Power BI güvenlik teknik incelemesi

Özet: Power BI, Microsoft'un self servis İş Zekası panolarını, raporlarını, veri kümelerini ve görselleştirmelerini kolayca ve hızlı bir şekilde oluşturmanızı sağlayan bir çevrimiçi yazılım hizmeti (SaaS veya Hizmet Olarak Yazılım) teklifidir. Power BI ile birçok farklı veri kaynağına bağlanabilir, bu bağlantılardan gelen verileri birleştirip şekillendirebilir ve ardından başkalarıyla paylaşılabilen rapor ve panolar oluşturabilirsiniz.

Yazar: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Bogdan Crivat

Teknik Gözden Geçirenler: Cristian Petculescu, Amir Netz, Sergei Gundorov

Şunlar için geçerlidir: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics Power BI Mobil

Not

Tarayıcınızdan Yazdır'ı ve ardından PDF Olarak Kaydet'i seçerek bu teknik incelemeyi kaydedebilir veya yazdırabilirsiniz.

Giriş

Power BI, Microsoft’un çevrimiçi yazılım hizmeti (SaaS veya Hizmet olarak Yazılım) teklifidir. Bu hizmet, kolayca ve hızla self servis İş Zekası panoları, raporları, veri kümeleri ve görselleştirmeleri oluşturmanıza olanak tanır. Power BI ile birçok farklı veri kaynağına bağlanabilir, bu bağlantılardan gelen verileri birleştirip şekillendirebilir ve ardından başkalarıyla paylaşılabilen rapor ve panolar oluşturabilirsiniz.

Dünya hızla değişiyor; kuruluşlar hızlandırılmış bir dijital dönüşümden geçiyor ve uzaktan çalışmada büyük bir artış, çevrimiçi hizmetler için artan müşteri talebi ve operasyonlarda ve iş kararlarında gelişmiş teknolojilerin kullanımının artmasıyla karşılaşıyoruz. Tüm bunlar bulut tarafından desteklenir.

Buluta geçiş bir karmaşıklıktan taşmaya dönüştükçe ve beraberinde gelen yeni, kullanıma açık yüzey alanıyla birlikte, giderek daha fazla şirket verilerimin bulutta ne kadar güvenli olduğunu soruyor ve Hassas verilerimin sızmasını önlemek için uçtan uca hangi koruma kullanılabilir? Kuruluştaki en stratejik bilgilerden bazılarını sıklıkla ele alan BI platformları için bu sorular iki kat önemlidir.

Bi güvenlik modelinin onlarca yıllık temelleri (nesne düzeyi ve satır düzeyi güvenlik) hala önemli olsa da, artık bulut çağında gereken güvenlik türünü sağlamak için yeterli olmadığı açıktır. Bunun yerine kuruluşların iş zekası verileri için bulutta yerel, çok katmanlı, derinlemesine savunma güvenlik çözümü araması gerekir.

Power BI, veriler için sektör lideri eksiksiz ve hermetik koruma sağlamak üzere oluşturulmuştu. Ürün, sektördeki en yüksek güvenlik sınıflandırmalarını kazanmıştır ve bugün birçok ulusal güvenlik kurumu, finans kuruluşu ve sağlık hizmeti sağlayıcısı en hassas bilgilerini ona emanet eder.

Her şey temelden başlar. 2000'li yılların başındaki zorlu bir dönemden sonra Microsoft, güvenlik açıklarını gidermek için çok büyük yatırımlar yaptı ve sonraki on yıllarda makine yonga bios çekirdeği kadar derine inen ve son kullanıcı deneyimlerine kadar uzanan çok güçlü bir güvenlik yığını oluşturmİştir. Bu derin yatırımlar devam ediyor ve bugün 3.500'den fazla Microsoft mühendisi Microsoft'un güvenlik yığınını oluşturup geliştirmeye ve sürekli değişen tehdit ortamına proaktif bir şekilde değiniyor. Milyarlarca bilgisayar, trilyonlarca oturum açma bilgisi ve Sayısız zettabaytlarca bilgi Microsoft'un korumasına emanet edildiğinde, şirket artık teknoloji sektöründeki en gelişmiş güvenlik yığınına sahiptir ve kötü niyetli aktörlere karşı mücadelede genel lider olarak görülür.

Power BI bu çok güçlü temeli temel alır. Azure'a dünyanın en hassas verilerine hizmet etme ve koruma hakkı kazandıran güvenlik yığınını kullanır ve Microsoft 365'in en gelişmiş bilgi koruma ve uyumluluk araçlarıyla tümleştirilir. Bunların yanı sıra, çok katmanlı güvenlik önlemleriyle güvenlik sağlayarak bulut çağının benzersiz zorluklarıyla başa çıkmak için tasarlanmış uçtan uca koruma sağlar.

Hassas varlıkları korumaya yönelik uçtan uca bir çözüm sağlamak için ürün ekibinin aynı anda birden çok cephede zorlu müşteri sorunlarını gidermesi gerekiyordu:

  • Kimlerin bağlanabileceğini, nereden bağlandıklarını ve nasıl bağlandıklarını nasıl denetleriz?Bağlantıları nasıl denetleyebiliriz?
  • Veriler nasıl depolanır?Nasıl şifrelenir?Verilerim üzerinde hangi denetimlere sahibim?
  • Hassas verilerimi denetleme ve koruma Nasıl yaparım??Bu verilerin kuruluş dışına sızmadığından emin Nasıl yaparım??
  • Hangi işlemleri kimin yürüttüğünü denetleyen Nasıl yaparım??Hizmette şüpheli bir etkinlik varsa hızlı tepki Nasıl yaparım??

Bu makalede tüm bu soruların kapsamlı bir yanıtı verilmektedir. Hizmet mimarisine genel bir bakışla başlar ve sistemdeki ana akışların nasıl çalıştığını açıklar. Daha sonra kullanıcıların Power BI'da nasıl kimlik doğrulaması yapıldığını, veri bağlantılarının nasıl kurulduğunu ve Power BI'ın hizmette verileri nasıl depolayıp taşınduğunu açıklamak için devam eder. Son bölümde, hizmet yöneticisi olarak en değerli varlıklarınızı korumanıza olanak sağlayan güvenlik özellikleri ele alınmaktadır.

Power BI hizmeti Microsoft Online Services Koşulları ve Microsoft Kurumsal Gizlilik Bildirimi koşullarına tabidir. Veri işleme konumu için Microsoft Online Services Koşulları'ndaki Veri İşleme Konumu koşullarına ve Veri Koruma Eki'ne bakın. Uyumluluk bilgileri için Microsoft Güven Merkezi Power BI’ın birincil kaynağıdır. Power BI takımı müşterilerine en son yenilikleri ve üretkenlik çözümlerini getirmek için çalışıyor. Microsoft uyumluluk tekliflerinde uyumluluk hakkında daha fazla bilgi edinin.

Power BI hizmeti, güvenlik güvencesi ve uyumluluk gereksinimlerini destekleyen katı güvenlik uygulamaları olan Güvenlik Geliştirme Yaşam Döngüsü'ne (SDL) uyar. SDL, geliştiricilerin yazılımdaki güvenlik açıklarının sayısını ve önem derecesini azaltırken geliştirme maliyetini azaltarak daha güvenli yazılımlar oluşturmalarına yardımcı olur. Daha fazla bilgi için bkz. Microsoft Güvenlik Geliştirme Yaşam Döngüsü Uygulamaları.

Power BI mimarisi

Power BI hizmeti, Microsoft'un bulut bilişim platformu Azure'da oluşturulmuş. Power BI şu anda dünyanın her yerinde birçok veri merkezine dağıtılmıştır. Bu veri merkezlerinin hizmet verdiği bölgelerdeki müşterilerin kullanıma sunulan çok sayıda etkin dağıtım bulunur ve her etkin dağıtım için yedekleme işlevi gören, edilgen dağıtımlar vardır.

WFE ve Arka Uç

Web ön uç kümesi (WFE)

WFE kümesi, kullanıcının tarayıcısına site yükündeki ilk HTML sayfası içeriğini sağlar ve istemcilerin kimliğini doğrulamak ve Power BI arka uç hizmetine yönelik sonraki istemci bağlantıları için belirteçler sağlamak üzere Azure Active Directory (Azure AD) kullanarak Power BI için ilk bağlantı ve kimlik doğrulama işlemini yönetir.

WEF Kümesi

WFE kümesi, Azure App Service Ortamında çalışan bir ASP.NET web sitesinden oluşur. Kullanıcılar Power BI hizmeti bağlanmaya çalıştığında, istemcinin DNS hizmeti Bir Power BI dağıtımıyla en uygun (genellikle en yakın) veri merkezini bulmak için Azure Traffic Manager ile iletişim kurabilir. Bu işlem hakkında daha fazla bilgi için bkz. Azure Traffic Manager için performans trafik yönlendirme yöntemi.

Kullanıcıya atanan WFE kümesi oturum açma ve kimlik doğrulama sırasını yönetir (bu makalenin ilerleyen bölümlerinde açıklanmıştır) ve kimlik doğrulaması başarılı olduğunda Azure AD erişim belirteci alır. WFE kümesindeki ASP.NET bileşeni, belirteci ayrıştırarak kullanıcının hangi kuruluşa ait olduğunu belirler ve ardından Power BI Genel Hizmeti'ne başvurur. WFE, kuruluşun kiracısını barındıran arka uç kümesini tarayıcıya belirtir. Kullanıcının kimliği doğrulandıktan sonra, müşteri verileri için sonraki istemci etkileşimleri doğrudan arka uç veya Premium kümeyle gerçekleşir ve WFE bu istekler için bir aracı olmaz.

*.js, *.css ve görüntü dosyaları gibi statik kaynaklar çoğunlukla Azure Content Delivery Network'te (CDN) depolanır ve doğrudan tarayıcı tarafından alınır. Bağımsız Kamu kümesi dağıtımlarının bu kural için bir özel durum olduğunu ve uyumluluk nedenleriyle CDN'yi atlayıp bunun yerine statik içerik barındırmak için uyumlu bir bölgeden WFE kümesi kullanacağını unutmayın.

