Freigeben über

Bringen Sie Ihre eigenen Verschlüsselungsschlüssel für Power BI mit

Standardmäßig verwendet Power BI von Microsoft verwaltete Schlüssel, um Ihre Daten zu verschlüsseln. In Power BI Premium können Sie auch eigene Schlüssel für ruhende Daten verwenden, die in ein semantisches Modell importiert werden. Dieser Ansatz wird häufig als bring your own key (BYOK) beschrieben. Weitere Informationen finden Sie unter Überlegungen zu Datenquellen und Speicher. Power BI BYOK unterstützt doppelte Verschlüsselung und stellt mehrschichtige Sicherheit und Compliance mit Unternehmensverschlüsselungsstandards sicher. Dies umfasst die Verschlüsselung auf Speicherebene mithilfe von Server-Side Encryption (SSE) und clientseitiger Verschlüsselung mit einem von Microsoft verwalteten Datenverschlüsselungsschlüssel (DEK). Diese DEK wird mit einem CMK umschlossen, bevor ruhende Daten gespeichert werden.

Warum BYOK verwenden?

BYOK erleichtert es, Compliance-Anforderungen zu erfüllen, die wichtige Vereinbarungen mit dem Clouddienstanbieter angeben, in diesem Fall Microsoft. Mit BYOK stellen Sie die Verschlüsselungsschlüssel für Ihre ruhenden Power BI-Daten auf Anwendungsebene bereit und steuern diese. Daher können Sie die Kontrolle ausüben und die Schlüssel Ihrer Organisation widerrufen, wenn Sie sich entschließen, den Dienst zu beenden. Durch das Widerrufen der Schlüssel werden die Daten innerhalb von 30 Minuten für den Dienst unlesbar.

Überlegungen zu Datenquellen und Speicher

Um BYOK zu verwenden, müssen Sie Daten aus einer Power BI Desktop-Datei (PBIX) in den Power BI-Dienst hochladen. Byok kann in den folgenden Szenarien nicht verwendet werden:

BYOK gilt nur für semantische Modelle. Pushsemantikmodelle, Excel-Dateien und CSV-Dateien, die Benutzer in den Dienst hochladen können, werden nicht mit Ihrem eigenen Schlüssel verschlüsselt. Verwenden Sie den folgenden PowerShell-Befehl, um zu ermitteln, welche Elemente in Ihren Arbeitsbereichen gespeichert sind:

PS C:\> Get-PowerBIWorkspace -Scope Organization -Include All

Hinweis

Für dieses Cmdlet ist das Power BI-Verwaltungsmodul v1.0.840 erforderlich. Sie können sehen, welche Version Sie verwenden, indem Sie ausführen Get-InstalledModule -Name MicrosoftPowerBIMgmt. Installieren Sie die neueste Version, indem Sie diese ausführen Install-Module -Name MicrosoftPowerBIMgmt. Weitere Informationen zum Power BI-Cmdlet und den zugehörigen Parametern finden Sie im Power BI PowerShell-Cmdlet-Modul.

Konfigurieren von Azure Key Vault

In diesem Abschnitt wird erläutert, wie Sie Azure Key Vault konfigurieren, ein Tool zum sicheren Speichern und Zugreifen auf geheime Schlüssel, z. B. Verschlüsselungsschlüssel. Sie können einen vorhandenen Schlüsseltresor verwenden, um Verschlüsselungsschlüssel zu speichern, oder Sie können einen neuen schlüsselspezifisch für die Verwendung mit Power BI erstellen.

Die folgenden Anweisungen übernehmen grundlegende Kenntnisse von Azure Key Vault. Weitere Informationen finden Sie unter Was ist Azure Key Vault?

Konfigurieren Sie Ihren Schlüsseltresor wie folgt:

  1. Fügen Sie den Power BI-Dienst als Dienstprinzipal für den Schlüsseltresor mit Umbruch- und Entschlüsselungsberechtigungen hinzu.

  2. Erstellen Sie einen RSA-Schlüssel mit einer Länge von 4096 Bit, oder verwenden Sie einen vorhandenen Schlüssel dieses Typs, mit Umbruch- und Entschlüsselungsberechtigungen.

