Microsoft Purview で Power BI テナントに接続して管理する (テナント間)

この記事では、テナント間シナリオで Power BI テナントを登録する方法と、Microsoft Purview でテナントを認証して操作する方法について説明します。 サービスに慣れていない場合は、「 Microsoft Purview について学習する」を参照してください。

注:

Microsoft Fabric テナントのスキャンについては、 Microsoft Fabric のドキュメントを参照してください。

サポートされている機能

メタデータ抽出	フル スキャン	増分スキャン	スコープスキャン	分類	ラベル付け	アクセス ポリシー	系統	データ共有	ライブ ビュー
○	○	はい	はい	いいえ	いいえ	いいえ	はい	いいえ	いいえ

* Microsoft Fabric テナント内の Power BI 項目は、ライブ ビューを使用して使用できます。

Power BI ソースをスキャンする場合、Microsoft Purview では次の機能がサポートされます。

• 以下を含む技術的なメタデータの抽出:

  • ワークスペース
  • ダッシュボード
  • レポート
  • テーブルと列を含むデータセット
  • データフロー
  • データマート

• 上記の Power BI 成果物と外部データ ソース資産間の資産リレーションシップに関する静的系列をフェッチする。 詳細については、 Power BI 系列に関するページを参照してください。

Power BI スキャンでサポートされるシナリオ

シナリオ	Microsoft Purview パブリック アクセス	Power BI パブリック アクセス	ランタイム オプション	認証オプション	展開チェックリスト
Azure 統合ランタイムを使用したパブリック アクセス	可	可	Azure ランタイム	委任された認証/サービス プリンシパル	展開チェックリスト
セルフホステッド統合ランタイムを使用したパブリック アクセス	可	可	セルフホステッド ランタイム	委任された認証/サービス プリンシパル	展開チェックリスト
プライベート アクセス	Denied	許可	マネージド VNet IR (v2 のみ)	委任された認証/サービス プリンシパル	デプロイのチェックリストを確認する
プライベート アクセス	許可	Denied	セルフホステッド ランタイム	委任された認証/サービス プリンシパル	展開チェックリスト
プライベート アクセス	Denied	許可	セルフホステッド ランタイム	委任された認証/サービス プリンシパル	展開チェックリスト
プライベート アクセス	Denied	Denied	セルフホステッド ランタイム	委任された認証/サービス プリンシパル	展開チェックリスト

既知の制限

• Power BI テナントがプライベート エンドポイントの背後で保護されている場合、スキャンする唯一のオプションは 、Standard または kubernetes でサポートされているセルフホステッド ランタイム です。
• テナント間のシナリオでは、委任された認証とサービス プリンシパルが、スキャンでサポートされている唯一の認証オプションです。
• スキャン後に Power BI データセット スキーマが表示されない場合は、 Power BI メタデータ スキャナーに関する現在の制限事項の 1 つが原因です。
• 空のワークスペースはスキップされます。

前提条件

開始する前に、次の情報があることを確認します。

• アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。

• アクティブな Microsoft Purview アカウント。

Power BI テナントを登録する

1. 左側のオプションから、[ データ マップ] を選択します。

2. [ 登録] を選択し、データ ソースとして [Fabric ] を選択します。 これには、Power BI ソースと資産が含まれます。

   

3. データ ソースにフレンドリ名を付けます。 名前の長さは 3 から 63 文字で、文字、数字、アンダースコア、ハイフンのみを含める必要があります。 スペースは使用できません。

4. [テナント ID] フィールドを編集して、登録してスキャンするテナント間の Power BI のテナントに置き換えます。 既定では、Microsoft Purview のテナント ID が設定されます。

   

5. [登録] を選択します。

Power BI テナントに対する認証

Microsoft Entra テナントで、Power BI テナントが配置されています。

1. Azure portalで、Microsoft Entra IDを検索します。

2. 「基本的なグループを作成し、Microsoft Entra IDを使用してメンバーを追加する」に従って、Microsoft Entra IDに新しいセキュリティ グループを作成します。

   ヒント

   使用するセキュリティ グループが既にある場合は、この手順をスキップできます。

3. [グループの種類] として [セキュリティ] を選択します。

   

