データ ソースの管理 - Analysis Services

注意

オンプレミス データ ゲートウェイのドキュメントが、Power BI に固有のコンテンツと、ゲートウェイでサポートされるすべてのサービスに適用される一般的なコンテンツに分割されています。 現在見ているのは、Power BI のコンテンツです。 この記事について、またはゲートウェイのドキュメントの全体的なエクスペリエンスに関してフィードバックを提供するには、記事の一番下までスクロールしてください。

オンプレミス データ ゲートウェイをインストールしたら、ゲートウェイで使用できるデータ ソースを追加する必要があります。 この記事では、スケジュールされた更新またはライブ接続に使用されるゲートウェイと SQL Server Analysis Services (SSAS) データ ソースの操作方法について説明します。

Analysis Services へのライブ接続を設定する方法の詳細については、こちらのビデオをご覧ください

注意

Analysis Services データ ソースを持っている場合は、Analysis Services サーバーと同じフォレスト/ドメインに結合されているコンピューターにゲートウェイをインストールする必要があります。

注意

ゲートウェイでは、Analysis Services 用の Windows 認証のみがサポートされています。

データ ソースの追加

データ ソースを追加する方法の詳細については、「Add a data source」(データソースの追加) を参照してください。 多次元サーバーまたは表形式サーバーに接続している場合は、 [データ ソースの種類] として [Analysis Services] を選択します。

 Screenshot of Add the Analysis Services data source.

[サーバー][データベース] など、データ ソースの情報を入力します。 [ユーザー名][パスワード] として入力した情報は、Analysis Services インスタンスに接続するために、ゲートウェイによって使用されます。

注意

入力する Windows アカウントは、接続先の Analysis Services インスタンスのサーバー管理者ロールのメンバーとする必要があります。 このアカウントのパスワードに有効期限が設定されている場合、データ ソースのパスワードが更新されないと、接続エラーになることがあります。 資格情報の格納方法の詳細については、「暗号化された資格情報をクラウドに格納する」を参照してください。

Filling in the data source settings Screenshot of Filling in the data source settings.

すべての情報を入力したら、[作成] を選択します。 これで、オンプレミスの Analysis Services インスタンスに対するスケジュールされた更新またはライブ接続にこのデータ ソースを使用できます。

詳細設定

必要に応じて、データ ソースのプライバシー レベルを構成できます。 この設定により、データを結合できる方法が管理されます。 これは、スケジュールされた更新にのみ使用されます。 プライバシー レベルの設定は、ライブ接続には適用されません。 データ ソースのプライバシー レベルの詳細については、「プライバシーレベル (Power Query)」を参照してください。

 Screenshot of Setting the privacy level.

Analysis Services でのユーザー名

注意

このビデオでは、以前のバージョンの Power BI Desktop または Power BI サービスが使用されている可能性があります。

Analysis Services に接続されているレポートをユーザーが操作するたびに、有効なユーザー名がゲートウェイに渡され、次にオンプレミスの Analysis Services サーバーに渡されます。 Power BI にサインインするときに使用するメール アドレスが、有効なユーザーとして Analysis Services に渡されます。 これは、接続プロパティ EffectiveUserName に渡されます。

このメール アドレスは、ローカルの Active Directory ドメイン内で定義されているユーザー プリンシパル名 (UPN) と一致する必要があります。 UPN は、Active Directory アカウントのプロパティです。 その Windows アカウントは、Analysis Services ロールに存在している必要があります。 Active Directory で一致が見つからない場合は、サインインは成功しません。 Active Directory とユーザーの名前付けの詳細については、ユーザーの名前付け属性に関する記事を参照してください。

Power BI のサインイン名をローカル ディレクトリの UPN にマップすることもできます。

Analysis Services データ ソースのユーザー名をマップする

注意

このビデオでは、以前のバージョンの Power BI Desktop または Power BI サービスが使用されている可能性があります。

Power BI では、Analysis Services データ ソースのユーザー名をマッピングできます。 Power BI のサインイン ユーザー名を、Analysis Services 接続での EffectiveUserName に渡される名前にマッピングする規則を構成できます。 ユーザー名のマッピング機能は、Azure Active Directory (Azure AD) のユーザー名がローカル Active Directory インスタンスの UPN に一致しないときの回避策として優れています。 たとえば、メール アドレスが nancy@contoso.onmicrsoft.com の場合、これを nancy@contoso.com にマップすると、その値がゲートウェイに渡されます。

