Herstellen einer Verbindung mit und Verwalten eines Power BI-Mandanten in Microsoft Purview (mandantenübergreifend)

In diesem Artikel wird beschrieben, wie Sie einen Power BI-Mandanten in einem mandantenübergreifenden Szenario registrieren und wie Sie den Mandanten in Microsoft Purview authentifizieren und mit diesem interagieren. Wenn Sie mit dem Dienst nicht vertraut sind, lesen Sie Weitere Informationen zu Microsoft Purview.

Hinweis

Informationen zum Überprüfen eines Microsoft Fabric-Mandanten finden Sie in unserer Microsoft Fabric-Dokumentation.

Unterstützte Funktionen

Metadatenextraktion	Vollständiger Scan	Inkrementelle Überprüfung	Bereichsbezogene Überprüfung	Klassifizierung	Bezeichnen	Zugriffsrichtlinie	Herkunft	Datenfreigabe	Live-Ansicht
Ja	Ja	Ja	Ja	Nein	Nein	Nein	Ja	Nein	Nein

* Power BI-Elemente in einem Microsoft Fabric-Mandanten sind über die Liveansicht verfügbar.

Beim Überprüfen der Power BI-Quelle unterstützt Microsoft Purview Folgendes:

• Extrahieren von technischen Metadaten, einschließlich:

  • Arbeitsbereiche
  • Dashboards
  • Berichte
  • Datasets einschließlich der Tabellen und Spalten
  • Dataflows
  • Datamarts

• Abrufen der statischen Herkunft für Ressourcenbeziehungen zwischen den oben genannten Power BI-Artefakten und externen Datenquellenressourcen. Weitere Informationen finden Sie unter Power BI-Herkunft.

Unterstützte Szenarien für Power BI-Überprüfungen

Szenario	Öffentlicher Microsoft Purview-Zugriff	Öffentlicher Power BI-Zugriff	Laufzeitoption	Authentifizierungsoption	Checkliste für die Bereitstellung
Öffentlicher Zugriff mit Azure Integration Runtime	Allowed	Allowed	Azure-Runtime	Delegierte Authentifizierung/Dienstprinzipal	Checkliste für die Bereitstellung
Öffentlicher Zugriff mit selbstgehostetem Integration Runtime	Allowed	Allowed	Selbstgehostete Runtime	Delegierte Authentifizierung/Dienstprinzipal	Checkliste für die Bereitstellung
Privater Zugriff	Verweigert	Allowed	Verwaltete VNet IR (nur v2)	Delegierte Authentifizierung/Dienstprinzipal	Überprüfen der Bereitstellungsprüfliste
Privater Zugriff	Allowed	Verweigert	Selbstgehostete Runtime	Delegierte Authentifizierung/Dienstprinzipal	Checkliste für die Bereitstellung
Privater Zugriff	Verweigert	Allowed	Selbstgehostete Runtime	Delegierte Authentifizierung/Dienstprinzipal	Checkliste für die Bereitstellung
Privater Zugriff	Verweigert	Verweigert	Selbstgehostete Runtime	Delegierte Authentifizierung/Dienstprinzipal	Checkliste für die Bereitstellung

Bekannte Einschränkungen

• Wenn der Power BI-Mandant hinter einem privaten Endpunkt geschützt ist, sind standard- oder kubernetes-unterstützte selbstgehostete Runtimes die einzigen Optionen, die überprüft werden können.
• Für das mandantenübergreifende Szenario sind delegierte Authentifizierung und Dienstprinzipal die einzigen unterstützten Authentifizierungsoptionen für die Überprüfung.
• Wenn das Power BI-Datasetschema nach der Überprüfung nicht angezeigt wird, liegt dies an einer der aktuellen Einschränkungen beim Power BI-Metadatenscanner.
• Leere Arbeitsbereiche werden übersprungen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Ein aktives Microsoft Purview-Konto.

Registrieren des Power BI-Mandanten

1. Wählen Sie in den Optionen auf der linken Seite Data Map aus.

2. Wählen Sie Registrieren und dann Fabric als Datenquelle aus. Sie enthält Power BI-Quellen und -Ressourcen.

   

3. Geben Sie ihrer Datenquelle einen Anzeigenamen. Der Name muss 3 bis 63 Zeichen lang sein und darf nur Buchstaben, Zahlen, Unterstriche und Bindestriche enthalten. Leerzeichen sind nicht zulässig.

