Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ausführliche Informationen zur Power BI-Sicherheit finden Sie im Power BI Security-Whitepaper.
Informationen zum Planen der Power BI-Sicherheit finden Sie in der Artikelreihe zur Sicherheitsplanung für die Power BI-Implementierung. Sie erweitert den Inhalt im Power BI Security-Whitepaper. Während sich das Power BI-Sicherheits-Whitepaper auf wichtige technische Themen wie Authentifizierung, Data Residency und Netzwerkisolation konzentriert, besteht das Hauptziel der Serie darin, Ihnen Überlegungen und Entscheidungen bereitzustellen, die Ihnen bei der Planung von Sicherheit und Datenschutz helfen.
Der Power BI-Dienst basiert auf Azure, der Cloud Computing-Infrastruktur und -Plattform von Microsoft. Die Architektur des Power BI-Diensts basiert auf zwei Clustern:
- Der Web-Front-End-Cluster (WFE). Der WFE-Cluster verwaltet die anfängliche Verbindung und Authentifizierung mit dem Power BI-Dienst.
- Der Back-End-Cluster . Nach der Authentifizierung behandelt das Back-End alle nachfolgenden Benutzerinteraktionen. Power BI verwendet Microsoft Entra-ID zum Speichern und Verwalten von Benutzeridentitäten. Microsoft Entra ID verwaltet außerdem die Datenspeicherung und Metadaten mithilfe von Azure BLOB und Azure SQL-Datenbank.
Power BI-Architektur
Der WFE-Cluster verwendet Microsoft Entra-ID zum Authentifizieren von Clients und stellt Token für nachfolgende Clientverbindungen mit dem Power BI-Dienst bereit. Power BI verwendet den Azure Traffic Manager (Traffic Manager), um den Benutzerdatenverkehr an das nächste Rechenzentrum zu leiten. Der Datenverkehrs-Manager leitet Anforderungen mithilfe des DNS-Eintrags des Clients an, der versucht, eine Verbindung herzustellen, zu authentifizieren und statische Inhalte und Dateien herunterzuladen. Power BI verwendet das Azure Content Delivery Network (CDN), um die erforderlichen statischen Inhalte und Dateien effizient basierend auf geografischem Gebietsschema an Benutzer zu verteilen.
Der Back-End-Cluster bestimmt, wie authentifizierte Clients mit dem Power BI-Dienst interagieren. Der Back-End-Cluster verwaltet Visualisierungen, Benutzerdashboards, semantische Modelle, Berichte, Datenspeicher, Datenverbindungen, Datenaktualisierung und andere Aspekte der Interaktion mit dem Power BI-Dienst. Die Gatewayrolle fungiert als Gateway zwischen Benutzeranforderungen und dem Power BI-Dienst. Benutzer interagieren nicht direkt mit anderen Rollen als der Gatewayrolle. Azure API Management behandelt schließlich die Gatewayrolle.
Von Bedeutung
Nur auf Azure API Management und Gateway-Rollen kann über das öffentliche Internet zugegriffen werden. Sie bieten Authentifizierung, Autorisierung, DDoS-Schutz, Drosselung, Lastenausgleich, Routing und andere Funktionen.
Datenspeichersicherheit
Power BI verwendet zwei primäre Repositorys zum Speichern und Verwalten von Daten:
- Daten, die von Benutzern hochgeladen werden, werden in der Regel an Azure Blob Storage gesendet.
- Alle Metadaten, einschließlich Elemente für das System selbst, werden in der Azure SQL-Datenbank gespeichert.
Die gepunktete Linie, die im Back-End-Clusterdiagramm angezeigt wird, verdeutlicht die Grenze zwischen den beiden Komponenten, auf die Benutzer zugreifen können, die links neben der gepunkteten Linie angezeigt werden. Rollen, auf die nur vom System zugegriffen werden kann, werden rechts angezeigt. Wenn ein authentifizierter Benutzer eine Verbindung mit dem Power BI-Dienst herstellt, wird die Verbindung und jede Anforderung des Clients von der Gatewayrolle akzeptiert und verwaltet, die dann im Namen des Benutzers mit dem Rest des Power BI-Diensts interagiert. Wenn beispielsweise ein Client versucht, ein Dashboard anzuzeigen, akzeptiert die Gatewayrolle diese Anforderung und sendet dann separat eine Anforderung an die Präsentationsrolle , um die vom Browser zum Anzeigen des Dashboards benötigten Daten abzurufen. Schließlich werden Verbindungen und Clientanforderungen von Azure API Management verarbeitet.
