Power BI-Sicherheit auf Zeilenebene (RLS): Ein umfassendes Tutorial

Zeilenbasierte Sicherheit (RLS) in Power BI kannst du anhand von Filtern steuern, welche Datenzeilen Benutzer sehen können. Diese Funktion ist besonders praktisch, wenn mehrere Leute auf einen gemeinsamen Bericht zugreifen müssen, aber je nach ihrer Rolle oder Abteilung unterschiedliche Ansichten brauchen.

In diesem Tutorial zeige ich dir, wie du RLS richtig verstehst, von den statischen und dynamischen Konfigurationen über praktische Implementierungsschritte bis hin zu fortgeschrittenen Techniken für Unternehmen und häufigen Fallstricken, die ich vermeiden gelernt habe. Außerdem zeige ich dir bewährte Vorgehensweisen und vergleiche RLS mit anderen Sicherheitsmodellen.

Wenn du gerade erst mit Power BI anfängst, schau dir am besten unseren Lernpfad „Power BI-Grundlagen“an, der dir dabei hilft, alle wichtigen Fähigkeiten zu erlernen, die du brauchst.

Was ist Sicherheit auf Zeilenebene?

Die Sicherheit auf Zeilenebene (RLS) ist eine Sicherheitsfunktion in Power BI, die den Zugriff auf Zeilen in einer Tabelle basierend auf der Identität des Benutzers, der den Bericht anzeigt, einschränkt. Anstatt Berichte für verschiedene Benutzergruppen zu duplizieren, kannst du mit RLS Filter auf Datenebene anwenden, sodass jeder Benutzer nur die Daten sieht, die er sehen darf.

Das ist super wichtig, um die Vertraulichkeit und Integrität von Daten zu schützen, vor allem wenn es um sensible oder geschützte Infos geht. RLS arbeitet mit dem Power BI-Datenmodell und sorgt dafür, dass Leute, die nicht dürfen, nicht an eingeschränkte Daten kommen, auch nicht über Umwege wie Slicer oder Drilldowns.

Rollen und Filter

Die Umsetzung von RLS basiert auf drei Kernelementen:

• Rollen: Logische Gruppierungen mit klaren Zugriffsregeln.
• DAX Filter: Ausdrücke, die festlegen, auf welche Daten jede Rolle zugreifen kann.
• Benutzerzuweisungen: Konfiguration, welche Benutzer oder Gruppen zu welchen Rollen gehören.

Diese Elemente arbeiten zusammen, um jede Abfrage anhand der Zugriffsbedingungen zu prüfen, bevor Ergebnisse zurückgegeben werden.

Anwendungsfälle

RLS ist in vielen Branchen und Szenarien super einsetzbar, zum Beispiel:

• Vertriebsgebiete: Vertriebsleiter sehen nur die Leistungsdaten ihrer Region.
• Gesundheits: Ärzte können nur auf die Daten ihrer Patienten zugreifen.
• Multi-Tenant-SaaS-: Kunden sehen in den gemeinsamen Dashboards nur die Daten ihrer eigenen Organisation.

Mit diesem Sicherheitsmodell bleiben gemeinsam genutzte Datensätze sicher, während Duplikate und Verwaltungsaufwand auf ein Minimum reduziert werden.

Statische vs. dynamische RLS-Architekturen

Die Sicherheit auf Zeilenebene kann in zwei Arten unterteilt werden: statisch und dynamisch.

Ich habe die Unterschiede in der folgenden Tabelle zusammengefasst:

Tipp: Verwende statische RLS für kleine, feste Benutzergruppen. Verwende dynamische RLS für wachsende oder große Umgebungen.

Im Folgenden zeige ich dir ein paar Beispiele für statische und dynamische Implementierungen.

Statische RLS-Implementierung

Bei statischen RLS werden Rollen mit fest programmierten DAX-Filtern erstellt. Jede Rolle passt zu einer bestimmten Gruppe oder einem Segment, wie zum Beispiel einer Region oder einer Abteilung.

