Power BI güvenlik teknik incelemesi

  • Makale

Özet: Power BI, Microsoft tarafından sunulan ve self servis İş Zekası panoları, raporları, anlam modelleri (önceki adıyla veri kümeleri) ve görselleştirmeleri kolayca ve hızlı bir şekilde oluşturmanıza olanak tanıyan bir çevrimiçi yazılım hizmeti (SaaS veya Hizmet Olarak Yazılım) teklifidir. Power BI ile birçok farklı veri kaynağına bağlanabilir, bu bağlantılardan verileri birleştirebilir ve şekillendirebilir, ardından başkalarıyla paylaşılabilen raporlar ve panolar oluşturabilirsiniz.

Yazarlar: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Bogdan Crivat

Teknik İncelemeler: Cristian Petculescu, Amir Netz, Sergei Gundorov

Şunlar için geçerlidir: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI Mobil.

Not

Tarayıcınızdan Yazdır'ı ve ardından PDF olarak kaydet'i seçerek bu teknik incelemeyi kaydedebilir veya yazdırabilirsiniz.

Giriş

Power BI, Microsoft'un self servis İş Zekası panolarını, raporlarını, anlam modellerini ve görselleştirmelerini kolayca ve hızlı bir şekilde oluşturmanıza olanak tanıyan bir çevrimiçi yazılım hizmeti (SaaS veya Hizmet Olarak Yazılım) teklifidir. Power BI ile birçok farklı veri kaynağına bağlanabilir, bu bağlantılardan verileri birleştirebilir ve şekillendirebilir, ardından başkalarıyla paylaşılabilen raporlar ve panolar oluşturabilirsiniz.

Dünya hızla değişiyor; kuruluşlar hızlandırılmış bir dijital dönüşümden geçiyor ve uzaktan çalışmada büyük bir artış, çevrimiçi hizmetler için artan müşteri talebi ve operasyonlarda ve iş karar alma işlemlerinde gelişmiş teknolojilerin kullanımının artmasıyla karşılaşıyoruz. Tüm bunlar bulut tarafından desteklenir.

Buluta geçiş bir karmaşıklıktan sel felaketine dönüştükçe ve beraberinde gelen yeni, kullanıma sunulan yüzey alanıyla birlikte daha fazla şirket verilerimin bulutta ne kadar güvenli olduğunu soruyor ve Hassas verilerimin sızmasını önlemek için uçtan uca hangi koruma kullanılabilir? Kuruluştaki en stratejik bilgilerden bazılarını genellikle işleyen IŞ ZEKAsı platformları için bu sorular iki kat önemlidir.

BI güvenlik modelinin (nesne düzeyi ve satır düzeyi güvenlik) onlarca yıllık temelleri hala önemli olsa da, artık bulut çağında gereken güvenlik türünü sağlamak için yeterli olmadığı açıktır. Bunun yerine, kuruluşların iş zekası verileri için bulutta yerel, çok katmanlı, derinlemesine savunma güvenlik çözümü araması gerekir.

Power BI, veriler için sektör lideri eksiksiz ve hermetik koruma sağlamak üzere oluşturulmuştu. Ürün, sektördeki en yüksek güvenlik sınıflandırmalarını kazandı ve bugün birçok ulusal güvenlik kurumu, finans kuruluşu ve sağlık hizmeti sağlayıcısı en hassas bilgilerini ona emanet ediyor.

Her şey temelden başlar. 2000'li yılların başındaki zorlu bir dönemden sonra Microsoft, güvenlik açıklarını gidermek için büyük yatırımlar yaptı ve sonraki on yıllarda makine yonga bios çekirdeği kadar derine inen ve son kullanıcı deneyimlerine kadar uzanan güçlü bir güvenlik yığını oluşturmİştir. Bu derin yatırımlar devam ediyor ve bugün 3.500'den fazla Microsoft mühendisi Microsoft'un güvenlik yığınını oluşturma ve geliştirme ve sürekli değişen tehdit ortamını proaktif olarak ele alma konusunda çalışmaktadır. Milyarlarca bilgisayar, trilyonlarca oturum açma bilgisi ve Sayısız zettabaytlarca bilgi Microsoft'un korumasına emanet edildiğinde, şirket artık teknoloji sektörünün en gelişmiş güvenlik yığınına sahiptir ve kötü amaçlı aktörlere karşı mücadelede genel lider olarak görülür.

Power BI bu güçlü temeli temel alır. Azure'a dünyanın en hassas verilerini sunma ve koruma hakkı kazandıran güvenlik yığınını kullanır ve Microsoft 365'in en gelişmiş bilgi koruma ve uyumluluk araçlarıyla tümleştirilir. Bunların yanı sıra, çok katmanlı güvenlik önlemleriyle güvenlik sağlayarak bulut çağının benzersiz zorluklarıyla başa çıkmak için tasarlanmış uçtan uca koruma sağlar.

Hassas varlıkları korumaya yönelik uçtan uca bir çözüm sağlamak için ürün ekibinin aynı anda birden çok cephede zorlu müşteri endişelerini gidermesi gerekiyordu:

  • Kimlerin bağlanabileceğini, nereden bağlandıklarını ve nasıl bağlandıklarını nasıl denetleriz?Bağlantıları nasıl kontrol edebiliriz?
  • Veriler nasıl depolanır?Nasıl şifrelenir?Verilerim üzerinde hangi denetimlere sahibim?
  • Hassas verilerimi denetleme ve koruma Nasıl yaparım??Bu verilerin kuruluş dışına sızmadığından emin Nasıl yaparım??
  • Hangi işlemleri kimin yürüttüğü Nasıl yaparım? denetlensin mi?Hizmette şüpheli etkinlik varsa Nasıl yaparım? hızlı tepki gösteriyor?

Bu makalede tüm bu sorulara kapsamlı bir yanıt verilmektedir. Hizmet mimarisine genel bir bakışla başlar ve sistemdeki ana akışların nasıl çalıştığını açıklar. Daha sonra kullanıcıların Power BI'da nasıl kimlik doğrulaması yapıldığını, veri bağlantılarının nasıl kurulduğunu ve Power BI'ın verileri hizmette nasıl depolayıp taşımasını açıklamak için devam eder. Son bölümde, hizmet yöneticisi olarak en değerli varlıklarınızı korumanıza olanak sağlayan güvenlik özellikleri ele alınmaktadır.

Power BI hizmeti, Microsoft Online Services Koşulları ve Microsoft Kurumsal Gizlilik Bildirimi tarafından yönetilir. Veri işlemenin konumu için Microsoft Online Services Koşulları'ndaki Veri İşleme Konumu koşullarına ve Veri Koruma Eki'ne bakın. Uyumluluk bilgileri için Microsoft Güven Merkezi, Power BI'ın birincil kaynağıdır. Power BI ekibi, müşterilerine en son yenilikleri ve üretkenliği sunmak için çok çalışıyor. Microsoft uyumluluk tekliflerinde uyumluluk hakkında daha fazla bilgi edinin.

Power BI hizmeti, güvenlik güvencesi ve uyumluluk gereksinimlerini destekleyen katı güvenlik uygulamaları olan Güvenlik Geliştirme Yaşam Döngüsü'ne (SDL) uyar. SDL, geliştiricilerin yazılımdaki güvenlik açıklarının sayısını ve önem derecesini azaltırken geliştirme maliyetini azaltarak daha güvenli yazılımlar oluşturmasına yardımcı olur. Microsoft güvenlik geliştirme yaşam döngüsü uygulamalarından daha fazlasını öğrenin.

Power BI mimarisi

Power BI hizmeti, Microsoft'un bulut bilişim platformu Olan Azure'da oluşturulur. Power BI şu anda dünyanın dört bir yanındaki birçok veri merkezine dağıtılıyor. Bu veri merkezlerinin hizmet verdiği bölgelerdeki müşterilerin kullanımına sunulan birçok etkin dağıtım ve her etkin dağıtım için yedek olarak hizmet veren eşit sayıda pasif dağıtım vardır.

WFE ve Arka Uç

Web ön uç kümesi (WFE)

WFE kümesi, kullanıcının tarayıcısına site yükündeki ilk HTML sayfası içeriğini ve siteyi tarayıcıda işlemek için kullanılan CDN içeriğinin işaretçilerini sağlar.

WEF Kümesi

WFE kümesi, Azure Uygulaması Hizmet Ortamı'nda çalışan bir ASP.NET web sitesinden oluşur. Kullanıcılar Power BI hizmeti bağlanmaya çalıştığında, istemcinin DNS hizmeti Bir Power BI dağıtımıyla en uygun (genellikle en yakın) veri merkezini bulmak için Azure Traffic Manager ile iletişim kurabilir. Bu işlem hakkında daha fazla bilgi için bkz . Azure Traffic Manager için performans trafik yönlendirme yöntemi.

*.js, *.css ve görüntü dosyaları gibi statik kaynaklar çoğunlukla bir Azure Content Delivery Network'te (CDN) depolanır ve doğrudan tarayıcı tarafından alınır. Bağımsız Kamu kümesi dağıtımlarının bu kural için bir özel durum olduğunu ve uyumluluk nedeniyle CDN'yi atlayıp bunun yerine statik içeriği barındırmak için uyumlu bir bölgeden WFE kümesi kullanacağını unutmayın.

Power BI arka uç kümesi (BE)

Arka uç kümesi, Power BI'da kullanılabilen tüm işlevlerin omurgasını oluşturur. Web Ön Uç ve API istemcileri tarafından kullanılan çeşitli hizmet uç noktalarının yanı sıra arka plan çalışma hizmetleri, veritabanları, önbellekler ve diğer çeşitli bileşenlerden oluşur.

Arka uç çoğu Azure bölgesinde kullanılabilir ve kullanıma sunulduklarında yeni bölgelerde dağıtılmaktadır. Tek bir Azure bölgesi, tek bir kümenin dikey ve yatay ölçeklendirme sınırları tükendiğinde Power BI hizmeti sınırsız yatay ölçeklendirmeye izin veren bir veya daha fazla arka uç kümesini barındırıyor.

