Sicherheit in Power BI
Power BI ist ein Onlinesoftwaredienst (SaaS oder Software-as-a-Service), der als Teil von Microsoft Fabric angeboten wird. Damit können Sie ganz unkompliziert und schnell Self-Service-Business Intelligence-Dashboards, -Berichte, semantische Modelle und Visualisierungen erstellen. Mithilfe von Power BI können Sie eine Verbindung mit vielen verschiedenen Datenquellen herstellen, Daten aus diesen Verbindungen kombinieren und formen und anschließend Berichte und Dashboards erstellen, die Sie für andere freigeben können.
In diesem Artikel werden Power BI-Methoden für die Datenverarbeitung beim Speichern, Verarbeiten und Übertragen von Kundendaten beschrieben.
Ruhende Daten
Power BI verwendet zwei primäre Datenspeicherressourcentypen:
Azure Storage
Azure SQL-Datenbank-Instanzen
In den meisten Szenarien wird Azure Storage verwendet, um die Daten von Power BI-Artefakten zu speichern, während Azure SQL-Datenbanken verwendet werden, um Artefaktmetadaten zu speichern.
Alle von Power BI gespeicherten Daten werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. In Azure SQL-Datenbank gespeicherten Kundendaten werden mithilfe der integrierten Transparent Data Encryption-Technologie (TDE) vollständig verschlüsselt. Kundendaten, die in Azure Storage gespeichert sind, werden mithilfe von Azure Storage-Verschlüsselung verschlüsselt.
Optional können Organisationen Power BI Premium verwenden, um ihre eigenen Schlüssel zum Verschlüsseln ruhender Daten zu verwenden, die in ein semantisches Modell importiert werden. Dieser Ansatz wird als Bring Your Own Key (BYOK) bezeichnet. Die Verwendung von BYOK trägt dazu bei, dass kundenseitige Daten auch bei einem Fehler des Serviceoperators nicht verfügbar gemacht werden, was sich mit transparenter dienstseitiger Verschlüsselung nicht einfach erreichen lässt. Weitere Informationen finden Sie unter Verwenden eigener Verschlüsselungsschlüssel für Power BI.
Semantische Modelle in Power BI ermöglichen verschiedene Datenquellenverbindungsmodi, die bestimmen, ob die Datenquellendaten im Dienst beibehalten werden oder nicht.
| Semantikmodellmodus (Art) | In Power BI persistente Daten |
|---|---|
| Importieren | Ja |
| DirectQuery | Nein |
| Live Connect | No |
| DirectLake | Nein (in OneLake gespeichert) |
| Zusammengesetzt | Wenn eine Importdatenquelle enthalten ist |
| Streaming | Wenn für Beibehaltung konfiguriert |
Unabhängig vom verwendeten Semantikmodellmodus kann Power BI alle abgerufenen Daten vorübergehend zwischenspeichern, um die Abfrage- und Berichtsladeleistung zu optimieren.
Daten in Verarbeitung
Daten werden verarbeitet, wenn sie entweder aktiv von einem oder mehreren Benutzern als Teil eines interaktiven Szenarios verwendet werden oder wenn ein Hintergrundprozess, z. B. die Aktualisierung, diese Daten berührt. Power BI lädt aktiv verarbeitete Daten in den Arbeitsspeicher einer oder mehrerer Dienstworkloads. Um die für die Workload erforderliche Funktionalität zu erleichtern, werden die verarbeiteten Daten im Arbeitsspeicher nicht verschlüsselt.
Power BI Embedded Analytics
Unabhängige Softwareanbieter (Independent Software Vendors, ISVs) und Lösungsanbieter verfügen über zwei Standardmodi zum Einbetten von Power BI-Artefakten in ihre Webanwendungen und Portale: Einbetten für Ihre Organisation und Einbetten für Ihre Kunden. Das Artefakt wird in einen IFrame in der Anwendung oder im Portal eingebettet. Ein IFrame darf keine Daten aus der externen Webanwendung oder dem externen Portal lesen oder schreiben, und die Kommunikation mit dem IFrame erfolgt mithilfe des Power BI-Client-SDK unter Verwendung von POST-Nachrichten.
In einem Szenario zum Einbetten für Ihre Organisation: Microsoft Entra oder über individuell angepasste Portale. Alle in diesem Dokument beschriebenen Power BI-Richtlinien und -Funktionen wie Sicherheit auf Zeilenebene (Row Level Security, RLS) und Sicherheit auf Objektebene (OLS) werden automatisch auf alle Benutzer angewendet, unabhängig davon, ob sie über das Power BI-Portal oder über benutzerdefinierte Portale auf Power BI zugreifen.
