Oficjalny dokument zabezpieczeń usługi Power BI

  • Artykuł

Podsumowanie: Usługa Power BI to usługa oprogramowania online (SaaS lub oprogramowanie jako usługa) firmy Microsoft, która umożliwia łatwe i szybkie tworzenie samoobsługowych pulpitów nawigacyjnych analizy biznesowej, raportów, modeli semantycznych (wcześniej znanych jako zestawy danych) i wizualizacji. Za pomocą usługi Power BI możesz łączyć się z wieloma różnymi źródłami danych, łączyć i kształtować dane z tych połączeń, a następnie tworzyć raporty i pulpity nawigacyjne, które mogą być udostępniane innym osobom.

Pisarze: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Karma Crivat

Recenzenci techniczni: Cristian Petculescu, Amir Netz, Sergei Gundorov

Dotyczy: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI dla urządzeń przenośnych.

Uwaga

Możesz zapisać lub wydrukować ten oficjalny dokument, wybierając pozycję Drukuj w przeglądarce, a następnie wybierając pozycję Zapisz jako plik PDF.

Wprowadzenie

Power BI to usługa oprogramowania online (SaaS lub oprogramowanie jako usługa) firmy Microsoft, która umożliwia łatwe i szybkie tworzenie samoobsługowych pulpitów nawigacyjnych analizy biznesowej, raportów, modeli semantycznych i wizualizacji. Za pomocą usługi Power BI możesz łączyć się z wieloma różnymi źródłami danych, łączyć i kształtować dane z tych połączeń, a następnie tworzyć raporty i pulpity nawigacyjne, które mogą być udostępniane innym osobom.

Świat szybko się zmienia; organizacje przechodzą przyspieszoną transformację cyfrową i obserwujemy ogromny wzrost pracy zdalnej, zwiększone zapotrzebowanie klientów na Usługi online i zwiększone wykorzystanie zaawansowanych technologii w operacjach i podejmowaniu decyzji biznesowych. Wszystko to jest obsługiwane przez chmurę.

W miarę jak przejście do chmury zmieniło się z powodu powodzi, a wraz z nowym, narażonym obszarem powierzchni, który jest z nim dostępny, coraz więcej firm pyta, jak bezpieczne są moje dane w chmurze? i Jakie kompleksowe zabezpieczenia są dostępne, aby zapobiec wyciekowi moich poufnych danych? A w przypadku platform analizy biznesowej, które często obsługują niektóre z najbardziej strategicznych informacji w przedsiębiorstwie, te pytania są podwójnie ważne.

Wieloletnie podstawy modelu zabezpieczeń analizy biznesowej — zabezpieczenia na poziomie obiektu i na poziomie wiersza — choć nadal ważne, nie są już wystarczające do zapewnienia rodzaju zabezpieczeń potrzebnych w erze chmury. Zamiast tego organizacje muszą szukać natywnego dla chmury, wielowarstwowego, wielowarstwowego rozwiązania zabezpieczeń chroniącego w głębi systemu na potrzeby danych analizy biznesowej.

Usługa Power BI została utworzona w celu zapewnienia wiodącej w branży pełnej i hermetycznej ochrony danych. Produkt uzyskał najwyższą klasyfikację zabezpieczeń dostępną w branży, a dziś wiele agencji bezpieczeństwa narodowego, instytucji finansowych i dostawców opieki zdrowotnej, którym powierzono im najbardziej poufne informacje.

Wszystko zaczyna się od podstaw. Po trudnym okresie na początku 2000 roku firma Microsoft poczyniła ogromne inwestycje, aby rozwiązać swoje luki w zabezpieczeniach, a w kolejnych dziesięcioleciach zbudowała silny stos zabezpieczeń, który jest tak głęboki, jak jądro bios na mikroukładach i rozszerza się aż do środowisk użytkowników końcowych. Te głębokie inwestycje nadal trwają, a obecnie ponad 3500 inżynierów firmy Microsoft zajmuje się tworzeniem i ulepszaniem stosu zabezpieczeń firmy Microsoft oraz proaktywnym rozwiązywaniem stale zmieniających się zagrożeń. W przypadku miliardów komputerów, bilionów logowań i niezliczonych zettabajtów informacji powierzonych ochronie firmy Microsoft firma posiada obecnie najbardziej zaawansowany stos zabezpieczeń w branży technologicznej i jest szeroko postrzegana jako globalny lider w walce ze złośliwymi podmiotami.

Usługa Power BI opiera się na tej silnej podstawie. Używa on tego samego stosu zabezpieczeń, który uzyskał prawo platformy Azure do obsługi i ochrony najbardziej poufnych danych na świecie, oraz integruje się z najbardziej zaawansowanymi narzędziami ochrony informacji i zgodności platformy Microsoft 365. Ponadto zapewnia ona zabezpieczenia za pośrednictwem wielowarstwowych środków zabezpieczeń, co skutkuje kompleksową ochroną przeznaczoną do radzenia sobie z unikatowymi wyzwaniami epoki chmury.

Aby zapewnić kompleksowe rozwiązanie do ochrony poufnych zasobów, zespół produktu musi rozwiązać problemy klientów dotyczące wielu równoczesnych frontów:

  • Jak możemy kontrolować, kto może nawiązać połączenie, skąd się łączą i jak się łączą?Jak możemy kontrolować połączenia?
  • Jak są przechowywane dane?Jak jest szyfrowany?Jakie kontrolki mam na danych?
  • Jak mogę kontrolować i chronić moje poufne dane?Jak mogę upewnić się, że te dane nie mogą wyciekać poza organizację?
  • Jak mogę inspekcji, kto przeprowadza jakie operacje?Jak mogę szybko reagować, jeśli w usłudze występują podejrzane działania?

Ten artykuł zawiera kompleksową odpowiedź na wszystkie te pytania. Rozpoczyna się od omówienia architektury usługi i wyjaśnia, jak działają główne przepływy w systemie. Następnie przejdzie do opisania sposobu uwierzytelniania użytkowników w usłudze Power BI, sposobu nawiązywania połączeń danych oraz sposobu przechowywania i transferowania danych przez usługę Power BI. W ostatniej sekcji omówiono funkcje zabezpieczeń, które umożliwiają administratorowi usługi ochronę najcenniejszych zasobów.

Usługa Power BI podlega warunkom usług online firmy Microsoft i zasadom zachowania poufności informacji w firmie Microsoft. Aby uzyskać informacje o lokalizacji przetwarzania danych, zapoznaj się z postanowieniami dotyczącymi lokalizacji przetwarzania danych w postanowieniach dotyczących usług online firmy Microsoft i dodatkiem do ochrony danych. W przypadku informacji o zgodności Centrum zaufania firmy Microsoft jest podstawowym zasobem usługi Power BI. Zespół usługi Power BI ciężko pracuje, aby zapewnić swoim klientom najnowsze innowacje i produktywność. Dowiedz się więcej o zgodności w ofertach zgodności firmy Microsoft.

Usługa Power BI jest zgodny z cyklem projektowania zabezpieczeń (SDL), rygorystycznymi rozwiązaniami w zakresie zabezpieczeń, które obsługują wymagania dotyczące zapewniania zabezpieczeń i zgodności. SDL ułatwia deweloperom tworzenie bezpieczniejszego oprogramowania przez zmniejszenie liczby i ważności luk w zabezpieczeniach oprogramowania przy jednoczesnym zmniejszeniu kosztów programowania. Więcej informacji o tych rozwiązaniach można uzyskać w witrynie Microsoft Security Development Lifecycle Practices.

Architektura usługi Power BI

Usługa Power BI jest oparta na platformie Azure, platformie przetwarzania w chmurze firmy Microsoft. Usługa Power BI jest obecnie wdrażana w wielu centrach danych na całym świecie — istnieje wiele aktywnych wdrożeń udostępnianych klientom w regionach obsługiwanych przez te centra danych oraz taką samą liczbę pasywnych wdrożeń, które służą jako kopie zapasowe dla każdego aktywnego wdrożenia.

Fronton sieci WFE i zaplecze

Klaster frontonu sieci Web (WFE)

Klaster WFE udostępnia przeglądarkę użytkownika z początkową zawartością strony HTML podczas ładowania witryny, a wskaźniki do zawartości CDN używanej do renderowania witryny w przeglądarce.

Klaster WEF

Klaster WFE składa się z witryny internetowej ASP.NET uruchomionej w środowisku usługi aplikacja systemu Azure. Gdy użytkownicy próbują nawiązać połączenie z usługa Power BI, usługa DNS klienta może komunikować się z usługą Azure Traffic Manager w celu znalezienia najbardziej odpowiedniego (zwykle najbliższego) centrum danych z wdrożeniem usługi Power BI. Aby uzyskać więcej informacji na temat tego procesu, zobacz Performance traffic-routing method for Azure Traffic Manager (Metoda routingu ruchu w wydajności dla usługi Azure Traffic Manager).

Zasoby statyczne, takie jak *.js, *.css i pliki obrazów, są w większości przechowywane w usłudze Azure Content Delivery Network (CDN) i pobierane bezpośrednio przez przeglądarkę. Należy pamiętać, że wdrożenia klastrów suwerennych instytucji rządowych są wyjątkiem od tej reguły, a ze względów zgodności pominie sieć CDN i zamiast tego użyje klastra WFE ze zgodnego regionu do hostowania zawartości statycznej.

Klaster zaplecza usługi Power BI (BE)

Klaster zaplecza jest szkieletem wszystkich funkcji dostępnych w usłudze Power BI. Składa się z kilku punktów końcowych usługi używanych przez klientów frontonu internetowego i interfejsu API, a także działających w tle usług, baz danych, pamięci podręcznych i różnych innych składników.

Zaplecze jest dostępne w większości regionów świadczenia usługi Azure i jest wdrażane w nowych regionach, gdy staną się dostępne. Jeden region platformy Azure hostuje co najmniej jeden klaster zaplecza, który umożliwia nieograniczone skalowanie w poziomie usługa Power BI po wyczerpaniu limitów skalowania w pionie i poziomie pojedynczego klastra.

Każdy klaster zaplecza jest stanowy i hostuje wszystkie dane wszystkich dzierżaw przypisanych do tego klastra. Klaster zawierający dane określonej dzierżawy jest określany jako klaster macierzysty dzierżawy. Informacje o klastrze głównym uwierzytelnionego użytkownika są udostępniane przez usługę globalną i używane przez fronton internetowy do kierowania żądań do klastra macierzystego dzierżawy.

