Power BI 安全性

2025-06-11

有关 Power BI 安全性的详细信息，请参阅 Power BI 安全白皮书。

若要规划 Power BI 安全性，请参阅 Power BI 实现规划安全系列文章。它扩展了 Power BI 安全白皮书中的内容。虽然 Power BI 安全白皮书重点介绍身份验证、数据驻留和网络隔离等关键技术主题，但本系列的主要目标是为你提供注意事项和决策，帮助你规划安全和隐私。

Power BI 服务基于 Azure 构建，Microsoft的云计算基础结构和平台。 Power BI 服务的体系结构基于两个群集：

Web 前端服务器集群（WFE）。 WFE 群集管理与 Power BI 服务的初始连接和身份验证。
后端群集。身份验证后，后端将处理所有后续用户交互。 Power BI 使用 Microsoft Entra ID 来存储和管理用户标识。 Microsoft Entra ID 还分别使用 Azure BLOB 和 Azure SQL 数据库管理数据存储和元数据。

Power BI 体系结构

WFE 群集使用 Microsoft Entra ID 对客户端进行身份验证，并为与 Power BI 服务的后续客户端连接提供令牌。 Power BI 使用 Azure 流量管理器（流量管理器 ）将用户流量定向到最近的数据中心。流量管理器使用尝试连接、身份验证和下载静态内容和文件的客户端的 DNS 记录来指示请求。 Power BI 使用 Azure 内容分发网络 （CDN）根据地理区域设置有效地将必要的静态内容和文件分发给用户。

展示了专注于 WFE 群集的 Power BI 体系结构图表。

后端群集确定经过身份验证的客户端如何与 Power BI 服务交互。后端群集管理可视化效果、用户仪表板、语义模型、报表、数据存储、数据连接、数据刷新以及与 Power BI 服务交互的其他方面。 网关角色充当用户请求与 Power BI 服务之间的网关。用户不会直接与 网关角色以外的任何角色交互。 Azure API 管理 最终会处理 网关角色。

显示侧重于 Back-End 群集的 Power BI 体系结构图表。

重要

只有 Azure API 管理和网关角色可通过公共 Internet 访问。它们提供身份验证、授权、DDoS 保护、限制、负载均衡、路由和其他功能。

数据存储安全性

Power BI 使用两个主要存储库来存储和管理数据：

从用户上传的数据通常发送到 Azure Blob 存储。
所有元数据（包括系统本身的项）都存储在 Azure SQL 数据库中。

后端分类图中显示的虚线阐明了两个组件之间的边界，这些组件可由点线左侧显示的用户访问。系统只能访问的角色显示在右侧。当经过身份验证的用户连接到 Power BI 服务时，客户端的连接和任何请求都会被 网关角色 接受和管理，然后由该角色代表用户与 Power BI 服务的其余部分进行交互。例如，当客户端尝试查看仪表板时， 网关角色 接受该请求，然后单独向 演示文稿角色 发送请求，以检索浏览器显示仪表板所需的数据。最终，连接和客户端请求由 Azure API 管理处理。

用户身份验证

Power BI 使用 Microsoft Entra ID 对登录到 Power BI 服务的用户进行身份验证。每当用户尝试访问安全资源时，都需要登录凭据。用户使用为其建立了 Power BI 帐户的电子邮件地址登录到 Power BI 服务。 Power BI 使用 与有效用户名 相同的凭据，并在用户尝试连接到数据时将其传递给资源。然后将 有效用户名 映射到用户主体名称，并解析为应用身份验证的关联 Windows 域帐户。

对于使用工作电子邮件地址进行 Power BI 登录的组织，例如 david@contoso.com，有效用户名 到 UPN 的映射是非常简单的。对于未使用工作电子邮件地址的组织，例如 david@contoso.onmicrosoft.com ，Microsoft Entra ID 与本地凭据之间的映射需要目录同步才能正常工作。

Power BI 的平台安全性还包括多租户环境安全、网络安全，以及添加其他基于 Microsoft Entra ID 的安全措施的功能。

数据和服务安全性

有关详细信息，请参阅 Microsoft信任中心、产品和服务，这些服务在信任上运行。

如前所述，本地 AD 服务器使用 Power BI 登录映射到 UPN 以获取凭据。但是，用户必须了解他们共享的数据的敏感度。安全地连接到数据源，然后与他人共享报表、仪表板或语义模型后，收件人将被授予对报表的访问权限。收件人无需登录到数据源。

例外是使用本地数据网关连接到SQL Server Analysis Services。仪表板缓存在 Power BI 中，但对基础报表或语义模型的访问将为尝试访问报表或语义模型的每个用户启动身份验证。仅当用户有足够的凭据访问数据时，才授予访问权限。有关详细信息，请参阅本地数据网关深入。

强制使用 TLS 版本

网络和 IT 管理员可以对其网络上的任何安全通信强制要求使用当前传输层安全性（TLS）。 Windows 通过 Microsoft Schannel 提供程序提供对 TLS 版本的支持，有关详细信息，请参阅 TLS/SSL 中的协议（Schannel SSP）。

此强制措施是通过行政设置注册表项来实现的。有关强制实施的详细信息，请参阅管理 AD FS 的 SSL/TLS 协议和密码套件。

Power BI Desktop 需要 TLS（传输层安全性）版本 1.2（或更高版本）以确保终结点的安全。使用低于 TLS 1.2 的 TLS 版本的 Web 浏览器和其他客户端应用程序将无法连接。如果需要较新版本的 TLS，Power BI Desktop 会遵循这些文章中所述的注册表项设置，并且仅创建满足基于这些注册表设置允许的 TLS 版本要求的连接（如果存在）。

有关设置这些注册表项的详细信息，请参阅传输层安全性（TLS）注册表设置。

通过