Hier sind die allgemeinen Schritte zur Implementierung einer statischen RLS:

1. Mach eine Rolle mit dem Namen „Region_Ost“ an.
2. Wende einen Filter wie „ [Region] = "East" “ auf diese Rolle an.
3. Weise der Rolle in Power BI Service bestimmte Benutzer zu.

Dynamische RLS-Implementierung

Dynamische RLS nutzt Funktionen wie „ USERNAME() “ oder „ USERPRINCIPALNAME() “ zusammen mit Zuordnungstabellen, um Daten je nach Benutzeridentität dynamisch zu filtern.

Hier sind die allgemeinen Schritte zur Implementierung eines dynamischen RLS:

1. Erstell eine Zuordnungstabelle, die Benutzer mit Zugriffsebenen verknüpft. Das ist deine Sicherheitstabelle. Diese Tabelle sollte Spalten wie die E-Mail-Adressen der Benutzer, ihre Zugriffsregionen und ihre Namen enthalten.
2. Schreib einen DAX-Filter wie folgt: [Region] = RELATED(UserRegion[Region])
3. Filter die Tabelle mit: UserRegion[Email] = USERPRINCIPALNAME()

Einrichten der Sicherheit auf Zeilenebene in Power BI Desktop

Jetzt zeigen wir dir kurz, wie du mit einem einfachen Verkaufsdatensatz eine statische Sicherheit auf Zeilenebene einrichtest.

1. Erstellen eines Beispiel-Datensatzes mit Python

Um RLS zu testen, erstelle einen Beispiel-Datensatz mit Python:

import pandas as pd

data = {
    'Salesperson': ['Alice', 'Bob', 'Charlie', 'Alice', 'Bob', 'Charlie'],
    'Region': ['East', 'West', 'South', 'East', 'West', 'South'],
    'SalesAmount': [15000, 20000, 18000, 17000, 21000, 16000],
    'Email': ['alice@company.com', 'bob@company.com', 'charlie@company.com'] * 2,
    'Date': pd.date_range(start='2025-01-01', periods=6, freq='M')
}

sales_df = pd.DataFrame(data)
sales_df.to_csv('sample_sales_data.csv', index=False)

2. Importieren in Power BI und Erstellen einer Referenzvisualisierung

1. Öffne Power BI Desktop.
2. Geh zu „Home“ > „Daten abrufen“ > „Text/CSV“.
3. Wähl die Datei „ sample_sales_data.csv “ aus.

4. Lade die Daten ins Modell.

Stell sicher, dass die Datentypen stimmen und dass die Spalte „ Email “ mit den Anmeldeidentitätsformaten (normalerweise E-Mail) übereinstimmt.

5. Erstell ein einfaches gestapeltes Säulendiagramm in Power BI. Zieh das Feld „Datum“ auf die X-Achse und „Verkaufsbetrag“ auf die Y-Achse.

So sollte deine Tabelle aussehen:

Mehr Infos zur Nutzung von Power BI findest du in unserem Spickzettel, die du unten findest.

3. Rollen anlegen

Als Nächstes legen wir ein paar Rollen an, um festzulegen, welche Rollen welche Berechtigungen haben sollen.

1. Weiter zu Modellierung > Rollen verwalten.

2. Klick Erstellen und gib deiner Rolle einen Namen, z. B. „ SalesRegionStatic “.
3. Wähle die passende Tabelle aus.
4. Gib einen Filter-DAX-Ausdruck ein:

[Email] = “charlie@company.com”

So sollte deine Benutzeroberfläche aussehen:

5. Speicher das und schließ das Fenster.

Wenn die Änderungen erfolgreich gespeichert wurden, erscheint eine grüne Benachrichtigungsleiste wie unten gezeigt.

4. Rollen testen

1. Weiter zu „Modellierung“ > „Als Rollen anzeigen“.

2. Wähl die Rolle „ SalesRegionStatic ” aus, die wir vorhin erstellt haben.

3. Zeig die Visualisierungen des Berichts, die nach dieser Identität gefiltert sind.

Wie du auf dem Bild unten sehen kannst, wurde das Diagramm gefiltert, um nur Daten anzuzeigen, bei denen die E-Mail-Adresse „charlie@company.com“ lautet.

