Whitepaper Power BI-beveiligingPower BI security whitepaper

Samen vatting: Power BI is een online software service (SaaSof software als een service) van micro soft waarmee u eenvoudig en snel Self-Service Business Intelligence-Dash boards, rapporten, gegevens sets en visualisaties kunt maken.Summary: Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Met Power BI kunt u verbinding maken met veel verschillende gegevensbronnen, gegevens via deze verbindingen combineren en vormgeven, en vervolgens rapporten en dashboards maken die met anderen kunnen worden gedeeld.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Schrijver: David IsemingerWriter: David Iseminger

Technische revisoren: Pedram Rezaei, Cristian Petculescu, Siva Harinath, Tod Personeelsing, Haydn Richardson, Adam Wilson, ben Childs, Robert Bruckner, Sergei Gundorov, Kasper de jongeTechnical Reviewers: Pedram Rezaei, Cristian Petculescu, Siva Harinath, Tod Manning, Haydn Richardson, Adam Wilson, Ben Childs, Robert Bruckner, Sergei Gundorov, Kasper de Jonge

Van toepassing op: Power BI SaaS, Power BI Desktop, Power BI Embedded Power BI PremiumApplies to: Power BI SaaS, Power BI Desktop, Power BI Embedded, Power BI Premium

Notitie

U kunt dit technisch document opslaan of afdrukken door afdrukken te selecteren in uw browser en vervolgens Opslaan als PDFte selecteren.You can save or print this whitepaper by selecting Print from your browser, then selecting Save as PDF.

InleidingIntroduction

Power bi is een online software service (_SaaS_of software als een service) van micro soft waarmee u eenvoudig en snel Self-Service Business Intelligence-Dash boards, rapporten, gegevens sets en visualisaties kunt maken.Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Met Power BI kunt u verbinding maken met veel verschillende gegevensbronnen, gegevens via deze verbindingen combineren en vormgeven, en vervolgens rapporten en dashboards maken die met anderen kunnen worden gedeeld.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

De Power BI-service is onderworpen aan de Microsoft Online Services-voorwaarden en de Microsoft Enterprise-privacyverklaring.The Power BI service is governed by the Microsoft Online Services Terms, and the Microsoft Enterprise Privacy Statement. Raadpleeg de voorwaarden met betrekking tot de gegevensverwerkingslocatie in de Microsoft Online Services-voorwaarden voor informatie over de locatie waar de gegevens worden verwerkt.For the location of data processing, refer to the Location of Data Processing terms in the Microsoft Online Services Terms. Het Microsoft Vertrouwenscentrum is de primaire resource voor nalevingsinformatie met betrekking tot Power BI.For compliance information, the Microsoft Trust Center is the primary resource for Power BI. Het Power BI-team doet er alles aan om klanten de nieuwste innovaties en productiviteit te bieden.The Power BI team is working hard to bring its customers the latest innovations and productivity. Power BI bevindt zich momenteel in tier D van het Microsoft 365 compliantie raamwerk.Power BI is currently in Tier D of the Microsoft 365 Compliance Framework. Meer informatie over naleving in het micro soft vertrouwens centrum.Learn more about compliance in the Microsoft Trust Center.

Dit artikel bevat informatie over Power BI-beveiliging aan de hand van een uitleg over de Power BI-architectuur. Er wordt uitgelegd hoe gebruikers worden geverifieerd bij Power BI en hoe gegevensverbindingen tot stand worden gebracht. Vervolgens wordt beschreven hoe met de Power BI-service gegevens worden opgeslagen en verplaatst.This article describes Power BI security by providing an explanation of the Power BI architecture, then explaining how users authenticate to Power BI and data connections are established, and then describing how Power BI stores and moves data through the service. De laatste sectie is gewijd aan vragen met betrekking tot beveiliging, waarop tevens de antwoorden worden gegeven.The last section is dedicated to security-related questions, with answers provided for each.

Architectuur van Power BIPower BI Architecture

De Power BI-service is gebaseerd op Azure, het cloudcomputingplatform van Microsoft.The Power BI service is built on Azure, which is Microsoft's cloud computing platform. Power BI wordt momenteel geïmplementeerd in veel datacenters over de hele wereld. Er zijn veel actieve implementaties beschikbaar gesteld aan klanten in de regio's die door deze datacenters worden bediend. Daarnaast zijn er even veel passieve implementaties, die als back-up fungeren voor alle actieve implementaties.Power BI is currently deployed in many datacenters around the world – there are many active deployments made available to customers in the regions served by those datacenters, and an equal number of passive deployments that serve as backups for each active deployment.

Elke Power BI-implementatie bestaat uit twee clusters: een WFE-cluster (Web Front End) en een Back-Endcluster.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster. Deze twee clusters zijn in de volgende afbeelding weergegeven en vormen de achtergrond voor de rest van dit artikel.These two clusters are shown in the following image, and provide the backdrop for the rest of this article.

Het WFE en het Back-End

Power BI maakt gebruik van Azure Active Directory (AAD) voor accountverificatie en beheer.Power BI uses Azure Active Directory (AAD) for account authentication and management. Power BI maakt ook gebruik van Azure Traffic Manager (ATM) om gebruikers verkeer naar het dichtstbijzijnde Data Center te sturen, zoals bepaald door de DNS-record van de client die probeert verbinding te maken, voor het verificatie proces en om statische inhoud en bestanden te downloaden.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI gebruikt de geografische, dichtstbijzijnde WFE om efficiënt de benodigde statische inhoud en bestanden naar gebruikers te distribueren, met uitzonde ring van Power BI visuals die worden geleverd met behulp van de Azure Content Delivery Network (CDN).Power BI uses the geographically closest WFE to efficiently distribute the necessary static content and files to users, with the exception of Power BI visuals which are delivered using the Azure Content Delivery Network (CDN).

Het cluster WFEThe WFE Cluster

Het cluster WFE beheert het eerste verbindings- en verificatieproces voor Power BI. Het maakt hierbij gebruik van AAD om clients te verifiëren en tokens te leveren voor volgende clientverbindingen met de Power BI-service.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service.

Het cluster WEF

Wanneer gebruikers verbinding maken met de Power BI-service, kan de DNS-service van de client communiceren met de Azure Traffic Manager om het dichtstbijzijnde datacentrum met een Power BI-implementatie te vinden.When users attempt to connect to the Power BI service, the client's DNS service may communicate with the Azure Traffic Manager to find the nearest datacenter with a Power BI deployment. Zie Performance traffic routing method for Azure Traffic Manager (Prestaties verkeersrouteringsmethode voor Azure Traffic Manager) voor meer informatie over dit proces.For more information about this process, see Performance traffic routing method for Azure Traffic Manager.

Het cluster WFE dat zich het dichtst bij de gebruiker bevindt, beheert de aanmeldings- en verificatievolgorde (die verderop in dit artikel wordt beschreven) en levert een AAD-token aan de gebruiker zodra de verificatie geslaagd is.The WFE cluster nearest to the user manages the login and authentication sequence (described later in this article), and provides an AAD token to the user once authentication is successful. De ASP.NET-component binnen het cluster WFE parseert de aanvraag om te bepalen tot welke organisatie de gebruiker behoort en raadpleegt vervolgens de Power BI Global Service.The ASP.NET component within the WFE cluster parses the request to determine which organization the user belongs to, and then consults the Power BI Global Service. De Global Service is een individuele Azure-tabel die wordt gedeeld tussen alle WFE- en back-endclusters wereldwijd. Hiermee worden gebruikers en klantorganisaties toegewezen aan het datacenter waar zich hun Power BI-tenant bevindt.The Global Service is a single Azure Table shared among all worldwide WFE and Back-End clusters that maps users and customer organizations to the datacenter that houses their Power BI tenant. Het WFE geeft aan de browser door in welk back-endcluster de tenant van de organisatie zich bevindt.The WFE specifies to the browser which Back-End cluster houses the organization's tenant. Wanneer een gebruiker is geverifieerd, vinden de hierop volgende clientinteracties rechtstreeks plaats met het back-endcluster. De WFE is geen intermediator meer voor deze aanvragen.Once a user is authenticated, subsequent client interactions occur with the Back-End cluster directly, without the WFE being an intermediator for those requests.

Het back-endcluster van Power BIThe Power BI Back-End Cluster

Via het cluster Back-End communiceren geverifieerde clients met de Power BI-service.The Back-End cluster is how authenticated clients interact with the Power BI service. Het cluster Back-End beheert visualisaties, gebruikersdashboards, gegevenssets, rapporten, gegevensopslag, gegevensverbindingen, het vernieuwen van gegevens en andere aspecten van de interactie met de Power BI-service.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service.

Het back-endcluster

De Gatewayrol fungeert als een gateway tussen aanvragen van gebruikers en de Power BI-service.The Gateway Role acts as a gateway between user requests and the Power BI service. Gebruikers werken niet rechtstreeks met rollen, behalve met de Gatewayrol.Users do not interact directly with any roles other than the Gateway Role.

Belang rijk: Het is belang rijk te weten dat alleen rollen van Azure API Management (APIM) en gateway (gw) toegankelijk zijn via het open bare Internet.Important: It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Ze bieden verificatie, autorisatie, DDoS-beveiliging, beperking, taakverdeling, routering en andere mogelijkheden.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

De stippellijn in de bovenstaande afbeelding van het back-endcluster verduidelijkt de grens tussen de enige twee rollen die toegankelijk zijn voor gebruikers (links van de stippellijn) en de rollen die alleen toegankelijk zijn voor het systeem.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two roles that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Wanneer een geverifieerde gebruiker verbinding maakt met de Power BI-service, wordt de verbinding en elke aanvraag van de client geaccepteerd en beheerd door de Gatewayrol en door Azure API Management, die vervolgens namens de gebruiker communiceert met de rest van de Power BI-service.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role and Azure API Management, which then interacts on the user's behalf with the rest of the Power BI Service. Wanneer een client bijvoorbeeld probeert een dashboard weer te geven, accepteert de Gatewayrol die aanvraag en stuurt vervolgens afzonderlijk een aanvraag naar de Presentatierol om de gegevens op te halen die de browser nodig heeft om het dashboard weer te geven.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

De Gatewayrol

Power BI PremiumPower BI Premium

Power BI Premium biedt een speciaal ingerichte en gepartitioneerde servicewerkruimte voor abonnees die toegewezen resources voor hun Power BI-activiteiten nodig hebben.Power BI Premium offers a dedicated, provisioned, and partitioned service workspace for subscribers that need dedicated resources for their Power BI activities. Wanneer een klant zich registreert voor een Power BI Premium-abonnement wordt de Premium-capaciteit gemaakt via de Azure Resource Manager.When a customer signs up for a Power BI Premium subscription, the Premium capacity is created through the Azure Resource Manager. Tijdens de implementatie van het abonnement wordt een set virtuele machines toegewezen die overeenkomt met het abonnementsniveau, in het datacenter waar de Power BI-tenant van de abonnee wordt gehost (met uitzondering van meerdere geografische gebieden omgevingen, zoals verderop in dit document wordt beschreven). Dit wordt geïnitieerd als een Azure Service Fabric-implementatie.The rollout of that subscription assigns a set of virtual machines commensurate with the subscription level, in the datacenter where their Power BI tenant is hosted (with the exception of multi-geo environments, as described later in this document), initiated as an Azure Service Fabric deployment.

