Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para informações detalhadas sobre a segurança do Power BI, consulte o white paper de Segurança do Power BI.
Para planear a segurança do Power BI, consulte a série de artigos sobre planeamento de segurança da implementação do Power BI. Expande o conteúdo do white paper Power BI Security. Embora o white paper de segurança do Power BI se concentre em tópicos técnicos importantes, como autenticação, residência de dados e isolamento de rede, o objetivo principal da série é fornecer considerações e decisões para ajudá-lo a planejar a segurança e a privacidade.
O serviço Power BI é construído sobre o Azure, a infraestrutura e plataforma de computação em nuvem da Microsoft. A arquitetura do serviço Power BI baseia-se em dois clusters:
- O cluster Web Front End (WFE). O cluster WFE gere a ligação inicial e a autenticação ao serviço Power BI.
- O Cluster Back-End. Uma vez autenticado, o Back-End gere todas as interações subsequentes dos utilizadores. O Power BI utiliza o Microsoft Entra ID para armazenar e gerir identidades de utilizador. O Microsoft Entra ID também gere o armazenamento e os metadados de dados usando Azure BLOB e Azure SQL Database, respetivamente.
Arquitetura Power BI
O cluster WFE utiliza o Microsoft Entra ID para autenticar clientes e fornecer tokens para as ligações subsequentes dos clientes ao serviço Power BI. O Power BI utiliza o Azure Traffic Manager (Traffic Manager) para direcionar o tráfego dos utilizadores para o centro de dados mais próximo. O Traffic Manager dirige pedidos usando o registo DNS do cliente que tenta ligar, autenticar e descarregar conteúdos e ficheiros estáticos. O Power BI utiliza a Azure Content Delivery Network (CDN) para distribuir eficientemente o conteúdo estático e os ficheiros necessários aos utilizadores com base na localização geográfica.
O cluster Back-End determina como os clientes autenticados interagem com o serviço Power BI. O cluster Back-End gere visualizações, painéis de utilizador, modelos semânticos, relatórios, armazenamento de dados, ligações de dados, atualização de dados e outros aspetos da interação com o serviço Power BI. O Papel de Gateway atua como um gateway entre as solicitações dos utilizadores e o serviço Power BI. Os utilizadores não interagem diretamente com nenhum papel além do Papel de Gateway. Azure API Management acaba por gerir o papel de Gateway.
Importante
Apenas funções Azure API Management e Gateway são acessíveis através da Internet pública. Fornecem autenticação, autorização, proteção DDoS, limitação, balanceamento de carga, roteamento e outras capacidades.
Segurança do Armazenamento de Dados
O Power BI utiliza dois repositórios principais para armazenar e gerir dados:
- Os dados carregados pelos utilizadores são normalmente enviados para o Azure Blob Storage.
- Todos os metadados, incluindo itens do próprio sistema, são armazenados na Base de Dados Azure SQL.
A linha pontilhada mostrada no diagrama do cluster Back-End clarifica a fronteira entre os dois componentes acessíveis aos utilizadores mostrados à esquerda da linha pontilhada. Os papéis que só são acessíveis pelo sistema estão apresentados à direita. Quando um utilizador autenticado se liga ao Power BI Service, a ligação e qualquer pedido do cliente são aceites e geridos pelo Gateway Role , que interage em nome do utilizador com o resto do Power BI Service. Por exemplo, quando um cliente tenta visualizar um painel, o Papel de Gateway aceita esse pedido e, em seguida, envia separadamente um pedido ao Papel de Apresentação para recuperar os dados necessários para que o navegador exiba o painel. Eventualmente, as ligações e pedidos dos clientes são tratados pelo Azure API Management.
Autenticação de Utilizador
O Power BI usa a ID do Microsoft Entra para autenticar usuários que entram no serviço do Power BI. As credenciais de início de sessão são necessárias sempre que um utilizador tenta aceder a recursos seguros. Os utilizadores iniciam sessão no serviço Power BI usando o endereço de email com o qual estabeleceram a sua conta Power BI. O Power BI utiliza as mesmas credenciais do nome de utilizador efetivo e passa-as para os recursos sempre que um utilizador tenta ligar-se a dados. O nome de utilizador efetivo é então mapeado para um Nome Principal de Utilizador e resolvido para a conta de domínio Windows associada à qual a autenticação é aplicada.
Para organizações que usaram endereços de email de trabalho para iniciar sessão no Power BI, por exemplo david@contoso.com, o mapeamento efetivo do nome de utilizador para UPN é simples. Para organizações que não usaram endereços de email de trabalho, por exemplo david@contoso.onmicrosoft.com , o mapeamento entre o Microsoft Entra ID e credenciais on-premises requer sincronização de diretórios para funcionar corretamente.
A segurança da plataforma para Power BI inclui também segurança em ambientes multiinquilino, segurança de redes e a possibilidade de adicionar outras medidas de segurança baseadas no Microsoft Entra ID.
Segurança de Dados e Serviços
Para mais informações, consulte Microsoft Trust Center, Produtos e serviços que funcionam com base em confiança.
Como descrito anteriormente, servidores AD on-premises usam um login Power BI para mapear para uma UPN para obter credenciais. No entanto, os utilizadores devem compreender a sensibilidade dos dados que partilham. Depois de se ligar de forma segura a uma fonte de dados e depois partilhar relatórios, dashboards ou modelos semânticos com outros, os destinatários têm acesso ao relatório. Os destinatários não têm de iniciar sessão na fonte de dados.
Uma exceção é a ligação ao SQL Server Analysis Services através do gateway de dados local. Os dashboards estão armazenados em cache no Power BI, mas o acesso a relatórios subjacentes ou modelos semânticos inicia a autenticação para cada utilizador que tenta aceder ao relatório ou modelo semântico. O acesso só será concedido se o utilizador tiver credenciais suficientes para aceder aos dados. Para mais informações, consulte Gateway de dados local em detalhe.
Imposição do uso da versão TLS
Os administradores de rede e de TI podem impor a necessidade de utilizar a Segurança da Camada de Transporte (TLS) atual para qualquer comunicação segura na sua rede. O Windows oferece suporte para versões TLS através do Microsoft Schannel Provider; para mais informações, consulte Protocolos no TLS/SSL (Schannel SSP).
Esta imposição é implementada através da definição administrativa das chaves do registo. Para detalhes de implementação, consulte Gestão de protocolos SSL/TLS e suites de cifras para AD FS.
O Power BI Desktop requer TLS (Transport Layer Security) versão 1.2 (ou superior) para proteger os seus endpoints. Os navegadores da Web e outros aplicativos cliente que usam versões do TLS anteriores ao TLS 1.2 não poderão se conectar. Se for necessária uma versão mais recente do TLS, o Power BI Desktop respeita as definições da chave do registo descritas nesses artigos e só cria ligações que cumpram o requisito de versão permitido do TLS com base nessas definições do registo, quando existentes.
Para mais informações sobre como definir estas chaves de registo, consulte as definições de Segurança da Camada de Transporte (TLS).