Überprüfen von benutzerdefinierten Visualisierungen auf Sicherheit und DatenschutzReview custom visuals for security and privacy

Bevor Sie eine benutzerdefinierte Visualisierung aktivieren, sollten Sie sie auf Sicherheit und Datenschutz überprüfen, um sicherzustellen, dass sie die Standards Ihrer Organisation erfüllt.Before you enable a custom visual, you should review that visual for security and privacy to make sure if will fit your organization's standards.

Aktivieren benutzerdefinierter VisualisierungenEnable a custom visual

Benutzerdefinierte Visualisierungen werden in einem Bericht so lange deaktiviert, bis Sie Benutzerdefinierte Visualisierungen aktivieren auswählen, wie nachstehend dargestellt.A custom visual in the report is disabled until you choose Enable custom visuals as shown below.

Überlegungen vor dem Aktivieren benutzerdefinierter VisualisierungenConsiderations before you enable a custom visual

Warnung

Benutzerdefinierte Visualisierungen können Code mit Sicherheits- oder Datenschutzrisiken enthalten. Daher wird eine benutzerdefinierte Visualisierung in einem Bericht deaktiviert, bis Sie „Benutzerdefinierte Visualisierungen aktivieren“ auswählen.A custom visual could contain code with security or privacy risks; therefore, a custom visual in the report is disabled until you choose Enable custom visuals. Im Folgenden finden Sie einige Aspekte, die Sie berücksichtigen sollten, bevor Sie entscheiden, ob Sie eine benutzerdefinierte Visualisierung aktivieren:Here are some considerations to decide whether to enable a custom visual:

  1. Überlegen Sie, ob Sie dem Autor und der Quelle der im Bericht verwendeten benutzerdefinierten Visualisierung vertrauen.Ensure you trust the author and the source of the custom visuals used in the report
  2. Wenn Sie nicht genau wissen, wie Sie vorgehen sollten, wenden Sie sich an Ihr IT-Team. Dieses kann dann entscheiden, ob Sie die benutzerdefinierten Visualisierungen für die von Ihnen angezeigten Berichte aktivieren sollten.If you are unsure what to do, you should reach out to your IT team to weigh in on whether you should enable custom visuals for reports you view.
  3. Wenn jemand einen Bericht für Sie freigegeben hat, der eine benutzerdefinierte Visualisierung enthält, sollten Sie sich selbst bei einem Kollegen nicht verpflichtet fühlen, die benutzerdefinierte Visualisierung aktivieren zu müssen.If someone shares a report with you that contains a custom visual, even if they're a close co-worker, do not feel obligated to enable the custom visual. Es ist immer angemessen, zu überlegen, ob dies für die jeweilige Aufgabe unerlässlich ist.It's okay to step back and consider whether it is essential to the task at hand. Es ist auch immer in Ordnung, um einen Bericht ohne benutzerdefinierte Visualisierungen zu bitten, wenn Sie sich bei einer benutzerdefinierten Visualisierung nicht sicher sind.It's always okay to ask someone to provide you a report without custom visuals if you don't feel confident about the custom visual.

Bewährte Sicherheitsmethoden für IT-Experten beim Aktivieren benutzerdefinierter VisualisierungenSecurity best practices for IT Professionals to enable a custom visual

Warnung

Benutzerdefinierte Visualisierungen können Code mit Sicherheits- oder Datenschutzrisiken enthalten. Daher wird eine benutzerdefinierte Visualisierung in einem Bericht deaktiviert, bis Sie „Benutzerdefinierte Visualisierungen aktivieren“ auswählen.A custom visual could contain code with security or privacy risks; therefore, a custom visual in the report is disabled until you choose Enable custom visuals. Es gibt verschiedene bewährte Methoden, mit denen Sie eine benutzerdefinierte Visualisierung auf Sicherheit und Datenschutz überprüfen können.There are several best practices you can follow to evaluate a custom visual for security and privacy.

  1. Implementieren Sie innerhalb der Organisation einen Prozess für die Sicherheitsüberprüfung von benutzerdefinierten Visualisierungen.Implement a vetting process for custom visuals within the organization. Überprüfte benutzerdefinierte Visualisierungen können über eine interne Website wie z. B. eine SharePoint-Dokumentbibliothek oder ein OneNote-Dokument für interne Benutzer freigegeben werden.Vetted custom visuals would be shared with internal users through an internal website, such as a SharePoint document library or OneNote document.
  2. Bieten Sie Geschäftsbenutzern Unterstützung bei der angemessenen Verwendung von benutzerdefinierten Visualisierungen. Stellen Sie auch eine E-Mail-Gruppe für Geschäftsbenutzer bereit, in der diese Fragen zur Sicherheit und zum Datenschutz stellen können.Provide guidance for business users on appropriate use of custom visuals and an email group for business users to send security and privacy questions to.
  3. Überprüfen Sie den JavaScript-Code in der PBIVIZ-Datei der benutzerdefinierten Visualisierung.Evaluate the JavaScript code in the custom visual pbiviz file.