4. Bearbeiten Sie das Feld Mandanten-ID , um durch den Mandanten für die mandantenübergreifende Power BI-Instanz zu ersetzen, die Sie registrieren und überprüfen möchten. Standardmäßig wird die Mandanten-ID von Microsoft Purview aufgefüllt.

   

5. Wählen Sie Registrieren aus.

Authentifizieren beim Power BI-Mandanten

In Microsoft Entra Mandanten, in dem sich der Power BI-Mandant befindet:

1. Suchen Sie im Azure-Portal nach Microsoft Entra ID.

2. Erstellen Sie eine neue Sicherheitsgruppe in Ihrem Microsoft Entra ID, indem Sie erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern mithilfe von Microsoft Entra ID folgen.

   Tipp

   Sie können diesen Schritt überspringen, wenn Sie bereits über eine Sicherheitsgruppe verfügen, die Sie verwenden möchten.

3. Wählen Sie Sicherheit als Gruppentyp aus.

   

4. Wählen Sie Mitglieder und dann + Mitglieder hinzufügen aus.

5. Suchen Sie nach Ihrer verwalteten Microsoft Purview-Identität oder Ihrem Dienstprinzipal, und wählen Sie sie aus.

   

   Es sollte eine Erfolgsbenachrichtigung angezeigt werden, die anzeigt, dass sie hinzugefügt wurde.

   

Zuordnen der Sicherheitsgruppe zum Power BI-Mandanten

1. Melden Sie sich beim Power BI-Verwaltungsportal an.

2. Wählen Sie die Seite Mandanteneinstellungen aus.

   Wichtig

   Sie müssen ein Power BI-Admin sein, um die Seite mit den Mandanteneinstellungen anzuzeigen.

3. Wählen Sie Admin API-Einstellungen>Dienstprinzipale die Verwendung schreibgeschützter Power BI-Administrator-APIs (Vorschau) erlauben aus.

4. Wählen Sie Bestimmte Sicherheitsgruppen aus.

   

5. Wählen Sie Admin API-Einstellungen>Administrator-APIs-Antworten mit detaillierten Metadaten verbessern und Admin-APIs-Antworten mit DAX- und Mashupausdrücken> verbessern Aktivieren Sie die Umschaltfläche, damit Microsoft Purview Data Map die detaillierten Metadaten von Power BI-Datasets im Rahmen der Überprüfungen automatisch ermitteln können.

   Wichtig

   Nachdem Sie die Admin API-Einstellungen auf Ihrem Power Bi-Mandanten aktualisiert haben, warten Sie etwa 15 Minuten, bevor Sie eine Überprüfungs- und Testverbindung registrieren.

   

   Achtung

   Wenn Sie der von Ihnen erstellten Sicherheitsgruppe (die Über Ihre verwaltete Microsoft Purview-Identität als Mitglied verfügt) die Verwendung schreibgeschützter Power BI-Administrator-APIs gestatten, gewähren Sie ihr auch den Zugriff auf die Metadaten (z. B. Dashboard- und Berichtsnamen, Besitzer, Beschreibungen usw.) für alle Power BI-Artefakte in diesem Mandanten. Nachdem die Metadaten in Microsoft Purview abgerufen wurden, bestimmen die Berechtigungen von Microsoft Purview und nicht die Power BI-Berechtigungen, wer diese Metadaten sehen kann.

   Hinweis

   Sie können die Sicherheitsgruppe aus Ihren Entwicklereinstellungen entfernen, aber die zuvor extrahierten Metadaten werden nicht aus dem Microsoft Purview-Konto entfernt. Sie können es separat löschen, wenn Sie möchten.

Überprüfen von mandantenübergreifendem Power BI

Delegierte Authentifizierung und Dienstprinzipale sind die einzigen unterstützten Optionen für mandantenübergreifende Überprüfungen. Sie können die Überprüfung mit einer der folgenden Optionen durchführen:

• Azure Integration Runtime
• Eine selbstgehostete Integration Runtime

Erstellen einer Überprüfung für mandantenübergreifende Verwendung von Azure IR mit delegierter Authentifizierung

Führen Sie die folgenden Schritte aus, um eine neue Überprüfung mithilfe der Azure-Runtime zu erstellen und auszuführen:

1. Erstellen Sie ein Benutzerkonto im Microsoft Entra Mandanten, in dem sich der Power BI-Mandant befindet, und weisen Sie den Benutzer dieser Rolle zu: Fabric-Administrator. Notieren Sie sich den Benutzernamen, und melden Sie sich an, um das Kennwort zu ändern.