Power BI arka uç kümesi (BE)

Arka uç kümesi, Power BI'daki tüm işlevlerin omurgasını oluşturur. Web Ön Uç ve API istemcileri tarafından kullanılan çeşitli hizmet uç noktalarının yanı sıra arka plan çalışma hizmetleri, veritabanları, önbellekler ve diğer çeşitli bileşenlerden oluşur.

Arka uç çoğu Azure bölgesinde kullanılabilir ve kullanıma sunulduklarında yeni bölgelerde dağıtılmaktadır. Tek bir Azure bölgesi, tek bir kümenin dikey ve yatay ölçeklendirme sınırları tükendiğinde Power BI hizmeti sınırsız yatay ölçeklendirmeye olanak sağlayan bir veya daha fazla arka uç kümesi barındırıyor.

Her arka uç kümesi durum bilgisi olan ve bu kümeye atanan tüm kiracıların tüm verilerini barındırıyor. Belirli bir kiracının verilerini içeren küme, kiracının ev kümesi olarak adlandırılır. Kimliği doğrulanmış bir kullanıcının ev kümesi bilgileri Genel Hizmet tarafından sağlanır ve Web Ön Ucu tarafından istekleri kiracının giriş kümesine yönlendirmek için kullanılır.

Her arka uç kümesi, belirli görevleri, SQL veritabanları, depolama hesapları, hizmet veri yolları, önbellekler ve diğer gerekli bulut bileşenleri gibi durum bilgisi olan kaynakları gerçekleştirmek için ayarlanmış birden çok yeniden boyutlandırılabilir ölçek kümesinde birleştirilmiş birden çok sanal makineden oluşur.

Kiracı meta verileri ve verileri, aynı Azure coğrafyasında eşleştirilmiş bir Azure bölgesindeki ikincil bir arka uç kümesine veri çoğaltma dışında küme sınırları içinde depolanır. İkincil arka uç kümesi, bölgesel kesinti durumunda yük devretme kümesi görevi görür ve başka herhangi bir zamanda pasiftir.

Arka uç işlevselliği, kümenin sanal ağı içindeki farklı makinelerde çalışan ve genel İnternet'ten erişilebilen iki bileşen dışında dışarıdan erişilmeyen mikro hizmetler tarafından sunulur:

  • Ağ Geçidi Hizmeti
  • Azure API Management

Arka uç kümesi

altyapıyı Power BI Premium

Power BI Premium, Veri Akışları, Sayfalandırılmış Raporlar, yapay zeka gibi premium Power BI özelliklerine ihtiyaç duyan aboneler için bir hizmet sunar. Bir müşteri Power BI Premium aboneliğine kaydolduğunda Premium kapasite Azure Resource Manager aracılığıyla oluşturulur.

Power BI Premium kapasiteler, normal Power BI arka ucundan bağımsız arka uç kümelerinde barındırılır ; yukarıya bakın). Bu, Premium teklifte daha iyi yalıtım, kaynak ayırma, desteklenebilirlik, güvenlik yalıtımı ve ölçeklenebilirlik sağlar.

Aşağıdaki diyagramda Power BI Premium altyapısının mimarisi gösterilmektedir:

Power BI Premium

Power BI Premium altyapısıyla bağlantı, kullanıcı senaryosuna bağlı olarak çeşitli yollarla yapılabilir. Power BI Premium istemcileri bir kullanıcının tarayıcısı, normal bir Power BI arka ucu, XMLA istemcileri aracılığıyla doğrudan bağlantılar, ARM API'leri vb. olabilir.

Azure bölgesindeki Power BI Premium altyapısı birden çok Power BI Premium kümesinden oluşur (en düşük değer bir kümedir). Premium kaynakların çoğu küme içinde kapsüllenir (örneğin, işlem) ve bazı yaygın bölgesel kaynaklar (örneğin, meta veri depolama) vardır. Premium altyapı, bir bölgede yatay ölçeklenebilirlik elde etmenin iki yolunu sağlar: kümelerin içindeki kaynakları artırma ve/veya gerektiğinde isteğe bağlı olarak daha fazla küme ekleme (küme kaynakları sınırlarına yaklaşıyorsa).

Her kümenin omurgası , sanal makine ölçek kümeleri ve Azure Service Fabric tarafından yönetilen işlem kaynaklarıdır. Sanal makine ölçek kümeleri ve Service Fabric, kullanım büyüdükçe işlem düğümlerinin hızlı ve sorunsuz bir şekilde artmasına olanak tanır ve Power BI Premium hizmet ve uygulamalarının dağıtımını, yönetimini ve izlenmesini düzenler.

Güvenli ve güvenilir bir altyapı sağlayan birçok çevre kaynağı vardır: yük dengeleyiciler, sanal ağlar, ağ güvenlik grupları, hizmet veri yolu, depolama vb. Power BI Premium için gereken tüm gizli diziler, anahtarlar ve sertifikalar yalnızca Azure Key Vault tarafından yönetilir. Tüm kimlik doğrulamaları yalnızca Azure AD ile tümleştirme yoluyla yapılır.

Power BI Premium altyapısına gelen tüm istekler önce ön uç düğümlerine gider; bunlar dış bağlantılar için kullanılabilen tek düğümlerdir. Kalan kaynaklar sanal ağların arkasına gizlenir. Ön uç düğümleri isteğin kimliğini doğrular, işler veya uygun kaynaklara (örneğin arka uç düğümleri) iletir.

Arka uç düğümleri, Power BI Premium özelliklerinin ve özelliklerinin çoğunu sağlar.

Power BI Mobil

Power BI Mobil, üç birincil mobil platform için tasarlanmış bir uygulama koleksiyonudur: Android, iOS ve Windows (UWP). Power BI Mobil uygulamaları için güvenlikle ilgili dikkat edilmesi gerekenler iki kategoriye ayrılır:

  • Cihaz iletişimi
  • Cihazdaki uygulama ve veriler

Cihaz iletişimi için, tüm Power BI Mobil uygulamalar Power BI hizmeti ile iletişim kurar ve tarayıcılar tarafından kullanılan ve bu teknik incelemenin başlarında ayrıntılı olarak açıklanan aynı bağlantı ve kimlik doğrulama dizilerini kullanır. iOS ve Android için Power BI mobil uygulamaları uygulamanın kendi içinde bir tarayıcı oturumu getirirken, Windows mobil uygulaması Power BI ile iletişim kanalını kurmak için bir aracı getirir (oturum açma işlemi için).

Aşağıdaki tabloda, mobil cihaz platformuna dayalı olarak Power BI Mobil için sertifika tabanlı kimlik doğrulaması (CBA) desteği gösterilmektedir:

CBA desteği iOS Android Windows
Power BI (hizmette oturum açın) Desteklenir Desteklenir Desteklenmez
Şirket içi SSRS ADFS (SSRS sunucusuna bağlan) Desteklenmez Desteklenir Desteklenmez
SSRS Uygulama Ara Sunucusu Desteklenir Desteklenir Desteklenmez

Power BI Mobil uygulamaları Power BI hizmetiyle etkin bir iletişim kurar. Telemetri, mobil uygulama kullanım istatistiklerini ve benzer verileri toplamak için kullanılır. Bu veriler, kullanımı ve etkinliği izlemek için kullanılan hizmetlere iletilir; telemetri ile müşteri verileri gönderilmez.

Power BI uygulaması, uygulamanın kullanımını kolaylaştıran verileri cihazda depolar:

  • Azure AD ve yenileme belirteçleri, endüstri standardı güvenlik önlemleri kullanılarak cihazdaki güvenli bir mekanizmada depolanır.
  • Veriler ve ayarlar (kullanıcı yapılandırması için anahtar-değer çiftleri) cihazdaki depolama alanında önbelleğe alınır ve işletim sistemi tarafından şifrelenebilir. iOS'ta bu, kullanıcı bir geçiş kodu ayarladığında otomatik olarak gerçekleştirilir. Android'de bu ayardan yapılandırılabilir. Windows'ta BitLocker kullanılarak gerçekleştirilir.
  • Android ve iOS uygulamaları için veriler ve ayarlar (kullanıcı yapılandırması için anahtar-değer çiftleri) cihazda yalnızca uygulamanın erişebildiği bir korumalı alanda ve dahili depolama alanında önbelleğe alınır. Windows uygulaması için verilere yalnızca kullanıcı (ve sistem yöneticisi) erişebilir.
  • Coğrafi konum kullanıcı tarafından açıkça etkinleştirilir veya devre dışı bırakılır. Etkinleştirilirse coğrafi konum verileri cihaza kaydedilmez ve Microsoft ile paylaşılmaz.
  • Bildirimler kullanıcı tarafından açıkça etkinleştirilir veya devre dışı bırakılır. Etkinleştirilirse, Android ve iOS bildirimler için coğrafi veri yerleşimi gereksinimlerini desteklemez.

Veri şifrelemesi, mobil cihaz ve uygulama yönetimi sağlayan bir yazılım hizmeti olan Microsoft Intune aracılığıyla dosya düzeyinde şifreleme uygulanarak geliştirilebilir. Power BI Mobil kullanılabilir olduğu üç platform da Intune destekler. Intune etkinleştirilip yapılandırıldığında, mobil cihazlardaki veriler şifrelenir ve Power BI uygulamasının kendisi bir SD karta yüklenemez. Microsoft Intune hakkında daha fazla bilgi edinin.

Windows uygulaması, Windows Information Protection'ı (WIP) da destekler.

SSO uygulamak için, belirteç tabanlı kimlik doğrulamasıyla ilgili bazı güvenli depolama değerleri diğer Microsoft 1. taraf uygulamaları (Microsoft Authenticator gibi) için kullanılabilir ve Azure Active Directory Kimlik Doğrulama Kitaplığı (ADAL) SDK'sı tarafından yönetilir.

