Power BI 安全性白皮書

發行項
12/22/2023

摘要： Power BI 是 Microsoft 的在線軟體服務（SaaS 或軟體即服務）供應專案，可讓您輕鬆且快速地建立自助式商業智慧儀錶板、報表、語意模型（先前稱為數據集），以及視覺效果。透過Power BI，您可以連線到許多不同的資料源、結合和塑造來自這些連線的數據，然後建立可與其他人共用的報表和儀錶板。

作家： 伊紮克·凱塞爾曼、帕迪·奧斯本、馬特·尼利、托尼·本奇奇、斯裡尼瓦桑·圖魯韋克雷、克裡斯蒂安·佩特庫雷斯庫、阿迪·雷傑夫、納文·西瓦拉傑、本·格拉斯坦、埃夫根尼·齊奧尼、阿蒂·拉馬蘇布拉曼尼亞·伊耶 Sid Jayadevan、Ronald Chang、Ori Eduar、Anton Fritz、Idan Sheinberg、Ron Gilad、Sagiv Hadaya、Paul Inbar、Igor Uzhviev、Michael Roth、Jaime Tarquino、Gennady Pats、Orion Lee、Yury Berezansky、Maya Shenhav、Romit Chattopadhyay、亞里夫·邁蒙，柏格丹·克里瓦特

技術檢閱者： 克利斯蒂安·佩特庫、阿米爾·內茨、謝爾蓋·岡多羅夫

適用於：Power BI SaaS、Power BI Desktop、Power BI 進階版、Power BI Embedded Analytics、Power BI 行動版。

注意

您可以從瀏覽器選取 [列印]，然後選取 [另存新檔 PDF]，以儲存或列印此白皮書。

簡介

Power BI 是 Microsoft 的在線軟體服務（SaaS 或軟體即服務）供應專案，可讓您輕鬆且快速地建立自助商業智慧儀錶板、報表、語意模型和視覺效果。透過Power BI，您可以連線到許多不同的資料源、結合和塑造來自這些連線的數據，然後建立可與其他人共用的報表和儀錶板。

世界正在迅速變化：組織正在進行加速的數字轉型，我們看到遠端工作大幅增加、對線上服務的需求增加，以及增加營運和商務決策中的先進技術使用。這一切是由雲端所提供。

隨著向雲端轉換已從一滴水變成洪水，以及隨著新的公開介面區隨之而來，更多公司詢問 我的雲端數據有多安全？ 以及 有哪些端對端保護可用來防止敏感數據外洩？ 對於通常處理企業中一些最策略資訊的BI平臺而言，這些問題非常重要。

BI 安全性模型的數十年基礎 -- 物件層級和數據列層級安全性 - 雖然仍然很重要，但顯然已不足以提供雲端時代所需的安全性類型。相反地，組織必須尋找雲端原生、多層式、深度防禦安全性解決方案，以取得其商業智能數據。

Power BI 的建置是為了為數據提供領先業界的完整和隱性保護。該產品贏得了業界提供的最高安全性分類，如今，許多國家安全機構、金融機構和醫療保健供應商都將其委託給他們最敏感的資訊。

這一切都從基礎開始。在 2000 年代初的艱難時期之後，Microsoft 進行了大量投資來解決其安全性弱點，並在下列幾十年裡建置了強大的安全性堆棧，與晶片上的 Bios 核心計算機一樣深入，並一路延伸到用戶體驗。這些深入的投資仍在繼續，現今有超過 3,500 名 Microsoft 工程師致力於建置及增強 Microsoft 的安全性堆棧，並主動解決不斷變化的威脅環境。由於數十億部計算機、數萬億次登入，以及無數被委託給 Microsoft 保護的資訊，公司現在擁有科技產業中最先進的安全性堆棧，並被廣泛視為打擊惡意執行者的全球領導者。

Power BI 是以這個強大的基礎為基礎。它使用相同的安全性堆疊，讓 Azure 獲得服務及保護全球最敏感數據的權利，並與 Microsoft 365 最先進的資訊保護和合規性工具整合。除此之外，它會透過多層式安全性措施提供安全性，進而產生端對端保護，其設計目的是要應對雲端時代的獨特挑戰。

為了提供保護敏感性資產的端對端解決方案，產品小組需要解決多個同時前端具有挑戰性的客戶疑慮：

我們如何控制誰可以連線、他們從何處連線，以及其連線方式？我們如何控制連線？
數據的儲存方式如何？如何加密？我的數據有哪些控件？
如何? 控制及保護我的敏感數據？如何? 確保此數據無法外泄組織？
如何? 稽核誰進行哪些作業？如果服務上有可疑的活動，如何? 反應很快？

本文提供所有這些問題的完整解答。它會從服務架構的概觀開始，並說明系統的主要流程運作方式。接著，它會繼續說明使用者如何向Power BI進行驗證、如何建立數據連線，以及Power BI 如何儲存及行動數據通過服務。最後一節將討論安全性功能，讓您身為服務管理員，以保護您最有價值的資產。

Power BI 服務受 Microsoft Online Services 條款及 Microsoft Enterprise 隱私聲明所控管。如需數據處理的位置，請參閱 Microsoft Online Services 條款中的數據處理詞彙位置，以及數據保護增補。針對合規性資訊， Microsoft 信任中心是 Power BI 的主要資源。 Power BI 小組正努力為客戶提供最新的創新和生產力。深入瞭解 Microsoft 合規性供應專案的合規性。

Power BI 服務遵循安全性開發生命週期（SDL），嚴格的安全性做法，以支援安全性保證和合規性需求。 SDL 可藉由減少軟體中的弱點數目和嚴重性，同時降低開發成本，協助開發人員建置更安全的軟體。深入了解 Microsoft 安全性開發生命週期做法。

Power BI 架構

Power BI 服務建置在 Microsoft 的雲端運算平臺 Azure 上。 Power BI 目前部署在世界各地的許多資料中心 – 在這些數據中心服務的區域，有許多作用中部署可供客戶使用，以及相同數目的被動部署，做為每個主動部署的備份。

WFE 和後端

Web 前端叢集（WFE）

WFE 叢集會在網站載入時提供使用者瀏覽器的初始 HTML 頁面內容，以及用來在瀏覽器中轉譯網站的 CDN 內容的指標。

WEF 叢集

WFE 叢集是由 Azure App 服務環境中執行的 ASP.NET 網站所組成。當使用者嘗試連線到 Power BI 服務時，用戶端的 DNS 服務可能會與 Azure 流量管理員通訊，以尋找與 Power BI 部署最適當的（通常最接近）數據中心。如需此程式的詳細資訊，請參閱 Azure 流量管理員的效能流量路由方法。

*.js、*.css 和圖像檔等靜態資源大多會儲存在 Azure 內容傳遞網路 （CDN）上，並由瀏覽器直接擷取。請注意，主權政府叢集部署是此規則的例外狀況，基於合規性考慮，會省略 CDN，而改用來自相容區域的 WFE 叢集來裝載靜態內容。

