เอกสารสีขาวเรื่องความปลอดภัยของ Power BI

ข้อมูลสรุป: Power BI คือบริการซอฟต์แวร์ออนไลน์ (SaaS หรือซอฟต์แวร์ตามการบริการ) ที่เสนอจาก Microsoft ที่ช่วยให้คุณสร้างแดชบอร์ดข่าวกรองธุรกิจ รายงาน ชุดข้อมูล และการแสดงภาพแบบบริการตนเอง ด้วย Power BI คุณสามารถเชื่อมต่อกับแหล่งข้อมูลที่หลากหลาย รวบรวมและจัดรูปแบบข้อมูลจากการเชื่อมต่อนั้นๆ จากนั้นก็สร้างรายงานและแดชบอร์ดที่สามารถใช้ร่วมกับผู้อื่นได้

ผู้เขียน: Yitzitz Kesselman, Paddy Osbornescu, Matt Adily, Tony Bencic, Srinivasan Turuvekeres, Cristian Petculescu, Adi Regev, Naveen Sivaitz, Ben Dynamic,Evgeny Tshiorny, Arthi Paddsuthimanian Iyer Sid Neydevan, Paul, Ori Eduar, Anton Fritz, Idan Genney, Ron Gilad, Sritzv Hadney, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Chatquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Patmon Bogdan Crivat

ผู้ตรวจสอบทางเทคนิค: Cristian Petculescu, Amir Netz, Sergei Gundorov

ใช้กับ: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded, Power BI บนมือถือ

บทนำ

Power BIคือบริการซอฟต์แวร์ออนไลน์ (SaaS หรือซอฟต์แวร์ตามที่ให้บริการ) ที่เปิดให้บริการจาก Microsoft ที่ช่วยให้คุณสร้างแดชบอร์ดข่าวกรองธุรกิจ รายงาน ชุดข้อมูล และการแสดงภาพแบบบริการตนเอง ด้วย Power BI คุณสามารถเชื่อมต่อกับแหล่งข้อมูลที่หลากหลาย รวบรวมและจัดรูปแบบข้อมูลจากการเชื่อมต่อนั้นๆ จากนั้นก็สร้างรายงานและแดชบอร์ดที่สามารถใช้ร่วมกับผู้อื่นได้

โลกมีการเปลี่ยนแปลงอย่างรวดเร็ว องค์กรต่างๆ จะดําเนินการตามการแปลงแบบดิจิทัลที่เร่งความเร็ว และเราเห็นการเพิ่มขึ้นอย่างมากในการดําเนินงานระยะไกล ความต้องการของลูกค้าที่เพิ่มขึ้นบริการออนไลน์ และการใช้เทคโนโลยีขั้นสูงที่เพิ่มขึ้นในการดําเนินงานและการตัดสินใจทางธุรกิจ และทั้งหมดนี้ได้รับการสนับสนุนโดยระบบคลาวด์

ในขณะที่การเปลี่ยนแปลงไปยังระบบคลาวด์มีการเปลี่ยนแปลงจากที่ยุ่งยากเป็นง่ายๆ และด้วยพื้นที่พื้นผิวใหม่ที่เปิดเผยที่มาพร้อมกับมัน บริษัทต่าง ๆ มากขึ้นมีการถามว่าข้อมูลของฉันอยู่ในระบบคลาวด์มีความปลอดภัยอย่างไร และการป้องกันแบบ end-to-end มีอะไรบ้างที่ป้องกันไม่ให้ข้อมูลที่เป็นความลับของฉันรั่วไหล และบนแพลตฟอร์ม BI ที่มักจะจัดการกับข้อมูลเชิงกลยุทธ์ส่วนใหญ่ในองค์กร โดยทั่วไป ข้อถามเหล่านี้มีความสําคัญอย่างยิ่ง

รากฐานของรุ่นความปลอดภัยของ BI ทศวรรษแล้ว - ระดับวัตถุและการรักษาความปลอดภัยระดับแถว - ในขณะที่ยังสําคัญอยู่ แต่ยังคงไม่เพียงพอในการให้ชนิดของความปลอดภัยที่ต้องใช้ในระบบ Cloud อีกต่อไป แต่องค์กรต้องค้นหาโซลูชันการรักษาความปลอดภัยระดับหลายระดับแบบคลาวด์แบบหลายระดับในเชิงลึกของข้อมูลข่าวกรองธุรกิจของพวกเขา

Power BI ถูกสร้างขึ้นเพื่อให้การป้องกันที่เสร็จสมบูรณ์และสมบูรณ์แบบโดยใช้เลขศูนย์อุตสาหกรรม ผลิตภัณฑ์ดังกล่าวได้รับการจัดประเภทความปลอดภัยสูงสุดที่พร้อมใช้งานในอุตสาหกรรม และในวันนี้หน่วยงานรักษาความปลอดภัยแห่งชาติ สถาบันทางการเงิน และผู้ให้บริการด้านการดูแลสุขภาพที่มอบหมายให้ด้วยข้อมูลที่อ่อนไหวที่สุดของพวกเขา

ทั้งหมดเริ่มต้นจากพื้นฐาน หลังจากช่วงคร่าว ๆ ในช่วงต้นปี 2000 Microsoft ได้ลงทุนขนาดใหญ่เพื่อแก้ปัญหาช่องโหว่ด้านความปลอดภัยและในทศวรรษต่อ ๆ ไปสร้างสแตกการรักษาความปลอดภัยที่มีประสิทธิภาพมากที่ลึกที่สุดที่ข้อมูลบนเปิดกว้างของเครื่องจักร และขยายประสบการณ์การใช้งานของผู้ใช้ปลายทางทั้งหมด การลงทุนอย่างลึกซึ้งเหล่านี้ยังคงและในวันนี้วิศวกร Microsoft มากกว่า 3,500 คนมีความมีส่วนร่วมในการสร้างและเพิ่มสแต็คการรักษาความปลอดภัยของ Microsoft และแก้ไขปัญหาภัยคุกคามที่เปลี่ยนแปลงอย่างต่อเนื่อง ด้วยคอมพิวเตอร์นับพันล้านพันล้านเข้าสู่ระบบ และข้อมูลนับไม่ถ้วนที่เชื่อถือในการป้องกันของ Microsoft บริษัทตอนนี้คุณมีสแต็คการรักษาความปลอดภัยขั้นสูงที่สุดในอุตสาหกรรมเทคโนโลยีและดูอย่างกว้าง ๆ ในฐานะผู้มีอันดับทั่วโลกที่มีผู้มีบทบาทที่เป็นอันตราย

Power BI สร้างขึ้นบนพื้นฐานที่แข็งแกร่งมากนี้ ใช้สแตกการรักษาความปลอดภัยเดียวกันที่ Azure ได้รับสิทธิในให้บริการและปกป้องข้อมูลที่อ่อนไหวที่สุดของโลก และผสานรวมกับเครื่องมือปกป้องข้อมูลและการปฏิบัติตามข้อบังคับขั้นสูงที่สุดของMicrosoft 365ต่างๆ ส่วนเพิ่มเติมเหล่านี้ ส่งมอบความปลอดภัยผ่านมาตรการรักษาความปลอดภัยแบบหลายเลเยอร์ ซึ่งส่งผลให้มีการป้องกันแบบ end-to-end ที่ออกแบบมาจัดการกับความท้าทายที่เป็นเอกลักษณ์ของราระบบคลาวด์

หากต้องการจัดหาโซลูชันแบบ end-to-end เพื่อปกป้องสินทรัพย์ที่อ่อนไหว ทีมผลิตภัณฑ์จะต้องจัดการข้อกังวลของลูกค้าที่ท้าทายในหลาย ๆ หน้าพร้อมกัน:

• เราจะควบคุมว่าใครสามารถเชื่อมต่อจากที่ใด และเชื่อมต่อจากที่ใดได้อย่างไร เราสามารถควบคุมการเชื่อมต่อได้อย่างไร
• ข้อมูลถูกเก็บไว้อย่างไร? มีการเข้ารหัสอย่างไร? ตัวควบคุมใดที่ฉันมีในข้อมูลของฉัน
• How do Iควบคุมและปกป้องข้อมูลที่ละเอียดอ่อนของฉันหรือไม่ How do Iตรวจสอบให้แน่ใจว่าข้อมูลนี้ไม่สามารถรั่วไหลภายนอกองค์กรได้หรือไม่
• How do Iบุคคลที่ดําเนินการอะไรได้บ้าง How do Iตอบสนองอย่างรวดเร็วหากมีกิจกรรมที่น่าสงสัยในบริการหรือไม่

บทความนี้ให้คําตอบที่ครอบคลุมทุกคําถามเหล่านี้ ซึ่งเริ่มต้นด้วยภาพรวมของสถาปัตยกรรมบริการ และอธิบายว่าโฟลว์หลักในระบบงานอย่างไร จากนั้นจะย้ายไปยังเพื่ออธิบายวิธีการที่ผู้ใช้รับรองความถูกต้องไปยัง Power BI วิธีสร้างการเชื่อมต่อข้อมูล และวิธีที่ Power BI จัดเก็บ และย้ายข้อมูลผ่านทางบริการ ในส่วนสุดท้ายกล่าวถึงคุณลักษณะด้านความปลอดภัยที่ช่วยให้คุณในฐานะผู้ดูแลระบบบริการเพื่อปกป้องสินทรัพย์ที่มีประโยชน์ที่สุดของคุณ

บริการ Power BI ถูกควบคุมโดยเงื่อนไขบริการออนไลน์ของ Microsoft และคำชี้แจ้งสิทธิส่วนบุคคลขององค์ของ Microsoft โปรดอ้างอิงเงื่อนไขที่ตั้งของการประมวลผลข้อมูลใน Microsoftข้อกำหนดบริการออนไลน์Endumการปกป้องข้อมูล สำหรับข้อมูลการปฏิบัติตามกฎระเบียบ ศูนย์ความเชื่อถือของ Microsoftเป็นทรัพยากรหลักสำหรับ Power BI ทีมงาน Power BI จะทำงานอย่างหนักเพื่อให้ลูกค้าได้เข้าถึงนวัตกรรมและการปรับปรุงประสิทธิภาพการทำงานล่าสุด เรียนรู้เพิ่มเติมเกี่ยวกับการปฏิบัติตามกฎระเบียบในข้อเสนอการปฏิบัติตามข้อบังคับของ Microsoft

ผู้บริการของ Power BIจะปฏิบัติตามวงจรชีวิตการพัฒนาความปลอดภัย (SDL) แนวทางปฏิบัติด้านความปลอดภัยที่เข้มงวดที่สนับสนุนการรับประกันความปลอดภัยและข้อต้องการการปฏิบัติตามข้อบังคับ SDL ช่วยให้นักพัฒนาซอฟต์แวร์สร้างซอฟต์แวร์ที่ปลอดภัยมากขึ้นโดยการลดจํานวนและความรุนแรงของช่องโหว่ในซอฟต์แวร์ในขณะที่ลดต้นทุนการพัฒนา เรียนรู้เพิ่มเติมเกี่ยวกับMicrosoft Security Development Lifecycleแนวปฏิบัติ

สถาปัตยกรรมของ Power BI

บริการบริการของ Power BIถูกสร้างบน Azure, แพลตฟอร์มการประมวลผล แบบคลาวด์ของMicrosoft ในขณะนี้มีการปรับใช้ power BI ในศูนย์ข้อมูลมากมายทั่วโลก – มีการปรับใช้ที่ใช้งานอยู่มากมายที่พร้อมใช้งานสำหรับลูกค้าในภูมิภาคที่ใช้ โดยศูนย์ข้อมูลเหล่านั้น และจำนวนของการปรับใช้แบบ passiveที่เท่ากันซึ่งทำหน้าที่เป็นข้อมูลสำรองสำหรับการปรับใช้ที่ใช้งานอยู่แต่ละครั้ง

คลัสเตอร์ front-end เว็บ (WFE)

คลัสเตอร์WFEให้เบราว์เซอร์ของผู้ใช้กับเนื้อหาหน้า HTML เริ่มต้นในการโหลดไซต์ และจัดการการเชื่อมต่อเริ่มต้นและกระบวนการรับรองตัวตนกับ Power BI ใช้ Azure Active Directory (Azure AD) เพื่อรับรองความถูกต้องไคลเอ็นต์ และใส่โทเค็นสว่นเวลาการต่อกันไคลเอนต์ที่ตามมากับบริการส่วนหลังของ Power BI

คลัสเตอร์ WFE ประกอบด้วยไซต์ ASP.NET ที่เรียกใช้ในสภาพแวดล้อมของAzure App Service เมื่อผู้ใช้พยายามเชื่อมต่อกับ บริการของ Power BI บริการ DNS ของไคลเอ็นต์อาจสื่อสารกับ Azure Traffic Manager เพื่อค้นหาศูนย์ข้อมูลที่เหมาะสมที่สุด (มักใกล้ที่สุด) ด้วยการปรับใช้ Power BI ดูรายละเอียดเพิ่มเติมเกี่ยวกับกระบวนการนี้ โดยดูประสิทธิภาพตามวิธีการเส้นทางการใช้งานของ Azure Traffic Manager

