大多数Power BI安全讨论停留在报表层面。谁能打开?在哪个工作区?哪个RLS角色生效?用户能否导出数据?这些问题依然重要,但已经不够了。

Microsoft Fabric预览的Outbound Access Protection(出站访问保护)之所以关键,在于它把语义模型当作数据流动边界的一部分,而非单纯的报表构件。这个思维转变是对的。

打开网易新闻 查看精彩图片

语义模型的能力远比报表复杂:它能连接多个数据源,支持Import和DirectQuery,能合并表,能把筛选上下文传入源查询,还能跨工作区和外部端点访问。治理问题的核心因此变成——这个模型被允许连接到哪里?

风险并非理论假设。复合模型可能让Source A的数据通过视觉对象或关系推入Source B的查询。结果未必有用,但敏感值可能出现在错误位置:发往另一端点的查询里,或预期边界之外的日志中。很多BI团队没有显式建模这种风险。他们关注报表权限、数据可见性、网关配置,却忽略了工作区本身的出站流动。

Outbound Access Protection是工作区级控制。启用后,出站公网访问默认阻断,仅允许显式授权的目的地。对语义模型而言,关键在执行位置:据Microsoft公告,执行发生在模型的绑定数据连接上。这意味着Power Query转换、M表达式、模型参数无法绕过策略——连接本身在数据移动前就被评估。这比指望每个模型作者手动做对要可靠得多。

审查流程也随之改变。过去的工作区审查问:发布了哪些报表?谁有构建权限?用哪个网关?哪些语义模型已认证?现在还要问:允许哪些出站目的地?谁批准的每项例外?模型真的需要那个端点吗?目的地在预期数据边界内还是外?新增数据源时会发生什么?这才是更扎实的对话。