Como funciona a segurança do Microsoft Power BI

Um tópico comum que tenho discutido recentemente com os clientes é a segurança do Power BI. Basicamente, como evitar que os usuários vejam dados que não deveriam. Portanto, discutirei as várias “camadas” de segurança.

A arquitetura de serviço do Power BI baseada em dois clusters: o cluster Web Front End (WFE) e o cluster Back-End. O cluster WFE gerencia a conexão inicial e a autenticação com o serviço e, uma vez autenticado, o Back-End trata de todas as interações subsequentes do usuário. O Power BI usa o Azure Active Directory (AAD) para armazenar e gerenciar identidades de usuários (em Azure Blob ) e gerencia o armazenamento de dados e metadados (Banco de Dados SQL do Azure), ambos usando criptografia em repouso.

O Power BI também aproveita o Azure Traffic Manager (ATM) para direcionar o tráfego para o WFE mais próximo, com base no registro DNS do cliente , para o processo de autenticação e para baixar conteúdo e arquivos estáticos. Ele usa a rede de distribuição de conteúdo do Azure (CDN) para distribuir com eficiência o conteúdo estático e os arquivos necessários aos usuários com base na localização geográfica (Segurança do Power BI).

Autenticação de usuário do Power BI

O Power BI usa o AAD para autenticar usuários que fazem login no serviço e, por sua vez, usa as credenciais de login sempre que um usuário tenta acessar qualquer recursos que requerem autenticação. Os usuários fazem login no serviço do usando o endereço de email usado para estabelecer a conta do Power BI.

Áreas de trabalho e aplicativos do Power BI

Você pode publicar conteúdo do seu desktop do Power BI em áreas de trabalho do Power BI , que é uma coleção de painéis, relatórios, pastas de trabalho, conjuntos de dados e fluxos de dados. Pode então adicionar grupos de segurança, listas de distribuição, grupos do Office 365 ou indivíduos aos espaços de trabalho e atribuir aos usuários suas funções e privilégios como visualizador, colaborador, membro ou administrador.

Você tem a opção de agrupar essa coleção em um pacote bacana chamado aplicativo e distribuir/publicar  para toda a organização ou para pessoas ou grupos específicos. Apenas dashboards, relatórios e pastas de trabalho fazem parte do pacote, e você escolhe quais deseja publicar através da opção “INCLUÍDO NO APP”.

Você também pode permitir que os usuários do aplicativo se conectem aos conjuntos de dados subjacentes do aplicativo concedendo-lhes permissão de criação. Eles verão esses conjuntos de dados quando estiverem pesquisando conjuntos de dados compartilhados. Normalmente, você inicia o processo de criação de um aplicativo em espaços de trabalho, onde pode colaborar no conteúdo do Power BI com seus colegas e, em seguida, publicar os aplicativos finalizados para um grande grupo de pessoas na sua organização. Os aplicativos facilitam o gerenciamento de permissões nessas coleções. Pense nos espaços de trabalho como áreas de preparação e contêineres para o conteúdo que comporá um aplicativo do Power BI.

Segurança em nível de linha

Com Segurança em nível de linha (RLS) você pode publicar um único relatório para seus usuários, mas expor os dados de maneira diferente para cada pessoa. Portanto, em vez de criar várias cópias do mesmo relatório para limitar os dados, você pode criar apenas um relatório que mostrará apenas os dados que o usuário conectado tem permissão para ver. Feito com filtros, que restringem o acesso aos dados no nível da linha, e você define filtros dentro das funções.

Por exemplo, criando uma função chamada “Estados Unidos” que filtra os dados em uma tabela onde Região = “Estados Unidos”. Em seguida, você adiciona membros (usuário, grupo de segurança ou lista de distribuição) que só podem ver dados dos Estados Unidos à função “Estados Unidos” (a atribuição de membros feita no serviço Power BI). Se um usuário não tiver acesso a um relatório, simplesmente não inclua essa pessoa em nenhuma das funções desse relatório, para que ele sempre veja um relatório em branco.

Auditoria do Power BI

Saber quem está tomando quais medidas em cada item do seu locatário do Power BI pode ser fundamental para ajudar sua organização a cumprir seus requisitos, como cumprir a conformidade regulatória e o gerenciamento de registros. Com o Power BI, você tem duas opções para rastrear a atividade do usuário: o registro de atividades e o Office 365 unificado. registro de auditoria (diferenças listadas aqui). Esses registros contêm uma cópia completa dos dados de auditoria para que você possa visualizar registros completos de todas as atividades. Os registros de auditoria armazenam apenas até 90 dias de dados. Portanto, convém armazenar os dados e reportá-los (consulte Como criar um relatório a partir dos registros de auditoria armazenados no Azure Armazenamento de blobs)

Fontes de dados – Importar

Quando os dados importados no Serviço Desktop, o Power BI se conecta à fonte de dados usando as credenciais do usuário atual do Serviço Desktop ou as credenciais definidas como parte da configuração da atualização agendada. Ao publicar e compartilhar esse relatório, tome cuidado para compartilhá-lo apenas com usuários autorizados a ver os mesmos dados ou para definir a segurança em nível de linha como parte do conjunto de dados.

Fontes de dados – DirectQuery

Idealmente, como o DirectQuery sempre consulta a fonte de dados subjacente, essa configuração permitiria que qualquer segurança na fonte subjacente aplicada. No entanto, depois de publicado no serviço do Power BI, ele sempre conecta à fonte subjacente usando as mesmas credenciais fixas usadas para importação. Observe que imediatamente após a publicação de um relatório DirectQuery, é necessário configurar as credenciais do usuário que será utilizado. Até que você configure as credenciais, abrir o relatório no serviço do Power BI resultaria em erro. Depois que as credenciais do usuário forem fornecidas, elas serão usadas qualquer usuário que abrir o relatório.

Desta forma, é exatamente como os dados importados. Todos os usuários veem os mesmos dados, a menos que a segurança em nível de linha tenha sido definida como parte do relatório. A mesma atenção deve ser dada ao compartilhamento do relatório, caso existam regras de segurança definidas na fonte subjacente. Até que o Power BI permita que a identidade do consumidor do relatório passe para a fonte subjacente, o DirectQuery não oferece vantagens para a segurança da fonte de dados. Consulte Sobre o uso do DirectQuery no Power BI

Veja também nosso artigo sobre Maneiras pelas quais as empresas usam o Power BI.