Zabezpieczenia usługi Power BIPower BI Security

Aby uzyskać szczegółowy opis zabezpieczeń usługi Power BI, przeczytaj oficjalny dokument na temat zabezpieczeń usługi Power BI.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Usługa Power BI jest oparta na platformie Azure — infrastrukturze i platformie obliczeniowej w chmurze firmy Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Architektura usługi Power BI opiera się na dwóch klastrach — klastrze frontonu internetowego i klastrze zaplecza.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Klaster frontonu internetowego zarządza początkowym połączeniem i uwierzytelnianiem w usłudze Power BI, a po uwierzytelnieniu wszystkie kolejne interakcje użytkownika są obsługiwane przez zaplecze.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Usługa Power BI używa usługi Azure Active Directory (AAD) do przechowywania tożsamości użytkowników i zarządzania nimi oraz zarządza magazynem danych i metadanych przy użyciu, odpowiednio, usługi Azure BLOB i usługi Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Architektura usługi Power BIPower BI Architecture

Każde wdrożenie usługi Power BI składa się z dwóch klastrów — klastra frontonu internetowego i klastra zaplecza.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

Klaster frontonu internetowego zarządza procesem początkowego połączenia i uwierzytelniania dla usługi Power BI, używając usługi AAD do uwierzytelniania klientów i zapewnienia tokenów dla kolejnych połączeń klienta z usługą Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Usługa Power BI korzysta również z usługi Azure Traffic Manager (ATM) w celu kierowania ruchu użytkowników do najbliższego centrum danych, określonego przez rekord DNS klienta próbującego nawiązać połączenie, na potrzeby procesu uwierzytelniania oraz w celu pobrania zawartości statycznej i plików.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Usługa Power BI korzysta z usługi Content Delivery Network (CDN) , aby skutecznie dostarczać niezbędną zawartość statyczną i pliki do użytkowników na podstawie geograficznych ustawień regionalnych.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Diagram przedstawiający architekturę usługi Power B I dla klastra frontonu internetowego.

Klaster zaplecza określa sposób interakcji uwierzytelnionych klientów z usługą Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. Klaster zaplecza zarządza wizualizacjami, pulpitami nawigacyjnymi użytkownika, zestawami danych, raportami, magazynem danych, połączeniami danych, odświeżaniem danych i innymi aspektami interakcji z usługą Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Rola bramy działa jako brama między żądaniami użytkownika a usługą Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Użytkownicy nie wchodzą w bezpośrednie interakcje z żadnymi rolami innymi niż rola bramy.Users do not interact directly with any roles other than the Gateway Role. Usługa Azure API Management będzie ostatecznie obsługiwać rolę bramy.Azure API Management will eventually handle the Gateway Role.

Diagram przedstawiający architekturę usługi Power B I dla klastra zaplecza internetowego.

Ważne

Należy koniecznie pamiętać, że tylko role usługi Azure API Management (APIM) i bramy (GW) są dostępne za pośrednictwem publicznego Internetu.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Zapewniają one funkcje uwierzytelniania, autoryzacji, ochrony DDoS, ograniczania, równoważenia obciążenia, routingu i inne możliwości.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Zabezpieczenia magazynu danychData Storage Security

Usługa Power BI korzysta z dwóch głównych repozytoriów na potrzeby przechowywania danych i zarządzania nimi: dane przekazywane przez użytkowników są zwykle wysyłane do magazynu usługi Azure BLOB, a wszystkie metadane, jak również artefakty dla samego systemu, są przechowywane w usłudze Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

Linia kropkowana na obrazie klastra zaplecza powyżej pokazuje granicę między jedynymi dwoma składnikami dostępnymi dla użytkowników (po lewej stronie linii kropkowanej) i rolami dostępnymi tylko dla systemu.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Gdy uwierzytelniony użytkownik nawiązuje połączenie z usługą Power BI, połączenie i wszelkie żądania klienta są akceptowane i zarządzane przez rolę bramy (ostatecznie mają być obsługiwane przez usługę Azure API Management), która następnie w imieniu użytkownika wchodzi w interakcję z pozostałą częścią usługi Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Na przykład kiedy klient próbuje wyświetlić pulpit nawigacyjny, rola bramy akceptuje to żądanie, a następnie oddzielnie wysyła żądanie do roli prezentacji, aby pobrać dane potrzebne przeglądarce do renderowania pulpitu nawigacyjnego.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Uwierzytelnianie użytkownikaUser Authentication

