Sicherheit in Power BIPower BI Security

Um eine ausführliche Erläuterung der Sicherheit in Power BI zu erhalten, lesen Sie das Whitepaper zur Sicherheit in Power BI.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Der Power BI-Dienst basiert auf Azure, der Infrastruktur und Plattform für Cloud-Computing von Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Die Power BI-Dienstarchitektur basiert auf zwei Clustern – dem Web-Front-End (WFE)-Cluster und dem Back-End-Cluster.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Das WFE-Cluster verwaltet die Erstverbindung und Authentifizierung beim Power BI-Dienst. Nach erfolgter Authentifizierung steuert dann das Back-End-Cluster alle weiteren Benutzerinteraktionen.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI verwendet Azure Active Directory (AAD) zum Speichern und Verwalten von Benutzeridentitäten. Zum Speichern von Daten und Metadaten verwendet es Azure-BLOB bzw. die Azure SQL-Datenbank.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architektur von Power BIPower BI Architecture

Jede Power BI-Bereitstellung umfasst zwei Cluster – ein Web-Front-End (WFE)-Cluster und ein -Back-End -Cluster.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

Das WFE Cluster steuert die Erstverbindung und den Authentifizierungsvorgang für Power BI und verwendet dabei AAD zum Authentifizieren von Clients und Token für nachfolgende Client Verbindungen mit dem Power BI-Dienst.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Für den Authentifizierungsvorgang und zum Herunterladen von statischen Inhalten und Dateien verwendet Power BI außerdem den Azure Traffic Manager (ATM), um den Benutzerverkehr zum nächstgelegenen Datencenter weiterzuleiten, das durch den DNS-Eintrag des Clients bestimmt wird, der eine Verbindung herstellen möchte.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI verwendet Azure Content Delivery Network (CDN für die effiziente Verteilung der erforderlichen statischen Inhalte und Dateien an Benutzer basierend auf einem Gebietsschema.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Diagramm mit der Power BI-Architektur für den Web-Front-End-Cluster

Das Back-End-Cluster zeigt, wie authentifizierte Clients mit dem Power BI-Dienst interagieren.The Back-End cluster is how authenticated clients interact with the Power BI service. Der Back-End-Cluster steuert Visualisierungen, Benutzer-Dashboards, Datasets, Berichte, Datenspeicher, Datenverbindungen, Datenaktualisierungen und andere Aspekte der Interaktion mit dem Power BI-Dienst.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Die Gateway-Rolle fungiert als Gateway zwischen Benutzeranforderungen und dem Power BI-Dienst.The Gateway Role acts as a gateway between user requests and the Power BI service. Benutzer interagieren nicht direkt mit Rollen mit Ausnahme der Gateway-Rolle.Users do not interact directly with any roles other than the Gateway Role. Letztendlich verwaltet Azure API Management die Gateway-Rolle.Azure API Management will eventually handle the Gateway Role.

Diagramm mit der Power BI-Architektur für den Web-Back-End-Cluster

Wichtig

Es ist unbedingt zu beachten, dass nur Azure API Management (APIM) und Gateway-Rollen (GW) über das öffentliche Internet zugänglich sind.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Sie bieten Authentifizierung, Autorisierung, DDoS-Schutz, Einschränkung, Lastenausgleich, Routing und andere Funktionen.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

DatenspeichersicherheitData Storage Security

Power BI verwendet zwei primäre Repositorys zum Speichern und Verwalten von Daten: Von Benutzern hochgeladene Daten werden in der Regel an Azure Blob Storage gesendet, und alle Metadaten sowie Artefakte für das System selbst werden in Azure SQL-Datenbank gespeichert.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure Blob Storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

Die gepunktete Linie im Bild des -Back-End-Clusters oben verdeutlicht die Grenze zwischen den beiden einzigen Komponenten, die für Benutzer (links neben der gepunkteten Linie) zugänglich sind, und Rollen, die nur für das System zugänglich sind.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Wenn ein authentifizierter Benutzer eine Verbindung mit dem Power BI-Dienst herstellt, werden die Verbindung und jede Anforderung vom Client von der Gateway-Rolle akzeptiert und verwaltet (um schließlich von Azure API Management verwaltet zu werden), welche dann im Namen des Benutzers mit dem übrigen Power BI-Dienst interagiert.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Wenn beispielsweise ein Client versucht, ein Dashboard anzuzeigen, akzeptiert die Gateway-Rolle die Anforderung und sendet dann separat eine Anforderung an die Präsentationsrolle , um die vom Browser benötigten Daten zum Rendern des Dashboards abzurufen.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

