Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Power BI er en onlinesoftwaretjeneste (SaaS eller Software as a Service) som en del af Microsoft Fabric, der gør det nemt og hurtigt at oprette selvbetjente Business Intelligence-dashboards, rapporter, semantiske modeller og visualiseringer. Med Power BI kan du oprette forbindelse til mange forskellige datakilder, kombinere og forme data fra disse forbindelser og derefter oprette rapporter og dashboards, der kan deles med andre.
I denne artikel beskrives praksis for håndtering af Power BI-data, når det gælder lagring, behandling og overførsel af kundedata.
Inaktive data
Power BI bruger to primære datalagerressourcetyper:
Azure Storage
Azure SQL Databases
I de fleste scenarier bruges Azure Storage til at bevare dataene for Power BI-artefakter, mens Azure SQL Databases bruges til at bevare metadata for artefakter.
Alle data, der bevares af Power BI, krypteres som standard ved hjælp af Microsoft-administrerede nøgler. Kundedata, der er gemt i Azure SQL Databases, krypteres fuldt ud ved hjælp af Azure SQL's TDE-teknologi (Transparent Data Encryption). Kundedata, der er gemt i Azure Storage, krypteres ved hjælp af Azure Storage Encryption.
Organisationer kan eventuelt bruge Power BI Premium til at bruge deres egne nøgler til at kryptere inaktive data, der importeres til en semantisk model. Denne fremgangsmåde beskrives ofte som byok (bring your own key). Brug af BYOK hjælper med at sikre, at kundedata ikke eksponeres , selv i tilfælde af en tjenesteoperatørfejl – noget, der ikke nemt kan opnås ved hjælp af gennemsigtig kryptering på tjenestesiden. Se Medbring dine egne krypteringsnøgler til Power BI for at få flere oplysninger.
Semantiske Power BI-modeller giver mulighed for forskellige datakildeforbindelsestilstande, der bestemmer, om datakildedataene bevares i tjenesten eller ej.
| Semantisk modeltilstand (type) | Data bevares i Power BI |
|---|---|
| Importér | Ja |
| DirectQuery | Nr. |
| Live Connect | Nr. |
| DirectLake | Nej (gemt i OneLake) |
| Sammensat | Hvis indeholder en importdatakilde |
| Streaming | Hvis konfigureret til at fortsætte |
Uanset hvilken semantisk modeltilstand der er anvendt, kan Power BI midlertidigt cachelagre alle hentede data for at optimere ydeevnen for indlæsning af forespørgsler og rapporter.
Data under behandling
Data behandles, når de enten aktivt bruges af en eller flere brugere som en del af et interaktivt scenarie, eller når en baggrundsproces, f.eks. opdatering, berører disse data. Power BI indlæser aktivt behandlede data i hukommelsesområdet for en eller flere arbejdsbelastninger i tjenesten. For at lette den funktionalitet, der kræves af arbejdsbelastningen, krypteres de behandlede data i hukommelsen ikke.
Integreret Power BI-analyse
Uafhængige softwareleverandører (ISV'er) og løsningsudbydere har to primære tilstande til integrering af Power BI-artefakter i deres webprogrammer og portaler: Integrer for din organisation og integrer for dine kunder. Artefaktet er integreret i en IFrame i programmet eller portalen. En IFrame har ikke tilladelse til at læse eller skrive data fra det eksterne webprogram eller den eksterne portal, og kommunikationen med IFrame sker ved hjælp af Power BI Client SDK ved hjælp af POST-meddelelser.
I et scenarie med integrering for din organisation , Microsoft Entra eller via tilpassede portaler. Dens. Alle Power BI-politikker og -funktioner, der er beskrevet i dette dokument, f.eks. sikkerhed på rækkeniveau og sikkerhed på objektniveau, anvendes automatisk på alle brugere uafhængigt af, om de får adgang til Power BI via Power BI-portalen eller via brugerdefinerede portaler.
I et scenarie med integrering for dine kunder ejer ISV'er typisk Power BI-lejere og Power BI-elementer (dashboards, rapporter, semantiske modeller m.m.). Det er en ISV-back end-tjenestes ansvar at godkende slutbrugerne og beslutte, hvilke artefakter og hvilket adgangsniveau der er relevant for den pågældende slutbruger. ISV-politikbeslutninger krypteres i et integreringstoken , der genereres af Power BI, og overføres til ISV-backend for yderligere distribution til slutbrugerne i henhold til ISV'ens forretningslogik. Slutbrugere, der bruger en browser eller andre klientprogrammer, kan ikke automatisk føje det krypterede integreringstoken til Power BI-anmodninger som en Godkendelse: EmbedToken-header . Baseret på denne header gennemtvinger Power BI alle politikker (f.eks. adgang eller sikkerhed på rækkeniveau), præcis som det blev angivet af ISV'en under generering. Power BI-klient-API'er føjer automatisk det krypterede integreringstoken til Power BI-anmodninger som en Godkendelse: EmbedToken-header . Baseret på denne header gennemtvinger Power BI alle politikker (f.eks. adgang eller sikkerhed på rækkeniveau), præcis som det blev angivet af ISV'en under generering.
Hvis du vil aktivere integrering og automatisering og generere de integreringstokens, der er beskrevet ovenfor, viser Power BI et omfattende sæt REST API'er. Disse Power BI REST API'er understøtter både brugerdelegeret og tjenesteprincipalen Microsoft Entra-metoder til godkendelse og godkendelse.
En integreret Power BI-analyse og dens REST API'er understøtter alle funktioner til netværksisolering i Power BI, der er beskrevet i denne artikel: f.eks. tjenestekoder og private links.
