Zdieľať cez

Technická dokumentácia k zabezpečeniu v Službe Power BI

  • Článok

Zhrnutie: Power BI je online softvérová služba (SaaS alebo softvér ako služba) spoločnosti Microsoft, ktorá vám umožňuje jednoducho a rýchlo vytvárať samoobslužné Business Intelligence tabule, zostavy, sémantické modely (predtým známe ako množiny údajov) a vizualizácie. So službou Power BI sa môžete pripojiť k mnohým rôznym zdrojom údajov, kombinovať a tvarovať údaje z týchto pripojení a následne vytvoriť zostavy a tabule, ktoré je možné zdieľať s ostatnými.

Spisovatelia: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay,, Yariv Maimon, Bogdan Crivat

Technickí recenzenti: Cristian Petculescu, Amir Netz, Sergej Gundorov

Vzťahuje sa na: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI Mobile.

Poznámka

Túto technickú dokumentáciu môžete uložiť alebo vytlačiť tak, že vyberiete možnosť Tlačiť v prehliadači a potom možnosť Uložiť ako PDF.

Úvod

Power BI je online softvérová služba (SaaS alebo softvér ako služba) spoločnosti Microsoft, ktorá vám umožňuje jednoducho a rýchlo vytvárať samoobslužné Business Intelligence tabule, zostavy, sémantické modely a vizualizácie. So službou Power BI sa môžete pripojiť k mnohým rôznym zdrojom údajov, kombinovať a tvarovať údaje z týchto pripojení a následne vytvoriť zostavy a tabule, ktoré je možné zdieľať s ostatnými.

Svet sa rýchlo mení, napr. Organizácie prechádzajú zrýchlenou digitálnou transformáciou. Sme svedkami obrovského nárastu práce na diaľku, zvýšeného dopytu zákazníkov po online služby a zvýšeného využívania pokročilých technológií v operáciách a prijímaní obchodných rozhodnutí. A to všetko je napájané cloudom.

Keďže prechod k cloudu sa zmenil z presvetlenia na povodeň a spolu s novou, exponujúnou povrchovou oblasťou, ktorá s ňou prichádza, sa viac spoločností pýta Ako bezpečné sú moje údaje v cloude? a Aká komplexná ochrana je k dispozícii na to, aby nedochádzalo k úniku mojich citlivých údajov? A pre platformy BI, ktoré často spracovávajú niektoré z najdôležitejších informácií v podniku, sú tieto otázky dvakrát dôležité.

Desaťročia staré základy modelu zabezpečenia BI - zabezpečenia na úrovni objektu a riadkov - sú však ešte dôležité, zjavne už nie je postačujúce na poskytovanie druhu zabezpečenia potrebného v cloudovej ére. Namiesto toho musia organizácie vyhľadávať cloudové natívne viacúrovňové riešenia zabezpečenia pre svoje údaje BI.

Služba Power BI bola vytvorená tak, aby poskytovala úplnú a hermetickú ochranu údajov, ktorá vedie v odvetví. Výrobok získal najvyššiu bezpečnostnú klasifikáciu dostupnú v priemysle a mnohé národné bezpečnostné agentúry, finančné inštitúcie a poskytovatelia zdravotnej starostlivosti ho dnes vymedujú najcitlivejším informáciami.

Všetko začína základom. Po drsnom období na začiatku roka 2000, Spoločnosť Microsoft masívne investície na riešenie svojich bezpečnostných zraniteľností, a v nasledujúcich desaťročiach postavený silný bezpečnostný stoh, ktorý ide tak hlboko, ako stroj on-chip bios jadro a rozširuje celú cestu až do end-user skúsenosti. Tieto hlboké investície pokračujú a dnes sa viac ako 3 500 inžinierov spoločnosti Microsoft zapája do budovania a vylepšovania zásobníka zabezpečenia spoločnosti Microsoft a proaktívne na riešenie neustále sa meniaceho prostredia hrozieb. S miliardami počítačov, biliónov prihlasovacích údajov a nespočetnými zettabytes informácií poverených ochranou spoločnosti Microsoft, spoločnosť má teraz najpokročilejšie zásobník zabezpečenia v technologickom priemysle a je všeobecne považovaná za globálneho lídra v boji proti škodlivým hercom.

Power BI vychádza z tohto silného základu. Používa rovnaký zásobník zabezpečenia, aký azure získal právo slúžiť a chrániť najcitlivejšie údaje na svete, a integruje sa s najpokročilejšími nástrojmi ochrany informácií a dodržiavania súladu služby Microsoft 365. Okrem toho poskytuje bezpečnosť prostredníctvom viacvrstvových bezpečnostných opatrení, čo má za následok komplexnú ochranu navrhnutú na riešenie jedinečných výziev éry cloudu.

Na poskytnutie komplexného riešenia na ochranu citlivých aktív produktový tím potreboval riešiť náročné obavy zákazníkov na viacerých simultánnych frontoch:

  • Ako môžeme kontrolovať, kto sa môže pripojiť, odkiaľ sa pripája a ako sa môže pripojiť?Ako môžeme ovládať pripojenia?
  • Ako sa údaje ukladajú?Ako je šifrovaná?Aké ovládacie prvky mám na svojich údajoch?
  • Ako môžem kontrolovať a chrániť svoje citlivé údaje?Ako zabezpečím, že tieto údaje nemôžu unikať mimo organizácie?
  • Ako môžem auditovať, kto vykonáva aké operácie?Ako môžem rýchlo reagovať, ak je v službe podozrivá aktivita?

Tento článok poskytuje komplexnú odpoveď na všetky tieto otázky. Začína prehľadom architektúry služby a vysvetľuje, ako hlavné postupy v systéme fungujú. Ďalej popisuje, ako sa používatelia overujú v službe Power BI, ako sa vytvárajú pripojenia údajov a ako služba Power BI ukladá a presúva údaje prostredníctvom služby. V poslednej časti sa popisujú funkcie zabezpečenia, ktoré vám ako správcovi služby umožňujú chrániť vaše najcennejšie položky.

Služba služba Power BI sa riadi podmienkami poskytovania online služieb spoločnosti Microsoft a vyhlásením o ochrane osobných údajov spoločnosti Microsoft pre podniky. Miesto spracovania údajov nájdete v podmienkach miesta spracovania údajov v podmienkach poskytovania online služieb spoločnosti Microsoft a doplnku pre ochranu údajov. Microsoft Trust Center je primárnym zdrojom informácií o dodržiavaní súladu pre Power BI. Tím služby Power BI sa usiluje prinášať svojim zákazníkom najnovšie inovácie a produktivitu. Získajte ďalšie informácie o dodržiavaní súladu v ponukách spoločnosti Microsoft týkajúcich sa dodržiavania súladu.

Služba Power BI sleduje životný cyklus vývoja zabezpečenia (SDL), prísne postupy zabezpečenia, ktoré podporujú požiadavky zabezpečenia a dodržiavania súladu. SDL pomáha vývojárom vytvárať bezpečnejší softvér znížením počtu a závažnosti zraniteľných miest v softvéri a zároveň znižuje náklady na vývoj. Ďalšie informácie nájdete v službe Microsoft Security Development Lifecycle Practices.

Architektúra služby Power BI

Služba Power BI je založená na cloudovej výpočtovej platforme Microsoft Azure. Služba Power BI je v súčasnosti nasadená v mnohých dátových centrách po celom svete – k dispozícii je veľa aktívnych nasadení pre zákazníkov v oblastiach služieb týchto dátových centier a rovnaký počet pasívnych nasadení, ktoré slúžia ako zálohy pre každé aktívne nasadenie.

WFE a Back-End

Webový klientsky klaster (WFE)

Klaster WFE poskytuje prehliadač používateľovi počiatočný obsah stránky HTML pri načítavaní lokality a ukazovatele k obsahu CDN, ktorý sa používa na vykreslenie lokality v prehliadači.

Klaster WFE

Klaster WFE pozostáva z webovej lokality ASP.NET spustenej v prostredí Azure App Service. Pri pokuse používateľov o pripojenie k služba Power BI môže služba DNS klienta komunikovať so službou Azure Traffic Manager a nájsť najvhodnejšie (zvyčajne najbližšie) údajové centrum s nasadením služby Power BI. Ďalšie informácie o tomto procese nájdete v téme Metóda smerovania prenosu pre Azure Traffic Manager.

Statické zdroje, ako napríklad *.js, *.css a súbory obrázkov, sa väčšinou ukladajú do siete na doručovanie obsahu služby Azure (CDN) a načítavajú priamo v prehliadači. Upozorňujeme, že nasadenia suverénneho klastra štátnej správy sú výnimkou z tohto pravidla. Z dôvodov dodržiavania súladu vynecháme názov CDN a namiesto toho použijete klaster WFE z oblasti kompatibilnej oblasti na hosťovanie statického obsahu.

Serverový klaster Power BI (BE)

Serverový klaster je základom všetkých funkcií dostupných v službe Power BI. Pozostáva z niekoľkých koncových bodov služby, ktoré spotrebúvajú klienti webového klientskeho rozhrania a rozhrania API, ako aj služby práce na pozadí, databázy, vyrovnávacie pamäte a rôzne ďalšie súčasti.

Serverová časť je k dispozícii vo väčšine oblastí Azure a nasadzuje sa v nových oblastiach, keď budú k dispozícii. Jedna oblasť Azure hosťuje jeden alebo viacero serverových klastrov, ktoré umožňujú neobmedzené vodorovné škálovanie služba Power BI, keď sa vyčerpajú vertikálne a vodorovné limity škálovania jedného klastra.

Každý serverový klaster je stavový a hosťuje všetky údaje všetkých nájomníkov priradených k danému klastru. Klaster, ktorý obsahuje údaje konkrétneho nájomníka, sa označuje ako domovský klaster nájomníka. Informácie o domovskom klastri overeného používateľa poskytuje globálna služba a používa ju webové klientske rozhranie na smerovanie žiadostí do domovského klastra nájomníka.

