オンプレミス データ ゲートウェイの詳細On-premises data gateway in-depth

組織のユーザーはオンプレミス データ (アクセス認証を取得済みの) にアクセスできますが、オンプレミス データ ソースに接続するには、事前にオンプレミス データ ゲートウェイをインストールし、設定しておく必要があります。It's possible for users in your organization to access on-premises data (to which they already have access authorization), but before those users can connect to your on-premises data source, an on-premises data gateway needs to be installed and configured. このゲートウェイにより、クラウドのユーザーとオンプレミス データ ソースの間のバックグラウンドの通信が迅速かつ安全な方法で確立されます。The gateway facilitates quick and secure behind-the-scenes communication between a user in the cloud, to your on-premises data source, and then back to the cloud.

ゲートウェイのインストールと構成は、通常、管理者によって行われます。Installing and configuring a gateway is usually done by an administrator. この作業には、オンプレミスのサーバーの特別な知識と、場合によっては、サーバー管理者のアクセス許可が必要です。It may require special knowledge of your on-premises servers and in some cases may require Server Administrator permissions.

この記事では、ゲートウェイをインストールして構成する方法の詳しい手順は説明しません。This article doesn’t provide step-by-step guidance on how to install and configure the gateway. そのために、「オンプレミス データ ゲートウェイ」を必ず参照してください。For that, be sure to see On-premises data gateway. この記事の目的は、ゲートウェイが機能するしくみを理解できるように、その詳細を説明することです。This article is meant to provide you with an in-depth understanding of how the gateway works. また、Azure Active Directory と Analysis Services の両方におけるユーザー名とセキュリティの詳細も少し説明します。さらに、サインインでユーザーが使用した電子メール アドレス、ゲートウェイ、Active Directory をクラウド サービスが利用し、オンプレミスのデータにセキュリティで保護された接続を行い、クエリを実行する方法について説明します。We’ll also go into some detail about usernames and security in both Azure Active Directory and Analysis Services, and how the cloud service uses the e-mail address a user sign in with, the gateway, and Active Directory to securely connect to and query your on-premises data.

ゲートウェイのしくみHow the gateway works

On-prem-data-gateway-how-it-works

最初に、オンプレミスのデータ ソースに接続されたレポートを操作した場合に、どのような処理が行われるかを見てみましょう。Let’s first look at what happens when a user interacts with an element connected to an on-premises data source.

注意

Power BI の場合、ゲートウェイのデータ ソースを構成する必要があります。For Power BI, you will need to configure a data source for the gateway.

  1. クエリは、オンプレミスのデータ ソースの暗号化された資格情報を使用してクラウド サービスによって作成され、キューに送信されて、ゲートウェイで処理されます。A query will be created by the cloud service, along with the encrypted credentials for the on-premises data source, and sent to the queue for the gateway to process.
  2. ゲートウェイ クラウド サービスは、クエリを分析し、要求を Azure Service Bus へプッシュします。The gateway cloud service will analyze the query and will push the request to the Azure Service Bus.
  3. オンプレミス データ ゲートウェイは、Azure Service Bus へのポーリングを実行して保留中の要求の有無を確認します。The on-premises data gateway polls the Azure Service Bus for pending requests.
  4. ゲートウェイはクエリを取得して資格情報の暗号化を解除し、その資格情報を使用してデータ ソースに接続します。The gateway gets the query, decrypts the credentials and connects to the data source(s) with those credentials.
  5. クエリは、ゲートウェイによってデータ ソースへ送信され、実行されます。The gateway sends the query to the data source for execution.
  6. データ ソースからゲートウェイに結果が返送され、さらにクラウド サービスに送信されます。The results are sent from the data source, back to the gateway, and then onto the cloud service. 結果がサービスで使用されます。The service then uses the results.