BenutzerauthentifizierungUser Authentication

Power BI verwendet Azure Active Directory (AAD) zum Authentifizieren von Benutzern, die sich beim Power BI-Dienst anmelden, und verwendet wiederum die Power BI-Anmeldeinformationen, wenn ein Benutzer versucht, auf Ressourcen zuzugreifen, die eine Authentifizierung erfordern.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Benutzer melden sich beim Power BI-Dienst mit der E-Mail-Adresse an, die sie zum Einrichten ihres Power BI-Kontos verwendet haben. Power BI verwendet diese zur Anmeldung verwendete E-Mail-Adresse als den gültigen Benutzernamen, der an Ressourcen übergeben wird, wenn ein Benutzer versucht, Daten abzurufen.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Der effektive Benutzername wird dann einem Benutzerprinzipalnamen (User Principal Name, UPN) zugeordnet und in das zugehörige Windows-Domänenkonto aufgelöst, mit dem die Authentifizierung erfolgt.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

Für Organisationen, die Unternehmens-E-Mail-Adressen für die Anmeldung bei Power BI verwendet haben (wie z. B. david@contoso.com), ist die Zuordnung von effektivem Benutzernamen zum Benutzerprinzipalnamen (UPN) einfach.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Für Organisationen, die keine Unternehmens-E-Mail-Adressen für die Anmeldung bei Power BI verwendet haben (wie z. B. david@contoso.onmicrosoft.com), erfordert die Zuordnung zwischen AAD und lokalen Anmeldeinformationen eine Verzeichnissynchronisierung, um ordnungsgemäß zu funktionieren.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Die Plattformsicherheit für Power BI umfasst auch die Sicherheit der mehrinstanzenfähigen Umgebung sowie Netzwerksicherheit und die Möglichkeit zum Hinzufügen von zusätzlichen AAD-basierten Sicherheitsmaßnahmen.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Daten- und DienstsicherheitData and Service Security

Weitere Informationen finden Sie im Microsoft Trust Center.For more information, please visit the Microsoft Trust Center.

Wie weiter oben in diesem Artikel beschrieben, wird die Anmeldung eines Benutzers bei Power BI von lokalen Active Directory-Servern zur Zuordnung zu einem Benutzerprinzipalnamen (UPN) als Anmeldeinformationen verwendet.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Es ist jedoch wichtig zu beachten, dass Benutzer für die von ihnen freigegebenen Daten verantwortlich sind: Wenn ein Benutzer mithilfe seiner Anmeldeinformationen eine Verbindung zu Datenquellen herstellt, dann einen Bericht (oder ein Dashboard oder ein Dataset) basierend auf diesen Daten freigibt, sind Benutzer, für die das Dashboard freigegeben wird, für die ursprüngliche Datenquelle nicht authentifiziert und erhalten Zugriff auf den Bericht.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Eine Ausnahme stellen Verbindungen mit SQL Server Analysis Services über das lokale Datengateway dar. Dabei werden Dashboards in Power BI zwischengespeichert. Beim Zugreifen auf zugrunde liegende Berichte oder Datasets wird jedoch für den Benutzer, der auf den Bericht (oder das Dataset) zugreifen möchte, eine Authentifizierung initiiert, und der Zugriff wird nur dann gewährt, wenn der Benutzer über ausreichende Anmeldeinformationen für den Zugriff auf die Daten verfügt.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Weitere Informationen finden Sie unter On-premises Data Gateway deep dive (Lokales Datengateway im Detail).For more information, see On-premises data gateway deep dive.

Erzwingen der Verwendung von TLS-VersionenEnforcing TLS version usage

Netzwerk- und IT-Administratoren können die Anforderung zur Verwendung von aktuellem TLS (Transport Layer Security) für jede geschützte Kommunikation in ihrem Netzwerk erzwingen.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows bietet Unterstützung für TLS-Versionen über den Microsoft Schannel Provider wie im TLS-Schannel-SSP-Artikel beschrieben.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Dieses Erzwingen lässt sich durch das Festlegen von Registrierungsschlüsseln durch den Administrator erzielen.This enforcement can be done by administratively setting registry keys. Erzwingen wird im Artikel zum Verwalten von SSL-Protokollen in AD FS beschrieben.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop respektiert die in diesen Artikeln beschriebenen Registrierungsschlüsseleinstellungen, und erstellt nur Verbindungen mit der auf Grundlage dieser Registrierungseinstellungen, falls vorhanden, zulässigen Version von TLS.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Weitere Informationen zum Festlegen dieser Registrierungsschlüssel finden Sie im Artikel TLS-Registrierungseinstellungen.For more information about setting these registry keys, see the TLS Registry Settings article.