4. [ メンバー] を選択し、[ + メンバーの追加] を選択します。

5. Microsoft Purview マネージド ID またはサービス プリンシパルを検索して選択します。

   

   追加されたことを示す成功通知が表示されます。

   

セキュリティ グループを Power BI テナントに関連付ける

1. Power BI 管理ポータルにログインします。

2. [ テナント 設定] ページを選択します。

   重要

   テナント設定ページを表示するには、Power BI 管理である必要があります。

3. 読み取り専用 管理の Power BI 管理者 API (プレビュー) を使用するには> API 設定Allow サービス プリンシパルを選択します。

4. [ 特定のセキュリティ グループ] を選択します。

   

5. [API 設定管理選択>詳細なメタデータを含む管理者 API 応答をエンハンスし>DAX およびマッシュアップ式を使用した管理 API 応答を強化します。トグルを有効にするとMicrosoft Purview データ マップスキャンの一部として Power BI データセットの詳細なメタデータが自動的に検出されます。

   重要

   power bi テナントの 管理 API 設定を更新した後、約 15 分待ってからスキャンとテストの接続を登録します。

   

   注意

   作成したセキュリティ グループ (Microsoft Purview マネージド ID がメンバーである) に読み取り専用の Power BI 管理者 API の使用を許可すると、このテナント内のすべての Power BI 成果物のメタデータ (ダッシュボードやレポート名、所有者、説明など) へのアクセスも許可されます。 メタデータが Microsoft Purview に取り込まれたら、Power BI アクセス許可ではなく Microsoft Purview のアクセス許可で、そのメタデータを表示できるユーザーを決定します。

   注:

   セキュリティ グループは開発者設定から削除できますが、以前に抽出したメタデータは Microsoft Purview アカウントから削除されません。 必要に応じて、個別に削除できます。

テナント間の Power BI をスキャンする

委任された認証とサービス プリンシパルは、テナント間スキャンでサポートされる唯一のオプションです。 スキャンするには、次のいずれかを使用します。

• Azure 統合ランタイム
• セルフホステッド統合ランタイム

委任された認証を使用して Azure IR を使用してクロステナントのスキャンを作成する

Azure ランタイムを使用して新しいスキャンを作成して実行するには、次の手順に従います。

1. Power BI テナントがある Microsoft Entra テナントにユーザー アカウントを作成し、そのユーザーをこのロールに割り当てます: Fabric Administrator。 ユーザー名をメモし、サインインしてパスワードを変更します。

2. 適切な Power BI ライセンスをユーザーに割り当てます。

3. Microsoft Purview が作成されているテナント内の Azure Key Vaultのインスタンスに移動します。

4. [設定>Secrets] を選択し、[+ 生成/インポート] を選択します。

   

5. シークレットの名前を入力します。 [値] に、Microsoft Entra ユーザーの新しく作成したパスワードを入力します。 [ 作成] を 選択して完了します。

   

6. キー コンテナーがまだ Microsoft Purview に接続されていない場合は、 新しいキー コンテナー接続を作成する必要があります。

7. Power BI が配置されているMicrosoft Entra テナントにアプリの登録を作成します。 リダイレクト URI に Web URL を指定します。

   

8. クライアント ID (アプリ ID) を書き留めます。

   

9. Microsoft Entra ダッシュボードで、新しく作成したアプリケーションを選択し、[アプリのアクセス許可] を選択します。 次の委任されたアクセス許可をアプリケーションに割り当て、テナントの管理者の同意を付与します。

   • Power BI Service Tenant.Read.All
   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

10. Microsoft Entra ダッシュボードで、新しく作成したアプリケーションを選択し、[認証] を選択します。 [サポートされているアカウントの種類] で、[任意の組織のディレクトリ (任意のMicrosoft Entra ディレクトリ - Multitenant)] を選択します。

    

11. [ 暗黙的な許可とハイブリッド フロー] で、 ID トークン (暗黙的およびハイブリッド フローに使用) を選択します。

    

