white paper di sicurezza Power BIPower BI security white paper

Riepilogo: Power BI è un servizio software in linea (SaaS o software as a Service) offerto da Microsoft che consente di creare in modo semplice e rapido dashboard, report, set di impostazioni e visualizzazioni di Business Intelligence self-service.Summary: Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Con Power BI è possibile connettersi a numerose origini dati diverse, combinare e definire le proprietà della forma dei dati provenienti dalle connessioni, quindi creare report e dashboard che possono essere condivisi con altri utenti.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Writer: Yitzhak Kesselo, Paddy Osborne, Matt ci, Tony Bencic, Petculescu di Turuvekere, Cristian, Adi Regev, Naveen, ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian di, SID Valentina, Ronald Chang, ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady carezze, Orion Lee, Yury Berezansky, Maya Shenhav, Romit cocostar, Yariv MaimonWriters: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Bogdan Crivat

Revisori tecnici: Cristian Petculescu, Amir Netz, Sergei GundorovTechnical Reviewers: Cristian Petculescu, Amir Netz, Sergei Gundorov

Si applica a: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI mobileApplies to: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI Mobile

Nota

È possibile salvare o stampare questo white paper selezionando stampa dal browser, quindi selezionando Salva in formato PDF.You can save or print this white paper by selecting Print from your browser, then selecting Save as PDF.

IntroduzioneIntroduction

Power BI è un servizio software online (SaaS, Software as a Service) offerto da Microsoft che consente di creare in modo semplice e rapido dashboard, report, set di dati e visualizzazioni di business intelligence in modalità self-service.Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Con Power BI è possibile connettersi a numerose origini dati diverse, combinare e definire le proprietà della forma dei dati provenienti dalle connessioni, quindi creare report e dashboard che possono essere condivisi con altri utenti.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Il mondo è in rapida evoluzione; le organizzazioni stanno attraversando una trasformazione digitale accelerata e in questo modo si osserva un notevole aumento dell'operatività remota, aumentando la domanda dei clienti per Servizi online e aumentando l'utilizzo di tecnologie avanzate in operazioni e decisioni aziendali.The world is rapidly changing; organizations are going through an accelerated digital transformation, and we are seeing a massive increase in remote working, increased customer demand for online services, and increased use of advanced technologies in operations and business decision-making. Tutto questo è basato sul cloud.And all of this is powered by the cloud.

Poiché la transizione al cloud è cambiata da un gocciolamento a un diluvio, con la nuova superficie di attacco esposta, sempre più aziende chiedono la sicurezza dei dati nel cloud e la protezione end-to-end è disponibile per evitare la perdita di dati sensibili?As the transition to the cloud has changed from a trickle to a flood, and with the new, exposed surface area that comes with it, more and more companies are asking How secure is my data in the cloud? and What end-to-end protection is available to prevent my sensitive data from leaking? E per le piattaforme di business intelligence che spesso gestiscono alcune delle informazioni più strategiche nell'azienda, queste domande sono doppiamente importanti.And for the BI platforms that often handle some of the most strategic information in the enterprise, these questions are doubly important.

I decenni, le fondamenta del modello di sicurezza BI, ovvero a livello di oggetto e di riga, sono ancora importanti, ovviamente non sono più sufficienti per fornire il tipo di sicurezza necessario nell'era del cloud.The decades-old foundations of the BI security model - object-level and row-level security - while still important, clearly no longer suffice for providing the kind of security needed in the cloud era. Al contrario, le organizzazioni devono cercare una soluzione di sicurezza di difesa in profondità nativa, a più livelli e basata sul cloud per i dati business intelligence.Instead, organizations must look for a cloud-native, multi-tiered, defense-in-depth security solution for their business intelligence data.

Power BI è stato progettato per offrire una protezione completa e ermetica leader nel settore per i dati.Power BI was built to provide industry-leading complete and hermetic protection for data. Il prodotto ha ottenuto le classificazioni di sicurezza più elevate disponibili nel settore e oggi molte agenzie di sicurezza nazionale, istituti finanziari e provider di assistenza sanitaria lo affido con le informazioni più riservate.The product has earned the highest security classifications available in the industry, and today many national security agencies, financial institutions, and health care providers entrust it with their most sensitive information.

Tutto inizia con la base.It all starts with the foundation. Dopo un breve periodo di tempo nel primo millennio, Microsoft ha realizzato enormi investimenti per risolvere le vulnerabilità della sicurezza e negli ultimi decenni è stato creato uno stack di sicurezza molto forte che va oltre il kernel BIOS del computer chip e si estende fino all'esperienza degli utenti finali.After a rough period in the early 2000s, Microsoft made massive investments to address its security vulnerabilities, and in the following decades built a very strong security stack that goes as deep as the machine on-chip bios kernel and extends all the way up to end-user experiences. Questi investimenti profondi continuano e oggi, oltre 3.500, i tecnici Microsoft si impegnano a sviluppare e migliorare lo stack di sicurezza di Microsoft e a risolvere in modo proattivo il panorama delle minacce in continua evoluzione.These deep investments continue, and today over 3,500 Microsoft engineers are engaged in building and enhancing Microsoft's security stack and proactively addressing the ever-shifting threat landscape. Con miliardi di computer, trilioni di accessi e innumerevoli Zettabytes di informazioni affidate alla protezione di Microsoft, la società ora possiede lo stack di sicurezza più avanzato nel settore tecnologico ed è ampiamente considerato leader globale nella lotta contro gli attori dannosi.With billions of computers, trillions of logins, and countless zettabytes of information entrusted to Microsoft's protection, the company now possesses the most advanced security stack in the tech industry and is broadly viewed as the global leader in the fight against malicious actors.

Power BI si basa su questa solida base.Power BI builds on this very strong foundation. USA lo stesso stack di sicurezza che ha ottenuto Azure il diritto di gestire e proteggere i dati più sensibili del mondo e si integra con gli strumenti più avanzati per la protezione delle informazioni e la conformità dei Microsoft 365.It uses the same security stack that earned Azure the right to serve and protect the world's most sensitive data, and it integrates with the most advanced information protection and compliance tools of Microsoft 365. Oltre a queste funzionalità, offre sicurezza attraverso misure di sicurezza a più livelli, con la conseguente protezione end-to-end progettata per affrontare le esigenze specifiche dell'era del cloud.On top of these, it delivers security through multi-layered security measures, resulting in end-to-end protection designed to deal with the unique challenges of the cloud era.

Per fornire una soluzione end-to-end per la protezione di asset sensibili, il team del prodotto ha dovuto affrontare problematiche complesse dei clienti su più fronti simultanei:To provide an end-to-end solution for protecting sensitive assets, the product team needed to address challenging customer concerns on multiple simultaneous fronts:

  • In che modo è possibile controllare chi può connettersi, da dove si connettono e come si connettono?How do we control who can connect, where they connect from, and how they connect? Come è possibile controllare le connessioni?How can we control the connections?
  • Come vengono archiviati i dati?How is the data stored? Come viene crittografato?How is it encrypted? Quali controlli sono disponibili nei dati?What controls do I have on my data?
  • Ricerca per categorie controllare e proteggere i dati sensibili?How do I control and protect my sensitive data? Ricerca per categorie assicurarsi che questi dati non possano essere persi all'esterno dell'organizzazione?How do I ensure this data cannot leak outside the organization?
  • Ricerca per categorie controllo che esegue le operazioni?How do I audit who conducts what operations? Ricerca per categorie reagiscono rapidamente in caso di attività sospette nel servizio?How do I react quickly if there's suspicious activity on the service?

Questo articolo fornisce una risposta completa a tutte queste domande.This article provides a comprehensive answer to all these questions. Inizia con una panoramica dell'architettura del servizio e spiega come funzionano i flussi principali del sistema.It starts with an overview of the service architecture and explains how the main flows in the system work. Viene quindi illustrato come gli utenti eseguono l'autenticazione per Power BI, come vengono stabilite le connessioni dati e come Power BI archivia e sposta i dati attraverso il servizio.It then moves on to describe how users authenticate to Power BI, how data connections are established, and how Power BI stores and moves data through the service. L'ultima sezione illustra le funzionalità di sicurezza che consentono, come amministratore del servizio, di proteggere le risorse più importanti.The last section discusses the security features that allow you, as the service admin, to protect your most valuable assets.

Il servizio Power BI è disciplinato dalle Condizioni di Microsoft Online Services e dall'Informativa sulla privacy di Microsoft.The Power BI service is governed by the Microsoft Online Services Terms, and the Microsoft Enterprise Privacy Statement. Per la posizione dell'elaborazione dei dati, fare riferimento alla posizione dei termini di elaborazione dei dati nelle condizioni di Microsoft Online Services e all'addendum per la protezione dei dati.For the location of data processing, refer to the Location of Data Processing terms in the Microsoft Online Services Terms and to the Data Protection Addendum. Per informazioni sulla conformità, il Centro protezione Microsoft rappresenta la risorsa principale per Power BI.For compliance information, the Microsoft Trust Center is the primary resource for Power BI. Il team di Power BI si sta impegnando per offrire ai propri clienti innovazioni più recenti e produttività.The Power BI team is working hard to bring its customers the latest innovations and productivity. Scopri di più sulla conformità nelle offerte Microsoft Compliance.Learn more about compliance in the Microsoft compliance offerings.

Il servizio Power BI segue il Security Development Lifecycle (SDL), procedure di sicurezza rigorose che supportano i requisiti di sicurezza e conformità.The Power BI service follows the Security Development Lifecycle (SDL), strict security practices that support security assurance and compliance requirements. SDL consente agli sviluppatori di creare software più sicuro riducendo il numero e la gravità delle vulnerabilità nel software, riducendo al tempo stesso i costi di sviluppo.The SDL helps developers build more secure software by reducing the number and severity of vulnerabilities in software, while reducing development cost. Scopri di più sulle procedure per il ciclo di vita dello sviluppo della sicurezza Microsoft.Learn more at Microsoft Security Development Lifecycle Practices.

Architettura Power BIPower BI architecture

Il servizio Power BI è basato su Azure, la piattaforma Microsoft Cloud Computing.The Power BI service is built on Azure, Microsoft's cloud computing platform. Power BI è attualmente distribuito in numerosi data center nel mondo. Per i clienti sono disponibili diverse distribuzioni attive nelle aree servite dai data center e un numero equivalente di distribuzioni passive che svolgono la funzione di backup per ogni distribuzione attiva.Power BI is currently deployed in many datacenters around the world – there are many active deployments made available to customers in the regions served by those datacenters, and an equal number of passive deployments that serve as backups for each active deployment.

WFE e back-end

Cluster front-end Web (WFE)Web front-end cluster (WFE)

Il cluster WFE fornisce il browser dell'utente con il contenuto della pagina HTML iniziale al caricamento del sito e gestisce il processo di connessione e autenticazione iniziale per Power BI, usando Azure Active Directory (Azure AD) per autenticare i client e fornire i token per le successive connessioni client al servizio back-end Power BI.The WFE cluster provides the user's browser with the initial HTML page contents on site load and manages the initial connection and authentication process for Power BI, using Azure Active Directory (Azure AD) to authenticate clients and provide tokens for subsequent client connections to the Power BI back-end service.

Cluster Web front-end

Un cluster WFE è costituito da un sito Web ASP.NET in esecuzione nel ambiente del servizio app di Azure.A WFE cluster consists of an ASP.NET website running in the Azure App Service Environment. Quando gli utenti tentano di connettersi alla servizio Power BI, il servizio DNS del client può comunicare con gestione traffico di Azure per trovare il data center più appropriato (in genere più vicino) con una distribuzione di Power BI.When users attempt to connect to the Power BI service, the client's DNS service may communicate with the Azure Traffic Manager to find the most appropriate (usually nearest) datacenter with a Power BI deployment. Per altre informazioni su questo processo, vedere metodo di routing del traffico delle prestazioni per gestione traffico di Azure.For more information about this process, see Performance traffic-routing method for Azure Traffic Manager.

Il cluster WFE assegnato all'utente gestisce la sequenza di accesso e autenticazione, descritta più avanti in questo articolo, e ottiene un token di accesso Azure AD dopo che l'autenticazione ha avuto esito positivo.The WFE cluster assigned to the user manages the login and authentication sequence (described later in this article) and obtains an Azure AD access token once authentication is successful. Il componente ASP.NET all'interno del cluster WFE analizza il token per determinare l'organizzazione a cui appartiene l'utente e quindi consulta il Power BI servizio globale.The ASP.NET component within the WFE cluster parses the token to determine which organization the user belongs to, and then consults the Power BI Global Service. Il WFE specifica al browser il cluster back-end che ospita il tenant dell'organizzazione.The WFE specifies to the browser which back-end cluster houses the organization's tenant. Una volta autenticato un utente, le interazioni client successive per i dati dei clienti si verificano direttamente con il cluster back-end o Premium, senza che il WFE sia un intermediario per tali richieste.Once a user is authenticated, subsequent client interactions for customer data occur with the back-end or Premium cluster directly, without the WFE being an intermediator for those requests.