Power BI Mobil önbelleğe alınan veriler uygulama kaldırıldığında, kullanıcı Power BI Mobil oturumunu kapattığında veya kullanıcı oturum açamadığında (örneğin, belirteç süre sonu olayından veya parola değişikliğinden sonra) silinir. Veri önbelleği daha önce Power BI Mobil uygulamasından erişilen panoları ve raporları içerir.

Power BI Mobil cihazdaki diğer uygulama klasörlerine veya dosyalarına erişmez.

iOS ve Android için Power BI uygulamaları, Face ID, Touch ID veya iOS için geçiş kodu ve Android için biyometrik veriler (Parmak İzi Kimliği) sağlama gibi ek tanımlamalar yapılandırarak verilerinizi korumanıza olanak sağlar. Ek tanımlama hakkında daha fazla bilgi edinin.

Power BI hizmeti kimlik doğrulaması

Power BI hizmetinde kullanıcı kimlik doğrulaması bir dizi istek, yanıt ve kullanıcının tarayıcısı ile Power BI hizmeti veya Power BI tarafından kullanılan Azure hizmeti arasında gerçekleşen yeniden yönlendirmeden oluşur. Bu dizi, Azure Active Directory'nin kimlik doğrulama kodu verme akışını izleyen Power BI'da kullanıcı kimlik doğrulaması işlemini açıklar. Kuruluşun kullanıcı kimlik doğrulama modellerine (oturum açma modelleri) yönelik seçenekler hakkında daha fazla bilgi için bkz. Microsoft 365 için oturum açma modeli seçme.

Kimlik doğrulama dizisi

Power BI hizmeti için kullanıcı kimlik doğrulama sırası, aşağıdaki adımlarda açıklandığı gibi gerçekleşir ve bunları izleyen görüntüde gösterilmiştir.

  1. Kullanıcı, adres çubuğuna Power BI adresini yazarak veya Power BI giriş sayfasından (https://powerbi.microsoft.com ) Oturum aç'ı seçerek tarayıcıdan Power BI hizmeti bağlantı başlatır. Bağlantı, TLS 1.2 ve HTTPS kullanarak kurulur ve daha sonra tarayıcı ile Power BI hizmeti arasındaki tüm bağlantılarda HTTPS kullanılır.

  2. Azure Traffic Manager, Power BI'ın dağıtıldığı en uygun (genellikle en yakın) veri merkezini belirlemek için kullanıcının DNS kaydını denetler ve DNS'ye kullanıcının gönderilmesi gereken WFE kümesinin IP adresiyle yanıt verir.

  3. WFE daha sonra kullanıcıyı Microsoft Online Services oturum açma sayfasına yönlendirir.

  4. Kullanıcının kimliği doğrulandıktan sonra, oturum açma sayfası kullanıcıyı kimlik doğrulama koduyla önceden belirlenen en yakın Power BI hizmeti WFE kümesine yönlendirir.

  5. WFE kümesi, kimlik doğrulama kodunu kullanarak Azure AD bir güvenlik belirteci almak için Azure AD hizmetiyle birlikte denetler. Azure AD kullanıcının başarılı kimlik doğrulamasını döndürdüğünde ve Azure AD bir güvenlik belirteci döndürdüğünde WFE kümesi, kiracıların ve Power BI arka uç kümesi konumlarının listesini koruyan ve kullanıcının kiracısını hangi Power BI arka uç hizmet kümesinin içerdiğini belirleyen Power BI Genel Hizmeti'ne başvurur. WFE kümesi daha sonra kullanıcının tarayıcısına, işlemi için gereken oturum, erişim ve yönlendirme bilgilerini içeren bir uygulama sayfası döndürür.

  6. Şimdi, istemcinin tarayıcısı müşteri verilerini gerektirdiğinde, Yetkilendirme üst bilgisindeki Azure AD erişim belirteciyle arka uç küme adresine istek gönderir. Power BI arka uç kümesi, Azure AD erişim belirtecini okur ve isteğin kimliğinin geçerli olduğundan emin olmak için imzayı doğrular. Azure AD erişim belirtecinin varsayılan ömrü 1 saattir ve geçerli oturumu korumak için kullanıcının tarayıcısı erişim belirtecini süresi dolmadan önce yenilemek için düzenli isteklerde bulunur.

Kimlik doğrulama dizisi

Veri yerleşimi

Belgelerde aksi belirtilmediği sürece Power BI, müşteri verilerini Azure AD bir kiracı Power BI hizmetlerine ilk kez kaydolduğunda atanan bir Azure coğrafyasında depolar. Azure AD kiracısı, kullanıcı ve uygulama kimliklerini, grupları ve bir kuruluş ve onun güvenliğiyle ilgili diğer ilgili bilgileri barındırmaktadır.

Kiracı veri depolaması için Azure coğrafyası ataması, Azure AD kiracı kurulumunun bir parçası olarak seçilen ülke veya bölge bir Power BI dağıtımının bulunduğu en uygun Azure coğrafyasına eşlenerek gerçekleştirilir. Bu belirleme yapıldıktan sonra, kuruluşların çok coğrafi dağıtımları kullandığı durumlar dışında tüm Power BI müşteri verileri bu seçilen Azure coğrafyasında ( ana bölge olarak da bilinir) depolanır.

Birden çok coğrafya (çoklu coğrafi bölge)

Bazı kuruluşların genel bir varlığı vardır ve birden çok Azure coğrafyasında Power BI hizmetleri gerektirebilir. Örneğin, bir işletmenin merkezi Birleşik Devletler olabilir, ancak Avustralya gibi diğer coğrafi bölgelerde de iş yapabilir. Bu gibi durumlarda işletme, yerel düzenlemelere uymak için belirli Power BI verilerinin uzak bölgede bekletilmeye devam etmelerini gerektirebilir. Power BI hizmeti bu özelliği multi-geo olarak adlandırılır.

Çok coğrafi bir çalışma alanına atanan sorgu yürütme katmanı, sorgu önbellekleri ve yapıt verileri barındırılır ve uzak kapasite Azure coğrafyasında kalır. Ancak rapor yapısı gibi bazı yapıt meta verileri kiracının giriş coğrafi alanında depolanmış olarak kalabilir. Buna ek olarak, çok coğrafi bir Premium kapasitede barındırılan çalışma alanları için bile bazı veri aktarım ve işleme işlemleri kiracının giriş coğrafi alanında gerçekleşebilir.

Birden çok Azure coğrafyasını kapsayan Power BI dağıtımlarını oluşturma ve yönetme hakkında daha fazla bilgi için bkz. Power BI Premium için Multi-Geo desteğini yapılandırma.

Bölgeler ve veri merkezleri

Power BI hizmetleri, Microsoft Güven Merkezi'nde açıklandığı gibi belirli Azure coğrafyalarında kullanılabilir. Verilerinizin nerede depolandığı ve nasıl kullanıldığı hakkında daha fazla bilgi için lütfen Microsoft Güven Merkezi'ne bakın. Bekleyen müşteri verilerinin konumuyla ilgili taahhütler , Microsoft Online Services Koşulları'nın Veri İşleme Koşulları'nda belirtilir.

Microsoft ayrıca bağımsız varlıklar için veri merkezleri sağlar. Ulusal bulutlar için Power BI hizmetinin kullanılabilirliği hakkında daha fazla bilgi için bkz. Power BI ulusal bulutları.

Veri İşleme

Bu bölümde, müşteri verilerini depolama, işleme ve aktarma konusunda Power BI veri işleme uygulamaları özetlenmiştir.

Bekleme durumundaki veriler

Power BI iki birincil veri depolama kaynak türü kullanır:

  • Azure Storage
  • Azure SQL Veritabanları

Senaryoların çoğunda Azure Depolama, Power BI yapıtlarının verilerini kalıcı hale getirmek için kullanılırken Azure SQL Veritabanları yapıt meta verilerini kalıcı hale getirmek için kullanılır.

Power BI tarafından kalıcı hale gelen tüm veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Azure SQL Veritabanlarında depolanan müşteri verileri, Azure SQL Saydam Veri Şifrelemesi (TDE) teknolojisi kullanılarak tamamen şifrelenir. Azure Blob depolamada depolanan müşteri verileri , Azure Depolama Şifrelemesi kullanılarak şifrelenir.

İsteğe bağlı olarak, kuruluşlar Power BI Premium kullanarak bir veri kümesine aktarılan bekleyen verileri şifrelemek için kendi anahtarlarını kullanabilir. Bu yaklaşım genellikle kendi anahtarını getir (KAG) olarak tanımlanır. KAG'nin kullanılması, bir hizmet operatörü hatası durumunda bile müşteri verilerinin açığa çıkarılmamasını sağlamaya yardımcı olur; bu, saydam hizmet tarafı şifrelemesi kullanılarak kolayca elde edilemeyen bir şeydir. Daha fazla bilgi için bkz . Power BI için kendi şifreleme anahtarlarınızı getirme .

Power BI veri kümeleri, veri kaynağı verilerinin hizmette kalıcı olup olmadığını belirleyen çeşitli veri kaynağı bağlantı modlarına olanak sağlar.

Veri Kümesi Modu (Tür) Power BI'da Kalıcı Veriler
İçeri Aktar Yes
Direct Query No
Canlı Bağlantı No
Bileşik İçeri aktarma veri kaynağı içeriyorsa
Akış Kalıcı olacak şekilde yapılandırıldıysa

Kullanılan veri kümesi modundan bağımsız olarak Power BI, sorgu ve rapor yükleme performansını iyileştirmek için alınan verileri geçici olarak önbelleğe alabilir.