So kannst du alles vor dem Einsatz vor Ort checken.

Benutzer zuweisen und Rollen in Power BI Service verwalten

Sobald deine RLS-Rollen in Power BI Desktop eingerichtet und getestet sind, musst du den Bericht im Power BI-Dienst veröffentlichen. So kannst du jeder Rolle bestimmte Benutzer oder Sicherheitsgruppen zuweisen und sicherstellen, dass die Zugriffskontrolle durchgesetzt wird, wenn der Bericht geteilt wird.

1. Veröffentlichen des Berichts im Power BI-Dienst

1. Klicke in Power BI Desktop auf „Startseite“ > „Veröffentlichen“ > „In Power BI“.
2. Such den Zielarbeitsbereich in deinem Power BI-Dienst aus.

3. Nach der Veröffentlichung loggst du dich bei Power BI Service unter https://app.powerbi.com.

So sieht meine im Power BI-Dienst im Internet aus.

Das Veröffentlichen ist wichtig, um RLS-Rollenzuweisungen einzurichten, weil die in Power BI Desktop definierten Rollen zusammen mit dem Dataset übertragen werden.

2. Sicherheitseinstellungen aufrufen

1. Wähle das Menü „Weitere Optionen“ für dein passendes semantisches Modell.Klick auf die drei Punkte (...) neben dem Datensatz und wähle Sicherheit.
2. Du siehst eine Liste der in Power BI Desktop definierten Rollen.

Hier kannst du jeder Rolle Benutzer oder Azure Active Directory (AAD)-Gruppen zuweisen.

3. Einzelne Benutzer und Sicherheitsgruppen zuweisen

Um Benutzer zuzuweisen, gib ihre vollständigen E-Mail-Adressen in das Textfeld unter der gewünschten Rolle ein, drück die Eingabetaste und klick auf Hinzufügen.

Um AAD-Gruppen zuzuweisen, nimm einfach den Namen der Gruppe (z. B. Sales_Region_East oder Finance_Team). Stell sicher, dass die Gruppe schon in Azure Active Directory definiert und gepflegt ist.

4. Zugriff überprüfen

Nachdem du Benutzer oder Gruppen zugewiesen hast, nimm dir kurz Zeit, um zu überprüfen, ob die richtigen Daten der richtigen Gruppe angezeigt werden.

Jeder sieht nur die Daten, die durch den DAX-Ausdruck gefiltert wurden, der mit seiner Rolle verbunden ist. Die Leute werden nicht direkt über die Rollenzuweisung informiert, also solltest du ihnen vielleicht die Zugangsdaten nach der Überprüfung schicken.

5. Rollenverteilungen im Power BI-Dienst testen

1. Klicke auf derselben Seite auf den zuvor festgelegten RLS-Namen, dann auf die drei Punkte (...) und anschließend auf Als Rolle testen.

2. Power BI öffnet eine schreibgeschützte Version des Berichts, in der nur die Daten angezeigt werden, die für die ausgewählte Rolle freigegeben sind.

Bei dynamischem RLS kannst du auch simulieren, was ein bestimmter Benutzer sehen wird:

• Klick auf „Als Rolle testen“.
• Gib die E-Mail-Adresse eines Benutzers ein, um seine Erfahrung zu simulieren.

Das ist praktisch, um sicherzustellen, dass deine dynamischen Filter (z. B. basierend auf USERPRINCIPALNAME()) richtig funktionieren.

Fortgeschrittene Implementierungstechniken

RLS kann mit ein paar fortgeschrittenen Techniken noch besser in deinen Power BI-Workflow integriert werden. Hier sind ein paar, die du dir merken solltest:

1. Integration von Sicherheitsgruppen

Mit Azure Active Directory (AAD)-Sicherheitsgruppen kannst du Zugriffsberechtigungen für ganze Gruppen statt für einzelne Benutzer vergeben. 

Das ist besonders praktisch in Unternehmen, wo Leute oft Teams wechseln, weil man dann nicht mehr manuell die Zugriffsrechte in Power BI anpassen muss.

