オンプレミス データ ゲートウェイのコミュニケーション設定を調整

この記事では、オンプレミス データ ゲートウェイに関連するいくつかの通信設定について説明します。 また、これらの設定を調整する方法についても説明します。

Azure 接続の送信を有効にする

ゲートウェイは、クラウド接続の Azure Service Bus に依存しています。 それに応じて、ゲートウェイは、関連付けられている Azure リージョンへの送信接続を確立します。

Power BI テナントまたは Office 365 テナントのいずれかに登録した場合、Azure リージョンの規定はそのサービスのリージョンになります。 それ以外の場合、Azure リージョンは、最も近いものになる可能性があります。

送信接続がファイアウォールでブロックされている場合は、ファイアウォールを構成して、ゲートウェイから関連する Azure リージョンに送信接続を許可してください。

ポート

ゲートウェイは、以下の送信ポートで通信します: TCP 443、5671、5672、および 9350 から 9354。 ゲートウェイは、受信ポートが必要ありません。

ファイアウォールで、データ領域に対して IP アドレスを許可することをお勧めします。 毎週更新される Azure データセンター IP 一覧 をダウンロードできます。 または、ゲートウェイ アプリのネットワーク ポート テスト を定期的に実行して、必要なポートの一覧を取得できます。

注意

このファイルは 2020 年 6 月 30 日までに非推奨になります。 以下にリストされている JSON ファイルの使用を開始してください。

これらの JSON ファイルは毎週更新されます

ゲートウェイは、完全修飾ドメイン名 (FQDN) とともに IP アドレスを使用して、Service Bus と通信します。 ゲートウェイに HTTPS 経由の通信を強制すると、FQDN のみを厳密に使用し、IP アドレスを使用しても通信しません。

注意

Azure データセンターの IP リストは、クラスレス ドメイン間ルーティング (CIDR) 表記で IP アドレスが表示されます。 この表記の例では 10.0.0.0/24 であり、10.0.0.0 から 10.0.0.24 までという意味ではありません。 CIDR 表記 について説明します。

次の一覧では、ゲートウェイで使用される FQDN を示しています。

パブリック クラウド ドメイン名 送信ポート 内容
*.download.microsoft.com 80 インストーラーのダウンロードに使用します。 ゲートウェイ アプリはこのドメインも使用して、バージョンとゲートウェイ リージョンを確認します。
*.powerbi.com 443 Power BI クラスターを識別するために使用します。
*.analysis.windows.net 443 Power BI クラスターを識別するために使用します。
*.login.windows.net, login.live.com, and aadcdn.msauth.net 443 Azure Active Directory (Azure AD) および OAuth2 用ゲートウェイ アプリの認証に使用されます。
*.servicebus.windows.net 5671-5672 Advanced Message Queuing Protocol (AMQP) に使用されます。
*.servicebus.windows.net 443 および 9350-9354 TCP を介して Service Bus Relay をリスニングします。 Azure Access Control トークンを取得するには、ポート 443 が必要です。
*.frontend.clouddatahub.net 443 非推奨であり、必須ではありません。 このドメインは、公開ドキュメントからも削除されます。
*.core.windows.net 443 データフローがデータを Azure Data Lake に書き込むために使用します。
login.microsoftonline.com 443 Azure AD および OAuth2 のゲートウェイ アプリを認証するために使用されます。
*.msftncsi.com 443 Power BI サービスがゲートウェイに到達できない場合、インターネットの接続性をテストするために使用されます。
*.microsoftonline-p.com 443 Azure AD および OAuth2 のゲートウェイ アプリを認証するために使用されます。
*.dc.services.visualstudio.com 443 AppInsights が製品利用統計情報を収集するために使用します。

GCCC、GCC High、および DoD の場合、ゲートウェイは次の FQDN を使用します。

ポート GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 .powerbigov.us、.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 .login.windows.net、.login.live.com、*.aadcdn.msauth.net ドキュメントを参照 ドキュメントを参照
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 および 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.com *.login.microsoftonline.com
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

