Dokument white paper o zabezpečení Power BI

Shrnutí: Power BI je nabídka online softwarové služby (SaaS nebo Software jako služba) od Microsoftu, která umožňuje snadno a rychle vytvářet samoobslužné řídicí panely, sestavy, datové sady a vizualizace. Power BI můžete připojovat k mnoha různým zdrojům dat, kombinovat data z těchto připojení, formovat je a pak vytvářet sestavy a řídicí panely, které můžete sdílet s ostatními.

Spisovatelů: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Bogdan Crivat

Technické recenzenty: Cristian Petculescu, Amir Netz, Sergei Gundorov

Platí pro: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI Mobile

Poznámka

Tento dokument white paper můžete uložit nebo vytisknout tak, že v prohlížeči vyberete Tisk a pak vyberete Uložit jako PDF.

Úvod

Power BI je nabídka online softwarové služby (SaaS – software jako služba) od Microsoftu, která umožňuje snadno a rychle vytvářet řídicí panely, sestavy, datové sady a vizualizace se samoobslužnými funkcemi business intelligence. Power BI můžete připojovat k mnoha různým zdrojům dat, kombinovat data z těchto připojení, formovat je a pak vytvářet sestavy a řídicí panely, které můžete sdílet s ostatními.

Svět se rychle mění; organizace procházejí akcelerovanou digitální transformací a vidíme obrovský nárůst práce na dálku, zvýšení poptávky zákazníků po online služby a zvýšené využití pokročilých technologií v oblasti provozu a obchodních rozhodnutí. A to vše je založené na cloudu.

Vzhledem k tomu, že přechod na cloud se změnil z složitého na záplavu a s novou, vystavenou povrchovou oblastí, která je s ní součástí, další a více společností se ptá, jak zabezpečená jsou moje data v cloudu? a Jaká kompletní ochrana je k dispozici, aby se zabránilo úniku citlivých dat? A pro platformy BI, které často zpracovávají některé z strategických informací v podniku, jsou tyto otázky velmi důležité.

Deset let staré základy modelu zabezpečení BI – zabezpečení na úrovni objektů a řádků – i když je stále důležité, jasně už nestačí k zajištění druhu zabezpečení potřebného v cloudové éře. Místo toho musí organizace hledat cloudové nativní řešení zabezpečení s více vrstvami a hloubkovým zabezpečením pro svá data business intelligence.

Power BI byl vytvořen tak, aby poskytoval kompletní a hermetickou ochranu dat v oboru. Produkt získal nejvyšší bezpečnostní klasifikace, které jsou k dispozici v odvětví, a dnes mnoho národních bezpečnostních agentur, finančních institucí a poskytovatelů zdravotní péče svěřuje jejich nejcitlivější informace.

Všechno začíná základem. Po drsné době na začátku roku 2000 společnost Microsoft provedla masivní investice do řešení ohrožení zabezpečení a v následujících desetiletích vytvořila velmi silný zásobník zabezpečení, který je tak hluboko jako jádro bios na počítači a rozšiřuje až do prostředí koncových uživatelů. Tyto hluboké investice budou pokračovat a dnes více než 3 500 inženýrů Microsoftu se zabývá sestavováním a vylepšováním zásobníku zabezpečení Microsoftu a proaktivně řeší neustále se měnící hrozby. S miliardami počítačů, bilióny přihlášení a bezpočet zettabajtů informací svěřených k ochraně Microsoftu má společnost nyní nejpokročilejší bezpečnostní zásobník v technologickém průmyslu a je široce považována za globálního vůdce v boji proti škodlivým aktérům.

Power BI vychází z tohoto velmi silného základu. Používá stejný zásobník zabezpečení, který získal právo Azure sloužit a chránit nejcitlivější data na světě, a integruje se s nejpokročilejšími nástroji pro ochranu informací a dodržování předpisů Microsoftu 365. Kromě toho zajišťuje zabezpečení prostřednictvím vícevrstvé bezpečnostních opatření, což vede k komplexní ochraně navržené tak, aby řešilo jedinečné výzvy cloudové éry.

K zajištění komplexního řešení pro ochranu citlivých prostředků potřebuje produktový tým řešit náročné problémy zákazníků na několika souběžných frontách:

• Jak řídíme, kdo se může připojit, odkud se připojuje, a jak se připojují?Jak můžeme řídit připojení?
• Jak se data ukládají?Jak se šifruje?Jaké ovládací prvky mám u svých dat?
• Návody řídit a chránit citlivá data?Návody zajistit, aby tato data nemohla uniknout mimo organizaci?
• Návody auditovat, kdo provádí jaké operace?Návody rychle reagovat, pokud je ve službě podezřelá aktivita?

Tento článek poskytuje komplexní odpověď na všechny tyto otázky. Začíná přehledem architektury služeb a vysvětluje, jak fungují hlavní toky v systému. Pak se přesune k popisu toho, jak se uživatelé ověřují v Power BI, jak se navazují datová připojení a jak Power BI ukládá a přesouvá data přes službu. Poslední část popisuje funkce zabezpečení, které vám umožňují jako správce služby chránit vaše nejcennější prostředky.

Služba Power BI se řídí podmínkami Microsoftu pro služby online a prohlášením Microsoftu o zásadách ochrany osobních údajů. Informace o umístění zpracování dat najdete v podmínkách pro zpracování dat společnosti Microsoft a v dodatku k ochraně osobních údajů. Informace o dodržování předpisů najdete v centru Microsoft Trust Center, které je hlavním zdrojem informací o Power BI. Tým Power BI se trvale snaží přinášet zákazníkům nejnovější inovace a nástroje zvyšující produktivitu. Přečtěte si další informace o dodržování předpisů v nabídkách microsoftu pro dodržování předpisů.

Služba Power BI se řídí zásadami SDL (Security Development Lifecycle), přísnými postupy zabezpečení, které podporují požadavky na zajištění zabezpečení a dodržování předpisů. SDL pomáhá vývojářům vytvářet bezpečnější software snížením počtu a závažnosti ohrožení zabezpečení softwaru a zároveň snížením nákladů na vývoj. Další informace najdete v postupech životního cyklu vývoje zabezpečení microsoftu.

Architektura Power BI

Služba Power BI je založená na platformě cloud computingu Od Microsoftu. Služba Power BI je v současnosti nasazená v mnoha datových centrech po celém světě. Existuje řada aktivních nasazení, která mají zákazníci k dispozici v oblastech, kde tato datová centra nabízejí služby, a stejný počet pasivních nasazení, která slouží jako zálohy všech aktivních nasazení.

Webový front-endový cluster (WFE)

Cluster WFE poskytuje prohlížeč uživatele s počátečním obsahem stránky HTML při načítání lokality a spravuje počáteční proces připojení a ověřování pro Power BI pomocí Azure Active Directory (Azure AD) k ověřování klientů a poskytování tokenů pro následná připojení klientů k back-endové službě Power BI.

Cluster WFE se skládá z ASP.NET webu spuštěného v prostředí Azure App Service. Když se uživatelé pokusí připojit k služba Power BI, může služba DNS klienta komunikovat s Azure Traffic Managerem a najít nejvhodnější (obvykle nejbližší) datacentrum s nasazením Power BI. Další informace o tomto procesu najdete v tématu Metoda směrování provozu výkonu pro Azure Traffic Manager.

Cluster WFE přiřazený uživateli spravuje pořadí přihlášení a ověřování (popsané dále v tomto článku) a po úspěšném ověření získá přístupový token Azure AD. Komponenta ASP.NET v rámci clusteru WFE analyzuje token, aby určila, do které organizace uživatel patří, a pak se obraťte na globální službu Power BI. WFE určuje prohlížeč, ve kterém back-endový cluster sídlí tenanta organizace. Po ověření uživatele dojde k následným interakcím klientů s zákaznickými daty přímo s back-endovým clusterem nebo clusterem Premium, aniž by služba WFE byla pro tyto požadavky zprostředkovatelem.

Statické prostředky, jako jsou *.js, *.css a soubory obrázků, jsou většinou uložené ve službě Azure Content Delivery Network (CDN) a načítají se přímo prohlížečem. Mějte na paměti, že nasazení clusteru suverénní státní správy jsou výjimkou tohoto pravidla a z důvodu dodržování předpisů se vynechá síť CDN a místo toho pro hostování statického obsahu použije cluster WFE z kompatibilní oblasti.