2. Überlegungen zu komplexen Datenmodellen

Wenn du große Datenmodelle baust, pass auf, dass RLS die Beziehungen und die Filterübertragung nicht stört. 

Hier sind ein paar Tipps:

• Verwende ein Sternschema, um komplizierte Verknüpfungen zu vermeiden.
• Vermeide es, wenn möglich, Beziehungen in beide Richtungen zu verwenden.
• Vermeide unklare Beziehungen, die zu falschen Filtern führen könnten.
• Optimier die Leistung, indem du berechnete Spalten in stark gefilterten Tabellen reduzierst.

3. Hybride Ansätze

Ein hybrider Ansatz für RLS ist die Kombination von statischen und dynamischen Techniken. 

Du kannst zum Beispiel eine statische Rolle festlegen, um einer bestimmten Abteilung Zugriff zu geben, und dann innerhalb dieser Rolle dynamische Filter nach E-Mail-Adressen oder Benutzernamen einrichten. Diese Methode ermöglicht eine mehrschichtige und flexible Sicherheitslogik.

4. Objektbezogene Sicherheit (OLS)

Mit der Sicherheit auf Objektebene kannst du ganze Tabellen oder Spalten vor bestimmten Rollen verstecken. Es macht RLS noch besser, indem es noch mehr Datensicherheit reinbringt. OLS kann für sensible Bereiche wie Gehalts- oder medizinische Informationen verwendet werden.

Test- und Validierungsstrategien

1. Desktop-Tests

Power BI Desktop bietet eine praktische Möglichkeit, verschiedene Benutzeransichten über die Funktion „Anzeigen als“ zu simulieren. Mit dieser Funktion können Berichtsentwickler vor der Veröffentlichung des Berichts überprüfen, ob die Sicherheit auf Zeilenebene richtig funktioniert.

So testest du RLS in Power BI Desktop:

1. Klick auf das Modellierung .
2. Auswählen „Ansicht als“ in der Multifunktionsleiste.
3. Wähle die Rollen aus, die du eingerichtet hast (z. B. SalesRegionStatic).
4. Gib optional einen Test-Benutzernamen/eine Test-E-Mail-Adresse ein, wenn du dynamische RLS verwendest.
5. Klick OK und schau dir an, wie die Bilder gefiltert werden.

Das sieht aus, als würde jemand mit dieser Rolle den Bericht gerade anschauen. Das ist besonders hilfreich beim Testen dynamischer RLS-Filter, die von DAX-Funktionen wie „ USERPRINCIPALNAME() “ abhängen.

2. Servicetests

Nach der Veröffentlichung im Power BI-Dienst solltest du RLS in der Cloud-Umgebung nochmal testen, um sicherzugehen, dass alles richtig funktioniert.

So testest du RLS im Power BI-Dienst:

1. Geh zum Datensatz in deinem Arbeitsbereich.
2. Klick auf den ... neben dem Datensatz > Sicherheit.
3. Wähle eine Rolle aus > klicke auf Als Rolle testen.
4. Mit der Option „Als bestimmter Benutzer testen“ kannst du dynamische RLS-Filter ausprobieren.

Dadurch wird sichergestellt, dass die Filter so funktionieren, wie die Benutzer es erwarten.

3. Wichtige Tipps zur Schlüsselüberprüfung

Zur Validierung kannst du Testkonten oder Dienstidentitäten verwenden, um die tatsächliche Nutzung nachzuahmen. Alle Filter für Key Visuals, wie Tabellen und Diagramme, sollten auch regelmäßig überprüft werden.

Du solltest auch Slicer, Drillthroughs und Lesezeichen gründlich checken, um sicherzustellen, dass keine nicht autorisierten Daten durchsickern.

Häufige Probleme und Lösungen

Bei der Implementierung von RLS können ein paar Probleme auftauchen. Hier sind ein paar der häufigsten und wie du sie beheben kannst.

1. Probleme nach der Veröffentlichung

Nach der Veröffentlichung im Power BI-Dienst stellen einige Benutzer fest, dass RLS nicht wie erwartet funktioniert, obwohl es in Power BI Desktop funktioniert hat.

