关注我们
（本文阅读时间：7分钟)
大家好 ， 我是本期的微软 MVP 实验室研究员 Davis Zhang 。 下文将节选 Power BI 中涉及数据保护的几个核心技术点（BYOK, OLS 与 DLP）进行讲解 。
微软 MVP 实验室研究员

文章图片

Davis Zhang
微软 MVP ， MCSE ， 官方文档贡献者之一 ， 专注于 Power Platform 及 Power BI 全局技术栈 。
前言
数据不仅是企业的资产 ， 也是企业的命脉 ， 其重要性不言而喻 。 而随着越来越多的企业采用了 Power BI 作为其商务智能解决方案之一 ， 用户对微软BI体系中数据的安全与合规性的要求也愈加严格 。 因文章篇幅问题 ， 下文将以 PBI 及 M365 管理员的角度 ， 节选 Power BI 平台中较为核心的数据安全问题 ， 即“数据寄存 ， 数据呈现及数据导出”几个方面进行图文讲解 。
PBI 数据安全之数据寄存
当 Power BI 数据集发布到 PBI Service 后 ， 其数据实际上存储在 Azure Blob Storage, 在默认情况下 ， 数据加密由 Microsoft 托管 ， 而密钥的值 ， 轮换规则以及加密方式则不受企业或组织的控制 。 尽管 Microsoft 使用了足够强大的256位 AES 加密算法 ， 但在一些企业严苛的信息安全政策及合规部门严谨的审查工作面前 ， 该说辞恐怕无济于事 。 为了使组织掌控密钥并使数据加密方式与轮换规则符合其政策 ， 在 Power BI 实施BYOK（Bring your own Key）成为了唯一方案 。
▌在 PBI 实施 BYOK
注意：

• BYOK 目前仅适用于 PBI Premium (包括Capacity与Per User)
  
• BYOK 主要支持以关系型数据库位数据源的 Import 数据集
  

【Power BI 与企业数据安全】1.登录 Azure 创建 Key Vault, 并分配 Unwrap Key 及 Wrap Key 权限

文章图片

2.在 Access Policy 添加你要用于 BYOK 的 Power BI 工作区管理员账户以及 Power BI Service 服务主体

文章图片

3.接下来按如下配置创建密钥

文章图片

4.现在 ， 将上一步创建好的密钥应用到 PBI 容量 ， 目前没有界面可供设置 ， 需要在 PowerShell 中键入命令

--安装 Cmdlets（已装跳过） Install- Module- NameMicrosoftPowerBIMgmt--登录 Connect-PowerBIServiceAccount--在整个PBI租户中启用BYOK Add-PowerBIEncryptionKey - Name'<输入Key名称>'-KeyVaultKeyUri '<输入Key URI>' --注：其中 Key URI可在 Azure Key Vault 中查询复制 --获取容量 ID Get-PowerBICapacity - ScopeIndividual--最后 ， 为该容量设置 BYOK Set-PowerBICapacityEncryptionKey -CapacityId <输入容量 ID> -KeyName '<输入Key名称>' 至此 ， BYOK 即设置完成 ， 输入以下命令检验：

Get-PowerBIEncryptionKey 如图显示即配置成功：

文章图片

需要注意的点是 ， 目前 BYOK 的实施是在整个容量层面的 ， 而非 Workspace 层面的 。 一旦为容量设置了 BYOK ， 则该容量下所有的工作区都继承容量的 BYOK 设置 。
5.秘钥轮换 ， 可使用如下命令 ， 若要实现定期轮换 ， 可将其配置到已有应用程序 ， 或直接使用 Azure Key Vault 中 “Rotation Policy” 预览功能