Back-endový cluster Power BI (BE)

Back-endový cluster je páteřní součástí všech funkcí dostupných v Power BI. Skládá se z několika koncových bodů služby využívaných klienty webového front-endu a rozhraní API a také služeb, databází, mezipamětí a různých dalších komponent.

Back-end je k dispozici ve většině oblastí Azure a nasazuje se v nových oblastech, jakmile budou dostupné. Jedna oblast Azure hostuje jeden nebo více back-endových clusterů, které umožňují neomezené horizontální škálování služba Power BI po vyčerpání vertikálních a horizontálních limitů škálování jednoho clusteru.

Každý back-endový cluster je stavový a hostuje všechna data všech tenantů přiřazených k danému clusteru. Cluster, který obsahuje data konkrétního tenanta, se označuje jako domovský cluster tenanta. Informace o domovském clusteru ověřeného uživatele poskytuje globální služba a používá ji webová front-end ke směrování žádostí do domovského clusteru tenanta.

Každý back-endový cluster se skládá z několika virtuálních počítačů sloučených do několika škálovatelných sad vyladěných pro provádění konkrétních úloh, stavových prostředků, jako jsou databáze SQL, účty úložiště, sběrnice služeb, mezipaměti a další nezbytné cloudové komponenty.

Metadata a data tenanta se ukládají v rámci omezení clusteru s výjimkou replikace dat do sekundárního back-endového clusteru ve spárované oblasti Azure ve stejné zeměpisné oblasti Azure. Sekundární back-endový cluster slouží jako cluster s podporou převzetí služeb při selhání v případě regionálního výpadku a je pasivní kdykoliv.

Back-endové funkce obsluhují mikroslužby běžící na různých počítačích ve virtuální síti clusteru, které nejsou přístupné zvenčí, s výjimkou dvou komponent, ke kterým je možné přistupovat z veřejného internetu:

• Služba brány
• Azure API Management

infrastruktura Power BI Premium

Power BI Premium nabízí službu pro předplatitele, kteří vyžadují prémiové funkce Power BI, jako jsou toky dat, stránkované sestavy, AI atd. Když se zákazník zaregistruje k předplatnému Power BI Premium, kapacita Premium se vytvoří prostřednictvím Resource Manager Azure.

Power BI Premium kapacity jsou hostované v back-endových clusterech, které jsou nezávislé na běžném back-endu Power BI – viz výše). To poskytuje lepší izolaci, přidělování prostředků, možnosti podpory, izolaci zabezpečení a škálovatelnost nabídky Premium.

Následující diagram znázorňuje architekturu infrastruktury Power BI Premium:

Připojení k infrastruktuře Power BI Premium je možné provádět mnoha způsoby v závislosti na scénáři uživatele. Power BI Premium klienti můžou být prohlížeč uživatele, běžný back-end Power BI, přímé připojení prostřednictvím klientů XMLA, rozhraní API ARM atd.

Infrastruktura Power BI Premium v oblasti Azure se skládá z několika clusterů Power BI Premium (minimálně jedna). Většina prostředků Premium je zapouzdřena v clusteru (například výpočetní prostředky) a existují některé běžné regionální prostředky (například úložiště metadat). Infrastruktura Premium umožňuje dvěma způsoby dosažení horizontální škálovatelnosti v oblasti: zvýšení prostředků uvnitř clusterů nebo přidání dalších clusterů na vyžádání podle potřeby (pokud se prostředky clusteru blíží jejich limitům).

Páteří každého clusteru jsou výpočetní prostředky spravované škálovacími sadami virtuálních počítačů a Azure Service Fabric. Škálovací sady virtuálních počítačů a Service Fabric umožňují rychlé a bezbolestné zvýšení výpočetních uzlů, protože využití roste a orchestruje nasazení, správu a monitorování Power BI Premium služeb a aplikací.

Existuje mnoho okolních prostředků, které zajišťují zabezpečenou a spolehlivou infrastrukturu: nástroje pro vyrovnávání zatížení, virtuální sítě, skupiny zabezpečení sítě, service bus, úložiště atd. Všechny tajné kódy, klíče a certifikáty vyžadované pro Power BI Premium se spravují výhradně Key Vault Azure. Veškeré ověřování se provádí prostřednictvím integrace s Azure AD výhradně.

Všechny požadavky, které přicházejí do Power BI Premium infrastruktury, se nejprve dostanou do front-endových uzlů – jsou to jediné uzly dostupné pro externí připojení. Zbývající prostředky jsou skryté za virtuálními sítěmi. Front-endové uzly ověřují požadavek, zpracovávají je nebo předávají příslušným prostředkům (například back-endovým uzlům).

Back-endové uzly poskytují většinu možností a funkcí Power BI Premium.

Power BI Mobile

Power BI Mobile je kolekce aplikací navržených pro tři primární mobilní platformy: Android, iOS a Windows (UPW). Aspekty zabezpečení aplikací Power BI Mobile spadají do dvou kategorií:

• Komunikace zařízení
• Aplikace a data v zařízení

Pro komunikaci zařízení komunikují všechny aplikace Power BI Mobile s služba Power BI a používají stejné sekvence připojení a ověřování používané prohlížeči, které jsou podrobně popsány výše v tomto dokumentu white paper. Mobilní aplikace Power BI pro iOS a Android vyvolá relaci prohlížeče v rámci samotné aplikace, zatímco mobilní aplikace Pro Windows vyvolá zprostředkovatele pro vytvoření komunikačního kanálu s Power BI (pro proces přihlašování).

Následující tabulka uvádí podporu ověřování na základě certifikátů (CBA) pro Power BI Mobile na základě platformy mobilních zařízení:

Podpora jazyka CBA	iOS	Android	Windows
Power BI (přihlášení ke službě)	Podporováno	Podporováno	Nepodporováno
Místní služba SSRS ADFS (připojení k serveru SSRS)	Nepodporováno	Podporováno	Nepodporováno
Proxy aplikace SSRS	Podporováno	Podporováno	Nepodporováno

Aplikace Power BI Mobile aktivně komunikují se službou Power BI. Telemetrie se používá ke shromažďování statistik využití mobilních aplikací a podobných dat, která se přenášejí do služeb, které se používají k monitorování využití a aktivity; s telemetrií se neposílají žádná zákaznická data.

Aplikace Power BI ukládá data na zařízení, které usnadňuje použití aplikace:

• Azure AD a obnovovací tokeny se ukládají v zabezpečeném mechanismu na zařízení pomocí standardních bezpečnostních opatření.
• Data a nastavení (páry klíč-hodnota pro konfiguraci uživatele) se ukládají do mezipaměti v úložišti na zařízení a dají se šifrovat operačním systémem. Vich V Androidu je to možné nakonfigurovat v nastavení. Ve Windows se provádí pomocí Nástroje BitLocker.
• U aplikací pro Android a iOS jsou data a nastavení (páry klíč-hodnota pro konfiguraci uživatele) uloženy v úložišti na zařízení v sandboxu a interním úložišti, které je přístupné jenom pro aplikaci. Pro aplikaci pro Windows jsou data přístupná jenom uživatelem (a správcem systému).
• Geografická poloha je povolená nebo zakázána explicitně uživatelem. Pokud je tato možnost povolená, data geografické polohy nejsou uložená na zařízení a nejsou sdílena s Microsoftem.
• Oznámení jsou povolená nebo zakázána explicitně uživatelem. Pokud je povolená, Android a iOS nepodporují požadavky na geografickou rezidenci dat pro oznámení.

Šifrování dat je možné vylepšit použitím šifrování na úrovni souborů prostřednictvím Microsoft Intune, softwarové služby, která poskytuje správu mobilních zařízení a aplikací. Všechny tři platformy, pro které Power BI Mobile jsou k dispozici, podporují Intune. Pokud je služba Intune povolená a nakonfigurovaná, data na mobilním zařízení se šifrují a samotná aplikace Power BI nejde nainstalovat na kartu SD. Přečtěte si další informace o Microsoft Intune.

Aplikace pro Windows také podporuje Windows Information Protection (WIP).

Aby bylo možné implementovat jednotné přihlašování, jsou některé zabezpečené hodnoty úložiště související s ověřováním založeném na tokenech dostupné pro jiné aplikace Microsoftu 1. strany (například Microsoft Authenticator) a jsou spravovány sadou SDK služby Azure Active Directory Authentication Library (ADAL).

