Segurança do Power BIPower BI Security

Para obter uma explicação detalhada sobre a segurança do Power BI, baixe o white paper intitulado Segurança do Power BI:For a detailed explanation of Power BI security, please download the Power BI Security whitepaper:

O serviço do Power BI se baseia no Azure, que é a plataforma e infraestrutura de computação em nuvem da Microsoft.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. A arquitetura do serviço do Power BI se baseia em dois clusters – o cluster da Web de Front-End (WFE) e o cluster de Back-End .The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back End cluster. O cluster WFE é responsável pela conexão inicial e autenticação do serviço do Power BI e, uma vez autenticado, o Back-End manipula todas as interações de usuário subsequentes.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. O Power BI usa o Azure Active Directory (AAD) para armazenar e gerenciar identidades de usuário e gerencia o armazenamento de dados e metadados pelo uso de BLOB do Azure e Banco de Dados SQL do Azure, respectivamente.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Arquitetura do Power BIPower BI Architecture

Cada implantação do Power BI consiste de dois clusters – um cluster da Web de Front-End (WFE) e um cluster de Back-End .Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back End cluster.

O cluster WFE gerencia o processo de conexão e autenticação inicial para o Power BI, usando AAD para autenticar clientes e fornecer tokens para conexões de cliente subsequentes ao serviço do Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. O Power BI também usa o ATM ( Gerenciador de Tráfego do Azure ) para direcionar o tráfego de usuário para o datacenter mais próximo, determinado pelo registro DNS do cliente buscando conectar-se, para o processo de autenticação e para baixar conteúdo estático e arquivos.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. O Power BI usa a CDN ( Rede de Distribuição de Conteúdo ) para distribuir de modo eficiente os arquivos e o conteúdo estático necessários aos usuários, com base na localidade geográfica.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

O cluster de Back-End é como os clientes autenticados interagem com o serviço do Power BI.The Back End cluster is how authenticated clients interact with the Power BI service. O cluster de Back-End gerencia visualizações, painéis do usuário, conjuntos de dados, relatórios, armazenamento de dados, conexões de dados, a atualização de dados e outros aspectos de interação com o serviço do Power BI.The Back End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. A Função do Gateway age como um gateway entre solicitações do usuário e o serviço do Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Os usuários não interagem diretamente com nenhuma função, exceto a Função do Gateway.Users do not interact directly with any roles other than the Gateway Role. Gerenciamento de API do Azure eventualmente tratará da Função do Gateway.Azure API Management will eventually handle the Gateway Role.

Importante

É fundamental observar que somente as funções de APIM (Gerenciamento de API do Azure) e GW (Gateway) podem ser acessadas pela Internet pública.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Elas fornecem autenticação, autorização, proteção DDoS, Limitação, Balanceamento de Carga, Roteamento e outros recursos.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Segurança de Armazenamento de DadosData Storage Security

O Power BI usa dois repositórios primários para armazenar e gerenciar dados: os dados carregados por usuários são enviados normalmente ao armazenamento de BLOB do Azure , enquanto todos os metadados e também os artefatos para o próprio sistema são armazenados no Banco de Dados SQL do Azure.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

A linha pontilhada na imagem do cluster de Back-End , representada acima, esclarece o limite entre apenas dois componentes que podem ser acessados por usuários (à esquerda da linha pontilhada) e funções que só podem ser acessadas pelo sistema.The dotted line in the Back End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Quando um usuário autenticado se conecta ao Serviço do Power BI a conexão, assim como qualquer solicitação feita pelo cliente, é aceita e gerenciada pela Função do Gateway (para ser eventualmente tratada pelo Gerenciamento de API do Azure), que então interage em nome do usuário com o restante do Serviço do Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Por exemplo, quando um cliente tenta exibir um painel, a Função do Gateway aceita a solicitação e envia separadamente uma solicitação para a Função de Apresentação para recuperar os dados necessários para que o navegador renderize o painel.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Autenticação de UsuárioUser Authentication

O Power BI usa o AAD (Azure Active Directory) para autenticar os usuários que fazem logon no serviço do Power BI e, em seguida, usa as credenciais de logon do Power BI sempre que um usuário tenta acessar recursos que exigem autenticação.Power BI uses Azure Active Directory (AAD) to authenticate users who login to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempt to resources that require authentication. Os usuários fazem logon no serviço do Power BI usando o endereço de email usado para estabelecer sua conta do Power BI; o Power BI usa esse email de logon como o usuário efetivo, que é passado para os recursos sempre que um usuário tenta se conectar a dados.Users login to the Power BI service using the email address used to establish their Power BI account; Power BI uses the that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. O nome de usuário efetivo é então mapeado para um UPN (Nome UPN) e resolvido para a conta de domínio do Windows associada, na qual a autenticação é aplicada.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Para organizações que usaram emails de trabalho para o logon do Power BI (como david@contoso.com), o mapeamento de usuário efetivo para UPN é simples.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Para organizações que não usaram emails de trabalho para efetuar logon no Power BI (como david@contoso.onmicrosoft.com), o mapeamento entre o AAD e as credenciais locais exigirá que a sincronização de diretório funcione corretamente.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

A segurança da plataforma para o Power BI também inclui a segurança do ambiente multilocatário, a segurança de rede e a capacidade de adicionar medidas de segurança adicionais baseadas no AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Segurança do Serviço e de DadosData and Service Security

Para obter mais informações, visite a Central de Confiabilidade da Microsoft.For more information, please visit the Microsoft Trust Center.

Conforme descrito anteriormente neste artigo, o logon do Power BI de um usuário é usado por servidores locais do Active Directory para realizar o mapeamento de um UPN para determinadas credenciais.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. No entanto, é importante observar que os usuários são responsáveis pelos dados que compartilham: se um usuário se conecta a fontes de dados usando suas credenciais e compartilha um relatório (ou um painel ou conjunto de dados) com base nesses dados, os usuários com quem o painel é compartilhado não são autenticados em relação à fonte de dados original; nesse caso, acesso ao relatório será concedido a esses usuários.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using her credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Uma exceção ocorre no caso de conexões ao SQL Server Analysis Services usando o gateway de dados local. Os dashboards são armazenados em cache no Power BI, mas o acesso aos relatórios ou aos conjuntos de dados subjacentes inicia a autenticação para o usuário que está tentando acessar o relatório (ou o conjunto de dados), sendo que o acesso só será concedido se o usuário tiver credenciais suficientes para acessar os dados.An exception is connections to SQL Server Analysis Services using the on-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiate authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Para obter mais informações, veja Detalhes sobre o gateway de dados local.For more information, see On-premises data gateway deep dive.