Sicurezza di Power BIPower BI Security

Per una spiegazione dettagliata sulla sicurezza di Power BI, leggere il white paper su questo argomento.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Il servizio Power BI si basa su Azure, cioè l'infrastruttura e piattaforma di cloud computing di Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. L'architettura del servizio Power BI è basata su due cluster: il cluster Web Front End (WFE) e il cluster Back-End.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Il cluster WFE gestisce la connessione e l'autenticazione iniziali al servizio Power BI. Dopo l'autenticazione, il cluster Back-End gestisce tutte le successive interazioni con l'utente.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI usa Azure Active Directory (AAD) per archiviare e gestire le identità degli utenti e gestisce l'archiviazione di dati e metadati usando rispettivamente l'archivio BLOB di Azure e il Database SQL di Azure.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architettura di Power BIPower BI Architecture

Ogni distribuzione di Power BI è costituita da due cluster: un cluster Web Front End (WFE) e un cluster Back-End.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

Il cluster WFE gestisce il processo di autenticazione e connessione iniziale per Power BI, usando AAD per autenticare i client e fornire i token per le successive connessioni del client al servizio Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI usa anche Gestione traffico di Azure per indirizzare il traffico utente al data center più vicino, determinato dal record DNS del client che sta provando a connettersi, per il processo di autenticazione e per scaricare il contenuto e i file statici.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI usa la Rete di distribuzione dei contenuti di Azure per distribuire in modo efficiente i necessari file e contenuti statici agli utenti in base alle impostazioni locali geografiche.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Diagramma che illustra l'architettura di Power BI per il cluster Web Front End.

Il cluster Back End consente ai client autenticati di interagire con il servizio Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. Il cluster Back-End gestisce le visualizzazioni, i dashboard utente, i set di dati, i report, l'archiviazione dei dati, le connessioni dati, l'aggiornamento dei dati e altri aspetti dell'interazione con il servizio Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Il ruolo Gateway funge da gateway tra le richieste degli utenti e il servizio Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Gli utenti interagiscono direttamente solo con il ruolo Gateway.Users do not interact directly with any roles other than the Gateway Role. Gestione API di Azure gestirà infine il ruolo Gateway.Azure API Management will eventually handle the Gateway Role.

Diagramma che illustra l'architettura di Power BI per il cluster Web Back End.

Importante

È fondamentale notare che solo i ruoli Gestione API di Azure e Gateway sono accessibili attraverso la rete Internet pubblica.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Forniscono l'autenticazione, l'autorizzazione, la protezione DDoS, la limitazione delle richieste, il bilanciamento del carico, il routing e altre funzionalità.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Sicurezza dell'archiviazione datiData Storage Security

Power BI usa due repository principali per l'archiviazione e la gestione dei dati: i dati caricati dagli utenti in genere vengono inviati all'archiviazione BLOB di Azure e tutti i metadati, nonché gli elementi per il sistema stesso, vengono archiviati nel Database SQL di Azure.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

La linea tratteggiata nell'immagine del cluster Back-End, riportata sopra, indica il limite tra gli unici due componenti accessibili per gli utenti (a sinistra della linea tratteggiata) e i ruoli accessibili solo da parte del sistema.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Quando un utente autenticato si connette al servizio Power BI, la connessione e qualsiasi richiesta del client vengono accettate e gestite dal ruolo Gateway (e alla fine gestite da Gestione API di Azure), che a sua volta interagisce per conto dell'utente con il resto del servizio Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Ad esempio, quando un client prova a visualizzare un dashboard, il ruolo Gateway accetta la richiesta e quindi invia separatamente una richiesta al ruolo Presentation per recuperare i dati necessari a eseguire il rendering del dashboard nel browser.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Autenticazione dell'utenteUser Authentication

Power BI usa Azure Active Directory (AAD) per autenticare gli utenti che eseguono l'accesso al servizio Power BI e, a sua volta, usa le credenziali di accesso di Power BI ogni volta che un utente prova ad accedere a risorse che richiedono l'autenticazione.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Gli utenti eseguono l'accesso al servizio Power BI tramite l'indirizzo di posta elettronica usato per definire il proprio account di Power BI. Power BI usa il messaggio di posta elettronica di accesso come nome utente effettivo, che viene quindi passato alle risorse ogni volta che l'utente prova a connettersi ai dati.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Il nome utente effettivo viene quindi mappato a un nome dell'entità utente (UPN) e risolto con l'account di dominio di Windows associato, a cui viene applicata l'autenticazione.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

Per le organizzazioni che usavano account di posta elettronica aziendali per eseguire l'accesso a Power BI (ad esempio david@contoso.com, il nome utente effettivo) il mapping UPN è diretto.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Per le organizzazioni che non usavano account di posta elettronica aziendali per eseguire l'accesso a Power BI, ad esempio david@contoso.onmicrosoft.com, il mapping tra AAD e le credenziali locali richiede la sincronizzazione delle directory per il corretto funzionamento.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

La sicurezza della piattaforma per Power BI include anche la sicurezza dell'ambiente multi-tenant, la sicurezza delle reti e la possibilità di aggiungere misure di sicurezza aggiuntive basate su AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Sicurezza di dati e serviziData and Service Security

Per altre informazioni, visitare il Centro protezione Microsoft.For more information, please visit the Microsoft Trust Center.

Come descritto in precedenza in questo articolo, l'accesso di un utente a Power BI viene usato dai server di Active Directory locali per eseguire il mapping a un UPN per le credenziali.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Tuttavia, è importante notare che gli utenti sono responsabili per i dati che condividono: se un utente si connette alle origini dati usando le proprie credenziali e quindi condivide un report (o un dashboard o un set di dati) basato su tali dati, gli utenti con cui il dashboard viene condiviso non vengono autenticati rispetto all'origine dati originale e avranno l'accesso al report.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Un'eccezione riguarda le connessioni a SQL Server Analysis Services con il gateway dati locale. I dashboard vengono memorizzati nella cache in Power BI, ma l'accesso ai report o ai set di dati sottostanti avvia l'autenticazione dell'utente che prova ad accedere al report o al set di dati. L'accesso viene concesso solo se l'utente ha credenziali sufficienti per accedere ai dati richiesti.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Per altre informazioni, vedere Analisi approfondita del gateway dati locale.For more information, see On-premises data gateway deep dive.

Imporre l'utilizzo di una versione di TLSEnforcing TLS version usage

Gli amministratori di rete e IT possono imporre il requisito dell'uso della versione corrente di TLS (Transport Layer Security) per tutte le comunicazioni protette nella propria rete.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows supporta le versioni di TLS tramite il provider Microsoft Schannel, come descritto nell'articolo relativo al provider SSP per Schannel TLS.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

È possibile imporre questo requisito tramite l'impostazione di chiavi del Registro di sistema a livello amministrativo.This enforcement can be done by administratively setting registry keys. La procedura è descritta nell'articolo Gestione dei protocolli SSL in AD FS.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop rispetta le impostazioni delle chiavi del Registro di sistema descritte in tali articoli e crea connessioni solo usando la versione di TLS consentita in base a su tali impostazioni del Registro di sistema, se presenti.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Per altre informazioni sull'impostazione di queste chiavi del Registro di sistema, vedere l'articolo Impostazioni del Registro di sistema TLS.For more information about setting these registry keys, see the TLS Registry Settings article.