在 Microsoft Purview 中連線和管理 Power BI 租使用者 (跨租使用者)
本文概述如何在跨租使用者案例中註冊 Power BI 租使用者,以及如何在 Microsoft Purview 中驗證租使用者並與其互動。 如果您不熟悉此服務,請參閱 瞭解 purview Microsoft。
注意事項
如需掃描 Microsoft Fabric 租使用者,請參 閱我們的 Microsoft Fabric 檔。
支援的功能
| 元數據擷取 | 完整掃描 | 增量掃描 | 限域掃描 | 分類 | 加標籤 | 存取原則 | 譜系 | 資料共用 | 即時檢視 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 否 | 否 | 否 | 是 | 否 | 否 |
* 可使用即時檢視來取得Microsoft網狀架構租使用者中的Power BI專案。
掃描 Power BI 來源時,Microsoft Purview 支援:
擷取技術元數據,包括:
- 工作區
- 儀表板
- 報表
- 包含數據表和數據行的數據集
- 數據流
- Datamarts
擷取上述 Power BI 成品與外部數據源資產之間資產關聯性的靜態譜系。 深入瞭解 Power BI 譜系。
Power BI 掃描的支援案例
| 案例 | Microsoft Purview 公用存取 | Power BI 公用存取 | 運行時間選項 | 驗證選項 | 部署檢查清單 |
|---|---|---|---|---|---|
| 使用 Azure 整合運行時間的公用存取 | 允許 | 允許 | Azure 運行時間 | 委派的驗證/服務主體 | 部署檢查清單 |
| 使用自我裝載整合運行時間的公用存取 | 允許 | 允許 | 自我裝載運行時間 | 委派的驗證/服務主體 | 部署檢查清單 |
| 私人存取 | 已拒絕 | 允許 | 僅限 v2 (受控 VNet IR) | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
| 私人存取 | 允許 | 已拒絕 | 自我裝載運行時間 | 委派的驗證/服務主體 | 部署檢查清單 |
| 私人存取 | 已拒絕 | 允許 | 自我裝載運行時間 | 委派的驗證/服務主體 | 部署檢查清單 |
| 私人存取 | 已拒絕 | 已拒絕 | 自我裝載運行時間 | 委派的驗證/服務主體 | 部署檢查清單 |
已知限制
- 如果 Power BI 租使用者在私人端點後方受到保護, 則標準或 kubernetes 支援的自我裝載運行時間 是唯一要掃描的選項。
- 針對跨租使用者案例,委派的驗證和服務主體是唯一支援的掃描驗證選項。
- 如果在掃描之後未顯示Power BI資料集架構,這是因為 Power BI元數據掃描器的其中一個目前限制所造成。
- 會略過空的工作區。
必要條件
開始之前,請確定您有下列專案:
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
註冊 Power BI 租使用者
從左側的選項中,選取 [數據對應]。
選取 [註冊],然後選取 [網狀架構 ] 作為您的數據源。 它包含Power BI 來源和資產。
為您的數據來源提供易記名稱。 名稱長度必須是 3 到 63 個字元,而且只能包含字母、數位、底線和連字元。 不允許空格。
編輯 [ 租使用者標識符] 字段,將 取代為您想要註冊和掃描之跨租使用者 Power BI 的租使用者。 根據預設,Microsoft會填入 Purview 的租用戶標識碼。
選取 [登錄]。
向 Power BI 租用戶進行驗證
在 Microsoft Entra 租使用者中,Power BI 租使用者所在的位置:
在 Azure 入口網站 中,搜尋 Microsoft Entra ID。
遵循建立基本群組並使用 Microsoft Entra ID 新增成員,在您的 Microsoft Entra ID 中建立新的安全組。
提示
如果您已經有想要使用的安全組,您可以略過此步驟。
選取 [安全性 ] 作為 [群組類型]。
選 取 [成員],然後選取 [+ 新增成員]。
搜尋您的 Microsoft Purview 受控識別或服務主體並加以選取。
您應該會看到成功通知,顯示已新增它。
將安全組與 Power BI 租使用者建立關聯
登入 Power BI 管理入口網站。
選取 [ 租用戶設定] 頁面。
重要事項
您必須是 Power BI 管理員 才能查看租用戶設定頁面。
選取 [管理員 API 設定>][允許服務主體使用只讀 Power BI 系統管理員 API (預覽) 。
選取 [特定安全組]。
選取 [管理員 API 設定>使用詳細元數據增強系統管理員 API 回應],並使用 DAX 和混搭表達>式增強系統管理員 API 回應 啟用切換以允許 Microsoft Purview 資料對應 在其掃描過程中自動探索 Power BI 數據集的詳細元數據。
重要事項
更新 power bi 租使用者上的 管理員 API 設定之後,請等候大約 15 分鐘,然後再註冊掃描和測試連線。
注意
當您允許您建立的安全組 (將Microsoft Purview 受控識別作為成員,) 使用只讀的 Power BI 系統管理員 API 時,您也可以允許其存取元數據 (例如儀錶板和報表名稱、擁有者、描述等,) 此租使用者中所有 Power BI 成品。 將元數據提取到 Microsoft Purview 之後,Microsoft Purview 的許可權,而不是 Power BI 許可權,決定誰可以看到該元數據。
