Power BI 是 Microsoft Fabric 中附带提供的一个在线软件服务(SaaS 或软件即服务),你可以通过它轻松快速地创建自助式商业智能仪表板、报表、语义模型和可视化效果。 使用 Power BI,可以连接到多个不同的数据源,合并并规整来自这些连接的数据,然后创建可与其他人共享的报表和仪表板。
本文概述了在存储、处理和传输客户数据方面采用的 Power BI 数据处理做法。
静态数据
Power BI 使用两种主要的数据存储资源类型:
Azure 存储
Azure SQL 数据库
在大多数方案中,将会利用 Azure 存储保存 Power BI 项目的数据,同时将 Azure SQL 数据库用于保存项目元数据。
默认情况下,Power BI 保留的所有数据都使用 Microsoft 管理的密钥进行加密。 存储在 Azure SQL 数据库中的客户数据使用 Azure SQL 的透明数据加密 (TDE) 技术进行完全加密。 存储在 Azure 存储中的客户数据使用 Azure 存储加密进行加密。
(可选)组织可以利用 Power BI Premium 使用自己的密钥来加密导入到语义模型中的静态数据。 这种方法通常被称为创建自己的密钥 (BYOK)。 利用 BYOK 有助于确保即使服务操作员出错,也不会公开客户数据 - 这是使用透明服务端加密无法轻松实现的。 有关更多详细信息,请参阅适用于 Power BI 的自带加密密钥。
借助 Power BI 语义模型,可以使用各种数据源连接模式,以确定是否将数据源数据保留在服务中。
| 语义模型模式(种类) | 数据持久保存在 Power BI 中 |
|---|---|
| 导入 | 是 |
| DirectQuery | 否 |
| 实时连接 | 否 |
| DirectLake | 否(存储在 OneLake 中) |
| 合成 | 如果包含导入数据源 |
| 流式处理 | 如果配置为持久保存 |
无论使用哪种语义模型模式,Power BI 都可以暂时缓存任何检索到的数据,以优化查询和报表加载性能。
正在处理的数据
当一个或多个用户在交互式方案中主动使用数据时,或者当后台进程(如刷新)接触此数据时,数据将处于正在处理状态。 Power BI 将主动处理的数据加载到一个或多个服务工作负载的内存空间中。 为了帮助实现工作负载所需的功能,不会对内存中已处理的数据进行加密。
Power BI Embedded 分析
独立软件供应商 (ISV) 和解决方案提供商在其 Web 应用程序和门户中嵌入 Power BI 项目有两种主要模式:为组织嵌入和为客户嵌入。 项目嵌入到应用程序或门户中的 IFrame 中。 不允许 IFrame 从外部 Web 应用程序或门户读取或写入数据,并且与 IFrame 的通信是通过使用 POST 消息的 Power BI 客户端 SDK 完成的。
在为组织嵌入方案中,通过 Microsoft Entra 或通过 IT 的自定义门户。 本文中所述的所有 Power BI 策略和功能(如行级别安全性 (RLS) 和对象级别安全性 (OLS))都会自动应用于所有用户,无论他们是通过 Power BI 门户还是通过自定义门户访问 Power BI。
在为客户嵌入方案中,ISV 通常拥有 Power BI 租户和 Power BI 项目(仪表板、报表、语义模型等)。 ISV 后端服务负责对其最终用户进行身份验证,并确定哪些项目和哪个访问级别适合该最终用户。 ISV 策略决策在 Power BI 生成的嵌入令牌中加密,并传递到 ISV 后端,以便根据 ISV 的业务逻辑进一步分发给最终用户。 使用浏览器或其他客户端应用程序的最终用户无法自动将加密的嵌入令牌作为 Authorization: EmbedToken 标头追加到 Power BI 请求。 基于此标头,Power BI 将完全按照 ISV 在生成期间指定的策略(例如访问或 RLS)强制实施所有策略。 Power BI 客户端 API 会自动将加密的嵌入令牌作为 Authorization: EmbedToken 标头追加到 Power BI 请求。 基于此标头,Power BI 将完全按照 ISV 在生成期间指定的策略(例如访问或 RLS)强制实施所有策略。
为了启用嵌入和自动化,并生成上述嵌入令牌,Power BI 公开了一组丰富的 REST API。 这些 Power BI REST API 支持用户委托和服务主体 Microsoft Entra 身份验证和授权方法。
Power BI 嵌入式分析及其 REST API 支持本文中所述的全部 Power BI 网络隔离功能:例如,服务标记和专用链接。
