Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Power BI è un servizio software online (SaaS, o Software as a Service) offerto nell'ambito di Microsoft Fabric che consente di creare in modo semplice e rapido dashboard, report, modelli semantici e visualizzazioni di business intelligence in modalità self-service. Con Power BI è possibile connettersi a numerose origini dati diverse, combinare e definire le proprietà della forma dei dati provenienti dalle connessioni, quindi creare report e dashboard che possono essere condivisi con altri utenti.
Questo articolo illustra le procedure di gestione dei dati di Power BI per l'archiviazione, l'elaborazione e il trasferimento dei dati dei clienti.
Dati inattivi
Power BI usa due tipi di risorse di archiviazione dati principali:
Archiviazione di Azure
Database SQL di Azure
Nella maggior parte degli scenari, Archiviazione di Azure viene usata per rendere persistenti i dati degli artefatti di Power BI, mentre i database SQL di Azure vengono usati per rendere persistenti i metadati degli artefatti.
Tutti i dati salvati in modo permanente da Power BI vengono crittografati per impostazione predefinita usando chiavi gestite da Microsoft. I dati dei clienti archiviati nel database SQL di Azure vengono crittografate completamente usando la tecnologia Transparent Data Encryption (TDE) di SQL di Azure. I dati dei clienti archiviati nell'Archiviazione di Azure vengono crittografati usando Crittografia di Archiviazione di Azure.
Facoltativamente, le organizzazioni possono usare Power BI Premium in modo da usare le proprie chiavi per crittografare i dati inattivi importati in un modello semantico. Questo approccio viene spesso descritto come BYOK (Bring Your Own Key). L'uso di BYOK consente di garantire che, anche in caso di errore di un operatore di servizio, i dati dei clienti non vengano esposti, un approccio che non può essere facilmente adottato usando la crittografia trasparente lato servizio. Per altre informazioni, vedere Usare chiavi di crittografia personalizzate per Power BI.
I modelli semantici di Power BI consentono diverse modalità di connessione all'origine dati che determinano se i dati dell'origine dati sono persistenti nel servizio o meno.
| Modalità modello semantico (tipo) | Dati persistenti in Power BI |
|---|---|
| Importa | Sì |
| DirectQuery | No |
| Live Connect | No |
| DirectLake | No (archiviato in OneLake) |
| Composito | Se contiene un'origine dati di importazione |
| Streaming | Se con configurazione per la persistenza |
Indipendentemente dalla modalità del modello semantico utilizzata, Power BI può memorizzare temporaneamente nella cache tutti i dati recuperati per ottimizzare le prestazioni di caricamento delle query e dei report.
Dati in elaborazione
I dati vengono elaborati quando vengono usati attivamente da uno o più utenti come parte di uno scenario interattivo o quando un processo in background, ad esempio l'aggiornamento, li usa. Power BI carica attivamente i dati elaborati nello spazio di memoria di uno o più carichi di lavoro del servizio. Per facilitare la funzionalità richiesta dal carico di lavoro, i dati elaborati in memoria non vengono crittografati.
Analisi incorporata di Power BI
I fornitori di software indipendenti (ISV) e i provider di soluzioni hanno due modalità principali per incorporare gli artefatti di Power BI nelle applicazioni Web e nei portali: incorporare per l'organizzazione e incorporare per i clienti. L'artefatto è incorporato in un IFrame nell'applicazione o nel portale. Un IFrame non è autorizzato a leggere o scrivere dati dall'applicazione web esterna o dal portale e la comunicazione con l'IFrame viene eseguita usando Power BI Client SDK tramite messaggi POST.
In uno scenario con incorporamento per l'organizzazione, Microsoft Entra o tramite portali personalizzati. Tutti i criteri e le funzionalità di Power BI descritti in questo documento, ad esempio sicurezza a livello di riga e sicurezza a livello di oggetto, vengono applicati automaticamente a tutti gli utenti indipendentemente dal fatto che accedano a Power BI tramite il portale di Power BI o tramite portali personalizzati.
