Aktivieren der Dienstprinzipalauthentifizierung für schreibgeschützte Administrator-APIs

Der Dienstprinzipal ist eine Authentifizierungsmethode, die verwendet kann, um einer Microsoft Entra-Anwendung den Zugriff auf die Inhalte und die APIs im Power BI-Dienst zu ermöglichen. Wenn Sie eine Microsoft Entra-App erstellen, wird ein Dienstprinzipalobjekt erstellt. Mit dem Dienstprinzipalobjekt, das auch einfach als Dienstprinzipal bezeichnet wird, kann Microsoft Entra ID Ihre App authentifizieren. Nach der Authentifizierung kann die App auf Microsoft Entra-Mandantenressourcen zugreifen.

Methode

Führen Sie die folgenden Schritte aus, um die Dienstprinzipalauthentifizierung für schreibgeschützte Power BI-APIs zu aktivieren:

1. Erstellen einer Microsoft Entra-App. Sie können diesen Schritt überspringen, wenn Sie bereits über eine Microsoft Entra-App verfügen, die Sie verwenden möchten. Notieren Sie sich die App-Id – diese benötigen Sie in den späteren Schritten.

   Wichtig

   Vergewissern Sie sich, dass für die von Ihnen verwendete Anwendung im Azure-Portal keine für Power BI erforderlichen Administratorberechtigungen festgelegt sind. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

2. Erstellen Sie eine neue Sicherheitsgruppe in Microsoft Entra ID. Erfahren Sie mehr über das Erstellen einer einfachen Gruppe und das Hinzufügen von Mitgliedern mithilfe von Microsoft Entra ID. Wenn Sie bereits über eine Sicherheitsgruppe verfügen, die Sie verwenden möchten, können Sie diesen Schritt überspringen. Wählen Sie Sicherheit als Gruppentyp aus.

   

3. Fügen Sie Ihre App-Id als Mitglied der erstellten Sicherheitsgruppe hinzu. Dazu gehen Sie wie folgt vor:

   1. Navigieren Sie zu Azure-Portal > Microsoft Entra ID > Gruppen, und wählen Sie die Sicherheitsgruppe aus, die Sie in Schritt 2 erstellt haben.
   2. Klicken Sie auf Mitglieder hinzufügen.

   Wichtig

   Vergewissern Sie sich, dass für die von Ihnen verwendete Anwendung im Azure-Portal keine für Power BI erforderlichen Administratorberechtigungen festgelegt sind. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

4. So aktivieren Sie die Administratoreinstellungen für den Power BI-Dienst:

   1. Melden Sie sich beim Power BI-Verwaltungsportal an. Sie müssen Power BI-Administrator sein, um die Seite mit den Mandanteneinstellungen anzeigen zu können.

   2. Unter Administrator-API-Einstellungen sehen Sie die Option Dienstprinzipalen die Verwendung schreibgeschützter Power BI-Administrator-APIs gestatten. Legen Sie den Schalter auf „Aktiviert“ fest, wählen Sie das Optionsfeld Sicherheitsgruppe angeben aus, und fügen Sie im darunter angezeigten Textfeld die Sicherheitsgruppe hinzu, die Sie in Schritt 2 erstellt haben, wie in der folgenden Abbildung gezeigt.

      

5. Jetzt können Sie schreibgeschützte Administrator-APIs verwenden. Eine Liste der unterstützten APIs finden Sie weiter unten.

Wichtig

Für eine App, die die Dienstprinzipalauthentifizierung verwendet, die schreibgeschützte Administrator-APIs aufruft, dürfen keine erforderlichen Berechtigungen für Die Administratoreinwilligung für Power BI im Azure-Portal festgelegt sein. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

Unterstützte APIs

Die Dienstprinzipalauthentifizierung wird derzeit für die folgenden schreibgeschützten Administrator-APIs unterstützt.

• GetGroupsAsAdmin mit $expand für Dashboards, semantische Modelle, Berichte und Dataflows
• GetGroupUsersAsAdmin
• GetDashboardsAsAdmin mit $expand-Kacheln
• GetDashboardUsersAsAdmin
• GetAppsAsAdmin
• GetAppUsersAsAdmin
• GetDatasourcesAsAdmin
• GetDatasetToDataflowsLinksAsAdmin
• GetDataflowDatasourcesAsAdmin
• GetDataflowUpstreamDataflowsAsAdmin
• GetCapacitiesAsAdmin
• GetCapacityUsersAsAdmin
• GetActivityLog
• GetModifiedWorkspaces
• WorkspaceGetInfo
• WorkspaceScanStatus
• WorkspaceScanResult
• GetDashboardsInGroupAsAdmin
• GetTilesAsAdmin
• ExportDataflowAsAdmin
• GetDataflowsAsAdmin
• GetDataflowUsersAsAdmin
• GetDataflowsInGroupAsAdmin
• GetDatasetsAsAdmin
• GetDatasetUsersAsAdmin
• GetDatasetsInGroupAsAdmin
• Abrufen von Power BI-Verschlüsselungsschlüsseln
• Abrufen eines aktualisierbaren Elements für eine Kapazität
• Abrufen von aktualisierbaren Elementen
• Abrufen von aktualisierbaren Elementen für eine Kapazität
• GetImportsAsAdmin
• GetReportsAsAdmin
• GetReportUsersAsAdmin
• GetReportsInGroupAsAdmin

Überprüfen, ob Ihre App über erforderliche Berechtigungen für die Administratoreinwilligung verfügt

Für eine App, die die Dienstprinzipalauthentifizierung verwendet, die schreibgeschützte Administrator-APIs aufruft, dürfen keine erforderlichen Berechtigungen für Die Administratoreinwilligung für Power BI im Azure-Portal festgelegt sein. So überprüfen Sie die zugewiesenen Berechtigungen:

1. Melden Sie sich als globaler Administrator, Anwendungsadministrator oder Cloudanwendungsadministrator beim Azure-Portal an.
2. Wählen Sie Microsoft Entra ID und Enterprise-Anwendungen aus.
3. Wählen Sie die Anwendung aus, der Sie Zugriff auf Power BI gewähren möchten.
4. Wählen Sie Berechtigungen aus. Es darf keine Administratoreinwilligung erforderlich sein, die vom Typ Anwendung für die App registriert ist.

Überlegungen und Einschränkungen

• Sie können sich über den Dienstprinzipal nicht im Power BI-Portal anmelden.
• Zum Aktivieren von Dienstprinzipalen in den Administrator-API-Einstellungen im Power BI-Verwaltungsportal sind Power BI-Administratorberechtigungen erforderlich.