Oficjalny dokument zabezpieczeń usługi Power BI

  • Artykuł
  • Czas czytania: 48 min

Krótki opis: Power BI to usługa oprogramowania online (SaaS lub oprogramowanie jako usługa) firmy Microsoft, która umożliwia łatwe i szybkie tworzenie samoobsługowych pulpitów nawigacyjnych analizy biznesowej, raportów, zestawów danych i wizualizacji. Usługa Power BI pozwala nawiązywać połączenie z wieloma różnymi źródłami danych, łączyć i kształtować dane z tych połączeń, a następnie tworzyć raporty i pulpity nawigacyjne, które można udostępniać innym osobom.

Pisarzy: Yitzhak Kesselman, Paddy Osborne, Matt Neely, Tony Bencic, Srinivasan Turuvekere, Cristian Petculescu, Adi Regev, Naveen Sivaraj, Ben Glastein, Evgeny Tshiorny, Arthi Ramasubramanian Iyer, Sid Jayadevan, Ronald Chang, Ori Eduar, Anton Fritz, Idan Sheinberg, Ron Gilad, Sagiv Hadaya, Paul Inbar, Igor Uzhviev, Michael Roth, Jaime Tarquino, Gennady Pats, Orion Lee, Yury Berezansky, Maya Shenhav, Romit Chattopadhyay, Yariv Maimon, Bogdan Crivat

Recenzenci techniczni: Cristian Petculescu, Amir Netz, Siergiej Gundorov

Dotyczy: Power BI SaaS, Power BI Desktop, Power BI Premium, Power BI Embedded Analytics, Power BI dla urządzeń przenośnych

Uwaga

Możesz zapisać lub wydrukować ten oficjalny dokument, wybierając pozycję Drukuj w przeglądarce, a następnie wybierając pozycję Zapisz jako plik PDF.

Wprowadzenie

Usługa Power BI to usługa oprogramowania online (SaaS, oprogramowanie jako usługa) firmy Microsoft, która umożliwia łatwe i szybkie tworzenie pulpitów nawigacyjnych, raportów, zestawów danych i wizualizacji samoobsługowej analizy biznesowej. Usługa Power BI pozwala nawiązywać połączenie z wieloma różnymi źródłami danych, łączyć i kształtować dane z tych połączeń, a następnie tworzyć raporty i pulpity nawigacyjne, które można udostępniać innym osobom.

Świat szybko się zmienia; organizacje przechodzą przyspieszoną transformację cyfrową i widzimy ogromny wzrost liczby pracy zdalnej, zwiększone zapotrzebowanie klientów na Usługi online oraz zwiększone wykorzystanie zaawansowanych technologii w operacjach i podejmowaniu decyzji biznesowych. Wszystko to jest obsługiwane przez chmurę.

W miarę jak przejście do chmury zmieniło się z powodu powodzi, a wraz z nowym, narażonym obszarem powierzchni, który jest z nim dostępny, coraz więcej firm pyta , jak bezpieczne są moje dane w chmurze? i Jakie kompleksowe zabezpieczenia są dostępne, aby zapobiec wyciekowi poufnych danych? A w przypadku platform analizy biznesowej, które często obsługują niektóre z najbardziej strategicznych informacji w przedsiębiorstwie, te pytania są bardzo ważne.

Kilkudziesięcioletnie podstawy modelu zabezpieczeń analizy biznesowej — zabezpieczenia na poziomie obiektu i na poziomie wiersza — choć nadal ważne, wyraźnie nie są już wystarczające do zapewnienia rodzaju zabezpieczeń potrzebnych w erze chmury. Zamiast tego organizacje muszą szukać natywnego dla chmury, wielowarstwowego, dogłębnego rozwiązania zabezpieczeń do obsługi danych analizy biznesowej.

Usługa Power BI została utworzona w celu zapewnienia wiodącej w branży pełnej i hermetycznej ochrony danych. Produkt zdobył najwyższą klasyfikację zabezpieczeń dostępną w branży, a dziś wiele agencji bezpieczeństwa narodowego, instytucji finansowych i dostawców opieki zdrowotnej powierzono jej najbardziej poufne informacje.

Wszystko zaczyna się od podstaw. Po trudnym okresie na początku 2000 roku firma Microsoft poczyniła ogromne inwestycje w celu rozwiązania swoich luk w zabezpieczeniach, a w kolejnych dziesięcioleciach zbudowała bardzo silny stos zabezpieczeń, który idzie tak głęboko, jak jądro bios maszyny na chipach i rozszerza aż do środowisk użytkowników końcowych. Te głębokie inwestycje są kontynuowane, a obecnie ponad 3500 inżynierów firmy Microsoft jest zaangażowanych w tworzenie i ulepszanie stosu zabezpieczeń firmy Microsoft oraz proaktywne reagowanie na stale zmieniający się krajobraz zagrożeń. Z miliardami komputerów, bilionami logowań i niezliczonymi zettabajtami informacji powierzonych ochronie firmy Microsoft, firma posiada obecnie najbardziej zaawansowany stos zabezpieczeń w branży technologicznej i jest szeroko postrzegana jako globalny lider w walce ze złośliwymi aktorami.

Usługa Power BI opiera się na tym bardzo silnym fundamencie. Używa on tego samego stosu zabezpieczeń, który uzyskał prawo platformy Azure do obsługi i ochrony najbardziej poufnych danych na świecie, oraz integruje się z najbardziej zaawansowanymi narzędziami ochrony informacji i zgodności platformy Microsoft 365. Ponadto zapewnia ona zabezpieczenia za pośrednictwem wielowarstwowych środków zabezpieczeń, co zapewnia kompleksową ochronę zaprojektowaną w celu radzenia sobie z unikatowymi wyzwaniami epoki chmury.

Aby zapewnić kompleksowe rozwiązanie do ochrony poufnych zasobów, zespół produktu musi radzić sobie z trudnymi problemami klientów na wielu równoczesnych frontach:

  • Jak możemy kontrolować, kto może nawiązać połączenie, skąd się łączą i jak się łączą?Jak możemy kontrolować połączenia?
  • Jak są przechowywane dane?Jak jest ona szyfrowana?Jakie kontrolki mam na danych?
  • Jak mogę kontrolować i chronić moje poufne dane?Jak mogę upewnić się, że te dane nie mogą wyciekać poza organizację?
  • Jak mogę inspekcji, kto przeprowadza jakie operacje?Jak mogę szybko reagować, jeśli w usłudze występują podejrzane działania?

Ten artykuł zawiera kompleksową odpowiedź na wszystkie te pytania. Rozpoczyna się od omówienia architektury usługi i wyjaśnia, jak działają główne przepływy w systemie. Następnie przejdzie do opisania sposobu uwierzytelniania użytkowników w usłudze Power BI, sposobu nawiązywania połączeń danych oraz sposobu przechowywania i przesuwania danych przez usługę Power BI. W ostatniej sekcji omówiono funkcje zabezpieczeń, które umożliwiają administratorowi usługi ochronę najcenniejszych zasobów.

Usługa Power BI podlega warunkom świadczenia usług online przez firmę Microsoft i oświadczeniu o ochronie prywatności przez firmę Microsoft dla przedsiębiorstw. Aby uzyskać informacje o lokalizacji przetwarzania danych, zapoznaj się z postanowieniami dotyczącymi lokalizacji przetwarzania danych w warunkach usług online firmy Microsoft oraz dodatkiem do ochrony danych. Podstawowym zasobem z informacjami o zgodności usługi Power BI jest strona Centrum zaufania firmy Microsoft. Zespół usługi Power BI dokonuje wszelkich starań, aby udostępniać swoim klientom najnowsze innowacje i zapewniać najlepszą wydajność. Dowiedz się więcej o zgodności z ofertami zgodności firmy Microsoft.

Usługa Power BI jest zgodny z cyklem życia programowania zabezpieczeń (SDL), rygorystycznymi rozwiązaniami w zakresie zabezpieczeń, które obsługują wymagania dotyczące bezpieczeństwa i zgodności. SDL ułatwia deweloperom tworzenie bezpieczniejszego oprogramowania przez zmniejszenie liczby i ważności luk w zabezpieczeniach oprogramowania przy jednoczesnym zmniejszeniu kosztów programowania. Dowiedz się więcej na temat praktyk cyklu życia programowania zabezpieczeń firmy Microsoft.

Architektura usługi Power BI

Usługa Power BI jest oparta na platformie Azure, platformie przetwarzania w chmurze firmy Microsoft. Usługa Power BI jest obecnie wdrożona w wielu centrach danych na całym świecie — istnieje wiele aktywnych wdrożeń udostępnionych klientom w regionach obsługiwanych przez te centra danych i tyle samo pasywnych wdrożeń, które służą jako kopie zapasowe aktywnych wdrożeń.

Fronton internetowy i zaplecze

Klaster frontonu sieci Web (WFE)

Klaster frontonu internetowego udostępnia przeglądarce użytkownika początkową zawartość strony HTML podczas ładowania witryny, a także wskaźniki do zawartości CDN używanej do renderowania witryny w przeglądarce.

Klaster frontonu internetowego

Klaster frontonu internetowego składa się z witryny internetowej ASP.NET uruchomionej w środowisku Azure App Service. Gdy użytkownicy próbują połączyć się z usługa Power BI, usługa DNS klienta może komunikować się z usługą Azure Traffic Manager, aby znaleźć najbardziej odpowiednie (zwykle najbliższe) centrum danych z wdrożeniem usługi Power BI. Aby uzyskać więcej informacji na temat tego procesu, zobacz Performance traffic-routing method for Azure Traffic Manager (Metoda routingu wydajności dla usługi Azure Traffic Manager).

Zasoby statyczne, takie jak *.js, *.css i pliki obrazów, są głównie przechowywane w usłudze Azure Content Delivery Network (CDN) i pobierane bezpośrednio przez przeglądarkę. Należy pamiętać, że wdrożenia klastrów suwerennych instytucji rządowych są wyjątkiem od tej reguły, a ze względów zgodności pominie sieć CDN i zamiast tego użyje klastra frontonu internetowego ze zgodnego regionu do hostowania zawartości statycznej.

Klaster zaplecza usługi Power BI (BE)

Klaster zaplecza jest szkieletem wszystkich funkcji dostępnych w usłudze Power BI. Składa się z kilku punktów końcowych usługi używanych przez klientów frontonu internetowego i interfejsu API, a także działających w tle usług, baz danych, pamięci podręcznych i różnych innych składników.