In uno scenario di incorporamento per i clienti, gli ISV in genere possiedono tenant di Power BI ed elementi di Power BI (dashboard, report, modelli semantici e altro). È responsabilità di un servizio back-end ISV autenticare gli utenti finali e decidere quali artefatti e quale livello di accesso siano appropriati per l'utente finale. Le decisioni dei criteri ISV vengono crittografate in un token di incorporamento generato da Power BI e passate al back-end ISV per un'ulteriore distribuzione agli utenti finali in base alla logica di business dell'ISV. Gli utenti finali che usano un browser o altre applicazioni client non sono in grado di aggiungere automaticamente il token di incorporamento crittografato alle richieste di Power BI come intestazione Authorization: EmbedToken. In base a questa intestazione, Power BI applica tutti i criteri (ad esempio l'accesso o la sicurezza a livello di riga) esattamente come specificato dall'ISV durante la generazione. Le API client di Power BI accodano automaticamente il token di incorporamento crittografato alle richieste di Power BI come intestazione di Authorization: EmbedToken. In base a questa intestazione, Power BI applica tutti i criteri (ad esempio l'accesso o la sicurezza a livello di riga) esattamente come specificato dall'ISV durante la generazione.
Per abilitare l'incorporamento e l'automazione e generare i token di incorporamento descritti in precedenza, Power BI espone un set completo di API REST. Queste API REST di Power BI supportano sia i metodi di autenticazione e autorizzazione delegato dall'utente che l'entità servizio di Microsoft Entra.
L'analisi incorporata di Power BI e le API REST supportano tutte le funzionalità di isolamento rete di Power BI descritte in questo articolo: ad esempio Tag del servizio e Collegamenti privati.
Report impaginati
I report impaginati sono progettati per essere stampati o condivisi. Vengono definiti impaginati perché sono formattati in modo da adattarsi meglio alla pagina. Visualizzano tutti i dati in una tabella, anche se la tabella si estende su più pagine. È possibile controllare esattamente il layout della pagina del report.
I report impaginati supportano espressioni avanzate e potenti scritte in Microsoft Visual Basic .NET. Nei report impaginati di Power BI Report Builder le espressioni vengono ampiamente usate per recuperare, calcolare, visualizzare, raggruppare, ordinare, filtrare, parametrizzare e formattare i dati.
Le espressioni vengono create dall'autore del report con accesso all'ampia gamma di funzionalità di .NET Framework. L'elaborazione e l'esecuzione di report impaginati viene eseguita all'interno di una sandbox.
Definizioni di report impaginati (sezione con estensione .rdl section.Authentication per la sezione Servizio Power BI.
Il token Microsoft Entra ottenuto durante l'autenticazione viene usato per comunicare direttamente dal browser con il cluster Power BI Premium.
In Power BI Premium, il runtime del servizio Power BI fornisce un ambiente di esecuzione isolato appropriato per ogni rendering del report.
Un report impaginato può accedere a un ampio set di origini dati come parte del rendering. La sandbox non comunica direttamente con alcuna origine dati, ma comunica con il processo attendibile per richiedere i dati. Quindi, il processo attendibile aggiunge le credenziali necessarie alla connessione. In questo modo, la sandbox non ha mai accesso a credenziali o segreti.
Per supportare funzionalità come Bing Maps o chiamate a Funzioni di Azure, la sandbox ha accesso a Internet.
Power BI per dispositivi mobili
Power BI per dispositivi mobili è una raccolta di applicazioni progettate per le principali piattaforme per dispositivi mobili: Android e iOS. Le considerazioni sulla sicurezza per le app Power BI per dispositivi mobili rientrano in due categorie:
Comunicazione del dispositivo
Applicazione e dati nel dispositivo
Per quanto riguarda la comunicazione del dispositivo, tutte le applicazioni Power BI per dispositivi mobili comunicano con il servizio Power BI e usano le stesse sequenze di autenticazione e connessione usate dai browser descritte in dettaglio in precedenza in questo white paper. Le applicazioni Power BI per dispositivi mobili per iOS e Android visualizzano una sessione del browser all'interno dell'applicazione stessa.