2. Weisen Sie dem Benutzer die richtige Power BI-Lizenz zu.

3. Wechseln Sie zum instance von Azure Key Vault in dem Mandanten, in dem Microsoft Purview erstellt wird.

4. Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.

   

5. Geben Sie einen Namen für das Geheimnis ein. Geben Sie unter Wert das neu erstellte Kennwort für den Microsoft Entra Benutzer ein. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.

   

6. Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, müssen Sie eine neue Key Vault-Verbindung erstellen.

7. Erstellen Sie eine App-Registrierung in Ihrem Microsoft Entra Mandanten, in dem sich Power BI befindet. Geben Sie eine Web-URL im Umleitungs-URI an.

   

8. Notieren Sie sich die Client-ID (App-ID).

   

9. Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann App-Berechtigungen aus. Weisen Sie der Anwendung die folgenden delegierten Berechtigungen zu, und erteilen Sie dem Mandanten die Administratoreinwilligung:

   • Power BI-Dienstmandant.Read.All
   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

10. Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann Authentifizierung aus. Wählen Sie unter Unterstützte Kontotypendie Option Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) aus.

    

11. Wählen Sie unter Implizite Genehmigung und Hybridflowsdie Option ID-Token (für implizite und hybride Flows verwendet) aus.

    

12. Aktivieren Sie unter Erweiterte Einstellungendie Option Öffentliche Clientflows zulassen.

13. Navigieren Sie in Microsoft Purview Studio im linken Menü zur Datenzuordnung . Wechseln Sie zu Quellen.

14. Wählen Sie die registrierte Power BI-Quelle aus mandantenübergreifend aus.

15. Wählen Sie + Neuer Scan aus.

16. Geben Sie Ihrem Scan einen Namen. Wählen Sie dann die Option zum Einschließen oder Ausschließen der persönlichen Arbeitsbereiche aus.

    Hinweis

    Wenn Sie die Konfiguration einer Überprüfung so ändern, dass ein persönlicher Arbeitsbereich eingeschlossen oder ausgeschlossen wird, lösen Sie eine vollständige Überprüfung der Power BI-Quelle aus.

17. Wählen Sie in der Dropdownliste Azure AutoResolveIntegrationRuntime aus.

    

18. Wählen Sie unter Anmeldeinformationen die Option Delegierte Authentifizierung und dann + Neu aus, um neue Anmeldeinformationen zu erstellen.

19. Erstellen Sie neue Anmeldeinformationen, und geben Sie die folgenden erforderlichen Parameter an:

    • Name: Geben Sie einen eindeutigen Namen für die Anmeldeinformationen an.

    • Client-ID: Verwenden Sie die Dienstprinzipalclient-ID (App-ID), die Sie zuvor erstellt haben.

    • Benutzername: Geben Sie den Benutzernamen des Fabric-Administrators an, den Sie zuvor erstellt haben.

    • Kennwort: Wählen Sie die entsprechende Key Vault Verbindung und den Geheimen Namen aus, in dem das Kennwort des Power BI-Kontos zuvor gespeichert wurde.

    

20. Wählen Sie Verbindung testen aus, bevor Sie mit den nächsten Schritten fortfahren.

    

    Wenn der Test fehlschlägt, wählen Sie Bericht anzeigen aus, um die detaillierte status anzuzeigen und das Problem zu beheben:

    1. Zugriff: Fehler status bedeutet, dass bei der Benutzerauthentifizierung ein Fehler aufgetreten ist. Überprüfen Sie, ob Benutzername und Kennwort korrekt sind. Überprüfen Sie, ob die Anmeldeinformationen die richtige Client-ID (App) aus der App-Registrierung enthalten.
    2. Ressourcen (+ Herkunft): Fehler status bedeutet, dass die Autorisierung zwischen Microsoft Purview und Power BI fehlgeschlagen ist. Stellen Sie sicher, dass der Benutzer der Rolle "Fabric-Administrator" (ehemalige Power BI-Administratorrolle) hinzugefügt wird und über die entsprechende Power BI-Lizenz verfügt.
    3. Detaillierte Metadaten (erweitert): Fehler status bedeutet, dass das Power BI-Verwaltungsportal für die folgende Einstellung deaktiviert ist: Verbessern von Administrator-APIs-Antworten mit detaillierten Metadaten.