Power BI Mobile data uložená v mezipaměti se odstraní, když se aplikace odebere, když se uživatel odhlásí z Power BI Mobile nebo když se uživatel nepodaří přihlásit (například po události vypršení platnosti tokenu nebo změně hesla). Datová mezipaměť obsahuje řídicí panely a sestavy dříve otevřené z aplikace Power BI Mobile.

Power BI Mobile nemá přístup k jiným složkám aplikací ani souborům na zařízení.

Aplikace Power BI pro iOS a Android umožňují chránit vaše data konfigurací další identifikace, například poskytnutím Face ID, Touch ID nebo hesla pro iOS a biometrickými daty (Otisk prstu) pro Android. Přečtěte si další informace o další identifikaci.

Ověřování na služba Power BI

Ověřování uživatelů ve službě Power BI se skládá z řady dotazů, odpovědí a přesměrování mezi prohlížečem uživatele a službou Power BI nebo službami Azure, které Power BI používá. Tato sekvence popisuje proces ověřování uživatelů v Power BI, který se řídí tokem udělení ověřovacího kódu Azure Active Directory. Další informace o možnostech modelů ověřování uživatelů organizace (modely přihlašování) najdete v tématu Volba modelu přihlašování pro Microsoft 365.

Posloupnost ověřování

Pořadí ověřování uživatelů pro služba Power BI probíhá podle popisu v následujících krocích, které jsou znázorněny na následujícím obrázku.

1. Uživatel zahájí připojení k služba Power BI z prohlížeče zadáním adresy Power BI do adresního řádku nebo výběrem možnosti Přihlásit se z cílové stránky Power BI (https://powerbi.microsoft.com). Připojení se naváže pomocí protokolů TLS 1.2 a HTTPS a veškerá následná komunikace mezi prohlížečem a službou Power BI se odehrává přes protokol HTTPS.

2. Azure Traffic Manager zkontroluje záznam DNS uživatele a určí nejvhodnější (obvykle nejbližší) datacentrum, ve kterém je Power BI nasazené, a odpoví na DNS s IP adresou clusteru WFE, do kterého se má uživatel odeslat.

3. WFE pak přesměruje uživatele na přihlašovací stránku služeb Microsoft Online Services.

4. Po ověření uživatele přihlašovací stránka přesměruje uživatele na dříve určenou nejbližší služba Power BI cluster WFE s ověřovacím kódem.

5. Cluster WFE kontroluje službu Azure AD, aby získal token zabezpečení Azure AD pomocí ověřovacího kódu. Když Azure AD vrátí úspěšné ověřování uživatele a vrátí token zabezpečení Azure AD, cluster WFE se bude poradit s globální službou Power BI, která udržuje seznam tenantů a jejich umístění back-endového clusteru Power BI a určuje, který cluster back-endové služby Power BI obsahuje tenanta uživatele. Cluster WFE pak vrátí stránku aplikace do prohlížeče uživatele s relací, přístupem a směrováním požadovanými pro jeho operaci.

6. Když teď prohlížeč klienta vyžaduje zákaznická data, odešle požadavky na adresu back-endového clusteru s přístupovým tokenem Azure AD v hlavičce autorizace. Back-endový cluster Power BI přečte přístupový token Azure AD a ověří podpis, aby se zajistilo, že identita požadavku je platná. Přístupový token Azure AD má výchozí životnost 1 hodinu a aby se zachovala aktuální relace, bude prohlížeč uživatele pravidelně vyhovět žádostem o prodloužení platnosti přístupového tokenu, než vyprší jeho platnost.

Rezidence dat

Pokud není v dokumentaci uvedeno jinak, Power BI ukládá zákaznická data do zeměpisné oblasti Azure, která je přiřazená, když se Azure AD tenant poprvé zaregistruje ke službám Power BI. Azure AD tenanta obsahuje identity uživatelů a aplikací, skupiny a další relevantní informace, které se týkají organizace a jejího zabezpečení.

Přiřazení zeměpisné oblasti Azure pro úložiště dat tenanta se provádí mapováním země nebo oblasti vybrané jako součást nastavení tenanta Azure AD na nejvhodnější geografickou oblast Azure, kde existuje nasazení Power BI. Po provedení tohoto rozhodnutí se všechna zákaznická data Power BI uloží do této vybrané geografické oblasti Azure (označované také jako domovská geografická oblast), s výjimkou případů, kdy organizace využívají více geografická nasazení.

Více geografických oblastí (multi-geo)

Některé organizace mají globální přítomnost a můžou vyžadovat služby Power BI v několika geografických oblastech Azure. Firma může mít například své ústředí v USA, ale může také podnikat v jiných geografických oblastech, jako je Austrálie. V takových případech může firma vyžadovat, aby určitá data Power BI zůstala uložená v klidovém stavu ve vzdálené oblasti, aby splňovala místní předpisy. Tato funkce služba Power BI se označuje jako multi-geo.

Vrstva spouštění dotazů, mezipaměť dotazů a data artefaktů přiřazená k více geografickým pracovním prostorům jsou hostovaná a zůstávají v geografické oblasti Azure vzdálené kapacity. Některá metadata artefaktů, například struktura sestavy, ale můžou zůstat uložená v neaktivním stavu v domovské geografické oblasti tenanta. Některé přenosy a zpracování dat se navíc můžou stále vyskytnout v domovské geografické oblasti tenanta, a to i pro pracovní prostory hostované v kapacitě multi-geo Premium.

Další informace o vytváření asch informace najdete v tématu Konfigurace více geografických oblastí Azure pro Power BI Premium.

Oblasti a datacentra

Služby Power BI jsou dostupné v konkrétních geografických oblastech Azure, jak je popsáno v Centru zabezpečení Microsoftu. Další informace o tom, kde jsou data uložená a jak se používají, najdete v Centru zabezpečení Společnosti Microsoft. Závazky týkající se umístění neaktivních uložených zákaznických údajů jsou uvedeny v podmínkách zpracování dat podmínek pro služby Microsoft Online Services.

Microsoft také poskytuje datacentra pro suverénní entity. Další informace o dostupnosti služby Power BI pro národní cloudy najdete v článku o Národní cloudy Power BI.

Zpracování dat

Tato část popisuje postupy zpracování dat Power BI, pokud jde o ukládání, zpracování a přenos zákaznických dat.

Neaktivní uložená data

Power BI používá dva primární typy prostředků úložiště dat:

• Azure Storage
• Azure SQL Databases

Ve většině scénářů se Azure Storage využívá k zachování dat artefaktů Power BI, zatímco databáze Azure SQL slouží k zachování metadat artefaktů.

Všechna data uložená v Power BI se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Zákaznická data uložená v databázích Azure SQL jsou plně šifrovaná pomocí technologie transparentního šifrování dat (TDE) Azure SQL. Zákaznická data uložená ve službě Azure Blob Storage se šifrují pomocí služby Azure Storage Encryption.

Volitelně můžou organizace využívat Power BI Premium k šifrování neaktivních uložených dat, které se naimportují do datové sady, pomocí vlastních klíčů. Tento přístup se často popisuje jako přineste si vlastní klíč (BYOK). Využití funkce BYOK pomáhá zajistit, aby se i v případě chyby operátora služby nezpřístupní zákaznická data – něco, čeho nelze snadno dosáhnout pomocí transparentního šifrování na straně služby. Další informace najdete v tématu Používání vlastních šifrovacích klíčů pro Power BI .

Datové sady Power BI umožňují různé režimy připojení ke zdroji dat, které určují, jestli se data zdroje dat uchovávají ve službě nebo ne.

Režim datové sady (druh)	Trvalá data v Power BI
Import	Yes
Direct Query	No
Živé připojení	No
Složený	Pokud obsahuje zdroj dat importu
Streamování	Pokud je nakonfigurovaná tak, aby se zachovala

Bez ohledu na využitý režim datové sady může Power BI dočasně ukládat všechna načtená data do mezipaměti za účelem optimalizace výkonu načítání dotazů a sestav.

Data při zpracování

Data se zpracovávají, když je aktivně používá jeden nebo více uživatelů v rámci interaktivního scénáře, nebo když se tato data dotkne procesu na pozadí, jako je aktualizace, tato data. Power BI načte aktivně zpracovávaná data do prostoru paměti jedné nebo více úloh služby. Aby se usnadnila funkčnost vyžadovaná úlohou, nezpracovaná data v paměti se nešifrují.

