Подключение к клиенту Power BI и управление им в Microsoft Purview (межтенантная версия)
В этой статье описывается, как зарегистрировать клиент Power BI в сценарии с несколькими клиентами, а также как проверить подлинность клиента и взаимодействовать с ним в Microsoft Purview. Если вы не знакомы со службой, см. статью Что такое Microsoft Purview?.
Поддерживаемые возможности
Извлечение метаданных | Полная проверка | Добавочное сканирование | Сканирование с заданной областью | Классификация | Присвоение подписей | Политика доступа | Линии | Общий доступ к данным | Динамическое представление |
---|---|---|---|---|---|---|---|---|---|
Да | Да | Да | Нет | Нет | Нет | Нет | Да | Нет | Нет |
При сканировании источника Power BI Microsoft Purview поддерживает:
Извлечение технических метаданных, включая:
- Рабочие области
- Панели мониторинга
- Отчеты
- Наборы данных, включая таблицы и столбцы
- Потоки данных
- Datamarts
Получение статического происхождения данных о связях ресурсов среди артефактов Power BI выше и ресурсов внешних источников данных. Дополнительные сведения см. в разделе Происхождение данных Power BI.
Поддерживаемые сценарии для проверок Power BI
Сценарий | Общий доступ к Microsoft Purview | Общедоступный доступ к Power BI | Параметр среды выполнения | Параметр проверки подлинности | Контрольный список развертывания |
---|---|---|---|---|---|
Общедоступный доступ со средой выполнения интеграции Azure | Разрешено | Разрешено | Среда выполнения Azure | Делегированная проверка подлинности | Контрольный список развертывания |
Общедоступный доступ с локальной средой выполнения интеграции | Разрешено | Разрешено | Локальная среда выполнения | Делегированная проверка подлинности или субъект-служба | Контрольный список развертывания |
Известные ограничения
- В межтенантном сценарии делегированная проверка подлинности и субъект-служба являются единственными поддерживаемыми вариантами проверки подлинности.
- Вы можете создать только одну проверку для источника данных Power BI, зарегистрированного в учетной записи Microsoft Purview.
- Если схема набора данных Power BI не отображается после сканирования, это связано с одним из текущих ограничений сканера метаданных Power BI.
- Пустые рабочие области пропускаются.
Предварительные требования
Перед началом работы убедитесь, что у вас есть следующее:
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
Активная учетная запись Microsoft Purview.
Регистрация клиента Power BI
В параметрах слева выберите Карта данных.
Нажмите кнопку Зарегистрировать, а затем выберите Power BI в качестве источника данных.
Присвойте экземпляру Power BI понятное имя. Имя должно содержать от 3 до 63 символов и содержать только буквы, цифры, символы подчеркивания и дефисы. Пробелы не допускаются.
Измените поле Идентификатор клиента , чтобы заменить клиентом для межтенантной Power BI, которую требуется зарегистрировать и проверить. По умолчанию заполняется идентификатор клиента Microsoft Purview.
Проверка подлинности в клиенте Power BI
В клиенте Azure Active Directory, где расположен клиент Power BI:
В портал Azure найдите Azure Active Directory.
Создайте новую группу безопасности в Azure Active Directory, выполнив команду Создать базовую группу и добавьте участников с помощью Azure Active Directory.
Совет
Этот шаг можно пропустить, если у вас уже есть группа безопасности, которую вы хотите использовать.
Выберите Безопасность в качестве типа группы.
Выберите Участники, а затем + Добавить участников.
Найдите управляемое удостоверение Или субъект-службу Microsoft Purview и выберите его.
Вы увидите уведомление об успешном выполнении, показывающее, что оно было добавлено.
Связывание группы безопасности с клиентом Power BI
Войдите на портал администрирования Power BI.
Выберите страницу Параметры клиента .
Важно!
Вы должны быть Администратор Power BI, чтобы просмотреть страницу параметров клиента.
Выберите Администратор параметры> APIРазрешить субъектам-службам использовать API-интерфейсы администрирования Power BI (предварительная версия) только для чтения.
Выберите Определенные группы безопасности.
Выберите параметры API> АдминистраторРасширение ответов API администратора с помощью подробных метаданных и Улучшение ответов API администратора с помощью DAX и гибридных выражений> Включите переключатель, чтобы Схема данных Microsoft Purview автоматически обнаруживали подробные метаданные наборов данных Power BI в ходе сканирования.
Важно!
После обновления параметров API Администратор в клиенте Power Bi подождите около 15 минут, прежде чем зарегистрировать подключение для проверки и тестирования.
Предостережение
Если вы разрешаете созданной группе безопасности (с управляемым удостоверением Microsoft Purview в качестве участника) использовать API-интерфейсы администрирования Power BI только для чтения, вы также разрешаете ей доступ к метаданным (например, к именам панелей мониторинга и отчетам, владельцам, описаниям и т. д.) для всех артефактов Power BI в этом клиенте. После извлечения метаданных в Microsoft Purview разрешения Microsoft Purview, а не разрешения Power BI, определяют, кто может видеть эти метаданные.