12. [ 詳細設定] で、[ パブリック クライアント フローを許可する] を有効にします。

13. Microsoft Purview Studio で、左側のメニューの [データ マップ ] に移動します。 [ソース] に移動します。

14. テナント間から登録済みの Power BI ソースを選択します。

15. [ + 新しいスキャン] を選択します。

16. スキャンに名前を付けます。 次に、個人用ワークスペースを含めるか除外するオプションを選択します。

    注:

    個人用ワークスペースを含めるか除外するようにスキャンの構成を切り替えると、Power BI ソースのフル スキャンがトリガーされます。

17. ドロップダウン リストから [ Azure AutoResolveIntegrationRuntime ] を選択します。

    

18. [資格情報] で [委任された認証] を選択し、[+ 新規] を選択して新しい資格情報を作成します。

19. 新しい資格情報を作成し、次の必須パラメーターを指定します。

    • [名前]: 資格情報の一意の名前を指定します。

    • クライアント ID: 前に作成したサービス プリンシパル クライアント ID (アプリ ID) を使用します。

    • ユーザー名: 前に作成した Fabric 管理者のユーザー名を指定します。

    • パスワード: 適切なKey Vault接続と、Power BI アカウントのパスワードが以前に保存されたシークレット名を選択します。

    

20. 次の手順に進む前に、[ 接続のテスト ] を選択します。

    

    テストが失敗した場合は、[ レポートの表示 ] を選択して詳細な状態を確認し、問題のトラブルシューティングを行います。

    1. アクセス - 失敗した状態は 、ユーザー認証が失敗したことを意味します。 ユーザー名とパスワードが正しいかどうかを検証します。 資格情報にアプリ登録の正しいクライアント (アプリ) ID が含まれているかどうかを確認します。
    2. 資産 (+ 系列) - 失敗した 状態は、Microsoft Purview と Power BI の間の承認が失敗したことを意味します。 ユーザーが Fabric Administrator ロール (旧 Power BI 管理者ロール) に追加され、適切な Power BI ライセンスが割り当てられていることを確認します。
    3. 詳細なメタデータ (拡張) - 失敗状態 は、次の設定で Power BI 管理ポータルが無効になっていることを意味します。 詳細なメタデータを使用して管理者 API の応答を強化します。

21. スキャン トリガーを設定します。 オプションは [ 定期的] または [1 回] です。

    

22. [ 新しいスキャンの確認] で、[ 保存して実行] を選択してスキャンを起動します。

    

ヒント

スキャンに関する問題のトラブルシューティングを行うには:

1. シナリオのデプロイ チェックリストが完了したことを確認します。
2. スキャンのトラブルシューティングに関するドキュメントを確認してください。

サービス プリンシパルを使用してセルフホステッド IR を使用してクロステナントのスキャンを作成する

セルフホステッド統合ランタイムを使用して新しいスキャンを作成して実行するには、次の手順を実行します。

1. Power BI が配置されているMicrosoft Entra テナントにアプリの登録を作成します。 リダイレクト URI に Web URL を指定します。

   

2. クライアント ID (アプリ ID) を書き留めます。

   

3. Microsoft Entra ダッシュボードで、新しく作成したアプリケーションを選択し、[アプリのアクセス許可] を選択します。 次の委任されたアクセス許可をアプリケーションに割り当てます。

   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

4. Microsoft Entra ダッシュボードで、新しく作成したアプリケーションを選択し、[認証] を選択します。 [サポートされているアカウントの種類] で、[任意の組織のディレクトリ (任意のMicrosoft Entra ディレクトリ - Multitenant)] を選択します。

   

5. [ 暗黙的な許可とハイブリッド フロー] で、 ID トークン (暗黙的およびハイブリッド フローに使用) を選択します。

   

6. [ 詳細設定] で、[ パブリック クライアント フローを許可する] を有効にします。

7. Microsoft Purview が作成されたテナントで、Azure Key Vaultのインスタンスに移動します。

8. [設定>Secrets] を選択し、[+ 生成/インポート] を選択します。

   