Každý serverový klaster pozostáva z viacerých virtuálnych počítačov skombinovaných do viacerých množín s pohyblivou veľkosťou, ktoré sú naladené na vykonávanie konkrétnych úloh. Sú to napríklad databázy SQL, kontá úložiska, zberníky služieb, vyrovnávacie pamäte a ďalšie potrebné cloudové komponenty.

Metaúdaje a údaje nájomníka sú uložené v rámci limitov klastrov s výnimkou replikácie údajov do sekundárneho serverového klastra v spárovanej oblasti Azure v tej istej geografii Azure. Sekundárny serverový klaster slúži ako klaster prepnutia pri zlyhaní v prípade regionálneho výpadku a je kedykoľvek pasívny.

Serverová funkcia je obsluhovaná mikro službami spustenými na rôznych počítačoch vo virtuálnej sieti klastra, ktoré nie sú dostupné zvonku, s výnimkou dvoch komponentov, ku ktorým je možné získať prístup z verejného internetu:

  • Služba brány
  • Azure API Management

Serverový klaster

Infraštruktúra služby Power BI Premium

Power BI Premium ponúka službu pre predplatiteľov, ktorí vyžadujú prémiové funkcie služby Power BI, ako sú napríklad pokročilá umelá inteligencia, distribúcia pre nelicencovaných používateľov atď. Keď sa zákazník zaregistruje k predplatnému služby Power BI Premium, vytvorí sa prostredníctvom správcu Azure Resource Manager kapacita služby Premium.

Kapacity Služby Power BI Premium sú hosťované v serverových klastroch, ktoré sú nezávislé od bežnej serverovej verzie služby Power BI – pozrite vyššie). To poskytuje lepšiu izoláciu, alokovanie zdrojov, podpornosť, izoláciu zabezpečenia a škálovateľnosť ponuky Premium.

Nasledujúci diagram znázorňuje architektúru infraštruktúry Power BI Premium:

Power BI Premium

Pripojenie k infraštruktúre Power BI Premium sa dá vykonať mnohými spôsobmi, v závislosti od scenára používateľa. Klienti služby Power BI Premium môžu byť prehliadačom používateľa, bežným serverovým serverom služby Power BI, priamymi pripojeniami cez klientov XMLA, rozhrania ARM API atď.

Infraštruktúra služby Power BI Premium v oblasti Azure sa skladá z viacerých klastrov služby Power BI Premium (minimálny počet je jeden). Väčšina prostriedkov Premium je zapuzdrená v klastri (napríklad vo výpočte) a k dispozícii sú niektoré spoločné regionálne zdroje (napríklad úložisko metaúdajov). Prémiová infraštruktúra umožňuje dva spôsoby, ako dosiahnuť vodorovnú škálovateľnosť v určitej oblasti: zvýšenie zdrojov v klastroch a/alebo pridanie ďalších klastrov na požiadanie (ak sa zdroje klastrov blížia k ich limitom).

Chrbtica každého klastra sú výpočtové zdroje spravované sústavy meradiel virtuálneho počítača a služby Azure Service Fabric. Sústavy meradiel virtuálneho počítača a služba Service Fabric umožňujú rýchle a bezbolestné zvýšenie výpočtových uzlov s rastom a koordinovaním nasadenia, správy a monitorovania služieb a aplikácií služby a aplikácií služby Power BI Premium.

Existuje mnoho okolitých zdrojov, ktoré zabezpečujú bezpečnú a spoľahlivú infraštruktúru: vyrovnávanie zaťaženia, virtuálne siete, skupiny zabezpečenia siete, service bus, úložisko atď. Všetky tajné kódy, kľúče a certifikáty požadované pre službu Power BI Premium spravuje výlučne služba Azure Key Vault . Akékoľvek overovanie sa vykonáva výhradne prostredníctvom integrácie s identifikátorom Microsoft Entra ID (predtým známe ako Azure Active Directory).

Každá požiadavka do infraštruktúry služby Power BI Premium ide najskôr na klientske uzly – sú jedinými uzlami, ktoré sú k dispozícii pre externé pripojenia. Ostatné zdroje sú skryté za virtuálnymi sieťami. Klientske uzly overujú požiadavku, spracujú ju alebo ju preposielajú príslušným zdrojom (napríklad serverovým uzlom).

Serverové uzly poskytujú väčšinu možností a funkcií služby Power BI Premium.

Power BI Mobile

Power BI Mobile je kolekcia aplikácií, ktoré sú určené pre tri základné mobilné platformy: Android, iOS a Windows (UWP). Otázky týkajúce sa zabezpečenia pre aplikácie Power BI Mobile sa delia na dve kategórie:

  • Komunikácia zariadení
  • Aplikácia a údaje v zariadení

Pre komunikáciu zariadení platí, že všetky aplikácie Power BI Mobile komunikujú so služba Power BI a používajú rovnaké pripojenie a overovacie sekvencie ako prehliadače, čo je podrobne popísané vyššie v tejto technickej dokumentácii. Mobilné aplikácie Power BI pre iOS a Android vyvolá reláciu prehliadača v rámci samotnej aplikácie, zatiaľ čo mobilná aplikácia pre Windows vyvoláva proces prihlasovania proces sprostredkovateľa na vytvorenie komunikačného kanála so službou Power BI.

Nasledujúca tabuľka uvádza podporu overovania na základe certifikátu (CBA) pre aplikáciu Power BI Mobile na základe platformy mobilného zariadenia:

Podpora CBA iOS Android Windows
Power BI (prihlásenie do služby) Podporované Podporované Nie je podporované
Lokálne SSRS ADFS (pripojenie k serveru SSRS) Nie je podporované Podporované Nie je podporované
SSRS App Proxy Podporované Podporované Nie je podporované

Aplikácie Power BI Mobile aktívne komunikujú so služba Power BI. Telemetria sa používa na zhromažďovanie štatistických údajov o používaní mobilnej aplikácie a podobných údajov, ktoré sa prenášajú do služieb na sledovanie používania a aktivít; s telemetriou sa neodosielajú žiadne zákaznícke údaje.

Aplikácia Power BI ukladá údaje v zariadení, ktoré umožňuje používať aplikáciu:

  • ID spoločnosti Microsoft Entra a tokeny obnovenia sú bezpečne uložené na zariadení pomocou štandardných bezpečnostných opatrení.
  • Údaje a nastavenia (páry kľúča a hodnoty pre konfiguráciu používateľa) sú uložené vo vyrovnávacej pamäti v zariadení a je možné ich šifrovať operačným systémom. V systéme iOS sa to vykoná automaticky, keď používateľ nastaví prístupový kód. V Androide je to možné nakonfigurovať v nastaveniach. V systéme Windows sa to dosiahne pomocou zámku BitLocker.
  • V prípade aplikácií pre Android a iOS sú údaje a nastavenia (páry kľúča a hodnoty pre konfiguráciu používateľa) uložené vo vyrovnávacej pamäti v zariadení v sandboxe a internom úložisku, ktoré je prístupné len pre aplikáciu. V prípade aplikácie pre Windows sú údaje prístupné len používateľovi (a správcovi systému).
  • Geolokalizácia je používateľovi povolená alebo zakázaná explicitne. Ak je táto možnosť povolená, geolokačné údaje sa v zariadení neuložia a nezdieľa sa so spoločnosťou Microsoft.
  • Používatelia môžu oznámenia explicitne zapnúť alebo zakázať. Ak je táto možnosť povolená, systémy Android a iOS nepodporujú požiadavky na pobyt geografických údajov pre oznámenia.

Šifrovanie údajov je možné vylepšiť použitím šifrovania na úrovni súboru prostredníctvom softvérovej služby Microsoft Intune, ktorá poskytuje správu mobilných zariadení a aplikácií. Všetky tri platformy, pre ktoré je k dispozícii Power BI Mobile, podporujú Intune. So zapnutou a nakonfigurovanou službou Intune sú údaje na mobilnom zariadení šifrované a samotná aplikácia Power BI sa nedá nainštalovať na SD karte. Ďalšie informácie o službe Microsoft Intune.

Aplikácia pre Windows podporuje aj službu Windows Information Protection (NV).

Na implementáciu jediného prihlásenia sú niektoré zabezpečené hodnoty úložiska súvisiace s overovaním založeným na tokene k dispozícii pre iné aplikácie prvej strany spoločnosti Microsoft (napríklad Microsoft Authenticator) a sú spravované knižnicou overovania spoločnosti Microsoft (MSAL).

Údaje vo vyrovnávacej pamäti služby Power BI Mobile sa odstránia po odstránení aplikácie, keď sa používateľ odhlási zo služby Power BI Mobile alebo keď sa používateľ nepodarí prihlásiť (napríklad po skončení platnosti tokenu alebo zmene hesla). Vyrovnávacia pamäť údajov zahŕňa tabule a zostavy predtým prístupné z aplikácie Power BI Mobile.

Aplikácia Power BI Mobile nepristupuje k iným priečinkom ani súborom aplikácie v zariadení.

Aplikácie Power BI pre iOS a Android umožňujú chrániť vaše údaje nakonfigurovaním dodatočnej identifikácie, ako napríklad poskytnutie Face ID, Touch ID alebo prístupového kódu pre iOS a biometrické údaje (Fingerprint ID) pre Android. Ďalšie informácie o dodatočnej identifikácii.

Overovanie pre služba Power BI

Overenie používateľa pre služba Power BI pozostáva z radu požiadaviek, odpovedí a presmerovaní medzi prehliadačom používateľa a služba Power BI alebo službami Azure, ktoré používa služba Power BI. Táto sekvencia popisuje proces overovania používateľa v službe Power BI, ktorý nasleduje po postupe udelenia kódu microsoft Entra. Ďalšie informácie o možnostiach pre modely overovania používateľov organizácií (modely prihlasovania) nájdete v téme Výber modelu prihlásenia pre službu Microsoft 365.