İşlemedeki veriler

Veriler, etkileşimli bir senaryonun parçası olarak bir veya daha fazla kullanıcı tarafından etkin bir şekilde kullanıldığında veya yenileme gibi bir arka plan işlemi bu verilere dokunduğunda işlenir. Power BI, etkin bir şekilde işlenen verileri bir veya daha fazla hizmet iş yükünün bellek alanına yükler. İş yükünün gerektirdiği işlevselliği kolaylaştırmak için bellekteki işlenen veriler şifrelenmez.

Aktarım durumundaki veriler

Power BI, tüm gelen HTTP trafiğinin TLS 1.2 veya üzeri kullanılarak şifrelenmesini gerektirir. Hizmeti TLS 1.1 veya daha düşük bir sürümle kullanmaya çalışan tüm istekler reddedilir.

Veri kaynaklarına kimlik doğrulaması

Bir veri kaynağına bağlanırken, kullanıcı verilerin bir kopyasını Power BI'a aktarmayı veya doğrudan veri kaynağına bağlanmayı seçebilir.

İçeri aktarma durumunda kullanıcı, kullanıcının oturum açma bilgilerini temel alan bir bağlantı kurar ve verilere kimlik bilgileriyle erişir. Veri kümesi Power BI hizmeti yayımlandıktan sonra Power BI verileri içeri aktarmak için her zaman bu kullanıcının kimlik bilgilerini kullanır. Veriler içeri aktarıldıktan sonra, raporlarda ve panolarda verileri görüntülemek temel alınan veri kaynağına erişmez. Power BI, seçili veri kaynakları için çoklu oturum açma kimlik doğrulamasını destekler. Bağlantı çoklu oturum açma kullanacak şekilde yapılandırılmışsa veri kümesi sahibinin kimlik bilgileri veri kaynağına bağlanmak için kullanılır.

Bir veri kaynağı önceden yapılandırılmış kimlik bilgileri kullanılarak doğrudan bağlanırsa, herhangi bir kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için önceden yapılandırılmış kimlik bilgileri kullanılır. Bir veri kaynağı çoklu oturum açma kullanılarak doğrudan bağlanırsa, kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için geçerli kullanıcının kimlik bilgileri kullanılır. Çoklu oturum açma ile kullanıldığında, veri kaynağında Satır Düzeyi Güvenlik (RLS) ve/veya nesne düzeyi güvenlik (OLS) uygulanabilir. Bu, kullanıcıların yalnızca erişim ayrıcalıklarına sahip oldukları verileri görüntülemesine olanak tanır. Bağlantı buluttaki veri kaynaklarına olduğunda, çoklu oturum açma için Azure AD kimlik doğrulaması kullanılır; şirket içi veri kaynakları için Kerberos, Güvenlik Onaylama İşaretleme Dili (SAML) ve Azure AD desteklenir.

Veri kaynağı Azure Analysis Services veya şirket içi Analysis Services ise ve RLS ve/veya OLS yapılandırılmışsa, Power BI hizmeti bu satır düzeyi güvenliği uygular ve temel alınan verilere erişmek için yeterli kimlik bilgilerine sahip olmayan kullanıcılar (panoda, raporda veya diğer veri yapıtlarında kullanılan bir sorgu olabilir) yeterli ayrıcalıkları olmayan verileri görmez.

Premium özellikler

Veri akışları mimarisi

Veri akışları, kullanıcılara çok biçimli veri kaynaklarından veri ayıklayacak, verilere karşı dönüştürme mantığı yürütecek ve ardından çeşitli raporlama sunu teknolojilerinde kullanılmak üzere bir hedef modele indirecek arka uç veri işleme işlemlerini yapılandırma olanağı sağlar. Çalışma alanında üye, katkıda bulunan veya yönetici rolüne sahip olan tüm kullanıcılar veri akışı oluşturabilir. Görüntüleyici rolündeki kullanıcılar veri akışı tarafından işlenen verileri görüntüleyebilir ancak bileşiminde değişiklik yapamayabilir. Bir veri akışı yazıldıktan sonra, çalışma alanının herhangi bir üyesi, katkıda bulunanı veya yöneticisi yenileme zamanlayabilir ve sahipliğini alarak veri akışını görüntüleyebilir ve düzenleyebilir.

Yapılandırılan her veri kaynağı, bu veri kaynağına erişmek için bir istemci teknolojisine bağlıdır. Bunlara erişmek için gereken kimlik bilgilerinin yapısı, veri kaynağının gerekli uygulama ayrıntılarıyla eşleşecek şekilde oluşturulur. Dönüştürme mantığı, veriler uçuş sırasında Power Query hizmetler tarafından uygulanır. Premium veri akışları için Power Query hizmetleri arka uç düğümlerinde yürütülür. Veriler doğrudan bulut kaynaklarından veya şirket içinde yüklü bir ağ geçidi üzerinden çekilebilir. Aktarım, doğrudan bir bulut kaynağından hizmete veya ağ geçidine çekildiğinde, varsa istemci teknolojisine özgü koruma metodolojisini kullanır. Veriler ağ geçidinden bulut hizmetine aktarıldığında şifrelenir. Yukarıdaki İşlemedeki Veriler bölümüne bakın.

Müşteri tarafından belirtilen veri kaynakları erişim için kimlik bilgileri gerektirdiğinde, veri akışının sahibi/oluşturucusu yazma sırasında bunları sağlar. Bunlar, ürün genelinde standart kimlik bilgisi depolaması kullanılarak depolanır. Yukarıdaki Veri Kaynaklarına Kimlik Doğrulaması bölümüne bakın. Kullanıcıların veri kalıcılığını ve erişimini iyileştirmek için yapılandırabileceği çeşitli yaklaşımlar vardır. Varsayılan olarak, veriler Power BI'a ait ve korumalı bir depolama hesabına yerleştirilir. Bekleyen verileri korumak için Blob depolama kapsayıcılarında depolama şifrelemesi etkinleştirilir. Aşağıdaki Bekleyen Veriler bölümüne bakın. Ancak kullanıcılar, kendi Azure abonelikleriyle ilişkili kendi depolama hesaplarını yapılandırabilir. Bunu yaparken, yenileme sırasında verileri oraya yazabilmesi için bir Power BI hizmeti sorumlusuna bu depolama hesabına erişim verilir. Bu durumda, yapılandırılan ADLS depolama hesabında şifrelemeyi yapılandırmak depolama kaynağı sahibinden sorumludur. Veriler her zaman şifreleme kullanılarak Blob depolamaya iletilir.

Depolama hesaplarına erişirken performans bazı veriler için yetersiz olabileceğinden, kullanıcılar performansı artırmak için Power BI'da barındırılan bir işlem altyapısı kullanma seçeneğine de sahiptir. Bu durumda veriler, arka uç Power BI sistemi tarafından erişim yoluyla DirectQuery için kullanılabilen bir SQL veritabanında yedekli olarak depolanır. Veriler her zaman dosya sisteminde şifrelenir. Kullanıcı SQL veritabanında depolanan verileri şifrelemek için bir anahtar sağlarsa, bu anahtar iki kez şifrelemek için kullanılır.

DirectQuery kullanılarak sorgulanırken, API'ye erişmek için şifrelenmiş aktarım protokolü HTTPS kullanılır. DirectQuery'nin tüm ikincil veya dolaylı kullanımı, daha önce açıklanan erişim denetimleriyle denetlendi. Veri akışları her zaman bir çalışma alanına bağlı olduğundan, verilere erişim her zaman söz konusu çalışma alanında kullanıcının rolüne bağlıdır. Bir kullanıcının verileri herhangi bir yolla sorgulayabilmesi için en az okuma erişimine sahip olması gerekir.

Veri akışındaki verilere erişmek için Power BI Desktop kullanıldığında, önce kullanıcının verileri görüntülemek için yeterli haklara sahip olup olmadığını belirlemek için Azure AD kullanarak kullanıcının kimliğini doğrulaması gerekir. Bu durumda, şifrelenmiş aktarım protokolü HTTPS kullanılarak doğrudan depolamaya erişmek için bir SaS anahtarı alınır ve kullanılır.

İşlem hattı genelinde verilerin işlenmesi, Office 365 denetim olaylarını gösterir. Bu olaylardan bazıları güvenlik ve gizlilikle ilgili işlemleri yakalar.

Sayfalandırılmış raporlar

Sayfalandırılmış raporlar, yazdırılmak veya paylaşılmak üzere tasarlanmıştır. Sayfalandırılmış olarak adlandırılmalarının nedeni, bir sayfaya düzgün yerleştirilecek şekilde biçimlendirilmiş olmalarıdır. Tablo birden fazla sayfaya yayılsa bile tüm verileri bir tabloda gösterirler. Rapor sayfası düzenini tam olarak denetleyebilme olanağı sayesinde her bir ayrıntıyı kusursuz hale getirebilirsiniz.

Sayfalandırılmış raporlar, Microsoft Visual Basic .NET'te yazılmış zengin ve güçlü ifadeleri destekler. İfadeler Power BI Report Builder sayfalandırılmış raporlarında verileri almak, hesaplamak, görüntülemek, gruplandırmak, sıralamak, filtrelemek parametreleştirmek ve biçimlendirmek için yaygın olanak kullanılır.

İfadeler raporun yazarı tarafından oluşturulur ve .NET çerçevesinin çok çeşitli özelliklerine erişim sağlar. Sayfalandırılmış raporların işlenmesi ve yürütülmesi bir korumalı alan içinde gerçekleştirilir.

Sayfalandırılmış rapor tanımları (.rdl) Power BI'da depolanır ve bir sayfalandırılmış raporu yayımlamak ve/veya işlemek için, kullanıcının kimlik doğrulaması yapması ve yetkilendirmesi için yukarıdaki Power BI Hizmetinde kimlik doğrulaması bölümünde açıklandığı gibi yapması gerekir.

Kimlik doğrulaması sırasında elde edilen Azure AD belirteci doğrudan tarayıcıdan Power BI Premium kümesine iletişim kurmak için kullanılır.