Power BI Premium

Als de implementatie gereed is, wordt alle communicatie met het Premium-cluster gerouteerd via het back-endcluster van Power BI, waarbij een verbinding met de virtuele machines van het toegewezen Power BI Premium-abonnement van de client tot stand wordt gebracht.Once created, all communication with the Premium cluster is routed through the Power BI Back-End cluster, where a connection to the client's dedicated Power BI Premium subscription virtual machines is established.

GegevensopslagarchitectuurData Storage Architecture

Power BI maakt gebruik van twee primaire opslagplaatsen om gegevens op te slaan en te beheren. Gegevens van gebruikers die zijn geüpload worden meestal verzonden naar Azure Blob-opslag. Alle metagegevens, alsmede artefacten voor het systeem zelf, worden achter een firewall opgeslagen in ** Azure SQL Database**.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure Blob storage, and all metadata as well as artifacts for the system itself are stored behind a firewall in Azure SQL Database.

Gegevensopslag

Wanneer een gebruiker bijvoorbeeld een Excel-werkmap importeert in de Power BI-service, wordt een in-memory tabellaire Analysis Services-database gemaakt en worden de gegevens maximaal één uur in het geheugen opgeslagen (of tot geheugenbelasting in het systeem plaatsvindt).For example, when a user imports an Excel workbook into the Power BI service, an in-memory Analysis Services tabular database is created, and the data is stored in-memory for up to one hour (or until memory pressure occurs on the system). De gegevens worden ook verzonden naar Azure Blob-opslag.The data is also sent to Azure Blob storage.

Metagegevens over het Power BI-abonnement van een gebruiker, zoals dashboards, rapporten, recente gegevensbronnen, werkruimten, organisatiegegevens, tenant-gegevens en andere metagegevens over het systeem worden opgeslagen en bijgewerkt in Azure SQL Database.Metadata about a user's Power BI subscription, such as dashboards, reports, recent data sources, workspaces, organizational information, tenant information, and other metadata about the system is stored and updated in Azure SQL Database. Alle gegevens die zijn opgeslagen in Azure SQL Database zijn volledig versleuteld met behulp van Azure SQL TDE-technologie (Transparent Data Encryption).All information stored in Azure SQL Database is fully encrypted using Azure SQL's Transparent Data Encryption (TDE) technology. Alle gegevens die zijn opgeslagen in Azure Blob-opslag zijn eveneens versleuteld.All data that is stored in Azure Blob storage is also encrypted. In de sectie Gegevensopslag en -verplaatsing vindt u meer informatie over het proces van het laden, opslaan en verplaatsen van gegevens.More information about the process of loading, storing, and moving data is described in the Data Storage and Movement section.

Een tenant makenTenant Creation

Een Tenant is een toegewezen exemplaar van de Azure AD-service die een organisatie ontvangt en die eigenaar is wanneer deze zich aanmeldt voor een micro soft-Cloud service, zoals Azure, Microsoft Intune, Power BI of Microsoft 365.A tenant is a dedicated instance of the Azure AD service that an organization receives and owns when it signs up for a Microsoft cloud service such as Azure, Microsoft Intune, Power BI, or Microsoft 365. Elke Azure AD-tenant is uniek en werkt afzonderlijk van andere Azure AD-tenants.Each Azure AD tenant is distinct and separate from other Azure AD tenants.

Een tenant bevat alle gebruikers in een bedrijf en de bijbehorende informatie: hun wachtwoorden, gebruikersprofielgegevens, machtigingen enzovoort.A tenant houses the users in a company and the information about them - their passwords, user profile data, permissions, and so on. Het bevat ook groepen, toepassingen en andere informatie over een organisatie en de beveiliging.It also contains groups, applications, and other information pertaining to an organization and its security. Zie Wat is een Azure AD-Tenant? voor meer informatie.For more information, see What is an Azure AD tenant.

Er wordt in het Data Center een Power BI-Tenant gemaakt die het dichtst in de buurt is van het land (of de regio) en de status informatie voor de Tenant in Azure Active Directory, die werd geleverd toen de Microsoft 365 of het Power BI-service oorspronkelijk werd ingericht.A Power BI tenant is created in the datacenter deemed closest to the country (or region) and state information provided for the tenant in Azure Active Directory, which was provided when the Microsoft 365 or Power BI service was initially provisioned. De Power BI-tenant wordt nu niet verplaatst uit die datacenterlocatie.The Power BI tenant does not move from that datacenter location today.

Meerdere geografische gebieden (Multi-geo)Multiple Geographies (Multi-geo)

Voor sommige organisaties is een Power BI-aanwezigheid in meerdere landen of regio's vereist, op basis van hun bedrijfsbehoeften.Some organizations require a Power BI presence in multiple geographies, or regions, based on business needs. Een bedrijf kan bijvoorbeeld zijn Power BI Tenant in de Verenigde Staten, maar kan ook zaken doen in andere geografische gebieden, zoals Australië, en bepaalde Power BI gegevens nodig hebben om te voldoen aan lokale voor Schriften.For example, a business may have its Power BI tenant in the United States but may also do business in other geographical areas, such as Australia, and need certain Power BI data to remain at rest in that remote region to comply with local regulations. Vanaf de tweede helft van 2018 kunnen organisaties met hun thuis Tenant in één geografie ook Power BI resources inrichten en gebruiken die zich in een andere geografie bevinden.Beginning in the second half of 2018, organizations with their home tenant in one geography can also provision and access Power BI resources located in another geography. In dit document wordt deze functie aangeduid als Meerdere geografische gebieden.This feature is referred to as multi-geo for convenience and reference throughout this document.

Het meest actuele en primaire artikel voor multi-geo-informatie is het artikel multi-geo-ondersteuning configureren voor Power bi Premium .The most current and primary article for multi-geo information is the configure Multi-Geo support for Power BI Premium article.

Er zijn meerdere technische details die in de context van lokale wetten en voor schriften moeten worden geëvalueerd wanneer ze in verschillende geografische grafieken worden uitgevoerd.There are multiple technical details that should be evaluated in the context of local laws and regulations when operating in different geographies. Deze informatie omvat het volgende:These details include the following:

  • Een uitvoerings laag voor externe query's wordt gehost in de externe capaciteits regio, om ervoor te zorgen dat het gegevens model, de caches en de meeste gegevens verwerking in het gebied externe capaciteit blijven.A remote query execution layer is hosted in the remote capacity region, to ensure that the data model, caches, and most data processing remain in the remote capacity region. Er zijn enkele uitzonde ringen, zoals beschreven in het artikel over meerdere geo-Power bi Premium .There are some exceptions, as detailed on the multi-geo for Power BI Premium article.
  • Een query tekst in de cache en het overeenkomstige resultaat dat is opgeslagen in een externe regio, blijft in die regio in de rest, maar andere gegevens in de door Voer kunnen echter tussen meerdere geografi worden weer gegeven.A cached query text and corresponding result stored in a remote region will stay in that region at rest, however other data in transit may go back and forth between multiple geographies.
  • PBIX-of XLSX-bestanden die zijn gepubliceerd (geüpload) naar een multi-geo-capaciteit van de Power BI-service, kunnen ertoe leiden dat een kopie tijdelijk wordt opgeslagen in Azure Blob Storage in de Tenant regio van Power BI.PBIX or XLSX files that are published (uploaded) to a multi-geo capacity of the Power BI service may result in a copy being temporarily stored in Azure Blob storage in Power BI's tenant region. In dergelijke gevallen worden de gegevens versleuteld met behulp van Azure Storage-service versleuteling (SSE) en wordt de kopie gepland voor garbagecollection zodra de verwerking van de bestands inhoud en de overdracht naar de externe regio is voltooid.In such circumstances, the data is encrypted using Azure Storage Service Encryption (SSE), and the copy is scheduled for garbage collection as soon as the file content processing and transfer to the remote region is completed.
  • Bij het verplaatsen van gegevens tussen regio's in een multi-geografische omgeving, wordt het exemplaar van de gegevens in de bron regio binnen 7-30 dagen verwijderd.When moving data across regions in a multi-geo environment, the instance of the data in the source region will be deleted within 7-30 days.

Datacenters en landinstellingenDatacenters and Locales

Power BI wordt aangeboden in bepaalde regio's, op basis van waar de Power BI-clusters in regionale datacenters worden geïmplementeerd.Power BI is offered in certain regions, based on where Power BI clusters are deployed in regional datacenters. Microsoft wil de Power BI-infrastructuur uitbreiden naar extra datacenters.Microsoft plans to expand its Power BI infrastructure into additional datacenters.

De volgende koppelingen bieden aanvullende informatie over Azure-datacenters.The following links provide additional information about Azure datacenters.

  • Azure-regio's: informatie over de wereldwijde aanwezigheid en locaties van AzureAzure Regions – information about Azure's global presence and locations
  • Azure-services per regio: een volledig overzicht van Azure-services (infrastructuurservices en platformservices) die door Microsoft in elke regio beschikbaar worden gesteld.Azure Services, by region – a complete listing of Azure services (both infrastructure services and platform services) available from Microsoft in each region.

Op dit moment is de Power BI-service beschikbaar in bepaalde regio's, zoals beschreven in het vertrouwens centrum van micro soft.Currently, the Power BI service is available in specific regions, serviced by datacenters as described in the Microsoft Trust Center. Via de volgende koppeling ziet u een overzicht van de Power BI-datacenters. Beweeg de cursor boven een regio om de hier gevestigde datacenters te zien:The following link shows a map of Power BI datacenters, you can hover over a region to see the datacenters located there:

Microsoft biedt ook datacenters voor onafhankelijke clouds.Microsoft also provides datacenters for sovereignties. Zie Nationale Power BI-clouds voor meer informatie over de beschikbaarheid van de Power BI-service voor nationale clouds.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Zie Microsoft Trust Center voor meer informatie over waar uw gegevens worden opgeslagen en hoe deze worden gebruikt.For more information on where your data is stored and how it is used, refer to the Microsoft Trust Center. Toezeggingen over de locatie van data-at-rest van klanten zijn te vinden in de voorwaarden voor gegevensverwerking van de voorwaarden voor Microsoft Online Services.Commitments about the location of customer data at rest are specified in the Data Processing Terms of the Microsoft Online Services Terms.

GebruikersverificatieUser Authentication

De gebruikersverificatie voor de Power BI-service bestaat uit een reeks aanvragen, antwoorden en omleidingen tussen de browser van de gebruiker en de Power BI-service of de Azure-services die worden gebruikt door Power BI.User authentication to the Power BI service consists of a series of requests, responses, and redirects between the user's browser and the Power BI service or the Azure services used by Power BI. Met deze reeks wordt het proces van gebruikersverificatie in Power BI beschreven.That sequence describes the process of user authentication in Power BI. Zie een aanmeldings model kiezen voor Microsoft 365voor meer informatie over de opties voor de gebruikers authenticatie modellen van een organisatie (aanmeld modellen).For more information about options for an organization's user authentication models (sign-in models), see Choosing a sign-in model for Microsoft 365.