9. シークレットの名前を入力します。 [ 値] に、アプリ登録用に新しく作成されたシークレットを入力します。 [ 作成] を 選択して完了します。

10. [ 証明書 & シークレット] で、新しいシークレットを作成し、次の手順で安全に保存します。

11. Azure portalで、Azure キー コンテナーに移動します。

12. [設定>Secrets] を選択し、[+ 生成/インポート] を選択します。

    

13. シークレットの名前を入力し、[ 値] に、アプリ登録用に新しく作成したシークレットを入力します。 [ 作成] を 選択して完了します。

    

14. キー コンテナーがまだ Microsoft Purview に接続されていない場合は、 新しいキー コンテナー接続を作成する必要があります。

15. Microsoft Purview Studio で、左側のメニューの [データ マップ ] に移動します。 [ソース] に移動します。

16. テナント間から登録済みの Power BI ソースを選択します。

17. [ + 新しいスキャン] を選択します。

18. スキャンに名前を付けます。 次に、個人用ワークスペースを含めるか除外するオプションを選択します。

    注:

    個人用ワークスペースを含めるか除外するようにスキャンの構成を切り替えると、Power BI ソースのフル スキャンがトリガーされます。

19. ドロップダウン リストからセルフホステッド統合ランタイムを選択します。

20. [資格情報] で [サービス プリンシパル] を選択し、[+ 新規] を選択して新しい資格情報を作成します。

21. 新しい資格情報を作成し、次の必須パラメーターを指定します。

    • 名前: 資格情報の一意の名前を指定します
    • 認証方法: サービス プリンシパル
    • テナント ID: Power BI テナント ID
    • クライアント ID: 前に作成したサービス プリンシパル クライアント ID (アプリ ID) を使用する

    

22. 次の手順に進む前に、[ 接続のテスト ] を選択します。

    テストが失敗した場合は、[ レポートの表示 ] を選択して詳細な状態を確認し、問題のトラブルシューティングを行います。

    1. アクセス - 失敗した状態は 、ユーザー認証が失敗したことを意味します。 アプリ ID とシークレットが正しいかどうかを検証します。 資格情報にアプリ登録の正しいクライアント (アプリ) ID が含まれているかどうかを確認します。
    2. 資産 (+ 系列) - 失敗した 状態は、Microsoft Purview と Power BI の間の承認が失敗したことを意味します。 ユーザーが Fabric Administrator ロール (旧 Power BI 管理者ロール) に追加され、適切な Power BI ライセンスが割り当てられていることを確認します。
    3. 詳細なメタデータ (拡張) - 失敗状態 は、次の設定で Power BI 管理ポータルが無効になっていることを意味します。 詳細なメタデータを使用して管理者 API の応答を強化します。

23. スキャン トリガーを設定します。 オプションは [ 定期的] または [1 回] です。

    

24. [ 新しいスキャンの確認] で、[ 保存して実行] を選択してスキャンを起動します。

ヒント

スキャンに関する問題のトラブルシューティングを行うには:

1. シナリオのデプロイ チェックリストが完了したことを確認します。
2. スキャンのトラブルシューティングに関するドキュメントを確認してください。

展開チェックリスト

デプロイ チェックリストは、テナント間の Power BI ソースを設定するために必要なすべての手順の概要です。 セットアップ中またはトラブルシューティングに使用して、接続に必要なすべての手順に従ったことを確認できます。

Azure IR を使用したパブリック アクセス

パブリック ネットワークで委任された認証を使用してテナント間の Power BI をスキャンする

1. 登録中に Power BI テナント ID が正しく入力されていることを確認します。 既定では、Microsoft Purview と同じMicrosoft Entra インスタンスに存在する Power BI テナント ID が設定されます。

2. メタデータ スキャンを有効にして、Power BI メタデータ モデルが最新であることを確認します。

3. Azure portalから、Microsoft Purview アカウント ネットワークがパブリック アクセスに設定されているかどうかを検証します。

4. Power BI テナント管理ポータルで、パブリック ネットワークを許可するように Power BI テナントが構成されていることを確認します。

5. Azure Key Vaultのインスタンスを確認して、次のことを確認します。

   1. パスワードまたはシークレットに入力ミスはありません。
   2. Microsoft Purview マネージド ID は、シークレットへのアクセス権を 取得 して 一覧表示 します。

