オンプレミスクライアント向け Power BI へのセキュリティで保護されたアクセスのためのプライベートエンドポイント

2024-03-18

Azure Private Links と Azure ネットワークプライベートエンドポイントを使用して、Power BI のデータに安全にアクセスできるようにプライベートリンクを構成している場合は、Fabric へのセキュリティで保護されたアクセスのためのプライベートエンドポイントに関する記事で説明されているように、Azure Virtual Machines を有効にして、プライベート IP アドレス経由で Power BI サービスにアクセスすることもできます。

ExpressRoute 回線またはサイト間 VPN を使用して、オンプレミスネットワークを Azure Virtual Network (VNet) に拡張すると、プライベート接続を使用して Azure Virtual Networks にデプロイされたサービスにアクセスして使用できます。

オンプレミスクライアントのプライベートエンドポイントを理解する

Virtual Network から Power BI サービスへのアクセスが既に確立されている場合は、Fabric へのセキュリティで保護されたアクセスのためのプライベートエンドポイントに関する記事で説明されているとおり、その他の手順を使用して、Power BI サービスへのプライベートアクセスをオンプレミスクライアントに拡張できます。

この記事では、Azure VNet とオンプレミスネットワークの間でこのようなプライベート接続を構成するために必要な手順について説明します。構成を正常に完了するには、オンプレミスネットワークと Azure VNet 間の通信が確立された ExpressRoute 接続が既に確立されている必要があります。 ExpressRoute のセットアップの詳細については、「ExpressRoute 回線の作成と変更」を参照してください。

次のネットワーク図は、構成のしくみを示しています。

Image of private links for on premises clients network diagram.

ネットワーク図には、以下のいくつかのコンポーネントが含まれています。

Azure VNet
プライベートエンドポイント IP アドレス内の Power BI URL の名前解決用のプライベート DNS ゾーン
Azure プライベート DNS ゾーンの名前解決をオンプレミスネットワークに拡張するための Azure DNS Private Resolver
オンプレミスネットワークと Azure VNet の間の接続を確立するための ExpressRoute ゲートウェイ、ExpressRoute 接続、および ExpressRoute 回線
ローカルの名前解決と、Power BI サービスの DNS 要求を DNS Private Resolver に転送するためのオンプレミス DNS サーバー

次のセクションでは、オンプレミスクライアントの既存のプライベートエンドポイント構成への接続を構成するために必要な手順について説明します。

オンプレミスクライアントの接続を構成する

次の一覧は、ExpressRoute プライベートピアリング経由で、オンプレミスから Power BI サービスへのアクセスを構成するために必要な手順の概要を示しています。この一覧に続くセクションでは、構成に役立つ詳細と例を示します。

必要な手順の概要については、次の手順で説明します。

Azure Virtual Network で、ExpressRoute ゲートウェイをホストするためのサブネットを作成します。サブネットに割り当てられるネットワークは、ExpressRoute のドキュメントで説明されているように、少なくとも /27 以上 (/26、/25 など) である必要があります。サブネットへの名前の割り当ては GatewaySubnet である必要があります。サブネット名を変更すると、構成が無効になります。
GatewaySubnet に ExpressRoute ゲートウェイをデプロイします。 ExpressRoute ゲートウェイは、Azure 管理ポータル、PowerShell、Azure CLI、REST API の使用など、さまざまな方法でデプロイできます。
ExpressRoute 回線が既にデプロイされ、動作していること、およびプライベートピアリングが正しく構成されていることを確認します。確認するには、Azure プライベートピアリングの作成方法を説明したチュートリアルに従ってください。
このチュートリアルで説明されている手順で、VNet 内の ExpressRoute ゲートウェイを ExpressRoute 回線にリンクするための接続を作成します。
オンプレミスのホストまたは VM をワークロードに正常にアクセスできることを確認します。最初に簡単な PING テストを使用できますが、アプリケーション (オンプレミスクライアントと Azure VM 内の Web サーバーとの間の HTTP/HTTPS 接続など) を使用することで、より適切に検証できます。
Azure VNet で、Azure DNS Private Resolver のエンドポイントをホストする 2 つのサブネットを作成します。1 つは受信エンドポイント用のサブネット、もう 1 つは送信エンドポイント用のサブネットです。
Azure Virtual Network内に Azure DNS Private Resolver を作成します。 Azure DNS Private Resolver 内で、受信エンドポイントを構成します。 Azure DNS Private Resolver の受信エンドポイントを使用すると、オンプレミスネットワークから Power BI サービスの Azure DNS Private Zones に対してクエリを実行できます。
Power BI サービスの DNS Private Zones に関連付けられている名前解決用に、条件付きフォワーダーを使用してオンプレミスの DNS サーバーを構成します。

