Informations approfondies sur la passerelle de données localeOn-premises data gateway in-depth

Les utilisateurs de votre organisation peuvent accéder aux données locales (auxquelles ils ont déjà accès), mais avant qu’ils puissent se connecter à votre source de données locale, vous devez installer et configurer une passerelle de données locale.It's possible for users in your organization to access on-premises data (to which they already have access authorization), but before those users can connect to your on-premises data source, an on-premises data gateway needs to be installed and configured. La passerelle favorise une communication rapide et sécurisée en arrière-plan entre un utilisateur dans le cloud et votre source de données locale, dans les deux sens.The gateway facilitates quick and secure behind-the-scenes communication between a user in the cloud, to your on-premises data source, and then back to the cloud.

La passerelle est généralement installée et configurée par un administrateur.Installing and configuring a gateway is usually done by an administrator. Ces opérations peuvent nécessiter une connaissance approfondie de vos serveurs locaux et, dans certains cas, l’autorisation de l’administrateur du serveur peut être nécessaire.It may require special knowledge of your on-premises servers and in some cases may require Server Administrator permissions.

Cet article ne fournit pas d’instructions détaillées quant à l’installation et la configuration de la passerelle.This article doesn’t provide step-by-step guidance on how to install and configure the gateway. Pour obtenir des informations à ce sujet, consultez Passerelle de données locale.For that, be sure to see On-premises data gateway. Cet article a pour objectif d’expliquer en détail le fonctionnement de la passerelle.This article is meant to provide you with an in-depth understanding of how the gateway works. Il aborde également en détail les noms d’utilisateur et la sécurité dans Azure Active Directory et Analysis Services. Vous découvrirez comment le service cloud utilise l’adresse de messagerie avec laquelle un utilisateur se connecte, la passerelle et Active Directory pour se connecter en toute sécurité à vos données locales et exécuter des requêtes.We’ll also go into some detail about usernames and security in both Azure Active Directory and Analysis Services, and how the cloud service uses the e-mail address a user sign in with, the gateway, and Active Directory to securely connect to and query your on-premises data.

Fonctionnement de la passerelleHow the gateway works

On-prem-data-gateway-how-it-works

Commençons par examiner ce qui se passe quand un utilisateur interagit avec un élément connecté à une source de données locale.Let’s first look at what happens when a user interacts with an element connected to an on-premises data source.

Note

Pour Power BI, vous devez configurer une source de données pour la passerelle.For Power BI, you will need to configure a data source for the gateway.

  1. Une requête est créée par le service cloud, avec les informations d’identification chiffrées de la source de données locale, puis transmise à la file d’attente de la passerelle à traiter.A query will be created by the cloud service, along with the encrypted credentials for the on-premises data source, and sent to the queue for the gateway to process.
  2. Le service cloud de passerelle analyse la requête et transmet la demande à Azure Service Bus.The gateway cloud service will analyze the query and will push the request to the Azure Service Bus.
  3. La passerelle de données locale interroge Azure Service Bus pour obtenir les demandes en attente.The on-premises data gateway polls the Azure Service Bus for pending requests.
  4. La passerelle récupère la requête, déchiffre les informations d’identification et se connecte aux sources de données avec ces informations d’identification.The gateway gets the query, decrypts the credentials and connects to the data source(s) with those credentials.
  5. Elle envoie la requête à la source de données afin de l’exécuter.The gateway sends the query to the data source for execution.
  6. Les résultats sont renvoyés à la passerelle, depuis la source de données, puis sur le service cloud.The results are sent from the data source, back to the gateway, and then onto the cloud service. Le service utilise ensuite les résultats.The service then uses the results.

Liste des types de sources de données disponiblesList of available data source types