Přenášená data

Power BI vyžaduje šifrování všech příchozích přenosů HTTP pomocí protokolu TLS 1.2 nebo vyšší. Všechny požadavky, které se pokoušejí službu používat s protokolem TLS 1.1 nebo nižším, budou odmítnuty.

Ověřování ke zdrojům dat

Při připojování ke zdroji dat se uživatel může rozhodnout importovat kopii dat do Power BI nebo se připojit přímo ke zdroji dat.

V případě importu vytvoří uživatel připojení na základě přihlášení uživatele a přistupuje k datům pomocí přihlašovacích údajů. Jakmile se datová sada publikuje do služba Power BI, Power BI k importu dat vždy použije přihlašovací údaje tohoto uživatele. Po importu dat nemá zobrazení dat v sestavách a řídicích panelech přístup k podkladovému zdroji dat. Power BI podporuje ověřování jednotného přihlašování pro vybrané zdroje dat. Pokud je připojení nakonfigurované tak, aby používalo jednotné přihlašování, přihlašovací údaje vlastníka datové sady se používají k připojení ke zdroji dat.

Pokud je zdroj dat připojený přímo pomocí předkonfigurovaných přihlašovacích údajů, použijí se předkonfigurované přihlašovací údaje k připojení ke zdroji dat, když je uživatel zobrazí. Pokud je zdroj dat připojený přímo pomocí jednotného přihlašování, přihlašovací údaje aktuálního uživatele se použijí k připojení ke zdroji dat, když uživatel zobrazí data. Při použití s jednotným přihlašováním je možné ve zdroji dat implementovat zabezpečení na úrovni řádků (RLS) nebo zabezpečení na úrovni objektů (OLS). To umožňuje uživatelům zobrazit jenom data, ke kterým mají oprávnění k přístupu. Pokud je připojení ke zdrojům dat v cloudu, Azure AD ověřování se používá pro jednotné přihlašování; pro místní zdroje dat, Kerberos, jazyk SAML (Security Assertion Markup Language) a Azure AD se podporují.

Pokud je zdroj dat Azure Analysis Services nebo místní službě Analysis Services a RLS a/nebo OLS je nakonfigurovaný, služba Power BI použije zabezpečení na úrovni řádků a uživatelé, kteří nemají dostatečná pověření pro přístup k podkladovým datům (což může být dotaz použitý v řídicím panelu, sestavě nebo jiném artefaktu dat), neuvidí data, pro která nemají dostatečná oprávnění.

Prémiové funkce

Architektura toků dat

Toky dat poskytují uživatelům možnost konfigurovat operace zpracování back-endových dat, které budou extrahovat data z polymorfových zdrojů dat, spouštět logiku transformace dat proti datům a pak ji přisunout do cílového modelu pro použití napříč různými technologiemi prezentace sestav. Každý uživatel, který má roli člena, přispěvatele nebo správce v pracovním prostoru, může vytvořit tok dat. Uživatelé v roli prohlížeče můžou zobrazit data zpracovávaná tokem dat, ale nemusí provádět změny jeho složení. Jakmile bude tok dat vytvořený, může každý člen, přispěvatel nebo správce pracovního prostoru naplánovat aktualizace a také zobrazit a upravit tok dat tím, že ho převezme vlastnictví.

Každý nakonfigurovaný zdroj dat je vázán na klientskou technologii pro přístup k danému zdroji dat. Struktura přihlašovacích údajů vyžadovaných pro přístup k nim se vytvoří tak, aby odpovídala požadovaným podrobnostem implementace zdroje dat. Logika transformace se používá Power Query službami během letu dat. U prémiových toků dat se služby Power Query spouští v back-endových uzlech. Data se můžou načíst přímo z cloudových zdrojů nebo přes bránu nainstalovanou místně. Při přímém natažení z cloudového zdroje do služby nebo brány používá přenos metodu ochrany specifickou pro klientskou technologii, pokud je to možné. Když se data přenesou z brány do cloudové služby, zašifrují se. Viz část Data v části Zpracování výše.

Pokud zákazník zadal zdroje dat, vyžaduje pro přístup přihlašovací údaje, vlastník/tvůrce toku dat je poskytne během vytváření. Ukládají se pomocí standardního úložiště přihlašovacích údajů pro celý produkt. Viz část Ověřování ke zdrojům dat výše. Uživatelé můžou nakonfigurovat různé přístupy pro optimalizaci trvalosti a přístupu k datům. Ve výchozím nastavení se data umístí do vlastněného a chráněného účtu úložiště Power BI. Šifrování úložiště je povolené v kontejnerech úložiště objektů blob pro ochranu dat v době nečinnosti. Viz část Data v klidovém stavu níže. Uživatelé ale můžou nakonfigurovat vlastní účet úložiště přidružený k vlastnímu předplatnému Azure. Při tom má objekt zabezpečení služba Power BI udělený přístup k danému účtu úložiště, aby mohl zapisovat data tam během aktualizace. V takovém případě je vlastník prostředku úložiště zodpovědný za konfiguraci šifrování nakonfigurovaného účtu úložiště ADLS. Data se vždy přenášejí do úložiště objektů blob pomocí šifrování.

Vzhledem k tomu, že výkon při přístupu k účtům úložiště může být pro některá data neoptimální, mají uživatelé také možnost použít výpočetní modul hostovaný v Power BI ke zvýšení výkonu. V tomto případě jsou data redundantně uložená v databázi SQL, která je dostupná pro DirectQuery prostřednictvím přístupu back-endovým systémem Power BI. Data se vždy šifrují v systému souborů. Pokud uživatel poskytne klíč pro šifrování dat uložených v databázi SQL, použije se tento klíč k doubálně zašifrování.

Při dotazování pomocí DirectQuery se k přístupu k rozhraní API používá šifrovaný transportní protokol HTTPS. Veškeré sekundární nebo nepřímé použití DirectQuery je řízeno stejnými ovládacími prvky přístupu, které jsme popsali dříve. Vzhledem k tomu, že toky dat jsou vždy svázané s pracovním prostorem, je přístup k datům vždy vázaný rolí uživatele v daném pracovním prostoru. Aby mohl uživatel dotazovat data jakýmkoli způsobem, musí mít alespoň přístup ke čtení.

Pokud se Power BI Desktop používá k přístupu k datům v toku dat, musí nejprve ověřit uživatele pomocí Azure AD, aby zjistil, jestli má uživatel dostatečná práva k zobrazení dat. Pokud ano, získá se klíč SaS a použije se k přístupu k úložišti přímo pomocí šifrovaného přenosového protokolu HTTPS.

Zpracování dat v rámci kanálu generuje události auditování Office 365. Některé z těchto událostí budou zaznamenávat operace související se zabezpečením a ochranou osobních údajů.

Stránkované sestavy

Stránkované sestavy jsou navržené tak, aby se daly vytisknout nebo sdílet. Říká se jim stránkované, protože jsou formátované tak, aby se dobře vešly na stránku. Zobrazují všechna data v tabulce, i když je tabulka na více stránek. Označují se také jako na pixel přesné, protože umožňují přesně určit rozložení stránky sestavy.

Stránkované sestavy podporují bohaté a výkonné výrazy napsané v jazyce Microsoft Visual Basic .NET. Výrazy se běžně používají ve stránkovaných sestavách v aplikaci Power BI Report Builder k načtení, výpočtu, zobrazení, seskupení, řazení, filtrování, parametrizaci a formátování dat.

Výrazy vytváří autor sestavy s přístupem k široké škále funkcí rozhraní .NET Framework. Zpracování a spouštění stránkovaných sestav se provádí uvnitř sandboxu.

Definice stránkované sestavy (.rdl) jsou uložené v Power BI a k publikování a/nebo vykreslení stránkované sestavy, kterou uživatel potřebuje ověřit a autorizovat stejným způsobem, jak je popsáno v části Ověřování ve službě Power BI výše.

Token Azure AD získaný během ověřování se používá ke komunikaci přímo z prohlížeče do clusteru Power BI Premium.

Pro Premium Gen1 existuje jeden sandbox pro každou kapacitu tenanta a sdílí je pracovní prostory přiřazené ke kapacitě.

Pro Premium Gen2 se pro každý z vykreslení sestavy vytvoří jednotlivý a exkluzivní dočasný sandbox, který poskytuje vyšší úroveň izolace mezi uživateli.