使用可能なデータ ソースの種類の一覧List of available data source types

データ ソースData source Live/DirectQueryLive/DirectQuery ユーザー構成による手動更新またはスケジュールされた更新User configured manual or scheduled refresh
Analysis Services 表形式Analysis Services Tabular はいYes はいYes
Analysis Services 多次元Analysis Services Multidimensional はいYes はいYes
ファイルFile いいえNo はいYes
フォルダーFolder いいえNo はいYes
IBM DB2IBM DB2 いいえNo はいYes
IBM Informix データベースIBM Informix Database いいえNo はいYes
ImpalaImpala はいYes はいYes
MySQLMySQL いいえNo はいYes
ODataOData いいえNo はいYes
ODBCODBC いいえNo はいYes
OledbOledb いいえNo はいYes
OracleOracle はいYes はいYes
PostgresSQLPostgresSQL いいえNo はいYes
SAP BWSAP BW はいYes はいYes
SAP HANASAP HANA はいYes はいYes
SharePoint リスト (オンプレミス)SharePoint list (on-premises) いいえNo はいYes
SnowflakeSnowflake はいYes はいYes
SQL ServerSQL Server はいYes はいYes
SybaseSybase いいえNo はいYes
TeradataTeradata はいYes はいYes
WebWeb いいえNo はいYes

アカウントにサインインするSign in account

ユーザーは職場または学校のアカウントでサインインします。Users will sign in with either a work or school account. これは組織アカウントです。This is your organization account. Office 365 サービスにサインアップし、実際の職場のメールを指定しなかった場合、nancy@contoso.onmicrosoft.com のようになります。クラウド サービス内では、アカウントは Azure Active Directory (AAD) のテナント内に保存されます。If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). ほとんどの場合、AAD アカウントの UPN はメール アドレスに一致します。In most cases, your AAD account’s UPN will match the email address.

オンプレミス データ ソースの認証Authentication to on-premises data sources

保存された資格情報は、Analysis Services を除き、オンプレミス データ ソースにゲートウェイから接続するために使用されます。A stored credential will be used to connect to on-premises data sources from the gateway except Analysis Services. 個々のユーザーに関係なく、ゲートウェイは保存されている資格情報を利用して接続します。Regardless of the individual user, the gateway uses the stored credential to connect.

ライブ Analysis Services データ ソースの認証Authentication to a live Analysis Services data source

Analysis Services をユーザーが操作するたびに、有効なユーザー名がゲートウェイに渡され、次にオンプレミスの Analysis Services サーバーに渡されます。Each time a user interacts with Analysis Services, the effective username is passed to the gateway and then onto your on-premises Analysis Services server. ユーザー プリンシパル名 (UPN)、通常、クラウドにサインインするときに使用する電子メール アドレスは、有効なユーザーとして Analysis Services に渡すものです。The user principal name (UPN), typically the email address you sign into the cloud with, is what we will pass to Analysis Services as the effective user. UPN は接続プロパティ EffectiveUserName に渡されます。The UPN is passed in the connection property EffectiveUserName. この電子メール アドレスは、ローカルの Active Directory ドメイン内で定義されている UPN と一致する必要があります。This email address should match a defined UPN within the local Active Directory domain. UPN は、Active Directory アカウントのプロパティです。The UPN is a property of an Active Directory account. サーバーにアクセスするには、その Windows アカウントが Analysis Services ロールに存在する必要があります。That Windows account then needs to be present in an Analysis Services role to have access to the server. Active Directory で一致を検出できない場合、ログインは正常に実行されません。The login will not be successful if no match is found in Active Directory.

Analysis Services は、このアカウントに基づいて、フィルター処理も提供できます。Analysis Services can also provide filtering based on this account. フィルター処理は、ロール ベースのセキュリティまたは行レベルのセキュリティで実行できます。The filtering can occur with either role based security, or row-level security.

ロール ベース セキュリティRole-based security

モデルでは、ユーザー ロールに基づいてセキュリティが提供されます。Models provide security based on user roles. 特定のモデル プロジェクトに対してロールが定義されるのは、SQL Server Data Tools – Business Intelligence (SSDT-BI) でのオーサリング中、または SQL Server Management Studio (SSMS) を使用してモデルをデプロイした後です。Roles are defined for a particular model project during authoring in SQL Server Data Tools – Business Intelligence (SSDT-BI), or after a model is deployed, by using SQL Server Management Studio (SSMS). ロールに含まれるメンバーは、Windows ユーザー名または Windows グループによって決まります。Roles contain members by Windows username or by Windows group. ロールは、ユーザーがモデルに対してクエリまたは操作を実行するためのアクセス許可を定義します。Roles define permissions a user has to query or perform actions on the model. ほとんどのユーザーは、読み取りアクセス許可を持つロールに属します。Most users will belong to a role with Read permissions. その他のロールは管理者向けで、項目を処理するアクセス許可、データベースの機能を管理するアクセス許可、他のロールを管理するアクセス許可を持つものがあります。Other roles are meant for administrators with permissions to process items, manage database functions, and manage other roles.

