Connettersi e gestire un tenant di Power BI in Microsoft Purview (tra tenant)
Questo articolo illustra come registrare un tenant di Power BI in uno scenario tra tenant e come autenticare e interagire con il tenant in Microsoft Purview. Se non si ha familiarità con il servizio, vedere Che cos'è Microsoft Purview?.
Funzionalità supportate
Estrazione dei metadati | Analisi completa | Analisi incrementale | Analisi con ambito | Classificazione | Applicazione di etichette | Criteri di accesso | Lignaggio | Condivisione dei dati | Visualizzazione dinamica |
---|---|---|---|---|---|---|---|---|---|
Sì | Sì | Sì | No | No | No | No | Sì | No | No |
Durante l'analisi dell'origine Power BI, Microsoft Purview supporta:
Estrazione di metadati tecnici, tra cui:
- Aree di lavoro
- Dashboard
- Report
- Set di dati che includono tabelle e colonne
- Flussi di dati
- Datamarts
Recupero della derivazione statica sulle relazioni degli asset tra gli artefatti di Power BI precedenti e gli asset di origine dati esterni. Altre informazioni sulla derivazione di Power BI.
Scenari supportati per le analisi di Power BI
Scenario | Accesso pubblico di Microsoft Purview | Accesso pubblico di Power BI | Opzione di runtime | Opzione di autenticazione | Elenco di controllo per la distribuzione |
---|---|---|---|---|---|
Accesso pubblico con il runtime di integrazione di Azure | Consentito | Consentito | Runtime di Azure | Autenticazione delegata | Elenco di controllo per la distribuzione |
Accesso pubblico con runtime di integrazione self-hosted | Consentito | Consentito | Runtime self-hosted | Autenticazione delegata/entità servizio | Elenco di controllo per la distribuzione |
Limitazioni note
- Per lo scenario tra tenant, l'autenticazione delegata e l'entità servizio sono le uniche opzioni di autenticazione supportate per l'analisi.
- È possibile creare una sola analisi per un'origine dati di Power BI registrata nell'account Microsoft Purview.
- Se lo schema del set di dati di Power BI non viene visualizzato dopo l'analisi, è dovuto a una delle limitazioni correnti dello scanner di metadati di Power BI.
- Le aree di lavoro vuote vengono ignorate.
Prerequisiti
Prima di iniziare, assicurarsi di avere quanto segue:
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account Microsoft Purview attivo.
Registrare il tenant di Power BI
Dalle opzioni a sinistra selezionare Mappa dati.
Selezionare Registra e quindi Power BI come origine dati.
Assegnare all'istanza di Power BI un nome descrittivo. Il nome deve avere una lunghezza da 3 a 63 caratteri e deve contenere solo lettere, numeri, caratteri di sottolineatura e trattini. Gli spazi non sono consentiti.
Modificare il campo ID tenant , per sostituire con il tenant per il power BI tra tenant che si vuole registrare e analizzare. Per impostazione predefinita, l'ID tenant di Microsoft Purview viene popolato.
Eseguire l'autenticazione nel tenant di Power BI
Nel tenant di Azure Active Directory, dove si trova il tenant di Power BI:
Nel portale di Azure cercare Azure Active Directory.
Creare un nuovo gruppo di sicurezza in Azure Active Directory seguendo Creare un gruppo di base e aggiungere membri con Azure Active Directory.
Consiglio
È possibile ignorare questo passaggio se si dispone già di un gruppo di sicurezza da usare.
Selezionare Sicurezza come tipo di gruppo.
Selezionare Membri e quindi + Aggiungi membri.
Cercare l'identità gestita o l'entità servizio di Microsoft Purview e selezionarla.
Verrà visualizzata una notifica di esito positivo che mostra che è stata aggiunta.
Associare il gruppo di sicurezza al tenant di Power BI
Accedere al portale di amministrazione di Power BI.
Selezionare la pagina Impostazioni tenant .
Importante
È necessario essere un Amministrazione di Power BI per visualizzare la pagina delle impostazioni del tenant.
Selezionare Amministrazione impostazioni> APIConsenti alle entità servizio di usare le API di amministrazione di Power BI di sola lettura (anteprima).
Selezionare Gruppi di sicurezza specifici.
Selezionare Amministrazione impostazioni> APIMigliorare le risposte alle API di amministrazione con metadati dettagliati e Migliorare le risposte alle API di amministrazione con le espressioni> DAX e mashup Abilita l'interruttore per consentire Microsoft Purview Data Map individuare automaticamente i metadati dettagliati dei set di dati di Power BI come parte delle analisi.
