A Power BI és a biztonság

A Power BI biztonságával kapcsolatos részletes információkért tekintse meg a Power BI Security tanulmányát.

A Power BI biztonságának megtervezéséhez tekintse meg a Power BI implementációtervezési biztonsági cikksorozatát. A Power BI Security tanulmányában szereplő tartalommal bővül. Bár a Power BI biztonsági tanulmánya olyan kulcsfontosságú technikai témakörökre összpontosít, mint a hitelesítés, az adatok tartózkodási helye és a hálózati elkülönítés, a sorozat elsődleges célja, hogy megfontolandó szempontokat és döntéseket biztosítson a biztonság és az adatvédelem megtervezéséhez.

A Power BI szolgáltatás az Azure-ra, a Microsoft felhőalapú számítástechnikai infrastruktúrájára és platformjára épül. A Power BI szolgáltatás architektúrája két fürtön alapul:

  • A webes előtérbeli (WFE) fürt. A WFE-fürt kezeli a Power BI szolgáltatás való kezdeti kapcsolatot és hitelesítést.
  • A háttérfürt . A hitelesítést követően a háttérrendszer kezeli az összes további felhasználói beavatkozást. A Power BI a Microsoft Entra ID-t használja a felhasználói identitások tárolására és kezelésére. A Microsoft Entra ID az Azure BLOB és az Azure SQL Database használatával is kezeli az adattárolást és a metaadatokat.

Power BI-architektúra

A WFE-fürt Microsoft Entra-azonosítóval hitelesíti az ügyfeleket, és jogkivonatokat biztosít a Power BI szolgáltatás való későbbi ügyfélkapcsolatokhoz. A Power BI az Azure Traffic Manager (Traffic Manager) használatával irányítja a felhasználói forgalmat a legközelebbi adatközpontba. A Traffic Manager a csatlakozásra, hitelesítésre és statikus tartalom és fájlok letöltésére megkísérlendő ügyfél DNS-rekordjának használatával irányítja a kérelmeket. A Power BI az Azure Content Delivery Network (CDN) használatával hatékonyan osztja el a szükséges statikus tartalmat és fájlokat a felhasználók között földrajzi területi beállítások alapján.

Diagram showing the Power BI Architecture focused on the WFE cluster.

A háttérfürt határozza meg, hogy a hitelesített ügyfelek hogyan használják a Power BI szolgáltatás. A háttérfürt kezeli a vizualizációkat, a felhasználói irányítópultokat, a szemantikai modelleket, a jelentéseket, az adattárolást, az adatkapcsolatokat, az adatfrissítést és a Power BI szolgáltatás való interakció egyéb aspektusait. Az átjárószerepkör átjáróként működik a felhasználói kérések és a Power BI szolgáltatás között. A felhasználók nem kommunikálnak közvetlenül az átjárószerepkörön kívül más szerepkörökkel. Az Azure API Management végül kezeli az átjárószerepkört.

Diagram showing the Power BI architecture diagram focused on the Back-End cluster.

Fontos

Csak az Azure API Management és az Átjáró szerepkörök érhetők el a nyilvános interneten keresztül. Hitelesítést, engedélyezést, DDoS-védelmet, szabályozást, terheléselosztást, útválasztást és egyéb képességeket biztosítanak.

Adattárolás biztonsága

A Power BI két elsődleges adattárat használ az adatok tárolásához és kezeléséhez:

  • A felhasználók által feltöltött adatok általában az Azure Blob Storage-ba kerülnek.
  • Minden metaadat, beleértve magát a rendszer elemeit is, az Azure SQL Database-ben van tárolva.

A háttérfürtdiagramon látható pontozott vonal tisztázza a pontozott vonal bal oldalán látható felhasználók által elérhető két összetevő közötti határt. A csak a rendszer által elérhető szerepkörök a jobb oldalon jelennek meg. Amikor egy hitelesített felhasználó csatlakozik a Power BI szolgáltatáshoz, az ügyfél által küldött kapcsolatot és kéréseket az átjárószerepkör fogadja el és kezeli, amely ezután a felhasználó nevében kommunikál a Power BI szolgáltatás többi részével. Ha például egy ügyfél megkísérli megtekinteni az irányítópultot, az átjárószerepkör elfogadja ezt a kérést, majd külön kérést küld a bemutató szerepkörnek, hogy lekérje a böngésző által az irányítópult megjelenítéséhez szükséges adatokat. Végül a kapcsolatokat és az ügyfélkéréseket az Azure API Management kezeli.

Felhasználóhitelesítés

A Power BI a Microsoft Entra-azonosítóval hitelesíti a Power BI szolgáltatás bejelentkező felhasználókat. A bejelentkezési hitelesítő adatokra akkor van szükség, ha egy felhasználó biztonságos erőforrásokhoz próbál hozzáférni. A felhasználók azzal az e-mail-címmel jelentkeznek be a Power BI szolgáltatás, amellyel létrehozták a Power BI-fiókjukat. A Power BI ugyanazokat a hitelesítő adatokat használja, mint a tényleges felhasználónév , és átadja az erőforrásoknak, amikor egy felhasználó megpróbál csatlakozni az adatokhoz. A rendszer ezután leképezi az érvényes felhasználónevet egy egyszerű felhasználónévre, és feloldja azt a társított Windows-tartományi fiókot, amelyre a hitelesítést alkalmazza.

Azoknak a szervezeteknek, amelyek munkahelyi e-mail-címeket használtak a Power BI-bejelentkezéshez, például david@contoso.comaz UPN-leképezés tényleges felhasználóneve egyszerű. A munkahelyi e-mail-címeket nem használó szervezetek esetében például david@contoso.onmicrosoft.com a Microsoft Entra-azonosító és a helyszíni hitelesítő adatok közötti megfeleltetéshez a címtár-szinkronizálásnak megfelelően kell működnie.

A Power BI platformbiztonsága magában foglalja a több-bérlős környezet biztonságát, a hálózatbiztonságot, valamint a Microsoft Entra id-alapú biztonsági intézkedések hozzáadásának lehetőségét is.

Adat- és szolgáltatásbiztonság

További információ: Microsoft Trust Center, Termékek és szolgáltatások, amelyek megbízhatósági kapcsolaton futnak.

A korábban ismertetett módon a helyszíni AD-kiszolgálók Power BI-bejelentkezéssel képeznek le egy UPN-et hitelesítő adatokhoz. A felhasználóknak azonban tisztában kell lenniük a megosztott adatok bizalmasságával. Miután biztonságosan csatlakozik egy adatforráshoz, majd jelentéseket, irányítópultokat vagy szemantikai modelleket oszt meg másokkal, a címzettek hozzáférést kapnak a jelentéshez. A címzetteknek nem kell bejelentkezni az adatforrásba.

Kivételt jelent az SQL Server Analysis Serviceshez való csatlakozás a helyszíni adatátjáróval. Az irányítópultok gyorsítótárazva vannak a Power BI-ban, de a mögöttes jelentésekhez vagy szemantikai modellekhez való hozzáférés minden olyan felhasználó esetében kezdeményez hitelesítést, aki megkísérli elérni a jelentést vagy a szemantikai modellt. A hozzáférés csak akkor lesz megadva, ha a felhasználó rendelkezik az adatok eléréséhez szükséges hitelesítő adatokkal. További információkért tekintse meg a helyszíni adatátjáró részletes ismertetését.

TLS-verzió használatának kényszerítése

A hálózati és informatikai rendszergazdák kikényszeríthetik az aktuális Transport Layer Security (TLS) használatára vonatkozó követelményt a hálózatukon lévő biztonságos kommunikációhoz. A Windows támogatja a TLS-verziókat a Microsoft Schannel-szolgáltatón keresztül. További információt a TLS/SSL protokolljai (Schannel SSP) című témakörben talál.

Ezt a kényszerítés a beállításkulcsok rendszergazdai beállításával valósítja meg. A kényszerítési részletekért lásd: SSL/TLS-protokollok és titkosítási csomagok kezelése az AD FS-hez.

A Power BI Desktop a végpontok védelméhez a TLS (Transport Layer Security) 1.2-es (vagy újabb) verzióját igényli. A TLS 1.2-nél korábbi TLS-verziót használó webböngészők és egyéb ügyfélalkalmazások nem fognak tudni csatlakozni. Ha a TLS újabb verzióira van szükség, a Power BI Desktop tiszteletben tartja az ezekben a cikkekben ismertetett beállításkulcs-beállításokat, és csak az adott beállításjegyzék-beállítások alapján engedélyezett TLS verziókövetelményének megfelelő kapcsolatokat hoz létre, ha jelen van.

A beállításkulcsok beállításáról további információt a Transport Layer Security (TLS) beállításjegyzék-beállításaiban talál.