Power BI へのセキュリティで保護されたアクセスのためのプライベート エンドポイント

  • [アーティクル]

プライベート リンクを使って、Power BI のデータ トラフィックにセキュリティで保護されたアクセスを実現できます。 この構成では、Azure Private Link と Azure ネットワーク プライベート エンドポイントを使い、インターネット経由ではなく Microsoft のバックボーン ネットワーク インフラストラクチャを使ってデータ トラフィックをプライベートに送信します。

プライベート リンク接続が使用されているとき、Power BI ユーザーが Power BI サービスのリソースにアクセスすると、接続は Microsoft プライベート ネットワーク バックボーンを通過します。

Azure Private Link の詳細については、「Azure Private Link とは」を参照してください。

プライベート エンドポイントを有効にすると、多くの項目に影響を与えるので、プライベート エンドポイントを有効にする前に、この記事の考慮事項と制限事項に関するセクションを確認してください。

重要

プライベート エンドポイントは、Microsoft Fabric (Microsoft Fabric 試用版容量を含む) ではサポートされていません。

プライベート エンドポイントの概要

プライベート エンドポイントを使うと、組織の Power BI アイテム (レポートやワークスペースなど) "に" 送信されるトラフィックが組織の構成済みのプライベート リンクのネットワーク パスを常に経由することが保証されます。 ご利用の Power BI アイテムへのユーザー トラフィックは、確立されたプライベート リンクからのものである必要があります。 構成されたネットワーク パスからのものではないすべての要求を拒否するように Power BI を構成することができます。

クラウド内またはオンプレミスにかかわらず、Power BI から外部データ ソースへのトラフィックのセキュリティ保護は、プライベート エンドポイントによって保証されるものでは "ありません"。 ご利用のデータ ソースをさらにセキュリティで保護するためのファイアウォール規則と仮想ネットワークを構成してください。

Power BI とプライベート エンドポイントの統合

Power BI 用のプライベート エンドポイントは、Azure Private Link を利用して、Power BI サービスにプライベートにかつ安全に接続するネットワーク インターフェイスです。

プライベート エンドポイントの統合により、サービスとしてのプラットフォーム (PaaS) を、顧客の仮想およびオンプレミスのネットワークからプライベートにデプロイおよびアクセスすることができます。なおサービスは引き続き顧客のネットワークの外部で実行されます。 プライベート エンドポイントとは、クライアントが特定のサービスへの接続を開始できるようにするが、そのサービスが顧客ネットワークへの接続を開始することは許可しない一方向のテクノロジです。 このプライベート エンドポイント統合パターンでは、顧客のネットワーク ポリシー構成とは無関係にサービスが動作するため、管理の分離を実現することができます。 マルチテナント サービスの場合、このプライベート エンドポイント モデルには、同じサービス内でホストされている他の顧客のリソースにアクセスできないようにするためにリンク識別子が用意されています。 プライベート エンドポイントを使う場合、統合を使ってサービスからアクセスできる他の PaaS リソースのセットは限られています。

Power BI サービスによって実装されるのは、サービス エンドポイントではなく、プライベート エンドポイントです。

Power BI でプライベート エンドポイントを使うと、次のような利点があります。

  1. プライベート エンドポイントを使うと、トラフィックが Azure バックボーン経由で Azure クラウドベースのリソース用のプライベート エンドポイントに流れるようになります。

  2. オンプレミスのアクセスなど、Azure 以外をベースにしたインフラストラクチャからのネットワーク トラフィック分離の場合、顧客の ExpressRoute または仮想プライベート ネットワーク (VPN) が構成されている必要があります。

セキュリティで保護されたプライベート エンドポイントを使って Power BI にアクセスする

Power BI では、組織が Power BI にプライベート アクセスできるようにするエンドポイントを構成して使うことができます。 プライベート エンドポイントを構成するには、Power BI 管理者であり、Azure で、仮想マシン (VM) や 仮想ネットワーク (V-Net) などのリソースを作成して構成するためのアクセス許可を持っている必要があります。

プライベート エンドポイントから Power BI に安全にアクセスできるようにする手順は、次のとおりです。

  1. Power BI 用のプライベート エンドポイントを設定する
  2. Azure portal で Power BI リソースを作成する
  3. 仮想ネットワークの作成
  4. 仮想マシン (VM) の作成
  5. プライベート エンドポイントを作成する
  6. リモート デスクトップ (RDP) を使用して VM に接続
  7. 仮想マシンから Power BI にプライベート アクセスする
  8. Power BI のパブリック アクセスを無効にする

