Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para obtener información detallada sobre la seguridad de Power BI, consulte el documento técnico sobre Seguridad de Power BI.
Para planear la seguridad de Power BI, consulte la serie de artículos sobre la planeación de la implementación de Power BI. Se amplía el contenido del documento técnico de Seguridad de Power BI. Aunque las notas del producto de seguridad de Power BI se centran en temas técnicos clave, como la autenticación, la residencia de datos y el aislamiento de red, el objetivo principal de la serie es proporcionarle consideraciones y decisiones que le ayudarán a planear la seguridad y la privacidad.
El servicio Power BI se basa en Azure, la infraestructura y la plataforma de informática en la nube de Microsoft. La arquitectura del servicio Power BI se basa en dos clústeres:
- Clúster de front-end web (WFE). El clúster wfe administra la conexión inicial y la autenticación al servicio Power BI.
- Clúster Back-End. Una vez autenticado, el back-end controla todas las interacciones de usuario posteriores. Power BI usa microsoft Entra ID para almacenar y administrar identidades de usuario. Microsoft Entra ID también administra el almacenamiento de datos y los metadatos mediante Azure BLOB y Azure SQL Database, respectivamente.
Arquitectura de Power BI
El clúster WFE usa el identificador de Entra de Microsoft para autenticar a los clientes y proporcionar tokens para las conexiones de cliente posteriores al servicio Power BI. Power BI usa Azure Traffic Manager (Traffic Manager) para dirigir el tráfico de usuario al centro de datos más cercano. Traffic Manager dirige las solicitudes mediante el registro DNS del cliente que intenta conectarse, autenticarse y descargar contenido estático y archivos. Power BI usa Azure Content Delivery Network (CDN) para distribuir eficazmente el contenido estático y los archivos necesarios a los usuarios en función de la configuración regional geográfica.
El clúster back-end determina cómo interactúan los clientes autenticados con el servicio Power BI. El clúster back-end administra visualizaciones, paneles de usuario, modelos semánticos, informes, almacenamiento de datos, conexiones de datos, actualización de datos y otros aspectos de la interacción con el servicio Power BI. El rol de puerta de enlace actúa como puerta de enlace entre las solicitudes de usuario y el servicio Power BI. Los usuarios no interactúan directamente con ningún rol distinto del rol de puerta de enlace. Azure API Management se encarga finalmente del rol de puerta de enlace.
Importante
Solo se puede acceder a los roles de Azure API Management y Gateway a través de la red pública de Internet. Proporcionan autenticación, autorización, protección contra DDoS, limitación, equilibrio de carga, enrutamiento y otras funcionalidades.
Seguridad del almacenamiento de datos
Power BI usa dos repositorios principales para almacenar y administrar datos:
- Los datos cargados desde los usuarios normalmente se envían a Azure Blob Storage.
- Todos los metadatos, incluidos los elementos del propio sistema, se almacenan en Azure SQL Database.
La línea de puntos que se muestra en el diagrama del clúster back-end , aclara el límite entre los dos componentes a los que pueden acceder los usuarios que se muestran a la izquierda de la línea de puntos. Los roles a los que solo puede acceder el sistema se muestran a la derecha. Cuando un usuario autenticado se conecta al servicio Power BI, el rol de puerta de enlace acepta y administra la conexión y cualquier solicitud del cliente que, a continuación, interactúa en nombre del usuario con el resto del servicio Power BI. Por ejemplo, cuando un cliente intenta ver un panel, el rol de puerta de enlace acepta esa solicitud y, a continuación, envía por separado una solicitud al rol de presentación para recuperar los datos necesarios por el explorador para mostrar el panel. Finalmente, Azure API Management controla las conexiones y las solicitudes de cliente.
Autenticación de usuario
Power BI usa el identificador de Entra de Microsoft para autenticar a los usuarios que inician sesión en el servicio Power BI. Las credenciales de inicio de sesión son necesarias siempre que un usuario intenta acceder a recursos seguros. Los usuarios inician sesión en el servicio Power BI mediante la dirección de correo electrónico con la que establecieron su cuenta de Power BI. Power BI usa las mismas credenciales que el nombre de usuario efectivo y la pasa a los recursos cada vez que un usuario intenta conectarse a los datos. A continuación, el nombre de usuario efectivo se asigna a un nombre principal de usuario y se resuelve en la cuenta de dominio de Windows asociada contra la cual se aplica la autenticación.
En el caso de las organizaciones que usaron direcciones de correo electrónico de trabajo para el inicio de sesión de Power BI, por ejemplo david@contoso.com, la asignación de UPN para el nombre de usuario efectivo es sencilla. Para las organizaciones que no usaron direcciones de correo electrónico de trabajo, por ejemplo david@contoso.onmicrosoft.com , la asignación entre el identificador de Entra de Microsoft y las credenciales locales requiere que la sincronización de directorios funcione correctamente.
La seguridad de la plataforma para Power BI también incluye la seguridad del entorno multiinquilino, la seguridad de red y la capacidad de agregar otras medidas de seguridad basadas en identificadores de Microsoft Entra.
Seguridad de datos y servicios
Para obtener más información, consulte Centro de confianza de Microsoft, Productos y servicios que se ejecutan en confianza.
Como se ha descrito anteriormente, los servidores de AD locales utilizan una autenticación de Power BI para asociarla con un UPN para las credenciales. Sin embargo, los usuarios deben comprender la confidencialidad de los datos que comparten. Después de conectarse de forma segura a un origen de datos y, a continuación, compartir informes, paneles o modelos semánticos con otros usuarios, a los destinatarios se les concede acceso al informe. Los destinatarios no tienen que iniciar sesión en el origen de datos.
Una excepción es conectar a SQL Server Analysis Services mediante el puerta de enlace de datos local. Los paneles se almacenan en caché en Power BI, pero el acceso a informes subyacentes o modelos semánticos inicia la autenticación para cada usuario que intenta acceder al informe o al modelo semántico. Solo se concederá acceso si el usuario tiene suficientes credenciales para acceder a los datos. Para más información, consulte Puerta de enlace de datos local en profundidad.
Imposición del uso de las versiones de TLS
Los administradores de red y TI pueden aplicar el requisito de usar la seguridad de la capa de transporte (TLS) actual para cualquier comunicación protegida en su red. Windows proporciona compatibilidad con las versiones de TLS a través del proveedor de Microsoft Schannel para obtener más información, consulte Protocolos en TLS/SSL (Schannel SSP).
Esta imposición se lleva a cabo mediante la configuración administrativa de claves de registro. Para obtener más información sobre el cumplimiento, consulte Administración de protocolos SSL/TLS y conjuntos de cifrado para AD FS.
Power BI Desktop requiere TLS (Seguridad de la capa de transporte) versión 1.2 (o superior) para proteger los puntos de conexión. Los exploradores web y otras aplicaciones cliente que usan versiones de TLS anteriores a TLS 1.2 no podrán conectarse. Si se requiere una versión más reciente de TLS, Power BI Desktop respeta la configuración de la clave del Registro descrita en esos artículos y solo crea conexiones que cumplan el requisito de versión de TLS permitido en función de la configuración del Registro, cuando estén presentes.
Para obtener más información sobre cómo establecer estas claves del Registro, consulte Configuración del Registro de seguridad de la capa de transporte (TLS).