Sekvencia overovania

Sekvencia overovania používateľa pre služba Power BI sa vyskytuje tak, ako sa popisuje v nasledujúcich krokoch, ktoré sú ilustrované na obrázku, ktorý za nimi nasleduje.

  1. Používateľ iniciuje pripojenie k služba Power BI z prehliadača buď zadaním adresy služby Power BI do panela s adresou alebo výberom položky Prihlásiť sa na marketingovej stránke služby Power BI (https://powerbi.microsoft.com). Pripojenie sa vytvorí pomocou protokolov TLS a HTTPS a všetka následná komunikácia medzi prehliadačom a služba Power BI používa protokol HTTPS.

  2. Služba Azure Traffic Manager skontroluje záznam DNS používateľa, aby určila najvhodnejšie (zvyčajne najbližšie) údajové centrum, kde je služba Power BI nasadená, a odpovie na DNS prostredníctvom adresy IP klastra WFE, do ktorého by mal byť používateľ poslaný.

  3. WFE potom vráti stránku HTML klientovi prehliadača, ktorá obsahuje odkaz na knižnicu MSAL.js potrebný na spustenie postupu prihlásenia.

  4. Klient prehliadača načíta stránku HTML prijatú od WFE a presmeruje používateľa na prihlasovaciu stránku služieb Microsoft Online Services.

  5. Po overení používateľa vás prihlasovacia stránka presmeruje späť na stránku WFE služby Power BI pomocou overeného kódu.

  6. Klient prehliadača načíta stránku HTML a overovací kód použije na vyžiadanie tokenov (prístup, ID, obnovenie) z ID Microsoft Entra.

  7. ID nájomníka používateľa používa klient prehliadača na dotazovanie globálnej služby Power BI, ktorá uchováva zoznam nájomníkov a ich umiestnení klastrov v serverovej časti služby Power BI. Globálna služba Power BI určuje, ktorý klaster serverovej služby Power BI obsahuje nájomníka používateľa, a vráti URL adresu klastra back-end služby Power BI späť na klienta.

  8. Klient teraz dokáže komunikovať s rozhraním API URL adresy serverového klastra služby Power BI pomocou prístupového tokenu v hlavičke Authorization pre požiadavky HTTP. Prístupový token Microsoft Entra bude mať dátum skončenia platnosti stanovený podľa politík spoločnosti Microsoft Entra a na zachovanie aktuálnej relácie bude klient Power BI v prehliadači používateľa pred jeho uplynutím pravidelne odosielať požiadavky na obnovenie prístupového tokenu.

Diagram znázorňujúci postupnosť overovania klienta.

V zriedkavých prípadoch, keď overovanie na strane klienta zlyhá v dôsledku neočakávanej chyby, kód sa pokúša vrátiť späť k použitiu overenia na strane servera vo WFE. Podrobnosti o postupe overovania na strane servera nájdete v časti Otázky a odpovede na konci tohto dokumentu.

Data residency (Pobyt údajov)

Pokiaľ nie je v dokumentácii uvedené inak, služba Power BI ukladá údaje o zákazníkoch v geografickej lokalite Azure, ktorá je priradená, keď sa nájomník služby Microsoft Entra po prvýkrát zaregistruje pre služba Power BI. Nájomník spoločnosti Microsoft zachová identity používateľov a aplikácií, skupiny a ďalšie relevantné informácie, ktoré sa vzťahujú na organizáciu a jej zabezpečenie.

Priradenie geografie služby Azure na ukladanie údajov nájomníka sa vykonáva priradením krajiny alebo oblasti vybranej ako súčasť nastavenia nájomníka spoločnosti Microsoft Entra do najvhodnejšej geografickej oblasti Služby Azure, v ktorej existuje nasadenie služby Power BI. Po vykonaní tohto rozhodnutia sa všetky údaje o zákazníkoch služby Power BI uložia v tejto vybratej geografickej lokalite Azure (nazývanej aj ako domovská geografická oblasť) s výnimkou prípadov, keď organizácie využívajú nasadenia viacerých geografických oblastí.

Viaceré geografické oblasti (Multi-geo)

Niektoré organizácie sú globálnej prítomnosti a môžu vyžadovať služba Power BI vo viacerých geografických oblastiach Azure. Napríklad podnik môže mať svoje sídlo v Spojených štátoch, ale môže tiež podnikať v iných geografických oblastiach, ako je Austrália. V takýchto prípadoch môže podnik vyžadovať, aby niektoré údaje služby Power BI zostali uložené vo vzdialenej oblasti v súlade s miestnymi predpismi. Táto funkcia služba Power BI sa označuje ako Multi-Geo.

Vrstva vykonávania dotazov, vyrovnávacia pamäť dotazov a údaje o artefaktoch priradené k pracovnému priestoru s viacerými geografickými oblasťami sa hosťujú a zostávajú vo vzdialenej kapacite geografie Azure. Niektoré metaúdaje artefaktu, ako napríklad štruktúra zostavy, však môžu zostať uložené v domovskej geografickej adrese nájomníka. Niektoré prenosy údajov a spracovanie údajov sa navyše môžu uskutočniť aj v domovskej geografickej lokalite nájomníka, a to aj v prípade pracovných priestorov, ktoré sú hosťované v kapacite Premium s viacerými geografickými oblasťami.

Ďalšie informácie o vytváraní a spravovaní nasadení služby Power BI, ktoré sa nachádzajú vo viacerých geografických oblastiach Azure, nájdete v téme Konfigurácia podpory funkcie Multi-Geo pre službu Power BI Premium .

Oblasti a údajové centrá

služba Power BI sú k dispozícii v konkrétnych geografických oblastiach služby Azure, ako je popísanéCentrum dôveryhodnosti Spoločnosti Microsoft. Ďalšie informácie o tom, kde sú uložené vaše údaje a ako sa používajú, nájdete v Centre dôveryhodnosti spoločnosti Microsoft. Záväzky týkajúce sa umiestnenia uloženého údajov zákazníka sú špecifikované v podmienkach spracovania údajov v rámci podmienok poskytovania online služieb spoločnosti Microsoft.

Spoločnosť Microsoft tiež poskytuje dátové centrá pre suverénne entity. Ďalšie informácie o dostupnosti služba Power BI pre národné/regionálne cloudy nájdete v téme Národné/regionálne cloudy služby Power BI.

Spracovanie údajov

Táto časť obsahuje prehľad postupov spracovania údajov v službe Power BI, pokiaľ ide o ukladanie, spracovanie a prenos údajov o zákazníkoch.

Uložené údaje

Power BI používa dva hlavné typy prostriedkov úložiska údajov:

  • Ukladací priestor Azure
  • SQL databázy Azure

Vo väčšine prípadov sa úložisko Azure Storage využíva na uchovať údaje artefaktov služby Power BI, zatiaľ čo databázy Azure SQL sa používajú na trvalé metaúdaje artefaktov.

Všetky údaje uložené v službe Power BI sú predvolene šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft. Zákaznícke údaje uložené v databázach Azure SQL Databases sú plne šifrované pomocou technológie priehľadného šifrovania údajov Azure SQL (TDE ). Zákaznícke údaje uložené v úložisku Azure Blob sú šifrované pomocou šifrovania Azure Storage Encryption.

Ak chcete, môžu organizácie využívať službu Power BI Premium na používanie vlastných kľúčov na šifrovanie uloženého údajov, ktoré sa importujú do sémantického modelu. Tento prístup sa často nazýva preneste si svoj vlastný kľúč (BYOK). Využívanie BYOK pomáha zabezpečiť, že aj v prípade chyby operátora služby sa zákaznícke údaje nezohľadňujú – čo nie je možné jednoducho dosiahnuť pomocou transparentného šifrovania na strane služby. Ďalšie informácie nájdete v téme Používanie vlastných šifrovacích kľúčov pre službu Power BI .

Sémantické modely služby Power BI umožňujú rôzne režimy pripojenia zdroja údajov, ktoré určujú, či sú údaje zdroja údajov v službe trvalé alebo nie.

Režim sémantického modelu (druh) Údaje uložené v službe Power BI
Importovať Áno
DirectQuery, No
Dynamické Pripojenie No
Kompozitné Ak obsahuje zdroj údajov importu,
Streaming Ak je nakonfigurované na trvalú

Bez ohľadu na využitý režim sémantického modelu môže Power BI dočasne uložiť všetky načítané údaje do vyrovnávacej pamäte s cieľom optimalizovať výkon načítania dotazov a zostáv.

Údaje spracovávané

Údaje sa spracúvajú, keď ich aktívne používa jeden alebo viacero používateľov ako súčasť interaktívneho scenára, alebo keď sa proces na pozadí, ako napríklad obnovenie, dotýka týchto údajov. Power BI načíta aktívne spracované údaje do pamäťového priestoru jednej alebo viacerých vyťažení služby. Aby sa uľahčila funkčnosť vyžadovaná vyťažením, spracované údaje v pamäti nie sú šifrované.

Prenášané údaje

Služba Power BI vyžaduje šifrovanie všetkých prichádzajúcich prenosov HTTP pomocou protokolu TLS 1.2 alebo uvedeného vyššie. Všetky žiadosti týkajúce sa používania služby s protokolom TLS 1.1 alebo nižšou sa odmietnu.

Overovanie pre zdroje údajov

Pri pripájaní k zdroju údajov sa používateľ môže rozhodnúť importovať kópiu údajov do služby Power BI alebo sa pripojiť priamo k zdroju údajov.

