在 Purview (相同租使用者Microsoft中聯機和管理 Power BI 租使用者)
本文概述如何在 相同租使用者案例中註冊 Power BI 租使用者,以及如何在 Microsoft Purview 中驗證租使用者並與其互動。 如需 Microsoft Purview 的詳細資訊,請閱讀 簡介文章。
注意事項
Microsoft Purview 中的 Power BI 數據源已在所有區域中重新命名為 Fabric。 您仍然可以使用 「Power BI」 作為關鍵詞,快速找出來源以註冊 Power BI 租使用者並設定掃描。
從 2023 年 12 月 13 日開始,在 Purview 中掃描向 Fabric 數據源註冊的網狀架構租使用者Microsoft會從包含 Power BI 的 Fabric 專案擷取元數據和譜系。 除了 Power BI 以外的現有掃描,不需要執行其他設定步驟來啟用掃描 Fabric 專案。 網狀架構租使用者和Power BI租使用者將共用相同的數據源和相同的體驗來設定掃描。 如需掃描 Fabric 租使用者,請參閱我們的 Fabric 檔。
支援的功能
元數據擷取 | 完整掃描 | 增量掃描 | 限域掃描 | 分類 | 加標籤 | 存取原則 | 譜系 | 資料共用 | 即時檢視 |
---|---|---|---|---|---|---|---|---|---|
是 | 是 | 是 | 是 | 否 | 否 | 否 | 是 | 否 | 是的* |
* 可使用即時檢視來取得Microsoft網狀架構租使用者中的Power BI專案。
掃描 Power BI 來源時,Microsoft Purview 支援:
擷取技術元數據,包括:
- 工作區
- 儀表板
- 報表
- 包含數據表和數據行的數據集
- 數據流
- Datamarts
擷取上述 Power BI 成品與外部數據源資產之間資產關聯性的靜態譜系。 深入瞭解 Power BI 譜系。
如需 Power BI 可用的元資料清單,請參閱 我們可用的元數據檔。
Power BI 掃描的支援案例
Scenarios | Microsoft允許/拒絕 Purview 公用存取 | 允許 /拒絕 Power BI 公用存取 | 運行時間選項 | 驗證選項 | 部署檢查清單 |
---|---|---|---|---|---|
使用 Azure IR 的公用存取 | 允許 | 允許 | Azure 運行時間 | 受控識別/委派的驗證/服務主體 | 檢閱部署檢查清單 |
使用自我裝載 IR 的公用存取 | 允許 | 允許 | 自我裝載運行時間 | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
私人存取 | 已拒絕 | 允許 | 僅限 v2 (受控 VNet IR) | 受控識別/委派的驗證/服務主體 | 檢閱部署檢查清單 |
私人存取 | 允許 | 已拒絕 | 自我裝載運行時間 | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
私人存取 | 已拒絕 | 允許 | 自我裝載運行時間 | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
私人存取 | 已拒絕 | 已拒絕 | 自我裝載運行時間 | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
已知限制
- 如果 Power BI 租使用者在私人端點後方受到保護, 則標準或 kubernetes 支援的自我裝載運行時間 是唯一要掃描的選項。
- 當掃描期間使用自我裝載整合運行時間時,委派的驗證和服務主體是唯一支援的驗證選項。
- 如果掃描之後未顯示Power BI資料集架構,這是因為 Power BI元數據掃描器目前的其中一項限制所致。
- 會略過空的工作區。
- 其他限制請參閱 purview 限制Microsoft。
必要條件
開始之前,請確定您有下列必要條件:
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
驗證選項
- 受控識別
- 委派的驗證
- 服務主體
部署檢查清單
根據您的案例,在安裝期間或基於疑難解答目的使用下列任一部署檢查清單:
在公用網路中使用 Azure IR 和受控識別掃描相同租使用者 Power BI
請確定 Power BI 和 Microsoft Purview 帳戶位於相同的租使用者中。
請確定在註冊期間已正確輸入Power BI租用戶標識碼。
啟用元數據掃描,以確定您的 Power BI元數據模型是最新的。
從 Azure 入口網站,驗證 Microsoft 帳戶網路是否設定為公用存取。
從 Power BI 租使用者 管理員 入口網站,確定 Power BI 租用戶已設定為允許公用網路。
在 Microsoft Entra 租使用者中,建立安全組。