Benutzerauthentifizierung
Power BI verwendet Microsoft Entra-ID , um Benutzer zu authentifizieren, die sich beim Power BI-Dienst anmelden. Anmeldeinformationen sind erforderlich, wenn ein Benutzer versucht, auf sichere Ressourcen zuzugreifen. Benutzer melden sich mit der E-Mail-Adresse, mit der sie ihr Power BI-Konto eingerichtet haben, beim Power BI-Dienst an. Power BI verwendet dieselben Anmeldeinformationen wie der effektive Benutzername und übergibt sie an Ressourcen, wenn ein Benutzer versucht, eine Verbindung mit Daten herzustellen. Der effektive Benutzername wird dann einem Benutzerprinzipalnamen zugeordnet und auf das zugehörige Windows-Domänenkonto abgebildet, gegen das die Authentifizierung angewendet wird.
Für Organisationen, die geschäftliche E-Mail-Adressen für die Power BI-Anmeldung verwendet haben, beispielsweise david@contoso.com, ist die effektive Benutzername-UPN-Zuordnung einfach. Für Organisationen, die keine geschäftlichen E-Mail-Adressen verwendet haben, erfordert beispielsweise die Zuordnung zwischen Microsoft Entra-ID und lokalen Anmeldeinformationen, dass die Verzeichnissynchronisierung ordnungsgemäß funktioniert.
Die Plattformsicherheit für Power BI umfasst auch mehrinstanzenfähige Umgebungssicherheit, Netzwerksicherheit und die Möglichkeit, weitere sicherheitsbasierte Sicherheitsmaßnahmen für Microsoft Entra ID hinzuzufügen.
Daten- und Dienstsicherheit
Weitere Informationen finden Sie unter Microsoft Trust Center, Produkte und Services, die auf Vertrauen basieren.
Wie zuvor beschrieben verwenden lokale AD-Server einen Power BI-Anmeldevorgang, um einem UPN für die Authentifizierung zuzuordnen. Benutzer müssen jedoch die Vertraulichkeit der von ihnen freigegebenen Daten verstehen. Nachdem Sie sicher eine Verbindung zu einer Datenquelle hergestellt und dann Berichte, Dashboards oder semantische Modelle für andere freigegeben haben, erhalten die Empfänger Zugriff auf diese. Empfänger müssen sich nicht bei der Datenquelle anmelden.
Eine Ausnahme bildet die Verbindung zu SQL Server Analysis Services über das lokale Datengateway. Dashboards werden in Power BI zwischengespeichert, aber der Zugriff auf zugrunde liegende Berichte oder semantische Modelle initiiert die Authentifizierung für jeden Benutzer, der versucht, auf den Bericht oder das semantische Modell zuzugreifen. Der Zugriff wird nur gewährt, wenn der Benutzer über ausreichende Anmeldeinformationen verfügt, um auf die Daten zuzugreifen. Weitere Informationen finden Sie unter On-premises-Daten-Gateway im Detail.
Erzwingen der TLS-Versionsverwendung
Netzwerk- und IT-Administratoren können die Anforderung für die Verwendung der aktuellen Transport Layer Security (TLS) für jede gesicherte Kommunikation in ihrem Netzwerk erzwingen. Windows bietet Unterstützung für TLS-Versionen über den Microsoft Schannel-Anbieter, weitere Informationen finden Sie in den Protokollen in TLS/SSL (Schannel SSP).
Diese Erzwingung wird durch administratives Festlegen von Registrierungsschlüsseln implementiert. Details zur Erzwingung finden Sie unter Verwalten von SSL/TLS-Protokollen und Cipher Suites für AD FS.
Power BI Desktop erfordert TLS (Transport Layer Security) Version 1.2 (oder höher), um Ihre Endpunkte zu sichern. Webbrowser und andere Clientanwendungen, die TLS-Versionen vor TLS 1.2 verwenden, können keine Verbindung herstellen. Wenn eine neuere Version von TLS erforderlich ist, berücksichtigt Power BI Desktop die in diesen Artikeln beschriebenen Registrierungsschlüsseleinstellungen und erstellt nur Verbindungen, die die Versionsanforderung von TLS erfüllen, die basierend auf diesen Registrierungseinstellungen zulässig sind.
Weitere Informationen zum Festlegen dieser Registrierungsschlüssel finden Sie unter TLS-Registrierungseinstellungen (Transport Layer Security).