Her arka uç kümesi durum bilgisi vardır ve bu kümeye atanan tüm kiracıların tüm verilerini barındırıyor. Belirli bir kiracının verilerini içeren bir küme, kiracının ev kümesi olarak adlandırılır. Kimliği doğrulanmış bir kullanıcının ev kümesi bilgileri Genel Hizmet tarafından sağlanır ve Web Ön Ucu tarafından istekleri kiracının ev kümesine yönlendirmek için kullanılır.

Her arka uç kümesi, belirli görevleri, SQL veritabanları, depolama hesapları, hizmet veri yolları, önbellekler ve diğer gerekli bulut bileşenleri gibi durum bilgisi olan kaynakları gerçekleştirmek için ayarlanmış birden çok yeniden boyutlandırılabilir ölçek kümesinde birleştirilmiş birden çok sanal makineden oluşur.

Kiracı meta verileri ve verileri, aynı Azure coğrafyasında eşleştirilmiş bir Azure bölgesindeki ikincil bir arka uç kümesine veri çoğaltma dışında küme sınırları içinde depolanır. İkincil arka uç kümesi, bölgesel kesinti durumunda yük devretme kümesi görevi görür ve başka herhangi bir zamanda pasiftir.

Arka uç işlevselliği, genel İnternet'ten erişilebilen iki bileşen dışında kümenin sanal ağı içindeki farklı makinelerde çalışan ve dışarıdan erişililmeyen mikro hizmetler tarafından sunulur:

  • Ağ Geçidi Hizmeti
  • Azure API Management

Arka uç kümesi

Power BI Premium altyapısı

Power BI Premium, gelişmiş yapay zeka, lisanssız kullanıcılara dağıtım gibi premium Power BI özelliklerine ihtiyaç duyan aboneler için bir hizmet sunar. Bir müşteri Power BI Premium aboneliğine kaydolduğunda, Premium kapasite Azure Resource Manager aracılığıyla oluşturulur.

Power BI Premium kapasiteleri, normal Power BI arka ucundan bağımsız arka uç kümelerinde barındırılır; yukarıya bakın). Bu, Premium teklifte daha iyi yalıtım, kaynak ayırma, desteklenebilirlik, güvenlik yalıtımı ve ölçeklenebilirlik sağlar.

Aşağıdaki diyagramda Power BI Premium altyapısının mimarisi gösterilmektedir:

Power BI Premium

Power BI Premium altyapısına bağlantı, kullanıcı senaryosuna bağlı olarak birçok şekilde yapılabilir. Power BI Premium istemcileri bir kullanıcının tarayıcısı, normal bir Power BI arka ucu, XMLA istemcileri aracılığıyla doğrudan bağlantılar, ARM API'leri vb. olabilir.

Azure bölgesindeki Power BI Premium altyapısı birden çok Power BI Premium kümesinden oluşur (en düşük değer bir kümedir). Premium kaynakların çoğu küme içinde kapsüllenir (örneğin, işlem) ve bazı yaygın bölgesel kaynaklar (örneğin, meta veri depolama) vardır. Premium altyapı, bir bölgede yatay ölçeklenebilirlik elde etmenin iki yolunu sağlar: kümelerin içindeki kaynakları artırma ve/veya gerektiğinde isteğe bağlı olarak daha fazla küme ekleme (küme kaynakları sınırlarına yaklaşıyorsa).

Her kümenin omurgası, Sanal Makine Ölçek Kümeleri ve Azure Service Fabric tarafından yönetilen işlem kaynaklarıdır. Sanal Makine Ölçek Kümeleri ve Service Fabric, kullanım arttıkça ve Power BI Premium hizmetlerinin ve uygulamalarının dağıtımını, yönetimini ve izlenmesini düzenlerken işlem düğümlerinin hızlı ve sorunsuz bir şekilde artmasına olanak tanır.

Güvenli ve güvenilir bir altyapı sağlayan birçok çevre kaynak vardır: yük dengeleyiciler, sanal ağlar, ağ güvenlik grupları, hizmet veri yolu, depolama vb. Power BI Premium için gereken tüm gizli diziler, anahtarlar ve sertifikalar yalnızca Azure Key Vault tarafından yönetilir. Tüm kimlik doğrulamaları yalnızca Microsoft Entra ID (eski adıyla Azure Active Directory) ile tümleştirme yoluyla yapılır.

Power BI Premium altyapısına gelen tüm istekler önce ön uç düğümlerine gider; bunlar dış bağlantılarda kullanılabilen tek düğümlerdir. Kalan kaynaklar sanal ağların arkasına gizlenir. Ön uç düğümleri isteğin kimliğini doğrular, işler veya uygun kaynaklara (örneğin arka uç düğümleri) iletir.

Arka uç düğümleri, Power BI Premium özelliklerinin ve özelliklerinin çoğunu sağlar.

Power BI Mobil

Power BI Mobil, üç birincil mobil platform için tasarlanmış bir uygulama koleksiyonudur: Android, iOS ve Windows (UWP). Power BI Mobil uygulamaları için güvenlik konuları iki kategoriye ayrılır:

  • Cihaz iletişimi
  • Cihazdaki uygulama ve veriler

Cihaz iletişimi için, tüm Power BI Mobil uygulamaları Power BI hizmeti ile iletişim kurar ve bu teknik incelemenin önceki bölümlerinde ayrıntılı olarak açıklanan tarayıcılar tarafından kullanılan bağlantı ve kimlik doğrulama dizilerini kullanır. iOS ve Android için Power BI mobil uygulamaları uygulamanın kendi içinde bir tarayıcı oturumu açarken, Windows mobil uygulaması Power BI ile iletişim kanalını kurmak için bir aracı getirir (oturum açma işlemi için).

Aşağıdaki tabloda, mobil cihaz platformuna dayalı olarak Power BI Mobil için sertifika tabanlı kimlik doğrulaması (CBA) desteği gösterilmektedir:

CBA desteği iOS Android Pencereler
Power BI (hizmette oturum açma) Desteklenir Desteklenir Desteklenmez
SSRS ADFS şirket içi (SSRS sunucusuna bağlan) Desteklenmez Desteklenir Desteklenmez
SSRS uygulama prox'si Desteklenir Desteklenir Desteklenmez

Power BI Mobil uygulamalar Power BI hizmeti ile etkin bir şekilde iletişim kurar. Telemetri, kullanımı ve etkinliği izlemek için kullanılan hizmetlere iletilen mobil uygulama kullanım istatistiklerini ve benzer verileri toplamak için kullanılır; telemetri ile hiçbir müşteri verisi gönderilmez.

Power BI uygulaması, uygulamanın kullanımını kolaylaştıran verileri cihazda depolar:

  • Microsoft Entra Kimliği ve yenileme belirteçleri, endüstri standardı güvenlik önlemleri kullanılarak cihazda güvenli bir mekanizmada depolanır.
  • Veriler ve ayarlar (kullanıcı yapılandırması için anahtar-değer çiftleri) cihazdaki depolama alanında önbelleğe alınır ve işletim sistemi tarafından şifrelenebilir. iOS'ta bu, kullanıcı bir geçiş kodu ayarladığında otomatik olarak yapılır. Android'de bu ayardan yapılandırılabilir. Windows'ta BitLocker kullanılarak gerçekleştirilir.
  • Android ve iOS uygulamaları için veriler ve ayarlar (kullanıcı yapılandırması için anahtar-değer çiftleri) cihazda yalnızca uygulamanın erişebildiği bir korumalı alanda ve dahili depolama alanında önbelleğe alınır. Windows uygulaması için verilere yalnızca kullanıcı (ve sistem yöneticisi) erişebilir.
  • Coğrafi konum, Kullanıcı tarafından açıkça etkinleştirilir veya devre dışı bırakılır. Etkinleştirilirse, coğrafi konum verileri cihaza kaydedilmez ve Microsoft ile paylaşılmaz.
  • Bildirimler, Kullanıcı tarafından açıkça etkinleştirilir veya devre dışı bırakılmıştır. Etkinleştirilirse, Android ve iOS bildirimler için coğrafi veri yerleşimi gereksinimlerini desteklemez.

Veri şifreleme, mobil cihaz ve uygulama yönetimi sağlayan bir yazılım hizmeti olan Microsoft Intune aracılığıyla dosya düzeyinde şifreleme uygulanarak geliştirilebilir. Power BI Mobil kullanılabilen üç platform da Intune'a destek sağlar. Intune etkinleştirilip yapılandırıldığında mobil cihazdaki veriler şifrelenir ve Power BI uygulamasının kendisi SD karta yüklenemez. Microsoft Intune hakkında daha fazla bilgi edinin.

Windows uygulaması, Windows Bilgi Koruması'nı (WIP) da destekler.

SSO'nun uygulanması için, belirteç tabanlı kimlik doğrulamasıyla ilgili bazı güvenli depolama değerleri diğer Microsoft birinci taraf uygulamaları (Microsoft Authenticator gibi) için kullanılabilir ve Microsoft Kimlik Doğrulama Kitaplığı (MSAL) tarafından yönetilir.

Power BI Mobil önbelleğe alınan veriler uygulama kaldırıldığında, kullanıcı Power BI Mobil oturumu kapattığında veya kullanıcı oturum açamadığında (belirteç süre sonu olayından veya parola değişikliğinden sonra) silinir. Veri önbelleği, daha önce Power BI Mobil uygulamasından erişilen panoları ve raporları içerir.

Power BI Mobil cihazdaki diğer uygulama klasörlerine veya dosyalarına erişmez.

iOS ve Android için Power BI uygulamaları, iOS için Face ID, Touch ID veya geçiş kodu ve Android için biyometrik veriler (Parmak İzi Kimliği) sağlama gibi ek kimlikleri yapılandırarak verilerinizi korumanıza olanak sağlar. Ek tanımlama hakkında daha fazla bilgi edinin.

Power BI hizmeti kimlik doğrulaması

Power BI hizmeti kullanıcı kimlik doğrulaması, kullanıcının tarayıcısıyla Power BI hizmeti veya Power BI tarafından kullanılan Azure hizmetleri arasında bir dizi istek, yanıt ve yeniden yönlendirmeden oluşur. Bu dizi, Microsoft Entra kimlik doğrulama kodu verme akışını izleyen Power BI'da kullanıcı kimlik doğrulaması işlemini açıklar. Kuruluşun kullanıcı kimlik doğrulama modelleri (oturum açma modelleri) seçenekleri hakkında daha fazla bilgi için bkz . Microsoft 365 için oturum açma modeli seçme.