從 Microsoft Entra 租使用者中,確定 Microsoft Purview 帳戶 MSI 是新安全組的成員。
在 Power BI 租使用者 管理員 入口網站中,驗證是否已為新的安全組啟用 [允許服務主體使用只讀的 Power BI 系統管理員 API]。
註冊 Power BI 租使用者
本節說明如何在相同租使用者案例的 Microsoft Purview 中註冊 Power BI 租使用者。
選取左側導覽上的 [數據對應 ]。
然後選取 [註冊]。
選 取 [網狀架構 ] 作為您的數據源。 它包含Power BI 來源和資產。
為您的數據來源命名。
名稱長度必須介於 3-63 個字元之間,而且只能包含字母、數位、底線和連字元。 不允許空格。
根據預設,系統會找到存在於相同 Microsoft Entra 租使用者中的 Fabric 租使用者。
選取您要在其中註冊來源的集合。
選取 [登錄]。
掃描相同租使用者Power BI
向 Power BI 租用戶進行驗證
在 Microsoft Entra 租使用者中,Power BI 租使用者所在的位置:
在 Azure 入口網站 中,搜尋 Microsoft Entra ID。
遵循建立基本群組並使用 Microsoft Entra ID 新增成員,在您的 Microsoft Entra ID 中建立新的安全組。
提示
如果您已經有想要使用的安全組,您可以略過此步驟。
選取 [安全性 ] 作為 [群組類型]。
將相關使用者新增至安全組:
如果您 使用受 控識別作為驗證方法,請將Microsoft Purview 受控識別新增至此安全組。 選 取 [成員],然後選取 [+ 新增成員]。
如果您使用 委派的驗證 或 服務主體 作為驗證方法,請將 您的服務主體 新增至此安全組。 選 取 [成員],然後選取 [+ 新增成員]。
搜尋您的 Microsoft Purview 受控識別或服務主體並加以選取。
您應該會看到成功通知,顯示已新增它。
將安全組與 Power BI 租使用者建立關聯
登入 Power BI 管理入口網站。
選取 [ 租用戶設定] 頁面。
重要事項
您必須是 Power BI 管理員 才能查看租用戶設定頁面。
選 管理員 API 設定>允許服務主體使用唯讀 Power BI 系統管理員 API (預覽) 。
選取 [特定安全組]。
選取 [管理員 API 設定>使用詳細元數據增強系統管理員 API 回應],並使用 DAX 和混搭表達>式增強系統管理員 API 回應 啟用切換以允許 Microsoft Purview 資料對應 在其掃描過程中自動探索 Power BI 數據集的詳細元數據。
重要事項
更新 power bi 租使用者上的 管理員 API 設定之後,請等候大約 15 分鐘,然後再註冊掃描和測試連線。
注意
當您允許您建立的安全組 (將Microsoft Purview 受控識別作為成員,) 使用只讀的 Power BI 系統管理員 API 時,您也可以允許其存取元數據 (例如儀錶板和報表名稱、擁有者、描述等,) 此租使用者中所有 Power BI 成品。 將元數據提取到 Microsoft Purview 之後,Microsoft Purview 的許可權,而不是 Power BI 許可權,決定誰可以看到該元數據。
注意事項
您可以從開發人員設定中移除安全組,但先前擷取的元數據不會從 Microsoft Purview 帳戶中移除。 您可以視需要個別刪除它。
使用 Azure IR 和受控識別建立相同租使用者 Power BI 的掃描
如果將 Purview 和 Power BI 租使用者Microsoft設定為允許網路設定中的公用存取,則這是適當的案例。
若要建立並執行新的掃描,請執行下列動作:
在 Microsoft Purview Studio 中,流覽至左側功能表中的 [數據對應 ]。
流覽至 [來源]。
選取已註冊的Power BI來源。
選 取 [+ 新增掃描]。
為您的掃描命名。 然後選取選項以包含或排除個人工作區。
注意事項
將掃描的設定切換為包含或排除個人工作區,將會觸發Power BI來源的完整掃描。
在繼續進行後續步驟之前,請選取 [測試連線 ]。 如果 測試連線 失敗,請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難解答。
- 存取 - 失敗狀態表示使用者驗證失敗。 使用受控識別的掃描一律會通過,因為不需要用戶驗證。
- 資產 (+ 歷程) - 失敗狀態表示Microsoft Purview - Power BI 授權失敗。 請確定已將 Microsoft Purview 受控識別新增至 Power BI 管理入口網站中相關聯的安全組。
- 增強) (詳細元數據 - 失敗狀態表示已停用下列設定的 Power BI 管理入口網站 - 使用詳細的元數據增強系統管理員 API 回應
設定掃描觸發程式。 您的選項為 [週期性] 和 [ 一次]。
在 [檢閱新的掃描] 上,選取 [ 儲存並執行 ] 以啟動掃描。
