Points de terminaison privés pour un accès sécurisé à Power BI
Vous pouvez utiliser des liaisons privées pour fournir un accès sécurisé au trafic de données dans Power BI. Dans cette configuration, les points de terminaison privés Azure Private Link et Azure Networking sont utilisés pour envoyer le trafic de données en mode privé en utilisant l’infrastructure du réseau principal de Microsoft au lieu de passer par Internet.
Lorsque des connexions de liaison privée sont utilisées, elles passent par le segment principal du réseau privé Microsoft lorsque les utilisateurs de Power BI accèdent à des ressources dans le service Power BI.
Pour en savoir plus sur Azure Private Link, consultez Qu’est-ce qu’Azure Private Link.
Activer des points de terminaison privés a un impact sur de nombreux éléments. Il est donc important de consulter la section Considérations et limitations de cet article avant d’activer des points de terminaison privés.
Important
Les points de terminaison privés ne sont pas pris en charge pour la plupart des éléments de Microsoft Fabric, notamment les capacités d’essai de Microsoft Fabric. Lorsque Bloquer l’accès Internet public est activé, vous pouvez continuer à utiliser Power BI, les jeux de données et les pipelines, mais d’autres éléments sont désactivés ou renvoient des erreurs et l’accès des applications tierces aux API OneLake est également bloqué.
Comprendre les points de terminaison privés
Les points de terminaison privés garantissent que le trafic qui passe dans les éléments Power BI de votre organisation, comme les rapports ou les espaces de travail, suit toujours le chemin du réseau de liaison privée configuré de votre organisation. Le trafic utilisateur vers vos éléments Power BI doit provenir de la liaison privée établie. Vous pouvez configurer Power BI pour refuser toutes les demandes qui ne viennent pas du chemin réseau configuré.
Les points de terminaison privés ne garantissent pas que le trafic à partir de Power BI vers vos sources de données externes, dans le cloud ou localement, est sécurisé. Configurez des règles de pare-feu et des réseaux virtuels pour sécuriser davantage vos sources de données.
Intégration de Power BI et des points de terminaison privés
Fourni par Azure Private Link, un point de terminaison privé pour Power BI est une interface réseau qui vous connecte de manière privée et sécurisée au service Power BI.
L’intégration de points de terminaison privés permet de déployer une plateforme en tant que service (PaaS) et d’y accéder de manière privée à partir des réseaux locaux et virtuels d’un client, même si le service est exécuté en dehors du réseau du client. Un point de terminaison privé est une technologie directionnelle qui permet aux clients d’établir des connexions à un service donné, mais qui ne permet pas au service d’établir une connexion au réseau des clients. Ce modèle d’intégration de point de terminaison privé assure l’isolement de la gestion, puisque le service peut fonctionner indépendamment de la configuration de la stratégie réseau du client. Pour les services multilocataires, ce modèle de point de terminaison privé fournit des identificateurs de liaison pour empêcher d’accéder aux autres ressources des clients hébergées au sein du même service. Quand vous utilisez des points de terminaison privés, seul un ensemble limité des autres ressources PaaS est accessible à partir des services par le biais de l’intégration.
Le service Power BI implémente des points de terminaison privés, et non des points de terminaison de service.
L’utilisation de points de terminaison privés avec Power BI offre les avantages suivants :
Les points de terminaison privés garantissent que le trafic transite par le réseau principal Azure vers un point de terminaison privé pour les ressources cloud Azure.
L’isolement du trafic réseau par rapport à une infrastructure non-Azure, comme un accès local, exige que les clients disposent d’ExpressRoute ou d’un réseau privé virtuel (VPN) configuré.
Utiliser des points de terminaison privés sécurisés pour accéder à Power BI
Dans Power BI, vous pouvez configurer et utiliser un point de terminaison par lequel votre organisation pourra accéder à Power BI en mode privé. Pour configurer des points de terminaison privés, vous devez être administrateur Fabric et avoir, dans Azure, les autorisations qui vous permettent de créer et configurer des ressources de type machines virtuelles (VM) et réseaux virtuels (V-Net).