VerificatiereeksAuthentication Sequence

De gebruikersverificatiereeks voor de Power BI-service vindt plaats zoals wordt beschreven in de volgende stappen die in de volgende afbeeldingen worden geïllustreerd.The user authentication sequence for the Power BI service occurs as described in the following steps, which are illustrated in the following images.

  1. Een gebruiker initieert een verbinding met de Power BI-service vanuit een browser, door het Power BI adres in de adres balk te typen (zoals https://app.powerbi.com ) of door Aanmelden te selecteren op de Power bi landings pagina ( https://powerbi.microsoft.com) .A user initiates a connection to the Power BI service from a browser, either by typing in the Power BI address in the address bar (such as https://app.powerbi.com) or by selecting Sign In from the Power BI landing page (https://powerbi.microsoft.com). De verbinding wordt tot stand gebracht met behulp van TLS 1.2 en HTTPS, en bij alle verdere communicatie tussen de browser en de Power BI-service wordt HTTPS gebruikt.The connection is established using TLS 1.2 and HTTPS, and all subsequent communication between the browser and the Power BI service uses HTTPS. De aanvraag wordt verzonden naar Azure Traffic Manager.The request is sent to the Azure Traffic Manager.

  2. Azure Traffic Manager controleert de DNS-record van de gebruiker om te bepalen wat het dichtstbijzijnde datacenter is waar Power BI is geïmplementeerd, en reageert op de DNS met het IP-adres van het WFE-cluster waar de gebruiker naartoe moet worden gestuurd.The Azure Traffic Manager checks the user's DNS record to determine the nearest datacenter where Power BI is deployed, and responds to the DNS with the IP address of the WFE cluster to which the user should be sent.

  3. De gebruiker wordt vervolgens door WFE omgeleid naar de aanmeldingspagina voor Microsoft Online Services.WFE then redirects the user to Microsoft Online Services login page.

    Verificatiereeks

  4. Zodra de gebruiker is geverifieerd, wordt deze met de aanmeldingspagina omgeleid naar het eerder vastgestelde dichtstbijzijnde WFE-cluster van de Power BI-service.Once the user is authenticated, the login page redirects the user to the previously determined nearest Power BI service WFE cluster.

  5. De browser verzendt een cookie die is verkregen van de geslaagde aanmelding voor Microsoft Online Services die is gecontroleerd door de ASP.NET-service binnen het WFE-cluster.The browser submits a cookie that was obtained from the successful login to Microsoft Online Services, which is inspected by the ASP.NET service inside the WFE cluster.

  6. Het WFE-cluster controleert bij de service Azure Active Directory (AAD) om het Power BI-service-abonnement van de gebruiker te verifiëren en om een AAD-beveiligingstoken op te halen.The WFE cluster checks with the Azure Active Directory (AAD) service to authenticate the user's Power BI service subscription, and to obtain an AAD security token. Als AAD een geslaagde verificatie van de gebruiker en een AAD-beveiligingstoken retourneert, raadpleegt het WFE-cluster de Power BI**** Global Service die een lijst met tenants en hun Power BI-back-endclusterlocaties onderhoudt, en wordt bepaald welk Power BI-servicecluster de tenant van de gebruiker bevat.When AAD returns successful authentication of the user and returns an AAD security token, the WFE cluster consults the Power BI**** Global Service, which maintains a list of tenants and their Power BI Back-End cluster locations, and determines which Power BI service cluster contains the user's tenant. Vervolgens wordt de gebruiker door het WFE-cluster omgeleid naar het Power BI-cluster waar de tenant zich bevindt en wordt een verzameling items naar de browser van de gebruiker geretourneerd:The WFE cluster then directs the user to the Power BI cluster where its tenant resides, and returns a collection of items to the user's browser:

    • Het AAD-beveiligingstokenThe AAD security token
    • SessiegegevensSession information
    • Het webadres van het back-endcluster waarmee de gebruiker kan communiceren en werkenThe web address of the Back-End cluster the user can communicate and interact with
  7. De browser van de gebruiker neemt vervolgens contact op met de opgegeven Azure CDN (of voor bepaalde bestanden de WFE) voor het downloaden van de verzameling opgegeven algemene bestanden die nodig zijn voor de interactie van de browser met de Power BI-service.The user's browser then contacts the specified Azure CDN, or for some of the files the WFE, to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. De browserpagina bevat dan tijdens de duur van de browsersessie van de Power BI-service het AAD-token, sessiegegevens, de locatie van het gekoppelde back-endcluster en de verzameling bestanden die zijn gedownload uit het Azure CDN- en WFE-cluster.The browser page then includes the AAD token, session information, the location of the associated Back-End cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

Azure CDN-interactie

Zodra deze items zijn voltooid, maakt de browser contact met het opgegeven back-endcluster en wordt de interactie van de gebruiker met de Power BI-service gestart.Once those items are complete, the browser initiates contact with the specified Back-End cluster and the user's interaction with the Power BI service commences. Vanaf dat moment vinden alle aanroepen naar de Power BI-service plaats met het opgegeven back-endcluster en bevatten alle aanroepen het AAD-token van de gebruiker.From that point forward, all calls to the Power BI service are with the specified Back-End cluster, and all calls include the user's AAD token. Het AAD-token heeft een time-out van één uur; om toegang te houden vernieuwt de WFE het token regelmatig als een gebruikerssessie geopend blijft.The AAD token has a timeout of one hour; the WFE refreshes the token periodically if a user's session remains open, in order to preserve access.

Gegevensopslag en -verplaatsingData Storage and Movement

In de Power BI-service zijn gegevens data-at-rest (gegevens beschikbaar voor een Power BI-gebruiker waarmee op dat moment niet wordt gewerkt) of gegevens in verwerking (bijvoorbeeld query's die worden uitgevoerd, gegevensverbindingen en modellen waarmee wordt gewerkt, gegevens en/of modellen die worden geüpload naar de Power BI-service, en andere acties die gebruikers of de Power BI-service uitvoeren voor gegevens die actief worden geopend of bijgewerkt).In the Power BI service, data is either at rest (data available to a Power BI user that is not currently being acted upon), or it is in process (for example: queries being run, data connections and models being acted upon, data and/or models being uploaded into the Power BI service, and other actions that users or the Power BI service may take on data that is actively being accessed or updated). Gegevens die worden verwerkt, worden aangeduid als gegevens in verwerking.Data that is in process is referred to as data in process. Data-at-rest in Power BI is versleuteld.Data at rest in Power BI is encrypted. Gegevens die onderweg zijn (dit zijn gegevens die worden verzonden of ontvangen door de Power BI-service) zijn eveneens versleuteld.Data that is in transit, which means data being sent or received by the Power BI service, is also encrypted.

Ook worden gegevens met de Power BI-service verschillend beheerd, afhankelijk van of de gegevens worden geopend met een DirectQuery of worden geïmporteerd.The Power BI service also manages data differently based on whether the data is accessed with a DirectQuery, or import. Dus er zijn twee soorten gebruikersgegevens voor Power BI: gegevens die worden gebruikt door DirectQuery en gegevens die niet worden gebruikt door DirectQuery.So there are two categories of user data for Power BI: data that is accessed by DirectQuery, and data which is not accessed by DirectQuery.

Een DirectQuery is een query waarvoor een query van een Power BI-gebruiker is omgezet van de DAX-taal (Data Analysis Expressions) van Microsoft (dit is de taal die wordt gebruikt door Power BI en andere Microsoft-producten om query's te maken) in de systeemeigen gegevenstaal van de gegevensbron (zoals T-SQL of andere systeemeigen databasetalen).A DirectQuery is a query for which a Power BI user's query has been translated from Microsoft's Data Analysis Expressions (DAX) language – which is the language used by Power BI and other Microsoft products to create queries – in the data source's native data language (such as T-SQL, or other native database languages). De gegevens die zijn gekoppeld aan een DirectQuery, worden alleen met een verwijzing opgeslagen, wat betekent dat de brongegevens niet zijn opgeslagen in Power BI wanneer de DirectQuery niet actief is (met uitzondering van visualisatiegegevens die worden gebruikt om dashboards en rapporten weer te geven, zoals wordt beschreven in het onderstaande gedeelte Gegevens in verwerking (gegevensverplaatsing)).The data associated with a DirectQuery is stored by reference only, which means source data is not stored in Power BI when the DirectQuery is not active (except for visualization data used to display dashboards and reports, as described in the Data in process (data movement) section, below). In plaats hiervan worden verwijzingen naar DirectQuery-gegevens opgeslagen zodat deze gegevens kunnen worden gebruikt wanneer de DirectQuery wordt uitgevoerd.Rather, references to DirectQuery data are stored which allow access to that data when the DirectQuery is run. Een DirectQuery bevat alle benodigde informatie voor het uitvoeren van de query, met inbegrip van de verbindingsreeks en de referenties die worden gebruikt voor toegang tot de gegevensbronnen, waardoor de DirectQuery verbinding kan maken met de opgenomen gegevensbronnen voor automatische vernieuwingen.A DirectQuery contains all the necessary information to execute the query, including the connection string and the credentials used to access the data sources, which allow the DirectQuery to connect to the included data sources for automatic refresh. Bij een DirectQuery wordt de informatie over onderliggende gegevensmodellen opgenomen in de DirectQuery.With a DirectQuery, underlying data model information is incorporated into the DirectQuery.

Een query voor een gegevensset voor importeren bestaat uit een verzameling DAX-query's die niet rechtstreeks kunnen worden omgezet naar de systeemeigen taal van onderliggende gegevensbronnen.A query for an import dataset consist of a collection of DAX queries that are not directly translated to the native language of any underlying data source. Importeerquery's bevatten geen referenties voor de onderliggende gegevens en de onderliggende gegevens worden in de Power BI-service geladen, tenzij het om on-premises gegevens gaat die worden gebruikt via een Power BI Gateway, waarbij de query alleen verwijzingen naar on-premises gegevens opslaat.Import queries do not include credentials for the underlying data, and the underlying data is loaded into the Power BI service unless it is on-premises data accessed through a Power BI Gateway, in which case the query only stores references to on-premises data.

In de volgende tabel worden Power BI-gegevens beschreven op basis van het querytype dat wordt gebruikt.The following table describes Power BI data based on the type of query being used. Een X geeft aan dat er Power BI-gegevens aanwezig zijn wanneer u het bijbehorende querytype gebruikt.An X indicates the presence of Power BI data when using the associated query type.

ImporterenImport DirectQueryDirectQuery Live ConnectLive Connect
SchemaSchema XX XX
RijgegevensRow data XX
Plaatsen van visuele gegevens in het cachegeheugenVisuals data caching XX XX XX

Het verschil tussen een DirectQuery en andere query's bepaalt hoe de Power BI-service data-at-rest verwerkt en of de query zelf is versleuteld.The distinction between a DirectQuery and other queries determines how the Power BI service handles the data at rest, and whether the query itself is encrypted. De volgende gedeelten bevatten een beschrijving van data-at-rest en van gegevens die worden verplaatst. Hierin worden de versleuteling, de locatie en het proces voor het verwerken van gegevens uitgelegd.The following sections describe data at rest and in movement, and explain the encryption, location, and process for handling data.