Zaplecze jest dostępne w większości regionów świadczenia usługi Azure i jest wdrażane w nowych regionach, gdy staną się dostępne. Jeden region świadczenia usługi Azure hostuje co najmniej jeden klaster zaplecza, który umożliwia nieograniczone skalowanie w poziomie usługa Power BI po wyczerpaniu limitów skalowania w pionie i poziomie pojedynczego klastra.

Każdy klaster zaplecza jest stanowy i hostuje wszystkie dane wszystkich dzierżaw przypisanych do tego klastra. Klaster, który zawiera dane określonej dzierżawy, jest nazywany klastrem macierzystym dzierżawy. Informacje o klastrze głównym uwierzytelnionego użytkownika są udostępniane przez usługę globalną i używane przez fronton sieci Web do kierowania żądań do klastra macierzystego dzierżawy.

Każdy klaster zaplecza składa się z wielu maszyn wirtualnych połączonych w wiele zestawów skalowania z możliwością zmiany rozmiaru dostosowanych do wykonywania określonych zadań, zasobów stanowych, takich jak bazy danych SQL, konta magazynu, magistrale usług, pamięci podręczne i inne niezbędne składniki chmury.

Metadane i dane dzierżawy są przechowywane w ramach limitów klastra, z wyjątkiem replikacji danych do pomocniczego klastra zaplecza w sparowanym regionie świadczenia usługi Azure w tej samej lokalizacji geograficznej platformy Azure. Pomocniczy klaster zaplecza służy jako klaster trybu failover w przypadku awarii regionalnej i jest pasywny w dowolnym momencie.

Funkcje zaplecza są obsługiwane przez mikrousług działające na różnych maszynach w sieci wirtualnej klastra, które nie są dostępne z zewnątrz, z wyjątkiem dwóch składników, do których można uzyskać dostęp z publicznego Internetu:

  • Usługa bramy
  • Usługa Azure API Management

Klaster zaplecza

infrastruktura Power BI Premium

Power BI Premium oferuje usługę dla subskrybentów, którzy wymagają funkcji usługi Power BI w warstwie Premium, takich jak przepływy danych, raporty podzielone na strony, sztuczna inteligencja itp. Gdy klient zarejestruje się w celu uzyskania subskrypcji Power BI Premium, pojemność Premium jest tworzona za pośrednictwem usługi Azure Resource Manager.

Power BI Premium pojemności są hostowane w klastrach zaplecza, które są niezależne od zwykłego zaplecza usługi Power BI — zobacz powyżej). Zapewnia to lepszą izolację, alokację zasobów, obsługę, izolację zabezpieczeń oraz skalowalność oferty Premium.

Na poniższym diagramie przedstawiono architekturę infrastruktury Power BI Premium:

Power BI Premium

Połączenie z infrastrukturą Power BI Premium można wykonać na wiele sposobów, w zależności od scenariusza użytkownika. Power BI Premium klienci mogą być przeglądarką użytkownika, zwykłym zapleczem usługi Power BI, bezpośrednimi połączeniami za pośrednictwem klientów XMLA, interfejsów API USŁUGI ARM itp.

Infrastruktura Power BI Premium w regionie świadczenia usługi Azure składa się z wielu klastrów Power BI Premium (minimum to jeden). Większość zasobów w warstwie Premium jest hermetyzowana wewnątrz klastra (na przykład zasobów obliczeniowych) i istnieje kilka typowych zasobów regionalnych (na przykład magazyn metadanych). Infrastruktura Premium umożliwia osiągnięcie dwóch sposobów osiągnięcia skalowalności poziomej w regionie: zwiększenie zasobów wewnątrz klastrów i/lub dodanie większej liczby klastrów na żądanie zgodnie z potrzebami (jeśli zasoby klastra zbliżają się do limitów).

Szkieletem każdego klastra są zasoby obliczeniowe zarządzane przez Virtual Machine Scale Sets i usługę Azure Service Fabric. Virtual Machine Scale Sets i Service Fabric umożliwiają szybkie i bezbolesne zwiększanie liczby węzłów obliczeniowych w miarę zwiększania się użycia i organizowania wdrażania, zarządzania i monitorowania usług i aplikacji Power BI Premium.

Istnieje wiele zasobów, które zapewniają bezpieczną i niezawodną infrastrukturę: moduły równoważenia obciążenia, sieci wirtualne, sieciowe grupy zabezpieczeń, magistrala usług, magazyn itp. Wszystkie wpisy tajne, klucze i certyfikaty wymagane do Power BI Premium są zarządzane wyłącznie przez usługę Azure Key Vault. Każde uwierzytelnianie odbywa się wyłącznie za pośrednictwem integracji z Azure AD.

Każde żądanie dotyczące infrastruktury Power BI Premium najpierw trafia do węzłów frontonu — są to jedyne węzły dostępne dla połączeń zewnętrznych. Pozostałe zasoby są ukryte za sieciami wirtualnymi. Węzły frontonu uwierzytelniają żądanie, obsługują je lub przekazują do odpowiednich zasobów (na przykład węzły zaplecza).

Węzły zaplecza zapewniają większość Power BI Premium możliwości i funkcji.

Power BI dla urządzeń przenośnych

Power BI dla urządzeń przenośnych to kolekcja aplikacji przeznaczonych dla trzech podstawowych platform mobilnych: Android, iOS i Windows (UWP). Zagadnienia dotyczące zabezpieczeń aplikacji Power BI dla urządzeń przenośnych należą do dwóch kategorii:

  • Komunikacja z urządzeniem
  • Aplikacja i dane na urządzeniu

W przypadku komunikacji urządzeń wszystkie aplikacje Power BI dla urządzeń przenośnych komunikują się z usługa Power BI i używają tych samych sekwencji połączeń i uwierzytelniania używanych przez przeglądarki, które zostały szczegółowo opisane we wcześniejszej części tego oficjalnego dokumentu. Aplikacje mobilne usługi Power BI dla systemów iOS i Android wprowadzają sesję przeglądarki w samej aplikacji, podczas gdy aplikacja mobilna systemu Windows wywołuje brokera w celu ustanowienia kanału komunikacyjnego z usługą Power BI (na potrzeby procesu logowania).

W poniższej tabeli przedstawiono obsługę uwierzytelniania opartego na certyfikatach (CBA) dla Power BI dla urządzeń przenośnych na podstawie platformy urządzeń przenośnych:

Obsługa cba iOS Android Windows
Power BI (logowanie do usługi) Obsługiwane Obsługiwane Nieobsługiwane
Lokalna usługa ADFS usług SSRS (łączenie z serwerem usług SSRS) Nieobsługiwane Obsługiwane Nieobsługiwane
Serwer proxy aplikacji usług SSRS Obsługiwane Obsługiwane Nieobsługiwane

Aplikacje usługi Power BI dla urządzeń przenośnych aktywnie komunikują się z usługą Power BI. Dane telemetryczne służą do zbierania statystyk użycia aplikacji mobilnych i podobnych danych przesyłanych do usług używanych do monitorowania użycia i aktywności; żadne dane klienta nie są wysyłane z danymi telemetrycznymi.

Aplikacja Power BI przechowuje dane na urządzeniu, które ułatwia korzystanie z aplikacji:

  • Azure AD i tokeny odświeżania są przechowywane w bezpiecznym mechanizmie na urządzeniu przy użyciu standardowych w branży środków zabezpieczeń.
  • Dane i ustawienia (pary klucz-wartość dla konfiguracji użytkownika) są buforowane w magazynie na urządzeniu i mogą być szyfrowane przez system operacyjny. W systemie iOS jest to wykonywane automatycznie, gdy użytkownik ustawia kod dostępu. W systemie Android można to skonfigurować w ustawieniach. W systemie Windows odbywa się to za pomocą funkcji BitLocker.
  • W przypadku aplikacji systemu Android i iOS dane i ustawienia (pary klucz-wartość dla konfiguracji użytkownika) są buforowane w magazynie na urządzeniu w piaskownicy i magazynie wewnętrznym, który jest dostępny tylko dla aplikacji. W przypadku aplikacji systemu Windows dane są dostępne tylko dla użytkownika (i administratora systemu).
  • Geolokalizacja jest włączona lub wyłączona jawnie przez użytkownika. Jeśli to ustawienie jest włączone, dane geolokalizacji nie są zapisywane na urządzeniu i nie są udostępniane firmie Microsoft.
  • Powiadomienia są włączane lub wyłączane jawnie przez użytkownika. Jeśli to ustawienie jest włączone, systemy Android i iOS nie obsługują wymagań dotyczących przechowywania danych geograficznych dla powiadomień.

Szyfrowanie danych można zwiększyć, stosując szyfrowanie na poziomie pliku za pośrednictwem Microsoft Intune, usługi oprogramowania, która zapewnia zarządzanie urządzeniami przenośnymi i aplikacjami. Wszystkie trzy platformy, dla których Power BI dla urządzeń przenośnych jest dostępna obsługa Intune. Gdy usługa Intune jest włączona i skonfigurowana, dane na urządzeniu przenośnym są szyfrowane oraz nie można zainstalować aplikacji usługi Power BI na karcie SD. Dowiedz się więcej o Microsoft Intune.

Aplikacja systemu Windows obsługuje również usługę Windows Information Protection (WIP).

Aby zaimplementować logowanie jednokrotne, niektóre zabezpieczone wartości magazynu związane z uwierzytelnianiem opartym na tokenach są dostępne dla innych aplikacji firmy Microsoft (takich jak Microsoft Authenticator) i są zarządzane przez zestaw SDK biblioteki Azure Active Directory Authentication Library (ADAL).

Power BI dla urządzeń przenośnych dane buforowane są usuwane, gdy aplikacja zostanie usunięta, gdy użytkownik wyloguje się z Power BI dla urządzeń przenośnych lub gdy użytkownik nie zaloguje się (np. po zmianie tokenu lub zmianie hasła). Pamięć podręczna danych uwzględnia pulpity nawigacyjne i raporty, do których uzyskiwano dostęp z aplikacji usługi Power BI dla urządzeń przenośnych.

Power BI dla urządzeń przenośnych nie uzyskuje dostępu do innych folderów aplikacji ani plików na urządzeniu.

