Λευκή βίβλος για την ασφάλεια του Power BI

Άρθρο
12/15/2023

Σύνοψη: Το Power BI είναι μια ηλεκτρονική υπηρεσία λογισμικού (SaaS ή Λογισμικό ως υπηρεσία) που παρέχεται από τη Microsoft και σας επιτρέπει να δημιουργείτε εύκολα και γρήγορα πίνακες εργαλείων επιχειρηματικής ευφυΐας με λειτουργία από τον χρήστη, αναφορές, σημασιολογικά μοντέλα (παλαιότερα γνωστά ως σύνολα δεδομένων) και απεικονίσεις. Με το Power BI, μπορείτε να συνδεθείτε σε πολλές διαφορετικές προελεύσεις δεδομένων, να συνδυάσετε και να διαμορφώσετε δεδομένα από αυτές τις συνδέσεις και, στη συνέχεια, να δημιουργήσετε αναφορές και πίνακες εργαλείων που μπορούν να τεθούν σε κοινή χρήση με άλλους χρήστες.

Συγγραφείς: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Μπογκντάν Κριβάτ

Τεχνικοί Αναθεωρητές: Κριστιάν Πετρουλέσκου, Αμίρ Νετζ, Sergei Gundorov

Ισχύει για: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics Power BI για κινητές συσκευές.

Σημείωμα

Μπορείτε να αποθηκεύσετε ή να εκτυπώσετε αυτή τη λευκή βίβλο, επιλέγοντας Εκτύπωση από το πρόγραμμα περιήγησής σας και, στη συνέχεια, επιλέγοντας Αποθήκευση ως PDF.

Εισαγωγή

Το Power BI είναι μια online υπηρεσία λογισμικού (SaaS ή Λογισμικό ως υπηρεσία) που προσφέρει η Microsoft και σας επιτρέπει να δημιουργείτε εύκολα και γρήγορα πίνακες εργαλείων επιχειρηματικής ευφυΐας με λειτουργία από τον χρήστη, αναφορές, σημασιολογικά μοντέλα και απεικονίσεις. Με το Power BI, μπορείτε να συνδεθείτε σε πολλές διαφορετικές προελεύσεις δεδομένων, να συνδυάσετε και να διαμορφώσετε δεδομένα από αυτές τις συνδέσεις και, στη συνέχεια, να δημιουργήσετε αναφορές και πίνακες εργαλείων που μπορούν να τεθούν σε κοινή χρήση με άλλους χρήστες.

Ο κόσμος αλλάζει ραγδαία· οι οργανισμοί πραγματοποιούν επιταχυνόμενο ψηφιακό μετασχηματισμό και βλέπουμε μαζική αύξηση της απομακρυσμένης εργασίας, αυξημένη ζήτηση πελατών για ηλεκτρονικές υπηρεσίες και αυξημένη χρήση προηγμένων τεχνολογιών στις λειτουργίες και τη λήψη επιχειρηματικών αποφάσεων. Και όλα αυτά παρέχονται από το cloud.

Καθώς η μετάβαση στο cloud έχει αλλάξει από ρυάκι σε πλημμύρα, και με τη νέα, εκτεθειμένη επιφάνεια που συνοδεύει αυτό, περισσότερες εταιρείες ρωτούν Πόσο ασφαλή είναι τα δεδομένα μου στο cloud; και Ποια προστασία από άκρο σε άκρο είναι διαθέσιμη για να αποτραπεί η διαρροή των ευαίσθητων δεδομένων μου; Επίσης, για τις πλατφόρμες BI που συχνά χειρίζονται ορισμένες από τις πιο στρατηγικές πληροφορίες στην επιχείρηση, αυτές οι ερωτήσεις είναι διπλά σημαντικές.

Τα εδώ και δεκαετίες θεμέλια του μοντέλου ασφαλείας BI - ασφάλεια σε επίπεδο αντικειμένου και επιπέδου γραμμών - αν και εξακολουθούν να είναι σημαντικά, σαφώς δεν επαρκούν πλέον για την παροχή του είδους ασφάλειας που απαιτείται στην εποχή του cloud. Αντίθετα, οι οργανισμοί πρέπει να αναζητήσουν μια λύση ασφάλειας σε επίπεδο cloud, πολυεπίπεδη, σε βάθος άμυνας, για τα δεδομένα επιχειρηματικής ευφυΐας τους.

Το Power BI δημιουργήθηκε για να παρέχει ολοκληρωμένη και ερμητική προστασία για δεδομένα που είναι κορυφαία στον κλάδο. Το προϊόν έχει κερδίσει τις υψηλότερες ταξινομήσεις ασφάλειας που διατίθενται στον κλάδο και σήμερα πολλοί εθνικοί οργανισμοί ασφαλείας, χρηματοπιστωτικά ιδρύματα και πάροχοι υγειονομικής περίθαλψης το εμπιστεύονται με τις πιο ευαίσθητες πληροφορίες τους.

Όλα ξεκινούν με το θεμέλιο. Μετά από μια δύσκολη περίοδο στις αρχές της δεκαετίας του 2000, η Microsoft πραγματοποίησε τεράστιες επενδύσεις για να αντιμετωπίσει τα τρωτά σημεία ασφαλείας της και στις επόμενες δεκαετίες δημιούργησε μια ισχυρή στοίβα ασφαλείας που πηγαίνει τόσο βαθιά όσο ο πυρήνας βιογραφικού υπολογιστή στο chip και επεκτείνεται μέχρι τις εμπειρίες των τελικών χρηστών. Αυτές οι βαθιές επενδύσεις συνεχίζονται και σήμερα περισσότεροι από 3.500 μηχανικοί της Microsoft ασχολούνται με τη δημιουργία και την ενίσχυση της στοίβας ασφαλείας της Microsoft και την προληπτική αντιμετώπιση του ολοένα μεταβαλλόμενου τοπίου απειλών. Με δισεκατομμύρια υπολογιστές, τρισεκατομμύρια συνδέσεις και αμέτρητα zettabytes πληροφοριών που έχουν ανατεθεί στην προστασία της Microsoft, η εταιρεία διαθέτει πλέον την πιο προηγμένη στοίβα ασφάλειας στον κλάδο της τεχνολογίας και θεωρείται ευρέως ως ο παγκόσμιος ηγέτης στον αγώνα κατά των κακόβουλων ηθοποιών.

Το Power BI βασίζεται σε αυτή την ισχυρή βάση. Χρησιμοποιεί την ίδια στοίβα ασφαλείας που κέρδισε το Azure το δικαίωμα εξυπηρέτησης και προστασίας των πιο ευαίσθητων δεδομένων στον κόσμο και ενσωματώνεται με τα πιο προηγμένα εργαλεία προστασίας και συμμόρφωσης πληροφοριών του Microsoft 365. Επιπλέον, παρέχει ασφάλεια μέσω πολυεπίπεδων μέτρων ασφαλείας, με αποτέλεσμα την ολοκληρωμένη προστασία που έχει σχεδιαστεί για να αντιμετωπίζει τις μοναδικές προκλήσεις της εποχής του cloud.

Για να παρέχει μια ολοκληρωμένη λύση για την προστασία ευαίσθητων πόρων, η ομάδα προϊόντων που απαιτείται για την αντιμετώπιση πολύπλοκων ανησυχιών πελατών σε πολλαπλές ταυτόχρονες προσόψεις:

Πώς μπορούμε να ελέγξουμε ποιος μπορεί να συνδεθεί, από πού συνδέεται και πώς συνδέεται;Πώς μπορούμε να ελέγξουμε τις συνδέσεις;
Πώς αποθηκεύονται τα δεδομένα;Πώς κρυπτογραφείται;Τι στοιχεία ελέγχου έχω στα δεδομένα μου;
Πώς γίνεται τον έλεγχο και την προστασία των ευαίσθητων δεδομένων μου;Πώς γίνεται βεβαιωθείτε ότι δεν είναι δυνατή η διαρροή αυτών των δεδομένων εκτός του οργανισμού;
Πώς γίνεται ελέγχει ποιος διεξάγει ποιες λειτουργίες;Πώς γίνεται αντιδράτε γρήγορα εάν υπάρχει ύποπτη δραστηριότητα στην υπηρεσία;

Αυτό το άρθρο παρέχει μια ολοκληρωμένη απάντηση σε όλες αυτές τις ερωτήσεις. Ξεκινά με μια επισκόπηση της αρχιτεκτονικής υπηρεσίας και εξηγεί πώς λειτουργούν οι κύριες ροές στο σύστημα. Στη συνέχεια, περιγράφει τον τρόπο με τον οποίο οι χρήστες πραγματοποιούν έλεγχο ταυτότητας στο Power BI, πώς δημιουργούνται οι συνδέσεις δεδομένων και πώς το Power BI αποθηκεύει και μετακινεί δεδομένα μέσω της υπηρεσίας. Η τελευταία ενότητα περιγράφει τις δυνατότητες ασφαλείας που σας επιτρέπουν, ως διαχειριστής υπηρεσίας, να προστατεύετε τους πιο πολύτιμους πόρους σας.

Η Υπηρεσία Power BI διέπεται από τους Όρους ηλεκτρονικών υπηρεσιών της Microsoft και τη Δήλωση προστασίας προσωπικών δεδομένων για μεγάλες επιχειρήσεις της Microsoft. Για την τοποθεσία της επεξεργασίας δεδομένων, ανατρέξτε στους όρους της τοποθεσίας επεξεργασίας δεδομένων στους όρους των υπηρεσιών Microsoft Online Services και στο πρόσθετο προστασίας δεδομένων. Για πληροφορίες συμμόρφωσης, το Κέντρο αξιοπιστίας της Microsoft είναι ο κύριος πόρος για το Power BI. Η ομάδα Power BI εργάζεται σκληρά για να φέρει στους πελάτες της τις τελευταίες καινοτομίες και παραγωγικότητα. Μάθετε περισσότερα σχετικά με τη συμμόρφωση στις προσφορές συμμόρφωσης της Microsoft.

Η Υπηρεσία Power BI ακολουθεί τον κύκλο ζωής ανάπτυξης ασφαλείας (SDL), αυστηρές πρακτικές ασφαλείας που υποστηρίζουν απαιτήσεις ασφάλειας και συμμόρφωσης. Το SDL βοηθά τους προγραμματιστές να δημιουργήσουν πιο ασφαλές λογισμικό μειώνοντας τον αριθμό και τη σοβαρότητα των ευπάθειων στο λογισμικό, μειώνοντας παράλληλα το κόστος ανάπτυξης. Μάθετε περισσότερα στην τοποθεσία Πρακτικές κύκλου ζωής ανάπτυξης ασφάλειας της Microsoft .

Αρχιτεκτονική του Power BI

Η Υπηρεσία Power BI είναι ενσωματωμένη στο Azure, την πλατφόρμα υπολογιστικού cloud της Microsoft. Το Power BI έχει αναπτυχθεί σε πολλά κέντρα δεδομένων σε όλο τον κόσμο. Υπάρχουν πολλές ενεργές αναπτύξεις που διατίθενται στους πελάτες στις περιοχές που εξυπηρετούνται από αυτά τα κέντρα δεδομένων και ισάριθμες παθητικές αναπτύξεις που χρησιμεύουν ως αντίγραφα ασφαλείας για κάθε ενεργή ανάπτυξη.

Το WFE και το παρασκήνιο

Σύμπλεγμα προσκηνίου Web (WFE)

Το σύμπλεγμα WFE παρέχει στο πρόγραμμα περιήγησης του χρήστη τα αρχικά περιεχόμενα σελίδας HTML στον φόρτο τοποθεσίας και δείκτες σε περιεχόμενο CDN που χρησιμοποιείται για την απόδοση της τοποθεσίας στο πρόγραμμα περιήγησης.

Το σύμπλεγμα WEF

Ένα σύμπλεγμα WFE αποτελείται από μια ASP.NET τοποθεσία web που εκτελείται στο περιβάλλον Υπηρεσίας εφαρμογών Azure. Όταν οι χρήστες επιχειρούν να συνδεθούν με τον Υπηρεσία Power BI, η υπηρεσία DNS του προγράμματος-πελάτη μπορεί να επικοινωνήσει με το Διαχείριση κυκλοφορίας Azure για να βρει το πιο κατάλληλο (συνήθως πλησιέστερο) κέντρο δεδομένων με μια ανάπτυξη Power BI. Για περισσότερες πληροφορίες σχετικά με αυτή τη διαδικασία, ανατρέξτε στο θέμα Μέθοδος δρομολόγησης κυκλοφορίας επιδόσεων για Το Azure Διαχείριση κυκλοφορίας.

Στατικοί πόροι, όπως *.js, *.css και αρχεία εικόνας αποθηκεύονται κυρίως σε ένα δίκτυο παροχής περιεχομένου Azure (CDN) και ανακτώνται απευθείας από το πρόγραμμα περιήγησης. Σημειώστε ότι οι αναπτύξεις συμπλέγματος εθνικών δημόσιων οργανισμών αποτελούν μια εξαίρεση σε αυτόν τον κανόνα και για λόγους συμμόρφωσης θα παραλείψουν το CDN και αντίθετα θα χρησιμοποιήσουν ένα σύμπλεγμα WFE από μια συμβατή περιοχή για τη φιλοξενία στατικού περιεχομένου.

Σύμπλεγμα παρασκηνίου Power BI (BE)

Το σύμπλεγμα παρασκηνίου είναι η ραχοκοκαλιά όλων των λειτουργιών που είναι διαθέσιμες στο Power BI. Αποτελείται από πολλά τελικά σημεία υπηρεσίας που καταναλώνονται από προγράμματα-πελάτες Προσκηνίου Web και API, καθώς και υπηρεσίες εργασίας στο παρασκήνιο, βάσεις δεδομένων, cache και διάφορα άλλα στοιχεία.

Το παρασκήνιο είναι διαθέσιμο στις περισσότερες περιοχές του Azure και αναπτύσσεται σε νέες περιοχές καθώς γίνονται διαθέσιμες. Μία μεμονωμένη περιοχή του Azure φιλοξενεί ένα ή περισσότερα συμπλέγματα παρασκηνίου που επιτρέπουν απεριόριστη οριζόντια κλιμάκωση του Υπηρεσία Power BI όταν εξαντληθούν τα κατακόρυφα και οριζόντια όρια κλίμακας ενός μεμονωμένου συμπλέγματος.

Κάθε σύμπλεγμα παρασκηνίου είναι stateful και φιλοξενεί όλα τα δεδομένα όλων των μισθωτών που έχουν αντιστοιχιστεί σε αυτό το σύμπλεγμα. Ένα σύμπλεγμα που περιέχει τα δεδομένα ενός συγκεκριμένου μισθωτή αναφέρεται ως το κεντρικό σύμπλεγμα μισθωτή. Οι πληροφορίες συμπλέγματος αρχικής σελίδας ενός χρήστη παρέχονται από την Καθολική υπηρεσία και χρησιμοποιούνται από το προσκηνίου Web για τη δρομολόγηση αιτήσεων στο κεντρικό σύμπλεγμα μισθωτή.