Stránkovaná sestava má přístup k široké sadě zdrojů dat jako součást vykreslování sestavy. Sandbox nekomunikuje přímo s žádným ze zdrojů dat, ale místo toho komunikuje s důvěryhodným procesem pro vyžádání dat a pak důvěryhodný proces připojí požadované přihlašovací údaje k připojení. Tímto způsobem sandbox nikdy nemá přístup k žádným přihlašovacím údajům nebo tajným kódům.

Aby bylo možné podporovat funkce, jako jsou mapy Bing nebo volání Azure Functions, má sandbox přístup k internetu.

Vložená analýza Power BI

Nezávislí dodavatelé softwaru (ISV) a poskytovatelé řešení mají dva hlavní režimy vkládání artefaktů Power BI do webových aplikací a portálů: vložení pro vaši organizaci a vložení pro vaše zákazníky. Artefakt je vložen do prvku iframe v aplikaci nebo portálu. Prvek iframe nemůže číst nebo zapisovat data z externí webové aplikace nebo portálu a komunikace s iframe se provádí pomocí klientské sady SDK Power BI pomocí zpráv POST.

Ve scénáři vložení pro vaši organizaci Azure AD uživatelům přístup k vlastnímu obsahu Power BI prostřednictvím portálů přizpůsobených jejich podnikům a IT. Všechny zásady a možnosti Power BI popsané v tomto dokumentu, jako je zabezpečení na úrovni řádků (RLS) a zabezpečení na úrovni objektů (OLS), se automaticky použijí pro všechny uživatele nezávisle na tom, jestli přistupují k Power BI prostřednictvím portálu Power BI nebo prostřednictvím přizpůsobených portálů.

Ve scénáři vložení pro zákazníky obvykle vlastní nezávislí výrobci softwaru Power BI a artefakty Power BI (řídicí panely, sestavy, datové sady atd.). Za ověření koncových uživatelů zodpovídá back-endová služba ISV a rozhoduje o tom, které artefakty a úroveň přístupu je pro tohoto koncového uživatele vhodná. Rozhodnutí o zásadách ISV se šifrují v tokenu pro vložení vygenerovaném Power BI a předávají se back-endu ISV pro další distribuci koncovým uživatelům podle obchodní logiky výrobce softwaru. Koncoví uživatelé používající prohlížeč nebo jiné klientské aplikace nemůžou dešifrovat ani upravovat tokeny pro vložení. Sady SDK na straně klienta, jako jsou rozhraní API klienta Power BI , automaticky připojují šifrovaný token pro vložení k žádostem Power BI jako autorizaci: hlavička EmbedToken . Na základě této hlavičky Power BI vynucuje všechny zásady (například přístup nebo zabezpečení na úrovni řádků) přesně tak, jak je specifikoval výrobce softwaru během generování.

Pokud chcete povolit vkládání a automatizaci a vygenerovat výše popsané tokeny pro vložení, Power BI zpřístupňuje bohatou sadu rozhraní REST API. Tato rozhraní REST API Power BI podporují uživatele delegovaný i instanční objekt Azure AD metody ověřování a autorizace.

Vložená analýza Power BI a její rozhraní REST API podporují všechny možnosti izolace sítě Power BI popsané v tomto článku: například značky služeb a privátní odkazy.

Funkce umělé inteligence

Power BI v současné době podporuje dvě široké kategorie funkcí umělé inteligence v produktu: vizuály AI a rozšíření AI. Mezi funkce umělé inteligence na úrovni vizuálů patří funkce, jako jsou klíčové vlivové faktory, rozkladový strom, inteligentní vyprávění, detekce anomálií, vizuál R, vizuál Pythonu, clustering, prognózování, Q&A, Quick-Insights atd. Mezi možnosti rozšiřování AI patří funkce, jako jsou AutoML, AzureML, CognitiveServices, transformace R/Python atd.

Většina výše uvedených funkcí se dnes podporuje v pracovních prostorech Shared i Premium. AutoML a CognitiveService se ale podporují jenom v pracovních prostorech Premium kvůli omezením IP adres. V současné době může uživatel s integrací AutoML v Power BI sestavit a vytrénovat vlastní model ML (např. predikci, klasifikaci, regresi atd.) a použít ho k získání předpovědí při načítání dat do toku dat definovaného v pracovním prostoru Premium. Kromě toho můžou uživatelé Power BI použít několik rozhraní API služeb CognitiveServices, jako je TextAnalytics a ImageTagging, k transformaci dat před jejich načtením do toku dat nebo datové sady definované v pracovním prostoru Premium.

Funkce obohacení umělé inteligence Úrovně Premium je možné nejlépe zobrazit jako kolekci bezstavových funkcí a transformací umělé inteligence, které můžou uživatelé Power BI používat ve svých kanálech integrace dat, které používají datová sada Power BI nebo tok dat. Mějte na paměti, že k těmto funkcím můžete přistupovat také z aktuálních prostředí pro vytváření toků dat nebo datových sad ve službě Power BI a Power BI Desktop. Tyto funkce a transformace AI se vždy spouštějí v pracovním prostoru nebo kapacitě Premium. Tyto funkce se v Power BI zobrazují jako zdroj dat, který vyžaduje token Azure AD pro uživatele Power BI, který používá funkci AI. Tyto zdroje dat AI jsou speciální, protože nezotvářejí žádná vlastní data a poskytují pouze tyto funkce nebo transformace. Během provádění tyto funkce nepronášejí žádná odchozí volání do jiných služeb za účelem přenosu dat zákazníka. Podívejme se na scénáře Premium jednotlivě, abychom porozuměli komunikačním vzorům a relevantním podrobnostem souvisejícím se zabezpečením, které se k nim vztahují.

K trénování a použití modelu AutoML používá Power BI sadu Azure AutoML SDK a spustí veškeré trénování v kapacitě Power BI zákazníka. Během trénovacích iterací volá Power BI službu Experimentování AzureML, která vybere vhodný model a hyper-parametry pro aktuální iteraci. V tomto odchozím volání se odesílají pouze relevantní metadata experimentu (např. přesnost, algoritmus ml, parametry algoritmu atd.) z předchozí iterace. Trénování AutoML vytvoří model ONNX a trénovací data sestavy, která se pak uloží do toku dat. Později můžou uživatelé Power BI trénovaný model ML použít jako transformaci pro zprovoznění modelu ML podle plánu. V případě rozhraní API Pro analýzu textu a imageTagging power BI přímo nevolá rozhraní API služby CognitiveServices, ale používá interní sadu SDK ke spouštění rozhraní API v kapacitě Power BI Premium. Dnes jsou tato rozhraní API podporovaná v tocích dat Power BI i v datových sadách. Při vytváření datové sady v Power BI Desktop mají uživatelé přístup k této funkci jenom v případě, že mají přístup k pracovnímu prostoru Power BI Premium. Proto se zákazníkům zobrazí výzva k zadání svých přihlašovacích údajů Azure AD.

Izolace sítě

Tato část popisuje pokročilé funkce zabezpečení v Power BI. Některé z těchto funkcí mají specifické licenční požadavky. Podrobnosti najdete v následujících částech.

Značky služeb

Značka služby představuje skupinu předpon IP adres z dané služby Azure. Pomáhá minimalizovat složitost častých aktualizací pravidel zabezpečení sítě. Zákazníci můžou pomocí značek služeb definovat řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Zákazníci můžou při vytváření pravidel zabezpečení používat značky služeb místo konkrétních IP adres. Zadáním názvu značky služby (například PowerBI) do příslušného pole zdroje nebo cíle (pro rozhraní API) pravidla můžou zákazníci povolit nebo odepřít provoz pro příslušnou službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

integrace Private Link

Sítě Azure poskytují funkci Azure Private Link, která umožňuje Power BI poskytovat zabezpečený přístup prostřednictvím privátních koncových bodů sítě Azure. S Azure Private Link a privátními koncovými body se datový provoz odesílá soukromě pomocí páteřní síťové infrastruktury Microsoftu, a proto data neprocházejí přes internet.

Private Link zajistí, aby uživatelé Power BI při přechodu na prostředky v služba Power BI používali páteřní síť Microsoftu.

Použití Private Link s Power BI nabízí následující výhody:

• Private Link zajišťuje, aby provoz přetékal přes páteřní síť Azure do privátního koncového bodu pro cloudové prostředky Azure.
• Izolace síťového provozu od infrastruktury, která není založená na Azure, jako je místní přístup, by vyžadovala, aby zákazníci měli nakonfigurovanou ExpressRoute nebo virtuální privátní síť (VPN).