Aplikacje usługi Power BI dla systemów iOS i Android umożliwiają ochronę danych przez skonfigurowanie dodatkowej identyfikacji, takiej jak udostępnianie funkcji Face ID, Touch ID lub kod dostępu dla systemu iOS oraz dane biometryczne (identyfikator odcisku palca) dla systemu Android. Dowiedz się więcej o dodatkowej identyfikacji.

Uwierzytelnianie w usługa Power BI

Uwierzytelnianie użytkownika w usłudze Power BI składa się z serii żądań, odpowiedzi i przekierowań między przeglądarką użytkownika a usługą Power BI lub usługami Azure używanymi przez usługę Power BI. Ta sekwencja opisuje proces uwierzytelniania użytkowników w usłudze Power BI, który jest zgodny z przepływem udzielania kodu uwierzytelniania usługi Azure Active Directory. Aby uzyskać więcej informacji na temat opcji modeli uwierzytelniania użytkowników organizacji (modeli logowania), zobacz Wybieranie modelu logowania dla platformy Microsoft 365.

Sekwencja uwierzytelniania

Sekwencja uwierzytelniania użytkownika dla usługa Power BI jest wykonywana zgodnie z opisem w poniższych krokach, które przedstawiono na ilustracji, która jest po nich wykonywana.

  1. Użytkownik inicjuje połączenie z usługa Power BI z przeglądarki, wpisując adres usługi Power BI na pasku adresu lub wybierając pozycję Zaloguj się na stronie marketingowej usługi Power BI (https://powerbi.microsoft.com). Połączenie jest nawiązywane przy użyciu protokołów TLS i HTTPS, a cała kolejna komunikacja między przeglądarką a usługa Power BI korzysta z protokołu HTTPS.

  2. Usługa Azure Traffic Manager sprawdza rekord DNS użytkownika w celu określenia najbardziej odpowiedniego (zwykle najbliższego) centrum danych, w którym wdrożono usługę Power BI, i odpowiada na system DNS przy użyciu adresu IP klastra frontonu internetowego, do którego powinien zostać wysłany użytkownik.

  3. Następnie fronton internetowy zwraca stronę HTML do klienta przeglądarki, która zawiera odwołanie do biblioteki MSAL.js niezbędne do zainicjowania przepływu logowania.

  4. Klient przeglądarki ładuje stronę HTML odebraną z frontonu internetowego i przekierowuje użytkownika do strony logowania usług Microsoft Online Services.

  5. Po uwierzytelnieniu użytkownika strona logowania przekierowuje użytkownika z powrotem do strony frontonu internetowego usługi Power BI przy użyciu kodu uwierzytelniania.

  6. Klient przeglądarki ładuje stronę HTML i używa kodu uwierzytelniania do żądania tokenów (dostępu, identyfikatora, odświeżania) z usługi Azure AD.

  7. Identyfikator dzierżawy użytkownika jest używany przez klienta przeglądarki do wykonywania zapytań dotyczących usługi globalnej Power BI, która przechowuje listę dzierżaw i ich lokalizacji klastra zaplecza usługi Power BI. Usługa globalna usługi Power BI określa, który klaster usługi zaplecza usługi Power BI zawiera dzierżawę użytkownika, i zwraca adres URL klastra zaplecza usługi Power BI z powrotem do klienta.

  8. Klient może teraz komunikować się z interfejsem API adresu URL klastra zaplecza usługi Power BI przy użyciu tokenu dostępu w nagłówku Autoryzacja dla żądań HTTP. Token dostępu Azure AD będzie miał datę wygaśnięcia ustawioną zgodnie z zasadami Azure AD, a utrzymanie bieżącej sesji klienta usługi Power BI w przeglądarce użytkownika będzie wysyłać okresowe żądania odnowienia tokenu dostępu przed wygaśnięciem.

Diagram ilustrujący sekwencję uwierzytelniania klienta.

W bardzo rzadkich przypadkach, gdy uwierzytelnianie po stronie klienta kończy się niepowodzeniem z powodu nieoczekiwanego błędu, kod spróbuje wrócić do korzystania z uwierzytelniania po stronie serwera wfefe. Szczegółowe informacje na temat przepływu uwierzytelniania po stronie serwera można znaleźć w sekcji pytania i odpowiedzi na końcu tego dokumentu.

Rezydencja danych

Jeśli nie określono inaczej w dokumentacji, usługa Power BI przechowuje dane klientów w lokalizacji geograficznej platformy Azure przypisanej, gdy Azure AD dzierżawa zarejestruje się w usługach Power BI po raz pierwszy. Dzierżawa Azure AD zawiera tożsamości użytkowników i aplikacji, grupy i inne istotne informacje dotyczące organizacji i jej zabezpieczeń.

Przypisanie lokalizacji geograficznej platformy Azure dla magazynu danych dzierżawy odbywa się przez mapowanie kraju lub regionu wybranego w ramach konfiguracji dzierżawy Azure AD do najbardziej odpowiedniej lokalizacji geograficznej platformy Azure, w której istnieje wdrożenie usługi Power BI. Po określeniu tego celu wszystkie dane klienta usługi Power BI będą przechowywane w wybranej lokalizacji geograficznej platformy Azure (znanej również jako obszar geograficzny domu), z wyjątkiem przypadków, w których organizacje korzystają z wdrożeń obejmujących wiele obszarów geograficznych.

Wiele lokalizacji geograficznych (multi-geo)

Niektóre organizacje mają globalną obecność i mogą wymagać usług Power BI w wielu lokalizacjach geograficznych platformy Azure. Na przykład firma może mieć swoją siedzibę w Stany Zjednoczone, ale może również wykonywać działalność w innych obszarach geograficznych, takich jak Australia. W takich przypadkach firma może wymagać, aby niektóre dane usługi Power BI pozostały przechowywane w regionie zdalnym w celu zachowania zgodności z przepisami lokalnymi. Ta funkcja usługa Power BI jest określana jako multi-geo.

Warstwa wykonywania zapytań, pamięci podręczne zapytań i dane artefaktów przypisane do obszaru roboczego z wieloma obszarami geograficznymi są hostowane i pozostają w lokalizacji geograficznej platformy Azure w pojemności zdalnej. Jednak niektóre metadane artefaktu, takie jak struktura raportu, mogą pozostać przechowywane w spoczynku w głównym obszarze geograficznym dzierżawy. Ponadto niektóre operacje przesyłania i przetwarzania danych mogą nadal występować w obszarze geograficznym domu dzierżawy, nawet w przypadku obszarów roboczych hostowanych w pojemności Premium z wieloma obszarami geograficznymi.

Aby uzyskać więcej informacji na temat tworzenia wdrożeń usługi Power BI obejmujących wiele lokalizacji geograficznych platformy Azure i zarządzania nimi, zobacz Konfigurowanie obsługi funkcji Multi-Geo dla Power BI Premium.

Regiony i centra danych

Usługi Power BI są dostępne w określonych lokalizacjach geograficznych platformy Azure zgodnie z opisem w Centrum zaufania firmy Microsoft. Aby uzyskać więcej informacji na temat miejsca przechowywania danych i sposobu ich używania, zapoznaj się z Centrum zaufania firmy Microsoft. Zobowiązania dotyczące lokalizacji danych klienta magazynowanych są określone w Warunkach przetwarzania danych postanowień dotyczących usług online firmy Microsoft.

Firma Microsoft udostępnia również centra danych dla suwerennych jednostek. Aby uzyskać więcej informacji o dostępności usługi Power BI dla chmur krajowych, zobacz Chmury krajowe w usłudze Power BI.

Obsługa danych

W tej sekcji opisano rozwiązania dotyczące obsługi danych usługi Power BI w zakresie przechowywania, przetwarzania i przesyłania danych klientów.

Dane magazynowane

Usługa Power BI używa dwóch podstawowych typów zasobów magazynu danych:

  • Azure Storage
  • Bazy danych Azure SQL Database

W większości scenariuszy usługa Azure Storage jest używana do utrwalania danych artefaktów usługi Power BI, podczas gdy Azure SQL Bazy danych są używane do utrwalania metadanych artefaktu.

Wszystkie dane utrwalone przez usługę Power BI są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Dane klienta przechowywane w bazach danych Azure SQL są w pełni szyfrowane przy użyciu technologii Transparent Data Encryption (TDE) Azure SQL. Dane klienta przechowywane w usłudze Azure Blob Storage są szyfrowane przy użyciu usługi Azure Storage Encryption.

Opcjonalnie organizacje mogą używać Power BI Premium do używania własnych kluczy do szyfrowania danych magazynowanych importowanych do zestawu danych. To rozwiązanie często jest określane jako usługa Bring your own key (BYOK). Użycie rozwiązania BYOK pomaga zagwarantować, że nawet w przypadku błędu operatora usługi dane klientów nie zostaną ujawnione — czego nie można łatwo osiągnąć przy użyciu przezroczystego szyfrowania po stronie usługi. Aby uzyskać więcej informacji, zobacz Bring your own encryption keys for Power BI (Używanie własnych kluczy szyfrowania dla usługi Power BI ).

Zestawy danych usługi Power BI umożliwiają korzystanie z różnych trybów połączenia ze źródłem danych, które określają, czy dane źródła danych są utrwalane w usłudze, czy nie.

Tryb zestawu danych (rodzaj) Dane utrwalone w usłudze Power BI
Importuj Tak
DirectQuery Nie
Połączenie na żywo Nie
Złożenie Jeśli zawiera źródło danych importu
Przesyłanie strumieniowe Jeśli skonfigurowano do utrwalania

Niezależnie od używanego trybu zestawu danych usługa Power BI może tymczasowo buforować wszystkie pobrane dane w celu zoptymalizowania wydajności ładowania zapytań i raportów.

Dane w przetwarzaniu

Dane są przetwarzane, gdy są aktywnie używane przez co najmniej jednego użytkownika w ramach scenariusza interaktywnego lub gdy proces w tle, taki jak odświeżanie, dotyka tych danych. Usługa Power BI ładuje aktywnie przetwarzane dane do przestrzeni pamięci co najmniej jednego obciążenia usługi. Aby ułatwić funkcjonalność wymaganą przez obciążenie, przetworzone dane w pamięci nie są szyfrowane.

