Безопасность Power BIPower BI Security

Чтобы получить подробное описание системы безопасности в Power BI, ознакомьтесь с техническим документом по безопасности Power BI.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Служба Power BI работает на базе Azure— инфраструктуре и платформе корпорации Майкрософт для облачных вычислений.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Архитектура службы Power BI построена на двух кластерах — внешнем веб-кластере (WFE) и внутреннем кластере.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Кластер WFE отвечает за первоначальное соединение и проверку подлинности в службе Power BI, после чего все остальные операции пользователя выполняются через внутренний кластер.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Для хранения удостоверений пользователей и управления этими удостоверениями Power BI использует Azure Active Directory (AAD), а для управления хранение данных и метаданных — соответственно большие двоичные объекты Azure и Базу данных SQL Azure.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Архитектура Power BIPower BI Architecture

Каждое развертывание Power BI состоит из двух кластеров — внешнего веб-кластера(WFE) и внутреннего кластера.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

Кластер WFE управляет первоначальным соединением и процессом проверки подлинности в службе Power BI, с помощью AAD, а также предоставляет маркеры для последующих клиентских подключений к службе Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Для проверки подлинности и загрузки статического контента и файлов Power BI направляет пользовательский трафик в ближайший центр обработки данных, определяемый по записи DNS подключающегося к службе клиента, используя для этого диспетчер трафика Azure (ATM).Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Для эффективной передачи пользователям необходимого статического контента и файлов в соответствии с географическим расположением Power BI использует сеть доставки содержимого Azure (СВТ).Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Схема, показывающая архитектуру Power BI для кластера клиентского веб-интерфейса.

Внутренний кластер обеспечивает взаимодействие прошедших проверку подлинности клиентов со службой Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. Внутренний кластер управляет визуализациями, пользовательскими панелями мониторинга, наборами данных, отчетами, хранением данных, подключениями к данным, обновлением данных и другими видами взаимодействия со службой Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Роль шлюза служит шлюзом между запросами пользователей и службой Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Пользователи не взаимодействуют напрямую ни с одной ролью, кроме роли шлюза.Users do not interact directly with any roles other than the Gateway Role. Со временем обработку роли шлюза возьмет на себя API управления Azure.Azure API Management will eventually handle the Gateway Role.

Схема, показывающая архитектуру Power BI для кластера серверного веб-компонента.

Важно!

Крайне важно отметить, что через общедоступный Интернет доступны только роли API управления Azure (APIM) и Шлюз (GW).It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Они обеспечивают проверку подлинности, авторизацию, защиту от DDoS, регулирование, балансировку нагрузки, маршрутизацию и другие функции.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Безопасность хранения данныхData Storage Security

Для хранения данных и управления ими Power BI использует два основных репозитория: данные, передаваемые пользователями, обычно отправляются в хранилище больших двоичных объектов Azure , в то время как все метаданные, а также артефакты для самой системы хранятся в Базе данных SQL Azure.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

Пунктирная линия на представленном выше изображении внутреннего кластера демонстрирует границу между единственными двумя компонентами, доступными пользователям (слева от пунктирной линии), и ролями, доступными только для системы.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Когда прошедший проверку пользователь подключается к службе Power BI, роль шлюза принимает и обрабатывает соединение и все поступающие от клиента запросы (со временем эту задачу возьмет на себя API управления Azure), после чего взаимодействует от имени пользователя с остальной частью службы Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Например, если клиент пытается открыть панель мониторинга, роль шлюза принимает этот запрос, а затем самостоятельно отправляет роли презентации запрос о получении данных, необходимых для отображения панели мониторинга в браузере.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Проверка подлинности пользователейUser Authentication

Для проверки подлинности пользователей, выполняющих вход в службу Power BI, используется Azure Active Directory (AAD). В ней, в свою очередь, используются учетные данные для входа в Power BI всякий раз, когда пользователь пытается получить доступ к ресурсам, требующим проверки подлинности.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Пользователи входят в службу Power BI с использованием адреса электронной почты, указанного при создании учетной записи Power BI; Power BI использует этот адрес как действительное имя пользователя, которое передается ресурсам каждый раз, когда пользователь пытается подключиться к данным.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. После этого действительное имя пользователя сопоставляется с именем участника-пользователя (UPN) и разрешается в связанную учетную запись домена Windows, которая подвергается проверке подлинности.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

Для организаций, где в качестве имени входа в Power BI используются рабочие адреса электронной почты (например, david@contoso.com), сопоставление действительного имени пользователя с UPN выполняется просто.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Для организаций, не использующих рабочие адреса электронной почты в качестве имени входа в Power BI (например, david@contoso.onmicrosoft.com), надлежащее сопоставление между AAD и локальными учетными данными потребует синхронизации каталогов.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Система безопасности платформы для Power BI включает также защиту многопользовательской среды, сетевую защиту и возможность добавления мер безопасности на базе AAD.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Безопасность данных и службData and Service Security

Дополнительные сведения см. в центре управления безопасностью Майкрософт.For more information, please visit the Microsoft Trust Center.

Как описано ранее в этой статье, серверы Active Directory используют имя пользователя для входа в Power BI для сопоставления учетных данных с UPN.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. При этом важно отметить, что пользователи несут ответственность за данные, к которым предоставляют доступ: если пользователь подключается к источникам данных, указав свои учетные данные, а затем на основе этих данных предоставляет общий доступ к отчету (панели мониторинга, набору данных и т. д.), соответствующие пользователи получают доступ к отчету без проверки подлинности со стороны оригинального источника данных.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Исключение составляют подключения к SQL Server Analysis Services через локальный шлюз данных. Панели мониторинга сохраняются в кэше Power BI, но для доступа к исходным отчетам или наборам данных требуется проверка подлинности соответствующего пользователя. При этом доступ предоставляется, только если у пользователя есть надлежащие учетные данные для доступа к этим сведениям.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Дополнительную информацию см. в разделе Локальный шлюз данных во всех подробностях.For more information, see On-premises data gateway deep dive.

Принудительное использование версии TLSEnforcing TLS version usage

Администраторы сетей и ИТ-администраторы могут применить требование использовать текущую версию протокола TLS для любого защищенного обмена данных в своей сети.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. В Windows реализована поддержка версий TLS в поставщике Microsoft Schannel.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Это требование может быть применено путем административной настройки разделов реестра.This enforcement can be done by administratively setting registry keys. См. сведения об управлении протоколами SSL в AD FS.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop поддерживает описанные в этих статьях параметры разделов реестра, создавая подключения с только с помощью версий TLS, которые разрешены в этих параметрах.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

См. сведения о параметрах раздела реестра, разрешающих версии TLS.For more information about setting these registry keys, see the TLS Registry Settings article.