Inactieve gegevensData at rest

Bij data-at-rest worden gegevenssets, rapporten en dashboardtegels met de Power BI-service opgeslagen zoals wordt beschreven in de volgende subgedeelten.When data is at rest, the Power BI service stores datasets, reports, and dashboard tiles in the manner described in the following subsections. Zoals eerder vermeld, is data-at-rest in Power BI versleuteld.As mentioned earlier, data at rest in Power BI is encrypted. ETL staat voor Extract, Transform en Load (uitpakken, transformeren en laden) in de volgende gedeelten.ETL stands for Extract, Transform and Load in the following sections.

VersleutelingssleutelsEncryption Keys

  • De versleutelingssleutels voor Azure Blob-sleutels worden versleuteld opgeslagen in Azure Key Vault.The encryption keys to Azure Blob keys are stored, encrypted, in Azure Key Vault.
  • De versleutelingssleutels voor Azure SQL Database TDE-technologie worden door Azure SQL zelf beheerd.The encryption keys for Azure SQL Database TDE technology is managed by Azure SQL itself.
  • De versleutelingssleutel voor de service Gegevensverplaatsing en on-premises gegevensgateway worden opgeslagen:The encryption key for Data Movement service and on-premises data gateway are stored:
    • In de on-premises gegevensgateway in de infrastructuur van de klant voor on-premises gegevensbronnenIn the on-premises data gateway on customer's infrastructure – for on-premises data sources
    • In de gegevensverplaatsingsrol voor gegevensbronnen in de cloudIn the Data Movement Role – for cloud-based data sources

De versleutelings sleutel voor inhoud (CEK) die wordt gebruikt voor het versleutelen van de Microsoft Azure Blob Storage is een wille keurig gegenereerd 256-bits sleutel.The Content Encryption Key (CEK) used to encrypt the Microsoft Azure Blob Storage is a randomly generated 256-bit key. Het algoritme dat door de CEK wordt gebruikt voor het versleutelen van de inhoud is AES_CBC_256.The algorithm that the CEK uses to encrypt the content is AES_CBC_256.

De KEK (Key Encryption Key, sleutel van versleutelingssleutel) die wordt gebruikt om vervolgens de CEK te versleutelen, is een vooraf gedefinieerde 256-bits sleutel.The Key Encryption Key (KEK) that is used to then encrypt the CEK is a pre-defined 256-bit key. Het algoritme van KEK om de CEK te versleutelen is A256KW.The algorithm by KEK to encrypt the CEK is A256KW.

Gatewayversleutelingssleutels op basis van de herstelsleutel verlaten nooit een on-premises infrastructuur.Gateway encryption keys based on the recovery key never leave an on-premises infrastructure. Power BI heeft geen toegang tot de versleutelde on-premises referentiewaarden en kan deze referenties niet onderscheppen; webclients versleutelen de referentie met een openbare sleutel die is gekoppeld aan de specifieke gateway waarmee wordt gecommuniceerd.Power BI cannot access the encrypted on-premises credentials values, and cannot intercept those credentials; web clients encrypt the credential with a public key that's associated with the specific gateway with which it is communicating.

Voor gegevensbronnen in de cloud versleutelt de gegevensverplaatsingsrol versleutelingssleutels met Always Encrypted-methoden.For cloud-based data sources, the Data Movement Role encrypts encryption keys using Always Encrypted methods. Zie de Always Encrypted-databasefunctie voor meer informatie.You can learn more about the Always Encrypted database feature.

GegevenssetsDatasets

  1. Metagegevens (tabellen, kolommen, metingen, berekeningen, verbindingsreeksen enzovoort)Metadata (tables, columns, measures, calculations, connection strings, etc.)

    a.a. Voor on-premises Analysis Services wordt niets in de service opgeslagen, met uitzondering van een verwijzing naar deze database die versleuteld is opgeslagen in Azure SQL.For Analysis Services on-premises nothing is stored in the service except for a reference to that database stored encrypted in Azure SQL.

    b.b. Alle andere metagegevens voor ETL, DirectQuery en pushgegevens worden versleuteld en opgeslagen in Azure Blob Storage.All other metadata for ETL, DirectQuery, and Push Data is encrypted and stored in Azure Blob storage.

  2. Referenties voor de oorspronkelijke gegevensbronnenCredentials to the original data sources

    a.a. On-premises Analysis Services: er zijn geen referenties nodig en daarom worden er geen referenties opgeslagen.Analysis Services on-premises – No credentials are needed and, therefore, no credentials are stored.

    b.b. DirectQuery - Dit verschilt. Als het model rechtstreeks in de service is gemaakt, wordt het in de verbindingsreeks opgeslagen en versleuteld in Azure Blob. Als het model uit Power BI Desktop is geïmporteerd, worden de referenties versleuteld opgeslagen in Azure SQL Database van de gegevensverplaatsing.DirectQuery – This depends whether the model is created in the service directly in which case it is stored in the connection string and encrypted in Azure Blob, or if the model is imported from Power BI Desktop in which case the credentials are stored encrypted in Data Movement's Azure SQL Database. De versleutelingssleutel wordt op de machine opgeslagen waarop de gateway op de infrastructuur van de klant wordt uitgevoerd.The encryption key is stored on the machine running the Gateway on customer's infrastructure.

    c.c. Gepushte gegevens - niet van toepassingPushed data – not applicable

    d.d. ETLETL

    • Voor Salesforce of OneDrive: de vernieuwingstokens worden versleuteld opgeslagen in de Azure SQL Database van de Power BI-service.For Salesforce or OneDrive – the refresh tokens are stored encrypted in the Azure SQL Database of the Power BI service.
    • Anders:Otherwise:
      • Als de gegevensset is ingesteld voor vernieuwing, worden de referenties versleuteld opgeslagen in de Azure SQL Database voor gegevensverplaatsing.If the dataset is set for refresh, the credentials are stored encrypted in Data Movement's Azure SQL Database. De versleutelingssleutel wordt op de machine opgeslagen waarop de gateway op de infrastructuur van de klant wordt uitgevoerd.The encryption key is stored on the machine running the Gateway on customer's infrastructure.
      • Als de gegevensset is niet ingesteld voor vernieuwing, worden er geen referenties opgeslagen voor de gegevensbronnenIf the dataset is not set for refresh, there are no credentials stored for the data sources
  3. GegevensData

    a.a. Analysis Services on-premises en DirectQuery - Niets wordt opgeslagen in de Power BI-service.Analysis Services on-premises, and DirectQuery – nothing is stored in the Power BI Service.

    b.b. ETL - Versleuteld in Azure Blob-opslag, maar voor alle gegevens die momenteel in de Azure Blob-opslag van de Power BI-service staan, wordt gebruikgemaakt van Azure Storage Service Encryption (SSE), ook wel 'versleuteling aan de serverzijde' genoemd.ETL – encrypted in Azure Blob storage, but all data currently in Azure Blob storage of the Power BI service uses Azure Storage Service Encryption (SSE), also known as server-side encryption. SSE wordt ook gebruikt bij gebruik van meerdere geografische gebieden.Multi-geo uses SSE as well.

    c.c. Push data v1 - Versleuteld opgeslagen in Azure Blob-opslag, maar voor alle gegevens die momenteel in de Azure Blob-opslag van de Power BI-service staan, wordt gebruikgemaakt van Azure Storage Service Encryption (SSE), ook wel 'versleuteling aan de serverzijde' genoemd.Push data v1 – stored encrypted in Azure Blob storage, but all data currently in Azure Blob storage in the Power BI service uses Azure Storage Service Encryption (SSE), also known as server-side encryption. SSE wordt ook gebruikt bij gebruik van meerdere geografische gebieden.Multi-geo uses SSE as well. Push data v1 zijn stopgezet vanaf 2016.Push data v1 were discontinued beginning 2016.

    d.d. Push data v2 - Versleuteld opgeslagen in Azure SQL.Push data v2 – stored encrypted in Azure SQL.

Bij Power BI wordt gebruikgemaakt van versleuteling aan de clientzijde en Cipher Block Chaining (CBC) met een geavanceerde versleutelingsnorm (AES) om de Azure Blob-opslag te versleutelen.Power BI uses the client-side encryption approach, using cipher block chaining (CBC) mode with advanced encryption standard (AES), to encrypt its Azure Blob storage. U kunt hier meer lezen over versleuteling aan de clientzijde.You can learn more about client-side encryption.

Power BI biedt op de volgende manieren bewaking van de gegevensintegriteit:Power BI provides data integrity monitoring in the following ways:

  • Bij data-at-rest in Azure SQL maakt Power BI gebruik van dbcc, TDE en constante controlesommen voor pagina's. Dit is onderdeel van het systeemeigen SQL-aanbod.For data at rest in Azure SQL, Power BI uses dbcc, TDE, and constant page checksum as part of the native offerings of SQL.

  • Bij data-at-rest in Azure Blob-opslag maakt Power BI gebruik van versleuteling aan de clientzijde en HTTPS voor het overdragen van gegevens naar de opslag. Er wordt ook gebruikgemaakt van integriteitscontroles bij het ophalen van gegevens.For data at rest in Azure Blob storage, Power BI uses client-side encryption and HTTPS to transfer data into storage which includes integrity checks during the retrieval of the data. U leest hier meer over de Azure Blob-opslagbeveiliging.You can learn more about Azure Blob storage security.

RapportenReports

  1. Metagegevens (rapportdefinitie)Metadata (report definition)

    a.a. Rapporten kunnen bestaan uit Excel voor Microsoft 365 rapporten of Power BI rapporten.Reports can either be Excel for Microsoft 365 reports, or Power BI reports. Het volgende is van toepassing voor metagegevens, afhankelijk van het type rapport:The following applies for metadata based on the type of report:

      a.    a. Meta gegevens van Excel-rapporten worden als versleuteld opgeslagen in SQL Azure.Excel Report metadata is stored encrypted in SQL Azure. Meta gegevens worden ook opgeslagen in Microsoft 365.Metadata is also stored in Microsoft 365.

      b.    b. Power BI-rapporten worden versleuteld opgeslagen in Azure SQL database.Power BI reports are stored encrypted in Azure SQL database.

  2. Statische gegevensStatic data

    Statische gegevens zijn onder andere artefacten zoals achtergrond afbeeldingen en visuele elementen van Power BI.Static data includes artifacts such as background images and Power BI visuals.

      a.    a. Voor rapporten die zijn gemaakt met Excel voor Microsoft 365, wordt er niets opgeslagen.For reports created with Excel for Microsoft 365, nothing is stored.

      b.    b. Bij Power BI-rapporten worden de statische gegevens opgeslagen en versleuteld in Azure Blob-opslag.For Power BI reports, the static data is stored and is encrypted in Azure Blob storage.

