Dokument white paper o zabezpečení v Power BIPower BI security whitepaper

Shrnutí: Power BI je online softwarová služba (SaaS nebo software jako služba), která nabízí Microsoftu, která umožňuje snadno a rychle vytvářet řídicí panely, sestavy, datové sady a vizualizace pro samoobslužnou službu Business Intelligence.Summary: Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Power BI můžete připojovat k mnoha různým zdrojům dat, kombinovat data z těchto připojení, formovat je a pak vytvářet sestavy a řídicí panely, které můžete sdílet s ostatními.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Zapisovač: David ŠafránekWriter: David Iseminger

Techničtí kontroloři: Pedram Rezaei, Cristian Petculescu, Siva Harinath, Tod obsazení, Haydn Richardson, Adam Wilson, Robert Childs, Robert Bruckner, Sergei Gundorov, Kasper de JongeTechnical Reviewers: Pedram Rezaei, Cristian Petculescu, Siva Harinath, Tod Manning, Haydn Richardson, Adam Wilson, Ben Childs, Robert Bruckner, Sergei Gundorov, Kasper de Jonge

Platí pro: Power BI SaaS, Power BI Desktop, Power BI Embedded Power BI PremiumApplies to: Power BI SaaS, Power BI Desktop, Power BI Embedded, Power BI Premium

Poznámka

Tento dokument White Paper můžete uložit nebo vytisknout výběrem možnosti Tisk v prohlížeči a následným výběrem možnosti Uložit jako PDF.You can save or print this whitepaper by selecting Print from your browser, then selecting Save as PDF.

ÚvodIntroduction

Power BI je online softwarová služba (SaaS nebo software jako služba), která nabízí Microsoftu, která umožňuje snadno a rychle vytvářet řídicí panely, sestavy, datové sady a vizualizace pro samoobslužnou službu Business Intelligence.Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Power BI můžete připojovat k mnoha různým zdrojům dat, kombinovat data z těchto připojení, formovat je a pak vytvářet sestavy a řídicí panely, které můžete sdílet s ostatními.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Služba Power BI se řídí podmínkami Microsoftu pro služby online a prohlášením Microsoftu o zásadách ochrany osobních údajů.The Power BI service is governed by the Microsoft Online Services Terms, and the Microsoft Enterprise Privacy Statement. Informace o místě zpracování dat najdete v podmínkách Microsoftu pro služby online v části s podmínkami pro umístění zpracování dat.For the location of data processing, refer to the Location of Data Processing terms in the Microsoft Online Services Terms. Informace o dodržování předpisů najdete v centru Microsoft Trust Center, které je hlavním zdrojem informací o Power BI.For compliance information, the Microsoft Trust Center is the primary resource for Power BI. Tým Power BI se trvale snaží přinášet zákazníkům nejnovější inovace a nástroje zvyšující produktivitu.The Power BI team is working hard to bring its customers the latest innovations and productivity. Power BI je v současné době ve vrstvě D Microsoft 365 architektury dodržování předpisů.Power BI is currently in Tier D of the Microsoft 365 Compliance Framework. Přečtěte si další informace o dodržování předpisů v Centru zabezpečení Microsoftu.Learn more about compliance in the Microsoft Trust Center.

V tomto článku je popsané zabezpečení Power BI. Je zde vysvětlená architektura Power BI, způsob ověřování uživatelů při přístupu k Power BI a vytváření datových připojení. Článek také vysvětluje, jak služba Power BI ukládá data a přesouvá je.This article describes Power BI security by providing an explanation of the Power BI architecture, then explaining how users authenticate to Power BI and data connections are established, and then describing how Power BI stores and moves data through the service. Poslední část je věnovaná otázkám, které se týkají zabezpečení, a odpovědím na ně.The last section is dedicated to security-related questions, with answers provided for each.

Architektura Power BIPower BI Architecture

Služba Power BI je založená na Azure, což je cloudová výpočetní platforma Microsoftu.The Power BI service is built on Azure, which is Microsoft's cloud computing platform. Služba Power BI je v současnosti nasazená v mnoha datových centrech po celém světě. Existuje řada aktivních nasazení, která mají zákazníci k dispozici v oblastech, kde tato datová centra nabízejí služby, a stejný počet pasivních nasazení, která slouží jako zálohy všech aktivních nasazení.Power BI is currently deployed in many datacenters around the world – there are many active deployments made available to customers in the regions served by those datacenters, and an equal number of passive deployments that serve as backups for each active deployment.

Každé nasazení Power BI se skládá ze dvou clusterů – clusteru WFE (Web Front End) a clusteru Back-End.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster. Tyto dva clustery jsou vidět na následujícím obrázku a ve zbývající části tohoto článku z nich budeme vycházet.These two clusters are shown in the following image, and provide the backdrop for the rest of this article.

WFE a Back End

Power BI používá k ověřování a správě účtů službu Azure Active Directory (AAD).Power BI uses Azure Active Directory (AAD) for account authentication and management. Power BI taky používá Azure Traffic Manager (ATM) k přímému nasměrování uživatelského provozu do nejbližšího datového centra určeného záznamem DNS klienta, který se pokouší připojit, pro proces ověřování a stažení statického obsahu a souborů.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI používá geograficky nejbližší WFE k efektivní distribuci potřebného statického obsahu a souborů uživatelům s výjimkou Power BI vizuálů dodaných pomocí služby Azure Content Delivery Network (CDN).Power BI uses the geographically closest WFE to efficiently distribute the necessary static content and files to users, with the exception of Power BI visuals which are delivered using the Azure Content Delivery Network (CDN).

Cluster WFEThe WFE Cluster

Cluster WFE spravuje proces počátečního připojení a ověření pro Power BI. Pomocí AAD ověřuje klienty a poskytuje tokeny pro následná připojení klientů ke službě Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service.

Cluster WFE

Když se uživatelé pokusí připojit ke službě Power BI, může služba DNS klienta komunikovat s Azure Traffic Managerem o nalezení nejbližšího datového centra s nasazenou službou Power BI.When users attempt to connect to the Power BI service, the client's DNS service may communicate with the Azure Traffic Manager to find the nearest datacenter with a Power BI deployment. Další informace o tomto postupu najdete v článku o metodách efektivního směrování provozu prostřednictvím Azure Traffic Manageru.For more information about this process, see Performance traffic routing method for Azure Traffic Manager.

Cluster WFE, který je uživateli nejblíže, spravuje přihlašovací a ověřovací postupy (popsané v další části tohoto článku), a v případě úspěšného ověření poskytne uživateli token AAD.The WFE cluster nearest to the user manages the login and authentication sequence (described later in this article), and provides an AAD token to the user once authentication is successful. Komponenta ASP.NET v clusteru WFE analyzuje požadavek, aby zjistila, do jaké organizace uživatel patří, a pak se obrátí na globální službu Power BI.The ASP.NET component within the WFE cluster parses the request to determine which organization the user belongs to, and then consults the Power BI Global Service. Globální služba je jediná tabulka Azure, která je společná pro všechny clustery WFE a Back-End na světě a mapuje uživatele a organizace zákazníků na datová centra, kde se nachází jejich tenant Power BI.The Global Service is a single Azure Table shared among all worldwide WFE and Back-End clusters that maps users and customer organizations to the datacenter that houses their Power BI tenant. WFE upřesňuje prohlížeči, v kterém clusteru Back-End se nachází tenant organizace.The WFE specifies to the browser which Back-End cluster houses the organization's tenant. Po ověření uživatele probíhá další interakce klienta přímo s clusterem Back-End. To znamená, že u těchto žádostí WFE nevystupuje jako prostředník.Once a user is authenticated, subsequent client interactions occur with the Back-End cluster directly, without the WFE being an intermediator for those requests.

Cluster Back-End služby Power BIThe Power BI Back-End Cluster

Prostřednictvím clusteru Back-End ověření klienti komunikují se službou Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. Cluster Back-End spravuje vizualizace, řídicí panely uživatelů, datové sady, sestavy, úložiště dat, datová připojení, aktualizace dat a další aspekty interakce se službou Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service.

Cluster Back-End

Role Brána funguje jako brána mezi požadavky uživatelů a službou Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Uživatelé přímo nekomunikují s žádnou jinou rolí než s rolí brány.Users do not interact directly with any roles other than the Gateway Role.

Důležité informace: Je potřeba poznamenat, že prostřednictvím veřejného Internetu jsou přístupné jenom role Azure API Management (APIM) a brána (GS).Important: It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Poskytují ověřování, autorizaci, ochranu před útoky DDoS, omezování, vyrovnávání zatížení, směrování a další funkce.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Tečkovaná čára na předchozím obrázku clusteru Back-End znázorňuje hranici mezi jedinými dvěma rolemi, ke kterým mají přístup uživatelé (nalevo od tečkované čáry), a rolemi, ke kterým má přístup jenom systém.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two roles that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Když se ke službě Power BI připojí ověřený uživatel, přijme a spravuje připojení a všechny žádosti klienta role brány a služba Azure API Management, která pak jménem uživatele komunikuje se zbytkem služby Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role and Azure API Management, which then interacts on the user's behalf with the rest of the Power BI Service. Když se třeba klient pokusí zobrazit řídicí panel, brána Role požadavek přijme a pak samostatně odešle požadavek na roli Prezentace, aby se potřebná data načetla v prohlížeči k vykreslení řídicího panelu.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Role brány

Power BI PremiumPower BI Premium

Power BI Premium nabízí předplatitelům, kteří ke svým činnostem v Power BI potřebují vyhrazené prostředky, pracovní prostor služby, která je vyhrazená, zřízená a uspořádaná do oddílů.Power BI Premium offers a dedicated, provisioned, and partitioned service workspace for subscribers that need dedicated resources for their Power BI activities. Když si zákazník zaregistruje předplatné Power BI Premium, vytvoří se mu prostřednictvím Azure Resource Manageru kapacita Premium.When a customer signs up for a Power BI Premium subscription, the Premium capacity is created through the Azure Resource Manager. Při zavedení předplatného se přiřadí sada virtuálních počítačů, která odpovídá úrovni předplatného a nachází se v datovém centru, které hostuje tenanta Power BI (výjimku tvoří geografická prostředí Multi-Geo popsaná v další části tohoto dokumentu) a bylo inicializované jako nasazení služby Azure Service Fabric.The rollout of that subscription assigns a set of virtual machines commensurate with the subscription level, in the datacenter where their Power BI tenant is hosted (with the exception of multi-geo environments, as described later in this document), initiated as an Azure Service Fabric deployment.