So überprüfen Sie den JavaScript-Code in einer benutzerdefinierten VisualisierungTo evaluate the JavaScript code in a custom visual

Benutzerdefinierte Visualisierungen verwenden JavaScript. Aus diesem Grund können Sie Sicherheits- oder Datenschutzrisiken enthalten.A custom visual uses JavaScript and can therefore contain security or privacy risks. Wenn Sie eine benutzerdefinierte Visualisierung oder eine PBIX-Datei mit einer benutzerdefinierten Visualisierung aus einer unbekannten Quelle erhalten, sollten Sie die Sicherheit des JavaScript-Codes überprüfen.If you receive a custom visual or a pbix file with a custom visual from an unknown source, you may want to look at the JavaScript to see if it is safe.

Um den JavaScript-Code in einer benutzerdefinierten Visualisierung zu überprüfen, extrahieren Sie den Code der benutzerdefinierten Visualisierung.To evaluate the JavaScript code in a custom visual, extract the custom visual code. Im Folgenden wird gezeigt, wie Sie den Code extrahieren:Here’s how to extract the code:

  1. Speichern Sie die PBIVIZ-Datei in einem Ordner.Save the .pbiviz file to a folder.
  2. Benennen Sie die Datei in eine ZIP-Datei um.Rename the file to a .zip file.
  3. Extrahieren Sie die ZIP-Datei in einen lokalen Ordner.Extract the zip file to a local folder.

Dateiinhalte benutzerdefinierter VisualisierungenCustom visual file contents

PBIVIZ-Dateien enthalten Folgendes:The following are the contents of a pbiviz file:

DateiFile BeschreibungDescription
./package.json./package.json Eine Manifestdatei, die angibt, welche Dateien für die benutzerdefinierte Visualisierung geladen werden müssen.A manifest file that indicates which files to load for the custom visual.
./resources./resources Enthält den CSS-, TypeScript- und JavaScript-Code, der von der benutzerdefinierten Visualisierung verwendet wird.Contains the CSS, TypeScript, and JavaScript used by the custom visual.
./resources/<Name>./resources/<name> <Name> ist der Name der benutzerdefinierten Visualisierung.<name> is the name of the custom visual.
./resources/<Name>.css./resources/<name>.css Die für die benutzerdefinierte Visualisierung verwendete CSS-Ressourcendatei.The css resource file for the custom visual.
./resources/<Name>.js./resources/<name>.js Der Code, der ausgeführt wird, wenn ein Benutzer auf „Benutzerdefinierte Visualisierungen aktivieren“ klickt oder nachdem ein Benutzer eine benutzerdefinierte Visualisierung importiert hat.The code that executes when a user clicks Enable custom visuals or after a user Imports a custom visual. Warnung: JavaScript-Code kann Sicherheits- oder Datenschutzrisiken enthalten.Warning JavaScript code could contain security or privacy risks.
./resources/<Name>.ts./resources/<name>.ts Der JavaScript-Quellcode für die Visualisierung im TypeScript-Format.The JavaScript source code for the visual in TypeScript format. Warnung: JavaScript- oder TypeScript-Code kann Sicherheits- oder Datenschutzrisiken enthalten.Warning JavaScript or TypeScript code could contain security or privacy risks.
./resources/<Name>.png./resources/<name>.png Das Symbol, das Benutzern für die Visualisierung angezeigt wird.The icon shown to the user for the visual.

Nachdem Sie die PBIVIZ-Datei extrahiert haben, können Sie den Code überprüfen.After you extract the pbiviz file, you can evaluate the code. Hier sind einige bewährte Methoden sowie Bedrohungen, nach denen Sie suchen sollten.Here are some best practices and threats to look for.

Bewährte Methoden zum Überprüfen des JavaScript- oder TypeScript-CodesBest practices to evaluate the JavaScript or TypeScript code

JavaScript- oder TypeScript-Code kann Sicherheits- oder Datenschutzrisiken enthalten.JavaScript or TypeScript code could contain security or privacy risks. Hier sind einige bewährte Methoden sowie Bedrohungen, nach denen Sie suchen sollten.Here are some best practices and threats to look for.

Bewährte Methoden zum Überprüfen von JavaScript-CodeBest practices to evaluate JavaScript code

