Power BI 安全

  • 项目

有关 Power BI 安全的详细信息,请参阅 Power BI 安全白皮书

若要规划 Power BI 安全性,请参阅 Power BI 实现规划的安全系列文章。 它对 Power BI 安全性白皮书中的内容进行了扩展。 Power BI 安全白皮书侧重于身份验证、数据驻留和网络隔离等关键技术主题,本系列文章的主要目标则是介绍用于帮助规划安全和隐私的注意事项和决策。

Power BI 服务基于 Azure,即 Microsoft 的云计算基础结构和平台。 Power BI 服务的体系结构基于两个群集:

  • Web 前端 (WFE) 群集。 WFE 群集管理初始连接并对 Power BI 服务进行身份验证。
  • 后端群集。 身份验证后,后端将处理所有后续用户交互。 Power BI 使用 Microsoft Entra ID 来存储和管理用户标识。 Microsoft Entra ID 还分别使用 Azure BLOB 和 Azure SQL 数据库来管理数据存储和元数据。

Power BI 体系结构

WFE 群集使用 Microsoft Entra ID 对客户端进行身份验证,并为后续客户端连接到 Power BI 服务提供令牌。 Power BI 使用 Azure 流量管理器(流量管理器)将用户流量定向到最近的数据中心。 流量管理器使用尝试连接、进行身份验证以及下载静态内容和文件的客户端的 DNS 记录来指示请求。 Power BI 使用 Azure 内容分发网络 (CDN) 来有效地根据地理区域设置将所需的静态内容和文件分发到用户。

Diagram showing the Power BI Architecture focused on the WFE cluster.

后端群集确定经身份验证的客户端如何与 Power BI 服务进行交互。 后端群集管理可视化、用户仪表板、语义模型、报表、数据存储、数据连接、数据刷新以及与 Power BI 服务进行交互的其他方面。 网关角色充当用户请求与 Power BI 服务之间的网关。 用户并不直接与网关角色以外的任何角色进行交互。 Azure API 管理将最终处理网关角色。

Diagram showing the Power BI architecture diagram focused on the Back-End cluster.

重要

只有 Azure API 管理和网关角色可通过公共 Internet 访问。 它们提供身份验证、授权、DDoS 防护、限制、负载平衡、路由和其他功能。

数据存储安全性

Power BI 使用两个主要存储库来存储和管理数据:

  • 从用户上传的数据通常会发送到 Azure Blob 存储。
  • 所有元数据(包括系统本身的项)都存储在 Azure SQL 数据库中。

后端群集图中显示的虚线阐明了两个组件之间的边界,这些组件可由虚线左侧显示的用户访问。 只有系统可访问的角色显示在右侧。 经身份验证的用户连接到 Power BI 服务时,该连接和客户端的任何请求均由网关角色接受和管理,网关角色会以用户的名义与 Power BI 服务的其余部分进行交互。 例如,当客户端尝试查看仪表板时,网关角色接受该请求,然后分别发送请求到演示文稿角色来检索浏览器显示仪表板时所需的数据。 最终,连接和客户端请求由 Azure API 管理处理。

用户身份验证

Power BI 使用 Microsoft Entra ID 对登录 Power BI 服务的用户进行身份验证。 每当用户尝试访问安全资源时,都需要登录凭据。 用户使用用于建立 Power BI 帐户的电子邮件地址登录到 Power BI 服务。 Power BI 使用与有效用户名相同的凭据,并在用户尝试连接到数据时将其传递给资源。 然后,有效用户名将映射到用户主体名称,解析为关联的 Windows 域帐户,并对其应用身份验证。

对于使用工作电子邮件地址(例如 david@contoso.com)进行 Power BI 登录的组织,有效用户名映射到 UPN 非常简单。 对于不使用工作电子邮件地址(例如 david@contoso.onmicrosoft.com)的组织,Microsoft Entra ID 与本地凭据之间的映射需要目录同步才能正常工作。

Power BI 的平台安全还包括多租户环境安全、网络安全和添加其他基于 Microsoft Entra ID 的安全措施的能力。

数据和服务安全

有关详细信息,请参阅 Microsoft 信任中心,依托于信赖的产品和服务

如前所述,本地 AD 服务器使用 Power BI 登录映射到 UPN 以获取凭据。 但是,用户必须了解他们共享数据的敏感性。 安全地连接到数据源,然后与他人共享报表、仪表板或语义模型后,收件人将有权访问报表。 收件人无需登录到数据源。

例外情况是使用本地数据网关连接到 SQL Server Analysis Services。 仪表板缓存在 Power BI 中,但访问基础报表或语义模型会为尝试访问报表或语义模型的每个用户启动身份验证。 仅当用户有足够的凭据来访问数据时,才会获得访问权限。 有关详细信息,请参阅深入了解本地数据网关

强制使用特定 TLS 版本

网络和 IT 管理员可以强制要求为其网络上的任何安全通信使用当前的传输层安全性 (TLS)。 Windows 通过 Microsoft Schannel 提供程序提供对 TLS 版本的支持,有关详细信息,请参阅 TLS/SSL (Schannel SSP) 中的协议

通过以管理方式设置注册表项来执行此强制操作。 有关强制实施的详细信息,请参阅管理 AD FS 的 SSL/TLS 协议和密码套件

Power BI Desktop 需要 TLS(传输层安全性)版本 1.2(或更高版本),以确保终结点的安全。 Web 浏览器和使用 TLS 1.2 之前的 TLS 版本的其他客户端应用程序将无法连接。 如果需要更新版本的 TLS,Power BI Desktop 会遵循这些文章中所述的注册表项设置,并且仅基于这些注册表设置(如有)创建满足所允许的 TLS 的版本要求的连接。

有关设置这些注册表项的详细信息,请参阅传输层安全性 (TLS) 注册表设置