Le risorse statiche, ad esempio *. js, *. CSS e i file di immagine, vengono principalmente archiviate nella rete per la distribuzione di contenuti (CDN) di Azure e recuperate direttamente dal browser.Static resources such as *.js, *.css, and image files are mostly stored on Azure Content Delivery Network (CDN) and retrieved directly by the browser. Si noti che le distribuzioni di cluster sovrani governativi rappresentano un'eccezione a questa regola e, per motivi di conformità, ometteranno la rete CDN e utilizzeranno invece un cluster WFE da un'area conforme per l'hosting di contenuto statico.Note that Sovereign Government cluster deployments are an exception to this rule, and for compliance reasons will omit the CDN and instead use a WFE cluster from a compliant region for hosting static content.

Power BI cluster back-end (BE)Power BI back-end cluster (BE)

Il cluster back-end è il backbone di tutte le funzionalità disponibili in Power BI.The back-end cluster is the backbone of all the functionality available in Power BI. È costituito da diversi endpoint di servizio utilizzati da client front-end Web e API, nonché da servizi di lavoro in background, database, cache e vari altri componenti.It consists of several service endpoints consumed by Web Front End and API clients as well as background working services, databases, caches, and various other components.

Il back-end è disponibile nella maggior parte delle aree di Azure e viene distribuito in nuove aree Man mano che diventano disponibili.The back end is available in most Azure regions, and is being deployed in new regions as they become available. Una singola area di Azure ospita uno o più cluster back-end che consentono la scalabilità orizzontale illimitata del servizio Power BI una volta esauriti i limiti di scalabilità orizzontale e verticale di un singolo cluster.A single Azure region hosts one or more back-end clusters that allow unlimited horizontal scaling of the Power BI service once the vertical and horizontal scaling limits of a single cluster are exhausted.

Ogni cluster back-end è con stato e ospita tutti i dati di tutti i tenant assegnati a tale cluster.Each back-end cluster is stateful and hosts all the data of all the tenants assigned to that cluster. Un cluster che contiene i dati di un tenant specifico viene definito cluster principale del tenant.A cluster that contains the data of a specific tenant is referred to as the tenant’s home cluster. Le informazioni sul cluster principale di un utente autenticato vengono fornite dal servizio globale e usate dal front-end Web per indirizzare le richieste al cluster principale del tenant.An authenticated user's home cluster information is provided by Global Service and used by the Web Front End to route requests to the tenant’s home cluster.

Ogni cluster back-end è costituito da più macchine virtuali combinate in più set di scalabilità ridimensionabili ottimizzati per l'esecuzione di attività specifiche, risorse con stato, ad esempio database SQL, account di archiviazione, bus di servizio, cache e altri componenti cloud necessari.Each back-end cluster consists of multiple virtual machines combined into multiple resizable-scale sets tuned for performing specific tasks, stateful resources such as SQL databases, storage accounts, service buses, caches, and other necessary cloud components.

I metadati e i dati del tenant vengono archiviati all'interno dei limiti del cluster, ad eccezione della replica dei dati in un cluster back-end secondario in un'area di Azure abbinata nella stessa area geografica di Azure.Tenant metadata and data are stored within cluster limits except for data replication to a secondary back-end cluster in a paired Azure region in the same Azure geography. Il cluster back-end secondario funge da cluster di failover in caso di interruzione a livello di area ed è passivo in qualsiasi altro momento.The secondary back-end cluster serves as a failover cluster in case of regional outage, and is passive at any other time.

La funzionalità back-end è gestita da microservizi in esecuzione in computer diversi all'interno della rete virtuale del cluster che non sono accessibili dall'esterno, tranne per due componenti a cui è possibile accedere dalla rete Internet pubblica:Back-end functionality is served by micro-services running on different machines within the cluster’s virtual network that are not accessible from the outside, except for two components that can be accessed from the public internet:

  • Servizio gatewayGateway Service
  • Gestione API di AzureAzure API Management

Cluster back-end

Infrastruttura Power BI PremiumPower BI Premium infrastructure

Power BI Premium offre un servizio per gli abbonati che necessitano di funzionalità Power BI Premium, ad esempio i flussi di data, i report impaginati, l'intelligenza artificiale e così via. Quando un cliente si iscrive a una sottoscrizione di Power BI Premium, la capacità Premium viene creata tramite l'Azure Resource Manager.Power BI Premium offers a service for subscribers who require premium Power BI features, such as Dataflows, Paginated Reports, AI, etc. When a customer signs up for a Power BI Premium subscription, the Premium capacity is created through the Azure Resource Manager.

Le capacità del Power BI Premium sono ospitate in cluster back-end indipendenti dal back-end di Power BI normale, vedere sopra).Power BI Premium capacities are hosted in back-end clusters that are independent of the regular Power BI back end – see above). Questo offre un migliore isolamento, allocazione delle risorse, supporto, isolamento della sicurezza e scalabilità dell'offerta Premium.This provides better isolation, resource allocation, supportability, security isolation, and scalability of the Premium offering.

Il diagramma seguente illustra l'architettura dell'infrastruttura di Power BI Premium:The following diagram illustrates the architecture of the Power BI Premium infrastructure:

Power BI Premium

La connessione all'infrastruttura Power BI Premium può essere eseguita in diversi modi, a seconda dello scenario utente.The connection to the Power BI Premium infrastructure can be done in a number of ways, depending on the user scenario. Power BI Premium client possono essere il browser di un utente, un normale Power BI back-end, connessioni dirette tramite client XMLA, API ARM e così via.Power BI Premium clients can be a user's browser, a regular Power BI back end, direct connections via XMLA clients, ARM APIs, etc.

L'infrastruttura Power BI Premium in un'area di Azure è costituita da più cluster Power BI Premium (il valore minimo è uno).The Power BI Premium infrastructure in an Azure region consists of multiple Power BI Premium clusters (the minimum is one). La maggior parte delle risorse Premium è incapsulata all'interno di un cluster (ad esempio, calcolo) e sono presenti alcune risorse regionali comuni (ad esempio, l'archiviazione dei metadati).The majority of the Premium resources are encapsulated inside a cluster (for instance, compute), and there are some common regional resources (for example, metadata storage). L'infrastruttura Premium consente due modi per ottenere la scalabilità orizzontale in un'area: aumentando le risorse all'interno dei cluster e/o aggiungendo altri cluster su richiesta, se le risorse del cluster si avvicinano ai limiti.Premium infrastructure allows two ways of achieving horizontal scalability in a region: increasing resources inside clusters and/or adding more clusters on demand as needed (if cluster resources are approaching their limits).

Il backbone di ogni cluster è costituito da risorse di calcolo gestite da set di scalabilità di macchine virtuali (VMSS) e Service fabric di Azure.The backbone of each cluster are compute resources managed by Virtual Machine Scale Sets (VMSS) and Azure Service Fabric. VMSS e Service Fabric consentono un aumento rapido e indolore dei nodi di calcolo Man mano che l'utilizzo aumenta e orchestra la distribuzione, la gestione e il monitoraggio di Power BI Premium servizi e applicazioni.VMSS and Service Fabric allow fast and painless increase of compute nodes as usage grows and orchestrates the deployment, management, and monitoring of Power BI Premium services and applications.

Sono disponibili molte risorse circostanti che garantiscono un'infrastruttura sicura e affidabile: Servizi di bilanciamento del carico, reti virtuali, gruppi di sicurezza di rete, bus di servizio, archiviazione e così via. Tutti i segreti, le chiavi e i certificati necessari per Power BI Premium vengono gestiti esclusivamente da Azure Key Vault .There are many surrounding resources which ensure a secure and reliable infrastructure: load balancers, virtual networks, network security groups, service bus, storage, etc. Any secrets, keys, and certificates required for Power BI Premium are managed by Azure Key Vault exclusively. Qualsiasi autenticazione viene eseguita tramite l'integrazione con Azure AD esclusivamente.Any authentication is done via integration with Azure AD exclusively.

Tutte le richieste provenienti dall'infrastruttura Power BI Premium passano prima ai nodi front-end, ovvero gli unici nodi disponibili per le connessioni esterne.Any request that comes to Power BI Premium infrastructure goes to front-end nodes first – they are the only nodes available for external connections. Le altre risorse sono nascoste dietro le reti virtuali.The rest of the resources are hidden behind virtual networks. I nodi front-end autenticano la richiesta, la gestiscono o lo inviano alle risorse appropriate (ad esempio, i nodi back-end).The front-end nodes authenticate the request, handle it, or forward it to the appropriate resources (for example, back-end nodes).

I nodi back-end offrono la maggior parte delle funzionalità e delle funzionalità di Power BI Premium.Back-end nodes provide most of the Power BI Premium capabilities and features.

Power BI per dispositivi mobiliPower BI Mobile

Power BI mobile è una raccolta di app progettate per le tre piattaforme per dispositivi mobili principali: Android, iOS e Windows (UWP).Power BI Mobile is a collection of apps designed for the three primary mobile platforms: Android, iOS, and Windows (UWP). Le considerazioni sulla sicurezza per le app per dispositivi mobili Power BI rientrano in due categorie:Security considerations for the Power BI Mobile apps fall into two categories:

  • Comunicazione del dispositivoDevice communication
  • Applicazione e dati nel dispositivoThe application and data on the device

Per la comunicazione dei dispositivi, tutte Power BI le applicazioni per dispositivi mobili comunicano con i servizio Power BI e utilizzano le stesse sequenze di connessione e autenticazione utilizzate dai browser, descritte in dettaglio in precedenza in questo white paper.For device communication, all Power BI Mobile applications communicate with the Power BI service, and use the same connection and authentication sequences used by browsers, which are described in detail earlier in this white paper. Il Power BI le applicazioni per dispositivi mobili per iOS e Android visualizzano una sessione del browser all'interno dell'applicazione stessa, mentre l'app per dispositivi mobili di Windows presenta un broker per stabilire il canale di comunicazione con Power BI (per il processo di accesso).The Power BI mobile applications for iOS and Android bring up a browser session within the application itself, while the Windows mobile app brings up a broker to establish the communication channel with Power BI (for the sign-in process).

La tabella seguente illustra il supporto dell'autenticazione basata su certificati (CBA) per Power BI mobile, basato sulla piattaforma per dispositivi mobili:The following table shows certificate-based authentication (CBA) support for Power BI Mobile, based on mobile device platform:

Supporto per CBACBA support iOSiOS AndroidAndroid WindowsWindows
Power BI (accesso al servizio)Power BI (sign in to service) SupportatoSupported SupportatoSupported Non supportatoNot supported
ADFS di SSRS locale (connessione al server SSRS)SSRS ADFS on-prem (connect to SSRS server) Non supportatoNot supported SupportatoSupported Non supportatoNot supported
Proxy app SSRSSSRS App Proxy SupportatoSupported SupportatoSupported Non supportatoNot supported

Le app Power BI per dispositivi mobili comunicano attivamente con il servizio Power BI.Power BI Mobile apps actively communicate with the Power BI service. La telemetria viene usata per raccogliere le statistiche di utilizzo delle app per dispositivi mobili e dati simili, che vengono trasmessi ai servizi usati per monitorare l'utilizzo e l'attività. Nessun dato cliente viene inviato con la telemetria.Telemetry is used to gather mobile app usage statistics and similar data, which is transmitted to services that are used to monitor usage and activity; no customer data is sent with telemetry.

L'applicazione Power BI archivia i dati sul dispositivo che facilita l'uso dell'app:The Power BI application stores data on the device that facilitates use of the app:

  • Azure AD e i token di aggiornamento vengono archiviati in un meccanismo protetto sul dispositivo, usando misure di sicurezza standard del settore.Azure AD and refresh tokens are stored in a secure mechanism on the device, using industry-standard security measures.
  • I dati e le impostazioni (coppie chiave-valore per la configurazione utente) vengono memorizzati nella cache nell'archivio del dispositivo e possono essere crittografati dal sistema operativo.Data and settings (key-value pairs for user configuration) is cached in storage on the device, and can be encrypted by the OS. In iOS questa operazione viene eseguita automaticamente quando l'utente imposta un codice di accesso.In iOS this is automatically done when the user sets a passcode. In Android questo può essere configurato nelle impostazioni.In Android this can be configured in the settings. In Windows viene eseguita utilizzando BitLocker.In Windows it is accomplished by using BitLocker.
  • Per le app Android e iOS, i dati e le impostazioni (coppie chiave-valore per la configurazione utente) vengono memorizzati nella cache del dispositivo in una sandbox e in una risorsa di archiviazione interna che è accessibile solo all'app.For the Android and iOS apps, the data and settings (key-value pairs for user configuration) are cached in storage on the device in a sandbox and internal storage which is accessible only to the app. Per l'app di Windows, i dati sono accessibili solo all'utente (e all'amministratore di sistema).For the Windows app, the data is only accessible by the user (and system admin).
  • La georilevazione è abilitata o disabilitata in modo esplicito dall'utente.Geolocation is enabled or disabled explicitly by the user. Se abilitata, i dati di georilevazione non vengono salvati nel dispositivo e non vengono condivisi con Microsoft.If enabled, geolocation data is not saved on the device and is not shared with Microsoft.
  • Le notifiche sono abilitate o disabilitate in modo esplicito dall'utente.Notifications are enabled or disabled explicitly by the user. Se abilitata, Android e iOS non supportano i requisiti di residenza dei dati geografici per le notifiche.If enabled, Android and iOS do not support geographic data residency requirements for notifications.

