Power BI-Artefakte, wie Reports und Dashboards sind für das Teilen und Kollaborieren in Unternehmen gemacht. Erst dann entfalten sie ihr volles analytisches Potential. Doch es gibt unterschiedliche Möglichkeiten, Power BI-Artefakte zu teilen oder gemeinsam an ihnen zu arbeiten und es ist nicht immer einfach, die richtige zu finden. Daher erkläre ich im aktuellen Beitrag, wie Freigeben und Zusammenarbeiten im Power BI Service funktionieren kann.
Als Abonnent meines Newsletters erhältst Du die Beispieldateien zu den Beiträgen dazu. Hier geht’s zum Abonnement des Newsletters!
Was bedeutet „Freigeben“ im Power BI-Kontext?
Bei den unterschiedlichen Szenarien, wie im Power BI-Service Inhalte freigegeben werden können, geht es darum, die folgend aufgeführten Power BI-Artefakte mit anderen Personen (nicht zwangsläufig Kollegen im eigenen Unternehmen) zu teilen:
- Dataset
- Reports
- Dashboards
Datasets selbst, können gegenwärtig nicht freigegeben werden. Sie sind stets die Basis zweier weiterer Artefakt, den Reports und Dashboards, um die es im Wesentlichen geht, wenn von Freigeben die Rede ist.
Ich beginne mit der einfachsten Form des Freigebens, dem spontanen Freigeben.
Szenario #1: Spontanes Teilen von Reports und Dashboards
Zweck
Spontanes Freigeben kommt zum Tragen, wenn sich der Chef meldet und innerhalb der nächsten 5 Minuten einen Bericht haben will, von dem er eben noch gar nicht wußte, dass man ihn hat. Der Adressatenkreis ist eingeschränkt und das Freigeben findet spontan, also ungeplant statt.
Rechte
Der Empfänger des Reports/ Dashboards hat ausschließlich Leserechte.
Lizenz
Der Sender des Reports/ Dashboards benötigt in jedem Falle eine Power BI Pro-Lizenz.
Der Empfänger benötigt generell ebenfalls eine Power BI Pro-Lizenz. Sofern sich der zu teilende Inhalt auf einem Workspace mit Premium-Kapazität (in einer sog. P-SKU) befindet, ist für den Empfänger die kostenfreie Power BI Free-Lizenz ausreichend.
Adressierung des Empfängers
Die Adressierung des Empfängers kann auf drei Wegen erfolgen:
- E-Mailadresse,
- O365-Verteilerliste (nicht O365-Gruppe!!!)
- Azure Active Directory Security Group
Szenario #2: Zusammenarbeit in App-Workspaces (App-Arbeitsbereichen)
Was ist ein App-Workspace?
Ein App-Workspace ist ein Container für …
- Power BI-Artefakte (Datasets, Reports, Dashboards, Dataflows (seit 5.11.18 in Preview)
- Excel-Arbeitsmappen („Excel-Daten in Power BI importieren“ & „Excel-Datei nach Power BI hochladen“)
Im Gegensatz zum Freigeben von Reports und Dashboards geht es bei App-Workspaces nicht nur um das Konsumieren von Inhalten, sondern um das aktive Mitarbeiten an eben solchen. Kollegen, die für einen App-Workspace berechtigt werden, erhalten eine entsprechende Rolle. Diese Rolle bestimmt ihre Rechte innerhalb des App-Workspaces. Bevor ich im Detail auf die unterschiedlichen Rollen und Rechte eingehen kann, muss ich zunächst erklären, warum es gegenwärtig zwei unterschiedliche Versionen von App-Workspaces gibt (App-Workspace V1 und App-Workspace V2) und worin ihre Unterschiede bestehen.
App-Workspace V1 vs. V2
Derzeit gibt es zwei Varianten des App-Workspaces: V1 und V2. Bei der V1 handelt es sich um die „alte“ Version des App-Workspaces, bei der V2 um die neue Version, die sich gegenwärtig noch in Preview befindet. Wieso hat Microsoft sich entschlossen, eine neue Version des App-Workspaces zu erstellen? Das hat im Wesentlichen zwei Gründe:
- Die V1 wird auf Basis einer O365-Gruppe erstellt. Diese Tatsache nervte sowohl Power BI-Nutzer, als auch O365-Admins, da bei jeder Erstellung eines neuen App-Workspaces automatisch eine neue O365-Gruppe erstellt wurde, umgekehrt aber bei jeder Erstellung einer neuen O365-Gruppe auch automatisch ein neuer App-Workspace in Power BI auftauchte. Diese Problematik ist mit der V2 behoben, die nun von O365-Gruppen entkopppelt ist.