Κάθε σύμπλεγμα παρασκηνίου αποτελείται από πολλές εικονικές μηχανές που συνδυάζονται σε πολλαπλά σύνολα κλίμακας με δυνατότητα αλλαγής μεγέθους, ρυθμισμένα για την εκτέλεση συγκεκριμένων εργασιών, κρατικών πόρων όπως βάσεις δεδομένων SQL, λογαριασμούς αποθήκευσης, λεωφορεία υπηρεσίας, cache και άλλα απαραίτητα στοιχεία cloud.

Τα μετα-δεδομένα μισθωτή και τα δεδομένα αποθηκεύονται εντός των ορίων συμπλέγματος, εκτός από την αναπαραγωγή δεδομένων σε ένα δευτερεύον σύμπλεγμα παρασκηνίου σε μια αντιστοιχισμένη περιοχή Azure στην ίδια γεωγραφική τοποθεσία Azure. Το δευτερεύον σύμπλεγμα παρασκηνίου λειτουργεί ως σύμπλεγμα ανακατεύθυνσης σε περίπτωση τοπικής διακοπής λειτουργίας και είναι παθητικό ανά πάσα στιγμή.

Οι λειτουργίες παρασκηνίου εξυπηρετούνται από μικρο-υπηρεσίες που εκτελούνται σε διαφορετικούς υπολογιστές εντός του εικονικού δικτύου του συμπλέγματος, οι οποίες δεν είναι προσβάσιμες εξωτερικά, εκτός από δύο στοιχεία στα οποία είναι δυνατή η πρόσβαση από το δημόσιο Internet:

Υπηρεσία πύλης
Διαχείριση API Azure

Το σύμπλεγμα παρασκηνίου

Υποδομή Power BI Premium

Το Power BI Premium προσφέρει μια υπηρεσία για συνδρομητές που χρειάζονται premium δυνατότητες του Power BI, όπως προηγμένη τεχνητή νοημοσύνη, διανομή σε χρήστες χωρίς άδεια χρήσης κ.λπ. Όταν ένας πελάτης εγγράφεται για μια συνδρομή Power BI Premium, οι εκχωρημένοι πόροι Premium δημιουργούνται μέσω του Azure Resource Manager.

Οι εκχωρημένοι πόροι Power BI Premium φιλοξενούνται σε συμπλέγματα παρασκηνίου που είναι ανεξάρτητα από το κανονικό παρασκήνιο του Power BI, ανατρέξτε παραπάνω). Αυτό παρέχει καλύτερη απομόνωση, εκχώρηση πόρων, δυνατότητα υποστήριξης, απομόνωση ασφαλείας και κλιμάκωση της προσφοράς Premium.

Το παρακάτω διάγραμμα απεικονίζει την αρχιτεκτονική της υποδομής Power BI Premium:

Power BI Premium

Η σύνδεση με την υποδομή Power BI Premium μπορεί να γίνει με πολλούς τρόπους, ανάλογα με το σενάριο χρήστη. Τα προγράμματα-πελάτες Power BI Premium μπορούν να είναι ένα πρόγραμμα περιήγησης ενός χρήστη, ένα κανονικό παρασκήνιο Power BI, άμεσες συνδέσεις μέσω προγραμμάτων-πελατών XMLA, API ARM κ.λπ.

Η υποδομή Power BI Premium σε μια περιοχή Azure αποτελείται από πολλά συμπλέγματα Power BI Premium (το ελάχιστο είναι ένα). Οι περισσότεροι πόροι Premium συμπυκνώνονται μέσα σε ένα σύμπλεγμα (για παράδειγμα, υπολογιστικός υπολογισμός) και υπάρχουν ορισμένοι κοινοί τοπικοί πόροι (για παράδειγμα, χώρος αποθήκευσης μετα-δεδομένων). Η υποδομή Premium επιτρέπει δύο τρόπους επίτευξης οριζόντιας κλιμάκωσης σε μια περιοχή: την αύξηση των πόρων μέσα σε συμπλέγματα ή/και την προσθήκη περισσότερων συμπλεγμάτων κατ' απαίτηση (εάν οι πόροι συμπλέγματος πλησιάζουν τα όριά τους).

Η ραχοκοκαλιά κάθε συμπλέγματος είναι υπολογιστικοί πόροι τους οποίους διαχειρίζονται τα Virtual Machine Scale Sets και το Azure Service Fabric. Τα Virtual Machine Scale Sets και Service Fabric επιτρέπουν γρήγορη και ανώδυνη αύξηση των υπολογιστικών κόδων καθώς αυξάνεται η χρήση και ενορχηστρώνει την ανάπτυξη, τη διαχείριση και την παρακολούθηση των υπηρεσιών και εφαρμογών Power BI Premium.

Υπάρχουν πολλοί περιβάλλονται πόροι που εξασφαλίζουν μια ασφαλή και αξιόπιστη υποδομή: εξισορροπητές φορτίου, εικονικά δίκτυα, ομάδες ασφάλειας δικτύου, λεωφορείο υπηρεσιών, χώρο αποθήκευσης κ.λπ. Οποιαδήποτε μυστικά, κλειδιά και πιστοποιητικά απαιτούνται για το Power BI Premium, τα οποία διαχειρίζεται αποκλειστικά το Azure Key Vault . Οποιοσδήποτε έλεγχος ταυτότητας πραγματοποιείται αποκλειστικά μέσω ενοποίησης με το Microsoft Entra ID (γνωστό προηγουμένως ως Azure Active Directory).

Κάθε αίτημα που συνοδεύει την υποδομή Power BI Premium υποβάλλεται πρώτα στους κόμβους προσκηνίου και είναι οι μόνοι κόμβοι που είναι διαθέσιμοι για εξωτερικές συνδέσεις. Οι υπόλοιποι πόροι κρύβονται πίσω από τα εικονικά δίκτυα. Οι κόμβοι προσκηνίου πραγματοποιούν έλεγχο ταυτότητας στην αίτηση, την χειρίζονται ή την προωθούν στους κατάλληλους πόρους (για παράδειγμα, κόμβους παρασκηνίου).

Οι κόμβοι παρασκηνίων παρέχουν τις περισσότερες από τις δυνατότητες και τις δυνατότητες του Power BI Premium.

Power BI για κινητές συσκευές

Power BI για κινητές συσκευές είναι μια συλλογή εφαρμογών που έχουν σχεδιαστεί για τις τρεις κύριες πλατφόρμες για κινητές συσκευές: Android, iOS και Windows (UWP). Τα ζητήματα ασφαλείας για τις εφαρμογές Power BI για κινητές συσκευές εμπίπτουν σε δύο κατηγορίες:

Επικοινωνία συσκευών
Η εφαρμογή και τα δεδομένα στη συσκευή

Για την επικοινωνία των συσκευών, όλες οι εφαρμογές Power BI για κινητές συσκευές επικοινωνούν με το Υπηρεσία Power BI και χρησιμοποιούν τις ίδιες ακολουθίες σύνδεσης και ελέγχου ταυτότητας που χρησιμοποιούνται από τα προγράμματα περιήγησης, οι οποίες περιγράφονται λεπτομερώς νωρίτερα σε αυτή τη λευκή βίβλο. Οι εφαρμογές Power BI για κινητές συσκευές για iOS και Android εμφανίζει μια περίοδο λειτουργίας προγράμματος περιήγησης μέσα στην ίδια την εφαρμογή, ενώ η εφαρμογή για κινητές συσκευές Windows εμφανίζει έναν μεσολαβητή για τη δημιουργία του καναλιού επικοινωνίας με το Power BI (για τη διαδικασία εισόδου).

Ο παρακάτω πίνακας εμφανίζει την υποστήριξη ελέγχου ταυτότητας (CBA) βάσει πιστοποιητικού για Power BI για κινητές συσκευές, με βάση την πλατφόρμα κινητών συσκευών:

Υποστήριξη CBA	iOS	Android	Παράθυρα
Power BI (είσοδος στην υπηρεσία)	Υποστηρίζεται	Υποστηρίζεται	Δεν υποστηρίζεται
SSRS ADFS εσωτερικής εγκατάστασης (σύνδεση σε διακομιστή SSRS)	Δεν υποστηρίζεται	Υποστηρίζεται	Δεν υποστηρίζεται
Διακομιστής μεσολάβησης εφαρμογής SSRS	Υποστηρίζεται	Υποστηρίζεται	Δεν υποστηρίζεται

Power BI για κινητές συσκευές εφαρμογές επικοινωνούν ενεργά με το Υπηρεσία Power BI. Η τηλεμετρία χρησιμοποιείται για τη συλλογή στατιστικών στοιχείων χρήσης και παρόμοιων δεδομένων για εφαρμογές για κινητές συσκευές, τα οποία μεταδίδονται στις υπηρεσίες που χρησιμοποιούνται για την παρακολούθηση της χρήσης και της δραστηριότητας. δεν αποστέλλονται δεδομένα πελάτη με τηλεμετρία.

Η εφαρμογή Power BI αποθηκεύει δεδομένα στη συσκευή που διευκολύνει τη χρήση της εφαρμογής:

Το Αναγνωριστικό Microsoft Entra και τα διακριτικά ανανέωσης αποθηκεύονται σε έναν ασφαλή μηχανισμό στη συσκευή, χρησιμοποιώντας βιομηχανικά πρότυπα ασφαλείας.
Τα δεδομένα και οι ρυθμίσεις (ζεύγη κλειδιού-τιμής για τη ρύθμιση παραμέτρων χρήστη) αποθηκεύονται στο cache της συσκευής και μπορούν να κρυπτογραφηθούν από το λειτουργικό σύστημα. Στο iOS, αυτό γίνεται αυτόματα όταν ο χρήστης ορίζει έναν κωδικό πρόσβασης. Στο Android αυτό μπορεί να ρυθμιστεί στις ρυθμίσεις. Στα Windows επιτυγχάνεται χρησιμοποιώντας το BitLocker.
Για τις εφαρμογές Android και iOS, τα δεδομένα και οι ρυθμίσεις (ζεύγη κλειδιού-τιμής για τη ρύθμιση παραμέτρων χρήστη) αποθηκεύονται στο cache της συσκευής σε ένα περιβάλλον προστατευμένης εκτέλεσης και στον εσωτερικό χώρο αποθήκευσης που είναι προσβάσιμος μόνο στην εφαρμογή. Για την εφαρμογή Windows, τα δεδομένα είναι προσβάσιμα μόνο από τον χρήστη (και τον διαχειριστή του συστήματος).
Ο γεωεντοπισμός ενεργοποιείται ή απενεργοποιείται ρητά από το χρήστη. Αν ενεργοποιηθούν, τα δεδομένα γεωεντοπισμού δεν αποθηκεύονται στη συσκευή και δεν κοινά με τη Microsoft.
Ο ειδοποιήσεις είναι ενεργοποιημένες ή απενεργοποιημένες ρητά από το χρήστη. Εάν είναι ενεργοποιημένο, το Android και το iOS δεν υποστηρίζουν απαιτήσεις γεωγραφικής τοποθεσίας δεδομένων για ειδοποιήσεις.

Η κρυπτογράφηση δεδομένων μπορεί να βελτιωθεί με την εφαρμογή κρυπτογράφησης σε επίπεδο αρχείου μέσω του Microsoft Intune, μιας υπηρεσίας λογισμικού που παρέχει διαχείριση κινητών συσκευών και εφαρμογών. Και οι τρεις πλατφόρμες για τις οποίες το Power BI για κινητές συσκευές είναι διαθέσιμο υποστηρίζουν το Intune. Με το Intune ενεργοποιημένο και ρυθμισμένο, τα δεδομένα στην κινητή συσκευή κρυπτογραφούνται και η ίδια η εφαρμογή Power BI δεν μπορεί να εγκατασταθεί σε μια κάρτα SD. Μάθετε περισσότερα σχετικά με το Microsoft Intune.

Η εφαρμογή των Windows υποστηρίζει επίσης windows Προστασία πληροφοριών (WIP).

Για την υλοποίηση SSO, ορισμένες ασφαλείς τιμές χώρου αποθήκευσης που σχετίζονται με τον έλεγχο ταυτότητας βάσει διακριτικού είναι διαθέσιμες για άλλες εφαρμογές πρώτης έκδοσης της Microsoft (όπως το Microsoft Authenticator) και η διαχείριση τους γίνεται από τη Βιβλιοθήκη ελέγχου ταυτότητας της Microsoft (MSAL).

Power BI για κινητές συσκευές δεδομένα στο cache διαγράφονται όταν καταργείται η εφαρμογή, όταν ο χρήστης εξέλθει από Power BI για κινητές συσκευές ή όταν ο χρήστης αποτυγχάνει να εισέλθει (όπως μετά από ένα συμβάν λήξης διακριτικού ή αλλαγή κωδικού πρόσβασης). Το cache δεδομένων περιλαμβάνει πίνακες εργαλείων και αναφορές στα οποία είχε αποκτήσει προηγουμένως πρόσβαση η Power BI για κινητές συσκευές εφαρμογή.

Power BI για κινητές συσκευές δεν αποκτά πρόσβαση σε άλλους φακέλους εφαρμογών ή αρχεία στη συσκευή.

Οι εφαρμογές Power BI για iOS και Android σάς επιτρέπουν να προστατεύετε τα δεδομένα σας ρυθμίζοντας πρόσθετες παραμέτρους αναγνώρισης, όπως είναι η παροχή Face ID, Touch ID ή κωδικού πρόσβασης για iOS και βιομετρικών δεδομένων (αναγνωριστικό δακτυλικών αποτυπωμάτων) για Android. Μάθετε περισσότερα σχετικά με την πρόσθετη αναγνώριση.

Έλεγχος ταυτότητας στο Υπηρεσία Power BI

Ο έλεγχος ταυτότητας χρήστη στην Υπηρεσία Power BI αποτελείται από μια σειρά αιτήσεων, αποκρίσεων και ανακατευθύνσεων μεταξύ του προγράμματος περιήγησης του χρήστη και του Υπηρεσία Power BI ή των υπηρεσιών Azure που χρησιμοποιούνται από το Power BI. Αυτή η ακολουθία περιγράφει τη διαδικασία ελέγχου ταυτότητας χρήστη στο Power BI, η οποία ακολουθεί τη ροή εκχώρησης κώδικα ελέγχου ταυτότητας microsoft Entra. Για περισσότερες πληροφορίες σχετικά με τις επιλογές για τα μοντέλα ελέγχου ταυτότητας χρήστη ενός οργανισμού (μοντέλα εισόδου), ανατρέξτε στο θέμα Επιλογή μοντέλου εισόδου για το Microsoft 365.

Ακολουθία ελέγχου ταυτότητας

Η ακολουθία ελέγχου ταυτότητας χρήστη για την Υπηρεσία Power BI πραγματοποιείται όπως περιγράφεται στα παρακάτω βήματα, τα οποία απεικονίζονται στην εικόνα που τους ακολουθεί.

