieren, indem Sie username()- oder userprincipalname()-DAX-Funktionen verwenden und die richtigen Beziehungen konfigurieren.

Überprüfen der Rolle in Power BI Desktop

Nachdem Sie Ihre Rolle erstellt haben, können Sie die Ergebnisse der Rolle in Power BI Desktop testen. Wählen Sie dazu Als Rollen anzeigen aus.

Mit dem Dialog Als Rollen anzeigen können Sie die Ansicht für einen bestimmten Benutzer oder eine bestimmte Rolle ändern. Ihnen werden die Rollen angezeigt, die Sie erstellt haben.

Wählen Sie die Rolle aus, die Sie erstellt haben, und wählen Sie anschließend OK aus, um diese Rolle auf die vor Ihnen liegende Ansicht anzuwenden. Die Berichte werden nur die für diese Rolle relevanten Daten rendern.

Sie können auch „Anderer Benutzer“ auswählen und einen bestimmten Benutzer angeben. Am besten geben Sie den Benutzerprinzipalnamen (User Principal Name; UPN) an, da der Power BI-Dienst diesen verwendet. Wählen Sie OK aus, und die Berichte rendern auf Grundlage dessen, was dem Benutzer angezeigt wird.

Hinweis:

In Power BI Desktop werden auf diesem Weg nur dann unterschiedliche Ergebnisse angezeigt, wenn Sie die dynamische Sicherheit basierend auf Ihren DAX-Ausdrücken verwenden.

Verwalten der Sicherheitseinstellungen Ihres Modells

Zum Verwalten der Sicherheitseinstellungen Ihres Datenmodells sollten Sie wie folgt vorgehen:

  1. Wählen Sie die Ellipse (...) für ein Dataset aus.
  2. Wählen Sie Sicherheit aus.

Dadurch gelangen Sie zur RLS-Seite, wo Sie Mitglieder zu einer Rolle hinzufügen können, die Sie in Power BI Desktop erstellt haben. Die Sicherheit ist nur für die Besitzer des Datasets verfügbar. Wenn das Dataset zu einer Gruppe gehört, können nur Administratoren der Gruppe die Sicherheitsoption sehen.

Sie können Rollen nur in Power BI Desktop erstellen oder ändern.

Arbeiten mit Mitgliedern

Hinzufügen von Mitgliedern

Sie können der Rolle ein Mitglied hinzufügen, indem Sie die E-Mail-Adresse oder den Namen des Benutzers, der Sicherheitsgruppe oder der Verteilerliste eingeben, den bzw. die Sie hinzufügen möchten. Dieses Mitglied muss sich in Ihrer Organisation befinden. Sie können keine in Power BI erstellten Gruppen hinzufügen.

Anhand der Zahl in Klammern neben dem Rollennamen oder neben „Mitglieder“ können Sie zudem sehen, wie viele Mitglieder Teil der Rolle sind.

Entfernen von Mitgliedern

Sie können Mitglieder entfernen, indem Sie das „X“ neben ihrem Namen auswählen.

Überprüfen der Rolle im Power BI-Dienst

Sie können überprüfen, ob die von Ihnen definierte Rolle ordnungsgemäß funktioniert, indem Sie sie testen.

  1. Wählen Sie das Auslassungszeichen (...) neben der Rolle aus.
  2. Wählen Sie Daten als Rolle testen aus.

Es werden dann die für diese Rolle verfügbaren Berichte angezeigt. Dashboards werden in dieser Ansicht nicht angezeigt. Auf der blauen Leiste oben sehen Sie, was angewendet wird.

Sie können andere Rollen oder eine Kombination von Rollen testen, indem Sie Now viewing as (Jetzt anzeigen als) auswählen.

Sie können auch Daten als eine bestimmte Person anzeigen oder eine Kombination der verfügbaren Rollen auswählen, um deren ordnungsgemäße Funktion zu überprüfen.

Um zur normalen Ansicht zurückzukehren, wählen Sie Zurück zur Sicherheit auf Zeilenebene aus.

Verwenden der DAX-Funktion „username()“ oder „userprincipalname()“

Sie können die DAX-Funktion username() oder userprincipalname() in Ihrem Dataset verwenden. Sie können beide Funktionen in Ausdrücken in Power BI Desktop verwenden. Wenn Sie Ihr Modell veröffentlichen, wird es im Power BI-Dienst verwendet.