6. 資格情報を確認して、次のことが検証されます。

   1. クライアント ID は、アプリ登録の アプリケーション (クライアント) ID と 一致します。
   2. 委任された認証の場合、ユーザー名にはユーザー プリンシパル名 (johndoe@contoso.comなど) が含まれます。

7. Power BI Microsoft Entra テナントで、次の Power BI 管理者ユーザー設定を検証します。

   1. ユーザーは、ファブリック管理者ロール (以前の Power BI 管理者ロール) に割り当てられます。
   2. 少なくとも 1 つの Power BI ライセンス がユーザーに割り当てられます。
   3. ユーザーが最近作成された場合は、少なくとも 1 回はユーザーとサインインして、パスワードが正常にリセットされ、ユーザーがセッションを正常に開始できることを確認します。
   4. ユーザーに対して適用される多要素認証または条件付きアクセス ポリシーはありません。

8. Power BI Microsoft Entra テナントで、次のアプリ登録設定を検証します。

   1. アプリの登録は、Power BI テナントが配置されているMicrosoft Entra テナントに存在します。
   2. サービス プリンシパルを使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 が、次の API の読み取りで割り当てられます。
      • Microsoft Graph openid
      • Microsoft Graph User.Read
   3. 委任された認証を使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 と テナントに対する管理者の同意の付与 が、次の API の読み取りで設定されます。
      • Power BI Service Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read
   4. [ 認証] で、次の手順を実行します
      1. サポートされているアカウントの種類>任意の組織ディレクトリ (Any Microsoft Entra directory - Multitenant) 内のアカウントが選択されています。
      2. 暗黙的な許可フローとハイブリッド フロー>ID トークン (暗黙的およびハイブリッド フローに使用) が選択されています。
      3. [パブリック クライアント フローを許可する] が有効になっています。

9. Power BI テナントで、Microsoft Entra テナントから、サービス プリンシパルが新しいセキュリティ グループのメンバーであることを確認します。

10. Power BI テナント 管理 ポータルで、新しいセキュリティ グループに対して読み取り専用の Power BI 管理者 API の使用をサービス プリンシパルに許可するかどうかを検証します。

セルフホステッド IR を使用したパブリック アクセス

パブリック ネットワークで委任された認証を使用してテナント間の Power BI をスキャンする

1. 登録中に Power BI テナント ID が正しく入力されていることを確認します。 既定では、Microsoft Purview と同じMicrosoft Entra インスタンスに存在する Power BI テナント ID が設定されます。

2. メタデータ スキャンを有効にして、Power BI メタデータ モデルが最新であることを確認します。

3. Azure portalから、Microsoft Purview アカウントネットワークがパブリック アクセスに設定されているかどうかを検証します。

4. Power BI テナント管理ポータルで、パブリック ネットワークを許可するように Power BI テナントが構成されていることを確認します。

5. Azure Key Vaultのインスタンスを確認して、次のことを確認します。

   1. パスワードに入力ミスはありません。
   2. Microsoft Purview マネージド ID は、シークレットへのアクセス権を 取得 して 一覧表示 します。

6. 資格情報を確認して、次のことが検証されます。

   1. クライアント ID は、アプリ登録の アプリケーション (クライアント) ID と 一致します。
   2. ユーザー名には、 johndoe@contoso.comなどのユーザー プリンシパル名が含まれます。

7. Power BI Microsoft Entra テナントで、次のアプリ登録設定を検証します。

   1. アプリの登録は、Power BI テナントが配置されているMicrosoft Entra テナントに存在します。

   2. サービス プリンシパルを使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 が、次の API の読み取りで割り当てられます。

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. 委任された認証を使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 と テナントに対する管理者の同意の付与 が、次の API の読み取りで設定されます。

      • Power BI Service Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. [ 認証] で、次の手順を実行します

      1. サポートされているアカウントの種類>任意の組織ディレクトリ (Any Microsoft Entra directory - Multitenant) 内のアカウントが選択されています。
      2. 暗黙的な許可フローとハイブリッド フロー>ID トークン (暗黙的およびハイブリッド フローに使用) が選択されています。
      3. [パブリック クライアント フローを許可する] が有効になっています。

