Připojení a správa tenanta Power BI ve službě Azure dosah

  • Článek
  • 8 min ke čtení

tento článek popisuje, jak zaregistrovat klienta Power BI a jak ověřit a komunikovat s klientem v Azure dosah. Pokud chcete získat další informace o Azure dosah, přečtěte si úvodní článek.

Podporované funkce

Extrakce metadat Úplná kontrola Přírůstková kontrola Vymezené prohledávání Classification Zásady přístupu Lineage
Ano Ano No No No No Ano

Poznámka

pokud je instance dosah a tenant Power BI ve stejném tenantovi Azure, můžete k nastavení kontroly Power BI tenanta použít jenom ověřování pomocí spravované identity (MSI).

Známá omezení

  • pro scénář mezi klienty není aktuálně k dispozici žádné možnosti uživatelského rozhraní pro registraci a skenování klientů mezi Power BI.
  • úpravou Power BI mezi klienty registrovanými v prostředí PowerShell pomocí nástroje dosah Studio se zachová registrace zdroje dat s nekonzistentním chováním skenování.
  • zkontrolujte Power BI omezení kontroly metadat.

Požadavky

Registrovat

tato část popisuje, jak zaregistrovat klienta Power BI ve službě Azure dosah ve scénářích stejného tenanta i mezi klienty .

Ověřování pro scénář stejného tenanta

Pro scénáře stejného tenanta i klientů pro klienty, pokud chcete nastavit ověřování, vytvořte skupinu zabezpečení a přidejte do ní identitu spravovanou přes dosah.

  1. v Azure Portalvyhledejte Azure Active Directory.

  2. vytvořte ve svém Azure Active Directory novou skupinu zabezpečení, a to tak, že vytvoříte základní skupinu a přidáte členy pomocí Azure Active Directory.

    Tip

    Pokud již máte skupinu zabezpečení, kterou chcete použít, můžete tento krok přeskočit.

  3. Jako typ skupiny vyberte zabezpečení .

    Snímek obrazovky typu skupiny zabezpečení

  4. Přidejte do této skupiny zabezpečení identitu spravovanou dosah. Vyberte členy a pak vybrat + přidat členy.

    Snímek obrazovky s postupem přidání spravované instance katalogu do skupiny

  5. Vyhledejte vaši identitu spravovanou dosah a vyberte ji.

    Snímek obrazovky, který ukazuje, jak přidat katalog hledáním jeho názvu

    Mělo by se zobrazit oznámení o úspěšnosti, které vám ukáže, že bylo přidáno.

    Snímek obrazovky s úspěšným přidáním MSI katalogu

Přidružte skupinu zabezpečení ke klientovi.

  1. přihlaste se na portál pro správu Power BI.

  2. Vyberte stránku Nastavení tenanta .

    Důležité

    aby bylo možné zobrazit stránku nastavení klienta, musíte být správcem Power BI.

  3. vybrat nastavení rozhraní api pro správu > umožňuje instančním objektům používat rozhraní api pro správu Power BI jen pro čtení (Preview).

  4. Vyberte konkrétní skupiny zabezpečení.

    obrázek ukazující, jak povolíte instančním objektům přístup Power BI oprávnění rozhraní API pro správu.

  5. vybrat nastavení rozhraní api > pro správu vylepšit odpovědi na rozhraní api pro správu s podrobnými metadaty > povolit přepínač povolit mapování dat dosah automaticky zjišťovat podrobná metadata Power BI datových sad v rámci svých kontrol.

    Důležité

    Po aktualizaci nastavení rozhraní API pro správu v tenantovi Power BI počkejte 15 minut, než zaregistrujete kontrolu a otestujte připojení.

    obrázek znázorňující konfiguraci portálu Power BI admin pro povolení kontroly podartefaktů.

    Upozornění

    pokud povolíte vytvořenou skupinu zabezpečení (která má vaši spravovanou identitu dosah jako člen), abyste mohli používat rozhraní api správce Power BI jen pro čtení, umožníte mu také přístup k metadatům (např. řídicím panelem a názvům sestav, vlastníkům, popisům atd.) pro všechny vaše Power BI artefaktů v tomto tenantovi. po navýšení metadat do oprávnění Azure dosah, dosah, ne Power BI oprávnění zjistěte, kdo uvidí tato metadata.

    Poznámka

    Skupinu zabezpečení můžete odebrat z nastavení pro vývojáře, ale metadata, která byla dříve extrahována, nebudou odebrána z účtu dosah. Pokud chcete, můžete ho odstranit samostatně.

Postup registrace ve stejném tenantovi

teď, když jste udělili oprávnění Purview-Managed Identity pro připojení k rozhraní API pro správu vašeho tenanta Power BI, můžete nastavit kontrolu z Azure dosah studia.

  1. Vyberte mapování dat na levém navigačním panelu.

  2. Pak vyberte Register (Registrovat).

    jako zdroj dat vyberte Power BI .

    Obrázek znázorňující seznam zdrojů dat, které jsou k dispozici pro výběr.

  3. zadejte popisný název instance Power BI.

    obrázek znázorňující Power BI popisný název zdroje dat

    Název musí být dlouhý 3-63 znaků a musí obsahovat jenom písmena, číslice, podtržítka a spojovníky. Mezery nejsou povoleny.

    ve výchozím nastavení systém najde klienta Power BI, který existuje ve stejném předplatném Azure.

    obrázek znázorňující registrovaný Power BI zdroj dat

    Poznámka

    pro Power BI je registrace a kontrola zdroje dat povolena pouze pro jednu instanci.

Postup registrace mezi klienty

v případě klientů s více klienty můžete k registraci a skenování klientů Power BI použít PowerShell. Pomocí služby Azure dosah Studio můžete procházet a hledat prostředky vzdáleného tenanta prostřednictvím prostředí uživatelského rozhraní.

pokud se v tenantovi azure ad, kde se nachází Power BI tenant, používá tento průvodce, je jiný než tenant služby azure ad, ve kterém se účet azure dosah zřizuje. pomocí následujících kroků zaregistrujete a projdete jednoho nebo více Power BI tenantů ve službě Azure dosah ve scénáři vzájemného tenanta:

  1. Stáhněte si spravované moduly PowerShellu pro kontrolua extrahujte její obsah do umístění dle vašeho výběru.

  2. v počítači do vyhledávacího pole na hlavním panelu Windows zadejte PowerShell . v seznamu hledání vyberte a podržte (nebo klikněte pravým tlačítkem myši) Windows PowerShell a pak vyberte spustit jako správce.

  3. Pokud ještě není nainstalovaný, nainstalujte a importujte modul na svém počítači.

     Install-Module -name az
 Import-Module -name az
 Login-AzAccount

  4. přihlaste se k prostředí azure pomocí přihlašovacích údajů správce Azure AD, kde se nachází váš tenant Power BI.

     Login-AzAccount

  5. V okně PowerShellu zadejte následující příkaz, kterým nahraďte <path-to-managed-scanning-powershell-modules> cestu ke složce extrahovaných modulů, jako např. C:\Program Files\WindowsPowerShell\Modules\ManagedScanningPowerShell

    dir -Path <path-to-managed-scanning-powershell-modules> -Recurse | Unblock-File

  6. Zadejte následující příkaz pro instalaci modulů prostředí PowerShell.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\ManagedScanningPowerShell\Microsoft.DataCatalog.Management.Commands.dll'

  7. Pomocí stejné relace PowerShellu nastavte následující parametry. aktualizujte purview_tenant_id pomocí ID tenanta azure ad, kde se nasadí Azure dosah, powerbi_tenant_id s vaším klientem azure ad, kde se nachází tenant Power BI a purview_account_name je váš stávající účet Azure dosah.

    $azuretenantId = '<purview_tenant_id>'
$powerBITenantIdToScan = '<powerbi_tenant_id>'
$purviewaccount = '<purview_account_name>'

  8. Vytvoření instančního objektu pro více tenantů.

    1. vytvořte registraci aplikace ve vašem tenantovi Azure Active Directory, kde se nachází Power BI. ujistěte se, že jste aktualizovali password pole se silným heslem a aktualizovali jste app_display_name neexistující název aplikace ve vašem tenantovi Azure AD, kde je hostovaný Power BI tenant.