Power BI Premium

Jakmile je předplatné vytvořené, je veškerá komunikace s clusterem Premium směrovaná do clusteru Back-End služby Power BI, kde je v rámci předplatného Power BI Premium vytvořené připojení k vyhrazeným virtuálním počítačům klienta.Once created, all communication with the Premium cluster is routed through the Power BI Back-End cluster, where a connection to the client's dedicated Power BI Premium subscription virtual machines is established.

Architektura úložiště datData Storage Architecture

Power BI používá k ukládání a správě dat dvě hlavní úložiště. Data, která nahrávají uživatelé, se většinou posílají do úložiště Azure BLOB a všechna metadata a také artefakty samotného systému se ukládají za firewall do Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure Blob storage, and all metadata as well as artifacts for the system itself are stored behind a firewall in Azure SQL Database.

Úložiště dat

Například když uživatel importuje do služby Power BI excelový sešit, vytvoří se v paměti služby Analysis Services tabulková databáze, kde jsou data uložená v paměti až hodinu (nebo dokud v systému nedojde k přetížení paměti).For example, when a user imports an Excel workbook into the Power BI service, an in-memory Analysis Services tabular database is created, and the data is stored in-memory for up to one hour (or until memory pressure occurs on the system). Data se také odešlou do úložiště Azure Blob.The data is also sent to Azure Blob storage.

Metadata o předplatném Power BI uživatele, jako jsou řídicí panely, sestavy, nedávné zdroje dat, pracovní prostory, informace o organizaci, informace o tenantovi a další metadata o systému, jsou uložená a aktualizovaná v Azure SQL Database.Metadata about a user's Power BI subscription, such as dashboards, reports, recent data sources, workspaces, organizational information, tenant information, and other metadata about the system is stored and updated in Azure SQL Database. Všechny informace uložené v Azure SQL Database jsou plně šifrované technologií transparentního šifrování dat (TDE) služby Azure SQL.All information stored in Azure SQL Database is fully encrypted using Azure SQL's Transparent Data Encryption (TDE) technology. Šifrovaná jsou také všechna data uložená v úložišti Azure Blob.All data that is stored in Azure Blob storage is also encrypted. Další informace o postupech načítání, ukládání a přesouvání dat jsou v oddílu o ukládání a pohybu dat.More information about the process of loading, storing, and moving data is described in the Data Storage and Movement section.

Vytvoření tenantaTenant Creation

Tenant je vyhrazená instance služby Azure AD, kterou organizace obdrží a vlastní, když se přihlásí ke cloudové službě Microsoftu, jako je Azure, Microsoft Intune, Power BI nebo Microsoft 365.A tenant is a dedicated instance of the Azure AD service that an organization receives and owns when it signs up for a Microsoft cloud service such as Azure, Microsoft Intune, Power BI, or Microsoft 365. Každý tenant Azure AD se odlišuje a je oddělený od ostatních tenantů Azure AD.Each Azure AD tenant is distinct and separate from other Azure AD tenants.

V klientovi se nachází uživatelé a společnosti a informace o nich – hesla, data uživatelského profilu, oprávnění atd.A tenant houses the users in a company and the information about them - their passwords, user profile data, permissions, and so on. Obsahuje také skupiny, aplikace a další informace týkající se organizace a jejího zabezpečení.It also contains groups, applications, and other information pertaining to an organization and its security. Další informace najdete v tématu co je tenant služby Azure AD.For more information, see What is an Azure AD tenant.

Power BI tenant se vytvoří v datacentru, které se považuje za nejbližší k zemi (nebo oblasti) a informacím o stavu poskytovaném pro tenanta v Azure Active Directory, které byly poskytnuty při počátečním zřízení Microsoft 365 nebo služba Power BI.A Power BI tenant is created in the datacenter deemed closest to the country (or region) and state information provided for the tenant in Azure Active Directory, which was provided when the Microsoft 365 or Power BI service was initially provisioned. Dnes se tenant Power BI z umístění v datovém centru nepřesouvá.The Power BI tenant does not move from that datacenter location today.

Více geografických oblastí (Multi-Geo)Multiple Geographies (Multi-geo)

Některé organizace vyžadují, aby služba Power BI byla přítomna ve více geografických nebo jiných oblastech. Vychází to z jejich obchodních potřeb.Some organizations require a Power BI presence in multiple geographies, or regions, based on business needs. Společnost může mít například svého tenanta Power BI v USA, ale může také provádět podnikání v jiných geografických oblastech, jako je Austrálie, a potřebovat určitá Power BIová data, která zůstávají v klidovém stavu v této vzdálené oblasti, aby dodržovala místní předpisy.For example, a business may have its Power BI tenant in the United States but may also do business in other geographical areas, such as Australia, and need certain Power BI data to remain at rest in that remote region to comply with local regulations. Od druhé poloviny 2018 mohou organizace, které mají svého domovského tenanta v jedné geografické oblasti, zřídit i Power BI prostředky umístěné v jiné geografické oblasti.Beginning in the second half of 2018, organizations with their home tenant in one geography can also provision and access Power BI resources located in another geography. Tato funkce se z praktických důvodů označuje jako Multi-Geo a toto označení se používá i v tomto dokumentu.This feature is referred to as multi-geo for convenience and reference throughout this document.

Nejaktuálnějším a primárním článkem pro více geografických informací je Konfigurace více geografických možností pro Power BI Premium článek.The most current and primary article for multi-geo information is the configure Multi-Geo support for Power BI Premium article.

Existuje více technických informací, které je třeba vyhodnotit v souvislosti s místními zákony a předpisy při provozu v různých geografických oblastech.There are multiple technical details that should be evaluated in the context of local laws and regulations when operating in different geographies. Mezi tyto podrobnosti patří následující:These details include the following:

  • Vrstva vzdáleného spuštění dotazu je hostována v oblasti vzdálené kapacity, aby se zajistilo, že datový model, mezipaměti a většina zpracování dat zůstanou v oblasti vzdálené kapacity.A remote query execution layer is hosted in the remote capacity region, to ensure that the data model, caches, and most data processing remain in the remote capacity region. Existují nějaké výjimky, jak je popsáno v článku o více geografických Power BI Premium .There are some exceptions, as detailed on the multi-geo for Power BI Premium article.
  • Text dotazu uložený v mezipaměti a odpovídající výsledek uložený ve vzdálené oblasti zůstane v této oblasti v klidovém režimu, ale ostatní data v přenosu se můžou vracet mezi několika geografickými oblastmi.A cached query text and corresponding result stored in a remote region will stay in that region at rest, however other data in transit may go back and forth between multiple geographies.
  • Soubory PBIX nebo XLSX publikované (nahrané) do geografické kapacity služba Power BI můžou vést k dočasnému uložení kopie do úložiště objektů BLOB v Azure v oblasti tenanta Power BI.PBIX or XLSX files that are published (uploaded) to a multi-geo capacity of the Power BI service may result in a copy being temporarily stored in Azure Blob storage in Power BI's tenant region. V takových případech jsou data zašifrovaná pomocí šifrování služby Azure Storage (SSE) a kopie je naplánována na uvolňování paměti, jakmile se dokončí zpracování obsahu souboru a přenos do vzdálené oblasti.In such circumstances, the data is encrypted using Azure Storage Service Encryption (SSE), and the copy is scheduled for garbage collection as soon as the file content processing and transfer to the remote region is completed.
  • Při přesouvání dat mezi oblastmi v prostředí s více geografickými prostředími se instance dat ve zdrojové oblasti odstraní během 7-30 dnů.When moving data across regions in a multi-geo environment, the instance of the data in the source region will be deleted within 7-30 days.

Datová centra a národní prostředíDatacenters and Locales

Služba Power BI je nabízená v určitých oblastech, které odpovídají nasazeným clusterům Power BI v jakých regionálních datových centrech.Power BI is offered in certain regions, based on where Power BI clusters are deployed in regional datacenters. Microsoft plánuje rozšíření infrastruktury Power BI i do dalších datových center.Microsoft plans to expand its Power BI infrastructure into additional datacenters.

Další informace o datových centrech Azure získáte prostřednictvím následujících odkazů.The following links provide additional information about Azure datacenters.

  • Oblasti Azure – informace o globální přítomnosti a umístění služeb AzureAzure Regions – information about Azure's global presence and locations
  • Služby Azure v jednotlivých oblastech – kompletní seznam služeb Azure (jak služeb infrastruktury, tak služeb platformy), které Microsoft nabízí v každé oblasti.Azure Services, by region – a complete listing of Azure services (both infrastructure services and platform services) available from Microsoft in each region.

V současné době je služba Power BI k dispozici v konkrétních oblastech, které jsou obsluhované datacentry, jak je popsáno na webu Microsoft Trust Center.Currently, the Power BI service is available in specific regions, serviced by datacenters as described in the Microsoft Trust Center. Následující odkaz zobrazí mapu datových center pro Power BI. Když najedete myší na oblast, zobrazí se v ní umístěná datová centra:The following link shows a map of Power BI datacenters, you can hover over a region to see the datacenters located there:

Microsoft také poskytuje datacentra pro suverénní cloudy.Microsoft also provides datacenters for sovereignties. Další informace o dostupnosti služby Power BI pro národní cloudy najdete v článku o Národní cloudy Power BI.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Další informace o tom, kde se vaše data ukládají a jak se používají, najdete na webu Microsoft Trust Center.For more information on where your data is stored and how it is used, refer to the Microsoft Trust Center. Závazky týkající se umístění neaktivních uložených zákaznických dat najdete v části Podmínky zpracování dat v Podmínkách služeb Microsoft Online Services.Commitments about the location of customer data at rest are specified in the Data Processing Terms of the Microsoft Online Services Terms.

Ověřování uživatelůUser Authentication

Ověřování uživatelů ve službě Power BI se skládá z řady dotazů, odpovědí a přesměrování mezi prohlížečem uživatele a službou Power BI nebo službami Azure, které Power BI používá.User authentication to the Power BI service consists of a series of requests, responses, and redirects between the user's browser and the Power BI service or the Azure services used by Power BI. Tato posloupnost popisuje proces ověřování uživatelů v Power BI.That sequence describes the process of user authentication in Power BI. Další informace o možnostech pro modely ověřování uživatelů v organizaci (modely přihlášení) najdete v tématu Volba modelu přihlašování pro Microsoft 365.For more information about options for an organization's user authentication models (sign-in models), see Choosing a sign-in model for Microsoft 365.

