在 Microsoft Purview (同一租户) 中连接和管理 Power BI 租户

本文概述了如何在同一租户方案中注册 Power BI 租户，以及如何在 Microsoft Purview 中对租户进行身份验证和交互。 有关 Microsoft Purview 的详细信息，请阅读 介绍性文章。

注意

从 2023 年 9 月 18 日起，Microsoft Purview 中的 Power BI 数据源将在所有区域中重命名为 Fabric。 仍可以使用“Power BI”作为关键字 (keyword) 来快速查找源以注册 Power BI 租户并设置扫描。 随着数据源名称的更改，Power BI 容量和 Power BI 工作区将相应地重命名为构造容量和构造工作区。 除了 UI 上的重命名相关更改外，数据源注册或设置扫描的现有功能和用户体验没有变化。 Power BI 的所有现有源或扫描将继续工作，无需更改，并且目前只能在 Fabric 租户中扫描 Power BI 项。

支持的功能

元数据提取	完整扫描	增量扫描	作用域扫描	分类	标记	访问策略	血统	数据共享	实时视图
是	是	是	否	否	否	否	是	否	否

扫描 Power BI 源时，Microsoft Purview 支持：

• 提取技术元数据，包括：

  • 工作区
  • 仪表板
  • 报表
  • 数据集，包括表和列
  • 数据流
  • 数据市场

• 提取上述 Power BI 项目以及外部数据源资产之间的资产关系的静态世系。 有关详细信息，请参阅 Power BI 世系。

有关可用于 Power BI 的元数据列表，请参阅 我们的可用元数据文档。

Power BI 扫描支持的方案

Scenarios	允许/拒绝 Microsoft Purview 公共访问	允许 /拒绝 Power BI 公共访问	运行时选项	身份验证选项	部署清单
使用 Azure IR 进行公共访问	Allowed	Allowed	Azure 运行时	Microsoft Purview 托管标识	查看部署清单
使用自承载 IR 的公共访问	Allowed	Allowed	自承载运行时	委托身份验证/服务主体	查看部署清单
专用访问	Allowed	Denied	自承载运行时	委托身份验证/服务主体	查看部署清单
专用访问	Denied	Allowed	自承载运行时	委托身份验证/服务主体	查看部署清单
专用访问	Denied	Denied	自承载运行时	委托身份验证/服务主体	查看部署清单

已知限制

• 如果 Microsoft Purview 或 Power BI 租户在专用终结点后面受到保护，则自承载运行时是扫描的唯一选项。
• 在扫描期间使用自承载集成运行时时，委托身份验证和服务主体是唯一支持的身份验证选项。
• 对于在 Microsoft Purview 帐户中注册的 Power BI 数据源，只能创建一次扫描。
• 如果扫描后未显示 Power BI 数据集架构，则这是由于 Power BI 元数据扫描程序的当前限制之一。
• 跳过空工作区。
• 扫描资产时，有效负载当前限制为 2MB 和 800 列。