Premium 1. Nesil için kiracının kapasitelerinin her biri için tek bir korumalı alan vardır ve kapasiteye atanan çalışma alanları tarafından paylaşılır.

Sayfalandırılmış raporlar 1. Nesil

Premium 2. Nesil için, bir raporun her bir işlemesi için bireysel ve özel kısa ömürlü bir korumalı alan oluşturulur ve kullanıcılar arasında daha yüksek düzeyde yalıtım sağlanır.

Sayfalandırılmış raporlar 2. Nesil

Sayfalandırılmış rapor, raporun işlenmesinin bir parçası olarak geniş bir veri kaynakları kümesine erişebilir. Korumalı alan, veri kaynaklarının hiçbiriyle doğrudan iletişim kurmaz, bunun yerine veri istemek için güvenilen işlemle iletişim kurar ve ardından güvenilen işlem gerekli kimlik bilgilerini bağlantıya ekler. Bu şekilde korumalı alan hiçbir zaman herhangi bir kimlik bilgilerine veya gizli diziye erişemez.

Bing haritaları veya Azure İşlevleri çağrıları gibi özellikleri desteklemek için korumalı alanın İnternet erişimi vardır.

Power BI tümleşik analizi

Bağımsız Yazılım Satıcıları (ISV' ler) ve çözüm sağlayıcılarının web uygulamalarına ve portallarına Power BI yapıtları eklemenin iki ana modu vardır: kuruluşunuz için ekleme ve müşterileriniz için ekleme. Yapıt, uygulama veya portalda bir iframe'e eklenir. Bir iframe'in dış web uygulamasından veya portalından veri okumasına veya yazmasına izin verilmez ve iframe ile iletişim POST iletileri kullanılarak Power BI İstemci SDK'sı kullanılarak gerçekleştirilir.

Kuruluşunuz için bir ekleme senaryosunda, Azure AD kullanıcılar kendi Power BI içeriğine kuruluşları ve IT'leri tarafından özelleştirilmiş portallar aracılığıyla erişmektedir. Bu makalede açıklanan Satır Düzeyi Güvenlik (RLS) ve nesne düzeyi güvenlik (OLS) gibi tüm Power BI ilkeleri ve özellikleri, Power BI portalı üzerinden veya özelleştirilmiş portallar aracılığıyla Power BI'a erişimlerinden bağımsız olarak tüm kullanıcılara otomatik olarak uygulanır.

Müşterileriniz için ekleme senaryosunda ISV'ler genellikle Power BI kiracılarına ve Power BI yapıtlarına (panolar, raporlar, veri kümeleri vb.) sahip olur. Son kullanıcılarının kimliğini doğrulamak ve bu son kullanıcı için hangi yapıtların ve hangi erişim düzeyinin uygun olduğuna karar vermek BIR ISV arka uç hizmetinin sorumluluğundadır. ISV ilkesi kararları, Power BI tarafından oluşturulan bir ekleme belirtecinde şifrelenir ve ISV'nin iş mantığına göre son kullanıcılara daha fazla dağıtım için ISV arka ucuna geçirilir. Tarayıcı veya diğer istemci uygulamaları kullanan son kullanıcılar ekleme belirteçlerinin şifresini çözemez veya bunları değiştiremez. Power BI İstemci API'leri gibi istemci tarafı SDK'ları, şifrelenmiş ekleme belirtecini Otomatik olarak Power BI isteklerine Yetkilendirme: EmbedToken üst bilgisi olarak ekler. Bu üst bilgi temelinde Power BI, tüm ilkeleri (erişim veya RLS gibi) oluşturma sırasında ISV tarafından belirtildiği şekilde tam olarak uygular.

Power BI, ekleme ve otomasyonu etkinleştirmek ve yukarıda açıklanan ekleme belirteçlerini oluşturmak için zengin bir REST API kümesi sunar. Bu Power BI REST API'leri hem kullanıcı temsilcisi hem de hizmet sorumlusu Azure AD kimlik doğrulama ve yetkilendirme yöntemlerini destekler.

Power BI tümleşik analizi ve REST API'leri, bu makalede açıklanan tüm Power BI ağ yalıtımı özelliklerini destekler: Örneğin, Hizmet Etiketleri ve Özel Bağlantılar.

Yapay zeka özellikleri

Power BI şu anda üründe yapay zeka görselleri ve yapay zeka zenginleştirmeleri olmak üzere iki geniş yapay zeka özelliği kategorisini desteklemektedir. Görsel düzeyindeki yapay zeka özellikleri Arasında Anahtar Etmenler, Ayrıştırma Ağacı, Akıllı Anlatım, Anomali Algılama, R-görsel, Python görseli, Kümeleme, Tahmin, Q&A, Quick-Insights gibi özellikler bulunur. Yapay zeka zenginleştirme özellikleri AutoML, AzureML, Bilişsel Hizmetler, R/Python dönüşümleri gibi özellikleri içerir.

Yukarıda bahsedilen özelliklerin çoğu bugün hem Paylaşılan hem de Premium çalışma alanlarında desteklenmektedir. Ancak AutoML ve CognitiveServices, IP kısıtlamaları nedeniyle yalnızca Premium çalışma alanlarında desteklenir. Bugün Power BI'daki AutoML tümleştirmesiyle, kullanıcı özel bir ML modeli (tahmin, Sınıflandırma, Regresyon vb.) oluşturup eğitebilir ve verileri Premium çalışma alanında tanımlanan bir veri akışına yüklerken tahmin almak için bunu uygulayabilir. Ayrıca Power BI kullanıcıları, Verileri Premium çalışma alanında tanımlanan bir veri akışına/veri kümesine yüklemeden önce dönüştürmek için TextAnalytics ve ImageTagging gibi çeşitli Bilişsel Hizmetler API'leri uygulayabilir.

Premium AI zenginleştirme özellikleri, power BI veri kümesi veya veri akışı tarafından kullanılan veri tümleştirme işlem hatlarında Power BI kullanıcıları tarafından kullanılabilecek durum bilgisi olmayan yapay zeka işlevleri/dönüşümleri koleksiyonu olarak en iyi şekilde görüntülenebilir. Bu işlevlere Power BI Hizmeti ve Power BI Desktop geçerli veri akışı/veri kümesi yazma ortamlarından da erişilebileceğini unutmayın. Bu yapay zeka işlevleri/dönüşümleri her zaman Premium çalışma alanında/kapasitede çalışır. Bu işlevler, AI işlevini kullanan Power BI kullanıcısı için Azure AD belirteci gerektiren bir veri kaynağı olarak Power BI'da kullanıma sunulur. Bu yapay zeka veri kaynakları özeldir çünkü kendi verilerinin hiçbirini sunmaz ve yalnızca bu işlevleri/dönüşümleri sağlar. Yürütme sırasında, bu özellikler müşterinin verilerini iletmek için diğer hizmetlere giden çağrı yapmaz. İletişim düzenlerini ve bunlarla ilgili güvenlikle ilgili ayrıntıları anlamak için Premium senaryolarına tek tek göz atalım.

AutoML modelini eğitip uygulamak için Power BI, Azure AutoML SDK'sını kullanır ve tüm eğitimi müşterinin Power BI kapasitesinde çalıştırır. Eğitim yinelemeleri sırasında Power BI, geçerli yineleme için uygun bir model ve hiper parametreler seçmek üzere bir deneme AzureML hizmeti çağırır. Bu giden çağrıda, önceki yinelemeden yalnızca ilgili deneme meta verileri (doğruluk, ml algoritması, algoritma parametreleri vb.) gönderilir. AutoML eğitimi, daha sonra veri akışına kaydedilen bir ONNX modeli ve eğitim raporu verileri oluşturur. Daha sonra Power BI kullanıcıları, ml modelini zamanlanmış olarak kullanıma hazır hale getirmek için eğitilen ML modelini dönüşüm olarak uygulayabilir. TextAnalytics ve ImageTagging API'leri için Power BI, Bilişsel Hizmetler hizmeti API'lerini doğrudan çağırmaz, Power BI Premium kapasitede API'leri çalıştırmak için bir iç SDK kullanır. Bugün bu API'ler hem Power BI veri akışlarında hem de veri kümelerinde desteklenmektedir. kullanıcılar, Power BI Desktop'da veri kümesi yazarken bu işleve yalnızca Premium Power BI çalışma alanına erişimleri varsa erişebilir. Bu nedenle müşterilerin Azure AD kimlik bilgilerini sağlamaları istenir.

Ağ yalıtımı

Bu bölümde Power BI'daki gelişmiş güvenlik özellikleri özetlenmiştir. Bazı özelliklerin belirli lisans gereksinimleri vardır. Ayrıntılar için aşağıdaki bölümlere bakın.

Hizmet etiketleri

Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresi ön ekini temsil eder. Ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirmeye yardımcı olur. Müşteriler, ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlamak için hizmet etiketlerini kullanabilir. Müşteriler, güvenlik kuralları oluştururken belirli IP adresleri yerine hizmet etiketlerini kullanabilir. Müşteriler, bir kuralın uygun kaynak veya hedef (API'ler için) alanında hizmet etiketi adını (örneğin PowerBI) belirterek ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilir. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir.

Azure ağı, Power BI'ın Azure Ağ özel uç noktaları aracılığıyla güvenli erişim sağlamasını sağlayan Azure Özel Bağlantı özelliği sağlar. Azure Özel Bağlantı ve özel uç noktalarda veri trafiği Microsoft'un omurga ağ altyapısı kullanılarak özel olarak gönderilir ve bu nedenle veriler İnternet'ten geçiş yapmaz.

Özel Bağlantı, Power BI kullanıcılarının Power BI hizmeti kaynaklara gidildiğinde Microsoft özel ağ omurgasını kullanmasını sağlar.

