Analyze in Excel w Power BI: jak ukryć wrażliwe miary i pola przed podglądem

Jak zabezpieczyć Analyze in Excel w Power BI przed ujawnieniem wrażliwych pól i miar? Sprawdź rolę Build, OLS i RLS, ograniczenia eksportu danych oraz sposoby testowania widoku użytkownika w Excelu.
27 lipca 2026
blog

Dlaczego Analyze in Excel potrafi ujawnić więcej niż sam raport Power BI?

Bo raport Power BI pokazuje tylko to, co autor umieścił na stronach raportu i w warstwie wizualnej, natomiast Analyze in Excel łączy się bezpośrednio z modelem danych stojącym za raportem. Użytkownik nie pracuje wtedy na gotowym układzie wizualizacji, lecz na całej semantycznej strukturze datasetu, czyli na tabelach, kolumnach, hierarchiach i miarach udostępnionych w modelu.

W praktyce oznacza to, że raport może celowo nie prezentować części logiki biznesowej, pól technicznych albo miar pomocniczych, ale jeśli te elementy nadal istnieją w modelu i są widoczne dla klienta narzędziowego, Excel może je wyświetlić w liście pól lub pozwolić użyć ich w tabeli przestawnej. Innymi słowy, ukrycie czegoś na poziomie samego raportu nie jest równoznaczne z ukryciem tego na poziomie modelu.

To właśnie dlatego Analyze in Excel bywa postrzegane jako bardziej „odsłaniające” niż raport: omija ograniczenie do przygotowanego widoku i daje dostęp do tego, co dataset rzeczywiście udostępnia. Jeśli wrażliwa miara lub pole mają pozostać niewidoczne, muszą być odpowiednio zabezpieczone lub ukryte w modelu, a nie tylko pominięte w raporcie.

Jaką rolę gra uprawnienie Build i jak je ograniczyć bez psucia udostępniania raportu?

Uprawnienie Build w Power BI daje dostęp do modelu semantycznego w sposób wykraczający poza samo oglądanie raportu. To właśnie ono pozwala używać danych poza gotowym widokiem raportu, na przykład przez Analyze in Excel, tworzenie nowych raportów na bazie istniejącego modelu czy eksplorację pól i miar. W praktyce, jeśli użytkownik ma Build, to może zobaczyć strukturę modelu udostępnioną przez ten dataset, nawet jeśli raport sam w sobie pokazuje tylko wybrane wizualizacje.

Jeżeli celem jest ograniczenie podglądu wrażliwych miar i pól, to Build jest jednym z kluczowych uprawnień do przejrzenia. Sam dostęp do raportu nie musi oznaczać dostępu do modelu. Użytkownik może mieć możliwość otwarcia i używania raportu, ale bez Build nie powinien móc podłączyć się do datasetu z Excela ani tworzyć własnych analiz opartych o ten model.

Aby ograniczyć Build bez psucia zwykłego udostępniania raportu, trzeba rozdzielić dwie rzeczy: prawo do oglądania raportu oraz prawo do budowania na danych. Najbezpieczniejsze podejście polega na tym, by użytkownikom końcowym nadawać dostęp tylko do raportu lub aplikacji, ale nie przyznawać Build do modelu semantycznego, chyba że jest to rzeczywiście potrzebne. Wtedy raport nadal działa, bo odbiorca konsumuje przygotowane wizualizacje, ale nie dostaje możliwości wejścia w warstwę danych.

W praktyce oznacza to, że trzeba sprawdzić, w jaki sposób dostęp został nadany. Build może wynikać nie tylko z bezpośredniego uprawnienia do datasetu, ale też z członkostwa w obszarze roboczym albo z szerszego sposobu udostępnienia zawartości. Jeżeli użytkownik ma rolę edycyjną w workspace, to samo odebranie Build na poziomie pojedynczego elementu zwykle nie rozwiąże problemu, bo jego uprawnienia i tak pozostają zbyt szerokie. Jeśli raport ma być tylko oglądany, odbiorca powinien być konsumentem, a nie współtwórcą zawartości.

Krótko mówiąc: Build należy ograniczać na poziomie modelu semantycznego, a nie przez blokowanie samego raportu. Dzięki temu raport pozostaje dostępny do przeglądania, natomiast Analyze in Excel i podobne scenariusze wymagające dostępu do modelu przestają być możliwe dla osób, które nie powinny widzieć pełnej listy pól, tabel i miar.

Czym różni się Object-Level Security od Row-Level Security i kiedy potrzebuję obu?

