Power BI Security

สำหรับคำอธิบายโดยละเอียดของความปลอดภัยของ Power BI อ่านเอกสารทางเทคนิคของความปลอดภัยของ Power BI:

Power BI service ถูกสร้างบนAzureซึ่งเป็นโครงสร้างพื้นฐานและแพลตฟอร์มการประมวลผล ชอง Microsoft cloud สถาปัตยกรรมบริการ Power BI นั้นยึดตามคลัสเตอร์สองตัว คลัสเตอร์ Web Front End (WFE) และคลัสเตอร์Back End คลัสเตอร์ WFE จัดการการเชื่อมต่อเริ่มต้นและการรับรองความถูกต้องเพื่อไปยัง บริการ Power BI และเมื่อการรับรองความถูกต้องเสร็จแล้ว Back End จะจัดการผู้ใช้อื่นๆ ที่ตามมาทั้งหมด Power BI ใช้ Azure Active Directory (AAD) เพื่อจัดเก็บและจัดการข้อมูลประจำตัวผู้ใช้ และจัดการเก็บข้อมูลของข้อมูลและเมตาดาต้าโดยใช้ Azure BLOB และฐานข้อมูล SQL Azure ตามลำดับ

สถาปัตยกรรมของ Power BI

การใช้งาน Power BI แต่ละรายการประกอบด้วยคลัสเตอร์สองตัว คลัสเตอร์ Web Front End (WFE) และคลัสเตอร์Back End

คลัสเตอร์WFEจัดการกระบวนการเชื่อมต่อและรับรองตัวตนเริ่มต้นสำหรับ Power BI โดยใช้ AAD ในการรับรองตัวตนของไคลเอ็นต์ และใส่โทเค็นสำหรับไคลเอ็นต์ถัดๆไป ซึ่งเชื่อมต่อ Power BI service. Power BI ยังใช้Azure Traffic Manager (ATM) โดยตรงกับปริมาณการใช้งานของผู้ใช้ที่ใกล้ที่สุดกับศูนย์ข้อมูล โดยขึ้นอยู่กับการบันทึก DNS ของไคลเอ็นต์ที่พยายามเชื่อมต่อกับกระบวนการรับรองตัวตนและเมื่อต้องดาวน์โหลดเนื้อหาแบบคงที่หรือไฟล์ Power BI ใช้Azure Content Delivery Network (CDN) เพื่อแจกจ่ายเนื้อหาแบบคงที่ที่จำเป็นได้อย่างมีประสิทธิภาพ และบันทึกเป็นไฟล์ในตัวผู้ใช้โดยยึดตามตำแหน่งที่ตั้งทางภูมิศาสตร์

Diagram showing Power B I Architecture for Web Front End cluster.

คลัสเตอร์Back Endคือวิธีการที่ไคลเอนต์การรับรองตัวตนแล้วโต้ตอบกับ Power BI service คลัสเตอร์Back Endจัดการการแสดงภาพ แดชบอร์ดผู้ใช้ ชุดข้อมูล รายงาน ที่เก็บข้อมูล การเชื่อมต่อข้อมูล การรีเฟรชข้อมูล และลักษณะอื่น ๆ ของโต้ตอบกับบริการ Power BI บทบาทเกตเวย์ทำหน้าที่เป็นเกตเวย์ระหว่างผู้ใช้ที่ร้องขอและ Power BI service ผู้ใช้ไม่ได้ทำงานโดยตรงกับบทบาทใด ๆ นอกเหนือจากบทบาทเกตเวย์ Azure API Management จะจัดการบทบาทเกตเวย์ในท้ายที่สุด

Diagram showing Power B I Architecture for Web Back End cluster.

ข้อสำคัญ

ต้องบันทึกว่าAzure API Management (APIM) และบทบาทเกตเวย์ (GW) จะสามารถเข้าถึงผ่านอินเทอร์เน็ตสาธารณะ พวกเขาให้รับรองตัวตน การอนุญาต DDoS protection Throttling ปรับสมดุลการโหลด กำหนดเส้นทาง และความสามารถอื่น ๆ

ความปลอดภัยของพื้นที่จัดเก็บข้อมูล

Power BI ใช้เก็บข้อมูลหลักที่สองตัว สําหรับจัดเก็บและจัดการข้อมูล ข้อมูลที่อัปโหลดจากผู้ใช้โดยทั่วไปจะถูกส่งไปยัง Azure Blob Storage และเมตาดาต้าทั้งหมด เช่นเดียวกับวัตถุของระบบเองจะถูกจัดเก็บในฐานข้อมูล Azure SQL

เส้นไข่ปลาในรูปภาพคลัสเตอร์Back-End ข้างต้น ชี้ให้เห็นขอบระหว่างสองส่วนที่สามารถเข้าถึงได้โดยผู้ใช้ (ทางด้านซ้ายของเส้นไข่ปลา) และบทบาทจะสามารถเข้าถึงได้โดยระบบเท่านั้น เมื่อผู้ใช้ที่รับตัวตนแล้วเชื่อมต่อไปยัง Power BI Service การเชื่อมต่อและคำขอใดๆ โดยไคลเอ็นต์จะถูกยอมรับและจัดการโดยบทบาทเกตเวย์ (ในท้ายที่สุดจะจัดการโดยAzure API Management) ซึ่งโต้ตอบในนามของผู้ใช้กับส่วนเหลือของ Power BI Service ตัวอย่างเช่น เมื่อไคลเอ็นต์พยายามดูแดชบอร์ด บทบาทเกตเวย์จะยอมรับการร้องขอดังกล่าวจาก นั้นส่งการร้องขอแบบเพื่อแยกกันไปยังบทบาทงานนำเสนอ เพื่อดึงข้อมูลจำเป็นที่เบราว์เซอร์ต้องใช้เพื่อแสดงแดชบอร์ด