Importante
Dopo aver aggiornato le impostazioni dell'API Amministrazione nel tenant di Power Bi, attendere circa 15 minuti prima di registrare una connessione di analisi e test.
Attenzione
Quando si consente al gruppo di sicurezza creato (con l'identità gestita di Microsoft Purview come membro) di usare le API di amministrazione di Power BI di sola lettura, è anche possibile accedere ai metadati (ad esempio, nomi di dashboard e report, proprietari, descrizioni e così via) per tutti gli artefatti di Power BI in questo tenant. Dopo aver eseguito il pull dei metadati in Microsoft Purview, le autorizzazioni di Microsoft Purview, non le autorizzazioni di Power BI, determinano chi può visualizzare tali metadati.
Nota
È possibile rimuovere il gruppo di sicurezza dalle impostazioni dello sviluppatore, ma i metadati estratti in precedenza non verranno rimossi dall'account Microsoft Purview. È possibile eliminarlo separatamente, se lo si desidera.
Analizzare Power BI tra tenant
L'autenticazione delegata e le entità servizio sono le uniche opzioni supportate per l'analisi tra tenant. È possibile eseguire l'analisi usando:
Creare un'analisi per più tenant usando Il runtime di integrazione di Azure con l'autenticazione delegata
Per creare ed eseguire una nuova analisi usando il runtime di Azure, seguire questa procedura:
Creare un account utente nel tenant di Azure AD in cui si trova il tenant di Power BI e assegnare l'utente a questo ruolo: Amministratore di Power BI. Prendere nota del nome utente e accedere per modificare la password.
Passare all'istanza di Azure Key Vault nel tenant in cui viene creato Microsoft Purview.
Selezionare Impostazioni>segreti e quindi + Genera/Importa.
Immettere un nome per il segreto. In Valore digitare la password appena creata per l'utente di Azure AD. Selezionare Crea per completare.
Se l'insieme di credenziali delle chiavi non è ancora connesso a Microsoft Purview, è necessario creare una nuova connessione all'insieme di credenziali delle chiavi.
Creare una registrazione dell'app nel tenant di Azure AD in cui si trova Power BI. Specificare un URL Web nell'URI di reindirizzamento.
Prendere nota dell'ID client (ID app).
Nel dashboard di Azure AD selezionare l'applicazione appena creata e quindi selezionare Autorizzazioni app. Assegnare all'applicazione le autorizzazioni delegate seguenti e concedere il consenso amministratore per il tenant:
- Tenant del servizio Power BI.Read.All
- Openid di Microsoft Graph
- Microsoft Graph User.Read
Nel dashboard di Azure AD selezionare l'applicazione appena creata e quindi selezionare Autenticazione. In Tipi di account supportati selezionare Account in qualsiasi directory organizzativa (qualsiasi directory di Azure AD - multi-tenant).
In Concessione implicita e flussi ibridi selezionare Token ID (usati per i flussi impliciti e ibridi).
In Impostazioni avanzate abilitare Consenti flussi client pubblici.
In Microsoft Purview Studio passare alla mappa dati nel menu a sinistra. Passare a Origini.
Selezionare l'origine di Power BI registrata da cross-tenant.
Selezionare + Nuova analisi.
Assegnare un nome alla scansione. Selezionare quindi l'opzione per includere o escludere le aree di lavoro personali.
Nota
Se si passa alla configurazione di un'analisi per includere o escludere un'area di lavoro personale, si attiva un'analisi completa dell'origine Power BI.
Selezionare Azure AutoResolveIntegrationRuntime nell'elenco a discesa.
Per Credenziali selezionare Autenticazione delegata e quindi + Nuovo per creare una nuova credenziale.
Creare una nuova credenziale e specificare i parametri necessari seguenti:
Nome: specificare un nome univoco per le credenziali.
ID client: usare l'ID client dell'entità servizio (ID app) creato in precedenza.
Nome utente: specificare il nome utente dell'amministratore di Power BI creato in precedenza.
Password: selezionare la connessione Key Vault appropriata e il nome del segreto in cui la password dell'account Power BI è stata salvata in precedenza.
Selezionare Test connessione prima di continuare con i passaggi successivi.
Se il test non riesce, selezionare Visualizza report per visualizzare lo stato dettagliato e risolvere il problema:
- Accesso: lo stato non è riuscito significa che l'autenticazione utente non è riuscita. Verificare se il nome utente e la password sono corretti. Verificare se le credenziali contengono l'ID client (app) corretto dalla registrazione dell'app.