Row-Level Security (RLS) ogranicza które wiersze danych użytkownik może zobaczyć. Ten sam model, te same tabele i te same miary pozostają dostępne, ale wyniki są filtrowane do dozwolonego zakresu, na przykład tylko do konkretnego regionu, działu albo klienta. Użytkownik nadal widzi, że dana tabela, kolumna czy miara istnieje — po prostu otrzymuje dane zawężone przez reguły bezpieczeństwa.

Object-Level Security (OLS) działa inaczej: ogranicza czy w ogóle można zobaczyć lub odpytać konkretny obiekt modelu, taki jak tabela albo kolumna. To istotne zwłaszcza w kontekście Analyze in Excel, gdzie sam fakt, że pole lub miara jest widoczna na liście pól, może ujawniać wrażliwą logikę modelu albo dane, do których użytkownik nie powinien mieć nawet pośredniego dostępu. OLS nie filtruje rekordów — ono ukrywa lub blokuje dostęp do elementów modelu.

Najprościej: RLS odpowiada na pytanie jakie dane z tego obiektu wolno zobaczyć, a OLS na pytanie czy ten obiekt ma być w ogóle dostępny. Jeśli chcesz, aby użytkownik widział tylko swoje dane, wystarczy RLS. Jeśli chcesz dodatkowo ukryć wybrane kolumny, tabele albo pola techniczne i wrażliwe przed podglądem oraz zapytaniami, potrzebujesz OLS.

Obu mechanizmów potrzebujesz wtedy, gdy samo filtrowanie wierszy nie rozwiązuje problemu bezpieczeństwa. Typowy przypadek to model, w którym użytkownik ma widzieć tylko własny zakres danych, ale jednocześnie nie może mieć dostępu do niektórych pól, na przykład kolumn zawierających dane poufne, klucze techniczne albo elementy służące do obliczeń. W takiej sytuacji RLS chroni zakres danych, a OLS chroni strukturę modelu i konkretne obiekty przed ujawnieniem.

W praktyce te zabezpieczenia nie zastępują się wzajemnie, tylko rozwiązują dwa różne problemy. Jeśli zależy Ci na tym, by użytkownik nie tylko widział mniej rekordów, ale też nie mógł przeglądać wybranych miar i pól w Analyze in Excel, samo RLS nie wystarczy — potrzebne jest również OLS.

💡 Protip: Traktuj RLS i OLS jako dwa niezależne zamki — RLS ogranicza zakres danych, a OLS ukrywa same elementy modelu. Jeśli użytkownik nie powinien nawet widzieć nazw kolumn, miar lub tabel w Analyze in Excel, samo RLS nie wystarczy.

Jak ukryć wrażliwe kolumny i tabele, ale zostawić działające miary biznesowe?

Najbezpieczniejsze podejście polega na tym, aby ukryć kolumny i tabele w modelu semantycznym, a logikę biznesową udostępniać użytkownikom wyłącznie przez miary. W Power BI ukrycie pola sprawia, że nie jest ono widoczne na liście pól w Analyze in Excel, ale nadal może być używane wewnątrz definicji miary. Dzięki temu użytkownik widzi wynik obliczenia, lecz nie ma dostępu do surowych elementów, z których ta miara korzysta.

W praktyce działa to tak: jeśli miara odwołuje się do kolumn takich jak cena zakupu, marża techniczna czy flagi pomocnicze, te kolumny mogą pozostać w modelu, ale jako Hidden. Analogicznie można ukryć całe tabele pomocnicze, kalkulacyjne lub techniczne, o ile nie muszą być bezpośrednio używane przez odbiorcę raportu. Miary zapisane w widocznej tabeli nadal będą się liczyć poprawnie, ponieważ silnik modelu nadal ma dostęp do ukrytych obiektów.

Trzeba jednak rozumieć ograniczenie: ukrycie nie jest mechanizmem bezpieczeństwa danych, tylko mechanizmem ograniczenia widoczności w interfejsie. To znaczy, że ukryte kolumny i tabele nie pojawiają się użytkownikowi do przeciągania w Excelu, ale nadal istnieją w modelu. Jeśli celem jest rzeczywiste odcięcie dostępu do danych wrażliwych, samo ukrycie nie wystarcza.

  • Ukrywaj kolumny techniczne, klucze, pola pośrednie i wartości wykorzystywane tylko do obliczeń.
  • Zostaw widoczne gotowe miary biznesowe, które zwracają wynik potrzebny użytkownikowi.
  • Ukrywaj całe tabele, jeśli pełnią wyłącznie funkcję pomocniczą i nie powinny być eksplorowane ręcznie.
  • Nie traktuj ukrycia jako zabezpieczenia — to porządkowanie modelu i ograniczenie podglądu, nie pełna ochrona danych.

