Power BI GüvenliğiPower BI Security

Power BI güvenlik özelliklerine ilişkin ayrıntılı bir açıklama için lütfen Power BI Güvenliği teknik incelemesini okuyun.For a detailed explanation of Power BI security, read the Power BI Security whitepaper.

Power BI hizmetinin temelini, Microsoft'un bulut bilgi işlem altyapısı ve platformu olan Azure oluşturmaktadır.The Power BI service is built on Azure, which is Microsoft’s cloud computing infrastructure and platform. Power BI hizmet mimarisi iki kümeye dayanır: Web Ön Uç (WFE) kümesi ve Arka Uç kümesi.The Power BI service architecture is based on two clusters – the Web Front End (WFE) cluster and the Back-End cluster. WFE kümesi, Power BI hizmetine yönelik ilk bağlantıyı ve kimlik doğrulamasını yönetir. Kimlik doğrulaması yapıldıktan sonraki tüm kullanıcı etkileşimlerini Arka Uç üstlenir.The WFE cluster manages the initial connection and authentication to the Power BI service, and once authenticated, the Back-End handles all subsequent user interactions. Power BI, kullanıcı kimliklerini depolamak ve yönetmek için Azure Active Directory (AAD) hizmetini, verileri ve meta verileri depolamak ve yönetmek içinse Azure BLOB ve Azure SQL Veritabanı hizmetlerini kullanır.Power BI uses Azure Active Directory (AAD) to store and manage user identities, and manages the storage of data and metadata using Azure BLOB and Azure SQL Database, respectively.

Power BI MimarisiPower BI Architecture

Her Power BI dağıtımı iki kümeden oluşur: Bir Web Ön Uç (WFE) kümesi ve bir Arka Uç kümesi.Each Power BI deployment consists of two clusters – a Web Front End (WFE) cluster, and a Back-End cluster.

WFE kümesi Power BI için ilk bağlantı ve kimlik doğrulaması işlemlerini yönetir. Bu küme, AAD hizmetini kullanarak istemcilerin kimliklerini doğrular ve Power BI hizmetiyle kurulacak sonraki istemci bağlantıları için belirteçler sağlar.The WFE cluster manages the initial connection and authentication process for Power BI, using AAD to authenticate clients and provide tokens for subsequent client connections to the Power BI service. Ayrıca Power BI, hem kimlik doğrulaması hem de statik içeriğin ve dosyaların indirilmesi için bağlantı kurmaya çalışan istemcinin DNS kaydına göre kullanıcı trafiğini en yakın veri merkezine yönlendirmek amacıyla Azure Traffic Manager (ATM) hizmetini kullanır.Power BI also uses the Azure Traffic Manager (ATM) to direct user traffic to the nearest datacenter, determined by the DNS record of the client attempting to connect, for the authentication process and to download static content and files. Power BI, statik içeriği ve dosyaları coğrafi yerel ayara göre kullanıcılara verimli bir şekilde dağıtmak için Azure Content Delivery Network (CDN) hizmetini kullanır.Power BI uses the Azure Content Delivery Network (CDN) to efficiently distribute the necessary static content and files to users based on geographical locale.

Arka Uç kümesi, kimlik doğrulamasından geçen istemcilerin, Power BI hizmetiyle nasıl etkileşim kuracağını belirler.The Back-End cluster is how authenticated clients interact with the Power BI service. Arka Uç kümesi; görselleştirmeleri, kullanıcı panolarını, veri kümelerini, raporları, veri depolama alanlarını, veri bağlantılarını, veri yenileme özelliklerini ve Power BI hizmetiyle etkileşim kurarken kullanılan diğer öğeleri yönetir.The Back-End cluster manages visualizations, user dashboards, datasets, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. Ağ Geçidi Rolü kullanıcı istekleriyle Power BI hizmeti arasında bir ağ geçidi işlevi görür.The Gateway Role acts as a gateway between user requests and the Power BI service. Kullanıcılar Ağ Geçidi Rolü haricindeki bir rolle doğrudan etkileşim kurmaz.Users do not interact directly with any roles other than the Gateway Role. Ağ Geçidi Rolü, Azure API Management tarafından yönetilir.Azure API Management will eventually handle the Gateway Role.