การรับตัวตนผู้ใช้

Power BI ใช้ Azure Active Directory (AAD) เมื่อต้องการรับรองตัวตอนผู้ใช้ที่เข้าสู่ระบบ ไปยังบริการ Power BI และในทางกลับกลับ ก็ใช้ข้อมูลประจำตัว Power BI เมื่อใดก็ตามที่ผู้ใช้พยายามเข้าแหล่งข้อมูลที่จำเป็นต้องได้รับการรับรองความถูกต้อง ผู้ใช้เข้าสู่ระบบไปยังบริการ Power BI ที่ใช้ที่อยู่อีเมลที่ใช้ในการสร้างบัญชี Power BI ของพวกเขา Power BI ใช้สิ่งนั้นเข้าสู่ระบบอีเมลในฐานะชื่อผู้ใช้ที่มีผลบังคับใช้ซึ่งจะถูกส่งผ่านไปยังแหล่งข้อมูล เมื่อใดก็ตามที่ผู้ใช้พยายามเชื่อมต่อกับข้อมูล จากนั้น ชื่อผู้ใช้ที่มีผลบังคับใช้ จะถูกแมปไปยัง ชื่อหลักผู้ใช้ (User Principal Name, UPN) และตกลงใช้บัญชีโดเมน Windows ที่สัมพันธ์กัน เพื่อทำการรับรองความถูกต้อง

สำหรับองค์กรที่ใช้อีเมลที่ทำงานสำหรับการเข้าสู่ระบบ Power BI (เช่นdavid@contoso.com), ชื่อผู้ใช้ที่มีผลบังคับใช้กับ UPN การแมปนั้นตรงไปตรงมา สำหรับองค์กรที่ไม่ได้ใช้อีเมลที่ทำงานเพื่อเข้าสู่ระบบ Power BI (เช่นdavid@contoso.onmicrosoft.com) การแมประหว่าง AAD และข้อมูลประจำตัวภายในองค์กรจะต้องใช้directory synchronizationให้เพื่อทำงานอย่างถูกต้อง

แพลตฟอร์มความปลอดภัยสำหรับ Power BI ยังรวมถึงความปลอดภัยของสภาพแวดล้อมแบบหลายผู้เช่า การรักษาความปลอดภัยเครือข่าย และความสามารถในการเพิ่มมาตรการด้านความปลอดภัยตาม AAD เพิ่มเติม

ข้อมูลและความปลอดภัยของบริการ

สำหรับข้อมูลเพิ่มเติม โปรดไปที่ศูนย์ความเชื่อถือ Microsoft

ตามที่อธิบายไว้ก่อนหน้าในบทความนี้ การเข้าสู่ระบบ Power BI ของผู้ใช้ถูกใช้ โดยเซิร์ฟเวอร์ Active Directory ในองค์กรจะจับคู่ UPN สำหรับข้อมูลประจำตัว อย่างไรก็ตาม เป็นเรื่องสำคัญที่ควรทราบว่า ผู้ใช้เป็นผู้รับผิดชอบข้อมูลที่พวกเขาแชร์ ถ้าผู้ใช้เชื่อมต่อกับแหล่งข้อมูลโดยใช้ข้อมูลประจำตัวของเขา จากนั้นการรายงาน (หรือแดชบอร์ด หรือชุดข้อมูล) จะยึดตามข้อมูลทีผู้ใช้ใช้ร่วมกับบุคคลที่แชร์แดชบอร์ด ซึ่งเขาจะไม่ได้รับการรับรองตัวตนกับแหล่งข้อมูลต้นฉบับ และจะสามารถเข้าถึงรายงานได้

มีข้อยกเว้นคือการเชื่อมต่อไปยังSQL Server Analysis Servicesโดยใช้เกตเวย์ข้อมูลภายในองค์กร แดชบอร์ดจะถูกเก็บไว้ใน Power BI แต่เข้าถึงรายงานพื้นฐานหรือชุดข้อมูลเริ่มต้นการรับรองความถูกต้องสำหรับผู้ใช้ที่พยายามที่จะเข้าถึงรายงาน(หรือชุดข้อมูล) และการเข้าถึงจะอนุมัติ หากผู้ใช้มีข้อมูลประจำตัวเพียงพอในการเข้าถึงข้อมูลเท่านั้น สำหรับข้อมูลเพิ่มเติม ให้ดูเจาะลึกเกตเวย์ข้อมูลขององค์กร

บังคับใช้รุ่น TLS

เครือข่ายและผู้ดูแลระบบไอทีสามารถบังคับใช้ข้อกำหนดในการใช้ TLS ปัจจุบัน (Transport Layer Security) สำหรับการติดต่อสื่อสารใดๆ ที่มีความปลอดภัยบนเครือข่าย Windows ให้การรองรับเวอร์ชัน TLS ผ่าน Microsoft Schannel Provider ดังอธิบายไว้ในหัวข้อ TSL Schannel SSP

การบังคับใช้นี้สามารถทำได้โดยการตั้งค่ารีจิสทรีคีย์สำหรับการจัดการ การบังคับใช้ได้อธิบายไว้ในการจัดการ SSL Protocols ในหัวข้อ AD FS

Power BI Desktop ยึดการตั้งค่าคีย์รีจิสทรีที่อธิบายไว้ในหัวข้อเหล่านั้นและสร้างเฉพาะการเชื่อมต่อโดยใช้ TLS เวอร์ชันที่ได้รับอนุญาตตามการตั้งค่ารีจิสทรีเหล่านั้นเมื่อปรากฏ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่ารีจิสทรีคีย์เหล่านี้ ดูได้ที่หัวข้อการตั้งค่ารีจิสทรี TLS