La crittografia dei dati può essere migliorata applicando la crittografia a livello di file tramite Microsoft Intune, un servizio software che fornisce la gestione di applicazioni e dispositivi mobili.Data encryption can be enhanced by applying file-level encryption via Microsoft Intune, a software service that provides mobile device and application management. Tutte e tre le piattaforme per cui è disponibile Power BI mobile supportano Intune.All three platforms for which Power BI Mobile is available support Intune. Se il servizio Intune è abilitato e configurato, i dati nel dispositivo mobile vengono crittografati e l'applicazione Power BI non può essere installata in una scheda SD.With Intune enabled and configured, data on the mobile device is encrypted, and the Power BI application itself cannot be installed on an SD card. Altre informazioni su Microsoft Intune.Learn more about Microsoft Intune.

L'app Windows supporta inoltre windows Information Protection (WIP).The Windows app also supports Windows Information Protection (WIP).

Per implementare SSO, alcuni valori di archiviazione protetti correlati all'autenticazione basata su token sono disponibili per altre app Microsoft di terze parti, ad esempio Microsoft Authenticator, e sono gestite dall'SDK ADAL (Azure Active Directory Authentication Library).In order to implement SSO, some secured storage values related to the token-based authentication are available for other Microsoft 1st party apps (such as Microsoft Authenticator) and are managed by the Azure Active Directory Authentication Library (ADAL) SDK.

Power BI dati memorizzati nella cache vengono eliminati quando l'app viene rimossa, quando l'utente si disconnette da Power BI mobile o quando l'utente non riesce ad accedere, ad esempio dopo un evento di scadenza del token o una modifica della password.Power BI Mobile cached data is deleted when the app is removed, when the user signs out of Power BI Mobile, or when the user fails to sign in (such as after a token expiration event or password change). La cache dei dati include i dashboard e i report a cui l'utente ha effettuato l'accesso in precedenza dall'app Power BI per dispositivi mobili.The data cache includes dashboards and reports previously accessed from the Power BI Mobile app.

Power BI mobile non accede ad altre cartelle o file dell'applicazione nel dispositivo.Power BI Mobile does not access other application folders or files on the device.

Le app Power BI per iOS e Android consentono di proteggere i dati configurando l'identificazione aggiuntiva, ad esempio fornendo un ID viso, un ID tocco o un codice per iOS e i dati biometrici (ID impronta digitale) per Android.The Power BI apps for iOS and Android let you protect your data by configuring additional identification, such as providing Face ID, Touch ID, or a passcode for iOS, and biometric data (Fingerprint ID) for Android. Altre informazioni sull'identificazione aggiuntiva.Learn more about additional identification.

Autenticazione al servizio Power BIAuthentication to the Power BI service

L'autenticazione utente per il servizio Power BI è costituita da una serie di richieste, risposte e operazioni di reindirizzamento tra il browser dell'utente e il servizio Power BI o i servizi di Azure usati da Power BI.User authentication to the Power BI service consists of a series of requests, responses, and redirects between the user's browser and the Power BI service or the Azure services used by Power BI. Questa sequenza descrive il processo di autenticazione utente in Power BI, che segue il flusso di concessione del codice di autorizzazione del Azure Active Directory.That sequence describes the process of user authentication in Power BI, which follows the Azure Active Directory's auth code grant flow. Per ulteriori informazioni sulle opzioni per i modelli di autenticazione utente di un'organizzazione (modelli di accesso), vedere scelta di un modello di accesso per Microsoft 365.For more information about options for an organization's user authentication models (sign-in models), see Choosing a sign-in model for Microsoft 365.

Sequenza di autenticazioneAuthentication sequence

La sequenza di autenticazione utente per la servizio Power BI viene eseguita come descritto nei passaggi seguenti, illustrati nell'immagine che li segue.The user authentication sequence for the Power BI service occurs as described in the following steps, which are illustrated in the image that follows them.

  1. Un utente avvia una connessione al servizio Power BI da un browser, digitando l'indirizzo Power BI nella barra degli indirizzi oppure selezionando Accedi dalla pagina di destinazione Power BI ( https://powerbi.microsoft.com) .A user initiates a connection to the Power BI service from a browser, either by typing in the Power BI address in the address bar or by selecting Sign in from the Power BI landing page (https://powerbi.microsoft.com). La connessione si stabilisce tramite TLS 1.2 e HTTPS e tutte le comunicazioni successive tra il browser e il servizio Power BI usano il protocollo HTTPS.The connection is established using TLS 1.2 and HTTPS, and all subsequent communication between the browser and the Power BI service uses HTTPS.

  2. Gestione traffico di Azure controlla il record DNS dell'utente per determinare il data center più appropriato (in genere più vicino) in cui viene distribuito Power BI e risponde al DNS con l'indirizzo IP del cluster WFE a cui deve essere inviato l'utente.The Azure Traffic Manager checks the user's DNS record to determine the most appropriate (usually nearest) datacenter where Power BI is deployed, and responds to the DNS with the IP address of the WFE cluster to which the user should be sent.

  3. WFE quindi reindirizza l'utente alla pagina di accesso ai Microsoft Online Services.WFE then redirects the user to the Microsoft Online Services login page.

  4. Dopo che l'utente è stato autenticato, la pagina di accesso reindirizza l'utente al cluster WFE più vicino servizio Power BI più vicino con un codice di autenticazione.After the user has been authenticated, the login page redirects the user to the previously determined nearest Power BI service WFE cluster with an auth code.

  5. Il cluster WFE verifica con il servizio Azure AD per ottenere un token di sicurezza Azure AD usando il codice di autenticazione.The WFE cluster checks with the Azure AD service to obtain an Azure AD security token by using the auth code. Quando Azure AD restituisce la corretta autenticazione dell'utente e restituisce un token di sicurezza Azure AD, il cluster WFE consulta il servizio globale Power BI, che gestisce un elenco di tenant e i relativi percorsi del cluster back-end Power BI e determina quale cluster di servizi back-end di Power BI contiene il tenant dell'utente.When Azure AD returns the successful authentication of the user and returns an Azure AD security token, the WFE cluster consults the Power BI Global Service, which maintains a list of tenants and their Power BI back-end cluster locations and determines which Power BI back-end service cluster contains the user's tenant. Il cluster WFE restituisce quindi una pagina dell'applicazione al browser dell'utente con le informazioni sulla sessione, l'accesso e il routing necessarie per il relativo funzionamento.The WFE cluster then returns an application page to the user's browser with the session, access, and routing information required for its operation.

  6. Ora, quando il browser del client richiede i dati del cliente, invierà le richieste all'indirizzo del cluster back-end con il token di accesso Azure AD nell'intestazione dell'autorizzazione.Now, when the client's browser requires customer data, it will send requests to the back-end cluster address with the Azure AD access token in the Authorization header. Il cluster back-end Power BI legge il token di accesso Azure AD e convalida la firma per assicurarsi che l'identità della richiesta sia valida.The Power BI back-end cluster reads the Azure AD access token and validates the signature to ensure that the identity for the request is valid. Il token di accesso Azure ad ha una durata predefinita di 1 orae per mantenere la sessione corrente il browser dell'utente effettuerà richieste periodiche per rinnovare il token di accesso prima della scadenza.The Azure AD access token has a default lifetime of 1 hour, and to maintain the current session the user's browser will make periodic requests to renew the access token before it expires.

Sequenza di autenticazione

Residenza dei datiData residency

Se non diversamente indicato nella documentazione, Power BI archivia i dati dei clienti in una geografia di Azure assegnata quando un tenant di Azure ad si iscrive per la prima volta a Power bi Services.Unless otherwise indicated in documentation, Power BI stores customer data in an Azure geography that is assigned when an Azure AD tenant signs up for Power BI services for the first time. Un tenant Azure AD ospita le identità di utenti e applicazioni, i gruppi e altre informazioni rilevanti relative a un'organizzazione e alla relativa sicurezza.An Azure AD tenant houses the user and application identities, groups, and other relevant information that pertain to an organization and its security.

L'assegnazione di un'area geografica di Azure per l'archiviazione dei dati tenant viene eseguita eseguendo il mapping del paese selezionato come parte della configurazione del tenant di Azure AD alla geografia di Azure più adatta in cui esiste una distribuzione di Power BI.The assignment of an Azure geography for tenant data storage is done by mapping the country or region selected as part of the Azure AD tenant setup to the most suitable Azure geography where a Power BI deployment exists. Una volta ottenuta questa determinazione, tutti i dati del cliente Power BI verranno archiviati in questa area geografica di Azure selezionata, nota anche come area geografica principale, tranne nei casi in cui le organizzazioni usano distribuzioni con più aree geografiche.Once this determination is made, all Power BI customer data will be stored in this selected Azure geography (also known as the home geo), except in cases where organizations utilize multi-geo deployments.

Più aree geografiche (multi-Geo)Multiple geographies (multi-geo)

Alcune organizzazioni hanno una presenza globale e possono richiedere Power BI servizi in più aree geografiche di Azure.Some organizations have a global presence and may require Power BI services in multiple Azure geographies. Ad esempio, un'azienda può avere la propria sede nel Stati Uniti, ma può anche svolgere attività commerciali in altre aree geografiche, ad esempio in Australia.For example, a business may have their headquarters in the United States but may also do business in other geographical areas, such as Australia. In questi casi, l'azienda potrebbe richiedere che determinati dati di Power BI rimangano archiviati inattivi nell'area remota per conformarsi alle normative locali.In such cases the business may require that certain Power BI data remain stored at rest in the remote region to comply with local regulations. Questa funzionalità del servizio Power BI viene definita multigeo.This feature of the Power BI service is referred to as multi-geo.

Il livello di esecuzione delle query, le cache di query e i dati dell'artefatto assegnati a un'area di lavoro con più aree geografiche sono ospitati e rimangono nella capacità remota di Azure geography.The query execution layer, query caches, and artifact data assigned to a multi-geo workspace are hosted and remain in the remote capacity Azure geography. Tuttavia, alcuni metadati dell'artefatto, ad esempio la struttura del report, possono rimanere archiviati inattivi nell'area geografica della Home page del tenant.However, some artifact metadata, such as report structure, may remain stored at rest in the tenant's home geo. Inoltre, alcune operazioni di transito e elaborazione dei dati possono ancora verificarsi nella Geo Home del tenant, anche per le aree di lavoro ospitate in una capacità Premium multi-Geo.Additionally, some data transit and processing may still happen in the tenant's home geo, even for workspaces that are hosted in a multi-geo Premium capacity.

Per altre informazioni sulla creazione e la gestione delle distribuzioni di Power BI che si estendono su più aree geografiche di Azure, vedere configurare il supporto di più aree geografiche per Power bi Premium .Please see Configure Multi-Geo support for Power BI Premium for more information about creating and managing Power BI deployments that span multiple Azure geographies.

Aree e Data CenterRegions and datacenters

I servizi Power BI sono disponibili nelle aree geografiche specifiche di Azure, come descritto nel Centro protezione Microsoft.Power BI services are available in specific Azure geographies as described in the Microsoft Trust Center. Per ulteriori informazioni sulla posizione di archiviazione dei dati e sulla relativa modalità di utilizzo, consultare il Centro protezione Microsoft.For more information about where your data is stored and how it is used, please refer to the Microsoft Trust Center. Gli impegni relativi alla posizione dei dati dei clienti inattivi sono specificati nelle condizioni di elaborazione dei dati delle condizioni di Microsoft Online Services.Commitments concerning the location of customer data at rest are specified in the Data Processing Terms of the Microsoft Online Services Terms.

Microsoft fornisce inoltre i Data Center per le entità sovrane.Microsoft also provides datacenters for sovereign entities. Per altre informazioni sulla disponibilità del servizio Power BI per i cloud nazionali, vedere Cloud nazionali di Power BI.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Gestione dei datiData handling

In questa sezione vengono descritte Power BI procedure di gestione dei dati per l'archiviazione, l'elaborazione e il trasferimento dei dati dei clienti.This section outlines Power BI data handling practices when it comes to storing, processing, and transferring customer data.

Dati inattiviData at rest

Power BI usa due tipi di risorsa di archiviazione dati primari:Power BI uses two primary data storage resource types:

  • Archiviazione di AzureAzure Storage
  • Database SQL di AzureAzure SQL Databases

Nella maggior parte degli scenari, archiviazione di Azure viene usata per salvare in modo permanente i dati degli artefatti Power BI, mentre i database SQL di Azure vengono usati per salvare in modo permanente i metadati degli artefatti.In the majority of scenarios, Azure Storage is utilized to persist the data of Power BI artifacts, while Azure SQL Databases are used to persist artifact metadata.

Tutti i dati salvati in un Power BI vengono crittografati per impostazione predefinita usando chiavi gestite da Microsoft.All data persisted by Power BI is encrypted by default using Microsoft-managed keys. I dati dei clienti archiviati nei database SQL di Azure sono completamente crittografati con la tecnologia Transparent Data Encryption (Transparent Data Encryption) di Azure SQL .Customer data stored in Azure SQL Databases is fully encrypted using Azure SQL's Transparent Data Encryption (TDE) technology. I dati dei clienti archiviati nell'archivio BLOB di Azure vengono crittografati usando la crittografia di archiviazione di Azure.Customer data stored in Azure Blob storage is encrypted using Azure Storage Encryption.