Power BI per dispositivi mobili supporta l'autenticazione basata su certificati (CBA) durante l'autenticazione con Power BI (accesso al servizio), SSRS ADFS locale (connettersi al server SSRS) e il proxy di app SSRS in iOs o Android.
Le app Power BI per dispositivi mobili comunicano attivamente con il servizio Power BI. Per raccogliere statistiche sull'utilizzo delle app per dispositivi mobili e dati simili per la trasmissione a servizi di monitoraggio dell'utilizzo e dell'attività, viene usata la telemetria. Con i dati di telemetria non vengono inviati dati del cliente.
L'applicazione Power BI archivia i dati nel dispositivo per facilitare l'uso dell'app:
I token di Microsoft Entra ID e di aggiornamento vengono archiviati in un meccanismo protetto nel dispositivo applicando misure di sicurezza standard di settore.
I dati e le impostazioni (coppie chiave-valore per la configurazione utente) vengono memorizzati nella cache nell'archiviazione nel dispositivo e possono essere crittografati dal sistema operativo. In iOS questa operazione viene eseguita automaticamente quando l'utente imposta un passcode. In Android questa opzione può essere configurata nelle impostazioni. Per le app Android e iOS, i dati e le impostazioni (coppie chiave-valore per la configurazione utente) vengono memorizzati nella cache nel dispositivo in una sandbox e in una risorsa di archiviazione interna accessibile solo all'app.
La geolocalizzazione è abilitata o disabilitata esplicitamente dall'utente. Se abilitata, i dati di geolocalizzazione non vengono salvati sul dispositivo e non vengono condivisi con Microsoft.
Le notifiche sono abilitate o disabilitate esplicitamente dall'utente. Se abilitata, Android e iOS non supportano i requisiti di residenza dei dati geografici per le notifiche.
La crittografia dei dati può essere migliorata applicando la crittografia a livello di file tramite Microsoft Intune, un servizio software che fornisce la gestione di dispositivi mobili e applicazioni. Entrambe le piattaforme per cui Power BI per dispositivi mobili è disponibile supportano Intune. Se il servizio Intune è abilitato e configurato, i dati nel dispositivo mobile vengono crittografati e l'applicazione Power BI non può essere installata in una scheda SD. Altre informazioni su Microsoft Intune.
Per implementare l'accesso Single Sign-On, alcuni valori di archiviazione protetti correlati all'autenticazione basata su token sono disponibili per altre app proprietarie Microsoft (ad esempio Microsoft Authenticator) e vengono gestiti dal Microsoft Authentication Library (MSAL).
I dati memorizzati nella cache di Power BI per dispositivi mobili vengono eliminati quando l'app viene rimossa, quando l'utente si disconnette da Power BI Mobile o quando l'utente non riesce ad accedere, ad esempio dopo un evento di scadenza del token o una modifica della password. La cache dei dati include i dashboard e i report a cui l'utente ha effettuato l'accesso in precedenza dall'app Power BI per dispositivi mobili.
Power BI per dispositivi mobili non accede ad altre cartelle o file dell'applicazione nel dispositivo.
Le app Power BI per iOS e Android consentono di proteggere i dati configurando un'identificazione aggiuntiva, ad esempio fornendo Face ID, Touch ID o un passcode per iOS e ID biometrico (ID impronta digitale) per Android. Altre informazioni sull'identificazione aggiuntiva. Gli utenti possono anche configurare l'app per richiedere l'identificazione ogni volta che l'app viene portata in primo piano usando Face ID, Touch ID o passcode.