以下のセクションでは、各手順について詳細に説明します。

Power BI のプライベート エンドポイントを有効にする

作業を開始するには、管理者として Power BI サービスにサインインし、次の手順を実行します。

  1. ページ ヘッダーで、 [設定]>[管理ポータル] を選択します。

    [設定] メニューの管理ポータル オプションのスクリーンショット。

  2. [テナント設定] を選択して [高度なネットワーク] までスクロールします。 [Azure Private Link] トグルを [有効] に切り替えます。

    [Advanced Networking] (高度なネットワーク) の [Azure Private Link] スイッチのスクリーンショット。

テナントのプライベート リンクを構成するには、約 15 分かかります。これには、Power BI サービスとプライベート通信するために、テナント用の個別の FQDN を構成することが含まれます。

このプロセスが完了したら、次の手順に進むことができます。

Azure portal で Power BI リソースを作成する

  1. Azure portal にサインインし、[リソースの作成] を選びます。 [テンプレートのデプロイ][作成] を選びます。

    [リソースの作成] セクションにある [テンプレートの作成] リンクのスクリーンショット。

  2. [Build your own template in the editor] (エディターで独自のテンプレートをビルド) を選択します。

    [独自のテンプレートを作成する] オプションのスクリーンショット。

  3. Azure Resource Manager (ARM) テンプレート例のパラメーターを、次の表に示すとおりに置き換えて Power BI リソースを作成します。

    パラメーター
    <resource-name> myPowerBIResource
    <tenant-object-id> Azure portal でテナント ID を確認する

    ARM テンプレートを作成します。

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

  4. 確認画面で、[作成] を選んでご契約条件に同意します。

    Azure Marketplace の [ご契約条件] のスクリーンショット。

仮想ネットワークの作成

次の手順では、仮想ネットワークとサブネットを作成します。 次の表のサンプル パラメーターを自身の値に置き換えて、仮想ネットワークとサブネットを作成します。

パラメーター
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> 米国中部
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24

  1. Azure portal の画面の左上にある [リソースの作成] > [ネットワーク] > [仮想ネットワーク] を選ぶか、検索ボックスで「仮想ネットワーク」を検索します。

  2. [仮想ネットワークの作成][基本] タブで、次の情報を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択する
    リソース グループ [新規作成] を選択し、「<resource-group-name>」と入力して [OK] を選択するか、パラメーターに基づいて既存の <resource-group-name> を選択します。
    インスタンスの詳細
    名前 <virtual-network-name>」と入力します
    アドレス空間 <address-space>」と入力します
    サブネット名 <subnet-name>」と入力します
    サブネットのアドレス範囲 <subnet-address-range>」と入力します
    リージョン <region-name> を選択

    次の図は、 [基本] タブを示しています。

    [仮想ネットワークの作成] の [基本] タブのスクリーンショット。

  3. [保存] を選び、[確認および作成]>[作成] を選びます。

これらの手順を完了したら、次のセクションの説明に従って VM を作成できます。

仮想マシン (VM) の作成

次の手順では、VM を作成します。

  1. Azure portal の画面の左上で、[リソースの作成] > [コンピューティング] > [仮想マシン] の順に選びます。

  2. [基本] タブで、次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択する
    リソース グループ 前のセクションで作成した [myResourceGroup] を選びます。
    インスタンスの詳細
    VM 名 myVm」と入力します
    リージョン [米国西部] を選択します
    可用性のオプション 既定値 [インフラストラクチャ冗長は必要ありません] のままにします
    Image [Windows 10 Pro] を選択します
    サイズ 既定値 [Standard DS1 v2] のままにします
    管理者アカウント
    ユーザー名 任意のユーザー名を入力します
    Password 任意のパスワードを入力します。 パスワードは 12 文字以上で、定義された複雑さの要件を満たす必要があります
    [パスワードの確認入力] パスワードを再入力します
    受信ポートの規則
    パブリック受信ポート 既定値 [なし] のままにします
    ライセンス
    I have an eligible Windows 10/11 license (適用対象となる Windows 10/11 ライセンスを所有しています) チェックボックスをオンにします。

  3. ディスク を選択します。

  4. [ディスク] タブを既定値のままにして [次へ: ネットワーク] を選びます。

  5. [ネットワーク] タブで次の情報を選びます。

    設定
    仮想ネットワーク 既定値 [MyVirtualNetwork] のままにします
    アドレス空間 既定値 [10.0.0.0/24] のままにします
    Subnet 既定値 [mySubnet (10.0.0.0/24)] のままにします
    パブリック IP 既定値 [(新規) myVm-ip] のままにします
    パブリック受信ポート **[Allow selected](選択した項目を許可する)** を選択します
    受信ポートの選択 [RDP] を選択します