Source de donnéesData source Active/DirectQueryLive/DirectQuery Actualisation manuelle ou planifiée configurée par l’utilisateurUser configured manual or scheduled refresh
Analysis Services (tabulaire)Analysis Services Tabular OuiYes OuiYes
Analysis Services (multidimensionnelle)Analysis Services Multidimensional OuiYes OuiYes
FichierFile NonNo OuiYes
DossierFolder NonNo OuiYes
IBM DB2IBM DB2 NonNo OuiYes
Base de données Informix IBMIBM Informix Database NonNo OuiYes
ImpalaImpala OuiYes OuiYes
MySQLMySQL NonNo OuiYes
ODataOData NonNo OuiYes
ODBCODBC NonNo OuiYes
OledbOledb NonNo OuiYes
OracleOracle OuiYes OuiYes
PostgresSQLPostgresSQL NonNo OuiYes
SAP BWSAP BW OuiYes OuiYes
SAP HANASAP HANA OuiYes OuiYes
Liste SharePoint (local)SharePoint list (on-premises) NonNo OuiYes
SnowflakeSnowflake OuiYes OuiYes
SQL ServerSQL Server OuiYes OuiYes
SybaseSybase NonNo OuiYes
TeradataTeradata OuiYes OuiYes
WebWeb NonNo OuiYes

Compte de connexionSign in account

Les utilisateurs doivent se connecter en utilisant un compte professionnel ou scolaire.Users will sign in with either a work or school account. Il s’agit du compte de votre organisation.This is your organization account. Si vous avez souscrit une offre Office 365 et que vous n’avez pas fourni votre adresse de messagerie professionnelle, il peut ressembler à nancy@contoso.onmicrosoft.com. Votre compte, au sein d’un service cloud, est stocké dans un locataire, dans Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). Généralement, le nom d’utilisateur principal (ou UPN) de votre compte AAD correspond à votre adresse de messagerie.In most cases, your AAD account’s UPN will match the email address.

Authentification auprès des sources de données localesAuthentication to on-premises data sources

Les informations d’identification stockées sont utilisées pour la connexion aux sources de données locales à partir de la passerelle, à l’exception d’Analysis Services.A stored credential will be used to connect to on-premises data sources from the gateway except Analysis Services. Quel que soit l’utilisateur concerné, la passerelle utilise les informations d’identification stockées pour se connecter.Regardless of the individual user, the gateway uses the stored credential to connect.

Authentification auprès d’une source de données Analysis Services activeAuthentication to a live Analysis Services data source

Chaque fois qu’un utilisateur interagit avec Analysis Services, le nom de l’utilisateur en vigueur est transmis à la passerelle, puis à votre serveur Analysis Services local.Each time a user interacts with Analysis Services, the effective username is passed to the gateway and then onto your on-premises Analysis Services server. Le nom d’utilisateur principal, qui est généralement l’adresse de messagerie utilisée pour la connexion au cloud, est celui que nous transmettons à Analysis Services en tant qu’utilisateur en vigueur.The user principal name (UPN), typically the email address you sign into the cloud with, is what we will pass to Analysis Services as the effective user. Le nom d’utilisateur principal est transmis dans la propriété de connexion EffectiveUserName.The UPN is passed in the connection property EffectiveUserName. Cette adresse de messagerie doit correspondre à un nom d’utilisateur principal défini dans le domaine Active Directory local.This email address should match a defined UPN within the local Active Directory domain. L’UPN est une propriété de compte Active Directory.The UPN is a property of an Active Directory account. Pour avoir accès au serveur, ce compte Windows doit se trouver dans un rôle Analysis Services.That Windows account then needs to be present in an Analysis Services role to have access to the server. La connexion échoue s’il n’existe aucune correspondance dans Active Directory.The login will not be successful if no match is found in Active Directory.

Analysis Services peut également fournir un filtrage basé sur ce compte.Analysis Services can also provide filtering based on this account. Le filtrage peut se produire avec la sécurité basée sur les rôles ou au niveau des lignes.The filtering can occur with either role based security, or row-level security.

Sécurité basée sur les rôlesRole-based security

Les modèles fournissent une solution de sécurité basée sur les rôles d’utilisateur.Models provide security based on user roles. Les rôles sont définis pour un projet de modèle spécifique pendant la procédure de création dans SQL Server Data Tools - Business Intelligence (SSDT-BI) ou après le déploiement d’un modèle, à l’aide de SQL Server Management Studio (SSMS).Roles are defined for a particular model project during authoring in SQL Server Data Tools – Business Intelligence (SSDT-BI), or after a model is deployed, by using SQL Server Management Studio (SSMS). Les rôles contiennent des membres définis par leurs noms d’utilisateur Windows ou par leur groupe Windows.Roles contain members by Windows username or by Windows group. Les rôles définissent les autorisations dont dispose un utilisateur pour interroger le modèle ou effectuer des actions sur ce dernier.Roles define permissions a user has to query or perform actions on the model. La plupart des utilisateurs appartiennent à un rôle doté d’autorisations de lecture.Most users will belong to a role with Read permissions. Les autres rôles sont destinés aux administrateurs qui possèdent des autorisations pour traiter les éléments, gérer les fonctions de base de données et gérer les autres rôles.Other roles are meant for administrators with permissions to process items, manage database functions, and manage other roles.

