Бөлісу құралы:


Подключение к клиенту Power BI и управление им в Microsoft Purview (межтенантная версия)

В этой статье описывается, как зарегистрировать клиент Power BI в сценарии с несколькими клиентами, а также как проверить подлинность клиента и взаимодействовать с ним в Microsoft Purview. Если вы не знакомы со службой, см. статью Что такое Microsoft Purview?.

Поддерживаемые возможности

Извлечение метаданных Полная проверка Добавочное сканирование Сканирование с заданной областью Классификация Присвоение подписей Политика доступа Линии Общий доступ к данным Динамическое представление
Да Да Да Нет Нет Нет Нет Да Нет Нет

При сканировании источника Power BI Microsoft Purview поддерживает:

  • Извлечение технических метаданных, включая:

    • Рабочие области
    • Панели мониторинга
    • Отчеты
    • Наборы данных, включая таблицы и столбцы
    • Потоки данных
    • Datamarts
  • Получение статического происхождения данных о связях ресурсов среди артефактов Power BI выше и ресурсов внешних источников данных. Дополнительные сведения см. в разделе Происхождение данных Power BI.

Поддерживаемые сценарии для проверок Power BI

Сценарий Общий доступ к Microsoft Purview Общедоступный доступ к Power BI Параметр среды выполнения Параметр проверки подлинности Контрольный список развертывания
Общедоступный доступ со средой выполнения интеграции Azure Разрешено Разрешено Среда выполнения Azure Делегированная проверка подлинности Контрольный список развертывания
Общедоступный доступ с локальной средой выполнения интеграции Разрешено Разрешено Локальная среда выполнения Делегированная проверка подлинности или субъект-служба Контрольный список развертывания

Известные ограничения

  • В межтенантном сценарии делегированная проверка подлинности и субъект-служба являются единственными поддерживаемыми вариантами проверки подлинности.
  • Вы можете создать только одну проверку для источника данных Power BI, зарегистрированного в учетной записи Microsoft Purview.
  • Если схема набора данных Power BI не отображается после сканирования, это связано с одним из текущих ограничений сканера метаданных Power BI.
  • Пустые рабочие области пропускаются.

Предварительные требования

Перед началом работы убедитесь, что у вас есть следующее:

Регистрация клиента Power BI

  1. В параметрах слева выберите Карта данных.

  2. Нажмите кнопку Зарегистрировать, а затем выберите Power BI в качестве источника данных.

    Снимок экрана: список источников данных, доступных для выбора.

  3. Присвойте экземпляру Power BI понятное имя. Имя должно содержать от 3 до 63 символов и содержать только буквы, цифры, символы подчеркивания и дефисы. Пробелы не допускаются.

  4. Измените поле Идентификатор клиента , чтобы заменить клиентом для межтенантной Power BI, которую требуется зарегистрировать и проверить. По умолчанию заполняется идентификатор клиента Microsoft Purview.

    Снимок экрана: процесс регистрации для межтенантной службы Power BI.

Проверка подлинности в клиенте Power BI

В клиенте Azure Active Directory, где расположен клиент Power BI:

  1. В портал Azure найдите Azure Active Directory.

  2. Создайте новую группу безопасности в Azure Active Directory, выполнив команду Создать базовую группу и добавьте участников с помощью Azure Active Directory.

    Совет

    Этот шаг можно пропустить, если у вас уже есть группа безопасности, которую вы хотите использовать.

  3. Выберите Безопасность в качестве типа группы.

    Снимок экрана: тип группы безопасности.

  4. Выберите Участники, а затем + Добавить участников.

  5. Найдите управляемое удостоверение Или субъект-службу Microsoft Purview и выберите его.

    Снимок экрана: добавление каталога путем поиска его имени.

    Вы увидите уведомление об успешном выполнении, показывающее, что оно было добавлено.

    Снимок экрана: успешное добавление управляемого удостоверения каталога.

Связывание группы безопасности с клиентом Power BI

  1. Войдите на портал администрирования Power BI.

  2. Выберите страницу Параметры клиента .

    Важно!

    Вы должны быть Администратор Power BI, чтобы просмотреть страницу параметров клиента.

  3. Выберите Администратор параметры> APIРазрешить субъектам-службам использовать API-интерфейсы администрирования Power BI (предварительная версия) только для чтения.

  4. Выберите Определенные группы безопасности.

    Изображение, показывающее, как разрешить субъектам-службам получать разрешения API администратора Power BI только для чтения.