Ένας χρήστης ξεκινά μια σύνδεση στον Υπηρεσία Power BI από ένα πρόγραμμα περιήγησης, είτε πληκτρολογώντας τη διεύθυνση του Power BI στη γραμμή διευθύνσεων είτε επιλέγοντας Είσοδος από τη σελίδα μάρκετινγκ του Power BI (https://powerbi.microsoft.com). Η σύνδεση πραγματοποιείται με χρήση TLS και HTTPS και όλες οι επόμενες επικοινωνίες μεταξύ του προγράμματος περιήγησης και του Υπηρεσία Power BI χρησιμοποιούν HTTPS.
Το Διαχείριση κυκλοφορίας Azure ελέγχει την εγγραφή DNS του χρήστη για να προσδιορίσει το πιο κατάλληλο (συνήθως πλησιέστερο) κέντρο δεδομένων όπου αναπτύσσεται το Power BI και ανταποκρίνεται στο DNS με τη διεύθυνση IP του συμπλέγματος WFE στο οποίο πρέπει να αποσταλεί ο χρήστης.
Στη συνέχεια, το WFE επιστρέφει μια σελίδα HTML στο πρόγραμμα-πελάτη του προγράμματος περιήγησης, το οποίο περιέχει μια αναφορά βιβλιοθήκης MSAL.js που είναι απαραίτητη για την εκκίνηση της ροής εισόδου.
Το πρόγραμμα-πελάτης του προγράμματος περιήγησης φορτώνει τη σελίδα HTML που λάβατε από το WFE και ανακατευθύνει τον χρήστη στη σελίδα εισόδου του Microsoft Online Services.
Μετά τον έλεγχο ταυτότητας του χρήστη, η σελίδα εισόδου ανακατευθύνει τον χρήστη πίσω στη σελίδα του Power BI WFE με έναν κώδικα ελέγχου ταυτότητας.
Το πρόγραμμα-πελάτης του προγράμματος περιήγησης φορτώνει τη σελίδα HTML και χρησιμοποιεί τον κωδικό ελέγχου ταυτότητας για την αίτηση διακριτικών (πρόσβαση, αναγνωριστικό, ανανέωση) από το αναγνωριστικό Microsoft Entra.
Το αναγνωριστικό μισθωτή του χρήστη χρησιμοποιείται από το πρόγραμμα-πελάτη του προγράμματος περιήγησης για την υποβολή ερωτήματος στην Καθολική υπηρεσία Power BI, η οποία διατηρεί μια λίστα με τους μισθωτές και τις θέσεις συμπλέγματος power BI παρασκηνίου. Η Καθολική υπηρεσία Power BI προσδιορίζει ποιο σύμπλεγμα υπηρεσιών παρασκηνίου Power BI περιέχει τον μισθωτή του χρήστη και επιστρέφει τη διεύθυνση URL συμπλέγματος παρασκηνίου Power BI προς τα κάτω στο πρόγραμμα-πελάτη.
Το πρόγραμμα-πελάτης έχει πλέον τη δυνατότητα επικοινωνίας με το API διεύθυνσης URL συμπλέγματος παρασκηνίου Power BI, χρησιμοποιώντας το διακριτικό πρόσβασης στην κεφαλίδα εξουσιοδότησης για τις αιτήσεις HTTP. Το διακριτικό πρόσβασης του Microsoft Entra θα έχει μια ημερομηνία λήξης ορισμένη σύμφωνα με τις πολιτικές του Microsoft Entra και για τη διατήρηση της τρέχουσας περιόδου λειτουργίας, το πρόγραμμα-πελάτης Power BI στο πρόγραμμα περιήγησης του χρήστη θα υποβάλει περιοδικές αιτήσεις για ανανέωση του διακριτικού πρόσβασης προτού λήξει.

Διάγραμμα που απεικονίζει την ακολουθία ελέγχου ταυτότητας υπολογιστή-πελάτη.

Στις σπάνιες περιπτώσεις όπου αποτυγχάνει ο έλεγχος ταυτότητας από την πλευρά του προγράμματος-πελάτη εξαιτίας ενός μη αναμενόμενου σφάλματος, ο κώδικας επιχειρεί να επιστρέψει στη χρήση ελέγχου ταυτότητας από την πλευρά του διακομιστή στο WFE. Ανατρέξτε στην ενότητα ερωτήσεων και απαντήσεων στο τέλος αυτού του εγγράφου για λεπτομέρειες σχετικά με τη ροή ελέγχου ταυτότητας από την πλευρά του διακομιστή.

Αποθήκευση δεδομένων

Εκτός εάν αναφέρεται διαφορετικά στην τεκμηρίωση, το Power BI αποθηκεύει τα δεδομένα των πελατών σε μια γεωγραφική τοποθεσία Azure που εκχωρείται όταν ένας μισθωτής Microsoft Entra εγγράφεται για Υπηρεσία Power BI s για πρώτη φορά. Ένας μισθωτής Microsoft Entra φιλοξενεί ταυτότητες χρήστη και εφαρμογής, ομάδες και άλλες σχετικές πληροφορίες που αφορούν έναν οργανισμό και την ασφάλειά του.

Η ανάθεση μιας γεωγραφικής τοποθεσίας Azure για τον χώρο αποθήκευσης δεδομένων μισθωτή πραγματοποιείται αντιστοιχίζονται τη χώρα ή την περιοχή που επιλέξατε ως μέρος της ρύθμισης μισθωτή Microsoft Entra στην καταλληλότερη γεωγραφική τοποθεσία Azure όπου υπάρχει μια ανάπτυξη Power BI. Μόλις γίνει αυτός ο προσδιορισμός, όλα τα δεδομένα πελατών του Power BI θα αποθηκευτούν σε αυτήν την επιλεγμένη γεωγραφική τοποθεσία Azure (γνωστή και ως αρχική γεωγραφική περιφέρεια), εκτός από τις περιπτώσεις όπου οι οργανισμοί χρησιμοποιούν αναπτύξεις multi-geo.

Πολλές γεωγραφικές τοποθεσίες (multi-geo)

Ορισμένοι οργανισμοί έχουν καθολική παρουσία και ενδέχεται να απαιτούν Υπηρεσία Power BI σε πολλές γεωγραφικές τοποθεσίες του Azure. Για παράδειγμα, μια επιχείρηση μπορεί να έχει την έδρα της στον Ηνωμένες Πολιτείες, αλλά μπορεί επίσης να ασκεί επιχειρηματική δραστηριότητα σε άλλες γεωγραφικές περιοχές, όπως η Αυστραλία. Σε αυτές τις περιπτώσεις, η επιχείρηση ενδέχεται να απαιτεί ορισμένα δεδομένα Power BI να παραμένουν αποθηκευμένα σε κατάσταση αδράνειας στην απομακρυσμένη περιοχή, προκειμένου να συμμορφώνονται με τους τοπικούς κανονισμούς. Αυτή η δυνατότητα του Υπηρεσία Power BI αναφέρεται ως Multi-Geo.

Το επίπεδο εκτέλεσης ερωτήματος, τα cache ερωτημάτων και τα δεδομένα αντικειμένων σχεδίασης που εκχωρούνται σε έναν χώρο εργασίας πολλαπλών γεωγραφικών περιοχών φιλοξενούνται και παραμένουν στη γεωγραφική τοποθεσία του Azure στην απομακρυσμένη χωρητικότητα. Ωστόσο, ορισμένα μετα-δεδομένα αντικειμένου σχεδίασης, όπως η δομή αναφοράς, μπορεί να παραμείνουν αποθηκευμένα σε αδράνεια στην αρχική γεωγραφική περιφέρεια του μισθωτή. Επιπλέον, ορισμένες μεταφορές και επεξεργασία δεδομένων ενδέχεται να συνεχίσουν να πραγματοποιούνται στην αρχική γεωγραφική περιφέρεια του μισθωτή, ακόμη και για χώρους εργασίας που φιλοξενούνται σε εκχωρημένους πόρους Premium πολλαπλών γεωγραφικών γεωγραφικών περιφέρειες.

Ανατρέξτε στο θέμα Ρύθμιση παραμέτρων υποστήριξης Multi-Geo για το Power BI Premium για περισσότερες πληροφορίες σχετικά με τη δημιουργία και τη διαχείριση αναπτύξεων Power BI που εκτείνονται σε πολλές γεωγραφικές τοποθεσίες του Azure.

Περιοχές και κέντρα δεδομένων

Υπηρεσία Power BI είναι διαθέσιμα σε συγκεκριμένες γεωγραφικές τοποθεσίες Azure, όπως περιγράφεται στο Κέντρο αξιοπιστίας της Microsoft. Για περισσότερες πληροφορίες σχετικά με το πού αποθηκεύονται τα δεδομένα σας και πώς χρησιμοποιούνται, ανατρέξτε στο Κέντρο αξιοπιστίας της Microsoft. Οι δεσμεύσεις που αφορούν τη θέση των αδρανών δεδομένων των πελατών, καθορίζονται στους Όρους επεξεργασίας δεδομένων που περιλαμβάνονται στους Όρους Microsoft Online Services.

Η Microsoft παρέχει επίσης κέντρα δεδομένων για κρατικές οντότητες. Για περισσότερες πληροφορίες σχετικά με Υπηρεσία Power BI διαθεσιμότητα για εθνικά/περιφερειακά cloud, ανατρέξτε στο θέμα Εθνικά/περιφερειακά cloud του Power BI.

Χειρισμός δεδομένων

Αυτή η ενότητα περιγράφει τις πρακτικές χειρισμού δεδομένων του Power BI όσον αφορά την αποθήκευση, την επεξεργασία και τη μεταφορά δεδομένων πελατών.

Αδρανή δεδομένα

Το Power BI χρησιμοποιεί δύο κύριους τύπους πόρων αποθήκευσης δεδομένων:

Χώρος αποθήκευσης Azure
Βάσεις δεδομένων SQL Azure

Στα περισσότερα σενάρια, το Azure Υπηρεσία αποθήκευσης χρησιμοποιείται για τη διατήρηση των δεδομένων των αντικειμένων σχεδίασης Power BI, ενώ οι Βάση δεδομένων SQL του Azure χρησιμοποιούνται για τη διατήρηση των μετα-δεδομένων αντικειμένου σχεδίασης.

Όλα τα δεδομένα που διατηρούνται από το Power BI κρυπτογραφούνται από προεπιλογή χρησιμοποιώντας διαχειριζόμενα κλειδιά της Microsoft. Τα δεδομένα πελατών που είναι αποθηκευμένα σε Βάση δεδομένων SQL Azure κρυπτογραφούνται πλήρως χρησιμοποιώντας την τεχνολογία Διαφανής κρυπτογράφηση δεδομένων (TDE) του SQL Azure. Τα δεδομένα πελατών που είναι αποθηκευμένα στον χώρο αποθήκευσης αντικειμένων Blob Azure κρυπτογραφούνται με χρήση της κρυπτογράφησης Azure Υπηρεσία αποθήκευσης.

Προαιρετικά, οι οργανισμοί μπορούν να χρησιμοποιήσουν το Power BI Premium για να χρησιμοποιήσουν τα δικά τους κλειδιά για την κρυπτογράφηση αδρανών δεδομένων που εισάγονται σε ένα μοντέλο σημασιολογίας. Αυτή η προσέγγιση περιγράφεται συχνά ως Χρήση του δικού σας κλειδιού (BYOK). Η χρήση της ΔΥΝΑΤΌΤΗΤΑς BYOK διασφαλίζει ότι ακόμη και σε περίπτωση σφάλματος τελεστή υπηρεσίας, τα δεδομένα πελατών δεν θα εκτίθενται – κάτι που δεν μπορεί να επιτευχθεί εύκολα χρησιμοποιώντας διαφανή κρυπτογράφηση από την πλευρά της υπηρεσίας. Ανατρέξτε στο θέμα Χρήση των δικών σας κλειδιών κρυπτογράφησης για το Power BI για περισσότερες πληροφορίες.

Τα σημασιολογικά μοντέλα Power BI επιτρέπουν διάφορες λειτουργίες σύνδεσης προέλευσης δεδομένων που καθορίζουν εάν τα δεδομένα προέλευσης δεδομένων διατηρούνται στην υπηρεσία ή όχι.

Σημασιολογική λειτουργία μοντέλου (Είδος)	Δεδομένα που διατηρούνται στο Power BI
Εισαγωγή	Όχι
DirectQuery	Όχι
Ζωντανές Σύνδεση	Όχι
Σύνθετο	Εάν περιέχει μια προέλευση δεδομένων εισαγωγής
Ροής	Εάν έχει ρυθμιστεί για διατήρηση

Ανεξάρτητα από τη λειτουργία σημασιολογικού μοντέλου που χρησιμοποιείται, το Power BI μπορεί προσωρινά να αποθηκεύσει στο cache τυχόν δεδομένα που έχουν ανακτηθεί για βελτιστοποίηση των επιδόσεων φόρτωσης ερωτημάτων και αναφορών.

Δεδομένα σε επεξεργασία

Τα δεδομένα βρίσκονται σε επεξεργασία όταν είτε χρησιμοποιούνται ενεργά από έναν ή περισσότερους χρήστες ως μέρος ενός αλληλεπιδραστικού σεναρίου, είτε όταν μια διαδικασία στο παρασκήνιο, όπως η ανανέωση, αγγίζει αυτά τα δεδομένα. Το Power BI φορτώνει τα ενεργά επεξεργασμένα δεδομένα στο χώρο μνήμης ενός ή περισσότερων φόρτων εργασίας υπηρεσίας. Για τη διευκόλυνση της λειτουργικότητας που απαιτείται από τον φόρτο εργασίας, τα επεξεργασμένα δεδομένα στη μνήμη δεν κρυπτογραφούνται.

Δεδομένα σε διαμετακόμιση

Το Power BI απαιτεί να κρυπτογραφείται όλη η εισερχόμενη κυκλοφορία HTTP με χρήση TLS 1.2 ή νεότερης έκδοσης. Τυχόν αιτήσεις που επιχειρούν να χρησιμοποιήσουν την υπηρεσία με TLS 1.1 ή παλαιότερη θα απορρίπτονται.

Έλεγχος ταυτότητας σε προελεύσεις δεδομένων

Κατά τη σύνδεση σε μια προέλευση δεδομένων, ένας χρήστης μπορεί να επιλέξει να εισαγάγει ένα αντίγραφο των δεδομένων στο Power BI ή να συνδεθεί απευθείας στην προέλευση δεδομένων.

Στην περίπτωση εισαγωγής, ένας χρήστης δημιουργεί μια σύνδεση με βάση την είσοδο του χρήστη και αποκτά πρόσβαση στα δεδομένα με τα διαπιστευτήρια. Μετά τη δημοσίευση του σημασιολογικού μοντέλου στην Υπηρεσία Power BI, το Power BI χρησιμοποιεί πάντα τα διαπιστευτήρια αυτού του χρήστη για την εισαγωγή δεδομένων. Μετά την εισαγωγή των δεδομένων, η προβολή των δεδομένων σε αναφορές και πίνακες εργαλείων δεν αποκτά πρόσβαση στην υποκείμενη προέλευση δεδομένων. Το Power BI υποστηρίζει έλεγχο ταυτότητας καθολικής σύνδεσης για επιλεγμένες προελεύσεις δεδομένων. Εάν η σύνδεση έχει ρυθμιστεί για χρήση καθολικής σύνδεσης, τα διαπιστευτήρια κατόχου μοντέλου σημασιολογίας χρησιμοποιούνται για τη σύνδεση στην προέλευση δεδομένων.

