Power BI-säkerhetPower BI Security

En detaljerad förklaring av Power BI-säkerheten får du om du läser white paper-dokumentet om Power BI-säkerhet:For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Power BI-tjänsten bygger på Azure, vilket är Microsofts infrastruktur och plattform för molntjänster.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Power BI-tjänstens arkitektur baseras på två kluster – frontwebb (WFE) och serverdel.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. WFE-klustret är hanterar den första anslutningen och autentiseringen till Power BI-tjänsten. Efter att den har autentiseras hanterar serverdelen alla efterföljande användarinteraktioner.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI använder Azure Active Directory (AAD) till att lagra och hantera användaridentiteter, samt hanterar lagringen av data och metadata med Azure-blobb och Azure SQL Database.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Power BI-arkitekturPower BI Architecture

Varje Power BI-distribution består av två kluster – ett frontwebb (WFE) och ett serverdel.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

WFE-klustret hanterar den första anslutningen och autentiseringsprocessen för Power BI, samt använder AAD för att autentisera klienter och tillhandahåller tokens för efterföljande klientanslutningar till Power BI-tjänsten.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Power BI använder dessutom Azure Traffic Manager (ATM) till att dirigera användartrafik till det närmaste datacentret, vilket bestäms av DNS-posten för den klient som försöker att ansluta, för autentiseringen och för att ladda ned statiskt innehåll och filer.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI använder Azure Content Delivery Network (CDN) till att distribuera det statiska innehåll som krävs samt filer till användarna, baserat på nationella inställningar.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Diagram över Power BI-arkitekturen för frontwebbkluster.

Serverdelsklustret avser hur autentiserade klienter interagerar med Power BI-tjänsten.The Back-End cluster is how authenticated clients interact with the Power BI service. Serverdelsklustret hanterar visualiseringar, instrumentpaneler för användare, datauppsättningar, rapporter, datalagring, dataanslutningar, datauppdatering och andra delar av interaktionen med Power BI-tjänsten.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Gatewayrollen fungerar som en gateway mellan användarförfrågningar och Power BI-tjänsten.The Gateway Role acts as a gateway between user requests and the Power BI service. Användarna samverkar inte direkt med några andra roller än gatewayrollen.Users do not interact directly with any roles other than the Gateway Role. Azure API Management levererar slutligen gatewayrollen.Azure API Management will eventually handle the Gateway Role.

Diagram över Power BI-arkitekturen för webbserverdelskluster.

Viktigt

Det är viktigt att observera att endast rollerna Azure API Management (APIM) och Gateway (GW) kan nås via ett offentligt Internet.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. De tillhandahåller funktioner för autentisering, auktorisering, DDoS-skydd, begränsning, belastningsutjämning, routning m.m.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Säkerhet vid datalagringData Storage Security

Power BI använder två primära databaser för att lagra och hantera data: Data som laddas upp från användarna skickas vanligtvis till Azure-blobb lagringen, och alla metadata samt artefakter för själva systemet lagras i Azure SQL Database.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

Den streckade linjen i bilden för serverdelsklustret ovan, visar gränsen mellan de enda två komponenter som är tillgängliga för användarna (till vänster om den streckade linjen) och de roller som endast kan nås av systemet.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. När en autentiserad användare ansluter till Power BI-tjänsten kommer anslutningen och alla förfrågningar av klienten accepteras och hanteras av gatewayrollen (så småningom hanteras den av Azure API Management), som sedan interagerar åt användaren med resten av Power BI-tjänsten.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Om till exempel en klient försöker visa en instrumentpanel accepterar gatewayrollen förfrågan och skickar sedan separat en begäran till presentationsrollen om att hämta de data som behövs för att webbläsaren ska kunna återge instrumentpanelen.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

AnvändarautentiseringUser Authentication

Power BI använder Azure Active Directory (AAD) till att autentisera användarna som loggar in på Power BI-tjänsten. Därefter används inloggningsuppgifterna för Power BI varje gång en användare försöker få åtkomst till resurser som kräver autentisering.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. När användarna loggar in på Power BI-tjänsten används den e-postadress som användes när deras Power BI-konton skapades. Power BI använder e-postinloggningen som effektivt användarnamn och skickar den till resurserna när en användare försöker att ansluta till data.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Det effektiva användarnamnet mappas sedan till Användarens huvudnamn ( UPN) och matchas med det associerade Windows-domänkonto som autentiseringen används för.The effective username is then mapped to a User Principal Name (UPN) and resolved to the associated Windows domain account, against which authentication is applied.

För organisationer som använt e-postadressen till arbetet vid Power BI-inloggning (t.ex david@contoso.com), är effektiva användarnamn som UPN-mappning enkel att använda.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. För organisationer som inte har använt e-postadressen till arbetet för Power BI-inloggning (t.ex david@contoso.onmicrosoft.com), kommer mappningen mellan AAD och lokala autentiseringsuppgifter kräva att katalogsynkroniseringen fungerar som den ska.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Plattformssäkerheten för Power BI inkluderar även miljösäkerhet för flera klienter, nätverkssäkerhet och möjligheten att lägga till ytterligare AAD-baserade säkerhetsåtgärder.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Data- och tjänstsäkerhetData and Service Security

Mer information finns i Microsofts Säkerhetscenter.For more information, please visit the Microsoft Trust Center.

Enligt vad som tidigare beskrevs i den här artikeln används en användares Power BI-inloggning av lokala Active Directory-servrar till att mappa till ett UPN för autentiseringsuppgifter.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Det är dock viktigt att notera att användarna ansvarar för de data som de delar: Om en användare ansluter till datakällor med sina autentiseringsuppgifter och sedan delar en rapport (eller instrumentpanel eller datamängd) baserat på dessa data autentiseras inte de användare som den instrumentpanelen delas med mot den ursprungliga datakällan, och de kommer att beviljas åtkomst till rapporten.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Ett undantag är anslutningar till SQL Server Analysis Services med hjälp av den lokala datagatewayen. Instrumentpaneler cachelagras i Power BI, men åtkomsten till underliggande rapporter eller datauppsättningar kräver autentisering för den användare som försöker få åtkomst till rapporten (eller datauppsättningen) och åtkomst beviljas enbart om användaren har tillräcklig behörighet för att få åtkomst till dessa data.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Mer information finns i Djupdykning i den lokala datagatewayen.For more information, see On-premises data gateway deep dive.

Framtvinga användning av TLS-versionEnforcing TLS version usage

Nätverks- och IT-administratörer kan upprätthålla kravet på att använda aktuell TLS (Transport Layer Security) för all säker kommunikation i nätverket.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows har stöd för TLS-versioner via Microsoft Schannel-providern som beskrivs i artikel TLS Schannel SSP.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Den här tillämpningen kan göras genom att administrativt ange registernycklar.This enforcement can be done by administratively setting registry keys. Tillämpningen beskrivs i artikeln Hantera SSL-protokoll i AD FS.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop respekterar de registernyckelinställningar som beskrivs i dessa artiklar och skapar bara anslutningar som använder tillåten version av TLS baserat på dessa registerinställningar, då de existerar.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Mer information om hur du anger dessa registernycklar finns i artikeln TLS för registerinställningarna.For more information about setting these registry keys, see the TLS Registry Settings article.