Power BI 後端叢集（BE）

後端叢集是Power BI 中所有可用功能的骨幹。它包含 Web 前端和 API 用戶端所取用的數個服務端點，以及背景工作服務、資料庫、快取和其他各種元件。

後端可在大部分的 Azure 區域中使用，而且會在新的區域中部署，因為它們可供使用。單一 Azure 區域會裝載一或多個後端叢集，一旦單一叢集的垂直和水平調整限制用盡，就允許無限制水準調整 Power BI 服務。

每個後端叢集都是具狀態的，並裝載指派給該叢集之所有租使用者的所有數據。包含特定租用戶數據的叢集稱為租使用者的主叢集。已驗證使用者的主叢集資訊是由全域服務提供，並由 Web 前端用來將要求路由傳送至租使用者的主叢集。

每個後端叢集都包含多個虛擬機，結合成多個可重設大小的擴展集，以執行特定工作、具狀態資源，例如 SQL 資料庫、記憶體帳戶、服務總線、快取和其他必要的雲端元件。

租使用者元數據和數據會儲存在叢集限制內，但相同 Azure 地理位置配對 Azure 區域中次要後端叢集的數據復寫除外。次要後端叢集會在發生區域性中斷時做為故障轉移叢集，而且在任何其他時間都是被動的。

後端功能是由叢集虛擬網路內無法從外部存取的不同計算機上執行的微服務提供服務，但可從公用因特網存取的兩個元件除外：

閘道服務
Azure API 管理

後端叢集

Power BI 進階版基礎結構

Power BI 進階版為需要進階 Power BI 功能的訂閱者提供服務，例如進階 AI、散發給未授權的使用者等等。當客戶註冊Power BI 進階版訂用帳戶時，會透過 Azure Resource Manager 建立進階版容量。

Power BI 進階版容量裝載於與一般 Power BI 後端無關的後端叢集中，請參閱上圖）。這可提供更佳的隔離、資源配置、支援性、安全性隔離，以及進階版供應專案的延展性。

下圖說明 Power BI 進階版基礎結構的架構：

Power BI Premium

Power BI 進階版基礎結構的連線可以透過許多方式完成，視使用者案例而定。 Power BI 進階版用戶端可以是使用者的瀏覽器、一般 Power BI 後端、透過 XMLA 用戶端、ARM API 等直接連線。

Azure 區域中的 Power BI 進階版基礎結構包含多個 Power BI 進階版叢集（最小值為一個）。大部分進階版資源會封裝在叢集內（例如計算），而且有一些常見的區域資源（例如元數據記憶體）。進階版基礎結構允許兩種方式在區域中達到水準延展性：增加叢集內的資源，以及/或視需要新增更多叢集（如果叢集資源接近其限制）。

每個叢集的骨幹都是由虛擬機器擴展集和 Azure Service Fabric 管理的計算資源。虛擬機器擴展集和 Service Fabric 可讓您快速且無痛地增加計算節點，因為使用量會隨著使用量增加，並協調 Power BI 進階版服務和應用程式的部署、管理和監視。

有許多周邊資源可確保安全且可靠的基礎結構：負載平衡器、虛擬網路、網路安全組、服務總線、記憶體等。Power BI 進階版所需的任何秘密、金鑰和憑證都是由 Azure 金鑰保存庫獨佔管理。任何驗證都是透過與 Microsoft Entra ID （先前稱為 Azure Active Directory）的整合來完成。

Power BI 進階版基礎結構的任何要求都會先移至前端節點，它們是唯一可用於外部連線的節點。其餘的資源會隱藏在虛擬網路後面。前端節點會驗證要求、處理要求，或將它轉送至適當的資源（例如後端節點）。

後端節點提供大部分的Power BI 進階版功能和功能。

Power BI 行動版

Power BI 行動版是專為三個主要行動平台設計的應用程式集合：Android、iOS 和 Windows （UWP）。 Power BI 行動版應用程式的安全性考慮分為兩個類別：

裝置通訊
裝置上的應用程式和資料

針對裝置通訊，所有 Power BI 行動版應用程式都會與 Power BI 服務通訊，並使用瀏覽器所使用的相同連線和驗證順序，本白皮書稍早會詳細說明。適用於 iOS 和 Android 的 Power BI 行動應用程式會在應用程式本身內啟動瀏覽器會話，而 Windows 行動裝置應用程式則會啟動訊息代理程式，以建立與 Power BI 的通道（用於登入程式）。

下表顯示以行動裝置平台為基礎的 Power BI 行動版憑證式驗證（CBA）支援：

CBA 支援	iOS	Android	Windows
Power BI （登入服務）	支援	已支援	不支援
SSRS ADFS 內部部署（連線到 SSRS 伺服器）	不支援	支援	不支援
SSRS App Proxy	支援	已支援	不支援

Power BI 行動版應用程式會主動與 Power BI 服務通訊。遙測可用來收集行動應用程式使用量統計數據和類似數據，其會傳輸至用來監視使用量和活動的服務：不會使用遙測傳送任何客戶數據。

Power BI 應用程式會將資料儲存在裝置上，以利使用應用程式：

Microsoft Entra 識別碼和重新整理令牌會使用業界標準安全性措施，儲存在裝置的安全機制中。
數據和設定（使用者設定的密鑰/值組）會在裝置上的記憶體中快取，而且可由 OS 加密。在 iOS 中，當使用者設定密碼時，系統會自動完成此動作。在 Android 中，您可以在設定中設定。在 Windows 中，它是使用 BitLocker 來完成。
針對 Android 和 iOS 應用程式，資料與設定（使用者組態的機碼/值組）會快取在沙箱中的裝置上的記憶體，以及只能供應用程式存取的內部記憶體中。針對 Windows 應用程式，資料只能由使用者存取（和系統管理員）。
地理位置由使用者明確啟用或停用。若啟用，則不會將地理位置資料儲存在裝置上，也不會與 Microsoft 共用。
通知由使用者明確啟用或停用。如果已啟用，Android 和 iOS 不支援通知的地理數據落地需求。

透過 Microsoft Intune 套用檔案層級加密，可增強數據加密，這是提供行動裝置和應用程式管理的軟體服務。 Power BI 行動版可供使用的所有三個平臺都支援 Intune。啟用並設定 Intune 之後，行動裝置上的數據會加密，且 Power BI 應用程式本身無法安裝在 SD 記憶卡上。深入瞭解 Microsoft Intune。

Windows 應用程式也支援 Windows 資訊保護（WIP）。

為了實作 SSO，某些與令牌型驗證相關的安全儲存值可供其他 Microsoft 第一方應用程式使用（例如 Microsoft Authenticator），並由 Microsoft 驗證連結庫（MSAL）管理。

Power BI 行動版快取的數據會在移除應用程式、用戶註銷 Power BI 行動版或使用者無法登入時刪除（例如令牌到期事件或密碼變更之後）。數據快取包含先前從 Power BI 行動版應用程式存取的儀錶板和報表。

