DataVision Logo
Power BI ausprobieren

Wer darf was? Rollen & Berechtigungen in Power BI einfach erklärt

  • Datenmodell, Veröffentlichen und Teilen
  • Datenmodell, Veröffentlichen und Teilen
Wer darf was? Ein Blick auf Power BI Rollen und Berechtigungen

Inhalt

In der datengetriebenen Welt von heute ist es wichtiger denn je, den Überblick über Datenzugriffe zu behalten. Viele, die neu mit Power BI arbeiten, kennen vor allem die Visualisierungen, Dashboards und Berichte – aber kaum jemand weiss, wie mächtig das Thema Rollen und Berechtigungen in Power BI ist.

Dabei ist genau dieses Feature einer der grössten Vorteile von Power BI: Es ermöglicht Unternehmen, Daten sicher, kontrolliert und dennoch flexibel bereitzustellen.

Dieser Beitrag führt Sie Schritt für Schritt und mit einfachen Beispielen durch die wichtigsten Begriffe und zeigt, wie Power BI sicherstellt, dass jede Person genau das sieht – und tun darf –, was sie soll.

Bevor wir starten: Was sind eigentlich ein Arbeitsbereich, ein Semantikmodell und ein Bericht?

Damit die drei Ebenen der Rollen und Berechtigungen logisch verständlich sind, lohnt es sich, die wichtigsten Power BI Bausteine zu verstehen:

Arbeitsbereich (engl. Workspace)

Ein Workspace ist ein digitaler „Projektordner“ in Power BI. Dort werden alle Inhalte gespeichert, die zu einem Reporting-Thema gehören – also Berichte, Dashboards, Datensätze, Semantikmodelle und weitere Elemente.

Ein Workspace definiert damit den übergeordneten Rahmen, wer grundsätzlich mit welchen Inhalten arbeiten darf.

Semantikmodell (früher: Dataset)

Ein Semantikmodell ist das Herzstück eines Power BI Berichts. Es enthält:

  • die Daten (z. B. Verkaufszahlen, Mitarbeitendenlisten, Finanzdaten)
  • die Beziehungen zwischen Tabellen
  • Berechnungen (DAX-Measures)
  • Logik wie RLS‑Filter (mehr dazu unten)

Kurz gesagt: Das Semantikmodell ist die Datenbasis für die Berichte und Dashboards. Dabei können mehrere Berichte auf demselben Modell aufbauen.

Bericht (engl. Report)

Ein Bericht ist das visuelle Frontend für die AnwenderInnen. Er besteht aus Seiten mit Diagrammen, Tabellen, Karten und Filterelementen. Ein Bericht zeigt die Daten interpretierbar, interaktiv und visuell an – basierend auf dem zugrunde liegenden Semantikmodell.

Die drei Ebenen der Rollen & Berechtigungen in Power BI

Bevor wir ins Detail gehen, lohnt sich ein Blick auf die Struktur:

  1. Arbeitsbereichsrollen – Wer darf generell im Arbeitsbereich was tun?
  2. Berechtigungen auf Inhalte – Was darf jemand mit einem Bericht oder Semantikmodell machen?
  3. Row-Level Security (RLS) – Wer darf welche Datenzeilen sehen?

Diese drei Ebenen greifen ineinander – und genau das macht Power BI so flexibel und sicher.

Arbeitsbereichsrollen – die Grundlage von „Wer darf was?“

Jeder Bericht liegt in einem Arbeitsbereich (Workspace). Und jeder Workspace hat Rollen. Sie bestimmen, was eine Person grundsätzlich tun darf.

Administrator (engl. Admin)

  • Verwalten und Löschen des gesamten Arbeitsbereichs
  • Benutzer dem Arbeitsbereich hinzufügen oder entfernen
  • Inhalte veröffentlichen, löschen und aktualisieren
  • Vollzugriff auf alles, inkl. Berechtigungen

Wann einsetzen: Für IT, Power-User oder Verantwortliche.

Mitglied (engl. Member)

  • Dürfen fast alles, was Admins auch dürfen
  • Können Berichte bearbeiten, Daten aktualisieren, Inhalte veröffentlichen
  • Können teilweise auch Berechtigungen anpassen, jedoch mit Einschränkungen gegenüber der Administrator-Rolle
  • Aktualisierungen anstossen

Wann einsetzen: Für fachliche Schlüsselpersonen, die Inhalte im Arbeitsbereich verwalten müssen.

Mitwirkende (engl. Contributor)

  • Dürfen Berichte erstellen und bearbeiten
  • Können keine Benutzerverwaltung durchführen
  • Aktualisierungen anstossen

Wann einsetzen: Für AnalystInnen und EntwicklerInnen, welche zum Teil auch selbst einfachere Berichte erstellen oder bearbeiten müssen.

Anzeige (engl. Viewer)

  • Dürfen Berichte konsumieren
  • Können filtern, klicken und analysieren
  • Können Daten exportieren (z.B. in Excel)
  • Können nichts anpassen oder herunterladen

Wann einsetzen: Berichtskonsumenten aller Art.

