在 Microsoft Purview 中連線和管理 Power BI 租使用者 (跨租使用者)

本文概述如何在跨租使用者案例中註冊 Power BI 租使用者，以及如何在 Microsoft Purview 中驗證租使用者並與之互動。 如果您不熟悉服務，請參閱 什麼是 Microsoft Purview？。

支援的功能

中繼資料擷取	完整掃描	增量掃描	限域掃描	分類	加標籤	存取原則	血統	資料共用	即時檢視
是	是	是	否	否	否	否	是	否	否

掃描 Power BI 來源時，Microsoft Purview 支援：

• 擷取技術中繼資料，包括：

  • 工作區
  • 儀表板
  • 報告
  • 包含資料表和資料行的資料集
  • 資料流程
  • Datamarts

• 擷取上述 Power BI 成品與外部資料源資產之間資產關聯性的靜態譜系。 深入瞭解 Power BI 譜系。

Power BI 掃描的支援案例

案例	Microsoft Purview 公用存取	Power BI 公用存取	執行時間選項	驗證選項	部署檢查清單
使用 Azure 整合執行時間的公用存取	允許	已允許	Azure 執行時間	委派的驗證	部署檢查清單
使用自我裝載整合執行時間的公用存取	允許	已允許	自我裝載執行時間	委派的驗證/服務主體	部署檢查清單

已知限制

• 針對跨租使用者案例，委派的驗證和服務主體是唯一支援的掃描驗證選項。
• 您只能針對在 Microsoft Purview 帳戶中註冊的 Power BI 資料來源建立一次掃描。
• 如果在掃描之後未顯示 Power BI 資料集架構，這是因為 Power BI 中繼資料掃描器的其中一個目前限制所造成。
• 會略過空的工作區。

必要條件

開始之前，請確定您有下列專案：

• 具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• 使用中的 Microsoft Purview 帳戶。

註冊 Power BI 租使用者

1. 從左側的選項中，選取 [資料對應]。

2. 選取 [註冊]，然後選取 [Power BI ] 作為您的資料來源。

   

3. 為您的 Power BI 實例提供易記名稱。 名稱長度必須是 3 到 63 個字元，而且只能包含字母、數位、底線和連字號。 不允許空格。

4. 編輯 [ 租使用者識別碼] 欄位，將 取代為您想要註冊和掃描之跨租使用者 Power BI 的租使用者。 根據預設，會填入 Microsoft Purview 的租使用者識別碼。

   

向 Power BI 租使用者進行驗證

在 Power BI 租使用者所在的 Azure Active Directory 租使用者中：

1. 在Azure 入口網站中，搜尋Azure Active Directory。

2. 遵循建立基本群組， 並使用 Azure Active Directory 新增成員，在您的 Azure Active Directory 中建立新的安全性群組。

   提示

   如果您已經有想要使用的安全性群組，您可以略過此步驟。

3. 選取 [安全性 ] 作為 [群組類型]。

   

4. 選 取 [成員]，然後選取 [+ 新增成員]。

5. 搜尋您的 Microsoft Purview 受控識別或服務主體並加以選取。

   

   您應該會看到成功通知，顯示已新增它。

   

將安全性群組與 Power BI 租使用者建立關聯

1. 登入 Power BI 管理入口網站。

2. 選取 [ 租使用者設定] 頁面。

   重要事項

   您必須是 Power BI 管理員才能查看租使用者設定頁面。

3. 選管理員 API 設定>允許服務主體使用唯讀 Power BI 系統管理員 API (預覽) 。

4. 選取 [特定安全性群組]。

   

5. 選取 [管理員 API 設定>使用詳細中繼資料增強系統管理員 API 回應]，並使用 DAX 和混搭表達> 式增強系統管理員 API 回應 啟用切換以允許Microsoft Purview 資料對應在其掃描過程中自動探索 Power BI 資料集的詳細中繼資料。

   重要事項

   更新 power bi 租使用者上的管理員 API 設定之後，請等候大約 15 分鐘，然後再註冊掃描和測試連線。

   

   注意

   當您允許您建立的安全性群組 (讓您的 Microsoft Purview 受控識別作為成員) 使用唯讀的 Power BI 系統管理員 API 時，您也可以允許其存取中繼資料 (例如，此租使用者中所有 Power BI 成品的儀表板和報表名稱、擁有者、描述等 ) 。 將中繼資料提取到 Microsoft Purview 之後，Microsoft Purview 的許可權，而不是 Power BI 許可權，會決定誰可以看到該中繼資料。