Facoltativamente, le organizzazioni possono utilizzare Power BI Premium per utilizzare le proprie chiavi per crittografare i dati inattivi importati in un set di dati.Optionally, organizations can utilize Power BI Premium to use their own keys to encrypt data at rest that is imported into a dataset. Questo approccio viene spesso descritto come BYOK (Bring Your Own Key) .This approach is often described as bring your own key (BYOK). L'uso di BYOK consente di garantire che anche in caso di errore di un operatore di servizio, i dati dei clienti non verranno esposti, cosa che non è possibile ottenere facilmente usando la crittografia lato servizio trasparente.Utilizing BYOK helps ensure that even in case of a service operator error, customer data will not be exposed – something that cannot easily be achieved using transparent service-side encryption. Per ulteriori informazioni, vedere la pagina relativa all' uso delle chiavi di crittografia per Power bi .Please see Bring your own encryption keys for Power BI for more information.

Power BI set di dati consentono una serie di modalità di connessione all'origine dati che determinano se i dati dell'origine dati vengono mantenuti nel servizio o meno.Power BI datasets allow for a variety of data source connection modes which determine whether the data source data is persisted in the service or not.

Modalità del set di dati (Kind)Dataset Mode (Kind) Dati salvati in Power BIData Persisted in Power BI
ImportaImport Yes
DirectQueryDirect Query NoNo
Live ConnectLive Connect NoNo
CompositeComposite Se contiene un'origine dati di importazioneIf contains an Import data source
StreamingStreaming Se configurato per la permanenzaIf configured to persist

Indipendentemente dalla modalità del set di dati utilizzata, Power BI possibile memorizzare temporaneamente nella cache i dati recuperati per ottimizzare le prestazioni di caricamento di query e report.Regardless of the dataset mode utilized, Power BI may temporarily cache any retrieved data to optimize query and report load performance.

Dati nell'elaborazioneData in processing

I dati vengono elaborati quando vengono utilizzati attivamente da uno o più utenti come parte di uno scenario interattivo o quando un processo in background, ad esempio Refresh, tocca questi dati.Data is in processing when it is either actively being used by one or more users as part of an interactive scenario, or when a background process, such as refresh, touches this data. Power BI carica i dati elaborati attivamente nello spazio di memoria di uno o più carichi di lavoro del servizio.Power BI loads actively processed data into the memory space of one or more service workloads. Per semplificare la funzionalità richiesta dal carico di lavoro, i dati elaborati in memoria non vengono crittografati.To facilitate the functionality required by the workload, the processed data in memory is not encrypted.

Dati in transitoData in transit

Power BI richiede la crittografia di tutto il traffico HTTP in ingresso usando TLS 1,2 o versione successiva.Power BI requires all incoming HTTP traffic to be encrypted using TLS 1.2 or above. Eventuali richieste che tentano di utilizzare il servizio con TLS 1,1 o versioni precedenti verranno rifiutate.Any requests attempting to use the service with TLS 1.1 or lower will be rejected.

Autenticazione a origini datiAuthentication to data sources

Quando ci si connette a un'origine dati, un utente può scegliere di importare una copia dei dati in Power BI o di connettersi direttamente all'origine dati.When connecting to a data source, a user can choose to import a copy of the data into Power BI or to connect directly to the data source.

In caso di importazione, un utente stabilisce una connessione in base all'account di accesso dell'utente e accede ai dati con la credenziale.In the case of import, a user establishes a connection based on the user's login and accesses the data with the credential. Dopo la pubblicazione del set di dati nel servizio Power BI, Power BI usa sempre le credenziali dell'utente per importare i dati.After the dataset is published to the Power BI service, Power BI always uses this user's credential to import data. Una volta importati i dati, la visualizzazione dei dati nei report e nei dashboard non consente l'accesso all'origine dati sottostante.Once data is imported, viewing the data in reports and dashboards does not access the underlying data source. Power BI supporta l'autenticazione Single Sign-On per le origini dati selezionate.Power BI supports single sign-on authentication for selected data sources. Se la connessione è configurata per l'utilizzo di Single Sign-On, le credenziali del proprietario del set di dati vengono utilizzate per la connessione all'origine dati.If the connection is configured to use single sign-on, the dataset owner's credentials are used to connect to the data source.

Se un'origine dati è connessa direttamente usando credenziali preconfigurate, le credenziali preconfigurate vengono usate per connettersi all'origine dati quando un utente Visualizza i dati.If a data source is connected directly using pre-configured credentials, the pre-configured credentials are used to connect to the data source when any user views the data. Se un'origine dati è connessa direttamente tramite Single Sign-On, le credenziali dell'utente corrente vengono utilizzate per la connessione all'origine dati quando un utente Visualizza i dati.If a data source is connected directly using single sign-on, the current user's credentials are used to connect to the data source when a user views the data. Se utilizzata con Single Sign-On, è possibile implementare Sicurezza a livello di riga (RLS) nell'origine dati.When used with single sign-on, Row Level Security (RLS) can be implemented on the data source. In questo modo gli utenti possono visualizzare solo i dati per i quali si dispone dei privilegi di accesso.This allows users to view only data they have privileges to access. Quando si esegue la connessione alle origini dati nel cloud, Azure AD autenticazione viene utilizzata per l'accesso Single Sign-on. per le origini dati locali, sono supportati Kerberos, Security Assertion Markup Language (SAML) e Azure AD.When the connection is to data sources in the cloud, Azure AD authentication is used for single sign on; for on-prem data sources, Kerberos, Security Assertion Markup Language (SAML), and Azure AD are supported.

Se l'origine dati è Azure Analysis Services o Analysis Services locale e viene configurata la sicurezza a livello di riga, il servizio Power BI applicherà la sicurezza a livello di riga e gli utenti che non dispongono di credenziali sufficienti per accedere ai dati sottostanti (che potrebbe essere una query utilizzata in un dashboard, un report o un altro elemento dati) non vedranno i dati per cui non dispongono di privilegi sufficienti.If the data source is Azure Analysis Services or on-premises Analysis Services, and RLS is configured, the Power BI service will apply that row level security, and users who do not have sufficient credentials to access the underlying data (which could be a query used in a dashboard, report, or other data artifact) will not see data they don't have sufficient privileges for.

Funzionalità PremiumPremium features

Architettura del flusso di flussiDataflows architecture

I flussi di dati consentono agli utenti di configurare le operazioni di elaborazione dei dati back-end che estraggono i dati dalle origini dati polimorfiche, eseguono la logica di trasformazione in base ai dati e quindi li distribuiscono in un modello di destinazione per l'uso in varie tecnologie di presentazione per la creazione di report.Dataflows provide users the ability to configure back-end data processing operations that will extract data from polymorphous data sources, execute transformation logic against the data, and then land it in a target model for use across various reporting presentation technologies. Qualsiasi utente che dispone di un ruolo di membro, collaboratore o amministratore in un'area di lavoro può creare un flusso di lavoro.Any user who has either a member, contributor, or admin role in a workspace may create a dataflow. Gli utenti nel ruolo Visualizzatore possono visualizzare i dati elaborati dal flusso di dati, ma potrebbero non apportare modifiche alla composizione.Users in the viewer role may view data processed by the dataflow but may not make changes to its composition. Dopo che un flusso di lavoro è stato creato, qualsiasi membro, collaboratore o amministratore dell'area di lavoro può pianificare gli aggiornamenti, nonché visualizzare e modificare il flusso di lavoro prendendone la proprietà.Once a dataflow has been authored, any member, contributor, or admin of the workspace may schedule refreshes, as well as view and edit the dataflow by taking ownership of it.

Ogni origine dati configurata è associata a una tecnologia client per l'accesso a tale origine dati.Each configured data source is bound to a client technology for accessing that data source. La struttura delle credenziali necessarie per accedere a tali credenziali è costituita in modo da corrispondere ai dettagli di implementazione necessari dell'origine dati.The structure of credentials required to access them is formed to match required implementation details of the data source. La logica di trasformazione viene applicata dai servizi Power Query mentre i dati sono in fase di elaborazione.Transformation logic is applied by Power Query services while the data is in flight. Per i flussi di data premium, i servizi Power Query vengono eseguiti nei nodi back-end.For premium dataflows, Power Query services execute in back-end nodes. I dati possono essere estratti direttamente dalle origini cloud o tramite un gateway installato in locale.Data may be pulled directly from the cloud sources or through a gateway installed on premises. Quando si esegue il pull direttamente da un'origine cloud al servizio o al gateway, il trasporto usa la metodologia di protezione specifica per la tecnologia client, se applicabile.When pulled directly from a cloud source to the service or to the gateway, the transport uses protection methodology specific to the client technology, if applicable. Quando i dati vengono trasferiti dal gateway al servizio cloud, vengono crittografati.When data is transferred from the gateway to the cloud service, it is encrypted. Vedere la sezione dati nell'elaborazione riportata sopra.See the Data in Processing section above.

Quando le origini dati specificate dal cliente richiedono le credenziali per l'accesso, il proprietario o l'autore del flusso di dati li fornirà durante la creazione.When customer specified data sources require credentials for access, the owner/creator of the dataflow will provide them during authoring. Vengono archiviati usando l'archiviazione delle credenziali standard a livello di prodotto.They are stored using standard product-wide credential storage. Vedere la sezione autenticazione per origini dati precedente.See the Authentication to Data Sources section above. Sono disponibili diversi approcci che gli utenti possono configurare per ottimizzare la persistenza e l'accesso ai dati.There are various approaches users may configure to optimize data persistence and access. Per impostazione predefinita, i dati vengono inseriti in un Power BI account di archiviazione di proprietà e protetto.By default, the data is placed in a Power BI owned and protected storage account. La crittografia di archiviazione è abilitata nei contenitori di archiviazione BLOB per proteggere i dati mentre è inattiva.Storage encryption is enabled on the Blob storage containers to protect the data while it is at rest. Vedere la sezione dati inattivi di seguito.See the Data at Rest section below. Tuttavia, gli utenti possono configurare il proprio account di archiviazione associato alla propria sottoscrizione di Azure.Users may, however, configure their own storage account associated with their own Azure subscription. Quando si esegue questa operazione, a un'entità di servizio Power BI viene concesso l'accesso a tale account di archiviazione, in modo che possa scrivere i dati durante l'aggiornamento.When doing so, a Power BI service principal is granted access to that storage account so that it may write the data there during refresh. In questo caso il proprietario della risorsa di archiviazione è responsabile della configurazione della crittografia nell'account di archiviazione ADLS configurato.In this case the storage resource owner is responsible for configuring encryption on the configured ADLS storage account. I dati vengono sempre trasmessi all'archiviazione BLOB usando la crittografia.Data is always transmitted to Blob storage using encryption.

Poiché le prestazioni durante l'accesso agli account di archiviazione potrebbero non essere ottimali per alcuni dati, gli utenti hanno anche la possibilità di usare un motore di calcolo ospitato da Power BI per migliorare le prestazioni.Since performance when accessing storage accounts may be suboptimal for some data, users also have the option to use a Power BI-hosted compute engine to increase performance. In questo caso, i dati vengono archiviati in modo ridondante in un database SQL disponibile per DirectQuery tramite l'accesso da parte del sistema Power BI back-end.In this case, data is redundantly stored in a SQL database that is available for DirectQuery through access by the back-end Power BI system. I dati sono sempre crittografati nel file system.Data is always encrypted on the file system. Se l'utente fornisce una chiave per la crittografia dei dati archiviati nel database SQL, tale chiave verrà utilizzata per la crittografia doppia.If the user provides a key for encrypting the data stored in the SQL database, that key will be used to doubly encrypt it.

Quando si eseguono query tramite DirectQuery, viene usato il protocollo di trasporto crittografato HTTPS per accedere all'API.When querying using DirectQuery, the encrypted transport protocol HTTPS is used to access the API. Tutti gli usi secondari o indiretti di DirectQuery sono controllati dagli stessi controlli di accesso descritti in precedenza.All secondary or indirect use of DirectQuery is controlled by the same access controls previously described. Poiché il flusso di dati è sempre associato a un'area di lavoro, l'accesso ai dati viene sempre gestito dal ruolo dell'utente in tale area di lavoro.Since dataflows are always bound to a workspace, access to the data is always gated by the user's role in that workspace. Un utente deve avere almeno l'accesso in lettura per poter eseguire query sui dati con qualsiasi mezzo.A user must have at least read access to be able to query the data via any means.

Quando Power BI Desktop viene utilizzato per accedere ai dati in un flusso di dati, è necessario innanzitutto autenticare l'utente utilizzando Azure AD per determinare se l'utente dispone di diritti sufficienti per visualizzare i dati.When Power BI Desktop is used to access data in a dataflow, it must first authenticate the user using Azure AD to determine if the user has sufficient rights to view the data. In tal caso, viene acquisita e utilizzata una chiave di firma di accesso condiviso per accedere direttamente all'archiviazione utilizzando il protocollo di trasporto crittografato HTTPS.If so, a SaS key is acquired and used to access storage directly using the encrypted transport protocol HTTPS.

L'elaborazione dei dati in tutta la pipeline genera eventi di controllo di Office 365.The processing of data throughout the pipeline emits Office 365 auditing events. Alcuni di questi eventi acquisiranno le operazioni relative alla sicurezza e alla privacy.Some of these events will capture security and privacy-related operations.