Power BI ile Özel Bağlantı kullanmak aşağıdaki avantajları sağlar:

  • Özel Bağlantı, trafiğin Azure omurgası üzerinden Azure bulut tabanlı kaynaklar için özel bir uç noktaya akmasını sağlar.
  • Şirket içi erişim gibi Azure tabanlı olmayan altyapıdan ağ trafiği yalıtımı, müşterilerin ExpressRoute veya Sanal Özel Ağ (VPN) yapılandırmasına sahip olmasını gerektirir.

Ek bilgi için bkz. Power BI'a erişmek için özel bağlantılar .

Sanal ağ bağlantısı (önizleme - çok yakında)

Özel Bağlantı tümleştirme özelliği Power BI'a güvenli gelen bağlantılar sağlarken, sanal ağ bağlantısı özelliği Power BI'dan sanal ağ içindeki veri kaynaklarına güvenli giden bağlantı sağlar.

VNet ağ geçitleri (Microsoft tarafından yönetilen), bir sanal ağ ile ilişkili veri kaynaklarına bağlanmak için şirket içi veri ağ geçitlerini yükleme ve izleme yükünü ortadan kaldırır. Ancak, şirket içi veri ağ geçidinde olduğu gibi güvenlik ve veri kaynaklarını yönetmeye yönelik bilindik süreci izlemeye devam ederler.

Aşağıda, sanal ağ geçitlerini kullanarak bir sanal ağ içindeki bir veri kaynağına bağlı bir Power BI raporuyla etkileşime geçtiğiniz zaman neler olduğuna genel bakış sağlanır:

  1. Power BI bulut hizmeti (veya desteklenen diğer bulut hizmetlerinden biri) bir sorgu başlatır ve sorguyu, veri kaynağı ayrıntılarını ve kimlik bilgilerini Power Platform VNet hizmetine (PP VNet) gönderir.

  2. PP VNet hizmeti daha sonra sanal ağ geçidi çalıştıran bir kapsayıcıyı alt ağa güvenli bir şekilde ekler. Bu kapsayıcı artık bu alt ağın içinden erişilebilen veri hizmetlerine bağlanabilir.

  3. Pp VNet hizmeti daha sonra sorguyu, veri kaynağı ayrıntılarını ve kimlik bilgilerini VNet ağ geçidine gönderir.

  4. Sanal ağ geçidi sorguyu alır ve bu kimlik bilgileriyle veri kaynaklarına bağlanır.

  5. Sorgu daha sonra yürütülmek üzere veri kaynağına gönderilir.

  6. Yürütmeden sonra sonuçlar VNet ağ geçidine gönderilir ve PP sanal ağ hizmeti verileri kapsayıcıdan Power BI bulut hizmetine güvenli bir şekilde gönderir.

Bu özellik yakında genel önizlemede kullanıma sunulacaktır.

Hizmet sorumluları

Power BI, hizmet sorumlularının kullanımını destekler. Power BI'ı şifrelemek veya Power BI'a erişmek için kullanılan hizmet sorumlusu kimlik bilgilerini bir Key Vault depolayın, kasaya uygun erişim ilkeleri atayın ve erişim izinlerini düzenli olarak gözden geçirin.

Ek ayrıntılar için bkz. Hizmet sorumlularıyla Premium çalışma alanı ve veri kümesi görevlerini otomatikleştirme .

Power BI için Microsoft Purview

Microsoft Purview Bilgi Koruması

Power BI, Microsoft Perview Information Protection (eski adıyla Microsoft 365 Uyumluluk Information Protection) ile tümleşiktir. Microsoft Purview Bilgi Koruması, kuruluşların Azure, Power BI ve Office genelinde sınıflandırma, etiketleme, denetim ve uyumluluk için tek ve tümleşik bir çözüme sahip olmasını sağlar.

Power BI'da bilgi koruması etkinleştirildiğinde:

  • Hem Power BI hizmeti hem de Power BI Desktop hassas veriler, Office'te ve Azure'da kullanılan duyarlılık etiketleri kullanılarak sınıflandırılabilir ve etiketlenebilir.
  • Power BI içeriği Excel, PowerPoint, PDF, Word veya .pbix dosyalarına aktarıldığında, verilerin Power BI'dan ayrıldığında bile korunmasına yardımcı olmak için idare ilkeleri zorunlu kılınabilir.
  • Excel, Word ve PowerPoint uygulamalarında olduğu gibi Power BI Desktop'de .pbix dosyalarını sınıflandırmak ve korumak kolaydır. Dosyalar duyarlılık düzeylerine göre kolayca etiketlenebilir. Ayrıca, yalnızca yetkili kullanıcıların bu dosyaları düzenleyebileceği şekilde, iş açısından gizli veriler içeriyorsa şifrelenebilirler.
  • Excel çalışma kitapları, Power BI'a (önizleme) bağlandığında duyarlılık etiketlerini otomatik olarak devralır ve Power BI veri kümeleri Excel'de çözümlendiğinde uçtan uca sınıflandırmayı sürdürmeyi ve koruma uygulamayı mümkün kılar.
  • Power BI raporlarına ve panolarına uygulanan duyarlılık etiketleri, Power BI iOS ve Android mobil uygulamalarında görünür.
  • Power BI raporu Teams, SharePoint veya güvenli bir web sitesine eklendiğinde duyarlılık etiketleri kalıcı olur. Bu, kuruluşların Power BI içeriği eklerken dışarı aktarma sırasında sınıflandırmayı ve korumayı sürdürmelerine yardımcı olur.
  • Power BI hizmeti yeni içerik oluşturulduktan sonra etiket devralma, Power BI hizmeti veri kümelerine veya datamart'lara uygulanan etiketlerin bu veri kümelerinin ve datamart'ların üzerinde oluşturulan yeni içeriğe uygulanmasını sağlar.
  • Power BI yönetici tarama API'leri bir Power BI öğesinin duyarlılık etiketini ayıklayarak Power BI ve InfoSec yöneticilerinin Power BI hizmeti etiketlemeyi izlemesine ve yönetici raporları oluşturmasına olanak tanır.
  • Power BI yönetici API'leri, merkezi ekiplerin Power BI hizmeti içeriğine program aracılığıyla duyarlılık etiketleri uygulamasına olanak tanır.
  • Merkezi ekipler, Power BI'daki yeni veya düzenlenmiş içeriğe etiket uygulanmasını zorunlu kılmak için zorunlu etiket ilkeleri oluşturabilir.
  • Merkezi ekipler, tüm yeni veya değiştirilmiş Power BI içeriğine duyarlılık etiketi uygulanmasını sağlamak için varsayılan etiket ilkeleri oluşturabilir.
  • Power BI hizmeti otomatik aşağı akış duyarlılık etiketlemesi, bir veri kümesi veya datamart üzerindeki bir etiket uygulandığında veya değiştirildiğinde, etiketin veri kümesine veya datamart'a bağlı tüm aşağı akış içeriğine otomatik olarak uygulanmasını veya değiştirilmesini sağlar.

Daha fazla bilgi için bkz . Power BI'da duyarlılık etiketleri.

Power BI için Microsoft Purview Veri Kaybı Önleme (DLP) İlkeleri (önizleme)

Microsoft Purview'un DLP ilkeleri, kuruluşların Power BI'dan hassas iş verileri sızıntısı riskini azaltmasına yardımcı olabilir. DLP ilkeleri, GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği) veya CCPA (California Tüketici Gizliliği Yasası) gibi kamu veya sektör düzenlemelerinin uyumluluk gereksinimlerini karşılamalarına ve Power BI'daki verilerinin yönetildiğinden emin olmalarına yardımcı olabilir.

Power BI için DLP ilkeleri ayarlandığında:

  • İlkede belirtilen çalışma alanlarındaki tüm veri kümeleri ilke tarafından değerlendirilir.
  • Hassas verilerin Premium kapasitelerinize ne zaman yüklendiğini algılayabilirsiniz. DLP ilkeleri şunları algılayabilir:
    • Duyarlılık etiketleri.
    • Hassas bilgi türleri. 260'ın üzerinde tür desteklenir. Hassas bilgi türü algılama, Microsoft Purview içerik taramaya dayanır.
  • Hassas olarak tanımlanan bir veri kümesiyle karşılaştığınızda, ne yapmanız gerektiğini anlamanıza yardımcı olan özelleştirilmiş bir ilke ipucu görebilirsiniz.
  • Veri kümesi sahibiyseniz, bir ilkeyi geçersiz kılabilir ve bunu yapmak için geçerli bir nedeniniz varsa veri kümenizin "hassas" olarak tanımlanmasını önleyebilirsiniz.
  • Veri kümesi sahibiyseniz, hassas bir bilgi türünün yanlış tanımlandığını sonucuna vardığınızda ilkeyle ilgili bir sorunu bildirebilirsiniz.
  • Güvenlik yöneticisine yönelik uyarılar gibi otomatik risk azaltma işlemleri çağrılabilir.

Daha fazla bilgi için bkz. Power BI için veri kaybı önleme ilkeleri.

Power BI için Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps, dünyanın önde gelen bulut erişim güvenlik aracılarından biridir ve bulut erişim güvenlik aracısı (CASB) pazarı için Gartner'ın Magic Quadrant'ında lider olarak adlandırılmıştır. Cloud Apps için Defender, bulut uygulamalarının kullanımının güvenliğini sağlamak için kullanılır. Kuruluşların yönetilmeyen cihazlardan kullanıcı erişimi gibi riskli Power BI oturumlarını gerçek zamanlı olarak izlemesine ve denetlemesine olanak tanır. Güvenlik yöneticileri, hassas bilgiler içeren raporları indirme gibi kullanıcı eylemlerini denetlemek için ilkeler tanımlayabilir.