Każdy klaster zaplecza składa się z wielu maszyn wirtualnych połączonych w wiele zestawów skalowania z możliwością zmiany rozmiaru dostosowanych do wykonywania określonych zadań, zasobów stanowych, takich jak bazy danych SQL, konta magazynu, magistrale usług, pamięci podręczne i inne niezbędne składniki chmury.

Metadane dzierżawy i dane są przechowywane w granicach klastra z wyjątkiem replikacji danych do pomocniczego klastra zaplecza w sparowanym regionie świadczenia usługi Azure w tej samej lokalizacji geograficznej platformy Azure. Pomocniczy klaster zaplecza służy jako klaster trybu failover w przypadku awarii regionalnej i jest pasywny w dowolnym innym czasie.

Funkcje zaplecza są obsługiwane przez mikrousług działające na różnych maszynach w sieci wirtualnej klastra, które nie są dostępne z zewnątrz, z wyjątkiem dwóch składników, do których można uzyskać dostęp z publicznego Internetu:

  • Usługa bramy
  • Azure API Management

Klaster zaplecza

Infrastruktura usługi Power BI Premium

Usługa Power BI Premium oferuje usługę dla subskrybentów, którzy wymagają funkcji usługi Power BI w warstwie Premium, takich jak zaawansowana sztuczna inteligencja, dystrybucja dla użytkowników bez licencji itp. Gdy klient zarejestruje się w celu uzyskania subskrypcji usługi Power BI Premium, pojemność Premium jest tworzona za pośrednictwem usługi Azure Resource Manager.

Pojemności usługi Power BI Premium są hostowane w klastrach zaplecza, które są niezależne od zwykłego zaplecza usługi Power BI — zobacz powyżej). Zapewnia to lepszą izolację, alokację zasobów, możliwość obsługi, izolację zabezpieczeń i skalowalność oferty Premium.

Na poniższym diagramie przedstawiono architekturę infrastruktury usługi Power BI Premium:

Power BI Premium

Połączenie z infrastrukturą usługi Power BI Premium można wykonywać na wiele sposobów w zależności od scenariusza użytkownika. Klienci usługi Power BI Premium mogą być przeglądarką użytkownika, zwykłym zapleczem usługi Power BI, bezpośrednimi połączeniami za pośrednictwem klientów XMLA, interfejsów API usługi ARM itp.

Infrastruktura usługi Power BI Premium w regionie świadczenia usługi Azure składa się z wielu klastrów usługi Power BI Premium (minimum to jeden). Większość zasobów w warstwie Premium jest hermetyzowana wewnątrz klastra (na przykład obliczeń), a niektóre typowe zasoby regionalne (na przykład magazyn metadanych). Infrastruktura Premium umożliwia dwa sposoby osiągnięcia skalowalności poziomej w regionie: zwiększenie zasobów wewnątrz klastrów i/lub dodanie większej liczby klastrów na żądanie zgodnie z potrzebami (jeśli zasoby klastra zbliżają się do ich limitów).

Szkieletem każdego klastra są zasoby obliczeniowe zarządzane przez zestawy skalowania maszyn wirtualnych i usługę Azure Service Fabric. Zestawy skalowania maszyn wirtualnych i usługa Service Fabric umożliwiają szybki i bezbolesny wzrost użycia węzłów obliczeniowych oraz organizowanie wdrażania, zarządzania i monitorowania usług i aplikacji usługi Power BI Premium.

Istnieje wiele otaczających zasobów, które zapewniają bezpieczną i niezawodną infrastrukturę: moduły równoważenia obciążenia, sieci wirtualne, sieciowe grupy zabezpieczeń, magistrala usług, magazyn itp. Wszystkie wpisy tajne, klucze i certyfikaty wymagane dla usługi Power BI Premium są zarządzane wyłącznie przez usługę Azure Key Vault . Każde uwierzytelnianie odbywa się wyłącznie za pośrednictwem integracji z usługą Microsoft Entra ID (wcześniej znaną jako Usługa Azure Active Directory).

Każde żądanie, które przychodzi do infrastruktury usługi Power BI Premium, najpierw przechodzi do węzłów frontonu — są jedynymi węzłami dostępnymi dla połączeń zewnętrznych. Pozostałe zasoby są ukryte za sieciami wirtualnymi. Węzły frontonu uwierzytelniają żądanie, obsługują je lub przesyłają do odpowiednich zasobów (na przykład węzły zaplecza).

Węzły zaplecza zapewniają większość funkcji i funkcji usługi Power BI Premium.

Power BI dla urządzeń przenośnych

Power BI dla urządzeń przenośnych to kolekcja aplikacji przeznaczonych dla trzech podstawowych platform mobilnych: Android, iOS i Windows (UWP). Zagadnienia dotyczące zabezpieczeń aplikacji Power BI dla urządzeń przenośnych należą do dwóch kategorii:

  • Komunikacja z urządzeniem
  • Aplikacja i dane na urządzeniu

W przypadku komunikacji urządzeń wszystkie aplikacje Power BI dla urządzeń przenośnych komunikują się z usługa Power BI i używają tych samych sekwencji połączeń i uwierzytelniania używanych przez przeglądarki, które zostały szczegółowo opisane we wcześniejszej sekcji tego oficjalnego dokumentu. Aplikacje mobilne usługi Power BI dla systemów iOS i Android tworzą sesję przeglądarki w samej aplikacji, podczas gdy aplikacja mobilna systemu Windows wywołuje brokera w celu ustanowienia kanału komunikacji z usługą Power BI (w przypadku procesu logowania).

W poniższej tabeli przedstawiono obsługę uwierzytelniania opartego na certyfikatach (CBA) dla Power BI dla urządzeń przenośnych na podstawie platformy urządzeń przenośnych:

Pomoc techniczna CBA iOS Android Okna
Power BI (logowanie do usługi) Obsługiwane Obsługiwane Nieobsługiwane
Lokalne usługi SSRS ADFS (nawiązywanie połączenia z serwerem usług SSRS) Nieobsługiwane Obsługiwane Nieobsługiwane
Serwer proxy aplikacji SSRS Obsługiwane Obsługiwane Nieobsługiwane

Power BI dla urządzeń przenośnych aplikacje aktywnie komunikują się z usługa Power BI. Dane telemetryczne służą do zbierania statystyk użycia aplikacji mobilnych i podobnych danych przesyłanych do usług używanych do monitorowania użycia i aktywności; żadne dane klienta nie są wysyłane z danymi telemetrycznymi.

Aplikacja Power BI przechowuje dane na urządzeniu, które ułatwia korzystanie z aplikacji:

  • Identyfikator entra firmy Microsoft i tokeny odświeżania są przechowywane w bezpiecznym mechanizmie na urządzeniu przy użyciu standardowych w branży środków zabezpieczeń.
  • Dane i ustawienia (pary klucz-wartość dla konfiguracji użytkownika) są buforowane w magazynie na urządzeniu i mogą być szyfrowane przez system operacyjny. W systemie iOS jest to wykonywane automatycznie, gdy użytkownik ustawia kod dostępu. W systemie Android można to skonfigurować w ustawieniach. W systemie Windows jest to realizowane przy użyciu funkcji BitLocker.
  • W przypadku aplikacji systemu Android i iOS dane i ustawienia (pary klucz-wartość dla konfiguracji użytkownika) są buforowane w magazynie na urządzeniu w piaskownicy i magazynie wewnętrznym, który jest dostępny tylko dla aplikacji. W przypadku aplikacji systemu Windows dane są dostępne tylko dla użytkownika (i administratora systemu).
  • Lokalizacja jest włączona lub wyłączona jawnie przez użytkownika. Jeśli została włączona, dane geograficznych nie są zapisywane na urządzeniu i nie są udostępniane firmie Microsoft.
  • Powiadomienia są włączane lub wyłączane jawnie przez użytkownika. Jeśli ta opcja jest włączona, systemy Android i iOS nie obsługują wymagań dotyczących przechowywania danych geograficznych dla powiadomień.

Szyfrowanie danych można zwiększyć, stosując szyfrowanie na poziomie plików za pośrednictwem usługi Microsoft Intune, usługi oprogramowania, która zapewnia zarządzanie urządzeniami przenośnymi i aplikacjami. Wszystkie trzy platformy, dla których Power BI dla urządzeń przenośnych jest dostępna, obsługuje usługę Intune. Po włączeniu i skonfigurowaniu usługi Intune dane na urządzeniu przenośnym są szyfrowane, a sama aplikacja Power BI nie może być zainstalowana na karcie SD. Dowiedz się więcej o usłudze Microsoft Intune.

Aplikacja systemu Windows obsługuje również funkcję Windows Information Protection (WIP).

Aby zaimplementować logowanie jednokrotne, niektóre zabezpieczone wartości magazynu związane z uwierzytelnianiem opartym na tokenach są dostępne dla innych aplikacji firmy Microsoft (takich jak Microsoft Authenticator) i są zarządzane przez bibliotekę Microsoft Authentication Library (MSAL).

Power BI dla urządzeń przenośnych dane w pamięci podręcznej są usuwane po usunięciu aplikacji, wylogowaniu się użytkownika z Power BI dla urządzeń przenośnych lub gdy użytkownik nie zaloguje się (na przykład po zmianie hasła lub zdarzenia wygaśnięcia tokenu). Pamięć podręczna danych zawiera pulpity nawigacyjne i raporty, do których wcześniej uzyskiwano dostęp z aplikacji Power BI dla urządzeń przenośnych.

Power BI dla urządzeń przenośnych nie uzyskuje dostępu do innych folderów aplikacji ani plików na urządzeniu.

Aplikacje usługi Power BI dla systemów iOS i Android umożliwiają ochronę danych przez skonfigurowanie dodatkowej identyfikacji, takiej jak udostępnianie funkcji Face ID, Touch ID lub kod dostępu dla systemu iOS oraz dane biometryczne (identyfikator odcisku palca) dla systemu Android. Dowiedz się więcej o dodatkowej identyfikacji.

Uwierzytelnianie w usługa Power BI

Uwierzytelnianie użytkownika w usługa Power BI składa się z serii żądań, odpowiedzi i przekierowań między przeglądarką użytkownika a usługa Power BI lub usługami platformy Azure używanymi przez usługę Power BI. Ta sekwencja opisuje proces uwierzytelniania użytkownika w usłudze Power BI, który jest zgodny z przepływem udzielania kodu uwierzytelniania entra firmy Microsoft. Aby uzyskać więcej informacji na temat opcji modeli uwierzytelniania użytkowników organizacji (modeli logowania), zobacz Wybieranie modelu logowania dla platformy Microsoft 365.