  3. CachesCaches

      a.    a. Voor rapporten die zijn gemaakt met Excel voor Microsoft 365, gebeurt er niets in de cache.For reports created with Excel for Microsoft 365, nothing is cached.

      b.    b. Voor Power BI rapporten worden de gegevens voor de visuele elementen van de rapporten in de cache geplaatst en opgeslagen in de Visual Data-cache die in de volgende sectie wordt beschreven.For Power BI reports, the data for the reports’ visuals shown is cached and stored in the Visual Data Cache described in the following section.

  4. Originele Power BI Desktop- (.pbix) of Excel-bestanden (.xlsx) die zijn gepubliceerd naar Power BIOriginal Power BI Desktop (.pbix) or Excel (.xlsx) files published to Power BI

    Soms wordt er een kopie of een schaduwkopie van de xlsx- of pbix-bestanden opgeslagen in de Azure Blob-opslag van Power BI. Als dit gebeurt, worden de gegevens versleuteld.Sometimes a copy or a shadow copy of the .xlsx or .pbix files are stored in Power BI's Azure Blob storage, and when that occurs, the data is encrypted. Bij al deze rapporten die zijn opgeslagen in de Power BI-service in Azure Blob-opslag wordt gebruikgemaakt van Azure Storage Service Encryption (SSE), ook wel 'versleuteling aan de serverzijde' genoemd.All such reports stored in the Power BI service, in Azure Blob storage, use Azure Storage Service Encryption (SSE), also known as server-side encryption. SSE wordt ook gebruikt bij gebruik van meerdere geografische gebieden.Multi-geo uses SSE as well.

Dashboards en dashboardtegelsDashboards and Dashboard Tiles

  1. Caches: de gegevens die nodig zijn voor de visuals op het dash board, worden doorgaans in de cache opgeslagen in de visuele gegevens cache die in de volgende sectie wordt beschreven.Caches – The data needed by the visuals on the dashboard is usually cached and stored in the Visual Data Cache described in the following section. Andere tegels, zoals vastgemaakte visuals uit Excel of de SQL Server Reporting Services (SSRS) worden als afbeeldingen opgeslagen in Azure Blob; deze worden ook versleuteld.Other tiles such as pinned visuals from Excel or SQL Server Reporting Services (SSRS) are stored in Azure Blob as images, and are also encrypted.

  2. Statische gegevens: Dit omvat artefacten zoals achtergrond afbeeldingen en Power BI visuele elementen die zijn opgeslagen, versleuteld in Azure Blob-opslag.Static data – that includes artifacts such as background images and Power BI visuals that are stored, encrypted, in Azure Blob storage.

Ongeacht de gebruikte versleutelings methode beheert micro soft de sleutel versleuteling voor klanten.Regardless of the encryption method used, Microsoft manages the key encryption on customers' behalf.

Visuele gegevens cacheVisual Data Cache

Visuele gegevens worden in de cache opgeslagen op verschillende locaties, afhankelijk van het feit of de gegevensset wordt gehost op een Power BI Premium capaciteit.Visual data is cached in different locations depending on whether the dataset is hosted on a Power BI Premium Capacity. Voor gegevens sets die niet worden gehost op een capaciteit, worden de visuele gegevens in de cache opgeslagen en bewaard in een Azure SQL Database.For datasets that are not hosted on a Capacity, the visual data is cached and stored encrypted in an Azure SQL Database. Voor gegevens sets die worden gehost op een capaciteit, kunnen de visuele gegevens in de cache worden opgeslagen op een van de volgende locaties:For datasets that are hosted on a Capacity, the visual data can be cached in any of the following locations:

  • Azure Blob StorageAzure Blob Storage
  • Azure Premium-bestandenAzure Premium Files
  • Het knoop punt Power BI Premium capaciteitThe Power BI Premium Capacity node

Gegevens die tijdelijk worden opgeslagen op niet-vluchtige apparatenData Transiently Stored on Non-Volatile Devices

Niet-vluchtige apparaten zijn apparaten die geheugen hebben dat zonder constante kracht blijft.Non-volatile devices are devices that have memory that persists without constant power. Hierna worden gegevens beschreven die tijdelijk worden opgeslagen op niet-vluchtige apparaten.The following describes data that is transiently stored on non-volatile devices.

GegevenssetsDatasets

  1. Metagegevens (tabellen, kolommen, metingen, berekeningen, verbindingsreeksen enzovoort)Metadata (tables, columns, measures, calculations, connection strings, etc.)

  2. Sommige schemagerelateerde artefacten kunnen gedurende een beperkte periode worden opgeslagen op de schijf van de rekenknooppunten.Some schema-related artifacts can be stored on the disk of the compute nodes for a limited period of time. Sommige artefacten kunnen ook gedurende een beperkte periode niet-versleuteld worden opgeslagen in Azure Redis Cache.Some artifacts can also be stored in Azure REDIS Cache unencrypted for a limited period of time.

  3. Referenties voor de oorspronkelijke gegevensbronnenCredentials to the original data sources

    a.a. Analysis Services on-premises - Niets wordt opgeslagenAnalysis Services on-premises – nothing is stored

    b.b. DirectQuery - Dit verschilt. Als het model rechtstreeks in de service is gemaakt, wordt het versleuteld in de verbindingsreeks opgeslagen en wordt de versleutelingssleutel niet-versleuteld opgeslagen op dezelfde locatie (naast de versleutelde informatie). Als het model uit Power BI Desktop is geïmporteerd, worden de referenties niet opgeslagen op niet-vluchtige apparaten.DirectQuery – This depends whether the model is created in the service directly in which case it is stored in the connection string, in encrypted format with the encryption key stored in clear text in the same place (alongside the encrypted information); or if the model is imported from Power BI Desktop in which case the credentials are not stored on non-volatile devices.

    Notitie

    De functie voor het maken van het model voor de service is niet meer vanaf 2017.The service-side model creation feature were discontinued beginning in 2017.

    c.c. Gepushte gegevens - Geen (niet van toepassing)Pushed data – none (not applicable)

    d.d. ETL - geen (niets wordt opgeslagen op het rekenknooppunt, of anders dan wordt uitgelegd in het gedeelte Data-at-rest hierboven)ETL – none (nothing stored on the compute node nor different than explained in the Data at Rest section, above)

  4. GegevensData

    Sommige gegevensartefacten kunnen gedurende een beperkte periode worden opgeslagen op de schijf van de rekenknooppunten.Some data artifacts can be stored on the disk of the compute nodes for a limited period of time.

Gegevens in verwerkingData in process

Gegevens zijn 'in verwerking' wanneer ze actief worden gebruikt door een gebruiker of toegankelijk zijn.Data is in process when it is actively being used or accessed by a user. Gegevens zijn bijvoorbeeld in verwerking wanneer een gebruiker een gegevensset opent of een dashboard of rapport reviseert of bewerkt, wanneer er wordt vernieuwd of wanneer gegevens op andere manieren worden gebruikt.For example, data is in process when a user accesses a dataset, revises or modifies a dashboard or report, when refresh occurs, or other data access activities that may occur. Als een van deze gebeurtenissen zich voordoet en er sprake is van gegevens in verwerking, wordt met de gegevensrol in de Power BI-service een Analysis Services-database (AS) gemaakt in het geheugen en wordt de gegevensset naar die Analysis Services-database in het geheugen geladen.When any of those events occur and put data in process, the Data Role in the Power BI service creates an in-memory Analysis Services (AS) database and the dataset is loaded into that in-memory Analysis Services database. Of de gegevensset nu is gebaseerd op een DirectQuery of niet, gegevens die naar de AS-database worden geladen, zijn niet versleuteld zodat er met de gegevensrol toegang toe kan worden verkregen. Ze worden voor verder gebruik ondergebracht in het geheugen tot de Power BI-service de gegevensset niet meer nodig heeft.Whether the dataset is based on a DirectQuery or not, data loaded in the AS database is unencrypted to allow for access by the Data Role, and held in memory for further access until the Power BI service no longer needs the dataset. Bij klanten met een Power BI Premium-abonnement maakt Power BI een Analysis Services-database (AS) in het geheugen van de afzonderlijk ingerichte virtuele Power BI-machines van de klant.For customers with a Power BI Premium subscription, Power BI creates an in-memory Analysis Services (AS) database in the customer's separately provisioned collection of Power BI virtual machines.

Zodra er iets met de gegevens wordt gedaan (dit omvat ook het laden van de gegevens naar Power BI), kan het zijn dat de Power BI-service de visualisatiegegevens in de cache van een versleutelde Azure SQL-database opslaat, ongeacht of de gegevensset is gebaseerd op een DirectQuery.Once data is acted upon, which includes initially loading data into Power BI, the Power BI service may cache the visualization data in an encrypted Azure SQL Database, regardless of whether the dataset is based on a DirectQuery.

Voor het bewaken van de integriteit van gegevens in verwerking maakt Power BI gebruikt van HTTPS, TCP/IP en TLS; zo bent u er zeker van dat gegevens worden versleuteld en de integriteit tijdens het transport wordt behouden.To monitor data integrity for data in process, Power BI uses HTTPS, TCP/IP and TLS to ensure data is encrypted and maintains integrity during the transport.

Gebruikersverificatie voor gegevensbronnenUser Authentication to Data Sources

Met elke gegevens bron brengt een gebruiker een verbinding tot stand op basis van hun aanmelding en opent deze de gegevens met deze referenties.With each data source, a user establishes a connection based on their login, and accesses the data with those credentials. Gebruikers kunnen vervolgens query's, dashboards en rapporten maken op basis van de onderliggende gegevens.Users can then create queries, dashboards, and reports based on the underlying data.

Als een gebruiker query's, dashboards, rapporten of een visualisatie deelt, moet worden bekeken of de onderliggende gegevensbronnen ondersteuning bieden voor beveiliging op rolniveau (RLS) om te bepalen of toegang kan worden verkregen tot die gegevens en visualisaties.When a user shares queries, dashboards, reports, or any visualization, access to that data and those visualizations is dependent on whether the underlying data sources support Role Level Security (RLS).

Als een onderliggende gegevensbron geschikt is voor de beveiliging op rolniveau (RLS) van Power BI, past de Power BI-service die beveiliging op rolniveau toe. Gebruikers met onvoldoende referenties voor toegang tot de onderliggende gegevens (voor bijvoorbeeld via een query in een dashboard, rapport of ander gegevensartefact) krijgen alleen de gegevens te zien waarvoor ze wel voldoende machtigingen hebben.If an underlying data source is capable of Power BI's**** Role Level Security (RLS), the Power BI service will apply that role level security, and users who do not have sufficient credentials to access the underlying data (which could be a query used in a dashboard, report, or other data artifact) will not see data for which the user does not have sufficient privileges. Als een bepaalde gebruiker andere toegang tot de onderliggende gegevens heeft dan de gebruiker die het dashboard of rapport heeft gemaakt, worden in de visualisaties en andere artefacten alleen gegevens weergegeven op basis van het toegangsniveau van de gebruiker die ze bekijkt.If a user's access to the underlying data is different from the user who created the dashboard or report, the visualizations and other artifacts will only show data based on the level of access that user has to the data.