Posloupnost ověřováníAuthentication Sequence

Posloupnost ověřování uživatelů ve službě Power BI se provádí následujícím postupem, který je doplněn o ilustrace.The user authentication sequence for the Power BI service occurs as described in the following steps, which are illustrated in the following images.

  1. Uživatel zahájí připojení k služba Power BI z prohlížeče, a to buď zadáním Power BI adresy na adresní řádek (například https://app.powerbi.com ), nebo výběrem možnosti přihlásit z Power BI cílové stránky ( https://powerbi.microsoft.com) .A user initiates a connection to the Power BI service from a browser, either by typing in the Power BI address in the address bar (such as https://app.powerbi.com) or by selecting Sign In from the Power BI landing page (https://powerbi.microsoft.com). Připojení se naváže pomocí protokolů TLS 1.2 a HTTPS a veškerá následná komunikace mezi prohlížečem a službou Power BI se odehrává přes protokol HTTPS.The connection is established using TLS 1.2 and HTTPS, and all subsequent communication between the browser and the Power BI service uses HTTPS. Žádost se pošle do služby Azure Traffic Manager.The request is sent to the Azure Traffic Manager.

  2. Azure Traffic Manager zkontroluje záznam DNS uživatele a určí nejbližší datacentrum, kde je nasazena služba Power BI, a v odpovědi systému DNS pošle IP adresu clusteru WFE, do kterého se má uživatel odeslat.The Azure Traffic Manager checks the user's DNS record to determine the nearest datacenter where Power BI is deployed, and responds to the DNS with the IP address of the WFE cluster to which the user should be sent.

  3. WFE potom přesměruje uživatele na přihlašovací stránku služeb Microsoft Online Services.WFE then redirects the user to Microsoft Online Services login page.

    Posloupnost ověřování

  4. Po ověření přihlašovací stránka přesměruje uživatele do dříve určeného nejbližšího clusteru WFE služby Power BI.Once the user is authenticated, the login page redirects the user to the previously determined nearest Power BI service WFE cluster.

  5. Prohlížeč odešle soubor cookie získaný z úspěšného přihlášení do služeb Microsoft Online Services, který zkontroluje služba ASP.NET uvnitř clusteru WFE.The browser submits a cookie that was obtained from the successful login to Microsoft Online Services, which is inspected by the ASP.NET service inside the WFE cluster.

  6. Cluster WFE se obrátí na službu Azure Active Directory (AAD) a ověří předplatné služby Power BI uživatele a získá token zabezpečení AAD.The WFE cluster checks with the Azure Active Directory (AAD) service to authenticate the user's Power BI service subscription, and to obtain an AAD security token. Když AAD vrátí úspěšné ověření uživatele a token zabezpečení AAD, cluster WFE se obrátí na globální službu Power BI, která udržuje seznam tenantů a jejich umístění clusterů Back-End Power BI. Dále určí cluster služby Power BI, který obsahuje tenanta uživatele.When AAD returns successful authentication of the user and returns an AAD security token, the WFE cluster consults the Power BI**** Global Service, which maintains a list of tenants and their Power BI Back-End cluster locations, and determines which Power BI service cluster contains the user's tenant. Cluster WFE potom přesměruje uživatele do clusteru Power BI, kde se jeho tenant nachází, a vrátí do prohlížeče uživatele kolekci položek:The WFE cluster then directs the user to the Power BI cluster where its tenant resides, and returns a collection of items to the user's browser:

    • token zabezpečení AAD,The AAD security token
    • informace o relaci,Session information
    • webovou adresu clusteru Back-End, se kterým uživatel může komunikovat a pracovatThe web address of the Back-End cluster the user can communicate and interact with
  7. Prohlížeč uživatele potom kontaktuje určenou síť Azure CDN (nebo, u některých souborů, kontaktuje WFE), aby si stáhnul kolekci určených běžných souborů, které jsou nutné k umožnění interakce prohlížeče se službou Power BI.The user's browser then contacts the specified Azure CDN, or for some of the files the WFE, to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. Stránka prohlížeče pak zahrnuje token AAD, informace o relaci, umístění přidruženého clusteru Back-End a kolekci souborů stažených z Azure CDN a clusteru WFE – po dobu trvání relace prohlížeče ve službě Power BI.The browser page then includes the AAD token, session information, the location of the associated Back-End cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

Interakce s Azure CDN

Po shromáždění těchto položek prohlížeč iniciuje kontakt se zadaným clusterem Back-End a zahájí se interakce uživatele se službou Power BI.Once those items are complete, the browser initiates contact with the specified Back-End cluster and the user's interaction with the Power BI service commences. Od této chvíle se všechna volání do služby Power BI odehrávají přes určený cluster Back-End a všechna volání zahrnují token AAD uživatele.From that point forward, all calls to the Power BI service are with the specified Back-End cluster, and all calls include the user's AAD token. Token AAD má časový limit jednu hodinu; WFE pravidelně token aktualizuje, aby se zachoval přístup v případě, že relace uživatele zůstane otevřená.The AAD token has a timeout of one hour; the WFE refreshes the token periodically if a user's session remains open, in order to preserve access.

Ukládání a přesun datData Storage and Movement

Ve službě Power BI existují dva typy dat: neaktivní uložená data (jedná se o data dostupná uživateli Power BI, se kterými se aktuálně nepracuje) a data v procesu (jedná se například o spouštěné dotazy, datová připojení a modely, s nimiž se pracuje, data nebo modely nahrávané do služby Power BI a další akce, které uživatelé nebo služba Power BI můžete provádět u dat, s nimiž se aktivně pracuje nebo která se aktualizují).In the Power BI service, data is either at rest (data available to a Power BI user that is not currently being acted upon), or it is in process (for example: queries being run, data connections and models being acted upon, data and/or models being uploaded into the Power BI service, and other actions that users or the Power BI service may take on data that is actively being accessed or updated). Data, která jsou v procesu, se označují jako data v procesu.Data that is in process is referred to as data in process. Neaktivní uložená data jsou v Power BI zašifrovaná.Data at rest in Power BI is encrypted. Data, která se přenáší – to znamená data odesílaná nebo přijímaná službou Power BI, jsou také zašifrovaná.Data that is in transit, which means data being sent or received by the Power BI service, is also encrypted.

Služba Power BI také data spravuje různými způsoby podle toho, jestli se k datům přistupuje přes DirectQuery nebo import.The Power BI service also manages data differently based on whether the data is accessed with a DirectQuery, or import. Pro Power BI tudíž existují dvě kategorie uživatelských dat: data, ke kterým přistupuje DirectQuery, a data, k nimž DirectQuery nepřistupuje.So there are two categories of user data for Power BI: data that is accessed by DirectQuery, and data which is not accessed by DirectQuery.

DirectQuery je dotaz, pro který byl dotaz uživatele Power BI přeložen z jazyka DAX (Data Analysis Expressions) od Microsoftu (tento jazyk používá Power BI a další produkty Microsoft k vytváření dotazů) v nativním jazyce dat zdroje dat (například T-SQL nebo jiných nativních databázových jazycích).A DirectQuery is a query for which a Power BI user's query has been translated from Microsoft's Data Analysis Expressions (DAX) language – which is the language used by Power BI and other Microsoft products to create queries – in the data source's native data language (such as T-SQL, or other native database languages). Data přidružená k DirectQuery se ukládají pouze jako odkazy, což znamená, že zdroj dat se v Power BI neukládá, pokud DirectQuery není aktivní (s výjimkou dat vizualizací používaných k zobrazení řídicích panelů a sestav, jak je popsáno v části Data v procesu (přesun dat) níže).The data associated with a DirectQuery is stored by reference only, which means source data is not stored in Power BI when the DirectQuery is not active (except for visualization data used to display dashboards and reports, as described in the Data in process (data movement) section, below). Místo toho se ukládají odkazy na data DirectQuery, což umožňuje přístup k daným datům při spuštění DirectQuery.Rather, references to DirectQuery data are stored which allow access to that data when the DirectQuery is run. DirectQuery obsahuje všechny informace nezbytné ke spuštění dotazu, včetně připojovacího řetězce a přihlašovacích údajů pro přístup ke zdrojům dat. Díky tomu se DirectQuery může připojit k zahrnutým zdrojům dat za účelem automatické aktualizace.A DirectQuery contains all the necessary information to execute the query, including the connection string and the credentials used to access the data sources, which allow the DirectQuery to connect to the included data sources for automatic refresh. Při použití DirectQuery se informace o podkladovém datovém modelu začlení do DirectQuery.With a DirectQuery, underlying data model information is incorporated into the DirectQuery.

Dotaz pro datovou sadu importu je tvořen kolekcí dotazů DAX, které se nepřekládají přímo do nativního jazyka podkladového zdroje dat.A query for an import dataset consist of a collection of DAX queries that are not directly translated to the native language of any underlying data source. Dotazy importu nezahrnují přihlašovací údaje k podkladovým datům, a podkladová data se načtou do služby Power BI, pokud se nejedná o místní data používaná přes Power BI Gateway. V takovém případě dotaz uloží pouze odkazy na místní data.Import queries do not include credentials for the underlying data, and the underlying data is loaded into the Power BI service unless it is on-premises data accessed through a Power BI Gateway, in which case the query only stores references to on-premises data.

Následující tabulka popisuje data Power BI na základě typu použitého dotazu.The following table describes Power BI data based on the type of query being used. X znamená přítomnost dat Power BI, když se použije přidružený typ dotazu.An X indicates the presence of Power BI data when using the associated query type.

ImportImport DirectQueryDirectQuery Živé připojeníLive Connect
SchémaSchema XX XX
Data na řádkuRow data XX
Ukládání dat vizuálů do mezipamětiVisuals data caching XX XX XX

Rozdíl mezi DirectQuery a ostatními dotazy určuje to, jak služba Power BI zpracovává neaktivní uložená data, a to, zda se dotaz samotný šifruje.The distinction between a DirectQuery and other queries determines how the Power BI service handles the data at rest, and whether the query itself is encrypted. Následující části popisují neaktivní uložená data a data, která se přesunují, a vysvětlují šifrování, umístění a proces zpracování dat.The following sections describe data at rest and in movement, and explain the encryption, location, and process for handling data.