行レベルのセキュリティRow-level security

行レベルのセキュリティは、Analysis Services の行レベルのセキュリティに固有です。Row-level security is specific to Analysis Services row-level security. モデルでは、動的な行レベルのセキュリティを提供できます。Models can provide dynamic, row-level security. ユーザーが少なくとも 1 つのロールに属する場合とは異なり、表形式モデルに動的なセキュリティは必要ではありません。Unlike having at least one role in which users belong to, dynamic security is not required for any tabular model. 動的なセキュリティでは、上位レベルから、特定テーブル内の特定の行のデータに対してユーザーの読み取りアクセス権が定義されます。At a high-level, dynamic security defines a user’s read access to data right down to a particular row in a particular table. ロールの場合と同様、動的な行レベルのセキュリティは、ユーザーの Windows ユーザー名に依存します。Similar to roles, dynamic row-level security relies on a user’s Windows username.

ユーザーがモデルのデータを閲覧したりクエリを実行したりできるかどうかは、第 1 にそのユーザーの Windows ユーザー アカウントがメンバーとなっているロールによって決まり、第 2 に動的な行レベルのセキュリティ (構成されている場合) によって決まります。A user’s ability to query and view model data are determined first by the roles their Windows user account are a member of and second, by dynamic row-level security, if configured.

モデルでのロールと動的な行レベル セキュリティの実装については、この記事では説明しません。Implementing role and dynamic row-level security in models are beyond the scope of this article. 詳細については、MSDN の「ロール (SSAS 表形式)」と「(Analysis Services - 多次元データ) のセキュリティ ロール」を参照してください。You can learn more at Roles (SSAS Tabular) and Security Roles (Analysis Services - Multidimensional Data) on MSDN. また、表形式モデルのセキュリティに関するさらに詳細な情報については、「表形式 BI セマンティック モデルをセキュリティで保護する」というホワイトペーパーをダウンロードしてお読みください。And, for the most in-depth understanding of tabular model security, download and read the Securing the Tabular BI Semantic Model whitepaper.

Azure Active Directory の役割What about Azure Active Directory?

Microsoft クラウド サービスは、ユーザーの認証を処理するために Azure Active Directory を使用します。Microsoft cloud services use Azure Active Directory to take care of authenticating users. Azure Active Directory は、ユーザー名とセキュリティ グループを含むテナントです。Azure Active Directory is the tenant that contains usernames and security groups. 通常、ユーザーがサインインに使用する電子メール アドレスはアカウントの UPN と同じです。Typically, the email address a user signs in with is the same as the UPN of the account.

ローカル Active Directory の役割What is my local Active Directory’s role?

Analysis Services に接続するユーザーがデータの読み取りアクセス許可を持つロールに属しているかどうかを判断するため、サーバーは、AAD からゲートウェイ、Analysis Services サーバーの順に渡された有効なユーザー名を変換する必要があります。For Analysis Services to determine if a user connecting to it belongs to a role with permissions to read data, the server needs to convert the effective username passed from AAD to the gateway, and onto the Analysis Services server. Analysis Services サーバーは、Windows Active Directory ドメイン コントローラー (DC) に有効なユーザー名を渡します。The Analysis Services server passes the effective username to a Windows Active Directory domain controller (DC). Active Directory DC は、ローカル アカウントで、有効なユーザー名が有効 UPN であることを検証し、Analysis Services サーバーにそのユーザーの Windows ユーザー名を返します。The Active Directory DC then validates the effective username is a valid UPN, on a local account, and returns that user’s Windows username back to the Analysis Services server.