Voici les étapes nécessaires pour accéder de façon sécurisée à Power BI par le biais de points de terminaison privés :
- Configurer des points de terminaison privés pour Power BI.
- Créer une ressource Power BI dans le Portail Azure.
- Créer un réseau virtuel.
- Créer une machine virtuelle (VM).
- Créez un point de terminaison privé.
- Se connecter à une machine virtuelle à l’aide du Bureau à distance (RDP).
- Accéder à Power BI en mode privé depuis la machine virtuelle.
- Désactiver l’accès public pour Power BI.
Les sections suivantes fournissent des informations supplémentaires pour chaque étape.
Activer des points de terminaison privés pour Power BI
Pour commencer, connectez-vous au service Power BI comme administrateur, puis effectuez les étapes suivantes :
Dans l’en-tête de page, sélectionnez Paramètres>Portail Administrateur.
Sélectionnez Paramètres du locataire et accédez à Mise en réseau avancée. Basculez le bouton bascule Azure Private Link sur Activé.
La configuration d’une liaison privée pour votre locataire prend environ 15 minutes, ce qui comprend la configuration d’un FQDN distinct pour le locataire afin de communiquer de manière privée avec les services Power BI.
Une fois ce processus terminé, vous pouvez passer à l’étape suivante.
Créer une ressource Power BI dans le portail Azure
Connectez-vous au portail Azure et sélectionnez Créer une ressource. Sous Déploiement de modèle, sélectionnez Créer.
Sélectionnez Générer votre propre modèle dans l’éditeur.
Remplacez les paramètres de l’exemple de modèle ARM (Azure Resource Manager), indiqués dans le tableau suivant, pour créer une ressource Power BI.
Paramètre Valeur <resource-name>myPowerBIResource <tenant-object-id>Recherchez votre ID de locataire dans le portail Azure Créez le modèle ARM.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }Si vous utilisez un Azure Government cloud, l’emplacement doit être le nom de région du locataire. Par exemple, si le locataire se trouve dans US Gov Texas, vous devez placer « location » : « usgovtexas » dans le modèle ARM. La liste des régions Power BI US Government est disponible dans l’article Power BI pour le gouvernement des États-Unis.
Dans l’écran de vérification, sélectionnez Créer pour accepter les conditions générales.
Créez un réseau virtuel
L’étape suivante consiste à créer un réseau virtuel et un sous-réseau. Le nombre d’adresses IP dont votre sous-réseau aura besoin est constitué du nombre de capacités sur votre locataire plus trois. Par exemple, si vous créez un sous-réseau pour un locataire avec sept capacités, vous aurez besoin de dix adresses IP.
Remplacez les paramètres en exemple dans le tableau suivant par les vôtres pour créer un réseau virtuel et un sous-réseau.
| Paramètre | Valeur |
|---|---|
<resource-group-name> |
myResourceGroup |
<virtual-network-name> |
myVirtualNetwork |
<region-name> |
USA Centre |
<address-space> |
10.0.0.0/16 |
<subnet-name> |
mySubnet |
<subnet-address-range> |
10.0.0.0/24 |
Sur le côté supérieur gauche de l’écran dans votre portail Azure, sélectionnez Créer une ressource > Mise en réseau > Réseau virtuel ou recherchez Réseau virtuel dans la zone de recherche.
Dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes sous l’onglet Concept de base :
Paramètres Valeur Détails du projet Abonnement Sélectionner votre abonnement Azure Resource group Sélectionnez Créer, entrez <resource-group-name>, puis sélectionnez OK, ou sélectionnez un<resource-group-name>existant en fonction des paramètres.Détails de l’instance Nom Entrez <virtual-network-name>Espace d’adressage Entrez <address-space>Nom du sous-réseau Entrez <subnet-name>Plage d’adresses de sous-réseau Entrez <subnet-address-range>Region Sélectionnez <region-name>L’image suivante montre l’onglet Général.