Dane przesyłane

Usługa Power BI wymaga szyfrowania całego przychodzącego ruchu HTTP przy użyciu protokołu TLS 1.2 lub nowszego. Wszystkie żądania próbujące użyć usługi z protokołem TLS 1.1 lub niższym zostaną odrzucone.

Uwierzytelnianie w źródłach danych

Podczas nawiązywania połączenia ze źródłem danych użytkownik może zaimportować kopię danych do usługi Power BI lub połączyć się bezpośrednio ze źródłem danych.

W przypadku importowania użytkownik ustanawia połączenie na podstawie logowania użytkownika i uzyskuje dostęp do danych przy użyciu poświadczeń. Po opublikowaniu zestawu danych w usługa Power BI usługa Power BI zawsze używa poświadczeń tego użytkownika do importowania danych. Po zaimportowaniu danych wyświetlanie danych w raportach i pulpitach nawigacyjnych nie ma dostępu do bazowego źródła danych. Usługa Power BI obsługuje uwierzytelnianie jednokrotne dla wybranych źródeł danych. Jeśli połączenie jest skonfigurowane do korzystania z logowania jednokrotnego, poświadczenia właściciela zestawu danych są używane do nawiązywania połączenia ze źródłem danych.

Jeśli źródło danych jest połączone bezpośrednio przy użyciu wstępnie skonfigurowanych poświadczeń, poświadczenia wstępnie skonfigurowane są używane do nawiązywania połączenia ze źródłem danych, gdy dowolny użytkownik wyświetla dane. Jeśli źródło danych jest połączone bezpośrednio przy użyciu logowania jednokrotnego, poświadczenia bieżącego użytkownika są używane do nawiązywania połączenia ze źródłem danych, gdy użytkownik wyświetla dane. W przypadku użycia z logowaniem jednokrotnym można zaimplementować zabezpieczenia na poziomie wiersza i/lub zabezpieczeń na poziomie obiektu (OLS) w źródle danych. Dzięki temu użytkownicy mogą wyświetlać tylko dane, do których mają uprawnienia dostępu. Gdy połączenie jest ze źródłami danych w chmurze, uwierzytelnianie Azure AD jest używane do logowania jednokrotnego. Obsługiwane są lokalne źródła danych, Kerberos, Security Assertion Markup Language (SAML) i Azure AD.

Jeśli źródło danych jest Azure Analysis Services lub lokalne usługi Analysis Services, a zabezpieczenia na poziomie wiersza i/lub OLS są skonfigurowane, usługa Power BI zastosuje te zabezpieczenia na poziomie wiersza, a użytkownicy, którzy nie mają wystarczających poświadczeń w celu uzyskania dostępu do danych bazowych (które mogą być zapytaniem używanym na pulpicie nawigacyjnym, raporcie lub innym artefaktie danych), nie będą widzieć danych, dla których nie mają wystarczających uprawnień.

Funkcje w warstwie Premium

Architektura przepływów danych

Przepływy danych zapewniają użytkownikom możliwość konfigurowania operacji przetwarzania danych zaplecza, które będą wyodrębniać dane ze źródeł danych polimorficznych, wykonywać logikę przekształcania względem danych, a następnie lądować ją w modelu docelowym do użycia w różnych technologiach prezentacji raportowania. Każdy użytkownik, który ma rolę członka, współautora lub administratora w obszarze roboczym, może utworzyć przepływ danych. Użytkownicy w roli przeglądarki mogą wyświetlać dane przetwarzane przez przepływ danych, ale nie mogą wprowadzać zmian w jego składzie. Po utworzeniu przepływu danych każdy członek, współautor lub administrator obszaru roboczego może zaplanować odświeżanie, a także wyświetlać i edytować przepływ danych przez przejęcie jej własności.

Każde skonfigurowane źródło danych jest powiązane z technologią klienta na potrzeby uzyskiwania dostępu do tego źródła danych. Struktura poświadczeń wymaganych do uzyskania dostępu do nich jest tworzona w celu dopasowania do wymaganych szczegółów implementacji źródła danych. Logika przekształcania jest stosowana przez usługi Power Query, gdy dane są w locie. W przypadku przepływów danych w warstwie Premium usługi Power Query są wykonywane w węzłach zaplecza. Dane mogą być pobierane bezpośrednio ze źródeł chmury lub za pośrednictwem bramy zainstalowanej lokalnie. W przypadku ściągnięcia bezpośrednio ze źródła chmury do usługi lub do bramy transport wykorzystuje metodologię ochrony specyficzną dla technologii klienta, jeśli ma to zastosowanie. Gdy dane są przesyłane z bramy do usługi w chmurze, są szyfrowane. Zobacz sekcję Dane w przetwarzaniu powyżej.

Gdy określone przez klienta źródła danych wymagają poświadczeń dostępu, właściciel/twórca przepływu danych udostępni je podczas tworzenia. Są one przechowywane przy użyciu standardowego magazynu poświadczeń dla całego produktu. Zobacz sekcję Uwierzytelnianie do źródeł danych powyżej. Istnieją różne podejścia, które użytkownicy mogą skonfigurować w celu optymalizacji trwałości i dostępu do danych. Domyślnie dane są umieszczane na należącym do usługi Power BI i chronionym koncie magazynu. Szyfrowanie magazynu jest włączone w kontenerach usługi Blob Storage w celu ochrony danych podczas przechowywania. Zobacz sekcję Dane w spoczynku poniżej. Użytkownicy mogą jednak skonfigurować własne konto magazynu skojarzone z własną subskrypcją platformy Azure. W takim przypadku podmiot zabezpieczeń usługa Power BI ma dostęp do tego konta magazynu, aby mógł zapisywać tam dane podczas odświeżania. W takim przypadku właściciel zasobu magazynu jest odpowiedzialny za konfigurowanie szyfrowania na skonfigurowanym koncie magazynu usługi ADLS. Dane są zawsze przesyłane do usługi Blob Storage przy użyciu szyfrowania.

Ponieważ wydajność podczas uzyskiwania dostępu do kont magazynu może być nieoptymalna dla niektórych danych, użytkownicy mają również możliwość korzystania z aparatu obliczeniowego hostowanego w usłudze Power BI w celu zwiększenia wydajności. W takim przypadku dane są nadmiarowo przechowywane w bazie danych SQL, która jest dostępna dla trybu DirectQuery za pośrednictwem dostępu przez system usługi Power BI zaplecza. Dane są zawsze szyfrowane w systemie plików. Jeśli użytkownik udostępnia klucz do szyfrowania danych przechowywanych w bazie danych SQL, ten klucz będzie używany do podwojenia jego szyfrowania.

Podczas wykonywania zapytań przy użyciu zapytania bezpośredniego szyfrowany protokół TRANSPORT HTTPS jest używany do uzyskiwania dostępu do interfejsu API. Wszystkie pomocnicze lub pośrednie użycie trybu DirectQuery jest kontrolowane przez te same mechanizmy kontroli dostępu opisane wcześniej. Ponieważ przepływy danych są zawsze powiązane z obszarem roboczym, dostęp do danych jest zawsze ograniczony przez rolę użytkownika w tym obszarze roboczym. Użytkownik musi mieć co najmniej dostęp do odczytu, aby móc wykonywać zapytania dotyczące danych za pośrednictwem dowolnych środków.

Gdy Power BI Desktop jest używany do uzyskiwania dostępu do danych w przepływie danych, należy najpierw uwierzytelnić użytkownika przy użyciu Azure AD, aby ustalić, czy użytkownik ma wystarczające prawa do wyświetlania danych. Jeśli tak, klucz saS jest uzyskiwany i używany do uzyskiwania dostępu do magazynu bezpośrednio przy użyciu zaszyfrowanego protokołu transportowego HTTPS.

Przetwarzanie danych w potoku emituje Office 365 zdarzeń inspekcji. Niektóre z tych zdarzeń przechwytują operacje związane z zabezpieczeniami i prywatnością.

Raporty z podziałem na strony

Raporty podzielone na strony zostały zaprojektowane pod kątem drukowania lub udostępniania. Są one określane jako podzielone na strony, ponieważ dzięki swojemu formatowaniu mieszczą się doskonale na stronie. Raporty te zawierają wszystkie dane w tabeli, nawet jeśli tabela zajmuje wiele stron. Możesz dokładnie kontrolować układ strony raportu.

Raporty podzielone na strony obsługują zaawansowane i zaawansowane wyrażenia napisane w programie Microsoft Visual Basic .NET. Wyrażenia są powszechnie używane w raportach podzielonych na strony utworzonych w programie Power BI Report Builder. Służą do pobierania, obliczania, wyświetlania, grupowania, sortowania, filtrowania i formatowania danych oraz ustawiania ich parametrów.

Wyrażenia są tworzone przez autora raportu z dostępem do szerokiego zakresu funkcji platformy .NET Framework. Przetwarzanie i wykonywanie raportów podzielonych na strony odbywa się w piaskownicy.

Definicje raportów podzielonych na strony (rdl) są przechowywane w usłudze Power BI oraz do publikowania i/lub renderowania raportu podzielonego na strony, który użytkownik musi uwierzytelnić i autoryzować w taki sam sposób, jak opisano w sekcji Uwierzytelnianie w usłudze Power BI powyżej.

Token Azure AD uzyskany podczas uwierzytelniania służy do komunikowania się bezpośrednio z przeglądarki do klastra Power BI Premium.

W Power BI Premium środowisko uruchomieniowe usługa Power BI zapewnia odpowiednio izolowane środowisko wykonywania dla każdego renderowania raportu. Obejmuje to przypadki, w których renderowane raporty należą do obszarów roboczych przypisanych do tej samej pojemności.

Raport podzielony na strony może uzyskać dostęp do szerokiego zestawu źródeł danych w ramach renderowania raportu. Piaskownica nie komunikuje się bezpośrednio z żadnym ze źródeł danych, ale zamiast tego komunikuje się z zaufanym procesem w celu żądania danych, a następnie zaufany proces dołącza wymagane poświadczenia do połączenia. W ten sposób piaskownica nigdy nie ma dostępu do żadnych poświadczeń ani wpisów tajnych.

Aby obsługiwać funkcje, takie jak mapy Bing lub wywołania Azure Functions, piaskownica ma dostęp do Internetu.

