Power BI-säkerhet

Detaljerad information om Power BI-säkerhet finns i vitboken om Power BI-säkerhet.

Information om hur du planerar för Power BI-säkerhet finns i artikeln om planering av säkerhetsserier för Power BI-implementering. Det expanderar innehållet i vitboken Power BI Security. I vitboken om Power BI-säkerhet fokuserar vi på viktiga tekniska ämnen som autentisering, datahemvist och nätverksisolering, men seriens främsta mål är att ge dig överväganden och beslut som hjälper dig att planera för säkerhet och sekretess.

Power BI-tjänst bygger på Azure, Microsofts infrastruktur och plattform för molnbaserad databehandling. Arkitekturen för Power BI-tjänst baseras på två kluster:

  • WFE-klustret (Web Front End). WFE-klustret hanterar den inledande anslutningen och autentiseringen till Power BI-tjänst.
  • Serverdelsklustret. När serverdelen har autentiserats hanterar den alla efterföljande användarinteraktioner. Power BI använder Microsoft Entra-ID för att lagra och hantera användaridentiteter. Microsoft Entra ID hanterar även datalagring och metadata med hjälp av Azure BLOB respektive Azure SQL Database.

Power BI-arkitektur

WFE-klustret använder Microsoft Entra-ID för att autentisera klienter och tillhandahålla token för efterföljande klientanslutningar till Power BI-tjänst. Power BI använder Azure Traffic Manager (Traffic Manager) för att dirigera användartrafik till närmaste datacenter. Traffic Manager dirigerar begäranden med hjälp av DNS-posten för klienten som försöker ansluta, autentisera och ladda ned statiskt innehåll och filer. Power BI använder Azure Content Delivery Network (CDN) för att effektivt distribuera nödvändigt statiskt innehåll och filer till användare baserat på geografiska nationella inställningar.

Diagram showing the Power BI Architecture focused on the WFE cluster.

Serverdelsklustret avgör hur autentiserade klienter interagerar med Power BI-tjänst. Serverdelsklustret hanterar visualiseringar, användarinstrumentpaneler, semantiska modeller, rapporter, datalagring, dataanslutningar, datauppdatering och andra aspekter av interaktion med Power BI-tjänst. Gatewayrollen fungerar som en gateway mellan användarbegäranden och Power BI-tjänst. Användare interagerar inte direkt med andra roller än gatewayrollen. Azure API Management hanterar så småningom gatewayrollen.

Diagram showing the Power BI architecture diagram focused on the Back-End cluster.

Viktigt!

Endast Azure API Management- och Gateway-roller är tillgängliga via det offentliga Internet. De tillhandahåller autentisering, auktorisering, DDoS-skydd, begränsning, belastningsutjämning, routning och andra funktioner.

Datalagringssäkerhet

Power BI använder två primära lagringsplatser för att lagra och hantera data:

  • Data som laddas upp från användare skickas vanligtvis till Azure Blob Storage.
  • Alla metadata, inklusive objekt för själva systemet, lagras i Azure SQL Database.

Den streckade linjen som visas i klusterdiagrammet Back-End förtydligar gränsen mellan de två komponenter som är tillgängliga för användare som visas till vänster om den streckade linjen. Roller som endast är tillgängliga för systemet visas till höger. När en autentiserad användare ansluter till Power BI-tjänsten godkänns och hanteras anslutningen och alla förfrågningar från klienten av gatewayrollen som sedan interagerar för användarens räkning med resten av Power BI-tjänsten. När en klient till exempel försöker visa en instrumentpanel accepterar gatewayrollen den begäran och skickar sedan separat en begäran till presentationsrollen för att hämta de data som behövs av webbläsaren för att visa instrumentpanelen. Så småningom hanteras anslutningar och klientbegäranden av Azure API Management.

Användarautentisering

Power BI använder Microsoft Entra-ID för att autentisera användare som loggar in på Power BI-tjänst. Inloggningsuppgifter krävs när en användare försöker komma åt säkra resurser. Användare loggar in på Power BI-tjänst med hjälp av e-postadressen som de har upprättat sitt Power BI-konto med. Power BI använder samma autentiseringsuppgifter som det effektiva användarnamnet och skickar dem till resurser när en användare försöker ansluta till data. Det effektiva användarnamnet mappas sedan till ett användarnamn för användarens huvudnamn och matchas med det associerade Windows-domänkontot som autentiseringen tillämpas på.

För organisationer som använde e-postadresser för arbete för Power BI-inloggning, till exempeldavid@contoso.com, är det effektiva användarnamnet till UPN-mappningen enkelt. För organisationer som inte använde arbets-e-postadresser, till exempel david@contoso.onmicrosoft.com mappning mellan Microsoft Entra-ID och lokala autentiseringsuppgifter, krävs katalogsynkronisering för att fungera korrekt.

Plattformssäkerhet för Power BI omfattar även miljösäkerhet för flera klientorganisationer, nätverkssäkerhet och möjligheten att lägga till andra Microsoft Entra ID-baserade säkerhetsåtgärder.

Data- och tjänstsäkerhet

Mer information finns i Microsoft Trust Center, Produkter och tjänster som körs på förtroende.

Som tidigare beskrivits använder lokala AD-servrar en Power BI-inloggning för att mappa till ett UPN för autentiseringsuppgifter. Användarna måste dock förstå känsligheten för de data de delar. När du har anslutit till en datakälla på ett säkert sätt och sedan delat rapporter, instrumentpaneler eller semantiska modeller med andra beviljas mottagarna åtkomst till rapporten. Mottagarna behöver inte logga in på datakällan.

Ett undantag är att ansluta till SQL Server Analysis Services med hjälp av den lokala datagatewayen. Instrumentpaneler cachelagras i Power BI, men åtkomst till underliggande rapporter eller semantiska modeller initierar autentisering för varje användare som försöker komma åt rapporten eller semantikmodellen. Åtkomst beviljas endast om användaren har tillräckliga autentiseringsuppgifter för att komma åt data. Mer information finns i Lokal datagateway på djupet.

Framtvinga TLS-versionsanvändning

Nätverks- och IT-administratörer kan framtvinga kravet på att använda aktuell TLS (Transport Layer Security) för säker kommunikation i nätverket. Windows tillhandahåller stöd för TLS-versioner via Microsoft Schannel-providern. Mer information finns i Protokoll i TLS/SSL (Schannel SSP).

Den här tillämpningen implementeras genom att registernycklar konfigureras administrativt. Mer information om tvingande finns i Hantera SSL/TLS-protokoll och chiffersviter för AD FS.

Power BI Desktop kräver TLS (Transport Layer Security) version 1.2 (eller senare) för att skydda dina slutpunkter. Webbläsare och andra klientprogram som använder TLS-versioner tidigare än TLS 1.2 kommer inte att kunna ansluta. Om nyare versioner av TLS krävs respekterar Power BI Desktop registernyckelinställningarna som beskrivs i dessa artiklar och skapar endast anslutningar som uppfyller versionskravet för TLS som tillåts baserat på dessa registerinställningar när de finns.

Mer information om hur du ställer in dessa registernycklar finns i TLS-registerinställningar (Transport Layer Security).