   注意事項

   您可以從開發人員設定中移除安全性群組，但先前擷取的中繼資料不會從 Microsoft Purview 帳戶中移除。 您可以視需要個別刪除它。

掃描跨租使用者 Power BI

委派的驗證和服務主體是唯一支援的跨租使用者掃描選項。 您可以使用下列其中一種方式進行掃描：

• Azure 整合執行時間
• 自我裝載整合執行時間

使用 Azure IR 搭配委派驗證建立跨租使用者掃描

若要使用 Azure 執行時間建立並執行新的掃描，請執行下列步驟：

1. 在 Power BI 租使用者所在的 Azure AD 租使用者中建立使用者帳戶，並將 使用者指派給此角色： Power BI 系統管理員。 記下使用者名稱並登入以變更密碼。

2. 將適當的 Power BI 授權指派給使用者。

3. 移至建立 Microsoft Purview 之租使用者中的 Azure 金鑰保存庫實例。

4. 選取> [設定秘密]，然後選取[+ 產生/匯入]。

   

5. 輸入秘密的名稱。 針對 [值]，輸入新建立的 Azure AD 使用者密碼。 選 取 [建立 ] 以完成。

   

6. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，您必須 建立新的金鑰保存庫連線。

7. 在 Power BI 所在的 Azure AD 租使用者中建立應用程式註冊。 在 重新導向 URI中提供 Web URL。

   

8. 記下應用程式識別碼) (用戶端識別碼。

   

9. 從 Azure AD 儀表板中，選取新建立的應用程式，然後選取 [ 應用程式許可權]。 將下列委派許可權指派給應用程式，並為租使用者授與管理員同意：

   • Power BI 服務租使用者.Read.All
   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

10. 從 Azure AD 儀表板中，選取新建立的應用程式，然後選取 [ 驗證]。 在 [支援的帳戶類型] 下方，選取 [任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租用戶)]。

    

11. 在 [隱含授與和混合式流程] 底下，選 取 (用於隱含和混合式流程的識別碼權杖) 。

    

12. 在 [ 進階設定] 下，啟用 [允許公用用戶端流程]。

13. 在 Microsoft Purview Studio 中，移至左側功能表中的 [資料對應 ]。 移至 [來源]。

14. 從跨租使用者選取已註冊的 Power BI 來源。

15. 選 取 [+ 新增掃描]。

16. 為您的掃描命名。 然後選取選項以包含或排除個人工作區。

    注意事項

    如果您將掃描的設定切換為包含或排除個人工作區，則會觸發 Power BI 來源的完整掃描。

17. 從下拉式清單中選取 [Azure AutoResolveIntegrationRuntime ]。

    

18. 針對 [ 認證]，選取 [ 委派的驗證]，然後選取 [+ 新增 ] 以建立新的認證。

19. 建立新的認證，並提供下列必要參數：

    • 名稱：提供認證的唯一名稱。

    • 用戶端標識符：使用服務主體用戶端識別碼 (您稍早建立的應用程式識別碼) 。

    • 使用者名稱：提供您稍早建立之 Power BI 系統管理員的使用者名稱。

    • 密碼：選取適當的金鑰保存庫連線，以及稍早儲存 Power BI 帳戶密碼的秘密名稱。

    

20. 在繼續進行後續步驟之前，請選取 [測試聯 機]。

    

    如果測試失敗，請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難排解：

    1. 存取 - 失敗 狀態表示使用者驗證失敗。 驗證使用者名稱和密碼是否正確。 檢閱認證是否包含應用程式註冊的正確用戶端 () 識別碼。
    2. 資產 (+ 歷程) - 失敗 狀態表示 Microsoft Purview 與 Power BI 之間的授權失敗。 請確定使用者已新增至 Power BI 系統管理員角色，並已指派適當的 Power BI 授權。
    3. 增強) (詳細中繼資料 - 失敗 狀態表示 Power BI 管理入口網站已停用下列設定： 使用詳細的中繼資料增強系統管理員 API 回應。

21. 設定掃描觸發程式。 您的選項為 [週期性 ] 或 [ 一次]。

    

22. 在 [檢閱新的掃描] 上，選取 [ 儲存並執行 ] 以啟動掃描。

    

提示

若要針對掃描的任何問題進行疑難排解：

1. 確認您已完成案例 的部署檢查清單。
2. 檢閱我們的 掃描疑難排解檔。

使用自我裝載 IR 搭配服務主體建立跨租使用者掃描

若要使用自我裝載整合執行時間建立並執行新的掃描，請執行下列步驟：

1. 在 Power BI 所在的 Azure AD 租使用者中建立應用程式註冊。 在 重新導向 URI中提供 Web URL。

   

2. 記下應用程式識別碼) (用戶端識別碼。

   

3. 從 Azure AD 儀表板中，選取新建立的應用程式，然後選取 [ 應用程式許可權]。 將下列委派許可權指派給應用程式：

   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

4. 從 Azure AD 儀表板中，選取新建立的應用程式，然後選取 [ 驗證]。 在 [支援的帳戶類型] 下方，選取 [任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租用戶)]。