Beim Einbetten für Ihre Kunden besitzen ISVs in der Regel Power BI-Mandanten und Power BI-Elemente (Dashboards, Berichte, semantische Modelle usw.). Es liegt in der Verantwortung eines ISV-Back-End-Diensts, seine Endbenutzer zu authentifizieren und zu entscheiden, welche Artefakte und welche Zugriffsebene für diesen Endbenutzer geeignet sind. ISV-Richtlinienentscheidungen werden in einem von Power BI generierten Einbettungstoken verschlüsselt und an das ISV-Back-End zur weiteren Verteilung an die Endbenutzer gemäß der Geschäftslogik des ISV übergeben. Endbenutzer*innen, die einen Browser oder andere Clientanwendungen verwenden, können das verschlüsselte Einbettungstoken nicht automatisch als Header Authorization: EmbedToken an Power BI-Anforderungen anfügen. Basierend auf diesem Header erzwingt Power BI alle Richtlinien (z. B. Zugriff oder RLS) genau so, wie es vom ISV während der Generierung angegeben wurde. Power BI-Client-APIs fügen das verschlüsselte Einbettungstoken automatisch als Header Authorization: EmbedToken an Power BI-Anforderungen an. Basierend auf diesem Header erzwingt Power BI alle Richtlinien (z. B. Zugriff oder RLS) genau so, wie es vom ISV während der Generierung angegeben wurde.
Um die Einbettung und Automatisierung zu aktivieren und die oben beschriebenen Einbettungstoken zu generieren, macht Power BI einen umfangreichen Satz von REST-APIs verfügbar. Diese Power BI-REST-APIs unterstützen sowohl vom Benutzer delegierte als auch Dienstprinzipal-Microsoft Entra-Methoden der Authentifizierung und Autorisierung.
Power BI Embedded Analytics und die zugehörigen REST-APIs unterstützen alle in diesem Artikel beschriebenen Power BI-Netzwerkisolationsfunktionen: z. B. Diensttags und private Links.
Paginierte Berichte
Paginierte Berichte sind dafür ausgelegt, gedruckt oder geteilt zu werden. Sie werden als paginiert bezeichnet, weil sie so formatiert sind, dass sie gut auf eine Seite passen. Sie zeigen alle Daten in einer Tabelle an, selbst wenn die Tabelle sich über mehrere Seiten erstreckt. Das Berichtsseitenlayout kann detailliert gesteuert werden.
Paginierte Berichte unterstützen umfangreiche und leistungsstarke Ausdrücke, die in Microsoft Visual Basic .NET geschrieben wurden. Ausdrücke werden in paginierten Berichten im Power BI Report Builder häufig verwendet, um Daten abzurufen, zu berechnen, anzuzeigen, zu gruppieren, zu sortieren, zu filtern, zu parametrisieren oder zu formatieren.
Ausdrücke werden vom Autor des Berichts mit Zugriff auf die breite Palette von Features des .NET-Frameworks erstellt. Die Verarbeitung und Ausführung paginierter Berichte erfolgt in einer Sandbox.
Paginierte Berichtsdefinitionen (.rdl section.Authentication für den Abschnitt „Power BI-Dienst“).
Das während der Authentifizierung abgerufene Microsoft Entra-Token wird verwendet, um direkt vom Browser an den Power BI Premium-Cluster zu kommunizieren.
In Power BI Premium stellt die Runtime des Power BI-Diensts eine entsprechend isolierte Ausführungsumgebung für jedes Rendern des Berichts bereit.
Ein paginierter Bericht kann im Rahmen des Renderings des Berichts auf einen breiten Satz von Datenquellen zugreifen. Die Sandbox kommuniziert nicht direkt mit einer der Datenquellen, sondern mit dem vertrauenswürdigen Prozess, um Daten anzufordern, und dann fügt der vertrauenswürdige Prozess die erforderlichen Anmeldeinformationen an die Verbindung an. Auf diese Weise hat die Sandbox nie Zugriff auf Anmeldeinformationen oder Geheimnisse.
Um Features wie Bing-Karten oder Aufrufe von Azure Functions zu unterstützen, hat die Sandbox Zugriff auf das Internet.