  6. [Review + create](レビュー + 作成) を選択します。 [確認および作成] ページが表示され、Azure によって構成が検証されます。

  7. "証に成功しました" というメッセージが表示されたら、 [作成] を選択します。

プライベート エンドポイントの作成

次の手順では、Power BI のプライベート エンドポイントを作成します。

  1. Azure portal 画面の左上で、[リソースの作成] > [ネットワーク] > [プライベート リンク センター (プレビュー)] を選びます。

  2. [プライベート リンク センター - 概要][サービスへのプライベート接続を構築する] オプションで、[プライベート エンドポイントの作成] を選びます。

  3. [プライベート エンドポイントの作成 - 基本] タブで、次の詳細を入力または選びます。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択する
    Resource group [myResourceGroup] を選択します。 これは前のセクションで作成しました
    インスタンスの詳細
    名前 myPrivateEndpoint」と入力します。 この名前が使用済みの場合は、一意の名前を作成します
    リージョン [米国西部] を選択します

    次の図は、 [プライベート エンドポイントの作成 - 基本] ウィンドウを示しています。

    [プライベート エンドポイントの作成] の [基本] タブのスクリーンショット。

  4. この情報の作成が完了したら、 [次へ: リソース] を選択し、 [プライベート エンドポイントの作成 - リソース] ページで、次の情報を入力または選択します。

    設定
    接続方法 [マイ ディレクトリ内の Azure リソースに接続します] を選択します
    サブスクリプション サブスクリプションを選択します
    リソースの種類 [Microsoft.PowerBI/privateLinkServicesForPowerBI] を選択します
    リソース myPowerBIResource
    ターゲット サブリソース Tenant

    次の図は、 [プライベート エンドポイントの作成 - リソース] ウィンドウを示しています。

    [プライベート エンドポイントの作成] の [リソース] タブのスクリーンショット。

  5. この情報を正しく入力したら、[次へ: 構成] を選び、[プライベート エンドポイントの作成 - 構成] で次の情報を入力するか選びます。

    設定
    ネットワーク
    仮想ネットワーク [myVirtualNetwork] を選択する
    Subnet mySubnet の選択
    プライベート DNS 統合
    プライベート DNS ゾーンとの統合 [はい] を選択します
    プライベート DNS ゾーン 選択
    " (新規)privatelink.analysis.windows.net"
    " (新規)privatelink.pbidedicated.windows.net"
    "(新規)privatelink.prod.powerquery.microsoft.com"

    次の図は、 [プライベート エンドポイントの作成 - 構成] ウィンドウを示しています。

    [プライベート エンドポイントの作成] の [構成] タブのスクリーンショット。

    次に、 [確認と作成] を選択します。これにより、 [確認と作成] ページが表示され、Azure によって構成が検証されます。 "証に成功しました" というメッセージが表示されたら、 [作成] を選択します。

リモート デスクトップ (RDP) を使用して VM に接続

myVM という VM を作成したら、以下の手順でインターネットから VM に接続します。

  1. ポータルの検索バーに、「myVm」と入力します。
  2. [接続] ボタンを選び、ドロップダウン メニューから [RDP] を選びます。
  3. IP アドレスを入力し、[RDP ファイルのダウンロード] を選びます。 リモート デスクトップ プロトコル ( .rdp) ファイルが作成され、お使いのコンピューターにダウンロードされます。
  4. .rdp ファイルを開いてリモート デスクトップ接続を開始し、[接続] を選びます。
  5. 前の手順で VM の作成時に指定したユーザー名とパスワードを入力します。
  6. [OK] を選択します。
  7. サインイン処理中に証明書の警告が表示される場合があります。 証明書の警告を受信する場合は、 [はい] または [続行] を選択します。

VM から Power BI にプライベート アクセスする

次の手順は、以下の手順を使用して、前の手順で作成した仮想マシンから Power BI にプライベート アクセスします。

  1. myVM のリモート デスクトップで、PowerShell を開きます。

  2. nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net」と入力します。

  3. 次のメッセージのような応答を受け取ります。

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    52d40f65ad6d48c3906f1ccf598612d4-api.privatelink.analysis.windows.net
Address:  10.5.0.4

  4. ブラウザーを開き、app.powerbi.com に移動して、Power BI にプライベート アクセスします。

Power BI のパブリック アクセスを無効にする

最後に、必要に応じて Power BI のパブリック アクセスを無効にすることができます。

Power BI のパブリック アクセスを無効にすると、次のセクションで説明するように、Power BI サービスへのアクセスに対して特定の制約が適用されます。

重要

[Block Internet Access] (インターネット アクセスをブロックする) をオンにすると、Microsoft Fabric は無効になります。

Power BI のパブリック アクセスを無効にするには、管理者として Power BI サービスにサインインし、管理ポータルに移動します。 [テナント設定] を選択して [高度なネットワーク] セクションまでスクロールします。 次の図に示すように、 [パブリック インターネット アクセスのブロック] セクションでトグル ボタンを有効にします。 組織によるパブリック インターネットから Power BI へのアクセスがシステムによって無効にされるまで約 15 分かかります。

