Поделиться через


Подключение к клиенту Power BI и управление им в Microsoft Purview (тот же клиент)

В этой статье описывается, как зарегистрировать клиент Power BI в одном и том же сценарии, а также как проверить подлинность клиента и взаимодействовать с ним в Microsoft Purview. Дополнительные сведения о Microsoft Purview см. в вводной статье.

Примечание.

Начиная с 18 сентября 2023 г. источник данных Power BI в Microsoft Purview будет переименован в Fabric во всех регионах. Вы по-прежнему можете использовать Power BI в качестве ключевое слово, чтобы быстро найти источник, чтобы зарегистрировать клиент Power BI и настроить проверку. Вместе с изменением имени источника данных емкость Power BI и рабочая область Power BI будут переименованы в Емкость Структуры и Рабочая область Fabric соответственно. Помимо изменений, связанных с переименованием в пользовательском интерфейсе, в существующих функциональных возможностях и пользовательском интерфейсе регистрации источника данных или настройки проверок отсутствуют. Все существующие источники или проверки power BI будут продолжать работать без изменений, и в настоящее время в клиентах Fabric можно сканировать только элементы Power BI.

Рисунок, показывающий переименование источника данных Power BI в Fabric.

Поддерживаемые возможности

Извлечение метаданных Полная проверка Добавочное сканирование Сканирование с заданной областью Классификация Присвоение подписей Политика доступа Линии Общий доступ к данным Динамическое представление
Да Да Да Нет Нет Нет Нет Да Нет Нет

При сканировании источника Power BI Microsoft Purview поддерживает:

  • Извлечение технических метаданных, включая:

    • Рабочие области
    • Панели мониторинга
    • Отчеты
    • Наборы данных, включая таблицы и столбцы
    • Потоки данных
    • Datamarts
  • Получение статического происхождения данных о связях ресурсов среди указанных выше артефактов Power BI, а также ресурсов внешних источников данных. Дополнительные сведения см. в разделе Происхождение данных Power BI.

Список метаданных, доступных для Power BI, см. в документации по доступным метаданным.

Поддерживаемые сценарии для проверок Power BI

Scenarios Разрешен или запрещен общий доступ к Microsoft Purview Открытый доступ к Power BI разрешен /запрещен Параметр среды выполнения Параметр проверки подлинности Контрольный список развертывания
Общедоступный доступ с помощью Azure IR Разрешено Разрешено Среда выполнения Azure Управляемое удостоверение Microsoft Purview Проверка контрольного списка развертывания
Общедоступный доступ с локальной средой IR Разрешено Разрешено Локальная среда выполнения Делегированная проверка подлинности или субъект-служба Проверка контрольного списка развертывания
Частный доступ Разрешено Denied Локальная среда выполнения Делегированная проверка подлинности или субъект-служба Проверка контрольного списка развертывания
Частный доступ Denied Разрешено Локальная среда выполнения Делегированная проверка подлинности или субъект-служба Проверка контрольного списка развертывания
Частный доступ Denied Denied Локальная среда выполнения Делегированная проверка подлинности или субъект-служба Проверка контрольного списка развертывания

Известные ограничения

  • Если клиент Microsoft Purview или Power BI защищен за частной конечной точкой, локальная среда выполнения является единственным вариантом для сканирования.
  • Делегированная проверка подлинности и субъект-служба являются единственными поддерживаемыми вариантами проверки подлинности, если во время проверки используется локальная среда выполнения интеграции.
  • Вы можете создать только одну проверку для источника данных Power BI, зарегистрированного в учетной записи Microsoft Purview.
  • Если схема набора данных Power BI не отображается после сканирования, это связано с одним из текущих ограничений сканера метаданных Power BI.
  • Пустые рабочие области пропускаются.
  • Полезные данные в настоящее время ограничены 2 МБ и 800 столбцами при сканировании ресурса.

Предварительные требования

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

Параметры проверки подлинности

  • Управляемое удостоверение
  • Делегированная проверка подлинности
  • Субъект-служба

Контрольный список развертывания

Используйте любой из следующих контрольных списков развертывания во время установки или для устранения неполадок в зависимости от сценария:

Сканирование Power BI в одном клиенте с помощью Azure IR и управляемого удостоверения в общедоступной сети

  1. Убедитесь, что учетные записи Power BI и Microsoft Purview находятся в одном клиенте.

  2. Убедитесь, что идентификатор клиента Power BI введен правильно во время регистрации.

  3. Убедитесь, что модель метаданных Power BI обновлена, включив сканирование метаданных.

  4. С портал Azure проверьте, настроена ли учетная запись Microsoft Purview Сеть для общедоступного доступа.

  5. В клиенте Power BI Администратор портале убедитесь, что клиент Power BI настроен на разрешение общедоступной сети.