Kimlik doğrulama sırası

Power BI hizmeti için kullanıcı kimlik doğrulama sırası, aşağıdaki adımlarda açıklandığı gibi gerçekleşir ve bu sırayı izleyen görüntüde gösterilmiştir.

  1. Kullanıcı, adres çubuğuna Power BI adresini yazarak veya Power BI pazarlama sayfasından (https://powerbi.microsoft.com ) Oturum aç'ı seçerek tarayıcıdan Power BI hizmeti bağlantı başlatır. Bağlantı TLS ve HTTPS kullanılarak kurulur ve tarayıcı ile Power BI hizmeti arasındaki tüm iletişim HTTPS kullanır.

  2. Azure Traffic Manager, Power BI'ın dağıtıldığı en uygun (genellikle en yakın) veri merkezini belirlemek için kullanıcının DNS kaydını denetler ve DNS'ye kullanıcının gönderilmesi gereken WFE kümesinin IP adresiyle yanıt verir.

  3. WFE daha sonra tarayıcı istemcisine, oturum açma akışını başlatmak için gereken bir MSAL.js kitaplığı başvurusu içeren bir HTML sayfası döndürür.

  4. Tarayıcı istemcisi, WFE'den alınan HTML sayfasını yükler ve kullanıcıyı Microsoft Online Services oturum açma sayfasına yönlendirir.

  5. Kullanıcının kimliği doğrulandıktan sonra, oturum açma sayfası kullanıcıyı bir kimlik doğrulama koduyla Power BI WFE sayfasına geri yönlendirir.

  6. Tarayıcı istemcisi HTML sayfasını yükler ve Kimlik doğrulama kodunu kullanarak Microsoft Entra Id'den belirteç (erişim, kimlik, yenileme) ister.

  7. Kullanıcının kiracı kimliği, tarayıcı istemcisi tarafından kiracıların ve Power BI arka uç kümesi konumlarının listesini tutan Power BI Genel Hizmeti'ni sorgulamak için kullanılır. Power BI Genel Hizmeti, hangi Power BI arka uç hizmet kümesinin kullanıcının kiracısını içerdiğini belirler ve Power BI arka uç kümesi URL'sini istemciye geri döndürür.

  8. İstemci artık HTTP istekleri için Yetkilendirme üst bilgisindeki erişim belirtecini kullanarak Power BI arka uç kümesi URL'si API'si ile iletişim kurabilir. Microsoft Entra erişim belirtecinin, Microsoft Entra ilkelerine göre ayarlanmış bir süre sonu tarihi olacaktır ve geçerli oturumu korumak için kullanıcının tarayıcısında Power BI İstemcisi erişim belirtecini süresi dolmadan önce yenilemek için düzenli isteklerde bulunur.

İstemci Kimlik Doğrulaması sırasını gösteren diyagram.

İstemci tarafı kimlik doğrulamasının beklenmeyen bir hata nedeniyle başarısız olduğu nadir durumlarda, kod WFE'de sunucu tarafı kimlik doğrulamasını kullanmaya geri dönmeye çalışır. Sunucu tarafı kimlik doğrulama akışı hakkındaki ayrıntılar için bu belgenin sonundaki sorular ve yanıtlar bölümüne bakın.

Veri yerleşimi

Belgelerde aksi belirtilmediği sürece, Power BI müşteri verilerini bir Microsoft Entra kiracısı ilk kez Power BI hizmeti kaydolduğunda atanan bir Azure coğrafyasında depolar. Microsoft Entra kiracısı, bir kuruluş ve onun güvenliğiyle ilgili kullanıcı ve uygulama kimliklerini, gruplarını ve diğer ilgili bilgileri barındırmaktadır.

Kiracı veri depolaması için Bir Azure coğrafyasının ataması, Microsoft Entra kiracısı kurulumunun bir parçası olarak seçilen ülke veya bölge bir Power BI dağıtımının bulunduğu en uygun Azure coğrafyasına eşlenerek gerçekleştirilir. Bu belirleme yapıldıktan sonra, kuruluşların çok coğrafi dağıtımları kullandığı durumlar dışında tüm Power BI müşteri verileri bu seçilen Azure coğrafyasında (ana bölge olarak da bilinir) depolanır.

Birden çok coğrafya (çok coğrafi)

Bazı kuruluşların genel bir varlığı vardır ve birden çok Azure coğrafyasında Power BI hizmeti gerektirebilir. Örneğin, bir işletmenin merkezi Birleşik Devletler olabilir, ancak Avustralya gibi diğer coğrafi bölgelerde de iş yapabilir. Bu gibi durumlarda işletme, yerel düzenlemelere uymak için belirli Power BI verilerinin uzak bölgede bekleyen olarak kalmasını gerektirebilir. Power BI hizmeti bu özelliği çok coğrafi olarak adlandırılır.

Çok coğrafi bir çalışma alanına atanan sorgu yürütme katmanı, sorgu önbellekleri ve yapıt verileri barındırılır ve uzak kapasite Azure coğrafyasında kalır. Ancak, rapor yapısı gibi bazı yapıt meta verileri kiracının giriş coğrafi konumunda bekleyen olarak kalabilir. Buna ek olarak, çok coğrafi premium kapasitede barındırılan çalışma alanları için bile kiracının giriş coğrafi alanında bazı veri aktarım ve işleme işlemleri gerçekleşebilir.

Birden çok Azure coğrafyasını kapsayan Power BI dağıtımlarını oluşturma ve yönetme hakkında daha fazla bilgi için bkz . Power BI Premium için Multi-Geo desteğini yapılandırma.

Bölgeler ve veri merkezleri

Power BI hizmeti,Microsoft Güven Merkezi. Verilerinizin nerede depolandığı ve nasıl kullanıldığı hakkında daha fazla bilgi için Microsoft Güven Merkezi'ne bakın. Bekleyen müşteri verilerinin konumuyla ilgili taahhütler Microsoft Çevrimiçi Hizmet Şartlarının Bilgi İşleme Koşulları bölümünde belirtilir.

Microsoft ayrıca bağımsız varlıklar için veri merkezleri de sağlar. Ulusal/bölgesel bulutlar için Power BI hizmeti kullanılabilirlik hakkında daha fazla bilgi için bkz. Power BI ulusal/bölgesel bulutları.

Veri işleme

Bu bölümde, müşteri verilerini depolama, işleme ve aktarma konusunda Power BI veri işleme uygulamaları özetlenmiştir.

Bekleme durumundaki veriler

Power BI iki birincil veri depolama kaynak türü kullanır:

  • Azure Depolama
  • Azure SQL Veritabanları

Çoğu senaryoda Power BI yapıtlarının verilerini kalıcı hale getirmek için Azure Depolama kullanılırken, yapıt meta verilerini kalıcı hale getirmek için Azure SQL Veritabanı kullanılır.

Power BI tarafından kalıcı hale gelen tüm veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Azure SQL Veritabanı'lerde depolanan müşteri verileri, Azure SQL'in Saydam Veri Şifrelemesi (TDE) teknolojisi kullanılarak tamamen şifrelenir. Azure Blob depolamada depolanan müşteri verileri, Azure Depolama Şifrelemesi kullanılarak şifrelenir.

İsteğe bağlı olarak, kuruluşlar semantik modele aktarılan bekleyen verileri şifrelemek için kendi anahtarlarını kullanmak için Power BI Premium kullanabilir. Bu yaklaşım genellikle kendi anahtarını getir (KAG) olarak tanımlanır. KAG'nin kullanılması, bir hizmet operatörü hatası durumunda bile müşteri verilerinin açığa çıkarılmamasını sağlamaya yardımcı olur; bu, saydam hizmet tarafı şifrelemesi kullanılarak kolayca elde edilemez. Daha fazla bilgi için bkz . Power BI için kendi şifreleme anahtarlarınızı getirme.

Power BI anlam modelleri, veri kaynağı verilerinin hizmette kalıcı olup olmadığını belirleyen çeşitli veri kaynağı bağlantı modlarına olanak tanır.

AnlamSal Model Modu (Tür) Power BI'da Kalıcı Veriler
İçeri Aktar Yes
DirectQuery Hayır
Canlı Bağlan Hayır
Bileşik İçeri aktarma veri kaynağı içeriyorsa
Akışlar Kalıcı olacak şekilde yapılandırıldıysa

Kullanılan anlamsal model modundan bağımsız olarak Power BI, sorgu ve rapor yükü performansını iyileştirmek için alınan verileri geçici olarak önbelleğe alabilir.

Veriler işleniyor

Veriler, etkileşimli bir senaryonun parçası olarak bir veya daha fazla kullanıcı tarafından etkin bir şekilde kullanıldığında veya yenileme gibi bir arka plan işlemi bu verilere dokunduğunda işleniyor. Power BI, etkin olarak işlenen verileri bir veya daha fazla hizmet iş yükünün bellek alanına yükler. İş yükünün gerektirdiği işlevselliği kolaylaştırmak için bellekteki işlenen veriler şifrelenmez.

Aktarım durumundaki veriler

Power BI, tüm gelen HTTP trafiğinin TLS 1.2 veya üzeri kullanılarak şifrelenmesini gerektirir. Hizmeti TLS 1.1 veya daha düşük bir sürümle kullanmaya çalışan tüm istekler reddedilir.

Veri kaynakları için kimlik doğrulaması

Bir veri kaynağına bağlanırken, kullanıcı verilerin bir kopyasını Power BI'a aktarmayı veya doğrudan veri kaynağına bağlanmayı seçebilir.

İçeri aktarma durumunda, kullanıcı kullanıcının oturum açmasına göre bir bağlantı kurar ve verilere kimlik bilgileriyle erişir. Anlam modeli Power BI hizmeti yayımlandıktan sonra Power BI verileri içeri aktarmak için her zaman bu kullanıcının kimlik bilgilerini kullanır. Veriler içeri aktarıldıktan sonra raporlarda ve panolarda verileri görüntülemek temel alınan veri kaynağına erişmez. Power BI, seçili veri kaynakları için çoklu oturum açma kimlik doğrulamasını destekler. Bağlantı çoklu oturum açma kullanacak şekilde yapılandırılmışsa, veri kaynağına bağlanmak için anlam modeli sahibinin kimlik bilgileri kullanılır.