Další informace najdete v tématu Privátní odkazy pro přístup k Power BI .

Připojení k virtuální síti (Preview – připravujeme)

Funkce integrace Private Link sice poskytuje zabezpečená příchozí připojení k Power BI, ale funkce připojení k virtuální síti umožňuje zabezpečené odchozí připojení z Power BI ke zdrojům dat v rámci virtuální sítě.

Brány virtuální sítě (spravované Microsoftem) eliminují režii při instalaci a monitorování místních bran dat pro připojení ke zdrojům dat přidruženým k virtuální síti. Budou ale i nadále sledovat známý proces správy zdrojů dat a zabezpečení, stejně jako u místní brány dat.

Následuje přehled toho, co se stane při interakci se sestavou Power BI, která je připojená ke zdroji dat ve virtuální síti pomocí bran virtuální sítě:

1. Cloudová služba Power BI (nebo jedna z dalších podporovaných cloudových služeb) spustí dotaz a odešle dotaz, podrobnosti o zdroji dat a přihlašovací údaje do služby virtuální sítě Power Platform (PP VNet).

2. Služba virtuální sítě PP pak bezpečně vloží kontejner, na kterém běží brána virtuální sítě, do podsítě. Tento kontejner se teď může připojit k datovým službám přístupným z této podsítě.

3. Služba virtuální sítě PP pak odešle dotaz, podrobnosti o zdroji dat a přihlašovací údaje do brány virtuální sítě.

4. Brána virtuální sítě získá dotaz a připojí se ke zdrojům dat pomocí těchto přihlašovacích údajů.

5. Dotaz se pak odešle do zdroje dat ke spuštění.

6. Po spuštění se výsledky odešlou do brány virtuální sítě a služba virtuální sítě PP bezpečně nasdílí data z kontejneru do cloudové služby Power BI.

Tato funkce bude brzy k dispozici ve verzi Public Preview.

Instanční objekty

Power BI podporuje použití instančních objektů. Uložte všechny přihlašovací údaje instančního objektu používané k šifrování nebo přístupu k Power BI v Key Vault, přiřaďte k trezoru správné zásady přístupu a pravidelně kontrolujte přístupová oprávnění.

Další podrobnosti najdete v tématu Automatizace úloh pracovního prostoru Premium a datových sad s instančními objekty .

Microsoft Purview pro Power BI

Microsoft Purview Information Protection

Power BI je hluboce integrovaný s Microsoft Perview Information Protection (dříve Microsoft 365 Compliance Information Protection). Microsoft Purview Information Protection organizacím umožňuje mít jedno integrované řešení pro klasifikaci, označování, auditování a dodržování předpisů v Azure, Power BI a Office.

Když je v Power BI povolená ochrana informací:

• Citlivá data v služba Power BI i v Power BI Desktop je možné klasifikovat a označovat pomocí stejných popisků citlivosti používaných v Office a v Azure.
• Zásady správného řízení se dají vynutit, když se obsah Power BI exportuje do souborů Excelu, PowerPointu, PDF, Wordu nebo .pbix , aby se zajistilo, že jsou data chráněná i v případě, že opustí Power BI.
• Je snadné klasifikovat a chránit soubory .pbix v Power BI Desktop stejně jako v aplikacích Excel, Word a PowerPoint. Soubory lze snadno označit podle jejich úrovně citlivosti. Navíc je možné je zašifrovat, pokud obsahují důvěrná obchodní data, a zajistit tak, aby tyto soubory mohli upravovat jenom oprávnění uživatelé.
• Excelové sešity při připojování k Power BI (Preview) automaticky dědí popisky citlivosti, což umožňuje udržovat komplexní klasifikaci a používat ochranu při analýze datových sad Power BI v Excelu.
• Popisky citlivosti použité u sestav a řídicích panelů Power BI se zobrazují v mobilních aplikacích Power BI pro iOS a Android.
• Popisky citlivosti se zachovají, když je sestava Power BI vložená do Teams, SharePointu nebo zabezpečeného webu. Organizace tak při vkládání obsahu Power BI udržují klasifikaci a ochranu při exportu.
• Dědičnost popisků při vytváření nového obsahu v služba Power BI zajistí, že se popisky použité u datových sad nebo datových diagramů v služba Power BI použijí na nový obsah vytvořený nad těmito datovými sadami a datovými diagramy.
• Rozhraní API pro kontrolu správce Power BI můžou extrahovat popisek citlivosti položky Power BI, což správcům Power BI a InfoSec umožňuje monitorovat popisky v služba Power BI a vytvářet výkonné sestavy.
• Rozhraní API pro správu Power BI umožňují centrálním týmům programově používat popisky citlivosti na obsah v služba Power BI.
• Centrální týmy můžou vytvářet povinné zásady popisků, které vynucují použití popisků u nového nebo upraveného obsahu v Power BI.
• Centrální týmy můžou vytvářet výchozí zásady popisků, aby se zajistilo, že se popisek citlivosti použije na veškerý nový nebo změněný obsah Power BI.
• Automatické popisování citlivosti podřízených dat v služba Power BI zajišťuje, že když se popisek datové sady nebo datového diagramu použije nebo změní, popisek se automaticky použije nebo změní u veškerého podřízeného obsahu připojeného k datové sadě nebo datovému diagramu.

Další informace najdete v tématu Popisky citlivosti v Power BI.

zásady Ochrana před únikem informací Microsoft Purview (DLP) pro Power BI (Preview)

Zásady ochrany před únikem informací od Microsoft Purview můžou organizacím pomoct snížit riziko úniku citlivých obchodních dat z Power BI. Zásady ochrany před únikem informací jim můžou pomoct splňovat požadavky na dodržování předpisů státní správy nebo odvětví, jako je gdpr (obecné nařízení Evropské unie o ochraně osobních údajů) nebo ústřední protistrana (Zákon o ochraně osobních údajů spotřebitelů v Kalifornii) a zajistit, aby se jejich data v Power BI spravovala.

Když jsou nastavené zásady ochrany před únikem informací pro Power BI:

• Zásady vyhodnocují všechny datové sady v pracovních prostorech zadaných v zásadách.
• Můžete zjistit, kdy se citlivá data nahrají do vašich kapacit Premium. Zásady ochrany před únikem informací můžou detekovat:
  • Popisky citlivosti
  • Typy citlivých informací. Podporuje se více než 260 typů. Detekce typů citlivých informací spoléhá na kontrolu obsahu Microsoft Purview.
• Když narazíte na datovou sadu označenou jako citlivou, zobrazí se přizpůsobený tip k zásadám, který vám pomůže pochopit, co byste měli udělat.
• Pokud jste vlastníkem datové sady, můžete přepsat zásadu a zabránit tomu, aby se vaše datová sada identifikovala jako citlivá, pokud k tomu máte platný důvod.
• Pokud jste vlastníkem datové sady, můžete nahlásit problém se zásadami, pokud dospějete k závěru, že byl typ citlivých informací falešně identifikován.
• Je možné vyvolat automatické zmírnění rizik, například výstrahy správci zabezpečení.

Další informace najdete v tématu Zásady ochrany před únikem informací pro Power BI.

Microsoft Defender for Cloud Apps pro Power BI

Microsoft Defender for Cloud Apps je jedním z předních světových zprostředkovatelů zabezpečení přístupu ke cloudu, kteří se jmenují vedoucí v Magic Quadrantu společnosti Gartner pro trh s cloudovým zprostředkovatelem zabezpečení přístupu (CASB). Defender for Cloud Apps slouží k zabezpečení používání cloudových aplikací. Umožňuje organizacím monitorovat a řídit rizikové relace Power BI v reálném čase, jako je přístup uživatelů z nespravovaných zařízení. Správci zabezpečení můžou definovat zásady pro řízení uživatelských akcí, jako je stahování sestav s citlivými informacemi.