EffectiveUserName は、ドメインに参加していない Analysis Services サーバーで使用できません。EffectiveUserName cannot be used on a non-domain joined Analysis Services server. ログイン エラーを回避するには、Analysis Services サーバーをドメインに参加させる必要があります。The Analysis Services server must be joined to a domain to avoid any login errors.

自分の UPN を確認する方法How do I tell what my UPN is?

自分の UPN がわからないけれども、自分がドメイン管理者ではない場合もあります。You may not know what your UPN is, and you may not be a domain administrator. ワークステーションから次のコマンドを実行して、自分のアカウントの UPN を確認できます。You can use the following command from your workstation to find out the UPN for your account.

whoami /upn

結果は電子メール アドレスに似ていますが、これはローカル ドメイン アカウントの UPN です。The result will look similar to an email address, but this is the UPN that is on your local domain account. ライブ接続に Analysis Services データ ソースを使用している場合、これはゲートウェイから EffectiveUserName に渡されたものに一致する必要があります。If you are using an Analysis Services data source for live connections, this must match what was passed to EffectiveUserName from the gateway.

Analysis Services データ ソースのユーザー名をマッピングするMapping usernames for Analysis Services data sources

Power BI では、Analysis Services データ ソースのユーザー名をマッピングできます。Power BI allows for mapping usernames for Analysis Services data sources. Power BI のログイン ユーザー名を、Analysis Services 接続の有効なユーザー名に渡される名前にマッピングする規則を構成できます。You can configure rules to map a username logged in with Power BI to a name that is passed for EffectiveUserName on the Analysis Services connection. ユーザー名のマッピング機能は、AAD のユーザー名がローカル Active Directory の UPN に一致しないときの回避策として優れています。The map user names feature is a great way to work around when your username in AAD doesn't match a UPN in your local Active Directory. たとえば、メール アドレスが nancy@contoso.onmicrsoft.com の場合、それを nancy@contoso.com にマッピングできます。その値がゲートウェイに渡されます。For example, if your email address is nancy@contoso.onmicrsoft.com, you could map it to nancy@contoso.com, and that value would be passed to the gateway. 詳細については、ユーザー名のマッピング方法に関するページを参照してください。You can learn more about how to map user names.

オンプレミスの Active Directory を Azure Active Directory と同期するSynchronize an on-premises Active Directory with Azure Active Directory

Analysis Services ライブ接続を使用する場合、ローカル Active Directory アカウントが Azure Active Directory に一致すると便利です。You would want your local Active Directory accounts to match Azure Active Directory if you are going to be using Analysis Services live connections. UPN はアカウント間で一致する必要があるためです。As the UPN has to match between the accounts.

クラウドサービスは、Azure Active Directory 内のアカウントのみを認識します。The cloud services only know about accounts within Azure Active Directory. ローカル Active Directory にアカウントを追加したかどうかは問題ではなく、AAD に存在しなければ、使用できません。It doesn’t matter if you added an account in your local Active Directory, if it doesn’t exist in AAD, it cannot be used. ローカル Active Directory アカウントと Azure Active Directory はさまざまな方法で一致させることができます。There are different ways that you can match your local Active Directory accounts with Azure Active Directory.

  1. Azure Active Directory にアカウントを手動で追加できます。You can add accounts manually to Azure Active Directory.

    Azure ポータルで、あるいは Office 365 Admin ポータル内でアカウントを作成できます。アカウント名はローカル Active Directory アカウントの UPN と一致します。You can create an account on the Azure portal, or within the Office 365 Admin Portal, and the account name matches the UPN of the local Active Directory account.

  2. Azure AD Connect ツールを使用し、ローカル アカウントと Azure Active Directory テナントを同期させることができます。You can use the Azure AD Connect tool to synchronize local accounts to your Azure Active Directory tenant.

    Azure AD Connect ツールには、ディレクトリとパスワードの同期オプションがあります。The Azure AD Connect tool provides options for directory and password synchronization. テナント管理者またはローカル ドメイン管理者ではない場合、IT 管理者に問い合わせ、これを構成してもらう必要があります。If you are not a tenant admin or a local domain administrator, you will need to contact your IT admin to get this configured.

