通过

在 Microsoft Purview 中连接和管理 Power BI 租户 (跨租户)

  • 项目

本文概述了如何在跨租户方案中注册 Power BI 租户,以及如何在 Microsoft Purview 中对租户进行身份验证和交互。 如果不熟悉该服务,请参阅 什么是 Microsoft Purview?

支持的功能

元数据提取 完整扫描 增量扫描 作用域扫描 分类 标记 访问策略 血统 数据共享 实时视图

扫描 Power BI 源时,Microsoft Purview 支持:

  • 提取技术元数据,包括:

    • 工作区
    • 仪表板
    • 报表
    • 数据集,包括表和列
    • 数据流
    • 数据市场

  • 提取上述 Power BI 项目和外部数据源资产之间的资产关系的静态世系。 有关详细信息,请参阅 Power BI 世系

Power BI 扫描支持的方案

应用场景 Microsoft Purview 公共访问 Power BI 公共访问 运行时选项 身份验证选项 部署清单
使用 Azure 集成运行时进行公共访问 Allowed Allowed Azure 运行时 委派身份验证 部署清单
使用自承载集成运行时进行公共访问 Allowed Allowed 自承载运行时 委托身份验证/服务主体 部署清单

已知限制

  • 对于跨租户方案,委托身份验证和服务主体是唯一支持的扫描身份验证选项。
  • 对于在 Microsoft Purview 帐户中注册的 Power BI 数据源,只能创建一次扫描。
  • 如果在扫描后未显示 Power BI 数据集架构,则这是由于 Power BI 元数据扫描程序的当前限制之一。
  • 跳过空工作区。

先决条件

在开始之前,请确保具有以下各项:

注册 Power BI 租户

  1. 从左侧选项中选择“ 数据映射”。

  2. 选择“ 注册”,然后选择“ Power BI ”作为数据源。

    显示可供选择的数据源列表的屏幕截图。

  3. 为 Power BI 实例指定一个友好名称。 名称长度必须为 3 到 63 个字符,并且只能包含字母、数字、下划线和连字符。 不允许使用空格。

  4. 编辑“ 租户 ID” 字段,将 替换为要注册和扫描的跨租户 Power BI 的租户。 默认情况下,会填充 Microsoft Purview 的租户 ID。

    显示跨租户 Power BI 的注册体验的屏幕截图。

向 Power BI 租户进行身份验证

在 Power BI 租户所在的 Azure Active Directory 租户中:

  1. Azure 门户中,搜索 Azure Active Directory

  2. 按照使用 Azure Active Directory 创建基本组并添加成员,在 Azure Active Directory 中创建新的安全组。

    提示

    如果已有要使用的安全组,则可以跳过此步骤。

  3. 选择“ 安全性 ”作为 “组类型”。

    安全组类型的屏幕截图。

  4. 选择“ 成员”,然后选择“ + 添加成员”。

  5. 搜索 Microsoft Purview 托管标识或服务主体并选择它。

    显示如何通过搜索目录名称添加目录的屏幕截图。

    应会看到一条成功通知,显示它已添加。

    显示成功添加目录托管标识的屏幕截图。

将安全组与 Power BI 租户关联

  1. 登录到 Power BI 管理门户

  2. 选择“ 租户设置” 页。

    重要

    你需要是 Power BI 管理员才能查看租户设置页。

  3. 选择“管理员 API 设置>允许服务主体使用只读 Power BI 管理员 API (预览版)

  4. 选择“ 特定安全组”。

    显示如何允许服务主体获取只读 Power BI 管理员 API 权限的图像。

  5. 选择“管理员 API 设置>使用详细元数据增强管理员 API 响应”和“使用 DAX 和混合表达式>增强管理员 API 响应”启用切换以允许Microsoft Purview 数据映射在其扫描过程中自动发现 Power BI 数据集的详细元数据。

