Condividi tramite


Connettersi e gestire un tenant di Power BI in Microsoft Purview (tra tenant)

Questo articolo illustra come registrare un tenant di Power BI in uno scenario tra tenant e come autenticare e interagire con il tenant in Microsoft Purview. Se non si ha familiarità con il servizio, vedere Informazioni su Microsoft Purview.

Nota

Per analizzare un tenant di Microsoft Fabric, vedere la documentazione di Microsoft Fabric.

Funzionalità supportate

Estrazione dei metadati Analisi completa Analisi incrementale Analisi con ambito Classificazione Applicazione di etichette Criteri di accesso Derivazione Condivisione dati Visualizzazione in diretta
No No No No No

* Gli elementi di Power BI in un tenant di Microsoft Fabric sono disponibili tramite la visualizzazione dinamica.

Durante l'analisi dell'origine Power BI, Microsoft Purview supporta:

  • Estrazione di metadati tecnici, tra cui:

    • Aree di lavoro
    • Dashboard
    • Report
    • Set di dati che includono tabelle e colonne
    • Flussi di dati
    • Datamarts
  • Recupero della derivazione statica sulle relazioni degli asset tra gli artefatti di Power BI precedenti e gli asset di origine dati esterni. Altre informazioni sulla derivazione di Power BI.

Scenari supportati per le analisi di Power BI

Scenario Accesso pubblico di Microsoft Purview Accesso pubblico di Power BI Opzione di runtime Opzione di autenticazione Elenco di controllo per la distribuzione
Accesso pubblico con il runtime di integrazione di Azure Consentito Consentito Runtime di Azure Autenticazione delegata/entità servizio Elenco di controllo per la distribuzione
Accesso pubblico con runtime di integrazione self-hosted Consentito Consentito Runtime self-hosted Autenticazione delegata/entità servizio Elenco di controllo per la distribuzione
Accesso privato Negato Consentito Runtime di integrazione rete virtuale gestita (solo v2) Autenticazione delegata/entità servizio Esaminare l'elenco di controllo per la distribuzione
Accesso privato Consentito Negato Runtime self-hosted Autenticazione delegata/entità servizio Elenco di controllo per la distribuzione
Accesso privato Negato Consentito Runtime self-hosted Autenticazione delegata/entità servizio Elenco di controllo per la distribuzione
Accesso privato Negato Negato Runtime self-hosted Autenticazione delegata/entità servizio Elenco di controllo per la distribuzione

Limitazioni note

  • Se il tenant di Power BI è protetto da un endpoint privato, i runtime self-hosted supportati da standard o kubernetes sono le uniche opzioni da analizzare.
  • Per lo scenario tra tenant, l'autenticazione delegata e l'entità servizio sono le uniche opzioni di autenticazione supportate per l'analisi.
  • Se lo schema del set di dati di Power BI non viene visualizzato dopo l'analisi, è dovuto a una delle limitazioni correnti dello scanner di metadati di Power BI.
  • Le aree di lavoro vuote vengono ignorate.

Prerequisiti

Prima di iniziare, assicurarsi di avere quanto segue:

Registrare il tenant di Power BI

  1. Dalle opzioni a sinistra selezionare Mappa dati.

  2. Selezionare Registra e quindi Fabric come origine dati. Include le origini e gli asset di Power BI.

    Screenshot che mostra l'elenco di origini dati disponibili per la scelta.

  3. Assegnare all'origine dati un nome descrittivo. Il nome deve avere una lunghezza da 3 a 63 caratteri e deve contenere solo lettere, numeri, caratteri di sottolineatura e trattini. Gli spazi non sono consentiti.

  4. Modificare il campo ID tenant , per sostituire con il tenant per il power BI tra tenant che si vuole registrare e analizzare. Per impostazione predefinita, l'ID tenant di Microsoft Purview viene popolato.

    Screenshot che mostra l'esperienza di registrazione per Power BI tra tenant.

  5. Selezionare Registra.

Eseguire l'autenticazione nel tenant di Power BI

In Microsoft Entra tenant, dove si trova il tenant di Power BI:

  1. Nel portale di Azure cercare Microsoft Entra ID.

  2. Creare un nuovo gruppo di sicurezza nel Microsoft Entra ID seguendo Creare un gruppo di base e aggiungere membri usando Microsoft Entra ID.