プライベート エンドポイント構成の完了

前のセクションの手順に従い、プライベート リンクが正常に構成されたら、組織では次の構成の選択に基づいてプライベート リンクを実装します。初期構成時に選択を設定するかどうか、またその後に変更するかどうかは関係ありません。

Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック]有効になっている場合:

  • 組織では、プライベート エンドポイントからのみ Power BI にアクセスでき、パブリック インターネットからアクセスすることはできません。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポート "していない" シナリオは、サービスによってブロックされ、機能しません。
  • プライベート リンクがサポートされないシナリオがあるかもしれません。その場合は、[パブリック インターネット アクセスのブロック] が有効になっていると、サービスでブロックされます。

Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック]無効になっている場合:

  • パブリック インターネットからのトラフィックは、Power BI サービスによって許可されます
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポート "していない" シナリオは、パブリック インターネット経由で転送され、Power BI サービスによって許可されます。
  • パブリック インターネット アクセスをブロックするように仮想ネットワークが構成されている場合、プライベート リンクをサポートしていないシナリオは仮想ネットワークによってブロックされ、機能しません。

考慮事項と制限事項

Power BI でプライベート エンドポイントを使用する際に留意する必要がある考慮事項がいくつかあります。

  • プライベート リンク環境を使用する場合、外部の画像またはテーマを使用することはできません。

  • インターネット アクセスが無効になっていて、データセットまたはデータフローが Power BI データセットまたはデータフローにデータ ソースとして接続している場合、接続は失敗します。

  • 各プライベート エンドポイントは、1 つのテナントにのみ接続できます。

  • 現在、データマートでは、SSMS を使用したプライベート リンクはサポートされていません。 [パブリック インターネット アクセスのブロック] が有効になっている場合、SSMS を使用したプライベート リンク接続は拒否されます。

  • 自分の組織が Power BI で Azure Private Link を使用している場合、最新の使用状況メトリック レポートには部分的なデータが含まれます ("レポートを開く" イベントのみ)。 クライアント情報をプライベート リンク経由で転送する場合に現在は制限が適用されているので、Power BI からプライベート リンクを介して [レポートページの表示] やパフォーマンスのデータをキャプチャすることができません。 自分の組織が Power BI で Azure Private Linkパブリック インターネット アクセスのブロックを使っている場合、データセットの更新は失敗し、使用状況メトリック レポートにはデータは表示されません。

  • Power BI で Azure Private Link を有効にする場合、[Web に公開] はサポートされません。

  • Power BI で [パブリック インターネット アクセスのブロック] を有効にした場合、メール サブスクリプションはサポートされません。

  • 現在、Microsoft Purview Information Protection でプライベート リンクはサポートされていません。 つまり、分離されたネットワークで実行されている Power BI Desktop では、[秘密度] ボタンが淡色表示され、ラベル情報は表示されず、 .pbix ファイルの暗号化解除は失敗します。

    Power BI Desktop でこれらの機能を有効にするために、管理者は、MIP、EOP、AIP をサポートする、基になるサービスにサービス タグを構成することができます。 プライベート リンク分離ネットワークでサービス タグを使う場合の影響について、必ず理解しておいてください。

  • Power BI プライベート エンドポイントが有効になっているゲートウェイは、Power BI 以外のシナリオでは正しく機能しません。 一部のシナリオでは、考えられる回避策は、プライベート リンクをオフにし、"リモート" リージョン (推奨リージョン間以外のリージョン) でゲートウェイを構成し、プライベート リンクを再び有効にすることです。 プライベート リンクを再び有効にすると、リモート リージョンのゲートウェイではプライベート リンクが使われません。

  • Power BI でプライベート リンクを有効にすると、オンプレミスのデータ ゲートウェイ (パーソナル モード) の登録に失敗します。

  • プライベート リンクのリソース REST API はタグをサポートしていません。

  • 複数のテナントで使用されるようにプライベート リンクを設定することはできません。

  • Power BI で Azure Private Link を有効にすると、Power BI レポートを PDF や PowerPoint としてエクスポートできなくなります。

次の手順

次の動画では、プライベート エンドポイントを使用して Power BI にモバイル デバイスを接続する方法を紹介しています。

注意

このビデオでは、以前のバージョンの Power BI Desktop または Power BI サービスが使用されている可能性があります。

その他の質問 Power BI コミュニティでご質問ください