內部部署資料閘道架構

貴組織中的使用者可以存取他們已從雲端服務存取授權的內部部署數據,例如 Power BI、Power Platform 和 Microsoft Fabric。 但在這些使用者可以將雲端服務連線到內部部署數據源之前,必須先安裝及設定內部部署數據閘道。

閘道有助於快速且安全的幕後通訊。 此通訊會從雲端中的使用者流向內部部署數據源,然後返回雲端。

系統管理員通常是安裝及設定閘道的人員。 這些動作可能需要您內部部署伺服器或伺服器 管理員 istrator 許可權的特殊知識。

本文不提供如何安裝和設定閘道的逐步指引。 如需該指引,請移至 安裝內部部署數據閘道。 本文提供閘道運作方式的深入瞭解。

閘道的運作方式

Relationship among cloud services, gateway, and data sources.

讓我們先看看當您與連線至內部部署數據源的項目互動時會發生什麼事。

注意

視雲端服務而定,您可能需要設定閘道的數據源。

  1. 雲端服務會為內部部署資料來源建立查詢與加密的認證。 當閘道定期輪詢服務時,查詢和認證會傳送至閘道佇列進行處理。 如需 Power BI 中認證加密的詳細資訊,請移至 Power BI 安全性白皮書
  2. 網關雲端服務會分析查詢,並將要求推送至 Azure 轉寄
  3. Azure 轉送會在定期輪詢時,將擱置的要求傳送至閘道。 閘道和 Power BI 服務 都實作為只接受 TLS 1.2 流量。
  4. 該閘道會取得查詢、將認證解密,並使用這些認證連線到一或多個資料來源。
  5. 該閘道會將查詢傳送至要執行的資料來源。
  6. 結果會從資料來源傳送回閘道,再傳送到雲端服務。 然後,服務會使用該結果。

在步驟 6 中,Power BI 和 Azure Analysis Services 重新整理等查詢可能會傳回大量數據。 針對這類查詢,數據會暫時儲存在閘道電腦上。 此數據記憶體會繼續執行,直到從數據源接收所有數據為止。 然後,數據會傳回至雲端服務。 此程式稱為多任務緩衝處理。 建議您使用固態硬碟 (SSD) 作為多任務緩衝記憶體。

對內部部署數據源的驗證

預存認證可用來從網關聯機到內部部署數據源。 不論用戶為何,閘道都會使用預存認證進行連線。 但是 Power BI 中的 Analysis Services 可能有 DirectQuery 和 Live 連線 等驗證例外狀況。 如需 Power BI 中認證加密的詳細資訊,請移至 Power BI 安全性白皮書

登入帳戶

您可以使用公司帳戶或學校帳戶登入。 此帳戶是您的組織帳戶。 如果您已註冊 Office 365 供應專案,但未提供實際工作電子郵件位址,您的帳戶名稱可能看起來像 nancy@contoso.onmicrosoft.com。 雲端服務會將您的帳戶儲存在 Microsoft Entra 標識碼的租用戶內。 在大部分情況下,Microsoft Entra ID 帳戶的用戶主體名稱 (UPN) 符合您的電子郵件位址。

網路流量安全性

流量會從閘道流向 Azure 轉送至 Power BI 後端叢集。 此流量不會周遊公用因特網。 所有 Azure 內部流量都會經過 Azure 骨幹。

Microsoft Entra ID

Microsoft 雲端服務會使用 Microsoft Entra 標識碼 來驗證使用者。 Microsoft Entra ID 是包含用戶名稱和安全組的租使用者。 一般而言,您用於登入的電子郵件地址與帳戶的 UPN 相同。 如需 Power BI 中驗證的詳細資訊,請移至 Power BI 安全性白皮書

如何? 告訴我的 UPN 是什麼?

您可能不知道您的 UPN,而且您可能不是網域系統管理員。若要找出您帳戶的 UPN,請從您的工作站執行下列命令: whoami /upn

雖然結果看起來像電子郵件位址,但它是本機網域帳戶上的UPN。

使用 Microsoft Entra 識別碼同步處理 內部部署的 Active Directory

您希望每個 內部部署的 Active Directory 帳戶都符合 Microsoft Entra ID 帳戶,因為這兩個帳戶的 UPN 必須相同。

雲端服務只知道 Microsoft Entra 識別碼內的帳戶。 如果您在 內部部署的 Active Directory 中新增帳戶並不重要。 如果帳戶不存在於 Microsoft Entra 識別符中,就無法使用它。

有不同方式可以比對 內部部署的 Active Directory 帳戶與 Microsoft Entra ID。

  • 手動將帳戶新增至 Microsoft Entra 識別符。

    在 Azure 入口網站 或 Microsoft 365 系統管理中心 內建立帳戶。 請確定帳戶名稱符合 內部部署的 Active Directory 帳戶的 UPN。

  • 使用 Microsoft Entra ID 連線 工具來將本機帳戶同步處理至您的 Microsoft Entra ID 租使用者。

    Microsoft Entra ID 連線 工具提供目錄同步處理和驗證設定的選項。 這些選項包括密碼哈希同步處理、傳遞驗證和同盟。 如果您不是租用戶系統管理員或本機網域系統管理員,請連絡 IT 系統管理員以取得 連線 設定的 Microsoft Entra 識別碼。

Microsoft Entra ID 連線 可確保您的 Microsoft Entra ID UPN 符合本機 Active Directory UPN。 如果您使用 Analysis Services 即時連線搭配 Power BI 或單一登錄 (SSO) 功能,這項比對可協助您。

注意

將帳戶與 Microsoft Entra ID 同步處理 連線 工具會在您的 Microsoft Entra ID 租使用者中建立新的帳戶。

下一步