Usługa Power BI używa usługi Azure Active Directory (AAD) do uwierzytelnienia użytkowników, którzy logują się do usługi Power BI, a następnie korzysta z poświadczeń logowania usługi Power BI zawsze, gdy użytkownicy próbują uzyskać dostęp do zasobów, które wymagają uwierzytelniania.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Użytkownik loguje się do usługi Power BI przy użyciu adresu e-mail użytego do założenia jego konta e-mail. Usługa Power BI używa tego adresu e-mail logowania jako obowiązującej nazwy użytkownika, która jest przekazywana do zasobów przy każdej próbie połączenia się z danymi.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Obowiązująca nazwa użytkownika jest następnie mapowana na główną nazwę użytkownika (UPN) i rozpoznawana jako skojarzone konto domeny systemu Windows, względem którego zastosowano uwierzytelnianie.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

W przypadku organizacji, które używały służbowych adresów e-mail jako danych logowania w usłudze Power BI (na przykład david@contoso.com), mapowanie obowiązującej nazwy użytkownika na nazwę UPN jest proste.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. W przypadku organizacji, które nie używały służbowych adresów e-mail do logowania w usłudze Power BI (na przykład david@contoso.onmicrosoft.com), mapowanie poświadczeń między usługą AAD i kontami lokalnymi będzie wymagało synchronizacji katalogów, aby wszystko działało poprawnie.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Zabezpieczenia platformy dla usługi Power BI obejmują również zabezpieczenia środowiska wielodostępnego, zabezpieczenia sieci oraz możliwość stosowania dodatkowych środków bezpieczeństwa opartych na usłudze AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Zabezpieczenia danych i usługiData and Service Security

Aby uzyskać więcej informacji, odwiedź stronę Centrum zaufania firmy Microsoft.For more information, please visit the Microsoft Trust Center.

Zgodnie z opisem we wcześniejszej części tego artykułu, dane logowania użytkownika usługi Power BI są używane przez serwery lokalne usługi Active Directory do mapowania nazwy UPN dla poświadczeń.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Należy jednak pamiętać, że użytkownicy są odpowiedzialni za dane, które udostępniają: jeśli użytkownik łączy się ze źródłami danych przy użyciu swoich poświadczeń, a następnie udostępnia raport (lub pulpit nawigacyjny, zestaw danych) na podstawie tych danych, użytkownicy, którym pulpit nawigacyjny jest udostępniany, nie są uwierzytelniani względem oryginalnego źródła danych i zostanie im przyznany dostęp do raportu.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Wyjątkiem są połączenia z usługami SQL Server Analysis Services przy użyciu lokalnej bramy danych. W tym przypadku pulpity nawigacyjne są buforowane w usłudze Power BI, ale próba dostępu do podstawowych raportów lub zestawów danych zainicjuje uwierzytelnianie użytkownika próbującego uzyskać dostęp do raportu (lub zestawu danych) i dostęp zostanie udzielony tylko w przypadku, gdy ten użytkownik ma wystarczające poświadczenia, aby uzyskać dostęp do danych.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Aby uzyskać więcej informacji, zobacz szczegółowe omówienie lokalnej brany danych.For more information, see On-premises data gateway deep dive.

Wymuszanie użycia wersji protokołu TLSEnforcing TLS version usage

Administratorzy sieci i IT mogą wymusić wymaganie dotyczące używania bieżącego protokołu TLS (Transport Layer Security) do dowolnej bezpiecznej komunikacji w sieci.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. System Windows zapewnia obsługę wersji protokołu TLS przez dostawcę pakietu Microsoft Schannel, jak opisano w artykule dotyczącym dostawcy usług udostępnionych TLS Schannel.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

To wymuszenie można przeprowadzić przez administracyjne ustawienie kluczy rejestru.This enforcement can be done by administratively setting registry keys. Wymuszenie opisano w artykule Managing SSL Protocols in AD FS (Zarządzanie protokołami SSL w usługach AD FS).Enforcement is described in the Managing SSL Protocols in AD FS article.

Program Power BI Desktop obsługuje ustawienia klucza rejestru opisane w tych artykułach oraz tylko utworzone połączenia korzystające z wersji protokołu TLS dozwolonego w oparciu o te ustawienia rejestru, jeśli występują.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Aby uzyskać więcej informacji dotyczących ustawienia tych kluczy rejestru, zobacz artykuł TLS Registry Settings (Ustawienia rejestru protokołu TLS).For more information about setting these registry keys, see the TLS Registry Settings article.