Seguridad de Power BIPower BI Security

Para obtener una explicación detallada de la seguridad de Power BI, lea las notas del producto sobre seguridad de Power BI.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

El servicio de Power BI se basa en Azure, que es la plataforma y la infraestructura de informática en la nube de Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. La arquitectura de servicio de Power BI se basa en dos clústeres: el front-end web (WFE) y el back-end.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. El clúster WFE administra la conexión inicial y la autenticación en el servicio de Power BI y, una vez realizada la autenticación, el back-end controla todas las interacciones de usuario siguientes.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI usa Azure Active Directory (AAD) para almacenar y administrar identidades de usuario, y administra el almacenamiento de datos y metadatos con Azure Blob y Azure SQL Database, respectivamente.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Arquitectura de Power BIPower BI Architecture

Cada implementación de Power BI consta de dos clústeres: un front-end web (WFE) y un back-end.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

El clúster WFE administra el proceso de autenticación y conexión inicial para Power BI, con AAD para autenticar clientes y proporcionar tokens para conexiones de clientes siguientes al servicio de Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI también usa el Administrador de tráfico de Azure para dirigir el tráfico de usuario al centro de datos más cercano, según el registro DNS del cliente que intenta conectarse, durante el proceso de autenticación y para descargar archivos y contenido estático.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI usa Azure Content Delivery Network (CDN) para distribuir eficazmente el contenido estático y los archivos necesarios a los usuarios en función de la región geográfica.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

El clúster back-end informa de cómo interactúan los clientes autenticados con el servicio de Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. El clúster back-end administra visualizaciones, paneles para el usuario, conjuntos de datos, informes, almacenamiento de datos, conexiones de datos, actualización de datos y otros aspectos de la interacción con el servicio de Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. El rol Puerta de enlace actúa como una puerta de enlace entre las solicitudes del usuario y el servicio de Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Los usuarios no interactúan directamente con los roles distintos del rol Puerta de enlace.Users do not interact directly with any roles other than the Gateway Role. Azure API Management controlará finalmente el rol Puerta de enlace.Azure API Management will eventually handle the Gateway Role.

Importante

Es imprescindible recordar que solo los roles Azure API Management (APIM) y Puerta de enlace (GW) son accesibles mediante la red pública de Internet.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Proporcionan autenticación, autorización, protección DDoS, limitación, equilibrio de carga, enrutamiento y otras capacidades.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Seguridad del almacenamiento de datosData Storage Security

Power BI utiliza dos repositorios principales para almacenar y administrar datos: los datos cargados por los usuarios se envían normalmente a Azure Blob Storage y todos los metadatos, así como los artefactos para el propio sistema, se almacenan en Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

La línea de puntos en la imagen del clúster del back-end anterior aclara el límite entre los dos únicos componentes a los que los usuarios pueden obtener acceso (a la izquierda de la línea de puntos) y los roles a los que únicamente puede obtener acceso el sistema.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Cuando un usuario autenticado se conecta al servicio de Power BI, la conexión y cualquier solicitud del cliente se acepta y administra mediante el rol Puerta de enlace (para que lo administre finalmente Azure API Management), que luego interactúa en nombre del usuario con el resto del servicio de Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Por ejemplo, cuando un cliente intenta ver un panel, el rol Puerta de enlace acepta la solicitud y, a continuación, envía de forma independiente una solicitud al rol Presentación para recuperar los datos necesarios para que el explorador muestre el panel.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Autenticación de usuariosUser Authentication

Power BI usa Azure Active Directory (AAD) para autenticar a los usuarios que inician sesión en el servicio Power BI y, a su vez, usa las credenciales de inicio de sesión de Power BI siempre que un usuario intenta acceder a recursos que requieren autenticación.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Los usuarios inician sesión en el servicio Power BI con la dirección de correo electrónico usada para establecer la cuenta de Power BI; Power BI usa ese correo electrónico de inicio de sesión como nombre de usuario en vigor y lo pasa a los recursos cuando un usuario intenta conectarse a los datos.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. El nombre de usuario efectivo se asigna después a un Nombre principal de usuario (UPN) y se resuelve en la cuenta de dominio de Windows asociada, en la que se aplica la autenticación.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

Para las organizaciones que usaron mensajes de correo electrónico de trabajo para el inicio de sesión de Power BI (como david@contoso.com, el nombre de usuario eficaz para la asignación de UPN es sencillo.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Las organizaciones que no usaron correos electrónicos de trabajo para el inicio de sesión de Power BI (como david@contoso.onmicrosoft.com, la asignación entre AAD y las credenciales locales) requerirán una sincronización de directorios para funcionar correctamente.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

La seguridad de la plataforma de Power BI también incluye una seguridad de entorno de varios inquilinos, una seguridad de red y la capacidad de agregar medidas de seguridad basadas en AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Seguridad de datos y serviciosData and Service Security

Para más información, visite el Centro de confianza de Microsoft.For more information, please visit the Microsoft Trust Center.

Como se describió anteriormente en este artículo, los servidores de Active Directory locales usan el inicio de sesión de un usuario en Power BI para realizar la asignación a UPN para las credenciales.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Sin embargo, es importante tener en cuenta que los usuarios son responsables de los datos que comparten: si un usuario se conecta a orígenes de datos con sus credenciales y luego comparte un informe (panel o conjunto de datos) en función de esos datos, los usuarios con los que se comparte el panel no se autentican en el origen de datos original y se les concederá acceso al informe.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Una excepción son las conexiones a SQL Server Analysis Services mediante una puerta de enlace de datos local; los paneles se almacenan en caché en Power BI, pero el acceso a los conjuntos de datos o los informes subyacentes inicia la autenticación del usuario que intenta acceder al informe (o conjunto de datos) y solo se concede acceso si el usuario tiene credenciales suficientes para acceder a los datos.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Para más información, consulte la página Detalles sobre la puerta de enlace de datos local.For more information, see On-premises data gateway deep dive.

Aplicación del uso de la versión TLSEnforcing TLS version usage

Los administradores de redes y TI pueden aplicar el requisito de utilizar la configuración de TLS (seguridad de la capa de transporte) actual para cualquier comunicación segura en su red.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows proporciona compatibilidad para versiones de TLS a través de Microsoft Schannel Provider, como se describe en el artículo sobre Schannel SSP de TLS.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Esta aplicación puede realizarse estableciendo administrativamente las claves del Registro.This enforcement can be done by administratively setting registry keys. La aplicación se describe en el artículo Administración de conjuntos de cifrado y protocolos SSL/TLS de AD FS.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop respeta la configuración de clave del Registro descrita en estos artículos y solo crea las conexiones que usan la versión de TLS permitida según esa configuración del Registro, cuando está presente.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Para obtener más información acerca de cómo establecer estas claves del Registro, consulte el artículo Configuración del registro de seguridad de la capa de transporte (TLS).For more information about setting these registry keys, see the TLS Registry Settings article.