Als bij een gegevensbron RLS niet wordt toegepast, worden er Power BI-aanmeldingsreferenties toegepast op de onderliggende gegevensbron. Als er andere referenties zijn opgegeven bij het verbinden, worden die referenties toegepast.If a data source does not apply RLS, then the Power BI login credentials are applied to the underlying data source, or if other credentials are supplied during the connection, those supplied credentials are applied. Als een gebruiker vanaf niet-RLS-gegevensbronnen gegevens naar de Power BI-service laadt, worden gegevens in Power BI opgeslagen zoals wordt beschreven in het gedeelte Gegevens opslaan en verplaatsen in dit document.When a user loads data into the Power BI service from non-RLS data sources, the data is stored in Power BI as described in the Data Storage and Movement section found in this document. Als er bij gegevensbronnen zonder RLS gegevens met andere gebruikers worden gedeeld (bijvoorbeeld via een dashboard of rapport) of als de gegevens worden vernieuwd, worden de oorspronkelijke referenties gebruikt voor het openen of weergeven van de gegevens.For non-RLS data sources, when data is shared with other users (such as through a dashboard or report) or a refresh of the data occurs, the original credentials are used to access or display the data.

Beveiliging op rolniveau (RLS)

We zullen het verschil tussen gegevensbronnen met en zonder RLS duidelijk proberen te maken: stel Sam maakt een rapport en een dashboard en deelt deze vervolgens met Abby en Ralph.For a quick example to contrast RLS and non-RLS data sources, imagine Sam creates a report and a dashboard, then shares them with Abby and Ralph. Als de gegevensbronnen in het rapport en dashboard afkomstig zijn van bronnen die geen ondersteuning bieden voor RLS, kunnen Abby en Ralph de gegevens die Sam in het dashboard heeft opgegeven, zien (deze zijn geüpload naar de Power BI-service). Zij kunnen allebei aan de slag met de gegevens.If the data sources used in the report and dashboard are from data sources that do not support RLS, both Abby and Ralph will be able to see the data that Sam included in the dashboard (which was uploaded into the Power BI service) and both Abby and Ralph can then interact with the data. Als Sam daarentegen een rapport en een dashboard maakt op basis van gegevensbronnen die wel ondersteuning bieden voor RLS en deze vervolgens met Abby en Ralph deelt, gebeurt het volgende wanneer Abby het dashboard wilt bekijken:In contrast, if Sam creates a report and dashboard from data sources that do support RLS, then shares it with Abby and Ralph, when Abby attempts to view the dashboard the following occurs:

  1. Omdat het dashboard afkomstig is van een RLS-gegevensbron, wordt bij dashboardvisualisaties kort het bericht "Laden..." weergegeven terwijl de Power BI-service een query naar de gegevensbron stuurt om de gegevensset op te halen die in de verbindingsreeks is opgegeven die is gekoppeld aan de onderliggende query van het dashboard.Since the dashboard is from an RLS data source, the dashboard visualizations will briefly show a "loading" message while the Power BI service queries the data source to retrieve the current dataset specified in the connection string associated with the dashboard's underlying query.

  2. De gegevens worden geopend en opgehaald op basis van de referenties en rol van Abby. Alleen de gegevens waarvoor Abby onvoldoende autorisatie heeft, worden in het dashboard en rapport weergegeven.The data is accessed and retrieved based on Abby's credentials and role, and only data for which Abby has sufficient authorization is loaded into the dashboard and report.

  3. De visualisaties op het dashboard en uit het rapport worden weergegeven op basis van het rolniveau van Abby.The visualizations in the dashboard and report are displayed based on Abby's role level.

Als Ralph het gedeelde dashboard of rapport opent, worden op basis van zijn rolniveau dezelfde handelingen uitgevoerd.If Ralph were to access the shared dashboard or report, the same sequence occurs based on his role level.

Power BI MobilePower BI Mobile

Power BI-Mobiel is een verzameling apps die zijn ontworpen voor de drie primaire mobiele platforms: Android, iOS en Windows Mobile.Power BI Mobile is a collection of apps designed for the three primary mobile platforms: Android, iOS, and Windows Mobile. De beveiligingsoverwegingen voor Power BI Mobile-apps worden onderverdeeld in twee categorieën:Security considerations for Power BI Mobile apps falls into two categories:

  • ApparaatcommunicatieDevice communication
  • De toepassing en gegevens op het apparaatThe application and data on the device

Voor apparaatcommunicatie communiceren alle toepassingen van Power BI - Mobiel met de Power BI-service en gebruiken dezelfde verbinding en verificatiereeksen als browsers, die eerder in dit technisch document uitgebreid zijn beschreven.For device communication, all Power BI Mobile applications communicate with the Power BI service, and use the same connection and authentication sequences used by browsers, which are described in detail earlier in this whitepaper. In de Power BI Mobile-apps voor iOS en Android wordt een browsersessie in de app zelf geopend en in de mobiele app voor Windows wordt een broker geopend om het communicatiekanaal met Power BI tot stand te brengen.The iOS and Android Power BI mobile applications bring up a browser session within the application itself, and the Windows mobile app brings up a broker to establish the communication channel with Power BI.

De volgende tabel geeft een overzicht van de ondersteuning voor op certificaten gebaseerde verificatie (CBA) voor Power BI Mobile op basis van een platform voor mobiele apparaten:The following table lists support of certificate-based authentication (CBA) for Power BI Mobile based on mobile device platform:

CBA-ondersteuningCBA Support iOSiOS AndroidAndroid WindowsWindows
Power BI (aanmelden bij de service)Power BI (sign in to service) Ondersteundsupported Ondersteundsupported Niet ondersteundNot supported
SSRS ADFS (verbinding maken met SSRS-server)SSRS ADFS (connect to SSRS server) Niet ondersteundNot supported OndersteundSupported Niet ondersteundNot supported

Power BI Mobile-apps communiceren actief met de Power BI-service.Power BI Mobile apps actively communicate with the Power BI service. Telemetrie wordt gebruikt voor het verzamelen van gebruiksstatistieken van de mobiele app en vergelijkbare gegevens, die worden verzonden naar services die worden gebruikt voor het controleren van gebruik en activiteit. Er worden geen gegevens verzonden met telemetriegegevens.Telemetry is used to gather mobile app usage statistics and similar data, which is transmitted to services that are used to monitor usage and activity; no personal data is sent with telemetry data.

De Power BI-app op het apparaat slaat gegevens op het apparaat op voor het gebruik van de app:The Power BI application on the device stores data on the device that facilitates use of the app:

  • Azure Active Directory en vernieuwingstokens worden opgeslagen in een beveiligd mechanisme op het apparaat, waarvoor gebruik wordt gemaakt van beveiligingsmaatregelen die voldoen aan de industriestandaard.Azure Active Directory and refresh tokens are stored in a secure mechanism on the device, using industry-standard security measures.

  • De gegevens worden opgeslagen in de cache op het apparaat, die niet direct door de app wordt versleuteldData is cached in storage on the device, which is not directly encrypted by the application itself

  • De instellingen worden ook niet-versleuteld opgeslagen op het apparaat, maar er worden geen gebruikersgegevens opgeslagen.Settings are also stored on the device unencrypted, but no actual user data is stored.

De gegevenscache van Power BI Mobile blijft twee weken op het apparaat staan of totdat de app wordt verwijderd, de gebruiker zich afmeldt bij Power BI Mobile of wanneer de gebruiker zich niet kan aanmelden (bijvoorbeeld doordat het token is verlopen of het wachtwoord is gewijzigd).The data cache from Power BI Mobile remains on the device for two weeks, or until: the app is removed; the user signs out of Power BI Mobile; or the user fails to sign in (such as a token expiration event, or password change). De gegevenscache bevat dashboards en rapporten die eerder zijn geopend vanuit de Power BI Mobile-app.The data cache includes dashboards and reports previously accessed from the Power BI Mobile app.

Power BI Mobile-apps controleren geen mappen op het apparaat.Power BI Mobile applications do not look at folders on the device.

Alle drie de platformen waarvoor Power BI Mobile beschikbaar is, bieden ondersteuning voor Microsoft Intune, een softwareservice voor het beheer van mobiele apparaten en toepassingen.All three platforms for which Power BI Mobile is available support Microsoft Intune, a software service that provides mobile device and application management. Als Intune is ingeschakeld en geconfigureerd, worden gegevens op het mobiele apparaat versleuteld en kan de Power BI-app niet op een SD-kaart worden geïnstalleerd.With Intune enabled and configured, data on the mobile device is encrypted, and the Power BI application itself cannot be installed on an SD card. Meer informatie over Microsoft Intune.You can learn more about Microsoft Intune.

Beveiligingsvragen en -antwoorden voor Power BIPower BI Security Questions and Answers

De volgende vragen zijn algemene beveiligingsvragen en -antwoorden voor Power BI.The following questions are common security questions and answers for Power BI. Deze zijn ingedeeld op basis van de datum waarop ze zijn toegevoegd aan dit technisch document, zodat u snel nieuwe vragen en antwoorden kunt bekijken wanneer dit document is bijgewerkt.These are organized based on when they were added to this whitepaper, to facilitate your ability to quickly find new questions and answers when this paper is updated. De nieuwste vragen worden toegevoegd aan het einde van deze lijst.The newest questions are added to the end of this list.

Hoe maken gebruikers verbinding met gegevensbronnen en hoe worden deze geopend tijdens het gebruik van Power BI?How do users connect to, and gain access to data sources while using Power BI?

  • Power bi referenties en domein referenties: Gebruikers melden zich aan bij Power BI met behulp van een e-mail adres. Wanneer een gebruiker probeert verbinding te maken met een gegevens bron, Power BI het e-mail adres van Power BI aanmelding als referenties door gegeven.Power BI credentials and domain credentials: Users sign in to Power BI using an email address; when a user attempts to connect to a data resource, Power BI passes the Power BI login email address as credentials. Voor domeinverbonden resources (on-premises of in de cloud), wordt het e-mailadres voor aanmelding door de adreslijstservice vergeleken met een user principal name (UPN) om te bepalen of er voldoende referenties zijn om toegang te verlenen.For domain-connected resources (either on-premises or cloud-based), the login email is matched with a User Principal Name (UPN) by the directory service to determine whether sufficient credentials exist to allow access. Voor organisaties die e-mail adressen gebruiken om zich aan te melden bij Power BI (hetzelfde e-mail adres dat wordt gebruikt voor aanmelding bij werk resources, zoals _david@contoso.com_ ), kan de toewijzing naadloos plaatsvinden. voor organisaties die geen werk-gebaseerde e-mail adressen (zoals _david@contoso.onmicrosoft.com_ ) gebruiken, moet Directory toewijzing worden ingesteld om toegang tot on-premises resources met Power bi aanmeldings referenties mogelijk te maken.For organizations that use work-based email addresses to sign in to Power BI (the same email they use to login to work resources, such as _david@contoso.com_), the mapping can occur seamlessly; for organizations that did not use work-based email addresses (such as _david@contoso.onmicrosoft.com_), directory mapping must be established in order to allow access to on-premises resources with Power BI login credentials.

