9. července 2018

Power BI - Proč nepoužívat Publish to web

Na začátek lehce provokativní název. Blog by se mohl jmenovat spíš "Kdy nepoužívat Publish to web a jak se bránit" To by měl ale potom možná méně kliků :)
Proč bych Vás nyní zrazoval od sdílení na web v Power BI, když jsem sám v minulosti lákal článkem "Veřejné sdílení reportů". http://www.neoral.cz/2016/02/power-bi-verejne-sdileni-reportu.html
Ono veřejné sdílení reportů může být vhodné za určitých situací. S mnou sdíleným kurzovním lístkem ČNB by asi problém nebyl.
Problém nastává v situaci, kdy se firmy a jednotlivci snaží používat Power BI zadarmo a za účelem obcházení licenčního modelu. Nebo si jen nejsou vědomí dopadu svých akcí.
Neboť jak praví svaté písmo (dokumentace) https://docs.microsoft.com/en-us/power-bi/service-publish-to-web

Když chcete použít Publish to web, vězte, že vypínáte zabezpečení. Je to vhodné použít pouze pro obsah, kde nevadí, že REPORT I DATA jsou veřejně dostupná komukoliv z internetu. 
Člověk si může myslet, že kód pro sdílení je natolik strašidelný a neodhadnutelný, že se k tomu přece nikdo nedostane. Člověk si ten kód sice nevycucá, ale co stroje? Obsah reportů včetně detailních dat může být nelezen roboty a je indexován vyhledávači (Bingem počínaje, ale těžko říct, kde konče).
Takže je potřeba si položit otázku: 
Opravdu nasdílím v době GDPR data zákazníka touto formou? Vystavím takto data zaměstnanců? Vystavím takhle do internetu finanční data firmy?
Každý si odpovězte sám, já si za sebe řekl, že ne :)
Pokud chcete nasdílet na SharePointu něco ze zmiňovaných typů reportů, existuje zde bezpečná alternativa "Embed in SharePoint Online".
Více informací o této funkci v originále https://docs.microsoft.com/en-us/power-bi/service-embed-report-spo

Jak se tedy bránit z pohledu Admina?
V Admin portále můžete jednak zkontrolovat kdo co vypublikoval touhle formou, včetně možnosti embed kód smazat
Nebo můžete rovnou přistoupit k drastické metodě a zakázat tuhle funkci pro celou organizaci

Admin Portal - Tenant Settings
Závěr
Přeji příjemnou zábavu při prohlížení toho, co kolegové z organizace nasdíleli. Stejně tak pevné nervy při mazání obsahu a zakazování :)

3 komentáře:

  1. Ahoj, prvně díky za článek! Je někde praktický důkaz o tom, že lidé opravdu mohou vygůglit obsah nějakého reportu a náhodou se dostat k privátním informacím? Co se přesně děje s datasetem po publish to web (na rozdíl od sharepointu). Díky!

    OdpovědětSmazat
    Odpovědi
    1. Ahoj. Nezkousel jsem to (muzes Ty:)) Ale kdyz mi produktovy tym tvrdi, ze Bing to indexuje, tak jim tohle konkretne verim :)

      Smazat
  2. Jj, je jasné že to je trochu hraní si s ohněm :) Možná větší riziko než Bing a Google je to, že není možné kontrolovat, kdo odkaz komu přeposlal, a v kolika mailových schránkách se povaluje.
    Na druhou stranu je to fajn pro publikování nedůvěrných nebo záměrně veřejných dat.

    OdpovědětSmazat