Sekwencja uwierzytelniania

Sekwencja uwierzytelniania użytkownika dla usługa Power BI jest wykonywana zgodnie z opisem w poniższych krokach, które przedstawiono na ilustracji, która jest po nich zgodna.

  1. Użytkownik inicjuje połączenie z usługa Power BI z przeglądarki, wpisując adres usługi Power BI na pasku adresu lub wybierając pozycję Zaloguj się na stronie marketingowej usługi Power BI (https://powerbi.microsoft.com). Połączenie jest ustanawiane przy użyciu protokołów TLS i HTTPS, a cała kolejna komunikacja między przeglądarką a usługa Power BI korzysta z protokołu HTTPS.

  2. Usługa Azure Traffic Manager sprawdza rekord DNS użytkownika w celu określenia najbardziej odpowiedniego (zwykle najbliższego) centrum danych, w którym wdrożono usługę Power BI, i odpowiada na system DNS przy użyciu adresu IP klastra WFE, do którego ma zostać wysłany użytkownik.

  3. Następnie WFE zwraca stronę HTML do klienta przeglądarki, która zawiera odwołanie do biblioteki MSAL.js niezbędne do zainicjowania przepływu logowania.

  4. Klient przeglądarki ładuje stronę HTML odebraną zfe i przekierowuje użytkownika do strony logowania usług Online Services firmy Microsoft.

  5. Po uwierzytelnieniu użytkownika strona logowania przekierowuje użytkownika z powrotem do stronyfe usługi Power BI przy użyciu kodu uwierzytelniania.

  6. Klient przeglądarki ładuje stronę HTML i używa kodu uwierzytelniania do żądania tokenów (dostępu, identyfikatora, odświeżania) z identyfikatora Entra firmy Microsoft.

  7. Identyfikator dzierżawy użytkownika jest używany przez klienta przeglądarki do wykonywania zapytań względem usługi globalnej Power BI, która utrzymuje listę dzierżaw i ich lokalizacji klastra zaplecza usługi Power BI. Usługa globalna usługi Power BI określa, który klaster usługi zaplecza usługi Power BI zawiera dzierżawę użytkownika i zwraca adres URL klastra zaplecza usługi Power BI z powrotem do klienta.

  8. Klient może teraz komunikować się z interfejsem API adresu URL klastra zaplecza usługi Power BI przy użyciu tokenu dostępu w nagłówku Autoryzacja dla żądań HTTP. Token dostępu Firmy Microsoft Entra będzie miał datę wygaśnięcia ustawioną zgodnie z zasadami firmy Microsoft Entra i utrzymanie bieżącej sesji klienta usługi Power BI w przeglądarce użytkownika będzie wysyłać okresowe żądania odnowienia tokenu dostępu przed jego wygaśnięciem.

Diagram ilustrujący sekwencję uwierzytelniania klienta.

W rzadkich przypadkach, w których uwierzytelnianie po stronie klienta kończy się niepowodzeniem z powodu nieoczekiwanego błędu, kod próbuje wrócić do korzystania z uwierzytelniania po stronie serwera wfe. Zapoznaj się z sekcją pytań i odpowiedzi na końcu tego dokumentu, aby uzyskać szczegółowe informacje na temat przepływu uwierzytelniania po stronie serwera.

Przechowywanie danych

Jeśli nie określono inaczej w dokumentacji, usługa Power BI przechowuje dane klientów w lokalizacji geograficznej platformy Azure przypisanej, gdy dzierżawa firmy Microsoft Entra zarejestruje się w celu uzyskania usługa Power BI po raz pierwszy. Dzierżawa firmy Microsoft Entra zawiera tożsamości użytkowników i aplikacji, grupy i inne istotne informacje dotyczące organizacji i jej zabezpieczeń.

Przypisanie lokalizacji geograficznej platformy Azure dla magazynu danych dzierżawy odbywa się przez mapowanie kraju lub regionu wybranego w ramach konfiguracji dzierżawy firmy Microsoft Entra do najbardziej odpowiedniej lokalizacji geograficznej platformy Azure, w której istnieje wdrożenie usługi Power BI. Po dokonaniu tej determinacji wszystkie dane klienta usługi Power BI będą przechowywane w wybranej lokalizacji geograficznej platformy Azure (znanej również jako lokalizacja geograficzna domu), z wyjątkiem przypadków, w których organizacje korzystają z wdrożeń obejmujących wiele obszarów geograficznych.

Wiele lokalizacji geograficznych (multi-geo)

Niektóre organizacje mają globalną obecność i mogą wymagać usługa Power BI w wielu lokalizacjach geograficznych platformy Azure. Na przykład firma może mieć swoją siedzibę w Stany Zjednoczone, ale może również prowadzić działalność w innych obszarach geograficznych, takich jak Australia. W takich przypadkach firma może wymagać, aby niektóre dane usługi Power BI były przechowywane w spoczynku w regionie zdalnym, aby były zgodne z lokalnymi przepisami. Ta funkcja usługa Power BI jest nazywana wieloma obszarami geograficznymi.

Warstwa wykonywania zapytań, pamięci podręczne zapytań i dane artefaktów przypisane do obszaru roboczego z wieloma obszarami geograficznymi są hostowane i pozostają w zdalnej pojemności geograficznej platformy Azure. Jednak niektóre metadane artefaktu, takie jak struktura raportu, mogą pozostać przechowywane w spoczynku w głównym obszarze geograficznym dzierżawy. Ponadto niektóre operacje przesyłania i przetwarzania danych mogą nadal występować w głównym obszarze geograficznym dzierżawy, nawet w przypadku obszarów roboczych hostowanych w pojemności Premium z wieloma obszarami geograficznymi.

Zobacz Konfigurowanie obsługi funkcji Multi-Geo dla usługi Power BI Premium , aby uzyskać więcej informacji na temat tworzenia wdrożeń usługi Power BI obejmujących wiele lokalizacji geograficznych platformy Azure i zarządzania nimi.

Regiony i centra danych

usługa Power BI są dostępne w określonych lokalizacjach geograficznych platformy Azure, zgodnie z opisem w temacie Centrum zaufania Microsoft. Aby uzyskać więcej informacji na temat miejsca przechowywania danych i sposobu ich używania, zapoznaj się z Centrum zaufania firmy Microsoft. Zobowiązania dotyczące lokalizacji danych magazynowanych klienta określają Warunki przetwarzania danych w Warunkach dotyczących witryny Microsoft Online Services.

Firma Microsoft udostępnia również centra danych dla suwerennych jednostek. Aby uzyskać więcej informacji na temat dostępności usługa Power BI dla chmur krajowych/regionalnych, zobacz Power BI national/regional clouds (Chmury krajowe/regionalne usługi Power BI).

Obsługa danych

W tej sekcji opisano rozwiązania dotyczące obsługi danych usługi Power BI w zakresie przechowywania, przetwarzania i przesyłania danych klientów.

Dane magazynowane

Usługa Power BI używa dwóch podstawowych typów zasobów magazynu danych:

  • Azure Storage
  • Bazy danych Azure SQL Database

W większości scenariuszy usługa Azure Storage jest używana do utrwalania danych artefaktów usługi Power BI, podczas gdy bazy danych Azure SQL Database są używane do utrwalania metadanych artefaktów.

Wszystkie dane utrwalane przez usługę Power BI są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Dane klienta przechowywane w bazach danych Azure SQL Database są w pełni szyfrowane przy użyciu technologii Transparent Data Encryption (TDE) usługi Azure SQL. Dane klienta przechowywane w usłudze Azure Blob Storage są szyfrowane przy użyciu usługi Azure Storage Encryption.

Opcjonalnie organizacje mogą używać usługi Power BI Premium do używania własnych kluczy do szyfrowania danych magazynowanych importowanych do modelu semantycznego. Takie podejście jest często określane jako bring your own key (BYOK). Użycie rozwiązania BYOK pomaga zagwarantować, że nawet w przypadku błędu operatora usługi dane klienta nie zostaną ujawnione — czego nie można łatwo osiągnąć przy użyciu przezroczystego szyfrowania po stronie usługi. Aby uzyskać więcej informacji, zobacz Bring your own encryption keys for Power BI (Używanie własnych kluczy szyfrowania dla usługi Power BI ).

Modele semantyczne usługi Power BI umożliwiają korzystanie z różnych trybów połączenia ze źródłem danych, które określają, czy dane źródła danych są utrwalane w usłudze, czy nie.

Tryb modelu semantycznego (rodzaj) Dane utrwalone w usłudze Power BI
Importuj Tak
DirectQuery Nie.
Połączenie na żywo Nie.
Złożone Jeśli zawiera źródło danych importu
Przesyłanie strumieniowe Jeśli skonfigurowano do utrwalania

Niezależnie od trybu modelu semantycznego, usługa Power BI może tymczasowo buforować wszystkie pobrane dane, aby zoptymalizować wydajność ładowania zapytań i raportów.

Przetwarzanie danych

Dane są przetwarzane, gdy są aktywnie używane przez co najmniej jednego użytkownika w ramach scenariusza interaktywnego lub gdy proces w tle, taki jak odświeżanie, dotyka tych danych. Usługa Power BI ładuje aktywnie przetwarzane dane do przestrzeni pamięci jednego lub większej liczby obciążeń usługi. Aby ułatwić funkcjonalność wymaganą przez obciążenie, przetworzone dane w pamięci nie są szyfrowane.

Dane przesyłane

Usługa Power BI wymaga szyfrowania całego przychodzącego ruchu HTTP przy użyciu protokołu TLS 1.2 lub nowszego. Wszystkie żądania próbujące użyć usługi z protokołem TLS 1.1 lub niższym zostaną odrzucone.

Uwierzytelnianie w źródłach danych

Podczas nawiązywania połączenia ze źródłem danych użytkownik może zaimportować kopię danych do usługi Power BI lub połączyć się bezpośrednio ze źródłem danych.