Sélectionnez Enregistrer, puis Vérifier + créer>Créer.
Après avoir effectué ces étapes, vous pouvez créer une machine virtuelle, comme décrit dans la section suivante.
Créer une machine virtuelle
L'étape suivante consiste à créer une machine virtuelle.
En haut à gauche de l’écran du Portail Azure, sélectionnez Créer une ressource > Calcul > Machine virtuelle.
Sous l’onglet Informations de base, entrez ou sélectionnez les informations suivantes :
Paramètres Valeur Détails du projet Abonnement Sélectionner votre abonnement Azure Resource group Sélectionnez le groupe myResourceGroup que vous avez créé dans la section précédente. Détails de l’instance nom de la machine virtuelle Entrez myVm Région Sélectionnez USA Ouest Options de disponibilité Conservez la valeur par défaut Aucune redondance d’infrastructure nécessaire Image Sélectionnez Windows 10 Professionnel Taille Conservez la valeur par défaut Standard DS1 v2 COMPTE ADMINISTRATEUR Nom d’utilisateur Entrez un nom d’utilisateur de votre choix Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies Confirmer le mot de passe Entrez à nouveau le mot de passe RÈGLES DES PORTS D’ENTRÉE Aucun port d’entrée public Conservez la valeur par défaut Aucun LICENCES J’ai une licence Windows 10/11 éligible Activer la case Sélectionnez Suivant : Disques.
Sous l’onglet Disques, conservez les valeurs par défaut et sélectionnez Suivant : Réseau.
Sous l’onglet Réseau, sélectionnez les informations suivantes :
Paramètres Valeur Réseau virtuel Conservez la valeur par défaut MyVirtualNetwork Espace d’adressage Conservez la valeur par défaut 10.0.0.0/24 Subnet Conservez la valeur par défaut mySubnet (10.0.0.0/24) Adresse IP publique Conservez la valeur par défaut (new) myVm-ip Aucun port d’entrée public Sélectionnez **Autoriser les ports sélectionnés** Sélectionner des ports d’entrée Sélectionnez RDP Sélectionnez Revoir + créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.
Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.
Créer un Private Endpoint
L’étape suivante consiste à créer un point de terminaison privé pour Power BI.
En haut à gauche de l’écran du portail Azure, sélectionnez Créer une ressource > Mise en réseau > Private Link.
Dans Centre Private Link - Vue d’ensemble, sous l’option pour Générer une connexion privée à un service, sélectionnez Créer un point de terminaison privé.
Sous l’onglet Créer un point de terminaison privé - Informations de base, entrez ou sélectionnez les informations suivantes :
Paramètres Valeur Détails du projet Abonnement Sélectionner votre abonnement Azure Resource group Sélectionnez myResourceGroup. Vous avez créé ce groupe dans la section précédente Détails de l’instance Nom Entrez myPrivateEndpoint. Si ce nom est utilisé, créez un nom unique Région Sélectionnez USA Ouest L’image suivante montre la fenêtre Créer un point de terminaison privé - Général.
Une fois ces informations renseignées, sélectionnez Suivant : Ressource et, dans la page Créer un point de terminaison privé - Ressource, entrez ou sélectionnez les informations suivantes :
Paramètres Valeur Méthode de connexion Sélectionner Se connecter à une ressource Azure dans mon répertoire Abonnement Sélectionnez votre abonnement Type de ressource Sélectionnez Microsoft.PowerBI/privateLinkServicesForPowerBI Ressource myPowerBIResource Sous-ressource cible Locataire L’image suivante montre la fenêtre Créer un point de terminaison privé - Ressource.
Après avoir entré ces informations correctement, sélectionnez Suivant : Configuration et, dans Créer un point de terminaison privé - Configuration, entrez ou sélectionnez les informations suivantes :
Paramètres Valeur MISE EN RÉSEAU Réseau virtuel Sélectionner myVirtualNetwork Subnet Sélectionnez mySubnet INTÉGRATION À DNS PRIVÉ Intégrer à une zone DNS privée Sélectionnez Oui Zone DNS privée Sélectionnez
(New)privatelink.analysis.windows.net
(New)privatelink.pbidedicated.windows.net
(New)privatelink.prod.powerquery.microsoft.comL’image suivante montre la fenêtre Créer un point de terminaison privé - Configuration.