  5. Выберите параметры API> АдминистраторРасширение ответов API администратора с помощью подробных метаданных и Улучшение ответов API администратора с помощью DAX и гибридных выражений> Включите переключатель, чтобы Схема данных Microsoft Purview автоматически обнаруживали подробные метаданные наборов данных Power BI в ходе сканирования.

    Важно!

    После обновления параметров API Администратор в клиенте Power Bi подождите около 15 минут, прежде чем зарегистрировать подключение для проверки и тестирования.

    Изображение, показывающее конфигурацию портала администрирования Power BI для включения проверки субарцифактов.

    Предостережение

    Если вы разрешаете созданной группе безопасности (с управляемым удостоверением Microsoft Purview в качестве участника) использовать API-интерфейсы администрирования Power BI только для чтения, вы также разрешаете ей доступ к метаданным (например, к именам панелей мониторинга и отчетам, владельцам, описаниям и т. д.) для всех артефактов Power BI в этом клиенте. После извлечения метаданных в Microsoft Purview разрешения Microsoft Purview, а не разрешения Power BI, определяют, кто может видеть эти метаданные.

    Примечание.

    Группу безопасности можно удалить из параметров разработчика, но извлеченные ранее метаданные не будут удалены из учетной записи Microsoft Purview. При желании его можно удалить отдельно.

Сканирование Power BI для нескольких клиентов

Делегированная проверка подлинности и субъекты-службы являются единственными поддерживаемыми вариантами для сканирования между клиентами. Вы можете выполнить сканирование с помощью следующих способов:

Создание проверки для межтенантной проверки с помощью Azure IR с делегированной проверкой подлинности

Чтобы создать и запустить проверку с помощью среды выполнения Azure, выполните следующие действия.

  1. Создайте учетную запись пользователя в клиенте Azure AD, где находится клиент Power BI, и назначьте пользователю рольадминистратора Power BI. Запишите имя пользователя и войдите, чтобы изменить пароль.

  2. Назначьте пользователю соответствующую лицензию Power BI.

  3. Перейдите к экземпляру Azure Key Vault в клиенте, где создается Microsoft Purview.

  4. Выберите Параметры Секреты>, а затем — + Создание и импорт.

    Снимок экрана: экземпляр Azure Key Vault.

  5. Введите имя секрета. В поле Значение введите только что созданный пароль для пользователя Azure AD. Нажмите кнопку Создать , чтобы завершить.

    Снимок экрана: создание секрета в Azure Key Vault.

  6. Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.

  7. Создайте регистрацию приложения в клиенте Azure AD, где находится Power BI. Укажите URL-адрес веб-сайта в URI перенаправления.

    Снимок экрана: создание приложения в Azure AD для нескольких клиентов.

  8. Запишите идентификатор клиента (идентификатор приложения).

    Снимок экрана: создание принципа службы.

  9. На панели мониторинга Azure AD выберите только что созданное приложение, а затем выберите Разрешения приложения. Назначьте приложению следующие делегированные разрешения и предоставьте согласие администратора для клиента:

    • Клиент службы Power BI.Read.All
    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Снимок экрана: делегированные разрешения в Power BI и Microsoft Graph.

  10. На панели мониторинга Azure AD выберите только что созданное приложение, а затем — Проверка подлинности. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации (любой каталог Azure AD — мультитенантный).

    Снимок экрана: поддержка мультитенантного типа учетной записи.

  11. В разделе Неявное предоставление и гибридные потоки выберите маркеры идентификаторов (используются для неявных и гибридных потоков).

    Снимок экрана: гибридные потоки маркера идентификации.

  12. В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.

  13. В Microsoft Purview Studio перейдите к карте данных в меню слева. Перейдите в раздел Источники.

  14. Выберите зарегистрированный источник Power BI из нескольких клиентов.

  15. Выберите + Создать сканирование.

  16. Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.

    Примечание.

    При переключении конфигурации сканирования на включение или исключение личной рабочей области активируется полная проверка источника Power BI.

  17. Выберите Azure AutoResolveIntegrationRuntime в раскрывающемся списке.

    Снимок экрана: настройка проверки Power BI с использованием среды выполнения интеграции Azure для нескольких клиентов.

  18. В поле Учетные данные выберите Делегированная проверка подлинности, а затем нажмите + Создать , чтобы создать учетные данные.

  19. Создайте новые учетные данные и укажите следующие обязательные параметры:

    • Имя. Укажите уникальное имя учетных данных.

    • Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.

    • Имя пользователя. Укажите имя пользователя администратора Power BI, созданного ранее.

    • Пароль. Выберите соответствующее Key Vault подключение и имя секрета, в котором пароль учетной записи Power BI был сохранен ранее.

    Снимок экрана: настройка проверки Power BI с использованием делегированной проверки подлинности.

  20. Выберите Проверить подключение , прежде чем переходить к следующим шагам.

    Снимок экрана: состояние тестового подключения.

    Если тест завершается сбоем, выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему:

    1. Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Проверьте правильность имени пользователя и пароля. Проверьте, содержит ли учетные данные правильный идентификатор клиента (приложения) из регистрации приложения.
    2. Активы (+ происхождение) — состояние сбоя означает, что авторизация между Microsoft Purview и Power BI завершилась сбоем. Убедитесь, что пользователь добавлен в роль администратора Power BI и ему назначена соответствующая лицензия Power BI.
    3. Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра: Улучшение ответов API администратора с помощью подробных метаданных.
  21. Настройка триггера сканирования. Доступные варианты: Повторяющееся или Однократно.

    Снимок экрана: планировщик проверки Microsoft Purview.

  22. На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.

    Снимок экрана: сохранение и запуск источника Power BI.

Совет

Чтобы устранить неполадки со сканированием, выполните указанные ниже действия.

  1. Убедитесь, что вы выполнили контрольный список развертывания для своего сценария.
  2. Ознакомьтесь с нашей документацией по устранению неполадок сканирования.

Создание сканирования для межтенантного взаимодействия с помощью локальной среды ir с субъектом-службой

Чтобы создать и запустить проверку с помощью локальной среды выполнения интеграции, выполните следующие действия.

  1. Создайте регистрацию приложения в клиенте Azure AD, где находится Power BI. Укажите URL-адрес веб-сайта в URI перенаправления.

    Снимок экрана: создание приложения в Azure AD для нескольких клиентов.

  2. Запишите идентификатор клиента (идентификатор приложения).

    Снимок экрана: создание принципа службы.

  3. На панели мониторинга Azure AD выберите только что созданное приложение, а затем выберите Разрешения приложения. Назначьте приложению следующие делегированные разрешения:

    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Снимок экрана: делегированные разрешения в Microsoft Graph.

  4. На панели мониторинга Azure AD выберите только что созданное приложение, а затем — Проверка подлинности. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации (любой каталог Azure AD — мультитенантный).

    Снимок экрана: поддержка мультитенантного типа учетной записи.

  5. В разделе Неявное предоставление и гибридные потоки выберите маркеры идентификаторов (используются для неявных и гибридных потоков).

    Снимок экрана: гибридные потоки маркера идентификации.

  6. В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.

  7. В клиенте, где создается Microsoft Purview, перейдите к экземпляру Azure Key Vault.

  8. Выберите Параметры Секреты>, а затем — + Создание и импорт.

    Снимок экрана: экземпляр Azure Key Vault.

  9. Введите имя секрета. В поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.

  10. В разделе Секреты сертификатов &создайте новый секрет и сохраните его безопасно для дальнейших действий.

  11. В портал Azure перейдите к хранилищу ключей Azure.

  12. Выберите Параметры Секреты> и выберите + Создать и импортировать.

    Снимок экрана: переход к azure Key Vault.

  13. Введите имя секрета, а в поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.

    Снимок экрана: создание секрета Key Vault Azure для имени субъекта-службы.

  14. Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.

  15. В Microsoft Purview Studio перейдите к карте данных в меню слева. Перейдите в раздел Источники.

  16. Выберите зарегистрированный источник Power BI из нескольких клиентов.

  17. Выберите + Создать сканирование.

  18. Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.

    Примечание.

    При переключении конфигурации сканирования на включение или исключение личной рабочей области активируется полная проверка источника Power BI.

  19. Выберите локальную среду выполнения интеграции в раскрывающемся списке.

  20. В поле Учетные данные выберите Субъект-служба, а затем нажмите + Создать , чтобы создать учетные данные.

  21. Создайте новые учетные данные и укажите следующие обязательные параметры:

    • Имя: укажите уникальное имя учетных данных.
    • Метод проверки подлинности: субъект-служба
    • Идентификатор клиента: идентификатор клиента Power BI
    • Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.

    Снимок экрана: меню новых учетных данных с учетными данными Power BI для имени субъекта-службы со всеми необходимыми значениями.