Report impaginatiPaginated reports

I report impaginati sono progettati per essere stampati o condivisi.Paginated reports are designed to be printed or shared. Vengono definiti impaginati perché sono formattati in modo da adattarsi meglio alla pagina.They're called paginated because they're formatted to fit well on a page. Visualizzano tutti i dati in una tabella, anche se la tabella si estende su più pagine.They display all the data in a table, even if the table spans multiple pages. Vengono definiti anche perfetti al pixel perché è possibile controllare esattamente il layout di pagina del report.They're also called pixel perfect because you can control their report page layout exactly.

I report impaginati supportano espressioni avanzate e potenti scritte in Microsoft Visual Basic .NET.Paginated reports support rich and powerful expressions written in Microsoft Visual Basic .NET. Nei report impaginati di Power BI Report Builder le espressioni vengono ampiamente usate per recuperare, calcolare, visualizzare, raggruppare, ordinare, filtrare, parametrizzare e formattare i dati.Expressions are widely used throughout Power BI Report Builder paginated reports to retrieve, calculate, display, group, sort, filter, parameterize, and format data.

Le espressioni vengono create dall'autore del report con accesso all'ampia gamma di funzionalità di .NET Framework.Expressions are created by the author of the report with access to the broad range of features of the .NET framework. L'elaborazione e l'esecuzione di report impaginati vengono eseguite all'interno di una sandbox.The processing and execution of paginated reports is performed inside a sandbox.

Le definizioni dei report impaginati (con estensione rdl) vengono archiviate in Power BI e per pubblicare e/o eseguire il rendering di un report impaginato è necessario che un utente esegua l'autenticazione e l'autorizzazione in modo analogo a quanto descritto nella sezione autenticazione al servizio Power bi precedente.Paginated report definitions (.rdl) are stored in Power BI, and to publish and/or render a paginated report a user needs to authenticate and authorize in the same way as described in the Authentication to the Power BI Service section above.

Il token Azure AD ottenuto durante l'autenticazione viene usato per comunicare direttamente dal browser al cluster di Power BI Premium.The Azure AD token obtained during the authentication is used to communicate directly from the browser to the Power BI Premium cluster.

Per Gen1 Premium, esiste una singola sandbox per ciascuna delle capacità del tenant ed è condivisa dalle aree di lavoro assegnate alla capacità.For Premium Gen1, a single sandbox exists per each one of the capacities of the tenant, and is shared by the workspaces assigned to the capacity.

Report impaginati generazione 1

Per Gen2 Premium (in anteprima) viene creata una sandbox temporanea singola ed esclusiva per ognuno dei rendering di un report, offrendo un livello di isolamento più elevato tra gli utenti.For Premium Gen2 (in preview), an individual and exclusive ephemeral sandbox is created for each one of the renders of a report, providing a higher level of isolation between users.

Report impaginati generazione 2

Un report impaginato può accedere a un ampio set di origini dati come parte del rendering del report.A paginated report can access a wide set of data sources as part of the rendering of the report. Il sandbox non comunica direttamente con alcuna origine dati, ma comunica invece con il processo attendibile per richiedere i dati, quindi il processo attendibile Accoda le credenziali necessarie alla connessione.The sandbox doesn't communicate directly with any of the data sources but instead communicates with the trusted process to request data, and then the trusted process appends the required credentials to the connection. In questo modo la sandbox non può mai accedere a credenziali o segreti.In this way the sandbox never has access to any credential or secret.

Per supportare funzionalità come Bing Maps o chiamate a funzioni di Azure, sandbox ha accesso a Internet.In order to support features such as Bing maps, or calls to Azure Functions, the sandbox does have access to the internet.

Power BI analisi incorporataPower BI embedded analytics

I fornitori di software indipendenti (ISV) e i provider di soluzioni hanno due modalità principali per incorporare Power BI artefatti nelle proprie applicazioni Web e portali: incorporare per l'organizzazione e incorporare per i clienti.Independent Software Vendors (ISVs) and solution providers have two main modes of embedding Power BI artifacts in their web applications and portals: embed for your organization and embed for your customers. L'artefatto è incorporato in un iframe nell'applicazione o nel portale.The artifact is embedded into an iframe in the application or portal. Un iframe non è autorizzato a leggere o scrivere dati dal portale o dall'applicazione Web esterna e la comunicazione con l'iframe viene eseguita usando l'SDK client di Power BI usando i messaggi POST.An iframe is not allowed to read or write data from the external web application or portal, and the communication with the iframe is done by using the Power BI Client SDK using POST messages.

In uno scenario di incorporamento per la propria organizzazione , Azure ad utenti accedono ai propri contenuti Power bi attraverso i portali personalizzati dalle aziende e dai relativi.In an embed for your organization scenario, Azure AD users access their own Power BI content through portals customized by their enterprises and ITs. Tutti i criteri e le funzionalità di Power BI descritti in questo documento, ad esempio Sicurezza a livello di riga (RLS), vengono applicati automaticamente a tutti gli utenti indipendentemente dal fatto che accedano Power BI tramite il portale di Power bi o tramite portali personalizzati.All Power BI policies and capabilities described in this paper such as Row Level Security (RLS) are automatically applied to all users independently of whether they access Power BI through the Power BI portal or through customized portals.

In uno scenario di incorporamento per i clienti, gli ISV sono in genere proprietari Power bi tenant e Power bi elementi (Dashboard, report, set di impostazioni e così via).In an embed for your customers scenario, ISVs typically own Power BI tenants and Power BI artifacts (dashboards, reports, datasets etc.). È responsabilità di un servizio back-end ISV autenticare gli utenti finali e decidere quali elementi e quale livello di accesso è appropriato per l'utente finale.It’s the responsibility of an ISV back-end service to authenticate its end users and decide which artifacts and which access level is appropriate for that end user. Le decisioni relative ai criteri ISV vengono crittografate in un token di incorporamento generato da Power bi e passate al back-end ISV per un'ulteriore distribuzione agli utenti finali in base alla logica di business dell'ISV.ISV policy decisions are encrypted in an embed token generated by Power BI and passed to the ISV back-end for further distribution to the end users according to the business logic of the ISV. Gli utenti finali che usano un browser o altre applicazioni client non sono in grado di decrittografare o modificare i token di incorporamento.End users using a browser or other client applications are not able to decrypt or modify embed tokens. Gli SDK sul lato client, ad esempio Power bi API client aggiungono automaticamente il token di incorporamento crittografato alle richieste di Power bi come un'intestazione Authorization: EmbedToken .Client-side SDKs such as Power BI Client APIs automatically append the encrypted embed token to Power BI requests as an Authorization: EmbedToken header. In base a questa intestazione, Power BI applicherà tutti i criteri, ad esempio Access o RLS, esattamente come è stato specificato dall'ISV durante la generazione.Based on this header, Power BI will enforce all policies (such as access or RLS) precisely as was specified by the ISV during generation.

Per abilitare l'incorporamento e l'automazione e per generare i token di incorporamento descritti in precedenza, Power BI espone un set completo di API REST.To enable embedding and automation, and to generate the embed tokens described above, Power BI exposes a rich set of REST APIs. Queste API REST di Power BI supportano sia delega utente che entità servizio Azure ad metodi di autenticazione e autorizzazione.These Power BI REST APIs support both user delegated and service principal Azure AD methods of authentication and authorization.

Power BI analisi incorporata e le relative API REST supportano tutte le funzionalità di isolamento rete Power BI descritte in questo articolo: ad esempio, tag di servizio e collegamenti privati.Power BI embedded analytics and its REST APIs support all Power BI network isolation capabilities described in this article: e.g., Service Tags and Private Links.

Funzionalità di intelligenza artificialeAI features

Power BI attualmente supporta due categorie generali di funzionalità di intelligenza artificiale nel prodotto: oggetti visivi AI e arricchimenti AI.Power BI currently supports two broad categories of AI features in the product today: AI visuals and AI enrichments. Le funzionalità di intelligenza artificiale a livello di oggetto includono funzionalità quali fattori di influenza chiave, decomposizione-albero, Smart-narrativa, rilevamento di anomalie, R-Visual, Python-Visual, clustering, previsione, Q&A, Quick-Insights e così via. Le funzionalità di arricchimento di intelligenza artificiale includono funzionalità come AutoML, AzureML, CognitiveServices, trasformazioni R/Python e così via.The visual-level AI features include capabilities such as Key-Influencers, Decomposition-Tree, Smart-Narrative, Anomaly-Detection, R-visual, Python-visual, Clustering, Forecasting, Q&A, Quick-Insights etc. The AI enrichment capabilities include capabilities such as AutoML, AzureML, CognitiveServices, R/Python transforms etc.

La maggior parte delle funzionalità menzionate in precedenza è attualmente supportata nelle aree di lavoro sia condivise che Premium.Most of the features mentioned above are supported in both Shared and Premium workspaces today. Tuttavia, AutoML e CognitiveServices sono supportati solo nelle aree di lavoro Premium, a causa delle restrizioni IP.However, AutoML and CognitiveServices are supported only in Premium workspaces, due to IP restrictions. Attualmente, grazie all'integrazione di AutoML in Power BI, un utente può compilare ed eseguire il training di un modello di ML personalizzato (ad esempio, stima, classificazione, regressione e così via) e applicarlo per ottenere stime durante il caricamento dei dati in un flusso di dati definito in un'area di lavoro Premium.Today, with the AutoML integration in Power BI, a user can build and train a custom ML model (e.g. Prediction, Classification, Regression, etc.) and apply it to get predictions while loading data into a dataflow defined in a Premium workspace. Inoltre, Power BI gli utenti possono applicare diverse API CognitiveServices, ad esempio TextAnalytics e ImageTagging, per trasformare i dati prima di caricarli in un flusso di dati o in un set di dati definito in un'area di lavoro Premium.Additionally, Power BI users can apply several CognitiveServices APIs, such as TextAnalytics and ImageTagging, to transform data before loading it into a dataflow/dataset defined in a Premium workspace.

Le funzionalità di arricchimento di intelligenza artificiale Premium possono essere visualizzate meglio come una raccolta di funzioni/trasformazioni di intelligenza artificiale senza stato che possono essere usate da Power BI utenti nelle pipeline di integrazione dei dati usate da un set di dati o un flusso di dati Power BI.The Premium AI enrichment features can be best viewed as a collection of stateless AI functions/transforms that can be used by Power BI users in their data integration pipelines used by a Power BI dataset or dataflow. Si noti che è possibile accedere a queste funzioni anche dagli ambienti di creazione del flusso di dati/set di dati correnti nel servizio Power BI e Power BI Desktop.Note that these functions can also be accessed from current dataflow/dataset authoring environments in the Power BI Service and Power BI Desktop. Queste funzioni/trasformazioni di intelligenza artificiale vengono sempre eseguite in un'area di lavoro/capacità Premium.These AI functions/transforms always run in a Premium workspace/capacity. Queste funzioni sono riportate in Power BI come origine dati che richiede un token Azure AD per l'utente Power BI che usa la funzione AI.These functions are surfaced in Power BI as a data source that requires an Azure AD token for the Power BI user who is using the AI function. Queste origini dati di intelligenza artificiale sono speciali perché non esportano i propri dati e forniscono solo queste funzioni/trasformazioni.These AI data sources are special because they do not surface any of their own data and they only supply these functions/transforms. Durante l'esecuzione, queste funzionalità non eseguono chiamate in uscita ad altri servizi per trasmettere i dati del cliente.During execution, these features do not make any outbound calls to other services to transmit the customer's data. Esaminiamo gli scenari Premium singolarmente per comprendere i modelli di comunicazione e i dettagli pertinenti relativi alla sicurezza relativi.Let us look at the Premium scenarios individually to understand the communication patterns and relevant security-related details pertaining to them.

Per il training e l'applicazione di un modello AutoML, Power BI USA Azure AutoML SDK ed esegue tutte le attività di formazione nella capacità di Power BI del cliente.For training and applying an AutoML model, Power BI uses the Azure AutoML SDK and runs all the training in the customer's Power BI capacity. Durante le iterazioni di training, Power BI chiama un servizio di sperimentazione AzureML per selezionare un modello appropriato e i parametri ipertestuali per l'iterazione corrente.During training iterations, Power BI calls an experimentation AzureML service to select a suitable model and hyper-parameters for the current iteration. In questa chiamata in uscita vengono inviati solo i metadati dell'esperimento pertinenti (ad esempio, l'accuratezza, l'algoritmo ml, i parametri dell'algoritmo e così via) dall'iterazione precedente.In this outbound call, only relevant experiment metadata (e.g. accuracy, ml algorithm, algorithm parameters, etc.) from the previous iteration is sent. Il training di AutoML produce un modello ONNX e i dati del report di training che vengono quindi salvati nel flusso di dati.The AutoML training produces an ONNX model and training report data that is then saved in the dataflow. Successivamente, Power BI gli utenti possono quindi applicare il modello ML con training come trasformazione per rendere operativo il modello ML in base a una pianificazione.Later, Power BI users can then apply the trained ML model as a transform to operationalize the ML model on a scheduled basis. Per le API TextAnalytics e ImageTagging, Power BI non chiama direttamente le API del servizio CognitiveServices, bensì usa un SDK interno per eseguire le API nella capacità Power BI Premium.For TextAnalytics and ImageTagging APIs, Power BI does not directly call the CognitiveServices service APIs, but rather uses an internal SDK to run the APIs in the Power BI Premium capacity. Attualmente queste API sono supportate sia in Power BI dataflows che nei set di impostazioni.Today these APIs are supported in both Power BI dataflows and datasets. Durante la creazione di un set di dati in Power BI Desktop, gli utenti possono accedere a questa funzionalità solo se hanno accesso a un'area di lavoro Power BI Premium.While authoring a dataset in Power BI Desktop, users can only access this functionality if they have access to a Premium Power BI workspace. Viene quindi richiesto ai clienti di fornire le credenziali Azure AD.Hence customers are prompted to supply their Azure AD credentials.