Lösungen:

• Stell sicher, dass der Bericht nach Änderungen an Rollen oder Filtern neu veröffentlicht wird.
• Vergewissere dich, dass die in USERPRINCIPALNAME() verwendete E-Mail-Adresse mit dem Anmeldedomänenformat im Dataset übereinstimmt.

2. Konflikte bei Arbeitsbereichsrollen

Benutzer mit bestimmten Arbeitsbereichsrollen (Admin, Mitglied) können RLS versehentlich umgehen.

Lösungen:

• Benutzer zuweisen als Betrachter im Arbeitsbereich zu, um RLS-Regeln durchzusetzen.
• Gib keine Mitwirkenden-/Administratorrechte, außer wenn das für die Entwicklung von Inhalten echt nötig ist.

3. Einschränkungen der DAX-Funktion

Häufige Probleme entstehen durch die falsche Verwendung von DAX-Funktionen wie „ USERNAME() “ und „ USERPRINCIPALNAME() “:

• USERNAME() kann bei Tests auf dem Desktop einen lokalen Kontonamen anstelle einer E-Mail-Adresse zurückgeben.
• Verwende „ USERPRINCIPALNAME() “, um das Verhalten mit Cloud-Identitäten konsistent zu halten.

Tipps:

• Füge eine Referenztabelle mit Beispiel-E-Mails hinzu, um das Testen vor Ort zu erleichtern.
• Verwende in DAX bedingte Logik oder Standardwerte, um Filterfehler zu vermeiden.

4. Probleme mit DirectQuery und SSO

Bei dynamischem RLS mit DirectQuery-Quellen musst du besonders aufpassen, vor allem wenn du Single Sign-On (SSO) benutzt.

Häufige Probleme:

• Eine falsche Gateway-Einstellung kann die Identitätswechsel von Benutzern blockieren.
• Die SSO-Einrichtung mit Kerberos kann fehlschlagen, wenn SPNs falsch konfiguriert sind.

Lösungen:

• Schau dir die Microsoft-Dokumentation zu SSO mit Power BI-Gateways an.
• Arbeite eng mit den IT- und Infrastrukturteams zusammen, um die Kerberos-Delegierung einzurichten.

Entfernen oder Deaktivieren von RLS für den öffentlichen Zugriff

Es kann vorkommen, dass RLS vorübergehend (z. B. für Demos oder offene Dashboards) oder dauerhaft (z. B. beim Teilen von Daten mit externen Stakeholdern) deaktiviert werden muss. In solchen Fällen musst du bei den Sichtbarkeitseinstellungen vorsichtig sein, um unerwartete Datenlecks zu vermeiden.

RLS in Power BI Desktop deaktivieren

So deaktivierst du RLS:

1. Öffne deinen Bericht in Power BI Desktop.
2. Geh zu Modellierung > Rollen verwalten.
3. Wähle alle Rollen aus und lös sie oder deaktiviere ihre Filter.
4. Speicher den Datensatz und veröffentliche ihn wieder im Power BI-Dienst.

Nach dem Entfernen können alle Nutzer auf den kompletten Datensatz zugreifen, es sei denn, es gibt andere Sicherheitsmaßnahmen.

Sicheres Teilen ohne RLS

Wenn RLS nicht machbar oder nötig ist, solltest du die folgenden Maßnahmen zur Datensicherheit in Betracht ziehen:

• Datensatzberechtigungen verwenden: Teile den Datensatz oder Bericht nur mit Leuten, denen du vertraust, und nutze die Arbeitsbereichsberechtigungen (Betrachter, Mitwirkender) richtig.
• Vermeide die Veröffentlichung im Internet: Mit „Im Web veröffentlichen“ werden alle Sicherheitskontrollen deaktiviert. Verwende stattdessen „Für Organisation einbetten” oder Power BI Embedded, um Inhalte sicher öffentlich zu teilen.

RLS zu entfernen heißt nicht, dass du alle Sicherheitsmaßnahmen loswirst. Nutze andere Ebenen der Zugriffskontrolle und Freigabefunktionen im Power BI-Dienst, um eine verantwortungsvolle Datenverbreitung sicherzustellen.

