內部部署資料閘道架構
貴組織中的使用者可以存取內部部署數據,這些內部部署數據已經可從雲端中的服務存取授權,例如 Power BI、Power Platform 和 Microsoft Fabric。 但在這些使用者可以將雲端服務連線到內部部署數據源之前,必須先安裝及設定內部部署數據閘道。
閘道有助於快速且安全的幕後通訊。 此通訊會從雲端中的使用者流向內部部署數據源,然後返回雲端。
系統管理員通常是安裝及設定閘道的人員。 這些動作可能需要您內部部署伺服器或伺服器管理員許可權的特殊知識。
本文不提供如何安裝和設定閘道的逐步指引。 如需該指引,請移至 安裝內部部署數據閘道。 本文提供閘道運作方式的深入瞭解。
閘道的運作方式
讓我們先看看當您與連線至內部部署數據源的項目互動時會發生什麼事。
注意
視雲端服務而定,您可能需要設定閘道的數據源。
- 雲端服務會為內部部署資料來源建立查詢與加密的認證。 當閘道定期輪詢服務時,查詢和認證會傳送至閘道佇列進行處理。 如需 Power BI 中認證加密的詳細資訊,請移至 Power BI 安全性白皮書。
- 網關雲端服務會分析查詢,並將要求推送至 Azure 轉寄。
- Azure 轉送會在定期輪詢時,將擱置的要求傳送至閘道。 閘道和 Power BI 服務 都實作為只接受 TLS 1.2 流量。
- 該閘道會取得查詢、將認證解密,並使用這些認證連線到一或多個資料來源。
- 該閘道會將查詢傳送至要執行的資料來源。
- 結果會從資料來源傳送回閘道,再傳送到雲端服務。 然後,服務會使用該結果。
在步驟 6 中,Power BI 和 Azure Analysis Services 重新整理等查詢可能會傳回大量數據。 針對這類查詢,數據會暫時儲存在閘道電腦上。 此數據記憶體會繼續執行,直到從數據源接收所有數據為止。 然後,數據會傳回至雲端服務。 此程式稱為多任務緩衝處理。 建議您使用固態硬碟 (SSD) 作為多任務緩衝記憶體。
對內部部署資料來源進行驗證
預存認證是用來從閘道連線到內部部署資料來源。 無論使用者是誰,閘道都會使用預存認證來連線。 但 Power BI 中 Analysis Services 的 DirectQuery 和 LiveConnect 等驗證例外狀況可能會有。 如需 Power BI 中認證加密的詳細資訊,請移至 Power BI 安全性白皮書。
登入帳戶
您可以使用公司帳戶或學校帳戶登入。 此帳戶是您的組織帳戶。 如果您已註冊 Office 365 供應專案,但未提供實際工作電子郵件位址,您的帳戶名稱可能看起來像 nancy@contoso.onmicrosoft.com。 雲端服務會將您的帳戶儲存在租使用者中,Microsoft Entra ID。 在大部分情況下,Microsoft Entra ID 帳戶的用戶主體名稱 (UPN) 符合您的電子郵件位址。
網路流量安全性
流量會從閘道流向 Azure 轉送至 Power BI 後端叢集。 藉由使用快速路由,您可以確定此流量不會周遊公用因特網。 所有 Azure 內部流量都會經過 Azure 骨幹。
Microsoft Entra ID
Microsoft 雲端服務會使用 Microsoft Entra ID 來驗證使用者。 Microsoft Entra 識別碼是包含用戶名稱和安全組的租使用者。 一般而言,您用於登入的電子郵件地址與帳戶的 UPN 相同。 如需 Power BI 中驗證的詳細資訊,請移至 Power BI 安全性白皮書。
如何? 告訴我的 UPN 是什麼?
您可能不知道您的 UPN,而且您可能不是網域系統管理員。若要找出您帳戶的 UPN,請從您的工作站執行下列命令: whoami /upn
。
雖然結果看起來像電子郵件位址,但它是本機網域帳戶上的UPN。
同步內部部署 Active Directory 與 Microsoft Entra ID
您希望每個 內部部署的 Active Directory 帳戶都符合Microsoft Entra ID 帳戶,因為這兩個帳戶的 UPN 必須相同。
雲端服務只會知道 Microsoft Entra ID 內的帳戶。 如果您在 內部部署的 Active Directory 中新增帳戶並不重要。 如果帳戶不存在於 Microsoft Entra ID 中,就無法使用它。
有不同方式可比對 內部部署的 Active Directory 帳戶與 Microsoft Entra 識別碼。
手動將帳戶新增至 Microsoft Entra ID。
在 Azure 入口網站 或 Microsoft 365 系統管理中心 內建立帳戶。 請確定帳戶名稱符合 內部部署的 Active Directory 帳戶的 UPN。
使用 Microsoft Entra ID Connect 工具,將本機帳戶同步處理到您的 Microsoft Entra ID 租使用者。
Microsoft Entra ID Connect 工具提供目錄同步處理和驗證設定的選項。 這些選項包括密碼雜湊同步處理、傳遞驗證與同盟。 如果您不是租用戶系統管理員或本機網域系統管理員,請連絡 IT 系統管理員以取得Microsoft Entra ID Connect 設定。
Microsoft Entra ID Connect 可確保您的Microsoft Entra ID UPN 符合本機 Active Directory UPN。 如果您搭配 Power BI 或單一登入 (SSO) 功能使用 Analysis Services 即時連線,這種比對會很有用。
注意
將帳戶與 Microsoft Entra ID Connect 工具同步處理,會在Microsoft Entra ID 租使用者內建立新的帳戶。