Sécurité au niveau des lignesRow-level security

La sécurité au niveau des lignes est propre à Analysis Services.Row-level security is specific to Analysis Services row-level security. Les modèles peuvent proposer une solution de sécurité dynamique au niveau des lignes.Models can provide dynamic, row-level security. Contrairement au cas où les utilisateurs appartiennent à au moins un rôle, la sécurité dynamique est inutile pour tout modèle tabulaire.Unlike having at least one role in which users belong to, dynamic security is not required for any tabular model. À un haut niveau, la sécurité dynamique définit l’accès en lecture d’un utilisateur à des données directement au niveau d’une ligne particulière dans une table donnée.At a high-level, dynamic security defines a user’s read access to data right down to a particular row in a particular table. Similaire aux rôles, la sécurité dynamique au niveau des lignes s’appuie sur le nom d’utilisateur Windows d’un utilisateur.Similar to roles, dynamic row-level security relies on a user’s Windows username.

L’aptitude d’un utilisateur à interroger et à afficher les données de modèle est déterminée en premier lieu par les rôles dont son compte utilisateur Windows est membre et en second lieu par la sécurité dynamique au niveau des lignes, si elle est configurée.A user’s ability to query and view model data are determined first by the roles their Windows user account are a member of and second, by dynamic row-level security, if configured.

La mise en œuvre d’une sécurité basée sur les rôles et dynamique au niveau des lignes dans les modèles dépasse le cadre de cet article.Implementing role and dynamic row-level security in models are beyond the scope of this article. Pour en savoir plus, consultez les rubriques Rôles (SSAS Tabulaire) et Rôles de sécurité (Analysis Services - Données multidimensionnelles) sur MSDN.You can learn more at Roles (SSAS Tabular) and Security Roles (Analysis Services - Multidimensional Data) on MSDN. En outre, pour approfondir au maximum votre compréhension de la sécurité des modèles tabulaires, téléchargez et lisez le livre blanc Securing the Tabular BI Semantic Model.And, for the most in-depth understanding of tabular model security, download and read the Securing the Tabular BI Semantic Model whitepaper.

Qu’en est-il d’Azure Active Directory ?What about Azure Active Directory?

Les services cloud Microsoft utilisent Azure Active Directory pour prendre en charge l’authentification des utilisateurs.Microsoft cloud services use Azure Active Directory to take care of authenticating users. Azure Active Directory est le locataire qui contient les groupes de sécurité et les noms d’utilisateur.Azure Active Directory is the tenant that contains usernames and security groups. En règle générale, un utilisateur se connecte avec l’adresse de messagerie qui correspond au nom d’utilisateur principal du compte.Typically, the email address a user signs in with is the same as the UPN of the account.

Qu’est-ce qu’un rôle Active Directory local ?What is my local Active Directory’s role?

Pour qu’Analysis Services puisse déterminer si un utilisateur se connectant à ce dernier appartient à un rôle doté d’autorisations de lecture des données, le serveur doit convertir le nom d’utilisateur en vigueur transmis depuis AAD à la passerelle, puis au serveur Analysis Services.For Analysis Services to determine if a user connecting to it belongs to a role with permissions to read data, the server needs to convert the effective username passed from AAD to the gateway, and onto the Analysis Services server. Le serveur Analysis Services passe le nom d’utilisateur en vigueur à un contrôleur de domaine Active Directory.The Analysis Services server passes the effective username to a Windows Active Directory domain controller (DC). Ensuite, le contrôleur de domaine Active Directory confirme que le nom d’utilisateur en vigueur correspond à un UPN valide sur un compte local et renvoie le nom d’utilisateur Windows de cet utilisateur au serveur Analysis Services.The Active Directory DC then validates the effective username is a valid UPN, on a local account, and returns that user’s Windows username back to the Analysis Services server.