Bir veri kaynağı önceden yapılandırılmış kimlik bilgileri kullanılarak doğrudan bağlanırsa, herhangi bir kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için önceden yapılandırılmış kimlik bilgileri kullanılır. Bir veri kaynağı doğrudan çoklu oturum açma kullanılarak bağlanıyorsa, bir kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için geçerli kullanıcının kimlik bilgileri kullanılır. Çoklu oturum açma ile kullanıldığında, veri kaynağında Satır Düzeyi Güvenlik (RLS) ve/veya nesne düzeyi güvenlik (OLS) uygulanabilir. Bu, kullanıcıların yalnızca erişim ayrıcalıklarına sahip oldukları verileri görüntülemesine olanak tanır. Bağlantı buluttaki veri kaynaklarına olduğunda, çoklu oturum açma için Microsoft Entra kimlik doğrulaması kullanılır; şirket içi veri kaynakları için Kerberos, Güvenlik Onaylama İşaretleme Dili (SAML) ve Microsoft Entra Id desteklenir.

Veri kaynağı Azure Analysis Services veya şirket içi Analysis Services ise ve RLS ve/veya OLS yapılandırıldıysa, Power BI hizmeti bu satır düzeyi güvenliği uygular ve temel alınan verilere erişmek için yeterli kimlik bilgilerine sahip olmayan kullanıcılar (bir panoda, raporda veya başka bir veri yapıtında kullanılan bir sorgu olabilir) yeterli ayrıcalıkları olmayan verileri görmez.

Premium özellikler

Veri akışları mimarisi

Veri akışları, kullanıcılara çok biçimli veri kaynaklarından veri ayıklayacak, verilerde dönüştürme mantığı yürütecek ve ardından çeşitli raporlama sunu teknolojilerinde kullanılmak üzere bir hedef modele indirecek arka uç veri işleme işlemlerini yapılandırma olanağı sağlar. Çalışma alanında üye, katkıda bulunan veya yönetici rolüne sahip olan tüm kullanıcılar veri akışı oluşturabilir. Görüntüleyici rolündeki kullanıcılar veri akışı tarafından işlenen verileri görüntüleyebilir, ancak bileşiminde değişiklik yapamayabilir. Veri akışı yazıldıktan sonra, çalışma alanının herhangi bir üyesi, katkıda bulunanı veya yöneticisi yenileme zamanlayabilir ve veri akışının sahipliğini alarak görüntüleyebilir ve düzenleyebilir.

Yapılandırılan her veri kaynağı, bu veri kaynağına erişmek için bir istemci teknolojisine bağlıdır. Bunlara erişmek için gereken kimlik bilgilerinin yapısı, veri kaynağının gerekli uygulama ayrıntılarıyla eşleşecek şekilde oluşturulur. Dönüştürme mantığı, veriler uçuştayken Power Query hizmetleri tarafından uygulanır. Premium veri akışları için Power Query hizmetleri arka uç düğümlerinde yürütülür. Veriler doğrudan bulut kaynaklarından veya şirket içinde yüklü bir ağ geçidi üzerinden çekilebilir. Doğrudan bir bulut kaynağından hizmete veya ağ geçidine çekildiğinde aktarım, varsa istemci teknolojisine özgü koruma metodolojisini kullanır. Veriler ağ geçidinden bulut hizmetine aktarıldığında şifrelenir. Yukarıdaki Aktarımdaki Veriler bölümüne bakın.

Müşteri tarafından belirtilen veri kaynakları erişim için kimlik bilgileri gerektirdiğinde, veri akışının sahibi/oluşturucusu yazma sırasında bunları sağlar. Bunlar, standart ürün genelinde kimlik bilgisi depolaması kullanılarak depolanır. Yukarıdaki Veri Kaynaklarına Kimlik Doğrulaması bölümüne bakın. Kullanıcıların veri kalıcılığını ve erişimini iyileştirmek için yapılandırabileceği çeşitli yaklaşımlar vardır. Varsayılan olarak, veriler Power BI'a ait ve korumalı bir depolama hesabına yerleştirilir. Depolama şifreleme, bekleyen verileri korumak için Blob depolama kapsayıcılarında etkinleştirilir. Aşağıdaki Bekleyen Veriler bölümüne bakın. Ancak kullanıcılar kendi Azure abonelikleriyle ilişkili kendi depolama hesaplarını yapılandırabilir. Bunu yaparken, bir Power BI hizmeti sorumlusuna verileri yenileme sırasında oraya yazabilmesi için bu depolama hesabına erişim verilir. Bu durumda, yapılandırılan ADLS depolama hesabında şifrelemeyi yapılandırmak depolama kaynağı sahibinden sorumludur. Veriler her zaman şifreleme kullanılarak Blob depolamaya aktarılır.

Depolama hesaplarına erişirken performans bazı veriler için yetersiz olabileceğinden, kullanıcılar performansı artırmak için Power BI'da barındırılan bir işlem altyapısı kullanma seçeneğine de sahiptir. Bu durumda veriler, arka uç Power BI sistemi tarafından erişim yoluyla DirectQuery için kullanılabilen bir SQL veritabanında yedekli olarak depolanır. Veriler dosya sisteminde her zaman şifrelenir. Kullanıcı SQL veritabanında depolanan verileri şifrelemek için bir anahtar sağlarsa, bu anahtar iki kez şifrelemek için kullanılır.

DirectQuery kullanılarak sorgulanırken, API'ye erişmek için şifrelenmiş aktarım protokolü HTTPS kullanılır. DirectQuery'nin tüm ikincil veya dolaylı kullanımı, daha önce açıklanan erişim denetimleriyle denetlenilir. Veri akışları her zaman bir çalışma alanına bağlı olduğundan, verilere erişim her zaman söz konusu çalışma alanında kullanıcının rolüne bağlıdır. Bir kullanıcının verileri herhangi bir yolla sorgulayabilmesi için en az okuma erişimine sahip olması gerekir.

Power BI Desktop bir veri akışındaki verilere erişmek için kullanıldığında, önce kullanıcının verileri görüntülemek için yeterli haklara sahip olup olmadığını belirlemek için Microsoft Entra Id kullanarak kullanıcının kimliğini doğrulaması gerekir. Bu durumda, şifrelenmiş aktarım protokolü HTTPS kullanılarak depolamaya doğrudan erişmek için bir SaS anahtarı alınır ve kullanılır.

İşlem hattı genelinde verilerin işlenmesi Office 365 denetim olaylarını yayar. Bu olaylardan bazıları güvenlik ve gizlilikle ilgili işlemleri yakalar.

Sayfa numaralı raporlar

Sayfalandırılmış raporlar yazdırılacak veya paylaşılacak şekilde tasarlanmıştır. Sayfalandırılmış olarak adlandırılırlar çünkü sayfaya iyi sığacak şekilde biçimlendirilirler. Tablo birden çok sayfaya yayılsa bile tablodaki tüm verileri görüntüler. Rapor sayfası düzenini tam olarak denetleyebilirsiniz.

Sayfalandırılmış raporlar, Microsoft Visual Basic .NET'te yazılmış zengin ve güçlü ifadeleri destekler. İfadeler, verileri almak, hesaplamak, görüntülemek, gruplandırmak, sıralamak, filtrelemek, parametreleştirmek ve biçimlendirmek için Power BI Rapor Oluşturucusu sayfalandırılmış raporlar genelinde yaygın olarak kullanılır.

İfadeler, raporun yazarı tarafından .NET framework'ün çok çeşitli özelliklerine erişimle oluşturulur. Sayfalandırılmış raporların işlenmesi ve yürütülmesi bir korumalı alan içinde gerçekleştirilir.

Sayfalandırılmış rapor tanımları (.rdl) Power BI'da depolanır ve bir sayfalandırılmış raporu yayımlamak ve/veya işlemek için, kullanıcının yukarıdaki Power BI Hizmetinde kimlik doğrulaması bölümünde açıklandığı gibi kimlik doğrulaması ve yetkilendirmesi gerekir.

Kimlik doğrulaması sırasında elde edilen Microsoft Entra belirteci, doğrudan tarayıcıdan Power BI Premium kümesine iletişim kurmak için kullanılır.

Power BI Premium'da Power BI hizmeti çalışma zamanı, her rapor işlemesi için uygun şekilde yalıtılmış bir yürütme ortamı sağlar. Bu, işlenen raporların aynı kapasiteye atanmış çalışma alanlarına ait olduğu durumları içerir.

Sayfalandırılmış rapor, raporun işlenmesinin bir parçası olarak geniş bir veri kaynakları kümesine erişebilir. Korumalı alan, veri kaynaklarının hiçbiriyle doğrudan iletişim kurmaz, bunun yerine veri istemek için güvenilen işlemle iletişim kurar ve ardından güvenilen işlem gerekli kimlik bilgilerini bağlantıya ekler. Bu şekilde korumalı alanın hiçbir kimlik bilgilerine veya gizli diziye erişimi olmaz.

Bing haritaları veya Azure İşlevleri çağrıları gibi özellikleri desteklemek için korumalı alanın İnternet'e erişimi vardır.

Power BI tümleşik analizi

Bağımsız Yazılım Satıcıları (ISV' ler) ve çözüm sağlayıcıları, Power BI yapıtlarını web uygulamalarına ve portallarına eklemek için iki ana moda sahiptir: kuruluşunuz için ekleme ve müşterileriniz için ekleme. Yapıt, uygulama veya portalda bir IFrame'e eklenir. IFrame'in dış web uygulamasından veya portalından veri okumasına veya yazmasına izin verilmez ve IFrame ile iletişim, POST iletileri kullanılarak Power BI İstemci SDK'sı kullanılarak gerçekleştirilir.

Kuruluşunuz için ekleme senaryosunda Microsoft Entra kullanıcıları, kuruluşları ve IT'leri tarafından özelleştirilmiş portallar aracılığıyla kendi Power BI içeriğine erişmektedir. Bu makalede açıklanan Satır Düzeyi Güvenlik (RLS) ve nesne düzeyi güvenlik (OLS) gibi tüm Power BI ilkeleri ve özellikleri, Power BI portalından veya özelleştirilmiş portallardan Power BI'a erişmelerinden bağımsız olarak tüm kullanıcılara otomatik olarak uygulanır.

