Power BI-sikkerhed
Du kan finde detaljerede oplysninger om Power BI-sikkerhed i hvidbogen Om Power BI-sikkerhed.
Hvis du vil planlægge power BI-sikkerhed, skal du se artikler om planlægning af sikkerhed i Forbindelse med Implementering af Power BI. Den udvider indholdet i hvidbogen Om Sikkerhed i Power BI. Selvom hvidbogen om sikkerhed i Power BI fokuserer på vigtige tekniske emner som godkendelse, dataopbevaring og netværksisolering, er det primære mål for serien at give dig overvejelser og beslutninger, der kan hjælpe dig med at planlægge sikkerhed og beskyttelse af personlige oplysninger.
Power BI-tjeneste er bygget på Azure, Microsofts cloudcomputinginfrastruktur og -platform. Arkitekturen for Power BI-tjeneste er baseret på to klynger:
- WFE-klyngen (Web Front End). WFE-klyngen administrerer den indledende forbindelse og godkendelse til Power BI-tjeneste.
- Back End-klyngen. Når back end er godkendt, håndterer den alle efterfølgende brugerinteraktioner. Power BI bruger Microsoft Entra ID til at gemme og administrere brugeridentiteter. Microsoft Entra ID administrerer også datalager og metadata ved hjælp af henholdsvis Azure BLOB og Azure SQL Database.
Power BI-arkitektur
WFE-klyngen bruger Microsoft Entra ID til at godkende klienter og levere tokens til efterfølgende klientforbindelser til Power BI-tjeneste. Power BI bruger Azure Traffic Manager (Traffic Manager) til at dirigere brugertrafik til det nærmeste datacenter. Traffic Manager dirigerer anmodninger ved hjælp af DNS-posten for klienten, der forsøger at oprette forbindelse, godkende og downloade statisk indhold og filer. Power BI bruger Azure Content Delivery Network (CDN) til effektivt at distribuere det nødvendige statiske indhold og de nødvendige statiske filer til brugere baseret på geografisk landestandard.
Back End-klyngen bestemmer, hvordan godkendte klienter interagerer med Power BI-tjeneste. Back-End-klyngen administrerer visualiseringer, brugerdashboards, semantiske modeller, rapporter, datalager, dataforbindelser, dataopdatering og andre aspekter af at interagere med Power BI-tjeneste. Gatewayrollen fungerer som en gateway mellem brugeranmodninger og Power BI-tjeneste. Brugerne interagerer ikke direkte med andre roller end gatewayrollen. Azure API Management håndterer til sidst gatewayrollen.
Vigtigt
Kun Azure API Management - og Gateway-roller er tilgængelige via det offentlige internet. De leverer godkendelse, godkendelse, DDoS-beskyttelse, begrænsning, justering af belastning, routing og andre funktioner.
Sikkerhed for datalager
Power BI bruger to primære lagre til lagring og administration af data:
- Data, der uploades fra brugere, sendes typisk til Azure Blob Storage.
- Alle metadata, herunder elementer til selve systemet, gemmes i Azure SQL Database.
Den stiplede linje, der vises i Back-End-klyngediagrammet , tydeliggør grænsen mellem de to komponenter, der er tilgængelige for brugere, som vises til venstre for den stiplede linje. Roller, der kun er tilgængelige for systemet, vises til højre. Når en godkendt bruger opretter forbindelse til Power BI-tjenesten, accepteres og administreres forbindelsen og enhver anmodning fra klienten af gatewayrollen, som derefter interagerer på brugerens vegne med resten af Power BI-tjenesten. Når en klient f.eks. forsøger at få vist et dashboard, accepterer gatewayrollen denne anmodning og sender derefter separat en anmodning til præsentationsrollen for at hente de data, der skal bruges af browseren til at vise dashboardet. Forbindelser og klientanmodninger håndteres til sidst af Azure API Management.
Brugergodkendelse
Power BI bruger Microsoft Entra ID til at godkende brugere, der logger på Power BI-tjeneste. Logonlegitimationsoplysninger er påkrævet, når en bruger forsøger at få adgang til sikre ressourcer. Brugerne logger på Power BI-tjeneste ved hjælp af den mailadresse, de har oprettet deres Power BI-konto med. Power BI bruger de samme legitimationsoplysninger som det effektive brugernavn og overfører dem til ressourcer, når en bruger forsøger at oprette forbindelse til data. Det effektive brugernavn knyttes derefter til et brugerens hovednavn og oversættes til den tilknyttede Windows-domænekonto, som godkendelse anvendes på.
For organisationer, der f.eks david@contoso.com. brugte arbejdsmailadresser til Power BI-logon, er det effektive brugernavn til UPN-tilknytning ligetil. For organisationer, der ikke brugte arbejdsmailadresser, kræver tilknytning mellem Microsoft Entra-id og legitimationsoplysninger i det lokale miljø f.eksdavid@contoso.onmicrosoft.com. katalogsynkronisering for at fungere korrekt.
Platformsikkerhed til Power BI omfatter også miljøsikkerhed med flere lejere, netværkssikkerhed og muligheden for at tilføje andre Microsoft Entra ID-baserede sikkerhedsforanstaltninger.
Data- og tjenestesikkerhed
Du kan få flere oplysninger i Microsoft Center for sikkerhed og rettighedsadministration, Produkter og tjenester, der kører på tillid.
Som beskrevet tidligere bruger AD-servere i det lokale miljø et Power BI-logon til at knytte til et UPN for legitimationsoplysninger. Brugerne skal dog forstå følsomheden af de data, de deler. Når du har oprettet sikker forbindelse til en datakilde og derefter deler rapporter, dashboards eller semantiske modeller med andre, får modtagerne adgang til rapporten. Modtagerne behøver ikke at logge på datakilden.
En undtagelse er at oprette forbindelse til SQL Server Analysis Services ved hjælp af datagatewayen i det lokale miljø. Dashboards cachelagres i Power BI, men adgang til underliggende rapporter eller semantiske modeller starter godkendelse for hver bruger, der forsøger at få adgang til rapporten eller semantisk model. Adgang tildeles kun, hvis brugeren har tilstrækkelige legitimationsoplysninger til at få adgang til dataene. Du kan finde flere oplysninger under Detaljeret datagateway i det lokale miljø.
Gennemtvingelse af brug af TLS-version
Netværks- og it-administratorer kan gennemtvinge kravet om brug af aktuel TLS (Transport Layer Security) for enhver sikker kommunikation på deres netværk. Windows understøtter TLS-versioner via Microsoft Schannel-udbyderen. Du kan få flere oplysninger under Protokoller i TLS/SSL (Schannel SSP).
Denne håndhævelse implementeres ved administrativt at angive registreringsdatabasenøgler. Du kan finde oplysninger om håndhævelse under Administration af SSL/TLS-protokoller og krypteringspakker til AD FS.
Power BI Desktop kræver TLS (Transport Layer Security) version 1.2 (eller nyere) for at sikre dine slutpunkter. Webbrowsere og andre klientprogrammer, der bruger TLS-versioner, der er ældre end TLS 1.2, kan ikke oprette forbindelse. Hvis der kræves nyere versioner af TLS, respekterer Power BI Desktop de indstillinger for registreringsdatabasenøglen, der er beskrevet i disse artikler, og opretter kun forbindelser, der opfylder versionskravet for TLS, der er tilladt, baseret på disse indstillinger i registreringsdatabasen, når de findes.
Du kan få flere oplysninger om, hvordan du angiver disse registreringsdatabasenøgler, under Indstillinger for TLS (Transport Layer Security).
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om