Segurança do Power BI
Para obter informações detalhadas sobre a segurança do Power BI, consulte o white paper Segurança do Power BI.
Para planejar a segurança do Power BI, consulte a série de artigos de planejamento de segurança de planejamento de implementação do Power BI. Ele expande o conteúdo do white paper Segurança do Power BI. Embora o white paper de segurança do Power BI se concentre em tópicos técnicos importantes, como autenticação, residência de dados e isolamento de rede, o objetivo principal da série é fornecer considerações e decisões para ajudá-lo a planejar a segurança e a privacidade.
O serviço Power BI baseia-se no Azure, a infraestrutura e plataforma de computação em nuvem da Microsoft. A arquitetura do serviço do Power BI é baseada em dois clusters:
- O cluster Web Front End (WFE). O cluster WFE gerencia a conexão inicial e a autenticação para o serviço do Power BI.
- O cluster Back-End . Uma vez autenticado, o Back-End lida com todas as interações subsequentes do usuário. O Power BI usa a ID do Microsoft Entra para armazenar e gerenciar identidades de usuário. O Microsoft Entra ID também gerencia o armazenamento de dados e metadados usando o BLOB do Azure e o Banco de Dados SQL do Azure, respectivamente.
Arquitetura do Power BI
O cluster WFE usa a ID do Microsoft Entra para autenticar clientes e fornecer tokens para conexões de cliente subsequentes com o serviço do Power BI. O Power BI usa o Gerenciador de Tráfego do Azure (Gerenciador de Tráfego) para direcionar o tráfego do usuário para o datacenter mais próximo. O Gerenciador de Tráfego direciona solicitações usando o registro DNS do cliente que tenta se conectar, autenticar e baixar conteúdo estático e arquivos. O Power BI usa a CDN (Rede de Entrega de Conteúdo) do Azure para distribuir com eficiência o conteúdo estático e os arquivos necessários aos usuários com base na localidade geográfica.
O cluster Back-End determina como os clientes autenticados interagem com o serviço do Power BI. O cluster Back-End gerencia visualizações, painéis de usuário, modelos semânticos, relatórios, armazenamento de dados, conexões de dados, atualização de dados e outros aspetos da interação com o serviço do Power BI. A Função de Gateway atua como um gateway entre as solicitações do usuário e o serviço do Power BI. Os usuários não interagem diretamente com nenhuma outra função além da Função de Gateway. O Gerenciamento de API do Azure eventualmente lida com a Função de Gateway.
Importante
Somente as funções de Gerenciamento de API do Azure e Gateway são acessíveis por meio da Internet pública. Eles fornecem autenticação, autorização, proteção contra DDoS, limitação, balanceamento de carga, roteamento e outros recursos.
Segurança de armazenamento de dados
O Power BI usa dois repositórios principais para armazenar e gerenciar dados:
- Os dados carregados dos usuários normalmente são enviados para o Armazenamento de Blobs do Azure.
- Todos os metadados, incluindo itens para o próprio sistema, são armazenados no Banco de Dados SQL do Azure.
A linha pontilhada mostrada no diagrama de cluster Back-End esclarece o limite entre os dois componentes que são acessíveis pelos usuários mostrados à esquerda da linha pontilhada. As funções que só são acessíveis pelo sistema são mostradas à direita. Quando um usuário autenticado se conecta ao Serviço do Power BI, a conexão e qualquer solicitação do cliente é aceita e gerenciada pela Função de Gateway , que interage em nome do usuário com o restante do Serviço do Power BI. Por exemplo, quando um cliente tenta exibir um painel, a Função de Gateway aceita essa solicitação e, em seguida, envia separadamente uma solicitação para a Função de Apresentação para recuperar os dados necessários para que o navegador exiba o painel. Eventualmente, conexões e solicitações de cliente são tratadas pelo Gerenciamento de API do Azure.
Autenticação de Utilizador
O Power BI usa a ID do Microsoft Entra para autenticar usuários que entram no serviço do Power BI. As credenciais de início de sessão são necessárias sempre que um utilizador tenta aceder a recursos seguros. Os usuários entram no serviço do Power BI usando o endereço de email com o qual estabeleceram sua conta do Power BI. O Power BI usa as mesmas credenciais que o nome de usuário efetivo e o passa para os recursos sempre que um usuário tenta se conectar aos dados. O nome de usuário efetivo é então mapeado para um Nome Principal de Usuário e é resolvido para a conta de domínio do Windows associada à qual a autenticação é aplicada.
Para organizações que usaram endereços de email de trabalho para entrar no Power BI, por exemplodavid@contoso.com
, o nome de usuário efetivo para mapeamento UPN é simples. Para organizações que não usavam endereços de email de trabalho, por exemplo david@contoso.onmicrosoft.com
, o mapeamento entre a ID do Microsoft Entra e as credenciais locais requer que a sincronização de diretórios funcione corretamente.
A segurança da plataforma para o Power BI também inclui segurança de ambiente multilocatário, segurança de rede e a capacidade de adicionar outras medidas de segurança baseadas em ID do Microsoft Entra.
Segurança de Dados e Serviços
Para obter mais informações, consulte Central de Confiabilidade da Microsoft, Produtos e serviços executados em confiança.
Conforme descrito anteriormente, os servidores AD locais usam uma entrada do Power BI para mapear credenciais para um UPN. No entanto, os utilizadores devem compreender a sensibilidade dos dados que partilham. Depois de se conectar com segurança a uma fonte de dados e, em seguida, compartilhar relatórios, painéis ou modelos semânticos com outras pessoas, os destinatários terão acesso ao relatório. Os destinatários não precisam entrar na fonte de dados.
Uma exceção é conectar-se ao SQL Server Analysis Services usando o gateway de dados local. Os painéis são armazenados em cache no Power BI, mas o acesso a relatórios subjacentes ou modelos semânticos inicia a autenticação para cada usuário que tenta acessar o relatório ou modelo semântico. O acesso só será concedido se o utilizador tiver credenciais suficientes para aceder aos dados. Para obter mais informações, consulte Gateway de dados local em profundidade.
Impondo o uso da versão TLS
Os administradores de rede e de TI podem impor o requisito de uso do TLS (Transport Layer Security) atual para qualquer comunicação segura em sua rede. O Windows fornece suporte para versões TLS através do Microsoft Schannel Provider, para obter mais informações, consulte Protocolos no TLS/SSL (SSP Schannel).
Essa imposição é implementada pela configuração administrativa de chaves do Registro. Para obter detalhes de imposição, consulte Gerenciando protocolos SSL/TLS e pacotes de codificação para AD FS.
O Power BI Desktop requer TLS (Transport Layer Security) versão 1.2 (ou superior) para proteger seus pontos de extremidade. Os navegadores da Web e outros aplicativos cliente que usam versões do TLS anteriores ao TLS 1.2 não poderão se conectar. Se forem necessárias versões mais recentes do TLS, o Power BI Desktop respeitará as configurações de chave do Registro descritas nesses artigos e criará somente conexões que atendam ao requisito de versão do TLS permitido com base nessas configurações do Registro, quando presentes.
Para obter mais informações sobre como definir essas chaves do Registro, consulte Configurações do Registro TLS (Transport Layer Security).