W przypadku importowania użytkownik nawiązuje połączenie na podstawie logowania użytkownika i uzyskuje dostęp do danych przy użyciu poświadczeń. Po opublikowaniu modelu semantycznego w usługa Power BI usługa Power BI zawsze używa poświadczeń tego użytkownika do importowania danych. Po zaimportowaniu danych wyświetlanie danych w raportach i pulpitach nawigacyjnych nie ma dostępu do bazowego źródła danych. Usługa Power BI obsługuje uwierzytelnianie jednokrotne dla wybranych źródeł danych. Jeśli połączenie jest skonfigurowane do korzystania z logowania jednokrotnego, poświadczenia właściciela modelu semantycznego są używane do nawiązywania połączenia ze źródłem danych.

Jeśli źródło danych jest połączone bezpośrednio przy użyciu wstępnie skonfigurowanych poświadczeń, poświadczenia wstępnie skonfigurowane są używane do nawiązywania połączenia ze źródłem danych, gdy dowolny użytkownik wyświetli dane. Jeśli źródło danych jest połączone bezpośrednio przy użyciu logowania jednokrotnego, poświadczenia bieżącego użytkownika są używane do nawiązywania połączenia ze źródłem danych, gdy użytkownik wyświetli dane. W przypadku użycia z logowaniem jednokrotnym zabezpieczenia na poziomie wiersza i/lub zabezpieczeń na poziomie obiektu (OLS) można zaimplementować w źródle danych. Dzięki temu użytkownicy mogą wyświetlać tylko dane, do których mają uprawnienia dostępu. Gdy połączenie jest ze źródłami danych w chmurze, uwierzytelnianie firmy Microsoft Entra jest używane do logowania jednokrotnego; Obsługiwane są lokalne źródła danych, Kerberos, Security Assertion Markup Language (SAML) i Microsoft Entra ID.

Jeśli źródłem danych są usługi Azure Analysis Services lub lokalne usługi Analysis Services, a zabezpieczenia na poziomie wiersza i/lub olS są skonfigurowane, usługa Power BI zastosuje te zabezpieczenia na poziomie wiersza, a użytkownicy, którzy nie mają wystarczających poświadczeń w celu uzyskania dostępu do danych bazowych (które mogą być zapytaniem używanym na pulpicie nawigacyjnym, raporcie lub innym artefaktie danych), nie będą widzieć danych, dla których nie mają wystarczających uprawnień.

Funkcje Premium

Architektura przepływów danych

Przepływy danych zapewniają użytkownikom możliwość konfigurowania operacji przetwarzania danych zaplecza, które będą wyodrębniać dane ze źródeł danych polimorficznych, wykonywać logikę przekształcania względem danych, a następnie lądować je w modelu docelowym do użycia w różnych technologiach prezentacji raportowania. Każdy użytkownik, który ma rolę członka, współautora lub administratora w obszarze roboczym, może utworzyć przepływ danych. Użytkownicy w roli osoby przeglądającego mogą wyświetlać dane przetwarzane przez przepływ danych, ale mogą nie wprowadzać zmian w jej kompozycji. Po utworzeniu przepływu danych każdy członek, współautor lub administrator obszaru roboczego może zaplanować odświeżanie, a także wyświetlić i edytować przepływ danych, przejmując na nim własność.

Każde skonfigurowane źródło danych jest powiązane z technologią klienta na potrzeby uzyskiwania dostępu do tego źródła danych. Struktura poświadczeń wymaganych do uzyskania dostępu do nich jest tworzona w celu dopasowania do wymaganych szczegółów implementacji źródła danych. Logika przekształcania jest stosowana przez usługi Power Query, gdy dane są w locie. W przypadku przepływów danych w warstwie Premium usługi Power Query są wykonywane w węzłach zaplecza. Dane mogą być pobierane bezpośrednio ze źródeł chmury lub za pośrednictwem bramy zainstalowanej lokalnie. W przypadku ściągania bezpośrednio ze źródła chmury do usługi lub do bramy transport używa metodologii ochrony specyficznej dla technologii klienta, jeśli ma to zastosowanie. Gdy dane są przesyłane z bramy do usługi w chmurze, są szyfrowane. Zobacz sekcję Dane w trakcie przesyłania powyżej.

Gdy określone przez klienta źródła danych wymagają poświadczeń dostępu, właściciel/twórca przepływu danych udostępni je podczas tworzenia. Są one przechowywane przy użyciu standardowego magazynu poświadczeń dla całego produktu. Zobacz sekcję Authentication to Data Sources (Uwierzytelnianie ze źródłami danych) powyżej. Istnieją różne podejścia, które użytkownicy mogą skonfigurować w celu optymalizacji trwałości i dostępu do danych. Domyślnie dane są umieszczane na należącym do usługi Power BI i chronionym koncie magazynu. Szyfrowanie magazynu jest włączone w kontenerach usługi Blob Storage, aby chronić dane podczas przechowywania. Zobacz sekcję Dane w spoczynku poniżej. Użytkownicy mogą jednak skonfigurować własne konto magazynu skojarzone z własną subskrypcją platformy Azure. W takim przypadku podmiot zabezpieczeń usługa Power BI ma dostęp do tego konta magazynu, aby mógł zapisywać tam dane podczas odświeżania. W takim przypadku właściciel zasobu magazynu jest odpowiedzialny za konfigurowanie szyfrowania na skonfigurowanym koncie magazynu usługi ADLS. Dane są zawsze przesyłane do usługi Blob Storage przy użyciu szyfrowania.

Ponieważ wydajność podczas uzyskiwania dostępu do kont magazynu może być nieoptymalna dla niektórych danych, użytkownicy mają również możliwość korzystania z aparatu obliczeniowego hostowanego w usłudze Power BI w celu zwiększenia wydajności. W takim przypadku dane są nadmiarowo przechowywane w bazie danych SQL, która jest dostępna dla trybu DirectQuery za pośrednictwem dostępu przez system usługi Power BI zaplecza. Dane są zawsze szyfrowane w systemie plików. Jeśli użytkownik udostępni klucz do szyfrowania danych przechowywanych w bazie danych SQL, ten klucz zostanie użyty do dwukrotnego zaszyfrowania.

Podczas wykonywania zapytań przy użyciu trybu DirectQuery szyfrowany protokół transportowy HTTPS jest używany do uzyskiwania dostępu do interfejsu API. Wszystkie pomocnicze lub pośrednie użycie trybu DirectQuery jest kontrolowane przez te same mechanizmy kontroli dostępu opisane wcześniej. Ponieważ przepływy danych są zawsze powiązane z obszarem roboczym, dostęp do danych jest zawsze ograniczony przez rolę użytkownika w tym obszarze roboczym. Użytkownik musi mieć co najmniej dostęp do odczytu, aby móc wykonywać zapytania o dane za pomocą jakichkolwiek środków.

Gdy program Power BI Desktop jest używany do uzyskiwania dostępu do danych w przepływie danych, musi najpierw uwierzytelnić użytkownika przy użyciu identyfikatora Entra firmy Microsoft, aby ustalić, czy użytkownik ma wystarczające prawa do wyświetlania danych. Jeśli tak, klucz saS jest uzyskiwany i używany do uzyskiwania dostępu do magazynu bezpośrednio przy użyciu szyfrowanego protokołu transportowego HTTPS.

Przetwarzanie danych w potoku emituje zdarzenia inspekcji usługi Office 365. Niektóre z tych zdarzeń przechwytują operacje związane z zabezpieczeniami i prywatnością.

Raporty wielostronicowe

Raporty podzielone na strony są przeznaczone do drukowania lub udostępniania. Są one nazywane podzielonymi na strony, ponieważ są one sformatowane tak, aby pasowały dobrze na stronie. Wyświetlają wszystkie dane w tabeli, nawet jeśli tabela obejmuje wiele stron. Możesz dokładnie kontrolować układ strony raportu.

Raporty podzielone na strony obsługują zaawansowane i zaawansowane wyrażenia napisane w programie Microsoft Visual Basic .NET. Wyrażenia są szeroko używane w raportach podzielonych na strony w programie Power BI Report Builder do pobierania, obliczania, wyświetlania, grupowania, sortowania, filtrowania, parametryzacji i formatowania danych.

Wyrażenia są tworzone przez autora raportu z dostępem do szerokiego zakresu funkcji platformy .NET Framework. Przetwarzanie i wykonywanie raportów podzielonych na strony odbywa się w piaskownicy.

Definicje raportów podzielonych na strony (rdl) są przechowywane w usłudze Power BI oraz do publikowania i/lub renderowania raportu podzielonego na strony, który użytkownik musi uwierzytelnić i autoryzować w taki sam sposób, jak opisano w sekcji Uwierzytelnianie w usłudze Power BI powyżej.

Token entra firmy Microsoft uzyskany podczas uwierzytelniania jest używany do bezpośredniej komunikacji z przeglądarki do klastra usługi Power BI Premium.

W usłudze Power BI Premium środowisko uruchomieniowe usługa Power BI zapewnia odpowiednio izolowane środowisko wykonawcze dla każdego renderowania raportu. Obejmuje to przypadki, w których renderowane raporty należą do obszarów roboczych przypisanych do tej samej pojemności.

Raport podzielony na strony może uzyskiwać dostęp do szerokiego zestawu źródeł danych w ramach renderowania raportu. Piaskownica nie komunikuje się bezpośrednio z żadnym ze źródeł danych, ale zamiast tego komunikuje się z zaufanym procesem w celu żądania danych, a następnie zaufany proces dołącza wymagane poświadczenia do połączenia. W ten sposób piaskownica nigdy nie ma dostępu do żadnych poświadczeń ani wpisów tajnych.

Aby obsługiwać funkcje, takie jak mapy Bing lub wywołania usługi Azure Functions, piaskownica ma dostęp do Internetu.

Analiza osadzona w usłudze Power BI

Niezależni dostawcy oprogramowania i dostawcy rozwiązań mają dwa główne tryby osadzania artefaktów usługi Power BI w swoich aplikacjach internetowych i portalach: osadzanie dla organizacji i osadzanie dla klientów. Artefakt jest osadzony w elemecie IFrame w aplikacji lub portalu. Element IFrame nie może odczytywać ani zapisywać danych z zewnętrznej aplikacji internetowej lub portalu, a komunikacja z elementem IFrame jest wykonywana przy użyciu zestawu SDK klienta usługi Power BI przy użyciu komunikatów POST.

