Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para obter informações detalhadas sobre a segurança do Power BI, consulte o white paper de Segurança do Power BI.
Para planejar a segurança do Power BI, consulte a série de artigos sobre segurança na implementação do Power BI. Aprofunda-se no conteúdo do white paper de segurança do Power BI. Embora o white paper de segurança do Power BI se concentre em tópicos técnicos importantes, como autenticação, residência de dados e isolamento de rede, o objetivo principal da série é fornecer considerações e decisões para ajudá-lo a planejar a segurança e a privacidade.
O serviço do Power BI é criado no Azure, na infraestrutura e na plataforma de computação em nuvem da Microsoft. A arquitetura do serviço do Power BI baseia-se em dois clusters:
- O cluster WFE (Web Front-End). O cluster WFE gerencia a conexão inicial e a autenticação para o serviço do Power BI.
- O cluster Back-End. Depois de autenticado, o Back-End manipula todas as interações subsequentes do usuário. O Power BI usa a ID do Microsoft Entra para armazenar e gerenciar identidades de usuário. A ID do Microsoft Entra também gerencia o armazenamento de dados e metadados usando o BLOB do Azure e o Banco de Dados SQL do Azure, respectivamente.
Arquitetura do Power BI
O cluster WFE usa a ID do Microsoft Entra para autenticar clientes e fornecer tokens para conexões de cliente subsequentes com o serviço do Power BI. O Power BI usa o Gerenciador de Tráfego do Azure (Gerenciador de Tráfego) para direcionar o tráfego do usuário para o datacenter mais próximo. O Gerenciador de Tráfego direciona solicitações usando o registro DNS do cliente que tenta se conectar, autenticar e baixar arquivos e conteúdo estático. O Power BI usa a CDN ( Rede de Distribuição de Conteúdo) do Azure para distribuir com eficiência o conteúdo estático e os arquivos necessários aos usuários com base na localidade geográfica.
O cluster back-end determina como os clientes autenticados interagem com o serviço do Power BI. O cluster back-end gerencia visualizações, painéis de usuário, modelos semânticos, relatórios, armazenamento de dados, conexões de dados, atualização de dados e outros aspectos da interação com o serviço do Power BI. A Função de Gateway atua como um gateway entre solicitações de usuário e o serviço do Power BI. Os usuários não interagem diretamente com nenhuma função que não seja a Função de Gateway. O Gerenciamento de API do Azure eventualmente manipula a Função de Gateway.
Importante
Somente Azure API Management e funções de Gateway são acessíveis por meio da Internet pública. Eles fornecem autenticação, autorização, proteção contra DDoS, limitação, balanceamento de carga, roteamento e outros recursos.
Segurança do Armazenamento de Dados
O Power BI usa dois repositórios primários para armazenar e gerenciar dados:
- Os dados carregados dos usuários normalmente são enviados para o Armazenamento de Blobs do Azure.
- Todos os metadados, incluindo itens do próprio sistema, são armazenados no Banco de Dados SQL do Azure.
A linha pontilhada mostrada no diagrama do cluster back-end esclarece o limite entre os dois componentes acessíveis pelos usuários mostrados à esquerda da linha pontilhada. As funções que só são acessíveis pelo sistema são mostradas à direita. Quando um usuário autenticado se conecta ao Serviço do Power BI, a conexão e qualquer solicitação do cliente são aceitas e gerenciadas pela Função de Gateway que, em seguida, interage em nome do usuário com o restante do Serviço do Power BI. Por exemplo, quando um cliente tenta exibir um painel, a Função de Gateway aceita essa solicitação e envia separadamente uma solicitação para a Função de Apresentação para recuperar os dados necessários para que o navegador exiba o painel. Eventualmente, as conexões e as solicitações de cliente são tratadas pelo Gerenciamento de API do Azure.
Autenticação de usuário
O Power BI usa a ID do Microsoft Entra para autenticar os usuários que entrarem no serviço do Power BI. As credenciais de entrada são necessárias sempre que um usuário tenta acessar recursos seguros. Os usuários entram no serviço do Power BI usando o endereço de email com o qual estabeleceram sua conta do Power BI. O Power BI usa as mesmas credenciais que o nome de usuário efetivo e o passa para recursos sempre que um usuário tenta se conectar aos dados. Em seguida , o nome de usuário efetivo é mapeado para um Nome Principal de Usuário e é resolvido para a conta de domínio do Windows associada contra a qual a autenticação é aplicada.
Para organizações que usaram endereços de e-mail de trabalho para fazer login no Power BI, por exemplo david@contoso.com, o nome de usuário efetivo para o mapeamento UPN é simples. Para organizações que não usaram endereços de email de trabalho, por exemplo david@contoso.onmicrosoft.com , o mapeamento entre a ID do Microsoft Entra e as credenciais locais requer que a sincronização de diretório funcione corretamente.
A segurança da plataforma para o Power BI também inclui segurança de ambiente multilocatário, segurança de rede e a capacidade de adicionar outras medidas de segurança baseadas em ID do Microsoft Entra.
Segurança de dados e serviço
Para obter mais informações, consulte a Central de Confiabilidade da Microsoft, Produtos e serviços executados com confiança.
Conforme descrito anteriormente, os servidores locais do AD usam um logon do Power BI para mapear um UPN às credenciais. No entanto, os usuários devem entender a confidencialidade dos dados que compartilham. Depois de se conectar com segurança a uma fonte de dados e compartilhar relatórios, dashboards ou modelos semânticos com outras pessoas, os destinatários receberão acesso ao relatório. Os destinatários não precisam entrar na fonte de dados.
Uma exceção é conectar-se ao SQL Server Analysis Services usando o gateway de dados local. Os painéis são armazenados em cache no Power BI, mas o acesso a relatórios subjacentes ou modelos semânticos inicia a autenticação para cada usuário que tenta acessar o relatório ou o modelo semântico. O acesso só será concedido se o usuário tiver credenciais suficientes para acessar os dados. Para obter mais informações, consulte o gateway de dados local em detalhes.
Imposição do uso de versões do TLS
Os administradores de rede e TI podem impor o requisito de uso do TLS (Transport Layer Security) atual para qualquer comunicação protegida em sua rede. O Windows fornece suporte para versões do TLS pelo Provedor Microsoft Schannel, para obter mais informações, consulte Protocolos do TLS/SSL (SSP do Schannel).
Essa imposição é implementada definindo administrativamente as chaves do Registro. Para obter detalhes sobre a imposição, consulte Gerenciando protocolos SSL/TLS e pacotes de criptografia para AD FS.
O Power BI Desktop requer TLS (Transport Layer Security) versão 1.2 (ou superior) para proteger seus pontos de extremidade. Os navegadores da Web e outros aplicativos cliente que usarem versões do TLS anteriores ao TLS 1.2 não poderão se conectar. Se uma versão mais recente do TLS for necessária, o Power BI Desktop respeitará as configurações de chave do Registro descritas nesses artigos e só criará conexões atendendo ao requisito de versão do TLS permitido com base nessas configurações do Registro, quando presente.
Para obter mais informações sobre como definir essas chaves do Registro, consulte as configurações do registro TLS (Transport Layer Security).