Power BI 安全性
如需 Power BI 安全性的詳細資訊,請參閱 Power BI 安全性白皮書。
若要規劃 Power BI 安全性,請參閱 Power BI 實作規劃安全性系列文章。 它會擴充 Power BI 安全性白皮書中的內容。 雖然 Power BI 安全性白皮書著重於驗證、資料落地和網路隔離等重要技術主題,但系列的主要目標是為您提供考量和決策,以協助您規劃安全性和隱私權。
Power BI 服務是以 Azure 為建置基礎,其為 Microsoft 的雲端運算基礎結構和平台。 Power BI 服務的架構是以兩個叢集為基礎:
- Web 前端 (WFE) 叢集。 WFE 叢集會管理對 Power BI 服務的初始連線和驗證。
- 後端叢集。 驗證之後,後端會處理所有後續的使用者互動。 Power BI 會使用 Microsoft Entra ID 來儲存和管理使用者身分識別。 Microsoft Entra ID 也會分別使用 Azure BLOB 和 Azure SQL Database 來管理資料儲存體和中繼資料。
Power BI 架構
WFE 叢集會使用 Microsoft Entra ID 來驗證用戶端,並提供權杖給 Power BI 服務的後續用戶端連線。 Power BI 會使用 Azure 流量管理員 (流量管理員) 將使用者流量導向至最近的資料中心。 流量管理員會使用嘗試連線、驗證及下載靜態內容和檔案的用戶端的 DNS 記錄來將要求導向。 Power BI 使用 Azure 內容傳遞網路 (CDN),以根據地區設定有效率地散發必要的靜態內容和檔案給使用者。
後端叢集會決定已驗證的用戶端與 Power BI 服務的互動方式。 後端叢集會管理視覺效果、使用者儀表板、語意模型、報表、資料儲存、資料連接、資料重新整理,以及與 Power BI 服務互動的其他層面。 閘道角色 擔任使用者要求與 Power BI 服務之間的閘道。 使用者不會與閘道角色以外的任何角色直接互動。 Azure API 管理最終會處理閘道角色。
重要
只有 Azure API 管理和閘道角色可透過公用網際網路存取。 這些角色提供驗證、授權、DDoS 保護、節流、負載平衡、路由及其他功能。
資料儲存安全性
Power BI 使用兩個主要存放庫來儲存和管理資料:
- 從使用者上傳的資料通常會傳送至 Azure Blob 儲存體。
- 所有中繼資料,包括系統本身的項目都會儲存在 Azure SQL Database 中。
後端叢集圖表中顯示的虛線,釐清可由虛線左邊顯示的使用者存取的兩個元件之間的界限。 右邊顯示只能由系統存取的角色。 當已驗證的使用者連線到 Power BI 服務時,用戶端的連線和任何要求 (由閘道角色接受及管理),會代表使用者與 Power BI 服務的其餘部分互動。 例如,當用戶端嘗試檢視儀表板時,閘道角色會接受該要求,然後另外傳送要求給簡報角色,以擷取瀏覽器顯示儀表板所需的資料。 最後,Azure API 管理會處理連線和用戶端要求。
使用者驗證
Power BI 會使用 Microsoft Entra ID 來驗證登入 Power BI 服務的使用者。 每當使用者嘗試存取安全資源,都需要登入認證。 使用者會使用他們用來建立 Power BI 帳戶的電子郵件位址來登入 Power BI 服務。 每當使用者嘗試連線到資料,Power BI 會使用與有效使用者名稱相同的認證,並將它傳遞給資源。 有效的使用者名稱接著會對應到使用者主體名稱,並依據所套用的驗證,解析為相關聯的 Windows 網域帳戶。
對於使用公司電子郵件地址 (例如 david@contoso.com
) 作為 Power BI 登入的組織而言,UPN 對應的有效使用者名稱很簡單。 對於未使用公司電子郵件地址的組織,例如 david@contoso.onmicrosoft.com
,Microsoft Entra ID 與內部部署認證之間的對應需要目錄同步才能正常運作。
Power BI 的平台安全性還包括多租用戶環境安全性、網路安全性,以及增加其他以 Microsoft Entra ID 為基礎之安全性措施的能力。
資料和服務安全性
如需詳細資訊,請參閱在信任基礎上執行的 Microsoft 信任中心、產品和服務。
如先前所述,內部部署 AD 伺服器會使用 Power BI 登入來對應至 UPN 以進行認證。 不過,使用者必須了解其共用資料的敏感度。 在您安全地連線到資料來源,然後與其他人共用報表、儀表板或語意模型之後,接收者就會獲得報表的存取權。 接收者不需要登入資料來源。
例外狀況是使用內部部署資料閘道連線到 SQL Server Analysis Services。 儀表板會在 Power BI 中快取,但存取基礎報表或語意模型會針對嘗試存取報表或語意模型的每個使用者起始驗證。 只有在使用者有存取資料的足夠認證時,才會授與存取權。 如需詳細資訊,請參閱深入了解內部部署資料閘道。
強制使用 TLS 版本
網路和 IT 系統管理員可以為了他們網路的安全通訊需求,強制使用目前的傳輸層安全性 (TLS)。 Windows 透過 Microsoft 安全通道提供者提供 TLS 版本的支援,如需詳細資訊,請參閱 TLS/SSL 中的通訊協定 (安全通道 SSP)。
此強制執行是透過系統管理方式設定登錄機碼來實作。 如需強制執行的詳細資料,請參閱管理 AD FS 的 SSL/TLS 通訊協定和加密套件。
Power BI Desktop 需要 TLS (傳輸層安全性) 版本 1.2 (或更新版本)來保護您的端點。 使用 TLS 1.2 之前 TLS 版本的網頁瀏覽器和其他用戶端應用程式將無法連線。 如果需要較新版本的 TLS,Power BI Desktop 會遵守這些文章中所述的登錄機碼設定,而且只會建立符合根據這些登錄設定 (如果有) 允許的 TLS 版本需求的連線。
如需設定這些登錄機碼的詳細資訊,請參閱傳輸層安全性 (TLS) 登錄設定。