    Consiglio

    È possibile ignorare questo passaggio se si dispone già di un gruppo di sicurezza da usare.

  3. Selezionare Sicurezza come tipo di gruppo.

    Screenshot del tipo di gruppo di sicurezza.

  4. Selezionare Membri e quindi + Aggiungi membri.

  5. Cercare l'identità gestita o l'entità servizio di Microsoft Purview e selezionarla.

    Screenshot che mostra come aggiungere il catalogo cercandone il nome.

    Verrà visualizzata una notifica di esito positivo che mostra che è stata aggiunta.

    Screenshot che mostra l'aggiunta corretta dell'identità gestita del catalogo.

Associare il gruppo di sicurezza al tenant di Power BI

  1. Accedere al portale di amministrazione di Power BI.

  2. Selezionare la pagina Impostazioni tenant .

    Importante

    È necessario essere un Amministrazione di Power BI per visualizzare la pagina delle impostazioni del tenant.

  3. Selezionare Amministrazione impostazioni> APIConsenti alle entità servizio di usare le API di amministrazione di Power BI di sola lettura (anteprima).

  4. Selezionare Gruppi di sicurezza specifici.

    Immagine che mostra come consentire alle entità servizio di ottenere autorizzazioni dell'API di amministrazione di Power BI di sola lettura.

  5. Selezionare Amministrazione impostazioni> APIMigliorare le risposte alle API di amministrazione con metadati dettagliati e Migliorare le risposte alle API di amministrazione con le espressioni> DAX e mashup Abilita l'interruttore per consentire Microsoft Purview Data Map individuare automaticamente i metadati dettagliati dei set di dati di Power BI come parte delle analisi.

    Importante

    Dopo aver aggiornato le impostazioni dell'API Amministrazione nel tenant di Power Bi, attendere circa 15 minuti prima di registrare una connessione di analisi e test.

    Immagine che mostra la configurazione del portale di amministrazione di Power BI per abilitare l'analisi subartifact.

    Attenzione

    Quando si consente al gruppo di sicurezza creato (con l'identità gestita di Microsoft Purview come membro) di usare le API di amministrazione di Power BI di sola lettura, è anche possibile accedere ai metadati (ad esempio, nomi di dashboard e report, proprietari, descrizioni e così via) per tutti gli artefatti di Power BI in questo tenant. Dopo aver eseguito il pull dei metadati in Microsoft Purview, le autorizzazioni di Microsoft Purview, non le autorizzazioni di Power BI, determinano chi può visualizzare tali metadati.

    Nota

    È possibile rimuovere il gruppo di sicurezza dalle impostazioni dello sviluppatore, ma i metadati estratti in precedenza non verranno rimossi dall'account Microsoft Purview. È possibile eliminarlo separatamente, se lo si desidera.

Analizzare Power BI tra tenant

L'autenticazione delegata e le entità servizio sono le uniche opzioni supportate per l'analisi tra tenant. È possibile eseguire l'analisi usando:

Creare un'analisi per più tenant usando Il runtime di integrazione di Azure con l'autenticazione delegata

Per creare ed eseguire una nuova analisi usando il runtime di Azure, seguire questa procedura:

  1. Creare un account utente nel tenant Microsoft Entra in cui si trova il tenant di Power BI e assegnare l'utente a questo ruolo: Amministratore infrastruttura. Prendere nota del nome utente e accedere per modificare la password.

  2. Assegnare la licenza di Power BI appropriata all'utente.

  3. Passare all'istanza di Azure Key Vault nel tenant in cui viene creato Microsoft Purview.

  4. Selezionare Impostazioni>segreti e quindi + Genera/Importa.

    Screenshot dell'istanza di Azure Key Vault.

  5. Immettere un nome per il segreto. In Valore digitare la password appena creata per l'utente Microsoft Entra. Selezionare Crea per completare.

    Screenshot che mostra come generare un segreto in Azure Key Vault.

  6. Se l'insieme di credenziali delle chiavi non è ancora connesso a Microsoft Purview, è necessario creare una nuova connessione all'insieme di credenziali delle chiavi.

  7. Creare una registrazione dell'app nel tenant Microsoft Entra in cui si trova Power BI. Specificare un URL Web nell'URI di reindirizzamento.

    Screenshot di come creare un'app in Microsoft Entra ID per più tenant.

  8. Prendere nota dell'ID client (ID app).

    Screenshot che mostra come creare un principio di servizio.