- Asset (+ derivazione): lo stato non riuscito indica che l'autorizzazione tra Microsoft Purview e Power BI non è riuscita. Assicurarsi che l'utente venga aggiunto al ruolo di amministratore di Power BI e che sia assegnata la licenza di Power BI appropriata.
- Metadati dettagliati (avanzato): lo stato non riuscito indica che il portale di amministrazione di Power BI è disabilitato per l'impostazione seguente: Migliorare le risposte delle API di amministrazione con metadati dettagliati.
Configurare un trigger di analisi. Le opzioni sono Ricorrenti o Una volta.
In Rivedi nuova analisi selezionare Salva ed esegui per avviare l'analisi.
Consiglio
Per risolvere eventuali problemi relativi all'analisi:
- Verificare di aver completato l'elenco di controllo per la distribuzione per lo scenario.
- Esaminare la documentazione sulla risoluzione dei problemi di analisi.
Creare un'analisi per più tenant usando il runtime di integrazione self-hosted con l'entità servizio
Per creare ed eseguire una nuova analisi usando il runtime di integrazione self-hosted, seguire questa procedura:
Creare una registrazione dell'app nel tenant di Azure AD in cui si trova Power BI. Specificare un URL Web nell'URI di reindirizzamento.
Prendere nota dell'ID client (ID app).
Nel dashboard di Azure AD selezionare l'applicazione appena creata e quindi selezionare Autorizzazioni app. Assegnare all'applicazione le autorizzazioni delegate seguenti:
- Openid di Microsoft Graph
- Microsoft Graph User.Read
Nel dashboard di Azure AD selezionare l'applicazione appena creata e quindi selezionare Autenticazione. In Tipi di account supportati selezionare Account in qualsiasi directory organizzativa (qualsiasi directory di Azure AD - multi-tenant).
In Concessione implicita e flussi ibridi selezionare Token ID (usati per i flussi impliciti e ibridi).
In Impostazioni avanzate abilitare Consenti flussi client pubblici.
Nel tenant in cui viene creato Microsoft Purview passare all'istanza di Azure Key Vault.
Selezionare Impostazioni>segreti e quindi + Genera/Importa.
Immettere un nome per il segreto. In Valore digitare il segreto appena creato per la registrazione dell'app. Selezionare Crea per completare.
In Certificati & segreti creare un nuovo segreto e salvarlo in modo sicuro per i passaggi successivi.
In portale di Azure passare all'insieme di credenziali delle chiavi di Azure.
Selezionare Impostazioni>segreti e selezionare + Genera/Importa.
Immettere un nome per il segreto e per Valore digitare il segreto appena creato per la registrazione dell'app. Selezionare Crea per completare.
Se l'insieme di credenziali delle chiavi non è ancora connesso a Microsoft Purview, è necessario creare una nuova connessione all'insieme di credenziali delle chiavi.
In Microsoft Purview Studio passare alla mappa dati nel menu a sinistra. Passare a Origini.
Selezionare l'origine di Power BI registrata da cross-tenant.
Selezionare + Nuova analisi.
Assegnare un nome alla scansione. Selezionare quindi l'opzione per includere o escludere le aree di lavoro personali.
Nota
Se si passa alla configurazione di un'analisi per includere o escludere un'area di lavoro personale, si attiva un'analisi completa dell'origine Power BI.
Selezionare il runtime di integrazione self-hosted dall'elenco a discesa.
Per Credenziali selezionare Entità servizio e quindi + Nuovo per creare una nuova credenziale.
Creare una nuova credenziale e specificare i parametri necessari seguenti:
- Nome: specificare un nome univoco per le credenziali
- Metodo di autenticazione: entità servizio
- ID tenant: ID tenant di Power BI
- ID client: usare l'ID client dell'entità servizio (ID app) creato in precedenza
Selezionare Test connessione prima di continuare con i passaggi successivi.
Se il test non riesce, selezionare Visualizza report per visualizzare lo stato dettagliato e risolvere il problema:
- Accesso: lo stato non è riuscito significa che l'autenticazione utente non è riuscita. Verificare se l'ID app e il segreto sono corretti. Verificare se le credenziali contengono l'ID client (app) corretto dalla registrazione dell'app.
- Asset (+ derivazione): lo stato non riuscito indica che l'autorizzazione tra Microsoft Purview e Power BI non è riuscita. Assicurarsi che l'utente venga aggiunto al ruolo di amministratore di Power BI e che sia assegnata la licenza di Power BI appropriata.