Le nom d’utilisateur en vigueur ne peut pas être utilisé sur un serveur Analysis Services non joint au domaine.EffectiveUserName cannot be used on a non-domain joined Analysis Services server. Le serveur Analysis Services doit être joint à un domaine pour éviter les erreurs de connexion.The Analysis Services server must be joined to a domain to avoid any login errors.

Comment savoir quel est mon UPN ?How do I tell what my UPN is?

Vous ne savez pas peut-être pas quel est votre UPN, et vous n’êtes peut-être pas un administrateur de domaine.You may not know what your UPN is, and you may not be a domain administrator. Vous pouvez utiliser la commande suivante à partir de votre station de travail pour connaître l’UPN de votre compte.You can use the following command from your workstation to find out the UPN for your account.

whoami /upn

Le résultat ressemblera à une adresse de messagerie, mais il s’agit de l’UPN qui se trouve sur votre compte de domaine local.The result will look similar to an email address, but this is the UPN that is on your local domain account. Si vous utilisez une source de données Analysis Services pour les connexions actives, celle-ci doit correspondre à ce qui a été transmis à la propriété EffectiveUserName à partir de la passerelle.If you are using an Analysis Services data source for live connections, this must match what was passed to EffectiveUserName from the gateway.

Mappage des noms d’utilisateurs pour les sources de données Analysis ServicesMapping usernames for Analysis Services data sources

Power BI autorise le mappage des noms d’utilisateurs pour les sources de données Analysis Services.Power BI allows for mapping usernames for Analysis Services data sources. Vous pouvez configurer des règles pour mapper un nom d’utilisateur connecté avec Power BI au nom qui a été transmis comme nom d’utilisateur en vigueur sur la connexion Analysis Services.You can configure rules to map a username logged in with Power BI to a name that is passed for EffectiveUserName on the Analysis Services connection. La fonctionnalité de mappage des noms d’utilisateurs est un excellent moyen de contournement quand votre nom d’utilisateur AAD ne correspond pas à un nom d’utilisateur principal (UPN) de votre annuaire Active Directory local.The map user names feature is a great way to work around when your username in AAD doesn't match a UPN in your local Active Directory. Par exemple, si votre adresse e-mail est nancy@contoso.onmicrsoft.com, vous pouvez la mapper à nancy@contoso.com. Cette valeur est ensuite transmise à la passerelle.For example, if your email address is nancy@contoso.onmicrsoft.com, you could map it to nancy@contoso.com, and that value would be passed to the gateway. Pour en savoir plus sur le mappage des noms d’utilisateur, cliquez ici.You can learn more about how to map user names.

Synchroniser un service Active Directory local avec Azure Active DirectorySynchronize an on-premises Active Directory with Azure Active Directory

Vous voulez que vos comptes Active Directory locaux correspondent à Azure Active Directory si vous vous apprêtez à utiliser des connexions actives Analysis Services.You would want your local Active Directory accounts to match Azure Active Directory if you are going to be using Analysis Services live connections. De même, l’UPN doit être identique pour tous les comptes.As the UPN has to match between the accounts.

Les services cloud reconnaissent uniquement les comptes dans Azure Active Directory.The cloud services only know about accounts within Azure Active Directory. Même si vous avez ajouté un compte dans votre annuaire Active Directory local, s’il n’existe pas dans AAD, il ne peut pas être utilisé.It doesn’t matter if you added an account in your local Active Directory, if it doesn’t exist in AAD, it cannot be used. Il existe différentes méthodes pour faire correspondre vos comptes Active Directory locaux avec Azure Active Directory.There are different ways that you can match your local Active Directory accounts with Azure Active Directory.

  1. Vous pouvez ajouter manuellement des comptes à Azure Active Directory.You can add accounts manually to Azure Active Directory.

    Vous pouvez créer un compte sur le portail Azure ou dans le portail d’administration Office 365. Le nom du compte correspond alors au nom d’utilisateur principal du compte Active Directory local.You can create an account on the Azure portal, or within the Office 365 Admin Portal, and the account name matches the UPN of the local Active Directory account.

  2. Vous pouvez utiliser l’outil Azure AD Connect pour synchroniser les comptes locaux avec votre locataire Azure Active Directory.You can use the Azure AD Connect tool to synchronize local accounts to your Azure Active Directory tenant.