Neaktivní uložená dataData at rest

Pokud jsou data neaktivní a uložená, služba Power BI ukládá datové sady, sestavy a dlaždice řídicího panelu způsobem popsaným v následujících pododdílech.When data is at rest, the Power BI service stores datasets, reports, and dashboard tiles in the manner described in the following subsections. Jak jsme už zmínili dříve, neaktivní uložená data jsou v Power BI zašifrovaná.As mentioned earlier, data at rest in Power BI is encrypted. V následujících částech ETL označuje extrakci, transformaci a načítání.ETL stands for Extract, Transform and Load in the following sections.

Šifrovací klíčeEncryption Keys

  • Šifrovací klíče pro klíče objektů blob v Azure se ukládají a šifrují ve službě Azure Key Vault.The encryption keys to Azure Blob keys are stored, encrypted, in Azure Key Vault.
  • Šifrovací klíče pro technologii transparentního šifrování dat služby Azure SQL Database si spravuje služba Azure SQL sama.The encryption keys for Azure SQL Database TDE technology is managed by Azure SQL itself.
  • Šifrovací klíče pro službu přesunu dat a místní bránu dat se ukládají do následujících umístění:The encryption key for Data Movement service and on-premises data gateway are stored:
    • Místní brána dat v infrastruktuře zákazníka – platí pro místní zdroje dat.In the on-premises data gateway on customer's infrastructure – for on-premises data sources
    • Role přesunu dat – platí pro cloudové zdroje dat.In the Data Movement Role – for cloud-based data sources

Šifrovací klíč obsahu (CEK) použitý k šifrování Microsoft Azure Blob Storage je náhodně generovaný 256 bitový klíč.The Content Encryption Key (CEK) used to encrypt the Microsoft Azure Blob Storage is a randomly generated 256-bit key. Algoritmus, který klíč CEK používá k šifrování obsahu, je AES_CBC_256.The algorithm that the CEK uses to encrypt the content is AES_CBC_256.

Šifrovací klíč klíče (KEK), který slouží k následnému šifrování klíče CEK, je předdefinovaný 256bitový klíč.The Key Encryption Key (KEK) that is used to then encrypt the CEK is a pre-defined 256-bit key. Algoritmus, který klíč KEK využívá k šifrování klíče CEK, je A256KW.The algorithm by KEK to encrypt the CEK is A256KW.

Šifrovací klíče brány založené na obnovovacím klíči nikdy neopouštění místní infrastrukturu.Gateway encryption keys based on the recovery key never leave an on-premises infrastructure. Power BI nemá přístup k šifrovaným místním hodnotám přihlašovacích údajů, a nemůže tudíž tyto přihlašovací údaje zachytit; weboví klienti šifrují přihlašovací údaje pomocí veřejného klíče přidruženého ke konkrétní bráně, se kterou komunikuje.Power BI cannot access the encrypted on-premises credentials values, and cannot intercept those credentials; web clients encrypt the credential with a public key that's associated with the specific gateway with which it is communicating.

U cloudových zdrojů dat šifrovací klíče šifruje role přesunu dat pomocí metod Always Encrypted.For cloud-based data sources, the Data Movement Role encrypts encryption keys using Always Encrypted methods. Přečtěte si další informace o funkci databáze Always Encrypted.You can learn more about the Always Encrypted database feature.

Datové sadyDatasets

  1. Metadata (tabulky, sloupce, míry, výpočty, připojovací řetězce atd.)Metadata (tables, columns, measures, calculations, connection strings, etc.)

    a.a. U místní služby Analysis Services se ve službě nic neukládá, s výjimkou odkazu na danou databázi, která je uložena zašifrovaná ve službě Azure SQL.For Analysis Services on-premises nothing is stored in the service except for a reference to that database stored encrypted in Azure SQL.

    b.b. Všechna ostatní metadata pro ETL, DirectQuery a vložení dat jsou zašifrována a uložena v úložišti objektů blob Azure.All other metadata for ETL, DirectQuery, and Push Data is encrypted and stored in Azure Blob storage.

  2. Přihlašovací údaje k původním zdrojům datCredentials to the original data sources

    a.a. Místní služba Analysis Services – nejsou potřeba žádné přihlašovací údaje, a proto se žádné neukládají.Analysis Services on-premises – No credentials are needed and, therefore, no credentials are stored.

    b.b. DirectQuery – pokud je model vytvořen přímo ve službě, přihlašovací údaje se ukládají v připojovacím řetězci a šifrují v objektu blob Azure. Pokud je model naimportován z Power BI Desktopu, přihlašovací údaje se ukládají zašifrované ve službě Azure SQL Database služby pro přesun dat.DirectQuery – This depends whether the model is created in the service directly in which case it is stored in the connection string and encrypted in Azure Blob, or if the model is imported from Power BI Desktop in which case the credentials are stored encrypted in Data Movement's Azure SQL Database. Šifrovací klíč je uložen na počítači, na kterém běží brána v infrastruktuře zákazníka.The encryption key is stored on the machine running the Gateway on customer's infrastructure.

    c.c. Vložená data – nepoužívá sePushed data – not applicable

    d.d. ETLETL

    • U Salesforce nebo OneDrivu se obnovovací tokeny ukládají zašifrované ve službě Azure SQL Database služby Power BI.For Salesforce or OneDrive – the refresh tokens are stored encrypted in the Azure SQL Database of the Power BI service.
    • V opačném případě:Otherwise:
      • Pokud je datová sada nastavena tak, aby se aktualizovala, přihlašovací údaje jsou uloženy zašifrované ve službě Azure SQL Database služby pro přesun dat.If the dataset is set for refresh, the credentials are stored encrypted in Data Movement's Azure SQL Database. Šifrovací klíč je uložen na počítači, na kterém běží brána v infrastruktuře zákazníka.The encryption key is stored on the machine running the Gateway on customer's infrastructure.
      • Pokud datová sada není nastavena tak, aby se aktualizovala, žádné přihlašovací údaje pro zdroje dat se neukládají.If the dataset is not set for refresh, there are no credentials stored for the data sources
  3. DataData

    a.a. Místní služba Analysis Services a DirectQuery – ve službě Power BI se nic neukládá.Analysis Services on-premises, and DirectQuery – nothing is stored in the Power BI Service.

    b.b. ETL – data se šifrují v úložišti objektů blob Azure, ale všechna data v úložišti objektů blob Azure služby Power BI aktuálně používají funkci Azure Šifrování služby Storage (SSE), která se označuje také jako šifrování na straně serveru.ETL – encrypted in Azure Blob storage, but all data currently in Azure Blob storage of the Power BI service uses Azure Storage Service Encryption (SSE), also known as server-side encryption. Funkce Multi-geo také používá šifrování SSE.Multi-geo uses SSE as well.

    c.c. Vložení dat verze 1 – data se ukládají zašifrovaná v úložišti objektů blob Azure, ale všechna data v úložišti objektů blob Azure služby Power BI aktuálně používají funkci Azure Šifrování služby Storage (SSE), která se označuje také jako šifrování na straně serveru.Push data v1 – stored encrypted in Azure Blob storage, but all data currently in Azure Blob storage in the Power BI service uses Azure Storage Service Encryption (SSE), also known as server-side encryption. Funkce Multi-geo také používá šifrování SSE.Multi-geo uses SSE as well. Zápis nabízených dat V1 byl ukončen od 2016.Push data v1 were discontinued beginning 2016.

    d.d. Vložení dat verze 2 – data se ukládají zašifrovaná ve službě Azure SQL.Push data v2 – stored encrypted in Azure SQL.

Power BI používá šifrování na straně serveru a k šifrování úložiště objektů blob Azure využívá režim CBC (Cipher Block Chaining) se standardem AES (Advanced Encryption Standard).Power BI uses the client-side encryption approach, using cipher block chaining (CBC) mode with advanced encryption standard (AES), to encrypt its Azure Blob storage. Můžete si přečíst další informace o šifrování na straně klienta.You can learn more about client-side encryption.

Power BI poskytuje monitorování integrity dat následujícími způsoby:Power BI provides data integrity monitoring in the following ways:

  • U neaktivních uložených dat ve službě Azure SQL Power BI jako součást nativní nabídky SQL používá dbcc, transparentní šifrování dat a neustálý kontrolní součet stránky.For data at rest in Azure SQL, Power BI uses dbcc, TDE, and constant page checksum as part of the native offerings of SQL.

  • U neaktivních uložených dat v úložišti objektů blob Azure Power BI používá šifrování na straně klienta a pro přenos dat do úložiště protokol HTTPS, což zahrnuje kontrolní součty integrity během načítání dat.For data at rest in Azure Blob storage, Power BI uses client-side encryption and HTTPS to transfer data into storage which includes integrity checks during the retrieval of the data. Můžete si přečíst další informace o zabezpečení úložiště objektů blob Azure.You can learn more about Azure Blob storage security.

SestavyReports

  1. Metadata (definice sestavy)Metadata (report definition)

    a.a. Sestavy mohou být buď Excel pro sestavy Microsoft 365, nebo sestavy Power BI.Reports can either be Excel for Microsoft 365 reports, or Power BI reports. Následující část platí pro metadata podle typu sestavy:The following applies for metadata based on the type of report:

      a.    a. Metadata sestavy aplikace Excel jsou uložena v SQL Azure zašifrovaná.Excel Report metadata is stored encrypted in SQL Azure. Metadata jsou také uložena v Microsoft 365.Metadata is also stored in Microsoft 365.

      b.    b. Sestavy Power BI jsou ve službě Azure SQL Database uloženy jako šifrované.Power BI reports are stored encrypted in Azure SQL database.

  2. Statická dataStatic data

    Statická data zahrnují artefakty, jako jsou obrázky na pozadí a Power BI vizuály.Static data includes artifacts such as background images and Power BI visuals.

      a.    a. Pro sestavy vytvořené pomocí aplikace Excel pro Microsoft 365 není nic uloženo.For reports created with Excel for Microsoft 365, nothing is stored.

      b.    b. U sestav Power BI se statická data ukládají a šifrují v úložišti objektů blob Azure.For Power BI reports, the static data is stored and is encrypted in Azure Blob storage.

  3. MezipamětiCaches

      a.    a. Pro sestavy vytvořené pomocí aplikace Excel pro Microsoft 365 se nic neukládá do mezipaměti.For reports created with Excel for Microsoft 365, nothing is cached.

      b.    b. U sestav Power BI se data pro znázorněné vizuály sestavují do mezipaměti a ukládají se do mezipaměti vizuálních dat, která je popsaná v následující části.For Power BI reports, the data for the reports’ visuals shown is cached and stored in the Visual Data Cache described in the following section.

  4. Původní soubory Power BI Desktopu (.pbix) nebo Excelu (.xlsx) publikované v Power BIOriginal Power BI Desktop (.pbix) or Excel (.xlsx) files published to Power BI

    Někdy se kopie nebo stínová kopie souborů .xlsx nebo .pbix uloží do úložiště objektů blob Azure služby Power BI. V takovém případě se data zašifrují.Sometimes a copy or a shadow copy of the .xlsx or .pbix files are stored in Power BI's Azure Blob storage, and when that occurs, the data is encrypted. Všechny takové sestavy uložené ve službě Power BI v úložišti objektů blob Azure používají funkci Azure Šifrování služby Storage (SSE), která se označuje také jako šifrování na straně serveru.All such reports stored in the Power BI service, in Azure Blob storage, use Azure Storage Service Encryption (SSE), also known as server-side encryption. Funkce Multi-geo také používá šifrování SSE.Multi-geo uses SSE as well.

Řídicí panely a dlaždice řídicích panelůDashboards and Dashboard Tiles

  1. Mezipaměti – data potřebná pro vizuály na řídicím panelu jsou obvykle uložená v mezipaměti a ukládají se do mezipaměti vizuálních dat, která je popsaná v následující části.Caches – The data needed by the visuals on the dashboard is usually cached and stored in the Visual Data Cache described in the following section. Ostatní dlaždice, jako jsou připnuté vizuály z Excelu nebo služby SSRS (SQL Server Reporting Services), se ukládají v objektu blob Azure jako obrázky a jsou také zašifrovaná.Other tiles such as pinned visuals from Excel or SQL Server Reporting Services (SSRS) are stored in Azure Blob as images, and are also encrypted.

  2. Statická data – obsahuje artefakty, jako jsou obrázky na pozadí a Power BIové vizuály, které jsou uložené, šifrované, v úložišti objektů BLOB v Azure.Static data – that includes artifacts such as background images and Power BI visuals that are stored, encrypted, in Azure Blob storage.

Bez ohledu na použitou metodu šifrování spravuje společnost Microsoft klíčová šifrování v zastoupení zákazníků.Regardless of the encryption method used, Microsoft manages the key encryption on customers' behalf.

Mezipaměť vizuálních datVisual Data Cache

Vizuální data jsou uložená v mezipaměti v různých umístěních v závislosti na tom, jestli je datová sada hostovaná na Power BI Premium kapacitě.Visual data is cached in different locations depending on whether the dataset is hosted on a Power BI Premium Capacity. U datových sad, které nejsou hostované na kapacitě, jsou vizuální data uložená v mezipaměti a uložená v Azure SQL Database.For datasets that are not hosted on a Capacity, the visual data is cached and stored encrypted in an Azure SQL Database. U datových sad, které jsou hostovány na kapacitě, mohou být vizuální data uložena do mezipaměti v jednom z následujících umístění:For datasets that are hosted on a Capacity, the visual data can be cached in any of the following locations:

  • Azure Blob StorageAzure Blob Storage
  • Soubory Azure PremiumAzure Premium Files
  • Uzel kapacity Power BI PremiumThe Power BI Premium Capacity node

Data přechodně uložená na permanentních zařízeníchData Transiently Stored on Non-Volatile Devices

Nestálá zařízení jsou zařízení, která mají paměť, která přetrvává bez konstantního výkonu.Non-volatile devices are devices that have memory that persists without constant power. Následující část popisuje data, která jsou přechodně uložena na permanentních zařízeních.The following describes data that is transiently stored on non-volatile devices.

Datové sadyDatasets

  1. Metadata (tabulky, sloupce, míry, výpočty, připojovací řetězce atd.)Metadata (tables, columns, measures, calculations, connection strings, etc.)

  2. Některé artefakty související se schématy lze po omezenou dobu ukládat na disku výpočetních uzlů.Some schema-related artifacts can be stored on the disk of the compute nodes for a limited period of time. Některé artefakty je také možné po omezenou dobu ukládat ve službě Azure REDIS Cache nezašifrovaná.Some artifacts can also be stored in Azure REDIS Cache unencrypted for a limited period of time.

  3. Přihlašovací údaje k původním zdrojům datCredentials to the original data sources

    a.a. Místní služba Analysis Services – nic se neukládá.Analysis Services on-premises – nothing is stored

    b.b. DirectQuery – pokud je model vytvořen přímo ve službě, přihlašovací údaje se ukládají v připojovacím řetězci zašifrované pomocí šifrovacího klíče, který je uložen nezašifrovaný na stejném místě (spolu se zašifrovanými informacemi). Pokud je model naimportován z Power BI Desktopu, přihlašovací údaje se na permanentních zařízeních neukládají.DirectQuery – This depends whether the model is created in the service directly in which case it is stored in the connection string, in encrypted format with the encryption key stored in clear text in the same place (alongside the encrypted information); or if the model is imported from Power BI Desktop in which case the credentials are not stored on non-volatile devices.

    Poznámka

    Funkce vytváření modelů na straně služby byla od verze 2017 zastavena.The service-side model creation feature were discontinued beginning in 2017.

    c.c. Vložená data – nepoužívá sePushed data – none (not applicable)

    d.d. ETL – nic (na výpočetním uzlu ani na jiném umístění se nic neukládá, jak bylo vysvětleno v části Neaktivní uložená data výše)ETL – none (nothing stored on the compute node nor different than explained in the Data at Rest section, above)

  4. DataData

    Některé artefakty dat lze po omezenou dobu ukládat na disku výpočetních uzlů.Some data artifacts can be stored on the disk of the compute nodes for a limited period of time.

Data v procesuData in process

Data jsou v procesu, když je uživatel aktivně používá nebo k nim přistupuje.Data is in process when it is actively being used or accessed by a user. Data jsou například v procesu, když uživatel přistupuje k datové sadě, reviduje nebo upravuje řídicí panel či sestavu, pokud dochází k aktualizaci dat nebo jiným aktivitám přístupu k datům.For example, data is in process when a user accesses a dataset, revises or modifies a dashboard or report, when refresh occurs, or other data access activities that may occur. Když dojde k některé z uvedených událostí a data vstoupí do procesu, role dat ve službě Power BI vytvoří databázi služby Analysis Services (AS) v paměti a datová sada se do této databáze načte.When any of those events occur and put data in process, the Data Role in the Power BI service creates an in-memory Analysis Services (AS) database and the dataset is loaded into that in-memory Analysis Services database. Bez ohledu na to, jestli je datová sada založená na DirectQuery či nikoliv, data načtená do databáze AS nejsou šifrovaná, aby k nim mohla přistupovat role dat, a uchovaná v paměti za účelem dalšího přístupu, dokud služba Power BI datovou sadu potřebuje.Whether the dataset is based on a DirectQuery or not, data loaded in the AS database is unencrypted to allow for access by the Data Role, and held in memory for further access until the Power BI service no longer needs the dataset. Pro zákazníky s předplatným Power BI Premium vytvoří Power BI databázi služby Analysis Services (AS) v paměti v zákazníkem samostatně zřízené kolekci virtuálních počítačů Power BI.For customers with a Power BI Premium subscription, Power BI creates an in-memory Analysis Services (AS) database in the customer's separately provisioned collection of Power BI virtual machines.

Při práci s daty, která zahrnuje počáteční načtení do Power BI, může služba Power BI uložit data vizualizace do mezipaměti zašifrovaná ve službě Azure SQL Database bez ohledu na to, jestli je datová sada založená na DirectQuery.Once data is acted upon, which includes initially loading data into Power BI, the Power BI service may cache the visualization data in an encrypted Azure SQL Database, regardless of whether the dataset is based on a DirectQuery.

K monitorování integrity dat v procesu Power BI používá protokoly HTTPS, TCP/IP a TLS, aby zajistila zašifrování dat a zachovala jejich integritu při přenosu.To monitor data integrity for data in process, Power BI uses HTTPS, TCP/IP and TLS to ensure data is encrypted and maintains integrity during the transport.

Ověřování uživatelů pro zdroje datUser Authentication to Data Sources

U každého zdroje dat uživatel vytvoří připojení na základě jejich přihlašovacích údajů a přistupuje k datům pomocí těchto přihlašovacích údajů.With each data source, a user establishes a connection based on their login, and accesses the data with those credentials. Uživatelé pak mohou vytvářet dotazy, řídicí panely a sestavy na základě podkladových dat.Users can then create queries, dashboards, and reports based on the underlying data.

Když uživatel sdílí dotazy, řídicí panely, sestavy nebo vizualizace, závisí přístup k těmto datům a vizualizacím na tom, zda podkladové zdroje dat podporují zabezpečení na úrovni role (RLS).When a user shares queries, dashboards, reports, or any visualization, access to that data and those visualizations is dependent on whether the underlying data sources support Role Level Security (RLS).

Pokud podkladový zdroj dat umožňuje zabezpečení na úrovni role Power BI, služba Power BI toto zabezpečení použije. Uživatelé, kteří nemají příslušné přihlašovací údaje pro přístup k podkladovým datům (kterými může být dotaz použitý u řídicího panelu, sestavy nebo jiného artefaktu dat), neuvidí data, k nimž nemají dostatečná oprávnění.If an underlying data source is capable of Power BI's**** Role Level Security (RLS), the Power BI service will apply that role level security, and users who do not have sufficient credentials to access the underlying data (which could be a query used in a dashboard, report, or other data artifact) will not see data for which the user does not have sufficient privileges. Pokud se přístup uživatele k podkladovým datům liší od přístupu uživatele, který vytvořil řídicí panel nebo sestavu, vizualizace a další artefakty zobrazí pouze data na základě úrovně přístupu, kterou daný uživatel k datům má.If a user's access to the underlying data is different from the user who created the dashboard or report, the visualizations and other artifacts will only show data based on the level of access that user has to the data.

Pokud zdroj dat nepoužívá RLS, u podkladového zdroje dat se použijí přihlašovací údaje Power BI. Pokud případně uživatel při připojení zadá jiné přihlašovací údaje, použijí se tyto přihlašovací údaje.If a data source does not apply RLS, then the Power BI login credentials are applied to the underlying data source, or if other credentials are supplied during the connection, those supplied credentials are applied. Když uživatel načte data do služby Power BI ze zdrojů dat, které nepoužívají RLS, uloží se tato data do Power BI, jak je popsáno v této dokumentaci v části Ukládání a přesun dat.When a user loads data into the Power BI service from non-RLS data sources, the data is stored in Power BI as described in the Data Storage and Movement section found in this document. Pro zdroje dat, které nepoužívají RLS, platí, že když jsou data sdílena s jiným uživateli (například přes řídicí panel nebo sestavu) nebo při aktualizaci dat, použijí se k přístupu k datům nebo k jejich zobrazení původní přihlašovací údaje.For non-RLS data sources, when data is shared with other users (such as through a dashboard or report) or a refresh of the data occurs, the original credentials are used to access or display the data.

Zabezpečení na úrovni role (RLS)

Abychom si v rychlosti vysvětlili rozdíl mezi zdroji dat s podporou RLS a bez ní, představme si, že Sam vytvoří sestavu a řídicí panel a potom je nasdílí Aleně a Radkovi.For a quick example to contrast RLS and non-RLS data sources, imagine Sam creates a report and a dashboard, then shares them with Abby and Ralph. Pokud zdroje dat použité v sestavě a řídicím panelu pochází ze zdrojů dat, které nepodporují RLS, budou Alena a Radek moci zobrazit data, která Sam přidal do řídicího panelu (nahraného do služby Power BI), a budou moci s těmito daty pracovat.If the data sources used in the report and dashboard are from data sources that do not support RLS, both Abby and Ralph will be able to see the data that Sam included in the dashboard (which was uploaded into the Power BI service) and both Abby and Ralph can then interact with the data. Pokud ale Sam vytvoří sestavu nebo řídicí panel ze zdrojů dat, které podporují RLS, a potom je nasdílí Aleně a Radkovi, Alena se při pokusu o zobrazení řídicího panelu setká s tímto chováním:In contrast, if Sam creates a report and dashboard from data sources that do support RLS, then shares it with Abby and Ralph, when Abby attempts to view the dashboard the following occurs:

  1. Protože řídicí panel pochází ze zdroje dat RLS, vizualizace řídicího panelu krátce zobrazí zprávu o "načítání", zatímco služba Power BI se dotáže na data, aby načetla aktuální datovou sadu zadanou v připojovacím řetězci, který je přidružen k podkladovému dotazu řídicího panelu.Since the dashboard is from an RLS data source, the dashboard visualizations will briefly show a "loading" message while the Power BI service queries the data source to retrieve the current dataset specified in the connection string associated with the dashboard's underlying query.

  2. Data se zpřístupní a načtou na základě Aleniných přihlašovacích údajů a role a do řídicího panelu a sestavy se načtou pouze data, pro která má Alena dostatečné oprávnění.The data is accessed and retrieved based on Abby's credentials and role, and only data for which Abby has sufficient authorization is loaded into the dashboard and report.

  3. Vizualizace v řídicím panelu a sestavě se zobrazí podle toho, jakou úroveň role Alena má.The visualizations in the dashboard and report are displayed based on Abby's role level.

Pokud měl Radek přístup ke sdílenému řídicímu panelu nebo sestavě, odehraje se stejný postup podle jeho úrovně role.If Ralph were to access the shared dashboard or report, the same sequence occurs based on his role level.

Power BI MobilePower BI Mobile

Power BI Mobile je kolekce aplikací navržených pro tři primární mobilní platformy: Android, iOS a Windows Mobile.Power BI Mobile is a collection of apps designed for the three primary mobile platforms: Android, iOS, and Windows Mobile. Aspekty zabezpečení týkající se aplikací Power BI Mobile spadají do dvou kategorií:Security considerations for Power BI Mobile apps falls into two categories:

  • Komunikace zařízeníDevice communication
  • Aplikace a data v zařízeníThe application and data on the device

Pokud jde o komunikaci zařízení, tak všechny aplikace Power BI Mobile komunikují se službou Power BI a používají stejné sekvence připojení a ověřování jako prohlížeče (podrobně popsané jsou tyto sekvence dříve v tomto dokumentu white paper).For device communication, all Power BI Mobile applications communicate with the Power BI service, and use the same connection and authentication sequences used by browsers, which are described in detail earlier in this whitepaper. Mobilní aplikace Power BI pro iOS a Android vyvolají relaci prohlížeče v rámci samotné aplikace, ale mobilní aplikace pro Windows vyvolá zprostředkovatele pro vytvoření komunikačního kanálu s Power BI.The iOS and Android Power BI mobile applications bring up a browser session within the application itself, and the Windows mobile app brings up a broker to establish the communication channel with Power BI.

Následující tabulka uvádí podporu ověřování pomocí certifikátů (CBA) u Power BI Mobile na základě platformy mobilních zařízení:The following table lists support of certificate-based authentication (CBA) for Power BI Mobile based on mobile device platform:

Podpora CBACBA Support iOSiOS AndroidAndroid WindowsWindows
Power BI (přihlášení ke službě)Power BI (sign in to service) Podporuje sesupported Podporuje sesupported NepodporovánoNot supported
SSRS ADFS (připojení k serveru SSRS)SSRS ADFS (connect to SSRS server) NepodporovánoNot supported PodporovánoSupported NepodporovánoNot supported

Aplikace Power BI Mobile aktivně komunikují se službou Power BI.Power BI Mobile apps actively communicate with the Power BI service. Telemetrie slouží ke shromažďování statistik o použití mobilních aplikací a podobných dat přenášených do služeb za účelem sledování použití a aktivity. S telemetrickými daty se neposílají žádné osobní údaje.Telemetry is used to gather mobile app usage statistics and similar data, which is transmitted to services that are used to monitor usage and activity; no personal data is sent with telemetry data.

Aplikace Power BI v zařízení ukládá v zařízení data, která usnadňují používání aplikace:The Power BI application on the device stores data on the device that facilitates use of the app:

  • Azure Active Directory a aktualizační tokeny se v zařízení ukládají pomocí bezpečného mechanismu s použitím standardních bezpečnostních opatření.Azure Active Directory and refresh tokens are stored in a secure mechanism on the device, using industry-standard security measures.

  • Data se ukládají do mezipaměti v úložišti zařízení, které není přímo šifrované samotnou aplikací.Data is cached in storage on the device, which is not directly encrypted by the application itself

  • Nastavení se také ukládají v zařízení bez šifrování, ale žádná skutečná uživatelská data se neukládají.Settings are also stored on the device unencrypted, but no actual user data is stored.

Datová mezipaměť z Power BI Mobile zůstává v zařízení dva týdny, nebo do odebrání aplikace, do odhlášení uživatele z Power BI Mobile nebo do neúspěšného přihlášení uživatele (například v důsledku vypršení platnosti tokenu nebo změny hesla).The data cache from Power BI Mobile remains on the device for two weeks, or until: the app is removed; the user signs out of Power BI Mobile; or the user fails to sign in (such as a token expiration event, or password change). Datová mezipaměť obsahuje řídicí panely a sestavy dříve otevřené z aplikace Power BI Mobile.The data cache includes dashboards and reports previously accessed from the Power BI Mobile app.

Aplikace Power BI Mobile neprohledávají složky v zařízení.Power BI Mobile applications do not look at folders on the device.

Všechny tři platformy, pro které je Power BI Mobile k dispozici, podporují Microsoft Intune – softwarovou službu, která poskytuje správu mobilních zařízení a aplikací.All three platforms for which Power BI Mobile is available support Microsoft Intune, a software service that provides mobile device and application management. Pokud je služba Intune povolená a nakonfigurovaná, data na mobilním zařízení se šifrují a samotná aplikace Power BI nejde nainstalovat na kartu SD.With Intune enabled and configured, data on the mobile device is encrypted, and the Power BI application itself cannot be installed on an SD card. Můžete si přečíst další informace o službě Microsoft Intune.You can learn more about Microsoft Intune.

Otázky a odpovědi k zabezpečení Power BIPower BI Security Questions and Answers

Níže uvádíme běžné otázky a odpovědi týkající se zabezpečení Power BI.The following questions are common security questions and answers for Power BI. Jsou uspořádané podle toho, kdy byly do tohoto dokumentu white paper přidány, abyste po aktualizaci tohoto dokumentu rychle našli nové otázky a odpovědi.These are organized based on when they were added to this whitepaper, to facilitate your ability to quickly find new questions and answers when this paper is updated. Nejnovější otázky a odpovědi se přidávají na konec tohoto seznamu.The newest questions are added to the end of this list.

Jak se uživatelé při používání Power BI připojují a získávají přístup ke zdrojům dat?How do users connect to, and gain access to data sources while using Power BI?

  • Přihlašovací údaje Power BI a přihlašovací údaje domény: Uživatelé se k Power BI přihlásí pomocí e-mailové adresy; Když se uživatel pokusí připojit k datovému prostředku, Power BI předá přihlašovací údaje Power BI přihlašovací e-mailové adresy.Power BI credentials and domain credentials: Users sign in to Power BI using an email address; when a user attempts to connect to a data resource, Power BI passes the Power BI login email address as credentials. V případě prostředků připojených k doméně (místních nebo cloudových) najde adresářová služba odpovídající hlavní název uživatele (UPN), aby zjistila, jestli existují dostatečná oprávnění umožňující přístup.For domain-connected resources (either on-premises or cloud-based), the login email is matched with a User Principal Name (UPN) by the directory service to determine whether sufficient credentials exist to allow access. Pro organizace, které používají pracovní e-mailové adresy pro přihlášení k Power BI (stejný e-mail, který používají k přihlášení k pracovním prostředkům, například _david@contoso.com_ ), může mapování probíhat bez problémů; u organizací, které nepoužívají pracovní e-mailové adresy (například _david@contoso.onmicrosoft.com_ ), musí být mapování adresáře navázáno, aby bylo možné zajistit přístup k místním prostředkům pomocí přihlašovacích údajů Power BI přihlášení.For organizations that use work-based email addresses to sign in to Power BI (the same email they use to login to work resources, such as _david@contoso.com_), the mapping can occur seamlessly; for organizations that did not use work-based email addresses (such as _david@contoso.onmicrosoft.com_), directory mapping must be established in order to allow access to on-premises resources with Power BI login credentials.

  • SQL Server Analysis Services a Power BI: Pro organizace, které používají místní SQL Server Analysis Services, Power BI nabízí Power BI místní bránu dat (což je Brána, jak je odkazováno v předchozích částech).SQL Server Analysis Services and Power BI: For organizations that use on-premises SQL Server Analysis Services, Power BI offers the Power BI on-premises data gateway (which is a Gateway, as referenced in previous sections). Místní brána dat Power BI může na zdrojích dat vynucovat zabezpečení na úrovni rolí (RLS).The Power BI on-premises data gateway can enforce role-level security on data sources (RLS). Další informace o RLS najdete v části o ověřování uživatelů u zdrojů dat dříve v tomto dokumentu.For more information on RLS, see User Authentication to Data Sources earlier in this document. Další informace o branách najdete v tématu místní Brána dat.For more information about gateways, see on-premises data gateway.

    Organizace můžou také používat protokol Kerberos k jednotnému přihlašování (SSO) a hladkému připojování z Power BI k místním zdrojům dat, jako jsou SQL Server, SAP HANA a Teradata.In addition, organizations can use Kerberos for single sign-on (SSO) and seamlessly connect from Power BI to on-premises data sources such as SQL Server, SAP HANA, and Teradata. Další informace a konkrétní konfigurační požadavky najdete v článku o použití protokolu Kerberos k jednotnému přihlašování z Power BI k místním zdrojům dat.For more information, and the specific configuration requirements, see Use Kerberos for SSO from Power BI to on-premises data sources.

  • Nedoménová připojení: u datových připojení, která nejsou připojená k doméně a nejsou schopná zabezpečení na úrovni role (RLS), musí uživatel během sekvence připojení zadat přihlašovací údaje, které Power BI pak předá zdroji dat, aby se navázalo připojení.Non-domain connections: For data connections that are not domain-joined and not capable of Role Level Security (RLS), the user must provide credentials during the connection sequence, which Power BI then passes to the data source to establish the connection. Pokud jsou oprávnění dostatečná, data ze zdroje dat se načtou do služby Power BI.If permissions are sufficient, data is loaded from the data source into the Power BI service.

Jak se data přenášejí do Power BI?How is data transferred to Power BI?

  • Všechna vyžádaná data, která Power BI přenáší, se při přenosu šifrují pomocí protokolu HTTPS – ten slouží pro připojení zdroje dat ke službě Power BI.All data requested and transmitted by Power BI is encrypted in transit using HTTPS to connect from the data source to the Power BI service. S poskytovatelem dat se zřídí zabezpečené připojení a až po zřízení tohoto připojení procházejí data sítí.A secure connection is established with the data provider, and only once that connection is established will data traverse the network.

Jak Power BI ukládá data sestav, řídicích panelů a modelů do mezipaměti a je to bezpečné?How does Power BI cache report, dashboard, or model data, and is it secure?

  • Při přístupu ke zdroji dat se služba Power BI řídí postupem popsaným v části o ukládání a přesouvání dat dříve v tomto dokumentu.When a data source is accessed, the Power BI service follows the process outlined in the Data Storage and Movement section earlier in this document.

Ukládají klienti data webových stránek místně?Do clients cache web page data locally?

  • Když klienti (prohlížeče) přistupují k Power BI, tak webové servery Power BI nastaví direktivu Cache-Control na no-store.When browser clients access Power BI, the Power BI web servers set the Cache-Control directive to no-store. Direktiva no-store nařizuje prohlížečům, aby webové stránky prohlížené uživateli neukládaly do mezipaměti ani do složky mezipaměti klienta.The no-store directive instructs browsers not to cache the web page being viewed by the user, and not to store the web page in the client's cache folder.

Jaké jsou zabezpečení založené na rolích, sdílení sestav nebo řídicích panelů a datových připojení? Jak funguje v souvislosti s přístupem k datům, zobrazením řídicího panelu, přístupem k sestavě nebo obnovením?What about role-based security, sharing reports or dashboards, and data connections? How does that work in terms of data access, dashboard viewing, report access or refresh?

  • U zdrojů dat bez zabezpečení na úrovni rolí (RLS) platí, že když se řídicí panel, sestava nebo datový model nasdílí přes Power BI ostatním uživatelům, můžou pak tito uživatelé zobrazit data a pracovat s nimi.For non-Role Level Security (RLS) enabled data sources, if a dashboard, report, or data model is shared with other users through Power BI, the data is then available for users with whom it is shared to view and interact with. Power BI uživatele znovu neověřuje u původního zdroje dat – po nahrání dat do Power BI odpovídá za správu toho, kteří další uživatelé a skupiny můžou data zobrazit, uživatel, který se ověřil u zdroje dat.Power BI does not re-authenticate users against the original source of the data; once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data.

    U datových připojení prováděných se zdrojem dat podporujícím RLS, jako je zdroj dat Analysis Services, se v Power BI ukládají do mezipaměti jenom data řídicích panelů.When data connections are made to an RLS -capable data source, such as an Analysis Services data source, only dashboard data is cached in Power BI. Při každém zobrazení nebo otevření sestavy nebo datové sady v Power BI, která používá data ze zdroje dat podporujícího RLS, přistupuje služba Power BI ke zdroji dat, aby získala data na základě přihlašovacích údajů uživatele – a pokud existují dostatečná oprávnění, data se tomuto uživateli načtou do sestavy nebo datového modelu.Each time a report or dataset is viewed or accessed in Power BI that uses data from the RLS-capable data source, the Power BI service accesses the data source to get data based on the user's credentials, and if sufficient permissions exist, the data is loaded into the report or data model for that user. Pokud se ověření nezdaří, uživateli se zobrazí chyba.If authentication fails, the user will see an error.

    Další informace najdete v části o ověřování uživatelů u zdrojů dat dříve v tomto dokumentu.For more information, see the User Authentication to Data Sources section earlier in this document.

Naši uživatelé se po celou dobu připojují ke stejným zdrojům dat, přičemž některé z nich vyžadují přihlašovací údaje, které se liší od jejich přihlašovacích údajů do domény. Jak se jim můžou vyhnout zadání těchto přihlašovacích údajů pokaždé, když nastanou datové připojení?Our users connect to the same data sources all the time, some of which require credentials that differ from their domain credentials. How can they avoid having to input these credentials each time they make a data connection?

  • Power BI nabízí funkci Power BI Personal Gateway, která uživatelům umožňuje vytvořit přihlašovací údaje pro více různých zdrojů dat a při následném přístupu ke každému z těchto zdrojů dat pak automaticky tyto přihlašovací údaje používat.Power BI offers the Power BI Personal Gateway, which is a feature that lets users create credentials for multiple different data sources, then automatically use those credentials when subsequently accessing each of those data sources. Další informace získáte tady: Power BI Personal Gateway.For more information, see Power BI Personal Gateway.

Jak fungují skupiny Power BI?How do Power BI Groups work?

  • Skupiny Power BI umožňují uživatelům v rámci zřízených týmů snadno a rychle spolupracovat na vytváření řídicích panelů, sestav a datových modelů.Power BI Groups allow users to quickly and easily collaborate on the creation of dashboards, reports, and data models within established teams. Pokud máte například skupinu Power BI, která zahrnuje všechny členy vašeho aktuálního týmu, můžete s každým členem týmu snadno spolupracovat, když v Power BI tuto skupinu vyberete.For example, if you have a Power BI Group that includes everyone in your immediate team, you can easily collaborate with everyone on your team by selecting the Group from within Power BI. Skupiny Power BI jsou ekvivalentní k univerzálním skupinám Office 365 (ty můžete poznávat, vytvářet a spravovat) a používají k zabezpečení dat stejný mechanismus ověřování, jaký se používá v Azure Active Directory.Power BI Groups are equivalent to Office 365 Universal Groups (which you can learn about, create, and manage), and use the same authentication mechanisms used in Azure Active Directory to secure data. Skupiny můžete vytvořit v Power BI nebo můžete vytvořit univerzální skupinu v Centru pro správu Microsoftu 365 – obojí má pro vytvoření skupiny v Power BI stejný výsledek.You can create groups in Power BI or create a Universal Group in Microsoft 365 admin center; either has the same result for group creation in Power BI.

    Data sdílená prostřednictvím skupin Power BI se řídí stejnými bezpečnostními hledisky jako jakákoli sdílená data v Power BI.Note that data shared with Power BI Groups follows the same security consideration as any shared data in Power BI. U zdrojů dat bez zabezpečení na úrovni rolí (RLS) platí, že Power BI uživatele znovu neověřuje u původního zdroje dat a po nahrání dat do Power BI odpovídá za správu toho, kteří další uživatelé a skupiny můžou data zobrazit, uživatel, který se ověřil u zdroje dat.For non-RLS data sources Power BI does not re-authenticate users against the original source of data, and once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data. Další informace najdete v části o ověřování uživatelů u zdrojů dat dříve v tomto dokumentu.For more information, see the User Authentication to Data Sources section earlier in this document.

    O skupinách v Power BI můžete získat další informace.You can get more information about Groups in Power BI.

Které porty používá místní brána dat a osobní brána? Existují nějaké názvy domén, které je třeba povolit pro účely připojení?Which ports are used by on-premises data gateway and personal gateway? Are there any domain names that need to be allowed for connectivity purposes?

  • Podrobná odpověď na tuto otázku je k dispozici na následujícím odkazu: porty brányThe detailed answer to this question is available at the following link: Gateway ports

Jak se používají klíče pro obnovení a kde se ukládají, když pracujete s místní bránou dat? Co je Správa zabezpečených přihlašovacích údajů?When working with the on-premises data gateway, how are recovery keys used and where are they stored? What about secure credential management?

  • Během instalace a konfigurace brány zadá správce obnovovací klíč brány.During gateway installation and configuration, the administrator types in a gateway Recovery Key. Tento obnovovací klíč se používá k vygenerování silného symetrického klíče AES .That Recovery Key is used to generate a strong AES symmetric key. Současně se vytvoří taky asymetrický klíč RSA .An RSA asymmetric key is also created at the same time.

    Tyto vygenerované klíče (RSA a AES) se uloží do souboru umístěného v místním počítači.Those generated keys (RSA and AES) are stored in a file located on the local machine. Tento soubor je také šifrovaný.That file is also encrypted. Obsah tohoto souboru může být dešifrován jenom tímto konkrétním počítačem s Windows a jenom tímto konkrétním účtem služby brány.The contents of the file can only be decrypted by that particular Windows machine, and only by that particular gateway service account.