คลัสเตอร์ WFE ที่มอบหมายให้กับผู้ใช้จัดการลดับเข้าสู่ระบบและการรับรองความถูกต้อง (อธิบายไว้ในบทความนี้) และรับโทเค็นการเข้าถึง Azure AD เมื่อการรับรองความถูกต้องเสร็จสมบูรณ์ คอมโพเนนต์ ASP.NET ภายในคลัสเตอร์ WFE วิเคราะห์โทเค็นเพื่อระบุว่าผู้ใช้เป็นองค์กรใด ปรึกษา Power BI Global Service WFE ระบุไปยังเบราว์เซอร์ใดคลัสเตอร์ back-end ที่บ้านผู้เช่าขององค์กร เมื่อผู้ใช้ผ่านการรับรองความถูกต้อง การโต้ตอบกับลูกค้าอื่น ๆ ที่ตามมากับข้อมูลลูกค้าเกิดขึ้นกับคลัสเตอร์ back-end หรือ Premium โดยตรง โดยไม่ต้อง WFE เป็นตัวกลางของการร้องขอเหล่านั้น

แหล่งข้อมูลแบบคงที่เช่น *.js, *ไฟล์ .css และรูปภาพส่วนใหญ่ถูกจัดเก็บบน Azure Content Delivery Network (CDN) และเรียกข้อมูลโดยตรงโดยเบราว์เซอร์ โปรดทราบว่าการปรับใช้คลัสเตอร์ Soversign Government เป็นข้อยกเว้นให้กับกฎนี้ และด้วยเหตุผลด้านการปฏิบัติตามกฎระเบียบจะละเว้น CDN และใช้คลัสเตอร์ WFE จากภูมิภาคที่ตรงตามมาตรฐานในการโฮสต์เนื้อหาแบบคงที่แทน

คลัสเตอร์ Back-end ของ Power BI (BE)

คลัสเตอร์ back-end เป็นแกนย้อนกลับของฟังก์ชันทั้งหมดที่พร้อมใช้งานใน Power BI ซึ่งประกอบด้วยจุดสิ้นสุดบริการหลายอย่างที่ใช้โดย Web Front End และไคลเอ็นต์ API ตลอดจนบริการการพื้นหลัง ฐานข้อมูล แคช และคอมโพเนนต์อื่นๆ

Back end จะพร้อมใช้งานในภูมิภาค Azure ส่วนใหญ่ และจะถูกปรับใช้ในภูมิภาคใหม่เมื่อจะพร้อมใช้งาน ภูมิภาค Azure เดียวโฮสต์คลัสเตอร์ back-end หนึ่งรายการหรือมากกว่าที่อนุญาตให้มีการปรับขนาดตามแนวนอนของ บริการของ Power BI เมื่อขีดจํากัดมาตราส่วนแนวตั้งและแนวนอนของคลัสเตอร์เดียวหมดลง

คลัสเตอร์ back-end แต่ละตัวมีสถานะและโฮสต์ข้อมูลทั้งหมดของผู้เช่าทั้งหมดที่มอบหมายให้กับคลัสเตอร์นั้น คลัสเตอร์ที่ประกอบด้วยข้อมูลของผู้เช่าเฉพาะจะเรียกว่าคลัสเตอร์หน้าแรกของผู้เช่า ข้อมูลคลัสเตอร์หน้าแรกของผู้ใช้การรับรองความถูกต้องได้จัดเตรียมโดย Global Service และใช้ โดย Web Front End เพื่อร้องขอเส้นทางไปยังคลัสเตอร์หน้าแรกของผู้เช่า

คลัสเตอร์ back-end แต่ละตัวประกอบด้วยเครื่องเสมือนหลายเครื่องที่รวมเป็นชุดปรับขนาดได้หลายชุดที่ปรับแต่งเพื่อการปฏิบัติงานเฉพาะ ทรัพยากรที่มีสถานะ เช่น ฐานข้อมูล SQL บัญชีเก็บข้อมูล บัสบริการ แคช และคอมโพเนนต์คลาวด์ที่จําเป็นอื่น ๆ

เมตาดาต้าของผู้เช่าและข้อมูลถูกจัดเก็บไว้ภายในขีดจํากัดของคลัสเตอร์ยกเว้นการลองแบบข้อมูลไปยังคลัสเตอร์ Back-end รองในภูมิภาค Azure ที่จับคู่กันในภูมิศาสตร์ Azure เดียวกัน คลัสเตอร์ back-end รองเป็นคลัสเตอร์การเฟลโอเวอร์ในกรณีที่เกิดการเฟลโอเวอร์ภูมิภาคและเป็นแบบ passive ในเวลาอื่น

Back-end functionality (ฟังก์ชัน Back-end) บริการ micro ที่เรียกใช้บนเครื่องอื่นภายในเครือข่ายเสมือนของคลัสเตอร์ที่ไม่สามารถเข้าถึงได้จากภายนอก ยกเว้นสองคอมโพเนนต์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ:

• บริการเกตเวย์
• การจัดการ API ของ Azure

โครงสร้างพื้นฐานแบบPremium Power BI

Power BI Premium บริการผู้สมัครใช้งานที่ต้องการคุณลักษณะ Power BI แบบพรีเมียม เช่น กระแสข้อมูล รายงานที่มีการแบ่งหน้า AI และอื่น ๆ เมื่อลูกค้าลงทะเบียนสมัครใช้งาน Power BI Premium ความจุแบบPremiumจะสร้างขึ้นผ่านAzure Resource Managerความจุ

ความจุแบบPremium BI Power ถูกโฮสต์ในคลัสเตอร์ back-end ที่เป็นอิสระจาก back end ของ Power BI ปกติ – ดูด้านบน) ซึ่งช่วยให้การแยกการจัดสรรทรัพยากรการสนับสนุนการแยกความปลอดภัยและการปรับขนาดของPremiumข้อเสนอนี้ดีขึ้น

แผนภาพต่อไปนี้แสดงให้เห็นถึงสถาปัตยกรรมของโครงสร้างพื้นฐานของ Power BI Premium:

การเชื่อมต่อกับโครงสร้างพื้นฐานของ power BI Premium สามารถทยได้หลายวิธี ทั้งนี้ขึ้นอยู่กับสถานการณ์สมมติของผู้ใช้ ไคลเอ็นต์Premium Power BI สามารถเป็นเบราว์เซอร์ของผู้ใช้ ปลายสุดหลังของ Power BI ทั่วไป การเชื่อมต่อโดยตรงผ่านไคลเอ็นต์ XMLA, ARM APIs ฯลฯ

โครงสร้างพื้นฐานของPremium Power BI ในภูมิภาค Azure ประกอบด้วยคลัสเตอร์ Power BI Premiumหลายรายการ (ค่าต่สุดคือหนึ่ง) ส่วนใหญ่ของแหล่งข้อมูล Premiumจะถูกห่อหุ้มไว้ภายในคลัสเตอร์ (เช่น การประมวลผล) และมีทรัพยากรบางภูมิภาคทั่วไป (ตัวอย่างเช่น ที่เก็บข้อมูลเมตาดาต้า) Premiumนี้ช่วยให้สามารถบรรลุความสามารถในการปรับขนาดแนวนอนในภูมิภาคได้สองวิธี: เพิ่มทรัพยากรภายในคลัสเตอร์และ/หรือเพิ่มคลัสเตอร์เพิ่มเติมตามความต้องการได้ตามต้องการ (หากทรัพยากรคลัสเตอร์ใกล้ขีดจํากัด)

แกนหลังของแต่ละคลัสเตอร์เป็นทรัพยากรการประมวลผลที่จัดการโดยVirtual Machine Scale Sets (VMSS)และ Azure Service Fabric VMSS และ Service Fabric ช่วยให้เพิ่มโหนดการประมวลผลที่รวดเร็วและไม่รู้สึกร้Premium เมื่อการใช้งานเพิ่มขึ้นและควบคุมการปรับใช้ การจัดการ และการตรวจสอบบริการและแอปพลิเคชัน Power BI Premium

มีทรัพยากรรอบมากมายซึ่งรับประกันโครงสร้างพื้นฐานที่ปลอดภัยและเชื่อถือได้: ตัวปรับสมดุลการโหลด เครือข่ายเสมือน กลุ่มความปลอดภัยเครือข่าย บัสบริการ ที่เก็บข้อมูล และอื่น ๆ ความลับ คีย์ และใบรับรองใด ๆ ที่ต้องใช้ใน Power BI Premiumจะจัดการได้โดยAzure Key Vaultเท่านั้น การรับรองความถูกต้องจะเสร็จสิ้นผ่านการรวมกับ Azure AD เท่านั้น

ทุกการร้องขอที่มาถึง Power BI Premiumโครงสร้างพื้นฐานจะไปยังโหนด front-end ก่อน – เป็นโหนดเดียวที่พร้อมใช้งานเพื่อเชื่อมต่อภายนอก ส่วนที่เหลือของทรัพยากรถูกซ่อนอยู่หลังเครือข่ายเสมือน โหนด front-end รับรองความถูกต้องของการร้องขอ จัดการ หรือส่งต่อไปยังแหล่งข้อมูลที่เหมาะสม (ตัวอย่างเช่น โหนดส่วนหลัง)

โหนด Back-end มอบความสามารถและคุณลักษณะPremium Power BI ส่วนใหญ่

Power BI Mobile

Power BI บนมือถือคอลเลกชันของแอปที่ออกแบบมาสไตล์แพลตฟอร์มเคลื่อนหลักสาม: Android, iOS Windows (UWP) ข้อควรพิจารณาเกี่ยวกับความปลอดภัยPower BI บนมือถือแอปแบ่งออกเป็นสองประเภท:

• ติดต่อสื่อสาร
• แอปพลิเคชันและข้อมูลบนอุปกรณ์

ติดต่อสื่อสารอุปกรณ์ Power BI บนมือถือทั้งหมดการสื่อสารกับ บริการของ Power BI และใช้เดียวกันเชื่อมต่อและรับรองความถูกต้องลดับที่ใช้ โดยเบราว์เซอร์ ซึ่งจะอธิบายในรายละเอียดก่อนหน้านี้ในเอกสารสีขาวนี้ แอปพลิเคชัน Power BI บนมือถือบน iOS และ Android แสดงเซสชันเบราว์เซอร์ภายในแอปพลิเคชันเอง ในขณะที่แอปอุปกรณ์เคลื่อนที่ Windows แสดงตัวเป็นโบรกเกอร์เพื่อสร้างช่องทางการสื่อสารกับ Power BI (for the sign-in process)

ตารางต่อไปนี้แสดงใบรับรองการสนับสนุนการรับรองความถูกต้อง (CBA) Power BI บนมือถือแพลตฟอร์มอุปกรณ์เคลื่อนที่:

Power BI Mobile apps พยายามสื่อสารกับบริการ Power BI การตรวจสอบและส่งข้อมูลถูกใช้เพื่อรวบรวมสถิติการใช้งานแอปและข้อมูลที่คล้ายกัน ซึ่งจะถูกส่งไปยังบริการที่ถูกใช้เพื่อตรวจสอบการใช้งานและกิจกรรม ไม่มีข้อมูลของลูกค้าถูกส่งด้วยการวัดและส่งข้อมูลทางไกล

แอปพลิเคชัน Power BI จัดเก็บข้อมูลบนอุปกรณ์ที่อวยความสะดวกในการใช้แอป:

• Azure AD และรีเฟรชโทเค็นถูกเก็บไว้ในกลไกการรักษาความปลอดภัยบนอุปกรณ์ ใช้มาตรการความปลอดภัยมาตรฐานอุตสาหกรรม
• ข้อมูลและการตั้งค่า (คู่ค่าคีย์ในการกําหนดค่าผู้ใช้) จะถูกแคชในที่เก็บข้อมูลบนอุปกรณ์ และสามารถเข้ารหัสลับโดยระบบปฏิบัติการ ใน iOS สิ่งนี้จะเสร็จโดยอัตโนมัติเมื่อผู้ใช้ตั้งค่ารหัสผ่าน ใน Android ซึ่งสามารถกําหนดค่าในการตั้งค่า ในWindows คุณสามารถบรรลุผลได้โดยใช้ Bit Guru
• แอป Android และ iOS ข้อมูลและการตั้งค่า (คู่ค่าคีย์ในการกําหนดค่าของผู้ใช้) จะถูกแคชในที่เก็บข้อมูลบนอุปกรณ์ใน Sandbox และที่เก็บข้อมูลภายในซึ่งสามารถเข้าถึงได้เฉพาะแอปเท่านั้น ผู้ใช้ (Windows) จะสามารถเข้าถึงข้อมูลได้เฉพาะแอปที่มีสิทธิ์เข้าถึงเท่านั้น
• ผู้ใช้ต้องเปิดใช้งานหรือปิดใช้งาน Geolocation อย่างชัดเจน เมื่อเปิดใช้งาน ข้อมูลทางภูมิศาสตร์จะไม่ถูกบันทึกบนอุปกรณ์และไม่แชร์กับ Microsoft
• ผู้ใช้จะเปิดใช้งานหรือปิดใช้งานการแจ้งเตือนอย่างชัดเจน หากเปิดใช้งาน Android และ iOS จะไม่รองรับความต้องการที่อยู่ข้อมูลทางภูมิศาสตร์เพื่อการแจ้งเตือน

การเข้ารหัสลับข้อมูลสามารถปรับปรุงโดยการใช้การเข้ารหัสลับระดับไฟล์ผ่าน Microsoft Intune บริการซอฟต์แวร์ที่มีการจัดการแอปพลิเคชันและอุปกรณ์เคลื่อนที่ ทุกแพลทฟอร์มสามPower BI บนมือถือพร้อมใช้งานสนับสนุน Intuned ด้วย Intune เปิดใช้งาน และกำหนดค่า ถูกเข้ารหัสลับข้อมูลบนอุปกรณ์เคลื่อนที่ และแอปพลิเคชัน Power BI จะไม่สามารถติดตั้งบน SD การ์ด เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Intune