Sideinddelte rapporter
Sideinddelte rapporter er designet til at blive udskrevet eller delt. De kaldes sideinddelte, fordi de er formateret til at passe godt på en side. De viser alle dataene i en tabel, selvom tabellen strækker sig over flere sider. Du kan styre deres rapportsidelayout præcist.
Sideinddelte rapporter understøtter avancerede og effektive udtryk, der er skrevet i Microsoft Visual Basic .NET. Udtryk bruges i vid udstrækning i sideinddelte rapporter i Power BI Report Builder til at hente, beregne, vise, gruppere, sortere, filtrere, parameterisere og formatere data.
Udtryk oprettes af forfatteren af rapporten med adgang til den brede vifte af funktioner i .NET framework. Behandling og udførelse af sideinddelte rapporter udføres i en sandkasse.
Definitioner af sideinddelte rapporter (.rdl-sektion. Godkendelse til afsnittet Power BI-tjeneste.
Det Microsoft Entra-token, der opnås under godkendelsen, bruges til at kommunikere direkte fra browseren til Power BI Premium-klyngen.
I Power BI Premium giver den Power BI-tjeneste kørsel et korrekt isoleret udførelsesmiljø for hver rapportgengivelse.
En sideinddelt rapport kan få adgang til en lang række datakilder som en del af gengivelsen af rapporten. Sandkassen kommunikerer ikke direkte med nogen af datakilderne, men kommunikerer i stedet med den proces, der er tillid til, for at anmode om data, og derefter føjer den proces, der er tillid til, de påkrævede legitimationsoplysninger til forbindelsen. På denne måde har sandkassen aldrig adgang til nogen legitimationsoplysninger eller hemmelighed.
For at understøtte funktioner som bingkort eller opkald til Azure Functions har sandkassen adgang til internettet.
Power BI Mobile
Power BI – Mobil er en samling af apps, der er udviklet til de primære mobilplatforme: Android, iOS. Sikkerhedsovervejelser i forbindelse med de Power BI – Mobil apps falder i to kategorier:
Enhedskommunikation
Appen og dataene på enheden
I forbindelse med enhedskommunikation kommunikerer alle Power BI – Mobil programmer med Power BI-tjeneste og bruger de samme forbindelses- og godkendelsessekvenser, der bruges af browsere, hvilket beskrives detaljeret tidligere i dette whitepaper. Power BI-mobilprogrammerne til iOS og Android åbner en browsersession i selve programmet.
Power BI – Mobil understøtter certifikatbaseret godkendelse (CBA), når der godkendes med Power BI (log på tjenesten), SSRS ADFS i det lokale miljø (opret forbindelse til SSRS-server) og SSRS App Proxy på enten iOs eller Android.
Power BI – Mobil apps kommunikerer aktivt med Power BI-tjeneste. Telemetri bruges til at indsamle statistik for brug af mobilapps og lignende data, som sendes til tjenester, der bruges til at overvåge forbrug og aktivitet. der sendes ingen kundedata med telemetri.
Power BI-programmet gemmer data på enheden, der letter brugen af appen:
Microsoft Entra ID- og opdateringstokens gemmes i en sikker mekanisme på enheden ved hjælp af branchestandardsikkerhedsforanstaltninger.
Data og indstillinger (nøgleværdipar til brugerkonfiguration) cachelagres i lageret på enheden og kan krypteres af operativsystemet. I iOS sker dette automatisk, når brugeren angiver en adgangskode. I Android kan dette konfigureres i indstillingerne. T-data og -indstillinger (nøgleværdipar til brugerkonfiguration) cachelagres i lageret på enheden i en sandkasse og et internt lager, der kun er tilgængeligt for appen.
Geografisk placering aktiveres eller deaktiveres eksplicit af brugeren. Hvis indstillingen er aktiveret, gemmes geografiske data ikke på enheden, og de deles ikke med Microsoft.
Meddelelser aktiveres eller deaktiveres eksplicit af brugeren. Hvis indstillingen er aktiveret, understøtter Android og iOS ikke krav til geografisk dataopbevaring for meddelelser.
Datakryptering kan forbedres ved at anvende kryptering på filniveau via Microsoft Intune, en softwaretjeneste, der leverer administration af mobilenheder og programmer. Begge platforme, hvor Power BI – Mobil er tilgængelig, understøtter Intune. Når Intune er aktiveret og konfigureret, krypteres data på mobilenheden, og selve Power BI-programmet kan ikke installeres på et SD-kort. Få mere at vide om Microsoft Intune.
For at implementere SSO er nogle sikre lagerværdier, der er relateret til den tokenbaserede godkendelse, tilgængelige for andre Microsoft-førstepartsapps (f.eks. Microsoft Authenticator) og administreres af Microsoft Authentication Library (MSAL).
Power BI – Mobil cachelagrede data slettes, når appen fjernes, når brugeren logger af Power BI – Mobil, eller når brugeren ikke logger på (f.eks. efter en udløbshændelse for tokenet eller ændring af adgangskode). Datacachen indeholder dashboards og rapporter, der tidligere er tilgået fra Power BI – Mobil-appen.
Power BI – Mobil har ikke adgang til andre programmapper eller -filer på enheden.
Med Power BI-apps til iOS og Android kan du beskytte dine data ved at konfigurere ekstra identifikation, f.eks. at angive Face ID, Touch ID eller en adgangskode til iOS og biometrisk id (Fingeraftryks-id) til Android. Få mere at vide om yderligere identifikation. Brugerne kan også konfigurere deres app til at kræve identifikation, hver gang appen føres til forgrunden ved hjælp af Face ID, Touch ID eller adgangskode.