Isolamento reteNetwork isolation

In questa sezione vengono descritte le funzionalità di sicurezza avanzate in Power BI.This section outlines advanced security features in Power BI. Alcune funzionalità hanno requisiti di licenza specifici.Some of the features have specific licensing requirements. Per informazioni dettagliate, vedere le sezioni seguenti.See the sections below for details.

Tag di servizioService tags

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure.A service tag represents a group of IP address prefixes from a given Azure service. Consente di ridurre al minimo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete.It helps minimize the complexity of frequent updates to network security rules. I clienti possono usare i tag di servizio per definire controlli di accesso alla rete nei gruppi di sicurezza di rete o nel firewall di Azure.Customers can use service tags to define network access controls on Network Security Groups or Azure Firewall. I clienti possono usare i tag di servizio al posto di indirizzi IP specifici durante la creazione delle regole di sicurezza.Customers can use service tags in place of specific IP addresses when creating security rules. Specificando il nome del tag di servizio (ad esempio, Power BI) nel campo di origine o destinazione (per le API) appropriato di una regola, i clienti possono consentire o negare il traffico per il servizio corrispondente.By specifying the service tag name (e.g., PowerBI) in the appropriate source or destination (for APIs) field of a rule, customers can allow or deny the traffic for the corresponding service. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Rete di Azure fornisce la funzionalità di collegamento privato di Azure che consente Power BI di fornire un accesso sicuro tramite gli endpoint privati di rete di Azure.Azure networking provides the Azure Private Link feature that enables Power BI to provide secure access via Azure Networking private endpoints. Con il collegamento privato di Azure e gli endpoint privati, il traffico dati viene inviato privatamente usando l'infrastruttura di rete backbone di Microsoft e pertanto i dati non passano a Internet.With Azure Private Link and private endpoints, data traffic is sent privately using Microsoft's backbone network infrastructure, and thus the data doesn't traverse the Internet.

Il collegamento privato garantisce che Power BI utenti utilizzino la backbone della rete privata Microsoft quando passano a risorse nel servizio Power BI.Private Link ensures that Power BI users use the Microsoft private network backbone when going to resources in the Power BI service.

L'uso di un collegamento privato con Power BI offre i vantaggi seguenti:Using Private Link with Power BI provides the following benefits:

  • Il collegamento privato garantisce che il traffico passerà attraverso la backbone di Azure a un endpoint privato per le risorse basate sul cloud di Azure.Private Link ensures that traffic will flow over the Azure backbone to a private endpoint for Azure cloud-based resources.
  • L'isolamento del traffico di rete dall'infrastruttura non basata su Azure, ad esempio l'accesso locale, richiederebbe ai clienti ExpressRoute o una rete privata virtuale (VPN) configurata.Network traffic isolation from non-Azure-based infrastructure, such as on-premises access, would require customers to have ExpressRoute or a Virtual Private Network (VPN) configured.

Per ulteriori informazioni, vedere collegamenti privati per accedere a Power bi .See Private links for accessing Power BI for additional information.

Connettività VNet (anteprima-presto disponibile)VNet connectivity (preview - coming soon)

Sebbene la funzionalità di integrazione del collegamento privato fornisca connessioni in ingresso sicure ai Power BI, la funzionalità di connettività VNet consente la connettività in uscita sicura da Power BI alle origini dati all'interno di una VNet.While the Private Link integration feature provides secure inbound connections to Power BI, the VNet connectivity feature enables secure outbound connectivity from Power BI to data sources within a VNet.

I gateway VNet (gestiti da Microsoft) elimineranno il sovraccarico dovuto all'installazione e al monitoraggio di gateway dati locali per la connessione a origini dati associate a un VNet.VNet gateways (Microsoft-managed) will eliminate the overhead of installing and monitoring on-premises data gateways for connecting to data sources associated with a VNet. Tuttavia, seguiranno comunque il processo familiare di gestione della sicurezza e delle origini dati, come con un gateway dati locale.They will, however, still follow the familiar process of managing security and data sources, as with an on-premises data gateway.

Di seguito è riportata una panoramica di ciò che accade quando si interagisce con un report di Power BI connesso a un'origine dati all'interno di un VNet tramite gateway VNet:The following is an overview of what happens when you interact with a Power BI report that is connected to a data source within a VNet using VNet gateways:

  1. Il servizio cloud Power BI, o uno degli altri servizi cloud supportati, avvia una query e Invia la query, i dettagli dell'origine dati e le credenziali al servizio Power Platform VNet (PP VNet).The Power BI cloud service (or one of the other supported cloud services) kicks off a query and sends the query, data source details, and credentials to the Power Platform VNet service (PP VNet).

  2. Il servizio VNet di PP inserisce quindi in modo sicuro un contenitore che esegue un gateway VNet nella subnet.The PP VNet service then securely injects a container running a VNet gateway into the subnet. Questo contenitore è ora in grado di connettersi ai servizi dati accessibili dall'interno della subnet.This container can now connect to data services accessible from within this subnet.

  3. Il servizio VNet di PP invia quindi la query, i dettagli dell'origine dati e le credenziali al gateway VNet.The PP VNet service then sends the query, data source details, and credentials to the VNet gateway.

  4. Il gateway VNet ottiene la query e si connette alle origini dati con tali credenziali.The VNet gateway gets the query and connects to the data sources with those credentials.

  5. La query viene quindi inviata all'origine dati per l'esecuzione.The query is then sent to the data source for execution.

  6. Dopo l'esecuzione, i risultati vengono inviati al gateway VNet e il servizio PP VNet inserisce in modo sicuro i dati dal contenitore al servizio cloud Power BI.After execution, the results are sent to the VNet gateway, and the PP VNet service securely pushes the data from the container to the Power BI cloud service.

Questa funzionalità sarà presto disponibile in anteprima pubblica.This feature will be available in public preview soon.

Entità servizioService principals

Power BI supporta l'utilizzo di entità servizio.Power BI supports the use of service principals. Archiviare le credenziali dell'entità servizio usate per la crittografia o l'accesso Power BI in un Key Vault, assegnare criteri di accesso appropriati all'insieme di credenziali e verificare periodicamente le autorizzazioni di accesso.Store any service principal credentials used for encrypting or accessing Power BI in a Key Vault, assign proper access policies to the vault, and regularly review access permissions.

Per ulteriori informazioni, vedere automatizzare le attività del set di dati e dell'area di lavoro Premium con le entità servizio .See Automate Premium workspace and dataset tasks with service principals for additional details.

Prevenzione della perdita dei dati (DLP)Data loss prevention (DLP)

Etichette di riservatezza Microsoft 365Microsoft 365 sensitivity labels

Power BI offre una profonda integrazione con le etichette di riservatezza di Microsoft Information Protection (MIP), che consentono alle organizzazioni di avere una singola soluzione integrata per la gestione dei criteri DLP, il controllo e la conformità nella suite di Office.Power BI has a deep integration with Microsoft Information Protection (MIP) sensitivity labels, which enable organizations to have a single, integrated solution for DLP policy management, audit, and compliance across the Office suite.

Quando le etichette di riservatezza sono abilitate in Power BI:When sensitivity labels are enabled in Power BI:

  • I dati sensibili, sia nella servizio Power BI (GA) che in Power BI Desktop (anteprima), possono essere classificati e contrassegnati con le stesse etichette di riservatezza Microsoft Information Protection usate in Office e in Azure.Sensitive data, both in the Power BI service (GA) and in Power BI Desktop (preview), can be classified and labeled using the same familiar Microsoft Information Protection sensitivity labels used in Office and in Azure Purview.
  • È possibile applicare i criteri di governance anche quando Power BI contenuto viene esportato in file di Excel, PowerPoint, PDF o pbix , per garantire la protezione dei dati anche quando lascia Power bi.Governance policies can be enforced, even when Power BI content is exported to Excel, PowerPoint, PDF or .pbix files, to help ensure data is protected even when it leaves Power BI.
  • i file con estensione pbix possono essere crittografati in base ai criteri delle etichette MIP quando un'etichetta MIP viene applicata al file con estensione pbix sul desktop, assicurando che solo gli utenti autorizzati possano modificare questo file..pbix files can be encrypted according to MIP label policies when a MIP label is applied on the .pbix file in Desktop, ensuring that only authorized users can edit this file.
  • È facile classificare e proteggere i file con estensione pbix esattamente come avviene con i file di Excel, Word e PowerPoint.It's easy to classify and protect .pbix files just like it is done with Excel, Word, and PowerPoint files. Con due semplici clic, è possibile contrassegnare un file in base al livello di riservatezza e, ancora più, crittografarlo se contiene dati aziendali riservati.With just two clicks, a file can be tagged according to its level of sensitivity, and, even further, be encrypted if it contains business-confidential data.
  • Le cartelle di lavoro di Excel ereditano automaticamente le etichette di riservatezza quando si connettono a Power BI (anteprima), rendendo possibile la gestione della classificazione end-to-end e l'applicazione della protezione quando il set di dati di Power BI viene analizzato in Excel.Excel workbooks automatically inherit the sensitivity labels when they connect to Power BI (preview), making it possible to maintain end-to-end classification and apply protection when the Power BI dataset is analyzed in Excel.
  • Le etichette di riservatezza applicate Power BI report e dashboard saranno visibili nelle app per dispositivi mobili Power BI iOS e Android.Sensitivity labels applied on Power BI reports and dashboards will be visible in the Power BI iOS and Android mobile apps.
  • Le etichette di riservatezza vengono mantenute quando un report Power BI viene incorporato in team, SharePoint o un sito Web protetto (anteprima).Sensitivity labels will persist when a Power BI report is embedded in Teams, SharePoint, or a secure website (preview). Questo consente alle organizzazioni di mantenere la classificazione e la protezione durante l'esportazione durante l'incorporamento del contenuto Power BI.This helps organizations maintain classification and protection upon export when embedding Power BI content.
  • L'ereditarietà delle etichette durante la creazione del nuovo contenuto nel servizio Power BI garantisce che l'etichetta applicata a un set di dati nel servizio Power BI venga applicata al nuovo contenuto creato sopra il set di dati.Label inheritance upon the creation of new content in the Power BI service ensures that the label applied on a dataset in the Power BI service will be applied on new content created on top of the dataset.
  • Power bi API di analisi dell'amministratore possono estrarre l'etichetta di riservatezza di un elemento Power bi, abilitando Power bi e INFOSEC gli amministratori a monitorare l'etichettatura nell'servizio Power bi e produrre report esecutivi.Power BI admin scan APIs can extract a Power BI artifact's sensitivity label, enabling Power BI and InfoSec admins to monitor labeling in the Power BI service and produce executive reports.
  • Power BI garantisce che solo gli utenti autorizzati possano modificare o rimuovere etichette con le impostazioni di protezione nel servizio Power BI.Power BI makes sure that only authorized users can change or remove labels with protection settings in the Power BI service.
  • Presto disponibileComing soon
    • Power BI API di amministrazione per l'applicazione di etichette MIP per consentire ai team centrali di etichettare il contenuto nel servizio Power BI a livello di codice.Power BI admin APIs for applying MIP labels to enable central teams to programmatically label content in the Power BI service.
    • Gli amministratori saranno in grado di applicare etichette al contenuto nuovo o modificato con un criterio di etichetta obbligatorio nell'servizio Power BI (anteprima).Admins will be able to enforce applying labels on new or edited content with a mandatory label policy in the Power BI service (preview).
    • Assegnazione automatica di elementi a valle all'interno dell'servizio Power BI.Automatic downstream artifact labeling within the Power BI service. Quando un'etichetta di un set di dati viene applicata o modificata, l'etichetta viene applicata automaticamente a tutto il contenuto downstream connesso a questo artefatto.When a label on a dataset is applied or changed, the label will automatically be applied on all downstream content connected to this artifact.

Per ulteriori informazioni, vedere la documentazione relativa all'etichetta di riservatezza di Microsoft Information Protection in Power bi .See the Microsoft Information Protection sensitivity label documentation in Power BI for additional details.

Microsoft Cloud App Security (MCAS) per Power BIMicrosoft Cloud App Security (MCAS) for Power BI

Microsoft Cloud App Security è uno dei principali broker di sicurezza per l'accesso al mondo, denominato leader nel Magic Quadrant di Gartner per il mercato cloud Access Security Broker (CASB).Microsoft Cloud App Security is one of the world's leading cloud access security brokers, named as leader in Gartner's Magic Quadrant for the Cloud Access Security Broker (CASB) market. Cloud app Security viene usato per proteggere l'uso delle app cloud.Cloud app security is used to secure the use of cloud apps. Consente alle organizzazioni di monitorare e controllare, in tempo reale, sessioni di Power BI rischiose, ad esempio l'accesso utente da dispositivi non gestiti.It enables organizations to monitor and control, in real time, risky Power BI sessions such as user access from unmanaged devices. Gli amministratori della sicurezza possono definire criteri per controllare le azioni dell'utente, ad esempio il download di report con informazioni riservate.Security administrators can define policies to control user actions, such as downloading reports with sensitive information.