  6. В клиенте Azure Active Directory создайте группу безопасности.

  7. В клиенте Azure Active Directory убедитесь, что MSI учетной записи Microsoft Purview входит в новую группу безопасности.

  8. На портале Администратор клиента Power BI убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администратора Power BI только для чтения.

Регистрация клиента Power BI

В этом разделе описывается, как зарегистрировать клиент Power BI в Microsoft Purview для сценария с тем же клиентом.

  1. Выберите карту данных в области навигации слева.

  2. Затем нажмите Зарегистрировать.

    Выберите Power BI в качестве источника данных.

    Изображение со списком источников данных, доступных для выбора.

  3. Присвойте экземпляру Power BI понятное имя.

    Изображение, показывающее понятное имя источника данных Power BI.

    Имя должно содержать от 3 до 63 символов и содержать только буквы, цифры, символы подчеркивания и дефисы. Пробелы не допускаются.

    По умолчанию система найдет клиент Power BI, который существует в том же клиенте Azure Active Directory.

    Изображение, показывающее зарегистрированный источник данных Power BI.

Сканирование Power BI для одного клиента

Совет

Чтобы устранить неполадки со сканированием, выполните указанные ниже действия.

  1. Убедитесь, что вы выполнили контрольный список развертывания для своего сценария.
  2. Ознакомьтесь с нашей документацией по устранению неполадок сканирования.

Проверка подлинности в клиенте Power BI

В клиенте Azure Active Directory, где расположен клиент Power BI:

  1. В портал Azure найдите Azure Active Directory.

  2. Создайте новую группу безопасности в Azure Active Directory, выполнив команду Создать базовую группу и добавьте участников с помощью Azure Active Directory.

    Совет

    Этот шаг можно пропустить, если у вас уже есть группа безопасности, которую вы хотите использовать.

  3. Выберите Безопасность в качестве типа группы.

    Снимок экрана: тип группы безопасности.

  4. Добавьте соответствующего пользователя в группу безопасности:

    • Если вы используете управляемое удостоверение в качестве метода проверки подлинности, добавьте управляемое удостоверение Microsoft Purview в эту группу безопасности. Выберите Участники, а затем + Добавить участников.

      Снимок экрана: добавление управляемого экземпляра каталога в группу.

    • Если в качестве метода проверки подлинности используется делегированная проверка подлинности или субъект-служба , добавьте субъект-службу в эту группу безопасности. Выберите Участники, а затем + Добавить участников.

  5. Найдите управляемое удостоверение Или субъект-службу Microsoft Purview и выберите его.

    Снимок экрана: добавление каталога путем поиска его имени.

    Вы увидите уведомление об успешном выполнении, показывающее, что оно было добавлено.

    Снимок экрана: успешное добавление управляемого удостоверения каталога.

Связывание группы безопасности с клиентом Power BI

  1. Войдите на портал администрирования Power BI.

  2. Выберите страницу Параметры клиента .

    Важно!

    Вы должны быть Администратор Power BI, чтобы просмотреть страницу параметров клиента.

  3. Выберите Администратор параметры> APIРазрешить субъектам-службам использовать API-интерфейсы администрирования Power BI (предварительная версия) только для чтения.

  4. Выберите Определенные группы безопасности.

    Изображение, показывающее, как разрешить субъектам-службам получать разрешения API администратора Power BI только для чтения.

  5. Выберите параметры API> АдминистраторРасширение ответов API администратора с помощью подробных метаданных и Улучшение ответов API администратора с помощью DAX и гибридных выражений> Включите переключатель, чтобы Схема данных Microsoft Purview автоматически обнаруживали подробные метаданные наборов данных Power BI в ходе сканирования.

    Важно!

    После обновления параметров API Администратор в клиенте Power Bi подождите около 15 минут, прежде чем зарегистрировать подключение для проверки и тестирования.

    Изображение, показывающее конфигурацию портала администрирования Power BI для включения проверки субарцифактов.

    Предостережение

    Если вы разрешаете созданной группе безопасности (с управляемым удостоверением Microsoft Purview в качестве участника) использовать API-интерфейсы администрирования Power BI только для чтения, вы также разрешаете ей доступ к метаданным (например, к именам панелей мониторинга и отчетам, владельцам, описаниям и т. д.) для всех артефактов Power BI в этом клиенте. После извлечения метаданных в Microsoft Purview разрешения Microsoft Purview, а не разрешения Power BI, определяют, кто может видеть эти метаданные.

    Примечание.

    Группу безопасности можно удалить из параметров разработчика, но извлеченные ранее метаданные не будут удалены из учетной записи Microsoft Purview. При желании его можно удалить отдельно.

