Technická dokumentácia k zabezpečeniu v Power BIPower BI security whitepaper

Súhrn: Power BI je online Softvérová služba (SaaSalebo softvér ako služba) ponúkajúca od spoločnosti Microsoft, ktorá vám umožňuje jednoducho a rýchlo vytvárať samoobslužné tabule, zostavy, množiny údajov a vizualizácie s osobnými službami.Summary: Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Pomocou služby Power BI sa môžete pripojiť k mnohým rôznym zdrojom údajov, kombinovať a tvarovať údaje z týchto pripojení a následne vytvoriť zostavy a tabule, ktoré je možné zdieľať s ostatnými používateľmi.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Scenár: David NovákWriter: David Iseminger

Technickí recenzenti: Pedram Rezaei, Cristian Petculescu, Siva Vargová, TOD Manning, Haydn Richardson, Adam Wilson, Ben Childs, Robert Bruckner, Sergej Gundorov, Kasper De JongeTechnical Reviewers: Pedram Rezaei, Cristian Petculescu, Siva Harinath, Tod Manning, Haydn Richardson, Adam Wilson, Ben Childs, Robert Bruckner, Sergei Gundorov, Kasper de Jonge

Vzťahuje sa na: Power BI SaaS, Power BI Desktop, Power BI Embedded, Power BI PremiumApplies to: Power BI SaaS, Power BI Desktop, Power BI Embedded, Power BI Premium

Poznámka

Túto technickú dokumentáciu môžete uložiť alebo vytlačiť tak, že vyberiete možnosť Tlačiť v prehliadači a potom možnosť Uložiť ako PDF.You can save or print this whitepaper by selecting Print from your browser, then selecting Save as PDF.

ÚvodIntroduction

Power BI je online softvérová služba (SaaS alebo softvér ako služba) od spoločnosti Microsoft, ktorá umožňuje jednoducho a rýchlo vytvárať samoobslužné Business Intelligence tabule, zostavy, množiny údajov a vizualizácie.Power BI is an online software service (SaaS, or Software as a Service) offering from Microsoft that lets you easily and quickly create self-service Business Intelligence dashboards, reports, datasets, and visualizations. Pomocou služby Power BI sa môžete pripojiť k mnohým rôznym zdrojom údajov, kombinovať a tvarovať údaje z týchto pripojení a následne vytvoriť zostavy a tabule, ktoré je možné zdieľať s ostatnými používateľmi.With Power BI, you can connect to many different data sources, combine and shape data from those connections, then create reports and dashboards that can be shared with others.

Služba Power BI sa riadi podmienkami poskytovania Online služieb spoločnosti Microsoft a vyhlásením o ochrane osobných údajov spoločnosti Microsoft pre podniky.The Power BI service is governed by the Microsoft Online Services Terms, and the Microsoft Enterprise Privacy Statement. Miesto spracovania údajov nájdete v podmienkach miesta spracovania údajov v podmienkach poskytovania online služieb spoločnosti Microsoft.For the location of data processing, refer to the Location of Data Processing terms in the Microsoft Online Services Terms. Microsoft Trust Center je primárnym zdrojom informácií o dodržiavaní podmienok pre Power BI.For compliance information, the Microsoft Trust Center is the primary resource for Power BI. Tím služby Power BI sa usiluje ponúkať svojim zákazníkom najnovšie inovácie a produktivitu.The Power BI team is working hard to bring its customers the latest innovations and productivity. Power BI je v súčasnosti v službe Tier D rámca Microsoft 365 súladu.Power BI is currently in Tier D of the Microsoft 365 Compliance Framework. Ďalšie informácie o dodržiavaní súladu v Centre dôveryhodnosti spoločnosti Microsoft.Learn more about compliance in the Microsoft Trust Center.

Tento článok popisuje zabezpečenie Power BI vysvetlením architektúry služby Power BI, vysvetlením overovania používateľského konta a pripájania údajov v službe Power BI, a napokon vysvetlením ukladania a premiestňovania údajov prostredníctvom služby Power BI.This article describes Power BI security by providing an explanation of the Power BI architecture, then explaining how users authenticate to Power BI and data connections are established, and then describing how Power BI stores and moves data through the service. Posledná časť obsahuje odpovede na konkrétne otázky týkajúce sa zabezpečenia.The last section is dedicated to security-related questions, with answers provided for each.

Architektúra služby Power BIPower BI Architecture

Power BI je služba založená na platforme Azure, čo je cloudová výpočtová platforma spoločnosti Microsoft.The Power BI service is built on Azure, which is Microsoft's cloud computing platform. Power BI je v súčasnosti nasadená v mnohých dátových centrách po celom svete – k dispozícii je veľa aktívnych nasadení pre zákazníkov v oblastiach služieb týchto dátových centier a rovnaký počet pasívnych nasadení, ktoré slúžia ako zálohy pre každé aktívne nasadenie.Power BI is currently deployed in many datacenters around the world – there are many active deployments made available to customers in the regions served by those datacenters, and an equal number of passive deployments that serve as backups for each active deployment.

Každé nasadenie služby Power BI pozostáva z dvoch klastrov – klastra Webové klientske rozhranie (WFE) a klastra Back End.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster. Tieto dva klastre sú zobrazené na nasledujúcom obrázku a poskytujú referenciu pre zvyšok tohto článku.These two clusters are shown in the following image, and provide the backdrop for the rest of this article.

WFE a Back-End

Power BI používa službu Azure Active Directory (AAD) na overenie a správu konta.Power BI uses Azure Active Directory (AAD) for account authentication and management. Power BI tiež používa službu Azure Traffic Manager (ATM) na priame prenosy používateľov do najbližšieho údajového centra určeného záznamom DNS klienta, ktorý sa pokúša pripojiť, pre proces overovania a sťahovať statický obsah a súbory.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Služba Power BI používa geograficky najbližšie ECR na efektívnu distribúciu potrebného statického obsahu a súborov používateľom s výnimkou vizuálov služby Power BI, ktoré sa dodávajú pomocou siete služby Azure Content Delivery (CDN).Power BI uses the geographically closest WFE to efficiently distribute the necessary static content and files to users, with the exception of Power BI visuals which are delivered using the Azure Content Delivery Network (CDN).

Klaster WFEThe WFE Cluster

Klaster WFE spravuje proces počiatočného pripojenia a overenia pre službu Power BI. Pomocou AAD overuje klientov a poskytuje tokeny pre následné pripojenie klientov do služby Power BI.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service.

Klaster WFE

Pri pripájaní používateľov k Power BI môže služba DNS klienta komunikovať so službou Azure Traffic Manager na nájdenie najbližšieho dátového centra s nasadením služby Power BI.When users attempt to connect to the Power BI service, the client's DNS service may communicate with the Azure Traffic Manager to find the nearest datacenter with a Power BI deployment. Ďalšie informácie o tomto procese nájdete v téme Metódy smerovania prenosu pre Azure Traffic Manager.For more information about this process, see Performance traffic routing method for Azure Traffic Manager.

Klaster WFE, ktorý je najbližšie k používateľovi, spravuje postupnosť prihlásenia a overenia (ako je popísané ďalej v tomto článku) a po úspešnom overení poskytne používateľovi token AAD.The WFE cluster nearest to the user manages the login and authentication sequence (described later in this article), and provides an AAD token to the user once authentication is successful. Komponent ASP.NET v klastri WFE analyzuje požiadavku na určenie organizácie, do ktorej používateľ patrí, a potom konzultuje s globálnou službou Power BI.The ASP.NET component within the WFE cluster parses the request to determine which organization the user belongs to, and then consults the Power BI Global Service. Globálna služba je jedna tabuľka platformy Azure zdieľaná všetkými klastrami WFE a Back-End po celom svete, ktorá mapuje používateľov a zákaznícke organizácie k domovskému údajovému centru nájomníka služby Power BI.The Global Service is a single Azure Table shared among all worldwide WFE and Back-End clusters that maps users and customer organizations to the datacenter that houses their Power BI tenant. WFE zadáva prehliadaču domovský klaster Back-End pre nájomníka organizácie.The WFE specifies to the browser which Back-End cluster houses the organization's tenant. Po overení používateľa prebiehajú následné klientske interakcie priamo s klastrom Back-End a klaster WFE ich už nesprostredkúva.Once a user is authenticated, subsequent client interactions occur with the Back-End cluster directly, without the WFE being an intermediator for those requests.

Klaster Back-End služby Power BIThe Power BI Back-End Cluster

Prostredníctvom klastra Back End overení klienti komunikujú so službou Power BI.The Back-End cluster is how authenticated clients interact with the Power BI service. Klaster Back End spravuje vizualizácie, tabule používateľov, množiny údajov, zostavy, úložisko údajov, údajové pripojenie, aktualizácie údajov a ďalšie aspekty interakcie so službou Power BI.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service.

Klaster Back-End

Rola Brána funguje ako brána medzi požiadavkami používateľov a službou Power BI.The Gateway Role acts as a gateway between user requests and the Power BI service. Používatelia nekomunikujú priamo so žiadnou rolou okrem roly Brána.Users do not interact directly with any roles other than the Gateway Role.

Dôležité: Je potrebné poznamenať , že roly služby Azure API Management (APIM) a Gateway (GW) sú prístupné prostredníctvom verejného internetu.Important: It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Poskytujú overovanie, autorizáciu, ochranu pred útokmi DDoS, obmedzovanie, vyrovnávanie zaťaženia, smerovanie a ďalšie funkcie.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Bodkovaná čiara v klastri Back-End na predchádzajúcom obrázku predstavuje hranicu medzi jedinými dvoma rolami, ktoré sú prístupné používateľom (naľavo od bodkovanej čiary), a rolami, ktoré sú dostupné iba v systéme.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two roles that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Keď sa overený používateľ pripojí k službe Power BI, pripojenie a každá požiadavka klienta je prijatá a spravovaná rolou Brána a pomocou služby Azure API Management, ktorá potom v mene používateľa komunikuje so zvyškom služby Power BI.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role and Azure API Management, which then interacts on the user's behalf with the rest of the Power BI Service. Keď sa napríklad klient pokúsi zobraziť tabuľu, rola Brána požiadavku prijme a potom samostatne odošle požiadavku na rolu Prezentácia, aby sa potrebné údaje načítali v prehliadači na vykreslenie tabule.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Rola Brána

Power BI PremiumPower BI Premium

Power BI Premium ponúka vyhradený pracovný priestor, zriadený a rozdelený pre predplatiteľov, ktorí potrebujú vyhradené zdroje na svoje aktivity v Power BI.Power BI Premium offers a dedicated, provisioned, and partitioned service workspace for subscribers that need dedicated resources for their Power BI activities. Keď sa zákazník zaregistruje k službe na predplatné pre Power BI Premium, vytvorí sa prostredníctvom služby Azure Resource Manager kapacita pre Premium.When a customer signs up for a Power BI Premium subscription, the Premium capacity is created through the Azure Resource Manager. Pri uvedení predplatného sa priradí množina virtuálnych počítačov zodpovedajúcich úrovni odberu v domovskom dátovom centre pre nájomníka služby Power BI (s výnimkou multi-geo prostredí, ako je popísané ďalej v tomto dokumente), čím sa spustí nasadenie služby Azure Service Fabric.The rollout of that subscription assigns a set of virtual machines commensurate with the subscription level, in the datacenter where their Power BI tenant is hosted (with the exception of multi-geo environments, as described later in this document), initiated as an Azure Service Fabric deployment.

