Risico in nieuwe Explore-functionaliteit in Power BI Service
Eind november 2023 introduceerde Microsoft de Explore-optie in de Power BI Service. Met deze optie kunnen gebruikers eenvoudig eigen overzichten ontwikkelen op bestaande semantische modellen zonder dat ze hiervoor Power BI Desktop nodig hebben of een compleet dashboard hoeven te ontwerpen. Deze functionaliteit richt zich puur op de ontwikkelen van die één visualisatie.
Door de tijd heen zijn er verschillende manieren toegevoegd om deze optie te kunnen benaderen, bijvoorbeeld via het semantisch model, vanuit een visualisatie of vanuit een werkruimte:
Met het openen van de Explore-functionaliteit via één van deze routes krijgt de gebruiker de mogelijkheid om zelf zaken toe te voegen aan een bestaande visualisatie of de visualisatie volledig zelf op te bouwen:
Sinds kort is het hierin ook mogelijk om Visual Calculations aan te maken en bewerken om de gebruiker nog meer flexibiliteit te geven:
Alles bij elkaar is dit hele mooie functionaliteit voor de eindgebruiker, maar door een wijziging in de rechten eind juni zit hier ook een groot risico aan. Voorheen moest een gebruiker minimaal Build-rechten hebben op een semantisch model om zelf aan de slag te kunnen gaan met het Semantisch model in bijvoorbeeld Excel of Power BI Desktop.
Met de laatste wijziging kan iedereen aan de slag met de Explore-functie, ook wanneer je alleen view-/lees-rechten hebt!
Gevolg van deze wijziging is dat het gehele semantische model te benaderen is voor een gebruiker met minimale rechten. Dit betekent dat alle kolommen te raadplegen zijn, ook wanneer je dacht dat dit geen probleem zou vormen op het moment dat je gevoelige kolommen niet zou opnemen in een visualisatie. Hoewel RLS en OLS nog steeds van toepassing is, zijn trucjes als het verbergen van kolommen hier ook gewoon zichtbaar:
Aan deze wijzigingen zitten diverse risico’s:
- Gevoelige kolommen zijn op te vragen
- Gevoelige measures die voorheen geaggregeerd werden getoond zijn op een lager niveau inzichtelijk te maken
- Trucs waarin RLS of OLS is toegepast via een measure werken niet langer meer
- Onervaren/ongetrainde gebruikers kunnen zelf aan de slag gaan en daarmee onjuiste conclusies trekken over uitkomsten
Ondanks dat Microsoft deze functionaliteit standaard heeft ingeschakeld is het mogelijk om dit in één keer ongedaan te maken. In de tenant-instellingen van de Power BI Service is een optie te vinden om de Explore-functionaliteit niet beschikbaar te stellen voor gebruikers met lees-/view-rechten. Ons advies is om deze instellingen zo snel mogelijk uit te schakelen om potentiële beveiligingsrisico’s in te dammen:
Hulp nodig bij deze en andere beveiligings-instellingen in Power BI? Neem contact met ons op!
De volledige blog van Microsoft lees je hier.