8. 委任された認証を使用する場合は、Power BI Microsoft Entra テナントで、次の Power BI 管理者ユーザー設定を検証します。

   1. ユーザーは、ファブリック管理者ロール (以前の Power BI 管理者ロール) に割り当てられます。
   2. 少なくとも 1 つの Power BI ライセンス がユーザーに割り当てられます。
   3. ユーザーが最近作成された場合は、少なくとも 1 回はユーザーとサインインして、パスワードが正常にリセットされ、ユーザーがセッションを正常に開始できることを確認します。
   4. ユーザーに対して適用される多要素認証または条件付きアクセス ポリシーはありません。

9. 次のセルフホステッド ランタイム設定を検証します。

   1. セルフホステッド ランタイムの最新バージョンが VM にインストールされています。

   2. セルフホステッド ランタイムから Power BI テナントへのネットワーク接続が有効になっています。 次のエンドポイントは、セルフホステッド ランタイム VM から到達可能である必要があります。

      • *.powerbi.com
      • *.analysis.windows.net

   3. セルフホステッド ランタイムから Microsoft サービスへのネットワーク接続が有効になっています。

   4. JDK 8 以降 がインストールされています。 JDK を新しくインストールして有効にした後、マシンを再起動します。

10. Power BI テナントで、Microsoft Entra テナントから、サービス プリンシパルが新しいセキュリティ グループのメンバーであることを確認します。

11. Power BI テナント 管理 ポータルで、新しいセキュリティ グループに対して読み取り専用の Power BI 管理者 API の使用をサービス プリンシパルに許可するかどうかを検証します。

マネージド VNet IR を使用したプライベート アクセス (v2 のみ)

プライベート ネットワークで委任された認証またはサービス プリンシパルを使用して、マネージド VNet IR (v2 のみ) を使用してテナント間の Power BI をスキャンする

1. 登録中に Power BI テナント ID が正しく入力されていることを確認します。

2. メタデータ スキャンを有効にして、Power BI メタデータ モデルが最新であることを確認します。

3. Azure Key Vaultのインスタンスを確認して、次のことを確認します。

   1. パスワードに入力ミスはありません。
   2. Microsoft Purview マネージド ID は、シークレットへのアクセス権を 取得 して 一覧表示 します。

4. 資格情報を確認して、次のことが検証されます。

   1. クライアント ID は、アプリ登録の アプリケーション (クライアント) ID と 一致します。
   2. ユーザー名には、 johndoe@contoso.comなどのユーザー プリンシパル名が含まれます。

5. Power BI テナントで、次のアプリ登録設定を検証します。

   1. アプリの登録は、Power BI テナントが配置されているテナントに存在します。

   2. サービス プリンシパルを使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 が、次の API の読み取りで割り当てられます。

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. 委任された認証を使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 と テナントに対する管理者の同意の付与 が、次の API の読み取りで設定されます。

      • Power BI Service Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. [ 認証] で、次の手順を実行します

      1. サポートされているアカウントの種類>任意の組織ディレクトリ (Any Microsoft Entra directory - Multitenant) 内のアカウントが選択されています。
      2. 暗黙的な許可フローとハイブリッド フロー>ID トークン (暗黙的およびハイブリッド フローに使用) が選択されています。
      3. [パブリック クライアント フローを許可する] が有効になっています。

6. 委任された認証を使用する場合は、Power BI Microsoft Entra テナントで、次の Power BI 管理者ユーザー設定を検証します。

   1. ユーザーは、ファブリック管理者ロール (以前の Power BI 管理者ロール) に割り当てられます。
   2. 少なくとも 1 つの Power BI ライセンス がユーザーに割り当てられます。
   3. ユーザーが最近作成された場合は、少なくとも 1 回はユーザーとサインインして、パスワードが正常にリセットされ、ユーザーがセッションを正常に開始できることを確認します。
   4. ユーザーに対して適用される多要素認証または条件付きアクセス ポリシーはありません。