Power BI 行動版不會存取裝置上的其他應用程式資料夾或檔案。

適用於 iOS 和 Android 的 Power BI 應用程式可讓您藉由設定其他識別來保護數據，例如提供 iOS 的臉部標識碼、觸控標識碼或密碼，以及 Android 的生物特徵辨識數據（指紋識別符）。深入瞭解其他識別。

驗證 Power BI 服務

Power BI 服務的使用者驗證是由用戶瀏覽器與 Power BI 所使用的 Power BI 服務或 Azure 服務之間的一系列要求、回應和重新導向所組成。該順序描述 Power BI 中使用者驗證的程式，其遵循 Microsoft Entra 驗證碼授與流程。如需組織使用者驗證模型選項的詳細資訊（登入模型），請參閱選擇 Microsoft 365 的登入模型。

驗證順序

Power BI 服務的使用者驗證順序會如下列步驟所述發生，如下圖所示。

使用者從瀏覽器起始與 Power BI 服務的連線，方法是在網址列中輸入 Power BI 位址，或從 Power BI 行銷頁面https://powerbi.microsoft.com選取 [登入]。線上是使用 TLS 和 HTTPS 建立，瀏覽器與 Power BI 服務之間的所有後續通訊都會使用 HTTPS。
Azure 流量管理員會檢查使用者的 DNS 記錄，以判斷部署 Power BI 的最適當（通常是最接近）數據中心，並使用使用者應傳送的 WFE 叢集 IP 位址回應 DNS。
WFE 接著會將 HTML 頁面傳回瀏覽器用戶端，其中包含起始登入流程所需的MSAL.js連結庫參考。
瀏覽器用戶端會載入從 WFE 接收的 HTML 頁面，並將使用者重新導向至 Microsoft Online Services 登入頁面。
用戶通過驗證之後，登入頁面會以驗證碼將使用者重新導向回Power BI WFE 頁面。
瀏覽器用戶端會載入 HTML 頁面，並使用驗證碼從 Microsoft Entra ID 要求令牌（存取、標識碼、重新整理）。
瀏覽器用戶端會使用使用者的租使用者標識碼來查詢 Power BI 全域服務，以維護租使用者及其 Power BI 後端叢集位置的清單。 Power BI 全域服務會決定哪些 Power BI 後端服務叢集包含使用者的租使用者，並將 Power BI 後端叢集 URL 傳回用戶端。
用戶端現在可以使用 HTTP 要求的授權標頭中的存取令牌，與 Power BI 後端叢集 URL API 通訊。 Microsoft Entra 存取令牌會根據 Microsoft Entra 原則設定到期日，而且為了維護使用者瀏覽器中的 Power BI 用戶端會定期要求更新存取令牌，再到期。

說明客戶端驗證順序的圖表。

在客戶端驗證因意外錯誤而失敗的罕見情況下，程式代碼會嘗試回復為在WFE中使用伺服器端驗證。如需伺服器端驗證流程的詳細資訊，請參閱本文件結尾的問答一節。

資料落地

除非檔中另有說明，否則 Power BI 會將客戶數據儲存在 Microsoft Entra 租使用者第一次註冊 Power BI 服務時指派的 Azure 地理位置。 Microsoft Entra 租用戶擁有與組織及其安全性相關的使用者和應用程式身分識別、群組和其他相關信息。

租用戶數據記憶體的 Azure 地理位置指派，是將所選國家或地區對應為 Microsoft Entra 租使用者設定的一部分，對應至 Power BI 部署所在的最適合 Azure 地理位置。進行此判斷之後，所有 Power BI 客戶數據都會儲存在此選取的 Azure 地理位置（也稱為主地理位置），但組織會利用多地理位置部署的情況除外。

多個地理位置（多地理位置）

某些組織具有全域狀態，而且可能需要多個 Azure 地理位置中的 Power BI 服務。例如，企業可能在其總部位於美國，但也可能在澳大利亞等其他地理區域中做生意。在這種情況下，企業可能會要求某些 Power BI 數據仍儲存在遠端區域中，以符合當地法規。 Power BI 服務的這項功能稱為多地理位置。

指派給多地理位置工作區的查詢執行層、查詢快取和成品數據會裝載並保留在遠端容量 Azure 地理位置中。不過，某些成品元數據，例如報表結構，可能會保留在租使用者的主地理位置中待用。此外，即使裝載於多地理位置進階版容量的工作區，某些數據傳輸和處理仍可能發生在租使用者的主地理位置中。

如需建立和管理跨越多個 Azure 地理位置的 Power BI 部署的詳細資訊，請參閱設定 Power BI 進階版的多地理位置支援。

區域和數據中心

特定 Azure 地理位置提供 Power BI 服務，如中所述Microsoft 信任中心。如需數據儲存位置及其使用方式的詳細資訊，請參閱 Microsoft 信任中心。 Microsoft 線上服務條款的資料處理條款會指定客戶待用資料的相關位置。

Microsoft 也為主權實體提供數據中心。如需 Power BI 服務國家/地區雲端可用性的詳細資訊，請參閱 Power BI 國家/地區雲端。

資料處理

本節概述在儲存、處理及傳輸客戶數據時，Power BI 數據處理做法。

待用資料

Power BI 使用兩種主要資料儲存資源類型：

Azure 儲存體
Azure SQL Database

在大部分情況下，Azure 儲存體會用來保存 Power BI 成品的數據，而 Azure SQL 資料庫則用來保存成品元數據。

Power BI 儲存的所有資料預設都會使用 Microsoft 管理的密鑰進行加密。使用 Azure SQL 的透明資料加密（TDE）技術，將儲存在 Azure SQL 資料庫的客戶數據完全加密。儲存在 Azure Blob 記憶體中的客戶資料會使用加密 Azure 儲存體加密。

或者，組織可以使用 Power BI 進階版來使用自己的密鑰來加密匯入語意模型之待用數據。這種方法通常描述為攜帶您自己的密鑰（BYOK）。使用 BYOK 有助於確保即使發生服務操作員錯誤，也不會公開客戶數據，這是使用透明服務端加密無法輕易達成的。如需詳細資訊，請參閱自備 Power BI 加密密鑰。

Power BI 語意模型允許各種數據源連接模式，以判斷數據源數據是否保存在服務中。

語意模型模式（種類）	Power BI 中保存的數據
Import	Yes
DirectQuery	No
即時連線	No
複合	如果包含匯入數據源
串流	如果設定為保存

不論使用語意模型模式為何，Power BI 可能會暫時快取任何擷取的數據，以優化查詢和報表載入效能。

處理中的資料

當一或多個用戶主動使用數據做為互動式案例的一部分，或當背景程式，例如重新整理時，就會處理數據。 Power BI 會主動將數據載入一或多個服務工作負載的記憶體空間。為了加速工作負載所需的功能，記憶體中已處理的數據不會加密。