  • Überprüfen Sie immer den Inhalt der JS-Datei.Always evaluate the .js file contents. Dies ist der Code, der tatsächlich ausgeführt wird.This is the code that actually runs. Es ist auch möglich, dass der Inhalt der TS-Datei nicht in die JS-Datei kompiliert wird, die in der benutzerdefinierten Visualisierung enthalten ist.It could be that the contents of the .ts file don't compile to the .js file included in the custom visual.
  • Überprüfen Sie immer den Inhalt der TS-Datei.Always evaluate the .ts file contents. Sie können die TS-Datei in die Entwicklertools laden, die Visualisierung exportieren und die daraus resultierende JS-Datei in der neu erstellten PBIVIZ-Datei mit der ursprünglichen JS-Datei der Visualisierung vergleichen.You can load the .ts file into the Developer Tools, export the visual and compare the resulting .js file in the newly create .pbiviz file to the original .js file contained in the visual
  • Vergewissern Sie sich, dass das Symbol für die benutzerdefinierte Visualisierung dem für andere Visualisierungen, die der Benutzer eventuell schon kennt, nicht zu sehr ähnelt.Check that the icon for the custom visual does not resemble too closely other visuals the user is familiar with.
  • Überprüfen Sie Visualisierungen immer unter einem Testkonto, das nur über die mindestens erforderlichen Berechtigungen verfügt und keinen Zugriff auf vertrauliche Daten hat.Always evaluate the visual in a test account that has minimal privileges and does not have access to any sensitive data. Im Idealfall ist dieses Testkonto ein lokales Konto ohne Anmeldeinformationen für andere Dienste als Power BI.Ideally the test account would be a local account with no sign-in information to services other than Power BI.

Bedrohungen, auf die im JavaScript-Code geachtet werden sollteThreats to look for in JavaScript code

  • Überprüfen Sie die Netzwerkaktivität, wenn die Visualisierung im Bearbeitungs- und Ansichtsmodus verwendet wird.Check network activity when the visual is being used in both edit and view mode. Überprüfen Sie die durchgeführten Anfragen auf Konformität.Ensure you're satisfied with the requests that are being made. Es sollten keine Anfragen an Ressourcen außerhalb der Power BI-Domäne erfolgen, sofern der Autor der Visualisierung dies nicht zuvor mitgeteilt hat.You should not see requests to resources outside the Power BI domain unless the visual author has communicated this ahead of time.
  • Alle Daten, die aus der Power BI-Domäne übermittelt werden, sollten Ihren Erwartungen an eine „normale“ Verwendung entsprechen.Any data you see leaving the Power BI domain should match your expectations for what 'normal' use would be. Beispiel: Wenn die Visualisierung einen Videoplayer implementiert, der einen iFrame verwendet, um ein Video von einer anderen Website anzuzeigen, werden in den IFrame-Anforderungen einige Informationen zum richtigen Rendern des Videos übermittelt.For example - if the visual implements a video player that uses an iFrame to view a video from another site, some information should travel in the IFrame requests to render the video correctly. Wenn Sie jedoch feststellen, dass das gesamte Dataset über das Netzwerk gesendet wird, sollten Sie genau untersuchen, ob dies erforderlich und gewünscht ist.However, if you see the entire data set being sent across the wire, you might investigate further if this is required and desired.
  • Überprüfen Sie, ob persönlich identifizierbare Daten gesendet oder von der benutzerdefinierten Visualisierung gespeichert werden.Check if personally identifiable data is being sent or stored by the custom visual.
  • Überprüfen Sie, ob die benutzerdefinierte Visualisierung auf lokale Ressourcen auf dem Computer zugreift, um z. B. Dateien auf den Datenträger zu schreiben oder auf Cookies zuzugreifen.Check if the custom visual is trying to access local machine resources such as writing files to disk or accessing cookies.
  • Überprüfen Sie, ob die benutzerdefinierte Visualisierung verborgenen Code enthält oder Code, der keinen klaren Zweck erfüllt.Check if the custom visual has what appears to be obfuscated code or code without a clear purpose.
  • Speichern Sie Kopien der einzelnen Visualisierungen, die Sie in der Vergangenheit bereits überprüft haben.Save copies of each visual you reviewed in the past.
  • Wenn Sie ein Update einer bereits einmal überprüften Visualisierung überprüfen, achten Sie auf Änderungen.If you are reviewing an update to a visual you previously reviewed, ensure to check for changes. Wenden Sie immer dieselbe Sorgfalt auf Updates an, wie beim ersten Überprüfen der Visualisierung.Always apply equal rigor to updates as you did the first time you received the visual for review
  • Wenn Sie etwas finden, das verdächtig oder unklar ist, können Sie sich gerne an uns wenden.If you find something suspicious or unclear, please reach out to us we're here to help.

Nächste SchritteNext steps

Visualisierungen in Power BIVisualizations in Power BI
Benutzerdefinierte Visualisierungen in Power BICustom Visualizations in Power BI
Veröffentlichen benutzerdefinierter Visualisierungen im Office StorePublish custom visuals to the Office store
Erste Schritte mit den Power BI-Entwicklertools Getting started with custom visuals developer tools
Zertifizieren eines benutzerdefinierten visuellen Elements How to certify a custom visual
Video zum Erstellen von benutzerdefinierten Visualisierungen für Power BI mit Sachin Patney und Nico Cristache (in englischer Sprache)Video: Creating custom visualizations for Power BI with Sachin Patney and Nico Cristache

Weitere Fragen?More questions? Stellen Sie Ihre Frage in der Power BI-Community.Try asking the Power BI Community