Müşterileriniz için ekleme senaryosunda, ISV'ler genellikle Power BI kiracılarına ve Power BI öğelerine (panolar, raporlar, anlam modelleri ve diğerleri) sahip olur. Son kullanıcılarının kimliğini doğrulamak ve bu son kullanıcı için hangi yapıtların ve hangi erişim düzeyinin uygun olduğuna karar vermek BIR ISV arka uç hizmetinin sorumluluğundadır. ISV ilkesi kararları, Power BI tarafından oluşturulan bir ekleme belirtecinde şifrelenir ve ISV'nin iş mantığına göre son kullanıcılara daha fazla dağıtım için ISV arka ucuna geçirilir. Tarayıcı veya diğer istemci uygulamaları kullanan son kullanıcılar ekleme belirteçlerinin şifresini çözemez veya bunları değiştiremez. Power BI İstemci API'leri gibi istemci tarafı SDK'ları, şifrelenmiş ekleme belirtecini Otomatik olarak Power BI isteklerine Yetkilendirme: EmbedToken üst bilgisi olarak ekler. Bu üst bilgi temelinde Power BI, tüm ilkeleri (erişim veya RLS gibi) isv tarafından oluşturma sırasında belirtildiği şekilde kesin olarak zorlar.

Ekleme ve otomasyonu etkinleştirmek ve yukarıda açıklanan ekleme belirteçlerini oluşturmak için Power BI zengin bir REST API kümesi sunar. Bu Power BI REST API'leri hem kullanıcı temsilcisihem de hizmet sorumlusu Microsoft Entra kimlik doğrulama ve yetkilendirme yöntemlerini destekler.

Power BI tümleşik analizi ve REST API'leri, bu makalede açıklanan tüm Power BI ağ yalıtımı özelliklerini destekler: Örneğin, Hizmet Etiketleri ve Özel Bağlantı.

Yapay zeka özellikleri

Power BI şu anda üründeki yapay zeka özelliklerinin iki geniş kategorisini desteklemektedir: yapay zeka görselleri ve yapay zeka zenginleştirmeleri. Görsel düzeyindeki yapay zeka özellikleri Arasında Anahtar Etmenler, Ayrıştırma Ağacı, Akıllı Anlatım, Anomali Algılama, R-görsel, Python görseli, Kümeleme, Tahmin, Soru-Cevap, Hızlı Analizler gibi özellikler bulunur. Yapay zeka zenginleştirme özellikleri AutoML, Azure Machine Learning, CognitiveServices, R/Python dönüşümleri gibi özellikleri içerir.

Yukarıda belirtilen özelliklerin çoğu bugün hem Paylaşılan hem de Premium çalışma alanlarında desteklenmektedir. Ancak AutoML ve CognitiveServices, IP kısıtlamaları nedeniyle yalnızca Premium çalışma alanlarında desteklenir. Bugün, Power BI'daki AutoML tümleştirmesiyle bir kullanıcı özel bir ML modeli (Tahmin, Sınıflandırma, Regresyon vb.) oluşturup eğitebilir ve verileri Premium çalışma alanında tanımlanan bir veri akışına yüklerken tahmin almak için bunu uygulayabilir. Ayrıca Power BI kullanıcıları, verileri Premium çalışma alanında tanımlanan bir veri akışına/anlam modeline yüklemeden önce dönüştürmek için TextAnalytics ve ImageTagging gibi çeşitli Bilişsel Hizmetler API'lerini uygulayabilir.

Premium yapay zeka zenginleştirme özellikleri en iyi şekilde Power BI anlam modeli veya veri akışı tarafından kullanılan veri tümleştirme işlem hatlarında Power BI kullanıcıları tarafından kullanılabilecek durum bilgisi olmayan yapay zeka işlevleri/dönüşümleri koleksiyonu olarak görüntülenebilir. Bu işlevlere Power BI Hizmeti ve Power BI Desktop'taki geçerli veri akışı/anlam modeli yazma ortamlarından da erişilebileceğini unutmayın. Bu yapay zeka işlevleri/dönüşümleri her zaman Premium çalışma alanında/kapasitede çalışır. Bu işlevler, Power BI'da yapay zeka işlevini kullanan Power BI kullanıcısı için Microsoft Entra belirteci gerektiren bir veri kaynağı olarak ortaya çıkar. Bu yapay zeka veri kaynakları, kendi verilerinin hiçbirini ortaya çıkarmadığı ve yalnızca bu işlevleri/dönüşümleri sağladığından özeldir. Yürütme sırasında, bu özellikler müşterinin verilerini iletmek için diğer hizmetlere giden çağrı yapmaz. İletişim düzenlerini ve bunlarla ilgili güvenlikle ilgili ayrıntıları anlamak için Premium senaryolara tek tek göz atalım.

Power BI, AutoML modelini eğitip uygulamak için Azure AutoML SDK'sını kullanır ve tüm eğitimi müşterinin Power BI kapasitesinde çalıştırır. Eğitim yinelemeleri sırasında Power BI, geçerli yineleme için uygun bir model ve hiper parametreler seçmek üzere bir deneme Azure Machine Learning hizmeti çağırır. Bu giden çağrıda, önceki yinelemeden yalnızca ilgili deneme meta verileri (doğruluk, ml algoritması, algoritma parametreleri vb.) gönderilir. AutoML eğitimi, daha sonra veri akışına kaydedilen bir ONNX modeli ve eğitim raporu verileri oluşturur. Daha sonra Power BI kullanıcıları, ml modelini zamanlanmış olarak kullanıma hazır hale getirmek için eğitilen ML modelini dönüşüm olarak uygulayabilir. TextAnalytics ve ImageTagging API'leri için Power BI, Bilişsel Hizmetler hizmeti API'lerini doğrudan çağırmaz, bunun yerine iç SDK kullanarak API'leri Power BI Premium kapasitesinde çalıştırır. Günümüzde bu API'ler hem Power BI veri akışlarında hem de anlam modellerinde desteklenmektedir. Power BI Desktop'ta veri modeli yazarken, kullanıcılar bu işleve yalnızca Premium Power BI çalışma alanına erişimleri varsa erişebilir. Bu nedenle müşterilerin Microsoft Entra kimlik bilgilerini sağlamaları istenir.

Ağ yalıtımı

Bu bölümde Power BI'daki gelişmiş güvenlik özellikleri özetlenmiştir. Bazı özelliklerin belirli lisans gereksinimleri vardır. Ayrıntılar için aşağıdaki bölümlere bakın.

Hizmet etiketleri

Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Ağ güvenlik kurallarında sık yapılan güncelleştirmelerin karmaşıklığını en aza indirmeye yardımcı olur. Müşteriler, Ağ Güvenlik Grupları'nda veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlamak için hizmet etiketlerini kullanabilir. Müşteriler, güvenlik kuralları oluştururken belirli IP adresleri yerine hizmet etiketlerini kullanabilir. Müşteriler, bir kuralın uygun kaynak veya hedef (API'ler için) alanında hizmet etiketi adını (gibi PowerBI) belirterek ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilir. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir.

Azure ağı, Power BI'ın Azure Ağ özel uç noktaları aracılığıyla güvenli erişim sağlamasına olanak tanıyan Azure Özel Bağlantı özelliği sağlar. Azure Özel Bağlantı ve özel uç noktalarda veri trafiği Microsoft'un omurga ağ altyapısı kullanılarak özel olarak gönderilir ve bu nedenle veriler İnternet'ten geçiş yapmaz.

Özel Bağlantı, Power BI kullanıcılarının Power BI hizmeti kaynaklara gidildiğinde Microsoft özel ağ omurgasını kullanmasını sağlar.

Power BI ile Özel Bağlantı kullanmak aşağıdaki avantajları sağlar:

  • Özel Bağlantı, trafiğin Azure omurgası üzerinden Azure bulut tabanlı kaynaklar için özel bir uç noktaya akmasını sağlar.
  • Şirket içi erişim gibi Azure tabanlı olmayan altyapıdan ağ trafiği yalıtımı, müşterilerin ExpressRoute veya Sanal Özel Ağ (VPN) yapılandırmasına sahip olmasını gerektirir.

Ek bilgi için bkz . Power BI'a erişmek için özel bağlantılar.

Sanal ağ bağlantısı (önizleme - çok yakında)

Özel Bağlantı tümleştirme özelliği Power BI'a güvenli gelen bağlantılar sağlarken, sanal ağ bağlantısı özelliği Power BI'dan bir sanal ağ içindeki veri kaynaklarına güvenli giden bağlantı sağlar.

Sanal ağ geçitleri (Microsoft tarafından yönetilen), bir sanal ağ ile ilişkili veri kaynaklarına bağlanmak için şirket içi veri ağ geçitlerini yükleme ve izleme yükünü ortadan kaldırır. Ancak, şirket içi veri ağ geçidinde olduğu gibi güvenlik ve veri kaynaklarını yönetmeye yönelik tanıdık süreci izlemeye devam ederler.

Aşağıda, sanal ağ geçitlerini kullanarak sanal ağ içindeki bir veri kaynağına bağlı bir Power BI raporuyla etkileşim kurarken neler olduğuna ilişkin genel bir bakış sağlanır:

  1. Power BI bulut hizmeti (veya desteklenen diğer bulut hizmetlerinden biri) bir sorgu başlatır ve sorguyu, veri kaynağı ayrıntılarını ve kimlik bilgilerini Power Platform VNet hizmetine (PP VNet) gönderir.

  2. Ardından PP sanal ağ hizmeti, sanal ağ geçidi çalıştıran bir kapsayıcıyı alt ağa güvenli bir şekilde ekler. Bu kapsayıcı artık bu alt ağ içinden erişilebilen veri hizmetlerine bağlanabilir.

