Sécurité dans Power BI

Pour plus d’informations sur la sécurité De Power BI, consultez le livre blanc Sécurité Power BI.

Le service Power BI repose sur l’infrastructure et la plateforme de cloud computing d’Azure Microsoft. L’architecture du service Power BI est basée sur deux clusters :

  • Cluster Web Front End (WFE). Le cluster WFE gère la connexion initiale et l’authentification auprès du service Power BI.
  • Cluster back-end . Une fois authentifié, le serveur principal gère toutes les interactions utilisateur suivantes. Power BI utilise Azure Active Directory (Azure AD) pour stocker et gérer les identités des utilisateurs. Azure AD gère également le stockage des données et les métadonnées à l’aide d’Azure BLOB et Azure SQL Database, respectivement.

Architecture de Power BI

Le cluster WFE utilise Azure AD pour authentifier les clients et fournir des jetons pour les connexions client suivantes au service Power BI. Power BI utilise Azure Traffic Manager (Traffic Manager) pour diriger le trafic utilisateur vers le centre de données le plus proche. Traffic Manager dirige les requêtes à l’aide de l’enregistrement DNS du client qui tente de se connecter, de s’authentifier et de télécharger du contenu et des fichiers statiques. Power BI utilise Azure Content Delivery Network (CDN) pour distribuer efficacement les fichiers et le contenu statiques nécessaires aux utilisateurs en fonction des paramètres régionaux.

Diagramme montrant l’architecture Power BI axée sur le cluster WFE.

Le cluster back-end détermine comment les clients authentifiés interagissent avec le service Power BI. Le cluster principal gère les visualisations, les tableaux de bord utilisateur, les jeux de données, les rapports, le stockage de données, les connexions de données, l’actualisation des données et d’autres aspects de l’interaction avec le service Power BI. Le rôle Passerelle sert de passerelle entre les demandes des utilisateurs et le service Power BI. Les utilisateurs n’interagissent pas directement avec des rôles autres que le rôle de passerelle. Azure Gestion des API finit par gérer le rôle de passerelle.

Diagramme montrant le diagramme d’architecture Power BI axé sur le cluster Back-End.

Important

Seuls les rôles azure Gestion des API et passerelle sont accessibles via l’Internet public. Ils fournissent l’authentification, l’autorisation, la protection DDoS, la limitation, l’équilibrage de charge, le routage et d’autres fonctionnalités.

Sécurité du stockage des données

Power BI utilise deux référentiels principaux pour le stockage et la gestion des données :

  • Les données chargées à partir des utilisateurs sont généralement envoyées à Stockage Blob Azure.
  • Toutes les métadonnées, y compris les éléments du système lui-même, sont stockées dans la base de données Azure SQL.

La ligne en pointillés affichée dans le diagramme de cluster back-end clarifie la limite entre les deux composants accessibles par les utilisateurs affichés à gauche de la ligne en pointillés. Les rôles accessibles uniquement par le système s’affichent à droite. Lorsqu’un utilisateur authentifié se connecte au service Power BI, la connexion et toute demande du client sont acceptées et gérées par le rôle de passerelle , qui interagit ensuite au nom de l’utilisateur avec le reste du service Power BI. Par exemple, lorsqu’un client tente d’afficher un tableau de bord, le rôle de passerelle accepte cette demande, puis envoie séparément une demande au rôle de présentation pour récupérer les données nécessaires au navigateur pour afficher le tableau de bord. Finalement, les connexions et les demandes des clients sont gérées par Azure Gestion des API.

Authentification des utilisateurs

Power BI utilise Azure Active Directory pour authentifier les utilisateurs qui se connectent au service Power BI. Les informations d’identification de connexion sont requises chaque fois qu’un utilisateur tente d’accéder à des ressources sécurisées. Les utilisateurs se connectent à l’service Power BI à l’aide de l’adresse e-mail avec laquelle ils ont établi leur compte Power BI. Power BI utilise les mêmes informations d’identification que le nom d’utilisateur effectif et les transmet aux ressources chaque fois qu’un utilisateur tente de se connecter aux données. Le nom d’utilisateur effectif est ensuite mappé à un nom d’utilisateur principal et est résolu en compte de domaine Windows associé auquel l’authentification est appliquée.

Pour les organisations qui ont utilisé des adresses e-mail professionnelles pour la connexion à Power BI, par exemple david@contoso.com, le mappage effectif de nom d’utilisateur à UPN est simple. Pour les organisations qui n’ont pas utilisé d’adresses e-mail professionnelles, par exemple david@contoso.onmicrosoft.com , le mappage entre Azure AD et les informations d’identification locales nécessite que la synchronisation d’annuaires fonctionne correctement.

La sécurité de plateforme pour Power BI inclut également la sécurité de l’environnement multilocataire, la sécurité réseau et la possibilité d’ajouter d’autres mesures de sécurité basées sur Azure AD.

Sécurité des données et des services

Pour plus d’informations, consultez Microsoft Centre de gestion de la confidentialité, Produits et services qui s’exécutent sur l’approbation.

Comme décrit précédemment, les serveurs AD locaux utilisent une connexion Power BI pour mapper à un UPN pour les informations d’identification. Toutefois, les utilisateurs doivent comprendre la sensibilité des données qu’ils partagent. Une fois que vous vous êtes connecté en toute sécurité à une source de données, puis que vous partagez des rapports, des tableaux de bord ou des jeux de données avec d’autres personnes, les destinataires se voient accorder l’accès au rapport. Les destinataires n’ont pas besoin de se connecter à la source de données.

Une exception est la connexion à SQL Server Analysis Services à l’aide de la passerelle de données locale. Les tableaux de bord sont mis en cache dans Power BI, mais l’accès aux rapports ou jeux de données sous-jacents lance l’authentification pour chaque utilisateur qui tente d’accéder au rapport ou au jeu de données. L’accès n’est accordé que si l’utilisateur dispose d’informations d’identification suffisantes pour accéder aux données. Pour plus d’informations, consultez Passerelle de données locale en détail.

Mise en œuvre de l’utilisation de la version TLS

Les administrateurs réseau et informatiques peuvent appliquer l’obligation d’utiliser le protocole TLS (Transport Layer Security) actuel pour toute communication sécurisée sur leur réseau. Windows prend en charge les versions TLS sur le Microsoft fournisseur Schannel. Pour plus d’informations, consultez Protocoles dans le protocole TLS/SSL (SSP Schannel).

Cette application est implémentée en définissant des clés de Registre de manière administrative. Pour plus d’informations sur l’application, consultez Gestion des protocoles SSL/TLS et des suites de chiffrement pour AD FS.

Power BI Desktop respecte les paramètres de clé de Registre décrits dans ces articles et crée uniquement des connexions à l’aide de la version de TLS autorisée en fonction de ces paramètres de Registre, le cas échéant.

Pour plus d’informations sur la définition de ces clés de Registre, consultez Paramètres de Registre TLS (Transport Layer Security).