Jeżeli chcesz, aby miary działały po ukryciu źródeł, zadbaj o to, by użytkownik miał dostęp do wszystkich wymaganych filtrów i wymiarów, które mają pozostać częścią analizy. Innymi słowy: możesz ukryć dane wejściowe miary, ale nie możesz ukryć wszystkiego, co jest potrzebne do sensownego filtrowania jej wyniku.

Jak ograniczyć eksport i kopiowanie danych, jeśli użytkownicy mają dostęp do raportu?

Nie da się tego sprowadzić do jednego przełącznika. Jeśli użytkownik ma dostęp do raportu, to co najmniej część danych jest już dla niego dostępna do odczytu, więc celem nie jest „całkowite zablokowanie”, tylko ograniczenie zakresu i sposobów wynoszenia danych. W praktyce trzeba połączyć ustawienia eksportu, uprawnienia do zestawu danych oraz projekt samego modelu.

Najważniejsze jest wyłączenie lub ograniczenie funkcji eksportu danych w ustawieniach raportu i wizualizacji, tak aby użytkownik nie mógł pobrać danych bazowych ani zagregowanych bez potrzeby biznesowej. Równolegle warto ograniczyć uprawnienia typu Build do zestawu danych, ponieważ to właśnie one umożliwiają scenariusze takie jak Analyze in Excel i inne formy samodzielnego odpytywania modelu poza raportem. Jeżeli użytkownik ma tylko oglądać raport, nie powinien mieć szerszych praw do modelu niż to konieczne.

Trzeba też pamiętać, że nawet przy zablokowanym eksporcie użytkownik nadal może przepisać wartości widoczne na ekranie albo wykonać zrzut ekranu. Dlatego danych naprawdę wrażliwych nie należy udostępniać wyłącznie „na zaufanie”, tylko ograniczać ich widoczność już w modelu i w warstwie uprawnień. W praktyce oznacza to usunięcie zbędnych kolumn i miar z widoku użytkownika, stosowanie zabezpieczeń na poziomie danych oraz niepokazywanie szczegółowości, która nie jest potrzebna do pracy z raportem.

Jeśli celem jest ograniczenie kopiowania, skuteczne podejście polega na tym, by użytkownik widział tylko wynik biznesowy potrzebny do interpretacji, a nie pełny zestaw pól, z których ten wynik powstaje. Innymi słowy: najlepszą ochroną nie jest samo wyłączenie eksportu, lecz takie zaprojektowanie raportu i modelu, aby użytkownik nie miał dostępu do danych, których nie powinien móc wynieść.

Jak przetestować, co dokładnie zobaczy użytkownik w Excelu po podłączeniu do datasetu?

Najpewniejsza metoda to wykonać test w dokładnie takim samym scenariuszu, w jakim będzie pracował użytkownik: na jego uprawnieniach i przez połączenie Analyze in Excel do konkretnego datasetu. Sam podgląd modelu w Power BI Desktop albo widok pól w usłudze Power BI nie wystarcza, bo ostatecznie liczy się to, co Excel pobierze z modelu przez połączenie live.

W praktyce należy zalogować się jako użytkownik testowy albo użyć funkcji odtworzenia jego uprawnień, jeśli jest dostępna w danym procesie administracyjnym, następnie otworzyć plik Excel podłączony do datasetu i sprawdzić panel pól tabeli przestawnej. To właśnie tam widać, które tabele, kolumny i miary są faktycznie dostępne do użycia. Jeżeli dane pole nie pojawia się w liście pól, użytkownik nie zobaczy go również podczas budowy tabeli przestawnej.

Test powinien obejmować nie tylko samą widoczność nazw, ale też próbę użycia modelu w praktyce. Warto dodać pola do wierszy, kolumn i wartości oraz sprawdzić, czy Excel pozwala je wykorzystać bez błędów. Dzięki temu można odróżnić pole całkowicie ukryte od pola widocznego, ale ograniczonego przez uprawnienia do danych. To istotne, bo użytkownik może nie widzieć części rekordów, a jednocześnie nadal widzieć samą nazwę miary lub kolumny.

Jeśli chcesz zweryfikować efekt po zmianach w modelu, test wykonuj po opublikowaniu datasetu i po odświeżeniu połączenia w Excelu. Excel może przez chwilę pokazywać wcześniej zaczytaną strukturę metadanych, więc bez odświeżenia łatwo wyciągnąć błędny wniosek. Dopiero aktualny podgląd listy pól w Excelu daje wiarygodną odpowiedź na pytanie, co użytkownik rzeczywiście zobaczy po podłączeniu do datasetu.