Analysis Services のユーザー名は、次の 2 つの方法でマッピングすることができます。

  • 手動によるユーザーの再マッピング
  • オンプレミスの Active Directory プロパティ参照を使用して Active Directory ユーザーに Azure AD UPN を再マップする (Active Directory 参照マッピング)

2 つ目の方法を使用して手動でマッピングを実行することもできますが、その場合は時間がかかり、保守が困難になります。 パターン マッチングでは十分ではない場合は特に困難です。 たとえば、ドメイン名が Azure AD とオンプレミス Active Directory の間で異なる場合や、ユーザー アカウント名が Azure AD と Active Directory で異なる場合です。 そのため、2 番目の方法での手動マッピングはお勧めできません。

このような 2 つの方法を順番に次の 2 つのセクションで説明します。

手動でのユーザー名の再マッピング

Analysis Services データ ソースの場合は、カスタムの UPN 規則を構成できます。 カスタム規則は、Power BI サービスのサインイン名がローカル ディレクトリ UPN と一致しない場合に役立ちます。 たとえば、john@contoso.com で Power BI にサインインしているものの、ローカル ディレクトリの UPN が john@contoso.local の場合は、john@contoso.local を Analysis Services に渡すマッピング規則を構成できます。

UPN マッピング画面にアクセスするには、次の手順に従います。

  1. 歯車アイコンにアクセスし、[ゲートウェイの管理] を選択します。
  2. データ ソースを選択し、上部のリボンで [設定] ボタンを選択します。
  3. [ユーザー名のマップ] のボックスが表示されます。

 Screenshot of UPN mapping screen.

特定のユーザーにルールを追加してテストするオプションを表示するには、[新しいルールの追加] を選択します。

 Screenshot of UPN mapping screen new rule.

注意

意図していなかったユーザーを変更してしまう場合があります。 たとえば、 [置換前] (元の値) が contoso.com で、 [置換後] (新しい名前) が @contoso.local の場合、@contoso.com を含むサインイン名を持つすべてのユーザーが @contoso.local に置き換えられます。 また、 [置換前] (元の名前) が dave@contoso.com で [置換後] (新しい名前) が dave@contoso.local の場合、v-dave@contoso.com でサインインしたユーザーが v-dave@contoso.local として送信されます。

Active Directory 参照マッピング

オンプレミスの Active Directory プロパティ参照を実行して Azure AD UPN を Active Directory ユーザーに再マップするには、次のセクションの手順に従ってください。 まず始めに、このしくみを確認しましょう。

Power BI サービスでは、次の処理が実行されます。

  • オンプレミスの SSAS サーバーに対して Power BI Azure AD ユーザーがクエリを実行するたびに、firstName.lastName@contoso.com のような UPN 文字列が渡されます。

注意

ユーザー名文字列がオンプレミスのデータ ゲートウェイに送信される "" は、Power BI データ ソースの構成内で定義される手動 UPN ユーザー マッピングが適用されたままです。

構成可能なカスタム ユーザー マッピングを持つオンプレミス データ ゲートウェイでは、次の手順を実行します。

  1. 検索する Active Directory を検索します。 自動または構成可能を使用できます。
  2. Power BI サービスから、Active Directory ユーザーの属性 (メールなど) を参照します。 属性は、firstName.lastName@contoso.com のような受信 UPN 文字列に基づいています。
  3. Active Directory 参照が失敗すると、SSAS への EffectiveUser として渡された UPN の使用を試みます。
  4. Active Directory 参照が成功すると、その Active Directory ユーザーの UserPrincipalName が取得されます。
  5. 次に、UserPrincipalName のメール アドレスが EffectiveUser として SSAS に渡されます (たとえば、Alias@corp.on-prem.contoso)。

Active Directory 参照を実行するようにゲートウェイを構成するには:

  1. 最新のゲートウェイをダウンロードしてインストールします

  2. ゲートウェイで、オンプレミスのデータ ゲートウェイ サービスを、ローカル サービス アカウントではなくドメイン アカウントで実行するように変更します。 そうしないと、ランタイムに Active Directory 参照が正しく機能しません。 コンピューター上でオンプレミス データ ゲートウェイ アプリに移動し、 [サービス設定]>[サービス アカウントの変更] の順に移動します。 新しいゲートウェイを作成しない場合は、同じコンピューター上でゲートウェイを復元する必要があるため、このゲートウェイの回復キーがあることを確認してください。 変更内容を有効にするには、ゲートウェイ サービスを再起動します。

  3. ゲートウェイのインストール フォルダー (C:\Program Files\On-premises data gateway) に移動し、管理者として書き込みアクセス許可があることを確認します。 Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config ファイルを開きます。

  4. ご自分の Active Directory ユーザーに対して "ご利用の" Active Directory 属性の構成に従って、次の 2 つの構成値を編集します。 次の構成値はサンプルです。 ご自分の Active Directory の構成に基づいて値を指定します。 これらの構成では大文字と小文字が区別されるので、必ず Active Directory の値と一致していることを確認してください。

     Screenshot of Azure AD settings.

    ADServerPath 構成の値を指定しない場合、ゲートウェイでは既定のグローバル カタログを使用します。 ADServerPath には複数の値を指定することも可能です。 次の例に示されているように、各値はセミコロンで区切る必要があります。

    <setting name="ADServerPath" serializeAs="String">
        <value> >GC://serverpath1; GC://serverpath2;GC://serverpath3</value>
    </setting>
    

    このゲートウェイは、一致を検出するまで左から右に ADServerPath 値を解析します。 一致する値が見つからない場合、元の UPN が使用されます。 ゲートウェイ サービス (PBIEgwService) を実行するアカウントが、ADServerPath で指定したすべての Active Directory サーバーにクエリを実行する許可があることを確認します。

    ゲートウェイでは、次の例に示すように、2 種類の ADServerPath をサポートしています。

    WinNT

    <value="WinNT://usa.domain.corp.contoso.com,computer"/>
    

    GC

    <value> GC://USA.domain.com </value>
    
  5. 構成の変更を有効にするには、オンプレミスのデータ ゲートウェイ サービスを再起動します。

マッピング規則を使用する

マッピング規則を作成するには、 [元の名前][新しい名前] の値を入力し、 [追加] を選択します。

フィールド Description
置換前 (元の名前) Power BI にサインインするために使用したメール アドレス。
置換後 (新しい名前) 元の名前を置き換える値。 ここで置き換えた値が、Analysis Services 接続の EffectiveUserName プロパティに渡されます。

 Screenshot of Creating a mapping rule.

一覧の項目を選択するときに、ドラッグ アンド ドロップしてそれを並べ替えることができます。 エントリを削除することもできます。

ワイルドカードを使用する

[置換前] (元の名前) の文字列でワイルドカード (*) を使用できます。 ワイルドカードは単独でのみ使用でき、その他の文字列パーツと併用はできません。 すべてのユーザーを取得してデータ ソースに単一の値を渡す場合は、ワイルドカードを使用します。 この方法は、組織内のすべてのユーザーにローカル環境内の同じユーザーを割り当てる場合に便利です。

マッピング規則をテストする

元の名前がどのように置き換えられるかを検証するには、 [元の名前] に値を入力します。 [ルールのテスト] を選択します。

 Screenshot of Testing a mapping rule.