W scenariuszu osadzania dla organizacji użytkownicy firmy Microsoft Entra uzyskują dostęp do własnej zawartości usługi Power BI za pośrednictwem portali dostosowanych przez ich przedsiębiorstwa i adresy IP. Wszystkie zasady i możliwości usługi Power BI opisane w tym dokumencie, takie jak zabezpieczenia na poziomie wiersza i zabezpieczenia na poziomie obiektu (OLS) są automatycznie stosowane do wszystkich użytkowników niezależnie od tego, czy uzyskują dostęp do usługi Power BI za pośrednictwem portalu usługi Power BI, czy za pośrednictwem dostosowanych portali.

W scenariuszu osadzania dla klientów dostawcy oprogramowania zazwyczaj posiadają dzierżawy usługi Power BI i elementy usługi Power BI (pulpity nawigacyjne, raporty, modele semantyczne i inne). Jest to odpowiedzialność niezależnego dostawcy oprogramowania na potrzeby uwierzytelniania użytkowników końcowych i decydowania, które artefakty i jaki poziom dostępu jest odpowiedni dla tego użytkownika końcowego. Decyzje dotyczące zasad niezależnego dostawcy oprogramowania są szyfrowane w tokenie osadzania generowanym przez usługę Power BI i przekazywane do zaplecza niezależnego dostawcy oprogramowania w celu dalszej dystrybucji do użytkowników końcowych zgodnie z logiką biznesową niezależnego dostawcy oprogramowania. Użytkownicy końcowi korzystający z przeglądarki lub innych aplikacji klienckich nie mogą odszyfrować ani modyfikować tokenów osadzania. Zestawy SDK po stronie klienta, takie jak interfejsy API klienta usługi Power BI, automatycznie dołączają zaszyfrowany token osadzania do żądań usługi Power BI jako nagłówek Authorization: EmbedToken . Na podstawie tego nagłówka usługa Power BI będzie wymuszać wszystkie zasady (takie jak dostęp lub zabezpieczenia na poziomie wiersza) dokładnie tak, jak określono przez niezależnego dostawcę oprogramowania podczas generowania.

Aby włączyć osadzanie i automatyzację oraz wygenerować tokeny osadzania opisane powyżej, usługa Power BI uwidacznia bogaty zestaw interfejsów API REST. Te interfejsy API REST usługi Power BI obsługują metody uwierzytelniania i autoryzacji zarówno delegowane przez użytkownika, jak i jednostkę usługi Firmy Microsoft.

Osadzona analiza usługi Power BI i jej interfejsy API REST obsługują wszystkie funkcje izolacji sieci usługi Power BI opisane w tym artykule: na przykład tagi usługi i łącza prywatne.

Funkcje sztucznej inteligencji

Obecnie usługa Power BI obsługuje dwie szerokie kategorie funkcji sztucznej inteligencji w produkcie: wizualizacje sztucznej inteligencji i wzbogacania sztucznej inteligencji. Funkcje sztucznej inteligencji na poziomie wizualizacji obejmują funkcje, takie jak Kluczowe elementy mające wpływ, Drzewo dekompozycji, Inteligentna narracja, Wykrywanie anomalii, R-visual, Python-visual, Clustering, Forecasting, Q&A, Quick-Szczegółowe informacje itp. Możliwości wzbogacania sztucznej inteligencji obejmują funkcje, takie jak AutoML, Azure Machine Edukacja, CognitiveServices, przekształcenia języka R/Python itp.

Większość funkcji wymienionych powyżej jest obecnie obsługiwana zarówno w obszarach roboczych Udostępnione, jak i Premium. Jednak rozwiązania AutoML i CognitiveServices są obsługiwane tylko w obszarach roboczych Premium z powodu ograniczeń adresów IP. Obecnie dzięki integracji rozwiązania AutoML w usłudze Power BI użytkownik może skompilować i wytrenować niestandardowy model uczenia maszynowego (na przykład przewidywanie, klasyfikacja, regresja itp.) i zastosować go, aby uzyskać przewidywania podczas ładowania danych do przepływu danych zdefiniowanego w obszarze roboczym Premium. Ponadto użytkownicy usługi Power BI mogą zastosować kilka interfejsów API usług CognitiveServices, takich jak TextAnalytics i ImageTagging, aby przekształcić dane przed załadowaniem ich do modelu przepływu danych/semantyki zdefiniowanego w obszarze roboczym Premium.

Funkcje wzbogacania sztucznej inteligencji w warstwie Premium można najlepiej postrzegać jako kolekcję bezstanowych funkcji/przekształceń sztucznej inteligencji, które mogą być używane przez użytkowników usługi Power BI w potokach integracji danych używanych przez semantyczny model lub przepływ danych usługi Power BI. Należy pamiętać, że dostęp do tych funkcji można również uzyskać z bieżących środowisk tworzenia przepływów danych/semantycznych modeli w usłudze Power BI i programie Power BI Desktop. Te funkcje/przekształcenia sztucznej inteligencji są zawsze uruchamiane w obszarze roboczym/pojemności Premium. Te funkcje są udostępniane w usłudze Power BI jako źródło danych, które wymaga tokenu firmy Microsoft Entra dla użytkownika usługi Power BI korzystającego z funkcji sztucznej inteligencji. Te źródła danych sztucznej inteligencji są specjalne, ponieważ nie udostępniają żadnych własnych danych i dostarczają tylko te funkcje/przekształcenia. Podczas wykonywania te funkcje nie wysyłają żadnych wywołań wychodzących do innych usług w celu przesyłania danych klienta. Przyjrzyjmy się scenariuszom w warstwie Premium indywidualnie, aby zrozumieć wzorce komunikacji i odpowiednie szczegóły dotyczące zabezpieczeń dotyczące tych scenariuszy.

Na potrzeby trenowania i stosowania modelu automatycznego uczenia maszynowego usługa Power BI używa zestawu Azure AutoML SDK i uruchamia wszystkie szkolenia w pojemności usługi Power BI klienta. Podczas iteracji szkoleniowych usługa Power BI wywołuje eksperymentowanie z usługą Azure Machine Edukacja, aby wybrać odpowiedni model i hiperparaty dla bieżącej iteracji. W tym wywołaniu wychodzącym wysyłane są tylko odpowiednie metadane eksperymentu (na przykład dokładność, algorytm ml, parametry algorytmu itp.) z poprzedniej iteracji. Trenowanie automatycznego uczenia maszynowego tworzy model ONNX i dane raportu szkoleniowego, które są następnie zapisywane w przepływie danych. Później użytkownicy usługi Power BI mogą następnie zastosować wytrenowany model uczenia maszynowego jako przekształcenie w celu zoperalizowania modelu uczenia maszynowego zgodnie z harmonogramem. W przypadku interfejsów API TextAnalytics i ImageTagging usługa Power BI nie wywołuje bezpośrednio interfejsów API usługi CognitiveServices, ale używa wewnętrznego zestawu SDK do uruchamiania interfejsów API w pojemności usługi Power BI Premium. Obecnie te interfejsy API są obsługiwane zarówno w przepływach danych usługi Power BI, jak i w modelach semantycznych. Podczas tworzenia modelu danych w programie Power BI Desktop użytkownicy mogą uzyskiwać dostęp tylko do tych funkcji, jeśli mają dostęp do obszaru roboczego usługi Power BI w warstwie Premium. W związku z tym klienci są monitowani o podanie poświadczeń firmy Microsoft Entra.

Izolacja sieciowa

W tej sekcji opisano zaawansowane funkcje zabezpieczeń w usłudze Power BI. Niektóre funkcje mają określone wymagania licencyjne. Szczegółowe informacje można znaleźć w poniższych sekcjach.

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci. Klienci mogą używać tagów usług do definiowania mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Klienci mogą używać tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń. Określając nazwę tagu usługi (np PowerBI. ) w odpowiednim polu źródłowym lub docelowym (dla interfejsów API) reguły, klienci mogą zezwalać na ruch dla odpowiedniej usługi lub go odrzucać. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Sieć platformy Azure udostępnia funkcję usługi Azure Private Link, która umożliwia usłudze Power BI zapewnienie bezpiecznego dostępu za pośrednictwem prywatnych punktów końcowych usługi Azure Networking. W przypadku usługi Azure Private Link i prywatnych punktów końcowych ruch danych jest wysyłany prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft, a tym samym dane nie przechodzą przez Internet.

Usługa Private Link gwarantuje, że użytkownicy usługi Power BI korzystają z sieci prywatnej firmy Microsoft podczas przechodzenia do zasobów w usługa Power BI.

Korzystanie z usługi Private Link z usługą Power BI zapewnia następujące korzyści:

  • Usługa Private Link zapewnia, że ruch będzie przepływać przez sieć szkieletową platformy Azure do prywatnego punktu końcowego dla zasobów opartych na chmurze platformy Azure.
  • Izolacja ruchu sieciowego od infrastruktury spoza platformy Azure, takiej jak dostęp lokalny, wymagałaby od klientów skonfigurowania usługi ExpressRoute lub wirtualnej sieci prywatnej (VPN).

Aby uzyskać dodatkowe informacje, zobacz Linki prywatne, aby uzyskać dostęp do usługi Power BI .

Łączność z siecią wirtualną (wersja zapoznawcza — wkrótce)

Chociaż funkcja integracji usługi Private Link zapewnia bezpieczne połączenia przychodzące z usługą Power BI, funkcja łączności sieci wirtualnej umożliwia zabezpieczanie łączności wychodzącej z usługi Power BI do źródeł danych w sieci wirtualnej.

Bramy sieci wirtualnej (zarządzane przez firmę Microsoft) eliminują obciążenie związane z instalowaniem i monitorowaniem lokalnych bram danych na potrzeby nawiązywania połączenia ze źródłami danych skojarzonymi z siecią wirtualną. Nadal jednak będą one postępować zgodnie ze znanym procesem zarządzania zabezpieczeniami i źródłami danych, podobnie jak w przypadku lokalnej bramy danych.

Poniżej przedstawiono omówienie tego, co się dzieje w przypadku interakcji z raportem usługi Power BI połączonym ze źródłem danych w sieci wirtualnej przy użyciu bram sieci wirtualnej:

  1. Usługa Power BI w chmurze (lub jedna z innych obsługiwanych usług w chmurze) uruchamia zapytanie i wysyła zapytanie, szczegóły źródła danych i poświadczenia do usługi sieci wirtualnej platformy Power Platform (PP VNet).

