Existe uma maneira simples de adicionar um usuário somente leitura?

Alguém poderia oferecer a maneira mais simples - a maneira que altera menos o banco de dados - para adicionar um login que tenha acesso somente leitura?

create login pbi_reader with password = '<your strong password>'
create user pbi_reader for login pbi_reader 

--some combination of:
grant select to pbi_reader  --grant select on whole database
grant select on schema::dbo to pbi_reader  --grant select on one schema
grant select on dbo.some_table to pbi_reader  --grant select on one table database
deny select on dbo.user_membership to pbi_reader --override the grant with a deny for one table

Você precisa diferenciar entre um usuário e um login. O login é usado para fazer login na sua instância. Este login então precisa de um usuário em cada banco de dados que este login deseja acessar.

Então você simplesmente torna esse usuário um membro da função db_datareader no banco de dados.

O usuário convidado não é o que você está procurando. Se você habilitar o convidado ( GRANT CONNECT TO guest), todos os logons poderão acessar o banco de dados com quaisquer permissões que você atribuir ao usuário convidado. O usuário convidado não tem nenhum privilégio por padrão, é para você atribuir. Mas, novamente, o usuário convidado não é o que você está procurando.

Se você tiver exceções, você pode DENY SELECT ON tablename TO usernamepara essas exceções de tabela. DENY tem precedência sobre GRANT.

Existem alguns aspectos e exceções ao acima, mas não quero confundir as águas e cavar explicações que não são relevantes para o caso em questão, daí minhas pequenas generalizações e simplificações acima.