In Power BI Desktop gibt username() einen Benutzer im Format DOMÄNE\Benutzer und userprincipalname() einen Benutzer im Format user@contoso.com zurück.

Im Power BI-Dienst geben sowohl username() als auch userprincipalname() den Benutzerprinzipalnamen (User Principal Name, UPN) des Benutzers zurück. Dieser ähnelt einer E-Mail-Adresse.

Verwenden von RLS mit App-Arbeitsbereichen in Power BI

Wenn Sie Ihren Power BI Desktop-Bericht in einem App-Arbeitsbereich im Power BI-Dienst veröffentlichen, werden die Rollen auf Mitglieder mit Lesezugriff angewendet. Sie müssen in den Einstellungen angeben, dass Mitglieder die Power BI-Inhalte nur im App-Arbeitsbereich anzeigen können.

Warnung:

Wenn Sie den App-Arbeitsbereich so konfiguriert haben, dass deren Mitglieder über Bearbeitungsberechtigungen verfügen, werden die RLS-Rollen nicht auf diese angewendet. Benutzer können dann alle Daten einsehen.

Einschränkungen

Es folgt eine Liste der aktuellen Einschränkungen für die Sicherheit auf Zeilenebene für Cloudmodelle.

  • Wenn Sie bereits Rollen/Regeln im Power BI-Dienst definiert hatten, müssen Sie diese in Power BI Desktop neu erstellen.
  • Sie können RLS nur auf den mithilfe des Power BI Desktop-Clients erstellten Datasets definieren. Wenn Sie RLS für mit Excel erstellte Datasets aktivieren möchten, müssen Sie Ihre Dateien zunächst in PBIX-Dateien konvertieren. Weitere Informationen
  • Es werden nur ETL- und DirectQuery-Verbindungen unterstützt. Live-Verbindungen zu Analysis Services werden im lokalen Modell verarbeitet.
  • RLS unterstützt derzeit weder Q&A noch Cortana. Das Q&A-Eingabefeld für Dashboards wird nicht angezeigt, wenn für alle Modelle RLS konfiguriert ist. Das ist zwar geplant, jedoch können wir noch keinen Zeitplan nennen.
  • Die externe Freigabe wird zurzeit nicht für Datasets unterstützt, die RLS verwenden.
  • Für jedes bestehende Modell beträgt die Maximalzahl der Azure AD-Prinzipale (d.h. der Einzelbenutzer oder Sicherheitsgruppen), die Sicherheitsrollen zugewiesen werden können, 1.000. Um Rollen große Benutzerzahlen zuzuweisen, achten Sie darauf, die Zuweisung an Sicherheitsgruppen statt an Einzelbenutzer vorzunehmen.

Bekannte Probleme

Wenn Sie versuchen, etwas in Power BI Desktop zu veröffentlichen, das zuvor bereits veröffentlicht wurde, erhalten Sie eine Fehlermeldung. Dieses Problem ist bekannt. Das Szenario lautet wie folgt:

  1. Anna verfügt über ein Dataset, das im Power BI-Dienst veröffentlicht wird und für RLS konfiguriert wurde.

  2. Anna aktualisiert den Bericht in Power BI Desktop und veröffentlicht ihn erneut.

  3. Anna erhält eine Fehlermeldung.

Lösung: Veröffentlichen Sie die Power BI Desktop-Datei erneut im Power BI-Dienst, bis dieses Problem behoben ist. Sie erreichen dies, indem Daten abrufen > Dateien auswählen.

HÄUFIG GESTELLTE FRAGEN

Frage: Was passiert, wenn ich im Power BI-Dienst bereits Rollen/Regeln für ein Dataset erstellt habe? Werden sie weiterhin funktionieren, wenn ich sie so belasse? Antwort: Nein. Visualisierungen werden nicht ordnungsgemäß gerendert. Sie müssen die Rollen/Regeln in Power BI Desktop neu erstellen und anschließend im Power BI-Dienst veröffentlichen.

Frage: Kann ich solche Rollen für Analysis Services-Datenquellen erstellen? Antwort: Das ist möglich, wenn Sie die Daten in Power BI Desktop importiert haben. Wenn Sie eine Liveverbindung verwenden, werden Sie RLS nicht im Power BI-Dienst konfigurieren können. Dies wird im lokalen Analysis Services-Modell definiert.

Nächste Schritte

Sicherheit auf Zeilenebene (Row-Level Security; RLS) mit Power BI Desktop

Weitere Fragen? Stellen Sie Ihre Frage in der Power BI-Community.