Share via


Sicurezza di Power BI

Per informazioni dettagliate sulla sicurezza di Power BI, vedere il white paper sulla sicurezza di Power BI.

Per pianificare la sicurezza di Power BI, vedere la serie di articoli sulla pianificazione della sicurezza per l'implementazione di Power BI. Si espande il contenuto del white paper sulla sicurezza di Power BI. Anche se il white paper sulla sicurezza di Power BI è incentrato su argomenti tecnici chiave come l'autenticazione, la residenza dei dati e l'isolamento della rete, l'obiettivo principale della serie è fornire considerazioni e decisioni utili per pianificare la sicurezza e la privacy.

Il servizio Power BI si basa su Azure, sull'infrastruttura e sulla piattaforma di cloud computing di Microsoft. L'architettura del servizio Power BI si basa su due cluster:

  • Cluster Web Front End (WFE). Il cluster WFE gestisce la connessione iniziale e l'autenticazione al servizio Power BI.
  • Cluster back-end . Dopo l'autenticazione, il back-end gestisce tutte le interazioni utente successive. Power BI usa Microsoft Entra ID per archiviare e gestire le identità utente. Microsoft Entra ID gestisce anche l'archiviazione dei dati e i metadati usando rispettivamente BLOB di Azure e database SQL di Azure.

Architettura di Power BI

Il cluster WFE usa l'ID Microsoft Entra per autenticare i client e fornire token per le connessioni client successive al servizio Power BI. Power BI usa il Gestione traffico di Azure (Gestione traffico) per indirizzare il traffico utente al data center più vicino. Gestione traffico indirizza le richieste usando il record DNS del client che tenta di connettersi, autenticare e scaricare contenuti e file statici. Power BI usa azure rete per la distribuzione di contenuti (rete CDN) per distribuire in modo efficiente il contenuto statico e i file necessari agli utenti in base alle impostazioni locali geografiche.

Diagram showing the Power BI Architecture focused on the WFE cluster.

Il cluster back-end determina il modo in cui i client autenticati interagiscono con il servizio Power BI. Il cluster back-end gestisce visualizzazioni, dashboard utente, modelli semantici, report, archiviazione dati, connessioni dati, aggiornamento dati e altri aspetti dell'interazione con il servizio Power BI. Il ruolo gateway funge da gateway tra le richieste utente e il servizio Power BI. Gli utenti non interagiscono direttamente con ruoli diversi dal ruolo del gateway. Azure Gestione API infine gestisce il ruolo del gateway.

Diagram showing the Power BI architecture diagram focused on the Back-End cluster.

Importante

Solo i ruoli di Azure Gestione API e gateway sono accessibili tramite La rete Internet pubblica. Forniscono autenticazione, autorizzazione, protezione DDoS, limitazione, bilanciamento del carico, routing e altre funzionalità.

Sicurezza Archiviazione dei dati

Power BI usa due repository primari per l'archiviazione e la gestione dei dati:

  • I dati caricati dagli utenti vengono in genere inviati a Archiviazione BLOB di Azure.
  • Tutti i metadati, inclusi gli elementi per il sistema stesso, vengono archiviati nel database SQL di Azure.

La linea tratteggiata mostrata nel diagramma cluster Back-End chiarisce il limite tra i due componenti accessibili dagli utenti visualizzati a sinistra della linea tratteggiata. I ruoli accessibili solo dal sistema vengono visualizzati a destra. Quando un utente autenticato si connette al servizio Power BI, la connessione e qualsiasi richiesta da parte del client viene accettata e gestita dal ruolo gateway che interagisce quindi per conto dell'utente con il resto del servizio Power BI. Ad esempio, quando un client tenta di visualizzare un dashboard, il ruolo gateway accetta tale richiesta e quindi invia separatamente una richiesta al ruolo presentazione per recuperare i dati necessari dal browser per visualizzare il dashboard. Infine, le connessioni e le richieste client vengono gestite da Azure Gestione API.

Autenticazione degli utenti

Power BI usa Microsoft Entra ID per autenticare gli utenti che accedono al servizio Power BI. Le credenziali di accesso sono necessarie ogni volta che un utente tenta di accedere alle risorse protette. Gli utenti accedono al servizio Power BI usando l'indirizzo di posta elettronica con cui hanno stabilito il proprio account Power BI. Power BI usa le stesse credenziali del nome utente effettivo e le passa alle risorse ogni volta che un utente tenta di connettersi ai dati. Il nome utente effettivo viene quindi mappato a un nome dell'entità utente e viene risolto nell'account di dominio di Windows associato a cui viene applicata l'autenticazione.

Per le organizzazioni che usano indirizzi di posta elettronica aziendali per l'accesso a Power BI, ad esempio david@contoso.com, il nome utente effettivo per il mapping UPN è semplice. Per le organizzazioni che non usano indirizzi di posta elettronica aziendali, ad esempio david@contoso.onmicrosoft.com il mapping tra l'ID Microsoft Entra e le credenziali locali richiede il corretto funzionamento della sincronizzazione della directory.

La sicurezza della piattaforma per Power BI include anche la sicurezza dell'ambiente multi-tenant, la sicurezza di rete e la possibilità di aggiungere altre misure di sicurezza basate su ID di Microsoft Entra.

Sicurezza dei dati e dei servizi

Per altre informazioni, vedere Centro protezione Microsoft, Prodotti e servizi eseguiti in base all'attendibilità.

Come descritto in precedenza, i server AD locali usano un accesso di Power BI per eseguire il mapping a un UPN per le credenziali. Tuttavia, gli utenti devono comprendere la riservatezza dei dati condivisi. Dopo la connessione sicura a un'origine dati e la condivisione di report, dashboard o modelli semantici con altri utenti, ai destinatari viene concesso l'accesso al report. I destinatari non devono accedere all'origine dati.

Un'eccezione è la connessione a SQL Server Analysis Services tramite il gateway dati locale. I dashboard vengono memorizzati nella cache in Power BI, ma l'accesso ai report o ai modelli semantici sottostanti avvia l'autenticazione per ogni utente che tenta di accedere al report o al modello semantico. L'accesso verrà concesso solo se l'utente dispone di credenziali sufficienti per accedere ai dati. Per altre informazioni, vedere Informazioni dettagliate sul gateway dati locale.

Applicazione dell'utilizzo della versione TLS

Gli amministratori IT e di rete possono applicare il requisito per l'uso di Transport Layer Security (TLS) corrente per qualsiasi comunicazione protetta nella rete. Windows fornisce il supporto per le versioni TLS tramite il provider Microsoft Schannel. Per altre informazioni, vedere Protocolli nel provider TLS/SSL (SSP Schannel).

Questa imposizione viene implementata impostando in modo amministrativo le chiavi del Registro di sistema. Per informazioni dettagliate sull'imposizione, vedere Gestione di protocolli SSL/TLS e pacchetti di crittografia per AD FS.

Power BI Desktop richiede TLS (Transport Layer Security) versione 1.2 (o successiva) per proteggere gli endpoint. I Web browser e altre applicazioni client che usano versioni TLS precedenti a TLS 1.2 non saranno in grado di connettersi. Se sono necessarie versioni più recenti di TLS, Power BI Desktop rispetta le impostazioni della chiave del Registro di sistema descritte in tali articoli e crea solo le connessioni che soddisfano il requisito di versione di TLS consentito in base a tali impostazioni del Registro di sistema, se presenti.

Per altre informazioni sull'impostazione di queste chiavi del Registro di sistema, vedere Impostazioni del Registro di sistema Transport Layer Security (TLS).