    L’outil Azure AD Connect fournit des options de synchronisation des annuaires et des mots de passe.The Azure AD Connect tool provides options for directory and password synchronization. Si vous n’êtes pas un administrateur de locataire ou un administrateur de domaine local, vous devez contacter votre administrateur pour qu’il se charge de la configuration.If you are not a tenant admin or a local domain administrator, you will need to contact your IT admin to get this configured.

  3. Vous pouvez configurer Active Directory Federation Services (ADFS).You can configure Active Directory Federation Services (ADFS).

    Vous pouvez associer votre serveur AD FS à votre locataire AAD avec l’outil Azure AD Connect.You can associate your ADFS server to your AAD tenant with the Azure AD Connect tool. ADFS utilise la synchronisation d’annuaires évoquée ci-dessus et autorise également l’authentification unique.ADFS makes use of the directory synchronization discussed above but allows for a single sign-on (SSO) experience. Par exemple, si vous êtes dans le réseau de votre entreprise, quand vous vous connectez à un service cloud, il se peut que vous ne soyez pas invité à entrer un nom d’utilisateur ou un mot de passe.For example, if you are within your work network, when you to a cloud service, and go to sign in, you may not be prompted to enter a username or password. Vous devez voir avec votre administrateur si cette option est disponible pour votre organisation.You will need to discuss with your IT Admin if this is available for your organization.

L’utilisation d’Azure AD Connect permet de vérifier que les UPN d’AAD et de votre annuaire Active Directory local correspondent.Using Azure AD Connect ensures that the UPN will match between AAD and your local Active Directory.

Note

La synchronisation des comptes avec l’outil Azure AD Connect crée des comptes au sein de votre client AAD.Synchronizing accounts with the Azure AD Connect tool will create new accounts within your AAD tenant.

C’est là que la passerelle entre en scène.Now, this is where the gateway comes in

La passerelle fait office de pont entre le cloud et votre serveur local.The gateway acts as a bridge between the cloud and your on-premises server. Le transfert de données entre le cloud et la passerelle est sécurisé au moyen d’Azure Service Bus.Data transfer between the cloud and the gateway is secured through Azure Service Bus. Service Bus crée un canal sécurisé entre le cloud et votre serveur local via une connexion sortante sur la passerelle.The Service Bus creates a secure channel between the cloud and your on-premises server through an outbound connection on the gateway. Vous n’avez pas besoin d’ouvrir une connexion entrante sur votre pare-feu local.There are no inbound connections that you need to open on your on-premises firewall.

Si vous avez une source de données Analysis Services, vous devez installer la passerelle sur un ordinateur associé à la même forêt ou au même domaine que votre serveur Analysis Services.If you have an Analysis Services data source, you’ll need to install the gateway on a computer joined to the same forest/domain as your Analysis Services server.

Plus la passerelle est proche du serveur, plus la connexion est rapide.The closer the gateway is to the server, the faster the connection will be. L’idéal, pour éviter toute latence du réseau entre la passerelle et le serveur, est d’utiliser la passerelle sur le même serveur que la source de données.If you can get the gateway on the same server as the data source, that is best to avoid network latency between the gateway and the server.

Que faire ensuite ?What to do next?

Une fois que vous avez installé la passerelle, vous devez créer les sources de données associées.After you get the gateway installed, you will want to create data sources for that gateway. Vous pouvez ajouter des sources de données dans l’écran Gérer les passerelles.You can add data sources within the Manage gateways screen. Pour plus d’informations, consultez les articles sur la gestion des sources de données.For more information, see the manage data sources articles.

Gérer votre source de données - Analysis ServicesManage your data source - Analysis Services
Gérer votre source de données - SAP HANAManage your data source - SAP HANA
Gérer votre source de données - SQL ServerManage your data source - SQL Server
Gérer votre source de données - OracleManage your data source - Oracle
Gérer votre source de données - Importation/actualisation planifiéeManage your data source - Import/Scheduled refresh

Problèmes éventuelsWhere things can go wrong

Parfois, l’installation de la passerelle échoue.Sometimes installing the gateway fails. Ou bien la passerelle semble être installée correctement, mais le service ne parvient pas à l’utiliser.Or, maybe the gateway seems to install ok, but the service is still unable to work with it. Dans de nombreux cas, le problème est simple. Par exemple : une erreur de mot de passe pour les informations d’identification utilisées par la passerelle pour se connecter à la source de données.In many cases, it’s something simple, like the password for the credentials the gateway uses to sign into the data source.