Analiza osadzona w usłudze Power BI

Niezależni dostawcy oprogramowania i dostawcy rozwiązań mają dwa główne tryby osadzania artefaktów usługi Power BI w swoich aplikacjach internetowych i portalach: osadzanie dla organizacji i osadzanie dla klientów. Artefakt jest osadzony w elemecie IFrame w aplikacji lub portalu. Element IFrame nie może odczytywać ani zapisywać danych z zewnętrznej aplikacji internetowej lub portalu, a komunikacja z elementem IFrame jest wykonywana przy użyciu zestawu SDK klienta usługi Power BI przy użyciu komunikatów POST.

W scenariuszu osadzania dla organizacji użytkownicy Azure AD uzyskiwać dostęp do własnej zawartości usługi Power BI za pośrednictwem portali dostosowanych przez przedsiębiorstwa i firmy. Wszystkie zasady i możliwości usługi Power BI opisane w tym dokumencie, takie jak zabezpieczenia na poziomie wiersza i zabezpieczenia na poziomie obiektu (OLS) są automatycznie stosowane do wszystkich użytkowników niezależnie od tego, czy uzyskują dostęp do usługi Power BI za pośrednictwem portalu usługi Power BI , czy za pośrednictwem dostosowanych portali.

W scenariuszu osadzania dla klientów dostawcy oprogramowania zwykle posiadają dzierżawy usługi Power BI i artefakty usługi Power BI (pulpity nawigacyjne, raporty, zestawy danych itp.). Jest to odpowiedzialność za usługę zaplecza niezależnego dostawcy oprogramowania, aby uwierzytelnić swoich użytkowników końcowych i zdecydować, które artefakty i jaki poziom dostępu jest odpowiedni dla tego użytkownika końcowego. Decyzje dotyczące zasad niezależnego dostawcy oprogramowania są szyfrowane w tokenie osadzania generowanym przez usługę Power BI i przekazywane do zaplecza niezależnego dostawcy oprogramowania w celu dalszej dystrybucji do użytkowników końcowych zgodnie z logiką biznesową niezależnego dostawcy oprogramowania. Użytkownicy końcowi korzystający z przeglądarki lub innych aplikacji klienckich nie mogą odszyfrować ani modyfikować tokenów osadzania. Zestawy SDK po stronie klienta, takie jak interfejsy API klienta usługi Power BI , automatycznie dołączają zaszyfrowany token osadzania do żądań usługi Power BI jako nagłówek Authorization: EmbedToken . Na podstawie tego nagłówka usługa Power BI będzie wymuszać wszystkie zasady (takie jak dostęp lub zabezpieczenia na poziomie wiersza) dokładnie tak, jak określono przez niezależnego dostawcę oprogramowania podczas generowania.

Aby włączyć osadzanie i automatyzację oraz wygenerować tokeny osadzania opisane powyżej, usługa Power BI uwidacznia bogaty zestaw interfejsów API REST. Te interfejsy API REST usługi Power BI obsługują zarówno delegowane przez użytkownika, jak i jednostkę usługi Azure AD metody uwierzytelniania i autoryzacji.

Analiza osadzona usługi Power BI i jej interfejsy API REST obsługują wszystkie funkcje izolacji sieci usługi Power BI opisane w tym artykule: np. tagi usługi i łącza prywatne.

Funkcje sztucznej inteligencji

Usługa Power BI obsługuje obecnie dwie szerokie kategorie funkcji sztucznej inteligencji w produkcie: wizualizacje sztucznej inteligencji i wzbogacania sztucznej inteligencji. Funkcje sztucznej inteligencji na poziomie wizualizacji obejmują funkcje, takie jak Key-Influencers, Decomposition-Tree, Smart-Narrative, Anomaly-Detection, R-visual, Python-visual, Clustering, Forecasting, Q&A, Quick-Insights itp. Możliwości wzbogacania sztucznej inteligencji obejmują funkcje, takie jak AutoML, AzureML, CognitiveServices, przekształcenia języka R/Python itp.

Większość funkcji wymienionych powyżej jest obecnie obsługiwana zarówno w obszarach roboczych Udostępnione, jak i Premium. Jednak rozwiązania AutoML i CognitiveServices są obsługiwane tylko w obszarach roboczych Premium z powodu ograniczeń adresów IP. Obecnie dzięki integracji zautomatyzowanego uczenia maszynowego w usłudze Power BI użytkownik może skompilować i wytrenować niestandardowy model uczenia maszynowego (np. przewidywanie, klasyfikacja, regresja itp.) i zastosować go w celu uzyskania przewidywań podczas ładowania danych do przepływu danych zdefiniowanego w obszarze roboczym Premium. Ponadto użytkownicy usługi Power BI mogą zastosować kilka interfejsów API usługi CognitiveServices, takich jak TextAnalytics i ImageTagging, aby przekształcić dane przed załadowaniem ich do przepływu danych/zestawu danych zdefiniowanego w obszarze roboczym Premium.

Funkcje wzbogacania AI w warstwie Premium można najlepiej postrzegać jako kolekcję bezstanowych funkcji/przekształceń sztucznej inteligencji, które mogą być używane przez użytkowników usługi Power BI w potokach integracji danych używanych przez zestaw danych usługi Power BI lub przepływ danych. Należy pamiętać, że dostęp do tych funkcji można również uzyskać z bieżących środowisk tworzenia przepływów danych/zestawów danych w usłudze Power BI i Power BI Desktop. Te funkcje/przekształcenia sztucznej inteligencji są zawsze uruchamiane w obszarze roboczym/pojemności Premium. Te funkcje są wyświetlane w usłudze Power BI jako źródło danych, które wymaga tokenu Azure AD dla użytkownika usługi Power BI, który korzysta z funkcji sztucznej inteligencji. Te źródła danych sztucznej inteligencji są specjalne, ponieważ nie udostępniają żadnych własnych danych i udostępniają tylko te funkcje/przekształcenia. Podczas wykonywania te funkcje nie wykonują żadnych wywołań wychodzących do innych usług w celu przesyłania danych klienta. Przyjrzyjmy się scenariuszom Premium indywidualnie, aby zrozumieć wzorce komunikacji i istotne szczegóły związane z zabezpieczeniami dotyczące tych scenariuszy.

Do trenowania i stosowania modelu automl usługa Power BI używa zestawu Azure AutoML SDK i uruchamia wszystkie szkolenia w pojemności usługi Power BI klienta. Podczas iteracji szkoleniowych usługa Power BI wywołuje usługę AzureML eksperymentowania, aby wybrać odpowiedni model i hiperparaty dla bieżącej iteracji. W tym wywołaniu wychodzącym wysyłane są tylko odpowiednie metadane eksperymentu (np. dokładność, algorytm ml, parametry algorytmu itp.) z poprzedniej iteracji. Trenowanie automatycznego uczenia maszynowego tworzy model ONNX i dane raportu szkoleniowego, które są następnie zapisywane w przepływie danych. Później użytkownicy usługi Power BI mogą następnie zastosować wytrenowany model uczenia maszynowego jako przekształcenie w celu zoperacjonalizacji modelu uczenia maszynowego zgodnie z harmonogramem. W przypadku interfejsów API TextAnalytics i ImageTagging usługa Power BI nie wywołuje bezpośrednio interfejsów API usługi CognitiveServices, ale używa wewnętrznego zestawu SDK do uruchamiania interfejsów API w pojemności Power BI Premium. Obecnie te interfejsy API są obsługiwane zarówno w przepływach danych usługi Power BI, jak i w zestawach danych. Podczas tworzenia zestawu danych w Power BI Desktop użytkownicy mogą uzyskiwać dostęp tylko do tej funkcji, jeśli mają dostęp do obszaru roboczego usługi Power BI w warstwie Premium. W związku z tym klienci są monitowani o podanie poświadczeń Azure AD.

Izolacja sieciowa

W tej sekcji opisano zaawansowane funkcje zabezpieczeń w usłudze Power BI. Niektóre funkcje mają określone wymagania licencyjne. Szczegółowe informacje można znaleźć w poniższych sekcjach.

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci. Klienci mogą używać tagów usług do definiowania kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Klienci mogą używać tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń. Określając nazwę tagu usługi (na przykład PowerBI) w odpowiednim polu źródłowym lub docelowym (dla interfejsów API) reguły, klienci mogą zezwalać lub odrzucać ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Sieć platformy Azure udostępnia funkcję Azure Private Link, która umożliwia usłudze Power BI zapewnienie bezpiecznego dostępu za pośrednictwem prywatnych punktów końcowych usługi Azure Networking. W przypadku Azure Private Link i prywatnych punktów końcowych ruch danych jest wysyłany prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft, a w związku z tym dane nie przechodzą przez Internet.

Private Link gwarantuje, że użytkownicy usługi Power BI używają sieci prywatnej firmy Microsoft podczas przechodzenia do zasobów w usługa Power BI.

Korzystanie z Private Link z usługą Power BI zapewnia następujące korzyści:

  • Private Link gwarantuje, że ruch będzie przepływać przez sieć szkieletową platformy Azure do prywatnego punktu końcowego dla zasobów opartych na chmurze platformy Azure.
  • Izolacja ruchu sieciowego z infrastruktury innej niż platforma Azure, taka jak dostęp lokalny, wymagałaby od klientów skonfigurowania usługi ExpressRoute lub wirtualnej sieci prywatnej (VPN).

Aby uzyskać dodatkowe informacje, zobacz Linki prywatne, aby uzyskać dostęp do usługi Power BI .

Łączność z siecią wirtualną (wersja zapoznawcza — wkrótce)

Chociaż funkcja integracji Private Link zapewnia bezpieczne połączenia przychodzące z usługą Power BI, funkcja łączności sieci wirtualnej umożliwia bezpieczną łączność wychodzącą z usługi Power BI do źródeł danych w sieci wirtualnej.

Bramy sieci wirtualnej (zarządzane przez firmę Microsoft) wyeliminowają obciążenie związane z instalowaniem i monitorowaniem lokalnych bram danych na potrzeby łączenia się ze źródłami danych skojarzonymi z siecią wirtualną. Nadal będą jednak postępować zgodnie ze znanym procesem zarządzania zabezpieczeniami i źródłami danych, podobnie jak w przypadku lokalnej bramy danych.