  3. Active Directory Federation Services (ADFS) を構成できます。You can configure Active Directory Federation Services (ADFS).

    Azure AD Connect ツールを使用し、ADFS サーバーを AAD テナントに関連付けることができます。You can associate your ADFS server to your AAD tenant with the Azure AD Connect tool. ADFS では、上記のディレクトリ同期が利用されますが、シングル サインオン (SSO) が可能です。ADFS makes use of the directory synchronization discussed above but allows for a single sign-on (SSO) experience. たとえば、職場のネットワークにいる場合、クラウド サービスにアクセスし、サインインに進むとき、ユーザー名またはパスワードの入力が求められません。For example, if you are within your work network, when you to a cloud service, and go to sign in, you may not be prompted to enter a username or password. 組織でこれが利用できる場合、IT 管理者と話し合う必要があります。You will need to discuss with your IT Admin if this is available for your organization.

Azure AD Connect を利用すると、UPN は AAD とローカル Active Directory 間で一致します。Using Azure AD Connect ensures that the UPN will match between AAD and your local Active Directory.

注意

Azure AD Connect ツールでアカウントを同期させると、AAD テナント内に新しいアカウントが作成されます。Synchronizing accounts with the Azure AD Connect tool will create new accounts within your AAD tenant.

ゲートウェイについてNow, this is where the gateway comes in

ゲートウェイは、クラウドとオンプレミス サーバー間のブリッジとして機能します。The gateway acts as a bridge between the cloud and your on-premises server. クラウドとゲートウェイ間のデータ転送は、Azure Service Bus を介してセキュリティで保護されます。Data transfer between the cloud and the gateway is secured through Azure Service Bus. Service Bus は、ゲートウェイでの送信接続を使用して、クラウドとオンプレミスのサーバーの間にセキュリティで保護されたチャネルを作成します。The Service Bus creates a secure channel between the cloud and your on-premises server through an outbound connection on the gateway. オンプレミス ファイアウォールで開く必要のある受信接続はありません。There are no inbound connections that you need to open on your on-premises firewall.

Analysis Services データ ソースを持っている場合は、Analysis Services サーバーと同じフォレストまたはドメインに結合しているコンピューターにゲートウェイをインストールする必要があります。If you have an Analysis Services data source, you’ll need to install the gateway on a computer joined to the same forest/domain as your Analysis Services server.

ゲートウェイがサーバーに近づけば近づくほど、接続は速くなります。The closer the gateway is to the server, the faster the connection will be. データ ソースと同じサーバー上にゲートウェイを取得できる場合、それはゲートウェイとサーバー間のネットワーク遅延を回避するのに最適です。If you can get the gateway on the same server as the data source, that is best to avoid network latency between the gateway and the server.

次に行うことWhat to do next?

ゲートウェイをインストールした後は、そのゲートウェイのデータ ソースを作成します。After you get the gateway installed, you will want to create data sources for that gateway. データ ソースの追加は、[ゲートウェイの管理] 画面で行うことができます。You can add data sources within the Manage gateways screen. 詳細については、データ ソースの管理に関する記事をご覧ください。For more information, see the manage data sources articles.

データ ソースの管理 - Analysis ServicesManage your data source - Analysis Services
データ ソースの管理 - SAP HANAManage your data source - SAP HANA
データ ソースの管理 - SQL ServerManage your data source - SQL Server
データ ソースの管理 - OracleManage your data source - Oracle
データ ソースの管理 - インポート/スケジュールされた更新Manage your data source - Import/Scheduled refresh

うまくいかない場合Where things can go wrong

場合によっては、ゲートウェイのインストールが失敗することがあります。Sometimes installing the gateway fails. または、ゲートウェイのインストールが成功したように見えても、サービスがそれを処理できない場合があります。Or, maybe the gateway seems to install ok, but the service is still unable to work with it. 多くの場合、それは簡単な要因です (ゲートウェイがデータ ソースにサインインするのに使用する資格情報のパスワードなど)。In many cases, it’s something simple, like the password for the credentials the gateway uses to sign into the data source.