注意

保存された規則がサービスで使用されるようになるまでに数分かかります。 規則は、ブラウザーで直ちに機能します。

考慮事項と制限事項

マッピングは、構成されている特定のデータ ソース向けです。 グローバルな設定ではありません。 複数の Analysis Services データ ソースがある場合は、データ ソースごとにユーザーをマッピングする必要があります。

ライブ Analysis Services データ ソースの認証

Analysis Services をユーザーが操作するたびに、有効なユーザー名がゲートウェイに渡され、次にオンプレミスの Analysis Services サーバーに渡されます。 UPN (通常はクラウドへのサインインに使用するメール アドレス) が、有効なユーザーとして Analysis Services に渡されます。 UPN は接続プロパティ EffectiveUserName に渡されます。

この電子メール アドレスは、ローカルの Active Directory ドメイン内で定義されている UPN と一致する必要があります。 UPN は、Active Directory アカウントのプロパティです。 サーバーにアクセスするには、その Windows アカウントが Analysis Services ロールに存在する必要があります。 Active Directory で一致が見つからない場合は、サインインは成功しません。

Analysis Services は、このアカウントに基づいて、フィルター処理も提供できます。 フィルター処理は、ロール ベースのセキュリティまたは行レベルのセキュリティで実行できます。

ロール ベース セキュリティ

モデルでは、ユーザー ロールに基づいてセキュリティが提供されます。 特定のモデル プロジェクトに対してロールが定義されるのは、SQL Server Data Tools – Business Intelligence でのオーサリング中、または SQL Server Management Studio を使用してモデルをデプロイした後です。 ロールに含まれるメンバーは、Windows ユーザー名または Windows グループによって決まります。 ロールは、ユーザーがモデルに対してクエリまたは操作を実行するためのアクセス許可を定義します。 ほとんどのユーザーは、読み取りアクセス許可を持つロールに属します。 その他のロールは管理者向けで、項目を処理するアクセス許可、データベースの機能を管理するアクセス許可、他のロールを管理するアクセス許可を持つものがあります。

行レベルのセキュリティ

行レベルのセキュリティは、Analysis Services の行レベルのセキュリティに固有です。 モデルでは、動的な行レベルのセキュリティを提供できます。 ユーザーが少なくとも 1 つのロールに属する場合とは異なり、表形式モデルに動的なセキュリティは必要ではありません。 動的なセキュリティでは、上位レベルから、特定テーブル内の特定の行のデータに対してユーザーの読み取りアクセス権が定義されます。 ロールの場合と同様、動的な行レベルのセキュリティは、ユーザーの Windows ユーザー名に依存します。

ユーザーがデータの照会、表示、モデリングができるかは、次で決まります。

  • Windows ユーザー アカウントがメンバーとして属しているロール。
  • 動的な行レベルのセキュリティ (構成されている場合)。

モデルでのロールと動的な行レベル セキュリティの実装については、この記事では説明しません。 詳細については、MSDN のロール (SSAS 表形式)、およびセキュリティ ロール (Analysis Services - 多次元データ)、に関する記事を参照してください。 表形式モデルのセキュリティに関するさらに詳細な情報については、表形式 BI セマンティック モデルをセキュリティで保護するホワイトペーパーをダウンロードしてお読みください。

Azure AD とは

Microsoft クラウド サービスは、ユーザーの認証を処理するために Azure AD を使用します。 Azure AD は、ユーザー名とセキュリティ グループを含むテナントです。 通常、ユーザーがサインインに使用する電子メール アドレスはアカウントの UPN と同じです。

自分のローカル Active Directory インスタンスのロール

Analysis Services に接続するユーザーがデータの読み取りアクセス許可を持つロールに属しているかどうかを判断するため、サーバーは、Azure AD からゲートウェイ、Analysis Services サーバーの順に渡された有効なユーザー名を変換する必要があります。 Analysis Services サーバーは、Windows Active Directory ドメイン コントローラー (DC) に有効なユーザー名を渡します。 次に、Active Directory DC によって、有効なユーザー名がローカル アカウントで有効な UPN であることが検証されます。 そのユーザーの Windows ユーザー名が Analysis Services サーバーに返されます。

EffectiveUserName は、ドメインに参加していない Analysis Services サーバーで使用できません。 サインイン エラーを回避するには、Analysis Services サーバーをドメインに参加させる必要があります。

自分の UPN を確認する方法

自分の UPN がわからないけれども、自分がドメイン管理者ではない場合もあります。 ワークステーションから次のコマンドを実行して、自分のアカウントの UPN を確認できます。

whoami /upn

結果はメール アドレスに似ていますが、これはドメイン アカウントの UPN です。 Analysis Services データ ソースをライブ接続に使用している場合に、この UPN が Power BI へのサインインに使用しているメール アドレスと一致しない場合は、ユーザー名をマップする方法を参照してください。