Power BI Premium

Po vytvorení je všetka komunikácia s klastrom Premium smerovaná prostredníctvom klastra Back-End, na ktorom je vytvorené pripojenie k virtuálnym počítačom s predplatenou službou Power BI Premium vyhradeným pre klienta.Once created, all communication with the Premium cluster is routed through the Power BI Back-End cluster, where a connection to the client's dedicated Power BI Premium subscription virtual machines is established.

Architektúra ukladania údajovData Storage Architecture

Power BI používa na ukladanie a správu údajov dve primárne úložiská: údaje nahrávané používateľmi sa zvyčajne posielajú do úložiska Azure Blob a všetky metaúdaje a tiež artefakty pre samotný systém sa ukladajú za bránou firewall v databáze Azure SQL.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure Blob storage, and all metadata as well as artifacts for the system itself are stored behind a firewall in Azure SQL Database.

Ukladanie údajov

Keď používateľ napríklad importuje zošit programu Excel do služby Power BI, vytvorí sa v pamäti Analysis Services tabuľková databáza a údaje sú uložené v pamäti až jednu hodinu (alebo kým sa nevyskytne v systéme veľký nápor na pamäť).For example, when a user imports an Excel workbook into the Power BI service, an in-memory Analysis Services tabular database is created, and the data is stored in-memory for up to one hour (or until memory pressure occurs on the system). Údaje sa odošlú aj do ukladacieho priestoru Azure Blob.The data is also sent to Azure Blob storage.

Metaúdaje o používateľskom predplatnom služby Power BI, ako sú napríklad tabule, zostavy, nedávne zdroje údajov, pracovné priestory, informácie o organizáciách, nájomníkoch, a ďalšie metaúdaje o systéme, sú uložené a aktualizované v databáze Azure SQL Database.Metadata about a user's Power BI subscription, such as dashboards, reports, recent data sources, workspaces, organizational information, tenant information, and other metadata about the system is stored and updated in Azure SQL Database. Všetky informácie uložené v databáze Azure SQL Database sú plne šifrované pomocou technológie priehľadného šifrovania údajov Azure SQL (TDE).All information stored in Azure SQL Database is fully encrypted using Azure SQL's Transparent Data Encryption (TDE) technology. Všetky údaje uložené v ukladacom priestore Azure Blob sú tiež šifrované.All data that is stored in Azure Blob storage is also encrypted. Ďalšie informácie o procese načítavania, ukladania a premiestňovania údajov nájdete v časti Ukladanie a premiestňovanie údajov.More information about the process of loading, storing, and moving data is described in the Data Storage and Movement section.

Vytvorenie nájomníkaTenant Creation

Nájomník je vyhradená inštancia služby Azure AD, ktorú organizácia prijíma a vlastní, keď sa zaregistruje do cloudovej služby spoločnosti Microsoft, ako sú Azure, Microsoft Intune, Power BI alebo Microsoft 365.A tenant is a dedicated instance of the Azure AD service that an organization receives and owns when it signs up for a Microsoft cloud service such as Azure, Microsoft Intune, Power BI, or Microsoft 365. Každý nájomník služby Azure AD je vzdialený a oddelený od ostatných nájomníkov služby Azure AD.Each Azure AD tenant is distinct and separate from other Azure AD tenants.

Nájomník zastrešuje používateľov v organizácii a informácie o nich - ich heslá, údaje používateľského profilu, povolenia a tak ďalej.A tenant houses the users in a company and the information about them - their passwords, user profile data, permissions, and so on. Obsahuje aj skupiny, aplikácie a iné informácie vzťahujúce sa na organizáciu a jej zabezpečenia.It also contains groups, applications, and other information pertaining to an organization and its security. Ďalšie informácie nájdete v téme Čo je nájomník služby Azure AD.For more information, see What is an Azure AD tenant.

V údajovom centre sa vytvorí nájomník služby Power BI, ktorý sa považuje za najbližší pre krajinu (alebo oblasť) a informácie o stave poskytnuté nájomníkovi v Azure Active Directory, ktorý bol poskytnutý pri počiatočnom zriadení Microsoft 365 alebo služba Power BI.A Power BI tenant is created in the datacenter deemed closest to the country (or region) and state information provided for the tenant in Azure Active Directory, which was provided when the Microsoft 365 or Power BI service was initially provisioned. V súčasnosti sa umiestnenie dátového centra nájomník služby Power BI nedá meniť.The Power BI tenant does not move from that datacenter location today.

Viaceré geografické oblasti (Multi-geo)Multiple Geographies (Multi-geo)

Niektoré organizácie vyžadujú v službe Power BI na základe svojich obchodných aktivít prítomnosť vo viacerých geografických oblastiach alebo regiónoch.Some organizations require a Power BI presence in multiple geographies, or regions, based on business needs. Napríklad, podnik môže mať svojho nájomníka služby Power BI v Spojených štátoch, ale môže tiež podnikať v iných geografických oblastiach, napríklad v Austrálii, a potrebovať určité údaje služby Power BI na to, aby zostali v kľude v tejto odľahlej oblasti, aby boli v súlade s miestnymi predpismi.For example, a business may have its Power BI tenant in the United States but may also do business in other geographical areas, such as Australia, and need certain Power BI data to remain at rest in that remote region to comply with local regulations. Počnúc v druhej polovici roka 2018 môžu organizácie s ich domovým nájomníkom v jednej geografii tiež zriadiť a získať prístup k zdrojom služby Power BI nachádzajúcim sa v inej geografii.Beginning in the second half of 2018, organizations with their home tenant in one geography can also provision and access Power BI resources located in another geography. Táto funkcia sa v tomto dokumente na uľahčenie práce a odkazovania označuje ako multi-geo.This feature is referred to as multi-geo for convenience and reference throughout this document.

Najaktuálnejší a primárny článok pre multi-geo informácie je Konfigurácia multi-Geo podporu pre Power BI Premium článok.The most current and primary article for multi-geo information is the configure Multi-Geo support for Power BI Premium article.

Existuje viacero technických podrobností, ktoré by sa mali vyhodnotiť v kontexte miestnych zákonov a nariadení, keď pôsobia v rôznych geografických oblastiach.There are multiple technical details that should be evaluated in the context of local laws and regulations when operating in different geographies. Tieto Podrobnosti zahŕňajú nasledovné:These details include the following:

  • Vrstva spustenia vzdialeného dotazu je hosťovaná v oblasti vzdialenej kapacity, aby sa zaistilo, že dátový model, vyrovnávacia pamäť a väčšina spracovania údajov zostanú v oblasti vzdialenej kapacity.A remote query execution layer is hosted in the remote capacity region, to ensure that the data model, caches, and most data processing remain in the remote capacity region. Existuje niekoľko výnimiek, ktoré sú podrobne popísané v článku o službe multi-Geo for Power BI Premium .There are some exceptions, as detailed on the multi-geo for Power BI Premium article.
  • Text dotazu vo vyrovnávacej pamäti a zodpovedajúci výsledok uložený vo vzdialenej oblasti zostanú v danej oblasti v kľude, ale iné údaje v Transite sa môžu nachádzať tam a späť medzi viacerými geografickými oblasťami.A cached query text and corresponding result stored in a remote region will stay in that region at rest, however other data in transit may go back and forth between multiple geographies.
  • Súbory PBIX alebo XLSX, ktoré sú publikované (nahraté) do kapacity multi-Geo služba Power BI, môžu viesť k dočasnému uložení kópie v službe Azure BLOB Storage v oblasti nájomníka služby Power BI.PBIX or XLSX files that are published (uploaded) to a multi-geo capacity of the Power BI service may result in a copy being temporarily stored in Azure Blob storage in Power BI's tenant region. Za takýchto okolností sú údaje šifrované pomocou šifrovania služby Azure Storage Service (SSE) a kópia je naplánovaná na kolekciu odpadkov hneď po dokončení spracovania a prenosu obsahu súboru do vzdialenej oblasti.In such circumstances, the data is encrypted using Azure Storage Service Encryption (SSE), and the copy is scheduled for garbage collection as soon as the file content processing and transfer to the remote region is completed.
  • Pri presúvaní údajov naprieč oblasťami v prostredí multi-Geo sa inštancia údajov v zdrojovej oblasti odstráni do 7-30 dní.When moving data across regions in a multi-geo environment, the instance of the data in the source region will be deleted within 7-30 days.

Dátové centrá a miestne nastaveniaDatacenters and Locales

Služba Power BI je k dispozícii v niektorých regiónoch podľa toho, kde sú nasadené klastre Power BI v regionálnych dátových centrách.Power BI is offered in certain regions, based on where Power BI clusters are deployed in regional datacenters. Spoločnosť Microsoft plánuje rozšíriť infraštruktúru služby Power BI do ďalších dátových centier.Microsoft plans to expand its Power BI infrastructure into additional datacenters.

Nasledujúce odkazy ponúkajú ďalšie informácie o dátových centrách služieb Azure.The following links provide additional information about Azure datacenters.

  • Geografické oblasti služieb Azure – informácie o globálnej dostupnosti a lokalitách služieb AzureAzure Regions – information about Azure's global presence and locations
  • Služby Azure, podľa oblasti – úplný zoznam služieb Azure (služby infraštruktúry a platformy) spoločnosti Microsoft sú k dispozícii v jednotlivých oblastiach.Azure Services, by region – a complete listing of Azure services (both infrastructure services and platform services) available from Microsoft in each region.

V súčasnosti je služba Power BI k dispozícii v konkrétnych oblastiach, ktoré sú prístupné podľa údajových centier, ako je to popísané v Centre dôveryhodnosti spoločnosti Microsoft.Currently, the Power BI service is available in specific regions, serviced by datacenters as described in the Microsoft Trust Center. Nasledujúce prepojenie zobrazuje mapu údajových centier služby Power BI. Ukázaním na oblasť zobrazíte údajové centrá, ktoré sa tam nachádzajú:The following link shows a map of Power BI datacenters, you can hover over a region to see the datacenters located there:

Spoločnosť Microsoft tiež poskytuje dátové centrá pre suverénne územia.Microsoft also provides datacenters for sovereignties. Ďalšie informácie o dostupnosti služby Power BI pre národné cloudy nájdete v téme Národné cloudy služby Power BI.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Ďalšie informácie o tom, kde sú uložené vaše údaje a ako sa používajú, nájdete v Centre dôveryhodnosti spoločnosti Microsoft.For more information on where your data is stored and how it is used, refer to the Microsoft Trust Center. Záväzky týkajúce sa umiestnenia uložených údajov zákazníkov sú špecifikované v podmienkach spracovania údajov v rámci podmienok poskytovania online služieb spoločnosti Microsoft.Commitments about the location of customer data at rest are specified in the Data Processing Terms of the Microsoft Online Services Terms.