傳輸中資料

Power BI 需要使用 TLS 1.2 或更新版本來加密所有連入 HTTP 流量。嘗試搭配 TLS 1.1 或更低版本使用服務的任何要求都會遭到拒絕。

數據源的驗證

連接到數據源時，用戶可以選擇將數據複本匯入Power BI，或直接連接到資料源。

在匯入的情況下，用戶會根據使用者的登入建立連線，並使用認證存取數據。將語意模型發佈至 Power BI 服務之後，Power BI 一律會使用此使用者的認證匯入數據。匯入數據之後，檢視報表和儀錶板中的數據並不會存取基礎數據源。 Power BI 支援所選數據源的單一登錄驗證。如果連線設定為使用單一登錄，語意模型擁有者的認證會用來連線到數據源。

如果使用預先設定的認證直接連接數據源，則任何用戶檢視數據時，會使用預先設定的認證連接到數據源。如果使用單一登錄直接連接數據源，則當用戶檢視數據時，目前使用者的認證會用來連接到數據源。搭配單一登錄使用時，可以在數據源上實作數據列層級安全性（RLS）和/或物件層級安全性（OLS）。這可讓使用者只檢視他們有權存取的數據。當連線是雲端中的數據源時，Microsoft Entra 驗證會用於單一登錄;支持內部部署數據源、Kerberos、安全性判斷提示標記語言（SAML）和 Microsoft Entra 識別符。

如果數據源是 Azure Analysis Services 或內部部署 Analysis Services，且已設定 RLS 和/或 OLS，則 Power BI 服務會套用該數據列層級安全性，且沒有足夠的認證可存取基礎數據的使用者（這可能是儀錶板、報表或其他數據成品中使用的查詢）不會看到他們沒有足夠的許可權。

進階功能

數據流架構

數據流可讓用戶設定後端數據處理作業，以從多型數據源擷取數據、針對數據執行轉換邏輯，然後將它放在目標模型中，以用於各種報告呈現技術。任何在工作區中具有成員、參與者或系統管理員角色的使用者，都可能會建立數據流。檢視者角色中的使用者可以檢視數據流所處理的數據，但可能不會變更其組合。撰寫數據流之後，工作區的任何成員、參與者或系統管理員都可能會排程重新整理，以及藉由取得其擁有權來檢視和編輯數據流。

每個設定的數據源都會系結至客戶端技術，以存取該數據源。存取它們所需的認證結構會形成，以符合數據源的必要實作詳細數據。轉換邏輯會由Power Query服務套用，而數據正在執行中。針對進階數據流，Power Query 服務會在後端節點中執行。數據可以直接從雲端來源或透過安裝在內部部署的閘道提取。從雲端來源直接提取到服務或閘道時，如果適用，傳輸會使用用戶端技術特有的保護方法。將數據從閘道傳輸到雲端服務時，會加密。請參閱上方的傳輸中數據一節。

當客戶指定的數據源需要認證才能存取時，數據流的擁有者/建立者會在撰寫期間提供它們。其會使用標準全產品認證記憶體來儲存。請參閱上述的<數據源驗證>一節。用戶可以設定各種方法來優化數據持續性和存取。根據預設，數據會放在Power BI擁有且受保護的記憶體帳戶中。儲存體 Blob 記憶體容器上啟用加密，以保護待用數據。請參閱下方的待用數據一節。不過，用戶可以設定與自己的 Azure 訂用帳戶相關聯的自己的記憶體帳戶。這樣做時，會將 Power BI 服務主體授與該記憶體帳戶的存取權，以便在重新整理期間寫入該處的數據。在此情況下，記憶體資源擁有者會負責在設定的 ADLS 記憶體帳戶上設定加密。數據一律會使用加密傳輸至 Blob 記憶體。

由於存取記憶體帳戶時的效能可能低於某些數據，因此使用者也可以選擇使用 Power BI 裝載的計算引擎來提升效能。在此情況下，數據會以備援方式儲存在可透過後端Power BI系統的存取提供給 DirectQuery 的 SQL 資料庫中。檔系統上的數據一律會加密。如果使用者提供金鑰來加密儲存在 SQL 資料庫中的數據，該金鑰將用來將它加倍加密。

使用 DirectQuery 進行查詢時，會使用加密傳輸通訊協定 HTTPS 來存取 API。 DirectQuery 的所有次要或間接使用都是由先前所述的相同訪問控制所控制。由於數據流一律系結至工作區，因此數據存取一律會受到該工作區中使用者的角色所限制。用戶必須至少有讀取許可權，才能透過任何方式查詢數據。

當 Power BI Desktop 用來存取數據流中的數據時，必須先使用 Microsoft Entra ID 驗證使用者，以判斷使用者是否有足夠的許可權可檢視數據。如果是，則會取得 SaS 金鑰，並使用加密傳輸通訊協定 HTTPS 直接存取記憶體。

整個管線中的數據處理會發出 Office 365 稽核事件。其中有些事件會擷取安全性和隱私權相關作業。

分頁報表

編頁報表的設計目的是要列印或共用。它們稱為編頁，因為它們已格式化成適合在頁面上。它們會顯示數據表中的所有數據，即使數據表跨越多個頁面也一樣。您可以完全控制其報表頁面佈局。

編頁報表支援以 Microsoft Visual Basic .NET 撰寫的豐富且功能強大的表達式。表達式在Power BI 報表產生器編頁報表中廣泛使用，以擷取、計算、顯示、群組、排序、篩選、參數化和格式化數據。

表達式是由報表的作者所建立，可存取 .NET Framework 的各種功能。分頁報表的處理和執行是在沙箱內執行。

編頁報表定義（.rdl）會儲存在 Power BI 中，若要發佈和/或轉譯編頁報表，用戶必須以與上述 Power BI 服務驗證一節中所述的方式進行驗證和授權。

在驗證期間取得的 Microsoft Entra 令牌可用來直接從瀏覽器與 Power BI 進階版叢集通訊。

在 Power BI 進階版中，Power BI 服務運行時間會為每個報表轉譯提供適當的隔離執行環境。這包括轉譯報表屬於指派給相同容量的工作區的情況。

編頁報表可以存取一組廣泛的數據源，做為報表轉譯的一部分。沙箱不會直接與任何數據源通訊，而是會與受信任的進程通訊以要求數據，然後信任的進程會將必要的認證附加至連線。如此一來，沙箱就永遠無法存取任何認證或秘密。

為了支援 Bing 地圖或 Azure Functions 呼叫等功能，沙箱可以存取因特網。

Power BI 內嵌式分析

獨立軟體供應商（ISV）和解決方案提供者在其 Web 應用程式和入口網站中內嵌 Power BI 成品有兩種主要模式：為組織內嵌，並為客戶內嵌。成品內嵌在應用程式或入口網站中的 IFrame 中。 IFrame 不允許從外部 Web 應用程式或入口網站讀取或寫入數據，而 IFrame 的通訊是使用 Power BI 用戶端 SDK 使用 POST 訊息來完成。

