Sdílet prostřednictvím


Zabezpečení Power BI

Podrobné informace o zabezpečení Power BI najdete v dokumentu white paper o zabezpečení Power BI.

Pokud chcete naplánovat zabezpečení Power BI, přečtěte si sérii článků o plánování zabezpečení implementace Power BI. Rozšiřuje obsah dokumentu white paper o zabezpečení Power BI. Dokument white paper o zabezpečení Power BI se zaměřuje na klíčová technická témata, jako je ověřování, rezidence dat a izolace sítě, hlavním cílem série je poskytnout vám důležité informace a rozhodnutí, které vám pomůžou naplánovat zabezpečení a ochranu osobních údajů.

Služba Power BI je založená na infrastruktuře a platformě cloud computingu Od Microsoftu. Architektura služba Power BI je založená na dvou clusterech:

  • Cluster WFE (Web Front End). Cluster WFE spravuje počáteční připojení a ověřování k služba Power BI.
  • Back-Endový cluster. Po ověření zpracovává back-end všechny následné interakce uživatelů. Power BI používá Microsoft Entra ID k ukládání a správě identit uživatelů. MICROSOFT Entra ID také spravuje úložiště dat a metadata pomocí Azure BLOB a Azure SQL Database v uvedeném pořadí.

Architektura Power BI

Cluster WFE používá k ověřování klientů ID Microsoft Entra a poskytuje tokeny pro následná připojení klientů k služba Power BI. Power BI používá Azure Traffic Manager (Traffic Manager) k směrování provozu uživatelů do nejbližšího datacentra. Traffic Manager směruje požadavky pomocí záznamu DNS klienta, který se pokouší připojit, ověřit a stáhnout statický obsah a soubory. Power BI používá Azure Content Delivery Network (CDN) k efektivní distribuci potřebného statického obsahu a souborů uživatelům na základě geografického národního prostředí.

Diagram showing the Power BI Architecture focused on the WFE cluster.

Back-endový cluster určuje způsob interakce ověřených klientů s služba Power BI. Cluster Back-End spravuje vizualizace, řídicí panely uživatelů, sémantické modely, sestavy, úložiště dat, datová připojení, aktualizaci dat a další aspekty interakce s služba Power BI. Role brány funguje jako brána mezi požadavky uživatelů a služba Power BI. Uživatelé nepracují přímo s žádnou jinou rolí než s rolí brány. Azure API Management nakonec zpracuje roli brány.

Diagram showing the Power BI architecture diagram focused on the Back-End cluster.

Důležité

Přístup k rolím Azure API Management a brány jsou přístupné jenom prostřednictvím veřejného internetu. Poskytují ověřování, autorizaci, ochranu před útoky DDoS, omezování, vyrovnávání zatížení, směrování a další možnosti.

Zabezpečení úložiště dat

Power BI používá k ukládání a správě dat dvě primární úložiště:

  • Data nahraná od uživatelů se obvykle odesílají do služby Azure Blob Storage.
  • Všechna metadata včetně položek samotného systému jsou uložená ve službě Azure SQL Database.

Tečkovaná čára znázorněná v diagramu back-endového clusteru objasňuje hranici mezi dvěma komponentami, které jsou přístupné uživatelům zobrazeným na levé straně tečkované čáry. Role, které jsou přístupné pouze systémem, se zobrazují vpravo. Když se ověřený uživatel připojí ke službě Power BI, připojení a jakýkoli požadavek klienta přijme a spravuje role brány, která pak komunikuje jménem uživatele se zbytkem služby Power BI. Když se například klient pokusí zobrazit řídicí panel, role brány přijme tento požadavek a pak samostatně odešle žádost roli prezentace, aby načetla data potřebná prohlížečem k zobrazení řídicího panelu. Nakonec služba Azure API Management zpracovává připojení a požadavky klientů.

Ověřování uživatelů

Power BI používá Microsoft Entra ID k ověřování uživatelů, kteří se přihlašují k služba Power BI. Přihlašovací údaje se vyžadují, když se uživatel pokusí o přístup k zabezpečeným prostředkům. Uživatelé se k služba Power BI přihlašují pomocí e-mailové adresy, se kterou si vytvořili svůj účet Power BI. Power BI používá stejné přihlašovací údaje jako efektivní uživatelské jméno a předává je prostředkům pokaždé, když se uživatel pokusí připojit k datům. Efektivní uživatelské jméno se pak namapuje na hlavní název uživatele a přeloží se na přidružený účet domény Systému Windows, na který se použije ověřování.

Pro organizace, které používaly pracovní e-mailové adresy pro přihlášení k Power BI, je například david@contoso.comefektivní mapování uživatelského jména na hlavní název uživatele (UPN) jednoduché. Pro organizace, které nepoužíly pracovní e-mailové adresy, například david@contoso.onmicrosoft.com mapování mezi ID Microsoft Entra a místními přihlašovacími údaji vyžaduje , aby synchronizace adresářů fungovala správně.

Zabezpečení platformy pro Power BI zahrnuje také zabezpečení prostředí s více tenanty, zabezpečení sítě a možnost přidávat další bezpečnostní opatření založená na ID microsoftu Entra.

Zabezpečení dat a služeb

Další informace najdete v Centru zabezpečení Společnosti Microsoft, produktech a službách, které běží na důvěryhodnosti.

Jak je popsáno výše, místní servery AD používají k mapování přihlašovacích údajů k hlavnímu názvu uživatele (UPN) přihlášení k Power BI. Uživatelé ale musí porozumět citlivosti dat, která sdílejí. Po bezpečném připojení ke zdroji dat a následné sdílení sestav, řídicích panelů nebo sémantických modelů s jinými uživateli se příjemcům udělí přístup k sestavě. Příjemci se nemusí ke zdroji dat přihlašovat.

Výjimkou je připojení k Služba Analysis Services serveru SQL pomocí místní brány dat. Řídicí panely se ukládají do mezipaměti v Power BI, ale přístup k podkladovým sestavám nebo sémantických modelů inicializuje ověřování pro každého uživatele, který se pokusí o přístup k sestavě nebo sémantickému modelu. Přístup se udělí jenom v případě, že má uživatel dostatečná pověření pro přístup k datům. Další informace najdete v tématu Místní brána dat podrobně.

Vynucení využití verze protokolu TLS

Správci sítě a IT mohou vynutit požadavek na použití aktuálního protokolu TLS (Transport Layer Security) pro veškerou zabezpečenou komunikaci v síti. Systém Windows poskytuje podporu pro verze PROTOKOLU TLS prostřednictvím zprostředkovatele Microsoft Schannel. Další informace najdete v tématu Protokoly v zprostředkovateli TLS/SSL (Schannel SSP).

Toto vynucování se implementuje administrativním nastavením klíčů registru. Podrobnosti o vynucení najdete v tématu Správa protokolů SSL/TLS a šifrovacích sad pro SLUŽBU AD FS.

Power BI Desktop k zabezpečení koncových bodů vyžaduje protokol TLS (Transport Layer Security) verze 1.2 (nebo vyšší). Webové prohlížeče a další klientské aplikace, které používají verze TLS starší než TLS 1.2, se nebudou moct připojit. Pokud je vyžadována novější verze protokolu TLS, Power BI Desktop respektuje nastavení klíče registru popsané v těchto článcích a vytváří připojení, která splňují požadavky na verzi protokolu TLS povolené na základě těchto nastavení registru, pokud jsou k dispozici.

Další informace o nastavení těchto klíčů registru naleznete v tématu Nastavení registru TLS (Transport Layer Security).