V prípade importu používateľ nadviaže pripojenie na základe prihlásenia používateľa a pristupuje k údajom pomocou prihlasovacích údajov. Po publikovaní sémantického modelu do služba Power BI služba Power BI na import údajov vždy použije prihlasovacie údaje tohto používateľa. Po importe údajov sa pri zobrazení údajov v zostavách a tabuliach nezíska prístup k základnému zdroju údajov. Power BI podporuje overovanie jediným prihlásením pre vybraté zdroje údajov. Ak je pripojenie nakonfigurované na používanie jediného prihlásenia, poverenia vlastníka sémantického modelu sa použijú na pripojenie k zdroju údajov.

Ak je zdroj údajov pripojený priamo pomocou vopred nakonfigurovaných poverení, vopred nakonfigurované poverenia sa použijú na pripojenie k zdroju údajov, keď ľubovoľný používateľ zobrazí údaje. Ak je zdroj údajov pripojený priamo pomocou jediného prihlásenia, poverenia aktuálneho používateľa sa použijú na pripojenie k zdroju údajov, keď používateľ zobrazí údaje. Pri použití s jediným prihlásením možno v zdroji údajov implementovať zabezpečenie na úrovni riadkov (RLS) alebo zabezpečenie na úrovni objektu (object-level security, OLS). Používateľom to umožňuje zobraziť len údaje, ku ktorým majú oprávnenia na prístup. Pri pripojení k zdrojom údajov v cloude sa overovanie Microsoft Entra používa na jediné prihlásenie. Pre lokálne zdroje údajov sú podporované protokol Kerberos, security assertion Markup Language (SAML) a ID microsoft Entra.

Ak je zdrojom údajov služba Azure Analysis Services alebo lokálna služba Analysis Services a je nakonfigurovaný RLS a/alebo OLS, služba Power BI použije toto zabezpečenie na úrovni riadkov a používatelia, ktorí nemajú dostatočné poverenia na prístup k základným údajom (môže to byť dotaz použitý v tabuli, zostave alebo inom údajovom artefakte), neuvidia údaje, na ktoré nemajú dostatočné oprávnenia.

Prémiové funkcie

Architektúra tokov údajov

Toky údajov poskytujú používateľom možnosť nakonfigurovať operácie serverového spracovania údajov, ktoré budú extrahovať údaje z polymorfných zdrojov údajov, vykonávať logiku transformácie s údajmi a potom ich priložiť do cieľového modelu na použitie v rôznych technológiách tvorby zostáv. Každý používateľ, ktorý má v pracovnom priestore rolu člena, prispievateľa alebo správcu, môže vytvoriť tok údajov. Používatelia v role čitateľa si môžu prezerať údaje spracované tokom údajov, ale nesmú vykonávať zmeny v jeho zložení. Po vytvorení toku údajov môže ktorýkoľvek člen, prispievateľ alebo správca pracovného priestoru naplánovať obnovenia, ako aj zobraziť a upraviť tok údajov jeho vlastníctvom.

Každý nakonfigurovaný zdroj údajov je viazaný na klientsku technológiu na prístup k daného zdroju údajov. Štruktúra poverení potrebných na prístup k nim je vytvorená tak, aby zodpovedala požadovaným podrobnostiám implementácie zdroja údajov. Logiku transformácie používajú služby Power Query, kým sú údaje počas letu. V prípade prémiových tokov údajov sa služby Power Query spúšťajú v serverových uzlách. Údaje možno vyžiadať priamo z cloudových zdrojov alebo cez lokálnu bránu. Pri načítaní priamo z cloudového zdroja do služby alebo do brány používa preprava metodológiu ochrany špecifickú pre klientsku technológiu, ak je to možné. Pri prenose údajov z brány do cloudovej služby sú šifrované. Pozrite si časť Údaje v režime tranzitu uvedenú vyššie.

Keď zdroje údajov zadané zákazníkom vyžadujú poverenia na prístup, vlastník alebo tvorca toku údajov ich poskytne počas vytváranie. Sú uložené pomocou štandardného úložiska prihlasovacích údajov pre celú produkt. Pozrite si časť Overenie pre zdroje údajov vyššie. Existujú rôzne prístupy, ktoré môžu používatelia nakonfigurovať na optimalizáciu perzistentného a prístupového prístupu k údajom. V predvolenom nastavení sa údaje umiestňujú do konta úložiska vo vlastníctve a chránenom konte úložiska služby Power BI. Šifrovanie úložiska je povolené v kontajneroch úložiska objektu Blob na ochranu údajov počas ich uloženého ukladacieho priestoru. Pozrite si sekciu Údaje v pokoji nižšie. Používatelia však môžu nakonfigurovať vlastné konto úložiska priradené k vlastnému predplatnému služby Azure. Pri tomto vykonaní sa objektu služba Power BI udelí prístup k danmu kontu úložiska, aby mohol zapisovať údaje tam počas obnovenia. V tomto prípade je vlastník zdroja úložiska zodpovedný za konfiguráciu šifrovania v nakonfigurovanom konte úložiska ADLS. Údaje sa vždy prenášajú do úložiska Blob pomocou šifrovania.

Keďže výkon pri prístupe ku kontám úložiska môže byť pre niektoré údaje neoptimálny, používatelia majú tiež možnosť použiť výpočtový nástroj hosťovaný v službe Power BI na zvýšenie výkonu. V tomto prípade sú údaje nadbytočne uložené v databáze SQL, ktorá je k dispozícii pre režim DirectQuery prostredníctvom prístupu serverového systému Power BI. Údaje sú vždy šifrované v systéme súborov. Ak používateľ poskytne kľúč na šifrovanie údajov uložených v databáze SQL, tento kľúč sa použije na zdvojnásobenie jeho šifrovania.

Pri dotazovaní pomocou režimu DirectQuery sa na prístup k API použije protokol HTTPS šifrovaného prenosu. Všetky sekundárne alebo nepriame použitie režimu DirectQuery riadia rovnaké ovládacie prvky prístupu, ako bolo predtým popísané. Keďže toky údajov sú vždy viazané na pracovný priestor, prístup k údajom je vždy bránou roly používateľa v tomto pracovnom priestore. Používateľ musí mať aspoň prístup na čítanie, aby mohol dotazovať údaje ľubovoľnými prostriedkami.

Keď sa aplikácia Power BI Desktop používa na prístup k údajom v toku údajov, najskôr musí overiť používateľa pomocou ID microsoft Entra, aby sa zistilo, či má používateľ dostatočné práva na zobrazenie údajov. V takom prípade sa získa kľúč SaS a použije sa na prístup k ukladaciemu priestoru priamo pomocou protokolu HTTPS šifrovaného prenosu.

Spracovanie údajov v celom kanáli vydáva udalosti auditovania služieb Office 365. Niektoré z týchto udalostí zachytia operácie zabezpečenia a ochrany osobných údajov.

Stránkované zostavy

Stránkované zostavy sú určené na tlač alebo zdieľanie. Nazývajú sa stránkované, pretože sú formátované tak, aby sa dobre prispôsobili strane. Zobrazujú všetky údaje v tabuľke, a to aj vtedy, ak tabuľka zahŕňa viacero strán. Rozloženie strany zostavy môžete presne ovládať.

Stránkované zostavy podporujú bohaté a výkonné výrazy napísané v rozhraní .NET jazyka Microsoft Visual Basic. Výrazy sa bežne používajú v službe Power BI Zostavovač zostáv stránkovaných zostáv na načítanie, výpočet, zobrazenie, zoskupenie, zoradenie, filtrovanie, parametrizovanie a formátovanie údajov.

Výrazy vytvára autor zostavy s prístupom k širokej škále funkcií rozhrania .NET Framework. Spracovanie a vykonávanie stránkovaných zostáv sa vykonáva v rámci testovacieho prostredia (sandbox).

Definície stránkovanej zostavy (.rdl) sú uložené v službe Power BI a na publikovanie a/alebo vykreslenie stránkovanej zostavy musí používateľ overiť a oprávniť rovnakým spôsobom, ako je to popísané v časti Overovanie v službe Power BI vyššie.

Token Microsoft Entra získaný počas overovania sa používa na komunikáciu priamo z prehliadača do klastra služby Power BI Premium.

V službe Power BI Premium poskytuje služba Power BI modul runtime vhodne izolované prostredie na spustenie pre každé vykreslenie zostavy. To zahŕňa prípady, keď vykreslené zostavy patria do pracovných priestorov priradených k tej istej kapacite.

Stránkovaná zostava má prístup k širokej množine zdrojov údajov ako súčasť vykresľovania zostavy. Testovacie prostredie (sandbox) nekomunikuje priamo so žiadnym zdrojom údajov, ale komunikuje s dôveryhodným procesom na vyžiadanie údajov a následne dôveryhodný proces pripojí požadované poverenia k pripojeniu. Týmto spôsobom testovacie prostredie (sandbox) nikdy nemá prístup k žiadnym prihlasovacím údajom ani tajnému kódu.

Testovacie prostredie (sandbox) má prístup k internetu, aby mohlo podporovať funkcie, ako je napríklad mapy Bing alebo volania služby Azure Functions.

Vložená analýza služby Power BI

Nezávislí dodávatelia softvéru (ISV) a poskytovatelia riešení majú dva hlavné režimy vkladania artefaktov služby Power BI do svojich webových aplikácií a portálov: vkladanie pre organizáciu a vkladanie pre vašich zákazníkov. Artefakt je vložený do prvku IFrame v aplikácii alebo na portáli. Prvok IFrame nesmie čítať ani zapisovať údaje z externej webovej aplikácie alebo portálu a komunikácia s prvkom IFrame sa vykonáva pomocou klienta Power BI SDK pomocou správ POST.