💡 Protip: Testuj zawsze w Excelu, na opublikowanym datasecie i na realnych uprawnieniach użytkownika — tylko wtedy zobaczysz faktyczny efekt RLS i OLS. Po każdej zmianie odśwież połączenie, bo Excel może chwilowo pokazywać nieaktualną listę pól.

Jakie kompromisy bezpieczeństwo vs użyteczność pojawiają się najczęściej i jak je rozwiązać?

W kontekście Analyze in Excel najczęstszy kompromis polega na tym, że im bardziej ogranicza się widoczność pól, miar i metadanych modelu, tym mniej wygodna staje się praca analityka w Excelu. Użytkownicy oczekują szerokiego dostępu do tabel, relacji i gotowych miar, bo to przyspiesza budowę tabel przestawnych i własnych analiz. Z perspektywy bezpieczeństwa taki model jest ryzykowny, ponieważ nawet bez dostępu do surowych danych można ujawnić logikę biznesową, wskaźniki wrażliwe albo pola pomocnicze, które nie powinny być eksplorowane.

Najczęściej problem dotyczy wyboru między „pełnym modelem do samodzielnej analizy” a „modelem kontrolowanym, ale mniej elastycznym”. Rozwiązaniem nie jest zwykle całkowite blokowanie Analyze in Excel, lecz ograniczenie ekspozycji modelu do minimum potrzebnego biznesowo. W praktyce oznacza to ukrywanie technicznych kolumn, niewystawianie miar poufnych, nadawanie jednoznacznych nazw tylko tym elementom, które mają być używane, oraz projektowanie modelu tak, aby użytkownik pracował na bezpiecznej warstwie semantycznej, a nie na całym zapleczu danych.

Drugi częsty kompromis to relacja między bezpieczeństwem a możliwością samodzielnego tworzenia nowych obliczeń w Excelu. Jeśli użytkownik widzi zbyt wiele pól szczegółowych, może odtworzyć informacje, które miały pozostać ukryte lub wywnioskować wartości pośrednie. Jeśli widzi za mało, traci zdolność do sensownej analizy. Najrozsądniejsze podejście polega na udostępnianiu tylko tych wymiarów i miar, które są potrzebne do konkretnych scenariuszy raportowych, a potrzeby bardziej zaawansowane obsługiwać przez osobne, kontrolowane modele lub dedykowane zestawy danych dla uprawnionych grup.

Kolejny kompromis dotyczy poziomu szczegółowości. Dane zagregowane są bezpieczniejsze, ale mniej użyteczne operacyjnie; dane szczegółowe zwiększają wartość analizy, ale też ryzyko ujawnienia informacji wrażliwych przez filtrowanie, drążenie lub łączenie pól. Rozwiązaniem jest takie modelowanie, aby użytkownik otrzymywał agregaty lub bezpieczne wymiary tam, gdzie szczegół nie jest konieczny, a dostęp do bardziej granularnych danych był ograniczony rolami i uzasadniony funkcją biznesową.

W praktyce dobrą zasadą jest traktowanie użyteczności jako wymagania projektowego, a nie argumentu przeciw bezpieczeństwu. Jeśli ograniczenia utrudniają pracę, zwykle oznacza to, że model został zaprojektowany zbyt ogólnie albo bez wyraźnego podziału na warstwę publiczną i wrażliwą. Najskuteczniejsze rozwiązanie to przygotowanie modelu specjalnie pod Analyze in Excel: zredukowanego, czytelnego, z kontrolowaną listą pól i miar, zamiast udostępniania pełnego modelu źródłowego.

Majczęściej zadawane pytania i odpowiedzi odnośnie Analyze in Excel w Power BI: jak ukryć wrażliwe miary i pola przed podglądem

Czy ukrycie pola w raporcie Power BI wystarczy, żeby nie było widoczne w Analyze in Excel?

Nie, samo ukrycie pola w raporcie Power BI nie wystarczy. Analyze in Excel łączy się z modelem semantycznym, a nie tylko z widokiem raportu, więc użytkownik może zobaczyć elementy pominięte na stronie raportu. Jeśli pole ma być niewidoczne również w Excelu, trzeba zarządzić jego widocznością albo dostępem na poziomie modelu.

Kiedy najlepiej odebrać użytkownikowi uprawnienie Build w Power BI?

Uprawnienie Build warto odebrać wtedy, gdy użytkownik ma tylko oglądać raport, a nie analizować model danych poza raportem. Dzięki temu raport nadal pozostaje dostępny do przeglądania, ale Analyze in Excel i podobne scenariusze przestają działać. To dobre rozwiązanie, gdy chcesz rozdzielić konsumpcję raportu od dostępu do pełnej struktury datasetu.