นอกจากนี้WindowsของคุณยังสนับสนุนWindows Information Protection (WIP)

เพื่อใช้งาน SSO ค่าพื้นที่จัดเก็บข้อมูลความปลอดภัยบางอย่างที่เกี่ยวข้องกับการรับรองความถูกต้องตามโทเค็นจะพร้อมใช้งานในแอปอื่น ๆ ของ Microsoft 1st Party (เช่น Microsoft Authenticator) และจัดการโดย sdk Azure Active Directory Authentication Library (ADAL)

Power BI บนมือถือข้อมูลที่แคชไว้จะถูกลบเมื่อแอปถูกลบออก เมื่อผู้ใช้ลงชื่อออกจาก Power BI บนมือถือ หรือเมื่อผู้ใช้ล้มเหลวในการลงชื่อเข้าใช้ (เช่น หลังจากเหตุการณ์โทเค็นหมดอายุหรือเปลี่ยนรหัสผ่าน) แคชข้อมูลรวมถึงแดชบอร์ดและรายงานที่เคยเข้าถึงจากแอปPower BI Mobile

Power BI บนมือถือไม่สามารถเข้าถึงโฟลเดอร์แอปพลิเคชันหรือไฟล์อื่น ๆ บนอุปกรณ์ได้

แอป Power BI ระบบ iOS และแอนดรอยด์ช่วยให้คุณสามารถปกป้องข้อมูลของคุณได้โดยการกําหนดค่าการระบุเพิ่มเติม เช่น การให้ Face ID, Touch ID หรือรหัสผ่านเพื่อ iOS และข้อมูลทางชีวมิติ (Fingerprint ID) android เรียนรู้เพิ่มเติมเกี่ยวกับการระบุเพิ่มเติม

การรับรองความถูกต้องไปยังบริการของ Power BI

การรับรองความถูกต้องผู้ใช้ไปยังบริการ Power BI ประกอบด้วยชุดของคำร้องขอ ตอบกลับ และเปลี่ยนเส้นทางระหว่างเบราว์เซอร์ของผู้ใช้และบริการของPower BI หรือบริการAzureที่ใช้โดย Power BI ลAzure Active Directoryกระบวนการรับรองความถูกต้องผู้ใช้ใน Power BI ซึ่งAzure Active Directoryให้สิทธิ์โฟลว์ ดูรายละเอียดเพิ่มเติมเกี่ยวกับตัวเลือกต่างๆ ในโมเดลการรับรองความถูกต้องผู้ใช้ขององค์กร (รูปแบบการลงชื่อเข้าใช้), ดูเลือกแบบลงชื่อเข้าใช้Microsoft 365บริการ

การรับรองความถูกต้อง

ลดับการรับรองความถูกต้องผู้ใช้บริการของ Power BIเกิดขึ้นตามที่อธิบายไว้ในขั้นตอนต่อไปนี้ ซึ่งแสดงในรูปต่อไปนี้

1. ผู้ใช้เริ่มต้นการเชื่อมต่อไปยัง บริการของ Power BI จากเบราว์เซอร์ โดยการพิมพ์ใน Power BI ที่อยู่ในแถบที่อยู่ หรือ โดยการเลือก ลงชื่อเข้าใช้จากเพจ เริ่มต้นของ Power BI https://powerbi.microsoft.com) ( สร้างการเชื่อมต่อโดยใช้ TLS 1.2 และ HTTPS และติดต่อสื่อสารอื่นๆ ที่ตามมาทั้งหมดระหว่างเบราว์เซอร์และบริการของ Power BI ใช้ HTTPS

2. การ Azure Traffic Manager ตรวจสอบระเบียน DNS ของผู้ใช้เพื่อพิจารณาศูนย์ข้อมูลที่เหมาะสมที่สุด (มักใกล้ที่สุด) ที่มีการปรับใช้ Power BI และตอบกลับการ DNS ด้วยที่อยู่ IP ของคลัสเตอร์ WFE ที่ผู้ใช้ควรส่ง

3. WFE เปลี่ยนเส้นทางผู้ใช้ไปยังหน้าการเข้าสู่ระบบบริการออนไลน์ของ Microsoft แล้ว

4. หลังจากที่ผู้ใช้ได้รับการรับรองความถูกต้อง หน้าเข้าสู่ระบบเปลี่ยนเส้นทางผู้ใช้ที่กําหนดไว้ก่อนหน้านี้ใกล้ที่สุดบริการของ Power BI WFE ที่มีรหัสการรับรองความถูกต้อง

5. คลัสเตอร์ WFE ตรวจสอบด้วยการบริการ Azure AD เพื่อรับโทเค็นความปลอดภัย Azure AD โดยใช้รหัสการรับรองความถูกต้อง เมื่อ Azure AD ส่งกลับค่าการรับรองความถูกต้องของผู้ใช้สเร็จและส่งกลับโทเค็นความปลอดภัย Azure AD คลัสเตอร์ WFE ปรึกษา Power BI Global Service ซึ่งเก็บรายการของผู้เช่าและที่ตั้งของคลัสเตอร์ส่วนหลังของ Power BI และพิจารณาคลัสเตอร์บริการปลายสุด Power BI ที่ประกอบด้วยผู้เช่าของผู้ใช้ คลัสเตอร์ WFE แล้วส่งกลับหน้าแอปพลิเคชันไปยังเบราว์เซอร์ของผู้ใช้ที่มีเซสชัน เข้าถึง และข้อมูลการเส้นทางที่ต้องใช้ในการดําเนินการ

6. ในตอนนี้ เมื่อเบราว์เซอร์ของไคลเอ็นต์ต้องการข้อมูลลูกค้า จะส่งการร้องขอไปยังที่อยู่คลัสเตอร์ back-end ด้วยโทเค็นการเข้าถึง Azure AD ในส่วนหัว การอนุญาต คลัสเตอร์ Power BI back-end อ่านโทเค็นการเข้าถึง Azure AD และตรวจสอบลายเซ็นเพื่อให้แน่ใจว่าข้อมูลเฉพาะตัวของการร้องขอถูกต้อง โทเค็น การเข้าถึง Azure AD มีอายุการใช้งานเริ่มต้น 1ชั่วโมงและเพื่อรักษาเซสชันปัจจุบันเบราว์เซอร์ของผู้ใช้จะร้องขอระยะใกล้เพื่อต่ออายุโทเค็นการเข้าถึงก่อนที่จะหมดอายุ

การเก็บข้อมูล

นอกจากว่าจะระบุไว้ในเอกสาร Power BI จะจัดเก็บข้อมูลลูกค้าในภูมิศาสตร์ Azure ที่ได้รับมอบหมายเมื่อผู้ เช่า Azure AD ลงทะเบียนใช้บริการ Power BI เป็นครั้งแรก ผู้เช่า Azure AD จะให้บริการข้อมูลระบุตัวตนของแอปพลิเคชัน กลุ่ม และข้อมูลอื่นๆ ที่เกี่ยวข้องที่เกี่ยวข้องกับองค์กรและความปลอดภัย

การมอบหมายของภูมิศาสตร์ Azure for tenant data storage เสร็จสิ้นแล้วโดยการแมปประเทศหรือภูมิภาคที่เลือกเป็นส่วนหนึ่งของการตั้งค่าผู้เช่า Azure AD เพื่อภูมิศาสตร์ Azure ที่เหมาะสมที่สุดที่มีการปรับใช้ Power BI อยู่ เมื่อกําหนดค่านี้แล้ว ข้อมูลลูกค้า Power BI ทั้งหมดจะถูกจัดเก็บไว้ในภูมิศาสตร์ Azure ที่เลือกนี้ (หรือที่เรียกว่าภูมิศาสตร์บ้าน) ยกเว้นกรณีที่องค์กรใช้ประโยชน์จากการปรับใช้ทางภูมิศาสตร์แบบหลายภูมิศาสตร์

Multiple geographies (multi-geo)

บางองค์กรมีสถานะส่วนกลาง และอาจต้องใช้บริการของ Power BI ในหลากหลายพื้นที่ของ Azure ตัวอย่างเช่น ธุรกิจอาจมีสํานักงานใหญ่ในสหรัฐอเมริกา แต่อาจยังธุรกิจในพื้นที่ทางภูมิศาสตร์อื่น ๆ เช่นออสเตรเลีย ในกรณีดังกล่าว ธุรกิจอาจต้องใช้ข้อมูล Power BI บางอย่างยังคงเก็บไว้ในภูมิภาคระยะไกลเพื่อให้เป็นไปตามข้อบังคับท้องถิ่น คุณลักษณะนี้ของบริการของ Power BIจะเรียกว่า multi-geo

เลเยอร์การเรียกใช้งานคิวรี แคชคิวรี และข้อมูลวัตถุที่ได้รับมอบหมายไปยังพื้นที่ใช้งานแบบหลายภูมิศาสตร์จะถูกโฮสต์และยังคงอยู่ในภูมิศาสตร์ Azure ความจุระยะไกล อย่างไรก็ตาม เมตาดาต้าวัตถุบางอย่าง เช่น โครงสร้างรายงานอาจยังคงอยู่ที่เหลือในหน้าแรกทางภูมิศาสตร์ของผู้เช่า นอกจากนี้ การส่งต่อข้อมูลและการประมวลผลบางอย่างอาจยังเกิดขึ้นในพื้นที่หน้าแรกของผู้เช่า แม้แต่พื้นที่่ที่โฮสต์อยู่ในความจุพื้นที่Premiumภูมิศาสตร์หลายภูมิศาสตร์

โปรดดูกําหนดค่าการสนับสนุน Multi-Geo Premium Power BI โปรดดูที่ ข้อมูลเพิ่มเติมเกี่ยวกับการสร้างและจัดการการปรับใช้ Power BI ที่ครอบคลุมหลายภูมิศาสตร์ Azure

ภูมิภาคและศูนย์ข้อมูล

บริการ Power BI มีให้ใช้งานเฉพาะใน Azure geographies ตามที่อธิบายไว้ในMicrosoft Trust Center โปรดดูที่ศูนย์ความเชื่อถือ Microsoftเพื่ออ่านข้อมูลเพิ่มเติมเกี่ยวกับที่เก็บข้อมูลของคุณและวิธีใช้ ข้อผูกมัดที่เกี่ยวข้องกับที่อยู่ของข้อมูลลูกค้าส่วนที่เหลือถูกระบุในเงื่อนไขการประมวลผลข้อมูลของMicrosoft ข้อกำหนดบริการออนไลน์

Microsoft ยังมีศูนย์ข้อมูลของเอนทิตี soversign สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความพร้อมใช้งานของบริการคลาวด์แห่งชาติ ดูบริการคลาวด์แห่งชาติของ Power BI

การจัดการข้อมูล

ส่วนนี้สรุปแนวทางปฏิบัติในการจัดการข้อมูล Power BI เมื่อพูดถึงการจัดเก็บ การประมวลผล และถ่ายโอนข้อมูลลูกค้า

ข้อมูลที่เหลือ

Power BI ใช้ทรัพยากรการจัดเก็บข้อมูลหลักสองประเภท:

• ที่จัดเก็บข้อมูล Azure
• ฐานข้อมูล SQL ของ Azure

ในสถานการณ์ส่วนใหญ่ Azure Storage จะใช้เพื่อคงข้อมูลของวัตถุ Power BI ขณะที่ฐานข้อมูล Azure SQL ถูกใช้เพื่อคงเมตาดาต้าของวัตถุ

ข้อมูลทั้งหมดที่ยังคงอยู่โดย Power BI จะถูกเข้ารหัสลับตามค่าเริ่มต้นโดยใช้คีย์ที่จัดการโดย Microsoft ข้อมูลลูกค้าที่จัดเก็บไว้ในฐานข้อมูล azure SQL ทั้งหมดถูกเข้ารหัสลับโดยใช้เทคโนโลยีการเข้ารหัสข้อมูลโปร่งใส (TDE)ของ Azure SQL ข้อมูลลูกค้าที่จัดเก็บไว้ในที่เก็บข้อมูล Azure Blob ถูกเข้ารหัสลับโดยใช้การเข้ารหัสลับเก็บข้อมูล Azure

อีกทางหนึ่งคือ องค์กรสามารถPremium Power BI เพื่อใช้คีย์ของตนเองเพื่อเข้ารหัสลับข้อมูลที่เหลือที่นําเข้าลงในชุดข้อมูล วิธีนี้จะอธิบายไว้มักจะเป็นการนำคีย์ของคุณมาใช้เอง(Bring Your Own Key, BYOK) การใช้ BYOK ช่วยให้มั่นใจว่าแม้ในกรณีที่เกิดข้อผิดพลาดของตัวแบ่งส่วนบริการ ข้อมูลของลูกค้าจะไม่ถูกเปิดเผย – ซึ่งไม่สามารถบรรลุผลได้อย่างง่ายดายโดยใช้การเข้ารหัสลับด้านบริการโปร่งใส โปรดดู Bring Your Own encryption keys for Power BI for more more

ชุดข้อมูล Power BI อนุญาตโหมดการเชื่อมต่อแหล่งข้อมูลที่หลากหลาย ซึ่งตรวจสอบว่าข้อมูลต้นฉบับจะยังคงอยู่ในบริการหรือไม่

โดยไม่ขึ้นอยู่กับโหมดชุดข้อมูลที่ใช้ Power BI อาจแคชข้อมูลที่มีการเรียกชั่วคราวเพื่อปรับปรุงคิวรีและประสิทธิภาพการโหลดรายงานให้เหมาะสม