21. Richten Sie einen Scantrigger ein. Ihre Optionen sind "Recurring" oder "Once".

    

22. Wählen Sie unter Neue Überprüfung überprüfendie Option Speichern und ausführen aus, um die Überprüfung zu starten.

    

Tipp

So beheben Sie Probleme mit der Überprüfung:

1. Vergewissern Sie sich, dass Sie die Bereitstellungsprüfliste für Ihr Szenario abgeschlossen haben.
2. Lesen Sie unsere Dokumentation zur Problembehandlung bei Der Überprüfung.

Erstellen einer mandantenübergreifenden Überprüfung mithilfe der selbstgehosteten IR mit Dienstprinzipal

Führen Sie die folgenden Schritte aus, um eine neue Überprüfung mithilfe der selbstgehosteten Integration Runtime zu erstellen und auszuführen:

1. Erstellen Sie eine App-Registrierung in Ihrem Microsoft Entra Mandanten, in dem sich Power BI befindet. Geben Sie eine Web-URL im Umleitungs-URI an.

   

2. Notieren Sie sich die Client-ID (App-ID).

   

3. Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann App-Berechtigungen aus. Weisen Sie der Anwendung die folgenden delegierten Berechtigungen zu:

   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

4. Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann Authentifizierung aus. Wählen Sie unter Unterstützte Kontotypendie Option Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) aus.

   

5. Wählen Sie unter Implizite Genehmigung und Hybridflowsdie Option ID-Token (für implizite und hybride Flows verwendet) aus.

   

6. Aktivieren Sie unter Erweiterte Einstellungendie Option Öffentliche Clientflows zulassen.

7. Navigieren Sie in dem Mandanten, in dem Microsoft Purview erstellt wird, zum instance von Azure Key Vault.

8. Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.

   

9. Geben Sie einen Namen für das Geheimnis ein. Geben Sie unter Wert das neu erstellte Geheimnis für die App-Registrierung ein. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.

10. Erstellen Sie unter Zertifikate & Geheimnisse ein neues Geheimnis, und speichern Sie es sicher für die nächsten Schritte.

11. Navigieren Sie Azure-Portal zu Ihrem Azure-Schlüsseltresor.

12. Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.

    

13. Geben Sie einen Namen für das Geheimnis und unter Wert das neu erstellte Geheimnis für die App-Registrierung ein. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.

    

14. Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, müssen Sie eine neue Key Vault-Verbindung erstellen.

15. Navigieren Sie in Microsoft Purview Studio im linken Menü zur Datenzuordnung . Wechseln Sie zu Quellen.

16. Wählen Sie die registrierte Power BI-Quelle aus mandantenübergreifend aus.

17. Wählen Sie + Neuer Scan aus.

18. Geben Sie Ihrem Scan einen Namen. Wählen Sie dann die Option zum Einschließen oder Ausschließen der persönlichen Arbeitsbereiche aus.

    Hinweis

    Wenn Sie die Konfiguration einer Überprüfung so ändern, dass ein persönlicher Arbeitsbereich eingeschlossen oder ausgeschlossen wird, lösen Sie eine vollständige Überprüfung der Power BI-Quelle aus.

19. Wählen Sie in der Dropdownliste Ihre selbstgehostete Integration Runtime aus.

20. Wählen Sie unter Anmeldeinformationendie Option Dienstprinzipal und dann + Neu aus, um neue Anmeldeinformationen zu erstellen.

21. Erstellen Sie neue Anmeldeinformationen, und geben Sie die folgenden erforderlichen Parameter an:

    • Name: Geben Sie einen eindeutigen Namen für Anmeldeinformationen an.
    • Authentifizierungsmethode: Dienstprinzipal
    • Mandanten-ID: Ihre Power BI-Mandanten-ID
    • Client-ID: Verwenden Sie die zuvor erstellte Dienstprinzipalclient-ID (App-ID).

    

22. Wählen Sie Verbindung testen aus, bevor Sie mit den nächsten Schritten fortfahren.

    Wenn der Test fehlschlägt, wählen Sie Bericht anzeigen aus, um die detaillierte status anzuzeigen und das Problem zu beheben:

    1. Zugriff: Fehler status bedeutet, dass bei der Benutzerauthentifizierung ein Fehler aufgetreten ist. Überprüfen Sie, ob die App-ID und das Geheimnis korrekt sind. Überprüfen Sie, ob die Anmeldeinformationen die richtige Client-ID (App) aus der App-Registrierung enthalten.
    2. Ressourcen (+ Herkunft): Fehler status bedeutet, dass die Autorisierung zwischen Microsoft Purview und Power BI fehlgeschlagen ist. Stellen Sie sicher, dass der Benutzer der Rolle "Fabric-Administrator" (ehemalige Power BI-Administratorrolle) hinzugefügt wird und über die entsprechende Power BI-Lizenz verfügt.
    3. Detaillierte Metadaten (erweitert): Fehler status bedeutet, dass das Power BI-Verwaltungsportal für die folgende Einstellung deaktiviert ist: Verbessern von Administrator-APIs-Antworten mit detaillierten Metadaten.