Bulut Uygulamaları için Defender ile kuruluşlar aşağıdaki DLP özelliklerini elde edebilir:

  • Power BI'da riskli kullanıcı oturumlarını zorunlu kılmak için gerçek zamanlı denetimler ayarlayın. Örneğin, bir kullanıcı ülkesinin dışından Power BI'a bağlanırsa oturum, Cloud Apps için Defender gerçek zamanlı denetimleri tarafından izlenebilir ve "Çok Gizli" duyarlılık etiketiyle etiketlenmiş verileri indirme gibi riskli eylemler anında engellenebilir.
  • Cloud Apps için Defender etkinlik günlüğüyle Power BI kullanıcı etkinliğini araştırın. Cloud Apps için Defender etkinlik günlüğü, tüm kullanıcı ve yönetici etkinlikleriyle ilgili bilgilerin yanı sıra etiket uygulama, değiştirme ve kaldırma gibi ilgili etkinliklere ilişkin duyarlılık etiketi bilgilerini içeren Office 365 denetim günlüğünde yakalanan Power BI etkinliğini içerir. Yöneticiler, etkili sorun araştırması için Bulut Uygulamaları için Defender gelişmiş filtrelerinden ve hızlı işlemlerden yararlanabilir.
  • Power BI'daki şüpheli kullanıcı etkinlikleri hakkında uyarı almak için özel ilkeler oluşturun. Cloud Apps için Defender etkinlik ilkesi özelliğinden yararlanarak kendi özel kurallarınızı tanımlayabilir, normdan sapan kullanıcı davranışlarını algılamanıza yardımcı olabilir ve hatta çok tehlikeli görünüyorsa bu davranışa otomatik olarak işlem yapabilirsiniz.
  • Cloud Apps için Defender yerleşik anomali algılama ile çalışın. Cloud Apps için Defender anomali algılama ilkeleri, bulut ortamınızda gelişmiş tehdit algılamayı çalıştırmaya hazır olmanız için kullanıma hazır kullanıcı davranış analizi ve makine öğrenmesi sağlar. Anomali algılama ilkesi şüpheli bir davranış tanımladığında bir güvenlik uyarısı tetikler.
  • Cloud Apps için Defender portalında Power BI yönetici rolü. Cloud Apps için Defender, Power BI yöneticilerine yalnızca portaldaki Power BI ile ilgili verilere (uyarılar, risk altında olan kullanıcılar, etkinlik günlükleri ve Power BI ile ilgili diğer bilgiler gibi) erişmeleri için gereken izinleri vermek için kullanılabilecek uygulamaya özgü bir yönetici rolü sağlar.

Ek ayrıntılar için bkz. Power BI'da Microsoft Defender for Cloud Apps Denetimlerini Kullanma.

Güvenlik özelliklerinin önizlemesini görüntüleme

Bu konuda, Mart 2021'e kadar yayımlanması planlanan özellikler listelenmiştir. Bu konu henüz yayımlanmamış olabilecek özellikleri listelediğinden, teslim zaman çizelgeleri değişebilir ve öngörülen işlevler Mart 2021'den sonra yayınlanabilir veya hiç yayımlanmayabilir. Önizlemeler hakkında daha fazla bilgi için lütfen Çevrimiçi Hizmet Koşulları'nı gözden geçirin.

Kendi Log Analytics'inizi Getirin (BYOLA)

Kendi Log Analytics'inizi Getirin, Power BI ile Azure Log Analytics arasında tümleştirmeye olanak tanır. Bu tümleştirme Azure Log Analytics'in gelişmiş analiz altyapısını, etkileşimli sorgu dilini ve yerleşik makine öğrenmesi yapılarını içerir.

Power BI güvenlik soruları ve yanıtları

Aşağıda, Power BI için yaygın olarak kullanılan sorular ve yanıtlar verilmiştir. Bunlar, bu teknik incelemeye ne zaman eklendiklerine bağlı olarak düzenlenir ve bu makale güncelleştirildiğinde yeni soruları ve yanıtları hızla bulma becerinizi kolaylaştırır. En yeni sorular bu listenin sonuna eklenmiştir.

Kullanıcılar Power BI'ı kullanırken nasıl bağlantı kurabilir ve veri kaynaklarına erişebilir?

  • Power BI, bulut kimlik bilgileri veya kişisel ağ geçidi üzerinden bağlantı için her kullanıcının veri kaynaklarına yönelik kimlik bilgilerini yönetir. Şirket içi veri ağ geçidi tarafından yönetilen veri kaynakları kuruluş genelinde paylaşılabilir ve bu veri kaynaklarına yönelik izinler Ağ Geçidi Yönetici tarafından yönetilebilir. Bir veri kümesini yapılandırırken, kullanıcının kişisel deposundan bir kimlik bilgisi seçmesine veya paylaşılan bir kimlik bilgisi kullanmak için şirket içi veri ağ geçidi kullanmasına izin verilir.

    İçeri aktarma durumunda kullanıcı, kullanıcının oturum açma bilgilerini temel alan bir bağlantı kurar ve verilere kimlik bilgileriyle erişir. Veri kümesi Power BI hizmeti'de yayımlandıktan sonra Power BI verileri içeri aktarmak için her zaman bu kullanıcının kimlik bilgilerini kullanır. Veriler içeri aktarıldıktan sonra, raporlardaki ve panolardaki verileri görüntülemek temel alınan veri kaynağına erişmez. Power BI, seçili veri kaynakları için çoklu oturum açma kimlik doğrulamasını destekler. Bağlantı çoklu oturum açma kullanacak şekilde yapılandırılmışsa veri kümesi sahibinin kimlik bilgileri veri kaynağına bağlanmak için kullanılır.

    DirectQuery ile bağlantılı raporlar için, veri kaynağı önceden yapılandırılmış bir kimlik bilgisi kullanılarak doğrudan bağlanır; önceden yapılandırılmış kimlik bilgileri, herhangi bir kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için kullanılır. Bir veri kaynağı doğrudan çoklu oturum açma kullanılarak bağlanıyorsa, kullanıcı verileri görüntülediğinde veri kaynağına bağlanmak için geçerli kullanıcının kimlik bilgileri kullanılır. Çoklu oturum açma ile kullanıldığında, veri kaynağında Satır Düzeyi Güvenlik (RLS) ve/veya nesne düzeyi güvenlik (OLS) uygulanabilir ve bu sayede kullanıcılar erişim ayrıcalıklarına sahip oldukları verileri görüntüleyebilir. Bağlantı buluttaki veri kaynaklarına olduğunda, çoklu oturum açma için Azure AD kimlik doğrulaması kullanılır; şirket içi veri kaynakları için Kerberos, SAML ve Azure AD desteklenir.

    Kerberos ile bağlanırken, kullanıcının UPN'si ağ geçidine geçirilir ve Kerberos kısıtlanmış temsili kullanılarak kullanıcı kimliğine bürünülerek ilgili veri kaynaklarına bağlanır. SAML, SAP HANA veri kaynağı için Ağ Geçidinde de desteklenir. Ağ geçitleri için çoklu oturum açmaya genel bakış bölümünde daha fazla bilgi bulabilirsiniz.

    Veri kaynağı Azure Analysis Services veya şirket içi Analysis Services ve Satır Düzeyi Güvenlik (RLS) ve/veya nesne düzeyi güvenlik (OLS) yapılandırıldıysa, Power BI hizmeti bu satır düzeyi güvenliği uygular ve temel alınan verilere erişmek için yeterli kimlik bilgilerine sahip olmayan kullanıcılar (panoda, raporda veya diğer veri yapıtlarında kullanılan bir sorgu olabilir) verileri görmez kullanıcının yeterli ayrıcalıklara sahip olmadığı.

    Power BI ile satır düzeyi güvenlik , belirli kullanıcılar için veri erişimini kısıtlamak için kullanılabilir. Filtreler veri erişimini satır düzeyinde kısıtlar ve rol içinde filtreler tanımlayabilirsiniz.

    Nesne düzeyinde güvenlik (OLS), hassas tabloların veya sütunların güvenliğini sağlamak için kullanılabilir. Ancak, satır düzeyi güvenliğin aksine, nesne düzeyi güvenlik nesne adlarının ve meta verilerin de güvenliğini sağlar. Bu, kötü amaçlı kullanıcıların bu tür nesnelerin varlığını bile keşfetmesini önlemeye yardımcı olur. Excel veya Power BI gibi raporlama araçları kullanılırken alan listesinde güvenli tablolar ve sütunlar gizleniyor ve ayrıca izni olmayan kullanıcılar dax veya başka bir yöntem aracılığıyla güvenli meta veri nesnelerine erişemiyor. Uygun erişim izinleri olmayan kullanıcılar açısından, güvenli tablolar ve sütunlar mevcut değildir.

    Nesne düzeyinde güvenlik, satır düzeyi güvenlikle birlikte raporlar ve veri kümelerinde gelişmiş kurumsal sınıf güvenlik sağlar ve yalnızca gerekli izinlere sahip kullanıcıların hassas verileri görüntüleme ve bunlarla etkileşim kurma erişimine sahip olmasını sağlar.

Veriler Power BI'a nasıl aktarılır?

  • Power BI tarafından istenen ve iletilen tüm veriler aktarım sırasında HTTPS kullanılarak şifrelenir (müşteri tarafından seçilen veri kaynağı HTTPS'yi desteklemediği durumlar dışında) veri kaynağından Power BI hizmeti bağlanmak için kullanılır. Veri sağlayıcısıyla güvenli bir bağlantı kurulur ve ancak bu bağlantı kurulduktan sonra veriler ağdan geçer.

Power BI rapor, pano veya model verilerini nasıl önbelleğe alır ve bu güvenli bir yöntem midir?

İstemciler web sayfası verilerini yerel olarak önbelleğe alır mı?

  • Tarayıcı istemcileri Power BI'a eriştiğinde, Power BI web sunucuları Cache-Control yönergesini no-store olarak ayarlar. Bu no-store yönergesi tarayıcılara kullanıcı tarafından görüntülenmekte olan web sayfasını önbelleğe almamasını ve istemcinin önbellek klasöründe depolamamasını bildirir.

Rol tabanlı güvenlik nedir ve raporların, panoların ve veri bağlantılarının paylaşımı nasıl olur? Veri erişimi, pano görüntüleme, rapor erişimi veya yenileme açısından bu nasıl çalışır?

