为只读管理员 API 启用服务主体身份验证

服务主体是一种身份验证方法,可用于让 Microsoft Entra 应用程序访问 Microsoft Fabric 内容和 API。

创建 Microsoft Entra 应用时,将创建服务主体对象。 服务主体对象(也称为服务主体)允许 Microsoft Entra ID 对应用进行身份验证。 完成身份验证后,应用可以访问 Microsoft Entra 租户资源。

方法

若要为 Power BI 只读 API 启用服务主体身份验证,请执行以下步骤:

  1. 创建 Microsoft Entra 应用。 如果已有要使用的 Microsoft Entra 应用,则可以跳过此步骤。 请记下应用 Id,以便执行后续步骤。

    重要

    请确保使用的应用在 Azure 门户中没有设置 Power BI 所需的任何管理员同意权限。 了解如何查看你的应用是否具有任何此类权限

  2. 创建新的 Microsoft Entra 安全组详细了解如何使用 Microsoft Entra 创建基本组和添加成员。 如果已有要使用的 Microsoft Entra 安全组,则可以跳过此步骤。 请确保选择“安全”作为组类型。

    Screenshot of new group creation dialog in Azure portal.

  3. 将你的应用 Id 添加为你创建的安全组的成员。 为此,请执行以下操作:

    1. 导航到 Azure 门户 >“Microsoft Entra ID”>“组”,然后选择在步骤 2 中创建的安全组。
    2. 选择“添加成员”。

    重要

    请确保应用在 Azure 门户中没有设置 Power BI 所需的任何管理员同意权限。 了解如何查看你的应用是否具有任何此类权限

  4. 启用 Fabric 管理员设置:

    1. 登录到 Fabric 管理门户。 你需要成为 Fabric 管理员才能看到“租户设置”页。

    2. 在“管理员 API 设置”下,你将看到“允许服务主体使用只读 Power BI 管理员 API”。 将开关设置为“已启用”,然后选择“特定安全组”单选按钮,并将在步骤 2 中创建的安全组添加到其下方显示的文本字段中。

      Screenshot of allow service principals tenant setting.

  5. 开始使用只读管理员 API。 请参阅以下有关受支持 API 的列表。

重要

使用服务主体身份验证调用只读管理员 API 的应用不得在 Azure 门户中设置 Power BI 所需的任何管理员同意权限。 了解如何查看你的应用是否具有任何此类权限

受支持的 API

以下只读管理 API 目前支持服务主体身份验证。

使用服务主体身份验证调用只读管理员 API 的应用不得在 Azure 门户中设置 Power BI 所需的任何管理员同意权限。 查看分配的权限:

  1. 以“全局管理员”、“应用程序管理员”或“云应用程序管理员”身份登录到“Azure 门户”。
  2. 选择Microsoft Entra ID,然后选择企业应用程序
  3. 选择要向其授予访问 Power BI 权限的应用程序。
  4. 选择“权限”。 不得有为应用注册的“应用程序”类型的管理员同意所需的权限。

注意事项和限制

  • 服务主体可以进行 REST API 调用,但你无法使用服务主体凭据打开 Fabric。
  • 若要在 Fabric 管理门户的“管理 API”设置中启用服务主体,需要具有 Fabric 管理员权限。