使用自我裝載 IR 搭配服務主體建立相同租用戶的掃描
當 Microsoft Purview 和 Power BI 租使用者或兩者都設定為使用私人端點並拒絕公用存取時,可以使用此案例。 此外,如果將 Purview 和 Power BI 租使用者Microsoft設定為允許公用存取,此選項也適用。
如需 Power BI 網路的詳細資訊,請參閱 如何設定私人端點以存取 Power BI。
如需 Microsoft Purview 網路設定的詳細資訊,請 參閱針對您的 Microsoft Purview 帳戶使用私人端點。
若要建立並執行新的掃描,請執行下列動作:
在 Azure 入口網站 中,選取 [Microsoft Entra ID],然後在租使用者中建立應用程序註冊。 在 重新導向 URI 中提供 Web URL。 如需重新導向 URI 的相關信息,請參閱 Microsoft Entra ID 的這份檔。
記下應用程式識別碼) (用戶端識別碼。
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [應用程式註冊]。 從 [API 許可權] 中,將下列委派許可權指派給應用程式:
- Microsoft Graph openid
- Microsoft Graph User.Read
在 [ 進階設定] 下,啟用 [允許公用用戶端流程]。
在 [憑證 & 秘密] 底下,建立新的秘密並安全地儲存以供後續步驟使用。
在 Azure 入口網站 中,流覽至您的 Azure 金鑰保存庫。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱,並針對 [值] 輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,您必須 建立新的金鑰保存庫連線
在 Microsoft Purview Studio 中,流覽至左側功能表中的 [數據對應 ]。
流覽至 [來源]。
選取已註冊的Power BI來源。
選 取 [+ 新增掃描]。
為您的掃描命名。 然後選取選項以包含或排除個人工作區。
注意事項
將掃描的設定切換為包含或排除個人工作區,將會觸發Power BI來源的完整掃描。
從下拉式清單中選取自我裝載整合運行時間。
針對 [ 認證],選取 [服務主體] ,然後選取 [+ 新增 ] 以建立新的認證。
建立新的認證並提供必要的參數:
- 名稱:提供認證的唯一名稱
- 驗證方法:服務主體
- 租用戶標識碼:您的Power BI租使用者標識碼
- 用戶端識別碼:在您稍早建立 (應用程式識別碼) 使用服務主體用戶端識別符
在繼續進行後續步驟之前,請選取 [測試連線 ]。 如果 測試連線 失敗,請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難解答
- 存取 - 失敗狀態表示使用者驗證失敗。 使用受控識別的掃描一律會通過,因為不需要用戶驗證。
- 資產 (+ 歷程) - 失敗狀態表示Microsoft Purview - Power BI 授權失敗。 請確定已將 Microsoft Purview 受控識別新增至 Power BI 管理入口網站中相關聯的安全組。
- 增強) (詳細元數據 - 失敗狀態表示已停用下列設定的 Power BI 管理入口網站 - 使用詳細的元數據增強系統管理員 API 回應
設定掃描觸發程式。 您的選項為 [週期性] 和 [ 一次]。
在 [檢閱新的掃描] 上,選取 [ 儲存並執行 ] 以啟動掃描。
使用自我裝載 IR 搭配委派驗證建立相同租用戶的掃描
當 Microsoft Purview 和 Power BI 租使用者或兩者都設定為使用私人端點並拒絕公用存取時,可以使用此案例。 此外,如果將 Purview 和 Power BI 租使用者Microsoft設定為允許公用存取,此選項也適用。
如需 Power BI 網路的詳細資訊,請參閱 如何設定私人端點以存取 Power BI。
如需 Microsoft Purview 網路設定的詳細資訊,請 參閱針對您的 Microsoft Purview 帳戶使用私人端點。
若要建立並執行新的掃描,請執行下列動作:
在 Microsoft Entra 租使用者中建立用戶帳戶,並將使用者指派給 Microsoft Entra 角色 Fabric 系統管理員。 記下用戶名稱並登入以變更密碼。
將適當的Power BI授權指派給使用者。
流覽至您的 Azure 金鑰保存庫。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱,並針對 [值] 輸入新建立的密碼,Microsoft Entra 使用者。 選 取 [建立 ] 以完成。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,您必須 建立新的金鑰保存庫連線
在您的 Microsoft Entra 租使用者中建立應用程式註冊。 在 重新導向 URI 中提供 Web URL。