Power BI Mobile
Power BI Mobile ist eine Sammlung von Apps, die für die wichtigsten Plattformen für Mobilgeräte entwickelt wurden: Android und iOS. Sicherheitsaspekte für Power BI Mobile-Apps betreffen zwei Kategorien:
Gerätekommunikation
Die Anwendung und Daten auf dem Gerät
Zum Thema Gerätekommunikation: Alle Power BI Mobile-Anwendungen kommunizieren mit dem Power BI-Dienst und verwenden dabei dieselben Verbindungs- und Authentifizierungssequenzen, die von Browsern verwendet werden. Diese wurden in diesem Whitepaper bereits an früherer Stelle beschrieben. Die Power BI Mobile-Anwendungen für iOS und Android rufen eine Browsersitzung in der Anwendung selbst auf.
Power BI Mobile unterstützt die zertifikatbasierte Authentifizierung (CBA) beim Authentifizieren mit Power BI (Anmeldung beim Dienst), SSRS-ADFS lokal (Verbindung mit dem SSRS-Server) und SSRS-App-Proxy unter iOs oder Android.
Power BI Mobile-Apps kommunizieren aktiv mit dem Power BI-Dienst. Über Telemetriedaten werden Statistikdaten zur Verwendung von mobilen Apps und ähnliche Daten erfasst, die dann an Dienste übermittelt werden, die verwendet werden, um die Nutzung und die Aktivität zu überwachen. Zusammen mit den Telemetriedaten werden jedoch keine Kundendaten gesendet.
Die Power BI-Anwendung speichert Daten auf dem Gerät, die die Verwendung der App erleichtern:
Microsoft Entra ID- und Aktualisierungstoken werden durch einen sicheren Mechanismus auf dem Gerät gespeichert. Dabei kommen Sicherheitsmaßnahmen nach Industriestandard zum Einsatz.
Daten und Einstellungen (Schlüssel-Wert-Paare für die Benutzerkonfiguration) werden im Speicher auf dem Gerät zwischengespeichert und können vom Betriebssystem verschlüsselt werden. In iOS erfolgt dies automatisch, wenn der Benutzer eine Kennung festlegt. In Android kann dies in den Einstellungen konfiguriert werden. Die Daten und Einstellungen (Schlüssel-Wert-Paare für die Benutzerkonfiguration) werden im Speicher auf dem Gerät in einer Sandbox und einem internen Speicher zwischengespeichert, auf die bzw. auf den nur die App zugreifen kann.
Die Geolocation wird vom Benutzer explizit aktiviert oder deaktiviert. Wenn diese Option aktiviert ist, werden Geolocationdaten nicht auf dem Gerät gespeichert und nicht für Microsoft freigegeben.
Benachrichtigungen werden vom Benutzer explizit aktiviert oder deaktiviert. Wenn sie aktiviert sind, unterstützen Android und iOS keine geografischen Datenresidenzanforderungen für Benachrichtigungen.
Die Datenverschlüsselung kann durch die Anwendung der Verschlüsselung auf Dateiebene über Microsoft Intune verbessert werden, einem Softwaredienst, der die Verwaltung mobiler Geräte und Anwendungen bereitstellt. Beide Plattformen, für die Power BI Mobile verfügbar ist, unterstützen Intune. Wenn Intune aktiviert und konfiguriert ist, werden Daten auf dem mobilen Gerät verschlüsselt, und die Power BI-Anwendung selbst kann nicht auf einer SD-Karte installiert werden. Erfahren Sie mehr über Microsoft Intune.
Um einmaliges Anmelden zu implementieren, sind einige gesicherte Speicherwerte im Zusammenhang mit der tokenbasierten Authentifizierung für andere Microsoft Erstanbieter-Apps (z. B. Microsoft Authenticator) verfügbar und werden von der Microsoft Authentication Library (MSAL) verwaltet.
Von Power BI Mobile zwischengespeicherte Daten werden gelöscht, wenn sich der Benutzer von Power BI Mobile abmeldet oder die Anmeldung eines Benutzers fehlschlägt (z. B. im Falle eines abgelaufenen Token oder einer Kennwortänderung). Im Datencache sind Dashboards und Berichte enthalten, auf die zuvor über die Power BI Mobile-App zugegriffen wurde.
Power BI Mobile greift nicht auf andere Anwendungsordner oder Dateien auf dem Gerät zu.
Mit den Power BI-Apps für iOS und Android können Sie Ihre Daten schützen, indem Sie eine zusätzliche Identifikation konfigurieren, z. B. eine Face ID, Touch ID oder eine Kennung für iOS sowie eine biometrische ID (Fingerabdruck-ID) für Android. Erfahren Sie mehr über zusätzliche Identifikation. Benutzer*innen können die App auch so konfigurieren, dass jedes Mal, wenn sie in den Vordergrund geholt wird, eine Identifizierung mit Face ID, Touch ID oder einem Passcode verlangt wird.