23. Richten Sie einen Scantrigger ein. Ihre Optionen sind "Recurring" oder "Once".

    

24. Wählen Sie unter Neue Überprüfung überprüfendie Option Speichern und ausführen aus, um die Überprüfung zu starten.

Tipp

So beheben Sie Probleme mit der Überprüfung:

1. Vergewissern Sie sich, dass Sie die Bereitstellungsprüfliste für Ihr Szenario abgeschlossen haben.
2. Lesen Sie unsere Dokumentation zur Problembehandlung bei Der Überprüfung.

Checkliste für die Bereitstellung

Die Bereitstellungsprüfliste enthält eine Zusammenfassung aller Schritte, die Sie zum Einrichten einer mandantenübergreifenden Power BI-Quelle ausführen müssen. Sie können es während des Setups oder für die Problembehandlung verwenden, um zu bestätigen, dass Sie alle erforderlichen Schritte zum Herstellen einer Verbindung ausgeführt haben.

Öffentlicher Zugriff mit Azure IR

Überprüfen von mandantenübergreifendem Power BI mithilfe der delegierten Authentifizierung in einem öffentlichen Netzwerk

1. Stellen Sie sicher, dass die Power BI-Mandanten-ID während der Registrierung richtig eingegeben wurde. Standardmäßig wird die Power BI-Mandanten-ID, die im gleichen Microsoft Entra instance wie Microsoft Purview vorhanden ist, aufgefüllt.

2. Stellen Sie sicher, dass Ihr Power BI-Metadatenmodell auf dem neuesten Stand ist, indem Sie die Metadatenüberprüfung aktivieren.

3. Überprüfen Sie im Azure-Portal, ob das Microsoft Purview-Kontonetzwerk auf öffentlichen Zugriff festgelegt ist.

4. Stellen Sie im Power BI-Mandantenverwaltungsportal sicher, dass der Power BI-Mandant so konfiguriert ist, dass ein öffentliches Netzwerk zugelassen wird.

5. Überprüfen Sie Ihre instance von Azure Key Vault, um Folgendes sicherzustellen:

   1. Das Kennwort oder geheimnis enthält keine Tippfehler.
   2. Die verwaltete Microsoft Purview-Identität verfügt über Zugriff auf Geheimnisse und Listen .

6. Überprüfen Sie Ihre Anmeldeinformationen, um folgendes zu überprüfen:

   1. Die Client-ID entspricht der Anwendungs-ID (Client) der App-Registrierung.
   2. Bei delegierter Authentifizierung enthält der Benutzername den Benutzerprinzipalnamen, z johndoe@contoso.com. B. .

7. Überprüfen Sie im Power BI-Microsoft Entra-Mandanten die folgenden Power BI-Administratorbenutzereinstellungen:

   1. Der Benutzer wird der Rolle "Fabric-Administrator" (ehemalige Rolle "Power BI-Administrator") zugewiesen.
   2. Dem Benutzer wird mindestens eine Power BI-Lizenz zugewiesen.
   3. Wenn der Benutzer kürzlich erstellt wurde, melden Sie sich mindestens einmal mit dem Benutzer an, um sicherzustellen, dass das Kennwort erfolgreich zurückgesetzt wurde und der Benutzer die Sitzung erfolgreich initiieren kann.
   4. Es werden keine Richtlinien für mehrstufige Authentifizierung oder bedingten Zugriff für den Benutzer erzwungen.

8. Überprüfen Sie im Power BI-Microsoft Entra-Mandanten die folgenden App-Registrierungseinstellungen:

   1. Die App-Registrierung ist in Ihrem Microsoft Entra Mandanten vorhanden, in dem sich der Power BI-Mandant befindet.
   2. Wenn dienstprinzipal verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen mit Lesezugriff für die folgenden APIs zugewiesen:
      • Microsoft Graph openid
      • Microsoft Graph User.Read
   3. Wenn delegierte Authentifizierung verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen und das Erteilen der Administratoreinwilligung für den Mandanten mit lesen für die folgenden APIs eingerichtet:
      • Power BI-Dienstmandant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read
   4. Unter Authentifizierung:
      1. Unterstützte Kontotypen>Konten in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) ist ausgewählt.
      2. Implizite Genehmigung und Hybridflows>ID-Token (die für implizite und hybride Flows verwendet werden) ist ausgewählt.
      3. Öffentliche Clientflows zulassen ist aktiviert.