記下應用程式識別碼) (用戶端識別碼。
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [應用程式註冊]。 將下列委派許可權指派給應用程式,併為租使用者授與管理員同意:
- Power BI 服務租使用者.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
在 [ 進階設定] 下,啟用 [允許公用用戶端流程]。
在 Microsoft Purview Studio 中,流覽至左側功能表中的 [數據對應 ]。
流覽至 [來源]。
選取已註冊的Power BI來源。
選 取 [+ 新增掃描]。
為您的掃描命名。 然後選取選項以包含或排除個人工作區。
注意事項
將掃描的設定切換為包含或排除個人工作區,將會觸發Power BI來源的完整掃描。
從下拉式清單中選取自我裝載整合運行時間。
針對 [ 認證],選取 [ 委派的驗證] ,然後選取 [+ 新增 ] 以建立新的認證。
建立新的認證並提供必要的參數:
- 名稱:提供認證的唯一名稱
- 驗證方法:委派的驗證
- 用戶端識別碼:在您稍早建立 (應用程式識別碼) 使用服務主體用戶端識別符
- 用戶名稱:提供您稍早建立的網狀架構系統管理員用戶名稱
- 密碼:選取適當的密鑰保存庫連線,以及稍早儲存 Power BI 帳戶密碼 的秘密名稱 。
在繼續進行後續步驟之前,請選取 [測試連線 ]。 如果 測試連線 失敗,請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難解答
- 存取 - 失敗狀態表示使用者驗證失敗。 使用受控識別的掃描一律會通過,因為不需要用戶驗證。
- 資產 (+ 歷程) - 失敗狀態表示Microsoft Purview - Power BI 授權失敗。 請確定已將 Microsoft Purview 受控識別新增至 Power BI 管理入口網站中相關聯的安全組。
- 增強) (詳細元數據 - 失敗狀態表示已停用下列設定的 Power BI 管理入口網站 - 使用詳細的元數據增強系統管理員 API 回應
設定掃描觸發程式。 您的選項為 [週期性] 和 [ 一次]。
在 [檢閱新的掃描] 上,選取 [ 儲存並執行 ] 以啟動掃描。
設定掃描範圍
此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta、預覽版或尚未正式發行之 Azure 功能的其他法律條款。
在 [設定掃描範圍] 階段中,數據源系統管理員可以視需要指定工作區來設定掃描的範圍。 數據源系統管理員可以從租使用者下的工作區清單中選取,或直接輸入工作區 GUID 來設定掃描範圍。 使用範圍掃描不需要額外的許可權。 有兩個選項可供使用,預設會選取 [否] 選項,而且您可以直接按兩下 [繼續] 繼續執行完整掃描,或選取 [是] 以啟用範圍掃描體驗。
如果已啟用限域掃描,您會在左側的租使用者下看到現有工作區的清單 (目前 UI 選取體驗僅支援少於 5000 個工作區) ,而且您可以選取工作區並新增至右側的清單。 如果個人工作區設定為 「Include」,則個人工作區會顯示在工作區清單中,前置詞為 “PersonalWorkspace”。 您可以直接按下工作區 (的) ,然後按兩下 [新增至清單] 按鈕,將工作區放入選取的工作區清單。 您可以在搜尋方塊中輸入工作區名稱或工作區 GUID 的關鍵詞,以篩選出工作區 (選取範圍的) 。
您也可以直接輸入工作區 GUID,並將其新增至選取的工作區清單。
注意事項
- 只有當工作區總數少於 5000 個時,才支援從 Microsoft Fabric 或 Power BI 租使用者中選取範圍掃描, (包含或排除個人工作區會被視為) ,或者您需要切換至手動輸入工作區 GUID 以設定掃描範圍。
- 您可以切換從 Microsoft Fabric 或 Power BI 租使用者選取工作區,或手動輸入工作區 GUID,輸入將會合併到相同清單中選取的工作區。
- Microsoft Purview 會檢查使用者的 GUID 輸入是否具有正確的格式,但不會檢查 GUID 是否代表 Microsoft Fabric 或 Power BI 租使用者中的有效工作區。 如果範圍掃描中包含無效的 GUID,掃描將會完成併發生例外狀況,而且您可以在掃描記錄中找到這些無效的 GUID。
- 如果個人工作區設定為「排除」,個人工作區的 GUID 仍然可以新增至選取的工作區清單,但會在掃描中略過,而且這些 GUID 將會包含在掃描記錄中。
- 如果使用自我裝載整合運行時間,則需要 5.40.8836.1 版和更新版本,而且範圍掃描中僅支援手動輸入工作區 GUID。
- 如果使用受控 VNet 整合運行時間 (v2) ,則限域掃描僅支援手動輸入工作區 GUID。
後續步驟
既然您已註冊來源,請遵循下列指南來深入瞭解 Microsoft Purview 和您的數據。