前の手順の多くはわかりやすく記述されていますが、もう少し説明する意義があります。次のセクションでは、前の構成手順の一部についてより詳しく説明します。

手順 6: エンドポイントをホストする 2 つのサブネットを作成する

Azure DNS Private Resolver では、2 つのサブネットが使用されます。1 つは受信エンドポイント用のサブネット、もう 1 つは送信エンドポイント用のサブネットです。 DNS Private Resolver のエンドポイントサブネットの場合は、委任を Microsoft.Network/dnsResolvers に割り当てる必要があります。サブネットは Microsoft.Network/dnsResolvers にのみ委任可能で、他のサービスには使用できません。このような委任がないと、受信エンドポイントの作成に失敗します。

次のスクリーンショットは、委任の構成方法を示しています。

Screenshot of configuring delegation of endpoints.

次のスクリーンショットは、委任をについて説明する別の画面を示しています。

Screenshot of another configuration of delegation of endpoints.

手順 7: Azure DNS Private Resolver を作成する

Azure DNS Private Resolver を作成するには、Azure Marketplace を実行して DNS private resolver を検索し、次のスクリーンショットに示す結果を選択します。

Screenshot of Azure DNS Private Resolver in the Azure Marketplace.

VNet に対して Azure DNS Private Resolver を構成します。 Azure DNS Private Resolver と VNet は、同じ Azure リージョンに存在する必要があります。

Azure DNS Private Resolver は、受信エンドポイントと送信エンドポイントの 2 つのコンポーネントに基づいています。オンプレミスのホスト/VM 内の Power BI URL の名前解決には、受信エンドポイントのみが必要です。次の画像は、受信エンドポイントを構成できる場所を示しています。

Screenshot of where to configure the inbound endpoints.

受信エンドポイントを使用すると、プライベート VNet アドレス空間の一部である IP アドレスを使用して、オンプレミスデバイスからの名前解決を有効にすることができます。 Azure 管理ポータルの DNS Private Resolver で、前の画像に示すように受信エンドポイントを選択し、次のスクリーンショットに示すように [エンドポイントの追加] を選択します。

Screenshot of where to add inbound endpoints.

次に、以下のスクリーンショットに示すように、エンドポイント名を割り当て、前の手順で定義したサブネットを選択します。

Screenshot of naming and assigning an endpoint.

受信エンドポイントのデプロイプロセスが完了すると、IP アドレスが受信エンドポイントに自動的に関連付けられます。

Screenshot of an IP address automatically being assigned to an endpoint.

この例では、前のスクリーンショットに示すように、受信エンドポイントに割り当てられた IP アドレスは 10.7.2.4 です。そこで割り当てられた IP アドレスは、次のセクションで詳しく説明する、オンプレミス DNS サーバーの条件付きフォワーダー IP として手順 8 で使用されます。

手順 8: オンプレミスの DNS サーバーを構成する

オンプレミスから Azure Private DNS Zones を適切に解決するには、オンプレミスの DNS サーバー構成で Power BI サービスに関連付けられている条件付きフォワーダーを定義します。

各条件付きフォワーダーの IP アドレスは、Azure DNS Private Resolver の受信エンドポイントの IP アドレスを指します。

次のスクリーンショットは、Windows サーバーの DNS 条件付きフォワーダーエントリの例を示しています。

Screenshot of an IP address used for the conditional forwarder.

正常な構成の検証

構成の最後の手順として、オンプレミスの Windows クライアントにサインインし、nslookup を使用して検証を実行します。正しく構成されている場合は、次のメッセージのような応答を受け取ります。

C:\ > nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Server:  UnKnown
Address:  10.1.21.10           <- IP address of on-premises DNs server
Non-authoritative answer:
Name:    <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Address:  10.7.0.5

Power BI サービス URL は、VNet で構成され、Power BI サービスに接続されているプライベートエンドポイントに割り当てられたプライベート IP に変換されます。

考慮事項と制限事項

オンプレミスクライアントのプライベートエンドポイントを有効にする前に、プライベートエンドポイントを構成する必要があります。詳細については、Fabric へのセキュリティで保護されたアクセスのためのプライベートエンドポイントに関する記事を参照してください。

その他の質問 Power BI コミュニティでご質問ください。

次の方法で共有

オンプレミス クライアント向け Power BI へのセキュリティで保護されたアクセスのためのプライベート エンドポイント

オンプレミス クライアントのプライベート エンドポイントを理解する

オンプレミス クライアントの接続を構成する