本文概述了 Power BI 权限,以及Power BI REST API上下文中的语义模型权限。
Power BI 权限
Power BI 有两组权限:
工作区权限
工作区权限(也称为文件夹权限或角色)是 Power BI 中的最高级别权限。 这些权限会覆盖授予工作区文件夹中特定项的权限。
下表列出了四种类型的文件夹角色。 它显示每个角色的级别,以及 Power BI REST API 返回的代码字符串。 管理员和查看者分别是最高和最低的工作区权限级别。 每个权限级别都包含其下权限的功能。 可以在工作区角色中查看每个权限的功能。
| 文件夹角色 | Level | 在工作区中创建的语义模型的派生权限 |
|---|---|---|
| 管理员 | 4 | ReadWriteReshareExplore |
| 成员 | 3 | ReadWriteReshareExplore |
| 参与者 | 2 | ReadWriteExplore |
| 查看器 | 1 | Read |
注意
写入权限适用于管理员、成员和参与者用户在他们拥有的工作区中创建的 Power BI 语义模型。 只能使用工作区权限授予或删除写入权限。 不能直接授予 Power BI 项或从 Power BI 项中删除。
使用 API 获取和添加工作区权限
若要以编程方式获取和添加工作区权限,请使用以下 API:
项权限
Power BI 项(例如报表、语义模型和仪表板)具有自己的权限。 项权限不能覆盖工作区权限,并且只能由至少具有相同权限级别的人授予。
语义模型权限和 REST API
语义模型权限是项权限的一部分。 下表列出了 Power BI 语义模型权限及其在Power BI REST API中的表示。
提示
尽管 API 权限与 Power BI 服务权限相同,但在 API 中,生成build权限被称为浏览权限。
| 权限 | 读取 | 浏览 | 重新共享 |
|---|---|---|---|
| 说明 | 允许用户读取语义模型的内容 | 等效于生成权限 | 允许用户与其他将获得读取、转发或浏览权限的用户共享语义模型的内容 |
| ReadReshareExplore | 
|
|
|
| ReadReshare |
|
|
|
| ReadExplore |
|
|
|
| 读取 |
|
|
|
注意
若要允许用户对语义模型执行写入操作,请先更改工作区权限。
生成权限和 REST API
在 Power BI REST API 中,build 权限以浏览权限返回。 例如,具有读取、转发和生成权限的字符串将如下所示:ReadReshareExplore。
向用户授予build权限时,他们可以在语义模型上生成新内容。 他们可生成的内容示例包括报表、仪表板、问答的固定磁贴、分页报表和见解发现。
用户还需要 build 权限才能在 Power BI 之外处理数据:
导出基础数据。
要在语义模型上生成新内容,例如使用“在 Excel 中分析”。
通过 XMLA 终结点访问数据。
行级安全性
对于使用行级别安全性 (RLS) 的语义模型,任何高于build权限的权限都将使用户能够查看语义模型中的所有数据。 Build和低于build的权限让语义模型用户只能访问他们在 RLS 设置中配置的允许查看的数据。
使用 API 获取和更新语义模型权限
使用 POST API 可以向语义模型添加新权限。 可使用这些 API 为用户添加权限,但不能删除权限。 例如,可以向具有
Read权限的用户添加Reshare权限。 但是,你无法通过尝试添加Read权限来删除同时具有Read和Reshare权限的用户的Reshare权限。PUT API 更新用户对给定数据集的权限。 PUT API 不能用于更改写入权限或任何文件夹级别继承权限。 此 API 还支持删除给定目标的数据集的所有权限。
GET API 返回有权访问指定数据集的主体列表。
注意事项和限制
对于谁可以使用以及如何使用,上述每个 API 都有一定的限制。 若要查看每个 API 的限制,请选择每个 API 的对应链接。