在組織案例的內嵌中，Microsoft Entra 用戶會透過由企業和 IT 自定義的入口網站存取自己的 Power BI 內容。本文中所述的所有 Power BI 原則和功能，例如數據列層級安全性（RLS）和物件層級安全性（OLS），都會自動套用至所有使用者，而不論他們是否透過 Power BI 入口網站或自定義入口網站存取 Power BI 。

在客戶案例的內嵌中，ISV 通常擁有 Power BI 租使用者和 Power BI 專案（儀錶板、報表、語意模型和其他專案）。 ISV 後端服務有責任驗證其使用者，並決定哪些成品，以及該使用者適用的存取層級。 ISV 原則決策會在 Power BI 產生的內嵌令牌中加密，並傳遞至 ISV 後端，以根據 ISV 的商業規則將進一步散發給終端使用者。使用瀏覽器或其他用戶端應用程式的用戶無法解密或修改內嵌令牌。 Power BI 用戶端 API 之類的用戶端 SDK 會自動將加密的內嵌令牌附加至 Power BI 要求作為授權：EmbedToken 標頭。根據此標頭，Power BI 會強制執行所有原則（例如存取或 RLS），如同 ISV 在產生期間所指定的一樣。

若要啟用內嵌和自動化，以及產生上述的內嵌令牌，Power BI 會公開一組豐富的 REST API。這些 Power BI REST API 同時支援使用者委派和服務主體 Microsoft Entra 驗證和授權方法。

Power BI 內嵌式分析及其 REST API 支援本文中所述的所有 Power BI 網路隔離功能：例如，服務標籤和私人連結。

AI 功能

Power BI 目前支援產品中的兩大類 AI 功能：AI 視覺效果和 AI 擴充。視覺層級 AI 功能包括關鍵影響因素、分解樹狀結構、智慧型敘事、異常偵測、R-visual、Python 視覺效果、叢集、預測、問答、快速深入解析等功能。AI 擴充功能包括 AutoML、Azure 機器學習、CognitiveServices、R/Python 轉換等功能。

目前共用和進階版工作區都支援上述大部分功能。不過，只有進階版工作區才支援 AutoML 和 CognitiveServices，因為 IP 限制。現在，透過Power BI中的 AutoML 整合，使用者可以建置和定型自定義 ML 模型（例如預測、分類、回歸等），並將它套用至將數據載入至進階版工作區中定義的數據流時取得預測。此外，Power BI 使用者可以套用數個 CognitiveServices API，例如 TextAnalytics 和 ImageTagging，在將數據載入進階版工作區中定義的數據流/語意模型之前，先轉換數據。

進階版 AI 擴充功能可最佳檢視為無狀態 AI 函式/轉換的集合，Power BI 使用者可在 Power BI 語意模型或數據流所使用的數據整合管線中使用。請注意，您也可以從 Power BI 服務和 Power BI Desktop 中的目前數據流/語意模型撰寫環境存取這些函式。這些 AI 函式/轉換一律會在進階版工作區/容量中執行。這些函式會以數據源的形式呈現在Power BI中，此數據源需要 Microsoft Entra 令牌給使用 AI 函式的 Power BI 使用者。這些 AI 數據源很特別，因為它們不會呈現自己的任何數據，而且只會提供這些函式/轉換。在執行期間，這些功能不會對其他服務發出任何輸出呼叫，以傳輸客戶的數據。讓我們個別查看進階版案例，以了解通訊模式和相關的安全性相關詳細數據。

針對定型和套用 AutoML 模型，Power BI 會使用 Azure AutoML SDK，並在客戶的 Power BI 容量中執行所有定型。在定型反覆項目期間，Power BI 會呼叫測試 Azure 機器學習服務，以選取適合目前反覆專案的模型和超參數。在此輸出呼叫中，只會傳送先前反覆專案的相關實驗元數據（例如精確度、ml 演算法、演演算法參數等）。 AutoML 定型會產生 ONNX 模型和定型報表數據，然後儲存在數據流中。稍後，Power BI 使用者可以將定型 ML 模型套用為轉換，以依排程運作 ML 模型。針對 TextAnalytics 和 ImageTagging API，Power BI 不會直接呼叫 CognitiveServices 服務 API，而是使用內部 SDK 在 Power BI 進階版容量中執行 API。現在 Power BI 數據流和語意模型都支援這些 API。在 Power BI Desktop 中撰寫數據模型時，使用者只有在有權存取 Power BI 工作區進階版時，才能存取此功能。因此，系統會提示客戶提供其 Microsoft Entra 認證。

網路隔離

本節概述 Power BI 中的進階安全性功能。某些功能具有特定的授權需求。如需詳細資訊，請參閱下列各節。

服務標籤

服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。這有助於將網路安全性規則的頻繁更新複雜度降到最低。客戶可以使用服務標籤來定義網路安全組或 Azure 防火牆的網路訪問控制。客戶可以在建立安全性規則時，使用服務標籤來取代特定IP位址。藉由在規則的適當來源或目的地（例如 API）欄位中指定服務標籤名稱（例如 PowerBI），客戶就可以允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞，並隨著位址變更自動更新服務標籤。

Private Link 整合

Azure 網路提供 Azure Private Link 功能，可讓 Power BI 透過 Azure 網路私人端點提供安全存取。使用 Azure Private Link 和私人端點時，數據流量會使用 Microsoft 的骨幹網路基礎結構私下傳送，因此數據不會周遊因特網。

Private Link 可確保 Power BI 使用者移至 Power BI 服務中的資源時，會使用 Microsoft 專用網骨幹。

搭配 Power BI 使用 Private Link 提供下列優點：

Private Link 可確保流量會流過 Azure 骨幹，流向 Azure 雲端式資源的私人端點。
網路流量與非 Azure 型基礎結構隔離，例如內部部署存取，會要求客戶設定 ExpressRoute 或虛擬專用網（VPN）。

如需詳細資訊，請參閱存取 Power BI 的私人連結。

VNet 連線能力（預覽 - 即將推出）

雖然 Private Link 整合功能提供 Power BI 的安全輸入連線，但 VNet 連線功能可讓從 Power BI 到 VNet 內數據源的安全輸出連線。

VNet 閘道（Microsoft 管理）將消除安裝及監視內部部署數據閘道的額外負荷，以便連線到與 VNet 相關聯的數據源。不過，它們仍會遵循熟悉的管理安全性和數據源的程式，如同內部部署數據網關一樣。