  9. Nel dashboard Microsoft Entra selezionare l'applicazione appena creata e quindi selezionare Autorizzazioni app. Assegnare all'applicazione le autorizzazioni delegate seguenti e concedere il consenso amministratore per il tenant:

    • Tenant del servizio Power BI.Read.All
    • Openid di Microsoft Graph
    • Microsoft Graph User.Read

    Screenshot delle autorizzazioni delegate in Power BI e Microsoft Graph.

  10. Nel dashboard Microsoft Entra selezionare l'applicazione appena creata e quindi selezionare Autenticazione. In Tipi di account supportati selezionare Account in qualsiasi directory organizzativa (Qualsiasi directory Microsoft Entra - Multi-tenant).

    Screenshot del tipo di account che supporta il multi-tenant.

  11. In Concessione implicita e flussi ibridi selezionare Token ID (usati per i flussi impliciti e ibridi).

    Screenshot dei flussi ibridi del token ID.

  12. In Impostazioni avanzate abilitare Consenti flussi client pubblici.

  13. In Microsoft Purview Studio passare alla mappa dati nel menu a sinistra. Passare a Origini.

  14. Selezionare l'origine di Power BI registrata da cross-tenant.

  15. Selezionare + Nuova analisi.

  16. Assegnare un nome alla scansione. Selezionare quindi l'opzione per includere o escludere le aree di lavoro personali.

    Nota

    Se si passa alla configurazione di un'analisi per includere o escludere un'area di lavoro personale, si attiva un'analisi completa dell'origine Power BI.

  17. Selezionare Azure AutoResolveIntegrationRuntime nell'elenco a discesa.

    Screenshot che mostra la configurazione dell'analisi di Power BI usando il runtime di integrazione di Azure per il tenant incrociato.

  18. Per Credenziali selezionare Autenticazione delegata e quindi + Nuovo per creare una nuova credenziale.

  19. Creare una nuova credenziale e specificare i parametri necessari seguenti:

    • Nome: specificare un nome univoco per le credenziali.

    • ID client: usare l'ID client dell'entità servizio (ID app) creato in precedenza.

    • Nome utente: specificare il nome utente dell'amministratore di Fabric creato in precedenza.

    • Password: selezionare la connessione Key Vault appropriata e il nome del segreto in cui la password dell'account Power BI è stata salvata in precedenza.

    Screenshot che mostra la configurazione dell'analisi di Power BI usando l'autenticazione delegata.

  20. Selezionare Test connessione prima di continuare con i passaggi successivi.

    Screenshot che mostra lo stato della connessione di test.

    Se il test non riesce, selezionare Visualizza report per visualizzare lo stato dettagliato e risolvere il problema:

    1. Accesso: lo stato non è riuscito significa che l'autenticazione utente non è riuscita. Verificare se il nome utente e la password sono corretti. Verificare se le credenziali contengono l'ID client (app) corretto dalla registrazione dell'app.
    2. Asset (+ derivazione): lo stato non riuscito indica che l'autorizzazione tra Microsoft Purview e Power BI non è riuscita. Assicurarsi che l'utente venga aggiunto al ruolo amministratore di Fabric (ex ruolo di amministratore di Power BI) e che sia assegnata la licenza di Power BI appropriata.
    3. Metadati dettagliati (avanzato): lo stato non riuscito indica che il portale di amministrazione di Power BI è disabilitato per l'impostazione seguente: Migliorare le risposte delle API di amministrazione con metadati dettagliati.
  21. Configurare un trigger di analisi. Le opzioni sono Ricorrenti o Una volta.

    Screenshot dell'utilità di pianificazione dell'analisi di Microsoft Purview.

  22. In Rivedi nuova analisi selezionare Salva ed esegui per avviare l'analisi.

    Screenshot che mostra come salvare ed eseguire l'origine Power BI.

Consiglio

Per risolvere eventuali problemi relativi all'analisi:

  1. Verificare di aver completato l'elenco di controllo per la distribuzione per lo scenario.
  2. Esaminare la documentazione sulla risoluzione dei problemi di analisi.

Creare un'analisi per più tenant usando il runtime di integrazione self-hosted con l'entità servizio

Per creare ed eseguire una nuova analisi usando il runtime di integrazione self-hosted, seguire questa procedura:

  1. Creare una registrazione dell'app nel tenant Microsoft Entra in cui si trova Power BI. Specificare un URL Web nell'URI di reindirizzamento.

