Sicurezza di Power BIPower BI Security

Per una spiegazione dettagliata sulla sicurezza di Power BI, scaricare il white paper sulla sicurezza di Power BI:For a detailed explanation of Power BI security, please download the Power BI Security whitepaper:

Il servizio Power BI si basa su Azure, cioè l'infrastruttura e piattaforma di cloud computing di Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. L'architettura del servizio Power BI è basata su due cluster: il cluster Web Front End (WFE) e il cluster Back End .The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back End cluster. Il cluster WFE è responsabile della connessione e dell'autenticazione iniziale al servizio Power BI e, dopo l'autenticazione, il cluster Back End gestisce tutte le successive interazioni con l'utente.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. Power BI usa Azure Active Directory (AAD) per archiviare e gestire le identità degli utenti e gestisce l'archiviazione di dati e metadati usando rispettivamente l'archivio BLOB di Azure e il Database SQL di Azure.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architettura di Power BIPower BI Architecture

Ogni distribuzione di Power BI è costituita da due cluster: un cluster Web Front End (WFE) e un cluster Back End .Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back End cluster.

Il cluster WFE gestisce il processo di autenticazione e connessione iniziale per Power BI, usando AAD per autenticare i client e fornire i token per le successive connessioni del client al servizio Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI usa anche Gestione traffico di Azure per indirizzare il traffico utente al data center più vicino, determinato dal record DNS del client che sta provando a connettersi, per il processo di autenticazione e per scaricare il contenuto e i file statici.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI usa la Rete di distribuzione dei contenuti di Azure per distribuire in modo efficiente i necessari file e contenuti statici agli utenti in base alle impostazioni locali geografiche.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Il cluster Back End permette ai client autenticati di interagire con il servizio Power BI.The Back End cluster is how authenticated clients interact with the Power BI service. Il cluster Back End gestisce le visualizzazioni, i dashboard utente, i set di dati, i report, l'archiviazione dei dati, le connessioni dati, l'aggiornamento dei dati e altri aspetti dell'interazione con il servizio Power BI.The Back End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Il ruolo Gateway funge da gateway tra le richieste degli utenti e il servizio Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Gli utenti interagiscono direttamente solo con il ruolo Gateway.Users do not interact directly with any roles other than the Gateway Role. Gestione API di Azure gestirà infine il ruolo Gateway.Azure API Management will eventually handle the Gateway Role.

Importante

È fondamentale notare che solo i ruoli Gestione API di Azure e Gateway sono accessibili attraverso la rete Internet pubblica.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Forniscono l'autenticazione, l'autorizzazione, la protezione DDoS, la limitazione delle richieste, il bilanciamento del carico, il routing e altre funzionalità.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Sicurezza dell'archiviazione datiData Storage Security

Power BI usa due repository principali per l'archiviazione e la gestione dei dati: i dati caricati dagli utenti in genere vengono inviati all'archiviazione BLOB di Azure e tutti i metadati, nonché gli elementi per il sistema stesso, vengono archiviati nel Database SQL di Azure.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

La linea tratteggiata nell'immagine del cluster Back End sopra illustrata indica il limite tra gli unici due componenti che sono accessibili dagli utenti (a sinistra della linea tratteggiata) e i ruoli che sono accessibili solo dal sistema.The dotted line in the Back End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Quando un utente autenticato si connette al servizio Power BI, la connessione e qualsiasi richiesta del client vengono accettate e gestite dal ruolo Gateway (e alla fine gestite da Gestione API di Azure), che a sua volta interagisce per conto dell'utente con il resto del servizio Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Ad esempio, quando un client prova a visualizzare un dashboard, il ruolo Gateway accetta la richiesta e quindi invia separatamente una richiesta al ruolo Presentation per recuperare i dati necessari a eseguire il rendering del dashboard nel browser.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Autenticazione dell'utenteUser Authentication

Power BI usa Azure Active Directory (AAD) per autenticare gli utenti che eseguono l'accesso al servizio Power BI e, a sua volta, usa le credenziali di accesso di Power BI ogni volta che un utente prova ad accedere a risorse che richiedono l'autenticazione.Power BI uses Azure Active Directory (AAD) to authenticate users who login to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempt to resources that require authentication. Gli utenti eseguono l'accesso al servizio Power BI usando l'indirizzo di posta elettronica impiegato per stabilire il proprio account di Power BI; Power BI usa il messaggio di posta elettronica di accesso come nome utente effettivo, che viene quindi passato alle risorse ogni volta che un utente prova a connettersi ai dati.Users login to the Power BI service using the email address used to establish their Power BI account; Power BI uses the that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Il nome utente effettivo viene quindi mappato a un nome dell'entità utente (UPN) e risolto con l'account di dominio di Windows associato, a cui viene applicata l'autenticazione.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Per le organizzazioni che usavano account di posta elettronica aziendali per eseguire l'accesso a Power BI (ad esempio david@contoso.com, il nome utente effettivo) il mapping UPN è diretto.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Per le organizzazioni che non usavano account di posta elettronica aziendali per eseguire l'accesso a Power BI, ad esempio david@contoso.onmicrosoft.com, il mapping tra AAD e le credenziali locali richiede la sincronizzazione delle directory per il corretto funzionamento.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

La sicurezza della piattaforma per Power BI include anche la sicurezza dell'ambiente multi-tenant, la sicurezza delle reti e la possibilità di aggiungere misure di sicurezza aggiuntive basate su AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Sicurezza di dati e serviziData and Service Security

Per altre informazioni, visitare il Centro protezione Microsoft.For more information, please visit the Microsoft Trust Center.

Come descritto in precedenza in questo articolo, l'accesso di un utente a Power BI viene usato dai server di Active Directory locali per eseguire il mapping a un UPN per le credenziali.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Tuttavia, è importante notare che gli utenti sono responsabili per i dati che condividono: se un utente si connette alle origini dati usando le proprie credenziali e quindi condivide un report (o un dashboard o un set di dati) in base a tali dati, gli utenti con cui condivide il dashboard non vengono autenticati rispetto all'origine dati originale e avranno l'accesso al report.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using her credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Un'eccezione riguarda le connessioni a SQL Server Analysis Services con il gateway dati locale. I dashboard vengono memorizzati nella cache in Power BI, ma l'accesso ai report o ai set di dati sottostanti avvia l'autenticazione per l'utente che prova ad accedere al report o al set di dati e viene concesso solo se l'utente ha credenziali sufficienti per accedere ai dati.An exception is connections to SQL Server Analysis Services using the on-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiate authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Per altre informazioni, vedere Analisi approfondita del gateway dati locale.For more information, see On-premises data gateway deep dive.