    Von Bedeutung

    Power BI BYOK unterstützt RSA- und RSA-HSM-Schlüssel mit einer Länge von 4096 Bit.

  3. Empfohlen: Überprüfen Sie, ob der Schlüsseltresor die Option " Vorläufiges Löschen " aktiviert hat.

Dienstprinzipal hinzufügen

  1. Melden Sie sich beim Azure-Portal an, und suchen Sie nach Key Vaults.

  2. Wählen Sie in Ihrem Schlüsseltresor Access-Richtlinien und dann "Erstellen" aus.

    Screenshot der Schaltfläche

  3. Wählen Sie auf dem Bildschirm "Berechtigungen" unter "Schlüsselberechtigungen" die Option "Schlüssel entwrapen " und " Umbruchschlüssel" und dann " Weiter" aus.

    Screenshot des Berechtigungsbildschirms zum Erstellen einer neuen Zugriffsrichtlinie.

  4. Suchen Sie auf dem Hauptbildschirm nach Microsoft.Azure.AnalysisServices, und wählen Sie sie aus.

    Hinweis

    Wenn Sie Microsoft.Azure.AnalysisServices nicht finden können, ist es wahrscheinlich, dass dem Azure-Abonnement, das Ihrem Azure Key Vault zugeordnet ist, nie eine Power BI-Ressource zugeordnet war. Suchen Sie stattdessen nach der folgenden Zeichenfolge: 00000009-0000-0000-c000-00000000000.

    Screenshot des Hauptbildschirms, um einen neuen Prinzipal für die Zugriffsrichtlinie auszuwählen.

  5. Wählen Sie "Weiter" und dann "Überprüfen" unddann"Erstellen" aus>.

Die rollenbasierte Zugriffssteuerung von Azure kann auch verwendet werden, um Berechtigungen zu erteilen, indem sie eine Rolle auswählen, die die Berechtigungen " Schlüssel entpacken" und " Umbruchschlüssel " enthält.

Hinweis

Um den Power BI-Zugriff auf Ihre Daten zu widerrufen, entfernen Sie die Zugriffsrechte für diesen Dienstprinzipal aus Ihrem Azure Key Vault.

Erstellen eines RSA-Schlüssels

  1. Wählen Sie im Schlüsseltresor unter "Schlüssel" die Option "Generieren/Importieren" aus.

  2. Wählen Sie einen Schlüsseltyp von RSA und eine RSA-Schlüsselgröße von 4096 aus.

    Screenshot des RSA-Schlüsseltyps und der Größenauswahl.

  3. Wählen Sie "Erstellen" aus.

  4. Wählen Sie unter "Schlüssel" den von Ihnen erstellten Schlüssel aus.

  5. Wählen Sie die GUID für die aktuelle Version des Schlüssels aus.

  6. Überprüfen Sie, ob die Umbruchtaste und der Entschlüsselungsschlüssel beide ausgewählt sind. Kopieren Sie den Schlüsselbezeichner , der verwendet werden soll, wenn Sie BYOK in Power BI aktivieren.

    Screenshot der wichtigsten Eigenschaften mit dem Bezeichner und zulässigen Vorgängen.

Option "Vorläufiges Löschen"

Sie sollten das vorläufige Löschen in Ihrem Schlüsseltresor aktivieren, um den Schutz vor Datenverlust im Falle versehentlicher Schlüssel- oder Schlüsseltresorlöschung zu ermöglichen. Um die Eigenschaft für das vorläufige Löschen zu aktivieren, müssen Sie PowerShell verwenden, da diese Option noch nicht im Azure-Portal verfügbar ist.

Wenn Azure Key Vault ordnungsgemäß konfiguriert ist, können Sie BYOK auf Ihrem Mandanten aktivieren.

Konfigurieren der Azure Key Vault-Firewall

In diesem Abschnitt wird die Verwendung der Umgehung der vertrauenswürdigen Microsoft-Dienstfirewall beschrieben, um eine Firewall um Ihren Azure Key Vault zu konfigurieren.