    Screenshot di come creare un'app in Microsoft Entra ID per più tenant.

  2. Prendere nota dell'ID client (ID app).

    Screenshot che mostra come creare un principio di servizio.

  3. Nel dashboard Microsoft Entra selezionare l'applicazione appena creata e quindi selezionare Autorizzazioni app. Assegnare all'applicazione le autorizzazioni delegate seguenti:

    • Openid di Microsoft Graph
    • Microsoft Graph User.Read

    Screenshot delle autorizzazioni delegate in Microsoft Graph.

  4. Nel dashboard Microsoft Entra selezionare l'applicazione appena creata e quindi selezionare Autenticazione. In Tipi di account supportati selezionare Account in qualsiasi directory organizzativa (Qualsiasi directory Microsoft Entra - Multi-tenant).

    Screenshot del tipo di account che supporta il multi-tenant.

  5. In Concessione implicita e flussi ibridi selezionare Token ID (usati per i flussi impliciti e ibridi).

    Screenshot dei flussi ibridi del token ID.

  6. In Impostazioni avanzate abilitare Consenti flussi client pubblici.

  7. Nel tenant in cui viene creato Microsoft Purview passare all'istanza di Azure Key Vault.

  8. Selezionare Impostazioni>segreti e quindi + Genera/Importa.

    Screenshot dell'istanza di Azure Key Vault.

  9. Immettere un nome per il segreto. In Valore digitare il segreto appena creato per la registrazione dell'app. Selezionare Crea per completare.

  10. In Certificati & segreti creare un nuovo segreto e salvarlo in modo sicuro per i passaggi successivi.

  11. In portale di Azure passare all'insieme di credenziali delle chiavi di Azure.

  12. Selezionare Impostazioni>segreti e selezionare + Genera/Importa.

    Screenshot di come passare ad Azure Key Vault.

  13. Immettere un nome per il segreto e per Valore digitare il segreto appena creato per la registrazione dell'app. Selezionare Crea per completare.

    Screenshot di come generare un segreto di Key Vault di Azure per SPN.

  14. Se l'insieme di credenziali delle chiavi non è ancora connesso a Microsoft Purview, è necessario creare una nuova connessione all'insieme di credenziali delle chiavi.

  15. In Microsoft Purview Studio passare alla mappa dati nel menu a sinistra. Passare a Origini.

  16. Selezionare l'origine di Power BI registrata da cross-tenant.

  17. Selezionare + Nuova analisi.

  18. Assegnare un nome alla scansione. Selezionare quindi l'opzione per includere o escludere le aree di lavoro personali.

    Nota

    Se si passa alla configurazione di un'analisi per includere o escludere un'area di lavoro personale, si attiva un'analisi completa dell'origine Power BI.

  19. Selezionare il runtime di integrazione self-hosted dall'elenco a discesa.

  20. Per Credenziali selezionare Entità servizio e quindi + Nuovo per creare una nuova credenziale.

  21. Creare una nuova credenziale e specificare i parametri necessari seguenti:

    • Nome: specificare un nome univoco per le credenziali
    • Metodo di autenticazione: entità servizio
    • ID tenant: ID tenant di Power BI
    • ID client: usare l'ID client dell'entità servizio (ID app) creato in precedenza

    Screenshot del nuovo menu delle credenziali, che mostra le credenziali di Power BI per SPN con tutti i valori obbligatori forniti.

  22. Selezionare Test connessione prima di continuare con i passaggi successivi.

    Se il test non riesce, selezionare Visualizza report per visualizzare lo stato dettagliato e risolvere il problema:

    1. Accesso: lo stato non è riuscito significa che l'autenticazione utente non è riuscita. Verificare se l'ID app e il segreto sono corretti. Verificare se le credenziali contengono l'ID client (app) corretto dalla registrazione dell'app.
    2. Asset (+ derivazione): lo stato non riuscito indica che l'autorizzazione tra Microsoft Purview e Power BI non è riuscita. Assicurarsi che l'utente venga aggiunto al ruolo amministratore di Fabric (ex ruolo di amministratore di Power BI) e che sia assegnata la licenza di Power BI appropriata.
    3. Metadati dettagliati (avanzato): lo stato non riuscito indica che il portale di amministrazione di Power BI è disabilitato per l'impostazione seguente: Migliorare le risposte delle API di amministrazione con metadati dettagliati.
  23. Configurare un trigger di analisi. Le opzioni sono Ricorrenti o Una volta.