先决条件

在开始之前，请确保满足以下先决条件：

• 具有活动订阅的 Azure 帐户。 免费创建帐户。

• 有效的 Microsoft Purview 帐户。

身份验证选项

• 托管标识
• 委托身份验证
• 服务主体

部署清单

根据方案，在设置过程中或出于故障排除目的使用以下任何部署清单：

使用 Azure IR 进行公共访问

在公用网络中使用 Azure IR 和托管标识扫描同一租户 Power BI

1. 确保 Power BI 和 Microsoft Purview 帐户位于同一租户中。

2. 确保在注册期间正确输入 Power BI 租户 ID。

3. 通过启用元数据扫描，确保 Power BI 元数据模型是最新的。

4. 从Azure 门户验证 Microsoft Purview 帐户网络是否设置为公共访问。

5. 在 Power BI 租户管理员门户中，确保将 Power BI 租户配置为允许公用网络。

6. 在 Azure Active Directory 租户中，创建安全组。

7. 在 Azure Active Directory 租户中，确保 Microsoft Purview 帐户 MSI 是新安全组的成员。

8. 在 Power BI 租户管理员门户中，验证是否为新安全组启用了允许服务主体使用只读 Power BI 管理员 API。

使用自承载 IR 的公共访问

使用自承载 IR 在公用网络中使用委托身份验证或服务主体扫描同一租户 Power BI

1. 确保 Power BI 和 Microsoft Purview 帐户位于同一租户中。

2. 确保在注册期间正确输入 Power BI 租户 ID。

3. 通过启用元数据扫描，确保 Power BI 元数据模型是最新的。

4. 从Azure 门户验证 Microsoft Purview 帐户网络是否设置为公共访问。

5. 在 Power BI 租户管理员门户中，确保将 Power BI 租户配置为允许公用网络。

6. 检查 Azure 密钥保管库以确保：

   1. 密码或机密中没有拼写错误。
   2. Microsoft Purview 托管标识具有对机密的获取/列出访问权限。

7. 查看凭据以验证：

   1. 客户端 ID 与 应用程序 (客户端) 应用注册 ID 匹配。
   2. 用户名包括用户主体名称，例如 johndoe@contoso.com。

8. 验证应用注册设置以确保：

   1. 应用注册存在于 Azure Active Directory 租户中。

   2. 如果使用服务主体，在 API 权限下，为以下 API 分配有读取权限的以下 委托权限 ：

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. 如果使用委托身份验证，在 API 权限下，为租户设置以下 委派权限 和 授予管理员同意 ，并针对以下 API 进行读取：

      • Power BI 服务 Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. 在 “身份验证”下，启用 “允许公共客户端流 ”。

9. 如果使用委派身份验证，请验证 Power BI 管理员用户设置以确保：

   1. 用户分配到 Power BI 管理员角色。
   2. 至少向用户分配了一个 Power BI 许可证 。
   3. 如果最近创建了用户，请至少使用用户登录一次，以确保密码重置成功，并且用户可以成功启动会话。
   4. 不会对用户强制实施 MFA 或条件访问策略。

10. 验证自承载运行时设置：

    1. VM 上安装最新版本的 自承载运行时 。

    2. 已启用从自承载运行时到 Power BI 租户的网络连接。 必须可从自承载运行时 VM 访问以下终结点：

       • *.powerbi.com
       • *.analysis.windows.net

    3. 已启用从自承载运行时到 Microsoft 服务的网络连接。

    4. 已安装 JDK 8 或更高版本。 在新安装 JDK 后重启计算机，使其生效。

11. 在 Azure Active Directory 租户中，创建安全组。

12. 在 Azure Active Directory 租户中，确保 服务主体是新安全组的成员。

13. 在 Power BI 租户管理员门户中，验证是否为新安全组启用了允许服务主体使用只读 Power BI 管理员 API。

专用访问

使用专用网络中具有委托身份验证或服务主体的自承载 IR 扫描同一租户 Power BI

1. 确保 Power BI 和 Microsoft Purview 帐户位于同一租户中。

2. 确保在注册期间正确输入 Power BI 租户 ID。

3. 通过启用元数据扫描，确保 Power BI 元数据模型是最新的。

4. 检查 Azure 密钥保管库以确保：

   1. 密码中没有拼写错误。
   2. Microsoft Purview 托管标识具有对机密的获取/列出访问权限。

5. 查看凭据以验证：

   1. 客户端 ID 与 应用程序 (客户端) 应用注册 ID 匹配。
   2. 用户名包括用户主体名称，例如 johndoe@contoso.com。

6. 如果使用委托身份验证，请验证 Power BI 管理员用户设置以确保：

   1. 用户分配到 Power BI 管理员角色。
   2. 至少向用户分配了一个 Power BI 许可证 。
   3. 如果最近创建了用户，请至少使用用户登录一次，以确保密码重置成功，并且用户可以成功启动会话。
   4. 不会对用户强制实施 MFA 或条件访问策略。

7. 验证自承载运行时设置：

   1. VM 上安装最新版本的 自承载运行时 。
   2. 已安装 JDK 8 或更高版本。 在新安装 JDK 后重启计算机，使其生效。

8. 验证应用注册设置以确保：

   1. 应用注册存在于 Azure Active Directory 租户中。

   2. 如果使用服务主体，在 API 权限下，为以下 API 分配有读取权限的以下 委托权限 ：

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. 如果使用委托身份验证，在 API 权限下，为租户设置以下 委派权限 和 授予管理员同意 ，并针对以下 API 进行读取：