  • Rol Düzeyi Güvenliğin (RLS) etkinleştirilmediği veri kaynaklarında bir pano, rapor veya veri modeli Power BI üzerinden başka kullanıcılarla paylaşılırsa, veriler görüntülenmek ve etkileşimli çalışılmak üzere paylaşıldığı kullanıcıların kullanımına sunulur. Power BI verilerin özgün kaynağında kullanıcıların kimliğini yeniden doğrulamaz; veriler Power BI'a yüklendikten sonra başka hangi kullanıcıların ve grupların verileri görüntüleyebileceğini yönetme sorumluluğu kaynak verilerde kimliği doğrulanan kullanıcıya aittir.

    Analysis Services veri kaynağı gibi RLS özellikli bir veri kaynağına veri bağlantıları yapıldığında Power BI'da yalnızca pano verileri önbelleğe alınır. RLS özellikli veri kaynağından gelen verilerin kullanıldığı bir rapor veya veri kümesi Power BI'da her görüntülendiğinde veya bu veri kümesine her erişildiğinde, Power BI hizmeti veri kümesine erişerek kullanıcının kimlik bilgilerine göre verileri alır ve yeterli izinler varsa veriler söz konusu kullanıcı için rapora veya veri modeline yüklenir. Kimlik doğrulaması başarısız olursa kullanıcı bir hata görür.

    Daha fazla bilgi için bu belgenin başlarındaki Veri Kaynaklarına Kimlik Doğrulaması bölümüne bakın.

Kullanıcılarımız sürekli aynı veri kaynaklarına bağlanıyor ve bunlardan bazıları etki alanı kimlik bilgilerinden farklı kimlik bilgileri gerektiriyor. Her veri bağlantısı kurduklarında bu kimlik bilgilerini girme zorunluluğundan kurtulmaları sağlanabilir mi?

  • Power BI kullanıcıların birden çok farklı veri kaynağı için kimlik bilgileri oluşturmasına, sonra da bu veri kaynaklarından birine arka arkaya erişilirken söz konusu kimlik bilgilerini otomatik olarak kullanmasına olanak tanıyan Power BI Personal Gateway özelliğini sunar. Daha fazla bilgi için bkz. Power BI Personal Gateway.

Şirket içi veri ağ geçidi ile kişisel ağ geçidi hangi bağlantı noktalarını kullanır? Bağlantı amacıyla izin verilmesi gereken etki alanı adları var mı?

Şirket içi veri ağ geçidiyle çalışırken kurtarma anahtarları nasıl kullanılır ve nerede depolanır? Güvenli kimlik bilgileri yönetimi nasıl yapılır?

  • Ağ geçidi yüklemesi ve yapılandırması sırasında yönetici bir ağ geçidi Kurtarma Anahtarı yazar. Bu Kurtarma Anahtarı güçlü bir AES simetrik anahtarı oluşturmak için kullanılır. Aynı anda bir RSA asimetrik anahtarı da oluşturulur.

    Oluşturulan bu anahtarlar (RSA ve AES) yerel makinedeki bir dosyada depolanır. Bu dosya da şifrelenmiştir. Dosya içeriğinin şifresi yalnızca söz konusu Windows makinesi tarafından ve yalnızca bu özel ağ geçidi hizmet hesabıyla çözülebilir.

    Bir kullanıcı Power BI hizmeti kullanıcı arabirimine veri kaynağının kimlik bilgilerini girdiğinde, kimlik bilgileri tarayıcıdaki ortak anahtarla şifrelenir. Ağ geçidi, RSA özel anahtarını kullanarak kimlik bilgilerinin şifresini çözer ve veriler Power BI hizmeti depolanmadan önce bunları bir AES simetrik anahtarıyla yeniden şifreler. Bu işlemle, Power BI hizmeti hiçbir zaman şifrelenmemiş verilere erişmez.

Şirket içi veri ağ geçidi hangi iletişim protokollerini kullanır ve bunların güvenliği nasıl sağlanır?

  • Ağ geçidi şu iki iletişim protokolünü destekler:

    • AMQP 1.0 – TCP + TLS: Bu protokol 443, 5671-5672 ve 9350-9354 numaralı bağlantı noktalarının giden iletişim için açık olmasını gerektirir. İletişim yükü daha düşük olduğundan bu protokol tercih edilir.

    • HTTPS – HTTPS + TLS üzerinden WebSockets: Bu protokol yalnızca 443 numaralı bağlantı noktasını kullanır. WebSocket tek bir HTTP CONNECT iletisiyle başlatılır. Kanal oluşturulduktan sonra iletişim temelde TCP+TLS iletişimidir. Şirket içi ağ geçidi makalesinde açıklanan bir ayarı değiştirerek ağ geçidini bu protokolü kullanmaya zorlayabilirsiniz.

Power BI'da Azure CDN'nin rolü nedir?

  • Daha önce açıklandığı gibi, Power BI statik içeriği ve dosyaları coğrafi yerel ayara göre kullanıcılara verimli bir şekilde dağıtmak için Azure Content Delivery Network (CDN) hizmetini kullanır. Daha ayrıntılı açıklamak gerekirse, Power BI hizmeti genel İnternet üzerinden kullanıcılara gerekli statik içeriği ve dosyaları verimli bir şekilde dağıtmak için birden çok CDN kullanır. Bu statik dosyalar ürün indirmelerini (Power BI Desktop, şirket içi veri ağ geçidi veya çeşitli bağımsız hizmet sağlayıcılarından Power BI uygulamaları gibi), Power BI hizmetiyle sonraki bağlantıları başlatmak ve kurmak için kullanılan tarayıcı yapılandırma dosyalarını, ayrıca başlangıçtaki güvenli Power BI oturum açma sayfasını içerir.

    Power BI hizmetiyle ilk kurulan bağlantı sırasında sağlanan bilgiler temelinde, kullanıcının tarayıcısı tarayıcının Power BI hizmetiyle iletişimini etkinleştirmek için gereken belirli ortak dosyaların koleksiyonunu indirmek amacıyla belirtilen Azure CDN ile (veya bazı dosyalar için WFE ile) iletişime geçer. Tarayıcı sayfası daha sonra Azure AD belirtecini, oturum bilgilerini, ilişkili arka uç kümesinin konumunu ve Power BI hizmeti tarayıcı oturumu süresince Azure CDN ve WFE kümesinden indirilen dosyaların koleksiyonunu içerir.

Power BI görselleri için Microsoft, öğeleri Galeri'de yayımlamadan önce özel görsel kodun güvenlik veya gizlilik değerlendirmesini yapar mı?

  • Hayır. Özel görsel kodunu gözden geçirmek ve bu koda güvenilip güvenilmeyeceğini saptamak müşterinin sorumluluğundadır. Tüm özel görsel kodu korumalı alan ortamında çalıştırılır ve bu sayede özel görseldeki herhangi bir hatalı kodun Power BI hizmetinin kalanını olumsuz etkilemesi önlenir.

Müşteri ağının dışına bilgi gönderen başka Power BI görselleri var mı?

  • Evet. Bing Haritalar ve ESRI görselleri, bu hizmetleri kullanan görseller için Power BI hizmetinin dışına veri iletir.

Şablon uygulamaları için Microsoft, öğeleri Galeri'de yayımlamadan önce şablon uygulamasının güvenlik veya gizlilik değerlendirmesi yapıyor mu?

  • Hayır. İçerik, uygulama yayımcısının sorumluluğundayken, şablon uygulaması yayımcısına güvenip güvenmeyeceğini gözden geçirmek ve belirlemek müşterinin sorumluluğundadır.

Müşteri ağı dışında bilgi gönderebilen şablon uygulamaları var mı?

  • Evet. Yayımcının gizlilik ilkesini gözden geçirmek ve şablon uygulamasının kiracıya yüklenip yüklenmeyeceğini belirlemek müşterinin sorumluluğundadır. Yayımcı, müşteriye uygulamanın davranışı ve özellikleri hakkında bilgi vermekle sorumludur.

Veri hakimiyeti hakkında ne söylenebilir? Verilerin ülke sınırlarından çıkmadığından emin olmak için belirli coğrafi bölgelerde yer alan veri merkezlerinde kiracılar sağlayabilir miyiz?

  • Belirli coğrafi bölgelerdeki müşterilerin bir bölümü ulusal bulutta kiracı oluşturma seçeneğine sahiptir. Bu bulutta veri depolama ile işleme diğer tüm veri merkezlerinden ayrı tutulur. Ulusal bulut Power BI hizmetini Microsoft adına ayrı bir veri şirketi çalıştırdığından, ulusal bulutların güvenlik türü biraz farklıdır.

    Alternatif olarak, müşteriler belirli bir bölgede kiracı da ayarlayabilir. Ancak bu kiracıların Microsoft'tan ayrı bir veri güveni yoktur. Ulusal bulutların fiyatlandırması genel kullanıma sunulan ticari Power BI hizmetinden farklıdır. Ulusal bulutlar için Power BI hizmetinin kullanılabilirliği hakkında daha fazla bilgi için bkz. Power BI ulusal bulutları.

Microsoft, Power BI Premium abonelikleri olan müşterilerin bağlantılarını nasıl işler? Bu bağlantıların Premium olmayan Power BI hizmeti için kurulan bağlantılardan farkı nedir?

  • Power BI Premium abonelikleri olan müşteriler için kurulan bağlantılar, erişim denetimini ve yetkilendirmeyi etkinleştirmek için Azure AD kullanarak bir Azure İşletmeler arası (B2B) yetkilendirme işlemi uygular. Power BI, Power BI Premium abonelerinden Power BI Premium kaynaklarına yönelik bağlantıları da diğer Azure AD kullanıcıları için yaptığı gibi işler.

Ek kaynaklar

Power BI'la ilgili daha fazla bilgi için aşağıdaki kaynaklara bakabilirsiniz.