Overenie používateľaUser Authentication

Overenie používateľa v službe Power BI pozostáva z radu žiadostí, odpovedí a presmerovaní medzi prehliadačom používateľa a službou Power BI alebo službami Azure, ktoré používa služba Power BI.User authentication to the Power BI service consists of a series of requests, responses, and redirects between the user's browser and the Power BI service or the Azure services used by Power BI. Táto sekvencia popisuje proces overenia používateľa v službe Power BI.That sequence describes the process of user authentication in Power BI. Ďalšie informácie o možnostiach pre modely overenia používateľa organizácie (modely prihlasovania) nájdete v téme Výber modelu prihlasovania pre Microsoft 365.For more information about options for an organization's user authentication models (sign-in models), see Choosing a sign-in model for Microsoft 365.

Sekvencia overovaniaAuthentication Sequence

Sekvencia overovania používateľa pre službu Power BI sa realizuje tak, ako sa popisuje v nasledovných krokoch, ktoré sú ilustrované na nasledovných obrázkoch.The user authentication sequence for the Power BI service occurs as described in the following steps, which are illustrated in the following images.

  1. Používateľ iniciuje pripojenie k služba Power BI z prehliadača, a to buď zadaním adresy v službe Power BI do panela s adresou (napríklad https://app.powerbi.com ), alebo výberom položky Prihlásiť sa zo stránky na úvodnú stránku služby Power BI ( https://powerbi.microsoft.com) .A user initiates a connection to the Power BI service from a browser, either by typing in the Power BI address in the address bar (such as https://app.powerbi.com) or by selecting Sign In from the Power BI landing page (https://powerbi.microsoft.com). Pripojenie sa vytvorí pomocou protokolov TLS 1.2 a HTTPS a všetka následná komunikácia medzi prehliadačom a službou Power BI využíva protokol HTTPS.The connection is established using TLS 1.2 and HTTPS, and all subsequent communication between the browser and the Power BI service uses HTTPS. Žiadosť sa odošle do služby Azure Traffic Manager.The request is sent to the Azure Traffic Manager.

  2. Služba Azure Traffic Manager skontroluje záznam DNS používateľa, aby určila najbližšie dátové centrum, kde je služba Power BI nasadená, a odpovie na DNS prostredníctvom adresy IP klastra WFE, kam by mal byť používateľ poslaný.The Azure Traffic Manager checks the user's DNS record to determine the nearest datacenter where Power BI is deployed, and responds to the DNS with the IP address of the WFE cluster to which the user should be sent.

  3. WFE potom presmeruje používateľa na prihlasovaciu stránku služieb Microsoft Online Services.WFE then redirects the user to Microsoft Online Services login page.

    Sekvencia overovania

  4. Po overení používateľa ho prihlasovacia stránka presmeruje na predtým určený najbližší klaster WFE služby Power BI.Once the user is authenticated, the login page redirects the user to the previously determined nearest Power BI service WFE cluster.

  5. Prehliadač odošle súbor cookie získaný na základe úspešného prihlásenia do služieb Microsoft Online Services a ten sa skontroluje prostredníctvom služby ASP.NET v rámci klastra WFE.The browser submits a cookie that was obtained from the successful login to Microsoft Online Services, which is inspected by the ASP.NET service inside the WFE cluster.

  6. Klaster WFE vykoná kontrolu so službou Azure Active Directory (AAD), aby overil používateľovo predplatné na službu Power BI a získal token zabezpečenia AAD.The WFE cluster checks with the Azure Active Directory (AAD) service to authenticate the user's Power BI service subscription, and to obtain an AAD security token. Keď AAD vráti informáciu o úspešnom overení používateľa a vráti token zabezpečenia AAD, klaster WFE vykoná konzultáciu so službou Power BI**** Global Service, ktorá uchováva zoznam nájomníkov a ich umiestnení klastrov Power BI Back-End, a určí, ktorý klaster služby Power BI obsahuje nájomníka používateľa.When AAD returns successful authentication of the user and returns an AAD security token, the WFE cluster consults the Power BI**** Global Service, which maintains a list of tenants and their Power BI Back-End cluster locations, and determines which Power BI service cluster contains the user's tenant. Klaster WFE potom nasmeruje používateľa do klastra služby Power BI, kde sa nachádza jeho nájomník, a vráti kolekciu položiek pre prehliadač používateľa:The WFE cluster then directs the user to the Power BI cluster where its tenant resides, and returns a collection of items to the user's browser:

    • token zabezpečenia AAD,The AAD security token
    • informácie o relácii,Session information
    • webovú adresu klastra Back-End, s ktorým môže používateľ komunikovať a interagovať.The web address of the Back-End cluster the user can communicate and interact with
  7. Prehliadač používateľa potom kontaktuje špecializovanú sieť na doručovanie obsahu služby Azure (alebo v prípade niektorých súborov WFE) a stiahne kolekciu špecifikovaných bežných súborov nevyhnutných na povolenie interakcie prehliadača so službou Power BI.The user's browser then contacts the specified Azure CDN, or for some of the files the WFE, to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. Stránka prehliadača potom obsahuje token AAD, informácie o relácii, umiestnenie zodpovedajúceho klastra Back-End a kolekcie súborov stiahnutých zo siete Azure CDN a klaster WFE počas trvania relácie prehliadača služby Power BI.The browser page then includes the AAD token, session information, the location of the associated Back-End cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

Interakcia siete na doručovanie obsahu služby Azure

Po dokončení týchto položiek prehliadač iniciuje kontakt so špecifikovaným klastrom Back-End a začína sa používateľova interakcia so službou Power BI.Once those items are complete, the browser initiates contact with the specified Back-End cluster and the user's interaction with the Power BI service commences. Od tohto bodu sú všetky volania služby Power BI realizované so špecifikovaným klastrom Back-End a všetky volania zahŕňajú používateľ token ADD.From that point forward, all calls to the Power BI service are with the specified Back-End cluster, and all calls include the user's AAD token. Token ADD má časový limit jednu hodinu. WFE token pravidelne obnovuje, ak používateľova relácia zostane otvorená, aby sa zachoval prístup.The AAD token has a timeout of one hour; the WFE refreshes the token periodically if a user's session remains open, in order to preserve access.

Ukladanie a premiestňovanie údajovData Storage and Movement

V službe Power BI sú údaje buď uložené (údaje, ktoré sú k dispozícii pre používateľa služby Power BI a s ktorými sa momentálne nevykonáva žiadna akcia) alebo spracovávané (napríklad spustené dotazy, údajové pripojenia a dátové modely, s ktorými sa vykonávajú určité akcie, údaje a/alebo modely nahrávané do služby Power BI a iné akcie, ktoré používatelia alebo služba Power BI môžu vykonávať s údajmi, ku ktorým sa aktívne pristupuje alebo ktoré sa aktualizujú).In the Power BI service, data is either at rest (data available to a Power BI user that is not currently being acted upon), or it is in process (for example: queries being run, data connections and models being acted upon, data and/or models being uploaded into the Power BI service, and other actions that users or the Power BI service may take on data that is actively being accessed or updated). Údaje v procese sa nazývajú spracovávané údaje.Data that is in process is referred to as data in process. Uložené údaje sú v službe Power BI šifrované.Data at rest in Power BI is encrypted. Údaje, ktoré sú prenášané, čiže údaje odosielané a prijímané službou Power BI, sú tiež šifrované.Data that is in transit, which means data being sent or received by the Power BI service, is also encrypted.

Služba Power BI údaje spravuje inak v závislosti od toho, či sa k nim získava prístup prostredníctvom DirectQuery, alebo sa importujú.The Power BI service also manages data differently based on whether the data is accessed with a DirectQuery, or import. Existujú teda dve kategórie používateľských údajov pre službu Power BI: údaje, ku ktorým sa pristupuje prostredníctvom DirectQuery, a údaje, ku ktorým sa prostredníctvom DirectQuery nepristupuje.So there are two categories of user data for Power BI: data that is accessed by DirectQuery, and data which is not accessed by DirectQuery.

DirectQuery je dotaz, pre ktorý sa dotaz používateľa služby Power BI preloží z jazyka DAX (Data Analysis Expressions) spoločnosti Microsoft – ide o jazyk používaný službou Power BI a inými produktmi služby Microsoft na tvorbu dotazov – do natívneho jazyka údajov údajového zdroja (napríklad jazyka T-SQL alebo iných natívnych jazykov databázy).A DirectQuery is a query for which a Power BI user's query has been translated from Microsoft's Data Analysis Expressions (DAX) language – which is the language used by Power BI and other Microsoft products to create queries – in the data source's native data language (such as T-SQL, or other native database languages). Údaje súvisiace s DirectQuery sú uložené len podľa referencie, čo znamená, že zdrojové údaje nie sú uložené v službe Power BI, keď DirectQuery nie je v aktívnom režime – okrem údajov vizualizácií používaných na zobrazenie tabúľ a zostáv, ako je to popísané v časti Spracovávané údaje (premiestňovanie údajov nižšie).The data associated with a DirectQuery is stored by reference only, which means source data is not stored in Power BI when the DirectQuery is not active (except for visualization data used to display dashboards and reports, as described in the Data in process (data movement) section, below). Ukladajú sa referencie na údaje DirectQuery, ktoré umožňujú prístup k týmto údajom počas spustenia DirectQuery.Rather, references to DirectQuery data are stored which allow access to that data when the DirectQuery is run. DirectQuery obsahuje všetky potrebné informácie na vykonanie dotazu vrátane reťazca pripojenia a poverení používaných na prístup k zdrojom údajov, ktoré DirectQuery umožňujú pripojenie k zahrnutým zdrojom údajov, aby sa vykonala automatická obnova.A DirectQuery contains all the necessary information to execute the query, including the connection string and the credentials used to access the data sources, which allow the DirectQuery to connect to the included data sources for automatic refresh. Pri používaní DirectQuery sa základné informácie dátového modelu zahrnú do DirectQuery.With a DirectQuery, underlying data model information is incorporated into the DirectQuery.

Dotaz na importovanie množiny údajov pozostáva z kolekcie dotazov DAX, ktoré nie sú priamo preložené do natívneho jazyka žiadneho základného zdroja údajov.A query for an import dataset consist of a collection of DAX queries that are not directly translated to the native language of any underlying data source. Dotazy importu nezahŕňajú poverenia pre základné údaje a základné údaje sa načítajú do služby Power BI s výnimkou prípadov, keď ide o lokálne údaje, ku ktorým sa získava prístup prostredníctvom brány Power BI Gateway. Vtedy dotaz uloží len referencie na lokálne údaje.Import queries do not include credentials for the underlying data, and the underlying data is loaded into the Power BI service unless it is on-premises data accessed through a Power BI Gateway, in which case the query only stores references to on-premises data.

Nasledujúca tabuľka popisuje údaje služby Power BI na základe typu dotazu, ktorý používajú.The following table describes Power BI data based on the type of query being used. Označenie X indikuje prítomnosť údajov služby Power BI pri použití priradeného typu dotazu.An X indicates the presence of Power BI data when using the associated query type.

import,Import DirectQuery,DirectQuery Dynamické pripojenieLive Connect
SchémaSchema XX XX
Údaje riadkaRow data XX
Ukladanie údajov vizuálov do vyrovnávacej pamäteVisuals data caching XX XX XX

Rozdiel medzi DirectQuery a inými dotazmi určuje, ako služba Power BI narába s uloženými údajmi a či je dotaz šifrovaný.The distinction between a DirectQuery and other queries determines how the Power BI service handles the data at rest, and whether the query itself is encrypted. Nasledujúce sekcie popisujú uložené údaje a premiestňované údaje a vysvetľujú šifrovanie, umiestnenie a proces spracovania údajov.The following sections describe data at rest and in movement, and explain the encryption, location, and process for handling data.