  2. Następnie usługa sieci wirtualnej PP bezpiecznie wprowadza kontener z uruchomioną bramą sieci wirtualnej do podsieci. Ten kontener może teraz łączyć się z usługami danych dostępnymi z tej podsieci.

  3. Usługa sieci wirtualnej PP wysyła następnie zapytanie, szczegóły źródła danych i poświadczenia do bramy sieci wirtualnej.

  4. Brama sieci wirtualnej pobiera zapytanie i łączy się ze źródłami danych przy użyciu tych poświadczeń.

  5. Zapytanie jest następnie wysyłane do źródła danych w celu wykonania.

  6. Po wykonaniu wyniki są wysyłane do bramy sieci wirtualnej, a usługa sieci wirtualnej PP bezpiecznie wypycha dane z kontenera do usługi Power BI w chmurze.

Ta funkcja będzie wkrótce dostępna w publicznej wersji zapoznawczej.

Jednostki usługi

Usługa Power BI obsługuje korzystanie z jednostek usługi. Przechowuj wszystkie poświadczenia jednostki usługi używane do szyfrowania lub uzyskiwania dostępu do usługi Power BI w usłudze Key Vault, przypisz odpowiednie zasady dostępu do magazynu i regularnie przeglądaj uprawnienia dostępu.

Aby uzyskać więcej informacji, zobacz Automate Premium workspace and semantic model tasks with service principals (Automatyzowanie zadań modelu Premium i semantycznych zadań modelu za pomocą jednostek usługi).

Microsoft Purview dla usługi Power BI

Microsoft Purview Information Protection

Usługa Power BI jest głęboko zintegrowana z usługą Microsoft Purview Information Protection. Usługa Microsoft Purview Information Protection umożliwia organizacjom posiadanie jednego, zintegrowanego rozwiązania do klasyfikacji, etykietowania, inspekcji i zgodności na platformie Azure, usłudze Power BI i pakiecie Office.

Po włączeniu ochrony informacji w usłudze Power BI:

  • Dane poufne, zarówno w usługa Power BI, jak i w programie Power BI Desktop, można klasyfikować i oznaczać przy użyciu tych samych etykiet poufności używanych w pakiecie Office i na platformie Azure.
  • Zasady ładu można wymusić, gdy zawartość usługi Power BI jest eksportowana do plików excel, PowerPoint, PDF, Word lub pbix , aby zapewnić ochronę danych nawet wtedy, gdy opuszczają usługę Power BI.
  • Łatwo jest klasyfikować i chronić pliki pbix w programie Power BI Desktop, podobnie jak w aplikacjach programu Excel, Word i PowerPoint. Pliki można łatwo otagować zgodnie z ich poziomem poufności. Ponadto można je zaszyfrować, jeśli zawierają dane poufne firmy, zapewniając, że tylko autoryzowani użytkownicy mogą edytować te pliki.
  • Skoroszyty programu Excel automatycznie dziedziczą etykiety poufności podczas nawiązywania połączenia z usługą Power BI (wersja zapoznawcza), dzięki czemu można zachować kompleksową klasyfikację i zastosować ochronę podczas analizowania modeli semantycznych usługi Power BI w programie Excel.
  • Etykiety poufności stosowane do raportów i pulpitów nawigacyjnych usługi Power BI są widoczne w aplikacjach mobilnych power BI dla systemów iOS i Android.
  • Etykiety poufności są utrwalane, gdy raport usługi Power BI jest osadzony w aplikacji Teams, programie SharePoint lub bezpiecznej witrynie internetowej. Pomaga to organizacjom zachować klasyfikację i ochronę podczas eksportowania podczas osadzania zawartości usługi Power BI.
  • Oznacz dziedziczenie po utworzeniu nowej zawartości w usługa Power BI gwarantuje, że etykiety zastosowane do semantycznych modeli lub magazynów danych w usługa Power BI zostaną zastosowane do nowej zawartości utworzonej na podstawie tych semantycznych modeli imartów danych.
  • Interfejsy API skanowania administratora usługi Power BI mogą wyodrębniać etykietę poufności elementu usługi Power BI, umożliwiając administratorom usługi Power BI i InfoSec monitorowanie etykietowania w usługa Power BI i tworzenie raportów kadry kierowniczej.
  • Interfejsy API administratora usługi Power BI umożliwiają zespołom centralnym programowe stosowanie etykiet poufności do zawartości w usługa Power BI.
  • Zespoły centralne mogą tworzyć obowiązkowe zasady etykiet w celu wymuszania stosowania etykiet na nowej lub edytowanej zawartości w usłudze Power BI.
  • Zespoły centralne mogą tworzyć domyślne zasady etykiet, aby upewnić się, że etykieta poufności jest stosowana do całej nowej lub zmienionej zawartości usługi Power BI.
  • Automatyczne etykietowanie poufności podrzędnej w usługa Power BI gwarantuje, że po zastosowaniu lub zmianie etykiety w modelu semantycznym lub w formacie datamart etykieta zostanie automatycznie zastosowana lub zmieniona dla całej zawartości podrzędnej połączonej z semantycznym modelem lub schematem danych.

Aby uzyskać więcej informacji, zobacz Etykiety poufności w usłudze Power BI.

zasady Ochrona przed utratą danych w Microsoft Purview (DLP) dla usługi Power BI (wersja zapoznawcza)

Zasady DLP firmy Microsoft Purview mogą pomóc organizacjom zmniejszyć ryzyko wycieku poufnych danych biznesowych z usługi Power BI. Zasady DLP mogą pomóc im spełnić wymagania dotyczące zgodności przepisów rządowych lub branżowych, takich jak RODO (ogólne rozporządzenie o ochronie danych Unii Europejskiej) lub KPI (California Consumer Privacy Act) i upewnić się, że ich dane w usłudze Power BI są zarządzane.

Po skonfigurowaniu zasad DLP dla usługi Power BI:

  • Wszystkie modele semantyczne w obszarach roboczych określonych w zasadach są oceniane przez zasady.
  • Możesz wykryć, kiedy poufne dane są przekazywane do pojemności Premium. Zasady DLP mogą wykrywać:
    • Etykiety poufności.
    • Typy informacji poufnych. Obsługiwane są ponad 260 typów. Wykrywanie typów informacji poufnych opiera się na skanowaniu zawartości usługi Microsoft Purview.
  • Gdy napotkasz model semantyczny zidentyfikowany jako poufny, zobaczysz dostosowaną poradę dotyczącą zasad, która pomaga zrozumieć, co należy zrobić.
  • Jeśli jesteś właścicielem modelu semantycznego, możesz zastąpić zasady i uniemożliwić zidentyfikowanie modelu semantycznego jako "wrażliwego", jeśli masz prawidłową przyczynę.
  • Jeśli jesteś właścicielem modelu semantycznego, możesz zgłosić problem z zasadami, jeśli stwierdzisz, że typ poufnych informacji został zidentyfikowany fałszywie.
  • Automatyczne środki zaradcze ryzyka, takie jak alerty administratora zabezpieczeń, mogą być wywoływane.

Aby uzyskać więcej informacji, zobacz Zasady ochrony przed utratą danych dla usługi Power BI.

Microsoft Defender dla Chmury Apps for Power BI

Microsoft Defender dla Chmury Apps to jeden z wiodących na świecie brokerów zabezpieczeń dostępu do chmury, który został liderem firmy Gartner's Magic Quadrant na potrzeby rynku brokera zabezpieczeń dostępu do chmury (CASB). Defender dla Chmury Apps służy do zabezpieczania korzystania z aplikacji w chmurze. Umożliwia organizacjom monitorowanie i kontrolowanie w czasie rzeczywistym ryzykownych sesji usługi Power BI, takich jak dostęp użytkowników z urządzeń niezarządzanych. Administratorzy zabezpieczeń mogą definiować zasady do kontrolowania akcji użytkownika, takich jak pobieranie raportów z poufnymi informacjami.

Dzięki Defender dla Chmury Apps organizacje mogą uzyskać następujące możliwości DLP:

  • Ustaw kontrolki w czasie rzeczywistym, aby wymusić ryzykowne sesje użytkowników w usłudze Power BI. Jeśli na przykład użytkownik łączy się z usługą Power BI spoza kraju lub regionu, sesję można monitorować za pomocą kontrolek Defender dla Chmury Apps w czasie rzeczywistym i ryzykownych akcji, takich jak pobieranie danych oznaczonych etykietą poufności "Wysoce poufne", można zablokować natychmiast.
  • Zbadaj aktywność użytkownika usługi Power BI za pomocą dziennika aktywności aplikacji Defender dla Chmury. Dziennik aktywności aplikacji Defender dla Chmury zawiera działanie usługi Power BI przechwycone w dzienniku inspekcji usługi Office 365, które zawiera informacje o wszystkich działaniach użytkowników i administratorów, a także informacje o etykietach poufności dla odpowiednich działań, takich jak stosowanie, zmienianie i usuwanie etykiety. Administracja mogą korzystać z zaawansowanych filtrów Defender dla Chmury Apps i szybkich akcji w celu skutecznego badania problemów.
  • Utwórz zasady niestandardowe, aby otrzymywać alerty dotyczące podejrzanych działań użytkowników w usłudze Power BI. Funkcja zasad działania Defender dla Chmury Aplikacje może być służyć do definiowania własnych reguł niestandardowych, aby ułatwić wykrywanie zachowań użytkowników, które odbiegają od normy, a nawet ewentualnie działać automatycznie, jeśli wydaje się zbyt niebezpieczne.
  • Współpracuj z wbudowanym wykrywaniem anomalii w usłudze Defender dla Chmury Apps. Zasady wykrywania anomalii w usłudze Defender dla Chmury Apps udostępniają gotowe do użycia analizy behawioralne użytkowników i uczenia maszynowego, dzięki czemu od samego początku możesz rozpocząć zaawansowane wykrywanie zagrożeń w środowisku chmury. Gdy zasady wykrywania anomalii identyfikują podejrzane zachowanie, wyzwala alert zabezpieczeń.
  • Rola administratora usługi Power BI w portalu aplikacji Defender dla Chmury. Defender dla Chmury Apps udostępnia rolę administratora specyficzną dla aplikacji, która może służyć do udzielania administratorom usługi Power BI tylko uprawnień potrzebnych do uzyskiwania dostępu do danych związanych z usługą Power BI w portalu, takich jak alerty, użytkownicy narażeni, dzienniki aktywności i inne informacje związane z usługą Power BI.