その他のケースとして、ユーザーがサインインする電子メール アドレスの種類に問題がある場合や、Analysis Services が有効なユーザー名を解決できない場合があります。In other cases, there might be issues with the type of e-mail address users sign in with, or Analysis Services’ inability to resolve an effective username. 相互に信頼関係を持つ複数のドメインがあり、ゲートウェイのあるドメインと、Analysis Services のあるドメインが異なっていると、そのことが問題の原因になる場合があります。If you have multiple domains with trusts between them, and your gateway is in one and Analysis Services in another, this sometimes can cause some problems.

ゲートウェイのトラブルシューティングについては、この記事ではなく、トラブルシューティングの手順に関する別の記事で説明します。「オンプレミス データ ゲートウェイのトラブルシューティング」をご覧ください。Rather than go into troubleshooting gateway issues here, we’ve put a series of troubleshooting steps into another article; Troubleshooting the on-premises data gateway. 何も問題が起きないことを願っています。Hopefully, you won’t have any problems. もし問題が起きてしまった場合は、この機能のしくみを理解しておくことと、トラブルシューティングの記事が役立ちます。But if you do, understanding how all of this works and the troubleshooting article should help.

サインイン アカウントSign in account

ユーザーは職場または学校のアカウントでサインインします。Users will sign in with either a work or school account. これは組織アカウントです。This is your organization account. Office 365 サービスにサインアップし、実際の職場のメールを指定しなかった場合、nancy@contoso.onmicrosoft.com のようになります。クラウド サービス内では、アカウントは Azure Active Directory (AAD) のテナント内に保存されます。If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). ほとんどの場合、AAD アカウントの UPN はメール アドレスに一致します。In most cases, your AAD account’s UPN will match the email address.

Windows サービス アカウントWindows Service account

オンプレミス データ ゲートウェイは、Windows サービスのログオン資格情報に NT SERVICE\PBIEgwService を使用するように設定されています。The on-premises data gateway is configured to use NT SERVICE\PBIEgwService for the Windows service logon credential. 既定では、この資格情報には、サービスとしてログオンの権限があります。By default, it has the right of Log on as a service. これは、ゲートウェイのインストール先コンピューターのコンテキストです。This is in the context of the machine that you are installing the gateway on.

注意

個人モードを選択した場合は、Windows サービス アカウントを個別に構成します。If you selected personal mode, you configure the Windows service account separately.

これは、オンプレミスのデータ ソースへの接続に使用するアカウントではありません。This is not the account used to connect to on-premises data sources. また、クラウド サービスへのサインインに使用する職場または学校のアカウントでもありません。This is also not your work or school account that you sign into cloud services with.

認証のためにプロキシ サーバーで問題が発生する場合は、Windows サービス アカウントをドメイン ユーザーまたは管理されたサービス アカウントに変更する必要があります。If you encounter issues with your proxy server, due to authentication, you may want to change the Windows service account to a domain user or managed service account. プロキシ構成でアカウントを変更する方法についてはこちらをご覧ください。You can learn how to change the account in proxy configuration.

ポートPorts

ゲートウェイは、Azure Service Bus への送信接続を作成します。The gateway creates an outbound connection to Azure Service Bus. 通信は、送信ポート TCP 443 (既定値)、5671、5672、9350 ~ 9354 で行われます。It communicates on outbound ports: TCP 443 (default), 5671, 5672, 9350 thru 9354. ゲートウェイには、受信ポートは必要ありません。The gateway does not require inbound ports. 詳細情報Learn more

ファイアウォールでデータ領域の IP アドレスをホワイトリストに登録することをお勧めします。It is recommended that you whitelist the IP addresses, for your data region, in your firewall. Microsoft Azure データ センター IP リストをダウンロードできます。You can download the Microsoft Azure Datacenter IP list. このリストは毎週更新されます。This list is updated weekly. ゲートウェイは、IP アドレスと完全修飾ドメイン名 (FQDN) を使って Azure Service Bus と通信します。The gateway will communicate with Azure Service Bus using the IP address along with the fully qualified domain name (FQDN). HTTPS を使用して通信するようにゲートウェイを強制している場合は、必ず FQDN のみを使用し、IP アドレスを使用した通信は行われません。If you are forcing the gateway to communicate using HTTPS it will strictly use FQDN only, and no communication will happen using IP addresses.