   

5. 在 [隱含授與和混合式流程] 底下，選 取 (用於隱含和混合式流程的識別碼權杖) 。

   

6. 在 [ 進階設定] 下，啟用 [允許公用用戶端流程]。

7. 在建立 Microsoft Purview 的租使用者中，移至 Azure 金鑰保存庫的實例。

8. 選取> [設定秘密]，然後選取[+ 產生/匯入]。

   

9. 輸入秘密的名稱。 針對 [值]，輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。

10. 在 [憑證 & 秘密] 底下，建立新的秘密，並安全地儲存它以供後續步驟使用。

11. 在Azure 入口網站中，流覽至您的 Azure 金鑰保存庫。

12. 選取> [設定秘密]，然後選取[+ 產生/匯入]。

    

13. 輸入秘密的名稱，並針對 [值]輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。

    

14. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，您必須 建立新的金鑰保存庫連線。

15. 在 Microsoft Purview Studio 中，移至左側功能表中的 [資料對應 ]。 移至 [來源]。

16. 從跨租使用者選取已註冊的 Power BI 來源。

17. 選 取 [+ 新增掃描]。

18. 為您的掃描命名。 然後選取選項以包含或排除個人工作區。

    注意事項

    如果您將掃描的設定切換為包含或排除個人工作區，則會觸發 Power BI 來源的完整掃描。

19. 從下拉式清單中選取自我裝載整合執行時間。

20. 針對 [ 認證]，選取 [服務主體]，然後選取 [+ 新增 ] 以建立新的認證。

21. 建立新的認證，並提供下列必要參數：

    • 名稱：提供認證的唯一名稱
    • 驗證方法：服務主體
    • 租使用者標識符：您的 Power BI 租使用者識別碼
    • 用戶端標識符：在您稍早建立 (應用程式識別碼) 使用服務主體用戶端識別碼

    

22. 在繼續進行後續步驟之前，請選取 [測試聯 機]。

    如果測試失敗，請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難排解：

    1. 存取 - 失敗 狀態表示使用者驗證失敗。 驗證應用程式識別碼和秘密是否正確。 檢閱認證是否包含應用程式註冊的正確用戶端 () 識別碼。
    2. 資產 (+ 歷程) - 失敗 狀態表示 Microsoft Purview 與 Power BI 之間的授權失敗。 請確定使用者已新增至 Power BI 系統管理員角色，並已指派適當的 Power BI 授權。
    3. 增強) (詳細中繼資料 - 失敗 狀態表示 Power BI 管理入口網站已停用下列設定： 使用詳細的中繼資料增強系統管理員 API 回應。

23. 設定掃描觸發程式。 您的選項為 [週期性 ] 或 [ 一次]。

    

24. 在 [檢閱新的掃描] 上，選取 [ 儲存並執行 ] 以啟動掃描。

提示

若要針對掃描的任何問題進行疑難排解：

1. 確認您已完成案例 的部署檢查清單。
2. 檢閱我們的 掃描疑難排解檔。

部署檢查清單

部署檢查清單是設定跨租使用者 Power BI 來源所需的所有步驟摘要。 您可以在安裝期間使用它或進行疑難排解，以確認您已遵循所有必要的連線步驟。

使用 Azure 整合執行時間的公用存取

在公用網路中使用委派驗證掃描跨租使用者 Power BI

1. 請確定在註冊期間已正確輸入 Power BI 租使用者標識符。 根據預設，會填入與 Microsoft Purview 相同的 Azure Active Directory (Azure AD) 實例中的 Power BI 租使用者識別碼。

2. 啟用中繼資料掃描，以確定您的 Power BI 元資料模型是最新的。

3. 從Azure 入口網站，驗證 Microsoft Purview 帳戶網路是否設定為公用存取。

4. 從 Power BI 租使用者管理入口網站，確定 Power BI 租使用者已設定為允許公用網路。

5. 檢查您的 Azure 金鑰保存庫實例，以確定：

   1. 密碼或秘密中沒有錯字。
   2. Microsoft Purview 受控識別具有秘密的 取得 和 清單 存取權。

6. 檢閱您的認證，以驗證：

   1. 用戶端識別碼符合應用程式註冊 的應用程式 (用戶端) 標識 符。
   2. 若為 委派驗證，使用者名稱會包含使用者主體名稱，例如 johndoe@contoso.com 。

7. 在 Power BI Azure AD 租使用者中，驗證下列 Power BI 系統管理員使用者設定：

   1. 系統會將使用者指派給 Power BI 系統管理員角色。
   2. 至少會將一個 Power BI 授權 指派給使用者。
   3. 如果最近建立使用者，請至少與使用者登入一次，以確保密碼已成功重設，且使用者可以成功起始會話。
   4. 使用者沒有強制執行多重要素驗證或條件式存取原則。