  3. PP VNet hizmeti daha sonra sorguyu, veri kaynağı ayrıntılarını ve kimlik bilgilerini VNet ağ geçidine gönderir.

  4. Sanal ağ geçidi sorguyu alır ve bu kimlik bilgileriyle veri kaynaklarına bağlanır.

  5. Sorgu daha sonra yürütülmek üzere veri kaynağına gönderilir.

  6. Yürütmeden sonra sonuçlar VNet ağ geçidine gönderilir ve PP sanal ağ hizmeti verileri kapsayıcıdan Power BI bulut hizmetine güvenli bir şekilde gönderir.

Bu özellik yakında genel önizlemede kullanıma sunulacaktır.

Hizmet sorumluları

Power BI, hizmet sorumlularının kullanımını destekler. Power BI'ı şifrelemek veya Power BI'a erişmek için kullanılan hizmet sorumlusu kimlik bilgilerini bir Key Vault'ta depolayın, kasaya uygun erişim ilkeleri atayın ve erişim izinlerini düzenli olarak gözden geçirin.

Ek ayrıntılar için bkz . Hizmet sorumlularıyla Premium çalışma alanı ve anlam modeli görevlerini otomatikleştirme.

Power BI için Microsoft Purview

Microsoft Purview Bilgi Koruması

Power BI, Microsoft Purview Bilgi Koruması ile derinlemesine tümleşiktir. Microsoft Purview Bilgi Koruması, kuruluşların Azure, Power BI ve Office genelinde sınıflandırma, etiketleme, denetim ve uyumluluk için tek ve tümleşik bir çözüme sahip olmasını sağlar.

Power BI'da bilgi koruması etkinleştirildiğinde:

  • Hem Power BI hizmeti hem de Power BI Desktop'taki hassas veriler, Office'te ve Azure'da kullanılan duyarlılık etiketleri kullanılarak sınıflandırılabilir ve etiketlenebilir.
  • Power BI içeriği Excel, PowerPoint, PDF, Word veya .pbix dosyalarına aktarıldığında, verilerin Power BI'dan ayrıldığında bile korunmasına yardımcı olmak için idare ilkeleri uygulanabilir.
  • Tıpkı Excel, Word ve PowerPoint uygulamalarında olduğu gibi Power BI Desktop'ta .pbix dosyalarını sınıflandırmak ve korumak kolaydır. Dosyalar, duyarlılık düzeylerine göre kolayca etiketlenebilir. Ayrıca, yalnızca yetkili kullanıcıların bu dosyaları düzenleyebileceği şekilde, iş açısından gizli veriler içeriyorsa şifrelenebilirler.
  • Excel çalışma kitapları, Power BI'a (önizleme) bağlandığında duyarlılık etiketlerini otomatik olarak devralır; böylece Power BI anlam modelleri Excel'de çözümlendiğinde uçtan uca sınıflandırmayı sürdürmeyi ve koruma uygulamayı mümkün kılar.
  • Power BI raporlarına ve panolarına uygulanan duyarlılık etiketleri Power BI iOS ve Android mobil uygulamalarında görünür.
  • Bir Power BI raporu Teams, SharePoint veya güvenli bir web sitesine eklendiğinde duyarlılık etiketleri kalıcı olur. Bu, kuruluşların Power BI içeriği eklerken dışarı aktarma sırasında sınıflandırmayı ve korumayı sürdürmelerine yardımcı olur.
  • Power BI hizmeti yeni içerik oluşturulduktan sonra etiket devralma, Power BI hizmeti semantik modellere veya datamart'lara uygulanan etiketlerin bu anlamsal modeller ve verimart'lar üzerinde oluşturulan yeni içeriğe uygulanmasını sağlar.
  • Power BI yönetici tarama API'leri bir Power BI öğesinin duyarlılık etiketini ayıklayarak Power BI ve InfoSec yöneticilerinin Power BI hizmeti etiketlemeyi izlemesine ve yönetici raporları oluşturmasına olanak tanır.
  • Power BI yönetici API'leri, merkezi ekiplerin Power BI hizmeti içeriklerine program aracılığıyla duyarlılık etiketleri uygulamasına olanak tanır.
  • Merkezi ekipler, Power BI'daki yeni veya düzenlenmiş içeriğe etiket uygulanmasını zorunlu kılmak için zorunlu etiket ilkeleri oluşturabilir.
  • Merkezi ekipler, tüm yeni veya değiştirilmiş Power BI içeriğine duyarlılık etiketi uygulanmasını sağlamak için varsayılan etiket ilkeleri oluşturabilir.
  • Power BI hizmeti otomatik aşağı akış duyarlılığı etiketlemesi, anlamsal model veya datamart üzerindeki bir etiket uygulandığında veya değiştirildiğinde, etiketin semantik modele veya datamart'a bağlı tüm aşağı akış içeriğine otomatik olarak uygulanmasını veya değiştirilmesini sağlar.

Daha fazla bilgi için bkz . Power BI'da duyarlılık etiketleri.

Power BI için Microsoft Purview Veri Kaybı Önleme (DLP) İlkeleri (önizleme)

Microsoft Purview'un DLP ilkeleri, kuruluşların Power BI'dan hassas iş verileri sızıntısı riskini azaltmasına yardımcı olabilir. DLP ilkeleri, GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği) veya CCPA (California Tüketici Gizliliği Yasası) gibi kamu veya sektör düzenlemelerinin uyumluluk gereksinimlerini karşılamalarına yardımcı olabilir ve Power BI'daki verilerinin yönetildiğinden emin olabilir.

Power BI için DLP ilkeleri ayarlandığında:

  • İlkede belirtilen çalışma alanlarındaki tüm anlamsal modeller ilke tarafından değerlendirilir.
  • Hassas verilerin Premium kapasitelerinize ne zaman yüklendiğini algılayabilirsiniz. DLP ilkeleri şunları algılayabilir:
    • Duyarlılık etiketleri.
    • Hassas bilgi türleri. 260'ın üzerinde tür desteklenir. Hassas bilgi türü algılama, Microsoft Purview içerik taramaya dayanır.
  • Hassas olarak tanımlanan bir anlam modeliyle karşılaştığınızda, ne yapmanız gerektiğini anlamanıza yardımcı olan özelleştirilmiş bir ilke ipucu görebilirsiniz.
  • Anlam modeli sahibiyseniz, bir ilkeyi geçersiz kılabilir ve bunu yapmak için geçerli bir nedeniniz varsa semantik modelinizin "hassas" olarak tanımlanmasını önleyebilirsiniz.
  • Anlam modeli sahibiyseniz, hassas bir bilgi türünün yanlış tanımlandığını sonucuna varıyorsanız ilkeyle ilgili bir sorun bildirebilirsiniz.
  • Güvenlik yöneticisine yönelik uyarılar gibi otomatik risk azaltma işlemleri çağrılabilir.

Daha fazla bilgi için bkz . Power BI için veri kaybı önleme ilkeleri.

Power BI için Bulut için Microsoft Defender Uygulamaları

Bulut için Microsoft Defender Apps, Gartner'ın bulut erişim güvenlik aracısı (CASB) pazarı için Magic Quadrant'ta lider olarak adlandırılan dünyanın önde gelen bulut erişim güvenlik aracılarından biridir. Bulut için Defender Uygulamaları, bulut uygulamalarının kullanımını güvenli bir şekilde sağlamak için kullanılır. Kuruluşların yönetilmeyen cihazlardan kullanıcı erişimi gibi riskli Power BI oturumlarını gerçek zamanlı olarak izlemesine ve denetlemesine olanak tanır. Güvenlik yöneticileri hassas bilgiler içeren raporları indirme gibi kullanıcı eylemlerini denetlemek için ilkeler tanımlayabilir.

Bulut için Defender Uygulamaları ile kuruluşlar aşağıdaki DLP özelliklerini elde edebilir:

  • Power BI'da riskli kullanıcı oturumlarını zorunlu kılmak için gerçek zamanlı denetimler ayarlayın. Örneğin, bir kullanıcı Power BI'a ülkesinin veya bölgesinin dışından bağlanıyorsa oturum Bulut için Defender Uygulamaları gerçek zamanlı denetimleri tarafından izlenebilir ve "Çok Gizli" duyarlılık etiketiyle etiketlenmiş verileri indirme gibi riskli eylemler hemen engellenebilir.
  • Bulut için Defender Apps etkinlik günlüğüyle Power BI kullanıcı etkinliğini araştırın. Bulut için Defender Uygulamaları etkinlik günlüğü, Office 365 denetim günlüğünde yakalanan Power BI etkinliğini içerir. Bu etkinlik, tüm kullanıcı ve yönetici etkinlikleriyle ilgili bilgilerin yanı sıra etiket uygulama, değiştirme ve kaldırma gibi ilgili etkinlikler için duyarlılık etiketi bilgilerini içerir. Yönetici, etkili sorun araştırması için Bulut için Defender Uygulamaları gelişmiş filtrelerinden ve hızlı işlemlerden yararlanabilir.
  • Power BI'daki şüpheli kullanıcı etkinlikleri hakkında uyarı almak için özel ilkeler oluşturun. Bulut için Defender Apps etkinlik ilkesi özelliğinden yararlanarak kendi özel kurallarınızı tanımlayabilir, normdan sapan kullanıcı davranışlarını algılamanıza yardımcı olabilir ve hatta çok tehlikeli görünüyorsa bu davranışa otomatik olarak işlem yapabilirsiniz.
  • Bulut için Defender Uygulamaları yerleşik anomali algılama ile çalışın. Bulut için Defender Uygulamaları anomali algılama ilkeleri, başlangıçtan itibaren bulut ortamınızda gelişmiş tehdit algılamayı çalıştırmaya hazır olmanız için kullanıma hazır kullanıcı davranış analizi ve makine öğrenmesi sağlar. Anomali algılama ilkesi şüpheli bir davranış tanımladığında bir güvenlik uyarısı tetikler.
  • Bulut için Defender Uygulamaları portalında Power BI yönetici rolü. Bulut için Defender Uygulamaları, Power BI yöneticilerine yalnızca portaldaki Power BI ile ilgili verilere (uyarılar, risk altında olan kullanıcılar, etkinlik günlükleri ve Power BI ile ilgili diğer bilgiler gibi) erişmeleri için gereken izinleri vermek için kullanılabilecek uygulamaya özgü bir yönetici rolü sağlar.

Ek ayrıntılar için bkz. Power BI'da Bulut için Microsoft Defender Uygulamaları Denetimlerini kullanma.