Uložené údajeData at rest

Keď sú údaje uložené, služba Power BI uloží množiny údajov, zostavy a dlaždice tabúľ spôsobom popísaným v nasledujúcich podsekciách.When data is at rest, the Power BI service stores datasets, reports, and dashboard tiles in the manner described in the following subsections. Ako už bolo spomenuté, uložené údaje sú v službe Power BI šifrované.As mentioned earlier, data at rest in Power BI is encrypted. Skratka ETL (Extract, Transform and Load) v nasledujúcich sekciách znamená: extrakcia, transformácia a načítanie.ETL stands for Extract, Transform and Load in the following sections.

Šifrovacie kľúčeEncryption Keys

  • Šifrovacie kľúče pre kľúče objektov Blob služby Azure sú uložené a šifrované v rámci Azure Key Vault.The encryption keys to Azure Blob keys are stored, encrypted, in Azure Key Vault.
  • Šifrovacie kľúče pre technológiu TDE databázy Azure SQL Database sú spravované prostredníctvom Azure SQL.The encryption keys for Azure SQL Database TDE technology is managed by Azure SQL itself.
  • Šifrovací kľúč pre službu na premiestnenie údajov a lokálnu bránu údajov sú uložené:The encryption key for Data Movement service and on-premises data gateway are stored:
    • v lokálnej bráne údajov zákazníkovej infraštruktúry – pre lokálne zdroje údajov,In the on-premises data gateway on customer's infrastructure – for on-premises data sources
    • v role premiestnenia údajov – pre cloudové zdroje údajov.In the Data Movement Role – for cloud-based data sources

Kľúč šifrovania obsahu (CEK), ktorý sa používa na šifrovanie ukladacieho priestoru objektu BLOB Microsoft Azure, je náhodne vygenerovaný 256-bitový kľúč.The Content Encryption Key (CEK) used to encrypt the Microsoft Azure Blob Storage is a randomly generated 256-bit key. Algoritmus, ktorý kľúč CEK používa na šifrovanie obsahu, je AES_CBC_256.The algorithm that the CEK uses to encrypt the content is AES_CBC_256.

Šifrovací kľúč KEK, ktorý je potom používaný na šifrovanie kľúča CEK, je preddefinovaným 256-bitovým kľúčom.The Key Encryption Key (KEK) that is used to then encrypt the CEK is a pre-defined 256-bit key. Algoritmus používaný kľúčom KEK na šifrovanie kľúča CEK je A256KW.The algorithm by KEK to encrypt the CEK is A256KW.

Šifrovacie kľúče brány založené na kľúči na obnovenie nikdy neopúšťajú lokálnu infraštruktúru.Gateway encryption keys based on the recovery key never leave an on-premises infrastructure. Služba Power BI nemá prístup k hodnotám šifrovaných lokálnych poverení a nemôže tieto poverenia zachytiť. Weboví klienti šifrujú poverenia verejným kľúčom, ktorý je priradený k špecifickej bráne, s ktorou komunikujú.Power BI cannot access the encrypted on-premises credentials values, and cannot intercept those credentials; web clients encrypt the credential with a public key that's associated with the specific gateway with which it is communicating.

V prípade cloudových zdrojov údajov rola premiestnenia údajov šifruje šifrovacie kľúče pomocou metódy Always Encrypted.For cloud-based data sources, the Data Movement Role encrypts encryption keys using Always Encrypted methods. Zistite viac o funkcii databázy Always Encrypted.You can learn more about the Always Encrypted database feature.

Množiny údajovDatasets

  1. Metaúdaje (tabuľky, stĺpce, mierky, výpočty, reťazce pripojenia atď.)Metadata (tables, columns, measures, calculations, connection strings, etc.)

    a.a. Pre lokálny nástroj Analysis Services nie je v službe uložené nič okrem referencie na databázu, ktorá je v zašifrovanej podobe uložená v Azure SQL.For Analysis Services on-premises nothing is stored in the service except for a reference to that database stored encrypted in Azure SQL.

    b.b. Všetky ostatné metaúdaje pre ETL, DirectQuery a presun údajov sú šifrované a uložené v úložisku Azure Blob.All other metadata for ETL, DirectQuery, and Push Data is encrypted and stored in Azure Blob storage.

  2. Poverenia pre pôvodné zdroje údajovCredentials to the original data sources

    a.a. Lokálny nástroj Analysis Services – nie sú potrebné žiadne poverenia, a preto žiadne nie sú uložené.Analysis Services on-premises – No credentials are needed and, therefore, no credentials are stored.

    b.b. DirectQuery – závisí to od toho, či je model vytvorený priamo v službe. V takom prípade sú poverenia uložené v reťazci pripojenia a šifrované v službe Azure Blob. Ak je však model naimportovaný z Power BI Desktopu, poverenia sú uložené v šifrovanej podobe v databáze s premiestňovanými údajmi Azure SQL.DirectQuery – This depends whether the model is created in the service directly in which case it is stored in the connection string and encrypted in Azure Blob, or if the model is imported from Power BI Desktop in which case the credentials are stored encrypted in Data Movement's Azure SQL Database. Šifrovací kľúč je uložený v počítači s bránou v infraštruktúre zákazníka.The encryption key is stored on the machine running the Gateway on customer's infrastructure.

    c.c. Presunuté údaje – nedá sa použiťPushed data – not applicable

    d.d. ETLETL

    • Pre Salesforce alebo OneDrive – tokeny obnovenia sú šifrované a uložené v databáze Azure SQL služby Power BI.For Salesforce or OneDrive – the refresh tokens are stored encrypted in the Azure SQL Database of the Power BI service.
    • Inak:Otherwise:
      • Ak je množina údajov nastavená na obnovenie, poverenia sú šifrované a uložené v databáze s premiestňovanými údajmi Azure SQL.If the dataset is set for refresh, the credentials are stored encrypted in Data Movement's Azure SQL Database. Šifrovací kľúč je uložený v počítači s bránou v infraštruktúre zákazníka.The encryption key is stored on the machine running the Gateway on customer's infrastructure.
      • Ak množina údajov nie je nastavená na obnovenie, poverenia pre zdroje údajov sa neukladajú.If the dataset is not set for refresh, there are no credentials stored for the data sources
  3. ÚdajeData

    a.a. Lokálna služba Analysis Services a DirectQuery – v službe Power BI nie je uložené nič.Analysis Services on-premises, and DirectQuery – nothing is stored in the Power BI Service.

    b.b. ETL – šifrované v úložisku Azure Blob, ale všetky údaje, ktoré má služba Power BI momentálne v úložisku Azure Blob, používajú šifrovanie Azure Storage Service Encryption (SSE), ktoré je známe aj ako šifrovanie na strane servera.ETL – encrypted in Azure Blob storage, but all data currently in Azure Blob storage of the Power BI service uses Azure Storage Service Encryption (SSE), also known as server-side encryption. Aj funkcia Multi-geo používa SSE.Multi-geo uses SSE as well.

    c.c. Presunutie údajov v1 – uložené v šifrovanej podobe v úložisku Azure Blob, ale všetky údaje, ktoré má služba Power BI momentálne v úložisku Azure Blob, používajú šifrovanie Azure Storage Service Encryption (SSE), ktoré je známe aj ako šifrovanie na strane servera.Push data v1 – stored encrypted in Azure Blob storage, but all data currently in Azure Blob storage in the Power BI service uses Azure Storage Service Encryption (SSE), also known as server-side encryption. Aj funkcia Multi-geo používa SSE.Multi-geo uses SSE as well. Presunutie údajov v1 je zrušené od roku 2016.Push data v1 were discontinued beginning 2016.

    d.d. Presunutie údajov v2 – uložené v šifrovanej podobe v databáze Azure SQL.Push data v2 – stored encrypted in Azure SQL.

Služba Power BI používa šifrovanie na strane klienta a na šifrovanie svojho úložiska Azure Blob používa režim Cipher Block Chaining (CBC) s pokročilým šifrovacím štandardom (AES).Power BI uses the client-side encryption approach, using cipher block chaining (CBC) mode with advanced encryption standard (AES), to encrypt its Azure Blob storage. Viac informácií o šifrovaní na strane klienta.You can learn more about client-side encryption.

Služba Power BI umožňuje monitorovanie integrity údajov týmito spôsobmi:Power BI provides data integrity monitoring in the following ways:

  • Pre uložené údaje v Azure SQL používa služba Power BI neustály kontrolný súčet strany, dbcc a TDE, ktoré sú súčasťou natívnej ponuky SQL.For data at rest in Azure SQL, Power BI uses dbcc, TDE, and constant page checksum as part of the native offerings of SQL.

  • Pre uložené údaje v úložisku Azure Blob používa služba Power BI šifrovanie na strane klienta a protokol HTTPS na prenos údajov do ukladacieho priestoru, súčasťou čoho je aj kontrola integrity počas načítania údajov.For data at rest in Azure Blob storage, Power BI uses client-side encryption and HTTPS to transfer data into storage which includes integrity checks during the retrieval of the data. Viac informácií o úložisku Azure Blob.You can learn more about Azure Blob storage security.

ZostavyReports

  1. Metaúdaje (definície zostavy)Metadata (report definition)

    a.a. Zostavy môžu byť buď Excel pre zostavy Microsoft 365 alebo zostavy Power BI.Reports can either be Excel for Microsoft 365 reports, or Power BI reports. Nasledujúce sa vzťahuje na metaúdaje podľa typu zostavy:The following applies for metadata based on the type of report:

      a.    a. Metaúdaje excelových zostáv sú uložené v zašifrovanej podobe v Azure SQL.Excel Report metadata is stored encrypted in SQL Azure. Metaúdaje sú tiež uložené v Microsoft 365.Metadata is also stored in Microsoft 365.

      b.    b. Zostavy služby Power BI sú uložené v zašifrovanej podobe v databáze Azure SQL.Power BI reports are stored encrypted in Azure SQL database.

  2. Statické údajeStatic data

    Statické údaje obsahujú artefakty, ako sú obrázky na pozadí a vizuály Power BI.Static data includes artifacts such as background images and Power BI visuals.

      a.    a. V prípade zostáv vytvorených v Exceli pre Microsoft 365 sa nič neuloží.For reports created with Excel for Microsoft 365, nothing is stored.

      b.    b. Pre zostavy Power BI sa ukladajú statické údaje. Sú šifrované v úložisku Azure Blob.For Power BI reports, the static data is stored and is encrypted in Azure Blob storage.

  3. Vyrovnávacie pamäteCaches

      a.    a. V prípade zostáv vytvorených v Exceli pre Microsoft 365 nie je nič uložené vo vyrovnávacej pamäti.For reports created with Excel for Microsoft 365, nothing is cached.

      b.    b. V prípade zostáv Power BI sa údaje pre zobrazené vizuály zostáv ukladajú do vyrovnávacej pamäte a ukladajú sa vo vyrovnávacej pamäti vizuálnych údajov popísaných v nasledujúcej časti.For Power BI reports, the data for the reports’ visuals shown is cached and stored in the Visual Data Cache described in the following section.