ข้อมูลในการประมวลผล

ข้อมูลอยู่ในการประมวลผลเมื่อผู้ใช้อย่างน้อยหนึ่งรายใช้งานอยู่เป็นส่วนหนึ่งของสถานการณ์แบบโต้ตอบหรือเมื่อกระบวนการพื้นหลังเช่น การรีเฟรชสัมผัสข้อมูลนี้ Power BI โหลดข้อมูลที่ประมวลผลอย่างแข็งขันลงในพื้นที่หน่วยความจําของปริมาณงานบริการอย่างน้อยหนึ่งตัว เพื่ออสนับสนุนให้ฟังก์ชันการงานที่ต้องการโดยปริมาณงาน ข้อมูลที่ประมวลผลในหน่วยความจําไม่ได้รับการเข้ารหัสลับ

ข้อมูลในการส่งต่อ

Power BI ต้องมีการรับส่งข้อมูล HTTP ที่เข้ามาทั้งหมดเข้ารหัสลับโดยใช้ TLS 1.2 หรือสูงกว่า การร้องขอใดๆ ที่พยายามที่จะใช้บริการที่มี TLS 1.1 หรือต่กว่าจะถูกปฏิเสธ

การรับรองความถูกต้องไปยังแหล่งข้อมูล

เมื่อเชื่อมต่อกับแหล่งข้อมูล ผู้ใช้สามารถเลือกที่จะนําเข้าสําเนาของข้อมูลลงใน Power BI หรือเพื่อเชื่อมต่อโดยตรงกับแหล่งข้อมูล

ในกรณีของการนําเข้า ผู้ใช้สร้างการเชื่อมต่อที่ยึดตามการเข้าสู่ระบบของผู้ใช้ และเข้าถึงข้อมูลด้วยข้อมูลรับรอง หลังจากที่มีการเผยแพร่ชุดข้อมูลไปยังรายงาน Power BI บริการของ Power BIข้อมูลรับรองของผู้ใช้รายนี้ในการนําเข้าข้อมูลเสมอ เมื่อนําเข้าข้อมูลแล้ว ดูข้อมูลในรายงานและแดชบอร์ดไม่สามารถเข้าถึงแหล่งข้อมูลเริ่มต้นได้ Power BI สนับสนุนการรับรองความถูกต้องการลงชื่อเข้าระบบครั้งเดียวในแหล่งข้อมูลที่เลือก ถ้ามีการกําหนดค่าการเชื่อมต่อให้ใช้การลงชื่อเข้าระบบครั้งเดียว ข้อมูลรับรองของเจ้าของชุดข้อมูลจะถูกใช้เพื่อเชื่อมต่อกับแหล่งข้อมูล

ถ้าแหล่งข้อมูลเชื่อมต่อโดยตรงโดยใช้ข้อมูลรับรองที่กําหนดค่าไว้ล่วงหน้า ข้อมูลรับรองที่กําหนดค่าไว้ล่วงหน้าจะถูกใช้เพื่อเชื่อมต่อกับแหล่งข้อมูลเมื่อผู้ใช้ใดๆดูข้อมูล ถ้าแหล่งข้อมูลเชื่อมต่อโดยตรงโดยใช้การลงชื่อเข้าระบบครั้งเดียว ข้อมูลรับรองของผู้ใช้ปัจจุบันจะถูกใช้เพื่อเชื่อมต่อกับแหล่งข้อมูลเมื่อผู้ใช้ดูข้อมูล เมื่อใช้การลงชื่อเข้าระบบเพียงครั้งเดียว Row Level Security (RLS) และ/หรือ object-level security (OLS) สามารถถูกปรับใช้บนแหล่งข้อมูลได้ ซึ่งอนุญาตให้ผู้ใช้ดูเฉพาะข้อมูลที่พวกเขามีสิทธิ์เข้าถึงได้ เมื่อการเชื่อมต่อคือไปยังแหล่งข้อมูลในระบบคลาวด์ การรับรองความถูกต้อง Azure AD จะใช้เพื่อลงชื่อเข้าใช้ครั้งเดียว รองรับแหล่งข้อมูล on-prem, Kerberos, Security Assertion Markup Language (SAML) และ Azure AD

ถ้าแหล่งข้อมูลคือ Azure Analysis Services หรือ Analysis Services ภายในองค์กร และ RLS และ/หรือ OLS มีการกําหนดค่า บริการของ Power BI จะใช้ความปลอดภัยระดับแถวนั้นและผู้ใช้ที่มีข้อมูลรับรองไม่เพียงพอที่จะเข้าถึงข้อมูลอ้างอิง (ซึ่งอาจเป็นคิวรีที่ใช้ในแดชบอร์ด รายงาน หรือวัตถุข้อมูลอื่น ๆ) จะไม่เห็นข้อมูลที่พวกเขาไม่มีสิทธิ์เพียงพอ

Premiumคุณลักษณะ

สถาปัตยกรรมกระแสข้อมูล

กระแสข้อมูลช่วยให้ผู้ใช้สามารถกําหนดค่าการดําเนินการประมวลผลข้อมูลส่วนหลังซึ่งจะแยกข้อมูลจากแหล่งข้อมูลโพลีมอฟิก ดําเนินการตรรกะการแปลงกับข้อมูล และจากนั้นเข้าไปยังรูปแบบเป้าหมายเพื่อใช้งานข้ามเทคโนโลยีการนําเสนอรายงานต่าง ๆ ผู้ใช้ใดๆ ที่มีสมาชิก ผู้สนับสนุน หรือบทบาทผู้ดูแลระบบในพื้นที่งานอาจสร้างกระแสข้อมูล ผู้ใช้ในบทบาทผู้ชมอาจดูข้อมูลที่ประมวลผลโดยกระแสข้อมูล แต่อาจไม่เปลี่ยนแปลงส่วนประกอบของกระแสข้อมูล เมื่อสร้างกระแสข้อมูลแล้ว สมาชิก ผู้สนับสนุน หรือผู้ดูแลระบบของพื้นที่งานอาจจัดตารางเวลาการรีเฟรช ตลอดจนดูและแก้ไขกระแสข้อมูลโดยการเป็นเจ้าของกระแสข้อมูลนั้น

แต่ละแหล่งข้อมูลที่กําหนดค่าไว้จะผูกกับเทคโนโลยีไคลเอ็นต์เพื่อเข้าถึงแหล่งข้อมูลนั้น โครงสร้างของข้อมูลรับรองที่ต้องใช้ในการเข้าถึงมีรูปแบบเพื่อให้ตรงกับรายละเอียดการใช้งานที่ต้องใช้ของแหล่งข้อมูล ตรรกะการแปลงข้อมูลถูกPower Queryบริการเพิ่มเติมในขณะที่ข้อมูลอยู่ในเที่ยวบิน เพื่อกระแสข้อมูลพรีเมียม Power Queryบริการต่างๆ จะรันในโหนด Back-end ข้อมูลอาจถูกดึงโดยตรงจากแหล่งข้อมูลบนระบบคลาวด์หรือผ่านเกตเวย์ที่ติดตั้งภายในองค์กร เมื่อดึงโดยตรงจากแหล่งข้อมูลบนระบบคลาวด์ไปยังบริการหรือไปยังเกตเวย์ การขนส่งจะใช้วิธีการป้องกันเฉพาะกับเทคโนโลยีไคลเอ็นต์ หากมี เมื่อข้อมูลถูกถ่ายโอนจากเกตเวย์ไปยังบริการระบบคลาวด์ จะถูกเข้ารหัสลับ ดูข้อมูล ในส่วนการประมวลผล ด้านบน

เมื่อแหล่งข้อมูลที่ระบุของลูกค้าต้องการข้อมูลรับรองการเข้าถึง เจ้าของ/ผู้สร้างกระแสข้อมูลจะให้ข้อมูลดังกล่าวในระหว่างการเขียน ซึ่งจะถูกจัดเก็บโดยใช้ที่เก็บข้อมูลรับรองทั่วทั้งผลิตภัณฑ์มาตรฐาน ดู รับรองความถูกต้องไปยังแหล่งข้อมูล ส่วนด้านบน มีวิธีต่าง ๆ ที่ผู้ใช้อาจกําหนดค่าเพื่อปรับการคงอยู่ของข้อมูลและการเข้าถึงให้เหมาะสม ตามค่าเริ่มต้น ข้อมูลจะถูกวางในบัญชีเก็บข้อมูล Power BI ที่เป็นเจ้าของและได้รับการปกป้อง การเข้ารหัสลับที่เก็บข้อมูลถูกเปิดใช้งานบนคอนเทนเนอร์ที่เก็บข้อมูล Blob เพื่อปกป้องข้อมูลในขณะที่อยู่บนที่เหลือ ดูข้อมูล ที่ส่วน ที่เหลือด้านล่าง อย่างไรก็ตาม ผู้ใช้อาจกําหนดค่าบัญชีที่เก็บข้อมูลของตนเองที่เชื่อมโยงกับการสมัครใช้งาน Azure ของตนเอง เมื่อดําเนินการขั้นตอนบริการของ Power BIหลักจะได้รับอนุญาตให้เข้าถึงบัญชีเก็บข้อมูลนั้นเพื่อให้สามารถเขียนข้อมูลในระหว่างการรีเฟรชได้ ในกรณีนี้ เจ้าของทรัพยากรที่เก็บข้อมูลมีหน้าที่รับผิดชอบในการกําหนดค่าการเข้ารหัสบนบัญชีที่เก็บข้อมูล ADLS ที่กําหนดค่าไว้ ข้อมูลจะถูกส่งไปยังที่เก็บข้อมูล Blob เสมอโดยใช้การเข้ารหัสลับ

เนื่องจากประสิทธิภาพเมื่อเข้าถึงบัญชีเก็บข้อมูลอาจมีตัวเลือกย่อยย่อยในข้อมูลบางอย่าง ผู้ใช้จึงมีตัวเลือกเพื่อใช้กลไกการคํานวณที่เป็นโฮสต์ของ Power BI เพื่อเพิ่มประสิทธิภาพการคํานวณ ในกรณีนี้ ข้อมูลถูกเก็บไว้ในฐานข้อมูล SQL ที่พร้อมใช้ DirectQuery ผ่านทางการเข้าถึงโดยระบบ Power BI ส่วนหลัง ข้อมูลถูกเข้ารหัสลับในระบบไฟล์เสมอ ถ้าผู้ใช้มีคีย์ในการเข้ารหัสลับข้อมูลที่SQLในฐานข้อมูลของคุณ คีย์นั้นจะถูกใช้เพื่อเข้ารหัสลับทันที

เมื่อมีการคิวรีโดยใช้ DirectQuery จะใช้โพรโทคอล Transport แบบเข้ารหัส HTTPS เพื่อเข้าถึง API การใช้ DirectQuery รองหรือทางอ้อมทั้งหมดได้รับการควบคุมโดยการควบคุมการเข้าถึงแบบเดียวกับที่อธิบายไว้ก่อนหน้านี้ เนื่องจากกระแสข้อมูลถูกผูกไว้กับพื้นที่งานเสมอ การเข้าถึงข้อมูลจึงถูกประตูด้วยบทบาทของผู้ใช้ในพื้นที่งานนั้นเสมอ ผู้ใช้ต้องมีการเข้าถึงแบบอ่านเป็นอย่างน้อยเพื่อให้สามารถคิวรีข้อมูลด้วยวิธีใดก็ได้

เมื่อใช้ Power BI Desktop ในการเข้าถึงข้อมูลในกระแสข้อมูล จะต้องรับรองความถูกต้องของผู้ใช้โดยใช้ Azure AD ก่อนเพื่อตรวจสอบว่าผู้ใช้มีสิทธิ์เพียงพอในการดูข้อมูลหรือไม่ ถ้าเป็นดังนั้น มีการรับคีย์ SaS และใช้ในการเข้าถึงที่เก็บข้อมูลโดยตรงโดยใช้โพรโทคอล transport เข้ารหัสลับ HTTPS

การประมวลผลข้อมูลทั่วทั้งไปป์ไลน์ส่งOffice 365การตรวจสอบเหตุการณ์ กิจกรรมบางอย่างเหล่านี้จะเก็บความปลอดภัยและการดําเนินงานที่เกี่ยวข้องกับความเป็นส่วนตัว

รายงานที่มีการแบ่งหน้า

รายงานแบบแบ่งหน้าคือ รายงานที่ออกแบบมาเพื่อการพิมพ์หรือแชร์ ซึ่งเรียกว่า แบบแบ่งหน้า เนื่องจากมีการจัดรูปแบบให้พอดีกับหน้า โดยกำหนดให้แสดงข้อมูลทั้งหมดในตาราง แม้ว่าตารางนั้นต้องใช้พื้นที่หลายหน้า นอกจากนี้ยังก็เรียกว่า พิกเซลสมบูรณ์แบบ เพราะคุณสามารถควบคุมเค้าโครงหน้าของรายงานได้เต็มที่

รายงานที่มีการแบ่งหน้าสนับสนุนนิพจน์ที่หลากหลายและมีประสิทธิภาพที่เขียนใน Microsoft Visual Basic .NET นิพจน์ถูกใช้อย่างแพร่หลายผ่านรายงานที่มีการแบ่งหน้าของตัวสร้างรายงานใน Power BI เพื่อกู้คืน คำนวณ แสดงผล จัดกลุ่ม เรียงลำดับ กรอง กำหนดค่าพารามิเตอร์ และจัดรูปแบบข้อมูล