V programu Defender for Cloud Apps můžou organizace získat následující možnosti ochrany před únikem informací:

• Nastavte ovládací prvky v reálném čase, které vynucuje rizikové uživatelské relace v Power BI. Pokud se například uživatel připojí k Power BI mimo svoji zemi, může být relace monitorovaná ovládacími prvky Defenderu for Cloud Apps v reálném čase a rizikovými akcemi, jako je stažení dat označených popiskem citlivosti S vysokou důvěrností, je možné okamžitě zablokovat.
• Prozkoumejte aktivitu uživatelů Power BI pomocí protokolu aktivit Defenderu pro Cloud Apps. Protokol aktivit Defender for Cloud Apps zahrnuje aktivitu Power BI zachycenou v protokolu auditu Office 365, která obsahuje informace o všech aktivitách uživatelů a správců a také informace o popiscích citlivosti pro relevantní aktivity, jako je použití, změna a odebrání popisku. Správci můžou využít pokročilé filtry Defenderu for Cloud Apps a rychlé akce pro efektivní šetření problémů.
• Vytvořte vlastní zásady pro upozorňování na podezřelou aktivitu uživatelů v Power BI. Funkci zásad aktivity Defender for Cloud Apps je možné využít k definování vlastních pravidel, která vám pomůžou zjistit chování uživatelů, které se odchyluje od normy, a dokonce i na ni automaticky reagovat, pokud se zdá být příliš nebezpečné.
• Pracujte s integrovaným detekcí anomálií v programu Defender for Cloud Apps. Zásady detekce anomálií Defenderu for Cloud Apps poskytují předem připravené analýzy chování uživatelů a strojové učení, takže jste připraveni od počátku spustit pokročilou detekci hrozeb ve vašem cloudovém prostředí. Když zásada detekce anomálií identifikuje podezřelé chování, aktivuje výstrahu zabezpečení.
• Role správce Power BI na portálu Defender for Cloud Apps Defender for Cloud Apps poskytuje roli správce specifickou pro aplikaci, pomocí které můžou správci Power BI udělit jenom oprávnění, která potřebují pro přístup k relevantním datům Power BI na portálu, jako jsou upozornění, uživatelé s rizikem, protokoly aktivit a další informace související s Power BI.

Další podrobnosti najdete v tématu Používání ovládacích prvků Microsoft Defender for Cloud Apps v Power BI.

Funkce zabezpečení ve verzi Preview

Toto téma obsahuje seznam funkcí, které se plánují k vydání do března 2021. Vzhledem k tomu, že toto téma uvádí funkce, které ještě nemusí být vydány, můžou se časové osy doručení změnit a projektované funkce mohou být vydány později než březen 2021 nebo nemusí být vůbec vydány. Další informace o verzích Preview najdete v podmínkách online služeb.

Přineste si vlastní Log Analytics (BYOLA)

Funkce Bring Your Own Log Analytics umožňuje integraci mezi Power BI a Azure Log Analytics. Tato integrace zahrnuje pokročilý analytický modul Azure Log Analytics, interaktivní dotazovací jazyk a integrované konstruktory strojového učení.

Otázky a odpovědi týkající se zabezpečení Power BI

Níže uvádíme běžné otázky a odpovědi týkající se zabezpečení Power BI. Jsou uspořádané na základě toho, kdy byly přidány do tohoto dokumentu white paper, aby se usnadnila možnost rychle najít nové otázky a odpovědi při aktualizaci tohoto dokumentu. Nejnovější otázky a odpovědi se přidávají na konec tohoto seznamu.

Jak se uživatelé při používání Power BI připojují a získávají přístup ke zdrojům dat?

• Power BI spravuje přihlašovací údaje ke zdrojům dat pro každého uživatele pro cloudové přihlašovací údaje nebo pro připojení prostřednictvím osobní brány. Zdroje dat spravované místní bránou dat je možné sdílet v rámci podniku a oprávnění k těmto zdrojům dat je možné spravovat bránou Správa. Při konfiguraci datové sady může uživatel vybrat přihlašovací údaje ze svého osobního úložiště nebo použít místní bránu dat k použití sdílených přihlašovacích údajů.

  V případě importu uživatel naváže připojení na základě přihlášení uživatele a přistupuje k datům pomocí přihlašovacích údajů. Jakmile se datová sada publikuje do služba Power BI, Power BI k importu dat vždy použije přihlašovací údaje tohoto uživatele. Po importu dat nemá zobrazení dat v sestavách a řídicím panelu přístup k podkladovému zdroji dat. Power BI podporuje ověřování jednotného přihlašování pro vybrané zdroje dat. Pokud je připojení nakonfigurované tak, aby používalo jednotné přihlašování, přihlašovací údaje vlastníka datové sady se používají k připojení ke zdroji dat.

  Pro sestavy, které jsou připojené k DirectQuery, je zdroj dat připojený přímo pomocí předem nakonfigurovaných přihlašovacích údajů, se předkonfigurované přihlašovací údaje používají k připojení ke zdroji dat, když uživatel zobrazí data. Pokud je zdroj dat připojený přímo pomocí jednotného přihlašování, přihlašovací údaje aktuálního uživatele se použijí k připojení ke zdroji dat, když uživatel zobrazí data. Při použití s jednotným přihlašováním je možné ve zdroji dat implementovat zabezpečení na úrovni řádků (RLS) nebo zabezpečení na úrovni objektů (OLS) a uživatelé tak můžou zobrazit data, ke kterým mají oprávnění. Pokud je připojení ke zdrojům dat v cloudu, Azure AD ověřování se používá pro jednotné přihlašování. Podporují se místní zdroje dat, Kerberos, SAML a Azure AD.

  Při připojování pomocí protokolu Kerberos se hlavní název uživatele předá bráně a pomocí omezeného delegování protokolu Kerberos se uživatel zosobní a připojí k příslušným zdrojům dat. V bráně pro zdroj dat SAP HANA se podporuje také SAML. Další informace najdete v přehledu jednotného přihlašování bran.

  Pokud je zdroj dat Azure Analysis Services nebo místní zabezpečení služby Analysis Services a zabezpečení na úrovni řádků (RLS) nebo zabezpečení na úrovni objektů (OLS), služba Power BI použije zabezpečení na úrovni řádků a uživatelé, kteří nemají dostatečná pověření pro přístup k podkladovým datům (což může být dotaz použitý v řídicím panelu, sestavě nebo jiném artefaktu dat), neuvidí data. pro které uživatel nemá dostatečná oprávnění.

  Zabezpečení na úrovni řádků pomocí Power BI se dá použít k omezení přístupu k datům pro dané uživatele. Filtry omezují přístup k datům na úrovni řádků a můžete definovat filtry v rámci role.

  Zabezpečení na úrovni objektů (OLS) lze použít k zabezpečení citlivých tabulek nebo sloupců. Na rozdíl od zabezpečení na úrovni řádků ale zabezpečení na úrovni objektů také zabezpečuje názvy objektů a metadata. To pomáhá zabránit uživatelům se zlými úmysly, aby objevili i existenci takových objektů. Zabezpečené tabulky a sloupce jsou v seznamu polí zakryty při používání nástrojů pro vytváření sestav, jako jsou Excel nebo Power BI, a navíc uživatelé bez oprávnění nemají přístup k zabezpečeným objektům metadat prostřednictvím jazyka DAX nebo jiné metody. Z hlediska uživatelů bez správných přístupových oprávnění neexistují zabezpečené tabulky a sloupce.

  Zabezpečení na úrovni objektů společně se zabezpečením na úrovni řádků umožňuje rozšířené zabezpečení na podnikové úrovni u sestav a datových sad, což zajišťuje, aby k zobrazení a interakci s citlivými daty měli přístup jenom uživatelé s požadovanými oprávněními.

Jak se data přenášejí do Power BI?

• Všechna požadovaná a přenášená data Power BI se při přenosu šifrují pomocí protokolu HTTPS (s výjimkou případů, kdy zdroj dat zvolený zákazník nepodporuje HTTPS) pro připojení ze zdroje dat ke služba Power BI. S poskytovatelem dat se zřídí zabezpečené připojení a až po zřízení tohoto připojení procházejí data sítí.

Jak Power BI ukládá data sestav, řídicích panelů a modelů do mezipaměti a je to bezpečné?

• Při přístupu ke zdroji dat se služba Power BI řídí procesem popsaným v části Ověřování ke zdrojům dat dříve v tomto dokumentu.

Ukládají klienti data webových stránek místně?

• Když klienti (prohlížeče) přistupují k Power BI, tak webové servery Power BI nastaví direktivu Cache-Control na no-store. Direktiva no-store nařizuje prohlížečům, aby webové stránky prohlížené uživateli neukládaly do mezipaměti ani do složky mezipaměti klienta.

A co zabezpečení na základě rolí, sdílení sestav nebo řídicích panelů a datová připojení? Jak tyhle věci fungují z hlediska přístupu k datům, zobrazení řídicích panelů, přístupu k sestavám a aktualizace sestav?