Εάν μια προέλευση δεδομένων συνδέεται απευθείας χρησιμοποιώντας προκαθορισμένα διαπιστευτήρια, τα προκαθορισμένα διαπιστευτήρια χρησιμοποιούνται για τη σύνδεση στην προέλευση δεδομένων όταν κάποιος χρήστης προβάλλει τα δεδομένα. Εάν μια προέλευση δεδομένων συνδέεται απευθείας με χρήση καθολικής σύνδεσης, τα διαπιστευτήρια του τρέχοντος χρήστη χρησιμοποιούνται για τη σύνδεση στην προέλευση δεδομένων όταν ένας χρήστης προβάλλει τα δεδομένα. Όταν χρησιμοποιείται με καθολική σύνδεση, η ασφάλεια σε επίπεδο γραμμών (RLS) ή/και η ασφάλεια σε επίπεδο αντικειμένου (OLS) μπορούν να υλοποιηθούν στην προέλευση δεδομένων. Αυτό επιτρέπει στους χρήστες να προβάλλουν μόνο τα δεδομένα στα οποία έχουν δικαιώματα πρόσβασης. Όταν η σύνδεση είναι σε προελεύσεις δεδομένων στο cloud, ο έλεγχος ταυτότητας του Microsoft Entra χρησιμοποιείται για καθολική σύνδεση. Υποστηρίζονται για προελεύσεις δεδομένων εσωτερικής εγκατάστασης, Kerberos, γλώσσα σήμανσης διεκδίκησης ασφαλείας (SAML) και αναγνωριστικό Microsoft Entra.

Εάν η προέλευση δεδομένων είναι Υπηρεσίες Ανάλυσης του Azure ή υπηρεσίες ανάλυσης εσωτερικής εγκατάστασης και έχει ρυθμιστεί το RLS ή/και το OLS, η Υπηρεσία Power BI θα εφαρμόσει αυτή την ασφάλεια σε επίπεδο γραμμών και οι χρήστες που δεν διαθέτουν επαρκή διαπιστευτήρια για πρόσβαση στα υποκείμενα δεδομένα (το οποίο θα μπορούσε να είναι ένα ερώτημα που χρησιμοποιείται σε έναν πίνακα εργαλείων, μια αναφορά ή άλλο αντικείμενο σχεδίασης δεδομένων) δεν θα βλέπουν δεδομένα που δεν διαθέτουν επαρκή προνόμια για.

Δυνατότητες Premium

Αρχιτεκτονική ροών δεδομένων

Οι ροές δεδομένων παρέχουν στους χρήστες τη δυνατότητα να ρυθμίζουν λειτουργίες επεξεργασίας δεδομένων παρασκηνίου που θα εξάγουν δεδομένα από πολυμορφικές προελεύσεις δεδομένων, θα εκτελούν λογική μετασχηματισμού σε σχέση με τα δεδομένα και, στη συνέχεια, θα τα προσγειώνουν σε ένα μοντέλο προορισμού για χρήση σε διάφορες τεχνολογίες παρουσίασης αναφορών. Οποιοσδήποτε χρήστης που έχει ρόλο μέλους, συμβάλλοντα ή διαχειριστή σε έναν χώρο εργασίας μπορεί να δημιουργήσει μια ροή δεδομένων. Οι χρήστες με τον ρόλο του θεατή μπορούν να βλέπουν τα δεδομένα που επεξεργάζεται η ροή δεδομένων, αλλά δεν μπορούν να κάνουν αλλαγές στη σύνθεσή τους. Μετά τη σύνταξη μιας ροής δεδομένων, οποιοδήποτε μέλος, συμβάλλων ή διαχειριστής του χώρου εργασίας μπορεί να προγραμματίσει ανανεώσεις, καθώς και να προβάλει και να επεξεργαστεί τη ροή δεδομένων, αναλάβετε την κυριότητα της.

Κάθε διαμορφωμένη προέλευση δεδομένων συνδέεται σε μια τεχνολογία προγράμματος-πελάτη για πρόσβαση σε αυτήν την προέλευση δεδομένων. Η δομή των διαπιστευτηρίων που απαιτούνται για την πρόσβαση σε αυτά διαμορφώνεται ώστε να ταιριάζει με τις απαιτούμενες λεπτομέρειες υλοποίησης της προέλευσης δεδομένων. Η λογική μετασχηματισμού εφαρμόζεται από τις υπηρεσίες Power Query κατά τη διάρκεια της πτήσης των δεδομένων. Για τις ροές δεδομένων Premium, οι υπηρεσίες Power Query εκτελούνται σε κόμβους παρασκηνίου. Τα δεδομένα μπορούν να αντληθούν απευθείας από τις προελεύσεις cloud ή μέσω μιας πύλης που είναι εγκατεστημένη σε εσωτερική εγκατάσταση. Όταν μεταφέρεται απευθείας από μια προέλευση cloud στην υπηρεσία ή στην πύλη, η μεταφορά χρησιμοποιεί μεθοδολογία προστασίας ειδικά για την τεχνολογία του προγράμματος-πελάτη, εάν υπάρχει. Όταν μεταφέρονται δεδομένα από την πύλη στην υπηρεσία cloud, κρυπτογραφούνται. Ανατρέξτε στην ενότητα Δεδομένα σε μεταφορά παραπάνω.

Όταν προελεύσεις δεδομένων που καθορίζονται από τον πελάτη απαιτούν διαπιστευτήρια για την πρόσβαση, ο κάτοχος/δημιουργός της ροής δεδομένων θα τα παρέχει κατά τη διάρκεια της σύνταξης. Αποθηκεύονται χρησιμοποιώντας τυπικό χώρο αποθήκευσης διαπιστευτηρίων σε όλο το προϊόν. Ανατρέξτε στην ενότητα Έλεγχος ταυτότητας σε προελεύσεις δεδομένων παραπάνω. Υπάρχουν διάφορες προσεγγίσεις που μπορούν να ρυθμίσουν οι χρήστες για τη βελτιστοποίηση της διατήρησης και της πρόσβασης των δεδομένων. Από προεπιλογή, τα δεδομένα τοποθετούνται σε έναν λογαριασμό χώρου αποθήκευσης που ανήκει στο Power BI και προστατεύεται. Υπηρεσία αποθήκευσης κρυπτογράφηση ενεργοποιείται στα κοντέινερ χώρου αποθήκευσης αντικειμένων Blob για την προστασία των δεδομένων όταν είναι αδρανή. Ανατρέξτε στην ενότητα Αδρανή δεδομένα παρακάτω. Ωστόσο, οι χρήστες μπορούν να ρυθμίσουν τον δικό τους λογαριασμό χώρου αποθήκευσης που σχετίζεται με τη δική τους συνδρομή Azure. Όταν το κάνει αυτό, σε μια κύρια Υπηρεσία Power BI εκχωρείται πρόσβαση σε αυτόν τον λογαριασμό χώρου αποθήκευσης, έτσι ώστε να μπορεί να γράψει τα δεδομένα εκεί κατά την ανανέωση. Στην περίπτωση αυτή, ο κάτοχος του πόρου αποθήκευσης είναι υπεύθυνος για τη ρύθμιση παραμέτρων κρυπτογράφησης στον διαμορφωμένο λογαριασμό χώρου αποθήκευσης ADLS. Τα δεδομένα μεταδίδονται πάντα στον χώρο αποθήκευσης αντικειμένων Blob με χρήση κρυπτογράφησης.

Δεδομένου ότι οι επιδόσεις κατά την πρόσβαση σε λογαριασμούς χώρου αποθήκευσης μπορεί να μην είναι κατάλληλες για ορισμένα δεδομένα, οι χρήστες έχουν επίσης την επιλογή να χρησιμοποιήσουν έναν μηχανισμό υπολογιστικής λειτουργίας που φιλοξενείται στο Power BI για την αύξηση των επιδόσεων. Στην περίπτωση αυτή, τα δεδομένα αποθηκεύονται πλεονάζοντα σε μια βάση δεδομένων SQL, η οποία είναι διαθέσιμη για το DirectQuery μέσω της πρόσβασης από το σύστημα Power BI παρασκηνίου. Τα δεδομένα κρυπτογραφούνται πάντα στο σύστημα αρχείων. Εάν ο χρήστης παρέχει ένα κλειδί για την κρυπτογράφηση των δεδομένων που είναι αποθηκευμένα στη βάση δεδομένων SQL, αυτό το κλειδί θα χρησιμοποιηθεί για την διπλά κρυπτογράφηση.

Κατά την υποβολή ερωτημάτων με χρήση του DirectQuery, το κρυπτογραφημένο πρωτόκολλο μεταφοράς HTTPS χρησιμοποιείται για την πρόσβαση στο API. Όλες οι δευτερεύουσες ή έμμεσες χρήσεις του DirectQuery ελέγχονται από τους ίδιους ελέγχους πρόσβασης που περιγράφηκαν προηγουμένως. Δεδομένου ότι οι ροές δεδομένων είναι πάντα συνδεδεμένες σε έναν χώρο εργασίας, η πρόσβαση στα δεδομένα περικλείεται πάντα από τον ρόλο του χρήστη σε αυτόν τον χώρο εργασίας. Ένας χρήστης πρέπει να έχει τουλάχιστον πρόσβαση ανάγνωσης για να μπορεί να ζητήσει τα δεδομένα μέσω οποιουδήποτε μέσου.

Όταν χρησιμοποιείται το Power BI Desktop για πρόσβαση σε δεδομένα σε μια ροή δεδομένων, πρέπει πρώτα να πραγματοποιηθεί έλεγχος ταυτότητας του χρήστη με χρήση του αναγνωριστικού Microsoft Entra για να προσδιοριστεί εάν ο χρήστης έχει επαρκή δικαιώματα προβολής των δεδομένων. Σε αυτή την περίπτωση, αποκτάται ένα κλειδί SaS και χρησιμοποιείται για την απευθείας πρόσβαση στον χώρο αποθήκευσης χρησιμοποιώντας το κρυπτογραφημένο πρωτόκολλο μεταφοράς HTTPS.

Η επεξεργασία των δεδομένων σε όλη τη διοχέτευση εκπέμπει συμβάντα ελέγχου του Office 365. Ορισμένα από αυτά τα συμβάντα θα καταγράφουν λειτουργίες που σχετίζονται με την ασφάλεια και την προστασία προσωπικών δεδομένων.

Σελιδοποιημένες αναφορές

Οι σελιδοποιημένες αναφορές έχουν σχεδιαστεί για εκτύπωση ή κοινή χρήση. Ονομάζονται σελιδοποιημένες καθώς μορφοποιούνται για να ταιριάζουν ιδανικά σε μια σελίδα. Εμφανίζουν όλα τα δεδομένα σε έναν πίνακα, ακόμα και αν ο πίνακας εκτείνεται σε πολλές σελίδες. Μπορείτε να ελέγξετε ακριβώς τη διάταξη της σελίδας αναφοράς τους.

Οι σελιδοποιημένες αναφορές υποστηρίζουν εμπλουτισμένες και ισχυρές παραστάσεις που έχουν συνταχθεί στο .NET της Microsoft Visual Basic. Οι παραστάσεις χρησιμοποιούνται ευρέως σε όλο το Power BI Εργαλείο δόμησης αναφορών σελιδοποιημένες αναφορές για την ανάκτηση, τον υπολογισμό, την εμφάνιση, την ομαδοποίηση, την ταξινόμηση, το φιλτράρισμα, την παραμετροποίηση και τη μορφοποίηση δεδομένων.

Οι παραστάσεις δημιουργούνται από τον συντάκτη της αναφοράς με πρόσβαση στο ευρύ φάσμα δυνατοτήτων του .NET Framework. Η επεξεργασία και εκτέλεση σελιδοποιημένων αναφορών εκτελείται μέσα σε ένα περιβάλλον προστατευμένης εκτέλεσης.

Οι ορισμοί σελιδοποιημένης αναφοράς (.rdl) αποθηκεύονται στο Power BI και για τη δημοσίευση ή/και την απόδοση μιας σελιδοποιημένης αναφοράς ένας χρήστης πρέπει να πραγματοποιεί έλεγχο ταυτότητας και εξουσιοδότηση με τον ίδιο τρόπο όπως περιγράφεται στην ενότητα Έλεγχος ταυτότητας στην υπηρεσία Power BI παραπάνω.

Το διακριτικό Microsoft Entra που λαμβάνεται κατά τη διάρκεια του ελέγχου ταυτότητας χρησιμοποιείται για την απευθείας επικοινωνία από το πρόγραμμα περιήγησης στο σύμπλεγμα Power BI Premium.

Στο Power BI Premium, ο Υπηρεσία Power BI χρόνος εκτέλεσης παρέχει ένα κατάλληλα απομονωμένο περιβάλλον εκτέλεσης για κάθε απόδοση αναφοράς. Αυτό περιλαμβάνει περιπτώσεις όπου οι αναφορές που αποδίδονται ανήκουν σε χώρους εργασίας που έχουν εκχωρηθεί στους ίδιους εκχωρημένους πόρους.

Μια σελιδοποιημένη αναφορά μπορεί να έχει πρόσβαση σε ένα ευρύ σύνολο προελεύσεων δεδομένων ως μέρος της απόδοσης της αναφοράς. Το περιβάλλον προστατευμένης εκτέλεσης δεν επικοινωνεί απευθείας με οποιαδήποτε από τις προελεύσεις δεδομένων, αλλά επικοινωνεί με την αξιόπιστη διαδικασία αίτησης δεδομένων και, στη συνέχεια, η αξιόπιστη διαδικασία προσαρτά τα απαιτούμενα διαπιστευτήρια στη σύνδεση. Με αυτόν τον τρόπο, το περιβάλλον προστατευμένης εκτέλεσης δεν έχει ποτέ πρόσβαση σε διαπιστευτήρια ή μυστικούς κωδικούς.

Για την υποστήριξη δυνατοτήτων όπως χάρτες Bing ή κλήσεις στο Azure Functions, το περιβάλλον προστατευμένης εκτέλεσης δεν έχει πρόσβαση στο Internet.

Ενσωματωμένη ανάλυση Power BI

Οι ανεξάρτητοι προμηθευτές λογισμικού (ISV) και οι υπηρεσίες παροχής λύσεων έχουν δύο κύριες λειτουργίες ενσωμάτωσης τεχνουργημάτων Power BI στις εφαρμογές web και τις πύλες τους: ενσωμάτωση για τον οργανισμό σας και ενσωμάτωση για τους πελάτες σας. Το αντικείμενο σχεδίασης είναι ενσωματωμένο σε ένα IFrame στην εφαρμογή ή πύλη. Δεν επιτρέπεται σε ένα IFrame να διαβάζει ή να γράφει δεδομένα από την εξωτερική εφαρμογή web ή πύλη και η επικοινωνία με το IFrame γίνεται χρησιμοποιώντας το SDK προγράμματος-πελάτη του Power BI χρησιμοποιώντας μηνύματα POST.

Σε ένα σενάριο ενσωμάτωσης για τον οργανισμό σας, οι χρήστες του Microsoft Entra έχουν πρόσβαση σε δικό τους περιεχόμενο Power BI μέσω πυλών προσαρμοσμένων από τις επιχειρήσεις και τα αναγνωριστικά τους. Όλες οι πολιτικές και δυνατότητες του Power BI που περιγράφονται σε αυτό το έγγραφο, όπως η Ασφάλεια σε επίπεδο γραμμών (RLS) και η ασφάλεια σε επίπεδο αντικειμένου (OLS), εφαρμόζονται αυτόματα σε όλους τους χρήστες, ανεξάρτητα από το αν έχουν πρόσβαση στο Power BI μέσω της πύλης Power BI ή μέσω προσαρμοσμένων πυλών.