Создание сканирования для Однотенантной службы Power BI с помощью Azure IR и управляемого удостоверения

Это подходящий сценарий, если и Microsoft Purview, и клиент Power BI настроены так, чтобы разрешить общий доступ в параметрах сети.

Чтобы создать и запустить новую проверку, сделайте следующее:

  1. В Microsoft Purview Studio перейдите к карте данных в меню слева.

  2. Перейдите в раздел Источники.

  3. Выберите зарегистрированный источник Power BI.

  4. Выберите + Создать сканирование.

  5. Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.

    Изображение, показывающее настройку проверки Power BI.

    Примечание.

    Переключение конфигурации сканирования на включение или исключение личной рабочей области приведет к запуску полной проверки источника Power BI.

  6. Выберите Проверить подключение , прежде чем переходить к дальнейшим действиям. Если не удалось проверить подключение , выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему.

    1. Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Сканирование с использованием управляемого удостоверения всегда будет проходить, так как проверка подлинности пользователя не требуется.
    2. Активы (+ происхождение) — состояние сбоя означает, что сбой авторизации Microsoft Purview — Power BI. Убедитесь, что управляемое удостоверение Microsoft Purview добавлено в группу безопасности, связанную с порталом администрирования Power BI.
    3. Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра— Улучшение ответов API администратора с помощью подробных метаданных

    Снимок экрана: страница отчета о состоянии тестового подключения.

  7. Настройка триггера сканирования. Параметры: Повторяющийся и Один раз.

    Снимок экрана: планировщик проверки Microsoft Purview.

  8. На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.

    Снимок экрана: сохранение и запуск источника Power BI с помощью управляемого удостоверения.

Создание сканирования для одного клиента с помощью локальной среды ir с субъектом-службой

Этот сценарий можно использовать, если Microsoft Purview и клиент Power BI настроены для использования частной конечной точки и запрета общедоступного доступа. Кроме того, этот параметр также применим, если Microsoft Purview и клиент Power BI настроены для предоставления общего доступа.

Дополнительные сведения о сети Power BI см. в статье Настройка частных конечных точек для доступа к Power BI.

Дополнительные сведения о параметрах сети Microsoft Purview см. в статье Использование частных конечных точек для учетной записи Microsoft Purview.

Чтобы создать и запустить новую проверку, сделайте следующее:

  1. В портал Azure выберите Azure Active Directory и создайте регистрацию приложения в клиенте. Укажите URL-адрес веб-сайта в URI перенаправления. Сведения о URI перенаправления см. в этой документации из Azure Active Directory.

    Снимок экрана: создание приложения в Azure AD.

  2. Запишите идентификатор клиента (идентификатор приложения).

    Снимок экрана: создание принципа службы.

  3. На панели мониторинга Azure Active Directory выберите только что созданное приложение, а затем выберите Регистрация приложения. В разделе Разрешения API назначьте приложению следующие делегированные разрешения:

    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Снимок экрана: делегированные разрешения в Microsoft Graph.

  4. В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.

  5. В разделе Секреты сертификатов &создайте новый секрет и сохраните его безопасно для дальнейших действий.

  6. В портал Azure перейдите к хранилищу ключей Azure.

  7. Выберите Параметры Секреты> и выберите + Создать и импортировать.

    Снимок экрана: переход к azure Key Vault.

  8. Введите имя секрета, а в поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.

    Снимок экрана: создание секрета Key Vault Azure для имени субъекта-службы.

  9. Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.

  10. В Microsoft Purview Studio перейдите к карте данных в меню слева.

  11. Перейдите в раздел Источники.

  12. Выберите зарегистрированный источник Power BI.

  13. Выберите + Создать сканирование.

  14. Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.

    Примечание.

    Переключение конфигурации сканирования на включение или исключение личной рабочей области приведет к запуску полной проверки источника Power BI.

  15. Выберите локальную среду выполнения интеграции в раскрывающемся списке.

    Изображение, на котором показана настройка проверки Power BI с помощью SHIR для одного клиента.

  16. В поле Учетные данные выберите субъект-служба и нажмите + Создать , чтобы создать учетные данные.

  17. Создайте учетные данные и укажите необходимые параметры:

    • Имя: укажите уникальное имя учетных данных.
    • Метод проверки подлинности: субъект-служба
    • Идентификатор клиента: идентификатор клиента Power BI
    • Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.

    Снимок экрана: меню новых учетных данных с учетными данными Power BI для имени субъекта-службы со всеми необходимыми значениями.

  18. Выберите Проверить подключение , прежде чем переходить к дальнейшим действиям. Если не удалось проверить подключение , выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему.