Примечание.
Группу безопасности можно удалить из параметров разработчика, но извлеченные ранее метаданные не будут удалены из учетной записи Microsoft Purview. При желании его можно удалить отдельно.
Сканирование Power BI для нескольких клиентов
Делегированная проверка подлинности и субъекты-службы являются единственными поддерживаемыми вариантами для сканирования между клиентами. Вы можете выполнить сканирование с помощью следующих способов:
Создание проверки для межтенантной проверки с помощью Azure IR с делегированной проверкой подлинности
Чтобы создать и запустить проверку с помощью среды выполнения Azure, выполните следующие действия.
Создайте учетную запись пользователя в клиенте Azure AD, где находится клиент Power BI, и назначьте пользователю рольадминистратора Power BI. Запишите имя пользователя и войдите, чтобы изменить пароль.
Перейдите к экземпляру Azure Key Vault в клиенте, где создается Microsoft Purview.
Выберите Параметры Секреты>, а затем — + Создание и импорт.
Введите имя секрета. В поле Значение введите только что созданный пароль для пользователя Azure AD. Нажмите кнопку Создать , чтобы завершить.
Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.
Создайте регистрацию приложения в клиенте Azure AD, где находится Power BI. Укажите URL-адрес веб-сайта в URI перенаправления.
Запишите идентификатор клиента (идентификатор приложения).
На панели мониторинга Azure AD выберите только что созданное приложение, а затем выберите Разрешения приложения. Назначьте приложению следующие делегированные разрешения и предоставьте согласие администратора для клиента:
- Клиент службы Power BI.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
На панели мониторинга Azure AD выберите только что созданное приложение, а затем — Проверка подлинности. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации (любой каталог Azure AD — мультитенантный).
В разделе Неявное предоставление и гибридные потоки выберите маркеры идентификаторов (используются для неявных и гибридных потоков).
В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.
В Microsoft Purview Studio перейдите к карте данных в меню слева. Перейдите в раздел Источники.
Выберите зарегистрированный источник Power BI из нескольких клиентов.
Выберите + Создать сканирование.
Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.
Примечание.
При переключении конфигурации сканирования на включение или исключение личной рабочей области активируется полная проверка источника Power BI.
Выберите Azure AutoResolveIntegrationRuntime в раскрывающемся списке.
В поле Учетные данные выберите Делегированная проверка подлинности, а затем нажмите + Создать , чтобы создать учетные данные.
Создайте новые учетные данные и укажите следующие обязательные параметры:
Имя. Укажите уникальное имя учетных данных.
Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
Имя пользователя. Укажите имя пользователя администратора Power BI, созданного ранее.
Пароль. Выберите соответствующее Key Vault подключение и имя секрета, в котором пароль учетной записи Power BI был сохранен ранее.
Выберите Проверить подключение , прежде чем переходить к следующим шагам.
Если тест завершается сбоем, выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему:
- Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Проверьте правильность имени пользователя и пароля. Проверьте, содержит ли учетные данные правильный идентификатор клиента (приложения) из регистрации приложения.
- Активы (+ происхождение) — состояние сбоя означает, что авторизация между Microsoft Purview и Power BI завершилась сбоем. Убедитесь, что пользователь добавлен в роль администратора Power BI и ему назначена соответствующая лицензия Power BI.
- Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра: Улучшение ответов API администратора с помощью подробных метаданных.
Настройка триггера сканирования. Доступные варианты: Повторяющееся или Однократно.
На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.
Совет
Чтобы устранить неполадки со сканированием, выполните указанные ниже действия.
- Убедитесь, что вы выполнили контрольный список развертывания для своего сценария.
- Ознакомьтесь с нашей документацией по устранению неполадок сканирования.
Создание сканирования для межтенантного взаимодействия с помощью локальной среды ir с субъектом-службой
Чтобы создать и запустить проверку с помощью локальной среды выполнения интеграции, выполните следующие действия.
Создайте регистрацию приложения в клиенте Azure AD, где находится Power BI. Укажите URL-адрес веб-сайта в URI перенаправления.
Запишите идентификатор клиента (идентификатор приложения).
На панели мониторинга Azure AD выберите только что созданное приложение, а затем выберите Разрешения приложения. Назначьте приложению следующие делегированные разрешения:
- Microsoft Graph openid
- Microsoft Graph User.Read
На панели мониторинга Azure AD выберите только что созданное приложение, а затем — Проверка подлинности. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации (любой каталог Azure AD — мультитенантный).
В разделе Неявное предоставление и гибридные потоки выберите маркеры идентификаторов (используются для неявных и гибридных потоков).
В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.
В клиенте, где создается Microsoft Purview, перейдите к экземпляру Azure Key Vault.
Выберите Параметры Секреты>, а затем — + Создание и импорт.
Введите имя секрета. В поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.
В разделе Секреты сертификатов &создайте новый секрет и сохраните его безопасно для дальнейших действий.
В портал Azure перейдите к хранилищу ключей Azure.
Выберите Параметры Секреты> и выберите + Создать и импортировать.