Tipps für die Nutzung in Unternehmen

Damit die Sicherheit auf Zeilenebene im ganzen Unternehmen gut funktioniert, braucht man eine gute Planung, eine skalierbare Architektur und eine ordentliche Verwaltung. In diesem Abschnitt werden bewährte Vorgehensweisen für verschiedene Aspekte der RLS-Implementierung beschrieben.

1. Datenmodellierung

Ein gut durchdachtes Datenmodell hilft dabei, RLS-Konfigurationen effizient und einfach zu verwalten.

Empfehlungen:

• Verwende ein Sternschema mit klaren Beziehungen zwischen Fakten- und Dimensionstabellen.
• Vermeide unnötige bidirektionale Beziehungen, die zu Unklarheiten beim Filtern führen könnten.

2. Rollenverwaltung

Die zentrale und einheitliche Verwaltung von RLS-Rollen hilft, Fehler zu vermeiden und die Zusammenarbeit zu verbessern.

Empfehlungen:

• Erstellen Sie ein Dokument zur Rollendefinition, um die RLS-Logik und DAX-Ausdrücke im Lernpfad zu verfolgen.
• Benutz beschreibende Rollennamen (z. B. „Region_Ost_Vertrieb“), um Verwirrung zu vermeiden.

3. Leistung auf Vordermann gebracht

RLS kann die Leistung von Berichten beeinträchtigen, vor allem wenn es um komplexe Filter oder große Datensätze geht.

Empfehlungen:

• Wenn möglich, solltest du Daten in zusammenfassenden Tabellen vorab aggregieren.
• Verwendest du berechnete Spalten in der RLS-Logik so wenig wie möglich.
• Nutze Indizierung und optimierte Abfragen in Quellsystemen, um DirectQuery-Szenarien zu unterstützen.

RLS im Vergleich zu alternativen Sicherheitsmodellen

Schauen wir uns jetzt mal die Unterschiede zwischen der Zeilenebene-Sicherheit (RLS) und anderen Sicherheitsfunktionen an, vor allem die Objektebene-Sicherheit (OLS).

1. Granularität und Anwendungsfall

RLS ermöglicht die Zugriffskontrolle auf einzelne Datenzeilen, was super ist, um Daten nach Benutzeridentität, Standort, Abteilung oder Geschäftsbereich zu filtern. OLS hingegen kontrolliert den Zugriff auf ganze Tabellen oder Spalten, was nützlich ist, um sensible Finanz- oder Personalinformationen (z. B. Gehaltsspalte) zu verbergen. 

2. Umsetzung und dynamische Anpassung

RLS lässt sich ganz einfach über DAX-Filter für Rollen in Power BI Desktop einrichten. Diese Regeln können entweder statisch (fest programmierte Filter) oder dynamisch (benutzergesteuerte Logik) sein. OLS wird über den Tabellarischen Editor oder den XMLA-Endpunkt eingerichtet. Außerdem brauchst du einen Premium-Arbeitsbereich oder einen Power BI-Datensatz, der in Analysis Services gehostet wird.

Ich habe eine Vergleichsübersicht in der folgenden Tabelle zusammengestellt:

Fazit

Zusammenfassend lässt sich sagen, dass die Sicherheit auf Zeilenebene (RLS) in Power BI eine wichtige Methode ist, um die Datenverwaltung innerhalb der Plattform sicherzustellen. Damit können Unternehmen personalisierte, sichere Analysen in einem einzigen Bericht oder Dashboard liefern, ohne die Vertraulichkeit oder Integrität der zugrunde liegenden Daten zu gefährden.

Sicherheit wird immer wichtiger beim Datenmanagement und bei der Governance, was ein wichtiger Aspekt bei der Arbeit mit Power BI ist. Weitere Infos zu Power BI findest du in unserem Bereitstellen und Verwalten von Assets in Power BI oder unseren Kurs „ Kurs „Berichte in Power BI. Weitere Infos findest du in unseren Anleitungen zu Power BI-Hierarchien und Power BI-Dashboards könnten hilfreich sein.