Die Sicherheit auf Zeilenebene (row-level security; RLS) mit Power BI Desktop kann zum Einschränken des Datenzugriffs für bestimmte Benutzer verwendet werden. Filter beschränken die Daten auf Zeilenebene. Sie können Filter für Rollen definieren.

Sie können RLS jetzt für Datenmodelle konfigurieren, die mithilfe von Power BI Desktop in Power BI importiert wurden. Sie können auch RLS für Datasets konfigurieren, die DirectQuery verwenden, z. B. SQL Server. Bisher konnte RLS nur in lokalen Analysis Services-Modellen außerhalb von Power BI implementiert werden. Für Liveverbindungen von Analysis Services konfigurieren Sie RLS auf dem lokalen Modell. Die Sicherheitsoption wird nicht für Liveverbindungsdatasets angezeigt.

Wichtig:

Wenn Sie im Power BI-Dienst Rollen/Regeln definiert haben, müssen Sie diese Rollen in Power BI Desktop neu erstellen und den Bericht im Dienst veröffentlichen.

Erfahren Sie mehr über die Optionen für RLS innerhalb des Power BI-Diensts.

Definieren von Rollen und Regeln in Power BI Desktop

Sie können Rollen und Regeln in Power BI Desktop definieren. Wenn Sie etwas in Power BI veröffentlichen, werden auch die Rollendefinitionen veröffentlicht.

Wenn Sie die dynamische Sicherheit nutzen möchten, müssen Sie den Previewschalter „Kreuzfilterung in beide Richtungen für DirectQuery aktivieren“. Dadurch können Sie plattformübergreifend filtern und die Sicherheitsfilter in beide Richtungen anwenden.

Gehen Sie wie folgt vor, um Sicherheitsrollen zu definieren:

  1. Importieren Sie Daten in Ihren Power BI Desktop-Bericht, oder konfigurieren Sie eine DirectQuery-Verbindung.

    Hinweis:

    Sie können in Power BI Desktop keine Rollen für Analysis Services-Liveverbindungen definieren. Sie müssen sie im Analysis Services-Modell definieren.

  2. Wählen Sie die Registerkarte Modellierung aus.

  3. Wählen Sie Rollen verwalten aus.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie einen Namen für die Rolle an.

  6. Wählen Sie die Tabelle aus, auf die eine DAX-Regel angewendet werden soll.

  7. Geben Sie die DAX-Ausdrücke ein. Dieser Ausdruck muss TRUE oder FALSE zurückgeben. Zum Beispiel: [Entitäts-ID] = "Wert".

    Hinweis:

    Sie können username() innerhalb dieses Ausdrucks verwenden. Beachten Sie, dass username() in Power BI Desktop das Format DOMÄNE\Benutzername aufweist. Im Power BI-Dienst weist es das Format des UPN des Benutzers auf. Alternativ können Sie userprincipalname() verwenden, wodurch der Benutzer immer im Format seines Benutzerprinzipalnamens zurückgegeben wird.

  8. Wählen Sie nach der Erstellung des DAX-Ausdrucks das Häkchen über dem Ausdrucksfeld aus, um den Ausdruck zu überprüfen.

  9. Wählen Sie Speichern.

In Power BI Desktop ist es nicht möglich, Benutzer einer Rolle zuzuweisen. Dies ist nur im Power BI-Dienst möglich. Sie können die dynamische Sicherheit in Power BI Desktop aktivieren, indem Sie username()- oder userprincipalname()-DAX-Funktionen verwenden und die richtigen Beziehungen konfigurieren.

Überprüfen der Rolle in Power BI Desktop

Nachdem Sie Ihre Rolle erstellt haben, können Sie die Ergebnisse der Rolle in Power BI Desktop testen. Wählen Sie dazu Als Rollen anzeigen aus.

Mit dem Dialog Als Rollen anzeigen können Sie die Ansicht für einen bestimmten Benutzer oder eine bestimmte Rolle ändern. Ihnen werden die Rollen angezeigt, die Sie erstellt haben.