注意

Azure データ センター IP リストに列記されている IP アドレスは CIDR 表記です。The IP Addresses listed in the Azure Datacenter IP list are in CIDR notation. たとえば、10.0.0.0/24 は 10.0.0.0 ~ 10.0.0.24 の意味ではありません。For example, 10.0.0.0/24 does not mean 10.0.0.0 thru 10.0.0.24. CIDR 表記についてはこちらをご覧ください。Learn more about the CIDR notation.

ゲートウェイで使用される完全修飾ドメイン名の一覧を次に示します。Here is a listing of the fully qualified domain names used by the gateway.

ドメイン名Domain names 送信ポートOutbound ports 説明Description
*.download.microsoft.com*.download.microsoft.com 8080 インストーラーをダウンロードするために使用する HTTP です。HTTP used to download the installer.
*.powerbi.com*.powerbi.com 443443 HTTPSHTTPS
*.analysis.windows.net*.analysis.windows.net 443443 HTTPSHTTPS
*.login.windows.net*.login.windows.net 443443 HTTPSHTTPS
*.servicebus.windows.net*.servicebus.windows.net 5671-56725671-5672 Advanced Message Queuing Protocol (AMQP)Advanced Message Queuing Protocol (AMQP)
*.servicebus.windows.net*.servicebus.windows.net 443, 9350-9354443, 9350-9354 TCP 上での Service Bus Relay のリスナー (Access Control のトークン取得のために 443 が必要)Listeners on Service Bus Relay over TCP (requires 443 for Access Control token acquisition)
*. frontend.clouddatahub.net*.frontend.clouddatahub.net 443443 HTTPSHTTPS
*.core.windows.net*.core.windows.net 443443 HTTPSHTTPS
login.microsoftonline.comlogin.microsoftonline.com 443443 HTTPSHTTPS
*.msftncsi.com*.msftncsi.com 443443 Power BI サービスがゲートウェイに到達できない場合に、インターネット接続をテストするために使用します。Used to test internet connectivity if the gateway is unreachable by the Power BI service.
*.microsoftonline-p.com*.microsoftonline-p.com 443443 構成によっては認証に使用します。Used for authentication depending on configuration.

注意

visualstudio.com または visualstudioonline.com へのトラフィックはアプリの洞察用であり、関数へのゲートウェイには必要ありません。Traffic going to visualstudio.com or visualstudioonline.com are for app insights and are not required for the gateway to function.

Azure Service Bus との強制的な HTTPS 通信Forcing HTTPS communication with Azure Service Bus

ゲートウェイと Azure Service Bus との間の通信に、直接 TCP ではなく HTTPS を使用するように強制できます。You can force the gateway to communicate with Azure Service Bus using HTTPS instead of direct TCP. これはパフォーマンスに影響する場合があります。This may have an impact on performance. この操作を行うには、この段落の直後に続くコード スニペットに示すように、値を AutoDetect から Https に変更して、Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config ファイルを変更します。To do so, modify the Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config file by changing the value from AutoDetect to Https, as shown in the code snippet directly following this paragraph. このファイルは、既定では C:\Program Files\On-premises data gateway にあります。That file is located (by default) at C:\Program Files\On-premises data gateway.

<setting name="ServiceBusSystemConnectivityModeString" serializeAs="String">
    <value>Https</value>
</setting>

ServiceBusSystemConnectivityModeString パラメーターの値は大文字小文字を区別します。The value for the ServiceBusSystemConnectivityModeString parameter is case sensitive. 有効な値は、AutoDetectHttps です。Valid values are AutoDetect and Https.

代わりに、2017 年 3 月のリリースから開始する、ゲートウェイのユーザー インターフェイスを使用して、ゲートウェイがこの動作を適用するように強制することができます。Alternatively, you can force the gateway to adopt this behavior using the gateway user interface, beginning with the March 2017 release. ゲートウェイのユーザー インターフェイスで、[ネットワーク] を選択し、[Azure Service Bus 接続モード][オン] に切り替えます。In the gateway user interface select Network, then toggle the Azure Service Bus connectivity mode to On.

