Power BI-sikkerhet

Hvis du vil ha en detaljert forklaring av Power BI-sikkerhet, kan du lese hvitboken Power BI-sikkerhet.

Power BI-tjenesten er bygd på Azure, som er Microsofts databehandlingsinfrastruktur og plattform i skyen. Power BI-tjenestens arkitektur er basert på to klynger – nettfrontserver-klyngen og serverdel-klyngen. Nettfrontserverklyngen behandler innledende tilkobling og godkjenning til Power BI-tjenesten, og etter godkjenning håndterer serverdelen alle påfølgende brukersamhandlinger. Power BI bruker Azure Active Directory (AAD) til å lagre og administrere brukeridentiteter og administrerer lagring av data og metadata ved hjelp av henholdsvis Azure BLOB og Azure SQL Database.

Arkitekturen i Power BI

Hver Power BI-distribusjon består av to klynger – en nettfrontserver-klynge og en serverdel-klynge.

Nettfrontserver-klyngen administrerer den innledende tilkoblingen og godkjenningsprosessen for Power BI ved hjelp av AAD, som godkjenner klienter og gir tokener til påfølgende klienttilkoblinger til Power BI-tjenesten. Power BI bruker også Azure Traffic Manager (ATM) til å rute brukertrafikken til det nærmeste datasenteret, bestemt av DNS-posten til klienten som prøver å koble til, til godkjenningsprosessen og til å laste ned statisk innhold og filer. Power BI bruker Azure Content Delivery Network (CDN) til å effektivt distribuere nødvendig statisk innhold og filer til brukere basert på geografisk nasjonal innstilling.

Diagram som viser Power BI-arkitektur for webfront-klynge.

Serverdel-klyngen er måten godkjente klienter samhandler med Power BI-tjenesten på. Serverdel-klyngen administrerer visualiseringer, brukeres instrumentbord, datasett, rapporter, datalagring, datatilkoblinger, oppdatering av data og andre aspekter ved samhandling med Power BI-tjenesten. Gateway-rollen fungerer som en gateway mellom brukerforespørsler og Power BI-tjenesten. Brukere kommuniserer ikke direkte med noen andre roller enn Gateway-rollen. Azure API Management vil til slutt håndtere Gateway-rollen.

Diagram som viser Power BI-arkitektur for webserverdel-klynge.

Viktig!

Det er viktig å være oppmerksom på at bare rollene Azure API Management (APIM) og Gateway (GW) er tilgjengelige via offentlig Internett. De gir godkjenning, autorisasjon, DDoS-beskyttelse, begrensing, belastningsfordeling, ruting og andre funksjoner.

Sikkerhet for datalagring

Power BI bruker to primære repositorier for lagring og administrasjon av data: data som lastes opp fra brukere, sendes vanligvis til Azure Blob Storage, og alle metadata i tillegg til artefakter for selve systemet lagres i azure SQL Database.

Den prikkede linjen i bildet av serverdel-klyngen ovenfor angir grensen mellom de to eneste komponentene som er tilgjengelige for brukere (til venstre for den prikkede linjen), og roller som bare er tilgjengelige for systemet. Når en godkjent bruker kobler til Power BI-tjenesten, blir tilkoblingen samt alle forespørsler av klienten godkjent og administrert av Gateway-rollen (som til slutt håndteres av Azure API Management), som så samhandler på brukerens vegne med resten av Power BI-tjenesten. Når for eksempel en klient prøver å vise et instrumentbord, godtar Gateway-rollen forespørselen og sender separat en forespørsel til presentasjonsrollen om å hente dataene som kreves av nettleseren for å gjengi instrumentbordet.

Brukergodkjenning

Power BI bruker Azure Active Directory (AAD) til å godkjenne brukere som logger på Power BI-tjenesten, og i sin tur bruker påloggingslegitimasjonen for Power BI når en bruker prøver å få tilgang til ressurser som krever godkjenning. Brukere logger på Power BI-tjenesten med e-postadressen som ble brukt til å etablere Power BI-kontoen. Power BI bruker den e-postadressen som det effektive brukernavnet, som så sendes til ressurser når en bruker prøver å koble til data. Det effektive brukernavnet tilordnes deretter til et brukerhovednavn (User Principal Name – UPN)og løses til den tilknyttede domenekontoen i Windows, der godkjenning brukes.

For organisasjoner som brukte jobb-e-postadresser til pålogging i Power BI (for eksempel david@contoso.com), er tilordningen av effektivt brukernavn til UPN ukomplisert. For organisasjoner som ikke brukte jobb-e-postadresser til pålogging i Power BI (for eksempel david@contoso.onmicrosoft.com), krever tilordning mellom AAD og lokal legitimasjon katalogsynkronisering for å fungere.

Plattform-sikkerhet for Power BI inkluderer også sikkerhet i miljø med flere tenanter, nettverkssikkerhet og muligheten til å legge til flere AAD-baserte sikkerhetstiltak.

Data- og tjenestesikkerhet

Hvis du vil ha mer informasjon, kan du gå til Microsoft Trust Center.

Som beskrevet tidligere i denne artikkelen, tilordnes en brukers Power BI-pålogging til en UPN av lokale Active Directory-servere for å få legitimasjon. Det er imidlertid viktig å være oppmerksom på at brukere er ansvarlige for dataene de deler: Hvis en bruker kobler til datakilder ved hjelp av legitimasjonen sin, og deretter deler en rapport (eller et instrumentbord eller datasett) basert på disse dataene, blir ikke brukere som instrumentbordet deles med, godkjent mot den opprinnelige datakilden, og får tilgang til rapporten.

Et unntak er tilkoblinger til SQL Server Analysis Services ved hjelp av lokal datagateway. Instrumentbord blir hurtigbufret i Power BI, men tilgangen til underliggende rapporter eller datasett starter godkjenning for brukeren som prøver å hente rapporten (eller datasettet), og tilgangen blir bare gitt hvis brukeren har tilstrekkelige rettigheter til dataene. Hvis du vil ha mer informasjon, kan du se I dybden om lokal datagateway.

Fremtving bruk av TLS-versjon

Nettverks- og IT-administratorer kan fremtvinge kravet om å bruke gjeldende TLS (Transport Layer Security) for en hvilken som helst sikker kommunikasjon på nettverket. Windows gir støtte for TLS-versjoner via Microsoft Schannel Provider, som beskrevet i artikkelen TLS Schannel SSP.

Denne håndhevelsen kan utføres ved å angi registernøkler administrativt. Håndhevelse er beskrevet i artikkelen Administrasjon av SSL-protokoller i AD FS.

Power BI Desktop ivaretar viktige registerinnstillinger som beskrives i disse artiklene, og kun opprettede tilkoblinger som bruker den tillatte TLS-versjonen som er basert på disse registerinnstillingene, når dette er aktuelt.

Hvis du vil ha mer informasjon om hvordan du angir disse registernøklene, kan du se artikkelen TLS-registerinnstillinger.