Σε ένα σενάριο ενσωμάτωσης για τους πελάτες σας, οι ISV συνήθως είναι κάτοχοι μισθωτών Power BI και στοιχείων Power BI (πίνακες εργαλείων, αναφορές, σημασιολογικά μοντέλα και άλλα). Είναι ευθύνη μιας υπηρεσίας παρασκηνίων ISV να ελέγχει την ταυτότητα των τελικών χρηστών της και να αποφασίζει ποια τεχνουργήματα και ποιο επίπεδο πρόσβασης είναι κατάλληλο για τον συγκεκριμένο τελικό χρήστη. Οι αποφάσεις πολιτικής ISV κρυπτογραφούνται σε ένα διακριτικό ενσωμάτωσης που δημιουργείται από το Power BI και μεταβιβάζονται στο παρασκήνιο ISV για περαιτέρω διανομή στους τελικούς χρήστες σύμφωνα με την επιχειρηματική λογική του ISV. Οι τελικοί χρήστες που χρησιμοποιούν ένα πρόγραμμα περιήγησης ή άλλες εφαρμογές-πελάτες δεν έχουν τη δυνατότητα να αποκρυπτογραφήσουν ή να τροποποιήσουν διακριτικά ενσωμάτωσης. Τα SDK στην πλευρά του προγράμματος-πελάτη, όπως τα API προγράμματος-πελάτη του Power BI, προσαρτούν αυτόματα το κρυπτογραφημένο διακριτικό ενσωμάτωσης στις αιτήσεις Power BI ως κεφαλίδα εξουσιοδότησης: EmbedToken . Με βάση αυτήν την κεφαλίδα, το Power BI θα επιβάλλει όλες τις πολιτικές (όπως η πρόσβαση ή το RLS) ακριβώς όπως καθορίστηκε από τον ISV κατά τη διάρκεια της δημιουργίας.

Για να ενεργοποιήσετε την ενσωμάτωση και τον αυτοματισμό, καθώς και για να δημιουργήσετε τα διακριτικά ενσωμάτωσης που περιγράφονται παραπάνω, το Power BI εμφανίζει ένα εμπλουτισμένο σύνολο REST API. Αυτά τα Power BI REST API υποστηρίζουν αμφότερες τις μεθόδους ελέγχου ταυτότητας και εξουσιοδότησης με ανάθεση από τον χρήστη και κύρια υπηρεσία Microsoft Entra.

Η ενσωματωμένη ανάλυση Power BI και τα API REST υποστηρίζουν όλες τις δυνατότητες απομόνωσης δικτύου Power BI που περιγράφονται σε αυτό το άρθρο: Για παράδειγμα, ετικέτες υπηρεσίας και Ιδιωτική σύνδεση.

Δυνατότητες AI

Το Power BI υποστηρίζει επί του παρόντος δύο μεγάλες κατηγορίες δυνατοτήτων AI στο προϊόν σήμερα: απεικονίσεις AI και εμπλουτισμός AI. Οι δυνατότητες AI επιπέδου απεικόνισης περιλαμβάνουν δυνατότητες όπως Σημαντικοί παράγοντες επιρροής, Δέντρο αποδόμησης, Έξυπνη αφήγηση, Εντοπισμός ανωμαλιών, Απεικόνιση R, Απεικόνιση Python, Σύμπλεγμα, Πρόβλεψη, Ερωτήσεις/Απαντήσεις, Γρήγορη Πληροφορίες κ.λπ. Οι δυνατότητες εμπλουτισμού AI περιλαμβάνουν δυνατότητες όπως AutoML, Azure Εκμάθηση μηχανής, CognitiveServices, μετασχηματισμούς R/Python κ.λπ.

Οι περισσότερες από τις δυνατότητες που αναφέρονται παραπάνω υποστηρίζονται στους κοινόχρηστους και premium χώρους εργασίας σήμερα. Ωστόσο, οι υπηρεσίες AutoML και CognitiveServices υποστηρίζονται μόνο σε χώρους εργασίας Premium, λόγω περιορισμών IP. Σήμερα, με την ενοποίηση autoML στο Power BI, ένας χρήστης μπορεί να δημιουργήσει και να εκπαιδεύσει ένα προσαρμοσμένο μοντέλο εκμάθησης μηχανής (για παράδειγμα, Πρόβλεψη, Ταξινόμηση, Παλινδρόμηση κ.λπ.) και να το εφαρμόσει για να λάβει προβλέψεις κατά τη φόρτωση δεδομένων σε μια ροή δεδομένων που έχει οριστεί σε έναν χώρο εργασίας Premium. Επιπλέον, οι χρήστες του Power BI μπορούν να εφαρμόσουν διάφορα API CognitiveServices, όπως Αναλύσεις κειμένου και Προσθήκη ετικετών εικόνας, για να μετασχηματίσουν δεδομένα πριν από τη φόρτωσή τους σε ένα μοντέλο ροής δεδομένων/σημασιολογίας που ορίζεται σε έναν premium χώρο εργασίας.

Οι δυνατότητες εμπλουτισμού AI Premium μπορούν να προβληθούν καλύτερα ως μια συλλογή συναρτήσεων/μετασχηματισμών AI χωρίς κατάσταση που μπορούν να χρησιμοποιηθούν από τους χρήστες του Power BI στις διοχετεύσεις ενοποίησης δεδομένων που χρησιμοποιούνται από ένα σημασιολογικό μοντέλο ή ροή δεδομένων Power BI. Σημειώστε ότι είναι δυνατή η πρόσβαση σε αυτές τις συναρτήσεις από τρέχοντα περιβάλλοντα σύνταξης ροής δεδομένων/σημασιολογικού μοντέλου στην υπηρεσία Power BI και το Power BI Desktop. Αυτές οι συναρτήσεις/μετασχηματίσεις AI εκτελούνται πάντα σε έναν premium χώρο εργασίας/εκχωρημένους πόρους. Αυτές οι συναρτήσεις εμφανίζονται στο Power BI ως προέλευση δεδομένων που απαιτεί ένα διακριτικό Microsoft Entra για τον χρήστη Power BI που χρησιμοποιεί τη συνάρτηση AI. Αυτές οι προελεύσεις δεδομένων AI είναι ειδικές καθώς δεν εμφανίζουν τα δικά τους δεδομένα και παρέχουν μόνο αυτές τις συναρτήσεις/μετασχηματισμούς. Κατά την εκτέλεση, αυτές οι δυνατότητες δεν πραγματοποιούν εξερχόμενες κλήσεις σε άλλες υπηρεσίες για τη μετάδοση των δεδομένων του πελάτη. Ας εξετάσουμε τα σενάρια Premium ξεχωριστά για να κατανοήσουμε τα μοτίβα επικοινωνίας και τις σχετικές λεπτομέρειες που σχετίζονται με την ασφάλεια που σχετίζονται με αυτά.

Για την εκπαίδευση και την εφαρμογή ενός μοντέλου AutoML, το Power BI χρησιμοποιεί το SDK Azure AutoML και εκτελεί όλη την εκπαίδευση στους εκχωρημένους πόρους Power BI του πελάτη. Κατά τη διάρκεια της εκπαίδευσης, το Power BI καλεί έναν πειραματισμό Azure Εκμάθηση μηχανής υπηρεσία για να επιλέξει ένα κατάλληλο μοντέλο και υπερ-παραμέτρους για την τρέχουσα επανάληψη. Σε αυτήν την εξερχόμενη κλήση, αποστέλλονται μόνο σχετικά μετα-δεδομένα πειράματος (για παράδειγμα, ακρίβεια, αλγόριθμος ml, παράμετροι αλγορίθμου κ.λπ.) από την προηγούμενη επανάληψη. Η εκπαίδευση AutoML παράγει ένα μοντέλο ONNX και δεδομένα αναφοράς εκπαίδευσης, τα οποία στη συνέχεια αποθηκεύονται στη ροή δεδομένων. Αργότερα, οι χρήστες του Power BI μπορούν, στη συνέχεια, να εφαρμόσουν το εκπαιδευμένο μοντέλο εκμάθησης μηχανής ως μετασχηματισμό για τη λειτουργία του μοντέλου εκμάθησης μηχανής βάσει χρονοδιαγράμματος. Για τις Αναλύσεις κειμένου και τα API προσθήκης ετικετών εικόνας, το Power BI δεν καλεί απευθείας τα API της υπηρεσίας CognitiveServices, αλλά χρησιμοποιεί ένα εσωτερικό SDK για την εκτέλεση των API στους εκχωρημένους πόρους Power BI Premium. Σήμερα, αυτά τα API υποστηρίζονται τόσο σε ροές δεδομένων Power BI όσο και σε σημασιολογικά μοντέλα. Κατά τη σύνταξη ενός μοντέλου δεδομένων στο Power BI Desktop, οι χρήστες μπορούν να έχουν πρόσβαση σε αυτήν τη λειτουργικότητα μόνο εάν έχουν πρόσβαση σε έναν χώρο εργασίας Premium Power BI. Επομένως, ζητείται από τους πελάτες να παρέχουν τα διαπιστευτήριά τους για το Microsoft Entra.

Απομόνωση δικτύου

Αυτή η ενότητα περιγράφει τις προηγμένες δυνατότητες ασφαλείας στο Power BI. Ορισμένες από τις δυνατότητες έχουν συγκεκριμένες απαιτήσεις άδειας χρήσης. Δείτε τις παρακάτω ενότητες για λεπτομέρειες.

Ετικέτες υπηρεσίας

Μια ετικέτα υπηρεσίας αντιπροσωπεύει μια ομάδα προθημάτων διευθύνσεων IP από μια δεδομένη υπηρεσία Azure. Βοηθά στην ελαχιστοποίηση της πολυπλοκότητας των συχνών ενημερώσεων στους κανόνες ασφάλειας δικτύου. Οι πελάτες μπορούν να χρησιμοποιήσουν ετικέτες υπηρεσίας για να ορίσουν στοιχεία ελέγχου πρόσβασης δικτύου σε ομάδες ασφαλείας δικτύου ή Τείχος προστασίας Azure. Οι πελάτες μπορούν να χρησιμοποιήσουν ετικέτες υπηρεσίας αντί για συγκεκριμένες διευθύνσεις IP κατά τη δημιουργία κανόνων ασφαλείας. Καθορίζοντας το όνομα ετικέτας υπηρεσίας (όπως PowerBI) στο κατάλληλο πεδίο προέλευσης ή προορισμού (για API) ενός κανόνα, οι πελάτες μπορούν να επιτρέπουν ή αποκλείουν την κυκλοφορία για την αντίστοιχη υπηρεσία. Η Microsoft διαχειρίζεται τα προθέματα διεύθυνσης που περιλαμβάνονται από την ετικέτα υπηρεσίας και ενημερώνει αυτόματα την ετικέτα υπηρεσίας καθώς αλλάζουν οι διευθύνσεις.

ενοποίηση Ιδιωτική σύνδεση

Η δικτύωση του Azure παρέχει τη δυνατότητα azure Ιδιωτική σύνδεση που επιτρέπει στο Power BI να παρέχει ασφαλή πρόσβαση μέσω ιδιωτικών τελικών σημείων δικτύωσης Azure. Με το Azure Ιδιωτική σύνδεση και τα ιδιωτικά τελικά σημεία, η κυκλοφορία δεδομένων αποστέλλεται ιδιωτικά χρησιμοποιώντας την υποδομή κορμού δικτύου της Microsoft και, επομένως, τα δεδομένα δεν διέρχονται από το Internet.

Ιδιωτική σύνδεση εξασφαλίζει ότι οι χρήστες του Power BI χρησιμοποιούν τη ραχοκοκαλιά του ιδιωτικού δικτύου της Microsoft κατά τη μετάβαση σε πόρους στον Υπηρεσία Power BI.

Η χρήση του Ιδιωτική σύνδεση με το Power BI παρέχει τα εξής πλεονεκτήματα:

Ιδιωτική σύνδεση εξασφαλίζει ότι η κυκλοφορία θα ρέει μέσω του κορμού του Azure σε ένα ιδιωτικό τελικό σημείο για πόρους Azure που βασίζονται στο cloud.
Η απομόνωση της κυκλοφορίας δικτύου από υποδομή που δεν βασίζεται στο Azure, όπως η πρόσβαση εσωτερικής εγκατάστασης, θα απαιτήσει από τους πελάτες να έχουν ρυθμίσει το ExpressRoute ή ένα εικονικό ιδιωτικό δίκτυο (VPN).

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ιδιωτικές συνδέσεις για πρόσβαση στο Power BI .

Συνδεσιμότητα VNet (προεπισκόπηση - προσεχώς)

Παρόλο που η Ιδιωτική σύνδεση δυνατότητα ενοποίησης παρέχει ασφαλείς εισερχόμενες συνδέσεις στο Power BI, η δυνατότητα συνδεσιμότητας VNet επιτρέπει ασφαλή εξερχόμενη συνδεσιμότητα από το Power BI σε προελεύσεις δεδομένων εντός ενός VNet.

Οι πύλες VNet (διαχειριζόμενες από τη Microsoft) θα εξαλείφουν τα γενικά έξοδα εγκατάστασης και παρακολούθησης πυλών δεδομένων εσωτερικής εγκατάστασης για τη σύνδεση σε προελεύσεις δεδομένων που σχετίζονται με ένα VNet. Ωστόσο, θα εξακολουθήσουν να ακολουθούν την οικεία διαδικασία διαχείρισης ασφάλειας και προελεύσεων δεδομένων, όπως συμβαίνει με μια πύλη δεδομένων εσωτερικής εγκατάστασης.

Ακολουθεί μια επισκόπηση του τι συμβαίνει όταν αλληλεπιδράτε με μια αναφορά Power BI που συνδέεται σε μια προέλευση δεδομένων μέσα σε ένα VNet χρησιμοποιώντας πύλες VNet:

Η υπηρεσία cloud του Power BI (ή μία από τις άλλες υποστηριζόμενες υπηρεσίες cloud) ξεκινά ένα ερώτημα και στέλνει το ερώτημα, λεπτομέρειες προέλευσης δεδομένων και διαπιστευτήρια στην υπηρεσία VNet Power Platform (PP VNet).
Στη συνέχεια, η υπηρεσία PP VNet εγχέει με ασφάλεια ένα κοντέινερ που εκτελεί μια πύλη VNet στο υποδίκτυο. Αυτό το κοντέινερ μπορεί πλέον να συνδέεται σε υπηρεσίες δεδομένων που είναι προσβάσιμες μέσα από αυτό το υποδίκτυο.
Η υπηρεσία VNet PP στέλνει, στη συνέχεια, το ερώτημα, τις λεπτομέρειες της προέλευσης δεδομένων και τα διαπιστευτήρια στην πύλη VNet.
Η πύλη VNet λαμβάνει το ερώτημα και συνδέεται στις προελεύσεις δεδομένων με αυτά τα διαπιστευτήρια.
Στη συνέχεια, το ερώτημα αποστέλλεται στην προέλευση δεδομένων για εκτέλεση.
Μετά την εκτέλεση, τα αποτελέσματα αποστέλλονται στην πύλη VNet και η υπηρεσία PP VNet προωθεί με ασφάλεια τα δεδομένα από το κοντέινερ στην υπηρεσία cloud Power BI.