以下是當您使用 VNet 網關聯機至 VNet 內數據源的 Power BI 報表互動時所發生的情況概觀：

Power BI 雲端服務（或其他其中一個支援的雲端服務）會啟動查詢，並將查詢、數據源詳細數據和認證傳送至 Power Platform VNet 服務（PP VNet）。
接著，PP VNet 服務會將執行 VNet 閘道的容器安全地插入子網。此容器現在可以連線到可從此子網記憶體取的數據服務。
PP VNet 服務接著會將查詢、數據源詳細數據和認證傳送至 VNet 閘道。
VNet 閘道會取得查詢，並使用這些認證連線到數據源。
然後，查詢會傳送至數據源以執行。
執行之後，結果會傳送至 VNet 閘道，而 PP VNet 服務會安全地將數據從容器推送至 Power BI 雲端服務。

這項功能即將在公開預覽版中提供。

服務主體

Power BI 支援使用服務主體。將用於加密或存取 Power BI 的任何服務主體認證儲存在金鑰保存庫中、將適當的存取原則指派給保存庫，以及定期檢閱訪問許可權。

如需其他詳細數據，請參閱使用服務主體自動化進階版工作區和語意模型工作。

適用於 Power BI 的 Microsoft Purview

Microsoft Purview 資訊保護

Power BI 與 Microsoft Purview 資訊保護緊密整合。 Microsoft Purview 資訊保護可讓組織擁有單一整合的解決方案，可跨 Azure、Power BI 和 Office 進行分類、標記、稽核和合規性。

在 Power BI 中啟用資訊保護時：

敏感數據，無論是在 Power BI 服務和 Power BI Desktop 中，都可以使用 Office 和 Azure 中使用的相同敏感度標籤分類和標記。
當 Power BI 內容匯出至 Excel、PowerPoint、PDF、Word 或 .pbix 檔案時，可以強制執行治理原則，以協助確保即使數據離開 Power BI 也受到保護。
可以輕鬆地在Power BI Desktop 中分類及保護 .pbix 檔案，就像在Excel、Word 和PowerPoint 應用程式中所做的一樣。檔案可以根據檔案的敏感度層級輕鬆地標記。更進一步，如果他們包含商務機密數據，則可以加密這些數據，確保只有授權的使用者可以編輯這些檔案。
Excel 活頁簿會在連接到 Power BI 時自動繼承敏感度標籤（預覽），以便在 Excel 中分析 Power BI 語意模型時維持端對端分類並套用保護。
Power BI iOS 和 Android 行動裝置應用程式中會顯示套用至 Power BI 報表和儀錶板的敏感度標籤。
當 Power BI 報表內嵌在 Teams、SharePoint 或安全網站時，敏感度卷標會持續存在。這有助於組織在內嵌Power BI內容時，在匯出時維護分類和保護。
在 Power BI 服務中建立新內容時，標籤繼承可確保將標籤套用至語意模型或 Power BI 服務中的數據超市，將套用至在這些語意模型和數據超市上建立的新內容。
Power BI 系統管理員掃描 API 可以擷取 Power BI 專案的敏感度標籤，讓 Power BI 和 InfoSec 系統管理員監視 Power BI 服務中的標籤並產生執行報告。
Power BI 系統管理員 API 可讓中央小組以程式設計方式將敏感度標籤套用至 Power BI 服務中的內容。
中央小組可以建立強制標籤原則，以強制在Power BI中新增或編輯的內容上套用標籤。
中央小組可以建立默認標籤原則，以確保敏感度標籤會套用至所有新的或變更的 Power BI 內容。
Power BI 服務中的自動下游敏感度標籤可確保在語意模型或 Datamart 上的標籤套用或變更時，標籤會自動套用或變更連接到語意模型或 Datamart 的所有下游內容。

如需詳細資訊，請參閱 Power BI中的敏感度標籤。

Power BI Microsoft Purview 資料外洩防護（DLP）原則（預覽）

Microsoft Purview 的 DLP 原則可協助組織降低 Power BI 機密商務數據外泄的風險。 DLP 原則可協助他們符合政府或產業法規的合規性需求，例如GDPR（歐盟的一般數據保護規定）或CCPA（加州消費者隱私權法案），並確保其在Power BI 中的數據受到管理。

設定 Power BI 的 DLP 原則時：

原則所指定工作區內的所有語意模型都會由原則評估。
您可以偵測敏感數據上傳至您的進階版容量。 DLP 原則可以偵測：
- 敏感度標籤。
- 敏感性信息類型。支援超過 260 種類型。敏感性資訊類型偵測依賴 Microsoft Purview 內容掃描。
當您遇到已識別為敏感性的語意模型時，您可以看到可協助您了解應該執行的自定義原則提示。
如果您是語意模型擁有者，您可以覆寫原則，並防止您的語意模型識別為「敏感性」，前提是您有執行此動作的有效理由。
如果您是語意模型擁有者，如果您的結論是敏感性資訊類型已誤判，則可以回報原則的問題。
您可以叫用自動風險風險降低功能，例如安全性系統管理員的警示。

如需詳細資訊，請參閱 Power BI的數據外洩防護原則。

適用於雲端的 Microsoft Defender 適用於Power BI的應用程式

適用於雲端的 Microsoft Defender Apps 是世界領先的雲端存取安全性代理程式之一，在雲端存取安全性代理程式（CASB）市場被評為Garts Magic象限的領導者。適用於雲端的 Defender 應用程式可用來保護雲端應用程式的使用。它可讓組織即時監視和控制具風險的Power BI會話，例如使用者從非受控裝置存取。安全性管理員可以定義原則來控制用戶動作，例如下載具有敏感性信息的報告。

透過適用於雲端的 Defender Apps，組織可以取得下列 DLP 功能：

設定即時控制項，以在Power BI 中強制執行有風險的用戶會話。例如，如果使用者從國家或地區外部連線到Power BI，則可以由適用於雲端的 Defender Apps即時控件監視會話，以及有風險的動作，例如下載標示為「高度機密」敏感度標籤的數據，可以立即封鎖。
使用適用於雲端的 Defender Apps 活動記錄來調查 Power BI 用戶活動。適用於雲端的 Defender Apps 活動記錄包含 Office 365 稽核記錄中所擷取的 Power BI 活動，其中包含所有使用者和系統管理員活動的相關信息，以及套用、變更和移除卷標等相關活動的敏感度卷標資訊。管理員可以利用適用於雲端的 Defender Apps 進階篩選和快速動作，進行有效的問題調查。
建立自定義原則以警示Power BI中的可疑用戶活動。適用於雲端的 Defender Apps 活動原則功能可用來定義您自己的自定義規則，以協助您偵測偏離規範的用戶行為，甚至可能自動採取行動，如果看起來太危險。
使用適用於雲端的 Defender Apps 內建異常偵測。適用於雲端的 Defender Apps 異常偵測原則提供現成的用戶行為分析和機器學習服務，讓您從一開始就準備好在雲端環境中執行進階威脅偵測。當異常偵測原則識別可疑行為時，它會觸發安全性警示。
適用於雲端的 Defender Apps 入口網站中的 Power BI 系統管理員角色。適用於雲端的 Defender 應用程式提供應用程式特定的系統管理員角色，可用來僅授與 Power BI 系統管理員存取入口網站中 Power BI 相關數據的許可權，例如警示、有風險的使用者、活動記錄和其他 Power BI 相關信息。