注意事項
您可以從開發人員設定中移除安全組,但先前擷取的元數據不會從 Microsoft Purview 帳戶中移除。 您可以視需要個別刪除它。
掃描跨租使用者Power BI
委派的驗證和服務主體是唯一支援的跨租用戶掃描選項。 您可以使用下列其中一種方式進行掃描:
使用 Azure IR 搭配委派驗證建立跨租用戶掃描
若要使用 Azure 執行時間建立並執行新的掃描,請執行下列步驟:
在 Power BI 租使用者所在的 Microsoft Entra 租使用者中建立使用者帳戶,並將使用者指派給此角色:網狀架構系統管理員。 記下用戶名稱並登入以變更密碼。
移至建立 Microsoft Purview 之租使用者中的 Azure 金鑰保存庫 實例。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱。 針對 [值],輸入 Microsoft Entra 使用者新建立的密碼。 選 取 [建立 ] 以完成。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,您必須 建立新的金鑰保存庫連線。
在 Power BI 所在的 Microsoft Entra 租使用者中建立應用程式註冊。 在 重新導向 URI 中提供 Web URL。
記下應用程式識別碼) (用戶端識別碼。
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [應用程式許可權]。 將下列委派許可權指派給應用程式,併為租使用者授與管理員同意:
- Power BI 服務租使用者.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [驗證]。 在 [支持的帳戶類型] 底下,選取 [任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租使用者) 。
在 [隱含授與和混合式流程] 底下,選 取 (用於隱含和混合式流程的標識符令牌) 。
在 [ 進階設定] 下,啟用 [允許公用用戶端流程]。
在 Microsoft Purview Studio 中,移至左側功能表中的 [數據對應 ]。 移至 [來源]。
從跨租用戶選取已註冊的Power BI來源。
選 取 [+ 新增掃描]。
為您的掃描命名。 然後選取選項以包含或排除個人工作區。
注意事項
如果您將掃描的設定切換為包含或排除個人工作區,則會觸發 Power BI 來源的完整掃描。
從下拉式清單中選取 [Azure AutoResolveIntegrationRuntime ]。
針對 [ 認證],選取 [ 委派的驗證],然後選取 [+ 新增 ] 以建立新的認證。
建立新的認證,並提供下列必要參數:
名稱:提供認證的唯一名稱。
用戶端識別碼:使用服務主體用戶端標識碼 (您稍早建立的應用程式標識碼) 。
用戶名稱:提供您稍早建立之 Fabric 系統管理員的用戶名稱。
密碼:選取適當的 金鑰保存庫 連線,以及稍早儲存Power BI 帳戶密碼的秘密名稱。
在繼續進行後續步驟之前,請選取 [測試連線 ]。
如果測試失敗,請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難解答:
- 存取 - 失敗 狀態表示使用者驗證失敗。 驗證使用者名稱和密碼是否正確。 檢閱認證是否包含應用程式註冊的正確用戶端 () 標識碼。
- 資產 (+ 歷程) - 失敗 狀態表示 Microsoft Purview 與 Power BI 之間的授權失敗。 請確定已將使用者新增至網狀架構系統管理員角色 (先前的 Power BI 系統管理員角色) ,並已指派適當的 Power BI 授權。
- 增強) (詳細元數據 - 失敗 狀態表示 Power BI 管理入口網站已停用下列設定: 使用詳細的元數據增強系統管理員 API 回應。
設定掃描觸發程式。 您的選項為 [週期性 ] 或 [ 一次]。
在 [檢閱新的掃描] 上,選取 [ 儲存並執行 ] 以啟動掃描。
使用自我裝載 IR 搭配服務主體建立跨租用戶掃描
若要使用自我裝載整合運行時間建立並執行新的掃描,請執行下列步驟:
在 Power BI 所在的 Microsoft Entra 租使用者中建立應用程式註冊。 在 重新導向 URI 中提供 Web URL。
記下應用程式識別碼) (用戶端識別碼。
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [應用程式許可權]。 將下列委派許可權指派給應用程式:
- Microsoft Graph openid
- Microsoft Graph User.Read
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [驗證]。 在 [支持的帳戶類型] 底下,選取 [任何組織目錄中的帳戶] ([任何 Microsoft Entra 目錄 - 多租使用者) ]。
在 [隱含授與和混合式流程] 底下,選 取 (用於隱含和混合式流程的標識符令牌) 。
在 [ 進階設定] 下,啟用 [允許公用用戶端流程]。
在建立 Microsoft Purview 的租使用者中,移至 Azure 金鑰保存庫 的實例。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱。 針對 [值],輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。
