Beveiliging van Power BIPower BI Security

Lees het technische document Beveiliging van Power BI voor een gedetailleerde uitleg van Power BI-beveiliging.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

De Power BI-service is gebaseerd op Azure, een cloudcomputinginfrastructuur en -platform van Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. De Power BI-service-architectuur is gebaseerd op twee clusters: het cluster Web Front End (WFE) en het cluster Back-End.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Het cluster WFE beheert de eerste verbinding en verificatie met de Power BI-service. Eenmaal geverifieerd, verwerkt de Back-End alle daaropvolgende gebruikersinteracties.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI maakt gebruik van Azure Active Directory (AAD) om gebruikers-id's op te slaan en beheren en beheert de opslag van gegevens en metagegevens met respectievelijk Azure Blob en Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architectuur van Power BIPower BI Architecture

Elke Power BI-implementatie bestaat uit twee clusters: een WFE-cluster (Web Front End) en een Back-Endcluster.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

Het cluster WFE beheert het eerste verbindings- en verificatieproces voor Power BI. Het maakt hierbij gebruik van AAD om clients te verifiëren en tokens te leveren voor volgende clientverbindingen met de Power BI-service.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI gebruikt ook de Azure Traffic Manager (ATM) om gebruikersverkeer te leiden naar het dichtstbijzijnde datacentrum, dat wordt bepaald door het DNS-record van de client die probeert verbinding te maken, voor het verificatieproces en om statische inhoud en bestanden te downloaden.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI gebruikt het Azure Content Delivery Network (CDN) om de benodigde statische inhoud en bestanden op een efficiënte manier te distribueren naar gebruikers op basis van geografische landinstelling.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Diagram van de Power BI-architectuur voor het cluster Web Front End.

Via het cluster Back-End communiceren geverifieerde clients met de Power BI-service.The Back-End cluster is how authenticated clients interact with the Power BI service. Het cluster Back-End beheert visualisaties, gebruikersdashboards, gegevenssets, rapporten, gegevensopslag, gegevensverbindingen, het vernieuwen van gegevens en andere aspecten van de interactie met de Power BI-service.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. De Gatewayrol fungeert als een gateway tussen aanvragen van gebruikers en de Power BI-service.The Gateway Role acts as a gateway between user requests and the Power BI service. Gebruikers werken niet rechtstreeks met rollen, behalve met de Gatewayrol.Users do not interact directly with any roles other than the Gateway Role. Azure API Management gaat uiteindelijk de Gatewayrol vervullen.Azure API Management will eventually handle the Gateway Role.

Diagram van de Power BI-architectuur voor het cluster Web Back End.

Belangrijk

Het is belangrijk om aan te geven dat alleen Azure API Management (APIM) en Gateway (GW)-rollen toegankelijk zijn via het openbare internet.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Ze bieden verificatie, autorisatie, DDoS-beveiliging, beperking, taakverdeling, routering en andere mogelijkheden.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Beveiliging voor gegevensopslagData Storage Security

Power BI maakt gebruik van twee primaire opslagplaatsen om gegevens op te slaan en te beheren: gegevens van gebruikers die zijn geüpload worden meestal verzonden naar Azure BLOB-opslag. Alle metagegevens, alsmede artefacten voor het systeem zelf, worden opgeslagen in Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

De stippellijn in de bovenstaande afbeelding van het cluster Back-End verduidelijkt de grens tussen de enige twee onderdelen die toegankelijk zijn voor gebruikers (links van de stippellijn) en de rollen die alleen toegankelijk zijn voor het systeem.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Wanneer een geverifieerde gebruiker verbinding maakt met de Power BI-Service, wordt de verbinding en elke aanvraag van de client geaccepteerd en beheerd door de Gatewayrol (wordt op termijn verwerkt door Azure API Management), die vervolgens namens de gebruiker communiceert met de rest van de Power BI-Service.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Wanneer een client bijvoorbeeld probeert een dashboard weer te geven, accepteert de Gatewayrol die aanvraag en stuurt vervolgens afzonderlijk een aanvraag naar de Presentatierol om de gegevens op te halen die de browser nodig heeft om het dashboard weer te geven.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Verificatie van de gebruikerUser Authentication