Αυτή η δυνατότητα θα είναι διαθέσιμη σύντομα σε δημόσια προεπισκόπηση.

Κύριες υπηρεσίες

Το Power BI υποστηρίζει τη χρήση οντοτήτων υπηρεσίας. Αποθηκεύστε τα διαπιστευτήρια κύριας υπηρεσίας που χρησιμοποιούνται για την κρυπτογράφηση ή την πρόσβαση του Power BI σε έναν θάλαμο κλειδιών, εκχωρήστε σωστές πολιτικές πρόσβασης στον θάλαμο και ελέγχετε τακτικά τα δικαιώματα πρόσβασης.

Ανατρέξτε στο θέμα Αυτοματοποίηση εργασιών χώρου εργασίας Premium και μοντέλου σημασιολογίας με οντότητες υπηρεσίας για πρόσθετες λεπτομέρειες.

Microsoft Purview για το Power BI

Προστασία πληροφοριών Microsoft Purview

Το Power BI είναι σε μεγάλο βαθμό ενοποιημένο με Προστασία πληροφοριών Microsoft Purview. Προστασία πληροφοριών Microsoft Purview επιτρέπει στους οργανισμούς να έχουν μια μοναδική, ενοποιημένη λύση για ταξινόμηση, επισήμανση, έλεγχο και συμμόρφωση σε όλο το Azure, το Power BI και το Office.

Όταν είναι ενεργοποιημένη η προστασία πληροφοριών στο Power BI:

Τα ευαίσθητα δεδομένα, τόσο στην Υπηρεσία Power BI όσο και στο Power BI Desktop, μπορούν να ταξινομηθούν και να επισημανθούν με ετικέτες χρησιμοποιώντας τις ίδιες ετικέτες ευαισθησίας που χρησιμοποιούνται στο Office και στο Azure.
Είναι δυνατή η επιβολή πολιτικών διαχείρισης κατά την εξαγωγή περιεχομένου Power BI σε αρχεία Excel, PowerPoint, PDF, Word ή .pbix , ώστε να διασφαλίζεται ότι τα δεδομένα προστατεύονται ακόμα και όταν εξάγονται από το Power BI.
Είναι εύκολο να ταξινομήσετε και να προστατεύσετε αρχεία .pbix στο Power BI Desktop, όπως ακριβώς γίνεται στις εφαρμογές Excel, Word και PowerPoint. Τα αρχεία μπορούν εύκολα να επισημαίνονται με ετικέτα σύμφωνα με το επίπεδο ευαισθησίας τους. Ακόμη περισσότερο, μπορούν να κρυπτογραφηθούν εάν περιέχουν εμπιστευτικά εταιρικά δεδομένα, εξασφαλίζοντας ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να επεξεργαστούν αυτά τα αρχεία.
Τα βιβλία εργασίας του Excel λαμβάνουν αυτόματα ετικέτες ευαισθησίας όταν συνδέονται στο Power BI (προεπισκόπηση), καθιστώντας δυνατή τη διατήρηση της ταξινόμησης από άκρο σε άκρο και εφαρμογή προστασίας όταν αναλύονται σημασιολογικά μοντέλα Power BI στο Excel.
Οι ετικέτες ευαισθησίας που εφαρμόζονται σε αναφορές και πίνακες εργαλείων Power BI είναι ορατές στις εφαρμογές Power BI για κινητές συσκευές iOS και Android.
Οι ετικέτες ευαισθησίας διατηρούνται όταν μια αναφορά Power BI είναι ενσωματωμένη στο Teams, το SharePoint ή μια ασφαλή τοποθεσία Web. Αυτό βοηθά τους οργανισμούς να διατηρούν την ταξινόμηση και την προστασία κατά την εξαγωγή κατά την ενσωμάτωση περιεχομένου Power BI.
Η μεταβίβαση ετικέτας κατά τη δημιουργία νέου περιεχομένου στον Υπηρεσία Power BI εξασφαλίζει ότι οι ετικέτες που εφαρμόζονται σε σημασιολογικά μοντέλα ή ετικέτες δεδομένων στην Υπηρεσία Power BI θα εφαρμοστούν σε νέο περιεχόμενο που δημιουργείται πάνω από αυτά τα σημασιολογικά μοντέλα και σύνολα δεδομένων.
Τα API σάρωσης διαχειριστή Power BI μπορούν να εξαγάγουν μια ετικέτα ευαισθησίας ενός στοιχείου Power BI, επιτρέποντας στους διαχειριστές Power BI και InfoSec να παρακολουθούν τις ετικέτες στον Υπηρεσία Power BI και να δημιουργούν αναφορές στελεχών.
Τα API διαχειριστή του Power BI επιτρέπουν στις κεντρικές ομάδες να εφαρμόζουν ετικέτες ευαισθησίας μέσω προγραμματισμού στο περιεχόμενο της Υπηρεσία Power BI.
Οι κεντρικές ομάδες μπορούν να δημιουργήσουν υποχρεωτικές πολιτικές ετικετών για να επιβάλλουν την εφαρμογή ετικετών σε νέο ή επεξεργασμένο περιεχόμενο στο Power BI.
Οι κεντρικές ομάδες μπορούν να δημιουργήσουν προεπιλεγμένες πολιτικές ετικετών για να εξασφαλίσουν ότι μια ετικέτα ευαισθησίας εφαρμόζεται σε όλο το νέο ή τροποποιημένο περιεχόμενο Power BI.
Η αυτόματη προσθήκη ετικετών ευαισθησίας κατάντη στον Υπηρεσία Power BI εξασφαλίζει ότι όταν εφαρμόζεται ή αλλάζει μια ετικέτα σε ένα μοντέλο σημασιολογίας ή ένα datamart, η ετικέτα θα εφαρμοστεί ή αλλάξει αυτόματα σε όλο το περιεχόμενο κατάντη που συνδέεται με το σημασιολογικό μοντέλο ή το datamart.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ετικέτες ευαισθησίας στο Power BI.

Πολιτικές Αποτροπή απώλειας δεδομένων Microsoft Purview (DLP) για το Power BI (προεπισκόπηση)

Οι πολιτικές DLP του Microsoft Purview μπορούν να βοηθήσουν τους οργανισμούς να μειώσουν τον κίνδυνο διαρροής ευαίσθητων επιχειρηματικών δεδομένων από το Power BI. Οι πολιτικές DLP μπορούν να τους βοηθήσουν να πληρούν τις απαιτήσεις συμμόρφωσης των κανονισμών της κυβέρνησης ή του κλάδου, όπως ο ΓΚΠΔ (γενικός κανονισμός για την προστασία δεδομένων της Ευρωπαϊκής Ένωσης) ή η CCPA (ο νόμος περί προστασίας προσωπικών δεδομένων των καταναλωτών της Καλιφόρνια) και να διασφαλίσουν τη διαχείριση των δεδομένων τους στο Power BI.

Κατά τη ρύθμιση πολιτικών DLP για το Power BI:

Όλα τα σημασιολογικά μοντέλα εντός των χώρων εργασίας που καθορίζονται στην πολιτική αξιολογούνται από την πολιτική.
Μπορείτε να εντοπίσετε πότε αποστέλλονται ευαίσθητα δεδομένα στους premium εκχωρημένους πόρους σας. Οι πολιτικές DLP μπορούν να εντοπίσουν:
- Ετικέτες ευαισθησίας.
- Ευαίσθητοι τύποι πληροφοριών. Υποστηρίζονται περισσότεροι από 260 τύποι. Ο εντοπισμός ευαίσθητων τύπων πληροφοριών βασίζεται στη σάρωση περιεχομένου Microsoft Purview.
Όταν αντιμετωπίζετε ένα σημασιολογικό μοντέλο που αναγνωρίζεται ως ευαίσθητο, μπορείτε να δείτε μια προσαρμοσμένη συμβουλή πολιτικής που σας βοηθά να κατανοήσετε τι πρέπει να κάνετε.
Εάν είστε κάτοχος μοντέλου σημασιολογίας, μπορείτε να παρακάμψετε μια πολιτική και να αποτρέψετε την αναγνώριση του σημασιολογικού μοντέλου σας ως "ευαίσθητο" εάν έχετε έγκυρη αιτία για αυτή την ενέργεια.
Εάν είστε κάτοχος μοντέλου σημασιολογίας, μπορείτε να αναφέρετε ένα πρόβλημα με μια πολιτική εάν συμπεράνετε ότι έχει αναγνωριστεί ψευδώς ένας ευαίσθητος τύπος πληροφοριών.
Είναι δυνατή η κλήση αυτόματων μετριασμού κινδύνων, όπως ειδοποιήσεις προς τον διαχειριστή ασφαλείας.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Πολιτικές αποτροπής απώλειας δεδομένων για το Power BI.

Microsoft Defender για εφαρμογές cloud για το Power BI

Microsoft Defender για εφαρμογές cloud είναι ένας από τους κορυφαίους μεσίτες ασφάλειας πρόσβασης στο cloud στον κόσμο, που ονομάζεται ως ηγέτης στο Μαγικό τεταρτημόριο της Gartner για την αγορά μεσίτη ασφαλείας πρόσβασης στο cloud (CASB). Το Defender για εφαρμογές cloud χρησιμοποιείται για την προστασία της χρήσης εφαρμογών cloud. Επιτρέπει στους οργανισμούς να παρακολουθούν και να ελέγχουν, σε πραγματικό χρόνο, επικίνδυνες περιόδους λειτουργίας Power BI, όπως η πρόσβαση των χρηστών από μη διαχειριζόμενες συσκευές. Οι διαχειριστές ασφαλείας μπορούν να ορίσουν πολιτικές για τον έλεγχο ενεργειών χρήστη, όπως λήψη αναφορών με ευαίσθητες πληροφορίες.

Με το Defender για εφαρμογές cloud, οι οργανισμοί μπορούν να αποκτήσουν τις ακόλουθες δυνατότητες DLP:

Ορίστε στοιχεία ελέγχου σε πραγματικό χρόνο για την επιβολή περιόδων λειτουργίας ριψοκίνδυνων χρηστών στο Power BI. Για παράδειγμα, εάν ένας χρήστης συνδεθεί στο Power BI εκτός της χώρας ή της περιοχής του, η περίοδος λειτουργίας μπορεί να παρακολουθείται από τα στοιχεία ελέγχου του Defender για εφαρμογές cloud σε πραγματικό χρόνο και οι επικίνδυνες ενέργειες, όπως η λήψη δεδομένων με ετικέτα ευαισθησίας "Άκρως εμπιστευτικό", μπορούν να αποκλειστούν αμέσως.
Διερευνήστε τη δραστηριότητα χρηστών του Power BI με το αρχείο καταγραφής δραστηριοτήτων Defender για εφαρμογές cloud. Το αρχείο καταγραφής δραστηριότητας Defender για εφαρμογές cloud περιλαμβάνει τη δραστηριότητα Power BI, όπως καταγράφεται στο αρχείο καταγραφής ελέγχου του Office 365, η οποία περιέχει πληροφορίες σχετικά με όλες τις δραστηριότητες χρηστών και διαχειριστών, καθώς και πληροφορίες ετικέτας ευαισθησίας για σχετικές δραστηριότητες, όπως εφαρμογή, αλλαγή και κατάργηση ετικέτας. Διαχείριση μπορούν να αξιοποιήσουν τα σύνθετα φίλτρα και τις γρήγορες ενέργειες του Defender για εφαρμογές cloud για αποτελεσματική διερεύνηση ζητήματος.
Δημιουργία προσαρμοσμένων πολιτικών για ειδοποίηση σχετικά με ύποπτη δραστηριότητα χρηστών στο Power BI. Η δυνατότητα πολιτικής δραστηριότητας Του Defender για cloud Apps μπορεί να αξιοποιηθεί για να ορίσετε τους δικούς σας προσαρμοσμένους κανόνες, για να σας βοηθήσει να εντοπίσετε συμπεριφορά χρήστη που παρεκκλίνει από τον κανόνα και, ενδεχομένως, να ενεργήσετε αυτόματα εάν φαίνεται πολύ επικίνδυνη.
Εργαστείτε με τον ενσωματωμένο εντοπισμό ανωμαλίας του Defender για εφαρμογές cloud. Οι πολιτικές εντοπισμού ανωμαλιών του Defender για εφαρμογές Cloud παρέχουν έτοιμη ανάλυση συμπεριφοράς χρήστη και εκμάθηση μηχανής, ώστε να είστε έτοιμοι από την αρχή για την εκτέλεση προηγμένου εντοπισμού απειλών στο περιβάλλον cloud σας. Όταν μια πολιτική εντοπισμού ανωμαλιών αναγνωρίζει μια ύποπτη συμπεριφορά, ενεργοποιεί μια ειδοποίηση ασφαλείας.
Ρόλος διαχειριστή Power BI στην πύλη defender για εφαρμογές cloud. Το Defender για εφαρμογές Cloud παρέχει έναν ρόλο διαχειριστή για συγκεκριμένες εφαρμογές, ο οποίος μπορεί να χρησιμοποιηθεί για την εκχώρηση στους διαχειριστές Power BI μόνο των δικαιωμάτων που χρειάζονται για πρόσβαση σε δεδομένα σχετικά με το Power BI στην πύλη, όπως ειδοποιήσεις, χρήστες που κινδυνεύουν, αρχεία καταγραφής δραστηριότητας και άλλες πληροφορίες που σχετίζονται με το Power BI.

Ανατρέξτε στο θέμα Χρήση Microsoft Defender για εφαρμογές cloud στοιχείων ελέγχου στο Power BI για περισσότερες λεπτομέρειες.

Δυνατότητες ασφαλείας προεπισκόπησης

Αυτή η ενότητα παραθέτει τις δυνατότητες που έχουν προγραμματιστεί να κυκλοφορήσουν έως τον Μάρτιο του 2021. Καθώς αυτό το θέμα παραθέτει δυνατότητες που ενδέχεται να μην έχουν κυκλοφορήσει ακόμα, οι λωρίδες χρόνου παράδοσης ενδέχεται να αλλάξουν και η προβλεπόμενη λειτουργικότητα μπορεί να κυκλοφορήσει αργότερα από τον Μάρτιο του 2021 ή να μην κυκλοφορήσει καθόλου. Για περισσότερες πληροφορίες σχετικά με τις προεπισκοπήσεις, ανατρέξτε στους Όρους ηλεκτρονικών υπηρεσιών.

Χρήση της δικής σας ανάλυσης αρχείων καταγραφής (BYOLA)

Η Χρήση του δικού σας Log Analytics επιτρέπει την ενοποίηση μεταξύ των Power BI και Azure Log Analytics. Αυτή η ενοποίηση περιλαμβάνει τον προηγμένο μηχανισμό ανάλυσης του Azure Log Analytics, τη γλώσσα αλληλεπιδραστικών ερωτημάτων και ενσωματωμένες κατασκευές εκμάθησης μηχανής.