นิพจน์จะถูกสร้างขึ้นโดยผู้เขียนรายงานที่มีการเข้าถึงคุณลักษณะที่หลากหลายของ .NET framework การประมวลผลและการเรียกใช้งานรายงานที่มีการแบ่งหน้าจะอยู่ภายใน Sandbox

ข้อนิยามของรายงานที่มีการแบ่งหน้า (.rdl) จะถูกจัดเก็บใน Power BI และเพื่อเผยแพร่และ/หรือแสดงรายงานที่มีการแบ่งหน้า ผู้ใช้ต้องรับรองความถูกต้องและอนุญาตในลักษณะเดียวกับที่อธิบายไว้ในส่วน การรับรองความถูกต้องไปยัง ส่วน บริการของ Power BI ด้านบน

โทเค็น Azure AD ที่ได้รับในระหว่างการรับรองความถูกต้องถูกใช้เพื่อสื่อสารโดยตรงจากเบราว์เซอร์ไปยังคลัสเตอร์ Power BI Premiumคลัสเตอร์

ตัวอย่างเช่น Premium 1 Sandbox เดียวมีอยู่แล้วต่อความจุของผู้เช่าแต่ละแบบและแชร์โดยพื้นที่งานที่ได้รับการมอบหมายให้ความจุ

ตัวอย่างเช่น Premiumที่ 2 Sandbox ส่วนบุคคลและเฉพาะสเกคสร้างขึ้นเพื่อการแสดงผลของรายงานแต่ละอย่าง โดยให้การแยกระหว่างผู้ใช้ในระดับที่สูงขึ้น

รายงานแบบแบ่งหน้าสามารถเข้าถึงชุดข้อมูลกว้างซึ่งเป็นส่วนหนึ่งของการแสดงรายงาน Sandbox ไม่ได้สื่อสารโดยตรงกับแหล่งข้อมูลใด ๆ แต่สื่อสารกับกระบวนการร้องขอข้อมูลที่เชื่อถือได้แทน จากนั้นกระบวนการที่เชื่อถือได้จะผนวกข้อมูลรับรองที่ต้องใช้ในการเชื่อมต่อ ด้วยวิธีนี้ Sandbox จะไม่มีสิทธิ์เข้าถึงข้อมูลรับรองหรือข้อมูลลับใดๆ

เพื่อสนับสนุนคุณลักษณะ เช่น แผนที่Bingแผนที่ หรือการโทรฟังก์ชัน Azure Sandbox จะสามารถเข้าถึงอินเทอร์เน็ตได้

การวิเคราะห์แบบฝังตัวของ Power BI

ผู้พัฒนาซอฟต์แวร์อิสระ (ISVs) และผู้ให้บริการโซลูชันมีสองโหมดหลักในการฝังวัตถุ Power BI ในแอปพลิเคชันเว็บและ พอร์ทัลของพวกเขา: ฝังตัวเพื่อองค์กรของคุณ และฝังตัวไว้ให้ลูกค้าของคุณ วัตถุถูกฝังลงใน iframe ในแอปพลิเคชันหรือพอร์ทัล iframe ไม่ได้รับอนุญาตให้อ่านหรือเขียนข้อมูลจากแอปพลิเคชันเว็บภายนอกหรือพอร์ทัล และการสื่อสารกับ iframe จะเสร็จสิ้นโดยใช้ Power BI Client SDK โดยใช้ข้อความ POST

ในสถานการณ์ การฝังเพื่อองค์กรของคุณ ผู้ใช้ Azure AD จะเข้าถึงเนื้อหา Power BI ของตนเองผ่านพอร์ทัลที่ปรับแต่งโดยองค์กรและ ITs ของพวกเขา นโยบายและความสามารถของ Power BI ทั้งหมดที่อธิบายไว้เอกสารนี้ เช่น Row Level Security (RLS) และการรักษาความปลอดภัยระดับวัตถุ (OLS) จะถูกปรับใช้โดยอัตโนมัติกับผู้ใช้ทั้งหมดโดยอิสระจากว่าพวกเขาเข้าถึง Power BI ผ่านทางพอร์ทัล Power BI หรือผ่านทางพอร์ทัลแบบปรับแต่งเอง

ในสถานการณ์ การฝังหรับ ลูกค้าของคุณ ISVs มักเป็นเจ้าของผู้เช่า Power BI และวัตถุของ Power BI (แดชบอร์ด รายงาน ชุดข้อมูล และอื่น ๆ) เป็นความรับผิดชอบของบริการส่วนหลังของ ISV เพื่อรับรองความถูกต้องผู้ใช้ปลายทาง และตัดสินใจว่าวัตถุใดและระดับการเข้าถึงใดที่เหมาะสมกับผู้ใช้ปลายทาง ISV นโยบายการตัดสินใจถูกเข้ารหัสลับในโทเค็น แบบ ฝังที่สร้าง โดย Power BI และส่งผ่านไปยัง ISV back-end เพื่อแจกจ่ายเพิ่มเติมแก่ผู้ใช้ปลายทางตามตรรกะทางธุรกิจของ ISV ผู้ใช้ปลายทางที่ใช้เบราว์เซอร์หรือแอปพลิเคชันไคลเอ็นต์อื่น ๆ จะไม่สามารถถอดรหัสหรือแก้ไขโทเค็นที่ฝังได้ SDK ฝั่งไคลเอ็นต์ เช่น Power BI Client APIsผนวกโทเค็นที่ฝังตัวที่เข้ารหัสลับไปยังการร้องขอ Power BI เป็นการรับรองความถูกต้อง โดยอัตโนมัติ: ส่วนหัว EmbedToken ตามส่วนหัวนี้ Power BI จะบังคับใช้นโยบายทั้งหมด (เช่น การเข้าถึงหรือ RLS) อย่างเที่ยงตรงตามที่ระบุโดย ISV ในระหว่างการสร้าง

เมื่อต้องการเปิดใช้งานการฝังและระบบอัตโนมัติ และการสร้างโทเค็นแบบฝังที่อธิบายไว้ข้างต้น Power BI จะแสดงชุด REST APIที่หลากหลาย Power BI REST API เหล่านี้สนับสนุนทั้งวิธีการที่ผู้ใช้ มอบหมาย และบริการ หลัก Azure AD ของการรับรองความถูกต้องและการรับรองความถูกต้อง

การวิเคราะห์แบบฝังตัวของ Power BI และ REST API สนับสนุนความสามารถในการแยกเครือข่าย Power BI ทั้งหมดที่อธิบายไว้ในบทความนี้: เช่น แท็กบริการ และ ลิงก์ส่วนตัว

คุณลักษณะ AI

ในขณะนี้ Power BI สนับสนุนคุณลักษณะ AI สองประเภทที่มีอยู่ในผลิตภัณฑ์ปัจจุบัน: วิชวล AI และการเพิ่มประสิทธิภาพของ AI คุณลักษณะ AI ระดับวิชวลประกอบด้วยความสามารถ เช่น Key-Influencers, Decomposition-Tree, Smart-Narrative, Anomaly-Detection, R-visual, Python-visual, Clustering, Forecasting, Q&A, Quick-Insights เป็นต้น ความสามารถการเสริมสร้าง AI ประกอบด้วยความสามารถ เช่น AutoML, AzureML, CognitiveServices, การแปลง R/Python เป็นต้น

ฟีเจอร์ส่วนใหญ่ที่กล่าวถึงข้างต้นได้รับการสนับสนุนในทั้ง พื้นที่การPremium และ พื้นที่งานปัจจุบัน อย่างไรก็ตาม AutoML และ CognitiveServices ได้รับการสนับสนุนในพื้นที่Premiumของคุณเท่านั้นเนื่องจากข้อจํากัด IP วันนี้ ด้วยการรวม AutoML ใน Power BI ผู้ใช้สามารถสร้างและฝึกแบบจําลอง ML แบบกําหนดเอง (เช่น การคาดการณ์ การจําแนกประเภท การถดถอย ฯลฯ) และปรับใช้เพื่อรับการคาดการณ์ในขณะที่โหลดข้อมูลลงในกระแสข้อมูลที่กําหนดในพื้นที่Premiumของคุณ นอกจากนี้ ผู้ใช้ Power BI สามารถใช้ CognitiveServices API ได้หลายราย เช่น TextAnalytics และ ImageTagging เพื่อแปลงข้อมูลก่อนที่จะโหลดลงในกระแสข้อมูล/ชุดข้อมูลที่กําหนดPremiumพื้นที่Premiumงาน

คุณสมบัติPremiumการเสริมสร้าง AI ที่ดีที่สุดสามารถดูได้เป็นคอลเลกชันของฟังก์ชัน/การแปลง AI ที่ไม่มีสถานะซึ่งสามารถใช้โดยผู้ใช้ Power BI ในไปป์ไลน์การรวมข้อมูลที่ใช้โดยชุดข้อมูลหรือกระแสข้อมูล Power BI โปรดทราบว่าคุณยังสามารถเข้าถึงฟังก์ชันเหล่านี้ได้จากสภาพแวดล้อมการเขียนกระแสข้อมูล/ชุดข้อมูลปัจจุบันในบริการของ Power BI Power BI Desktopได้ ฟังก์ชัน AI/การแปลงเหล่านี้จะถูกเรียกใช้ในพื้นที่Premium/ความจุเสมอ ฟังก์ชันเหล่านี้จะถูกแสดงใน Power BI เป็นแหล่งข้อมูลที่ต้องใช้โทเค็น Azure AD ของผู้ใช้ Power BI ที่ใช้ฟังก์ชัน AI แหล่งข้อมูล AI เหล่านี้มีความพิเศษ เนื่องจากไม่ได้แสดงข้อมูลใด ๆ ของตัวเองและใส่เฉพาะฟังก์ชัน/การแปลงเหล่านี้เท่านั้น ในระหว่างการเรียกใช้คุณลักษณะเหล่านี้จะไม่เรียกใช้ขาออกใด ๆ ไปยังบริการอื่น ๆ เพื่อส่งข้อมูลของลูกค้า ลองมาดูสถานการณ์Premiumแต่ละสถานการณ์เพื่อเข้าใจรูปแบบการสื่อสารและรายละเอียดที่เกี่ยวข้องกับความปลอดภัยที่เกี่ยวข้อง

Power BI ใช้ Azure AutoML SDK และเรียกใช้การฝึกอบรมทั้งหมดในความจุ Power BI ของลูกค้า ในระหว่างการทดสอบการใช้งาน Power BI จะเรียกใช้บริการ AzureML รุ่นทดลองเพื่อเลือกแบบลองและพารามิเตอร์ไฮเพอร์ที่เหมาะสมในการเกิดขึ้นซ้ 365 ในปัจจุบัน ในการโทรขาออกนี้ เฉพาะเมตาดาต้าการทดลองที่เกี่ยวข้องเท่านั้น (เช่น ความแม่นยํา อัลกอริทึม ml พารามิเตอร์อัลกอริทึม ฯลฯ) จากส่งการซ้ําก่อนหน้า การฝึก AutoML สร้างแบบโมเดล ONNX และข้อมูลรายงานการฝึกอบรมที่จะถูกบันทึกในกระแสข้อมูล จากนั้นผู้ใช้ Power BI จะสามารถใช้รูปแบบ ML ที่ผ่านการฝึกอบรมเป็นการแปลงเพื่อปฏิบัติงานแบบโมเดล ML ตามตารางเวลา ใน API TextAnalytics และ ImageTagging Power BI ไม่เรียกใช้ API ของบริการ CognitiveServices โดยตรง แต่ใช้ SDK ภายในแทนเพื่อเรียกใช้ API ในความจุ Power BI Premium ปัจจุบัน API เหล่านี้ได้รับการสนับสนุนในทั้งกระแสข้อมูล Power BI และชุดข้อมูล ขณะเขียนชุดข้อมูลใน Power BI Desktop ผู้ใช้จะสามารถเข้าถึงฟังก์ชันนี้เท่านั้นถ้าพวกเขามีสิทธิ์เข้าถึงPremiumพื้นที่Premium Power BI ดังนั้นลูกค้าจะได้รับพร้อมท์ให้ป้อนข้อมูลรับรอง Azure AD ของตน

การแยกเครือข่าย

ส่วนนี้สรุปคุณลักษณะการรักษาความปลอดภัยขั้นสูงใน Power BI บางคุณลักษณะมีข้อต้องการสิทธิการใช้งานเฉพาะ ดูส่วนด้านล่างเพื่อดูรายละเอียด

แท็กบริการ

แท็กบริการแสดงถึงกลุ่มของส่วนต่อหน้าที่อยู่ IP จากบริการ Azure ที่ระบุ ซึ่งช่วยลดความซับซ้อนของการอัปเดตที่ใช้บ่อยไปยังกฎความปลอดภัยเครือข่าย ลูกค้าสามารถใช้แท็กบริการเพื่อกําหนดการควบคุมการเข้าถึงเครือข่าย บนกลุ่มความปลอดภัยเครือข่าย หรือ Azure Firewallได้ ลูกค้าสามารถใช้แท็กบริการโดยใช้ที่อยู่ IP เฉพาะเมื่อสร้างกฎความปลอดภัย โดยการระบุชื่อแท็กบริการ (เช่น PowerBI) ในเขตข้อมูลต้นทางหรือปลายทางที่เหมาะสม (เช่น API) ของกฎ ลูกค้าสามารถอนุญาตหรือปฏิเสธการรับส่งข้อมูลในบริการที่สอดคล้องกัน Microsoft จัดการรหัสนําหน้าที่อยู่ตามที่แท็กบริการครอบคลุม และอัปเดตแท็กบริการตามที่ที่อยู่เปลี่ยนแปลงโดยอัตโนมัติ