Poniżej przedstawiono omówienie tego, co się dzieje w przypadku interakcji z raportem usługi Power BI połączonym ze źródłem danych w sieci wirtualnej przy użyciu bram sieci wirtualnej:

  1. Usługa Power BI w chmurze (lub jedna z innych obsługiwanych usług w chmurze) uruchamia zapytanie i wysyła zapytanie, szczegóły źródła danych i poświadczenia do usługi sieci wirtualnej platformy Power Platform (PP VNet).

  2. Następnie usługa sieci wirtualnej PP bezpiecznie wprowadza kontener z bramą sieci wirtualnej do podsieci. Ten kontener może teraz łączyć się z usługami danych dostępnymi z tej podsieci.

  3. Następnie usługa sieci wirtualnej PP wysyła zapytanie, szczegóły źródła danych i poświadczenia do bramy sieci wirtualnej.

  4. Brama sieci wirtualnej pobiera zapytanie i łączy się ze źródłami danych przy użyciu tych poświadczeń.

  5. Następnie do źródła danych jest wysyłane zapytanie w celu jego wykonania.

  6. Po wykonaniu wyniki są wysyłane do bramy sieci wirtualnej, a usługa sieci wirtualnej PP bezpiecznie wypycha dane z kontenera do usługi Power BI w chmurze.

Ta funkcja będzie dostępna w publicznej wersji zapoznawczej wkrótce.

Jednostki usługi

Usługa Power BI obsługuje korzystanie z jednostek usługi. Przechowuj wszystkie poświadczenia jednostki usługi używane do szyfrowania lub uzyskiwania dostępu do usługi Power BI w Key Vault, przypisz odpowiednie zasady dostępu do magazynu i regularnie przeglądają uprawnienia dostępu.

Aby uzyskać dodatkowe informacje, zobacz Automatyzowanie zadań obszaru roboczego i zestawu danych w warstwie Premium za pomocą jednostek usługi .

Microsoft Purview dla usługi Power BI

Microsoft Purview Information Protection

Usługa Power BI jest głęboko zintegrowana z Microsoft Purview Information Protection (wcześniej Information Protection zgodności platformy Microsoft 365). Microsoft Purview Information Protection umożliwia organizacjom posiadanie jednego, zintegrowanego rozwiązania do klasyfikacji, etykietowania, inspekcji i zgodności na platformie Azure, usłudze Power BI i pakiecie Office.

Po włączeniu ochrony informacji w usłudze Power BI:

  • Poufne dane, zarówno w usługa Power BI, jak i w Power BI Desktop, można klasyfikować i oznaczać przy użyciu tych samych etykiet poufności używanych w pakiecie Office i na platformie Azure.
  • Zasady ładu można wymusić, gdy zawartość usługi Power BI jest eksportowana do plików programu Excel, PowerPoint, PDF, Word lub pbix , aby zapewnić ochronę danych nawet po opuszczeniu usługi Power BI.
  • Łatwo klasyfikować i chronić pliki pbix w Power BI Desktop, podobnie jak w aplikacjach programu Excel, Word i PowerPoint. Pliki można łatwo otagować zgodnie z ich poziomem poufności. Ponadto można je zaszyfrować, jeśli zawierają poufne dane biznesowe, zapewniając, że tylko autoryzowani użytkownicy mogą edytować te pliki.
  • Skoroszyty programu Excel automatycznie dziedziczą etykiety poufności podczas nawiązywania połączenia z usługą Power BI (wersja zapoznawcza), dzięki czemu można zachować kompleksową klasyfikację i zastosować ochronę podczas analizowania zestawów danych usługi Power BI w programie Excel.
  • Etykiety poufności stosowane do raportów i pulpitów nawigacyjnych usługi Power BI są widoczne w aplikacjach mobilnych usługi Power BI dla systemów iOS i Android.
  • Etykiety poufności są utrwalane, gdy raport usługi Power BI jest osadzony w aplikacji Teams, programie SharePoint lub bezpiecznej witrynie internetowej. Pomaga to organizacjom zachować klasyfikację i ochronę podczas eksportowania podczas osadzania zawartości usługi Power BI.
  • Dziedziczenie etykiet po utworzeniu nowej zawartości w usługa Power BI gwarantuje, że etykiety zastosowane do zestawów danych lub magazynów danych w usługa Power BI zostaną zastosowane do nowej zawartości utworzonej na podstawie tych zestawów danych imartów danych.
  • Interfejsy API skanowania administratora usługi Power BI mogą wyodrębniać etykietę poufności elementu usługi Power BI, umożliwiając administratorom usługi Power BI i InfoSec monitorowanie etykietowania w usługa Power BI i tworzenie raportów wykonawczych.
  • Interfejsy API administratora usługi Power BI umożliwiają zespołom centralnym programowe stosowanie etykiet poufności do zawartości w usługa Power BI.
  • Centralne zespoły mogą tworzyć obowiązkowe zasady etykiet w celu wymuszania stosowania etykiet na nowej lub edytowanej zawartości w usłudze Power BI.
  • Centralne zespoły mogą tworzyć domyślne zasady etykiet, aby upewnić się, że etykieta poufności jest stosowana do całej nowej lub zmienionej zawartości usługi Power BI.
  • Automatyczne etykietowanie poufności podrzędnej w usługa Power BI gwarantuje, że gdy etykieta na zestawie danych lub zestawie danych zostanie zastosowana lub zmieniona, etykieta zostanie automatycznie zastosowana lub zmieniona dla całej zawartości podrzędnej połączonej z zestawem danych lub schematem danych.

Aby uzyskać więcej informacji, zobacz Etykiety poufności w usłudze Power BI.

zasady Ochrona przed utratą danych w Microsoft Purview (DLP) dla usługi Power BI (wersja zapoznawcza)

Zasady DLP firmy Microsoft Purview mogą pomóc organizacjom zmniejszyć ryzyko wycieku poufnych danych biznesowych z usługi Power BI. Zasady DLP mogą pomóc im spełnić wymagania dotyczące zgodności przepisów rządowych lub branżowych, takich jak RODO (ogólne rozporządzenie o ochronie danych unii europejskiej) lub KPI (California Consumer Privacy Act) i upewnić się, że ich dane w usłudze Power BI są zarządzane.

Po skonfigurowaniu zasad DLP dla usługi Power BI:

  • Wszystkie zestawy danych w obszarach roboczych określonych w zasadach są oceniane przez zasady.
  • Możesz wykryć, kiedy poufne dane są przekazywane do pojemności Premium. Zasady DLP mogą wykrywać:
    • Etykiety poufności.
    • Typy informacji poufnych. Obsługiwane są ponad 260 typów. Wykrywanie typów informacji poufnych polega na skanowaniu zawartości w usłudze Microsoft Purview.
  • Gdy napotkasz zestaw danych zidentyfikowany jako poufny, zobaczysz dostosowaną poradę dotyczącą zasad, która pomaga zrozumieć, co należy zrobić.
  • Jeśli jesteś właścicielem zestawu danych, możesz zastąpić zasady i uniemożliwić zidentyfikowanie zestawu danych jako "poufne", jeśli masz prawidłową przyczynę.
  • Jeśli jesteś właścicielem zestawu danych, możesz zgłosić problem z zasadami, jeśli stwierdzisz, że typ poufnych informacji został zidentyfikowany fałszywie.
  • Automatyczne środki zaradcze ryzyka, takie jak alerty administratora zabezpieczeń, można wywołać.

Aby uzyskać więcej informacji, zobacz Zasady zapobiegania utracie danych dla usługi Power BI.

Microsoft Defender for Cloud Apps dla usługi Power BI

Microsoft Defender for Cloud Apps jest jednym z wiodących na świecie brokerów zabezpieczeń dostępu do chmury, nazwanych jako lider w Magic Quadrant Firmy Gartner na rynku brokera zabezpieczeń dostępu do chmury (CASB). Usługa Defender for Cloud Apps służy do zabezpieczania korzystania z aplikacji w chmurze. Umożliwia organizacjom monitorowanie i kontrolowanie ryzykownych sesji usługi Power BI w czasie rzeczywistym, takich jak dostęp użytkowników z urządzeń niezarządzanych. Administratorzy zabezpieczeń mogą definiować zasady w celu kontrolowania akcji użytkownika, takich jak pobieranie raportów z poufnymi informacjami.

Dzięki usłudze Defender for Cloud Apps organizacje mogą uzyskać następujące możliwości DLP:

  • Ustaw kontrolki w czasie rzeczywistym, aby wymusić ryzykowne sesje użytkowników w usłudze Power BI. Jeśli na przykład użytkownik łączy się z usługą Power BI spoza kraju lub regionu, sesję można monitorować za pomocą kontrolek usługi Defender for Cloud Apps w czasie rzeczywistym i ryzykownych akcji, takich jak pobieranie danych oznaczonych etykietą poufności "Wysoce poufne", można zablokować natychmiast.
  • Zbadaj aktywność użytkownika usługi Power BI za pomocą dziennika aktywności usługi Defender for Cloud Apps. Dziennik aktywności usługi Defender for Cloud Apps zawiera działanie usługi Power BI przechwycone w dzienniku inspekcji Office 365, które zawiera informacje o wszystkich działaniach użytkowników i administratorów, a także informacje o etykietach poufności dla odpowiednich działań, takich jak stosowanie, zmienianie i usuwanie etykiety. Administratorzy mogą korzystać z zaawansowanych filtrów usługi Defender for Cloud Apps i szybkich akcji w celu skutecznego badania problemów.
  • Tworzenie niestandardowych zasad w celu powiadamiania o podejrzanych działaniach użytkowników w usłudze Power BI. Funkcję zasad działania usługi Defender for Cloud Apps można wykorzystać do definiowania własnych reguł niestandardowych, aby ułatwić wykrywanie zachowań użytkowników, które odbiegają od normy, a nawet ewentualnie działać automatycznie, jeśli wydaje się zbyt niebezpieczne.
  • Praca z wbudowanym wykrywaniem anomalii w usłudze Defender for Cloud Apps. Zasady wykrywania anomalii w usłudze Defender for Cloud Apps zapewniają wbudowaną analizę behawioralną użytkowników i uczenie maszynowe, dzięki czemu możesz od samego początku uruchomić zaawansowane wykrywanie zagrożeń w środowisku chmury. Gdy zasady wykrywania anomalii identyfikują podejrzane zachowanie, wyzwala alert zabezpieczeń.
  • Rola administratora usługi Power BI w portalu usługi Defender for Cloud Apps. Usługa Defender for Cloud Apps udostępnia rolę administratora specyficzną dla aplikacji, która może służyć do udzielania administratorom usługi Power BI tylko uprawnień potrzebnych do uzyskiwania dostępu do danych związanych z usługą Power BI w portalu, takich jak alerty, użytkownicy narażeni na ryzyko, dzienniki aktywności i inne informacje związane z usługą Power BI.