Ερωτήσεις και απαντήσεις για την ασφάλεια του Power BI

Οι ακόλουθες ερωτήσεις είναι συνήθεις ερωτήσεις και απαντήσεις για την ασφάλεια στο Power BI. Είναι οργανωμένες με βάση το πότε προστέθηκαν σε αυτή τη Λευκή Βίβλο, για να διευκολύνουν τη δυνατότητά σας να βρίσκετε γρήγορα νέες ερωτήσεις και απαντήσεις όταν ενημερώνεται αυτό το έγγραφο. Οι νεότερες ερωτήσεις προστίθενται στο τέλος αυτής της λίστας.

Πώς συνδέονται και αποκτούν πρόσβαση οι χρήστες σε προελεύσεις δεδομένων κατά τη χρήση του Power BI;

Το Power BI διαχειρίζεται διαπιστευτήρια σε προελεύσεις δεδομένων για κάθε χρήστη για διαπιστευτήρια cloud ή για συνδεσιμότητα μέσω μιας προσωπικής πύλης. Οι προελεύσεις δεδομένων των οποίων η διαχείριση γίνεται από μια πύλη δεδομένων εσωτερικής εγκατάστασης μπορούν να κοινοποιηθούν σε όλη την επιχείρηση και η διαχείριση των δικαιωμάτων σε αυτές τις προελεύσεις δεδομένων είναι δυνατή από τον Διαχείριση πύλης. Κατά τη ρύθμιση παραμέτρων ενός μοντέλου σημασιολογίας, ο χρήστης επιτρέπεται να επιλέξει διαπιστευτήρια από τον προσωπικό χώρο αποθήκευσής του ή να χρησιμοποιήσει μια πύλη δεδομένων εσωτερικής εγκατάστασης για να χρησιμοποιήσει κοινόχρηστα διαπιστευτήρια.

Στην περίπτωση εισαγωγής, ένας χρήστης δημιουργεί μια σύνδεση με βάση την είσοδο του χρήστη και αποκτά πρόσβαση στα δεδομένα με τα διαπιστευτήρια. Μετά τη δημοσίευση του μοντέλου σημασιολογίας στην Υπηρεσία Power BI, το Power BI χρησιμοποιεί πάντα τα διαπιστευτήρια αυτού του χρήστη για την εισαγωγή δεδομένων. Μετά την εισαγωγή των δεδομένων, η προβολή των δεδομένων σε αναφορές και πίνακα εργαλείων δεν αποκτά πρόσβαση στην υποκείμενη προέλευση δεδομένων. Το Power BI υποστηρίζει έλεγχο ταυτότητας καθολικής σύνδεσης για επιλεγμένες προελεύσεις δεδομένων. Εάν η σύνδεση έχει ρυθμιστεί για χρήση καθολικής σύνδεσης, τα διαπιστευτήρια κατόχου μοντέλου σημασιολογίας χρησιμοποιούνται για τη σύνδεση με την προέλευση δεδομένων.

Για τις αναφορές που συνδέονται με το DirectQuery, η προέλευση δεδομένων συνδέεται απευθείας χρησιμοποιώντας ένα προκαθορισμένο διαπιστευτήριο, τα προκαθορισμένα διαπιστευτήρια χρησιμοποιούνται για τη σύνδεση στην προέλευση δεδομένων όταν κάποιος χρήστης προβάλλει τα δεδομένα. Εάν μια προέλευση δεδομένων συνδέεται απευθείας με καθολική σύνδεση, χρησιμοποιούνται τα διαπιστευτήρια του τρέχοντος χρήστη για τη σύνδεση στην προέλευση δεδομένων όταν ο χρήστης προβάλλει τα δεδομένα. Όταν χρησιμοποιείται με καθολική σύνδεση, η ασφάλεια σε επίπεδο γραμμών (RLS) ή/και η ασφάλεια σε επίπεδο αντικειμένου (OLS) μπορούν να υλοποιηθούν στην προέλευση δεδομένων και αυτό επιτρέπει στους χρήστες να προβάλουν δεδομένα στα οποία έχουν δικαιώματα πρόσβασης. Όταν η σύνδεση είναι σε προελεύσεις δεδομένων στο cloud, ο έλεγχος ταυτότητας του Microsoft Entra χρησιμοποιείται για καθολική σύνδεση. Υποστηρίζονται για προελεύσεις δεδομένων εσωτερικής εγκατάστασης, το Kerberos, το SAML και το αναγνωριστικό Του Microsoft Entra.

Κατά τη σύνδεση με το Kerberos, το UPN χρήστη μεταβιβάζεται στην πύλη και με χρήση περιορισμένης ανάθεσης Kerberos πραγματοποιείται μίμηση του χρήστη και συνδέεται στις αντίστοιχες προελεύσεις δεδομένων. Το SAML υποστηρίζεται επίσης στην πύλη για την προέλευση δεδομένων SAP HANA. Περισσότερες πληροφορίες είναι διαθέσιμες στην επισκόπηση της καθολικής σύνδεσης για πύλες.

Εάν η προέλευση δεδομένων είναι Υπηρεσίες Ανάλυσης του Azure ή στις Υπηρεσίες ανάλυσης εσωτερικής εγκατάστασης και την Ασφάλεια σε επίπεδο γραμμών (RLS) ή/και η ασφάλεια σε επίπεδο αντικειμένου (OLS), η Υπηρεσία Power BI θα εφαρμόσει αυτή την ασφάλεια σε επίπεδο γραμμών και οι χρήστες που δεν έχουν επαρκή διαπιστευτήρια για πρόσβαση στα υποκείμενα δεδομένα (το οποίο θα μπορούσε να είναι ένα ερώτημα που χρησιμοποιείται σε έναν πίνακα εργαλείων, μια αναφορά ή άλλο αντικείμενο σχεδίασης δεδομένων) δεν θα Δείτε τα δεδομένα για τα οποία ο χρήστης δεν διαθέτει επαρκή δικαιώματα.

Η ασφάλεια σε επίπεδο γραμμών με το Power BI μπορεί να χρησιμοποιηθεί για τον περιορισμό της πρόσβασης σε δεδομένα για συγκεκριμένους χρήστες. Τα φίλτρα περιορίζουν την πρόσβαση σε δεδομένα σε επίπεδο γραμμής και μπορείτε να ορίσετε φίλτρα εντός του ρόλου.

Η ασφάλεια σε επίπεδο αντικειμένου (OLS) μπορεί να χρησιμοποιηθεί για την προστασία ευαίσθητων πινάκων ή στηλών. Ωστόσο, σε αντίθεση με την ασφάλεια σε επίπεδο γραμμών, η ασφάλεια σε επίπεδο αντικειμένου διασφαλίζει επίσης τα ονόματα αντικειμένων και τα μετα-δεδομένα. Αυτό βοηθά να αποτρέψετε κακόβουλους χρήστες από το να ανακαλύψουν ακόμη και την ύπαρξη τέτοιων αντικειμένων. Οι ασφαλείς πίνακες και στήλες κρύβονται στη λίστα πεδίων κατά τη χρήση εργαλείων αναφοράς όπως το Excel ή το Power BI και, επιπλέον, οι χρήστες χωρίς δικαιώματα δεν μπορούν να έχουν πρόσβαση σε ασφαλή αντικείμενα μετα-δεδομένων μέσω DAX ή οποιασδήποτε άλλης μεθόδου. Από την πλευρά των χρηστών χωρίς τα κατάλληλα δικαιώματα πρόσβασης, οι ασφαλείς πίνακες και οι στήλες απλά δεν υπάρχουν.

Η ασφάλεια σε επίπεδο αντικειμένου, σε συνδυασμό με την ασφάλεια σε επίπεδο γραμμών, επιτρέπει βελτιωμένη ασφάλεια εταιρικού επιπέδου σε αναφορές και σημασιολογικά μοντέλα, εξασφαλίζοντας ότι μόνο οι χρήστες με τα απαιτούμενα δικαιώματα έχουν πρόσβαση για προβολή και αλληλεπίδραση με ευαίσθητα δεδομένα.

Πώς μεταφέρονται τα δεδομένα στο Power BI;

Όλα τα δεδομένα που ζητούνται και μεταδίδονται από το Power BI κρυπτογραφούνται κατά τη μεταφορά με χρήση HTTPS (εκτός εάν η προέλευση δεδομένων που επιλέγεται από τον πελάτη δεν υποστηρίζει HTTPS) για σύνδεση από την προέλευση δεδομένων στον Υπηρεσία Power BI. Πραγματοποιείται μια ασφαλής σύνδεση με την υπηρεσία παροχής δεδομένων και μόνο όταν δημιουργηθεί αυτή η σύνδεση τα δεδομένα θα διασχίσουν το δίκτυο.

Πώς αποθηκεύει στο cache δεδομένα αναφοράς, πίνακα εργαλείων ή μοντέλου το Power BI και είναι ασφαλές;

Κατά την πρόσβαση σε μια προέλευση δεδομένων, η Υπηρεσία Power BI ακολουθεί τη διαδικασία που περιγράφεται στην προηγούμενη ενότητα Έλεγχος ταυτότητας σε προελεύσεις δεδομένων σε αυτό το έγγραφο.

Τα προγράμματα-πελάτες αποθηκεύουν στο cache δεδομένα ιστοσελίδας τοπικά;

Όταν τα προγράμματα-πελάτες προγράμματος περιήγησης αποκτούν πρόσβαση στο Power BI, οι διακομιστές web του Power BI ορίζουν την οδηγία Cache-Control σε no-store. Η οδηγία no-store καθοδηγεί τα προγράμματα περιήγησης να μην αποθηκεύουν προσωρινά την ιστοσελίδα που προβάλλεται από τον χρήστη και να μην αποθηκεύουν την ιστοσελίδα στον φάκελο cache του προγράμματος-πελάτη.

Τι γίνεται με την ασφάλεια βάσει ρόλων, την κοινή χρήση αναφορών ή πινάκων εργαλείων και τις συνδέσεις δεδομένων; Πώς λειτουργεί αυτό όσον αφορά την πρόσβαση στα δεδομένα, την προβολή πίνακα εργαλείων, την πρόσβαση σε αναφορές ή την ανανέωση;

Για προελεύσεις δεδομένων με δυνατότητα χωρίς ασφάλεια σε επίπεδο ρόλων (RLS ), εάν ένας πίνακας εργαλείων, μια αναφορά ή ένα μοντέλο δεδομένων κοινοποιείται σε άλλους χρήστες μέσω του Power BI, τα δεδομένα θα είναι τότε διαθέσιμα για τους χρήστες με τους οποίους είναι κοινόχρηστα για προβολή και αλληλεπίδραση. Το Power BI δεν ελέγχει εκ νέου τον έλεγχο ταυτότητας χρηστών σε σχέση με την αρχική προέλευση των δεδομένων. Όταν ολοκληρωθεί η αποστολή των δεδομένων στο Power BI, ο χρήστης που έχει πραγματοποιηθεί έλεγχος ταυτότητας στα δεδομένα προέλευσης είναι υπεύθυνος για τη διαχείριση των άλλων χρηστών και ομάδων που μπορούν να προβάλουν τα δεδομένα.

Όταν γίνονται συνδέσεις δεδομένων σε μια προέλευση δεδομένων με δυνατότητα RLS, όπως μια προέλευση δεδομένων των Υπηρεσιών ανάλυσης, μόνο τα δεδομένα του πίνακα εργαλείων αποθηκεύονται στο cache του Power BI. Κάθε φορά που μια αναφορά ή ένα μοντέλο σημασιολογίας προβάλλεται ή γίνεται πρόσβαση στο Power BI που χρησιμοποιεί δεδομένα από την προέλευση δεδομένων με δυνατότητα RLS, ο Υπηρεσία Power BI αποκτά πρόσβαση στην προέλευση δεδομένων για να λάβει δεδομένα με βάση τα διαπιστευτήρια του χρήστη και, εάν υπάρχουν τα κατάλληλα δικαιώματα, τα δεδομένα φορτώνονται στην αναφορά ή το μοντέλο δεδομένων για αυτόν τον χρήστη. Εάν αποτύχει ο έλεγχος ταυτότητας, ο χρήστης θα δει ένα σφάλμα.

Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Έλεγχος ταυτότητας σε προελεύσεις δεδομένων παραπάνω σε αυτό το έγγραφο.

Οι χρήστες μας συνδέονται διαρκώς στις ίδιες προελεύσεις δεδομένων, ορισμένες από τις οποίες απαιτούν διαπιστευτήρια που διαφέρουν από τα διαπιστευτήρια τομέα τους. Πώς μπορούν να αποφύγουν την εισαγωγή αυτών των διαπιστευτηρίων κάθε φορά που πραγματοποιούν μια σύνδεση δεδομένων;

Το Power BI προσφέρει το Power BI Personal Gateway, η οποία είναι μια δυνατότητα που επιτρέπει στους χρήστες να δημιουργούν διαπιστευτήρια για πολλές διαφορετικές προελεύσεις δεδομένων και, στη συνέχεια, να χρησιμοποιούν αυτόματα αυτά τα διαπιστευτήρια όταν αποκτούν πρόσβαση σε κάθε μία από αυτές τις προελεύσεις δεδομένων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Power BI Personal Gateway.

Ποιες θύρες χρησιμοποιούνται από την πύλη δεδομένων εσωτερικής εγκατάστασης και την προσωπική πύλη; Υπάρχουν ονόματα τομέα που πρέπει να επιτρέπονται για σκοπούς συνδεσιμότητας;

Η λεπτομερής απάντηση σε αυτή την ερώτηση είναι διαθέσιμη στην ακόλουθη σύνδεση: Θύρες πύλης

Όταν εργάζεστε με την πύλη δεδομένων εσωτερικής εγκατάστασης, πώς χρησιμοποιούνται και πού αποθηκεύονται τα κλειδιά αποκατάστασης; Τι γίνεται με τη διαχείριση ασφαλών διαπιστευτηρίων;

Κατά τη διάρκεια της εγκατάστασης και της ρύθμισης παραμέτρων της πύλης, ο διαχειριστής πληκτρολογεί σε μια πύλη κλειδί αποκατάστασης. Αυτό το κλειδί αποκατάστασης χρησιμοποιείται για τη δημιουργία ενός ισχυρού συμμετρικού κλειδιού AES. Δημιουργείται επίσης ένα ασύμμετρο κλειδί RSA ταυτόχρονα.

Αυτά τα κλειδιά που δημιουργήθηκαν (RSA και AES) αποθηκεύονται σε ένα αρχείο που βρίσκεται στον τοπικό υπολογιστή. Αυτό το αρχείο είναι επίσης κρυπτογραφημένο. Τα περιεχόμενα του αρχείου μπορούν να αποκρυπτογραφηθούν μόνο από αυτόν τον συγκεκριμένο υπολογιστή Windows και μόνο από τον συγκεκριμένο λογαριασμό υπηρεσίας πύλης.

Όταν ένας χρήστης εισαγάγει διαπιστευτήρια προέλευσης δεδομένων στο Υπηρεσία Power BI περιβάλλον εργασίας χρήστη, τα διαπιστευτήρια κρυπτογραφούνται με το δημόσιο κλειδί στο πρόγραμμα περιήγησης. Η πύλη αποκρυπτογραφεί τα διαπιστευτήρια χρησιμοποιώντας το ιδιωτικό κλειδί RSA και τα κρυπτογραφεί εκ νέου με ένα συμμετρικό κλειδί AES πριν από την αποθήκευση των δεδομένων στον Υπηρεσία Power BI. Με αυτήν τη διαδικασία, η Υπηρεσία Power BI δεν έχει ποτέ πρόσβαση στα μη κρυπτογραφημένα δεδομένα.