      • Power BI 服务 Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. 在 “身份验证”下，启用 “允许公共客户端流 ”。

9. 查看网络配置并验证是否：

   1. 如果 Power BI 不允许公共访问，请确保已部署 Power BI 租户的专用终结点 。

   2. 部署 了 Microsoft Purview 所需的所有专用终结点 。

   3. 已启用从自承载运行时到 Power BI 租户的网络连接。 必须可从自承载运行时 VM 访问以下终结点：

      • *.powerbi.com
      • *.analysis.windows.net

   4. 通过专用网络启用从自承载运行时到 Microsoft 服务的网络连接。

10. 在 Azure Active Directory 租户中，创建安全组。

11. 在 Azure Active Directory 租户中，确保 服务主体是新安全组的成员。

12. 在 Power BI 租户管理员门户中，验证是否为新安全组启用了允许服务主体使用只读 Power BI 管理员 API。

注册 Power BI 租户

本部分介绍如何在 Microsoft Purview 中为同一租户方案注册 Power BI 租户。

1. 选择左侧导航上的 “数据映射 ”。

2. 然后选择“注册”。

   选择 Power BI 作为数据源。

   

3. 为 Power BI 实例指定一个友好名称。

   

   名称的长度必须介于 3-63 个字符之间，并且只能包含字母、数字、下划线和连字符。 不允许使用空格。

   默认情况下，系统会找到同一 Azure Active Directory 租户中存在的 Power BI 租户。

   

扫描同一租户 Power BI

提示

若要排查扫描的任何问题，请：

1. 确认已完成 方案的部署清单。
2. 查看 扫描故障排除文档。

向 Power BI 租户进行身份验证

在 Power BI 租户所在的 Azure Active Directory 租户中：

1. 在Azure 门户中，搜索 Azure Active Directory。

2. 按照使用 Azure Active Directory 创建基本组并添加成员，在 Azure Active Directory 中创建新的安全组。

   提示

   如果已有要使用的安全组，则可以跳过此步骤。

3. 选择“ 安全性 ”作为 “组类型”。

   

4. 将相关用户添加到安全组：

   • 如果使用 托管标识 作为身份验证方法，请将 Microsoft Purview 托管标识添加到此安全组。 选择“ 成员”，然后选择“ + 添加成员”。

     

   • 如果使用委托身份验证或服务主体作为身份验证方法，请将服务主体添加到此安全组。 选择“ 成员”，然后选择“ + 添加成员”。

5. 搜索 Microsoft Purview 托管标识或服务主体并选择它。

   

   应会看到一条成功通知，显示它已添加。

   

将安全组与 Power BI 租户关联

1. 登录到 Power BI 管理门户。

2. 选择“ 租户设置” 页。

   重要

   你需要是 Power BI 管理员才能查看租户设置页。

3. 选择“管理员 API 设置>允许服务主体使用只读 Power BI 管理员 API (预览版) 。

4. 选择“ 特定安全组”。

   

5. 选择“管理员 API 设置>使用详细元数据增强管理员 API 响应”和“使用 DAX 和混合表达式>增强管理员 API 响应”启用切换以允许Microsoft Purview 数据映射在其扫描过程中自动发现 Power BI 数据集的详细元数据。

   重要

   更新 power bi 租户上的 管理员 API 设置后，请等待大约 15 分钟，然后注册扫描和测试连接。

   

   警告

   当你允许你创建的安全组 (将 Microsoft Purview 托管标识作为成员) 使用只读 Power BI 管理员 API 时，你还允许该安全组访问此租户中所有 Power BI 项目的元数据 (例如仪表板和报表名称、所有者、说明等 ) 。 将元数据拉取到 Microsoft Purview 后，Microsoft Purview 的权限（而不是 Power BI 权限）将确定谁可以查看该元数据。