Power BI maakt gebruik van Azure Active Directory (AAD) om gebruikers te verifiëren die zich aanmelden bij de Power BI-service en gebruikt vervolgens de Power BI-aanmeldingsreferenties wanneer een gebruiker probeert resources te openen waarvoor verificatie is vereist.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Gebruikers melden zich aan bij de Power BI-service met het e-mailadres dat is gebruikt om hun Power BI-account in te stellen. Power BI gebruikt dat aanmeldadres als de effectieve gebruikersnaam die wordt doorgegeven aan resources wanneer een gebruiker verbinding maakt met gegevens.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. De effectieve gebruikersnaam wordt vervolgens toegewezen aan een User Principal Name (UPN) en omgezet naar het bijbehorende Windows-domeinaccount, op basis waarvan de verificatie moet worden toegepast.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

Voor organisaties die zakelijke e-mailadressen gebruikten voor aanmelding bij Power BI (zoals david@contoso.com), is de toewijzing van effectieve gebruikersnaam naar UPN eenvoudig.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Voor organisaties die geen zakelijke e-mailadressen gebruikten voor aanmelding bij Power BI (zoals david@contoso.onmicrosoft.com), is voor toewijzing tussen AAD en on-premises referenties vereist dat adreslijstsynchronisatie goed werkt.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

De platformbeveiliging voor Power BI omvat ook de multitenant-omgevingsbeveiliging, netwerkbeveiliging en de mogelijkheid om extra op AAD gebaseerde beveiligingsmaatregelen toe te voegen.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Gegevens- en servicebeveiligingData and Service Security

Raadpleeg het Vertrouwenscentrum van Microsoft voor meer informatie.For more information, please visit the Microsoft Trust Center.

Zoals eerder in dit artikel werd beschreven, wordt de Power BI-aanmelding van een gebruiker gebruikt door on-premises Active Directory-servers om toe te wijzen aan een UPN voor referenties.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Het is echter belangrijk om op te merken dat gebruikers verantwoordelijk zijn voor de gegevens die ze delen: als een gebruiker met hun referenties verbinding maakt met gegevensbronnen, en vervolgens een rapport (of dashboard of gegevensset) op basis van die gegevens deelt, zijn gebruikers met wie het dashboard is gedeeld, niet geverifieerd tegen de oorspronkelijke gegevensbron en hebben ze toegang tot het rapport.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Een uitzondering vormt verbindingen met SQL Server Analysis Services met behulp van de on-premises gegevensgateway; dashboards worden in de cache geplaatst in Power BI, maar toegang tot onderliggende rapporten of gegevenssets start verificatie voor de gebruiker die probeert het rapport (of de gegevensset) te openen en toegang wordt alleen verleend als de gebruiker voldoende machtigingen heeft om toegang te krijgen tot de gegevens.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Zie Deep dive - On-premises gegevensgateway voor meer informatie.For more information, see On-premises data gateway deep dive.

Gebruik van TLS-versie afdwingenEnforcing TLS version usage

Netwerk- en TLS-beheerders kunnen afdwingen dat de huidige TLS (Transport Layer Security) moet worden gebruikt voor alle beveiligde communicatie in het netwerk.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows biedt ondersteuning voor TLS-versies boven de Microsoft Schannel Provider, zoals wordt beschreven in het artikel over TLS Schannel SSP.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

De beheerder kan dit afdwingen door registersleutels in te stellen.This enforcement can be done by administratively setting registry keys. Afdwingen wordt beschreven in het artikel over het beheren van SSL-protocollen in AD FS.Enforcement is described in the Managing SSL Protocols in AD FS article.

In Power BI Desktop worden de instellingen voor registersleutels gerespecteerd die in dit artikel beschreven staan, en alleen gemaakte verbindingen die de toegestane TLS-versie gebruiken, gebaseerd op deze registerinstellingen.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Zie het artikel TLS-registerinstellingen voor meer informatie over het instellen van deze registersleutels.For more information about setting these registry keys, see the TLS Registry Settings article.