Введите имя секрета, а в поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.
Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.
В Microsoft Purview Studio перейдите к карте данных в меню слева. Перейдите в раздел Источники.
Выберите зарегистрированный источник Power BI из нескольких клиентов.
Выберите + Создать сканирование.
Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.
Примечание.
При переключении конфигурации сканирования на включение или исключение личной рабочей области активируется полная проверка источника Power BI.
Выберите локальную среду выполнения интеграции в раскрывающемся списке.
В поле Учетные данные выберите Субъект-служба, а затем нажмите + Создать , чтобы создать учетные данные.
Создайте новые учетные данные и укажите следующие обязательные параметры:
- Имя: укажите уникальное имя учетных данных.
- Метод проверки подлинности: субъект-служба
- Идентификатор клиента: идентификатор клиента Power BI
- Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
Выберите Проверить подключение , прежде чем переходить к следующим шагам.
Если тест завершается сбоем, выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему:
- Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Проверьте правильность идентификатора приложения и секрета. Проверьте, содержит ли учетные данные правильный идентификатор клиента (приложения) из регистрации приложения.
- Активы (+ происхождение) — состояние сбоя означает, что авторизация между Microsoft Purview и Power BI завершилась сбоем. Убедитесь, что пользователь добавлен в роль администратора Power BI и ему назначена соответствующая лицензия Power BI.
- Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра: Улучшение ответов API администратора с помощью подробных метаданных.
Настройка триггера сканирования. Доступные варианты: Повторяющееся или Однократно.
На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.
Совет
Чтобы устранить неполадки со сканированием, выполните указанные ниже действия.
- Убедитесь, что вы выполнили контрольный список развертывания для своего сценария.
- Ознакомьтесь с нашей документацией по устранению неполадок сканирования.
Контрольный список развертывания
Контрольный список развертывания содержит сводку всех действий, необходимых для настройки межтенантного источника Power BI. Его можно использовать во время установки или для устранения неполадок, чтобы убедиться, что вы выполнили все необходимые действия для подключения.
- Общедоступный доступ со средой выполнения интеграции Azure
- Общедоступный доступ с локальной средой выполнения интеграции
Проверка межтенантной проверки подлинности Power BI с помощью делегированной проверки подлинности в общедоступной сети
Убедитесь, что идентификатор клиента Power BI введен правильно во время регистрации. По умолчанию будет заполнен идентификатор клиента Power BI, который существует в том же экземпляре Azure Active Directory (Azure AD), что и Microsoft Purview.
Убедитесь, что модель метаданных Power BI обновлена, включив сканирование метаданных.
На портал Azure проверьте, настроена ли сеть учетных записей Microsoft Purview для общедоступного доступа.
На портале администрирования клиента Power BI убедитесь, что клиент Power BI настроен на разрешение общедоступной сети.
Проверьте экземпляр azure Key Vault, чтобы убедиться в том, что:
- Опечатки в пароле или секрете отсутствуют.
- Управляемое удостоверение Microsoft Purview имеет доступ к секретам с получением и перечислением .
Проверьте свои учетные данные, чтобы проверить, что:
- Идентификатор клиента соответствует идентификатору приложения (клиента) регистрации приложения.
- Для делегированной проверки подлинности имя пользователя включает имя участника-пользователя, например
johndoe@contoso.com
.
В клиенте Azure AD Power BI проверьте следующие параметры администратора Power BI:
- Пользователю назначается роль администратора Power BI.
- Пользователю назначается по крайней мере одна лицензия Power BI .
- Если пользователь был создан недавно, войдите с ним хотя бы один раз, чтобы убедиться, что пароль успешно сброшен, и пользователь может успешно инициировать сеанс.
- Для пользователя не применяются политики многофакторной проверки подлинности или условного доступа.
В клиенте Azure AD Power BI проверьте следующие параметры регистрации приложений:
- Регистрация приложения существует в клиенте Azure AD, где находится клиент Power BI.
- Если субъект-служба используется, в разделе разрешения API для следующих API назначаются следующие делегированные разрешения с чтением для следующих API:
- Microsoft Graph openid
- Microsoft Graph User.Read
- Если используется делегированная проверка подлинности, в разделе разрешения API для следующих делегированных разрешений и предоставления согласия администратора для клиента настраивается чтение для следующих API:
- Клиент службы Power BI.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
- В разделе Проверка подлинности:
- Поддерживаемые типы учетных записей>Выбраны учетные записи в любом каталоге организации (любой каталог Azure AD — Мультитенантный).
- Неявное предоставление и гибридные потоки>Выбраны маркеры идентификатора (используемые для неявных и гибридных потоков).
- Разрешение общедоступных клиентских потоков включено.
В клиенте Power BI из клиента Azure Active Directory убедитесь, что субъект-служба является членом новой группы безопасности.
На портале Администратор клиента Power BI убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администратора Power BI только для чтения.
Дальнейшие действия
Теперь, когда вы зарегистрировали источник, ознакомьтесь со следующими руководствами, чтобы узнать больше о Microsoft Purview и ваших данных.