   注意

   可以从开发人员设置中删除安全组，但之前提取的元数据不会从 Microsoft Purview 帐户中删除。 如果需要，可以单独删除它。

使用 Azure IR 和托管标识为同一租户 Power BI 创建扫描

如果 Microsoft Purview 和 Power BI 租户都配置为允许网络设置中的公共访问，则这是一个合适的方案。

若要创建并运行新的扫描，请执行以下操作：

1. 在 Microsoft Purview Studio 中，导航到左侧菜单中 的数据映射 。

2. 导航到 “源”。

3. 选择已注册的 Power BI 源。

4. 选择“ + 新建扫描”。

5. 为扫描命名。 然后选择选项以包括或排除个人工作区。

   

   注意

   将扫描配置切换为包含或排除个人工作区将触发 Power BI 源的完整扫描。

6. 选择“ 测试连接 ”，然后继续执行后续步骤。 如果 测试连接 失败，请选择“ 查看报告 ”以查看详细状态并排查问题。

   1. 访问 - 失败状态表示用户身份验证失败。 使用托管标识的扫描将始终通过，因为不需要用户身份验证。
   2. 资产 (+ 世系) - 失败状态表示 Microsoft Purview - Power BI 授权失败。 确保 Microsoft Purview 托管标识已添加到 Power BI 管理门户中关联的安全组。
   3. 详细元数据 (增强) - 失败状态表示已针对以下设置禁用 Power BI 管理门户 - 使用详细元数据增强管理员 API 响应

   

7. 设置扫描触发器。 选项为 “定期”和“ 一次”。

   

8. 在“ 查看新扫描”上，选择“ 保存并运行” 以启动扫描。

   

使用具有服务主体的自承载 IR 为同一租户创建扫描

当 Microsoft Purview 和/或 Power BI 租户配置为使用专用终结点和/或拒绝公共访问时，可以使用此方案。 此外，如果 Microsoft Purview 和 Power BI 租户配置为允许公共访问，则此选项也适用。

有关 Power BI 网络的详细信息，请参阅 如何配置专用终结点以访问 Power BI。

有关 Microsoft Purview 网络设置的详细信息，请参阅 为 Microsoft Purview 帐户使用专用终结点。

若要创建并运行新的扫描，请执行以下操作：

1. 在Azure 门户，选择“Azure Active Directory”，并在租户中创建应用注册。 在 重定向 URI 中提供 Web URL。 有关重定向 URI 的信息，请参阅 Azure Active Directory 中的此文档。

   

2. 记下客户端 ID (应用 ID) 。

   

3. 在 Azure Active Directory 仪表板，选择新创建的应用程序，然后选择“应用注册”。 从 API 权限中，为应用程序分配以下委派权限：

   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

4. 在 “高级设置”下，启用 “允许公共客户端流”。

5. 在 “证书机密” & 下，创建新机密并安全地保存它以供后续步骤使用。

6. 在 Azure 门户 中，导航到 Azure 密钥保管库。

7. 选择 “设置>机密 ”，然后选择“ + 生成/导入”。

   

8. 输入机密的名称，对于 “值”，键入新创建的机密以用于应用注册。 选择“ 创建 ”完成。

   

9. 如果密钥保管库尚未连接到 Microsoft Purview，则需要 创建新的密钥保管库连接

10. 在 Microsoft Purview Studio 中，导航到左侧菜单中 的数据映射 。

11. 导航到 “源”。

12. 选择已注册的 Power BI 源。

13. 选择“ + 新建扫描”。

14. 为扫描命名。 然后选择选项以包括或排除个人工作区。

    注意

    将扫描配置切换为包含或排除个人工作区将触发 Power BI 源的完整扫描。

15. 从下拉列表中选择自承载集成运行时。

    

16. 对于 “凭据”，请选择“ 服务主体 ”，然后选择“ + 新建 ”以创建新凭据。

17. 创建新的凭据并提供所需的参数：

    • 名称：为凭据提供唯一名称
    • 身份验证方法：服务主体
    • 租户 ID：Power BI 租户 ID
    • 客户端 ID：使用服务主体客户端 ID (之前创建的应用 ID)

    

18. 选择“ 测试连接 ”，然后继续执行后续步骤。 如果 测试连接 失败，请选择“ 查看报告 ”以查看详细状态并排查问题

    1. 访问 - 失败状态表示用户身份验证失败。 使用托管标识的扫描将始终通过，因为不需要用户身份验证。
    2. 资产 (+ 世系) - 失败状态表示 Microsoft Purview - Power BI 授权失败。 确保 Microsoft Purview 托管标识已添加到 Power BI 管理门户中关联的安全组。
    3. 详细元数据 (增强) - 失败状态表示已针对以下设置禁用 Power BI 管理门户 - 使用详细元数据增强管理员 API 响应