- Metadati dettagliati (avanzato): lo stato non riuscito indica che il portale di amministrazione di Power BI è disabilitato per l'impostazione seguente: Migliorare le risposte delle API di amministrazione con metadati dettagliati.
Configurare un trigger di analisi. Le opzioni sono Ricorrenti o Una volta.
In Rivedi nuova analisi selezionare Salva ed esegui per avviare l'analisi.
Consiglio
Per risolvere eventuali problemi relativi all'analisi:
- Verificare di aver completato l'elenco di controllo per la distribuzione per lo scenario.
- Esaminare la documentazione sulla risoluzione dei problemi di analisi.
Elenco di controllo per la distribuzione
L'elenco di controllo per la distribuzione è un riepilogo di tutti i passaggi da eseguire per configurare un'origine Power BI tra tenant. È possibile usarlo durante l'installazione o per la risoluzione dei problemi, per verificare di aver seguito tutti i passaggi necessari per la connessione.
- Accesso pubblico con il runtime di integrazione di Azure
- Accesso pubblico con runtime di integrazione self-hosted
Analizzare Power BI tra tenant usando l'autenticazione delegata in una rete pubblica
Assicurarsi che l'ID tenant di Power BI sia immesso correttamente durante la registrazione. Per impostazione predefinita, verrà popolato l'ID tenant di Power BI esistente nella stessa istanza di Azure Active Directory (Azure AD) di Microsoft Purview.
Assicurarsi che il modello di metadati di Power BI sia aggiornato abilitando l'analisi dei metadati.
Dal portale di Azure verificare se la rete dell'account Microsoft Purview è impostata sull'accesso pubblico.
Dal portale di amministrazione del tenant di Power BI verificare che il tenant di Power BI sia configurato per consentire una rete pubblica.
Controllare l'istanza di Azure Key Vault per assicurarsi:
- La password o il segreto non contiene errori di digitazione.
- L'identità gestita di Microsoft Purview consente di ottenere ed elencare l'accesso ai segreti.
Esaminare le credenziali per verificare che:
- L'ID client corrisponde all'ID applicazione (client) della registrazione dell'app.
- Per l'autenticazione delegata, il nome utente include il nome dell'entità utente, ad
johndoe@contoso.com
esempio .
Nel tenant di Azure AD di Power BI convalidare le impostazioni utente di amministratore di Power BI seguenti:
- L'utente viene assegnato al ruolo di amministratore di Power BI.
- Almeno una licenza di Power BI viene assegnata all'utente.
- Se l'utente è stato creato di recente, accedere con l'utente almeno una volta per assicurarsi che la password venga reimpostata correttamente e che l'utente possa avviare correttamente la sessione.
- Non sono previsti criteri di autenticazione a più fattori o di accesso condizionale applicati all'utente.
Nel tenant di Azure AD di Power BI convalidare le impostazioni di registrazione dell'app seguenti:
- La registrazione dell'app esiste nel tenant di Azure AD in cui si trova il tenant di Power BI.
- Se si usa l'entità servizio, in Autorizzazioni API vengono assegnate le autorizzazioni delegate seguenti con lettura per le API seguenti:
- Openid di Microsoft Graph
- Microsoft Graph User.Read
- Se si usa l'autenticazione delegata, in Autorizzazioni API vengono configurate le autorizzazioni delegate seguenti e il consenso amministratore per il tenant con lettura per le API seguenti:
- Tenant del servizio Power BI.Read.All
- Openid di Microsoft Graph
- Microsoft Graph User.Read
- In Autenticazione:
- Tipi di> account supportatiGli account in qualsiasi directory organizzativa (qualsiasi directory di Azure AD - Multi-tenant) sono selezionati.
- Concessione implicita e flussi> ibridiI token ID (usati per i flussi impliciti e ibridi) sono selezionati.
- Consenti flussi client pubblici è abilitato.
Nel tenant di Power BI, dal tenant di Azure Active Directory, verificare che l'entità servizio sia membro del nuovo gruppo di sicurezza.
Nel portale di Amministrazione tenant di Power BI verificare se l'opzione Consenti alle entità servizio di usare le API di amministrazione di Power BI di sola lettura è abilitata per il nuovo gruppo di sicurezza.
Passaggi successivi
Dopo aver registrato l'origine, vedere le guide seguenti per altre informazioni su Microsoft Purview e i dati.