Wählen Sie die Rolle aus, die Sie erstellt haben, und wählen Sie anschließend OK aus, um diese Rolle auf die vor Ihnen liegende Ansicht anzuwenden. Die Berichte werden nur die für diese Rolle relevanten Daten rendern.

Sie können auch „Anderer Benutzer“ auswählen und einen bestimmten Benutzer angeben. Am besten geben Sie den Benutzerprinzipalnamen (User Principal Name; UPN) an, da der Power BI-Dienst diesen verwendet. Wählen Sie OK aus, und die Berichte rendern auf Grundlage dessen, was dem Benutzer angezeigt wird.

Hinweis:

In Power BI Desktop werden auf diesem Weg nur dann unterschiedliche Ergebnisse angezeigt, wenn Sie die dynamische Sicherheit basierend auf Ihren DAX-Ausdrücken verwenden.

Einschränkungen

Es folgt eine Liste der aktuellen Einschränkungen für die Sicherheit auf Zeilenebene für Cloudmodelle.

  • Wenn Sie bereits Rollen/Regeln im Power BI-Dienst definiert hatten, müssen Sie diese in Power BI Desktop neu erstellen.
  • Sie können RLS nur auf den mithilfe des Power BI Desktop-Clients erstellten Datasets definieren. Wenn Sie RLS für mit Excel erstellte Datasets aktivieren möchten, müssen Sie Ihre Dateien zunächst in PBIX-Dateien konvertieren. Weitere Informationen
  • Es werden nur ETL- und DirectQuery-Verbindungen unterstützt. Live-Verbindungen zu Analysis Services werden im lokalen Modell verarbeitet.
  • RLS unterstützt derzeit weder Q&A noch Cortana. Das Q&A-Eingabefeld für Dashboards wird nicht angezeigt, wenn für alle Modelle RLS konfiguriert ist. Das ist zwar geplant, jedoch können wir noch keinen Zeitplan nennen.
  • Die externe Freigabe wird zurzeit nicht für Datasets unterstützt, die RLS verwenden.
  • Für jedes bestehende Modell beträgt die Maximalzahl der Azure AD-Prinzipale (d.h. der Einzelbenutzer oder Sicherheitsgruppen), die Sicherheitsrollen zugewiesen werden können, 1.000. Um Rollen große Benutzerzahlen zuzuweisen, achten Sie darauf, die Zuweisung an Sicherheitsgruppen statt an Einzelbenutzer vorzunehmen.

Bekannte Probleme

Wenn Sie versuchen, etwas in Power BI Desktop zu veröffentlichen, das zuvor bereits veröffentlicht wurde, erhalten Sie eine Fehlermeldung. Dieses Problem ist bekannt. Das Szenario lautet wie folgt:

  1. Anna verfügt über ein Dataset, das im Power BI-Dienst veröffentlicht wird und für RLS konfiguriert wurde.

  2. Anna aktualisiert den Bericht in Power BI Desktop und veröffentlicht ihn erneut.

  3. Anna erhält eine Fehlermeldung.

Lösung: Veröffentlichen Sie die Power BI Desktop-Datei erneut im Power BI-Dienst, bis dieses Problem behoben ist. Sie erreichen dies, indem Daten abrufen > Dateien auswählen.

HÄUFIG GESTELLTE FRAGEN

Frage: Was passiert, wenn ich im Power BI-Dienst bereits Rollen/Regeln für ein Dataset erstellt habe? Werden sie weiterhin funktionieren, wenn ich sie so belasse? Antwort: Nein. Visualisierungen werden nicht ordnungsgemäß gerendert. Sie müssen die Rollen/Regeln in Power BI Desktop neu erstellen und anschließend im Power BI-Dienst veröffentlichen.

Frage: Kann ich solche Rollen für Analysis Services-Datenquellen erstellen? Antwort: Das ist möglich, wenn Sie die Daten in Power BI Desktop importiert haben. Wenn Sie eine Liveverbindung verwenden, werden Sie RLS nicht im Power BI-Dienst konfigurieren können. Dies wird im lokalen Analysis Services-Modell definiert.

Nächste Schritte

Sicherheit auf Zeilenebene (row-level security; RLS) mit Power BI

Weitere Fragen? Stellen Sie Ihre Frage in der Power BI-Community.