การรวมลิงก์ส่วนตัว

เครือข่าย Azure มีคุณลักษณะลิงก์ส่วนตัวของ Azure ที่ช่วยให้ Power BI สามารถเข้าถึงอย่างปลอดภัยผ่านจุดปลายทางส่วนตัวของเครือข่าย Azure ด้วยลิงก์ส่วนตัวของ Azure และจุดสิ้นสุดส่วนตัว ปริมาณการใช้งานข้อมูลจะถูกส่งแบบส่วนตัวโดยใช้โครงสร้างพื้นฐานเครือข่ายหลักๆของ Microsoft ดังนั้นข้อมูลจะไม่สรากอินเทอร์เน็ต

ลิงก์ส่วนตัวเพื่อให้แน่ใจว่าผู้ใช้ Power BI ใช้ backแกนเครือข่ายส่วนตัวของ Microsoft เมื่อไปยังแหล่งข้อมูลบริการของ Power BIเชื่อมต่อ

การใช้ลิงก์ส่วนตัวกับ Power BI มีประโยชน์ดังต่อไปนี้:

• ลิงก์ส่วนตัวช่วยให้มั่นใจได้ว่าปริมาณการใช้งานจะไหลผ่านแกน Azure ไปยังจุดปลายทางส่วนตัวเพื่อทรัพยากรบนระบบคลาวด์ของ Azure
• การแยกปริมาณการใช้งานเครือข่ายจากโครงสร้างพื้นฐานที่ไม่ใช่ Azure เช่น การเข้าถึงภายในองค์กร อาจต้องการให้ลูกค้ามี ExpressRoute หรือกําหนดค่าเครือข่ายส่วนตัวเสมือน (VPN)

ดู ลิงก์ส่วนตัว เพื่อเข้าถึง Power BI เพื่อดูข้อมูลเพิ่มเติม

การเชื่อมต่อ VNet (ตัวอย่าง - เร็วๆ นี้)

ในขณะที่คุณลักษณะการรวมลิงก์ส่วนตัวให้การเชื่อมต่อขาเข้าไปยัง Power BI ที่ปลอดภัย คุณลักษณะการเชื่อมต่อ VNet จะเปิดใช้งานการเชื่อมต่อขาออกที่ปลอดภัยจาก Power BI ไปยังแหล่งข้อมูลภายใน VNet

เกตเวย์ VNet (Microsoft-managed) จะขจัดค่าใช้จ่ายในการติดตั้งและการตรวจสอบเกตเวย์ข้อมูลภายในองค์กรเพื่อการเชื่อมต่อกับแหล่งข้อมูลที่เชื่อมโยงกับ VNet อย่างไรก็ตาม จะยังคงเป็นไปตามกระบวนการที่คุ้นเคยในการจัดการความปลอดภัยและแหล่งข้อมูล เช่นเดียวกับเกตเวย์ข้อมูลภายในองค์กร

ต่อไปนี้คือภาพรวมของสิ่งที่เกิดขึ้นเมื่อคุณโต้ตอบกับรายงาน Power BI ที่เชื่อมต่อกับแหล่งข้อมูลภายใน VNet โดยใช้เกตเวย์ VNet:

1. บริการระบบคลาวด์ของ Power BI (หรือหนึ่งในบริการคลาวด์อื่นๆ ที่สนับสนุน) เริ่มคิวรีและส่งคิวรี รายละเอียดแหล่งข้อมูล และข้อมูลรับรองไปยังบริการ Power Platform VNet (PP VNet)

2. จากนั้นบริการของ PP VNet จะใส่เข้าไปในคอนเทนเนอร์ที่เรียกใช้เกตเวย์ VNet ลงในเครือข่ายย่อยอย่างปลอดภัย ในตอนนี้คอนเทนเนอร์นี้สามารถเชื่อมต่อกับบริการข้อมูลซึ่งสามารถเข้าถึงได้จากภายในเครือข่ายย่อยนี้

3. จากนั้นบริการ PP VNet จะส่งคิวรี รายละเอียดแหล่งข้อมูล และข้อมูลรับรองไปยังเกตเวย์ VNet

4. เกตเวย์ VNet รับคิวรีและเชื่อมต่อกับแหล่งข้อมูลด้วยข้อมูลรับรองเหล่านั้น

5. จากนั้นคิวรีจะถูกส่งไปยังแหล่งข้อมูลเพื่อการปฏิบัติการ

6. หลังจากการดําเนินการ ผลลัพธ์จะถูกส่งไปยังเกตเวย์ VNet และบริการ PP VNet ผลักข้อมูลจากคอนเทนเนอร์ไปยังบริการคลาวด์ Power BI อย่างปลอดภัย

ฟีเจอร์นี้จะพร้อมใช้งานในการแสดงตัวอย่างแบบสาธารณะในเร็วๆ นี้

บริการหลัก

Power BI รองรับการใช้งานบริการหลัก จัดเก็บข้อมูลรับรองบริการหลักใด ๆ ที่ใช้เพื่อเข้ารหัสลับหรือเข้าถึง Power BI ใน Key Vault กําหนดนโยบายการเข้าถึงที่เหมาะสมให้กับชุดเก็บข้อมูลส่วนบุคคล และตรวจสอบสิทธิ์การเข้าถึงเป็นปกติ

ดูการPremiumพื้นที่งานและชุดข้อมูลโดยอัตโนมัติด้วยบริการหลักเพื่อดูรายละเอียดเพิ่มเติม

การป้องกันข้อมูลสูญหาย (DLP)

Microsoft 365ระดับความลับของคุณ

Power BI มีการรวมอย่างลึกซึ้งกับป้ายชื่อระดับความลับ การป้องกันข้อมูลของ Microsoft (MIP) ซึ่งช่วยให้องค์กรสามารถมีโซลูชันเดียวที่รวมไว้เพื่อการจัดการนโยบาย DLP การตรวจสอบและการปฏิบัติตามนโยบายทั่วทั้งชุดOfficeทั้งหมดได้

เมื่อมีการเปิดใช้งานป้ายชื่อระดับความลับใน Power BI:

• ข้อมูลที่ละเอียดอ่อน ทั้งใน บริการของ Power BI และใน Power BI Desktop สามารถจัดประเภทและติดป้ายชื่อได้โดยใช้ป้ายชื่อระดับความลับ การป้องกันข้อมูลของ Microsoft ที่คุ้นเคยOffice และใน Azure Purview
• นโยบายการกํากับดูแลสามารถบังคับใช้ได้ แม้ว่าเนื้อหา Power BI จะถูกส่งออกไปยังไฟล์ Excel, PowerPoint, PDF หรือ .pbix เพื่อช่วยให้แน่ใจว่าข้อมูลจะได้รับการป้องกันแม้ว่าข้อมูลจะออกจาก Power BI แล้ว
• ไฟล์ .pbix สามารถเข้ารหัสตามนโยบายป้ายชื่อ MIP เมื่อมีการใช้ป้ายชื่อ MIP กับไฟล์ .pbix ในเดสก์ท็อป เพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถแก้ไขไฟล์นี้
• เป็นเรื่องง่ายที่จะจัดประเภทและป้องกันไฟล์ .pbix เช่นเดียวกับไฟล์Excel Word PowerPointได้ ด้วยการคลิกเพียงแค่สองครั้ง ไฟล์หนึ่งสามารถติดแท็กตามระดับของระดับความลับ และเข้ารหัสลับเพิ่มเติมหากมีข้อมูลที่เป็นความลับทางธุรกิจ
• Excelเวิร์กบุ๊กจะรับป้ายชื่อระดับความลับโดยอัตโนมัติเมื่อเชื่อมต่อกับ Power BI (ตัวอย่าง) ซึ่งเป็นไปได้ที่จะรักษาการจัดประเภทแบบ end-to-end และปรับใช้การป้องกันเมื่อชุดข้อมูล Power BI ได้รับการวิเคราะห์Excelทันที
• คุณจะสามารถมองเห็นป้ายชื่อระดับความลับที่ใช้ในรายงาน Power BI และแดชบอร์ดได้ในแอป Power BI ระบบ iOS และ Android
• ป้ายชื่อระดับความลับจะยังคงอยู่เมื่อมีการฝังรายงาน Power BI Teams SharePoint หรือเว็บไซต์ที่ปลอดภัย (ตัวอย่าง) ซึ่งช่วยให้องค์กรต่างๆ รักษาการจัดประเภทและการป้องกันเมื่อส่งออกเมื่อฝังเนื้อหา Power BI
• การสืบทอดป้ายชื่อเมื่อสร้างเนื้อหาใหม่ใน บริการของ Power BI ช่วยให้แน่ใจว่าป้ายชื่อที่ใช้กับชุดข้อมูลใน บริการของ Power BI จะถูกปรับใช้กับเนื้อหาใหม่ที่สร้างขึ้นที่ด้านบนของชุดข้อมูล
• Power BI admin scan API สามารถแยกป้ายชื่อระดับความลับของวัตถุ Power BI เปิดใช้งานผู้ดูแลระบบ Power BI และ InfoSec เพื่อตรวจสอบการติดป้ายบริการของ Power BIและสร้างรายงานผู้บริหาร
• Power BI จะตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเปลี่ยนแปลงหรือลบป้ายชื่อที่มีการตั้งค่าการป้องกันบริการของ Power BIได้
• จะมาเร็ว ๆ นี้
  • ผู้ดูแลระบบ API ของ Power BI เพื่อใช้ป้ายชื่อ MIP เพื่อเปิดใช้งานทีมกลางสามารถติดป้ายชื่อเนื้อหาโดยทางโปรแกรมบริการของ Power BIผู้ดูแลระบบ
  • ผู้ดูแลระบบจะสามารถบังคับใช้ป้ายชื่อบนเนื้อหาใหม่หรือแก้ไขที่มีนโยบายป้ายชื่อแบบบังคับในข้อมูลบริการของ Power BI (ตัวอย่าง)
  • การติดป้ายชื่อวัตถุปลายทางโดยอัตโนมัติภายในบริการของ Power BIสตรีม เมื่อมีการใช้ป้ายชื่อบนชุดข้อมูลหรือเปลี่ยน ป้ายชื่อจะถูกใช้กับเนื้อหาปลายทางทั้งหมดที่เชื่อมต่อกับวัตถุนี้โดยอัตโนมัติ

ดู เอกสารประกอบป้ายการป้องกันข้อมูลของ Microsoftระดับความลับ ใน Power BIเพื่อดูรายละเอียดเพิ่มเติม

Microsoft Cloud App Security (MCAS) ของ Power BI

Microsoft Cloud App Securityเป็นหนึ่งในบริษัท Cloud Access Security Brokers ชั้นธุรกิจที่ชื่อว่าเป็นอันดับหนึ่งของตลาด Magic Quadrant ของ Gartner และ Cloud Access Security Broker (CASB) Cloud app security ถูกใช้เพื่อรักษาความปลอดภัยการใช้แอประบบคลาวด์ ซึ่งช่วยให้องค์กรต่างๆ สามารถตรวจสอบและควบคุมในแบบเรียลไทม์ เซสชัน Power BI ที่มีความเสี่ยง เช่น การเข้าถึงของผู้ใช้จากอุปกรณ์ที่ไม่มีการจัดการ ผู้ดูแลระบบความปลอดภัยสามารถกําหนดนโยบายเพื่อควบคุมการแอคชันของผู้ใช้ เช่น การดาวน์โหลดรายงานที่มีข้อมูลที่ละเอียดอ่อน

ด้วยCloud App Security องค์กรสามารถมีความสามารถ DLP ต่อไปนี้ได้:

• ตั้งค่าตัวควบคุมแบบเรียลไทม์เพื่อบังคับใช้เซสชันของผู้ใช้ที่มีความเสี่ยงใน Power BI ตัวอย่างเช่น ถ้าผู้ใช้เชื่อมต่อกับ Power BI จากภายนอกประเทศของพวกเขา เซสชันสามารถตรวจสอบโดยตัวควบคุมแบบเรียลไทม์ของ Cloud App Security และการทั้งหมดที่มีความเสี่ยง เช่น การดาวน์โหลดข้อมูลที่แท็กด้วยป้ายชื่อระดับความลับ "ความลับสูง" สามารถถูกบล็อกได้ทันที
• ตรวจสอบกิจกรรมของผู้ใช้ Power BI Cloud App Securityบันทึกกิจกรรมของผู้ใช้งาน บันทึกCloud App Securityกิจกรรมสุดท้ายจะมีกิจกรรม Power BI ที่บันทึกในบันทึกการตรวจสอบ Office 365 ซึ่งประกอบด้วยข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้และผู้ดูแลระบบทั้งหมด ตลอดจนข้อมูลป้ายชื่อระดับความลับของกิจกรรมที่เกี่ยวข้อง เช่น การมีผลใช้ การเปลี่ยนแปลง และการลบป้ายชื่อ ผู้ดูแลระบบสามารถใช้ประโยชน์จากตัวกรองCloud App Securityขั้นสูงของการขั้นสูงและการรักษาความปลอดภัยด่วนเพื่อการตรวจสอบปัญหาที่มีประสิทธิภาพ
• สร้างนโยบายแบบปรับแต่งเพื่อแจ้งเตือนเกี่ยวกับกิจกรรมของผู้ใช้ที่น่าสงสัยใน Power BI Cloud App Securityกิจกรรมของ Cloud App Security สามารถใช้ประโยชน์เพื่อกําหนดกฎแบบกําหนดเองของคุณเอง เพื่อช่วยให้คุณตรวจหาลักษณะการงานของผู้ใช้ที่เบี่ยงเบนจากบรรทัดฐานและอาจใช้ประโยชน์จากกฎดังกล่าวโดยอัตโนมัติถ้าดูเหมือนว่าเป็นอันตรายเกินไป
• การCloud App Securityความผิดปกติภายในของแอป Cloud App Securityการตรวจหาความผิดปกติของผู้ใช้ให้การวิเคราะห์พฤติกรรมของผู้ใช้และการเรียนรู้ของเครื่องแบบนอกกล่องเพื่อให้คุณพร้อมตั้งแต่เริ่มแรกเพื่อเรียกใช้การตรวจหาภัยคุกคามขั้นสูงในสภาพแวดล้อมระบบคลาวด์ของคุณ เมื่อนโยบายการตรวจจับความผิดปกติระบุพฤติกรรมที่น่าสงสัย จะทริกเกอร์การแจ้งเตือนความปลอดภัย
• บทบาทผู้ดูแลระบบ Power BI ในCloud App Securityพอร์ทัล Cloud App Security มีบทบาทผู้ดูแลระบบเฉพาะแอปที่สามารถใช้เพื่ออนุญาตให้ผู้ดูแลระบบ Power BI อนุญาตเฉพาะสิทธิ์ที่พวกเขาต้องการเพื่อเข้าถึงข้อมูลที่เกี่ยวข้องกับ Power BI ในพอร์ทัล เช่น การแจ้งเตือน ผู้ใช้ที่มีความเสี่ยง บันทึกกิจกรรม และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับ Power BI