Con Cloud App Security, le organizzazioni possono ottenere le funzionalità DLP seguenti:With Cloud App Security, organizations can gain the following DLP capabilities:

  • Impostare i controlli in tempo reale per applicare sessioni utente rischiose in Power BI.Set real-time controls to enforce risky user sessions in Power BI. Se, ad esempio, un utente si connette a Power BI dall'esterno del paese, la sessione può essere monitorata dai controlli in tempo reale di Cloud App Security e le azioni rischiose, ad esempio il download dei dati contrassegnati con un'etichetta di riservatezza "estremamente riservata", possono essere bloccate immediatamente.For example, if a user connects to Power BI from outside of their country, the session can be monitored by Cloud App Security's real-time controls, and risky actions, such as downloading data tagged with a "Highly Confidential" sensitivity label, can be blocked immediately.
  • Esaminare Power BI attività dell'utente con il log attività di Cloud App Security.Investigate Power BI user activity with Cloud App Security's activity log. Il log attività di Cloud App Security include attività Power BI acquisite nel log di controllo di Office 365, che contiene informazioni su tutte le attività di utenti e amministratori, nonché informazioni sulle etichette di riservatezza per le attività rilevanti, ad esempio applica, modifica e Rimuovi etichetta.The Cloud App Security activity log includes Power BI activity as captured in the Office 365 audit log, which contains information about all user and admin activities, as well as sensitivity label information for relevant activities such as apply, change, and remove label. Gli amministratori possono sfruttare i filtri avanzati Cloud App Security e azioni rapide per un'analisi efficace dei problemi.Admins can leverage Cloud App Security's advanced filters and quick actions for effective issue investigation.
  • Creare criteri personalizzati per segnalare l'attività utente sospetta in Power BI.Create custom policies to alert on suspicious user activity in Power BI. La funzionalità relativa ai criteri di attività di Cloud App Security può essere usata per definire regole personalizzate, per facilitare il rilevamento del comportamento dell'utente che devia dalla norma e che può anche agire automaticamente se sembra troppo pericoloso.Cloud App Security's activity policy feature can be leveraged to define your own custom rules, to help you detect user behavior that deviates from the norm, and even possibly act upon it automatically, if it seems too dangerous.
  • Usare il rilevamento delle anomalie predefinite di Cloud App Security.Work with Cloud App Security's built-in anomaly detection. I criteri di rilevamento delle anomalie di Cloud App Security offrono analisi del comportamento utente e apprendimento automatico predefinite, in modo da essere pronti per l'esecuzione del rilevamento avanzato delle minacce nell'ambiente cloud.Cloud App Security's anomaly detection policies provide out-of-the-box user behavioral analytics and machine learning so that you are ready from the outset to run advanced threat detection across your cloud environment. Quando un criterio di rilevamento delle anomalie identifica un comportamento sospetto, viene attivato un avviso di sicurezza.When an anomaly detection policy identifies a suspicious behavior, it triggers a security alert.
  • Power BI ruolo di amministratore nel portale di Cloud App Security.Power BI admin role in the Cloud App Security portal. Cloud App Security fornisce un ruolo di amministratore specifico dell'app che può essere usato per concedere agli amministratori Power BI solo le autorizzazioni necessarie per accedere ai dati rilevanti Power BI nel portale, ad esempio avvisi, utenti a rischio, log attività e altre informazioni correlate Power BI.Cloud App Security provides an app-specific admin role that can be used to grant Power BI admins only the permissions they need to access Power BI-relevant data in the portal, such as alerts, users at risk, activity logs, and other Power BI-related information.

Per ulteriori informazioni, vedere utilizzo dei controlli Microsoft cloud app Security in Power bi .See Using Microsoft Cloud App Security Controls in Power BI for additional details.

Anteprima delle funzionalità di sicurezzaPreview security features

In questo argomento vengono elencate le funzionalità pianificate per il rilascio fino alla 2021 marzo.This topic lists features that are planned to release through March 2021. Poiché in questo argomento vengono elencate le funzionalità che potrebbero non essere ancora state rilasciate, le sequenze temporali di recapito possono variare e le funzionalità proiettate potrebbero essere rilasciate dopo il 2021 marzo oppure non possono essere rilasciate.Because this topic lists features that may not have released yet, delivery timelines may change and projected functionality may be released later than March 2021, or may not be released at all. Per ulteriori informazioni sulle anteprime, vedere le condizioni per i servizi online.For more information, about previews, please review the Online Services Terms.

Bring your own Log Analytics (BYOLA)Bring Your Own Log Analytics (BYOLA)

Bring your own Log Analytics consente l'integrazione tra Power BI e Log Analytics di Azure.Bring Your Own Log Analytics enables integration between Power BI and Azure Log Analytics. Questa integrazione include il motore analitico avanzato di Azure Log Analytics, il linguaggio di query interattivo e i costrutti di Machine Learning predefiniti.This integration includes Azure Log Analytics' advanced analytic engine, interactive query language, and built-in machine learning constructs.

Power BI domande e risposte di sicurezzaPower BI security questions and answers

Di seguito sono riportate domande comuni sulla sicurezza e le relative risposte per Power BI.The following questions are common security questions and answers for Power BI. Sono organizzati in base al momento in cui sono stati aggiunti a questo white paper, per facilitare la possibilità di trovare rapidamente nuove domande e risposte quando questo documento viene aggiornato.These are organized based on when they were added to this white paper, to facilitate your ability to quickly find new questions and answers when this paper is updated. Le domande più recenti vengono aggiunte alla fine dell'elenco.The newest questions are added to the end of this list.

In che modo gli utenti possono connettersi e ottenere l'accesso alle origini dati con Power BI?How do users connect to, and gain access to data sources while using Power BI?

  • Power BI gestisce le credenziali per le origini dati per ogni utente per le credenziali cloud o per la connettività tramite un gateway personale.Power BI manages credentials to data sources for each user for cloud credentials or for connectivity through a personal gateway. Le origini dati gestite da un gateway dati locale possono essere condivise nell'azienda e le autorizzazioni per queste origini dati possono essere gestite dall'amministratore del gateway. Quando si configura un set di dati, l'utente può selezionare una credenziale dal proprio archivio personale o usare un gateway dati locale per usare una credenziale condivisa.Data sources managed by an on-premises data gateway can be shared across the enterprise and permissions to these data sources can be managed by the Gateway Admin. When configuring a dataset, the user is allowed to select a credential from their personal store or use an on-premises data gateway to use a shared credential.

    Nel caso di importazione, un utente stabilisce una connessione basata sull'account di accesso dell'utente e accede ai dati con la credenziale.In the import case, a user establishes a connection based on the user's login and accesses the data with the credential. Dopo la pubblicazione del set di dati in servizio Power BI, Power BI usa sempre le credenziali dell'utente per importare i dati.After the dataset is published to Power BI service, Power BI always uses this user's credential to import data. Una volta importati i dati, la visualizzazione dei dati nei report e nel dashboard non consente l'accesso all'origine dati sottostante.Once data is imported, viewing the data in reports and dashboard does not access the underlying data source. Power BI supporta l'autenticazione Single Sign-On per le origini dati selezionate.Power BI supports single sign-on authentication for selected data sources. Se la connessione è configurata per l'utilizzo di Single Sign-On, le credenziali del proprietario del set di dati vengono utilizzate per la connessione all'origine dati.If the connection is configured to use single sign-on, the dataset owner’s credential is used to connect with the data source.

    Per i report connessi con DirectQuery, l'origine dati è connessa direttamente con una credenziale preconfigurata, per connettersi all'origine dati quando un utente Visualizza i dati, viene utilizzata la credenziale preconfigurata.For reports that are connected with DirectQuery, the data source is connected directly using a pre-configured credential, the pre-configured credential is used to connect to the data source when any user views the data. Se un'origine dati è connessa direttamente tramite Single Sign-On, le credenziali dell'utente corrente vengono utilizzate per la connessione all'origine dati quando l'utente Visualizza i dati.If a data source is connected directly using single sign-on, the current user's credential is used to connect to the data source when the user views the data. Quando si utilizza con Single Sign-On, è possibile implementare Sicurezza a livello di riga (RLS) nell'origine dati e questo consente agli utenti di visualizzare i dati di cui dispongono dei privilegi di accesso.When using with single sign-on, Row Level Security (RLS) can be implemented on the data source, and this allows users to view data they have privileges to access. Quando si esegue la connessione alle origini dati nel cloud, viene utilizzata l'autenticazione Azure AD per Single Sign-On; per le origini dati locali, sono supportati Kerberos, SAML e Azure AD.When the connection is to data sources in the cloud, Azure AD authentication is used for single sign-on; for on-prem data sources, Kerberos, SAML and Azure AD are supported.

    Quando ci si connette con Kerberos, l'UPN dell'utente viene passato al gateway e viene utilizzata la delega vincolata Kerberos, l'utente viene rappresentato e connesso alle rispettive origini dati.When connecting with Kerberos, the user's UPN is passed to the gateway, and using Kerberos constrained delegation, the user is impersonated and connected to the respective data sources. SAML è supportato anche nel gateway per SAP HANA origine dati.SAML is also supported on the Gateway for SAP HANA datasource. Altre informazioni sono disponibili in Panoramica di Single Sign-on per i gateway.More information is available in overview of single sign-on for gateways.

    Se l'origine dati è Azure Analysis Services o Analysis Services locale e viene configurata la Sicurezza a livello di riga (RLS), il servizio Power BI applicherà la sicurezza a livello di riga e gli utenti che non dispongono di credenziali sufficienti per accedere ai dati sottostanti (che potrebbe essere una query utilizzata in un dashboard, un report o un altro elemento dati) non vedranno i dati per cui l'utente non dispone di privilegi sufficienti.If the data source is Azure Analysis Services or on-premises Analysis Services and Row Level Security (RLS) is configured, the Power BI service will apply that row level security, and users who do not have sufficient credentials to access the underlying data (which could be a query used in a dashboard, report, or other data artifact) will not see data for which the user does not have sufficient privileges.

    È possibile usare la sicurezza a livello di riga con Power bi per limitare l'accesso ai dati per gli utenti specificati.Row Level security with Power BI can be used to restrict data access for given users. I filtri limitano l'accesso ai dati a livello di riga ed è possibile definire filtri all'interno del ruolo.Filters restrict data access at the row level, and you can define filters within role.

Come vengono trasferiti i dati in Power BI?How is data transferred to Power BI?

  • Tutti i dati richiesti e trasmessi da Power BI vengono crittografati in transito tramite HTTPS (tranne quando l'origine dati scelta dal cliente non supporta HTTPS) per la connessione dall'origine dati al servizio Power BI.All data requested and transmitted by Power BI is encrypted in transit using HTTPS (except when the data source chosen by the customer does not support HTTPS) to connect from the data source to the Power BI service. Viene stabilita una connessione sicura con il provider di dati e i dati passano attraverso la rete solo dopo che tale connessione è stata stabilita.A secure connection is established with the data provider, and only once that connection is established will data traverse the network.

In che modo Power BI memorizza nella cache i dati dei report, dei dashboard o dei modelli? Tale memorizzazione è sicura?How does Power BI cache report, dashboard, or model data, and is it secure?

  • Quando si accede a un'origine dati, il servizio Power BI segue il processo descritto nella sezione autenticazione a origini dati più indietro in questo documento.When a data source is accessed, the Power BI service follows the process outlined in the Authentication to Data Sources section earlier in this document.

I client memorizzano i dati delle pagine Web nella cache locale?Do clients cache web page data locally?

  • Quando i browser dei client accedono a Power BI, i server Web di Power BI impostano la direttiva Cache-Control su no-store.When browser clients access Power BI, the Power BI web servers set the Cache-Control directive to no-store. La direttiva no-store indica al browser di non memorizzare nella cache la pagina Web visualizzata dall'utente e di non archiviare la pagina Web nella cartella della cache del client.The no-store directive instructs browsers not to cache the web page being viewed by the user, and not to store the web page in the client's cache folder.

Per quanto riguarda la sicurezza basata sui ruoli, la condivisione di report o dashboard e connessioni dati? In che modo funziona in termini di accesso ai dati, visualizzazione del dashboard, accesso ai report o aggiornamento?What about role-based security, sharing reports or dashboards, and data connections? How does that work in terms of data access, dashboard viewing, report access or refresh?

  • Per le origini dati non abilitate per la sicurezza a livello di ruolo, se un dashboard, un report o un modello di dati è condiviso con altri utenti tramite Power BI, gli utenti con cui il dashboard, il report o il modello è condiviso possono visualizzare i dati contenuti e interagire con essi.For non-Role Level Security (RLS) enabled data sources, if a dashboard, report, or data model is shared with other users through Power BI, the data is then available for users with whom it is shared to view and interact with. Power BI non ripete l'autenticazione degli utenti con l'origine dati originaria. Dopo che i dati sono stati caricati in Power BI, l'utente che ha effettuato l'autenticazione con l'origine dati ha la responsabilità di gestire quali altri utenti e gruppi possono visualizzare i dati.Power BI does not re-authenticate users against the original source of the data; once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data.