Güvenlik özelliklerini önizleme

Bu bölümde Mart 2021'e kadar yayımlanması planlanan özellikler listelenmiştir. Bu konuda henüz yayımlanmamış olabilecek özellikler listelendiği için, teslim zaman çizelgeleri değişebilir ve öngörülen işlevler Mart 2021'den sonra yayınlanabilir veya hiç yayımlanmayabilir. Önizlemeler hakkında daha fazla bilgi için lütfen Çevrimiçi Hizmet Koşulları'nı gözden geçirin.

Kendi Log Analytics'inizi Getirin (BYOLA)

Kendi Log Analytics'inizi Getirin, Power BI ile Azure Log Analytics arasında tümleştirme sağlar. Bu tümleştirme Azure Log Analytics'in gelişmiş analiz altyapısını, etkileşimli sorgu dilini ve yerleşik makine öğrenmesi yapılarını içerir.

Power BI güvenlik soruları ve yanıtları

Aşağıdaki sorular, Power BI ile ilgili yaygın güvenlik soruları ve yanıtlarıdır. Bunlar, bu teknik incelemeye ne zaman eklendiklerine göre düzenlenir ve bu makale güncelleştirildiğinde yeni soruları ve yanıtları hızla bulma becerinizi kolaylaştırır. En yeni sorular bu listenin sonuna eklenir.

Kullanıcılar Power BI kullanırken veri kaynaklarına nasıl bağlanır ve bu kaynaklara nasıl erişim elde eder?

  • Power BI, bulut kimlik bilgileri veya kişisel ağ geçidi üzerinden bağlantı için her kullanıcının veri kaynaklarına yönelik kimlik bilgilerini yönetir. Şirket içi veri ağ geçidi tarafından yönetilen veri kaynakları kuruluş genelinde paylaşılabilir ve bu veri kaynaklarına yönelik izinler Ağ Geçidi Yönetici tarafından yönetilebilir. Anlamsal modeli yapılandırırken, kullanıcının kişisel deposundan bir kimlik bilgisi seçmesine veya paylaşılan bir kimlik bilgisi kullanmak için şirket içi veri ağ geçidi kullanmasına izin verilir.

    İçeri aktarma durumunda kullanıcı, kullanıcının oturum açmasına göre bir bağlantı kurar ve verilere kimlik bilgileriyle erişir. Anlam modeli Power BI hizmeti'da yayımlandıktan sonra Power BI verileri içeri aktarmak için her zaman bu kullanıcının kimlik bilgilerini kullanır. Veriler içeri aktarıldıktan sonra raporlarda ve panolarda verileri görüntülemek temel alınan veri kaynağına erişmez. Power BI, seçili veri kaynakları için çoklu oturum açma kimlik doğrulamasını destekler. Bağlantı çoklu oturum açma kullanacak şekilde yapılandırılmışsa, veri kaynağına bağlanmak için anlam modeli sahibinin kimlik bilgileri kullanılır.

    DirectQuery ile bağlantılı raporlar için, veri kaynağı önceden yapılandırılmış bir kimlik bilgisi kullanılarak doğrudan bağlanır; önceden yapılandırılmış kimlik bilgileri, herhangi bir kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için kullanılır. Bir veri kaynağı doğrudan çoklu oturum açma kullanılarak bağlanıyorsa, kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için geçerli kullanıcının kimlik bilgileri kullanılır. Çoklu oturum açma ile kullanıldığında, veri kaynağında Satır Düzeyi Güvenlik (RLS) ve/veya nesne düzeyi güvenlik (OLS) uygulanabilir ve bu sayede kullanıcılar erişim ayrıcalıklarına sahip oldukları verileri görüntüleyebilir. Bağlantı buluttaki veri kaynaklarına olduğunda, çoklu oturum açma için Microsoft Entra kimlik doğrulaması kullanılır; şirket içi veri kaynakları için Kerberos, SAML ve Microsoft Entra Id desteklenir.

    Kerberos ile bağlanırken kullanıcının UPN'si ağ geçidine geçirilir ve Kerberos kısıtlanmış temsili kullanılarak kullanıcı kimliğine bürünülür ve ilgili veri kaynaklarına bağlanır. SAML, SAP HANA veri kaynağı için Ağ Geçidinde de desteklenir. Ağ geçitleri için çoklu oturum açmaya genel bakış bölümünde daha fazla bilgi bulabilirsiniz.

    Veri kaynağı Azure Analysis Services ise veya şirket içi Analysis Services ve Satır Düzeyi Güvenliği (RLS) ve/veya nesne düzeyi güvenlik (OLS) yapılandırılırsa, Power BI hizmeti bu satır düzeyi güvenliği uygular ve temel alınan verilere erişmek için yeterli kimlik bilgileri olmayan kullanıcılar (panoda, raporda veya diğer veri yapıtlarında kullanılan bir sorgu olabilir) kullanıcının yeterli ayrıcalıklara sahip olmadığı verileri görmez.

    Power BI ile satır düzeyi güvenlik, belirli kullanıcılar için veri erişimini kısıtlamak için kullanılabilir. Filtreler veri erişimini satır düzeyinde kısıtlar ve rol içinde filtreler tanımlayabilirsiniz.

    Nesne düzeyinde güvenlik (OLS), hassas tabloların veya sütunların güvenliğini sağlamak için kullanılabilir. Ancak, satır düzeyi güvenliğin aksine, nesne düzeyi güvenlik nesne adlarının ve meta verilerin güvenliğini de sağlar. Bu, kötü amaçlı kullanıcıların bu tür nesnelerin varlığını bile keşfetmesini önlemeye yardımcı olur. Excel veya Power BI gibi raporlama araçları kullanılırken alan listesinde güvenli tablolar ve sütunlar gizleniyor ve ayrıca, izni olmayan kullanıcılar DAX veya başka bir yöntem aracılığıyla güvenli meta veri nesnelerine erişemiyor. Uygun erişim izinleri olmayan kullanıcıların bakış açısından, güvenli tablolar ve sütunlar mevcut değildir.

    Nesne düzeyinde güvenlik, satır düzeyi güvenlikle birlikte raporlarda ve anlam modellerinde gelişmiş kurumsal düzeyde güvenlik sağlar ve yalnızca gerekli izinlere sahip kullanıcıların hassas verileri görüntüleme ve bunlarla etkileşim kurma erişimine sahip olmasını sağlar.

Veriler Power BI'a nasıl aktarılır?

  • Power BI tarafından istenen ve iletilen tüm veriler, veri kaynağından Power BI hizmeti bağlanmak için HTTPS kullanılarak aktarım sırasında şifrelenir (müşteri tarafından seçilen veri kaynağı HTTPS'yi desteklemediği durumlar dışında). Veri sağlayıcısıyla güvenli bir bağlantı kurulur ve yalnızca bu bağlantı kurulduktan sonra veriler ağdan geçirilir.

Power BI rapor, pano veya model verilerini nasıl önbelleğe alır ve güvenli mi?

  • Bir veri kaynağına erişildiğinde, Power BI hizmeti bu belgenin önceki bölümlerindeki Veri Kaynaklarına Kimlik Doğrulaması bölümünde özetlenen işlemi izler.

İstemciler web sayfası verilerini yerel olarak önbelleğe alıyor mu?

  • Tarayıcı istemcileri Power BI'a eriştiğinde, Power BI web sunucuları Cache-Control yönergesini depolanmadı olarak ayarlar. Depolama yok yönergesi, tarayıcılara kullanıcı tarafından görüntülenen web sayfasını önbelleğe almamalarını ve web sayfasını istemcinin önbellek klasöründe depolamamalarını belirtir.

Rol tabanlı güvenlik, raporları veya panoları paylaşma ve veri bağlantıları ne olacak? Bu, veri erişimi, pano görüntüleme, rapor erişimi veya yenileme açısından nasıl çalışır?

  • Rol Düzeyi Güvenliği (RLS) etkin olmayan veri kaynakları için pano, rapor veya veri modeli Power BI aracılığıyla diğer kullanıcılarla paylaşılıyorsa, veriler paylaşıldığı kullanıcılar tarafından görüntülenebilir ve etkileşim kurar. Power BI , kullanıcıların özgün veri kaynağına göre yeniden kimlik doğrulamasını yapmaz ; veriler Power BI'a yüklendikten sonra, kaynak verilerde kimlik doğrulaması yapan kullanıcı, diğer kullanıcıların ve grupların verileri görüntüleyebileceği verileri yönetmekle sorumludur.

    Analysis Services veri kaynağı gibi RLS özellikli bir veri kaynağına veri bağlantıları yapıldığında, Power BI'da yalnızca pano verileri önbelleğe alınır. RLS özellikli veri kaynağından verileri kullanan bir rapor veya anlam modeli Power BI'da her görüntülendiğinde veya bu modele erişildiğinde, Power BI hizmeti kullanıcının kimlik bilgilerine göre veri almak için veri kaynağına erişir ve yeterli izinler varsa, veriler söz konusu kullanıcının raporuna veya veri modeline yüklenir. Kimlik doğrulaması başarısız olursa kullanıcı bir hata görür.

    Daha fazla bilgi için bu belgenin önceki bölümlerinde yer alan Veri Kaynaklarına Kimlik Doğrulaması bölümüne bakın.

Kullanıcılarımız her zaman aynı veri kaynaklarına bağlanır ve bazıları etki alanı kimlik bilgilerinden farklı kimlik bilgileri gerektirir. Her veri bağlantısı yaptıklarında bu kimlik bilgilerini girmekten nasıl kaçınabilir?

  • Power BI, kullanıcıların birden çok farklı veri kaynağı için kimlik bilgileri oluşturmasına ve ardından bu veri kaynaklarının her birine erişirken otomatik olarak bu kimlik bilgilerini kullanmasına olanak tanıyan bir özellik olan Power BI Personal Gateway'i sunar. Daha fazla bilgi için bkz . Power BI Personal Gateway.

Şirket içi veri ağ geçidi ve kişisel ağ geçidi hangi bağlantı noktaları tarafından kullanılır? Bağlantı amacıyla izin verilen etki alanı adları var mı?

Şirket içi veri ağ geçidiyle çalışırken kurtarma anahtarları nasıl kullanılır ve nerede depolanır? Güvenli kimlik bilgileri yönetimi ne olacak?