Sélectionnez ensuite Vérifier + créer, qui affiche la page Vérifier + créer dans laquelle Azure valide votre configuration. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.
Se connecter à une machine virtuelle à l’aide du Bureau à distance (RDP)
Après avoir créé votre machine virtuelle, appelée myVM, connectez-vous à celle-ci à partir d’Internet en suivant ces étapes :
Dans la barre de recherche du portail, entrez myVm.
Sélectionnez le bouton Se connecter, puis choisissez RDP dans le menu déroulant.
Entrez une adresse IP, puis sélectionnez Télécharger le fichier RDP. Azure crée un fichier de protocole RDP (Remote Desktop Protocol) ( .rdp) et le télécharge sur votre ordinateur.
Ouvrez le fichier .rdp pour démarrer la connexion Bureau à distance, puis sélectionnez Se connecter.
Entrez le nom d’utilisateur et le mot de passe spécifiés quand vous avez créé la machine virtuelle à l’étape précédente.
Sélectionnez OK.
Un avertissement de certificat peut s’afficher pendant le processus de connexion. Si vous recevez un avertissement de certificat, sélectionnez Oui ou Continuer.
Accéder à Power BI en mode privé à partir de la machine virtuelle
L’étape suivante consiste à accéder à Power BI en mode privé, à partir de la machine virtuelle que vous avez créée à l’étape précédente, en procédant comme suit :
Dans le Bureau à distance de myVM, ouvrez PowerShell.
Entrez
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.Vous recevez une réponse similaire au message suivant :
Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: 52d40f65ad6d48c3906f1ccf598612d4-api.privatelink.analysis.windows.net Address: 10.5.0.4Ouvrez le navigateur et allez sur app.powerbi.com pour accéder à Power BI en mode privé.
Désactiver l’accès public pour Power BI
Enfin, vous pouvez éventuellement désactiver l’accès public pour Power BI.
Si vous désactivez l’accès public pour Power BI, certaines contraintes d’accès aux services Power BI sont mises en place ; celles-ci sont décrites dans la section suivante.
Important
Lorsque vous activez l’option Bloquer l’accès à Internet, cela désactive Microsoft Fabric.
Pour désactiver l’accès public à Power BI, connectez-vous au service Power BI en tant qu’administrateur, et accédez au portail Administration. Sélectionnez Paramètres du locataire et faites défiler le contenu jusqu’à la section Mise en réseau avancée. Activez le bouton bascule dans la section Bloquer l’accès Internet public, comme indiqué dans l’image suivante. Il faut environ 15 minutes au système pour désactiver l’accès de votre organisation à Power BI à partir de l’Internet public.
Achèvement de la configuration du point de terminaison privé
Une fois que vous avez suivi les étapes décrites dans les sections précédentes et que la liaison privée a été correctement configurée, votre organisation implémente des liaisons privées en fonction des sélections de configuration suivantes, que la sélection soit définie lors de la configuration initiale ou qu’elle ait été modifiée par la suite.
Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est activée :
- Power BI est accessible uniquement pour votre organisation à partir de points de terminaison privés et ne l’est plus à partir de l’Internet public.
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le service et ne fonctionneront pas.
- Il peut y avoir des scénarios qui ne prennent pas en charge les liaisons privées, et qui sont donc bloqués au niveau du service lorsque Bloquer l’accès public à Internet est activé.
Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est désactivée :
- Le trafic à partir de l’Internet public sera autorisé par les services Power BI
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
- Le trafic provenant du réseau virtuel ciblant les points de terminaison et les scénarios qui ne prennent pas en charge les liaisons privées sont transportés via l’Internet public et seront autorisés par les services Power BI.