分页报表
分页报表是设计用于打印或共享的报表。 它们被称为“分页”,因为它们已进行了格式化,以适应页面。 即使某个表跨多个页,分页报表也能显示表中的所有数据。 你可以精确控制报表页面布局。
分页报表支持用 Microsoft Visual Basic .NET 编写的丰富且功能强大的表达式。 表达式在 Power BI Report Builder 分页报表中被广泛用于检索、计算、显示、分组、排序、筛选、参数化和格式化数据。
表达式由报表的作者创建,该作者可以访问 .NET 框架的各种功能。 分页报表的处理和执行在沙盒中执行。
分页报表定义 (.rdl) 部分。对 Power BI 服务进行身份验证部分。
身份验证期间获取的 Microsoft Entra 令牌用于直接从浏览器与 Power BI Premium 群集进行通信。
在 Power BI Premium 中,Power BI 服务运行时为每个报表呈现器提供适当隔离的执行环境。
分页报表可以在呈现报表过程中访问一组广泛的数据源。 沙盒不直接与任何数据源通信,而是与受信任的进程通信以请求数据,然后受信任的进程将所需的凭据追加到连接。 通过此方法,沙盒将永远无权访问任何凭据或机密。
为了支持必应地图或调用 Azure Functions 等功能,沙盒可以访问 Internet。
Power BI 移动版
Power BI 移动版是专为主要移动平台设计的应用集合:Android、iOS。 Power BI 移动版应用的安全注意事项分为两类:
设备通信
设备上的应用程序和数据
对于设备通信,所有 Power BI 移动版应用程序都与 Power BI 服务进行通信,并使用浏览器使用的相同连接和身份验证序列,本白皮书前面部分对此进行了详细介绍。 适用于 iOS 和 Android 的 Power BI 移动应用程序在应用程序本身中启动浏览器会话。
在使用 Power BI(登录服务)、本地 SSRS ADFS(连接到 SSRS 服务器)和 iOS 或 Android 上的 SSRS 应用代理进行身份验证时,Power BI 移动版支持基于证书的身份验证 (CBA)。
Power BI 移动版应用主动与 Power BI 服务进行通信。 遥测用于收集移动应用使用情况统计数据和类似数据,这些数据传输到用于监视使用情况和活动的服务;遥测数据中未发送个人数据。
Power BI 应用程序在设备上存储有助于使用应用的数据:
Microsoft Entra ID 和刷新令牌存储在设备上的安全机制中,使用行业标准安全措施。
数据和设置(用于用户配置的键值对)缓存在设备上的存储中,可由操作系统加密。 在 iOS 中,当用户设置密码时,会自动执行此操作。 在 Android 中,可以在设置中配置此项。 T 数据和设置(用于用户配置的键值对)缓存在沙盒中设备的存储中,以及只能由应用访问的内部存储中。
地理位置由用户显式启用或禁用。 如果启用,则不会在设备上保存地理位置数据,也不会与 Microsoft 共享。
通知由用户显式启用或禁用。 如果启用,Android 和 iOS 将不支持通知的地理数据驻留要求。
可以通过 Microsoft Intune 应用文件级加密来增强数据加密,Microsoft Intune 是一种提供移动设备和应用程序管理的软件服务。 Power BI 移动版适用的两个平台都支持 Intune。 启用并配置 Intune 后,将会加密移动设备上的数据,并且 Power BI 应用程序本身无法安装在 SD 卡上。 了解有关 Microsoft Intune 的详细信息。
为了实现 SSO,某些与基于令牌的身份验证相关的安全存储值可用于其他 Microsoft 第一方应用(如 Microsoft Authenticator),并由 Microsoft 身份验证库 (MSAL) 管理。
删除应用、用户注销 Power BI 移动版或用户登录失败(例如在令牌过期事件或密码更改后)时,将删除 Power BI 移动版缓存数据。 数据缓存包括以前从 Power BI 移动版应用访问的仪表板和报表。
Power BI 移动版不会访问设备上的其他应用程序文件夹或文件。
适用于 iOS 和 Android 的 Power BI 应用允许你通过配置其他标识来保护数据,例如提供适用于 iOS 的面容 ID、触控 ID 或密码,以及适用于 Android 的生物识别 ID(指纹 ID)。 了解有关其他标识的详细信息。 用户还可以将应用配置为在每次使用面容 ID、触控 ID 或密码将应用引入前台时都需要标识。