V scenári vkladania obsahu pre organizáciu majú používatelia služby Microsoft Entra prístup k vlastnému obsahu služby Power BI prostredníctvom portálov prispôsobených ich podnikmi a rozhraniami ITs. Všetky politiky a možnosti služby Power BI popísané v tomto dokumente, ako napríklad Zabezpečenie na úrovni riadkov (RLS) a zabezpečenie na úrovni objektu (Object-Level Security, OLS), sa automaticky použijú na všetkých používateľov nezávisle od toho, či majú prístup k Power BI prostredníctvom portálu služby Power BI alebo prostredníctvom prispôsobených portálov.

V scenári vkladania obsahu pre zákazníkov vlastnia nezávislí dodávatelia softvéru zvyčajne nájomníkov služby Power BI a položky Power BI (tabule, zostavy, sémantické modely a ďalšie). Je zodpovednosťou serverovej služby ISV, aby overila koncových používateľov a rozhodla, ktoré artefakty a úroveň prístupu sú vhodné pre daného koncového používateľa. Rozhodnutia o politike nezávislých dodávateľov softvéru sú šifrované do vkladacieho tokenu vygenerovaného službou Power BI a prenesú sa do serverového serveru nezávislého dodávateľa softvéru na ďalšiu distribúciu koncovým používateľom podľa obchodnej logiky nezávislého dodávateľa softvéru. Koncoví používatelia, ktorí používajú prehliadač alebo iné klientske aplikácie, nemôžu dešifrovať ani upravovať tokeny na vloženie. Súpravy SDK na strane klienta, ako sú napríklad rozhrania API klienta Power BI, automaticky pripoja šifrovaný token na vloženie k požiadavkám služby Power BI ako hlavičku Authorization: EmbedToken . Na základe tejto hlavičky bude služba Power BI vynútiť všetky politiky (napríklad prístup alebo zabezpečenie na úrovni riadkov) presne tak, ako to určil nezávislý dodávateľ softvéru počas generovania.

Ak chcete povoliť vkladanie a automatizáciu a generovať vkladacie tokeny popísané vyššie, služba Power BI sprístupňuje bohatú množinu rozhraní REST API. Tieto rozhrania REST API služby Power BI podporujú metódu overovania a oprávnenia používateľa delegovaného aj objektu služby Microsoft Entra.

Vložená analýza služby Power BI a jej rozhrania REST API podporujú všetky funkcie izolácie siete Power BI popísané v tomto článku: Napríklad značky služby a súkromné prepojenia.

Funkcie AI

Power BI v súčasnosti v produkte podporuje dve široké kategórie funkcií AI: vizuály AI a obohatenia AI. Funkcie umelej inteligencie na úrovni vizuálu zahŕňajú funkcie ako napríklad Key-Influencers, Decomposition-Tree, Smart-Narrative, Anomaly Detection, R-visual, Python-visual, clustering, Forecasting, Q&A, Quick-Prehľady atď. Možnosti obohatenia umelej inteligencie zahŕňajú možnosti, ako napríklad automatizované strojové učenia, Azure strojové učenie, CognitiveServices, transformácie jazyka R/Python atď.

Väčšina funkcií uvedených vyššie je v súčasnosti podporovaná v zdieľanom pracovnom priestore aj v pracovnom priestore Premium. Automatizované strojové učenia a CognitiveServices sa však podporujú iba v pracovných priestoroch Premium z dôvodu obmedzení IP adries. V súčasnosti môže používateľ pomocou integrácie automatizovaného strojového učenia v službe Power BI vytvárať a trénovať vlastný model strojového učenia (napríklad Predpoveď, klasifikácia, regresia atď.), a používať ho na získanie predpovedí počas načítavania údajov do toku údajov definovaného v pracovnom priestore Premium. Okrem toho môžu používatelia služby Power BI použiť niekoľko rozhraní API služby CognitiveServices, ako napríklad TextAnalytics a ImageTagging, na transformáciu údajov pred ich načítaním do toku údajov/sémantického modelu definovaného v pracovnom priestore Premium.

Funkcie obohatenia umelej inteligencie Premium možno najlepšie zobraziť ako kolekciu bezštátových funkcií a transformácií AI, ktoré môžu používať používatelia služby Power BI v ich kanáloch integrácie údajov používaných sémantickým modelom alebo tokom údajov Power BI. Upozorňujeme, že k týmto funkciám je možné získať prístup aj z aktuálnych prostredí na vytváranie tokov údajov/sémantických modelov v službe Power BI a aplikácii Power BI Desktop. Tieto funkcie/transformácie AI sa vždy spúšťajú v pracovnom priestore alebo kapacite Premium. Tieto funkcie sa v službe Power BI zobrazujú ako zdroj údajov, ktorý vyžaduje token Microsoft Entra pre používateľa služby Power BI, ktorý používa funkciu AI. Tieto zdroje údajov AI sú špeciálne, pretože neobsahujú žiadne vlastné údaje a poskytujú iba tieto funkcie/transformácie. Počas vykonávania tieto funkcie nevolajú žiadne odchádzajúce volania do iných služieb, aby mohli prenášať údaje zákazníka. Pozrime sa na jednotlivé scenáre verzie Premium, aby sme porozumeli komunikačným vzorom a relevantným podrobnostiám zabezpečenia, ktoré sa ich týkajú.

Na trénovaie a použitie modelu automatizovaného strojového učenia používa služba Power BI súpravu Azure AutoML SDK a spustí všetky školenia v kapacite služby Power BI zákazníka. Počas iterácií zavolá Power BI experimentovanie službe Azure strojové učenie, kde vyberie vhodný model a hyper-parametre pre aktuálnu iteráciu. V tomto výstupnom volaní sa odošlú iba relevantné metaúdaje experimentu (napríklad presnosť, algoritmus strojového učenia, parametre algoritmu atď.) z predchádzajúcej iterácie. Trénovaním automatizovaného strojového učenia vytvoríte model ONNX a natrénuje údaje zostavy, ktoré sa potom uložia do toku údajov. Neskôr môžu používatelia služby Power BI použiť trénovaný model strojového učenia ako transformáciu na plánovanú prevádzku modelu strojového učenia. V prípade rozhraní TextAnalytics a ImageTagging API služba Power BI nevolá priamo rozhrania API služby CognitiveServices, ale na spustenie rozhraní API v kapacite Power BI Premium používa internú súpravu SDK. V súčasnosti sú tieto rozhrania API podporované v tokoch údajov služby Power BI aj v sémantických modeloch. Pri vytváraní dátového modelu v aplikácii Power BI Desktop majú používatelia k tejto funkcii prístup len vtedy, ak majú prístup k pracovnému priestoru Premium služby Power BI. Zákazníkom sa preto zobrazí výzva na zadanie poverení Microsoft Entra.

Izolácia siete

Táto časť obsahuje prehľad pokročilých funkcií zabezpečenia v službe Power BI. Niektoré funkcie majú špecifické licenčné požiadavky. Podrobnosti nájdete v sekciách nižšie.

Značky služby

Značka služby predstavuje skupinu predpôn IP adries z danej služby Azure. Pomáha minimalizovať zložitosť častých aktualizácií pravidiel zabezpečenia siete. Zákazníci môžu používať značky služby na definovanie ovládacích prvkov sieťového prístupu v skupinách zabezpečenia siete alebo bráne Firewall platformy Azure. Zákazníci môžu pri vytváraní pravidiel zabezpečenia používať značky služby namiesto konkrétnych IP adries. Zadaním názvu značky služby (napríklad PowerBI) vo vhodnom zdroji alebo cieli (pre rozhrania API) pravidla môžu zákazníci povoliť alebo zamietnuť prenos pre príslušnú službu. Spoločnosť Microsoft spravuje predpony adries zahrnuté značkou služby a automaticky aktualizuje značku služby pri zmene adries.

Sieť Azure poskytuje funkciu Azure Private Link, ktorá službe Power BI umožňuje poskytovať zabezpečený prístup prostredníctvom súkromných koncových bodov siete Azure. Prostredníctvom služby Azure Private Link a súkromných koncových bodov sa prenos údajov uskutočňuje súkromne pomocou infraštruktúry chrbticovej siete spoločnosti Microsoft, údaje preto neprešli cez internet.

Private Link zaisťuje, že používatelia služby Power BI budú pri prechode na prostriedky v služba Power BI používať súkromnú chrbticovú sieť Microsoft.

Používanie služby Private Link so službou Power BI poskytuje nasledujúce výhody:

  • Private Link zaisťuje, že prenos bude prúdiť cez chrbticovú sieť Azure do súkromného koncového bodu pre cloudové prostriedky Azure.
  • Izolácia sieťového prenosu od infraštruktúry, ktorá nie je založená na službe Azure, ako je napríklad lokálny prístup, vyžaduje, aby zákazníci mali nakonfigurovanú službu ExpressRoute alebo virtuálnu súkromnú sieť (VPN).

Ďalšie informácie nájdete v téme Súkromné prepojenia na prístup k službe Power BI .

Pripojenie k sieti VNet (ukážka – už čoskoro)

Hoci funkcia integrácie Private Link poskytuje zabezpečené prichádzajúce pripojenia k službe Power BI, funkcia pripojenia VNet umožňuje zabezpečené odchádzajúce pripojenia zo služby Power BI k zdrojom údajov v rámci VNet.

Brány VNet (spravované spoločnosťou Microsoft) eliminujú režijné náklady na inštaláciu a monitorovanie lokálnych brán údajov na pripojenie k zdrojom údajov priradeným k VNet. Aj naďalej však budú sledovať známy proces spravovania zabezpečenia a zdrojov údajov ako s lokálnou bránou údajov.

Nasleduje prehľad o tom, čo sa stane pri interakcii so zostavou Power BI, ktorá je pripojená k zdroju údajov v rámci VNet pomocou brán VNet:

  1. Cloudová služba Power BI (alebo jedna z ostatných podporovaných cloudových služieb) spustí dotaz a odošle dotaz, podrobnosti zdroja údajov a poverenia do služby Power Platform VNet (PP VNet).

