Power BI のセキュリティPower BI Security

Power BI のセキュリティについて詳しくは、Power BI のセキュリティに関するホワイト ペーパーをご覧くださいFor a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Power BI サービスは、Azure 上に構築されています。これは、Microsoft のクラウド コンピューティングのインフラストラクチャとプラットフォームです。The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Power BI サービスのアーキテクチャは、Web フロントエンド (WFE) クラスターとバックエンド クラスターという 2 つのクラスターに基づいています。The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. WFE クラスターでは、Power BI サービスへの最初の接続と認証を管理し、認証が完了した後、以降のユーザーとの対話はすべてバックエンドで処理されます。The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI では、Azure Active Directory (AAD) を使用してユーザー ID を格納および管理し、データとメタデータの格納については、それぞれ Azure BLOB と Azure SQL Database を使用して管理します。Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Power BI のアーキテクチャPower BI Architecture

Power BI のそれぞれのデプロイは、Web フロントエンド (WFE) クラスターと バックエンド クラスターという 2 つのクラスターで構成されています。Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

WFE クラスターは、Power BI への最初の接続と認証のプロセスを管理します。AAD を使用してクライアントを認証し、Power BI サービスへのそれ以降のクライアント接続に対してトークンを提供します。The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. また、Power BI は、認証プロセスと静的コンテンツやファイルのダウンロードのために最も近いデータセンターにユーザー トラフィックを送信するために Azure Traffic Manager (ATM) も使用します。この送信先は、接続しようとしているクライアントの DNS レコードに基づいて決定されます。Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI は、Azure Content Delivery Network (CDN) を使用して、必要な静的コンテンツとファイルを地理的なロケールに基づいてユーザーに効率的に配布します。Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

バックエンド クラスターは、認証されたクライアントが Power BI サービスと対話する方法を決定します。The Back-End cluster is how authenticated clients interact with the Power BI service. バックエンド クラスターでは、視覚エフェクト、ユーザー ダッシュボード、データセット、レポート、データ ストレージ、データ接続、データの更新をはじめ、Power BI サービスと対話するためのさまざまな側面を管理します。The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. ゲートウェイ ロール は、ユーザーの要求と Power BI サービス間のゲートウェイとして機能します。The Gateway Role acts as a gateway between user requests and the Power BI service. ユーザーは、 ゲートウェイ ロール以外のすべてのロールと直接対話することはありません。Users do not interact directly with any roles other than the Gateway Role. ゲートウェイ ロール を最終的に処理するのは、 Azure API Managementです。Azure API Management will eventually handle the Gateway Role.

重要

Azure API Management (APIM) ロールとゲートウェイ (GW) ロールのみが、パブリック インターネットを使用してアクセスされることに注意してください。It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. これらのロールは、認証、承認、DDoS に対する保護、スロットル、負荷分散、ルーティングなどの機能を提供します。They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

データ ストレージのセキュリティData Storage Security

Power BI では、データの格納と管理に 2 つの主要なリポジトリが使用されます。ユーザーからアップロードされるデータは通常、Azure BLOB ストレージに送信され、システムそのものに関するすべてのメタデータとアーティファクトは Azure SQL Database に格納されます。Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

上記のバックエンド クラスターの図で、点線は、ユーザーからアクセス可能なコンポーネント (点線の左側) と、システムからのみアクセスできるロールという 2 つのコンポーネントの境界線を明確に示しています。The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. 認証されたユーザーが Power BI サービスに接続したとき、クライアントからの接続とすべての要求はゲートウェイ ロールに受け入れられ、そのロールで管理されます (最終的には Azure API Management で処理されます)。次に、このロールがユーザーに代わって Power BI サービスの残りの部分と対話します。When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. たとえば、クライアントがダッシュボードを表示しようとすると、ゲートウェイ ロールがその要求を受け入れ、それとは別にプレゼンテーション ロールに要求を送り、ブラウザーでダッシュボードを表示するために必要なデータを取得します。For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

ユーザーの認証User Authentication

Power BI では、Power BI サービスにサインインするユーザーを Azure Active Directory (AAD) を使用して認証します。その後、認証が必要なリソースにユーザーがアクセスしようとするたびに、Power BI ログイン資格情報が使用されます。Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. ユーザーは、Power BI アカウントを確立するために使用されたメール アドレスを使って、Power BI サービスにサインインします。Power BI ではそのログイン メールを有効なユーザー名として使用します。このユーザー名は、ユーザーがデータに接続しようとするたびにリソースに渡されます。Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. その後、有効なユーザー名ユーザー プリンシパル名 (UPN) にマップされ、認証の適用対象となる、関連付けられた Windows ドメイン アカウントに解決されます。The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Power BI のログインに職場の電子メール (david@contoso.com など) を使用する組織では、"有効なユーザー名" から UPN へのマッピングは簡単です。For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Power BI のログインに職場の電子メール (david@contoso.onmicrosoft.com など) を使用しない組織では、AAD とオンプレミスの資格情報との間のマッピングが適切に機能するために、ディレクトリ同期が必要になります。For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

また、Power BI のプラットフォーム セキュリティには、マルチテナント環境のセキュリティ、ネットワーク セキュリティ、その他の AAD ベースのセキュリティ対策を追加する機能も含まれています。Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

データとサービスのセキュリティData and Service Security

詳細については、Microsoft セキュリティ センターを参照してください。For more information, please visit the Microsoft Trust Center.

この記事で前述したとおり、ユーザーの Power BI ログインは、資格情報の UPN にマッピングするためにオンプレミスの Active Directory サーバーで使用されます。As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. ただし、重要な点として、ユーザーは共有するデータに関して責任があることに注意してください。ユーザーが自分の資格情報を使用してデータ ソースに接続した場合に、そのデータに基づいてレポート (またはダッシュボードやデータセット) を共有すると、そのレポートを共有するユーザーは元のデータ ソースに対して認証されることがないため、レポートへのアクセスが許可されます。However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

オンプレミス データ ゲートウェイを使用した SQL Server Analysis Services への接続は例外です。ダッシュボードは Power BI にキャッシュされますが、基になるレポートまたはデータセットへのアクセスがあると、レポート (またはデータセット) にアクセスしようとしているユーザーの認証が開始されます。そのため、データにアクセスするための十分な資格情報を持つユーザーにのみデータへのアクセス許可が与えられます。An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. 詳細については、「オンプレミス データ ゲートウェイの詳細」をご覧ください。For more information, see On-premises data gateway deep dive.

TLS バージョンの使用の強制Enforcing TLS version usage

ネットワークおよび IT 管理者は、ネットワーク上のセキュリティで保護された通信に対する現在の TLS (Transport Layer Security) の使用を強制できます。Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows では、Microsoft Schannel プロバイダーを介して TLS バージョンがサポートされます (TLS Schannel SSP に関する記事を参照)。Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

管理上の理由でレジストリ キーを設定することで、このように強制できます。This enforcement can be done by administratively setting registry keys. 強制については、AD FS での SSL プロトコルの管理に関する記事を参照してください。Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop では、これらの記事で説明されているレジストリ キー設定が優先され、また、存在する場合はこれらのレジストリ キー設定に基づいて許可される TLS のバージョンを使用して作成された接続のみが優先されます。Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

これらのレジストリ キーの設定については詳しくは、TLS レジストリ設定に関する記事を参照してください。For more information about setting these registry keys, see the TLS Registry Settings article.