      $SecureStringPassword = ConvertTo-SecureString -String <'password'> -AsPlainText -Force
$AppName = '<app_display_name>'
New-AzADApplication -DisplayName $AppName -Password $SecureStringPassword

    2. z řídicího panelu Azure Active Directory vyberte nově vytvořená aplikace a pak vyberte registrace aplikace. Přiřaďte aplikaci následující delegovaná oprávnění a udělte pro tenanta souhlas správce:

      • Power BI Tenant služby. Read. All
      • Microsoft Graph openid

      snímek obrazovky delegovaných oprávnění pro Power BI službu a Microsoft Graph

    3. z řídicího panelu Azure Active Directory vyberte nově vytvořená aplikace a pak vyberte ověřování. V části podporované typy účtů vyberte účty v jakémkoli organizačním adresáři (libovolný adresář služby Azure AD – víceklientské tenanta).

      Snímek obrazovky typu účtu Podpora víceklientské architektury

    4. V části implicitní udělení a hybridní toky nezapomeňte vybrat tokeny ID (používané pro implicitní a hybridní toky) .

      Snímek obrazovky s hybridními toky tokenu ID

    5. Vytvořte pro instanční objekt přihlašovací adresu specifickou pro tenanta spuštěním následující adresy URL ve webovém prohlížeči:

      https://login.microsoftonline.com/<purview_tenant_id>/oauth2/v2.0/authorize?client_id=<client_id_to_delegate_the_pbi_admin>&scope=openid&response_type=id_token&response_mode=fragment&state=1234&nonce=67890

      Nezapomeňte nahradit parametry správnými informacemi:

      • <purview_tenant_id>je ID Azure Active Directory tenanta Azure Purview, ve kterém je zřízen účet Azure Purview.
      • <client_id_to_delegate_the_pbi_admin> je ID aplikace odpovídající vašemu objektu služby.

    6. Přihlaste se pomocí jakéhokoli účtu bez oprávnění správce. To je potřeba ke zřízení instančního objektu v cizím tenantovi.

    7. Po zobrazení výzvy přijměte požadovaná oprávnění k zobrazení základního profilu a zachování přístupu k datům, která jste mu dali přístup k.

  9. Aktualizujte pomocí ID aplikace (klienta) nově vytvořené aplikace a v relaci client_id_to_delegate_the_pbi_admin PowerShellu spusťte následující příkaz:

    $ServicePrincipalId = '<client_id_to_delegate_the_pbi_admin>'

  10. Vytvořte uživatelský účet v tenantovi Azure Active Directory, Power BI se nachází, a přiřaďte mu roli Azure AD Power BI správce. Aktualizujte pbi_admin_username pbi_admin_password a odpovídajícími informacemi a v terminálu PowerShellu spusťte následující řádky:

    $UserName = '<pbi_admin_username>'
$Password = '<pbi_admin_password>'

    Poznámka

    Pokud vytvoříte uživatelský účet v Azure Active Directory z portálu, možnost toku veřejného klienta je ve výchozím nastavení Ne. Musíte ho přepnout na Ano:
    Snímek obrazovky s toky veřejného klienta

  11. V Azure Purview Studiu přiřaďte instančnímu objektu správce zdroje dat a Power BI uživatele v kořenové kolekci.

  12. Pokud chcete zaregistrovat tenanta mezi tenanty Power BI jako nový zdroj dat v rámci účtu Azure Purview, aktualizujte a spusťte v relaci service_principal_key PowerShellu následující rutiny:

    Set-AzDataCatalogSessionSettings -DataCatalogSession -TenantId $azuretenantId -ServicePrincipalAuthentication -ServicePrincipalApplicationId $ServicePrincipalId -ServicePrincipalKey '<service_principal_key>' -Environment Production -DataCatalogAccountName $purviewaccount

Set-AzDataCatalogDataSource -Name 'pbidatasource' -AccountType PowerBI -Tenant $powerBITenantIdToScan -Verbose

Prohledávání

Postupujte podle následujících kroků a naskenujte tenanta Power BI automaticky identifikovat prostředky a klasifikovat data. Další informace o obecné kontrole najdete v našem úvodu do kontrol a příjmu dat.

Tato příručka se zabývá scénáři kontroly stejného tenanta i mezi tenanty.

Vytvoření a spuštění kontroly pro účet stejného tenanta Power BI

Pokud chcete vytvořit a spustit novou kontrolu, proveďte následující:

  1. V aplikaci Purview Studio přejděte v levé nabídce na mapu dat.

  2. Přejděte na Zdroje.

  3. Vyberte zaregistrovaný Power BI zdroj.

  4. Vyberte + New scan (+ Nová kontrola).

  5. Zadejte název kontroly. Potom vyberte možnost pro zahrnutí nebo vyloučení osobních pracovních prostorů. Všimněte si, že jedinou podporovanou metodou ověřování je spravovaná identita.