  2. Služba PP VNet potom do podsiete bezpečne vloží kontajner s bránou VNet. Tento kontajner sa teraz môže pripojiť k údajovým službám dostupným z tejto podsiete.

  3. Služba PP VNet potom odošle dotaz, podrobnosti o zdroji údajov a poverenia do brány VNet.

  4. Brána VNet získa dotaz a pripojí sa pomocou nich k zdrojom údajov.

  5. Dotaz sa potom odošle do zdroja údajov na vykonanie.

  6. Po spustení sa výsledky odošlú do brány VNet a služba PP VNet bezpečne presunie údaje z kontajnera do cloudovej služby Power BI.

Táto funkcia bude čoskoro dostupná vo verzii verejnej ukážky.

Objekty služby

Služba Power BI podporuje používanie objektov služby. Ukladajte všetky prihlasovacie údaje objektov služby používané na šifrovanie služby Power BI alebo prístup do služby Power BI v službe Key Vault, priraďte správne politiky prístupu do trezora a pravidelne kontrolujte prístupové povolenia.

Ďalšie podrobnosti nájdete v téme Automatizácia úloh pracovného priestoru a sémantického modelu Premium pomocou objektov služby.

Microsoft Purview pre Power BI

Microsoft Purview Information Protection

Služba Power BI je hlboko integrovaná so službou Microsoft Purview Information Protection. Služba Microsoft Purview Information Protection umožňuje organizáciám mať k dispozícii jediné integrované riešenie klasifikácie, označovania, auditovania a dodržiavania súladu v službách Azure, Power BI a Office.

Keď je zapnutá ochrana informácií v službe Power BI:

  • Citlivé údaje v služba Power BI aj v aplikácii Power BI Desktop možno klasifikovať a označovať pomocou rovnakých označení citlivosti, ktoré sa používajú v Office a v Azure.
  • Politiky riadenia možno vynútiť pri exportovaní obsahu služby Power BI do súborov Excelu, PowerPointu, PDF, Wordu alebo .pbix , aby sa zaistilo, že údaje sú chránené aj po odchode zo služby Power BI.
  • Je jednoduché klasifikovať a chrániť súbory .pbix v aplikácii Power BI Desktop rovnako ako v aplikáciách Excelu, Wordu a PowerPointu. Súbory možno jednoducho označiť na základe úrovne citlivosti. Okrem toho môžu byť šifrované, ak obsahujú obchodné údaje, čím sa zabezpečí, že tieto súbory budú môcť upravovať len oprávnení používatelia.
  • Excelové zošity automaticky dedia označenia citlivosti, keď sa pripájajú k službe Power BI (Preview), umožňujú zachovať komplexnú klasifikáciu a použiť ochranu pri analýze sémantických modelov Power BI v Exceli.
  • Označenia citlivosti použité na zostavy a tabule Power BI sú viditeľné v mobilných aplikáciách Power BI pre iOS a Android.
  • Označenia citlivosti pretrvávajú, keď je zostava služby Power BI vložená do služieb Teams, SharePoint alebo zabezpečená webová lokalita. Pomáha to organizáciám zachovať klasifikáciu a ochranu pri exporte pri vkladaní obsahu služby Power BI.
  • Dedenie označenia po vytvorení nového obsahu v služba Power BI zabezpečí, že označenia použité v sémantických modeloch alebo údajovýchmarts v služba Power BI sa použijú na nový obsah vytvorený na základe týchto sémantických modelov a údajovýchmartov.
  • Rozhrania API pre správcov služby Power BI môžu extrahovať označenie citlivosti položky Power BI, čo správcom služieb Power BI a InfoSec umožňuje monitorovať označovanie v služba Power BI a vytvárať výkonné zostavy.
  • Rozhrania API správcu služby Power BI umožňujú centrálnym tímom programovo používať označenia citlivosti na obsah v služba Power BI.
  • Centrálne tímy môžu vytvoriť povinné politiky označenia na vynútenie používania označení na nový alebo upravený obsah v službe Power BI.
  • Centrálne tímy môžu vytvoriť predvolené politiky označenia, aby sa zabezpečilo, že označenie citlivosti sa použije na všetok nový alebo zmenený obsah služby Power BI.
  • Automatické následné označovanie citlivosti v služba Power BI zabezpečí, že keď sa použije alebo zmení označenie v sémantickom modeli alebo údajovom grafe, označenie sa automaticky použije alebo zmení na všetok následný obsah pripojený k sémantickému modelu alebo dátovému grafu.

Ďalšie informácie nájdete v téme Označenia citlivosti v službe Power BI.

Politiky služby Microsoft Purview Ochrana pred únikom údajov (DLP) pre službu Power BI (preview)

Politiky DLP od spoločnosti Microsoft Purview môžu organizáciám pomôcť znížiť riziko úniku citlivých obchodných údajov zo služby Power BI. Politiky ochrany pred únikom údajov im môžu pomôcť splniť požiadavky nariadenia štátnej správy alebo odvetvia, ako je napríklad nariadenie GDPR (všeobecné nariadenie o ochrane údajov Európskej únie) alebo CCPA (kalifornia – zákon o ochrane osobných údajov spotrebiteľov) a zabezpečiť, aby sa ich údaje v službe Power BI spravovali.

Keď sú nastavené politiky ochrany pred únikom údajov pre Power BI:

  • Všetky sémantické modely v rámci pracovných priestorov špecifikovaných v politike sa vyhodnocujú politikou.
  • Môžete zistiť, kedy sa citlivé údaje nahrajú do vašich kapacít Premium. Politiky ochrany pred únikom údajov dokážu zistiť:
    • Označenia citlivosti.
    • Typy citlivých informácií. Podporovaných je viac ako 260 typov. Zisťovanie typov citlivých informácií závisí od skenovania obsahu v službe Microsoft Purview.
  • Keď narazíte na sémantický model identifikovaný ako citlivý, zobrazí sa vám prispôsobený tip politiky, ktorý vám pomôže pochopiť, čo by ste mali urobiť.
  • Ak ste vlastníkom sémantického modelu, môžete prepísať politiku a zabrániť identifikácii sémantického modelu ako "citlivého", ak máte na to pádny dôvod.
  • Ak ste vlastníkom sémantického modelu, môžete nahlásiť problém s politikou, ak dospeli k záveru, že citlivý typ informácií bol nesprávne identifikovaný.
  • Je možné vyvolať automatické zmiernenie rizika, ako napríklad upozornenia správcu zabezpečenia.

Ďalšie informácie nájdete v téme Politiky ochrany pred únikom údajov pre Power BI.

Microsoft Defender for Cloud Apps for Power BI

Microsoft Defender for Cloud Apps je jedným z popredných svetových maklérov zabezpečenia cloudového prístupu, ktorý je označený za lídra v magickom kvadrante spoločnosti Gartner pre trh s maklérom zabezpečenia cloudového prístupu (CASB). Defender for Cloud Apps sa používa na zabezpečenie používania cloudových aplikácií. Umožňuje organizáciám monitorovať a riadiť riskantné relácie Power BI v reálnom čase, ako napríklad prístup používateľov z nespravovaných zariadení. Správcovia zabezpečenia môžu definovať politiky na kontrolu akcií používateľov, ako je napríklad sťahovanie zostáv s citlivými informáciami.

S defender for Cloud Apps môžu organizácie získať nasledujúce možnosti ochrany pred únikom údajov:

  • Nastavte ovládacie prvky v reálnom čase na vynútenie rizikových relácií používateľov v službe Power BI. Ak sa napríklad používateľ pripojí k službe Power BI z krajín mimo svojej krajiny alebo oblasti, reláciu môžu monitorovať ovládacie prvky služby Defender for Cloud Apps v reálnom čase a riskantné akcie, ako je napríklad stiahnutie údajov označených označením citlivosti Veľmi dôverné, možno zablokovať okamžite.
  • Preskúmajte aktivitu používateľa služby Power BI pomocou denníka aktivity Defender for Cloud Apps. Denník aktivity služby Defender for Cloud Apps zahŕňa aktivitu služby Power BI zaznamenanú v denníku auditu služieb Office 365, ktorý obsahuje informácie o všetkých aktivitách používateľov a správcov, ako aj informácie označenia citlivosti pre príslušné aktivity, ako sú použitie, zmena a odstránenie označenia. Spravovanie môžu využívať pokročilé filtre a rýchle akcie defender for Cloud Apps na efektívne skúmanie problémov.
  • Vytvorte vlastné politiky na upozornenie na podozrivú aktivitu používateľa v službe Power BI. Funkciu politiky aktivity služby Defender for Cloud Apps možno využiť na definovanie vlastných pravidiel, ktoré vám pomôžu odhaliť správanie používateľov, ktoré sa odchyľuje od normy, a dokonca s ním možno automaticky konať, ak sa zdá byť príliš nebezpečné.
  • Pracujte so vstavanou detekciou anomálií v službe Defender for Cloud Apps. Politiky detekcie anomálií v službe Defender for Cloud Apps poskytujú predpripravené analýzy správania používateľov a strojové učenie, aby ste boli pripravení spúšťať rozšírené zisťovanie hrozieb v cloudovom prostredí. Keď politika detekcie anomálií identifikuje podozrivé správanie, spustí sa upozornenie zabezpečenia.
  • Rola správcu služby Power BI na portáli Defender for Cloud Apps. Defender for Cloud Apps má rolu správcu pre konkrétnu aplikáciu, ktorú možno použiť na udelenie iba povolení správcom služby Power BI, ktoré potrebujú na prístup k relevantným údajom služby Power BI na portáli, ako sú napríklad upozornenia, ohrození používatelia, denníky aktivity a ďalšie informácie týkajúce sa služby Power BI.