9. Stellen Sie im Power BI-Mandanten aus Microsoft Entra Mandanten sicher, dass der Dienstprinzipal Mitglied der neuen Sicherheitsgruppe ist.

10. Überprüfen Sie im Power BI-Mandantenportal Admin, ob Dienstprinzipale die Verwendung schreibgeschützter Power BI-Administrator-APIs zulassen für die neue Sicherheitsgruppe aktiviert ist.

Öffentlicher Zugriff mit selbstgehosteter IR

Überprüfen von mandantenübergreifendem Power BI mithilfe der delegierten Authentifizierung in einem öffentlichen Netzwerk

1. Stellen Sie sicher, dass die Power BI-Mandanten-ID während der Registrierung richtig eingegeben wurde. Standardmäßig wird die Power BI-Mandanten-ID, die im gleichen Microsoft Entra instance wie Microsoft Purview vorhanden ist, aufgefüllt.

2. Stellen Sie sicher, dass Ihr Power BI-Metadatenmodell auf dem neuesten Stand ist, indem Sie die Metadatenüberprüfung aktivieren.

3. Überprüfen Sie im Azure-Portal, ob das Microsoft Purview-Konto Network auf öffentlichen Zugriff festgelegt ist.

4. Stellen Sie im Power BI-Mandantenverwaltungsportal sicher, dass der Power BI-Mandant so konfiguriert ist, dass ein öffentliches Netzwerk zugelassen wird.

5. Überprüfen Sie Ihre instance von Azure Key Vault, um Folgendes sicherzustellen:

   1. Das Kennwort enthält keine Tippfehler.
   2. Die verwaltete Microsoft Purview-Identität verfügt über Zugriff auf Geheimnisse und Listen .

6. Überprüfen Sie Ihre Anmeldeinformationen, um folgendes zu überprüfen:

   1. Die Client-ID entspricht der Anwendungs-ID (Client) der App-Registrierung.
   2. Benutzername enthält den Benutzerprinzipalnamen, z johndoe@contoso.com. B. .

7. Überprüfen Sie im Power BI-Microsoft Entra-Mandanten die folgenden App-Registrierungseinstellungen:

   1. Die App-Registrierung ist in Ihrem Microsoft Entra Mandanten vorhanden, in dem sich der Power BI-Mandant befindet.

   2. Wenn dienstprinzipal verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen mit Lesezugriff für die folgenden APIs zugewiesen:

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. Wenn delegierte Authentifizierung verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen und das Erteilen der Administratoreinwilligung für den Mandanten mit lesen für die folgenden APIs eingerichtet:

      • Power BI-Dienstmandant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. Unter Authentifizierung:

      1. Unterstützte Kontotypen>Konten in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) ist ausgewählt.
      2. Implizite Genehmigung und Hybridflows>ID-Token (die für implizite und hybride Flows verwendet werden) ist ausgewählt.
      3. Öffentliche Clientflows zulassen ist aktiviert.

8. Wenn die delegierte Authentifizierung verwendet wird, überprüfen Sie im Power BI Microsoft Entra Mandanten die folgenden Power BI-Administratorbenutzereinstellungen:

   1. Der Benutzer wird der Rolle "Fabric-Administrator" (ehemalige Rolle "Power BI-Administrator") zugewiesen.
   2. Dem Benutzer wird mindestens eine Power BI-Lizenz zugewiesen.
   3. Wenn der Benutzer kürzlich erstellt wurde, melden Sie sich mindestens einmal mit dem Benutzer an, um sicherzustellen, dass das Kennwort erfolgreich zurückgesetzt wurde und der Benutzer die Sitzung erfolgreich initiieren kann.
   4. Es werden keine Richtlinien für mehrstufige Authentifizierung oder bedingten Zugriff für den Benutzer erzwungen.

