Power BI’da Paylaşım Güvenliği

Herkese merhaba,

Bu hafta Power BI’da veri yönetimini ve paylaşım güvenliğini ele almak istiyorum. Firmalar için verilerin depolanması ne kadar kritikse verilerin gizliliği ve paylaşımı da o kadar önemlidir. Veri paylaşımı yapılmadan önce birkaç kez düşünülen bir adımdır. Özellikle de verilerin gizli olduğu durumda. Bu gibi durumlarda Power Bı ve Microsoft yayınladığımız raporların ya da datasetlerin güvenliğini nasıl sağlıyor bunlardan bahsedeceğiz.

Veri paylaşmak ve hangi kullanıcının hangi veriye erişiminin olacağı belirlemek ciddi bir sistematik gerektirir. Aksi halde verilerin değiştirilmesinin, çalınmasının şirketlere prestij kaybettireceği ve pahallıya mal olacağı garantidir. Özellikle de kullanıcı sayısının yüksek olduğu şirketlerde verilerin yönetimi zorlayıcı bir iştir. Buna getirilen pratik bir yol kullanıcıların gruplanmasıdır. Böylece kullanıcı yerine gruplara izin vermek yönetimi rahatlatır. Bir kullanıcı erişim gerektirdiğinde ilgili gruba atanır ve erişim kolaylıkla sağlanır ya da tam tersi durumda erişim kısıtı geldiğinde söz konusu kullanıcı gruptan ayrılır. Power BI’da en sık kullanılan Azure Active Directory Grupları:

  • Security
  • Office 365

Bu iki grup da aynı temele dayandığından Office 365 Yönetim Portalı veya Azure Yönetici Portalı kullanılarak oluşturulur ve detaylıca yönetilir.

Aşağıda Microsoft 365’in Yönetim Panelini görüyorsunuz. Şirketinizdeki her bir çalışanın bilgileri ve lisansları burada sıralanmıştır. Aşağıdaki listede gizlilik nedeniyle sadece beni ve bana atanan Power BI Lisansımı görüyorsunuz.

Admin olmadığım için şuan buraya yeni üye ekleme yetkim yok. Ancak yetkisi olanlar tab menüde yer alan “Add a User” ile ekleme yaparlar.

Karşımıza aşağıdaki gibi yeni üye ekleme penceresi açılıyr ve bilgileri doldurup işlem tamamlanır.

Gördüğünüz gibi Azure Active Directory‘ye kullanıcı eklemek ve lisans atamak bu kadar kolay. Benzer şekilde “Group” sekmesinden de grup oluşturabilirsiniz.

Bir diğer veri yönetim yöntemi Row Level Security (RLS) denilen grup üyelerinin filtrelenmesini sağlayan yöntemdir. RLS ile ilgili detaylar için şu postuma bakabilirsiniz.

Benzer şekilde Power BI Service’de çalışma alanları (workspace) oluşturup kişi veya grup atayabilirsiniz. Çalışma alanlarına iznin nasıl verildiğiyle ilgili yazıma bakabilirsiniz.

Gelelim şirket dışından birileriyle paylaşıma. Azure Active Directory’de şirket dışındaki birisini kendi Azure Active Directory’ye konuk kullanıcı olarak davet etmenizi sağlayan B2B (Business to Business) özelliği bulunmaktadır. Azure Active Directory Power BI ile entegre olduğundan Power BI’da da bu özelliği kullanabilirsiniz. İki şekilde davet gönderebilirsiniz. Bunlar Planlı Davet (Planned Invite) ve Geçici Davet (Ad-hoc Invite) şeklindedir. Sadece e-mail adresi ile daveti gerçekleştirebilirsiniz. Karşı taraf e-posta yoluyla gelen daveti kabul ettiğinde sizin Active Directory’de kullanıcılar listesine eklenecektir. Burada dikkat edilmesi gereken husus paylaşımları görebilmesi için davet ettiğiniz kişinin de uygun Power BI lisansına sahip olması gerektiğidir. Bunun için de şu yolları kullanabilirsiniz: paylaşmak istediğiniz içeriği Power BI Premium Kapasite’ye atarbilirsiniz, kullanıcıya Power BI Pro lisansı verebilirsiniz ya da kullanıcının Power BI Pro lisansı almasını sağlarsınız.

Kullanıcı davet etmek için Azure portal’a gidip Azure Active Directory’i tıklıyorum.

Kullanıcıları seçtikten sonra tab menüdeki “new guest user” ile misafir kullanıcı penceresini açıyorum.

Misafir kullanıcımın mail adresini ve mesajımı yazıp ona bir davet gönderiyorum.

Misafir kendisine gelen mailde yer alan daveti kabul ettiğinde misarifim kullanıcı listemde yerini alıyor.

Şimdi Power BI Service’de raporunuzu bu misafir kullanıcı ile paylaşabilirsiniz.

Paylaşım güvenliğinizi arttırmak için Çok Faktörlü Kimlik Doğrulama (Multi Factor Authentication, MFA) kullanabilirsiniz. Bunu Office 365 Yönetim panelinden doğrulamayı yapmasını istediğiniz kişinin erişim özelliklerinden yapabilirsiniz. MFA’de admin kullanıcının hangi yolla kimlik doğrulaması yapacağını belirler. Bu telefon ile SMS alarak veya sesli mesajla ya da QR kod okumayla yapılabilir. Kullanıcı portala bir sonraki oturum açtığında kimlik bilgileri doğrulamasını ayarlaması istenir ve adminin belirlediği herhangi bir yöntemi seçer. Böylece rapora doğru kişinin eriştiğinden emin olabilirsiniz.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s