Aby uzyskać dodatkowe informacje, zobacz Using Microsoft Defender for Cloud Apps Controls in Power BI (Używanie kontrolek Microsoft Defender for Cloud Apps w usłudze Power BI).

Funkcje zabezpieczeń w wersji zapoznawczej

W tym temacie wymieniono funkcje, które mają zostać wydane do marca 2021 r. Ponieważ ten temat zawiera listę funkcji, które nie zostały jeszcze wydane, harmonogramy dostarczania mogą ulec zmianie i przewidywane funkcje mogą zostać wydane później niż marzec 2021 r. lub w ogóle nie zostaną wydane. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zapoznaj się z warunkami dotyczącymi usług online.

Bring Your Own Log Analytics (BYOLA)

Usługa Bring Your Own Log Analytics umożliwia integrację między usługą Power BI i usługą Azure Log Analytics. Ta integracja obejmuje zaawansowany aparat analityczny usługi Azure Log Analytics, interaktywny język zapytań i wbudowane konstrukcje uczenia maszynowego.

Pytania i odpowiedzi dotyczące zabezpieczeń usługi Power BI

Poniżej podano typowe pytania i odpowiedzi dotyczące zabezpieczeń usługi Power BI. Są one zorganizowane w oparciu o to, kiedy zostały dodane do tej białej księgi, aby ułatwić szybkie znajdowanie nowych pytań i odpowiedzi po zaktualizowaniu tego dokumentu. Najnowsze pytania są dodawane na końcu tej listy.

Jak użytkownicy łączą się ze źródłami danych i uzyskują do nich dostęp podczas korzystania z usługi Power BI?

  • Usługa Power BI zarządza poświadczeniami do źródeł danych dla każdego użytkownika na potrzeby poświadczeń w chmurze lub łączności za pośrednictwem bramy osobistej. Źródła danych zarządzane przez lokalną bramę danych mogą być współużytkowane przez przedsiębiorstwo i uprawnienia do tych źródeł danych mogą być zarządzane przez Administracja bramy. Podczas konfigurowania zestawu danych użytkownik może wybrać poświadczenie ze swojego magazynu osobistego lub użyć lokalnej bramy danych do użycia poświadczeń udostępnionych.

    W przypadku importowania użytkownik ustanawia połączenie na podstawie logowania użytkownika i uzyskuje dostęp do danych przy użyciu poświadczeń. Po opublikowaniu zestawu danych w celu usługa Power BI usługa Power BI zawsze używa poświadczeń tego użytkownika do importowania danych. Po zaimportowaniu danych wyświetlanie danych w raportach i na pulpicie nawigacyjnym nie ma dostępu do bazowego źródła danych. Usługa Power BI obsługuje uwierzytelnianie jednokrotne dla wybranych źródeł danych. Jeśli połączenie jest skonfigurowane do korzystania z logowania jednokrotnego, poświadczenie właściciela zestawu danych jest używane do nawiązywania połączenia ze źródłem danych.

    W przypadku raportów połączonych z zapytaniem bezpośrednim źródło danych jest połączone bezpośrednio przy użyciu wstępnie skonfigurowanego poświadczenia, poświadczenie wstępnie skonfigurowane jest używane do nawiązywania połączenia ze źródłem danych, gdy każdy użytkownik wyświetla dane. Jeśli źródło danych jest połączone bezpośrednio przy użyciu logowania jednokrotnego, poświadczenie bieżącego użytkownika jest używane do nawiązywania połączenia ze źródłem danych, gdy użytkownik wyświetla dane. W przypadku korzystania z logowania jednokrotnego zabezpieczenia na poziomie wiersza i/lub zabezpieczeń na poziomie obiektu (OLS) można zaimplementować w źródle danych, co umożliwia użytkownikom wyświetlanie danych, do których mają uprawnienia dostępu. Gdy połączenie jest ze źródłami danych w chmurze, Azure AD uwierzytelnianie jest używane do logowania jednokrotnego. Obsługiwane są lokalne źródła danych, Kerberos, SAML i Azure AD.

    Podczas nawiązywania połączenia za pomocą protokołu Kerberos nazwa UPN użytkownika jest przekazywana do bramy, a przy użyciu ograniczonego delegowania Protokołu Kerberos użytkownik jest personifikowany i połączony z odpowiednimi źródłami danych. Język SAML jest również obsługiwany w bramie dla źródła danych SAP HANA. Więcej informacji można znaleźć w temacie Omówienie logowania jednokrotnego dla bram.

    Jeśli źródło danych jest Azure Analysis Services lub lokalne usługi Analysis Services i zabezpieczenia na poziomie wiersza (RLS) i/lub zabezpieczenia na poziomie obiektu (OLS), usługa Power BI zastosuje te zabezpieczenia na poziomie wiersza, a użytkownicy, którzy nie mają wystarczających poświadczeń dostępu do danych bazowych (które mogą być zapytaniem używanym na pulpicie nawigacyjnym, raporcie lub innym artefaktie danych), nie będą widzieć danych dla którego użytkownik nie ma wystarczających uprawnień.

    Zabezpieczenia na poziomie wiersza w usłudze Power BI mogą służyć do ograniczania dostępu do danych dla konkretnych użytkowników. Filtry ograniczają dostęp do danych na poziomie wiersza i można definiować filtry w ramach roli.

    Zabezpieczenia na poziomie obiektu (OLS) mogą służyć do zabezpieczania poufnych tabel lub kolumn. Jednak w przeciwieństwie do zabezpieczeń na poziomie wiersza zabezpieczenia na poziomie obiektu zabezpieczają również nazwy obiektów i metadane. Pomaga to zapobiec wykryciu nawet istnienia takich obiektów przez złośliwych użytkowników. Zabezpieczone tabele i kolumny są zaciemniane na liście pól podczas korzystania z narzędzi raportowania, takich jak Excel lub Power BI, a ponadto użytkownicy bez uprawnień nie mogą uzyskiwać dostępu do zabezpieczonych obiektów metadanych za pośrednictwem języka DAX lub innej metody. Z punktu widzenia użytkowników bez odpowiednich uprawnień dostępu zabezpieczone tabele i kolumny po prostu nie istnieją.

    Zabezpieczenia na poziomie obiektu, wraz z zabezpieczeniami na poziomie wiersza, umożliwiają ulepszone zabezpieczenia klasy korporacyjnej w raportach i zestawach danych, zapewniając, że tylko użytkownicy z wymaganymi uprawnieniami mają dostęp do wyświetlania i interakcji z poufnymi danymi.

Jak dane są przesyłane do usługi Power BI?

  • Wszystkie dane żądane i przesyłane przez usługę Power BI są szyfrowane podczas przesyłania przy użyciu protokołu HTTPS (z wyjątkiem sytuacji, gdy źródło danych wybrane przez klienta nie obsługuje protokołu HTTPS) w celu nawiązania połączenia ze źródła danych z usługa Power BI. Ustanawiane jest bezpieczne połączenie z dostawcą danych i dopiero po nawiązaniu tego połączenia dane są przesyłane przez sieć.

Jak usługa Power BI buforuje dane raportów, pulpitów nawigacyjnych oraz modeli i czy są one bezpieczne?

  • Po korzystaniu ze źródła danych usługa Power BI następuje zgodnie z procesem opisanym w sekcji Uwierzytelnianie do źródeł danych we wcześniejszej części tego dokumentu.

Czy klienci buforują dane stron internetowych lokalnie?

  • Gdy przeglądarki klienckie uzyskują dostęp do usługi Power BI, serwery internetowe usługi Power BI ustawiają dyrektywę Cache-Control na wartość no-store. Dyrektywa no-store wskazuje przeglądarkom, aby nie buforowały strony internetowej przeglądanej przez użytkownika i nie przechowywały jej w folderze pamięci podręcznej klienta.

Co z zabezpieczeniami opartymi na rolach, udostępnianiem raportów i pulpitów nawigacyjnych oraz połączeniami danych? Jak to wygląda w kwestii dostępu do danych, wyświetlania pulpitów nawigacyjnych oraz dostępu do raportów i ich odświeżania?

  • W przypadku źródeł danych nieobsługujących zabezpieczeń na poziomie roli udostępnienie pulpitu nawigacyjnego, raportu lub modelu danych innym użytkownikom za pośrednictwem usługi Power BI powoduje, że dane są dostępne dla użytkowników, którym zostały udostępnione do wyświetlania i interakcji. Usługa Power BI nie uwierzytelnia ponownie użytkowników w oryginalnym źródle danych. Po przekazaniu danych do usługi Power BI użytkownik, który uwierzytelnił się w źródle danych, jest odpowiedzialny za wyznaczanie innych użytkowników i grup mogących wyświetlać dane.

    Gdy połączenia danych są wykonywane ze źródłem danych obsługującym zabezpieczenia na poziomie wiersza, takim jak źródło danych usług Analysis Services, tylko dane pulpitu nawigacyjnego są buforowane w usłudze Power BI. Za każdym razem, gdy w usłudze Power BI uzyskuje się dostęp do raportu albo zestawu danych używającego danych ze źródła danych obsługującego zabezpieczenia na poziomie roli, usługa Power BI uzyskuje dostęp do tego źródła danych, aby pobrać dane na podstawie poświadczeń użytkownika, i jeśli istnieją wystarczające uprawnienia, dane są ładowane do modelu danych lub raportu dla tego użytkownika. W przypadku niepowodzenia uwierzytelniania użytkownik zobaczy błąd.

    Aby uzyskać więcej informacji, zobacz sekcję Uwierzytelnianie do źródeł danych we wcześniejszej części tego dokumentu.

Nasi użytkownicy łączą się zawsze z tymi samymi źródłami danych. Niektóre z nich wymagają poświadczeń innych niż ich poświadczenia domeny. Jak mogą oni uniknąć konieczności wprowadzania tych poświadczeń przy każdym ustanawianiu połączenia danych?

