Zabezpečení Power BIPower BI Security

Pokud potřebujete podrobné vysvětlení zabezpečení Power BI, přečtěte si dokument white paper o zabezpečení Power BI.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Služba Power BI je založená na Azure, cloudové výpočetní infrastruktuře a platformě Microsoftu.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Architektura služby Power BI je založená na dvou clusterech – clusteru WFE (Web Front End) a clusteru Back-End.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Cluster WFE spravuje počáteční připojení a ověření ve službě Power BI. Po ověření pak všechny následné uživatelské interakce zpracovává cluster Back-End.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI používá k ukládání a správě identit uživatelů Azure Active Directory (AAD) a spravuje úložiště dat pomocí Azure BLOBu a metadata pomocí Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architektura Power BIPower BI Architecture

Každé nasazení Power BI se skládá ze dvou clusterů – clusteru WFE (Web Front End) a clusteru Back-End.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

Cluster WFE spravuje proces počátečního připojení a ověření pro Power BI. Pomocí AAD ověřuje klienty a poskytuje tokeny pro následná připojení klientů ke službě Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI používá také Azure Traffic Manager (ATM) ke směrování uživatelského provozu na nejbližší datové centrum podle záznamu DNS klienta, který se snaží připojit, pro proces ověřování a ke stahování statického obsahu a souborů.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI používá Azure Content Delivery Network (CDN) pro efektivní distribuci nezbytného statického obsahu a souborů uživatelům podle geografického národního prostředí.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Prostřednictvím clusteru Back-End ověření klienti komunikují se službou Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. Cluster Back-End spravuje vizualizace, řídicí panely uživatelů, datové sady, sestavy, úložiště dat, datová připojení, aktualizace dat a další aspekty interakce se službou Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Role Brána funguje jako brána mezi požadavky uživatelů a službou Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Uživatelé nekomunikují přímo s žádnou rolí kromě role Brána.Users do not interact directly with any roles other than the Gateway Role. O roli Brána se nakonec postará Azure API Management.Azure API Management will eventually handle the Gateway Role.

Důležité

Je nutné si uvědomit, že prostřednictvím veřejného internetu jsou přístupné jenom role Azure API Managementu (APIM) a Brány (GW).It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Poskytují ověřování, autorizaci, ochranu před útoky DDoS, omezování, vyrovnávání zatížení, směrování a další funkce.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Zabezpečení úložiště datData Storage Security

Power BI používá k ukládání a správě dat dvě primární úložiště: data, která nahrávají uživatelé, se obvykle posílají do úložiště Azure BLOB, a všechna metadata a také artefakty pro samotný systém jsou uložené v Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

Tečkovaná čára na obrázku clusteru Back-End výše představuje hranici mezi jedinýma dvěma součástmi, které jsou přístupné uživatelům (nalevo od tečkované čáry), a rolemi, které jsou dostupné jenom systému.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Když se ověřený uživatel připojí ke službě Power BI, připojení a každý požadavek klienta přijme a spravuje role Brána (nakonec přejde na Azure API Management), která pak jménem uživatele komunikuje se zbytkem služby Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Když se třeba klient pokusí zobrazit řídicí panel, brána Role požadavek přijme a pak samostatně odešle požadavek na roli Prezentace, aby se potřebná data načetla v prohlížeči k vykreslení řídicího panelu.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Ověřování uživatelůUser Authentication

Power BI používá Azure Active Directory (AAD) k ověřování uživatelů, kteří se přihlašují ke službě Power BI. Přihlašovací údaje k Power BI pak používá pokaždé, když se uživatel pokusí o přístup k prostředkům, které vyžadují ověření.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Uživatelé se ke službě Power BI přihlašují pomocí e-mailové adresy použité k založení účtu Power BI. Power BI tuto přihlašovací e-mailovou adresu používá jako platné uživatelské jméno, které se předává prostředkům, když se uživatel pokusí připojit k datům.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Efektivní uživatelské jméno se pak namapuje na hlavní název uživatele (UPN) a přeloží do přidruženého účtu domény Windows, vůči kterému se ověřování používá.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Pro organizace, které pro přihlášení k Power BI použily pracovní e-maily (jako david@contoso.com), je namapování efektivního uživatelského jména na UPN jednoduché.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. U organizací, které pro přihlášení k Power BI nepoužily pracovní e-maily (jako david@contoso.onmicrosoft.com), bude správné fungování mapování mezi AAD a místními přihlašovacími údaji vyžadovat synchronizaci adresářů.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Zabezpečení platformy pro Power BI také zahrnuje zabezpečení prostředí s více klienty, zabezpečení sítě a možnost přidávat další bezpečnostní opatření na základě AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Zabezpečení dat a služebData and Service Security

Další informace najdete na webu Microsoft Trust Center.For more information, please visit the Microsoft Trust Center.

Jak je popsáno výše v tomto článku, přihlášení uživatele k Power BI používají místní servery Active Directory k namapování přihlašovacích údajů na UPN.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Je ale důležité si uvědomit, že uživatelé zodpovídají za data, která sdílejí: pokud se uživatel připojí ke zdrojům dat pomocí svých přihlašovacích údajů a pak sdílí sestavu (nebo řídicí panel nebo datovou sadu) založenou na těchto datech, tak uživatelé, se kterými řídicí panel sdílí, nejsou vůči původnímu zdroji dat ověřeni a získají k sestavě přístup.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Výjimkou je připojení k SQL Server Analysis Services pomocí místní brány dat. Řídicí panely jsou uložené v mezipaměti v Power BI, ale přístupem k podkladovým sestavám nebo datovým sadám se zahájí ověřování uživatele, který se o přístup k sestavě (nebo datové sadě) pokouší. Přístup bude udělen jenom v případě, že má uživatel pro přístup k datům dostatečná oprávnění.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Další informace najdete v článku s podrobným vysvětlením místní brány dat.For more information, see On-premises data gateway deep dive.

Vynucení použití verze protokolu TLSEnforcing TLS version usage

Správci sítí a IT můžou vynutit používání aktuálního protokolu TLS (Transport Layer Security) pro veškerou zabezpečenou komunikaci v jejich síti.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows poskytuje podporu pro verze protokolu TLS přes zprostředkovatele Microsoft Schannel (viz popis v článku o zprostředkovateli podpory zabezpečení TLS Schannel).Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Toto vynucení můžete provést jako správce nastavením klíčů registru.This enforcement can be done by administratively setting registry keys. Vynucení je popsané v článku o správě protokolů SSL v AD FS.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop respektuje nastavení klíčů registru popsaná v těchto článcích a jenom vytvořená připojení používající verzi TLS povolenou na základě těchto nastavení registru, pokud existují.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Další informace o nastavení těchto klíčů registru najdete v článku Nastavení registru TLS.For more information about setting these registry keys, see the TLS Registry Settings article.