- Die V1 ist hinsichtlich der Rechtevergabe an Mitglieder des App-Workspaces recht unflexibel, da hier die Rechte sowohl von der Rolle des App-Workspace-Berechtigen (Admin oder Mitglied), als auch von der Sicherheitseinstellung auf Workspace-Ebene abhängt. In der V1 ist es z. B. unmöglich bei zwei Kollegen mit der Rolle Mitglied einmal Leserechte und einmal Schreib-/Leserechte zu vergeben. Diese Problematik wird durch die V2 adressiert.
Tipp: Da auf lange Sicht alle App-Workspaces durch die Nutzer (nein, das macht nicht Microsoft für Dich) auf die V2 umgestellt werden müssen, empfehle ich, neue App-Workspaces gleich als V2 anzulegen.
Zweck
Gemeinsames Arbeiten an Power BI-Artefakten. Es geht nicht mehr nur um das reine Betrachten fertiger Reports und Dashboards, sondern um das Mitwirken/ Kollaborieren an Power BI-Artefakten. Daher auch die Bezeichnung „Workspace“, also „Arbeitsbereich“. Hier wird wirklich gearbeitet.
Rechte
Die Rechtevergabe unterscheidet sich zwischen beiden App-Workspace-Versionen stark
- V1: Kombination aus der Rolle des Kollegen (Administrator oder Mitglied) und der Erteilung von Schreib- oder Schreib-/Leserechten auf Workspace-Ebene
- V2: Die Rechte des Kollegen finden ausschließlich auf Rollenebene statt. Um hier feiner die Berechtigungen steuern zu können, wurden in der V2 zusätzlich zu den Rollen Administrator und Mitglied noch die beiden Rollen Mitwirkender und Viewer (wird erst integriert, wenn V2 nicht mehr in der Preview ist) ergänzt.
Die Unterschiede zwischen den einzelnen Rollenkonzepten in V1 und V2 verdeutlicht die folgende Übersicht:
Lizenz
Jeder Nutzer, der eine Berechtigung für einen App-Workspace haben möchte, benötigt eine Power BI Pro-Lizenz, unabhängig davon, ob das Unternehmen Power BI Premium hat, oder nicht. Dies bedeutet, dass auch für das Anlegen eines neuen App-Workspaces eine Power BI Pro-Lizenz notwendig ist.
Adressierung des Empfängers
Die Adressierung des Empfängers unterscheidet sich zwischen den beiden Workspace-Versionen:
- V1: E-Mailadresse
- V2: E-Mailadresse, unterschiedliche O365-Gruppen, Azure Active Directory Security Groups
Row Level Security
Simpel formuliert, handelt es sich bei RLS um die Möglichkeit, je Datensatz im Datenmodell festzulegen, wer diesen sehen darf. Falls Du hierzu mehr lernen möchtest, findest Du detaillierte Informationen in meiner Beitragsreihe zu diesem Thema.
Wurden Reports/ Dashboards aus einem App-Workspace heraus veröffentlicht, dann gibt es Konstellationen, unter denen Nutzer des App-Workspaces in der Lage sind, die vollständige, den Reports/ Dashboards zugrundliegende pbix-Datei herunterzuladen. Diese Konstellationen sind die folgenden:
- V1: Nutzer des App-Workspaces hat die Rolle Admin, oder Nutzer des App-Workspaces hat die Rolle Mitglied, bei Schreib-/Leserechte auf App-Workspace-Ebene
- V2: Nutzer des App-Workspaces haben die Rollen Admin, Mitglied oder Mitwirkender
Es verwundert nicht, dass es bei diesen Kollegen sinnlos ist, ein Berechtigungskonzept auf Datensatzebene (also Row Level Security) zu hinterlegen, da sie aufgrund ihrer Rolle sowieso auf alle Daten zugreifen können. Wundere Dich also nicht, wenn Du einen Kollegen in Deine RLS-Rollen integriert hast und er/ sie in geteilten Reports/ Dashboards trotzdem alle Daten sehen kann. Dann liegt es daran, dass er/ sie im entsprechenden App-Workspace, aus dem die Reports/ Dashboards geteilt wurden, eine Rolle hat, die ihn/ sie alle Daten sehen lässt.
Der Einfachheit halber, habe ich die oben beschriebenen Inhalte noch einmal tabellarisch zusammengefasst:
Widmen wir uns nun der dritten Variante des Teilen von Power BI-Artefakten.
Szenario #3: Freigeben von Reports/ Dashboards über Organisations-Apps
Was sind Organisations-Apps?