Önemli

Yalnızca Azure API Management (APIM) ve Ağ Geçidi (GW) rollerinin İnternet üzerinden herkesin erişimine açık olduğu unutulmamalıdır.It is imperative to note that only Azure API Management (APIM) and Gateway (GW) roles are accessible through the public Internet. Bu hizmetler kimlik doğrulaması, yetkilendirme, DDoS koruması, Azaltma, Yük Dengeleme, Yönlendirme gibi özellikler sunar.They provide authentication, authorization, DDoS protection, Throttling, Load Balancing, Routing, and other capabilities.

Veri Depolama Alanı GüvenliğiData Storage Security

Power BI hizmetinin veri depolamak ve yönetmek için kullandığı iki ana depo vardır. Kullanıcılar tarafından karşıya yüklenen veriler genelde Azure BLOB depolama alanına gönderilirken sisteme ait meta veriler ve tüm yapıtlar Azure SQL Veritabanı'nda depolanır.Power BI uses two primary repositories for storing and managing data: data that is uploaded from users is typically sent to Azure BLOB storage, and all metadata as well as artifacts for the system itself are stored in Azure SQL Database.

Yukarıdaki Arka Uç kümesi resminde yer alan kesik çizgi, kullanıcılar tarafından erişilebilen iki bileşen (kesik çizginin sol tarafı) ile yalnızca sistem tarafından erişilebilen roller arasındaki ayrımı göstermektedir.The dotted line in the Back-End cluster image, above, clarifies the boundary between the only two components that are accessible by users (left of the dotted line), and roles that are only accessible by the system. Kimliği doğrulanmış bir kullanıcı Power BI hizmetine bağlandığında bağlantı ve istemci istekleri Ağ Geçidi Rolü tarafından kabul edilip yönetilir (sonrasında Azure API Management tarafından işlenmek üzere) ve bu rol, Power BI hizmetinin geri kalan kısmında kullanıcının adına etkileşimde bulunur.When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role (eventually to be handled by Azure API Management), which then interacts on the user’s behalf with the rest of the Power BI Service. Örneğin, bir istemci bir panoyu görüntülemek istediğinde Ağ Geçidi Rolü bu isteği kabul eder ve tarayıcının panoyu oluşturması için gerekli olan verileri almak için Sunum Rolü'ne ayrı bir istek gönderir.For example, when a client attempts to view a dashboard, the Gateway Role accepts that request then separately sends a request to the Presentation Role to retrieve the data needed by the browser to render the dashboard.

Kullanıcı Kimlik DoğrulamasıUser Authentication

Power BI, oturum açan kullanıcıların kimliğini doğrulamak için Azure Active Directory (AAD) hizmetini; kullanıcının, kimlik doğrulaması gerektiren kaynaklara erişmeye çalışması halinde ise Power BI oturum açma kimlik bilgilerini kullanır.Power BI uses Azure Active Directory (AAD) to authenticate users who sign in to the Power BI service, and in turn, uses the Power BI login credentials whenever a user attempts to access resources that require authentication. Power BI hizmetinde, Power BI hesabını oluşturmak için kullandığı e-posta adresiyle oturum açan kullanıcılar için Power BI, ilgili e-posta adresini etkin kullanıcı adı olarak kullanır ve kullanıcı verilere bağlanmaya çalıştığında kaynaklara bu bilgiyi iletir.Users sign in to the Power BI service using the email address used to establish their Power BI account; Power BI uses that login email as the effective username, which is passed to resources whenever a user attempts to connect to data. Ardından etkin kullanıcı adı bir Kullanıcı Asıl Adı (UPN) ile eşlenerek ilişkili Windows etki alanı hesabı çözümlenir ve kimlik doğrulaması bu hesaba uygulanır.The effective username is then mapped to a User Principal Name (UPN and resolved to the associated Windows domain account, against which authentication is applied.

Power BI oturumu açmak için iş e-postalarını kullanan kuruluşlarda (david@contoso.com gibi) etkin kullanıcı adı doğrudan UPN ile eşlenir.For organizations that used work emails for Power BI login (such as david@contoso.com), the effective username to UPN mapping is straightforward. Power BI oturumu açmak için iş e-postalarını kullanmayan kuruluşlarda (david@contoso.onmicrosoft.com gibi) AAD ve şirket içi kimlik bilgileri arasında eşleme yapılabilmesi için dizin eşitleme hizmetinin düzgün çalışması gerekir.For organizations that did not use work emails for Power BI login (such as david@contoso.onmicrosoft.com), mapping between AAD and on-premises credentials will require directory synchronization to work properly.