    重要

    更新 power bi 租户上的 管理员 API 设置后,请等待大约 15 分钟,然后注册扫描和测试连接。

    显示 Power BI 管理门户配置以启用子扫描的图像。

    警告

    当你允许你创建的安全组 (将 Microsoft Purview 托管标识作为成员) 使用只读 Power BI 管理员 API 时,你还允许该安全组访问此租户中所有 Power BI 项目的元数据 (例如仪表板和报表名称、所有者、说明等 ) 。 将元数据拉取到 Microsoft Purview 后,Microsoft Purview 的权限(而不是 Power BI 权限)将确定谁可以查看该元数据。

    注意

    可以从开发人员设置中删除安全组,但之前提取的元数据不会从 Microsoft Purview 帐户中删除。 如果需要,可以单独删除它。

扫描跨租户 Power BI

委托身份验证和服务主体是跨租户扫描唯一受支持的选项。 可以使用以下任一方式进行扫描:

使用 Azure IR 和委派身份验证创建跨租户扫描

若要使用 Azure 运行时创建并运行新扫描,请执行以下步骤:

  1. 在 Power BI 租户所在的 Azure AD 租户中创建一个用户帐户,并将 该用户分配到此角色Power BI 管理员。 记下用户名并登录以更改密码。

  2. 向用户分配适当的 Power BI 许可证。

  3. 转到创建 Microsoft Purview 的租户中的 Azure 密钥保管库实例。

  4. 选择 “设置>机密”,然后选择“ + 生成/导入”。

    Azure 密钥保管库 实例的屏幕截图。

  5. 输入机密的名称。 对于 “值”,请键入 Azure AD 用户新创建的密码。 选择“ 创建 ”完成。

    显示如何在 Azure 密钥保管库中生成机密的屏幕截图。

  6. 如果密钥保管库尚未连接到 Microsoft Purview,则需要 创建新的密钥保管库连接

  7. 在 Power BI 所在的 Azure AD 租户中创建应用注册。 在 重定向 URI 中提供 Web URL。

    如何在 Azure AD 中为跨租户创建应用的屏幕截图。

  8. 记下客户端 ID (应用 ID) 。

    显示如何创建服务主体的屏幕截图。

  9. 从 Azure AD 仪表板,选择新创建的应用程序,然后选择“应用权限”。 为应用程序分配以下委派权限,并为租户授予管理员同意:

    • Power BI 服务 Tenant.Read.All
    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Power BI 和 Microsoft Graph 上委派的权限的屏幕截图。

  10. 从 Azure AD 仪表板,选择新创建的应用程序,然后选择“身份验证”。 在支持的帐户类型下,选择任何组织目录(任何 Azure AD 目录 - 多租户)中的帐户.。

    帐户类型支持多租户的屏幕截图。

  11. “隐式授予和混合流”下,选择 (用于隐式流和混合流的 ID 令牌)

    ID 令牌混合流的屏幕截图。

  12. “高级设置”下,启用 “允许公共客户端流”。

  13. 在 Microsoft Purview Studio 中,转到左侧菜单中 的数据映射 。 转到 “源”。

  14. 从跨租户中选择已注册的 Power BI 源。

  15. 选择“ + 新建扫描”。

  16. 为扫描命名。 然后选择选项以包括或排除个人工作区。

    注意

    如果将扫描的配置切换为包含或排除个人工作区,则会触发 Power BI 源的完整扫描。

  17. 从下拉列表中选择“ Azure AutoResolveIntegrationRuntime ”。

    显示 Power BI 扫描设置的屏幕截图,使用 Azure 集成运行时进行跨租户。

  18. 对于 “凭据”,请选择“ 委派身份验证”,然后选择“ + 新建” 以创建新凭据。

  19. 创建新凭据并提供以下必需参数:

    • 名称:为凭据提供唯一名称。

    • 客户端 ID:使用服务主体客户端 ID (之前创建的应用 ID) 。

    • 用户名:提供之前创建的 Power BI 管理员的用户名。

    • 密码:选择适当的密钥保管库连接,以及之前保存 Power BI 帐户密码的机密名称

    显示使用委托身份验证的 Power BI 扫描设置的屏幕截图。

  20. 选择“ 测试连接 ”,然后继续执行后续步骤。

    显示测试连接状态的屏幕截图。

    如果测试失败,请选择“ 查看报告 ”以查看详细状态并排查问题:

    1. 访问 - 失败 状态表示用户身份验证失败。 验证用户名和密码是否正确。 查看凭据是否包含正确的客户端 (应用) 应用注册 ID。
    2. 资产 (+ 世系) - 失败 状态表示 Microsoft Purview 和 Power BI 之间的授权失败。 确保用户已添加到 Power BI 管理员角色,并分配有适当的 Power BI 许可证。
    3. 详细元数据 (增强型) - 失败 状态意味着对以下设置禁用 Power BI 管理门户: 使用详细元数据增强管理员 API 响应

  21. 设置扫描触发器。 选项为 “定期”“一次”。

    Microsoft Purview 扫描计划器的屏幕截图。

  22. 在“ 查看新扫描”上,选择“ 保存并运行” 以启动扫描。

    显示如何保存和运行 Power BI 源的屏幕截图。

提示

若要排查扫描的任何问题,请:

  1. 确认已完成 方案的部署清单
  2. 查看 扫描故障排除文档

使用具有服务主体的自承载 IR 创建跨租户扫描

若要使用自承载集成运行时创建并运行新扫描,请执行以下步骤:

  1. 在 Power BI 所在的 Azure AD 租户中创建应用注册。 在 重定向 URI 中提供 Web URL。

    如何在 Azure AD 中为跨租户创建应用的屏幕截图。

  2. 记下客户端 ID (应用 ID) 。

    显示如何创建服务主体的屏幕截图。

  3. 从 Azure AD 仪表板,选择新创建的应用程序,然后选择“应用权限”。 为应用程序分配以下委派权限:

    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Microsoft Graph 上委托的权限的屏幕截图。

  4. 从 Azure AD 仪表板,选择新创建的应用程序,然后选择“身份验证”。 在支持的帐户类型下,选择任何组织目录(任何 Azure AD 目录 - 多租户)中的帐户.。

    帐户类型支持多租户的屏幕截图。

  5. “隐式授予和混合流”下,选择 (用于隐式流和混合流的 ID 令牌)

    ID 令牌混合流的屏幕截图。

  6. “高级设置”下,启用 “允许公共客户端流”。

  7. 在创建 Microsoft Purview 的租户中,转到 Azure 密钥保管库 的实例。

  8. 选择 “设置>机密”,然后选择“ + 生成/导入”。

    Azure 密钥保管库 实例的屏幕截图。

  9. 输入机密的名称。 对于 “值”,键入新创建的用于应用注册的机密。 选择“ 创建 ”完成。

  10. “证书机密” & 下,创建新机密并安全地保存它以供后续步骤使用。

  11. 在 Azure 门户 中,导航到 Azure 密钥保管库。

  12. 选择 “设置>机密 ”,然后选择“ + 生成/导入”。

    如何导航到 Azure 密钥保管库的屏幕截图。

  13. 输入机密的名称,对于 “值”,键入新创建的机密以用于应用注册。 选择“ 创建 ”完成。

    如何为 SPN 生成 Azure 密钥保管库机密的屏幕截图。

  14. 如果密钥保管库尚未连接到 Microsoft Purview,则需要 创建新的密钥保管库连接

  15. 在 Microsoft Purview Studio 中,转到左侧菜单中 的数据映射 。 转到 “源”。

  16. 从跨租户中选择已注册的 Power BI 源。

  17. 选择“ + 新建扫描”。

  18. 为扫描命名。 然后选择选项以包括或排除个人工作区。

    注意

    如果将扫描的配置切换为包含或排除个人工作区,则会触发 Power BI 源的完整扫描。

  19. 从下拉列表中选择自承载集成运行时。

  20. 对于 “凭据”,请选择“ 服务主体”,然后选择“ + 新建” 以创建新凭据。

  21. 创建新凭据并提供以下必需参数:

    • 名称:为凭据提供唯一名称
    • 身份验证方法:服务主体
    • 租户 ID:Power BI 租户 ID
    • 客户端 ID:使用服务主体客户端 ID (之前创建的应用 ID)