  • Usługa Power BI oferuje funkcję Power BI Personal Gateway, która umożliwia użytkownikom tworzenie poświadczeń dla wielu różnych źródeł danych, a następnie automatyczne używanie tych poświadczeń przy kolejnym dostępie do każdego z tych źródeł danych. Aby uzyskać więcej informacji, zobacz Power BI Personal Gateway.

Które porty są używane przez lokalną bramę danych i bramę osobistą? Czy istnieją nazwy domen, które muszą być dozwolone na potrzeby łączności?

  • Szczegółowa odpowiedź na to pytanie jest dostępna pod następującym linkiem: Porty bramy

Jak są używane i gdzie są przechowywane klucze odzyskiwania podczas pracy z lokalną bramą danych? Jak wygląda bezpieczne zarządzanie poświadczeniami?

  • Podczas instalacji i konfiguracji bramy administrator wpisuje klucz odzyskiwania bramy. Ten klucz odzyskiwania służy do generowania silnego klucza symetrycznego AES. Klucz asymetryczny RSA jest również tworzony w tym samym czasie.

    Te wygenerowane klucze (RSA i AES) są przechowywane w pliku na komputerze lokalnym. Ten plik również jest szyfrowany. Zawartość tego pliku może odszyfrować tylko ten konkretny komputer z systemem Windows i tylko konkretne konto usługi bramy.

    Gdy użytkownik wprowadza poświadczenia źródła danych w interfejsie użytkownika usługi Power BI, poświadczenia są szyfrowane przy użyciu klucza publicznego w przeglądarce. Brama odszyfrowuje poświadczenia przy użyciu klucza prywatnego RSA i ponownie szyfruje je przy użyciu klucza symetrycznego AES przed zapisaniem danych w usługa Power BI. W tym procesie usługa Power BI nigdy nie ma dostępu do niezaszyfrowanych danych.

Jakie protokoły komunikacyjne są używane przez lokalną bramę danych i jak są one zabezpieczone?

  • Brama obsługuje następujące dwa protokoły komunikacji:

    • AMQP 1.0 — TCP + TLS: ten protokół wymaga portów 443, 5671-5672 i 9350-9354 do otwarcia komunikacji wychodzącej. Jest to preferowany protokół, ponieważ ma mniejszy narzut komunikacji.

    • HTTPS — webSockets za pośrednictwem protokołu HTTPS + TLS: ten protokół używa tylko portu 443. Gniazdo WebSocket jest inicjowane przez pojedynczy komunikat CONNECT protokołu HTTP. Po ustanowieniu kanału komunikacja przebiega zasadniczo przy użyciu protokołów TCP i TLS. Bramę można wymusić na użyciu tego protokołu, modyfikując ustawienie opisane w artykule dotyczącym bramy lokalnej.

Jaka jest rola usługi Azure CDN w usłudze Power BI?

  • Jak wspomniano wcześniej, usługa Power BI korzysta z usługi Content Delivery Network (CDN), aby skutecznie dostarczać niezbędną zawartość statyczną i pliki do użytkowników na podstawie lokalizacji geograficznej. W szczególności, usługa Power BI używa wielu usług CDN, aby efektywnie dystrybuować niezbędną zawartość statyczną i pliki do użytkowników przez publiczny Internet. Wśród tych plików statycznych znajdują się pliki produktów do pobrania (np. Power BI Desktop, lokalna brama danych lub aplikacje usługi Power BI od różnych niezależnych dostawców usług), pliki konfiguracji przeglądarki używane do inicjowania i ustanawiania wszystkich kolejnych połączeń z usługą Power BI, a także początkowa bezpieczna strona logowania usługi Power BI.

    Bazując na informacjach podanych przy pierwszym połączeniu z usługą Power BI, przeglądarka użytkownika kontaktuje się z określoną usługą CDN platformy Azure (lub z frontonem internetowym w przypadku niektórych plików), aby pobrać kolekcję określonych wspólnych plików potrzebnych do interakcji przeglądarki z usługą Power BI. Następnie strona przeglądarki zawiera token Azure AD, informacje o sesji, lokalizację skojarzonego klastra zaplecza oraz kolekcję plików pobranych z klastra usługi Azure CDN i WFE przez czas trwania sesji przeglądarki usługa Power BI.

Czy w przypadku wizualizacji usługi Power BI firma Microsoft przeprowadza ocenę zabezpieczeń lub prywatności niestandardowego kodu wizualnego przed opublikowaniem elementów w galerii?

  • Nie. Klient odpowiada za przegląd kodu wizualizacji niestandardowej i ustalenie, czy jest on niezawodny. Cały kod wizualizacji niestandardowych jest uruchamiany w środowisku piaskownicy, tak aby błędny kod nie wpłynął negatywnie na pozostałą część usługi Power BI.

Czy są inne wizualizacje usługi Power BI, które wysyłają informacje poza sieć klienta?

  • Tak. Usługa Mapy Bing i wizualizacje ESRI przesyłają dane poza usługę Power BI w przypadku wizualizacji korzystających z tych usług.

Czy w przypadku aplikacji szablonów firma Microsoft przeprowadza ocenę zabezpieczeń lub prywatności aplikacji szablonu przed opublikowaniem elementów w galerii?

  • Nie. Wydawca aplikacji jest odpowiedzialny za zawartość, podczas gdy klient ponosi odpowiedzialność za przeglądanie i określanie, czy ufać wydawcy aplikacji szablonu.

Czy istnieją aplikacje szablonów, które mogą wysyłać informacje poza siecią klienta?

  • Tak. Klient jest odpowiedzialny za przejrzenie zasad ochrony prywatności wydawcy i określenie, czy zainstalować aplikację szablonu w dzierżawie. Wydawca jest odpowiedzialny za informowanie klienta o zachowaniu i możliwościach aplikacji.

Co z suwerennością danych? Czy możemy aprowizować dzierżawy w centrach danych znajdujących się w określonych lokalizacjach geograficznych, aby zapewnić, że dane nie opuszczają granic kraju lub regionu?

  • Niektórzy klienci w określonych lokalizacjach geograficznych mają możliwość utworzenia dzierżawy w chmurze krajowej, gdzie przechowywanie i przetwarzanie danych jest odseparowane od innych centrów danych. Chmury krajowe mają nieco inny typ zabezpieczeń, ponieważ osobny zarządca danych obsługuje usługę Power BI w chmurze krajowej w imieniu firmy Microsoft.

    Alternatywnie klienci mogą również skonfigurować dzierżawę w określonym regionie. Jednak takie dzierżawy nie mają oddzielnego zaufania danych od firmy Microsoft. Chmury krajowe mają inny cennik niż ogólnie dostępna komercyjna usługa Power BI. Aby uzyskać więcej informacji o dostępności usługi Power BI dla chmur krajowych, zobacz Chmury krajowe w usłudze Power BI.

Jak firma Microsoft traktuje połączenia w przypadku klientów mających subskrypcje usługi Power BI Premium? Czy te połączenia różnią się od ustanawianych dla usługi Power BI w wersji innej niż Premium?

  • Połączenia nawiązywane dla klientów z subskrypcjami Power BI Premium implementują proces autoryzacji B2B (Business-to-Business) platformy Azure przy użyciu Azure AD w celu umożliwienia kontroli dostępu i autoryzacji. Usługa Power BI obsługuje połączenia od subskrybentów usługi Power BI Premium do zasobów usługi Power BI Premium w taki sam sposób jak dla wszystkich innych użytkowników usługi Azure AD.

Jak działa uwierzytelnianie po stronie serwera wfe?

  • Uwierzytelnianie po stronie usługi sekwencji uwierzytelniania użytkownika odbywa się zgodnie z opisem w poniższych krokach, które przedstawiono na poniższej ilustracji.

  1. Użytkownik inicjuje połączenie z usługa Power BI z przeglądarki, wpisując adres usługi Power BI na pasku adresu lub wybierając pozycję Zaloguj się na stronie marketingowej usługi Power BI (https://powerbi.microsoft.com). Ustanawiane jest połączenie przy użyciu protokołów TLS 1.2 i HTTPS, a w całej dalszej komunikacji między przeglądarką i usługą Power BI jest używany protokół HTTPS.

  2. Usługa Azure Traffic Manager sprawdza rekord DNS użytkownika w celu określenia najbardziej odpowiedniego (zwykle najbliższego) centrum danych, w którym wdrożono usługę Power BI, i odpowiada na system DNS przy użyciu adresu IP klastra frontonu internetowego, do którego powinien zostać wysłany użytkownik.

  3. Następnie fronton internetowy przekierowuje użytkownika do strony logowania usług Microsoft Online Services.

  4. Po uwierzytelnieniu użytkownika strona logowania przekierowuje użytkownika do wcześniej określonego najbliższego klastra usługa Power BI frontonu internetowego przy użyciu kodu uwierzytelniania.

  5. Klaster frontonu internetowego sprawdza usługę Azure AD w celu uzyskania tokenu zabezpieczającego Azure AD przy użyciu kodu uwierzytelniania. Gdy Azure AD zwraca pomyślne uwierzytelnianie użytkownika i zwraca Azure AD token zabezpieczający, klaster frontonu internetowego skonsultuje się z usługą globalną Usługi Power BI, która utrzymuje listę dzierżaw i ich lokalizacji klastra zaplecza usługi Power BI oraz określa, który klaster usługi zaplecza usługi Power BI zawiera dzierżawę użytkownika. Klaster frontonu internetowego zwraca następnie stronę aplikacji do przeglądarki użytkownika z informacjami o sesji, dostępie i routingu wymaganymi do jej działania.

  6. Teraz, gdy przeglądarka klienta wymaga danych klienta, będzie wysyłać żądania do adresu klastra zaplecza z tokenem dostępu Azure AD w nagłówku Autoryzacja. Klaster zaplecza usługi Power BI odczytuje token dostępu Azure AD i weryfikuje podpis, aby upewnić się, że tożsamość żądania jest prawidłowa. Token dostępu Azure AD będzie miał datę wygaśnięcia ustawioną zgodnie z zasadami Azure AD, a utrzymanie bieżącej sesji klienta usługi Power BI w przeglądarce użytkownika będzie wysyłać okresowe żądania odnowienia tokenu dostępu przed wygaśnięciem.

Diagram przedstawiający sekwencję uwierzytelniania frontonu internetowego.

Dodatkowe zasoby

Aby uzyskać więcej informacji o usłudze Power BI, zobacz następujące zasoby.