Czy RLS ukryje nazwy miar, kolumn i tabel w Excelu?

Nie, RLS nie ukrywa nazw miar, kolumn ani tabel. Row-Level Security ogranicza tylko zakres rekordów, które użytkownik może zobaczyć. Jeśli problemem jest sama widoczność obiektów modelu w Analyze in Excel, potrzebne są inne mechanizmy. W praktyce rozdział wygląda tak:

  • RLS filtruje dane w wierszach.
  • OLS ogranicza dostęp do obiektów modelu.
  • Ukrycie porządkuje widok pól, ale nie jest pełnym zabezpieczeniem.
Czy mogę ukryć kolumny źródłowe, a zostawić użytkownikowi gotowe miary biznesowe?

Tak, możesz ukryć kolumny źródłowe i nadal udostępniać działające miary biznesowe. Miary mogą korzystać z ukrytych kolumn i tabel, o ile nadal istnieją one w modelu. Dzięki temu użytkownik widzi wynik obliczenia, ale nie dostaje surowych pól do ręcznej eksploracji. To wygodny sposób na ograniczenie podglądu logiki pomocniczej i technicznej.

Jakie elementy modelu najczęściej warto ukryć przed Analyze in Excel?

Najczęściej warto ukryć elementy techniczne, pomocnicze i pośrednie, które nie są potrzebne odbiorcy końcowemu. Chodzi o ograniczenie listy pól do tego, co realnie służy analizie biznesowej. Zwykle dotyczy to takich obiektów jak:

  • klucze techniczne i identyfikatory,
  • kolumny używane tylko do obliczeń,
  • tabele pomocnicze i kalkulacyjne,
  • miary robocze, które nie powinny być używane bezpośrednio.
Jak sprawdzić, czy użytkownik naprawdę nie zobaczy wrażliwych pól w Excelu?

Najlepiej sprawdzić to bezpośrednio w Excelu, na opublikowanym datasecie i na realnych uprawnieniach użytkownika. Sam widok modelu w Power BI nie daje pewności, co pokaże połączenie Analyze in Excel. Trzeba otworzyć połączenie live, odświeżyć metadane i przejrzeć listę pól w tabeli przestawnej, a potem spróbować użyć dostępnych obiektów w praktyce.

Czy wyłączenie eksportu danych rozwiązuje problem wynoszenia informacji z raportu?

Nie, wyłączenie eksportu danych tylko częściowo ogranicza wynoszenie informacji z raportu. Użytkownik nadal może zobaczyć dane na ekranie, przepisać je lub zrobić zrzut. Dlatego ochrona nie powinna opierać się wyłącznie na ustawieniach eksportu. Skuteczniejsze jest połączenie ograniczenia Build, kontroli modelu i nieudostępniania pól, których użytkownik nie potrzebuje.

Czy warto przygotować osobny model semantyczny specjalnie pod Analyze in Excel?

Tak, osobny model pod Analyze in Excel często jest najlepszym sposobem na pogodzenie bezpieczeństwa z użytecznością. Taki model może zawierać tylko potrzebne wymiary i gotowe miary biznesowe, bez technicznego zaplecza pełnego datasetu. Dzięki temu użytkownik dostaje wygodną listę pól do pracy w Excelu, a ryzyko ujawnienia logiki, danych pomocniczych i wrażliwych obiektów wyraźnie maleje.

Kurs Microsoft Power BI Pro - analiza biznesowa, wizualizacja i modelowanie danych, tworzenie efektywnych dashboardów
ogólny
cena
od 2800 zł + VAT dla szkoleń otwartych
szkolenia zamknietę
Zapytaj o cenę dla szkoleń zamkniętych
Kurs Microsoft Power BI Pro - analiza biznesowa...
Kurs Power BI – poziom średniozaawansowany
średnio zaawansowany
cena
od 1980 zł + VAT dla szkoleń otwartych
szkolenia zamknietę
Zapytaj o cenę dla szkoleń zamkniętych
Kurs Power BI – poziom średniozaawansowany...
Kurs Compliance i bezpieczeństwo danych w organizacji
ogólny
cena
od 3895 zł + VAT dla szkoleń otwartych
szkolenia zamknietę
Zapytaj o cenę dla szkoleń zamkniętych
Kurs Compliance i bezpieczeństwo danych w organizacji...
icon

Formularz kontaktowyContact form

Imię *Name
NazwiskoSurname
Adres e-mail *E-mail address
Telefon *Phone number
UwagiComments