如需詳細資訊，請參閱在Power BI中使用適用於雲端的 Microsoft Defender Apps控制件。

預覽安全性功能

本節列出計劃於 2021 年 3 月發行的功能。因為本主題列出可能尚未發行的功能， 因此傳遞時程表可能會變更，且預計的功能可能會於 2021 年 3 月之後發行，或完全無法發行。如需預覽的詳細資訊，請檢閱在線服務條款。

攜帶您自己的 Log Analytics （BYOLA）

攜帶您自己的Log Analytics可讓您在Power BI與 Azure Log Analytics 之間進行整合。此整合包含 Azure Log Analytics 的進階分析引擎、互動式查詢語言，以及內建的機器學習建構。

Power BI 安全性問題和解答

下列問題是 Power BI 的常見安全性問題和解答。這些會根據新增至本白皮書的時間進行組織，以協助您在更新本文時快速尋找新問題和解答的能力。最新的問題會新增至此清單的結尾。

使用者在使用Power BI時如何連線並取得數據源的存取權？

Power BI 會針對每個使用者管理雲端認證或透過個人網關聯機的數據源認證。內部部署數據閘道所管理的數據源可以跨企業共用，而這些數據源的許可權可由閘道管理員管理。設定語意模型時，允許使用者從其個人存放區選取認證，或使用內部部署數據閘道來使用共享認證。

在匯入案例中，用戶會根據使用者的登入建立連線，並使用認證存取數據。將語意模型發佈至 Power BI 服務之後，Power BI 一律會使用此使用者的認證匯入數據。匯入數據之後，在報表和儀錶板中檢視數據並不會存取基礎數據源。 Power BI 支援所選數據源的單一登錄驗證。如果連線設定為使用單一登錄，語意模型擁有者的認證會用來與數據源連線。

對於與 DirectQuery 連線的報表，數據源會直接使用預先設定的認證來連線，預先設定的認證會在任何使用者檢視數據時連接到數據源。如果使用單一登錄直接連接數據源，則當用戶檢視數據時，目前使用者的認證會用來連接到數據源。搭配單一登錄使用時，可以在數據源上實作數據列層級安全性（RLS）和/或物件層級安全性（OLS），這可讓用戶檢視具有存取許可權的數據。當連線是雲端中的數據源時，Microsoft Entra 驗證會用於單一登錄;支持內部部署數據源、Kerberos、SAML 和 Microsoft Entra 識別碼。

使用 Kerberos 連線時，使用者的 UPN 會傳遞至閘道，並使用 Kerberos 限制委派，使用者會模擬並連線到個別數據源。 SAP HANA 數據源的閘道也支援 SAML。如需詳細資訊，請參閱網關單一登錄概觀。

如果數據源是 Azure Analysis Services 或內部部署 Analysis Services 和數據列層級安全性（RLS）和/或物件層級安全性（OLS）已設定，則 Power BI 服務會套用該數據列層級安全性，且沒有足夠的認證可存取基礎數據的使用者（可能是儀錶板、報表或其他數據成品中使用的查詢）不會看到用戶沒有足夠的許可權的數據。

Power BI 的數據列層級安全性可用來限制指定使用者的數據存取。篩選會限制數據列層級的數據存取，而且您可以在角色內定義篩選。

物件層級安全性（OLS）可用來保護敏感性數據表或數據行。不過，與數據列層級安全性不同，物件層級安全性也會保護物件名稱和元數據。這有助於防止惡意使用者探索這類物件是否存在。使用 Excel 或 Power BI 等報表工具時，受保護的數據表和數據行會遮蔽在欄位清單中，此外，沒有許可權的使用者無法透過 DAX 或任何其他方法存取受保護的元數據物件。從沒有適當訪問許可權的用戶的觀點來看，受保護的數據表和數據行根本不存在。

物件層級安全性，以及數據列層級安全性，可在報表和語意模型上啟用增強的企業級安全性，確保只有具備必要許可權的使用者才能檢視和與敏感數據互動。

數據如何傳送至 Power BI？

Power BI 要求和傳輸的所有資料都會使用 HTTPS 加密傳輸中（除非客戶選擇的數據源不支援 HTTPS），以從數據源連線到 Power BI 服務。系統會與數據提供者建立安全連線，而且只有建立該連線之後，數據才會周遊網路。

Power BI 快取報表、儀錶板或模型數據的安全性為何？

存取數據源時，Power BI 服務會遵循本檔稍早<驗證至數據源>一節中所述的程式。

用戶端是否在本機快取網頁數據？

當瀏覽器用戶端存取 Power BI 時，Power BI 網頁伺服器會將 Cache-Control 指示詞設定為 無存放區。 no-store 指示詞會指示瀏覽器不要快取使用者正在檢視的網頁，也不會將網頁儲存在用戶端的快取資料夾中。

角色型安全性、共享報表或儀錶板和數據連線呢？這如何在數據存取、儀錶板檢視、報表存取或重新整理方面運作？

針對 啟用非角色層級安全性（RLS） 的數據源，如果儀錶板、報表或數據模型透過 Power BI 與其他用戶共用，則數據可供共用的用戶檢視及與其互動。 Power BI 不會針對數據的原始來源重新驗證使用者;一旦數據上傳至 Power BI，針對源數據進行驗證的用戶會負責管理其他使用者和群組可以檢視的數據。

當數據連線到 支援 RLS 的數據源時，例如 Analysis Services 數據源，只會在 Power BI 中快取儀錶板數據。每次在 Power BI 中檢視或存取報表或語意模型時，都會使用支援 RLS 數據源的數據，Power BI 服務會根據使用者的認證存取數據源以取得數據，如果有足夠的許可權，數據就會載入該使用者的報表或數據模型。如果驗證失敗，使用者會看到錯誤。

如需詳細資訊，請參閱本檔稍早的<向數據源驗證>一節。

我們的使用者一直連線到相同的數據源，其中有些需要與其網域認證不同的認證。他們如何避免在每次建立數據連線時輸入這些認證？

Power BI 提供 Power BI Personal Gateway，這是一項功能，可讓使用者為多個不同的數據源建立認證，然後在後續存取每個數據源時自動使用這些認證。如需詳細資訊，請參閱 Power BI Personal Gateway。

內部部署數據閘道和個人閘道會使用哪些埠？是否有任何需要允許進行連線的功能變數名稱？

此問題的詳細答案可在下列連結取得：閘道埠

使用內部部署數據閘道時，如何使用修復密鑰及其儲存位置？安全認證管理呢？

在閘道安裝和設定期間，系統管理員會在閘道 復原金鑰中輸入。該 修復金鑰 可用來產生強式 AES 對稱金鑰。 RSA 非對稱金鑰也會同時建立。

產生的金鑰（RSA 和 AES）會儲存在本機電腦上的檔案中。該檔案也會加密。檔案的內容只能由該特定 Windows 計算機解密，而且只能由該特定網關服務帳戶解密。