  • SQL Server Analysis Services en Power BI: Voor organisaties die gebruikmaken van on-premises SQL Server Analysis Services, biedt Power BI de Power BI on-premises gegevens gateway (een Gateway, waarnaar wordt verwezen in vorige gedeelten).SQL Server Analysis Services and Power BI: For organizations that use on-premises SQL Server Analysis Services, Power BI offers the Power BI on-premises data gateway (which is a Gateway, as referenced in previous sections). De Power BI on-premises gegevensgateway kan beveiliging op rolniveau op gegevensbronnen (RLS) afdwingen.The Power BI on-premises data gateway can enforce role-level security on data sources (RLS). Zie Gebruikersverificatie voor gegevensbronnen eerder in dit document voor meer informatie over RLS.For more information on RLS, see User Authentication to Data Sources earlier in this document. Zie on-premises gegevens gatewayvoor meer informatie over gateways.For more information about gateways, see on-premises data gateway.

    Bovendien kunnen organisaties Kerberos gebruiken voor de eenmalige aanmelding (SSO) en naadloos vanuit Power BI verbinding maken met on-premises gegevensbronnen, zoals SQL Server, SAP HANA en Teradata.In addition, organizations can use Kerberos for single sign-on (SSO) and seamlessly connect from Power BI to on-premises data sources such as SQL Server, SAP HANA, and Teradata. Zie Kerberos gebruiken voor eenmalige aanmelding (SSO) bij on-premises gegevensbronnen vanuit Power BI voor meer informatie en de specifieke configuratievereisten.For more information, and the specific configuration requirements, see Use Kerberos for SSO from Power BI to on-premises data sources.

  • Niet-domein verbindingen: voor gegevens verbindingen die geen lid zijn van een domein en niet geschikt zijn voor beveiliging op rollen niveau, moet de gebruiker referenties opgeven tijdens de verbindings reeks, die Power bi vervolgens door gegeven aan de gegevens bron om de verbinding tot stand te brengen.Non-domain connections: For data connections that are not domain-joined and not capable of Role Level Security (RLS), the user must provide credentials during the connection sequence, which Power BI then passes to the data source to establish the connection. Als er voldoende machtigingen zijn, worden de gegevens vanuit de gegevensbron in de Power BI-service geladen.If permissions are sufficient, data is loaded from the data source into the Power BI service.

Hoe worden gegevens overgedragen naar Power BI?How is data transferred to Power BI?

  • Alle gegevens die zijn aangevraagd en worden verzonden door Power BI, worden tijdens de overdracht versleuteld via HTTPS om verbinding te maken tussen de gegevensbron en de Power BI-service.All data requested and transmitted by Power BI is encrypted in transit using HTTPS to connect from the data source to the Power BI service. Er wordt een beveiligde verbinding met de gegevensprovider gemaakt en de gegevens stromen pas in het netwerk nadat de verbinding tot stand is gebracht.A secure connection is established with the data provider, and only once that connection is established will data traverse the network.

Hoe worden rapporten, dashboards of modelgegevens in Power BI opgeslagen en zijn deze veilig?How does Power BI cache report, dashboard, or model data, and is it secure?

  • Wanneer een gegevensbron wordt geopend, volgt de Power BI-service het proces dat eerder in dit document wordt beschreven in de sectie Gegevensopslag en -verplaatsing.When a data source is accessed, the Power BI service follows the process outlined in the Data Storage and Movement section earlier in this document.

Worden gegevens van webpagina's lokaal opgeslagen door clients?Do clients cache web page data locally?

  • Wanneer browserclients Power BI openen, stellen de webservers van Power BI de instructie Cache-Control in op no-store.When browser clients access Power BI, the Power BI web servers set the Cache-Control directive to no-store. De instructie no-store geeft browsers de opdracht om de webpagina die door de gebruiker wordt bekeken niet op te slaan in de cache of in de cachemap van de client.The no-store directive instructs browsers not to cache the web page being viewed by the user, and not to store the web page in the client's cache folder.

Hoe zit het met beveiliging op basis van rollen, het delen van rapporten of Dash boards en gegevens verbindingen? Hoe werkt dat in termen van toegang tot gegevens, het weer geven van Dash boards, toegang tot rapporten of vernieuwen?What about role-based security, sharing reports or dashboards, and data connections? How does that work in terms of data access, dashboard viewing, report access or refresh?

  • Voor niet-RLS ingeschakelde gegevensbronnen geldt dat wanneer een dashboard, rapport of gegevensmodel wordt gedeeld met andere gebruikers via Power BI, de gegevens beschikbaar zijn voor gebruikers waarmee deze worden gedeeld voor weergave en gebruik.For non-Role Level Security (RLS) enabled data sources, if a dashboard, report, or data model is shared with other users through Power BI, the data is then available for users with whom it is shared to view and interact with. Power BI verifieert gebruikers niet opnieuw aan de hand van de oorspronkelijke bron van de gegevens; zodra de gegevens zijn geüpload naar Power BI, is de gebruiker die is geverifieerd aan de hand van de brongegevens verantwoordelijk voor de toegang tot de gegevens door gebruikers en groepen.Power BI does not re-authenticate users against the original source of the data; once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data.

    Wanneer gegevensverbindingen worden gemaakt met een RLS-compatibele gegevensbron, zoals een Analysis Services-gegevensbron, worden alleen dashboardgegevens in de cache van Power BI opgeslagen.When data connections are made to an RLS -capable data source, such as an Analysis Services data source, only dashboard data is cached in Power BI. Telkens wanneer een rapport of gegevensset wordt weergegeven of geopend in Power BI die gebruikmaakt van gegevens uit de RLS-compatibele gegevensbron, opent de Power BI-service de gegevensbron om gegevens op te halen op basis van de referenties van de gebruiker. Als de gebruiker voldoende machtigingen heeft, worden de gegevens geladen in het rapport of gegevensmodel voor de gebruiker.Each time a report or dataset is viewed or accessed in Power BI that uses data from the RLS-capable data source, the Power BI service accesses the data source to get data based on the user's credentials, and if sufficient permissions exist, the data is loaded into the report or data model for that user. Als de verificatie mislukt, wordt een fout weergegeven.If authentication fails, the user will see an error.

    Zie de sectie Gebruikersverificatie voor gegevensbronnen eerder in dit document voor meer informatie.For more information, see the User Authentication to Data Sources section earlier in this document.

Onze gebruikers maken steeds verbinding met dezelfde gegevens bronnen, waarvan sommige referenties zijn vereist die afwijken van de referenties van hun domein. Hoe kan het voor komen dat deze referenties worden ingevoerd telkens wanneer ze een gegevens verbinding maken?Our users connect to the same data sources all the time, some of which require credentials that differ from their domain credentials. How can they avoid having to input these credentials each time they make a data connection?

  • Power BI ondersteunt de Power BI Personal Gateway. Hiermee kunnen gebruikers referenties voor meerdere verschillende gegevensbronnen maken en deze referenties vervolgens automatisch gebruiken voor toegang tot een van deze gegevensbronnen.Power BI offers the Power BI Personal Gateway, which is a feature that lets users create credentials for multiple different data sources, then automatically use those credentials when subsequently accessing each of those data sources. Zie Power BI Personal Gateway voor meer informatie.For more information, see Power BI Personal Gateway.

Hoe werken Power BI-groepen?How do Power BI Groups work?

  • Met Power BI-groepen kunnen gebruikers in een team snel en eenvoudig samenwerken aan dashboards, rapporten en gegevensmodellen.Power BI Groups allow users to quickly and easily collaborate on the creation of dashboards, reports, and data models within established teams. Als u bijvoorbeeld een Power BI-groep hebt met iedereen in uw directe team, kunt u eenvoudig samenwerken met uw team door de groep in Power BI te selecteren.For example, if you have a Power BI Group that includes everyone in your immediate team, you can easily collaborate with everyone on your team by selecting the Group from within Power BI. Power BI-groepen werken hetzelfde als Office 365 universele groepen (die u kunt maken en beheren en waar u meer informatie over kunt vinden), en maken gebruik van dezelfde verificatiemechanismen die worden gebruikt in Azure Active Directory om gegevens te beveiligen.Power BI Groups are equivalent to Office 365 Universal Groups (which you can learn about, create, and manage), and use the same authentication mechanisms used in Azure Active Directory to secure data. U kunt groepen maken in Power BI of een universele groep in het Microsoft 365-beheercentrum maken. Dit heeft hetzelfde resultaat.You can create groups in Power BI or create a Universal Group in Microsoft 365 admin center; either has the same result for group creation in Power BI.

    Voor gegevens die worden gedeeld met Power BI-groepen gelden dezelfde veiligheidsoverwegingen als voor andere gedeelde gegevens in Power BI.Note that data shared with Power BI Groups follows the same security consideration as any shared data in Power BI. Voor niet-RLS gegevensbronnen verifieert Power BI gebruikers niet opnieuw aan de hand van de oorspronkelijke gegevensbron; zodra de gegevens zijn geüpload naar Power BI, is de gebruiker die is geverifieerd aan de hand van de brongegevens verantwoordelijk voor de toegang tot de gegevens door gebruikers en groepen.For non-RLS data sources Power BI does not re-authenticate users against the original source of data, and once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data. Zie de sectie Gebruikersverificatie voor gegevensbronnen eerder in dit document voor meer informatie.For more information, see the User Authentication to Data Sources section earlier in this document.

    Lees meer informatie over Groepen in Power BI.You can get more information about Groups in Power BI.

Welke poorten worden gebruikt door de on-premises gegevens gateway en de persoonlijke gateway? Zijn er domein namen die moeten worden toegestaan voor connectiviteits doeleinden?Which ports are used by on-premises data gateway and personal gateway? Are there any domain names that need to be allowed for connectivity purposes?

  • Het gedetailleerde antwoord op deze vraag is beschikbaar via de volgende koppeling: Gateway poortenThe detailed answer to this question is available at the following link: Gateway ports

Hoe worden er herstel sleutels gebruikt en waar worden deze opgeslagen bij het opslaan van de on-premises gegevens gateway? Hoe zit het met beveiligd referentie beheer?When working with the on-premises data gateway, how are recovery keys used and where are they stored? What about secure credential management?

  • Tijdens de installatie en configuratie van de gateway geeft de beheerder een herstelsleutel voor de gateway op.During gateway installation and configuration, the administrator types in a gateway Recovery Key. Deze herstel sleutel wordt gebruikt voor het genereren van een sterke AES symmetrische sleutel.That Recovery Key is used to generate a strong AES symmetric key. Er wordt ook een asymmetrische RSA -sleutel gemaakt.An RSA asymmetric key is also created at the same time.

    De gegenereerde sleutels (RSA en AES) worden opgeslagen in een bestand op de lokale computer.Those generated keys (RSA and AES) are stored in a file located on the local machine. Dit bestand is eveneens versleuteld.That file is also encrypted. De inhoud van het bestand kan alleen worden ontsleuteld door de specifieke Windows-computer en uitsluitend door dat specifieke gatewayserviceaccount.The contents of the file can only be decrypted by that particular Windows machine, and only by that particular gateway service account.