  • Ağ geçidi yüklemesi ve yapılandırması sırasında, yönetici bir ağ geçidi Kurtarma Anahtarı'na yazar. Bu Kurtarma Anahtarı güçlü bir AES simetrik anahtarı oluşturmak için kullanılır. Aynı anda bir RSA asimetrik anahtarı da oluşturulur.

    Oluşturulan bu anahtarlar (RSA ve AES), yerel makinede bulunan bir dosyada depolanır. Bu dosya da şifrelenir. Dosyanın içeriğinin şifresi yalnızca söz konusu Windows makinesi tarafından ve yalnızca söz konusu ağ geçidi hizmet hesabı tarafından çözülebilir.

    Kullanıcı Power BI hizmeti kullanıcı arabirimine veri kaynağı kimlik bilgilerini girdiğinde, kimlik bilgileri tarayıcıda ortak anahtarla şifrelenir. Ağ geçidi, RSA özel anahtarını kullanarak kimlik bilgilerinin şifresini çözer ve veriler Power BI hizmeti depolanmadan önce bunları AES simetrik anahtarıyla yeniden şifreler. Bu işlemle Power BI hizmeti hiçbir zaman şifrelenmemiş verilere erişemez.

Şirket içi veri ağ geçidi hangi iletişim protokollerini kullanır ve bunların güvenliği nasıl sağlanır?

  • Ağ geçidi aşağıdaki iki iletişim protokollerini destekler:

    • AMQP 1.0 – TCP + TLS: Bu protokol 443, 5671-5672 ve 9350-9354 numaralı bağlantı noktalarının giden iletişim için açık olmasını gerektirir. İletişim yükü daha düşük olduğundan bu protokol tercih edilir.

    • HTTPS – HTTPS + TLS üzerinden WebSockets: Bu protokol yalnızca 443 numaralı bağlantı noktasını kullanır. WebSocket tek bir HTTP CONNECT iletisiyle başlatılır. Kanal kurulduktan sonra iletişim temelde TCP+TLS'dir. Şirket içi ağ geçidi makalesinde açıklanan bir ayarı değiştirerek ağ geçidini bu protokolü kullanmaya zorlayabilirsiniz.

Power BI'da Azure CDN'nin rolü nedir?

  • Daha önce belirtildiği gibi Power BI, gerekli statik içeriği ve dosyaları coğrafi yerel ayara göre kullanıcılara verimli bir şekilde dağıtmak için Azure Content Delivery Network'u (CDN) kullanır. Daha ayrıntılı bilgi için Power BI hizmeti, gerekli statik içeriği ve dosyaları kullanıcılara genel İnternet üzerinden verimli bir şekilde dağıtmak için birden çok CDN kullanır. Bu statik dosyalar ürün indirmeleri (Power BI Desktop, şirket içi veri ağ geçidi veya çeşitli bağımsız hizmet sağlayıcılarından Power BI uygulamaları gibi), Power BI hizmeti ile sonraki bağlantıları başlatmak ve kurmak için kullanılan tarayıcı yapılandırma dosyalarının yanı sıra ilk güvenli Power BI oturum açma sayfasını içerir.

    kullanıcının tarayıcısı, Power BI hizmeti ilk bağlantı sırasında sağlanan bilgilere dayanarak, tarayıcının Power BI hizmeti etkileşimini etkinleştirmek için gereken belirtilen ortak dosyaların koleksiyonunu indirmek için belirtilen Azure CDN'ye (veya bazı dosyalar için WFE' ye) bağlanır. Tarayıcı sayfası daha sonra Power BI hizmeti tarayıcı oturumu süresince Microsoft Entra belirtecini, oturum bilgilerini, ilişkili arka uç kümesinin konumunu ve Azure CDN ve WFE kümesinden indirilen dosya koleksiyonunu içerir.

Microsoft, Power BI görselleri için öğeleri Galeri'de yayımlamadan önce özel görsel kodun güvenlik veya gizlilik değerlendirmesini yapar mı?

  • Hayır Özel görsel kodun gözden geçirilmesi ve kullanılması gerekip gerekmediğini belirlemek müşterinin sorumluluğundadır. Tüm özel görsel kodları korumalı alan ortamında çalıştırılır, böylece özel görseldeki hatalı kodlar Power BI hizmeti geri kalanını olumsuz yönde etkilemez.

Müşteri ağı dışında bilgi gönderen başka Power BI görselleri var mı?

  • Evet. Bing Haritalar ve ESRI görselleri, bu hizmetleri kullanan görseller için verileri Power BI hizmeti iletir.

Şablon uygulamaları için Microsoft, öğeleri Galeri'de yayımlamadan önce şablon uygulamasının güvenlik veya gizlilik değerlendirmesini yapar mı?

  • Hayır İçerik, müşterinin şablon uygulaması yayımcısına güvenip güvenmeyeceğini gözden geçirmek ve belirlemek müşterinin sorumluluğundadır.

Müşteri ağı dışında bilgi gönderebilen şablon uygulamaları var mı?

  • Evet. Yayımcının gizlilik ilkesini gözden geçirmek ve şablon uygulamasının kiracıya yüklenip yüklenmeyeceğini belirlemek müşterinin sorumluluğundadır. Yayımcı, müşteriye uygulamanın davranışı ve özellikleri hakkında bilgi vermekle sorumludur.

Peki ya veri hakimiyeti? Verilerin ülke veya bölge sınırlarından çıkmadığından emin olmak için belirli coğrafyalarda bulunan veri merkezlerinde kiracı sağlayabilir miyiz?

  • Belirli coğrafyalardaki bazı müşterilerin, veri depolama ve işlemenin diğer tüm veri merkezlerinden ayrı tutulduğu ulusal/bölgesel bir bulutta kiracı oluşturma seçeneği vardır. Ulusal/Bölgesel bulutlar, ayrı bir veri mütevellisi Microsoft adına ulusal/bölgesel bulut Power BI hizmeti çalıştırdığından biraz farklı bir güvenlik türüne sahiptir.

    Alternatif olarak, müşteriler belirli bir bölgede kiracı da ayarlayabilir. Ancak, bu kiracıların Microsoft'tan ayrı bir veri güvene sahip değildir. Ulusal/bölgesel bulutların fiyatlandırması genel kullanıma sunulan ticari Power BI hizmeti farklıdır. Ulusal/bölgesel bulutlar için Power BI hizmeti kullanılabilirlik hakkında daha fazla bilgi için bkz. Power BI ulusal/bölgesel bulutları.

Microsoft, Power BI Premium abonelikleri olan müşteriler için bağlantıları nasıl ele almaktadır? Bu bağlantılar Premium olmayan Power BI hizmeti için kurulan bağlantılardan farklı mı?

  • Power BI Premium aboneliklerine sahip müşteriler için kurulan bağlantılar, erişim denetimi ve yetkilendirmeyi etkinleştirmek için Microsoft Entra Id kullanarak bir Microsoft Entra işletmeler arası (B2B) yetkilendirme işlemi uygular. Power BI, Power BI Premium abonelerinden Power BI Premium kaynaklarına olan bağlantıları diğer Tüm Microsoft Entra kullanıcılarında olduğu gibi işler.

WFE'de sunucu tarafı kimlik doğrulaması nasıl çalışır?

  • Kullanıcı kimlik doğrulaması dizisi hizmet tarafı kimlik doğrulaması, aşağıdaki adımlarda açıklandığı gibi gerçekleşir ve bunları izleyen görüntüde gösterilmiştir.

  1. Kullanıcı, adres çubuğuna Power BI adresini yazarak veya Power BI pazarlama sayfasından (https://powerbi.microsoft.com ) Oturum aç'ı seçerek tarayıcıdan Power BI hizmeti bağlantı başlatır. Bağlantı TLS 1.2 ve HTTPS kullanılarak kurulur ve tarayıcı ile Power BI hizmeti arasındaki sonraki tüm iletişimlerde HTTPS kullanılır.

  2. Azure Traffic Manager, Power BI'ın dağıtıldığı en uygun (genellikle en yakın) veri merkezini belirlemek için kullanıcının DNS kaydını denetler ve DNS'ye kullanıcının gönderilmesi gereken WFE kümesinin IP adresiyle yanıt verir.

  3. WFE daha sonra kullanıcıyı Microsoft Online Services oturum açma sayfasına yönlendirir.

  4. Kullanıcının kimliği doğrulandıktan sonra, oturum açma sayfası kullanıcıyı kimlik doğrulama koduyla önceden belirlenen en yakın Power BI hizmeti WFE kümesine yönlendirir.

  5. WFE kümesi, kimlik doğrulama kodunu kullanarak bir Microsoft Entra güvenlik belirteci almak için Microsoft Entra Kimliği ile denetler. Microsoft Entra Id kullanıcının başarılı kimlik doğrulamasını döndürdüğünde ve bir Microsoft Entra güvenlik belirteci döndürdüğünde WFE kümesi, kiracıların ve power BI arka uç kümesi konumlarının listesini tutan ve kullanıcının kiracısını hangi Power BI arka uç hizmet kümesinin içerdiğini belirleyen Power BI Genel Hizmeti'ne başvurur. WFE kümesi daha sonra kullanıcının tarayıcısına, işlemi için gereken oturum, erişim ve yönlendirme bilgilerini içeren bir uygulama sayfası döndürür.

  6. Şimdi, istemcinin tarayıcısı müşteri verilerini gerektirdiğinde, Yetkilendirme üst bilgisinde Microsoft Entra erişim belirteci ile arka uç küme adresine istek gönderir. Power BI arka uç kümesi Microsoft Entra erişim belirtecini okur ve isteğin kimliğinin geçerli olduğundan emin olmak için imzayı doğrular. Microsoft Entra erişim belirtecinin, Microsoft Entra ilkelerine göre ayarlanmış bir süre sonu tarihi olacaktır ve geçerli oturumu korumak için kullanıcının tarayıcısında Power BI İstemcisi erişim belirtecini süresi dolmadan önce yenilemek için düzenli isteklerde bulunur.

WFE Kimlik Doğrulaması sırasını gösteren diyagram.

Ek kaynaklar

Power BI hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın.