A Power BI és a biztonságPower BI Security

A Power BI biztonságáról részletes leírásért olvassa el a Power BI-jal és a biztonsággal kapcsolatos tanulmányt.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

A Power BI szolgáltatás az Azure-ra épül, amely a Microsoft felhőalapú számítástechnikai infrastruktúrája és platformja.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. A Power BI szolgáltatás architektúrája két fürtön alapul – a webes előtérrendszer (WFE- ) fürtön és a háttérbeli fürtön.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. A WFE-fürt kezeli a kezdeti kapcsolódást és a Power BI szolgáltatás hitelesítését, a hitelesítés után a háttérbeli fürt kezeli az összes további felhasználói interakciót.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. A Power BI az Azure Active Directory (AAD) használatával tárolja és kezeli a felhasználói identitásokat, valamint kezeli az adatoknak és metaadatoknak az Azure BLOB és az Azure SQL Database használatával történő tárolását.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

A Power BI-architektúraPower BI Architecture

Minden üzemelő Power BI-példány két fürtből áll – egy webes előtérrendszer (WFE- ) fürtből és egy háttérbeli fürtből.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

A WFE-fürt kezeli a kezdeti kapcsolódást és a Power BI hitelesítési folyamatát az AAD-val hitelesítve a felhasználókat, és hozzáférési jogkivonatokat ad ki a Power BI szolgáltatással való további felhasználói kapcsolatokhoz.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. A Power BI az Azure Traffic Managert (ATM) is használja arra, hogy a felhasználói forgalmat – a kapcsolódást megkísérlő ügyfél DNS-rekordja alapján – a legközelebbi adatközponthoz irányítsa a hitelesítési elvégzéséhez és statikus tartalom és fájlok letöltéséhez.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. A Power BI a szükséges statikus tartalmat és fájlokat az Azure Content Delivery Network (CDN) használatával osztja el hatékonyan a felhasználók között a földrajzi helyzet alapján.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

A hitelesített ügyfelek a háttérbeli fürtön kommunikálnak a Power BI szolgáltatással.The Back-End cluster is how authenticated clients interact with the Power BI service. A háttérbeli fürt kezeli a vizualizációkat, a felhasználói irányítópultokat, az adathalmazokat, a jelentéseket, az adattárolást, az adatkapcsolatokat, az adatfrissítést és a Power BI szolgáltatással való kommunikáció egyéb módjait.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Az átjárói szerepkör átjáróként szolgál a felhasználói kérelmek és a Power BI szolgáltatás között.The Gateway Role acts as a gateway between user requests and the Power BI service. A felhasználók nem kerülnek közvetlen kapcsolatba más szerepkörrel, csak az átjárói szerepkörrel.Users do not interact directly with any roles other than the Gateway Role. Az átjárói szerepkört végső soron az Azure API Management kezeli.Azure API Management will eventually handle the Gateway Role.

Fontos

Fontos tisztában lenni azzal, hogy a nyilvános interneten keresztül csak az Azure API Management (APIM) és az Átjáró (GW) szerepkörök érhetők el.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Ezek biztosítják a hitelesítést, az engedélyezést, a DDoS-védelmet, a szabályozást, a terheléselosztást, az útválasztást és más funkciókat.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Adattárolók biztonságaData Storage Security

A Power BI két elsődleges adattárat használ adatok tárolására és kezelésére: A felhasználóktól feltöltött adatokat általában Azure BLOB-tárolóra küldi, a metaadatokat és magának a rendszernek az összetevőit Azure SQL Database-ben tárolja.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

A fenti ábrán a háttérbeli fürt képén lévő szaggatott vonal a felhasználók által egyedül elérhető két összetevő (a szaggatott vonaltól balra) és a csak a rendszer által elérhető szerepkörök közötti határvonalat jelzi.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Amikor egy hitelesített felhasználó a Power BI szolgáltatáshoz kapcsolódik, akkor a kapcsolatot és az ügyfél minden kérelmét az átjárói szerepkör fogadja és kezeli (és végül az Azure API Management kezeli), amely aztán a felhasználó nevében használja a Power BI szolgáltatás többi elemét.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Amikor egy ügyfél például egy irányítópultot próbál megtekinteni, az átjárói szerepkör fogadja a kérelmet, majd külön kérelmet küld a bemutatási szerepkörnek, hogy lekérje az adatokat, amelyekre a böngészőnek az irányítópult megjelenítéséhez szüksége van.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Felhasználók hitelesítéseUser Authentication

A Power BI az Azure Active Directory (AAD) használatával hitelesíti a Power BI szolgáltatásba bejelentkező felhasználókat, és azután a Power BI bejelentkezési hitelesítő adatait használja, amikor egy felhasználó hitelesítést igénylő erőforrásokat próbál meg elérni.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. A felhasználók a Power BI-fiók létrehozásához használt e-mail-címmel jelentkeznek be a Power BI szolgáltatásba. A Power BI ezt a bejelentkezési e-mail-címet használja az érvényes felhasználónévként, amelyet az erőforrásoknak ad át, amikor a felhasználó adatokhoz próbál csatlakozni.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Az érvényes felhasználónév hozzárendelődik az egyszerű felhasználónévhez (UPN), és a hozzá társított Windows-tartományi fiókká oldódik fel, amelyen megtörténik a hitelesítés.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Az olyan szervezeteknél, ahol vállalati e-mail-címeket használnak a Power BI-bejelentkezéshez (például david@contoso.com) az érvényes felhasználónév magától értetődően rendelődik hozzá az egyszerű névhez.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Az olyan szervezeteknél, ahol nem vállalati e-mail-címeket használnak a Power BI-bejelentkezéshez (például david@contoso.onmicrosoft.com), az AAD és a helyszíni hitelesítő adatok egymáshoz rendelésének helyes működése címtár-szinkronizálást kíván.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

A Power BI platform-szintű biztonsága magában foglalja a több-bérlős környezet biztonságát, a hálózati biztonságot és további AAD-alapú biztonsági elemek hozzáadásának lehetőségét.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Az adatok és a szolgáltatás biztonságaData and Service Security

Ha további tájékoztatást szeretne, keresse fel a Microsoft Adatvédelmi központot.For more information, please visit the Microsoft Trust Center.

Ebben a cikkben már volt szó arról, hogy a helyszíni Active Directory-kiszolgálók felhasználják a felhasználó Power BI-bejelentkezési információit az egyszerű felhasználónév és a hitelesítő adatok egymáshoz rendeléséhez.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Fontos ugyanakkor, hogy a megosztott adatokért a felhasználók felelnek: ha egy felhasználó a saját hitelesítő adataival kapcsolódik adatforrásokhoz, majd megoszt egy, ezekre az adatokra épülő jelentést (vagy irányítópultot vagy adatkészletet), akkor azok, akikkel az irányítópultot megosztotta, hozzáférnek a jelentéshez, bár nincs jogosultságuk az eredeti adatforráshoz.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Ezalól az SQL Server Analysis Services szolgáltatások helyszíni adatátjárón keresztüli elérése jelent kivételt; az irányítópultok gyorsítótárazva vannak a Power BI-ban, de a mögöttes jelentések vagy adathalmazok hozzáférése hitelesítést kezdeményez a jelentést (vagy adathalmazt) elérni próbáló felhasználóhoz, és csak akkor biztosít hozzáférést, ha a felhasználó elegendő hitelesítő adattal rendelkezik az adatok eléréséhez.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. További információ: Helyszíni adatátjáró részletesen.For more information, see On-premises data gateway deep dive.

A TLS-verzió használatának kényszerítéseEnforcing TLS version usage

A hálózati és informatikai rendszergazdák a hálózatukon lévő bármely biztonságos kommunikációhoz kényszeríthetik az aktuális TLS (Transport Layer Security) használatát.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. A Windows a Microsoft Schannel-szolgáltatón keresztül biztosítja a TLS-verziók támogatását, ahogyan arról a TLS Schannel SSP-t ismertető cikkben olvashat.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Ez a kényszerítés a beállításkulcsok felügyeleti beállításával érhető el.This enforcement can be done by administratively setting registry keys. A kényszerítés leírását az SSL-protokollok AD FS-ben való kezelésével kapcsolatos cikk tartalmazza.Enforcement is described in the Managing SSL Protocols in AD FS article.

A Power BI Desktop figyelembe veszi az ezekben a cikkekben leírt beállításkulcs-beállításokat, és csak az engedélyezett TLS-verzióval hoz létre kapcsolatokat ezekkel a beállításjegyzék-beállításokkal, amikor jelen vannak.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Ezen beállításkulcsok beállításáról további információt a TLS-beállításjegyzék beállításaival kapcsolatos cikkben talál.For more information about setting these registry keys, see the TLS Registry Settings article.