Aby uzyskać więcej informacji, zobacz Using Microsoft Defender dla Chmury Apps Controls in Power BI (Używanie kontrolek aplikacji Microsoft Defender dla Chmury w usłudze Power BI).

Funkcje zabezpieczeń w wersji zapoznawczej

Ta sekcja zawiera listę funkcji, które mają zostać wydane do marca 2021 r. Ponieważ w tym temacie wymieniono funkcje, które mogły jeszcze nie zostać wydane, harmonogramy dostarczania mogą ulec zmianie i przewidywane funkcje mogą zostać wydane później niż marzec 2021 r. lub w ogóle nie zostaną wydane. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zapoznaj się z postanowieniami dotyczącymi usług online.

Bring Your Own Log Analytics (BYOLA)

Usługa Bring Your Own Log Analytics umożliwia integrację między usługą Power BI i usługą Azure Log Analytics. Ta integracja obejmuje zaawansowany aparat analityczny usługi Azure Log Analytics, interaktywny język zapytań i wbudowane konstrukcje uczenia maszynowego.

Pytania i odpowiedzi dotyczące zabezpieczeń usługi Power BI

Poniżej przedstawiono typowe pytania dotyczące zabezpieczeń i odpowiedzi dotyczące usługi Power BI. Są one zorganizowane na podstawie tego, kiedy zostały dodane do tej białej księgi, aby ułatwić szybkie znajdowanie nowych pytań i odpowiedzi po zaktualizowaniu tego dokumentu. Najnowsze pytania są dodawane na końcu tej listy.

Jak użytkownicy nawiązują połączenie i uzyskują dostęp do źródeł danych podczas korzystania z usługi Power BI?

  • Usługa Power BI zarządza poświadczeniami źródeł danych dla każdego użytkownika na potrzeby poświadczeń w chmurze lub łączności za pośrednictwem bramy osobistej. Źródła danych zarządzane przez lokalną bramę danych mogą być współużytkowane przez przedsiębiorstwo i uprawnienia do tych źródeł danych mogą być zarządzane przez Administracja bramy. Podczas konfigurowania modelu semantycznego użytkownik może wybrać poświadczenia ze swojego magazynu osobistego lub użyć lokalnej bramy danych do użycia poświadczeń udostępnionych.

    W przypadku importu użytkownik nawiązuje połączenie na podstawie logowania użytkownika i uzyskuje dostęp do danych przy użyciu poświadczeń. Po opublikowaniu modelu semantycznego w celu usługa Power BI usługa Power BI zawsze używa poświadczeń tego użytkownika do importowania danych. Po zaimportowaniu danych wyświetlanie danych w raportach i na pulpicie nawigacyjnym nie ma dostępu do bazowego źródła danych. Usługa Power BI obsługuje uwierzytelnianie jednokrotne dla wybranych źródeł danych. Jeśli połączenie jest skonfigurowane do korzystania z logowania jednokrotnego, poświadczenia właściciela modelu semantycznego są używane do nawiązywania połączenia ze źródłem danych.

    W przypadku raportów połączonych z zapytaniem bezpośrednim źródło danych jest połączone bezpośrednio przy użyciu wstępnie skonfigurowanych poświadczeń, wstępnie skonfigurowane poświadczenia są używane do łączenia ze źródłem danych, gdy dowolny użytkownik wyświetla dane. Jeśli źródło danych jest połączone bezpośrednio przy użyciu logowania jednokrotnego, poświadczenie bieżącego użytkownika jest używane do nawiązywania połączenia ze źródłem danych, gdy użytkownik wyświetli dane. W przypadku korzystania z logowania jednokrotnego zabezpieczenia na poziomie wiersza (RLS) i/lub zabezpieczeń na poziomie obiektu (OLS) można zaimplementować w źródle danych, co umożliwia użytkownikom wyświetlanie danych, do których mają uprawnienia dostępu. Gdy połączenie jest ze źródłami danych w chmurze, uwierzytelnianie firmy Microsoft Entra jest używane do logowania jednokrotnego; Obsługiwane są lokalne źródła danych, Kerberos, SAML i Microsoft Entra ID.

    Podczas nawiązywania połączenia za pomocą protokołu Kerberos nazwa UPN użytkownika jest przekazywana do bramy i przy użyciu ograniczonego delegowania protokołu Kerberos użytkownik jest personifikowany i połączony z odpowiednimi źródłami danych. Protokół SAML jest również obsługiwany w bramie dla źródła danych SAP HANA. Więcej informacji można znaleźć w temacie Omówienie logowania jednokrotnego dla bram.

    Jeśli źródłem danych są usługi Azure Analysis Services lub lokalne usługi Analysis Services i zabezpieczenia na poziomie wiersza (RLS) i/lub zabezpieczenia na poziomie obiektu (OLS), usługa Power BI zastosuje te zabezpieczenia na poziomie wiersza, a użytkownicy, którzy nie mają wystarczających poświadczeń dostępu do danych bazowych (które mogą być zapytaniem używanym na pulpicie nawigacyjnym, raporcie lub innym artefaktie danych), nie będą widzieć danych, dla których użytkownik nie ma wystarczających uprawnień.

    Zabezpieczenia na poziomie wiersza w usłudze Power BI mogą służyć do ograniczania dostępu do danych dla konkretnych użytkowników. Filtry ograniczają dostęp do danych na poziomie wiersza i można definiować filtry w ramach roli.

    Zabezpieczenia na poziomie obiektu (OLS) mogą służyć do zabezpieczania poufnych tabel lub kolumn. Jednak w przeciwieństwie do zabezpieczeń na poziomie wiersza zabezpieczenia na poziomie obiektu zabezpieczają również nazwy obiektów i metadane. Pomaga to zapobiec wykryciu nawet istnienia takich obiektów przez złośliwych użytkowników. Zabezpieczone tabele i kolumny są zaciemniane na liście pól podczas korzystania z narzędzi raportowania, takich jak program Excel lub Power BI, a ponadto użytkownicy bez uprawnień nie mogą uzyskać dostępu do zabezpieczonych obiektów metadanych za pośrednictwem języka DAX lub jakiejkolwiek innej metody. Z punktu widzenia użytkowników bez odpowiednich uprawnień dostępu zabezpieczone tabele i kolumny po prostu nie istnieją.

    Zabezpieczenia na poziomie obiektu, wraz z zabezpieczeniami na poziomie wiersza, umożliwiają ulepszone zabezpieczenia klasy korporacyjnej w raportach i modelach semantycznych, zapewniając, że tylko użytkownicy z wymaganymi uprawnieniami mają dostęp do wyświetlania poufnych danych i interakcji z nimi.

W jaki sposób dane są przesyłane do usługi Power BI?

  • Wszystkie dane żądane i przesyłane przez usługę Power BI są szyfrowane podczas przesyłania przy użyciu protokołu HTTPS (z wyjątkiem sytuacji, gdy źródło danych wybrane przez klienta nie obsługuje protokołu HTTPS) w celu nawiązania połączenia ze źródła danych z usługa Power BI. Bezpieczne połączenie jest nawiązywane z dostawcą danych i tylko po nawiązaniu tego połączenia dane przejdą przez sieć.

Jak usługa Power BI buforuje raport, pulpit nawigacyjny lub dane modelu i czy jest ona bezpieczna?

  • Po korzystaniu ze źródła danych usługa Power BI postępuje zgodnie z procesem opisanym w sekcji Uwierzytelnianie ze źródłami danych we wcześniejszej części tego dokumentu.

Czy klienci buforują dane stron internetowych lokalnie?

  • Gdy klienci przeglądarki uzyskują dostęp do usługi Power BI, serwery internetowe usługi Power BI ustawiają dyrektywę Cache-Control na wartość no-store. Dyrektywa no-store instruuje przeglądarki, aby nie buforować strony internetowej wyświetlanej przez użytkownika, a nie przechowywać strony internetowej w folderze pamięci podręcznej klienta.

Co z zabezpieczeniami opartymi na rolach, udostępnianiem raportów lub pulpitów nawigacyjnych oraz połączeniami danych? Jak to działa pod względem dostępu do danych, wyświetlania pulpitu nawigacyjnego, dostępu do raportu lub odświeżania?

  • W przypadku źródeł danych z zabezpieczeniami na poziomie innych niż role (RLS), jeśli pulpit nawigacyjny, raport lub model danych jest udostępniany innym użytkownikom za pośrednictwem usługi Power BI, dane są następnie dostępne dla użytkowników, którym udostępniono ich wyświetlanie i interakcję. Usługa Power BI nie uwierzytelnia użytkowników przed oryginalnym źródłem danych. Po przekazaniu danych do usługi Power BI użytkownik uwierzytelniony względem danych źródłowych jest odpowiedzialny za zarządzanie tym, którzy inni użytkownicy i grupy mogą wyświetlać dane.

    Gdy połączenia danych są nawiązywane ze źródłem danych obsługującym zabezpieczenia na poziomie wiersza, takim jak źródło danych usług Analysis Services, tylko dane pulpitu nawigacyjnego są buforowane w usłudze Power BI. Za każdym razem, gdy raport lub model semantyczny jest wyświetlany lub uzyskiwany w usłudze Power BI, który korzysta z danych ze źródła danych z obsługą zabezpieczeń na poziomie wiersza, usługa Power BI uzyskuje dostęp do źródła danych w celu pobrania danych na podstawie poświadczeń użytkownika, a jeśli istnieją wystarczające uprawnienia, dane są ładowane do raportu lub modelu danych dla tego użytkownika. Jeśli uwierzytelnianie nie powiedzie się, użytkownik zobaczy błąd.

    Aby uzyskać więcej informacji, zobacz sekcję Authentication to Data Sources (Uwierzytelnianie do źródeł danych) we wcześniejszej części tego dokumentu.

Nasi użytkownicy łączą się z tymi samymi źródłami danych przez cały czas, z których niektóre wymagają poświadczeń, które różnią się od poświadczeń domeny. Jak można uniknąć konieczności wprowadzania tych poświadczeń za każdym razem, gdy tworzą połączenie danych?

  • Usługa Power BI oferuje bramę Power BI Personal Gateway, która umożliwia użytkownikom tworzenie poświadczeń dla wielu różnych źródeł danych, a następnie automatyczne używanie tych poświadczeń podczas uzyskiwania dostępu do każdego z tych źródeł danych. Aby uzyskać więcej informacji, zobacz Power BI Personal Gateway.