  22. Выберите Проверить подключение , прежде чем переходить к следующим шагам.

    Если тест завершается сбоем, выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему:

    1. Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Проверьте правильность идентификатора приложения и секрета. Проверьте, содержит ли учетные данные правильный идентификатор клиента (приложения) из регистрации приложения.
    2. Активы (+ происхождение) — состояние сбоя означает, что авторизация между Microsoft Purview и Power BI завершилась сбоем. Убедитесь, что пользователь добавлен в роль администратора Power BI и ему назначена соответствующая лицензия Power BI.
    3. Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра: Улучшение ответов API администратора с помощью подробных метаданных.
  23. Настройка триггера сканирования. Доступные варианты: Повторяющееся или Однократно.

    Снимок экрана: планировщик проверки Microsoft Purview.

  24. На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.

Совет

Чтобы устранить неполадки со сканированием, выполните указанные ниже действия.

  1. Убедитесь, что вы выполнили контрольный список развертывания для своего сценария.
  2. Ознакомьтесь с нашей документацией по устранению неполадок сканирования.

Контрольный список развертывания

Контрольный список развертывания содержит сводку всех действий, необходимых для настройки межтенантного источника Power BI. Его можно использовать во время установки или для устранения неполадок, чтобы убедиться, что вы выполнили все необходимые действия для подключения.

Проверка межтенантной проверки подлинности Power BI с помощью делегированной проверки подлинности в общедоступной сети

  1. Убедитесь, что идентификатор клиента Power BI введен правильно во время регистрации. По умолчанию будет заполнен идентификатор клиента Power BI, который существует в том же экземпляре Azure Active Directory (Azure AD), что и Microsoft Purview.

  2. Убедитесь, что модель метаданных Power BI обновлена, включив сканирование метаданных.

  3. На портал Azure проверьте, настроена ли сеть учетных записей Microsoft Purview для общедоступного доступа.

  4. На портале администрирования клиента Power BI убедитесь, что клиент Power BI настроен на разрешение общедоступной сети.

  5. Проверьте экземпляр azure Key Vault, чтобы убедиться в том, что:

    1. Опечатки в пароле или секрете отсутствуют.
    2. Управляемое удостоверение Microsoft Purview имеет доступ к секретам с получением и перечислением .
  6. Проверьте свои учетные данные, чтобы проверить, что:

    1. Идентификатор клиента соответствует идентификатору приложения (клиента) регистрации приложения.
    2. Для делегированной проверки подлинности имя пользователя включает имя участника-пользователя, например johndoe@contoso.com.
  7. В клиенте Azure AD Power BI проверьте следующие параметры администратора Power BI:

    1. Пользователю назначается роль администратора Power BI.
    2. Пользователю назначается по крайней мере одна лицензия Power BI .
    3. Если пользователь был создан недавно, войдите с ним хотя бы один раз, чтобы убедиться, что пароль успешно сброшен, и пользователь может успешно инициировать сеанс.
    4. Для пользователя не применяются политики многофакторной проверки подлинности или условного доступа.
  8. В клиенте Azure AD Power BI проверьте следующие параметры регистрации приложений:

    1. Регистрация приложения существует в клиенте Azure AD, где находится клиент Power BI.
    2. Если субъект-служба используется, в разделе разрешения API для следующих API назначаются следующие делегированные разрешения с чтением для следующих API:
      • Microsoft Graph openid
      • Microsoft Graph User.Read
    3. Если используется делегированная проверка подлинности, в разделе разрешения API для следующих делегированных разрешений и предоставления согласия администратора для клиента настраивается чтение для следующих API:
      • Клиент службы Power BI.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read
    4. В разделе Проверка подлинности:
      1. Поддерживаемые типы учетных записей>Выбраны учетные записи в любом каталоге организации (любой каталог Azure AD — Мультитенантный).
      2. Неявное предоставление и гибридные потоки>Выбраны маркеры идентификатора (используемые для неявных и гибридных потоков).
      3. Разрешение общедоступных клиентских потоков включено.
  9. В клиенте Power BI из клиента Azure Active Directory убедитесь, что субъект-служба является членом новой группы безопасности.

  10. На портале Администратор клиента Power BI убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администратора Power BI только для чтения.

Дальнейшие действия

Теперь, когда вы зарегистрировали источник, ознакомьтесь со следующими руководствами, чтобы узнать больше о Microsoft Purview и ваших данных.