Ďalšie podrobnosti nájdete v téme Používanie ovládacích prvkov služby Microsoft Defender for Cloud Apps v službe Power BI .

Ukážka funkcií zabezpečenia

Táto časť obsahuje zoznam funkcií, ktoré sú naplánované na vydanie do marca 2021. Keďže táto téma obsahuje zoznam funkcií, ktoré ešte nemusia byť vydané, časové osi doručenia sa môžu zmeniť a plánované funkcie môžu byť vydané neskôr ako v marci 2021 alebo vôbec nemusia byť vydané. Ďalšie informácie o ukážkach nájdete v Podmienkach používania online služieb.

Bring Your Own Log Analytics (BYOLA)

Funkcia Bring Your Own Log Analytics umožňuje integráciu medzi službou Power BI a službou Azure Log Analytics. Táto integrácia zahŕňa pokročilý analytický nástroj služby Azure Log Analytics, jazyk interaktívnych dotazov a vstavané konštrukcie strojového učenia.

Otázky a odpovede týkajúce sa zabezpečenia služby Power BI

Nasledujúce otázky a odpovede sa týkajú zabezpečenia služby Power BI. Na uľahčenie nájdenia nových otázok a odpovedí sú položky usporiadané podľa toho, kedy boli pridané do tejto technickej dokumentácie po jej aktualizácii. Najnovšie otázky sú pridané na koniec zoznamu.

Ako sa používatelia pripájajú a získavajú prístup k zdrojom údajov pri používaní služby Power BI?

  • Power BI spravuje poverenia do zdrojov údajov pre každého používateľa pre cloudové prihlasovacie údaje alebo na pripojenie prostredníctvom osobnej brány. Zdroje údajov spravované lokálnou bránou údajov je možné zdieľať v celom podniku a povolenia k týmto zdrojom údajov môže spravovať Spravovanie Brána. Pri konfigurácii sémantického modelu môže používateľ vybrať prihlasovacie údaje zo svojho osobného úložiska alebo použiť lokálnu bránu údajov na použitie zdieľaného poverenia.

    V prípade importu používateľ nadviaže pripojenie na základe prihlásenia používateľa a pristupuje k údajom pomocou prihlasovacích údajov. Po publikovaní sémantického modelu do služba Power BI služba Power BI na import údajov vždy použije prihlasovacie údaje tohto používateľa. Po importe údajov sa pri zobrazení údajov v zostavách a na tabuli nezíska prístup k základnému zdroju údajov. Power BI podporuje overovanie jediným prihlásením pre vybraté zdroje údajov. Ak je pripojenie nakonfigurované na používanie jediného prihlásenia, na pripojenie k zdroju údajov sa použije prihlasovacie údaje vlastníka sémantického modelu.

    V prípade zostáv, ktoré sú prepojené s DirectQuery, sa zdroj údajov pripojí priamo pomocou vopred nakonfigurovaných poverení, na pripojenie k zdroju údajov sa použije vopred nakonfigurované prihlasovacie údaje, keď ľubovoľný používateľ zobrazí údaje. Ak je zdroj údajov pripojený priamo pomocou jediného prihlásenia, poverenia aktuálneho používateľa sa použijú na pripojenie k zdroju údajov, keď používateľ zobrazí údaje. Pri použití s jediným prihlásením je možné v zdroji údajov implementovať zabezpečenie na úrovni riadkov (RLS) alebo zabezpečenie na úrovni objektu (object-level security, OLS), čo používateľom umožňuje zobraziť údaje, ku ktorým majú oprávnenia na prístup. Pri pripojení k zdrojom údajov v cloude sa overovanie Microsoft Entra používa na jediné prihlásenie. Pre lokálne zdroje údajov sú podporované protokol Kerberos, SAML a Microsoft Entra ID.

    Pri pripájaní pomocou protokolu Kerberos sa hlavné meno používateľa prenesie do brány a na základe delegovania obmedzeného protokolom Kerberos sa používateľ zosobní a pripojí sa k príslušným zdrojom údajov. Protokol SAML sa podporuje aj v bráne pre zdroj údajov SAP HANA. Ďalšie informácie sú k dispozícii v prehľade jediného prihlásenia pre brány.

    Ak je zdrojom údajov služba Azure Analysis Services alebo lokálna služba Analysis Services a zabezpečenie na úrovni riadkov (RLS) a/alebo zabezpečenie na úrovni objektu (OLS), služba Power BI použije toto zabezpečenie na úrovni riadkov a používatelia, ktorí nemajú dostatočné poverenia na prístup k základným údajom (môže to byť dotaz použitý v tabuli, zostave alebo inom údajovom artefakte) neuvidia údaje, pre ktoré používateľ nemá dostatočné oprávnenia.

    Zabezpečenie na úrovni riadkov v Power BI možno použiť na obmedzenie prístupu k údajom pre konkrétnych používateľov. Filtre obmedzujú prístup k údajom na úrovni riadkov a vy môžete filtre definovať v rámci roly.

    Zabezpečenie na úrovni objektu (Object-Level Security, OLS) možno použiť na zabezpečenie citlivých tabuliek alebo stĺpcov. Na rozdiel od zabezpečenia na úrovni riadkov však zabezpečenie na úrovni objektu zabezpečuje aj názvy objektov a metaúdaje. Pomôže to zabrániť škodlivým používateľom objaviť dokonca aj existenciu takýchto objektov. Zabezpečené tabuľky a stĺpce sú pri používaní nástrojov na vytváranie zostáv ako Excel alebo Power BI zakryté v zozname polí a navyše používatelia bez povolení nemôžu získať prístup k zabezpečeným objektom metaúdajov prostredníctvom jazyka DAX ani inej metódy. Z pohľadu používateľov bez riadnych prístupových povolení zabezpečené tabuľky a stĺpce jednoducho neexistujú.

    Zabezpečenie na úrovni objektu spolu so zabezpečením na úrovni riadkov umožňuje rozšírené zabezpečenie na podnikovej úrovni v zostavách a sémantických modeloch, čím sa zabezpečuje, že prístup na zobrazenie a interakciu s citlivými údajmi majú len používatelia s potrebnými povoleniami.

Ako sa údaje prenášajú do služby Power BI?

  • Všetky údaje požadované a prenášané službou Power BI sú šifrované pri prenose pomocou protokolu HTTPS (s výnimkou prípadov, keď zdroj údajov vybraný zákazníkom nepodporuje protokol HTTPS) na pripojenie zo zdroja údajov k služba Power BI. Zabezpečené pripojenie je vytvorené pomocou poskytovateľa údajov, a len po takom pripojení budú môcť údaje prechádzať cez sieť.

Ako služba Power BI ukladá zostavu, tabuľu alebo modelové údaje do vyrovnávacej pamäte a ako je to zabezpečené?

  • Pri prístupe k zdroju údajov služba Power BI dodržiava proces, ktorý je uvedený vyššie v tomto dokumente v časti Overovanie pre zdroje údajov.

Ukladajú klienti údaje z webovej stránky lokálne do vyrovnávacej pamäte?

  • Keď majú klienti prehliadača prístup k službe Power BI, nastavia webové servery Power BI direkciu kontroly vyrovnávacej pamäte na možnosť bez uloženia. Smernica o neuložení usriaďuje prehliadače, aby sa webová stránka zobrazená používateľom neuložila do vyrovnávacej pamäte, ani do klientskeho priečinku vyrovnávacej pamäte.

A čo sa týka zabezpečenia na základe rolí, zdieľania zostáv alebo tabúľ a pripojení k údajom? Ako to funguje z hľadiska prístupu k údajom, zobrazenia tabule, prístupu k zostave alebo obnovenia?

  • V prípade zdrojov údajov nezabezpečených na úrovni roly (RLS) platí, že ak je tabuľa, zostava alebo dátový model zdieľaný s ostatnými používateľmi prostredníctvom služby Power BI, údaje sú k dispozícii pre používateľov, s ktorými sú zdieľané na prezeranie a interakciu. Služba Power BI opätovne neautentifikuje používateľov pre pôvodný zdroj údajov; ak sú už raz údaje nahraté do služby Power BI, používateľ overený pre zdroj údajov je zodpovedný za správu ďalších používateľov a skupín s možnosťou zobrazenia údajov.

    Pri pripojení k zdroju údajov zabezpečenému na úrovni riadkov (napríklad k zdroju údajov Analysis Services) sa do vyrovnávacej pamäte v službe Power BI ukladajú iba údaje tabúľ. Pri každom zobrazení alebo prístupe k zostave alebo sémantickému modelu v službe Power BI, ktorý používa údaje zo zdroja údajov založeného na zabezpečení na úrovni roly (RLS), služba Power BI pristupuje k zdroju údajov, aby získal údaje na základe poverení používateľa, a ak sú k dispozícii dostatočné povolenia, údaje sa načítajú do zostavy alebo dátového modelu pre daného používateľa. V prípade zlyhania overenia sa používateľovi zobrazí chyba.

    Ďalšie informácie nájdete v časti Overovanie pre zdroje údajov vyššie v tomto dokumente.

Naši používatelia sa vždy pripájajú k rovnakým zdrojom údajov, z ktorých niektoré vyžadujú poverenia, ktoré sa líšia od poverení pre doménu. Ako by sa mohli vyhnúť zadávaniu týchto poverení zakaždým, keď vytvárajú údajové pripojenie?

  • Power BI ponúka osobnú bránu Power BI Personal Gateway, čo je funkcia, ktorá umožňuje používateľom vytvárať poverenia pre viacero rôznych zdrojov údajov a potom automaticky používať tieto poverenia pri následnom prístupe ku každému z týchto zdrojov údajov. Ďalšie informácie nájdete v téme Osobná brána Power BI Personal Gateway.