在 [憑證 & 秘密] 底下,建立新的秘密並安全地儲存以供後續步驟使用。
在 Azure 入口網站 中,流覽至您的 Azure 金鑰保存庫。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱,並針對 [值] 輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,您必須 建立新的金鑰保存庫連線。
在 Microsoft Purview Studio 中,移至左側功能表中的 [數據對應 ]。 移至 [來源]。
從跨租用戶選取已註冊的Power BI來源。
選 取 [+ 新增掃描]。
為您的掃描命名。 然後選取選項以包含或排除個人工作區。
注意事項
如果您將掃描的設定切換為包含或排除個人工作區,則會觸發 Power BI 來源的完整掃描。
從下拉式清單中選取自我裝載整合運行時間。
針對 [ 認證],選取 [服務主體],然後選取 [+ 新增 ] 以建立新的認證。
建立新的認證,並提供下列必要參數:
- 名稱:提供認證的唯一名稱
- 驗證方法:服務主體
- 租用戶標識碼:您的Power BI租使用者標識碼
- 用戶端識別碼:在您稍早建立 (應用程式識別碼) 使用服務主體用戶端識別符
在繼續進行後續步驟之前,請選取 [測試連線 ]。
如果測試失敗,請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難解答:
- 存取 - 失敗 狀態表示使用者驗證失敗。 驗證應用程式識別碼和秘密是否正確。 檢閱認證是否包含應用程式註冊的正確用戶端 () 標識碼。
- 資產 (+ 歷程) - 失敗 狀態表示 Microsoft Purview 與 Power BI 之間的授權失敗。 請確定已將使用者新增至網狀架構系統管理員角色 (先前的 Power BI 系統管理員角色) ,並已指派適當的 Power BI 授權。
- 增強) (詳細元數據 - 失敗 狀態表示 Power BI 管理入口網站已停用下列設定: 使用詳細的元數據增強系統管理員 API 回應。
設定掃描觸發程式。 您的選項為 [週期性 ] 或 [ 一次]。
在 [檢閱新的掃描] 上,選取 [ 儲存並執行 ] 以啟動掃描。
部署檢查清單
部署檢查清單是設定跨租使用者Power BI來源所需的所有步驟摘要。 您可以在安裝期間使用它或進行疑難解答,以確認您已遵循所有必要的連線步驟。
在公用網路中使用委派驗證掃描跨租使用者 Power BI
請確定在註冊期間已正確輸入Power BI租用戶標識碼。 根據預設,會填入與 Purview Microsoft相同 Microsoft Entra 實例中的 Power BI 租使用者識別符。
啟用元數據掃描,以確定您的 Power BI元數據模型是最新的。
從 Azure 入口網站,驗證 Microsoft Purview 帳戶網路是否設定為公用存取。
從 Power BI 租使用者管理入口網站,確定 Power BI 租用戶已設定為允許公用網路。
檢查您的 Azure 金鑰保存庫 實例,以確定:
- 密碼或秘密中沒有錯字。
- Microsoft Purview 受控識別具有秘密的 取得 和 清單 存取權。
檢閱您的認證,以驗證:
- 用戶端識別碼符合應用程式註冊 的應用程式 (用戶端) 標識 碼。
- 若為 委派驗證,使用者名稱會包含使用者主體名稱,例如
johndoe@contoso.com。
在 Power BI Microsoft Entra 租使用者中,驗證下列 Power BI 系統管理員使用者設定:
- 系統會將使用者指派給網狀架構系統管理員角色, (先前的Power BI系統管理員角色) 。
- 至少會將一個 Power BI授權 指派給使用者。
- 如果最近建立使用者,請至少與使用者登入一次,以確保密碼已成功重設,且使用者可以成功起始會話。
- 用戶沒有強制執行多重要素驗證或條件式存取原則。
在 Power BI Microsoft Entra 租使用者中,驗證下列應用程式註冊設定:
- 應用程式註冊存在於 Power BI 租使用者所在的 Microsoft Entra 租使用者中。
- 如果使用服務主體,則在 API 許可權下,會為下列 API 指派下列 委派的 許可權並進行讀取:
- Microsoft Graph openid
- Microsoft Graph User.Read
- 如果使用委派驗證,則在 API 許可權下,會針對下列 API 設定下列委 派的權 限並授與租使用者的 管理員同意 :
- Power BI 服務租使用者.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
- 在 [ 驗證] 下:
- 支援的帳戶類型>已選取任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租使用者) 。
- 隱含授與和混合式流程>已選取 (用於隱含和混合式流程) 的標識碼令牌。
- 已啟用 [允許公用用戶端流程]。
在 Power BI 租使用者中,從 Microsoft Entra 租用戶,確定服務主體是新安全組的成員。
在 Power BI 租使用者 管理員 入口網站中,驗證是否已為新的安全組啟用 [允許服務主體使用只讀的 Power BI 系統管理員 API]。
後續步驟
現在您已註冊來源,請參閱下列指南以深入瞭解 Microsoft Purview 和您的數據。