オンプレミスの Active Directory と Azure AD を同期する

Analysis Services ライブ接続を使用する場合は、ローカル Active Directory アカウントが Azure AD と一致している必要があります。 UPN はアカウント間で一致する必要があります。

クラウド サービスは、Azure AD 内のアカウントのみを認識します。 ローカル Active Directory インスタンスにアカウントを追加したかどうかは問題ではありません。 アカウントは、Azure AD に存在しない場合には使用できません。 ローカル Active Directory アカウントと Azure AD はさまざまな方法で一致させることができます。

  • Azure AD にアカウントを手動で追加できます。

    アカウントは Azure portal 上で、または Microsoft 365 管理センター内で作成できます。アカウント名はローカル Active Directory アカウントの UPN と一致します。

  • Azure AD Connect ツールを使用し、ローカル アカウントと Azure AD テナントを同期させることができます。

    Azure AD Connect ツールには、ディレクトリ同期と認証の設定のオプションがあります。 オプションには、パスワード ハッシュ同期、パススルー認証、およびフェデレーションが含まれます。 管理者でもローカル ドメイン管理者でもない場合は、構成のサポートについて IT 管理者にお問い合わせください。

    Azure AD Connect を利用すると、UPN は Azure AD とローカル Active Directory インスタンス間で一致します。

注意

Azure AD Connect ツールでアカウントを同期させると、Azure AD テナント内に新しいアカウントが作成されます。

データ ソースを使用する

作成したデータ ソースは、ライブ接続またはスケジュールされた更新によって使用できます。

注意

Power BI Desktop とオンプレミス データ ゲートウェイ内のデータ ソースとの間で、サーバーとデータベース名が一致している必要があります。

データセットとゲートウェイ内のデータ ソース間のリンクは、サーバー名とデータベース名に基づいています。 これらの名前は一致している必要があります。 たとえば、Power BI Desktop 内でサーバー名の IP アドレスを指定する場合は、ゲートウェイ構成内のデータ ソースでもその IP アドレスを使用する必要があります。 Power BI Desktop で SERVER\INSTANCE を使用する場合は、ゲートウェイ用に構成されているデータ ソース内でもそれを使用する必要があります。

この要件は、ライブ接続とスケジュールされた更新のどちらにも該当します。

ライブ接続でデータ ソースを使用する

Power BI Desktop とゲートウェイ用に構成されているデータ ソースとの間で、サーバーとデータベース名が一致していることを確認します。 また、ライブ接続のデータセットを公開するには、自分のユーザーがデータ ソースの [ユーザー] タブに一覧表示されていることを確認する必要があります。 ライブ接続の選択は、最初にデータをインポートする Power BI Desktop 内で発生します。

公開した後は、Power BI Desktop または [データの取得] のいずれかから、レポート機能が利用可能になります。 ゲートウェイ内にデータ ソースを作成してから、接続が使用できるようになるまでには、数分ほどかかることがあります。

スケジュールされた更新でデータ ソースを使用する

ゲートウェイ内に構成されているデータ ソースの [ユーザー] タブの一覧に自分のアカウントが表示されていて、さらにサーバーとデータベース名が一致している場合は、スケジュールされた更新で使用するオプションとして、ゲートウェイが表示されます。

 Screenshot of Displaying the users.

Analysis Services ライブ接続の制限事項

表形式または多次元インスタンスに対してライブ接続を使用することができます。

サーバーのバージョン 必要な SKU
2012 SP1 CU4 以降 Business Intelligence と Enterprise SKU
2014 Business Intelligence と Enterprise SKU
2016 Standard SKU 以上
  • セル レベルの書式設定および変換機能はサポートされていません。
  • アクションと名前付きセットが Power BI に公開されることはありません。 アクションまたは名前付きセットを含む多次元キューブに接続し、ビジュアルとレポートを作成することはできます。

次のステップ

他にわからないことがある場合は、 Power BI コミュニティを利用してください。