Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Analysis Services使用Microsoft Entra ID进行标识管理和用户身份验证。 创建、管理或连接到Azure Analysis Services服务器的任何用户必须在同一订阅的 Microsoft Entra 租户中具有有效的用户标识。
Azure Analysis Services支持 Microsoft Entra B2B 协作。 使用 B2B,组织外部的用户可以被邀请作为 Microsoft Entra 目录中的来宾用户。 来宾可以来自另一个 Microsoft Entra 租户目录或任何有效的电子邮件地址。 邀请用户接受来自Azure的电子邮件发送的邀请后,用户标识将添加到租户目录中。 可将这些标识添加到安全组,或者作为服务器管理员或数据库角色的成员。
身份验证
所有客户端应用程序和工具都使用一个或多个 Analysis Services 客户端库 (AMO、MSOLAP、ADOMD)连接到服务器。
这三个客户端库都支持Microsoft Entra交互式流和非交互式身份验证方法。 这两种非交互式方法(Active Directory密码和Active Directory集成身份验证方法)可用于使用 AMOMD 和 MSOLAP 的应用程序。 这两种方法永远不会产生登录用弹出对话框。
Excel 和 Power BI Desktop 等客户端应用程序,以及 Visual Studio 的工具(如 SSMS 和 Analysis Services 项目扩展)安装具有常规更新的客户端库的最新版本。 Power BI Desktop、SSMS 和 Analysis Services 项目扩展每月更新。 Excel 通过 Microsoft 365 更新。 Microsoft 365更新频率较低,某些组织使用延迟频道,这意味着更新最多延迟三个月。
根据使用的客户端应用程序或工具,身份验证类型和登录方式可能有所不同。 每个应用程序都可能支持连接到云服务(如 Azure Analysis Services)的不同功能。
Power BI桌面、Visual Studio和 SSMS 支持Active Directory通用身份验证,这是一种支持Microsoft Entra多重身份验证(MFA)的交互式方法。 Microsoft Entra多重身份验证有助于保护对数据和应用程序的访问,同时提供简单的登录过程。 它通过多个验证选项(电话、短信、含有 PIN 码的智能卡或移动应用通知)提供强身份验证。 使用 Microsoft Entra ID 的交互式 MFA 可能会导致弹出对话框以进行验证。 建议使用通用身份验证。
如果使用Windows帐户登录Azure,并且未选择或可用通用身份验证(Excel),则需要Active Directory Federation Services(AD FS)。 在联合身份验证下,Microsoft Entra ID 和 Microsoft 365 用户通过本地环境凭据进行身份验证,并可以访问 Azure 资源。
SQL Server Management Studio (SSMS)
Azure Analysis Services服务器通过使用Windows身份验证、Active Directory密码身份验证和Active Directory通用身份验证支持来自 SSMS V17.1 及更高版本的连接。 一般情况下,建议使用Active Directory通用身份验证,因为:
支持交互式和非交互式身份验证方法。
支持受邀加入 Azure AS 租户的 Azure B2B 来宾用户。 连接到服务器时,来宾用户必须在连接到服务器时选择Active Directory通用身份验证。
支持多重身份验证 (MFA)。 Microsoft Entra多重身份验证有助于通过一系列验证选项保护对数据和应用程序的访问:电话呼叫、短信、带有 pin 或移动应用通知的智能卡。 使用 Microsoft Entra ID 的交互式 MFA 可能会导致弹出对话框以进行验证。
Visual Studio
Visual Studio通过 MFA 支持使用 Active Directory 通用身份验证连接到Azure Analysis Services。 系统会提示用户在第一次部署上登录Azure。 用户必须使用在要部署到的服务器上具有服务器管理员权限的帐户登录Azure。 首次登录Azure时,会分配令牌。 令牌将缓存在内存中,以便将来重新连接。
Power BI桌面
Power BI桌面使用具有 MFA 支持的Active Directory通用身份验证连接到Azure Analysis Services。 系统会提示用户在第一个连接上登录Azure。 用户必须使用服务器管理员或数据库角色中包含的帐户登录到Azure。
Excel
Excel 用户可以使用Windows帐户、组织 ID(电子邮件地址)或外部电子邮件地址连接到服务器。 外部电子邮件标识必须在Microsoft Entra ID中作为来宾用户存在。
用户权限
服务器管理员特定于Azure Analysis Services服务器实例。 它们使用Azure门户、SSMS 和Visual Studio等工具进行连接,以执行配置设置和管理用户角色等任务。 默认情况下,创建服务器的用户将被自动添加为 Analysis Services 服务器管理员。 可以使用 Azure 门户或 SSMS 添加其他管理员。 服务器管理员必须在同一订阅的Microsoft Entra租户中拥有帐户。 若要了解详细信息,请参阅 “管理服务器管理员”。
Database 用户使用 Excel 或Power BI等客户端应用程序连接到模型数据库。 用户必须被添加到数据库角色中。 数据库角色为数据库确定管理员、进程或读取权限。 具有管理员权限的数据库用户与服务器管理员不同,请务必了解这一点。 但默认情况下,服务器管理员也是数据库管理员。 若要了解详细信息,请参阅 “管理数据库角色和用户”。
Azure资源所有者。 资源所有者管理Azure订阅的资源。 资源所有者可以通过在 Azure 门户中的 访问控制 选项,或者使用 Azure Resource Manager 模板,将 Microsoft Entra 用户标识添加到订阅中的所有者或贡献者角色。
Azure 门户中的 
此级别的角色适用于需要执行可在门户中或通过Azure Resource Manager模板完成的任务的用户或帐户。 若要了解详细信息,请参阅Azure基于角色的访问控制(Azure RBAC)。
数据库角色
为表格模型定义的角色就是数据库角色。 也就是说,角色包含微软 Entra 用户和安全组的成员,这些成员具有定义其对模型数据库执行操作的特定权限。 数据库角色作为数据库中的单独对象创建,并且仅适用于创建该角色的数据库。
默认情况下,创建新的表格模型项目时,该模型项目没有任何角色。 可以使用 Visual Studio 中的“角色管理器”对话框定义角色。 如果在模型项目设计期间定义了角色,则这些角色仅适用于模型工作区数据库。 部署模型时,将对该模型应用相同的角色。 部署模型后,服务器和数据库管理员就可以使用 SSMS 管理角色和成员。 若要了解详细信息,请参阅 “管理数据库角色和用户”。
注意事项和限制
- Azure Analysis Services 不支持为 B2B 用户使用一次性密码
后续步骤
通过 Microsoft Entra 组管理对资源的访问
管理数据库角色和用户
管理服务器管理员
Azure基于角色的访问控制(Azure RBAC)