    Screenshot dell'utilità di pianificazione dell'analisi di Microsoft Purview.

  24. In Rivedi nuova analisi selezionare Salva ed esegui per avviare l'analisi.

Consiglio

Per risolvere eventuali problemi relativi all'analisi:

  1. Verificare di aver completato l'elenco di controllo per la distribuzione per lo scenario.
  2. Esaminare la documentazione sulla risoluzione dei problemi di analisi.

Elenco di controllo per la distribuzione

L'elenco di controllo per la distribuzione è un riepilogo di tutti i passaggi da eseguire per configurare un'origine Power BI tra tenant. È possibile usarlo durante l'installazione o per la risoluzione dei problemi, per verificare di aver seguito tutti i passaggi necessari per la connessione.

Analizzare Power BI tra tenant usando l'autenticazione delegata in una rete pubblica

  1. Assicurarsi che l'ID tenant di Power BI sia immesso correttamente durante la registrazione. Per impostazione predefinita, verrà popolato l'ID tenant di Power BI esistente nella stessa istanza di Microsoft Entra di Microsoft Purview.

  2. Assicurarsi che il modello di metadati di Power BI sia aggiornato abilitando l'analisi dei metadati.

  3. Dal portale di Azure verificare se la rete dell'account Microsoft Purview è impostata sull'accesso pubblico.

  4. Dal portale di amministrazione del tenant di Power BI verificare che il tenant di Power BI sia configurato per consentire una rete pubblica.

  5. Controllare l'istanza di Azure Key Vault per assicurarsi:

    1. La password o il segreto non contiene errori di digitazione.
    2. L'identità gestita di Microsoft Purview consente di ottenere ed elencare l'accesso ai segreti.
  6. Esaminare le credenziali per verificare che:

    1. L'ID client corrisponde all'ID applicazione (client) della registrazione dell'app.
    2. Per l'autenticazione delegata, il nome utente include il nome dell'entità utente, ad johndoe@contoso.comesempio .
  7. Nel tenant di Power BI Microsoft Entra convalidare le impostazioni utente di amministratore di Power BI seguenti:

    1. L'utente viene assegnato al ruolo Amministratore infrastruttura (ex ruolo amministratore di Power BI).
    2. Almeno una licenza di Power BI viene assegnata all'utente.
    3. Se l'utente è stato creato di recente, accedere con l'utente almeno una volta per assicurarsi che la password venga reimpostata correttamente e che l'utente possa avviare correttamente la sessione.
    4. Non sono previsti criteri di autenticazione a più fattori o di accesso condizionale applicati all'utente.
  8. Nel tenant di Power BI Microsoft Entra convalidare le impostazioni di registrazione dell'app seguenti:

    1. La registrazione dell'app esiste nel tenant Microsoft Entra in cui si trova il tenant di Power BI.
    2. Se si usa l'entità servizio, in Autorizzazioni API vengono assegnate le autorizzazioni delegate seguenti con lettura per le API seguenti:
      • Openid di Microsoft Graph
      • Microsoft Graph User.Read
    3. Se si usa l'autenticazione delegata, in Autorizzazioni API vengono configurate le autorizzazioni delegate seguenti e il consenso amministratore per il tenant con lettura per le API seguenti:
      • Tenant del servizio Power BI.Read.All
      • Openid di Microsoft Graph
      • Microsoft Graph User.Read
    4. In Autenticazione:
      1. Tipi di> account supportatiGli account in qualsiasi directory organizzativa (qualsiasi directory Microsoft Entra - Multi-tenant) sono selezionati.
      2. Concessione implicita e flussi> ibridiI token ID (usati per i flussi impliciti e ibridi) sono selezionati.
      3. Consenti flussi client pubblici è abilitato.
  9. Nel tenant di Power BI, da Microsoft Entra tenant, verificare che l'entità servizio sia membro del nuovo gruppo di sicurezza.

  10. Nel portale di Amministrazione tenant di Power BI verificare se l'opzione Consenti alle entità servizio di usare le API di amministrazione di Power BI di sola lettura è abilitata per il nuovo gruppo di sicurezza.

Passaggi successivi

Dopo aver registrato l'origine, vedere le guide seguenti per altre informazioni su Microsoft Purview e i dati.