Power BI için platform güvenliği aynı zamanda çok kiracılı ortam güvenliğini, ağ güvenliğini ve AAD tabanlı ek güvenlik önlemleri ekleme olanağını da kapsar.Platform security for Power BI also includes multi-tenant environment security, networking security, and the ability to add additional AAD-based security measures.

Veri ve Hizmet GüvenliğiData and Service Security

Daha fazla bilgi için lütfen Microsoft Güven Merkezi'ni ziyaret edin.For more information, please visit the Microsoft Trust Center.

Bu makalenin yukarıdaki bölümlerinde açıklandığı üzere kullanıcının Power BI oturum açma bilgileri, şirket içi Active Directory sunucuları tarafından kullanılarak kimlik bilgilerine ilişkin bir UPN ile eşlenir.As described earlier in this article, a user’s Power BI login is used by on-premises Active Directory servers to map to a UPN for credentials. Ancak, kullanıcıların, paylaştıkları verilerin sorumluluğunu alması gerektiğini unutmayın. Bir kullanıcının kendi kimlik bilgilerini kullanarak bağlandığı veri kaynağındaki verileri kullanan bir raporu (veya panoyu ya da veri kümesini) paylaşması halinde, ilgili öğenin paylaşıldığı kullanıcıların kimliği, özgün veri kaynağı için doğrulanmaz ve bu kullanıcılara, rapora yönelik erişim izni verilir.However, it’s important to note that users are responsible for the data they share: if a user connects to data sources using their credentials, then shares a report (or dashboard, or dataset) based on that data, users with whom the dashboard is shared are not authenticated against the original data source, and will be granted access to the report.

Bu durum, şirket içi veri ağ geçidi kullanılarak SQL Server Analysis Services ile kurulan bağlantılar için geçerli değildir. Panolar Power BI hizmetinde önbelleğe alınır ancak bağlantılı raporlara veya veri kümelerine erişim için rapora (veya veri kümesine) erişmek isteyen kullanıcıya yönelik olarak kimlik doğrulaması başlatılır ve yalnızca kullanıcının ilgili verilere erişmek için yeterli kimlik bilgilerine sahip olması durumunda erişim izni verilir.An exception is connections to SQL Server Analysis Services using the On-premises data gateway; dashboards are cached in Power BI, but access to underlying reports or datasets initiates authentication for the user attempting to access the report (or dataset), and access will only be granted if the user has sufficient credentials to access the data. Daha fazla bilgi için bkz. Şirket içi veri ağ geçidine yakından bakış.For more information, see On-premises data gateway deep dive.

TLS sürümü kullanımını zorlamaEnforcing TLS version usage

Ağ ve BT yöneticileri, ağ üzerinden gerçekleştirilen güvenli iletişimler için geçerli TLS (Aktarım Katmanı Güvenliği) kullanımını zorunlu kılabilir.Network and IT administrators can enforce the requirement to use current TLS (Transport Layer Security) for any secured communication on their network. Windows, TLS Schannel SSP makalesinde açıklandığı gibi Microsoft Schannel Provider üzerinden TLS sürümlerini destekler.Windows provides support for TLS versions over the Microsoft Schannel Provider, as described in the TLS Schannel SSP article.

Bu zorlama kayıt defteri anahtarlarının ayarlanmasıyla sağlanabilir.This enforcement can be done by administratively setting registry keys. Zorlama adımları AD FS SSL Protokollerini Yönetme makalesinde anlatılmıştır.Enforcement is described in the Managing SSL Protocols in AD FS article.

Power BI Desktop, bu makalelerde anlatılan kayıt defteri anahtarı ayarlarını dikkate alır ve bu kayıt defteri ayarları mevcut olduğunda yalnızca izin verilen TLS sürümü kullanılarak oluşturulan bağlantılara izin verilir.Power BI Desktop respects the registry key settings described in those articles, and only created connections using the version of TLS allowed based on those registry settings, when present.

Bu kayıt defteri anahtarlarını oluşturma hakkında daha fazla bilgi için TLS Kayıt Defteri Ayarları makalesini inceleyin.For more information about setting these registry keys, see the TLS Registry Settings article.