変更した後、[適用] を選ぶと (変更を行ったときにのみ表示されるボタン)、ゲートウェイ Windows サービスが自動的に再起動して、変更が有効になります。Once changed, when you select Apply (a button that only appears when you make a change), the gateway Windows service restarts automatically, so the change can take effect.

将来の参照のためには、[サービス設定][今すぐ再起動] の順に選ぶことで、ユーザー インターフェイスのダイアログからゲートウェイ Windows サービスを再起動できます。For future reference, you can restart the gateway Windows service from the user interface dialog by selecting Service Settings then select Restart Now.

TLS 1.1/1.2 のサポートSupport for TLS 1.1/1.2

2017 年 8 月の更新以降、オンプレミス データ ゲートウェイは既定でトランスポート層セキュリティ (TLS) 1.1 または 1.2 を利用して Power BI サービスと通信します。With the August 2017 update and beyond, the on-premises data gateway uses Transport Layer Security (TLS) 1.1 or 1.2 to communicate with the Power BI service by default. オンプレミス データ ゲートウェイの以前のバージョンは、既定で、TLS 1.0 を使用します。Previous versions of the on-premises data gateway use TLS 1.0 by default. 2018 年 3 月 15 日に TLS 1.0 のサポートが終了します。これには、ゲートウェイで TLS 1.0 を利用し Power BI サービスとやりとりする機能も含まれます。そのため、オンプレミス データ ゲートウェイを引き続き利用するには、そのときまでに 2017 年 8 月公開以降のものにアップグレードする必要があります。On March 15th 2018, support for TLS 1.0 will end, including the gateway's ability to interact with the Power BI service using TLS 1.0, so by then you must upgrade your on-premises data gateway installations to the August 2017 release or newer to ensure your gateways continue to operate.

11 月 1 日まではオンプレミス データ ゲートウェイは TLS 1.0 に対応しており、フォールバック メカニズムとしてゲートウェイに利用されることにご留意ください。It's important to note that TLS 1.0 is still supported by the on-premises data gateway prior to November 1st, and is used by the gateway as a fallback mechanism. すべてのゲートウェイ トラフィックで TLS 1.1 または 1.2 が使用されるように (また、ゲートウェイで TLS 1.0 の使用を防止するために)、ゲートウェイ サービスを実行しているコンピューターで次のレジストリ キーを追加または変更する必要があります。To ensure all gateway traffic uses TLS 1.1 or 1.2 (and to prevent the use of TLS 1.0 on your gateway), you must add or modify the following registry keys on the machine running the gateway service:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

注意

これらのレジストリ キーを追加したり、変更したりすると、すべての .NET アプリケーションに変更が適用されます。Adding or modifying these registry keys applies the change to all .NET applications. 他のアプリケーションの TLS に影響を与えるレジストリ変更については、トランスポート層セキュリティ (TLS) レジストリ設定をご覧ください。For information about registry changes that affect TLS for other applications, see Transport Layer Security (TLS) registry settings.

ゲートウェイを再起動する方法How to restart the gateway

ゲートウェイは、Windows サービスとして実行されます。The gateway runs as a windows service. 他の Windows サービスのように、開始および停止できます。You can start and stop it like any windows service. これを行う方法は複数あります。There are multiple ways to do this. コマンド プロンプトを使用する方法を次に示します。Here is how you can do it from the command prompt.

  1. ゲートウェイが実行されているコンピューターで、管理者のコマンド プロンプトを起動します。On the machine where the gateway is running, launch an admin command prompt.
  2. サービスを停止するには、次のコマンドを使用します。Use the following command to stop the service.

    net stop PBIEgwServicenet stop PBIEgwService

  3. サービスを開始するには、次のコマンドを使用します。Use the following command to start the service.

    net start PBIEgwServicenet start PBIEgwService

次の手順Next steps

オンプレミス データ ゲートウェイのトラブルシューティングTroubleshooting the on-premises data gateway
Azure Service BusAzure Service Bus
Azure AD ConnectAzure AD Connect
他にわからないことがある場合は、More questions? Power BI コミュニティを利用してくださいTry the Power BI Community