Dans d’autres cas, il peut s’agir d’un problème au niveau du type d’adresse de messagerie avec laquelle l’utilisateur se connecte ou encore l’incapacité d’Analysis Services à résoudre un nom d’utilisateur effectif.In other cases, there might be issues with the type of e-mail address users sign in with, or Analysis Services’ inability to resolve an effective username. Si vous possédez plusieurs domaines liés par des approbations et que votre passerelle figure dans l’un d’eux alors qu’Analysis Services figure dans un autre, cela entraîne parfois des problèmes.If you have multiple domains with trusts between them, and your gateway is in one and Analysis Services in another, this sometimes can cause some problems.

Nous n’expliquerons pas ici comment résoudre les problèmes liés à la passerelle. Pour cela, consultez l’article Résolution des problèmes de passerelle de données locale qui contient une série de procédures de dépannage.Rather than go into troubleshooting gateway issues here, we’ve put a series of troubleshooting steps into another article; Troubleshooting the on-premises data gateway. Vous ne rencontrerez probablement aucun problème.Hopefully, you won’t have any problems. Mais dans le cas contraire, la compréhension du fonctionnement des différents éléments et l’article de résolution des problèmes devraient vous aider.But if you do, understanding how all of this works and the troubleshooting article should help.

Compte de connexionSign in account

Les utilisateurs doivent se connecter en utilisant un compte professionnel ou scolaire.Users will sign in with either a work or school account. Il s’agit du compte de votre organisation.This is your organization account. Si vous avez souscrit une offre Office 365 et que vous n’avez pas fourni votre adresse de messagerie professionnelle, il peut ressembler à nancy@contoso.onmicrosoft.com. Votre compte, au sein d’un service cloud, est stocké dans un locataire, dans Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). Généralement, le nom d’utilisateur principal (ou UPN) de votre compte AAD correspond à votre adresse de messagerie.In most cases, your AAD account’s UPN will match the email address.

Compte de service WindowsWindows Service account

La passerelle de données locale est configurée pour utiliser NT SERVICE\PBIEgwService pour les informations d’identification de connexion au service Windows.The on-premises data gateway is configured to use NT SERVICE\PBIEgwService for the Windows service logon credential. Par défaut, elle a le droit de se connecter en tant que service.By default, it has the right of Log on as a service. Cela dépend de l’ordinateur sur lequel vous installez la passerelle.This is in the context of the machine that you are installing the gateway on.

Note

Si vous avez sélectionné le mode Personal, vous devez configurer le compte de service Windows séparément.If you selected personal mode, you configure the Windows service account separately.

Il ne s’agit pas du compte utilisé pour se connecter aux sources de données locales.This is not the account used to connect to on-premises data sources. Il ne s’agit pas non plus du compte professionnel ou scolaire que vous utilisez pour vous connecter aux services cloud.This is also not your work or school account that you sign into cloud services with.

Si vous rencontrez des problèmes avec votre serveur proxy, en raison de l’authentification, vous pouvez remplacer le compte de service Windows par un compte d’utilisateur de domaine ou de service administré.If you encounter issues with your proxy server, due to authentication, you may want to change the Windows service account to a domain user or managed service account. Vous pouvez apprendre à changer de compte dans la configuration du proxy.You can learn how to change the account in proxy configuration.

PortsPorts

La passerelle crée une connexion sortante vers Azure Service Bus.The gateway creates an outbound connection to Azure Service Bus. Elle communique sur des ports de sortie : TCP 443 (valeur par défaut), 5671, 5672, 9350 à 9354.It communicates on outbound ports: TCP 443 (default), 5671, 5672, 9350 thru 9354. La passerelle ne nécessite pas de ports d’entrée.The gateway does not require inbound ports. En savoir plusLearn more

Nous vous recommandons d’ajouter les adresses IP de votre région de données à la liste verte dans votre pare-feu.It is recommended that you whitelist the IP addresses, for your data region, in your firewall. Vous pouvez télécharger la liste des adresses IP de centre de données Microsoft Azure.You can download the Microsoft Azure Datacenter IP list. Cette liste est mise à jour chaque semaine.This list is updated weekly. La passerelle communique avec Azure Service Bus à l’aide de l’adresse IP et du nom de domaine complet.The gateway will communicate with Azure Service Bus using the IP address along with the fully qualified domain name (FQDN). Si vous forcez la passerelle à communiquer à l’aide de HTTPS, elle utilise uniquement un nom de domaine complet et aucune communication n’est établie au moyen des adresses IP.If you are forcing the gateway to communicate using HTTPS it will strictly use FQDN only, and no communication will happen using IP addresses.

