Obs!
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Hvis du vil ha detaljert informasjon om Power BI-sikkerhet, kan du se power bi-sikkerhetsmeldingen.
Hvis du vil planlegge for Power BI-sikkerhet, kan du se sikkerhetsseriene for planlegging av power BI-implementering av artikler. Det utvides på innholdet i Power BI Security-hvitboken. Selv om power BI-sikkerhetsmeldingen fokuserer på viktige tekniske emner som godkjenning, datalagring og nettverksisolasjon, er det primære målet med serien å gi deg hensyn og beslutninger som hjelper deg med å planlegge sikkerhet og personvern.
The Power BI service is built on Azure, Microsoft's cloud computing infrastructure and platform. Arkitekturen til Power BI-tjenesten er basert på to klynger:
- The Web Front End (WFE) cluster. The WFE cluster manages the initial connection and authentication to the Power BI service.
- The Back-End cluster. Once authenticated, the Back-End handles all subsequent user interactions. Power BI bruker Microsoft Entra ID til å lagre og administrere brukeridentiteter. Microsoft Entra ID administrerer også datalagring og metadata ved hjelp av henholdsvis Azure BLOB og Azure SQL Database.
Power BI Architecture
The WFE cluster uses Microsoft Entra ID to authenticate clients, and provide tokens for subsequent client connections to the Power BI service. Power BI bruker Azure Traffic Manager (Traffic Manager) til å dirigere brukertrafikken til nærmeste datasenter. Traffic Manager dirigerer forespørsler ved hjelp av DNS-posten til klienten som prøver å koble til, godkjenne og laste ned statisk innhold og filer. Power BI bruker Azure Content Delivery Network (CDN) til effektivt å distribuere nødvendig statisk innhold og filer til brukere basert på geografisk nasjonal innstilling.
The Back-End cluster determines how authenticated clients interact with the Power BI service. The Back-End cluster manages visualizations, user dashboards, semantic models, reports, data storage, data connections, data refresh, and other aspects of interacting with the Power BI service. The Gateway Role acts as a gateway between user requests and the Power BI service. Users don't interact directly with any roles other than the Gateway Role. Azure API Management håndterer til slutt Gateway-rollen.
Important
Bare Azure API Management- og Gateway-roller er tilgjengelige via offentlig Internett. De gir godkjenning, autorisasjon, DDoS-beskyttelse, begrensning, belastningsfordeling, ruting og andre funksjoner.
DataLagringssikkerhet
Power BI bruker to primære repositorier for lagring og administrasjon av data:
- Data som lastes opp fra brukere, sendes vanligvis til Azure Blob Storage.
- Alle metadata, inkludert elementer for selve systemet, lagres i Azure SQL Database.
The dotted line shown in the Back-End cluster diagram, clarifies the boundary between the two components that are accessible by users shown on the left of the dotted line. Roller som bare er tilgjengelige for systemet, vises til høyre. When an authenticated user connects to the Power BI Service, the connection and any request by the client is accepted and managed by the Gateway Role which then interacts on the user's behalf with the rest of the Power BI Service. For example, when a client attempts to view a dashboard, the Gateway Role accepts that request, and then separately sends a request to the Presentation Role to retrieve the data needed by the browser to display the dashboard. Etter hvert håndteres tilkoblinger og klientforespørsler av Azure API Management.
User Authentication
Power BI bruker Microsoft Entra ID til å godkjenne brukere som logger på Power BI-tjenesten. Påloggingslegitimasjon kreves når en bruker prøver å få tilgang til sikre ressurser. Brukere logger seg på Power BI-tjenesten ved hjelp av e-postadressen de opprettet Power BI-kontoen med. Power BI uses the same credentials as the effective username and passes it to resources whenever a user attempts to connect to data. The effective username is then mapped to a User Principal Name and resolves to the associated Windows domain account against which authentication is applied.
For organizations that used work email addresses for Power BI sign-in, for example david@contoso.com, the effective username to UPN mapping is straightforward. For organizations that didn't use work email addresses, for example david@contoso.onmicrosoft.com mapping between Microsoft Entra ID and on-premises credentials requires directory synchronization to work properly.
Plattformsikkerhet for Power BI omfatter også miljøsikkerhet med flere enheter, nettverkssikkerhet og muligheten til å legge til andre Microsoft Entra ID-baserte sikkerhetstiltak.
Data- og tjenestesikkerhet
Hvis du vil ha mer informasjon, kan du se Microsoft Klareringssenter, Produkter og tjenester som kjører på klarering.
Som beskrevet tidligere bruker lokale AD-servere en Power BI-pålogging til å tilordne til en UPN for legitimasjon. Brukere må imidlertid forstå følsomheten til dataene de deler. Når du har koblet til en datakilde på en sikker måte, og deretter deler rapporter, instrumentbord eller semantiske modeller med andre, får mottakerne tilgang til rapporten. Mottakerne trenger ikke å logge på datakilden.
Et unntak er å koble til SQL Server Analysis Services ved hjelp av lokal datagateway. Instrumentbord bufres i Power BI, men tilgang til underliggende rapporter eller semantiske modeller starter godkjenning for hver bruker som forsøker å få tilgang til rapporten eller semantisk modell. Access gis bare hvis brukeren har tilstrekkelig legitimasjon til å få tilgang til dataene. Hvis du vil ha mer informasjon, kan du se den lokale datagatewayen i dybden.
Aktivering av TLS-versjonsbruk
Nettverks- og IT-administratorer kan fremtvinge kravet om å bruke gjeldende Transport Layer Security (TLS) for sikker kommunikasjon på nettverket. Windows gir støtte for TLS-versjoner over Microsoft Schannel Provider, hvis du vil ha mer informasjon, kan du se Protokoller i TLS/SSL (Schannel SSP).
Denne håndhevelsen implementeres ved å angi registernøkler administrativt. Hvis du vil ha mer informasjon om håndhevelse, kan du se Administrere SSL/TLS-protokoller og Cipher Suites for AD FS.
Power BI Desktop krever TLS (Transport Layer Security) versjon 1.2 (eller høyere) for å sikre endepunktene. Nettlesere og andre klientprogrammer som bruker TLS-versjoner tidligere enn TLS 1.2, kan ikke koble til. Hvis en nyere versjon av TLS kreves, respekterer Power BI Desktop registernøkkelinnstillingene som er beskrevet i disse artiklene, og oppretter bare tilkoblinger som oppfyller versjonskravet til TLS som er tillatt basert på disse registerinnstillingene, når de finnes.
Hvis du vil ha mer informasjon om hvordan du angir disse registernøklene, kan du se Registerinnstillinger for Transport Layer Security (TLS).