8. 在 Power BI Azure AD 租使用者中，驗證下列應用程式註冊設定：

   1. 應用程式註冊存在於 Power BI 租使用者所在的 Azure AD 租使用者中。
   2. 如果使用服務主體，則在 API 許可權下，會為下列 API 指派下列 委派的 許可權並進行讀取：
      • Microsoft Graph openid
      • Microsoft Graph User.Read
   3. 如果使用委派驗證，則在 API許可權下，會針對下列 API 設定下列委 派的權 限並授與租使用者的 管理員同意 ：
      • Power BI 服務租使用者.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read
   4. 在 [ 驗證] 下：
      1. 支援的帳戶類型>已選取任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租使用者) 。
      2. 隱含授與和混合式流程>已選取 (用於隱含和混合式流程) 的標識符權杖。
      3. 已啟用[允許公用用戶端流程]。

9. 在 Power BI 租使用者中，從 Azure Active Directory 租使用者，確定 服務主體是新安全性群組的成員。

10. 在 Power BI 租使用者管理員入口網站上，驗證是否已為新的安全性群組啟用[允許服務主體使用唯讀的 Power BI 系統管理員 API]。

使用自我裝載整合執行時間的公用存取

在公用網路中使用委派驗證掃描跨租使用者 Power BI

1. 請確定在註冊期間已正確輸入 Power BI 租使用者標識符。 根據預設，會填入與 Microsoft Purview 相同的 Azure Active Directory (Azure AD) 實例中的 Power BI 租使用者識別碼。

2. 啟用中繼資料掃描，以確定您的 Power BI 元資料模型是最新的。

3. 從Azure 入口網站，驗證 Microsoft Purview 帳戶 nNetwork 是否設定為公用存取。

4. 從 Power BI 租使用者管理入口網站，確定 Power BI 租使用者已設定為允許公用網路。

5. 檢查您的 Azure 金鑰保存庫實例，以確定：

   1. 密碼中沒有錯字。
   2. Microsoft Purview 受控識別具有秘密的 取得 和 清單 存取權。

6. 檢閱您的認證，以驗證：

   1. 用戶端識別碼符合應用程式註冊 的應用程式 (用戶端) 標識 符。
   2. 使用者名稱包含使用者主體名稱，例如 johndoe@contoso.com 。

7. 在 Power BI Azure AD 租使用者中，驗證下列應用程式註冊設定：

   1. 應用程式註冊存在於 Power BI 租使用者所在的 Azure AD 租使用者中。

   2. 如果使用服務主體，則在 API 許可權下，會為下列 API 指派下列 委派的 許可權並進行讀取：

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. 如果使用委派驗證，則在 API許可權下，會針對下列 API 設定下列委 派的權 限並授與租使用者的 管理員同意 ：

      • Power BI 服務租使用者.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. 在 [ 驗證] 下：

      1. 支援的帳戶類型>已選取任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租使用者) 。
      2. 隱含授與和混合式流程>已選取 (用於隱含和混合式流程) 的標識符權杖。
      3. 已啟用[允許公用用戶端流程]。

8. 如果使用委派驗證，請在 Power BI Azure AD 租使用者中驗證下列 Power BI 系統管理員使用者設定：

   1. 系統會將使用者指派給 Power BI 系統管理員角色。
   2. 至少會將一個 Power BI 授權 指派給使用者。
   3. 如果最近建立使用者，請至少與使用者登入一次，以確保密碼已成功重設，且使用者可以成功起始會話。
   4. 使用者沒有強制執行多重要素驗證或條件式存取原則。

9. 驗證下列自我裝載執行時間設定：

   1. VM 上已安裝最新版 的自我裝載執行時間 。

   2. 已啟用從自我裝載執行時間到 Power BI 租使用者的網路連線。 您必須可從自我裝載執行時間 VM 連線到下列端點：

      • *.powerbi.com
      • *.analysis.windows.net

   3. 已啟用從自我裝載執行時間到 Microsoft 服務的網路連線。

   4. 已安裝 JDK 8 或更新版本 。 在新安裝 JDK 之後重新開機電腦，使其生效。

10. 在 Power BI 租使用者中，從 Azure Active Directory 租使用者，確定 服務主體是新安全性群組的成員。

11. 在 Power BI 租使用者管理員入口網站上，驗證是否已為新的安全性群組啟用[允許服務主體使用唯讀的 Power BI 系統管理員 API]。

後續步驟

現在您已註冊來源，請參閱下列指南以深入瞭解 Microsoft Purview 和您的資料。

• Microsoft Purview 中的資料資產深入解析
• Microsoft Purview 中的譜系
• 搜尋資料目錄