ดูการใช้ Microsoft Cloud App Securityควบคุมการเชื่อมต่อใน Power BIดูรายละเอียดเพิ่มเติม

แสดงตัวอย่างคุณลักษณะการรักษาความปลอดภัย

หัวข้อนี้แสดงรายการคุณลักษณะที่มีแผนที่จะเผยแพร่ถึงมีนาคม 2021 เนื่องจากหัวข้อนี้แสดงรายการคุณลักษณะที่อาจยังไม่ได้รับการเผยแพร่ ไทม์ไลน์การจัดส่งอาจเปลี่ยนแปลงและฟังก์ชันการฟังก์ชันที่ประมาณการไว้อาจเผยแพร่ช้ากว่าเดือนมีนาคม 2021 หรืออาจไม่มีการเผยแพร่เลย โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการแสดงตัวอย่าง ข้อกำหนดบริการออนไลน์

สร้างการวิเคราะห์รายการบันทึกของคุณเอง (BYOLA)

การผสานรวม Log Analytics ของคุณเองช่วยให้สามารถรวมระหว่าง Power BI และ Azure Log Analytics ได้ การรวมนี้รวมไปถึงกลไกการวิเคราะห์ขั้นสูงของ Azure Log Analytics ภาษาคิวรีแบบโต้ตอบ และโครงสร้างการเรียนรู้ของเครื่องในตัว

คําถามและคําตอบด้านความปลอดภัยของ Power BI

คำถามต่อไปนี้คือ คำถามของการรักษาความปลอดภัยทั่วไปและคำตอบสำหรับ Power BI ต่อไปนี้จะถูกจัดระเบียบตามเมื่อพวกเขาจะถูกเพิ่มลงในเอกสารนี้, เพื่ออวยความสะดวกของคุณความสามารถในการค้นหาและคําตอบคําถามใหม่เมื่อมีการปรับปรุงเอกสารนี้ คำถามใหม่ล่าสุดจะถูกเพิ่มไปจุดสิ้นสุดของรายการนี้

วิธีทำผู้ใช้เชื่อมต่อกับและเข้าถึงแหล่งข้อมูลขณะที่ใช้ Power BI หรือไม่

• Power BI จัดการข้อมูลรับรองไปยังแหล่งข้อมูลของผู้ใช้แต่ละรายตามข้อมูลรับรองระบบคลาวด์ หรือเพื่อการเชื่อมต่อผ่านเกตเวย์ส่วนบุคคล แหล่งข้อมูลที่จัดการโดยเกตเวย์ข้อมูลภายในองค์กรสามารถใช้ร่วมกันทั่วทั้งองค์กรและสิทธิ์ไปยังแหล่งข้อมูลเหล่านี้สามารถจัดการได้โดยผู้ดูแลระบบเกตเวย์ เมื่อกําหนดค่าชุดข้อมูล ผู้ใช้จะสามารถเลือกข้อมูลรับรองจากที่เก็บส่วนบุคคลของพวกเขา หรือใช้เกตเวย์ข้อมูลภายในองค์กรเพื่อใช้ข้อมูลรับรองที่ใช้ร่วมกัน

  ในกรณีการนําเข้า ผู้ใช้สร้างการเชื่อมต่อที่ยึดตามการเข้าสู่ระบบของผู้ใช้และเข้าถึงข้อมูลด้วยข้อมูลรับรอง หลังจากที่มีการเผยแพร่ชุดข้อมูลไปยังบริการของ Power BI Power BI จะใช้ข้อมูลรับรองของผู้ใช้รายนี้ในการนําเข้าข้อมูลเสมอ เมื่อนําเข้าข้อมูลแล้ว ดูข้อมูลในรายงานและแดชบอร์ดไม่สามารถเข้าถึงแหล่งข้อมูลเริ่มต้นได้ Power BI สนับสนุนการรับรองความถูกต้องการลงชื่อเข้าระบบครั้งเดียวในแหล่งข้อมูลที่เลือก ถ้ามีการกําหนดค่าการเชื่อมต่อให้ใช้การลงชื่อเข้าระบบครั้งเดียว ข้อมูลรับรองของเจ้าของชุดข้อมูลจะถูกใช้เพื่อเชื่อมต่อกับแหล่งข้อมูล

  รายงานที่เชื่อมต่อกับ DirectQuery แหล่งข้อมูลเชื่อมต่อโดยตรงโดยใช้ข้อมูลรับรองที่กําหนดค่าไว้ล่วงหน้า ข้อมูลรับรองที่กําหนดค่าไว้ล่วงหน้าจะถูกใช้เพื่อเชื่อมต่อกับแหล่งข้อมูลเมื่อผู้ใช้ใดๆดูข้อมูล ถ้าแหล่งข้อมูลเชื่อมต่อโดยตรงโดยใช้การลงชื่อเข้าระบบครั้งเดียว ข้อมูลรับรองของผู้ใช้ปัจจุบันจะถูกใช้เพื่อเชื่อมต่อกับแหล่งข้อมูลเมื่อผู้ใช้ดูข้อมูล เมื่อใช้การลงชื่อเข้าระบบเพียงครั้งเดียว Row Level Security (RLS) และ/หรือ object-level security (OLS) สามารถใช้กับแหล่งข้อมูลได้ และอนุญาตให้ผู้ใช้สามารถดูข้อมูลที่พวกเขามีสิทธิ์ในการเข้าถึงได้ เมื่อการเชื่อมต่อไปยังแหล่งข้อมูลในระบบคลาวด์ การรับรองความถูกต้องของ Azure AD จะใช้เพื่อลงชื่อเข้าระบบครั้งเดียว รองรับแหล่งข้อมูล on-prem, Kerberos, SAML และ Azure AD

  เมื่อเชื่อมต่อกับ Kerberos UPN ของผู้ใช้จะถูกส่งผ่านไปยังเกตเวย์ และการใช้การมอบหมายที่มีข้อกํากับของ Kerberos ผู้ใช้จะถูกเลียนแบบและเชื่อมต่อกับแหล่งข้อมูลที่เกี่ยวข้อง SAML ยังได้รับการสนับสนุนบนเกตเวย์SAP Hanaในแหล่งข้อมูล ข้อมูลเพิ่มเติมจะพร้อมใช้งานในภาพรวมของการลงชื่อเข้าใช้ครั้งเดียวบนเกตเวย์

  ถ้าแหล่งข้อมูลคือ Azure Analysis Services หรือ Analysis Services ภายในองค์กร Analysis Services และการรักษาความปลอดภัยระดับแถว (RLS) และ/หรือมีการกําหนดค่าความปลอดภัยระดับวัตถุ (OLS) บริการของ Power BI จะใช้การรักษาความปลอดภัยระดับแถวนั้น และผู้ใช้ที่มีข้อมูลรับรองไม่เพียงพอเพื่อเข้าถึงข้อมูลอ้างอิง (ซึ่งอาจเป็นคิวรีที่ใช้ในแดชบอร์ด รายงาน หรือวัตถุอื่นๆ ของข้อมูล) จะไม่เห็นข้อมูลที่ผู้ใช้ไม่มีสิทธิ์เพียงพอ

  การรักษาความปลอดภัยระดับแถวด้วย Power BI สามารถใช้เพื่อจํากัดการเข้าถึงข้อมูลให้ผู้ใช้ได้ ตัวกรองจํากัดการเข้าถึงข้อมูลในระดับแถว และคุณสามารถกําหนดตัวกรองภายในบทบาทได้

  การรักษาความปลอดภัยระดับวัตถุ (OLS) สามารถใช้เพื่อรักษาความปลอดภัยตารางหรือคอลัมน์ที่อ่อนไหว อย่างไรก็ตาม การรักษาความปลอดภัยระดับวัตถุยังรักษาความปลอดภัยของวัตถุและเมตาดาต้าซึ่งแตกต่างจากการรักษาความปลอดภัยระดับแถว ซึ่งจะช่วยป้องกันไม่ให้ผู้ใช้ที่เป็นอันตรายค้นพบการมีอยู่ของวัตถุดังกล่าว ตารางและคอลัมน์ที่ปลอดภัยจะถูกบดบังอยู่ในรายการเขตข้อมูลเมื่อใช้เครื่องมือรายงาน เช่น Excel หรือ Power BI และนอกจากนี้ผู้ใช้ที่ไม่มีสิทธิ์ไม่สามารถเข้าถึงวัตถุเมตาดาต้าที่ปลอดภัยผ่านทาง DAX หรือวิธีอื่น ๆ ได้ จากจุดยืนของผู้ใช้ที่ไม่มีสิทธิ์การเข้าถึงที่เหมาะสม ตารางและคอลัมน์ที่ปลอดภัยจะไม่มีอยู่

  การรักษาความปลอดภัยระดับวัตถุพร้อมกับการรักษาความปลอดภัยระดับแถวช่วยให้การรักษาความปลอดภัยระดับองค์กรขั้นสูงในรายงานและชุดข้อมูลเพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่มีสิทธิ์ในการตรวจสอบสิทธิ์ที่ต้องมีเท่านั้นที่สามารถเข้าถึงเพื่อดูและโต้ตอบกับข้อมูลที่ละเอียดอ่อน

ข้อมูลถูกโอนไปยัง Power BIได้อย่างไร

• ข้อมูลทั้งหมดที่ร้องขอ และถูกส่ง โดย Power BI ถูกเข้ารหัสลับในการส่งต่อโดยใช้ HTTPS (ยกเว้นเมื่อแหล่งข้อมูลที่เลือก โดยลูกค้าไม่สนับสนุน HTTPS) เพื่อเชื่อมต่อจากแหล่งข้อมูลไปยังบริการของ Power BIนั้น สร้างการเชื่อมต่อความปลอดภัยกับผู้ให้บริการข้อมูล และเท่านั้นเมื่อสร้างการเชื่อมต่อนั้น จะข้อมูลข้ามเครือข่าย

Power BI แคชรายงาน แดชบอร์ด หรือแบบจำลองข้อมูลได้อย่างไรและมีความปลอดภัยหรือไม่

• เมื่อมีการเข้าถึงแหล่งข้อมูล ผู้ใช้บริการของ Power BIให้เป็นไปตามกระบวนการอธิบายไว้ในส่วน รับรองความถูกต้อง ไปยังแหล่งข้อมูลก่อนหน้านี้ในเอกสารนี้

ไคลเอ็นต์แคชข้อมูลเว็บเพจภายในเครื่องหรือไม่

• เมื่อไคลเอ็นต์เบราว์เซอร์เข้าถึง Power BI เซิร์ฟเวอร์เว็บ Power BI ตั้งค่า ควบคุมแค เรกทีฟเพื่อ store ไม่ การ store ไม่ ข้อแนะนำเบราว์เซอร์ไม่ สามารถแคหน้าเว็บที่กำลังดู โดยผู้ใช้ และไม่เก็บหน้าเว็บในโฟลเดอร์แคของไคลเอ็นต์

อย่างไรตามบทบาทความปลอดภัย การแชร์รายงาน หรือแดชบอร์ด และข้อมูลการเชื่อมต่อ มีวิธีการอย่างไรในเงื่อนไขของการเข้าถึงข้อมูล การดูแดชบอร์ด การเข้าถึงรายงานหรือรีเฟรช

• สำหรับ ไม่ใช่ - บทบาทระดับความปลอดภัย RLS แหล่งข้อมูลที่เปิดใช้งาน ถ้าแดชบอร์ด รายงาน หรือแบบจำลองข้อมูลที่ใช้ร่วมกันกับผู้ใช้อื่นผ่านทาง Power BI ข้อมูลจะพร้อมใช้งานสำหรับผู้ใช้จะถูกแชร์ดู และโต้ตอบกับแล้ว Power BI ไม่ การรับรองความถูกต้องผู้ใช้กับแหล่งข้อมูลต้นฉบับ เมื่อข้อมูลถูกอัปโหลดลงใน Power BI ผู้ใช้ที่รับรองความถูกต้องกับแหล่งข้อมูลรับผิดชอบสำหรับการจัดการซึ่งผู้ใช้และกลุ่มอื่น ๆ คุณสามารถดู ข้อมูล