當使用者在 Power BI 服務 UI 中輸入數據源認證時，認證會以瀏覽器中的公鑰加密。網關會使用 RSA 私鑰解密認證，並在資料儲存在 Power BI 服務之前，使用 AES 對稱金鑰重新加密認證。透過此程式，Power BI 服務永遠無法存取未加密的數據。

內部部署數據閘道會使用哪些通訊協定，以及如何保護通訊協定？

閘道支援下列兩種通訊協定：
- AMQP 1.0 – TCP + TLS：此通訊協定需要埠 443、5671-5672 和 9350-9354 才能開啟以進行傳出通訊。此通訊協定是慣用的，因為它的通訊負荷較低。
- HTTPS – 透過 HTTPS + TLS 的 WebSockets：此通訊協定僅使用埠 443。 WebSocket 是由單一 HTTP CONNECT 訊息起始。建立通道之後，通訊基本上就是 TCP+TLS。您可以修改內部部署閘道一文中所述的設定，強制閘道使用此通訊協定。

Power BI 中的 Azure CDN 角色為何？

如先前所述，Power BI 會使用 Azure 內容傳遞網路（CDN），根據地理地區設定，有效率地將必要的靜態內容和檔案散發給使用者。為了進一步詳細說明，Power BI 服務會使用多個CDN，透過公用因特網有效率地將必要的靜態內容和檔案散發給使用者。這些靜態檔案包括產品下載（例如 Power BI Desktop、內部部署數據閘道，或來自各種獨立服務提供者的 Power BI 應用程式）、用來起始和建立任何後續與 Power BI 服務連線的瀏覽器組態檔，以及初始安全的 Power BI 登入頁面。

根據初始連線至 Power BI 服務期間提供的資訊，使用者的瀏覽器會連絡指定的 Azure CDN（或針對某些檔案 WFE），下載啟用瀏覽器與 Power BI 服務互動所需的指定通用檔案集合。瀏覽器頁面接著會包含 Microsoft Entra 令牌、會話資訊、相關聯後端叢集的位置，以及從 Azure CDN 和 WFE 叢集下載的檔案集合，以在 Power BI 服務瀏覽器會話期間。

針對 Power BI 視覺效果，Microsoft 是否會在將專案發佈至資源庫之前，先對自定義視覺效果程式代碼執行任何安全性或隱私權評估？

否。客戶有責任檢閱及判斷是否應該依賴自定義視覺程序代碼。所有自定義視覺效果程式代碼都會在沙盒環境中運作，因此自定義視覺效果中的任何程式代碼都不會對其餘 Power BI 服務產生負面影響。

是否有其他Power BI 視覺效果會在客戶網路外部傳送資訊？

是。 Bing 地圖和 ESRI 視覺效果會針對使用這些服務的視覺效果，從 Power BI 服務傳輸數據。

針對範本應用程式，Microsoft 是否會在將專案發佈至資源庫之前，先對範本應用程式執行任何安全性或隱私權評估？

否。應用程式發行者負責內容，而客戶負責檢閱並判斷是否信任範本應用程式發行者。

是否有範本應用程式可以在客戶網路外部傳送資訊？

是。客戶有責任檢閱發行者的隱私策略，並判斷是否要在租用戶上安裝範本應用程式。發行者負責通知客戶應用程式的行為和功能。

數據主權呢？我們可以在位於特定地理位置的數據中心布建租使用者，以確保數據不會離開國家或地區邊界嗎？

某些地理位置的某些客戶可以選擇在國家/地區雲端中建立租使用者，其中數據儲存和處理會與所有其他數據中心分開。國家/地區雲端的安全性類型稍有不同，因為個別的數據信任者代表 Microsoft 操作國家/地區雲端 Power BI 服務。

或者，客戶也可以在特定區域中設定租使用者。不過，這類租用戶沒有與 Microsoft 不同的數據信任者。國家/地區雲端的價格與正式運作的商業 Power BI 服務不同。如需 Power BI 服務國家/地區雲端可用性的詳細資訊，請參閱 Power BI 國家/地區雲端。

Microsoft 如何針對擁有 Power BI 進階版訂用帳戶的客戶處理連線？這些連線是否與針對非進階版 Power BI 服務建立的連線不同？

使用 Power BI 進階版訂用帳戶為客戶建立的聯機會實作 Microsoft Entra 企業對企業（B2B）授權程式，使用 Microsoft Entra ID 來啟用存取控制和授權。 Power BI 會處理 Power BI 進階版訂閱者與 Power BI 進階版資源的連線，就像任何其他 Microsoft Entra 使用者一樣。

伺服器端驗證如何在 WFE 中運作？

使用者驗證順序服務端驗證會如下列步驟所述發生，如下圖所示。

使用者從瀏覽器起始與 Power BI 服務的連線，方法是在網址列中輸入 Power BI 位址，或從 Power BI 行銷頁面https://powerbi.microsoft.com選取 [登入]。連線是使用 TLS 1.2 和 HTTPS 建立，瀏覽器與 Power BI 服務之間的所有後續通訊都會使用 HTTPS。
Azure 流量管理員會檢查使用者的 DNS 記錄，以判斷部署 Power BI 的最適當（通常最接近）數據中心，並使用使用者應傳送的 WFE 叢集 IP 位址回應 DNS。
然後，WFE 會將使用者重新導向至 Microsoft Online Services 登入頁面。
在使用者經過驗證之後，登入頁面會以驗證碼將使用者重新導向至先前決定的最接近 Power BI 服務 WFE 叢集。
WFE 叢集會使用 Microsoft Entra 識別符進行檢查，以使用驗證碼取得 Microsoft Entra 安全性令牌。當 Microsoft Entra ID 傳回使用者的成功驗證並傳回 Microsoft Entra 安全性令牌時，WFE 叢集會參考 Power BI 全域服務，此服務會維護租使用者及其 Power BI 後端叢集位置的清單，並判斷哪些 Power BI 後端服務叢集包含使用者的租使用者。然後，WFE 叢集會將應用程式頁面傳回給使用者的瀏覽器，其中包含其作業所需的會話、存取和路由資訊。
現在，當客戶端的瀏覽器需要客戶數據時，它會使用授權標頭中的 Microsoft Entra 存取令牌，將要求傳送至後端叢集位址。 Power BI 後端叢集會讀取 Microsoft Entra 存取令牌，並驗證簽章，以確保要求的身分識別有效。 Microsoft Entra 存取令牌會根據 Microsoft Entra 原則設定到期日，而且為了維護使用者瀏覽器中的 Power BI 用戶端會定期要求更新存取令牌，再到期。

顯示 WFE 驗證順序的圖表。

其他資源

如需Power BI的詳細資訊，請參閱下列資源。

Power BI 安全性白皮書

簡介