Hinweis

Sie können die Firewallregeln für Ihren Schlüsseltresor aktivieren. Sie können auch festlegen, dass die Firewall gemäß der Standardeinstellung auf Ihrem Schlüsseltresor deaktiviert ist.

Power BI ist ein vertrauenswürdiger Microsoft-Dienst. Sie können die Schlüsseltresorfirewall anweisen, den Zugriff auf alle vertrauenswürdigen Microsoft-Dienste zu ermöglichen, eine Einstellung, mit der Power BI ohne Angabe von Endpunktverbindungen auf Ihren Schlüsseltresor zugreifen kann.

Führen Sie die folgenden Schritte aus, um Azure Key Vault so zu konfigurieren, dass der Zugriff auf vertrauenswürdige Microsoft-Dienste zulässt:

  1. Suchen Sie im Azure-Portal nach Key Vaults , und wählen Sie dann den Schlüsseltresor aus, den Sie den Zugriff von Power BI und allen anderen vertrauenswürdigen Microsoft-Diensten zulassen möchten.

  2. Wählen Sie "Netzwerk" im linken Navigationsbereich aus.

  3. Wählen Sie unter "Öffentlicher Zugriff – Zugriff zulassen von:" die Option "Ausgewählte Netzwerke" aus.

    Screenshot der Azure Key Vault-Netzwerkoption, wobei die Option

  4. Scrollen Sie nach unten zum Abschnitt "Ausnahme" , und wählen Sie "Vertrauenswürdige Microsoft-Dienste zulassen" aus, um diese Firewall zu umgehen.

    Screenshot der Option zum Zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen können.

  5. Wählen Sie Anwenden.

Aktivieren von BYOK auf Ihrem Mandanten

Sie aktivieren BYOK auf Mandantenebene mithilfe von PowerShell. Installieren Sie zunächst das Power BI-Verwaltungspaket für PowerShell , und führen Sie die Verschlüsselungsschlüssel ein, die Sie in Azure Key Vault erstellt und in Ihrem Power BI-Mandanten gespeichert haben. Anschließend weisen Sie diese Verschlüsselungsschlüssel pro Premium-Kapazität zum Verschlüsseln von Inhalten in der Kapazität zu.

Wichtige Überlegungen

Beachten Sie vor der Aktivierung von BYOK die folgenden Überlegungen:

  • Zu diesem Zeitpunkt können Sie BYOK nach der Aktivierung nicht deaktivieren. Je nachdem, wie Sie Parameter Add-PowerBIEncryptionKeyangeben, können Sie steuern, wie Sie BYOK für eine oder mehrere Ihrer Kapazitäten verwenden. Sie können die Einführung von Schlüsseln für Ihren Mandanten jedoch nicht rückgängig machen. Weitere Informationen finden Sie unter Enable BYOK.
  • Sie können einen Arbeitsbereich, der BYOK verwendet, nicht direkt aus einer Kapazität in Power BI Premium auf eine freigegebene Kapazität verschieben. Sie müssen den Arbeitsbereich zuerst in eine Kapazität verschieben, für die BYOK nicht aktiviert ist.
  • Wenn Sie einen Arbeitsbereich verschieben, der BYOK von einer Kapazität in Power BI Premium auf eine freigegebene Kapazität verwendet, können Berichte und semantische Modelle nicht mehr darauf zugreifen, da sie mit dem Schlüssel verschlüsselt sind. Um diese Situation zu vermeiden, müssen Sie zuerst den Arbeitsbereich auf eine Kapazität verschieben, für die BYOK nicht ™aktiviert ist.

BYOK aktivieren

Um BYOK zu aktivieren, müssen Sie ein Power BI-Administrator sein, der mit dem Connect-PowerBIServiceAccount Cmdlet angemeldet ist. Verwenden Sie dann Add-PowerBIEncryptionKey , um BYOK zu aktivieren, wie im folgenden Beispiel gezeigt:

Add-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

Führen Sie zum Add-PowerBIEncryptionKey Hinzufügen mehrerer Schlüssel verschiedene Werte für -Name und -KeyVaultKeyUri.