• U zdrojů dat bez zabezpečení na úrovni rolí (RLS) platí, že když se řídicí panel, sestava nebo datový model nasdílí přes Power BI ostatním uživatelům, můžou pak tito uživatelé zobrazit data a pracovat s nimi. Power BI uživatele znovu neověřuje u původního zdroje dat – po nahrání dat do Power BI odpovídá za správu toho, kteří další uživatelé a skupiny můžou data zobrazit, uživatel, který se ověřil u zdroje dat.

  Při vytváření datových připojení ke zdroji dat podporujícímu RLS, jako je zdroj dat Analysis Services, se v Power BI ukládají jenom data řídicího panelu. Při každém zobrazení nebo otevření sestavy nebo datové sady v Power BI, která používá data ze zdroje dat podporujícího RLS, přistupuje služba Power BI ke zdroji dat, aby získala data na základě přihlašovacích údajů uživatele – a pokud existují dostatečná oprávnění, data se tomuto uživateli načtou do sestavy nebo datového modelu. Pokud se ověření nezdaří, uživateli se zobrazí chyba.

  Další informace najdete v části Ověřování ke zdrojům dat dříve v tomto dokumentu.

Naši uživatelé se vždy připojují ke stejným zdrojům dat, ale některé z těchto zdrojů vyžadují jiné přihlašovací údaje, než jsou doménové přihlašovací údaje. Jak se dá zařídit, aby uživatelé nemuseli tyto přihlašovací údaje zadávat vždy, když vytvářejí datové připojení?

• Power BI nabízí funkci Power BI Personal Gateway, která uživatelům umožňuje vytvořit přihlašovací údaje pro více různých zdrojů dat a při následném přístupu ke každému z těchto zdrojů dat pak automaticky tyto přihlašovací údaje používat. Další informace získáte tady: Power BI Personal Gateway.

Které porty používá místní brána dat a osobní brána? Musí se pro účely připojení povolit nějaké názvy domén?

• Podrobná odpověď na tuto otázku je k dispozici na následujícím odkazu: Porty brány

Když se pracuje s místní bránou dat, jak se používají a kde jsou uložené obnovovací klíče? A co zabezpečená správa přihlašovacích údajů?

• Během instalace a konfigurace brány zadá správce obnovovací klíč brány. Tento obnovovací klíč se používá k vygenerování silného symetrického klíče AES. Asymetrický klíč RSA se také vytvoří současně.

  Tyto vygenerované klíče (RSA a AES) se uloží do souboru umístěného v místním počítači. Tento soubor je také šifrovaný. Obsah tohoto souboru může být dešifrován jenom tímto konkrétním počítačem s Windows a jenom tímto konkrétním účtem služby brány.

  Když uživatel pomocí uživatelského rozhraní služby Power BI zadá přihlašovací údaje zdroje dat, tyto přihlašovací údaje se v prohlížeči zašifrují pomocí veřejného klíče. Brána dešifruje přihlašovací údaje pomocí privátního klíče RSA a před uložením dat do služba Power BI je znovu zašifruje symetrickým klíčem AES. Díky tomuto postupu nemá služba Power BI nikdy přístup k nezašifrovaným datům.

Jaké komunikační protokoly používá místní brána dat a jak jsou zabezpečené?

• Brána podporuje následující dva komunikační protokoly:

  • AMQP 1.0 – TCP + TLS: Tento protokol vyžaduje otevření portů 443, 5671-5672 a 9350-9354 pro odchozí komunikaci. Tento protokol je upřednostňovaný, protože má nižší režii komunikace.

  • HTTPS – Protokoly WebSocket přes HTTPS + TLS: Tento protokol používá pouze port 443. WebSocket je inicializovaný jedinou zprávou HTTP CONNECT. Když je kanál vytvořený, komunikace probíhá v podstatě jako TCP+TLS. Bránu můžete vynutit, aby používala tento protokol úpravou nastavení popsaného v článku o místní bráně.

Jakou úlohu v Power BI má Azure CDN?

• Jak jsme uvedli dříve, Power BI používá Azure Content Delivery Network (CDN) k efektivní distribuci potřebného statického obsahu a souborů uživatelům na základě zeměpisného umístění. Když půjdeme do podrobností, tak služba Power BI používá více sítí CDN k efektivní distribuci potřebného statického obsahu a souborů uživatelům ve veřejném internetu. Tyto statické soubory zahrnují soubory produktů ke stažení (například Power BI Desktop, místní bránu dat nebo aplikace Power BI od různých nezávislých poskytovatelů služeb), konfigurační soubory prohlížeče, které se používají k inicializaci a zřízení všech následných připojení pomocí služby Power BI, a také zabezpečenou stránku pro počáteční přihlášení k Power BI.

  Na základě informací poskytnutých během počátečního připojení ke službě Power BI kontaktuje prohlížeč uživatele určenou síť Azure CDN (nebo, u některých souborů, kontaktuje cluster WFE), aby si stáhnul kolekci určených běžných souborů, které jsou nutné k umožnění interakce prohlížeče se službou Power BI. Stránka prohlížeče pak obsahuje token Azure AD, informace o relaci, umístění přidruženého back-endového clusteru a kolekci souborů stažených z clusteru Azure CDN a WFE po dobu trvání relace prohlížeče služba Power BI.

U vizuálů Power BI microsoft před publikováním položek do galerie provádí nějaké posouzení zabezpečení nebo ochrany osobních údajů vlastního kódu vizuálu?

• No. Kontrola kódu vlastních vizuálů a jeho spolehlivosti je věcí zákazníka. Veškerý kód vlastních vizuálů se provádí v izolovaném prostředí (sandbox), takže jakýkoli pochybný kód ve vlastních vizuálech nemá negativní vliv na zbytek služby Power BI.

Existují jiné vizuály Power BI, které odesílají informace mimo síť zákazníka?

• Ano. Mapy Bing a vizuály ESRI přenášejí data mimo službu Power BI u vizuálů, které tyto služby používají.

V případě aplikací šablon provádí Microsoft nějaké posouzení zabezpečení nebo ochrany osobních údajů aplikace šablony před publikováním položek do galerie?

• No. Vydavatel aplikace zodpovídá za obsah, zatímco je zodpovědností zákazníka ke kontrole a určení, jestli má vydavatel aplikace šablony důvěřovat.

Existují aplikace šablon, které můžou odesílat informace mimo síť zákazníků?

• Ano. Je zodpovědností zákazníka zkontrolovat zásady ochrany osobních údajů vydavatele a určit, jestli se má aplikace šablony nainstalovat do tenanta. Vydavatel zodpovídá za informování zákazníka o chování a možnostech aplikace.

A co datová suverenita? Můžeme tenanty zřizovat v datových centrech umístěných v konkrétních zeměpisných oblastech, abychom zajistili, že data neopustí hranice země?

• Někteří zákazníci v určitých zeměpisných oblastech mají možnost vytvořit tenanta v národním cloudu. Data se pak ukládají a zpracovávají samostatně od ostatních datových center. Národní cloudy mají trochu jiný typ zabezpečení, protože samostatný zplnomocněnec dat provozuje službu národního cloudu Power BI jménem Microsoftu.

  Zákazníci můžou také nastavit tenanta v konkrétní oblasti. Takové tenanty ale nemají samostatného správce dat od Microsoftu. Ceny národních cloudů jsou jiné než u obecně dostupné komerční služby Power BI. Další informace o dostupnosti služby Power BI pro národní cloudy najdete v článku o Národní cloudy Power BI.

Jak Microsoft nakládá s připojeními u zákazníků, kteří mají předplatné Power BI Premium? Jsou tato připojení jiná než připojení vytvořená pro službu Power BI jinou než Premium?

• Připojení vytvořená pro zákazníky s předplatnými Power BI Premium implementují proces autorizace B2B (Azure Business-to-Business) pomocí Azure AD k povolení řízení přístupu a autorizace. Power BI zachází s připojeními předplatitelů Power BI Premium k prostředkům Power BI Premium, jako by to byli libovolní jiní uživatelé Azure AD.

Další materiály

Další informace o Power BI najdete pod následujícími odkazy.

• Začínáme s Power BI Desktopem
• Rozhraní REST API Power BI – přehled
• Rozhraní API Power BI – referenční informace
• On-premises data gateway (Místní brána dat)
• Národní cloudy Power BI
• Power BI Premium
• Přehled jednotného přihlašování pro brány v Power BI