Ktoré porty používa lokálna brána údajov a osobná brána? Existujú názvy domén, ktoré je potrebné mať povolené na účely pripojenia?

  • Podrobná odpoveď na túto otázku je k dispozícii na nasledujúcom prepojení: Porty brány

Ako sa pri práci s lokálnou bránou údajov používajú kľúče na obnovenie a kde sú uložené? Čo je správa prihlasovacích údajov zabezpečenia?

  • Počas inštalácie a konfigurácie brány správca zadáva v bráne kľúč na obnovenie. Tento kľúč na obnovenie sa používa na generovanie silného symetrického kľúča AES. Zároveň sa vytvorí aj asymetrický kľúč RSA.

    Tieto vygenerované kľúče (RSA a AES) sú uložené v súbore umiestnenom v lokálnom počítači. Tento súbor je tiež zašifrovaný. Obsah súboru je možné dešifrovať len pomocou tohto konkrétneho počítača so systémom Windows a len pomocou tohto konkrétneho konta služby brány.

    Keď používateľ zadá poverenia zdroja údajov v používateľskom rozhraní služba Power BI, poverenia sa zašifrujú pomocou verejného kľúča v prehliadači. Brána dešifruje poverenia pomocou súkromného kľúča RSA a opätovne ich zašifruje so symetrickým kľúčom AES predtým, ako sa údaje uložia do služba Power BI. Pri tomto procese služba Power BI nikdy nemá prístup k nešifrovaným údajom.

Ktoré komunikačné protokoly sú používané lokálnou bránou údajov a ako sú zabezpečené?

  • Brána podporuje dva nasledujúce komunikačné protokoly:

    • AMQP 1.0 – TCP + TLS: Tento protokol vyžaduje porty 443, 5671-5672 a 9350-9354 na otvorenie pre odchádzajúce komunikácie. Tento protokol je preferovaný, pretože má nižšie náklady na komunikáciu.

    • HTTPS – WebSockets cez HTTPS + TLS: Tento protokol používa port 443 iba. WebSocket je spustený jedinou správou pripojenia HTTP. Po vytvorení kanála prebieha komunikácia v podstate cez TCP + TLS. Použitie tohto protokolu bránou môžete vynútiť úpravou nastavenia, ako je popísané v článku o lokálnej bráne.

Aká je rola siete Azure CDN v službe Power BI?

  • Ako už bolo spomenuté, Power BI používa sieť Azure Content Delivery Network (CDN) na efektívnu distribúciu nevyhnutného statického obsahu a súborov používateľom podľa geografického miestneho nastavenia. Podrobnejšie služba Power BI používa viaceré siete CDN na efektívnu distribúciu potrebného statického obsahu a súborov používateľom prostredníctvom verejného internetu. Tieto statické súbory zahŕňajú produkty na stiahnutie (napríklad Power BI Desktop, lokálna brána údajov alebo aplikácie Power BI od rôznych nezávislých poskytovateľov služieb), konfiguračné súbory prehliadača používané na spustenie a zriadenie všetkých ďalších pripojení pomocou služba Power BI, ako aj počiatočnú zabezpečenú prihlasovaciu stránku služby Power BI.

    Na základe informácií poskytnutých počas počiatočného pripojenia k služba Power BI kontaktuje prehliadač používateľa špecifikovanú sieť Azure CDN (alebo pre niektoré súbory sieť WFE) na stiahnutie kolekcie špecifikovaných bežných súborov potrebných na povolenie interakcie prehliadača s služba Power BI. Stránka prehliadača potom počas trvania relácie prehliadača obsahuje token Microsoft Entra, informácie o relácii, umiestnenie súvisiaceho serverového klastra a kolekcie súborov stiahnutý služba Power BI ch zo siete na doručovanie obsahu služby Azure a klastra WFE.

Vykonáva spoločnosť Microsoft pre kódy vlastných vizuálov nejaké hodnotenia zabezpečenia alebo ochrany osobných údajov pred publikovaním položiek v galérii?

  • Nie. Je zodpovednosťou zákazníka skontrolovať a rozhodnúť, či je kód vlastného vizuálu spoľahlivý. Kód vlastných vizuálov je prevádzkovaný v prostredí testovacieho prostredia (sandbox), takže akýkoľvek potulný kód vo vlastnom vizuáli nebude mať nepriaznivý vplyv na zvyšok služba Power BI.

Existujú iné vizuály Power BI, ktoré odosielajú informácie mimo siete zákazníka?

  • Áno. Vizuály služby Bing Mapy a ESRI prenášajú údaje zo služba Power BI pre vizuály, ktoré používajú tieto služby.

Vykonáva spoločnosť Microsoft pre aplikácie šablón nejaké hodnotenia zabezpečenia alebo ochrany osobných údajov pred publikovaním položiek v galérii?

  • Nie. Za obsah je zodpovedný vydavateľ aplikácie, pričom je zodpovednosťou zákazníka skontrolovať a rozhodnúť sa, či vydavateľovi aplikácie šablóny dôveruje.

Existujú aplikácie šablón, ktoré môžu odosielať informácie mimo siete zákazníka?

  • Áno. Je zodpovednosťou zákazníka skontrolovať zásady ochrany osobných údajov vydavateľa a rozhodnúť sa, či si aplikáciu šablóny nainštaluje do nájomníka. Vydavateľ je zodpovedný za informovanie zákazníka o správaní a možnostiach aplikácie.

A čo sa týka suverenity údajov? Môžeme zriadiť nájomníkov v dátových centrách nachádzajúcich sa v konkrétnych geografických oblastiach, aby údaje nemohli opustiť hranice krajiny alebo oblasti?

  • Niektorí zákazníci v niektorých geografických oblastiach majú možnosť vytvoriť nájomníka v národnom/regionálnom cloude, kde ukladanie a spracovanie údajov je oddelené od všetkých ostatných údajových centier. Národné/regionálne cloudy majú trochu iný typ zabezpečenia, pretože dôverný správca samostatných údajov pôsobí v národných/regionálnych cloudových služba Power BI v mene spoločnosti Microsoft.

    Prípadne môžu zákazníci nastaviť nájomníka v konkrétnej oblasti. Títo nájomníci však nemajú dôverníka separátnych údajov od spoločnosti Microsoft. Ceny národných/regionálnych cloudov sa líšia od všeobecne dostupných komerčných služba Power BI. Ďalšie informácie o dostupnosti služba Power BI pre národné/regionálne cloudy nájdete v téme Národné/regionálne cloudy služby Power BI.

Ako Microsoft narába s pripojeniami pre zákazníkov, ktorí majú predplatné služby Power BI Premium? Sú tieto pripojenia iné ako tie vytvorené pre iné pripojenia ako pre služba Power BI Premium?

  • Pripojenia vytvorené pre zákazníkov predplatného služby Power BI Premium vykonávajú proces oprávnenia Microsoft Entra business-to-business (B2B) pomocou id Microsoft Entra na povolenie riadenia prístupu a oprávnenia. Power BI spracováva pripojenia predplatiteľov zo služby Power BI Premium k zdrojom služby Power BI Premium rovnako ako iných používateľov služby Microsoft Entra.

Ako funguje overovanie na strane servera vo WFE?

  • Overenie na strane služby po overení používateľa sa uskutočňuje tak, ako je to popísané v nasledujúcich krokoch, ktoré sú ilustrované na obrázku, ktorý za nimi nasleduje.

  1. Používateľ iniciuje pripojenie k služba Power BI z prehliadača buď zadaním adresy služby Power BI do panela s adresou alebo výberom položky Prihlásiť sa na marketingovej stránke služby Power BI (https://powerbi.microsoft.com). Pripojenie sa vytvorí pomocou protokolov TLS 1.2 a HTTPS a všetka následná komunikácia medzi prehliadačom a služba Power BI používa protokol HTTPS.

  2. Služba Azure Traffic Manager skontroluje záznam DNS používateľa, aby určila najvhodnejšie (zvyčajne najbližšie) údajové centrum, kde je služba Power BI nasadená, a odpovie na DNS prostredníctvom adresy IP klastra WFE, do ktorého by mal byť používateľ poslaný.

  3. WFE potom presmeruje používateľa na prihlasovaciu stránku služieb Microsoft Online Services.

  4. Po overení používateľa vás prihlasovacia stránka presmeruje na predtým určený najbližší klaster služba Power BI WFE pomocou overeného kódu.

  5. Klaster WFE skontroluje ID služby Microsoft Entra, aby získal token zabezpečenia Microsoft Entra pomocou overeného kódu. Keď microsoft Entra ID vráti úspešné overenie používateľa a vráti token zabezpečenia Microsoft Entra, klaster WFE vykoná konzultáciu so službou Power BI Global Service, ktorá uchováva zoznam nájomníkov a ich serverových klastrov Power BI a určí, ktorý klaster serverovej služby Power BI obsahuje nájomníka používateľa. Klaster WFE potom vráti stránku aplikácie do prehliadača používateľa s informáciami o relácii, prístupe a smerovanie, ktoré sú potrebné pre jeho operáciu.

  6. Keď teraz prehliadač klienta vyžaduje údaje zákazníka, odošle požiadavky na adresu serverového klastra s prístupovým tokenom Microsoft Entra v hlavičke Authorization. Klaster back-end služby Power BI prečíta prístupový token Microsoft Entra a overí podpis, aby sa zaistilo, že identita žiadosti je platná. Prístupový token Microsoft Entra bude mať dátum skončenia platnosti stanovený podľa politík spoločnosti Microsoft Entra a na zachovanie aktuálnej relácie bude klient Power BI v prehliadači používateľa pred jeho uplynutím pravidelne odosielať požiadavky na obnovenie prístupového tokenu.

Diagram znázorňujúci postupnosť overovania WFE.

Ďalšie zdroje informácií

Ďalšie informácie o službe Power BI nájdete v nasledujúcich zdrojoch.