Microsoft tut sich mit der Namensgebung manchmal etwas schwer, was dann zu Lasten der Nutzer geht. Neben den sog. Service Apps, die es mir ermöglichen Webservices wie Google Analytics in Power BI mit wenigen Klicks zu importieren und der Power BI mobile App, die mich Power BI-Inhalte auf meinem mobilen Endgerät betrachten läßt, gibt es auch noch die sog. Organisations-Apps. Diese Apps sind quasi die veröffentlichte Variante eines App-Workspaces (daher auch der Name „App“-Workspace). Ich kann innerhalb des App-Workspaces definieren welche Artefakte Bestandteil der App sein sollen (1) und dann die App veröffentlichen (2). Eine App ist immer an den App-Workspace gebunden, aus dem Sie veröffentlicht wurde. Es gibt keine Möglichkeit, aus einem Workspace mehr als eine App zu veröffentlichen.
Zweck
Während das spontane Freigeben für Einzelfälle gedacht ist und App-Workspaces für die Kollaboration zwischen Kollegen, dienen Organisations-Apps der Verteilung von Inhaltspaketen an eine Vielzahl von Empfängern.
Rechte
Der Empfänger hat ausschließlich Leserechte.
Lizenz
Da Organisations-Apps aus einem App-Workspace heraus veröffentlicht werden, verfügt der Sender zwangsläufig über eine Power BI Pro-Lizenz.
Der Empfänger benötigt generell ebenfalls eine Power BI Pro-Lizenz. Sofern die App aus einem App-Workspace veröffentlicht wird, der auf einer Premium-Kapazität (in einer sog. P-SKU) beruht, ist für den Empfänger die kostenfreie Power BI Free-Lizenz ausreichend.
Adressierung des Empfängers
Die Adressierung des Empfängers kann auf drei Wegen erfolgen:
- E-Mailadresse,
- O365-Verteilerliste (nicht O365-Gruppe!!!)
- Azure Active Directory Security Group
Unterschied zwischen Workspace-Leser und App-Empfänger
Eine berechtigte Frage, die mir während eines Vortrags zu diesem Thema gestellt wurde war: „Wo liegt denn der Unterschied zwischen einem Nutzer mit reinen Leserechten im App-Workspace und einem Empfänger einer App?“ Aus meiner Sicht gibt es hier zwei Unterschiede:
- Da ich in einer App nicht alle Bestandteile des Workspaces veröffentlichen muss, kann ein Nutzer mit Leserechten innerhalb des App-Workspaces Inhalte sehen, die ein App-Empfänger nicht sehen kann.
- Da Inhalte meines App-Workspaces erst dann in der App erscheinen, wenn ich diese veröffentliche bzw. aktualisiere, hat ein Kollege mit Leserechten innerhalb des App-Workspaces entsprechende Informationen einfach zu einem früheren Zeitpunkt.
Beim nächsten Mal zeige ich Dir, wie man Power BI-Artefakte mit externen Nutzern teilen kann.
Bis zum nächsten Mal und denk dran: Sharing is caring. Wenn Dir der Beitrag gefallen hat, dann teile ihn gerne. Falls Du Anmerkungen hast, schreibe gerne einen Kommentar, oder schicke mir eine Mail an lars@ssbi-blog.de
Viele Grüße aus Hamburg,
Lars
Ich schreibe meine Beiträge für Dich, den Leser. Bitte schenke mir eine Minute Deiner Zeit und bewerte die folgenden Kategorien, um mir zu helfen meine Beiträge so gut wie möglich zu schreiben. Danke 🙂
Lars ist Berater, Entwickler und Trainer für Microsoft Power BI. Er ist zertifizierter Power BI-Experte und Microsoft Trainer. Für sein Engagement in der internationalen Community wurde Lars seit 2017 jährlich durch Microsoft der MVP-Award verliehen. Lies hier mehr…
Petra meint
Hi,
danke für den verständlichen, übersichtlichen Artikel. Kennst Du vielleicht einen Weg, um einzelne Blätter / Tabs eines Berichts an bestimmte Nutzer freizugeben?
Vielen Grüße
Petra
Martin Raffeiner meint
Hallo Lars,
wirklich saubere Zusammenfassung des Themas. Finde vor allem gut, dass Du auch die Lizenz-Thematik jeweils angesprochen hast…ist ja nicht immer ganz so einfach da den Überblick zu behalten.
Grüße aus Innsbruck,
Martin
Lars Schreiber meint
Hallo Martin,
danke für Dein Feedback. Sharing in Power BI, ohne dabei die Lizenzthematik zu betrachten, wäre einfach unvollständig, da sie Dir an allen Ecken und Enden eh immer wieder auf die Füße fällt 😉
Grüße nach Innsbruck,
Lars