Freigeben über


Aktivieren der Dienstprinzipalauthentifizierung für schreibgeschützte Administrator-APIs

Der Dienstprinzipal ist eine Authentifizierungsmethode, mit deren Hilfe einer Microsoft Entra-Anwendung der Zugriff auf die Inhalte und APIs von Microsoft Fabric ermöglicht werden kann.

Wenn Sie eine Microsoft Entra-App erstellen, wird ein Dienstprinzipalobjekt erstellt. Mit dem Dienstprinzipalobjekt, das auch einfach als Dienstprinzipal bezeichnet wird, kann Microsoft Entra ID Ihre App authentifizieren. Nach der Authentifizierung kann die App auf Microsoft Entra-Mandantenressourcen zugreifen.

Methode

Führen Sie die folgenden Schritte aus, um die Dienstprinzipalauthentifizierung für schreibgeschützte Power BI-APIs zu aktivieren:

  1. Erstellen einer Microsoft Entra-App. Sie können diesen Schritt überspringen, wenn Sie bereits über eine Microsoft Entra-App verfügen, die Sie verwenden möchten. Notieren Sie sich die App-Id – diese benötigen Sie in den späteren Schritten.

    Wichtig

    Vergewissern Sie sich, dass für die von Ihnen verwendete Anwendung im Azure-Portal keine für Power BI erforderlichen Administratorberechtigungen festgelegt sind. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

  2. Erstellen einer neuen Microsoft Entra-Sicherheitsgruppe. Informationen zum Erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern mithilfe von Microsoft Entra. Sie können diesen Schritt überspringen, wenn Sie bereits über eine Microsoft Entra-Sicherheitsgruppe verfügen, die Sie verwenden möchten. Wählen Sie Sicherheit als Gruppentyp aus.

    Screenshot: Dialogfeld für das Erstellen einer neuen Gruppe im Azure-Portal

  3. Fügen Sie Ihre App-Id als Mitglied der erstellten Sicherheitsgruppe hinzu. Dazu gehen Sie wie folgt vor:

    1. Navigieren Sie zu Azure-Portal > Microsoft Entra ID > Gruppen, und wählen Sie die Sicherheitsgruppe aus, die Sie in Schritt 2 erstellt haben.
    2. Klicken Sie auf Mitglieder hinzufügen.

    Wichtig

    Vergewissern Sie sich, dass für die von Ihnen verwendete Anwendung im Azure-Portal keine für Power BI erforderlichen Administratorberechtigungen festgelegt sind. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

  4. Aktivieren Sie die Fabric-Administratoreinstellungen:

    1. Melden Sie sich beim Fabric-Verwaltungsportal an. Sie müssen Fabric-Administrator sein, um die Seite mit den Mandanteneinstellungen anzeigen zu können.

    2. Unter Administrator-API-Einstellungen wird die Option Dienstprinzipale können auf schreibgeschützte Administrator-APIs zugreifen angezeigt. Legen Sie den Schalter auf „Aktiviert“ fest, wählen Sie das Optionsfeld Sicherheitsgruppe angeben aus, und fügen Sie im darunter angezeigten Textfeld die Sicherheitsgruppe hinzu, die Sie in Schritt 2 erstellt haben.

      Screenshot: Mandanteneinstellungen zum Zulassen von Dienstprinzipalen

  5. Jetzt können Sie schreibgeschützte Administrator-APIs verwenden. Eine Liste der unterstützten APIs finden Sie weiter unten.

Wichtig

Für eine App, die die Dienstprinzipalauthentifizierung verwendet, die schreibgeschützte Administrator-APIs aufruft, dürfen keine erforderlichen Berechtigungen für Die Administratoreinwilligung für Power BI im Azure-Portal festgelegt sein. Hier erfahren Sie, wie Sie überprüfen, ob Ihre App über solche Berechtigungen verfügt.

Unterstützte APIs

Die Dienstprinzipalauthentifizierung wird derzeit für die folgenden schreibgeschützten Administrator-APIs unterstützt.

Für eine App, die die Dienstprinzipalauthentifizierung verwendet, die schreibgeschützte Administrator-APIs aufruft, dürfen keine erforderlichen Berechtigungen für Die Administratoreinwilligung für Power BI im Azure-Portal festgelegt sein. So überprüfen Sie die zugewiesenen Berechtigungen:

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Microsoft Entra ID und Enterprise-Anwendungen aus.
  3. Wählen Sie die Anwendung aus, der Sie Zugriff auf Power BI gewähren möchten.
  4. Wählen Sie Berechtigungen aus. Es darf keine Administratoreinwilligung erforderlich sein, die vom Typ Anwendung für die App registriert ist.

Überlegungen und Einschränkungen

  • Der Dienstprinzipal kann Rest-API-Aufrufe tätigen, aber Sie können Fabric nicht mit Dienstprinzipal-Anmeldeinformationen öffnen.
  • Zum Aktivieren von Dienstprinzipalen in den Administrator-API-Einstellungen im Fabric-Verwaltungsportal sind Fabric-Administratorrechte erforderlich.