    Obrázek znázorňující Power BI kontroly

    Poznámka

    Přepnutím konfigurace kontroly tak, aby zahrnovala nebo vyloučila osobní pracovní prostor, se aktivuje úplná kontrola zdroje PowerBI.

  6. Než budete pokračovat k dalším krokům, vyberte Test připojení. Pokud test připojení selhal, vyberte Zobrazit sestavu, zobrazte podrobný stav a vyřešte problém.

    1. Přístup – Stav Selhání znamená, že ověření uživatele selhalo. Kontroly používající spravovanou identitu budou vždy prošl, protože se nevyžaduje ověření uživatele.
    2. Prostředky (+ stav) – Stav Selhání znamená, že purview Power BI autorizace selhala. Ujistěte se, že je spravovaná identita Purview přidaná do skupiny zabezpečení přidružené k Power BI pro správu.
    3. Podrobná metadata (rozšířená) – Stav Selhání znamená, že Power BI pro správu portálu pro správu je zakázaný pro následující nastavení – Vylepšení odpovědí rozhraní API pro správu o podrobná metadata

    Snímek obrazovky se stránkou sestavy stavu testu připojení

  7. Nastavte trigger prohledávání. Máte k dispozici možnosti Jednou, Každých 7 dní a Každých 30 dní.

    Snímek obrazovky s plánovačem skenování Purview

  8. V okně Zkontrolovat novou kontrolu vyberte Uložit a spustit a spusťte kontrolu.

    Snímek obrazovky s uložením a Power BI zdrojem

Vytvoření a spuštění kontroly pro více tenantů Power BI

Pokud chcete v Azure Purview vytvořit a spustit novou kontrolu, spusťte v relaci PowerShellu následující rutiny:

Set-AzDataCatalogScan -DataSourceName 'pbidatasource' -Name 'pbiscan' -AuthorizationType PowerBIDelegated -ServicePrincipalId $ServicePrincipalId -UserName $UserName -Password $Password -IncludePersonalWorkspaces $true -Verbose

Start-AzDataCatalogScan -DataSourceName 'pbidatasource' -Name 'pbiscan'

Zobrazení kontrol a spuštění kontroly

Pokud chcete zobrazit existující kontroly, proveďte následující:

  1. Přejděte do purview studia. Vyberte kartu Mapování dat v levém podokně.

  2. Vyberte požadovaný zdroj dat. V části Poslední kontroly se zobrazí seznam existujících kontrol v tomto zdroji dat nebo můžete zobrazit všechny kontroly na kartě Kontroly.

  3. Vyberte kontrolu s výsledky, které chcete zobrazit.

  4. Na této stránce se zobrazí všechna předchozí spuštění kontroly spolu se stavem a metrikami jednotlivých spuštění kontroly. Zobrazí se také to, jestli byla kontrola naplánovaná nebo ruční, kolik aktiv bylo použito klasifikace, kolik celkového počtu zjištěných prostředků bylo zjištěno, počáteční a koncový čas kontroly a celková doba trvání kontroly.

Správa kontrol – úprava, odstranění nebo zrušení

Kontrolu můžete spravovat nebo odstraňovat takto:

  1. Přejděte do purview studia. Vyberte kartu Mapování dat v levém podokně.

  2. Vyberte požadovaný zdroj dat. V části Poslední kontroly se zobrazí seznam existujících kontrol v tomto zdroji dat nebo můžete zobrazit všechny kontroly na kartě Kontroly.

  3. Vyberte kontrolu, kterou chcete spravovat. Kontrolu můžete upravit tak, že vyberete Upravit kontrolu.

  4. Probíhající kontrolu můžete zrušit výběrem možnosti Zrušit spuštění kontroly.

  5. Kontrolu můžete odstranit výběrem možnosti Odstranit kontrolu.

Poznámka

  • Odstraněním kontroly se neodstraní prostředky katalogu vytvořené z předchozích kontrol.
  • Pokud se zdrojová tabulka změnila a po úpravě popisu na kartě schématu v Purview znovu prohledáte zdrojovou tabulku, prostředek se už nebude aktualizovat se změnami schématu.

Další kroky

Teď, když jste si zaregistrovali zdroj, postupujte podle následujících průvodců a získejte další informace o Purview a vašich datech.