  4. Pôvodné súbory Power BI Desktopu (.pbix) alebo Excelu (.xlsx) publikované do Power BIOriginal Power BI Desktop (.pbix) or Excel (.xlsx) files published to Power BI

    Kópia alebo tieňová kópia súboru .xlsx alebo .pbix je niekedy uložená v Power BI v úložisku Azure Blob. Keď sa to stane, údaje sú šifrované.Sometimes a copy or a shadow copy of the .xlsx or .pbix files are stored in Power BI's Azure Blob storage, and when that occurs, the data is encrypted. Všetky takéto zostavy uložené v službe Power BI, v úložisku Azure Blob, používajú šifrovanie Azure Storage Service Encryption (SSE), ktoré je známe aj ako šifrovanie na strane servera.All such reports stored in the Power BI service, in Azure Blob storage, use Azure Storage Service Encryption (SSE), also known as server-side encryption. Aj funkcia Multi-geo používa SSE.Multi-geo uses SSE as well.

Tabule a dlaždice na tabuliDashboards and Dashboard Tiles

  1. Vyrovnávacia pamäť – údaje, ktoré sú potrebné pre vizuály na tabuli, sú zvyčajne uložené vo vyrovnávacej pamäti a ukladajú sa do vyrovnávacej pamäte vizuálnych údajov popísaných v nasledujúcej časti.Caches – The data needed by the visuals on the dashboard is usually cached and stored in the Visual Data Cache described in the following section. Iné dlaždice, ako sú vizuály pripnuté z Excelu alebo zo služby SQL Server Reporting Services (SSRS), sú uložené ako obrázky v úložisku Azure Blob a sú tiež šifrované.Other tiles such as pinned visuals from Excel or SQL Server Reporting Services (SSRS) are stored in Azure Blob as images, and are also encrypted.

  2. Statické údaje, ktoré obsahujú artefakty, ako sú obrázky na pozadí a vizuály v službe Power BI, ktoré sú uložené, šifrované, v úložisku objektu BLOB služby Azure.Static data – that includes artifacts such as background images and Power BI visuals that are stored, encrypted, in Azure Blob storage.

Bez ohľadu na použitú metódu šifrovania spoločnosť Microsoft spravuje šifrovanie kľúča v mene zákazníkov.Regardless of the encryption method used, Microsoft manages the key encryption on customers' behalf.

Vyrovnávacia pamäť vizuálnych údajovVisual Data Cache

Vizuálne údaje sa ukladajú do vyrovnávacej pamäte na rôznych miestach v závislosti od toho, či je množina údajov hosťovaná v kapacite Premium služby Power BI.Visual data is cached in different locations depending on whether the dataset is hosted on a Power BI Premium Capacity. V prípade množín údajov, ktoré nie sú hosťované na kapacite, sa vizuálne údaje ukladajú do vyrovnávacej pamäte a ukladajú sa šifrované v databáze Azure SQL.For datasets that are not hosted on a Capacity, the visual data is cached and stored encrypted in an Azure SQL Database. V prípade množín údajov, ktoré sú hosťované na kapacite, môžu byť vizuálne údaje uložené vo vyrovnávacej pamäti v niektorom z nasledujúcich umiestnení:For datasets that are hosted on a Capacity, the visual data can be cached in any of the following locations:

  • Ukladací priestor objektu BLOB platformy AzureAzure Blob Storage
  • Súbory Azure PremiumAzure Premium Files
  • Uzol kapacity Premium služby Power BIThe Power BI Premium Capacity node

Dočasne uložené údaje na zariadeniach so stálou pamäťouData Transiently Stored on Non-Volatile Devices

Zariadenia so stálou pamäťou sú zariadenia, ktorých pamäť sa zachováva aj bez konštantnej dodávky energie.Non-volatile devices are devices that have memory that persists without constant power. Nasleduje opis údajov, ktoré sú dočasne uložené na zariadeniach so stálou pamäťou.The following describes data that is transiently stored on non-volatile devices.

Množiny údajovDatasets

  1. Metaúdaje (tabuľky, stĺpce, mierky, výpočty, reťazce pripojenia atď.)Metadata (tables, columns, measures, calculations, connection strings, etc.)

  2. Niektoré artefakty, ktoré súvisia so schémou, môžu byť na obmedzený čas uložené na disku výpočtových uzlov.Some schema-related artifacts can be stored on the disk of the compute nodes for a limited period of time. Niektoré artefakty môžu byť na obmedzený čas uložené nešifrované aj vo vyrovnávacej pamäti Azure REDIS.Some artifacts can also be stored in Azure REDIS Cache unencrypted for a limited period of time.

  3. Poverenia pre pôvodné zdroje údajovCredentials to the original data sources

    a.a. Lokálne služby Analysis Services – nič sa neukladáAnalysis Services on-premises – nothing is stored

    b.b. DirectQuery – závisí to od toho, či je model vytvorený priamo v službe. V takom prípade sú poverenia uložené v reťazci pripojenia v šifrovanom formáte so šifrovacím kľúčom uloženým v čistom textovom formáte na rovnakom mieste (spolu so šifrovanou informáciou). Ak je však model naimportovaný z Power BI Desktopu, poverenia nie sú uložené na zariadeniach so stálou pamäťou.DirectQuery – This depends whether the model is created in the service directly in which case it is stored in the connection string, in encrypted format with the encryption key stored in clear text in the same place (alongside the encrypted information); or if the model is imported from Power BI Desktop in which case the credentials are not stored on non-volatile devices.

    Poznámka

    Funkcia vytvorenia modelu na strane služby bola ukončená začiatkom roka 2017.The service-side model creation feature were discontinued beginning in 2017.

    c.c. Presunuté údaje – žiadne (nedá sa použiť)Pushed data – none (not applicable)

    d.d. ETL – žiadne (vo výpočtovom uzle nie je nič uložené a nelíši sa to od toho, čo bolo vysvetlené v časti Uložené údaje)ETL – none (nothing stored on the compute node nor different than explained in the Data at Rest section, above)

  4. ÚdajeData

    Niektoré údajové artefakty môžu byť na obmedzený čas uložené na disku výpočtových uzlov.Some data artifacts can be stored on the disk of the compute nodes for a limited period of time.

Spracovávané údajeData in process

Údaje sú spracovávané, keď ich používateľ aktívne používa alebo k nim pristupuje.Data is in process when it is actively being used or accessed by a user. Údaje sú napríklad spracovávané, keď používateľ pristupuje k množine údajov, reviduje alebo upravuje tabuľu alebo zostavu, pri obnovení alebo iných aktivitách súvisiacich s prístupom k údajom.For example, data is in process when a user accesses a dataset, revises or modifies a dashboard or report, when refresh occurs, or other data access activities that may occur. Keď vznikne niektorá z týchto udalostí a údaje sa začnú spracúvať, Rola údajov v službe Power BI vo vnútornej pamäti vytvorí databázu Analysis Services (AS) a množina údajov sa načíta do databázy Analysis Services vo vnútornej pamäti.When any of those events occur and put data in process, the Data Role in the Power BI service creates an in-memory Analysis Services (AS) database and the dataset is loaded into that in-memory Analysis Services database. Nezáleží na tom, či je množina údajov založená na DirectQuery alebo nie. Do databázy AS sa načítajú nešifrované údaje, aby k nim mohla získať prístup Rola údajov, a zostanú v pamäti, aby sa k nim dalo naďalej pristupovať. Množina údajov bude v pamäti, až kým ju už služba Power BI nebude potrebovať.Whether the dataset is based on a DirectQuery or not, data loaded in the AS database is unencrypted to allow for access by the Data Role, and held in memory for further access until the Power BI service no longer needs the dataset. Pre zákazníkov s predplatným Power BI Premium vytvorí Power BI vo vnútornej pamäti databázu Analysis Services (AS) na samostatne zriadenej kolekcii virtuálnych počítačov Power BI u zákazníka.For customers with a Power BI Premium subscription, Power BI creates an in-memory Analysis Services (AS) database in the customer's separately provisioned collection of Power BI virtual machines.

Keď sa s údajmi vykonáva akcia, čo zahŕňa aj počiatočné načítanie údajov do Power BI, služba Power BI môže uložiť údaje vizualizácie v šifrovanej databáze Azure SQL, a to bez ohľadu na to, či bola množina údajov založená na DirectQuery.Once data is acted upon, which includes initially loading data into Power BI, the Power BI service may cache the visualization data in an encrypted Azure SQL Database, regardless of whether the dataset is based on a DirectQuery.

V Power BI sa používajú na monitorovanie integrity spracovávaných údajov protokoly HTTPS, TCP/IP a TLS, vďaka ktorým sú údaje šifrované a je zabezpečená integrita počas prenosu.To monitor data integrity for data in process, Power BI uses HTTPS, TCP/IP and TLS to ensure data is encrypted and maintains integrity during the transport.

Overenie používateľa pre zdroje údajovUser Authentication to Data Sources

Pri každom zdroji údajov používateľ vytvorí pripojenie na základe prihlásenia a pristupuje k údajom s týmito povereniami.With each data source, a user establishes a connection based on their login, and accesses the data with those credentials. Používateľ môže zo základných údajov vytvárať dotazy, tabule a zostavy.Users can then create queries, dashboards, and reports based on the underlying data.

Keď používateľ zdieľa dotazy, tabule, zostavy alebo vizualizácie, prístup k týmto údajom a vizualizáciám závisí od toho, či základné zdroje údajov podporujú zabezpečenie na úrovni roly (RLS).When a user shares queries, dashboards, reports, or any visualization, access to that data and those visualizations is dependent on whether the underlying data sources support Role Level Security (RLS).

Ak základný zdroj údajov podporuje zabezpečenie na úrovni roly (RLS) Power BI, služba Power BI použije toto zabezpečenie a používatelia, ktorí nemajú prístup k základným údajom (môže to byť dotaz použitý v tabuli, zostave alebo iný údajový artefakt), neuvidia údaje, pre ktoré nemajú dostatočné oprávnenie.If an underlying data source is capable of Power BI's**** Role Level Security (RLS), the Power BI service will apply that role level security, and users who do not have sufficient credentials to access the underlying data (which could be a query used in a dashboard, report, or other data artifact) will not see data for which the user does not have sufficient privileges. Ak má používateľ k základným údajom iný prístup ako používateľ, ktorý vytvoril tabuľu alebo zostavu, zobrazia sa mu vo vizualizáciách a iných artefaktoch len údaje na základe úrovne prístupu, ktorý má k údajom.If a user's access to the underlying data is different from the user who created the dashboard or report, the visualizations and other artifacts will only show data based on the level of access that user has to the data.