Note

Les adresses IP répertoriées dans la liste d’adresses IP du centre de données Azure sont en notation CIDR.The IP Addresses listed in the Azure Datacenter IP list are in CIDR notation. Par exemple, 10.0.0.0/24 ne signifie pas de 10.0.0.0 à 10.0.0.24.For example, 10.0.0.0/24 does not mean 10.0.0.0 thru 10.0.0.24. En savoir plus sur la notation CIDR.Learn more about the CIDR notation.

Voici la liste des noms de domaine complets utilisés par la passerelle.Here is a listing of the fully qualified domain names used by the gateway.

Noms de domaineDomain names Ports de sortieOutbound ports DescriptionDescription
.download.microsoft.com.download.microsoft.com 8080 HTTP utilisé pour télécharger le programme d’installation.HTTP used to download the installer.
.powerbi.com.powerbi.com 443443 HTTPSHTTPS
.analysis.windows.net.analysis.windows.net 443443 HTTPSHTTPS
.login.windows.net.login.windows.net 443443 HTTPSHTTPS
.servicebus.windows.net.servicebus.windows.net 5671-56725671-5672 AMQP (Advanced Message Queuing Protocol)Advanced Message Queuing Protocol (AMQP)
.servicebus.windows.net.servicebus.windows.net 443, 9350-9354443, 9350-9354 Écouteurs sur Service Bus Relay via TCP (nécessite 443 pour l’acquisition de jeton de contrôle d’accès)Listeners on Service Bus Relay over TCP (requires 443 for Access Control token acquisition)
.frontend.clouddatahub.net.frontend.clouddatahub.net 443443 HTTPSHTTPS
.core.windows.net.core.windows.net 443443 HTTPSHTTPS
login.microsoftonline.comlogin.microsoftonline.com 443443 HTTPSHTTPS
.msftncsi.com.msftncsi.com 443443 Utilisé pour tester la connectivité Internet si la passerelle n’est pas accessible par le service Power BI.Used to test internet connectivity if the gateway is unreachable by the Power BI service.
.microsoftonline-p.com.microsoftonline-p.com 443443 Utilisé pour l’authentification en fonction de la configuration.Used for authentication depending on configuration.

Note

Le trafic dirigé vers visualstudio.com ou visualstudioonline.com est réservé à Application Insights et n’est pas requis pour le fonctionnement de la passerelle.Traffic going to visualstudio.com or visualstudioonline.com are for app insights and are not required for the gateway to function.

Forcer les communications HTTPS avec Azure Service BusForcing HTTPS communication with Azure Service Bus

Vous pouvez forcer la passerelle pour communiquer avec Azure Service Bus à l’aide de HTTPS au lieu de Direct TCP.You can force the gateway to communicate with Azure Service Bus using HTTPS instead of direct TCP. Cela peut avoir un impact sur les performances.This may have an impact on performance. Pour ce faire, modifiez le fichier Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config en modifiant la valeur de AutoDetect à Https, comme indiqué dans l’extrait de code qui suit directement ce paragraphe.To do so, modify the Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config file by changing the value from AutoDetect to Https, as shown in the code snippet directly following this paragraph. Par défaut, ce fichier se trouve dans le dossier C:\Program Files\Passerelle de données locale.That file is located (by default) at C:\Program Files\On-premises data gateway.

<setting name="ServiceBusSystemConnectivityModeString" serializeAs="String">
    <value>Https</value>
</setting>

La valeur du paramètre ServiceBusSystemConnectivityModeString respecte la casse.The value for the ServiceBusSystemConnectivityModeString parameter is case sensitive. Les valeurs valides sont AutoDetect et Https.Valid values are AutoDetect and Https.

Depuis la version de mars 2017, vous pouvez également forcer la passerelle à adopter ce comportement à l’aide de l’interface utilisateur associée.Alternatively, you can force the gateway to adopt this behavior using the gateway user interface, beginning with the March 2017 release. Dans l’interface utilisateur de la passerelle, sélectionnez Réseau, puis définissez le paramètre Mode de connectivité Azure Service Bus sur Activé.In the gateway user interface select Network, then toggle the Azure Service Bus connectivity mode to On.