    Wanneer een gebruiker referenties van de gegevensbron invoert in de gebruikersinterface van de Power BI-service, worden de referenties versleuteld met de openbare sleutel in de browser.When a user enters data source credentials in the Power BI service UI, the credentials are encrypted with the public key in the browser. De gateway ontsleutelt de referenties met behulp van de persoonlijke RSA-sleutel en versleutelt deze opnieuw met een AES symmetrische sleutel voordat de gegevens worden opgeslagen in de Power BI-service.The gateway decrypts the credentials using the RSA private key and re-encrypts them with an AES symmetric key before the data is stored in the Power BI service. Door dit proces heeft de Power BI-service nooit toegang tot de niet-versleutelde gegevens.With this process, the Power BI service never has access to the unencrypted data.

Welke communicatieprotocollen worden gebruikt door de on-premises gegevensgateway en hoe zijn deze beveiligd?Which communication protocols are used by the on-premises data gateway, and how are they secured?

  • De gateway ondersteunt de volgende twee communicatieprotocollen:The gateway supports the following two communications protocols:

    • AMQP 1,0 – TCP + TLS: voor dit protocol zijn de poorten 443, 5671-5672 en 9350-9354 vereist om te worden geopend voor uitgaande communicatie.AMQP 1.0 – TCP + TLS: This protocol requires ports 443, 5671-5672, and 9350-9354 to be open for outgoing communication. Dit protocol heeft de voorkeur vanwege de lagere overhead aan communicatie.This protocol is preferred, since it has lower communication overhead.

    • Https: Websockets via https + TLS: voor dit protocol wordt alleen poort 443 gebruikt.HTTPS – WebSockets over HTTPS + TLS: This protocol uses port 443 only. De WebSocket wordt geïnitieerd door één HTTP CONNECT-bericht.The WebSocket is initiated by a single HTTP CONNECT message. Nadat het kanaal is ingesteld, is de communicatie in feite TCP + TLS.Once the channel is established, the communication is essentially TCP+TLS. U kunt afdwingen dat de gateway dit protocol gebruikt door een instelling te wijzigen die wordt beschreven in het artikel on-premises gateway.You can force the gateway to use this protocol by modifying a setting described in the on-premises gateway article.

Wat is de rol van Azure CDN in Power BI?What is the role of Azure CDN in Power BI?

  • Zoals eerder vermeld, gebruikt Power BI het Azure Content Delivery Network (CDN) om de benodigde statische inhoud en bestanden op een efficiënte manier te distribueren naar gebruikers op basis van geografische landinstelling.As mentioned previously, Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale. Specifieker gezegd, de Power BI-service maakt gebruik van meerdere CDN's om de benodigde statische inhoud en bestanden op een efficiënte manier te distribueren naar gebruikers via het openbare internet.To go into further detail, the Power BI service uses multiple CDNs to efficiently distribute necessary static content and files to users through the public Internet. Deze statische bestanden bevatten productdownloads (zoals Power BI Desktop, de on-premises gegevensgateway of Power BI-apps van verschillende onafhankelijke serviceproviders), browserconfiguratiebestanden die worden gebruikt om volgende verbindingen met de Power BI-service te initiëren en tot stand te brengen, en de eerste, beveiligde Power BI-aanmeldingspagina.These static files include product downloads (such as Power BI Desktop, the on-premises data gateway, or Power BI apps from various independent service providers), browser configuration files used to initiate and establish any subsequent connections with the Power BI service, as well as the initial secure Power BI login page.

    Op basis van informatie die tijdens een eerste verbinding met de Power BI-service wordt opgegeven, neemt de browser van een gebruiker contact op met de opgegeven Azure CDN (of voor bepaalde bestanden de WFE) voor het downloaden van de verzameling opgegeven algemene bestanden die nodig zijn voor de interactie van de browser met de Power BI-service.Based on information provided during an initial connection to the Power BI service, a user's browser contacts the specified Azure CDN (or for some files, the WFE) to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. De browserpagina bevat dan tijdens de duur van de browsersessie van de Power BI-service het AAD-token, sessiegegevens, de locatie van het gekoppelde back-endcluster en de verzameling bestanden die zijn gedownload uit het Azure CDN- en WFE-cluster.The browser page then includes the AAD token, session information, the location of the associated Back-End cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

Voor Power BI visuals voert micro soft een beveiligings-of privacy-evaluatie uit van de aangepaste Visual code voordat items naar de galerie worden gepubliceerd?For Power BI visuals, does Microsoft perform any security or privacy assessment of the custom visual code prior to publishing items to the Gallery?

  • Nee.No. Het is de verantwoordelijkheid van de klant om te controleren en te bepalen of aangepaste visualcode betrouwbaar is.It is the customer's responsibility to review and determine whether custom visual code should be relied upon. Alle aangepaste visualcode wordt in een sandbox-omgeving uitgevoerd zodat eventuele onjuiste code in een aangepaste visual geen nadelige invloed heeft op de rest van de Power BI-service.All custom visual code is operated in a sandbox environment, so that any errant code in a custom visual does not adversely affect the rest of the Power BI service.

Zijn er andere Power BI-visuals waarmee gegevens buiten het klantnetwerk worden verzenden?Are there other Power BI visuals that send information outside the customer network?

  • Ja.Yes. Met Bing Maps- en ESRI-visuals worden gegevens buiten de Power BI-service verzonden voor visuals die gebruikmaken van deze services.Bing Maps and ESRI visuals transmit data out of the Power BI service for visuals that use those services.

Voor sjabloon-apps voert micro soft een beveiligings-of privacy-evaluatie uit van de sjabloon-app voordat items naar de galerie worden gepubliceerd?For Template Apps, does Microsoft perform any security or privacy assessment of the Template app prior to publishing items to the Gallery?

  • Nee.No. De uitgever van de app is verantwoordelijk voor de inhoud terwijl de verantwoordelijkheid van de klant kan controleren en bepalen of de uitgever van de sjabloon app moet worden vertrouwd.The app publisher is responsible for the content while the customer's responsibility to review and determine whether to trust the Template app publisher.

Zijn er sjabloon-apps die informatie kunnen verzenden buiten het netwerk van de klant?Are there Template apps that can send information outside the customer network?

  • Ja.Yes. Het is de verantwoordelijkheid van de klant om het privacybeleid van de uitgever te controleren en te bepalen of de sjabloon-app moet worden geïnstalleerd op de Tenant.It is the customer's responsibility to review the publisher's privacy policy and determine whether to install the Template app on Tenant. Bovendien is de uitgever verantwoordelijk voor een melding van het gedrag en de mogelijkheden van de app.Furthermore, the publisher is responsible to notify of the app's behavior and capabilities.

Hoe zit het met data soevereiniteit? Kunnen we tenants inrichten in data centers die zich in specifieke geografies bevinden, om ervoor te zorgen dat gegevens de land grenzen niet behouden?What about data sovereignty? Can we provision tenants in data centers located in specific geographies, to ensure data doesn't leave the country borders?

  • Sommige klanten in bepaalde geografische gebieden hebben de mogelijkheid om een tenant te maken in een nationale cloud waar de opslag en verwerking van gegevens gescheiden blijft van alle andere datacenters.Some customers in certain geographies have an option to create a tenant in a national cloud, where data storage and processing is kept separate from all other datacenters. De beveiliging van nationale clouds is iets anders omdat een afzonderlijke gegevensbeheerder namens Microsoft de nationale cloud met de Power BI-service uitvoert.National clouds have a slightly different type of security, since a separate data trustee operates the national cloud Power BI service on behalf of Microsoft.

    Daarnaast kunnen klanten een tenant in een specifieke regio instellen, maar dergelijke tenants hebben geen afzonderlijke gegevensbeheerder van Microsoft.Alternatively customers can also set up a tenant in a specific region, however, such tenants do not have a separate data trustee from Microsoft. Prijzen voor nationale clouds verschillen van die voor de algemeen beschikbare commerciële Power BI-service.Pricing for national clouds is different from the generally available commercial Power BI service. Zie Nationale Power BI-clouds voor meer informatie over de beschikbaarheid van de Power BI-service voor nationale clouds.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Hoe behandelen micro soft verbindingen voor klanten die Power BI Premium-abonnementen hebben? Zijn deze verbindingen anders dan die welke zijn ingesteld voor de niet-Premium Power BI-service?How does Microsoft treat connections for customers who have Power BI Premium subscriptions? Are those connections different than those established for the non-Premium Power BI service?

  • Met de verbindingen voor klanten met Power BI Premium-abonnementen wordt een autorisatieproces van Azure Business-to-Business (B2B) geïmplementeerd waarbij Azure Active Directory (AD) wordt gebruikt voor toegangsbeheer en autorisatie.The connections established for customers with Power BI Premium subscriptions implement an Azure Business-to-Business (B2B) authorization process, using Azure Active Directory (AD) to enable access control and authorization. Verbindingen met Power BI Premium-resources van Power BI Premium-abonnees worden met Power BI net zo afgehandeld als voor elke andere Azure AD-gebruiker.Power BI handles connections from Power BI Premium subscribers to Power BI Premium resources just as it would any other Azure AD user.

ConclusieConclusion

De Power BI-service-architectuur is gebaseerd op twee clusters: het cluster Web Front End (WFE) en het back-endcluster.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Het cluster WFE verantwoordelijk is voor de eerste verbinding en verificatie met de Power BI-service. Eenmaal geverifieerd, verwerkt de Back-End alle daaropvolgende gebruikersinteracties.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. Power BI maakt gebruik van Azure Active Directory (AAD) om gebruikers-id's op te slaan en beheren en beheert de opslag van gegevens en metagegevens met respectievelijk Azure Blob en Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure Blob and Azure SQL Database, respectively.

Gegevensopslag en gegevensverwerking in Power BI verschillen al naar gelang de gegevens worden geopend met behulp van een DirectQuery en zijn ook afhankelijk van of de gegevensbronnen zich in de cloud of on-premises bevinden.Data storage and data processing in Power BI differs based on whether data is accessed using a DirectQuery, and is also dependent on whether data sources are in the cloud or on-premises. Power BI is tevens geschikt voor het afdwingen van beveiliging op rolniveau (RLS) en communiceert met gateways die toegang bieden tot on-premises gegevens.Power BI is also capable of enforcing Role Level Security (RLS) and interacts with Gateways that provide access to on-premises data.

Feedback en suggestiesFeedback and Suggestions

We stellen uw feedback op prijs.We appreciate your feedback. We horen graag of u suggesties hebt voor verbeteringen, aanvullingen of verduidelijkingen van dit technische document of van andere inhoud met betrekking tot Power BI.We're interested in hearing any suggestions you have for improvement, additions, or clarifications to this whitepaper, or other content related to Power BI. Uw suggesties verzenden naar pbidocfeedback@microsoft.com .Send your suggestions to pbidocfeedback@microsoft.com.

Aanvullende resourcesAdditional Resources

Raadpleeg de volgende resources voor meer informatie over Power BI.For more information on Power BI, see the following resources.