Ak zdroj údajov nepoužíva zabezpečenie RLS, na základný zdroj údajov sa potom použijú prihlasovacie poverenia Power BI alebo sa použijú poverenia, ktoré sú zadané počas pripojenia.If a data source does not apply RLS, then the Power BI login credentials are applied to the underlying data source, or if other credentials are supplied during the connection, those supplied credentials are applied. Keď používateľ do služby Power BI načíta údaje zo zdrojov údajov bez zabezpečenia RLS, údaje sú v Power BI uložené tak, ako je to opísané v tomto dokumente v časti Ukladanie a premiestňovanie údajov.When a user loads data into the Power BI service from non-RLS data sources, the data is stored in Power BI as described in the Data Storage and Movement section found in this document. Ak sa údaje zo zdrojov údajov bez zabezpečenia RLS zdieľajú s inými používateľmi (prostredníctvom tabule alebo zostavy) alebo sa údaje obnovia, na prístup k nim alebo na ich zobrazenie sa použijú pôvodné poverenia.For non-RLS data sources, when data is shared with other users (such as through a dashboard or report) or a refresh of the data occurs, the original credentials are used to access or display the data.

Zabezpečenie na úrovni roly (RLS)

Aby sme pochopili rozdiel medzi zdrojmi údajov so zabezpečením RLS a bez neho, uveďme si jeden príklad. Predstavte si, že Sam vytvorí zostavu a tabuľu a potom ich zdieľa s Abby a Ralphom.For a quick example to contrast RLS and non-RLS data sources, imagine Sam creates a report and a dashboard, then shares them with Abby and Ralph. Ak boli na zostavu a tabuľu použité zdroje údajov bez podpory zabezpečenia RLS, Abby aj Ralph uvidia údaje, ktoré Sam použil v tabuli (údaje boli nahrané do služby Power BI), a môžu s nimi pracovať.If the data sources used in the report and dashboard are from data sources that do not support RLS, both Abby and Ralph will be able to see the data that Sam included in the dashboard (which was uploaded into the Power BI service) and both Abby and Ralph can then interact with the data. Ak však Sam použije na vytvorenie zostavy a tabule zdroje údajov, ktoré podporujú zabezpečenie RLS, a potom ich zdieľa s Abby a Ralphom, tak keď sa Abby pokúsi zobraziť tabuľu, nastane takáto situácia:In contrast, if Sam creates a report and dashboard from data sources that do support RLS, then shares it with Abby and Ralph, when Abby attempts to view the dashboard the following occurs:

  1. Tabuľa je zo zdroja údajov so zabezpečením RLS, a preto sa na vizualizáciách tabule nakrátko zobrazí správa "Načítava sa", pretože služba Power BI dotazuje zdroj údajov a načítava aktuálnu množinu údajov danú v reťazci pripojenia, ktorý je spojený so základným dotazom tabule.Since the dashboard is from an RLS data source, the dashboard visualizations will briefly show a "loading" message while the Power BI service queries the data source to retrieve the current dataset specified in the connection string associated with the dashboard's underlying query.

  2. Prístup k údajom a ich načítanie je dané povereniami a rolou, ktorú Abby má, a do tabule alebo zostavy sa načítajú len tie údaje, pre ktoré má Abby dostatočné oprávnenie.The data is accessed and retrieved based on Abby's credentials and role, and only data for which Abby has sufficient authorization is loaded into the dashboard and report.

  3. Na tabuli a zostave sa zobrazujú vizualizácie na základe úrovne roly, ktorú Abby má.The visualizations in the dashboard and report are displayed based on Abby's role level.

Ak by chcel k zdieľanej tabuli alebo zostave pristupovať Ralph, na základe jeho úrovne roly nastane rovnaká postupnosť krokov.If Ralph were to access the shared dashboard or report, the same sequence occurs based on his role level.

Power BI MobilePower BI Mobile

Power BI Mobile je kolekcia aplikácií, ktoré sú určené pre tri primárne mobilné platformy: Android, iOS a Windows Mobile.Power BI Mobile is a collection of apps designed for the three primary mobile platforms: Android, iOS, and Windows Mobile. Otázky týkajúce sa zabezpečenia pre aplikácie Power BI Mobile sú zaradené do dvoch kategórií:Security considerations for Power BI Mobile apps falls into two categories:

  • Komunikácia zariadeníDevice communication
  • Aplikácia a údaje v zariadeníThe application and data on the device

Pre komunikáciu zariadení platí, že všetky aplikácie Power BI Mobile komunikujú so službou Power BI a používajú rovnaké pripojenie a overovacie sekvencie ako prehliadače, čo je podrobne popísané vyššie v tejto technickej dokumentácii.For device communication, all Power BI Mobile applications communicate with the Power BI service, and use the same connection and authentication sequences used by browsers, which are described in detail earlier in this whitepaper. Mobilné aplikácie Power BI pre iOS a Android vyvolávajú reláciu prehliadača v rámci samotnej aplikácie a mobilná aplikácia pre Windows vyvoláva proces sprostredkovateľa na vytvorenie komunikačného kanála pomocou služby Power BI.The iOS and Android Power BI mobile applications bring up a browser session within the application itself, and the Windows mobile app brings up a broker to establish the communication channel with Power BI.

Nasledujúca tabuľka uvádza podporu overovania na základe certifikátu (CBA) pre aplikáciu Power BI Mobile na základe platformy mobilného zariadenia:The following table lists support of certificate-based authentication (CBA) for Power BI Mobile based on mobile device platform:

Podpora CBACBA Support iOSiOS AndroidAndroid WindowsWindows
Power BI (prihlásenie do služby)Power BI (sign in to service) Podporovanésupported Podporovanésupported NepodporovanéNot supported
SSRS ADFS (pripojenie k serveru SSRS)SSRS ADFS (connect to SSRS server) NepodporovanéNot supported PodporovanéSupported NepodporovanéNot supported

Aplikácie Power BI Mobile aktívne komunikujú so službou Power BI.Power BI Mobile apps actively communicate with the Power BI service. Telemetria sa používa na zhromažďovanie štatistických údajov o používaní mobilnej aplikácie a podobných údajov, ktoré sa prenášajú do služieb na sledovanie používania a aktivít. S telemetrickými údajmi sa neodosielajú žiadne osobné údaje.Telemetry is used to gather mobile app usage statistics and similar data, which is transmitted to services that are used to monitor usage and activity; no personal data is sent with telemetry data.

Aplikácia v zariadení Power BI ukladá údaje v zariadení, ktoré umožňuje používať aplikáciu:The Power BI application on the device stores data on the device that facilitates use of the app:

  • Adresár Azure Active Directory a tokeny obnovenia sú bezpečne uložené na zariadení pomocou štandardných bezpečnostných ukazovateľov.Azure Active Directory and refresh tokens are stored in a secure mechanism on the device, using industry-standard security measures.

  • Údaje vo vyrovnávacej pamäti v úložisku zariadenia nie sú priamo šifrované pomocou samotnej aplikácieData is cached in storage on the device, which is not directly encrypted by the application itself

  • Podobne aj nastavenia sú uložené v zariadení nešifrované, ale skutočné používateľské údaje nie sú uložené.Settings are also stored on the device unencrypted, but no actual user data is stored.

Vyrovnávacia pamäť údajov z Power BI Mobile zostane v zariadení dva týždne alebo kým sa: aplikácia neodstráni; používateľ neodhlási z Power BI Mobile; alebo používateľovi nepodarí prihlásiť (napríklad kvôli uplynutiu platnosti tokenu udalosti alebo zmene hesla).The data cache from Power BI Mobile remains on the device for two weeks, or until: the app is removed; the user signs out of Power BI Mobile; or the user fails to sign in (such as a token expiration event, or password change). Vyrovnávacia pamäť údajov zahŕňa tabule a zostavy predtým prístupné z aplikácie Power BI Mobile.The data cache includes dashboards and reports previously accessed from the Power BI Mobile app.

Aplikácie Power BI Mobile nezobrazujú v priečinkoch v zariadení.Power BI Mobile applications do not look at folders on the device.

Všetky tri platformy, pre ktoré je k dispozícii Power BI Mobile, podporujú Microsoft Intune, softvérovú službu, ktorá poskytuje správu mobilných zariadení a služieb.All three platforms for which Power BI Mobile is available support Microsoft Intune, a software service that provides mobile device and application management. So zapnutou a nakonfigurovanou službou Intune sú údaje na mobilnom zariadení šifrované a samotná aplikácia Power BI sa nedá nainštalovať na SD karte.With Intune enabled and configured, data on the mobile device is encrypted, and the Power BI application itself cannot be installed on an SD card. Tu sú ďalšie informácie o službe Microsoft Intune.You can learn more about Microsoft Intune.

Otázky a odpovede ohľadom zabezpečenia Power BIPower BI Security Questions and Answers

Nasledujúce časté otázky a odpovede sa týkajú zabezpečenia služby Power BI.The following questions are common security questions and answers for Power BI. Na uľahčenie nájdenia nových otázok a odpovedí sú položky usporiadané podľa toho, kedy boli pridané do tejto technickej dokumentácie po jej aktualizácii.These are organized based on when they were added to this whitepaper, to facilitate your ability to quickly find new questions and answers when this paper is updated. Najnovšie otázky sú pridané na koniec zoznamu.The newest questions are added to the end of this list.

Ako sa používatelia pripájajú a získavajú prístup k zdrojom údajov pri používaní služby Power BI?How do users connect to, and gain access to data sources while using Power BI?

  • Poverenia a poverenia domény služby Power BI: Používatelia sa prihlasujú do Power BI pomocou e-mailovej adresy. keď sa používateľ pokúsi o pripojenie k zdroju údajov, Power BI odovzdá e-mailovú adresu prihlásenia služby Power BI ako poverenia.Power BI credentials and domain credentials: Users sign in to Power BI using an email address; when a user attempts to connect to a data resource, Power BI passes the Power BI login email address as credentials. Pre zdroje pripojené na doménu (buď lokálne alebo cloudové) sa prihlasovacia e-mailová adresa nastaví adresárom služby zhodne s Menom hlavného používateľa (UPN) na určenie, či existujú dostatočné poverenia na povolenie prístupu.For domain-connected resources (either on-premises or cloud-based), the login email is matched with a User Principal Name (UPN) by the directory service to determine whether sufficient credentials exist to allow access. Pre organizácie, ktoré používajú pracovné e-mailové adresy na prihlásenie do služby Power BI (ten istý e-mail, ktorý používajú na prihlásenie do pracovných zdrojov, ako je _david@contoso.com_ ), mapovanie sa môže vyskytnúť bez problémov. v prípade organizácií, ktoré nepoužili e-mailové adresy na prácu (napr _david@contoso.onmicrosoft.com_For organizations that use work-based email addresses to sign in to Power BI (the same email they use to login to work resources, such as _david@contoso.com_), the mapping can occur seamlessly; for organizations that did not use work-based email addresses (such as _david@contoso.onmicrosoft.com_), directory mapping must be established in order to allow access to on-premises resources with Power BI login credentials.

  • SQL Server Analysis Services a Power BI: V prípade organizácií, ktoré používajú lokálne SQL Server Analysis Services, Power BI ponúka lokálnu bránu údajov Power BI (čo je Brána, ako sa uvádza v predchádzajúcich častiach).SQL Server Analysis Services and Power BI: For organizations that use on-premises SQL Server Analysis Services, Power BI offers the Power BI on-premises data gateway (which is a Gateway, as referenced in previous sections). Brána lokálnych údajov Power BI môže na zdrojoch údajov vynútiť zabezpečenie na úrovni roly (RLS).The Power BI on-premises data gateway can enforce role-level security on data sources (RLS). Ďalšie informácie o zabezpečení na úrovni roly (RLS) nájdete v časti Overenie používateľa na zdrojoch údajov vyššie v tomto dokumente.For more information on RLS, see User Authentication to Data Sources earlier in this document. Ďalšie informácie o bránach nájdete v téme Lokálna brána údajov.For more information about gateways, see on-premises data gateway.

