Die Build, Reshare und Write Permissions sind Instrumente, um Endanwendern in Power BI zusätzliche "Self Service BI" Rechte zu gewähren. Kleine Häkchen haben dabei weitreichende Auswirkungen, diese sollen in diesem Blogbeitrag transparent gemacht werden.

Wir haben übrigens bereits hier, hier und hier über das Berechtigungssystem im Power BI Cloud Service geschrieben, die Inhalte dieses Blogposts ergänzen diese früheren Inhalte.

1. Überblick

Endanwender können im Power BI Cloud Service entweder über die Viewer Rolle, über die App-Freigabe oder über die Share-Freigabe berechtigt werden. In allen drei Berechtigungsvarianten können die Build Permission und die Reshare Permission als Zusatzrecht vergeben werden, die Write Permission kann derzeit nur für Anwender in der Viewer Rolle freigeschalten werden:

2. Erteilung der Build, Reshare und Write Permission für User mit Workspace-Rolle

Die Rolle wird auf Workspace Ebene im Bereich Manage access je Benutzer oder Benutzergruppe vergeben:

Die Permissions werden im Bereich Manage permissions konfiguriert:

Wie hier gut zu sehen ist, können einem User in der Viewer Rolle die Build, die Reshare als auch die Write Permission optional zugewiesen werden:

Zum Vergleich, für einen User in der Contributor Rolle kann lediglich die Reshare Permission optional zugewiesen werden (die anderen beiden Permissions sind bereits aufgrund der Rolle aktiv):

3. Erteilung der Build und Reshare Permission für User ohne Workspace-Rolle

Endanwender müssen im Power BI Cloud Service überhaupt keine Rolle am Workspace erhalten, die Freigabe erfolgt im Normalfall über die sog. App-Freigabe. Auch in dieser Variante kann bestimmt werden, ob die Empfänger (d.h. alle Anwender einer "Audience") der App die Build und/oder die Reshare Permission erhalten sollen:

Weiters können Endanwender über die Share-Freigabe "quick & dirty" auf einen Report berechtigt werden. Auch in diesem Fall kann dem Empfänger / den Empfängern die Build und/oder die Reshare Permission erteilt werden:

Wie zu sehen ist, kann weder bei der App-Freigabe noch bei der Share-Freigabe die Write Permission auf das Dataset erteilt werden.

4. Umfang der Permissions

Um die Auswirkungen dieser Permissions erkennen zu können, sehen wir uns an, welche Rechte ein Anwender in der Viewer Rolle ohne weitere Permissions am Dataset hat. Dazu kann der Endanwender aus dem Report heraus den Befehl View dataset aufrufen ...

... und damit die (nicht existenten) Berechtigungen am Dataset einsehen. Auch in der Feldliste rechts können nur die Tabellen- und Spaltenbezeichnungen, nicht aber die Daten, eingesehen werden:

4.1 Build Permission

Die Build Permission ist eine Berechtigung auf Ebene des Datasets für folgende Aktivitäten:

• Erstellen eines eigenen Power BI Reports auf das Dataset
• Erstellen eines eigenen Paginated Reports auf das Dataset
• Verwenden der "Analyze in Excel" Funktion auf das Dataset
• Verwenden der "Export underlying data" Funktion
• Zugriff via XMLA Endpoint auf das Dataset
• u.a.

Die Build Permission hat keine Auswirkung auf die Row-Level-Security (RLS), d.h. die Einschränkungen der RLS wirken auch bei aktiver Build Permission.

Auf Dataset-Ebene ist jetzt zu sehen, daß die entsprechenden Create-Rechte und die Analyze-in-Excel Option aktiv geworden ist, weiters können die Daten in den Tabellen in der Feldliste rechts eingesehen werden:

Die Build Permission führt in Power BI Desktop dazu, daß ein Endanwender auch hier neue, eigene Reports ...

... auf das mittels Build Permission freigegebene Power BI Dataset erstellen kann (dabei wird entweder eine "Live Connection" oder ein "Composite Model" verwendet):

Die Build Permission führt auch dazu, daß die Underlying data Option im Drei-Punkte-Menü der Report Visuals aktiv wird (sofern diese Option auch in den Report Settings aktiviert wurde):

4.2 Reshare Permission

Die Reshare Permission ist eine Berechtigung auf Ebene des Datasets für folgende Aktivitäten:

• Teilen eines Datasets mit (neuen) Usern, die bisher noch keine Berechtigung auf das Dataset haben

Auf Dataset-Ebene ist zu sehen, daß jetzt die Share-Funktion freigeschalten ist:

4.3 Write Permission

Die Write Permission ist eine Berechtigung auf Ebene des Datasets für folgende Aktivitäten:

• Aktualisierung des Datasets

Die Write Permission neutralisiert die Wirkung der Row-Level-Security (RLS), d.h. ein Anwender mit Write Permission kann alle Daten des Datasets sehen.

Auf Dataset-Ebene ist jetzt zu sehen, daß der Refresh Button und die Lineage Optionen aktiv geworden sind:

4. Fazit

Die Build, Reshare und Write Permissions erweitern die Rechte von (ausgewählten) Endanwendern und sind damit Instrumente, umden Self Service BI Grad im Unternehmen zu erhöhen. Nach unserer Erfahrung sollte bei der Einführung von Power BI im Unternehmen der Self Service BI Grad lieber gering gewählt werden und dann - mit steigender Erfahrung der Anwender - die Self Service BI Funktionen schritteweise freigeschalten werden:

Quellen

https://learn.microsoft.com/en-us/power-bi/connect-data/service-datasets-build-permissions

https://learn.microsoft.com/en-us/power-bi/connect-data/service-datasets-permissions