9. Überprüfen Sie die folgenden Einstellungen für die selbstgehostete Laufzeit:

   1. Die neueste Version der selbstgehosteten Runtime wird auf dem virtuellen Computer installiert.

   2. Die Netzwerkkonnektivität von der selbstgehosteten Runtime zum Power BI-Mandanten ist aktiviert. Die folgenden Endpunkte müssen von einer selbstgehosteten Laufzeit-VM aus erreichbar sein:

      • *.powerbi.com
      • *.analysis.windows.net

   3. Die Netzwerkkonnektivität von der selbstgehosteten Runtime mit Microsoft-Diensten ist aktiviert.

   4. JDK 8 oder höher ist installiert. Starten Sie den Computer neu, nachdem Sie das JDK neu installiert haben, damit es wirksam wird.

10. Stellen Sie im Power BI-Mandanten aus Microsoft Entra Mandanten sicher, dass der Dienstprinzipal Mitglied der neuen Sicherheitsgruppe ist.

11. Überprüfen Sie im Power BI-Mandantenportal Admin, ob Dienstprinzipale die Verwendung schreibgeschützter Power BI-Administrator-APIs zulassen für die neue Sicherheitsgruppe aktiviert ist.

Privater Zugriff mit verwalteter VNet-IR (nur v2)

Überprüfen von mandantenübergreifendem Power BI mithilfe der verwalteten VNet IR (nur v2) mit delegierter Authentifizierung oder Dienstprinzipal in einem privaten Netzwerk

1. Stellen Sie sicher, dass die Power BI-Mandanten-ID während der Registrierung richtig eingegeben wurde.

2. Stellen Sie sicher, dass Ihr Power BI-Metadatenmodell auf dem neuesten Stand ist, indem Sie die Metadatenüberprüfung aktivieren.

3. Überprüfen Sie Ihre instance von Azure Key Vault, um Folgendes sicherzustellen:

   1. Das Kennwort enthält keine Tippfehler.
   2. Die verwaltete Microsoft Purview-Identität verfügt über Zugriff auf Geheimnisse und Listen .

4. Überprüfen Sie Ihre Anmeldeinformationen, um folgendes zu überprüfen:

   1. Die Client-ID entspricht der Anwendungs-ID (Client) der App-Registrierung.
   2. Benutzername enthält den Benutzerprinzipalnamen, z johndoe@contoso.com. B. .

5. Überprüfen Sie im Power BI-Mandanten die folgenden App-Registrierungseinstellungen:

   1. Die App-Registrierung ist in Ihrem Mandanten vorhanden, in dem sich der Power BI-Mandant befindet.

   2. Wenn dienstprinzipal verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen mit Lesezugriff für die folgenden APIs zugewiesen:

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. Wenn delegierte Authentifizierung verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen und das Erteilen der Administratoreinwilligung für den Mandanten mit lesen für die folgenden APIs eingerichtet:

      • Power BI-Dienstmandant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. Unter Authentifizierung:

      1. Unterstützte Kontotypen>Konten in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) ist ausgewählt.
      2. Implizite Genehmigung und Hybridflows>ID-Token (die für implizite und hybride Flows verwendet werden) ist ausgewählt.
      3. Öffentliche Clientflows zulassen ist aktiviert.

6. Wenn die delegierte Authentifizierung verwendet wird, überprüfen Sie im Power BI Microsoft Entra Mandanten die folgenden Power BI-Administratorbenutzereinstellungen:

   1. Der Benutzer wird der Rolle "Fabric-Administrator" (ehemalige Rolle "Power BI-Administrator") zugewiesen.
   2. Dem Benutzer wird mindestens eine Power BI-Lizenz zugewiesen.
   3. Wenn der Benutzer kürzlich erstellt wurde, melden Sie sich mindestens einmal mit dem Benutzer an, um sicherzustellen, dass das Kennwort erfolgreich zurückgesetzt wurde und der Benutzer die Sitzung erfolgreich initiieren kann.
   4. Es werden keine Richtlinien für mehrstufige Authentifizierung oder bedingten Zugriff für den Benutzer erzwungen.

7. Stellen Sie im Azure Active Directory-Mandanten sicher, dass der Dienstprinzipal Mitglied der neuen Sicherheitsgruppe ist.

8. Überprüfen Sie im Power BI-Mandantenportal Admin, ob Dienstprinzipale die Verwendung schreibgeschützter Power BI-Administrator-APIs zulassen für die neue Sicherheitsgruppe aktiviert ist.