- Si le réseau virtuel est configuré pour bloquer l’accès à l’Internet public, les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le réseau virtuel et ne fonctionneront pas.
Considérations et limitations
Il y a plusieurs points à prendre en compte si vous utilisez des points de terminaison privés dans Power BI :
Vous ne pouvez pas utiliser d’images ou de thèmes externes dans un environnement de liaison privée.
Si l’accès à Internet est désactivé et que le jeu de données ou le flux de données se connecte à un jeu de données ou à un flux de données Power BI comme source de données, la connexion échoue.
Chaque point de terminaison privé peut être connecté à un seul locataire.
Actuellement, les datamarts ne prennent pas en charge les liaisons privées à l’aide de SSMS. Les connexions de liaison privée utilisant SSMS seront rejetées si Bloquer l’accès public à Internet est activé.
Si votre organisation utilise Azure Private Link dans Power BI, les rapports de métriques d’utilisation modernes contiendront des données partielles (seulement Indiquer les événements ouverts). Une limitation actuelle lors du transfert d’informations client par le biais de liaisons privées empêche Power BI de capturer des vues de page de rapport et des données de performances par le biais de liaisons privées. Si votre organisation utilise Azure Private Link et Bloquer l’accès à l’Internet public dans Power BI, l’actualisation du jeu de données échoue et le rapport des métriques d’utilisation ne montre aucune donnée.
L’option Publier sur le web n’est pas prise en charge quand vous activez Azure Private Link dans Power BI.
Les abonnements par e-mail ne sont pas pris en charge lorsque vous activez Bloquer l’accès Internet public dans Power BI.
Microsoft Purview Information Protection ne prend pas en charge les liaisons privées. Cela signifie que, dans Power BI Desktop s’exécutant dans un réseau isolé, le bouton Confidentialité est grisé, les informations d’étiquette ne s’affichent pas et le décryptage des fichiers .pbix échoue.
Pour activer ces fonctionnalités dans Power BI Desktop, les administrateurs peuvent configurer des étiquettes de service pour les services sous-jacents qui prennent en charge MIP, EOP et AIP. Vous devez bien comprendre ce qu’implique l’utilisation d’étiquettes de service dans un réseau isolé de liaisons privées.
Pour les utilisateurs Power BI, la passerelle de données locale n’est pas prise en charge et ne parvient pas à s’inscrire lorsque des liaisons privées sont activées. Pour exécuter correctement le configurateur GW, ils doivent désactiver les liaisons privées.
Pour les utilisateurs de passerelle autre que Power BI (PowerApps ou LogicApps), la passerelle ne fonctionne pas correctement lorsque des liaisons privées sont activées. Une solution de contournement potentielle consiste à désactiver les liaisons privées, à configurer la passerelle dans une région distante (autre que la région recommandée), puis à réactiver les liaisons privées. Une fois les liaisons privées réactivées, la passerelle dans la région distante n’utilise plus les liaisons privées.
Les API REST de ressources de liaisons privées ne prennent pas en charge les étiquettes.
Vous ne pouvez pas configurer une liaison privée destinée à être utilisée par plusieurs locataires.
L’exportation d’un rapport Power BI au format PDF ou PowerPoint n’est pas prise en charge lorsque vous activez Azure Private Link dans Power BI.
Les URL suivantes doivent être accessibles depuis le navigateur client et sont requises pour l'authentification :
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.comlogin.live.com, bien que cela puisse être différent en fonction du type de compte.
Étapes suivantes
- Administration de Power BI dans votre organisation
- Comprendre les rôles d’administration Power BI
- Suivre les activités utilisateur dans Power BI
- Comment trouver votre ID de locataire Azure Active Directory
La vidéo suivante montre comment connecter un appareil mobile à Power BI à l’aide de points de terminaison privés :
Notes
Cette vidéo peut utiliser des versions antérieures de Power BI Desktop ou le service Power BI.
D’autres questions ? Poser des questions à la communauté Power BI.