    1. Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Сканирование с использованием управляемого удостоверения всегда будет проходить, так как проверка подлинности пользователя не требуется.
    2. Активы (+ происхождение) — состояние сбоя означает, что сбой авторизации Microsoft Purview — Power BI. Убедитесь, что управляемое удостоверение Microsoft Purview добавлено в группу безопасности, связанную с порталом администрирования Power BI.
    3. Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра— Улучшение ответов API администратора с помощью подробных метаданных

    Снимок экрана: страница отчета о состоянии тестового подключения.

  19. Настройка триггера сканирования. Параметры: Повторяющийся и Один раз.

    Снимок экрана: планировщик проверки Microsoft Purview.

  20. На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.

Создание сканирования для одного клиента с помощью локальной среды ir с делегированной проверкой подлинности

Этот сценарий можно использовать, если Microsoft Purview и клиент Power BI настроены для использования частной конечной точки и запрета общедоступного доступа. Кроме того, этот параметр также применим, если Microsoft Purview и клиент Power BI настроены для предоставления общего доступа.

Дополнительные сведения о сети Power BI см. в статье Настройка частных конечных точек для доступа к Power BI.

Дополнительные сведения о параметрах сети Microsoft Purview см. в статье Использование частных конечных точек для учетной записи Microsoft Purview.

Чтобы создать и запустить новую проверку, сделайте следующее:

  1. Создайте учетную запись пользователя в клиенте Azure Active Directory и назначьте ей роль Azure Active Directory — администратор Power BI. Запишите имя пользователя и войдите, чтобы изменить пароль.

  2. Назначьте пользователю правильную лицензию Power BI.

  3. Перейдите в хранилище ключей Azure.

  4. Выберите Параметры Секреты> и выберите + Создать и импортировать.

    Снимок экрана: переход к azure Key Vault.

  5. Введите имя секрета, а в поле Значение введите только что созданный пароль для Azure AD пользователя. Нажмите кнопку Создать , чтобы завершить.

    Снимок экрана: создание секрета Key Vault Azure.

  6. Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.

  7. Создайте регистрацию приложения в клиенте Azure Active Directory. Укажите URL-адрес веб-сайта в URI перенаправления.

    Снимок экрана: создание приложения в Azure AD.

  8. Запишите идентификатор клиента (идентификатор приложения).

    Снимок экрана: создание принципа службы.

  9. На панели мониторинга Azure Active Directory выберите только что созданное приложение, а затем выберите Регистрация приложения. Назначьте приложению следующие делегированные разрешения и предоставьте согласие администратора для клиента:

    • Клиент службы Power BI.Read.All
    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Снимок экрана: делегированные разрешения для службы Power BI и Microsoft Graph.

  10. В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.

  11. В Microsoft Purview Studio перейдите к карте данных в меню слева.

  12. Перейдите в раздел Источники.

  13. Выберите зарегистрированный источник Power BI.

  14. Выберите + Создать сканирование.

  15. Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.

    Примечание.

    Переключение конфигурации сканирования на включение или исключение личной рабочей области приведет к запуску полной проверки источника Power BI.

  16. Выберите локальную среду выполнения интеграции в раскрывающемся списке.

    Изображение, на котором показана настройка проверки Power BI с помощью SHIR для одного клиента.

  17. В поле Учетные данные выберите Делегированная проверка подлинности и нажмите + Создать , чтобы создать учетные данные.

  18. Создайте учетные данные и укажите необходимые параметры:

    • Имя: укажите уникальное имя учетных данных.
    • Метод проверки подлинности: делегированная проверка подлинности
    • Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
    • Имя пользователя. Укажите имя пользователя администратора Power BI, созданного ранее.
    • Пароль. Выберите соответствующее подключение к хранилищу ключей и имя секрета , в котором ранее был сохранен пароль учетной записи Power BI.

    Снимок экрана: меню новых учетных данных с учетными данными Power B I со всеми необходимыми значениями.

  19. Выберите Проверить подключение , прежде чем переходить к дальнейшим действиям. Если не удалось проверить подключение , выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему.

    1. Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Сканирование с использованием управляемого удостоверения всегда будет проходить, так как проверка подлинности пользователя не требуется.
    2. Активы (+ происхождение) — состояние сбоя означает, что сбой авторизации Microsoft Purview — Power BI. Убедитесь, что управляемое удостоверение Microsoft Purview добавлено в группу безопасности, связанную с порталом администрирования Power BI.
    3. Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Power BI отключен для следующего параметра— Улучшение ответов API администратора с помощью подробных метаданных

    Снимок экрана: страница отчета о состоянии тестового подключения.

  20. Настройка триггера сканирования. Параметры: Повторяющийся и Один раз.

    Снимок экрана: планировщик проверки Microsoft Purview.

  21. На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.

    Снимок экрана: сохранение и запуск источника Power BI.

Дальнейшие действия

Теперь, когда вы зарегистрировали источник, следуйте приведенным ниже руководствам, чтобы узнать больше о Microsoft Purview и ваших данных.