Ποια πρωτόκολλα επικοινωνίας χρησιμοποιούνται από την πύλη δεδομένων εσωτερικής εγκατάστασης και πώς προστατεύονται;

Η πύλη υποστηρίζει τα ακόλουθα δύο πρωτόκολλα επικοινωνίας:
- AMQP 1.0 – TCP + TLS: Αυτό το πρωτόκολλο απαιτεί να είναι ανοιχτές οι θύρες 443, 5671-5672 και 9350-9354 για εξερχόμενη επικοινωνία. Αυτό το πρωτόκολλο είναι προτιμότερο, δεδομένου ότι έχει χαμηλότερη επιβάρυνση επικοινωνίας.
- HTTPS – WebSockets μέσω HTTPS + TLS: Αυτό το πρωτόκολλο χρησιμοποιεί μόνο τη θύρα 443. Το WebSocket ξεκινά με ένα μοναδικό μήνυμα HTTP CONNECT. Μόλις δημιουργηθεί το κανάλι, η επικοινωνία είναι ουσιαστικά TCP+TLS. Μπορείτε να επιβάλετε στην πύλη να χρησιμοποιήσει αυτό το πρωτόκολλο τροποποιώντας μια ρύθμιση που περιγράφεται στο άρθρο για την πύλη εσωτερικής εγκατάστασης.

Ποιος είναι ο ρόλος της Δίκτυο παροχής περιεχομένου Azure στο Power BI;

Όπως αναφέρθηκε προηγουμένως, το Power BI χρησιμοποιεί το δίκτυο παροχής περιεχομένου Azure (CDN) για τη διανομή του στατικού περιεχομένου και των στατικών αρχείων που απαιτούνται σε χρήστες με βάση τη γεωγραφική τοποθεσία. Για να εμβαθύνουμε περισσότερο, η Υπηρεσία Power BI χρησιμοποιεί πολλά CDN για την αποτελεσματική διανομή του στατικού περιεχομένου και των στατικών αρχείων που απαιτούνται σε χρήστες μέσω του δημόσιου Internet. Αυτά τα στατικά αρχεία περιλαμβάνουν στοιχεία λήψης προϊόντος (όπως το Power BI Desktop, την πύλη δεδομένων εσωτερικής εγκατάστασης ή εφαρμογές Power BI από διάφορες ανεξάρτητες υπηρεσίες παροχής), αρχεία ρύθμισης παραμέτρων προγράμματος περιήγησης που χρησιμοποιούνται για να προετοιμάσουν και να δημιουργήσουν τυχόν επακόλουθες συνδέσεις με το Υπηρεσία Power BI, καθώς και την αρχική σελίδα ασφαλούς εισόδου στο Power BI.

Βάσει των πληροφοριών που παρέχονται κατά τη διάρκεια μιας αρχικής σύνδεσης στον Υπηρεσία Power BI, το πρόγραμμα περιήγησης του χρήστη επικοινωνεί με τον καθορισμένο Δίκτυο παροχής περιεχομένου Azure (ή, για ορισμένα αρχεία, με το WFE) για να κάνει λήψη της συλλογής καθορισμένων κοινών αρχείων που είναι απαραίτητα για την ενεργοποίηση της αλληλεπίδρασης του προγράμματος περιήγησης με τον Υπηρεσία Power BI. Στη συνέχεια, η σελίδα του προγράμματος περιήγησης περιλαμβάνει το διακριτικό Microsoft Entra, πληροφορίες περιόδου λειτουργίας, την τοποθεσία του συσχετιζόμενου συμπλέγματος παρασκηνίου και τη συλλογή των αρχείων που έχουν ληφθεί από το Δίκτυο παροχής περιεχομένου Azure και το σύμπλεγμα WFE, κατά τη διάρκεια της Υπηρεσία Power BI περιόδου λειτουργίας του προγράμματος περιήγησης.

Για τις απεικονίσεις Power BI, εκτελεί η Microsoft κάποια αξιολόγηση ασφάλειας ή προστασίας προσωπικών δεδομένων του κώδικα προσαρμοσμένης απεικόνισης πριν από τη δημοσίευση στοιχείων στη Συλλογή;

Όχι. Είναι ευθύνη του πελάτη να ελέγξει και να προσδιορίσει εάν πρέπει να βασιστεί στον κώδικα της προσαρμοσμένης απεικόνισης. Όλος ο κώδικας προσαρμοσμένης απεικόνισης λειτουργεί σε ένα περιβάλλον προστατευμένης εκτέλεσης, έτσι ώστε κάθε παρεκκλίνων κώδικας σε μια προσαρμοσμένη απεικόνιση να μην επηρεάζει αρνητικά τις υπόλοιπες Υπηρεσία Power BI.

Υπάρχουν άλλες απεικονίσεις Power BI που στέλνουν πληροφορίες εκτός του δικτύου πελατών;

Ναι. Οι απεικονίσεις Bing Χάρτες και ESRI μεταδίδουν δεδομένα από την Υπηρεσία Power BI για απεικονίσεις που χρησιμοποιούν αυτές τις υπηρεσίες.

Για εφαρμογές προτύπου, εκτελεί η Microsoft κάποια αξιολόγηση ασφάλειας ή προστασίας προσωπικών δεδομένων της εφαρμογής προτύπου πριν από τη δημοσίευση στοιχείων στη Συλλογή;

Όχι. Ο εκδότης της εφαρμογής είναι υπεύθυνος για το περιεχόμενο ενώ είναι ευθύνη του πελάτη να ελέγξει και να προσδιορίσει αν θεωρεί αξιόπιστο τον εκδότη της εφαρμογής προτύπου.

Υπάρχουν εφαρμογές προτύπου που μπορούν να στέλνουν πληροφορίες εκτός του δικτύου πελατών;

Ναι. Είναι ευθύνη του πελάτη να ελέγξει την πολιτική προστασίας προσωπικών δεδομένων του εκδότη και να προσδιορίσει αν θα εγκαταστήσει την εφαρμογή προτύπου στον μισθωτή. Ο εκδότης είναι υπεύθυνος για την ενημέρωση του πελάτη σχετικά με τη συμπεριφορά και τις δυνατότητες της εφαρμογής.

Τι γίνεται με την αυτονομία των δεδομένων; Μπορούμε να προμηθεύσουμε μισθωτές σε κέντρα δεδομένων που βρίσκονται σε συγκεκριμένες γεωγραφικές τοποθεσίες, για να διασφαλίσουμε ότι τα δεδομένα δεν θα εγκαταλείψουν τα σύνορα της χώρας ή της περιοχής;

Ορισμένοι πελάτες σε ορισμένες γεωγραφικές τοποθεσίες έχουν την επιλογή να δημιουργήσουν έναν μισθωτή σε ένα εθνικό/περιφερειακό cloud, όπου η αποθήκευση και η επεξεργασία δεδομένων διατηρούνται ξεχωριστά από όλα τα άλλα κέντρα δεδομένων. Τα εθνικά/περιφερειακά cloud έχουν ελαφρά διαφορετικό τύπο ασφάλειας, δεδομένου ότι ένας ξεχωριστός διαχειριστής δεδομένων διαχειρίζεται τις εθνικές/περιφερειακές Υπηρεσία Power BI cloud για λογαριασμό της Microsoft.

Εναλλακτικά, οι πελάτες μπορούν επίσης να ρυθμίσουν έναν μισθωτή σε μια συγκεκριμένη περιοχή. Ωστόσο, αυτοί οι μισθωτές δεν έχουν ξεχωριστό διαχειριστή δεδομένων από τη Microsoft. Οι τιμές για τα εθνικά/τοπικά cloud διαφέρουν από τις γενικά διαθέσιμες εμπορικές Υπηρεσία Power BI. Για περισσότερες πληροφορίες σχετικά με Υπηρεσία Power BI διαθεσιμότητα για εθνικά/περιφερειακά cloud, ανατρέξτε στο θέμα Εθνικά/περιφερειακά cloud του Power BI.

Πώς αντιμετωπίζει η Microsoft τις συνδέσεις για πελάτες που διαθέτουν συνδρομές Power BI Premium; Αυτές οι συνδέσεις είναι διαφορετικές από αυτές που έχουν καθοριστεί για τις μη Premium Υπηρεσία Power BI;

Οι συνδέσεις που δημιουργούνται για τους πελάτες με συνδρομές Power BI Premium εφαρμόζουν μια διαδικασία ελέγχου ταυτότητας Microsoft Entra business-to-business (B2B ), χρησιμοποιώντας το Αναγνωριστικό Microsoft Entra για την ενεργοποίηση του ελέγχου πρόσβασης και της εξουσιοδότησης. Το Power BI χειρίζεται συνδέσεις από συνδρομητές του Power BI Premium σε πόρους Power BI Premium όπως θα έκανε με οποιονδήποτε άλλο χρήστη του Microsoft Entra.

Πώς λειτουργεί ο έλεγχος ταυτότητας από την πλευρά του διακομιστή στο WFE;

Ο έλεγχος ταυτότητας ακολουθίας ελέγχου ταυτότητας χρήστη από την πλευρά της υπηρεσίας πραγματοποιείται με τον τρόπο που περιγράφεται στα παρακάτω βήματα, τα οποία απεικονίζονται στην εικόνα που τους ακολουθεί.

Ένας χρήστης ξεκινά μια σύνδεση στον Υπηρεσία Power BI από ένα πρόγραμμα περιήγησης, είτε πληκτρολογώντας τη διεύθυνση του Power BI στη γραμμή διευθύνσεων είτε επιλέγοντας Είσοδος από τη σελίδα μάρκετινγκ του Power BI (https://powerbi.microsoft.com). Η σύνδεση πραγματοποιείται με χρήση TLS 1.2 και HTTPS και όλες οι επόμενες επικοινωνίες μεταξύ του προγράμματος περιήγησης και της Υπηρεσία Power BI χρησιμοποιούν HTTPS.
Το Διαχείριση κυκλοφορίας Azure ελέγχει την εγγραφή DNS του χρήστη για να προσδιορίσει το πιο κατάλληλο (συνήθως πλησιέστερο) κέντρο δεδομένων όπου αναπτύσσεται το Power BI και ανταποκρίνεται στο DNS με τη διεύθυνση IP του συμπλέγματος WFE στο οποίο πρέπει να αποσταλεί ο χρήστης.
Στη συνέχεια, το WFE ανακατευθύνει τον χρήστη στη σελίδα εισόδου του Microsoft Online Services.
Μετά τον έλεγχο ταυτότητας του χρήστη, η σελίδα εισόδου ανακατευθύνει τον χρήστη στον προηγουμένως προσδιορισμένο πλησιέστερο Υπηρεσία Power BI σύμπλεγμα WFE με κώδικα ελέγχου ταυτότητας.
Το σύμπλεγμα WFE ελέγχει με το Microsoft Entra ID για να αποκτήσει ένα διακριτικό ασφαλείας του Microsoft Entra χρησιμοποιώντας τον κώδικα ελέγχου ταυτότητας. Όταν το Microsoft Entra ID επιστρέψει τον επιτυχή έλεγχο ταυτότητας του χρήστη και επιστρέψει ένα διακριτικό ασφαλείας Microsoft Entra, το σύμπλεγμα WFE συμβουλεύει την Καθολική υπηρεσία Power BI, η οποία διατηρεί μια λίστα μισθωτών και τις θέσεις συμπλέγματος παρασκηνίου Power BI και καθορίζει ποιο σύμπλεγμα παρασκηνίου Power BI περιέχει τον μισθωτή του χρήστη. Στη συνέχεια, το σύμπλεγμα WFE επιστρέφει μια σελίδα εφαρμογής στο πρόγραμμα περιήγησης του χρήστη με την περίοδο λειτουργίας, την πρόσβαση και τη δρομολόγηση των πληροφοριών που απαιτούνται για τη λειτουργία του.
Τώρα, όταν το πρόγραμμα περιήγησης του προγράμματος-πελάτη απαιτεί δεδομένα πελατών, θα στέλνει αιτήσεις στη διεύθυνση συμπλέγματος παρασκηνίου με το διακριτικό πρόσβασης του Microsoft Entra στην κεφαλίδα εξουσιοδότησης. Το σύμπλεγμα παρασκηνίου του Power BI διαβάζει το διακριτικό πρόσβασης του Microsoft Entra και επικυρώνει την υπογραφή για να εξασφαλίσει ότι η ταυτότητα για την αίτηση είναι έγκυρη. Το διακριτικό πρόσβασης του Microsoft Entra θα έχει μια ημερομηνία λήξης ορισμένη σύμφωνα με τις πολιτικές του Microsoft Entra και για τη διατήρηση της τρέχουσας περιόδου λειτουργίας, το πρόγραμμα-πελάτης Power BI στο πρόγραμμα περιήγησης του χρήστη θα υποβάλει περιοδικές αιτήσεις για ανανέωση του διακριτικού πρόσβασης προτού λήξει.

Διάγραμμα που εμφανίζει την ακολουθία ελέγχου ταυτότητας WFE.

Πρόσθετοι πόροι

Για περισσότερες πληροφορίες σχετικά με το Power BI, ανατρέξτε στους παρακάτω πόρους.

Λευκή βίβλος για την ασφάλεια του Power BI

Εισαγωγή

Αρχιτεκτονική του Power BI

Σύμπλεγμα προσκηνίου Web (WFE)

Σύμπλεγμα παρασκηνίου Power BI (BE)

Υποδομή Power BI Premium

Power BI για κινητές συσκευές

Έλεγχος ταυτότητας στο Υπηρεσία Power BI

Ακολουθία ελέγχου ταυτότητας

Αποθήκευση δεδομένων

Πολλές γεωγραφικές τοποθεσίες (multi-geo)

Περιοχές και κέντρα δεδομένων

Χειρισμός δεδομένων

Αδρανή δεδομένα

Δεδομένα σε επεξεργασία

Δεδομένα σε διαμετακόμιση

Έλεγχος ταυτότητας σε προελεύσεις δεδομένων

Δυνατότητες Premium

Αρχιτεκτονική ροών δεδομένων

Σελιδοποιημένες αναφορές

Ενσωματωμένη ανάλυση Power BI

Δυνατότητες AI

Απομόνωση δικτύου

Ετικέτες υπηρεσίας

ενοποίηση Ιδιωτική σύνδεση

Συνδεσιμότητα VNet (προεπισκόπηση - προσεχώς)

Κύριες υπηρεσίες

Microsoft Purview για το Power BI

Προστασία πληροφοριών Microsoft Purview

Πολιτικές Αποτροπή απώλειας δεδομένων Microsoft Purview (DLP) για το Power BI (προεπισκόπηση)

Microsoft Defender για εφαρμογές cloud για το Power BI

Δυνατότητες ασφαλείας προεπισκόπησης

Χρήση της δικής σας ανάλυσης αρχείων καταγραφής (BYOLA)

Ερωτήσεις και απαντήσεις για την ασφάλεια του Power BI

Πρόσθετοι πόροι

Σχόλια

Σχόλια

Πρόσθετοι πόροι