    Okrem toho môžu organizácie používať protokol Kerberos pre jediné prihlásenie (SSO) a bezproblémovo sa pripojiť zo služby Power BI do lokálnych zdrojov údajov, ako napríklad SQL Server, SAP HANA a Teradata.In addition, organizations can use Kerberos for single sign-on (SSO) and seamlessly connect from Power BI to on-premises data sources such as SQL Server, SAP HANA, and Teradata. Ďalšie informácie a požiadavky na konkrétnu konfiguráciu nájdete v časti Použitie protokolu Kerberos na jediné prihlásenie zo služby Power BI do lokálnych zdrojov údajov.For more information, and the specific configuration requirements, see Use Kerberos for SSO from Power BI to on-premises data sources.

  • Pripojenia mimo domény: pre pripojenia údajov, ktoré nie sú pripojené k doméne a nie sú schopné zabezpečenia na úrovni ROLÍ (RLS), používateľ musí počas sekvencie pripojenia zadať poverenia, ktoré Power BI potom prejde do zdroja údajov na vytvorenie pripojenia.Non-domain connections: For data connections that are not domain-joined and not capable of Role Level Security (RLS), the user must provide credentials during the connection sequence, which Power BI then passes to the data source to establish the connection. Ak sú povolenia dostatočné, údaje sa načítajú zo zdroja údajov do služby Power BI.If permissions are sufficient, data is loaded from the data source into the Power BI service.

Ako sa údaje prenášajú do služby Power BI?How is data transferred to Power BI?

  • Všetky údaje požadované a prenášané službou Power BI sú šifrované pri prenose pomocou protokolu HTTPS na pripojenie zo zdroja údajov k službe Power BI.All data requested and transmitted by Power BI is encrypted in transit using HTTPS to connect from the data source to the Power BI service. Zabezpečené pripojenie je vytvorené pomocou poskytovateľa údajov, a len po takom pripojení budú môcť údaje prechádzať cez sieť.A secure connection is established with the data provider, and only once that connection is established will data traverse the network.

Ako pracuje služba Power BI s vyrovnávacou pamäťou zostavy, tabule alebo modelu údajov, a ako je to zabezpečené?How does Power BI cache report, dashboard, or model data, and is it secure?

  • Pri prístupe k zdroju údajov sleduje služba Power BI proces popísaný v časti Ukladanie a premiestňovanie údajov vyššie v tomto dokumente.When a data source is accessed, the Power BI service follows the process outlined in the Data Storage and Movement section earlier in this document.

Ukladá sa pri práci klienta vyrovnávacia pamäť údajov z webovej stránky lokálne?Do clients cache web page data locally?

  • Keď majú klienti prehliadača prístup k službe Power BI, nastavia webové servery Power BI direktívu kontroly vyrovnávacej pamäte na možnosť bez uloženia.When browser clients access Power BI, the Power BI web servers set the Cache-Control directive to no-store. Direktíva bez uloženia usmerňuje prehliadače, aby sa webová stránka zobrazená používateľom neuložila do vyrovnávacej pamäte, ani do klientskeho priečinku vyrovnávacej pamäte.The no-store directive instructs browsers not to cache the web page being viewed by the user, and not to store the web page in the client's cache folder.

Čo je zabezpečenie na základe rolí, zdieľanie zostáv alebo tabúľ a údajových pripojení? Ako to funguje, pokiaľ ide o prístup k údajom, zobrazenie tabule, prístup k zostave alebo obnovenie?What about role-based security, sharing reports or dashboards, and data connections? How does that work in terms of data access, dashboard viewing, report access or refresh?

  • Pre zdroje údajov nezabezpečené na úrovni roly (RLS) platí, že ak je tabuľa, zostava, alebo dátový model zdieľaný s ostatnými používateľmi prostredníctvom služby Power BI, údaje sú k dispozícii pre používateľov, s ktorými sú zdieľané na prezeranie a interakciu.For non-Role Level Security (RLS) enabled data sources, if a dashboard, report, or data model is shared with other users through Power BI, the data is then available for users with whom it is shared to view and interact with. Služba Power BI opätovne neoveruje používateľov pre pôvodný zdroj údajov; ak sú už raz údaje nahraté do služby Power BI, používateľ overený pre zdroj údajov je zodpovedný za určenie ďalších používateľov a skupín s prístupom k údajom.Power BI does not re-authenticate users against the original source of the data; once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data.

    Pri pripojení k zdroju zabezpečenému na úrovni roly (RLS), napríklad k zdroju údajov Analysis Services, do vyrovnávacej pamäte v službe Power BI sa zapisujú iba údaje tabúľ.When data connections are made to an RLS -capable data source, such as an Analysis Services data source, only dashboard data is cached in Power BI. Pri každom zobrazení alebo prístupe k zostave alebo množine údajov, ktoré čerpajú údaje zo zdroja údajov zabezpečeného na úrovni roly (RLS), pristupuje služba Power BI k zdroju údajov na základe poverenia používateľa, a ak sú k dispozícii dostatočné povolenia, údaje sa načítajú do zostavy alebo modelu údajov pre daného používateľa.Each time a report or dataset is viewed or accessed in Power BI that uses data from the RLS-capable data source, the Power BI service accesses the data source to get data based on the user's credentials, and if sufficient permissions exist, the data is loaded into the report or data model for that user. V prípade zlyhania overenia sa používateľovi zobrazí chyba.If authentication fails, the user will see an error.

    Ďalšie informácie o zabezpečení na úrovni roly (RLS) nájdete v časti Overenie používateľa na zdrojoch údajov vyššie v tomto dokumente.For more information, see the User Authentication to Data Sources section earlier in this document.

Naši používatelia sa po celú dobu pripájajú k rovnakým zdrojom údajov, pričom niektoré z nich vyžadujú poverenia, ktoré sa líšia od svojich poverení domény. Ako sa môžu vyhnúť zadávaniu týchto poverení vždy, keď sa vytvorí údajové pripojenie?Our users connect to the same data sources all the time, some of which require credentials that differ from their domain credentials. How can they avoid having to input these credentials each time they make a data connection?

  • Služba Power BI ponúka osobnú bránu Power BI Personal Gateway, čo je funkcia, ktorá umožňuje používateľom vytvoriť poverenia pre viacero rôznych zdrojov údajov a potom automaticky používať tieto poverenia pri následnom prístupe ku každému z týchto zdrojov údajov.Power BI offers the Power BI Personal Gateway, which is a feature that lets users create credentials for multiple different data sources, then automatically use those credentials when subsequently accessing each of those data sources. Ďalšie informácie nájdete v téme Osobná brána Power BI Personal Gateway.For more information, see Power BI Personal Gateway.

Ako funguje služba Power BI Groups?How do Power BI Groups work?

  • Power BI Groups umožňuje používateľom rýchlo a jednoducho spolupracovať na vytvorenie tabúľ, zostáv a modelov údajov v rámci tímov.Power BI Groups allow users to quickly and easily collaborate on the creation of dashboards, reports, and data models within established teams. Ak máte napríklad skupinu v službe Power BI, ktorá zahŕňa všetkých používateľov vo vašom aktuálnom tíme, môžete jednoducho spolupracovať so všetkými členmi vášho tímu tak, že vyberiete skupinu v rámci služby Power BI.For example, if you have a Power BI Group that includes everyone in your immediate team, you can easily collaborate with everyone on your team by selecting the Group from within Power BI. Služba Power BI Groups je ekvivalentná so službou Office 365 Universal Groups (o ktorej sa môžete dozvedieť viac, vytvoriť ju a spravovať ju) a používa rovnaké mechanizmy overovania na zabezpečenie údajov, aké sú používané v službe Azure Active Directory.Power BI Groups are equivalent to Office 365 Universal Groups (which you can learn about, create, and manage), and use the same authentication mechanisms used in Azure Active Directory to secure data. Môžete vytvárať skupiny v službe Power BI alebo vytvoriť univerzálnu skupinu v Centre spravovania služby Microsoft 365 – obidva postupy vedú k rovnakému výsledku pri vytvorení skupiny v službe Power BI.You can create groups in Power BI or create a Universal Group in Microsoft 365 admin center; either has the same result for group creation in Power BI.

    Všimnite si, že údaje zdieľané so skupinou služby Power BI Groups podliehajú rovnakým pravidlám ako všetky iné údaje zdieľané v službe Power BI.Note that data shared with Power BI Groups follows the same security consideration as any shared data in Power BI. Pre zdroje údajov nezabezpečené na úrovni roly (RLS) služba Power BI opätovne neoveruje používateľov pre pôvodný zdroj údajov, ak sú už raz údaje nahraté do služby Power BI, používateľ overený pre zdroj údajov je zodpovedný za určenie ďalších používateľov a skupín s prístupom k údajom.For non-RLS data sources Power BI does not re-authenticate users against the original source of data, and once data is uploaded into Power BI, the user who authenticated against the source data is responsible for managing which other users and groups can view the data. Ďalšie informácie o zabezpečení na úrovni roly (RLS) nájdete v časti Overenie používateľa na zdrojoch údajov vyššie v tomto dokumente.For more information, see the User Authentication to Data Sources section earlier in this document.

    Tu sú ďalšie informácie o skupinách v službe Power BI.You can get more information about Groups in Power BI.

Ktoré porty používa Lokálna brána údajov a osobná brána? Existujú nejaké názvy domén, ktoré je potrebné povoliť na účely pripojenia?Which ports are used by on-premises data gateway and personal gateway? Are there any domain names that need to be allowed for connectivity purposes?

  • Podrobná odpoveď na túto otázku je k dispozícii na nasledujúcom prepojení: porty brányThe detailed answer to this question is available at the following link: Gateway ports

Keď pracujete s lokálnou bránou údajov, ako sa používajú kľúče na obnovenie a kde sú uložené? Čo je zabezpečená správa poverení?When working with the on-premises data gateway, how are recovery keys used and where are they stored? What about secure credential management?

  • Počas inštalácie a konfigurácie brány správca zadáva v bráne kľúč na obnovenie.During gateway installation and configuration, the administrator types in a gateway Recovery Key. Tento kľúč na obnovenie sa používa na generovanie silného symetrického kľúča AES .That Recovery Key is used to generate a strong AES symmetric key. Zároveň sa vytvorí Asymetrický kľúč RSA .An RSA asymmetric key is also created at the same time.

    Tieto vygenerované kľúče (RSA a AES) sú uložené v súbore umiestnenom v lokálnom počítači.Those generated keys (RSA and AES) are stored in a file located on the local machine. Tento súbor je tiež zašifrovaný.That file is also encrypted. Obsah súboru je možné dešifrovať len pomocou tohto konkrétneho počítača so systémom Windows a len cez toto konkrétne konto služby brány.The contents of the file can only be decrypted by that particular Windows machine, and only by that particular gateway service account.