  เมื่อเชื่อมต่อข้อมูลใน RLS-แหล่งข้อมูลสามารถ เช่นแหล่งข้อมูล Analysis Services แดชบอร์ดเฉพาะข้อมูลจะถูกเก็บไว้ใน Power BI แต่ละครั้งรายงาน หรือชุดข้อมูลจะดู หรือเข้าถึงใน Power BI ที่ใช้ข้อมูลจากแหล่งข้อมูลสามารถใช้งาน RLS บริการของ Power BI เข้าถึงแหล่งข้อมูลเพื่อรับข้อมูลที่ยึดตามข้อมูลประจำตัวของผู้ใช้ และถ้ามีสิทธิ์เพียงพอ ข้อมูลถูกโหลดลงในตัว รายงานหรือข้อมูลแบบจำลองสำหรับผู้ใช้ ถ้าการรับรองความถูกต้องล้มเหลว ผู้ใช้จะเห็นข้อผิดพลาด

  ดูรับรองความถูกต้อง ไปยังแหล่งข้อมูลส่วน ก่อนหน้าในเอกสารนี้

ผู้ใช้ของเราเชื่อมต่อกับแหล่งข้อมูลเดียวกันตลอดเวลา บางส่วนที่ต้องใช้ข้อมูลรับรองที่แตกต่างจากข้อมูลรับรองโดเมนของพวกเขา วิธีสามารถพวกเขาหลีกเลี่ยงไม่ต้องป้อนข้อมูลรับรองเหล่านี้แต่ละครั้งที่พวกเขาสร้างการเชื่อมต่อข้อมูลหรือไม่

• Power BI ข้อเสนอการPower BI Personal Gatewayซึ่งเป็นคุณลักษณะที่ช่วยให้ผู้ใช้สร้างข้อมูลประจำตัวสำหรับแหล่งข้อมูลต่าง ๆ หลาย จาก นั้นใช้ข้อมูลประจำตัวเหล่านั้นโดยอัตโนมัติเมื่อเข้าถึงแต่ละข้อมูลเหล่านั้นในภายหลัง แหล่งข้อมูล สำหรับข้อมูลเพิ่มเติม ดูPower BI Personal Gateway

พอร์ตใดที่ใช้โดยเกตเวย์ข้อมูลภายในองค์กรและเกตเวย์ส่วนบุคคล มีชื่อโดเมนใดๆ ที่ต้องใช้เพื่อวัตถุประสงค์ในการเชื่อมต่อหรือไม่

• คําตอบของคําถามนี้อย่างละเอียดอยู่ในลิ้งค์ต่อไปนี้: พอร์ตเกตเวย์

เมื่อใช้งานกับเกตเวย์ข้อมูลภายในองค์กร วิธีคีย์การกู้คืนที่ใช้ และที่จะเก็บหรือไม่ ต้องเป็นอย่างไรกับการจัดการข้อมูลรับรองความปลอดภัย?

• ในระหว่างการติดตั้งเกตเวย์และกำหนดค่า ผู้ดูแลชนิดในเกตเวย์ คีย์การกู้คืน คีย์ การกู้คืน ถูกใช้เพื่อสร้างคีย์สมมาตร AES ที่แข็งแรง คีย์RSA asymmetricจะถูกสร้างขึ้นในเวลาเดียวกัน

  ผู้สร้างคีย์ (RSA และ AES) จะถูกจัดเก็บในไฟล์ที่อยู่บนเครื่อง ยังมีการเข้ารหัสลับไฟล์นั้น เนื้อหาของไฟล์สามารถเท่านั้นสามารถถอดรหัสลับ โดยเครื่อง Windows ที่เฉพาะเจาะจง และเท่านั้นที่บัญชีบริการเกตเวย์เฉพาะ

  เมื่อผู้ใช้ใส่ข้อมูลประจำตัวของแหล่งข้อมูลในบริการ Power BI UI ข้อมูลประจำตัวถูกเข้ารหัสลับกับคีย์สาธารณะในเบราว์เซอร์ เกตเวย์ถอดรหัสข้อมูลรับรองโดยใช้คีย์ส่วนตัวของ RSA และเข้ารหัสลับใหม่ด้วยคีย์สมมาตร AES ก่อนข้อมูลจะถูกจัดเก็บบริการของ Power BIดังกล่าว ด้วยกระบวนการนี้ บริการของ Power BI ไม่มีสิทธิ์เข้าถึงข้อมูลเข้ารหัสลับ

โพรโทคอลติดต่อสื่อสารที่จะใช้ โดยเกตเวย์ข้อมูลภายในองค์กร และวิธีที่ปลอดภัยหรือไม่

• เกตเวย์สนับสนุนโพรโทคอลที่ติดต่อสื่อสารสองทางต่อไปนี้:

  • AMQP 1.0 – TCP + TLS: โพรโทคอลนี้ต้องใช้พอร์ต 443, 5671-5672 และ 9350-9354 ต้องเปิดการติดต่อสื่อสารขาออก โพรโทคอลนี้เป็นสิ่งจำเป็น เนื่องจากมีค่าใช้จ่ายการติดต่อสื่อสารน้อยกว่า

  • HTTPS – WebSockets over HTTPS + TLS: โพรโทคอลนี้ใช้พอร์ต 443 เท่านั้น WebSocket ที่เริ่มต้นข้อความการเชื่อมต่อ HTTP เดียว เมื่อช่องสำเร็จ สื่อสารได้โดยหลัก ๆ แล้ว TCP + TLS คุณสามารถบังคับให้เกตเวย์เพื่อใช้โพรโทคอลนี้ โดยการปรับเปลี่ยนการตั้งค่าที่อธิบายไว้ ในการบทความเกตเวย์ภายในองค์กรได้

บทบาทของ CDN Azure ใน Power BI คืออะไร

• Power BI ใช้Azure Content Delivery Network (CDN) เพื่อแจกจ่ายเนื้อหาแบบคงที่ที่จำเป็นได้อย่างมีประสิทธิภาพและบันทึกเป็นไฟล์ในตัวผู้ใช้โดยยึดตามตำแหน่งที่ตั้งทางภูมิศาสตร์ เมื่อต้องไปลงในรายละเอียดเพิ่มเติม บริการของ Power BI ใช้หลายCDNsการแจกจ่ายเนื้อหาแบบคงจำเป็นและไฟล์ไปยังผู้ใช้ผ่านอินเทอร์เน็ตสาธารณะได้อย่างมีประสิทธิภาพ ไฟล์คงที่เหล่านี้รวมถึงไฟล์ดาวน์โหลดผลิตภัณฑ์ (เช่น Power BI Desktopเกตเวย์ข้อมูลภายในองค์กร หรือ ชุดเนื้อหา Power BI จากผู้ให้บริการอิสระต่าง ๆ) ไฟล์การกำหนดค่าเบราว์เซอร์ที่ใช้เพื่อเริ่มต้นและสร้างการเชื่อมต่อใด ๆ ในเวลาต่อมาด้วย Power BI ตลอดจนการรักษาความปลอดภัยเริ่มต้นสำหรับหน้าเข้าสู่ระบบของ Power BI – ข้อมูลประจำตัวแท้จริงจะส่งผ่าน ExpressRoute

  ยึดตามข้อมูลที่มีอยู่ในระหว่างการเชื่อมต่อเริ่มต้นไปยังบริการ Power BI เบราว์เซอร์ของผู้ใช้ที่ติดต่อ Azure CDN ที่เฉพาะ (หรือสำหรับไฟล์บางไฟล์ WFE ) เพื่อดาวน์โหลดคอลเลกชันของ ไฟล์ทั่วไปที่เฉพาะซึ่งจำเป็นต้องเปิดใช้งานการโต้ตอบของเบราว์เซอร์กับบริการ Power BI หน้าเบราว์เซอร์แล้วมีโทเค็น Azure AD ข้อมูลเซสชัน ที่ตั้งของคลัสเตอร์ back-end ที่เกี่ยวข้องและการรวบรวมของไฟล์ที่ดาวน์โหลดจากคลัสเตอร์ WFE และ Azure CDN ระยะเวลาของการรวบรวมของเบราว์เซอร์ บริการของ Power BI

เพื่อการแสดงผลด้วยภาพของ Power BI Microsoft จะตรวจสอบความปลอดภัยหรือการประเมินความเป็นส่วนตัวของรหัสวิชวลแบบปรับแต่งเองก่อนที่จะเผยแพร่รายการแกลเลอรีหรือไม่

• หมายเลข ความรับผิดชอบของลูกค้าเพื่อตรวจสอบและกำหนดว่าควรจะควรใช้รหัสภาพที่กำหนดเองหรือไม่ โค้ดภาพแบบกำหนดเองทั้งหมดที่ให้บริการในสภาพแวดล้อมแบบ sandbox เพื่อให้รหัสผิดพลาดใด ๆ ในวิชวลแบบกำหนดเองไม่ส่งผลกระทบต่อส่วนเหลือของบริการ Power BI

มีวิชวล Power BI อื่นๆที่ส่งข้อมูลภายนอกเครือข่ายของลูกค้า

• มี Bing Maps และภาพ ESRI ส่งข้อมูลออกจากบริการ Power BI สำหรับวิชวลที่ใช้บริการเหล่านั้น

หากใช้แอปเทมเพลต Microsoft จะรักษาความปลอดภัยหรือการประเมินความเป็นส่วนตัวของแอปเทมเพลตก่อนที่จะเผยแพร่รายการแกลเลอรีหรือไม่

• หมายเลข ผู้เผยแพร่แอปต้องรับผิดชอบต่อเนื้อหาในขณะที่เป็นความรับผิดชอบของลูกค้าในการตรวจสอบและตัดสินใจว่าจะเชื่อถือผู้เผยแพร่แอปเทมเพลตหรือไม่

มีแอปเทมเพลตอื่นๆ ที่ส่งข้อมูลภายนอกเครือข่ายของลูกค้าหรือไม่

• มี ถือเป็นความรับผิดชอบของลูกค้าในตรวจสอบนโยบายความเป็นส่วนตัวของผู้เผยแพร่ และเพื่อพิจารณาว่าจะติดตั้งแอปเทมเพลตบนผู้เช่าหรือไม่ ผู้เผยแพร่มีหน้าที่รับผิดชอบในการแจ้งให้ลูกค้าทราบเกี่ยวกับพฤติกรรมและความสามารถของแอป

อย่างไรเกี่ยวกับอธิปไตยข้อมูล เราสามารถเตรียมใช้ผู้เช่าในศูนย์ข้อมูลที่อยู่ในพื้นที่เฉพาะ เพื่อให้แน่ใจว่า ข้อมูลไม่ออกจากเส้นขอบประเทศหรือไม่

• ลูกค้าบางรายในบางภูมิภาคมีตัวเลือกในการสร้างผู้เช่าในระบบคลาวด์แห่งชาติ ที่เก็บข้อมูลและการประมวลผลเก็บไว้แยกต่างหากจากศูนย์ข้อมูลอื่น ๆ ทั้งหมด บริการคลาวด์แห่งชาติมีความปลอดภัย ชนิดที่แตกต่างกันเล็กน้อยเนื่องจากข้อมูลที่แยกต่างหากผู้ที่ทำงานบริการ Power BI ของระบบคลาวด์แห่งชาติในนามของ Microsoft

  อีกวิธีหนึ่งคือ ลูกค้ายังสามารถตั้งค่าผู้เช่าในภูมิภาคที่เฉพาะเจาะจง อย่างไรก็ตาม ผู้เช่าดังกล่าวไม่มีผู้ดูแลข้อมูลที่แยกต่างหากจาก Microsoft ราคาสำหรับบริการคลาวด์แห่งชาติจะแตกต่างจากบริการ Power BI เชิงพาณิชย์พร้อมใช้งานโดยทั่วไปแล้ว สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความพร้อมใช้งานของบริการคลาวด์แห่งชาติ ดูบริการคลาวด์แห่งชาติของ Power BI

Microsoft ปฏิบัติต่อการเชื่อมต่ออย่างไรกับลูกค้าที่มีการสมัครใช้งาน Power BI Premium มีการเชื่อมต่อเหล่านั้นแตกต่างจากที่สร้างไว้Premium บริการของ Power BIหรือไม่

• การเชื่อมต่อที่ถูกสร้างขึ้นเพื่อลูกค้ากับ Power BI Premium ใช้การสมัครใช้งานแอ Azure เพื่อธุรกิจ(B2B)กระบวนการอนุญาต ใช้ Azure AD เพื่อเปิดใช้งานการตรวจสอบและควบคุมการเข้าถึง Power BI จัดการการเชื่อมต่อจาก Power BI Premium สมาชิกไปยังแหล่งข้อมูล Power BI Premium เหมือนกับผู้ใช้ Azure AD อื่น ๆ

แหล่งทรัพยากรเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Power BI โปรดดูทรัพยากรต่อไปนี้

• เริ่มต้นใช้งาน Power BI Desktop
• ภาพรวมของ Power BI REST API
• การอ้างอิง power BI API
• On-premises data gateway (เกตเวย์ข้อมูลภายในองค์กร)
• บริการคลาวด์แห่งชาติของ Power BI
• Power BI Premium
• ภาพรวมของการลงชื่อเข้าใช้ครั้งเดียว (SSO) สำหรับเกตเวย์ใน Power BI