オンプレミス データ ゲートウェイのアーキテクチャ

組織内のユーザーは、既にアクセス承認を持っているオンプレミス データにアクセスできます。 しかし、ユーザーがオンプレミスのデータ ソースに接続できるようになるには、事前に オンプレミス データ ゲートウェイがインストールおよび構成されている必要があります。

ゲートウェイは、迅速かつ安全なバック グラウンドの通信を容易にします。 このコミュニケーション フローは、クラウド内のユーザーからオンプレミスのデータ ソースに送られてから、クラウドに戻ります。

管理者とは、通常ゲートウェイをインストールして構成するユーザーのことです。 これらのアクションでは、オンプレミス サーバーまたはサーバー管理者権限に関する特別な知識が必要になる場合があります。

この記事では、ゲートウェイをインストールして構成する方法の詳しい手順は説明しません。 ガイダンスについては、オンプレミス データ ゲートウェイのインストール を必ず参照してください。 この記事は、ゲートウェイが機能するしくみを理解できるように、その詳細を説明しています。

ゲートウェイのしくみ

クラウド サービス、ゲートウェイ、データ ソース間の関係。

最初に、オンプレミスのデータ ソースに接続されたレポートを操作した場合に、どのような処理が行われるかを見てみましょう。

注意

クラウド サービスによっては、ゲートウェイにデータ ソースを構成する必要がある場合があります。

  1. クラウド サービスによって、オンプレミス データ ソースの暗号化された資格情報とクエリが作成されます。 クエリと資格情報は、処理のためにゲートウェイのキューに送信されます。 Power BI の資格情報の暗号化については、Power BIセキュリティ ホワイトペーパーを参照してください。
  2. ゲートウェイ クラウド サービスは、クエリを分析し、要求を Azure サービス バス メッセージング にプッシュします。
  3. Azure Service Bus は、保留中の要求をゲートウェイに送信します。 ゲートウェイと Power BI サービスは、TLS 1.2 トラフィックのみを受け入れるように実装されています。
  4. ゲートウェイはクエリを取得して資格情報の暗号化を解除し、その資格情報を使用して 1 つ以上のデータ ソースに接続します。
  5. クエリは、ゲートウェイによってデータ ソースへ送信され、実行されます。
  6. 結果は、データ ソースからゲートウェイに返され、さらにクラウド サービスに送信されます。 結果がサービスで使用されます。

手順 6 では、Power BI 更新と Azure Analysis Services 更新のようなクエリは、大量のデータを返す可能性があります。 このようなクエリの場合、データはゲートウェイ コンピューターに一時的に保存されます。 このデータ ストレージは、データ ソースから全てのデータを受信するまで続きます。 それから、データはクラウド サービスに返されます。 このプロセスはスプーリングと呼ばれます。 スプーリング ストレージとしてソリッド ステート ドライブ (SSD) の使用をお勧めします。

オンプレミス データ ソースの認証

保存されている資格情報は、ゲートウェイからオンプレミス データ ソースへの接続に使用されます。 ユーザーに関係なく、ゲートウェイは保存されている資格情報を使用して接続します。 ただし、Power BI の DirectQuery と Analysis Services 用のライブ接続のような認証の例外があるかもしれません。 Power BI の資格情報の暗号化については、Power BIセキュリティ ホワイトペーパーを参照してください。

サインイン アカウント

職場アカウントまたは学校アカウントでサインインします。 このアカウントは組織アカウントです。 Office 365 オファリングにサイン インして実際の仕事用メール アドレスを供給しなかった場合、そのアカウント名は nancy@contoso.onmicrosoft.com のようになります。 クラウド サービスは、Azure Active Directory (Azure AD) のテナント内にアカウントを保存します。 ほとんどの場合、Azure AD アカウントのユーザー プリンシパル名 (UPN) がメール アドレスと一致します。

Azure Active Directory

Microsoft クラウド サービスは Azure AD を使用してユーザーを認証します。 Azure AD は、ユーザー名とセキュリティ グループを含むテナントです。 通常、サインインに使用する電子メール アドレスはアカウントの UPN と同じです。 Power BI の認証の詳細については、Power BIセキュリティ ホワイトペーパーを参照してください。

自分の UPN を確認する方法

UPN を知らない場合や、ドメイン管理者でない場合があります。アカウントの UPN を確認するには、ワークステーションから次のコマンドを実行します: whoami /upn

結果は電子メール アドレスのように見えますが、ローカル ドメイン アカウントの UPN です。

オンプレミスの Active Directory を Azure Active Directory と同期する

それぞれのオンプレミス Active Directory アカウントを Azure AD アカウントに一致させたい場合、両方のアカウントの UPN を同じにする必要があります。

クラウド サービスは、Azure AD 内のアカウントのみを認識します。 オンプレミスの Active Directory にアカウントを追加したかどうかは重要ではありません。 アカウントが Azure AD に存在しない場合には使用できません。

Azure AD とオンプレミスの Active Directory アカウントを一致させるさまざまな方法があります。

  • Azure AD に手動でアカウントを追加します。

    Azure Portal で、または Microsoft 365 管理センター内でアカウントを作成します。 アカウント名がオンプレミスの Active Directory アカウントの UPN と一致していることを確認します。

  • Azure Active Directory 接続 ツールを使用して Azure AD テナントへローカル アカウントを同期します。

    Azure AD 接続ツールには、ディレクトリ同期と認証設定のオプションがあります。 これらのオプションには、パスワード ハッシュ同期、パススルー認証、およびフェデレーションが含まれます。 テナント管理者またはローカル ドメイン管理者ではない場合、IT 管理者に問い合わせて、Azure AD 接続を構成してもらいます。

Azure AD 接続によって Azure AD UPN はローカルの Active Directory UPN と一致するようになります。 この一致は、Power BI の Analisys Services ライブ接続またはシングル サインオン (SSO) 機能を使用している場合に役立ちます。

注意

Azure AD 接続ツールでアカウントを同期させると、Azure AD テナント内に新しいアカウントが作成されます。

次の手順