Aktivieren der Dienstprinzipalauthentifizierung für schreibgeschützte Administrator-APIs

Der Dienstprinzipal ist eine Authentifizierungsmethode, mit deren Hilfe einer Microsoft Entra-Anwendung der Zugriff auf die Inhalte und APIs von Microsoft Fabric ermöglicht werden kann.

Wenn Sie eine Microsoft Entra-App erstellen, wird ein Dienstprinzipalobjekt erstellt. Mit dem Dienstprinzipalobjekt, das auch einfach als Dienstprinzipal bezeichnet wird, kann Microsoft Entra ID Ihre App authentifizieren. Nach der Authentifizierung kann die App auf Microsoft Entra-Mandantenressourcen zugreifen.

Methode

Führen Sie die folgenden Schritte aus, um die Dienstprinzipalauthentifizierung für schreibgeschützte Power BI-APIs zu aktivieren:

1. Erstellen einer Microsoft Entra-App. Sie können diesen Schritt überspringen, wenn Sie bereits über eine Microsoft Entra-App verfügen, die Sie verwenden möchten. Notieren Sie sich die App-Id – diese benötigen Sie in den späteren Schritten.

   Wichtig

   Vergewissern Sie sich, dass für die von Ihnen verwendete Anwendung im Azure-Portal keine für Power BI erforderlichen Administratorberechtigungen festgelegt sind. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

2. Erstellen einer neuen Microsoft Entra-Sicherheitsgruppe. Informationen zum Erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern mithilfe von Microsoft Entra. Sie können diesen Schritt überspringen, wenn Sie bereits über eine Microsoft Entra-Sicherheitsgruppe verfügen, die Sie verwenden möchten. Wählen Sie Sicherheit als Gruppentyp aus.

   

3. Fügen Sie Ihre App-Id als Mitglied der erstellten Sicherheitsgruppe hinzu. Dazu gehen Sie wie folgt vor:

   1. Navigieren Sie zu Azure-Portal > Microsoft Entra ID > Gruppen, und wählen Sie die Sicherheitsgruppe aus, die Sie in Schritt 2 erstellt haben.
   2. Klicken Sie auf Mitglieder hinzufügen.

   Wichtig

   Vergewissern Sie sich, dass für die von Ihnen verwendete Anwendung im Azure-Portal keine für Power BI erforderlichen Administratorberechtigungen festgelegt sind. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

4. Aktivieren Sie die Fabric-Administratoreinstellungen:

   1. Melden Sie sich beim Fabric-Verwaltungsportal an. Sie müssen Fabric-Administrator sein, um die Seite mit den Mandanteneinstellungen anzeigen zu können.

   2. Unter Administrator-API-Einstellungen sehen Sie die Option Dienstprinzipalen die Verwendung schreibgeschützter Power BI-Administrator-APIs gestatten. Legen Sie den Schalter auf „Aktiviert“ fest, wählen Sie das Optionsfeld Sicherheitsgruppe angeben aus, und fügen Sie im darunter angezeigten Textfeld die Sicherheitsgruppe hinzu, die Sie in Schritt 2 erstellt haben.

      

5. Jetzt können Sie schreibgeschützte Administrator-APIs verwenden. Eine Liste der unterstützten APIs finden Sie weiter unten.

Wichtig

Für eine App, die die Dienstprinzipalauthentifizierung verwendet, die schreibgeschützte Administrator-APIs aufruft, dürfen keine erforderlichen Berechtigungen für Die Administratoreinwilligung für Power BI im Azure-Portal festgelegt sein. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

Unterstützte APIs

Die Dienstprinzipalauthentifizierung wird derzeit für die folgenden schreibgeschützten Administrator-APIs unterstützt.

• GetGroupsAsAdmin mit $expand für Dashboards, semantische Modelle, Berichte und Dataflows
• GetGroupUsersAsAdmin
• GetDashboardsAsAdmin mit $expand-Kacheln
• GetDashboardUsersAsAdmin
• GetAppsAsAdmin
• GetAppUsersAsAdmin
• GetDatasourcesAsAdmin
• GetDatasetToDataflowsLinksAsAdmin
• GetDataflowDatasourcesAsAdmin
• GetDataflowUpstreamDataflowsAsAdmin
• GetCapacitiesAsAdmin
• GetCapacityUsersAsAdmin
• GetActivityLog
• GetModifiedWorkspaces
• WorkspaceGetInfo
• WorkspaceScanStatus
• WorkspaceScanResult
• GetDashboardsInGroupAsAdmin
• GetTilesAsAdmin
• ExportDataflowAsAdmin
• GetDataflowsAsAdmin
• GetDataflowUsersAsAdmin
• GetDataflowsInGroupAsAdmin
• GetDatasetsAsAdmin
• GetDatasetUsersAsAdmin
• GetDatasetsInGroupAsAdmin
• Abrufen von Power BI-Verschlüsselungsschlüsseln
• Abrufen eines aktualisierbaren Elements für eine Kapazität
• Abrufen von aktualisierbaren Elementen
• Abrufen von aktualisierbaren Elementen für eine Kapazität
• GetImportsAsAdmin
• GetReportsAsAdmin
• GetReportUsersAsAdmin
• GetReportsInGroupAsAdmin

Überprüfen, ob Ihre App über erforderliche Berechtigungen für die Administratoreinwilligung verfügt

Für eine App, die die Dienstprinzipalauthentifizierung verwendet, die schreibgeschützte Administrator-APIs aufruft, dürfen keine erforderlichen Berechtigungen für Die Administratoreinwilligung für Power BI im Azure-Portal festgelegt sein. So überprüfen Sie die zugewiesenen Berechtigungen:

1. Melden Sie sich als globaler Administrator, Anwendungsadministrator oder Cloudanwendungsadministrator beim Azure-Portal an.
2. Wählen Sie Microsoft Entra ID, und Unternehmensanwendungen aus.
3. Wählen Sie die Anwendung aus, der Sie Zugriff auf Power BI gewähren möchten.
4. Wählen Sie Berechtigungen aus. Es darf keine Administratoreinwilligung erforderlich sein, die vom Typ Anwendung für die App registriert ist.

Überlegungen und Einschränkungen

• Der Dienstprinzipal kann Rest-API-Aufrufe tätigen, aber Sie können Fabric nicht mit Dienstprinzipal-Anmeldeinformationen öffnen.
• Zum Aktivieren von Dienstprinzipalen in den Administrator-API-Einstellungen im Fabric-Verwaltungsportal sind Fabric-Administratorrechte erforderlich.

Zugehöriger Inhalt

• Übersicht über die Metadatenüberprüfung
• Einrichten der Metadatenüberprüfung
• Ausführen der Metadatenüberprüfung