Sécurité dans Power BIPower BI Security

Pour obtenir une explication détaillée de la sécurité de Power BI, téléchargez le livre blanc sur la sécurité dans Power BI :For a detailed explanation of Power BI security, please download the Power BI Security whitepaper:

Le service Power BI repose sur Azure, qui est la plateforme et l’infrastructure de cloud computing de Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. L’architecture du service Power BI est basée sur deux clusters : le cluster web frontal (WFE, Web Front End) et le cluster principal.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back End cluster. Le cluster WFE est responsable de la connexion et de l’authentification initiales au service Power BI. Une fois l’authentification réussie, le cluster principal gère toutes les interactions utilisateur ultérieures.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. Power BI utilise Azure Active Directory (AAD) pour stocker et gérer les identités des utilisateurs, et il gère le stockage des données et des métadonnées respectivement à l’aide d’objets blob Azure et du service Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architecture de Power BIPower BI Architecture

Chaque déploiement de Power BI est constitué de deux clusters : un cluster web frontal (WFE) et un cluster principal .Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back End cluster.

Le cluster WFE gère le processus d’authentification et de connexion initial pour Power BI. Il utilise AAD pour authentifier les clients et fournir des jetons pour les connexions clientes ultérieures au service Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI utilise également Azure Traffic Manager (ATM) pour diriger le trafic utilisateur vers le centre de données le plus proche, déterminé en fonction de l’enregistrement DNS du client qui tente de se connecter, pour le processus d’authentification et pour télécharger des fichiers et du contenu statique.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI utilise Azure Content Delivery Network (CDN) pour distribuer efficacement les fichiers et le contenu statiques nécessaires aux utilisateurs en fonction des paramètres régionaux.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

C’est par le biais du cluster principal que les clients authentifiés interagissent avec le service Power BI.The Back End cluster is how authenticated clients interact with the Power BI service. Le cluster principal gère les visualisations, les tableaux de bord utilisateur, les jeux de données, les rapports, le stockage de données, les connexions de données, l’actualisation des données et d’autres aspects de l’interaction avec le service Power BI.The Back End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Le rôle Passerelle sert de passerelle entre les demandes des utilisateurs et le service Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Les utilisateurs n’interagissent directement avec aucun rôle autre que le rôle Passerelle.Users do not interact directly with any roles other than the Gateway Role. Le rôle Gestion des API Azure finira par gérer le rôle Passerelle.Azure API Management will eventually handle the Gateway Role.

Important

Il est important de noter que seuls les rôles Gestion des API Azure (APIM) et Passerelle (GW) sont accessibles par le biais de l’Internet public.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Ils fournissent entre autres des fonctionnalités d’authentification, d’autorisation, de protection DDoS, de limitation, d’équilibrage de charge et de routage.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Sécurité du stockage des donnéesData Storage Security

Power BI utilise deux principaux référentiels pour le stockage et la gestion des données : les données chargées à partir des utilisateurs sont généralement envoyées vers le stockage d’objets blob Azure et toutes les métadonnées et les artefacts pour le système proprement dit sont stockés dans Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

La ligne en pointillés dans l’image de cluster principal , ci-dessus, clarifie la limite entre les deux seuls composants qui sont accessibles aux utilisateurs (à gauche de la ligne en pointillés) et les rôles qui sont accessibles uniquement au système.The dotted line in the Back End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Lorsqu’un utilisateur authentifié se connecte au service Power BI, la connexion et toute demande du client sont acceptées et gérées par le rôle Passerelle (et finalement gérés par le rôle Gestion des API Azure), qui interagit ensuite pour le compte de l’utilisateur avec le reste du service Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Par exemple, quand un client tente d’afficher un tableau de bord, le rôle Passerelle accepte cette demande, puis envoie séparément une demande au rôle Présentation pour récupérer les données nécessaires au navigateur pour afficher le tableau de bord.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Authentification utilisateurUser Authentication

Power BI utilise Azure Active Directory (AAD) pour authentifier les utilisateurs qui se connectent au service Power BI et, à son tour, utilise les informations d’identification de connexion Power BI chaque fois qu’un utilisateur essaie d’accéder à des ressources qui nécessitent une authentification.Power BI uses Azure Active Directory (AAD) to authenticate users who login to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempt to resources that require authentication. Les utilisateurs se connectent au service Power BI à l’aide de l’adresse de messagerie utilisée pour créer leur compte Power BI. Power BI utilise cette adresse de messagerie de connexion comme nom d’utilisateur effectif, qui est transmis aux ressources chaque fois qu’un utilisateur essaie de se connecter aux données.Users login to the Power BI service using the email address used to establish their Power BI account; Power BI uses the that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Le nom d’utilisateur effectif est ensuite mappé à un nom d’utilisateur principal (UPN) et mis en correspondance avec le compte de domaine Windows associé, auquel l’authentification est appliquée.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Pour les organisations qui utilisaient des adresses de messagerie professionnelles pour la connexion à Power BI (telles que david@contoso.com), le mappage entre le nom d’utilisateur effectif et le nom UPN est simple.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Pour les organisations qui n’utilisaient pas d’adresses de messagerie professionnelles pour la connexion à Power BI (telles que david@contoso.onmicrosoft.com), le mappage entre les informations d’identification AAD et locales nécessite une synchronisation d’annuaire pour fonctionner correctement.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

La sécurité de plateforme pour Power BI inclut également la sécurité d’environnement d’architecture mutualisée, la sécurité réseau et la possibilité d’ajouter des mesures de sécurité supplémentaires basées sur AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Sécurité des données et des servicesData and Service Security

Pour en savoir plus, visitez le Centre de gestion de la confidentialité de Microsoft.For more information, please visit the Microsoft Trust Center.

Comme décrit plus haut dans cet article, la connexion Power BI d’un utilisateur est utilisée par les serveurs Active Directory locaux pour le mappage à un nom UPN pour obtenir les informations d’identification.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Toutefois, il est important de noter que les utilisateurs sont responsables des données qu’ils partagent : si un utilisateur se connecte à des sources de données à l’aide de ses informations d’identification et qu’il partage ensuite un rapport (ou un tableau de bord ou un jeu de données) basé sur ces données, les utilisateurs avec lesquels le tableau de bord est partagé ne sont pas authentifiés par rapport à la source de données d’origine et ils auront accès au rapport.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using her credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Les connexions à SQL Server Analysis Services à l’aide de la passerelle de données locale constituent une exception. Les tableaux de bord sont mis en cache dans Power BI, mais l’accès aux rapports ou jeux de données sous-jacents initie l’authentification de l’utilisateur qui tente d’accéder au rapport (ou au jeu de données) et l’accès n’est accordé que si l’utilisateur dispose d’informations d’identification suffisantes pour accéder aux données.An exception is connections to SQL Server Analysis Services using the on-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiate authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Pour plus d’informations, consultez Présentation détaillée de la passerelle de données locale.For more information, see On-premises data gateway deep dive.