Privater Zugriff

Überprüfen von mandantenübergreifendem Power BI mithilfe der selbstgehosteten IR mit delegierter Authentifizierung oder dienstprinzipal in einem privaten Netzwerk

1. Stellen Sie sicher, dass die Power BI-Mandanten-ID während der Registrierung richtig eingegeben wurde.

2. Stellen Sie sicher, dass Ihr Power BI-Metadatenmodell auf dem neuesten Stand ist, indem Sie die Metadatenüberprüfung aktivieren.

3. Überprüfen Sie Ihre instance von Azure Key Vault, um Folgendes sicherzustellen:

   1. Das Kennwort enthält keine Tippfehler.
   2. Die verwaltete Microsoft Purview-Identität verfügt über Zugriff auf Geheimnisse und Listen .

4. Überprüfen Sie Ihre Anmeldeinformationen, um folgendes zu überprüfen:

   1. Die Client-ID entspricht der Anwendungs-ID (Client) der App-Registrierung.
   2. Benutzername enthält den Benutzerprinzipalnamen, z johndoe@contoso.com. B. .

5. Überprüfen Sie im Power BI-Mandanten die folgenden App-Registrierungseinstellungen:

   1. Die App-Registrierung ist in Ihrem Mandanten vorhanden, in dem sich der Power BI-Mandant befindet.

   2. Wenn dienstprinzipal verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen mit Lesezugriff für die folgenden APIs zugewiesen:

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. Wenn delegierte Authentifizierung verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen und das Erteilen der Administratoreinwilligung für den Mandanten mit lesen für die folgenden APIs eingerichtet:

      • Power BI-Dienstmandant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. Unter Authentifizierung:

      1. Unterstützte Kontotypen>Konten in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) ist ausgewählt.
      2. Implizite Genehmigung und Hybridflows>ID-Token (die für implizite und hybride Flows verwendet werden) ist ausgewählt.
      3. Öffentliche Clientflows zulassen ist aktiviert.

6. Wenn die delegierte Authentifizierung verwendet wird, überprüfen Sie im Power BI Microsoft Entra Mandanten die folgenden Power BI-Administratorbenutzereinstellungen:

   1. Der Benutzer wird der Rolle "Fabric-Administrator" (ehemalige Rolle "Power BI-Administrator") zugewiesen.
   2. Dem Benutzer wird mindestens eine Power BI-Lizenz zugewiesen.
   3. Wenn der Benutzer kürzlich erstellt wurde, melden Sie sich mindestens einmal mit dem Benutzer an, um sicherzustellen, dass das Kennwort erfolgreich zurückgesetzt wurde und der Benutzer die Sitzung erfolgreich initiieren kann.
   4. Es werden keine Richtlinien für mehrstufige Authentifizierung oder bedingten Zugriff für den Benutzer erzwungen.

7. Überprüfen der Einstellungen für die selbstgehostete Laufzeit:

   1. Die neueste Version einer selbstgehosteten Runtime ist auf dem virtuellen Computer installiert.
   2. JDK 8 oder höher ist installiert. Starten Sie den Computer neu, nachdem Sie das JDK neu installiert haben, damit es wirksam wird.

8. Überprüfen Sie die Netzwerkkonfiguration, und überprüfen Sie, ob:

   1. Wenn Ihr Power BI keinen öffentlichen Zugriff zulässt, stellen Sie sicher, dass der private Endpunkt für den Power BI-Mandanten bereitgestellt ist.

   2. Alle erforderlichen privaten Endpunkte für Microsoft Purview werden bereitgestellt.

   3. Die Netzwerkkonnektivität von der selbstgehosteten Runtime zum Power BI-Mandanten ist aktiviert. Die folgenden Endpunkte müssen von einer selbstgehosteten Laufzeit-VM aus erreichbar sein:

      • *.powerbi.com
      • *.analysis.windows.net

   4. Die Netzwerkkonnektivität von der selbstgehosteten Runtime mit Microsoft-Diensten ist aktiviert.

9. Stellen Sie im Azure Active Directory-Mandanten sicher, dass der Dienstprinzipal Mitglied der neuen Sicherheitsgruppe ist.

10. Überprüfen Sie im Power BI-Mandantenportal Admin, ob Dienstprinzipale die Verwendung schreibgeschützter Power BI-Administrator-APIs zulassen für die neue Sicherheitsgruppe aktiviert ist.

Nächste Schritte

Nachdem Sie Ihre Quelle registriert haben, lesen Sie die folgenden Leitfäden, um mehr über Microsoft Purview und Ihre Daten zu erfahren.

• Datenbestandserkenntnisse in Microsoft Purview
• Herkunft in Microsoft Purview
• Unified Catalog suchen