    Keď používateľ zadá poverenia zdroja údajov v používateľskom rozhraní služby Power BI, poverenia sa zašifrujú pomocou verejného kľúča v prehliadači.When a user enters data source credentials in the Power BI service UI, the credentials are encrypted with the public key in the browser. Brána dešifruje poverenia pomocou súkromného kľúča RSA a znova ich zašifruje pomocou symetrického kľúča AES pred uložením údajov v služba Power BI.The gateway decrypts the credentials using the RSA private key and re-encrypts them with an AES symmetric key before the data is stored in the Power BI service. Prostredníctvom tohto procesu nemá služba Power BI nikdy prístup k nešifrovaným údajom.With this process, the Power BI service never has access to the unencrypted data.

Ktoré komunikačné protokoly sú používané bránou lokálnych údajov a ako sú zabezpečené?Which communication protocols are used by the on-premises data gateway, and how are they secured?

  • Brána podporuje dva nasledujúce komunikačné protokoly:The gateway supports the following two communications protocols:

    • AMQP 1,0 – TCP + TLS: Tento protokol vyžaduje, aby porty 443, 5671-5672 a 9350-9354 boli otvorené pre odchádzajúce komunikácie.AMQP 1.0 – TCP + TLS: This protocol requires ports 443, 5671-5672, and 9350-9354 to be open for outgoing communication. Tento protokol je preferovaný, pretože má nižšie náklady na komunikácie.This protocol is preferred, since it has lower communication overhead.

    • Https – WebSockets over https + TLS: Tento protokol používa iba port 443.HTTPS – WebSockets over HTTPS + TLS: This protocol uses port 443 only. WebSocket je spustený používateľom jedinou správou pripojenia HTTP.The WebSocket is initiated by a single HTTP CONNECT message. Po vytvorení kanála beží komunikácia v podstate cez TCP + TLS.Once the channel is established, the communication is essentially TCP+TLS. Bránu môžete vynútiť na používanie tohto protokolu úpravou nastavenia popísaným v článku o lokálnej bráne.You can force the gateway to use this protocol by modifying a setting described in the on-premises gateway article.

Aká je úloha siete Azure CDN v službe Power BI?What is the role of Azure CDN in Power BI?

  • Power BI používa sieť Azure Content Delivery Network (CDN) na efektívnu distribúciu nevyhnutného statického obsahu a súborov používateľom podľa geografického miestneho nastavenia.As mentioned previously, Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale. Konkrétne používa služba Power BI viaceré siete CDN na efektívnu distribúciu potrebného statického obsahu a súborov používateľom prostredníctvom verejného internetu.To go into further detail, the Power BI service uses multiple CDNs to efficiently distribute necessary static content and files to users through the public Internet. Tieto statické súbory zahŕňajú produkty na stiahnutie (napríklad Power BI Desktop, lokálna brána údajov alebo aplikácie Power BI od rôznych nezávislých poskytovateľov služieb), konfiguračné súbory prehliadača používané na spustenie a zriadenie všetkých ďalších pripojení pomocou služby Power BI, ako aj počiatočnú zabezpečenú prihlasovaciu stránku služby Power BI.These static files include product downloads (such as Power BI Desktop, the on-premises data gateway, or Power BI apps from various independent service providers), browser configuration files used to initiate and establish any subsequent connections with the Power BI service, as well as the initial secure Power BI login page.

    Na základe informácií poskytnutých počas počiatočného pripojenia k službe Power BI kontaktuje prehliadač používateľa špecifikovanú sieť Azure CDN(alebo pre niektoré súbory sieť WFE), aby sa mohla stiahnuť kolekcia špecifikovaných bežných súborov potrebných na povolenie interakcie prehliadača so službou Power BI.Based on information provided during an initial connection to the Power BI service, a user's browser contacts the specified Azure CDN (or for some files, the WFE) to download the collection of specified common files necessary to enable the browser's interaction with the Power BI service. Stránka prehliadača potom počas trvania relácie prehliadača služby Power BI obsahuje token AAD, informácie o relácii, umiestnenie zodpovedajúceho klastra Back-End a kolekcie súborov stiahnutých zo siete Azure CDN a klaster WFE.The browser page then includes the AAD token, session information, the location of the associated Back-End cluster, and the collection of files downloaded from the Azure CDN and WFE cluster, for the duration of the Power BI service browser session.

V prípade vizuálov služby Power BI spoločnosť Microsoft vykoná pred publikovaním položiek v galérii akékoľvek zabezpečenie alebo hodnotenie ochrany osobných údajov vlastného kódu vizuálu?For Power BI visuals, does Microsoft perform any security or privacy assessment of the custom visual code prior to publishing items to the Gallery?

  • Nie.No. Je vašou zodpovednosťou skontrolovať a rozhodnúť, či je kód vlastného vizuálu spoľahlivý.It is the customer's responsibility to review and determine whether custom visual code should be relied upon. Kód vlastných vizuálov je prevádzkovaný v testovacom prostredí, takže akýkoľvek chybný kód vlastného vizuálu nebude mať nepriaznivý vplyv na ostatné položky služby Power BI.All custom visual code is operated in a sandbox environment, so that any errant code in a custom visual does not adversely affect the rest of the Power BI service.

Existujú iné vizuály Power BI, ktoré odosielajú údaje mimo siete zákazníka?Are there other Power BI visuals that send information outside the customer network?

  • Áno.Yes. Mapy Bing a vizuály ESRI prenášajú údaje zo služby Power BI pre vizuálne prvky, ktoré používajú tieto služby.Bing Maps and ESRI visuals transmit data out of the Power BI service for visuals that use those services.

Vykonáva spoločnosť Microsoft pre aplikácie šablón nejaké hodnotenia zabezpečenia alebo ochrany osobných údajov pred publikovaním položiek v galérii?For Template Apps, does Microsoft perform any security or privacy assessment of the Template app prior to publishing items to the Gallery?

  • Nie.No. Za obsah je zodpovedný vydavateľ aplikácie a zákazník si má vydavateľa aplikácie šablón preveriť a na základe zistení sa rozhodnúť, či mu bude dôverovať.The app publisher is responsible for the content while the customer's responsibility to review and determine whether to trust the Template app publisher.

Existujú iné aplikácie šablón, ktoré odosielajú údaje mimo siete zákazníka?Are there Template apps that can send information outside the customer network?

  • Áno.Yes. Je zodpovednosťou zákazníka skontrolovať zásady ochrany osobných údajov vydavateľa a rozhodnúť sa, či si aplikáciu šablón nainštaluje do nájomníka.It is the customer's responsibility to review the publisher's privacy policy and determine whether to install the Template app on Tenant. Vydavateľ navyše musí informovať o správaní a funkciách aplikácie.Furthermore, the publisher is responsible to notify of the app's behavior and capabilities.

Čo je to o suverenite údajov? Môžeme zriadiť nájomníkov v dátových centrách nachádzajúcich sa v konkrétnych geografických oblastiach, aby sa zaistilo, že údaje neopustia hranice krajín?What about data sovereignty? Can we provision tenants in data centers located in specific geographies, to ensure data doesn't leave the country borders?

  • Niektorí zákazníci v istých geografických oblastiach majú možnosť vytvoriť nájomníka v národnom cloude, kde ukladanie a spracovanie údajov je oddelené od všetkých ostatných údajových centier.Some customers in certain geographies have an option to create a tenant in a national cloud, where data storage and processing is kept separate from all other datacenters. Národné cloudy majú trochu iný typ zabezpečenia, pretože dôverník pre samostatné údaje pôsobí v národných cloudoch služby Power BI v mene spoločnosti Microsoft.National clouds have a slightly different type of security, since a separate data trustee operates the national cloud Power BI service on behalf of Microsoft.

    Prípadne môžu zákazníci nastaviť nájomníka v konkrétnej oblasti, avšak nájomník nemá dôverníka separátnych údajov od spoločnosti Microsoft.Alternatively customers can also set up a tenant in a specific region, however, such tenants do not have a separate data trustee from Microsoft. Ceny národných cloudov sa líšia od všeobecne dostupnej komerčnej služby Power BI.Pricing for national clouds is different from the generally available commercial Power BI service. Ďalšie informácie o dostupnosti služby Power BI pre národné cloudy nájdete v téme Národné cloudy služby Power BI.For more information about Power BI service availability for national clouds, see Power BI national clouds.

Ako spoločnosť Microsoft lieči pripojenia pre zákazníkov, ktorí majú predplatné služby Power BI Premium? Sú tieto pripojenia iné ako tie, ktoré sú stanovené pre služba Power BI bez prémie?How does Microsoft treat connections for customers who have Power BI Premium subscriptions? Are those connections different than those established for the non-Premium Power BI service?

  • Pripojenia vytvorené pre zákazníkov predplatného služby Power BI Premium vykonávajú proces oprávnenia Azure Business-to-Business (B2B) pomocou adresára Azure Active Directory (AD) na povolenie riadenia prístupu a oprávnenia.The connections established for customers with Power BI Premium subscriptions implement an Azure Business-to-Business (B2B) authorization process, using Azure Active Directory (AD) to enable access control and authorization. Služba Power BI spracováva pripojenia predplatiteľov zo služby Power BI Premium k zdrojom služby Power BI Premium rovnako ako iných používateľov služby Azure AD.Power BI handles connections from Power BI Premium subscribers to Power BI Premium resources just as it would any other Azure AD user.

ZáverConclusion

Architektúra služby Power BI je založená na dvoch klastroch – na klastri Webové klientske rozhranie (WFE) a klastri Back-End.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. Klaster WFE zodpovedá za počiatočné pripojenie a overenie v službe Power BI. Po overení všetky následné užívateľské interakcie potom spracováva klaster Back End.The WFE cluster is responsible for initial connection and authentication to the Power BI service, and once authenticated, the Back End handles all subsequent user interactions. Služba Power BI používa na ukladanie a spravovanie identít užívateľov adresár Azure Active Directory (AAD) a spravuje ukladanie údajov pomocou databázy Azure Blob a metaúdajov pomocou databázy SQL Azure.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure Blob and Azure SQL Database, respectively.

Ukladanie a spracovanie údajov v službe Power BI sa líši podľa toho, či údaje sú prístupné pomocou režimu DirectQuery, a závisí aj od toho, či sú zdroje údajov v cloude alebo sú lokálne.Data storage and data processing in Power BI differs based on whether data is accessed using a DirectQuery, and is also dependent on whether data sources are in the cloud or on-premises. Služba Power BI tiež dokáže vynútiť zabezpečenie na úrovni roly (RLS) a pracovať s bránami, ktoré poskytujú prístup k lokálnym údajom.Power BI is also capable of enforcing Role Level Security (RLS) and interacts with Gateways that provide access to on-premises data.

Pripomienky a návrhyFeedback and Suggestions

Vážime si vaše pripomienky.We appreciate your feedback. Máme záujem vypočuť si všetky vaše návrhy na zlepšenie, rozšírenie alebo vyjasnenie k tejto dokumentácii alebo k iný dokumentom súvisiacich so službou Power BI.We're interested in hearing any suggestions you have for improvement, additions, or clarifications to this whitepaper, or other content related to Power BI. Odošlite svoje návrhy pbidocfeedback@microsoft.com .Send your suggestions to pbidocfeedback@microsoft.com.

Ďalšie zdroje informáciíAdditional Resources

Ďalšie informácie o službe Power BI nájdete v nasledujúcich zdrojoch.For more information on Power BI, see the following resources.