    Když uživatel pomocí uživatelského rozhraní služby Power BI zadá přihlašovací údaje zdroje dat, tyto přihlašovací údaje se v prohlížeči zašifrují pomocí veřejného klíče.When a user enters data source credentials in the Power BI service UI, the credentials are encrypted with the public key in the browser. Brána dešifruje přihlašovací údaje pomocí privátního klíče RSA a před uložením dat do služba Power BI je znovu zašifruje pomocí symetrického klíče AES.The gateway decrypts the credentials using the RSA private key and re-encrypts them with an AES symmetric key before the data is stored in the Power BI service. Díky tomuto postupu nemá služba Power BI nikdy přístup k nezašifrovaným datům.With this process, the Power BI service never has access to the unencrypted data.

Jaké komunikační protokoly používá místní brána dat a jak jsou zabezpečené?Which communication protocols are used by the on-premises data gateway, and how are they secured?

  • Brána podporuje následující dva komunikační protokoly:The gateway supports the following two communications protocols:

    • AMQP 1,0 – TCP + TLS: Tento protokol vyžaduje, aby byly pro odchozí komunikaci otevřené porty 443, 5671-5672 a 9350-9354.AMQP 1.0 – TCP + TLS: This protocol requires ports 443, 5671-5672, and 9350-9354 to be open for outgoing communication. Tento protokol je upřednostňovaný, protože má nižší režii komunikace.This protocol is preferred, since it has lower communication overhead.

    • Https – WebSockets přes HTTPS + TLS: Tento protokol používá jenom port 443.HTTPS – WebSockets over HTTPS + TLS: This protocol uses port 443 only. WebSocket je inicializovaný jedinou zprávou HTTP CONNECT.The WebSocket is initiated by a single HTTP CONNECT message. Když je kanál vytvořený, komunikace probíhá v podstatě jako TCP+TLS.Once the channel is established, the communication is essentially TCP+TLS. Bráně můžete vynutit použití tohoto protokolu úpravou nastavení popsaného v článku místní brány.You can force the gateway to use this protocol by modifying a setting described in the on-premises gateway article.

Jakou úlohu v Power BI má Azure CDN?What is the role of Azure CDN in Power BI?

  • Jak jsme uvedli dříve, Power BI používá Azure Content Delivery Network (CDN) k efektivní distribuci potřebného statického obsahu a souborů uživatelům na základě zeměpisného umístění.As mentioned previously, Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale. Když půjdeme do podrobností, tak služba Power BI používá více sítí CDN k efektivní distribuci potřebného statického obsahu a souborů uživatelům ve veřejném internetu.To go into further detail, the Power BI service uses multiple CDNs to efficiently distribute necessary static content and files to users through the public Internet. Tyto statické soubory zahrnují soubory produktů ke stažení (například Power BI Desktop, místní bránu dat nebo aplikace Power BI od různých nezávislých poskytovatelů služeb), konfigurační soubory prohlížeče, které se používají k inicializaci a zřízení všech následných připojení pomocí služby Power BI, a také zabezpečenou stránku pro počáteční přihlášení k Power BI.These static files include product downloads (such as Power BI Desktop, the on-premises data gateway, or Power BI apps from various independent service providers), browser configuration files used to initiate and establish any subsequent connections with the Power BI service, as well as the initial secure Power BI login page.

    Na základě informací poskytnutých během počátečního připojení ke službě Power BI kontaktuje prohlížeč uživatele určenou síť Azure CDN (nebo, u některých souborů, kontaktuje cluster WFE), aby si stáhnul kolekci určených běžných souborů, které jsou nutné k umožnění interakce prohlížeče se službou Power BI.Based on information provided during an initial connection to the Power BI service, a user's browser contacts the specified Azure CDN (or for some files, the WFE) to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. Stránka prohlížeče pak zahrnuje token AAD, informace o relaci, umístění přidruženého clusteru Back-End a kolekci souborů stažených z Azure CDN a clusteru WFE – po dobu trvání relace prohlížeče ve službě Power BI.The browser page then includes the AAD token, session information, the location of the associated Back-End cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

U Power BI vizuálů provede společnost Microsoft jakékoli posouzení zabezpečení nebo ochrany osobních údajů vlastního vizuálního kódu před publikováním položek do galerie?For Power BI visuals, does Microsoft perform any security or privacy assessment of the custom visual code prior to publishing items to the Gallery?

  • Ne.No. Kontrola kódu vlastních vizuálů a jeho spolehlivosti je věcí zákazníka.It is the customer's responsibility to review and determine whether custom visual code should be relied upon. Veškerý kód vlastních vizuálů se provádí v izolovaném prostředí (sandbox), takže jakýkoli pochybný kód ve vlastních vizuálech nemá negativní vliv na zbytek služby Power BI.All custom visual code is operated in a sandbox environment, so that any errant code in a custom visual does not adversely affect the rest of the Power BI service.

Existují jiné vizuály Power BI, které odesílají informace mimo síť zákazníka?Are there other Power BI visuals that send information outside the customer network?

  • Ano.Yes. Mapy Bing a vizuály ESRI přenášejí data mimo službu Power BI u vizuálů, které tyto služby používají.Bing Maps and ESRI visuals transmit data out of the Power BI service for visuals that use those services.

Pro šablony aplikace provede společnost Microsoft jakékoli posouzení zabezpečení nebo ochrany osobních údajů v aplikaci šablon před publikováním položek do galerie?For Template Apps, does Microsoft perform any security or privacy assessment of the Template app prior to publishing items to the Gallery?

  • Ne.No. Vydavatel aplikace zodpovídá za obsah, zatímco zodpovědnost zákazníka bude kontrolovat a určit, jestli se má důvěřovat vydavateli aplikace šablony.The app publisher is responsible for the content while the customer's responsibility to review and determine whether to trust the Template app publisher.

Jsou k dispozici šablony aplikací, které mohou odesílat informace mimo síť zákazníka?Are there Template apps that can send information outside the customer network?

  • Ano.Yes. Úkolem zákazníka je zkontrolovat zásady ochrany osobních údajů vydavatele a určit, jestli se má v Tenantovi nainstalovat aplikace šablony.It is the customer's responsibility to review the publisher's privacy policy and determine whether to install the Template app on Tenant. Vydavatel navíc zodpovídá za oznamování chování a možností aplikace.Furthermore, the publisher is responsible to notify of the app's behavior and capabilities.

Co je to suverenita dat? Můžeme zřídit klienty v datových centrech, které se nacházejí v konkrétních geografických oblastech, aby data nezůstala hranice země?What about data sovereignty? Can we provision tenants in data centers located in specific geographies, to ensure data doesn't leave the country borders?

  • Někteří zákazníci v určitých zeměpisných oblastech mají možnost vytvořit tenanta v národním cloudu. Data se pak ukládají a zpracovávají samostatně od ostatních datových center.Some customers in certain geographies have an option to create a tenant in a national cloud, where data storage and processing is kept separate from all other datacenters. Národní cloudy mají trochu jiný typ zabezpečení, protože samostatný zplnomocněnec dat provozuje službu národního cloudu Power BI jménem Microsoftu.National clouds have a slightly different type of security, since a separate data trustee operates the national cloud Power BI service on behalf of Microsoft.

    Zákazníci můžou alternativně zřídit tenanta také v určité oblasti, ale takoví tenanti nemají samostatného zplnomocněnce dat od Microsoftu.Alternatively customers can also set up a tenant in a specific region, however, such tenants do not have a separate data trustee from Microsoft. Ceny národních cloudů jsou jiné než u obecně dostupné komerční služby Power BI.Pricing for national clouds is different from the generally available commercial Power BI service. Další informace o dostupnosti služby Power BI pro národní cloudy najdete v článku o Národní cloudy Power BI.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Jak Microsoft zpracovává připojení pro zákazníky, kteří mají Power BI Premium předplatná? Jsou připojení odlišná od zařízení, která nejsou vytvořená pro služba Power BI, která nejsou Premium?How does Microsoft treat connections for customers who have Power BI Premium subscriptions? Are those connections different than those established for the non-Premium Power BI service?

  • Připojení vytvořená pro zákazníky s předplatným Power BI Premium implementují proces autorizace Azure Business-to-Business (B2B) s použitím Azure Active Directory (AD), který umožňuje řízení přístupu a autorizaci.The connections established for customers with Power BI Premium subscriptions implement an Azure Business-to-Business (B2B) authorization process, using Azure Active Directory (AD) to enable access control and authorization. Power BI zachází s připojeními předplatitelů Power BI Premium k prostředkům Power BI Premium, jako by to byli libovolní jiní uživatelé Azure AD.Power BI handles connections from Power BI Premium subscribers to Power BI Premium resources just as it would any other Azure AD user.

ZávěrConclusion

Architektura služby Power BI je založená na dvou clusterech – clusteru WFE (Web Front End) a clusteru Back-End.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Cluster WFE zodpovídá za počáteční připojení a ověření ve službě Power BI. Po ověření pak všechny následné uživatelské interakce zpracovává cluster Back End.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. Power BI používá k ukládání a správě identit uživatelů Azure Active Directory (AAD) a spravuje úložiště dat pomocí Azure Blobu a metadata pomocí Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure Blob and Azure SQL Database, respectively.

Ukládání a zpracování dat v Power BI se liší podle toho, jestli se k datům přistupuje pomocí DirectQuery, a je také závislé na tom, jestli jsou zdroje dat v cloudu nebo jsou místní.Data storage and data processing in Power BI differs based on whether data is accessed using a DirectQuery, and is also dependent on whether data sources are in the cloud or on-premises. Power BI také může vynucovat zabezpečení na úrovni rolí (RLS) a komunikuje s bránami, které poskytují přístup k místním datům.Power BI is also capable of enforcing Role Level Security (RLS) and interacts with Gateways that provide access to on-premises data.

Vaše názory a návrhyFeedback and Suggestions

Vážíme si vašich názorů.We appreciate your feedback. Máme zájem o vaše návrhy k vylepšení, rozšíření nebo vysvětlení tohoto dokumentu white paper nebo jiného obsahu týkajícího se Power BI.We're interested in hearing any suggestions you have for improvement, additions, or clarifications to this whitepaper, or other content related to Power BI. Pošlete své návrhy do aplikace pbidocfeedback@microsoft.com .Send your suggestions to pbidocfeedback@microsoft.com.

Další materiályAdditional Resources

Další informace o Power BI najdete pod následujícími odkazy.For more information on Power BI, see the following resources.