Best Practice:
Vergeben Sie Rollen nach dem Need‑to‑Know‑Prinzip: So wenig wie möglich, so viel wie nötig.
Rechte können jederzeit erhöht werden – aber negative Folgen aus unerwünschten Freigaben sind schwieriger rückgängig zu machen.

DataVision Rollen Power BI Roles

Berechtigungen auf Inhalte – was jemand mit einem Bericht oder Modell tun darf

Zusätzlich zur Workspace-Rolle gibt es spezifische Berechtigungen auf Berichte oder Semantikmodelle. Das ermöglicht eine feine Kontrolle über die Nutzung einzelner Inhalte. Berechtigungen werden standardmässig nach der Rolle im Arbeitsbereich vererbt und können dann fein gesteuert werden.

Lesen (engl. Read)

  • Bericht ansehen und nutzen
  • Kein Herunterladen des Power BI Modells oder der Berichte sowie Bearbeitung dessen

Erstellen (engl. Build)

  • Datensatz in Excel (Analyze in Excel) oder neuen Berichten weiterverwenden
  • Ideal für Self‑Service‑BI

 Schreiben (engl. Write)

  • Berichte bearbeiten
  • Modelle anpassen

Erneut freigeben (engl. Reshare)

  • Andere Benutzer einladen oder weiterteilen
  • Vorsicht: Mit Reshare kann ein Bericht ungewollt sehr weit verbreitet werden.

Row‑Level Security (RLS) – unterschiedliche Daten für unterschiedliche Personen

Jetzt kommt der Teil, der Power BI besonders stark macht: RLS sorgt dafür, dass verschiedene Benutzerinnen unterschiedliche Daten sehen – bei demselben Bericht. Wichtig: Die RLS kann jedoch nur bei Personen mit der Arbeitsbereichrolle Anzeige (engl. Viewer) angewendet werden, sie hat keinen Effekt auf höhere Rollen.

Beispiele

  • Alle Regionalleiter sehen denselben Vertriebsbericht – aber der Regionenleiter fürs Tessin sieht nur die Region Tessin, die Regionenleiterin für die Romandie nur die Region Romandie.
  • Jede Teamleiterin sieht nur ihre eigenen Mitarbeitenden.
  • Ein Projektleiter sieht nur seine Projekte.

Alle nutzen denselben Bericht – doch jede Person sieht nur die für sie relevanten Regionen.

Wie funktioniert RLS?

  1. Im Power BI Desktop definieren Sie eine Rolle (z. B. „Deutschschweiz“).
  2. Sie legen einen Filter fest, z. B.: Region = «Deutschschweiz». Tipp: Im Filter können auch DAX-Funktionen verwendet werden. Hierfür empfehlen wir die Funktion USERPRINCIPALNAME(), welche mittels E-Mailadresse die Person identifiziert.
  3. Im Power BI Service weisen Sie diese Rolle den entsprechenden Personen zu.

Typischer Zusatz: Rolle «Alles»: Für Geschäftsführung, HR oder CFO lohnt sich oft eine eigene „Alles sehen“-Rolle. Dies liefert auch eine zusätzliche Sicherheitsebene.

Zusammengefasst finden sich die Rollen und Berechtigungen in der Power BI Infrastruktur wie im Bild unten wieder.

DataVision Power BI Umgebung Arbeitsbereiche Semantikmodelle Berichte
DataVision Power BI Umgebung Arbeitsbereiche Semantikmodelle Berichte

Best Practices für Ihr Berechtigungskonzept

1. Vom Groben ins Detail denken: Erst Workspace-Rolle vergeben, dann Berechtigungen, dann RLS.

2. Weniger ist mehr: Viewer genügt in vielen Fällen für den Grossteil der User.

3. RLS immer testen: Mit „Als Rolle anzeigen“ im Power BI Desktop.

4. Keine organisationseigenen Freigabelinks verwenden: Sicherer: gezielte Direktfreigaben.

5. Rollenkonzept klar dokumentieren: Hilft beim späteren Nachvollziehen und Auditieren.

Fazit: Power BI kann viel mehr als Visualisieren

Rollen und Berechtigungen gehören zu den mächtigsten Funktionen von Power BI – und sind für EinsteigerInnen oft unbekannt.
Mit den richtigen Rollen, gezielten Berechtigungen und sauberer RLS erhalten Sie:

  • Datensicherheit
  • klare Verantwortlichkeiten
  • skalierbares Reporting
  • eine professionelle Power‑BI‑Umgebung

Probieren Sie es aus. Falls Sie sich mit dem Thema gründlich auseinandersetzen möchten, empfehlen wir Ihnen diese Übersichten zu studieren:

Rollen Übersicht: 1-Rollen.pdf

Berechtigungen Übersicht: 2-Berechtigungen.pdf

Falls Sie irgendwo anstehen, helfen wir Ihnen gerne weiter.

Titelbild: Photo by Mpho Mojapelo on Unsplash

Inhalt

Übersicht Blogbeiträge