7. Azure Active Directory テナントから、 サービス プリンシパルが新しいセキュリティ グループのメンバーであることを確認します。

8. Power BI テナント 管理 ポータルで、新しいセキュリティ グループに対して読み取り専用の Power BI 管理者 API の使用をサービス プリンシパルに許可するかどうかを検証します。

プライベート アクセス

プライベート ネットワークで委任された認証またはサービス プリンシパルを使用してセルフホステッド IR を使用してテナント間 Power BI をスキャンする

1. 登録中に Power BI テナント ID が正しく入力されていることを確認します。

2. メタデータ スキャンを有効にして、Power BI メタデータ モデルが最新であることを確認します。

3. Azure Key Vaultのインスタンスを確認して、次のことを確認します。

   1. パスワードに入力ミスはありません。
   2. Microsoft Purview マネージド ID は、シークレットへのアクセス権を 取得 して 一覧表示 します。

4. 資格情報を確認して、次のことが検証されます。

   1. クライアント ID は、アプリ登録の アプリケーション (クライアント) ID と 一致します。
   2. ユーザー名には、 johndoe@contoso.comなどのユーザー プリンシパル名が含まれます。

5. Power BI テナントで、次のアプリ登録設定を検証します。

   1. アプリの登録は、Power BI テナントが配置されているテナントに存在します。

   2. サービス プリンシパルを使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 が、次の API の読み取りで割り当てられます。

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. 委任された認証を使用する場合は、[ API のアクセス許可] で、次の 委任されたアクセス許可 と テナントに対する管理者の同意の付与 が、次の API の読み取りで設定されます。

      • Power BI Service Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. [ 認証] で、次の手順を実行します

      1. サポートされているアカウントの種類>任意の組織ディレクトリ (Any Microsoft Entra directory - Multitenant) 内のアカウントが選択されています。
      2. 暗黙的な許可フローとハイブリッド フロー>ID トークン (暗黙的およびハイブリッド フローに使用) が選択されています。
      3. [パブリック クライアント フローを許可する] が有効になっています。

6. 委任された認証を使用する場合は、Power BI Microsoft Entra テナントで、次の Power BI 管理者ユーザー設定を検証します。

   1. ユーザーは、ファブリック管理者ロール (以前の Power BI 管理者ロール) に割り当てられます。
   2. 少なくとも 1 つの Power BI ライセンス がユーザーに割り当てられます。
   3. ユーザーが最近作成された場合は、少なくとも 1 回はユーザーとサインインして、パスワードが正常にリセットされ、ユーザーがセッションを正常に開始できることを確認します。
   4. ユーザーに対して適用される多要素認証または条件付きアクセス ポリシーはありません。

7. セルフホステッド ランタイム設定を検証します。

   1. セルフホステッド ランタイムの最新バージョンが VM にインストールされています。
   2. JDK 8 以降 がインストールされています。 JDK を新しくインストールして有効にした後、マシンを再起動します。

8. ネットワーク構成を確認し、次の場合に検証します。

   1. Power BI でパブリック アクセスが許可されていない場合は、 Power BI テナントのプライベート エンドポイント がデプロイされていることを確認します。

   2. Microsoft Purview に必要なすべてのプライベート エンドポイントがデプロイされます。

   3. セルフホステッド ランタイムから Power BI テナントへのネットワーク接続が有効になっています。 次のエンドポイントは、セルフホステッド ランタイム VM から到達可能である必要があります。

      • *.powerbi.com
      • *.analysis.windows.net

   4. セルフホステッド ランタイムから Microsoft サービスへのネットワーク接続が有効になっています。

9. Azure Active Directory テナントから、 サービス プリンシパルが新しいセキュリティ グループのメンバーであることを確認します。

10. Power BI テナント 管理 ポータルで、新しいセキュリティ グループに対して読み取り専用の Power BI 管理者 API の使用をサービス プリンシパルに許可するかどうかを検証します。

次の手順

ソースを登録したので、Microsoft Purview とデータの詳細については、次のガイドを参照してください。

• Microsoft Purview のデータ資産分析情報
• Microsoft Purview の系列
• 検索データ カタログ