注意

ゲートウェイがインストールされ登録された後、必要なポートと IP アドレスのみは、前の表の servicebus.windows.net で説明したように、Service Bus に必要なものです。 ゲートウェイ アプリのネットワーク ポート テスト を定期的に実行して、必要なポートの一覧を取得できます。 ゲートウェイを強制して、 HTTPS で通信する ことも可能です。

ネットワーク ポート テスト

ゲートウェイが必要なすべてのポートにアクセス を持っているかどうかをテストします:

  1. ゲートウェイを実行しているマシンで、Windows 検索に「gateway」と入力し、オンプレミス データ ゲートウェイ アプリを選択します。

  2. 診断 を選択します。 ネットワーク ポート テスト の下で、新しいテストを開始 を選択します。

    新しいネットワーク ポート テストを開始する方法

使用しているゲートウェイがネットワーク ポート テストを実行するとき、Service Bus からポートとサーバーの一覧が取得され、すべてに接続しようとします。 新しいテストを開始する リンクが再び表示されるとき、ネットワーク ポート テストは完了しています。

テストのサマリーの結果は、「完了 (成功)」か、または「完了 (失敗、最後のテスト結果を参照)」のいずれかです。 テストに成功した場合、使用しているゲートウェイは必要なすべてのポートに接続されます。 テストに失敗した場合、使用しているネットワーク環境では、必要なポートやサーバーがブロックされている可能性があります。

前回完了したテストの結果を表示するには、最後に完了したテスト結果を開く リンクを選択します。 テスト結果は、使用している既定のテキスト エディターで開きます。

テスト結果には、使用しているゲートウェイが必要とするすべてのサーバー、ポート、IP アドレスが一覧表示されます。 テスト結果で、以下のスクリーンショットで示すように、いずれかのポートに「閉じています」が表示される場合、使用しているネットワーク環境で接続がブロックされなかったことを確認してください。 場合によっては、必要なポートを開くようにネットワーク管理者に依頼する必要があります。

メモ帳に表示されるテスト結果

Azure Service Bus との HTTPS 通信を強制する

ゲートウェイと HTTPS を使用する Service Bus との通信 に、直接 TCP ではなく HTTPS を使用するように強制できます。

注意

Service Bus からの推奨事項に基づいて、2019 年 6 月のゲートウェイ リリースより、新しいインストールでは既定が TCP ではなく、HTTPS になります。 この既定の動作は、更新されたインストールには適用されません。

ゲートウェイ アプリ を使い、ゲートウェイを強制してこの動作を採用させることができます。 ゲートウェイ アプリで、通信網 を選び、HTTPS モード をオンにします。

HTTPS モードの設定

この変更を行い、申し込む を選ぶと、ゲートウェイの Windows サービスが自動的に再起動され、変更が有効になります。 申し込む ボタンは、変更を加えたときにのみ表示されます。

ゲートウェイ アプリからゲートウェイ Windows サービスを再起動するには、ゲートウェイを再起動する を参照してください。

注意

ゲートウェイが TCP を使用して通信できない場合、ゲートウェイは自動的に HTTPS を使用します。 ゲートウェイ アプリでの選択には、常に現在のプロトコル値が反映されます。

ゲートウェイ トラフィック用の TLS 1.2

既定では、ゲートウェイは Power BI サービスで、Transport Layer Security (TLS) 1.2 を使用します。 すべてのゲートウェイ トラフィックで TLS 1.2 が使用されるように、ゲートウェイ サービスを実行しているコンピューター上で、次のレジストリ キーを追加または変更することが必要になる場合があります。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

注意

これらのレジストリ キーを追加したり、変更したりすると、すべての .NET アプリケーションに変更が適用されます。 他のアプリケーションの TLS に影響を与えるレジストリ変更については、Transport Layer Security (TLS) レジストリ設定 を参照してください。

次の手順

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。