Das Cmdlet akzeptiert zwei Switchparameter, die sich auf die Verschlüsselung für aktuelle und zukünftige Kapazitäten auswirken. Standardmäßig sind keine der Schalter festgelegt:

  • -Activate: Gibt an, dass dieser Schlüssel für alle vorhandenen Kapazitäten im Mandanten verwendet wird, die noch nicht verschlüsselt sind.
  • -Default: Gibt an, dass dieser Schlüssel jetzt der Standard für den gesamten Mandanten ist. Wenn Sie eine neue Kapazität erstellen, erbt die Kapazität diesen Schlüssel.

Von Bedeutung

Wenn Sie angeben -Default, werden alle von diesem Punkt auf Ihrem Mandanten erstellten Kapazitäten mit dem von Ihnen angegebenen Schlüssel oder einem aktualisierten Standardschlüssel verschlüsselt. Sie können den Standardvorgang nicht rückgängig machen, sodass Sie die Möglichkeit verlieren, eine Premiumkapazität in Ihrem Mandanten zu erstellen, die BYOK nicht verwendet.

Nachdem Sie BYOK für Ihren Mandanten aktiviert haben, legen Sie den Verschlüsselungsschlüssel für eine oder mehrere Power BI-Kapazitäten fest:

  1. Verwenden Sie Get-PowerBICapacity , um die Kapazitäts-ID abzurufen, die für den nächsten Schritt erforderlich ist.

    Get-PowerBICapacity -Scope Individual

    Das Cmdlet gibt die Ausgabe ähnlich der folgenden Ausgabe zurück:

    Id              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
DisplayName     : Test Capacity
Admins          : adam@sometestdomain.com
Sku             : P1
State           : Active
UserAccessRight : Admin
Region          : North Central US

  2. Verwenden Sie Set-PowerBICapacityEncryptionKey , um den Verschlüsselungsschlüssel festzulegen:

    Set-PowerBICapacityEncryptionKey -CapacityId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -KeyName 'Contoso Sales'

Sie haben die Kontrolle darüber, wie Sie BYOK in Ihrem Mandanten verwenden. Um z. B. eine einzelne Kapazität zu verschlüsseln, rufen Sie Add-PowerBIEncryptionKey ohne -Activate oder -Default. Rufen Set-PowerBICapacityEncryptionKey Sie dann die Kapazität auf, in der Sie BYOK aktivieren möchten.

Verwalten von BYOK

Power BI bietet zusätzliche Cmdlets zur Verwaltung von BYOK in Ihrem Mandanten:

  • Verwenden Sie Get-PowerBICapacity , um den Schlüssel abzurufen, den eine Kapazität derzeit verwendet:

    Get-PowerBICapacity -Scope Organization -ShowEncryptionKey

  • Verwenden Sie Get-PowerBIEncryptionKey , um den Schlüssel abzurufen, den Ihr Mandant derzeit verwendet:

    Get-PowerBIEncryptionKey

  • Verwenden Sie Get-PowerBIWorkspaceEncryptionStatus , um festzustellen, ob die semantischen Modelle in einem Arbeitsbereich verschlüsselt sind und ob ihr Verschlüsselungsstatus mit dem Arbeitsbereich synchronisiert ist:

    Get-PowerBIWorkspaceEncryptionStatus -Name'Contoso Sales'

    Beachten Sie, dass die Verschlüsselung auf Kapazitätsebene aktiviert ist, Aber Sie erhalten den Verschlüsselungsstatus auf der Semantikmodellebene für den angegebenen Arbeitsbereich.

  • Verwenden Sie Switch-PowerBIEncryptionKey , um die Version des Schlüssels, der für die Verschlüsselung verwendet wird, zu wechseln (oder zu drehen). Das Cmdlet aktualisiert einfach den -KeyVaultKeyUri Schlüssel -Name:

    Switch-PowerBIEncryptionKey -Name'Contoso Sales' -KeyVaultKeyUri'https://contoso-vault2.vault.azure.net/keys/ContosoKeyVault/b2ab4ba1c7b341eea5ecaaa2wb54c4d2'

    Beachten Sie, dass der aktuelle Schlüssel aktiviert werden soll.

Verwandte Inhalte

  • Last updated on