Une fois les modifications effectuées, lorsque vous sélectionnez Appliquer (un bouton qui n’apparaît que lorsque vous apportez une modification), le service Windows de passerelle redémarre automatiquement afin que la modification puisse prendre effet.Once changed, when you select Apply (a button that only appears when you make a change), the gateway Windows service restarts automatically, so the change can take effect.

Pour référence future, vous pouvez redémarrer le service Windows de passerelle à partir de la boîte de dialogue d’interface utilisateur en sélectionnant Paramètres de service, puis Redémarrer maintenant.For future reference, you can restart the gateway Windows service from the user interface dialog by selecting Service Settings then select Restart Now.

Prise en charge de TLS 1.1/1.2Support for TLS 1.1/1.2

À partir de la mise à jour d’août 2017, la passerelle de données locale utilise, par défaut, le protocole TLS 1.1 ou 1.2 pour communiquer avec le service Power BI.With the August 2017 update and beyond, the on-premises data gateway uses Transport Layer Security (TLS) 1.1 or 1.2 to communicate with the Power BI service by default. Les versions précédentes de la passerelle de données locale utilisent le protocole TLS 1.0 par défaut.Previous versions of the on-premises data gateway use TLS 1.0 by default. Le 15 janvier 2018, le protocole TLS 1.0 ne sera plus pris en charge, y compris la capacité de la passerelle à interagir avec le service Power BI avec TLS 1.0. Vous devez donc mettre à niveau vos installations de passerelle de données locale vers la version d’août 2017 ou une version ultérieure avant cette date, afin que vos passerelles continuent à fonctionner.On January 15th 2018, support for TLS 1.0 will end, including the gateway's ability to interact with the Power BI service using TLS 1.0, so by then you must upgrade your on-premises data gateway installations to the August 2017 release or newer to ensure your gateways continue to operate.

Il est important de noter que le protocole TLS 1.0 reste pris en charge par la passerelle de données locale jusqu’au 31 octobre, et est utilisé par celle-ci en tant que mécanisme de secours.It's important to note that TLS 1.0 is still supported by the on-premises data gateway prior to November 1st, and is used by the gateway as a fallback mechanism. Pour vous assurer que tout le trafic de passerelle utilise les protocoles TLS 1.1 ou 1.2 (et pour empêcher l’utilisation du protocole TLS 1.0 sur votre passerelle), vous devez ajouter ou modifier les clés de Registre suivantes sur l’ordinateur exécutant le service de passerelle :To ensure all gateway traffic uses TLS 1.1 or 1.2 (and to prevent the use of TLS 1.0 on your gateway), you must add or modify the following registry keys on the machine running the gateway service:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Note

L’ajout ou la modification de ces clés de Registre s’appliquent à toutes les applications .NET.Adding or modifying these registry keys applies the change to all .NET applications. Pour plus d’informations sur les modifications du Registre qui affectent le protocole TLS pour d’autres applications, voir Paramètres de Registre pour le protocole TLS.For information about registry changes that affect TLS for other applications, see Transport Layer Security (TLS) registry settings.

Comment redémarrer la passerelleHow to restart the gateway

La passerelle s’exécute en tant que service Windows.The gateway runs as a windows service. Vous pouvez la démarrer et l’arrêter comme n’importe quel service Windows.You can start and stop it like any windows service. Il existe plusieurs manières de procéder.There are multiple ways to do this. Voici comment faire à partir de l’invite de commandes.Here is how you can do it from the command prompt.

  1. Sur l’ordinateur sur lequel la passerelle est en cours d’exécution, lancez une invite de commandes d’administration.On the machine where the gateway is running, launch an admin command prompt.
  2. Utilisez la commande suivante pour arrêter le service.Use the following command to stop the service.

    net stop PBIEgwServicenet stop PBIEgwService

  3. Utilisez la commande suivante pour démarrer le service.Use the following command to start the service.

    net start PBIEgwServicenet start PBIEgwService

Étapes suivantesNext steps

Résolution des problèmes de passerelle de données localeTroubleshooting the on-premises data gateway
Azure Service BusAzure Service Bus
Azure AD ConnectAzure AD Connect
D’autres questions ?More questions? Posez vos questions à la communauté Power BITry the Power BI Community