Które porty są używane przez lokalną bramę danych i bramę osobistą? Czy istnieją nazwy domen, które muszą być dozwolone do celów łączności?

  • Szczegółowa odpowiedź na to pytanie jest dostępna pod następującym linkiem: Porty bramy

Jak są używane klucze odzyskiwania i gdzie są przechowywane podczas pracy z lokalną bramą danych? Co z bezpiecznym zarządzaniem poświadczeniami?

  • Podczas instalacji i konfiguracji bramy administrator wpisze klucz odzyskiwania bramy. Ten klucz odzyskiwania służy do generowania silnego klucza symetrycznego AES. Klucz asymetryczny RSA jest również tworzony w tym samym czasie.

    Te wygenerowane klucze (RSA i AES) są przechowywane w pliku znajdującym się na komputerze lokalnym. Ten plik jest również szyfrowany. Zawartość pliku można odszyfrować tylko przez daną maszynę z systemem Windows i tylko za pomocą tego konkretnego konta usługi bramy.

    Gdy użytkownik wprowadza poświadczenia źródła danych w interfejsie użytkownika usługa Power BI, poświadczenia są szyfrowane przy użyciu klucza publicznego w przeglądarce. Brama odszyfrowuje poświadczenia przy użyciu klucza prywatnego RSA i ponownie szyfruje je przy użyciu klucza symetrycznego AES przed zapisaniem danych w usługa Power BI. W przypadku tego procesu usługa Power BI nigdy nie ma dostępu do niezaszyfrowanych danych.

Które protokoły komunikacyjne są używane przez lokalną bramę danych i jak są one zabezpieczone?

  • Brama obsługuje następujące dwa protokoły komunikacyjne:

    • AMQP 1.0 — TCP + TLS: ten protokół wymaga portów 443, 5671-5672 i 9350-9354 do komunikacji wychodzącej. Ten protokół jest preferowany, ponieważ ma mniejsze obciążenie komunikacji.

    • HTTPS — protokoły WebSocket za pośrednictwem protokołu HTTPS i TLS: ten protokół używa tylko portu 443. Protokół WebSocket jest inicjowany przez pojedynczy komunikat HTTP CONNECT. Po ustanowieniu kanału komunikacja jest zasadniczo tcp+TLS. Bramę można wymusić na użyciu tego protokołu, modyfikując ustawienie opisane w artykule dotyczącym bramy lokalnej.

Jaka jest rola usługi Azure CDN w usłudze Power BI?

  • Jak wspomniano wcześniej, usługa Power BI używa usługi Azure Content Delivery Network (CDN) do wydajnego dystrybuowania niezbędnej zawartości statycznej i plików użytkownikom na podstawie ustawień regionalnych geograficznych. Aby uzyskać szczegółowe informacje, usługa Power BI używa wielu sieci CDN do wydajnego dystrybuowania niezbędnej zawartości statycznej i plików użytkownikom za pośrednictwem publicznego Internetu. Te pliki statyczne obejmują pobieranie produktów (takich jak program Power BI Desktop, lokalna brama danych lub aplikacje usługi Power BI od różnych niezależnych dostawców usług), pliki konfiguracji przeglądarki używane do inicjowania i ustanawiania wszelkich kolejnych połączeń z usługa Power BI, a także początkowa bezpieczna strona logowania usługi Power BI.

    Na podstawie informacji podanych podczas początkowego połączenia z usługa Power BI przeglądarka użytkownika kontaktuje się z określoną usługą Azure CDN (lub w przypadku niektórych plikówfe), aby pobrać kolekcję określonych typowych plików niezbędnych do umożliwienia interakcji przeglądarki z usługa Power BI. Następnie strona przeglądarki zawiera token Microsoft Entra, informacje o sesji, lokalizację skojarzonego klastra zaplecza oraz kolekcję plików pobranych z klastra usługi Azure CDN i WFE przez czas trwania sesji przeglądarki usługa Power BI.

Czy w przypadku wizualizacji usługi Power BI firma Microsoft przeprowadza ocenę zabezpieczeń lub prywatności niestandardowego kodu wizualizacji przed opublikowaniem elementów w galerii?

  • L.p. Klient jest odpowiedzialny za przejrzenie i określenie, czy należy polegać na niestandardowym kodzie wizualnym. Cały kod wizualizacji niestandardowej jest obsługiwany w środowisku piaskownicy, dzięki czemu żaden błędny kod w wizualizacji niestandardowej nie ma negatywnego wpływu na pozostałą część usługa Power BI.

Czy istnieją inne wizualizacje usługi Power BI, które wysyłają informacje poza siecią klienta?

  • Tak. Wizualizacje Bing Mapy i ESRI przesyłają dane z usługa Power BI dla wizualizacji korzystających z tych usług.

Czy w przypadku aplikacji szablonów firma Microsoft przeprowadza ocenę zabezpieczeń lub prywatności aplikacji szablonu przed opublikowaniem elementów w galerii?

  • L.p. Wydawca aplikacji jest odpowiedzialny za zawartość, a klient ponosi odpowiedzialność za przejrzenie i określenie, czy wydawca aplikacji szablonu ma ufać.

Czy istnieją aplikacje szablonu, które mogą wysyłać informacje poza siecią klienta?

  • Tak. Klient jest odpowiedzialny za przejrzenie zasad zachowania poufności informacji wydawcy i określenie, czy należy zainstalować aplikację szablonu w dzierżawie. Wydawca jest odpowiedzialny za informowanie klienta o zachowaniu i możliwościach aplikacji.

Co z niezależnością danych? Czy możemy aprowizować dzierżawy w centrach danych znajdujących się w określonych lokalizacjach geograficznych, aby zapewnić, że dane nie opuszczają granic kraju lub regionu?

  • Niektórzy klienci w niektórych lokalizacjach geograficznych mają możliwość utworzenia dzierżawy w chmurze krajowej/regionalnej, gdzie przechowywanie i przetwarzanie danych jest oddzielone od wszystkich innych centrów danych. Chmury krajowe/regionalne mają nieco inny typ zabezpieczeń, ponieważ oddzielny powiernik danych obsługuje chmurę krajową/regionalną usługa Power BI w imieniu firmy Microsoft.

    Alternatywnie klienci mogą również skonfigurować dzierżawę w określonym regionie. Jednak takie dzierżawy nie mają oddzielnego zaufania danych od firmy Microsoft. Ceny chmur krajowych/regionalnych różnią się od ogólnie dostępnych komercyjnych usługa Power BI. Aby uzyskać więcej informacji na temat dostępności usługa Power BI dla chmur krajowych/regionalnych, zobacz Power BI national/regional clouds (Chmury krajowe/regionalne usługi Power BI).

Jak firma Microsoft traktuje połączenia dla klientów, którzy mają subskrypcje usługi Power BI Premium? Czy te połączenia różnią się od połączeń ustanowionych dla usługa Power BI innej niż Premium?

  • Połączenia nawiązane dla klientów z subskrypcjami usługi Power BI Premium implementują proces autoryzacji firmy Microsoft Entra business-to-business (B2B) przy użyciu identyfikatora Entra firmy Microsoft w celu umożliwienia kontroli dostępu i autoryzacji. Usługa Power BI obsługuje połączenia od subskrybentów usługi Power BI Premium do zasobów usługi Power BI Premium tak samo jak każdy inny użytkownik firmy Microsoft Entra.

Jak działa uwierzytelnianie po stronie serwera wfe?

  • Uwierzytelnianie po stronie usługi sekwencji uwierzytelniania użytkownika odbywa się zgodnie z opisem w poniższych krokach, które przedstawiono na ilustracji, która jest po nich zgodna.

  1. Użytkownik inicjuje połączenie z usługa Power BI z przeglądarki, wpisując adres usługi Power BI na pasku adresu lub wybierając pozycję Zaloguj się na stronie marketingowej usługi Power BI (https://powerbi.microsoft.com). Połączenie jest ustanawiane przy użyciu protokołów TLS 1.2 i HTTPS, a cała kolejna komunikacja między przeglądarką a usługa Power BI korzysta z protokołu HTTPS.

  2. Usługa Azure Traffic Manager sprawdza rekord DNS użytkownika w celu określenia najbardziej odpowiedniego (zwykle najbliższego) centrum danych, w którym wdrożono usługę Power BI, i odpowiada na system DNS przy użyciu adresu IP klastra WFE, do którego ma zostać wysłany użytkownik.

  3. WFE następnie przekierowuje użytkownika do strony logowania usług Online Services firmy Microsoft.

  4. Po uwierzytelnieniu użytkownika strona logowania przekierowuje użytkownika do wcześniej określonego klastra usługa Power BI WFE przy użyciu kodu uwierzytelniania.

  5. Klaster WFE sprawdza identyfikator Entra firmy Microsoft w celu uzyskania tokenu zabezpieczającego firmy Microsoft Entra przy użyciu kodu uwierzytelniania. Gdy identyfikator entra firmy Microsoft zwraca pomyślne uwierzytelnienie użytkownika i zwraca token zabezpieczający firmy Microsoft Entra, klaster frontonu internetowego skonsultuje się z usługą globalną Power BI, która utrzymuje listę dzierżaw i lokalizacji klastra zaplecza usługi Power BI oraz określa, który klaster usługi zaplecza usługi Power BI zawiera dzierżawę użytkownika. Następnie klaster WFE zwraca stronę aplikacji do przeglądarki użytkownika z informacjami o sesji, dostępie i routingu wymaganymi do jej działania.

  6. Teraz, gdy przeglądarka klienta wymaga danych klienta, będzie wysyłać żądania do adresu klastra zaplecza z tokenem dostępu Microsoft Entra w nagłówku Autoryzacja. Klaster zaplecza usługi Power BI odczytuje token dostępu firmy Microsoft Entra i weryfikuje podpis, aby upewnić się, że tożsamość żądania jest prawidłowa. Token dostępu Firmy Microsoft Entra będzie miał datę wygaśnięcia ustawioną zgodnie z zasadami firmy Microsoft Entra i utrzymanie bieżącej sesji klienta usługi Power BI w przeglądarce użytkownika będzie wysyłać okresowe żądania odnowienia tokenu dostępu przed jego wygaśnięciem.

Diagram przedstawiający sekwencję uwierzytelniania WFE.

Dodatkowe zasoby

Aby uzyskać więcej informacji na temat usługi Power BI, zobacz następujące zasoby.