    新凭据菜单的屏幕截图,其中显示了 SPN 的 Power BI 凭据,其中提供了所有必需的值。

  22. 选择“ 测试连接 ”,然后继续执行后续步骤。

    如果测试失败,请选择“ 查看报告 ”以查看详细状态并排查问题:

    1. 访问 - 失败 状态表示用户身份验证失败。 验证应用 ID 和机密是否正确。 查看凭据是否包含正确的客户端 (应用) 应用注册 ID。
    2. 资产 (+ 世系) - 失败 状态表示 Microsoft Purview 和 Power BI 之间的授权失败。 确保用户已添加到 Power BI 管理员角色,并分配有适当的 Power BI 许可证。
    3. 详细元数据 (增强型) - 失败 状态意味着对以下设置禁用 Power BI 管理门户: 使用详细元数据增强管理员 API 响应

  23. 设置扫描触发器。 选项为 “定期”“一次”。

    Microsoft Purview 扫描计划器的屏幕截图。

  24. 在“ 查看新扫描”上,选择“ 保存并运行” 以启动扫描。

提示

若要排查扫描的任何问题,请:

  1. 确认已完成 方案的部署清单
  2. 查看 扫描故障排除文档

部署清单

部署清单汇总了设置跨租户 Power BI 源所需的所有步骤。 可以在设置或故障排除期间使用它,以确认已按照所有必要的步骤进行连接。

在公用网络中使用委派身份验证扫描跨租户 Power BI

  1. 确保在注册期间正确输入 Power BI 租户 ID。 默认情况下,将填充与 Microsoft Purview 相同的 Azure Active Directory (Azure AD) 实例中的 Power BI 租户 ID。

  2. 通过启用元数据扫描,确保 Power BI 元数据模型是最新的

  3. 从Azure 门户验证 Microsoft Purview 帐户网络是否设置为公共访问

  4. 在 Power BI 租户管理门户中,确保将 Power BI 租户配置为允许公用网络。

  5. 检查 Azure 密钥保管库实例,确保:

    1. 密码或机密中没有拼写错误。
    2. Microsoft Purview 托管标识具有 对机密的获取列出 访问权限。

  6. 查看凭据以验证:

    1. 客户端 ID 与 应用程序 (客户端) 应用注册 ID 匹配。
    2. 对于 委托身份验证,用户名包括用户主体名称,例如 johndoe@contoso.com

  7. 在 Power BI Azure AD 租户中,验证以下 Power BI 管理员用户设置:

    1. 用户将分配到 Power BI 管理员角色。
    2. 至少向用户分配了一个 Power BI 许可证
    3. 如果用户是最近创建的,请至少使用用户登录一次,以确保密码重置成功,并且用户可以成功启动会话。
    4. 没有对用户强制实施多重身份验证或条件访问策略。

  8. 在 Power BI Azure AD 租户中,验证以下应用注册设置:

    1. 应用注册存在于 Power BI 租户所在的 Azure AD 租户中。
    2. 如果使用服务主体,在 API 权限下,为以下 API 分配有读取权限的以下 委托权限
      • Microsoft Graph openid
      • Microsoft Graph User.Read
    3. 如果使用委托身份验证,在 API 权限下,为租户设置以下 委派权限授予管理员同意 ,并针对以下 API 进行读取:
      • Power BI 服务 Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read
    4. “身份验证”下:
      1. 支持的帐户类型>任何组织目录中的帐户 (任何 Azure AD 目录 - 多租户) 处于选中状态。
      2. 隐式授权和混合流>选择 (用于隐式流和混合流的 ID 令牌)
      3. 启用允许公共客户端流

  9. 在 Power BI 租户中,从 Azure Active Directory 租户中,确保 服务主体是新安全组的成员

  10. 在 Power BI 租户管理员门户中,验证是否为新安全组启用了允许服务主体使用只读 Power BI 管理员 API

后续步骤

注册源后,请参阅以下指南,详细了解 Microsoft Purview 和数据。