    Quando si effettuano connessioni dati a un'origine dati che supporta la sicurezza a livello di riga, ad esempio un'origine dati Analysis Services, solo i dati del dashboard vengono memorizzati nella cache Power bi.When data connections are made to an RLS-capable data source, such as an Analysis Services data source, only dashboard data is cached in Power BI. Ogni volta che in Power BI si visualizza o si accede a un report o a un set di dati che usa i dati di un'origine dati abilitata per la sicurezza a livello di ruolo, il servizio Power BI accede all'origine dati per ottenere i dati in base alle credenziali dell'utente. Se le autorizzazioni utente sono sufficienti, i dati vengono caricati nel report o nel modello.Each time a report or dataset is viewed or accessed in Power BI that uses data from the RLS-capable data source, the Power BI service accesses the data source to get data based on the user's credentials, and if sufficient permissions exist, the data is loaded into the report or data model for that user. Se l'autenticazione non riesce, l'utente visualizzerà un errore.If authentication fails, the user will see an error.

    Per ulteriori informazioni, vedere la sezione autenticazione a origini dati più indietro in questo documento.For more information, see the Authentication to Data Sources section earlier in this document.

Gli utenti si connettono continuamente alle stesse origini dati, alcune delle quali richiedono credenziali diverse dalle credenziali del dominio. In che modo è possibile evitare di immettere queste credenziali ogni volta che effettuano una connessione dati?Our users connect to the same data sources all the time, some of which require credentials that differ from their domain credentials. How can they avoid having to input these credentials each time they make a data connection?

  • Power BI offre la funzionalità Power BI Personal Gateway, che consente di creare credenziali per più origini dati diverse e quindi usare automaticamente le credenziali corrette quando si accede a ognuna di tali origini dati.Power BI offers the Power BI Personal Gateway, which is a feature that lets users create credentials for multiple different data sources, then automatically use those credentials when subsequently accessing each of those data sources. Per altre informazioni, vedere Power BI Personal Gateway.For more information, see Power BI Personal Gateway.

Quali porte vengono usate dal gateway dati locale e dal gateway personale? Sono presenti nomi di dominio che devono essere consentiti per finalità di connettività?Which ports are used by on-premises data gateway and personal gateway? Are there any domain names that need to be allowed for connectivity purposes?

  • La risposta dettagliata a questa domanda è disponibile nel collegamento seguente: porte del gatewayThe detailed answer to this question is available at the following link: Gateway ports

Quando si lavora con il gateway dati locale, come vengono usate le chiavi di ripristino e dove vengono archiviate? Per quanto riguarda la gestione delle credenziali sicure?When working with the on-premises data gateway, how are recovery keys used and where are they stored? What about secure credential management?

  • Durante l'installazione e la configurazione del gateway, l'amministratore digita una chiave di ripristino del gateway.During gateway installation and configuration, the administrator types in a gateway Recovery Key. Tale chiave di ripristino viene utilizzata per generare una chiave simmetrica AES complessa.That Recovery Key is used to generate a strong AES symmetric key. Viene creata anche una chiave asimmetrica RSA.An RSA asymmetric key is also created at the same time.

    Le chiavi generate (RSA e AES) vengono archiviate in un file che si trova nel computer locale.Those generated keys (RSA and AES) are stored in a file located on the local machine. Anche questo file è crittografato.That file is also encrypted. Il contenuto del file può essere decrittografato solo da quel computer Windows e solo da quell'account del servizio gateway.The contents of the file can only be decrypted by that particular Windows machine, and only by that particular gateway service account.

    Quando un utente immette le credenziali dell'origine dati nell'interfaccia utente del servizio Power BI, le credenziali vengono crittografate con la chiave pubblica nel browser.When a user enters data source credentials in the Power BI service UI, the credentials are encrypted with the public key in the browser. Il gateway decrittografa le credenziali usando la chiave privata RSA e le crittografa nuovamente con una chiave simmetrica AES prima che i dati vengano archiviati nel servizio Power BI.The gateway decrypts the credentials using the RSA private key and re-encrypts them with an AES symmetric key before the data is stored in the Power BI service. Con questo processo, il servizio Power BI non ha mai accesso ai dati non crittografati.With this process, the Power BI service never has access to the unencrypted data.

Quali protocolli di comunicazione vengono usati dal gateway dati locale e come vengono protetti?Which communication protocols are used by the on-premises data gateway, and how are they secured?

  • Il gateway supporta i due protocolli di comunicazione seguenti:The gateway supports the following two communications protocols:

    • AMQP 1,0 – TCP + TLS: questo protocollo richiede che le porte 443, 5671-5672 e 9350-9354 siano aperte per le comunicazioni in uscita.AMQP 1.0 – TCP + TLS: This protocol requires ports 443, 5671-5672, and 9350-9354 to be open for outgoing communication. Questo protocollo è preferibile, perché ha un overhead di comunicazione più basso.This protocol is preferred, since it has lower communication overhead.

    • HTTPS-WebSocket su HTTPS + TLS: questo protocollo usa solo la porta 443.HTTPS – WebSockets over HTTPS + TLS: This protocol uses port 443 only. L'avvio di WebSocket viene attivato da un unico messaggio HTTP CONNECT.The WebSocket is initiated by a single HTTP CONNECT message. Dopo che il canale è stato stabilito, la comunicazione è essenzialmente TCP + TLS.Once the channel is established, the communication is essentially TCP+TLS. È possibile forzare il gateway a usare questo protocollo modificando un'impostazione descritta nell' articolo Gateway locale.You can force the gateway to use this protocol by modifying a setting described in the on-premises gateway article.

Qual è il ruolo della Rete di distribuzione dei contenuti di Azure in Power BI?What is the role of Azure CDN in Power BI?

  • Come affermato in precedenza, Power BI usa la Rete di distribuzione dei contenuti di Azure per distribuire in modo efficiente i file e i contenuti statici necessari agli utenti in base alle impostazioni locali geografiche.As mentioned previously, Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale. Per un livello di dettaglio maggiore, il servizio Power BI usa più reti di distribuzione dei contenuti per distribuire in modo efficiente i file e i contenuti statici necessari agli utenti tramite la rete Internet pubblica.To go into further detail, the Power BI service uses multiple CDNs to efficiently distribute necessary static content and files to users through the public Internet. I file statici includono download di prodotti (ad esempio Power BI Desktop, gateway dati locale o app Power BI da diversi provider di servizi indipendenti), file di configurazione del browser usati per avviare e stabilire le connessioni successive con il servizio Power BI, nonché la pagina iniziale di accesso protetto a Power BI.These static files include product downloads (such as Power BI Desktop, the on-premises data gateway, or Power BI apps from various independent service providers), browser configuration files used to initiate and establish any subsequent connections with the Power BI service, as well as the initial secure Power BI login page.

    In base alle informazioni specificate durante la connessione iniziale al servizio Power BI, il browser dell'utente contatta la rete di distribuzione dei contenuti di Azure specificata (o, per alcuni file, il WFE) per scaricare la raccolta di file comuni specifici, necessari per consentire l'interazione del browser con il servizio Power BI.Based on information provided during an initial connection to the Power BI service, a user's browser contacts the specified Azure CDN (or for some files, the WFE) to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. La pagina del browser include quindi il token di Azure AD, le informazioni sulla sessione, la posizione del cluster back-end associato e la raccolta di file scaricati dalla rete CDN di Azure e dal cluster WFE, per la durata della sessione di servizio Power BI browser.The browser page then includes the Azure AD token, session information, the location of the associated back-end cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

Per gli oggetti visivi Power BI, Microsoft esegue una valutazione della sicurezza o della privacy del codice visivo personalizzato prima di pubblicare gli elementi nella raccolta?For Power BI visuals, does Microsoft perform any security or privacy assessment of the custom visual code prior to publishing items to the Gallery?

  • No.No. È responsabilità del cliente esaminare il codice dell'oggetto visivo personalizzato per determinare se possa essere ritenuto affidabile.It is the customer's responsibility to review and determine whether custom visual code should be relied upon. L'intero codice dell'oggetto visivo personalizzato viene gestito in un ambiente sandbox per evitare che qualsiasi codice fuori controllo di un oggetto visivo personalizzato possa compromettere il resto del servizio Power BI.All custom visual code is operated in a sandbox environment, so that any errant code in a custom visual does not adversely affect the rest of the Power BI service.

Esistono altri oggetti visivi di Power BI che inviano informazioni all'esterno della rete del cliente?Are there other Power BI visuals that send information outside the customer network?

  • Sì.Yes. Gli oggetti visivi Bing Map ed ESRI trasmettono i dati degli oggetti visivi che usano tali servizi all'esterno del servizio Power BI.Bing Maps and ESRI visuals transmit data out of the Power BI service for visuals that use those services.

Per le app modello, Microsoft esegue una valutazione della sicurezza o della privacy dell'app modello prima di pubblicare gli elementi nella raccolta?For template apps, does Microsoft perform any security or privacy assessment of the template app prior to publishing items to the Gallery?

  • No.No. L'autore dell'app è responsabile del contenuto mentre è responsabilità del cliente esaminare e determinare se considerare attendibile l'autore dell'app modello.The app publisher is responsible for the content while it is the customer's responsibility to review and determine whether to trust the template app publisher.

Sono disponibili app modello in grado di inviare informazioni all'esterno della rete del cliente?Are there template apps that can send information outside the customer network?

  • Sì.Yes. È responsabilità del cliente esaminare l'informativa sulla privacy dell'editore e determinare se installare l'app modello nel tenant.It is the customer's responsibility to review the publisher's privacy policy and determine whether to install the template app on tenant. L'editore è responsabile di informare il cliente sul comportamento e sulle funzionalità dell'app.The publisher is responsible for informing the customer about the app's behavior and capabilities.

Informazioni sulla sovranità dei dati È possibile eseguire il provisioning di tenant in data center dislocati in aree geografiche specifiche, per garantire che i dati non lascino i confini dei paesi?What about data sovereignty? Can we provision tenants in data centers located in specific geographies, to ensure data doesn't leave the country borders?

  • Alcuni clienti di determinate aree geografiche hanno l'opzione di creare un tenant in un cloud nazionale, in cui le operazioni di elaborazione e archiviazione dei dati vengono mantenute separate rispetto a tutti gli altri data center.Some customers in certain geographies have an option to create a tenant in a national cloud, where data storage and processing is kept separate from all other datacenters. I cloud nazionali sono caratterizzati da un tipo di sicurezza leggermente diverso perché il servizio Power BI del cloud nazionale viene eseguito da un trustee dei dati separato per conto di Microsoft.National clouds have a slightly different type of security, since a separate data trustee operates the national cloud Power BI service on behalf of Microsoft.

    In alternativa, i clienti possono anche configurare un tenant in un'area specifica.Alternatively, customers can also set up a tenant in a specific region. Tuttavia, tali tenant non dispongono di un trustee dei dati separato da Microsoft.However, such tenants do not have a separate data trustee from Microsoft. Il prezzo del servizio Power BI per i cloud nazionali è diverso da quello del servizio a pagamento disponibile a livello generale.Pricing for national clouds is different from the generally available commercial Power BI service. Per altre informazioni sulla disponibilità del servizio Power BI per i cloud nazionali, vedere Cloud nazionali di Power BI.For more information about Power BI service availability for national clouds, see Power BI national clouds.

In che modo Microsoft considera le connessioni per i clienti che hanno Power BI Premium sottoscrizioni? Le connessioni sono diverse da quelle stabilite per la servizio Power BI non Premium?How does Microsoft treat connections for customers who have Power BI Premium subscriptions? Are those connections different than those established for the non-Premium Power BI service?

  • Le connessioni stabilite per i clienti con sottoscrizioni Power BI Premium implementano un processo di autorizzazione Business-to-business (B2B) di Azure , usando Azure ad per abilitare il controllo di accesso e l'autorizzazione.The connections established for customers with Power BI Premium subscriptions implement an Azure Business-to-Business (B2B) authorization process, using Azure AD to enable access control and authorization. Power BI gestisce le connessioni provenienti dai sottoscrittori di Power BI Premium verso le risorse di Power BI Premium esattamente come gestisce qualsiasi altro utente di Azure AD.Power BI handles connections from Power BI Premium subscribers to Power BI Premium resources just as it would any other Azure AD user.

Commenti e suggerimentiFeedback and suggestions

I commenti e suggerimenti degli utenti sono molto apprezzati.We appreciate your feedback. Si è interessati a ricevere suggerimenti per miglioramenti, aggiunte o chiarimenti a questo white paper o altro contenuto correlato a Power BI.We're interested in hearing any suggestions you have for improvement, additions, or clarifications to this white paper, or other content related to Power BI. Inviare i propri suggerimenti a pbiss@microsoft.com .Send your suggestions to pbiss@microsoft.com.

Risorse aggiuntiveAdditional resources

Per altre informazioni su Power BI, vedere le risorse seguenti.For more information on Power BI, see the following resources.