    

19. 设置扫描触发器。 选项为 “定期”和“ 一次”。

    

20. 在“ 查看新扫描”上，选择“ 保存并运行” 以启动扫描。

使用具有委派身份验证的自承载 IR 为同一租户创建扫描

当 Microsoft Purview 和/或 Power BI 租户配置为使用专用终结点和/或拒绝公共访问时，可以使用此方案。 此外，如果 Microsoft Purview 和 Power BI 租户配置为允许公共访问，则此选项也适用。

有关 Power BI 网络的详细信息，请参阅 如何配置专用终结点以访问 Power BI。

有关 Microsoft Purview 网络设置的详细信息，请参阅 为 Microsoft Purview 帐户使用专用终结点。

若要创建并运行新的扫描，请执行以下操作：

1. 在 Azure Active Directory 租户中创建用户帐户，并将用户分配到 Azure Active Directory 角色 Power BI 管理员。 记下用户名并登录以更改密码。

2. 向用户分配适当的 Power BI 许可证。

3. 导航到 Azure 密钥保管库。

4. 选择 “设置>机密 ”，然后选择“ + 生成/导入”。

   

5. 输入机密的名称，对于 “值”，键入 Azure AD 用户新创建的密码。 选择“ 创建 ”完成。

   

6. 如果密钥保管库尚未连接到 Microsoft Purview，则需要 创建新的密钥保管库连接

7. 在 Azure Active Directory 租户中创建应用注册。 在 重定向 URI 中提供 Web URL。

   

8. 记下客户端 ID (应用 ID) 。

   

9. 在 Azure Active Directory 仪表板，选择新创建的应用程序，然后选择“应用注册”。 为应用程序分配以下委派权限，并为租户授予管理员同意：

   • Power BI 服务 Tenant.Read.All
   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

10. 在 “高级设置”下，启用 “允许公共客户端流”。

11. 在 Microsoft Purview Studio 中，导航到左侧菜单中 的数据映射 。

12. 导航到 “源”。

13. 选择已注册的 Power BI 源。

14. 选择“ + 新建扫描”。

15. 为扫描命名。 然后选择选项以包括或排除个人工作区。

    注意

    将扫描配置切换为包含或排除个人工作区将触发 Power BI 源的完整扫描。

16. 从下拉列表中选择自承载集成运行时。

    

17. 对于 “凭据”，请选择“ 委派身份验证 ”，然后选择“ + 新建 ”以创建新凭据。

18. 创建新的凭据并提供所需的参数：

    • 名称：为凭据提供唯一名称
    • 身份验证方法：委托身份验证
    • 客户端 ID：使用服务主体客户端 ID (之前创建的应用 ID)
    • 用户名：提供之前创建的 Power BI 管理员的用户名
    • 密码：选择适当的 Key Vault 连接和之前保存 Power BI 帐户密码的 机密名称 。

    

19. 选择“ 测试连接 ”，然后继续执行后续步骤。 如果 测试连接 失败，请选择“ 查看报告 ”以查看详细状态并排查问题

    1. 访问 - 失败状态表示用户身份验证失败。 使用托管标识的扫描将始终通过，因为不需要用户身份验证。
    2. 资产 (+ 世系) - 失败状态表示 Microsoft Purview - Power BI 授权失败。 确保 Microsoft Purview 托管标识已添加到 Power BI 管理门户中关联的安全组。
    3. 详细元数据 (增强) - 失败状态表示已针对以下设置禁用 Power BI 管理门户 - 使用详细元数据增强管理员 API 响应

    

20. 设置扫描触发器。 选项为 “定期”和“ 一次”。

    

21. 在“ 查看新扫描”上，选择“ 保存并运行” 以启动扫描。

    

后续步骤

注册源后，请按照以下指南详细了解 Microsoft Purview 和数据。

• Microsoft Purview 中的数据资产见解
• Microsoft Purview 中的世系
• 搜索数据目录