在 Microsoft Purview 中连接到 Power BI 租户并对其进行管理(同租户)

本文概述了如何在 Microsoft Purview 中注册同租户场景中的 Power BI 租户,以及如何对该租户进行身份验证并与之交互。 有关 Microsoft Purview 的详细信息,请阅读简介文章

注意

Microsoft Purview 中的 Power BI 数据源已在所有区域重命名为 Fabric。 你仍然可以使用“Power BI”作为关键字快速找到源来注册 Power BI 租户并设置扫描。

自 2023 年 12 月 13 日起,扫描注册了 Microsoft Purview 中 Fabric 数据源的 Fabric 租户时会捕获 Fabric 项的元数据和世系(包括 Power BI)。 对于现有扫描,无需执行额外配置步骤来启用除 Power BI 以外的 Fabric 项扫描。 Fabric 租户和 Power BI 租户共享相同的数据源,使用相同的扫描设置体验。 有关扫描 Fabric 租户的信息,请参阅 Fabric 文档

显示 Power BI 数据源重命名为 Fabric 的图。

支持的功能

元数据提取 完全扫描 增量扫描 限定范围扫描 分类 标记 访问策略 沿袭 数据共享 实时视图
No No 是*

* Microsoft Fabric 租户中的 Power BI 项可通过实时视图进行访问。

扫描 Power BI 源时,Microsoft Purview 支持:

  • 提取技术元数据,包括:

    • 工作区
    • 仪表板
    • 报表
    • 数据集(包括表和列)
    • 数据流
    • 数据市场
  • 提取上述 Power BI 项目和外部数据源资产中资产关系的静态世系。 有关详细信息,请参阅 Power BI 世系

有关 Power BI 可用元数据的列表,请参阅可用元数据文档

适用于 Power BI 扫描的受支持的方案

方案 允许/拒绝 Microsoft Purview 公共访问 允许/拒绝 Power BI 公共访问 运行时选项 验证选项 部署清单
使用 Azure IR 进行公共访问 允许 允许 Azure 运行时 托管标识/委托身份验证/服务主体 查看部署清单
使用自承载 IR 进行公共访问 允许 允许 自承载运行时 委托身份验证/服务主体 查看部署清单
专用访问权限 拒绝 允许 托管 VNet IR(仅限 v2) 托管标识/委托身份验证/服务主体 查看部署清单
专用访问权限 允许 拒绝 自承载运行时 委托身份验证/服务主体 查看部署清单
专用访问权限 拒绝 允许 自承载运行时 委托身份验证/服务主体 查看部署清单
专用访问权限 拒绝 拒绝 自承载运行时 委托身份验证/服务主体 查看部署清单

已知限制

先决条件

在开始之前,请确保满足以下先决条件:

身份验证选项

  • 托管标识
  • 委托身份验证
  • Service Principal

部署清单

根据场景,在设置期间或出于故障排除目的,使用以下任一部署清单:

在公用网络中使用 Azure IR 和托管标识扫描同租户 Power BI

  1. 确保 Power BI 和 Microsoft Purview 帐户位于同一租户中。

  2. 确保在注册期间正确输入 Power BI 租户 ID。

  3. 通过启用元数据扫描,确保 Power BI 元数据模型处于最新状态

  4. 在 Azure 门户中,验证 Microsoft Purview 帐户网络是否设置为公共访问。

  5. 在 Power BI 租户管理门户中,确保 Power BI 租户配置为允许公用网络。

  6. 在 Microsoft Entra 租户中创建安全组。

  7. 在 Microsoft Entra 租户中,确保 Microsoft Purview 帐户 MSI 是新安全组的成员

  8. 在 Power BI 租户管理门户上,验证是否为新安全组启用了“允许服务主体使用只读 Power BI 管理 API”。

注册 Power BI 租户

本部分介绍如何为同一租户方案在 Microsoft Purview 中注册 Power BI 租户。

  1. 在左侧导航中选择“数据映射”。

  2. 然后选择“注册”。

    选择 Fabric 作为数据源。 它包括 Power BI 源和资产。

    显示可供选择的数据源列表的图像,其中突出显示了 Fabric 源。

  3. 为数据源命名。

    该名称的长度必须介于 3-63 个字符之间,并且只能包含字母、数字、下划线和连字符。 不允许包含空格。

    默认情况下,系统将查找存在于同一 Microsoft Entra 租户中的 Fabric 租户。

  4. 选择要在其中注册源的集合。

  5. 选择“注册”。

扫描同租户 Power BI

提示

若要排查与扫描有关的任何问题,请执行以下操作:

  1. 确认已完成方案的部署清单
  2. 查看扫描故障排除文档

对 Power BI 租户进行身份验证

在 Power BI 租户所在的 Microsoft Entra 租户中:

  1. Azure 门户中,搜索“Microsoft Entra ID”

  2. 按照使用 Microsoft Entra ID 创建基本组并添加成员中的说明在 Microsoft Entra ID 中创建一个新安全组。

    提示

    如果你已有想要使用的安全组,则可以跳过此步骤。

  3. 选择“安全性”作为“组类型” 。

    安全组类型的屏幕截图。

  4. 将相关用户添加到安全组:

    • 如果使用托管标识作为身份验证方法,需将 Microsoft Purview 托管标识添加到此安全组。 选择“成员”,然后选择“+ 添加成员” 。

      显示如何将目录的托管实例添加到组的屏幕截图。

    • 如果使用委托身份验证服务主体作为身份验证方法,需将服务主体添加到此安全组。 选择“成员”,然后选择“+ 添加成员” 。

  5. 搜索并选择 Microsoft Purview 托管标识或服务主体。

    显示如何通过搜索目录名称来添加目录的屏幕截图。

    你应会看到一条成功通知,显示已添加该标识。

    显示成功添加目录托管标识的屏幕截图。

将安全组与 Power BI 租户关联

  1. 登录到 Power BI 管理门户

  2. 选择“租户设置”页。

    重要

    你需要成为 Power BI 管理员才能看到“租户设置”页。

  3. 选择“管理员 API 设置”>“允许服务主体使用只读 Power BI 管理员 API (预览)” 。

  4. 选择“特定安全组”。

    该图显示如何允许服务主体获取只读 Power BI 管理员 API 权限。

  5. 选择“管理员 API 设置”>“使用详细元数据增强管理员 API 响应”和“使用 DAX 和 mashup 表达式增强管理员 API 响应”> 启用切换按钮,以允许 Microsoft Purview 数据映射在扫描过程中自动发现 Power BI 数据集的详细元数据。

    重要

    更新 Power BI 租户上的“管理员 API 设置”后,请等待大约 15 分钟,然后再注册扫描和测试连接。

    图中显示了用于启用子项目扫描的 Power BI 管理门户配置。

    注意

    如果允许创建的安全组(其成员包括 Microsoft Purview 托管标识)使用只读 Power BI 管理员 API,则还会允许该安全组访问此租户中的所有 Power BI 项目的元数据(例如仪表板和报表名称、所有者、说明等)。 将元数据拉取到 Microsoft Purview 后,Microsoft Purview 的权限(而不是 Power BI 权限)会确定谁可以看到该元数据。

    注意

    可以从开发人员设置中删除安全组,但不会从 Microsoft Purview 帐户中删除之前提取的元数据。 如果愿意,可以单独将其删除。

使用 Azure IR 和托管标识创建同租户 Power BI 扫描

如果 Microsoft Purview 和 Power BI 租户都在网络设置中配置为允许公开访问,那么,这就是合适的方案。

若要创建并运行新扫描,请执行以下操作:

  1. 在 Microsoft Purview Studio 中,导航到左侧菜单中的“数据映射”。

  2. 导航到“源”。

  3. 选择已注册的 Power BI 源。

  4. 选择“+ 新建扫描”。

  5. 为扫描提供一个名称。 然后选择包含或排除个人工作区的选项。

    显示 Power BI 扫描设置的图像。

    注意

    切换扫描的配置以包括或排除个人工作区将会触发对 Power BI 源进行完全扫描。

  6. 在继续执行后续步骤之前,选择“测试连接”。 如果“测试连接”失败,请选择“查看报表”,以查看详细状态并排查问题。

    1. “访问 - 失败”状态表示用户身份验证失败。 使用托管标识的扫描将始终成功,因为无需用户身份验证。
    2. “资产(+ 世系) - 失败”状态表示 Microsoft Purview - Power BI 授权失败。 请确保 Microsoft Purview 托管标识已添加到 Power BI 管理员门户中关联的安全组。
    3. “详细元数据(增强型) - 失败”状态表示对”使用详细元数据增强管理员 API 响应”设置禁用了 Power BI 管理门户

    测试连接状态报表页的屏幕截图。

  7. 设置扫描触发器。 你的选项为“定期”和“一次”。

    Microsoft Purview 扫描计划程序的屏幕截图。

  8. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

    使用托管标识保存并运行 Power BI 源的屏幕截图。

结合使用自承载 IR 和服务主体创建同租户扫描

在 Microsoft Purview 和 Power PI 租户(或它们两者)配置为使用专用终结点并拒绝公共访问时,可以使用此方案。 此外,如果 Microsoft Purview 和 Power BI 租户配置为允许公共访问,则此选项也适用。

有关 Power BI 网络的详细信息,请参阅如何配置专用终结点以便访问 Power BI

有关 Microsoft Purview 网络设置的详细信息,请参阅将专用终结点用于 Microsoft Purview 帐户

若要创建并运行新扫描,请执行以下操作:

  1. Azure 门户中,选择“Microsoft Entra ID”并在租户中创建应用注册。 在“重定向 URI”中提供 Web URL。 有关重定向 URI 的信息,请参阅 Microsoft Entra ID 中的此文档

    显示在 Microsoft Entra ID 中创建应用的屏幕截图。

  2. 记下客户端 ID(应用 ID)。

    显示如何创建服务主体的屏幕截图。

  3. 从 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“应用注册”。 从“API 权限”为应用程序分配以下委托权限:

    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Microsoft Graph 上的委托权限的屏幕截图。

  4. 在“高级设置”下,启用“允许公共客户端流”。

  5. 在“证书和机密”下,创建新的机密并安全地保存,以便执行后续步骤。

  6. 在 Azure 门户中,导航到 Azure Key Vault。

  7. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    显示如何导航到 Azure 密钥保管库的屏幕截图。

  8. 输入机密名称和值,键入为应用注册新创建的密码。 选择“创建”以完成操作。

    显示如何为 SPN 生成 Azure Key Vault 机密的屏幕截图。

  9. 如果密钥保管库尚未连接到 Microsoft Purview,你将需要创建新的密钥保管库连接

  10. 在 Microsoft Purview Studio 中,导航到左侧菜单中的“数据映射”。

  11. 导航到“源”。

  12. 选择已注册的 Power BI 源。

  13. 选择“+ 新建扫描”。

  14. 为扫描提供一个名称。 然后选择包含或排除个人工作区的选项。

    注意

    切换扫描的配置以包括或排除个人工作区将会触发对 Power BI 源进行完全扫描。

  15. 从下拉列表中选择你的自承载集成运行时。

    显示使用 SHIR 为同一租户设置 Power BI 扫描的插图。

  16. 对于“凭据”,请选择“服务主体”,然后选择“+ 新建”,以创建新凭据。

  17. 创建新凭据并提供所需参数:

    • 名称:为凭据提供一个独一无二的名称
    • 身份验证方法:服务主体
    • 租户 ID:你的 Power BI 租户 ID
    • 客户端 ID:使用你在前面创建的服务主体客户端 ID(应用 ID)

    新凭据菜单的屏幕截图,其中显示了 SPN 的 Power BI 凭据以及提供的所有所需值。

  18. 在继续执行后续步骤之前,选择“测试连接”。 如果测试连接失败,请选择“查看报表”,以查看详细状态并排查问题

    1. “访问 - 失败”状态表示用户身份验证失败。 使用托管标识的扫描将始终成功,因为无需用户身份验证。
    2. “资产(+ 世系) - 失败”状态表示 Microsoft Purview - Power BI 授权失败。 请确保 Microsoft Purview 托管标识已添加到 Power BI 管理员门户中关联的安全组。
    3. “详细元数据(增强型) - 失败”状态表示对”使用详细元数据增强管理员 API 响应”设置禁用了 Power BI 管理门户

    测试连接状态报表页的屏幕截图。

  19. 设置扫描触发器。 你的选项为“定期”和“一次”。

    Microsoft Purview 扫描计划程序的屏幕截图。

  20. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

结合使用自承载 IR 和委托身份验证创建同租户扫描

在 Microsoft Purview 和 Power PI 租户(或它们两者)配置为使用专用终结点并拒绝公共访问时,可以使用此方案。 此外,如果 Microsoft Purview 和 Power BI 租户配置为允许公共访问,则此选项也适用。

有关 Power BI 网络的详细信息,请参阅如何配置专用终结点以便访问 Power BI

有关 Microsoft Purview 网络设置的详细信息,请参阅将专用终结点用于 Microsoft Purview 帐户

若要创建并运行新扫描,请执行以下操作:

  1. 在 Microsoft Entra 租户中创建用户帐户,并将用户分配给 Microsoft Entra 角色“Power BI 管理员”。 记下用户名并登录以更改密码。

  2. 为用户分配适当的 Power BI 许可证。

  3. 导航到你的 Azure 密钥保管库。

  4. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    显示如何导航到 Azure 密钥保管库的屏幕截图。

  5. 输入机密的名称,而对于“值”,请键入为 Microsoft Entra 用户新建的密码。 选择“创建”以完成操作。

    显示如何生成 Azure 密钥保管库机密的屏幕截图。

  6. 如果密钥保管库尚未连接到 Microsoft Purview,你将需要创建新的密钥保管库连接

  7. 在 Microsoft Entra 租户中创建应用注册。 在“重定向 URI”中提供 Web URL。

    显示在 Microsoft Entra ID 中创建应用的屏幕截图。

  8. 记下客户端 ID(应用 ID)。

    显示如何创建服务主体的屏幕截图。

  9. 从 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“应用注册”。 为应用程序分配以下委托的权限,并为租户授予管理员同意:

    • Power BI 服务 Tenant.Read.All
    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Power BI Service 和 Microsoft Graph 的委托权限的屏幕截图。

  10. 在“高级设置”下,启用“允许公共客户端流”。

  11. 在 Microsoft Purview Studio 中,导航到左侧菜单中的“数据映射”。

  12. 导航到“源”。

  13. 选择已注册的 Power BI 源。

  14. 选择“+ 新建扫描”。

  15. 为扫描提供一个名称。 然后选择包含或排除个人工作区的选项。

    注意

    切换扫描的配置以包括或排除个人工作区将会触发对 Power BI 源进行完全扫描。

  16. 从下拉列表中选择你的自承载集成运行时。

    显示使用 SHIR 为同一租户设置 Power BI 扫描的插图。

  17. 对于“凭据”,请选择“委托身份验证”,然后选择“+ 新建”,以创建新凭据。

  18. 创建新凭据并提供所需参数:

    • 名称:为凭据提供一个独一无二的名称
    • 身份验证方法:委托身份验证
    • 客户端 ID:使用你在前面创建的服务主体客户端 ID(应用 ID)
    • 用户名:提供之前创建的 Fabric 管理员的用户名
    • 密码:选择相应的密钥保管库连接和前面保存了 Power BI 帐户密码的机密名称。

    新凭据菜单的屏幕截图,其中显示了 Power BI 凭据以及提供的所有所需值。

  19. 在继续执行后续步骤之前,选择“测试连接”。 如果测试连接失败,请选择“查看报表”,以查看详细状态并排查问题

    1. “访问 - 失败”状态表示用户身份验证失败。 使用托管标识的扫描将始终成功,因为无需用户身份验证。
    2. “资产(+ 世系) - 失败”状态表示 Microsoft Purview - Power BI 授权失败。 请确保 Microsoft Purview 托管标识已添加到 Power BI 管理员门户中关联的安全组。
    3. “详细元数据(增强型) - 失败”状态表示对”使用详细元数据增强管理员 API 响应”设置禁用了 Power BI 管理门户

    测试连接状态报表页的屏幕截图。

  20. 设置扫描触发器。 你的选项为“定期”和“一次”。

    Microsoft Purview 扫描计划程序的屏幕截图。

  21. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

    保存并运行 Power BI 源的屏幕截图。

限定扫描范围

此功能目前以预览版提供。 Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

在扫描阶段的范围中,数据源管理员可以根据需要指定工作区来限定扫描范围。 数据源管理员可以从租户下的工作区列表中选择,也可以直接输入工作区 GUID 来限定扫描范围。 不需要其他权限即可使用限定范围扫描。 有两个选项可用,默认情况下选择“否”选项,可以直接单击“继续”以继续运行完全扫描,胡总和选择“是”以启用限定范围扫描体验。

显示限定扫描范围的屏幕截图,其中选择了“否”选项。

如果启用了限定范围扫描,会在左侧的租户下看到现有工作区的列表(当前存在限制 - UI 选择体验仅支持少于 5000 个工作区),你可以选择工作区并添加到右侧的列表。 如果将个人工作区配置为“包含”,则个人工作区将显示在工作区列表中,带有前缀“PersonalWorkspace”。 可以直接单击工作区,然后单击“添加到列表”按钮,将工作区置于所选工作区列表中。 可在搜索框中输入工作区名称或工作区 GUID 的关键字,筛选出工作区以供选择。

显示限定扫描范围的屏幕截图,其中选择了“是”选项。

还可以直接输入工作区 GUID 并将其添加到所选工作区列表。

显示限定扫描范围的屏幕截图,其中选择了“是”选项并显示手动输入。

注意

  • 仅当工作区总数小于 5000(将考虑包括或排除个人工作区)时,才支持从 Microsoft Fabric 或 Power BI 租户中选择来限定扫描范围,或者需要切换到手动输入工作区 GUID 来限定扫描范围。
  • 可以从 Microsoft Fabric 或 Power BI 租户中选择工作区,也可手动输入工作区 GUID,并将输入合并到所选工作区的同一列表中。
  • Microsoft Purview 将检查用户的 GUID 输入的格式是否正确,但不会检查 GUID 是否表示 Microsoft Fabric 或 Power BI 租户中的有效工作区。 如果限定范围扫描中包含无效的 GUID,扫描将完成但出现异常,你可以在扫描日志中找到这些无效的 GUID。
  • 如果将个人工作区配置为 “排除”,则个人工作区的 GUID 仍可添加到所选工作区列表中,但在扫描中将被跳过,这些 GUID 将包含在扫描日志中。
  • 如果使用自承载集成运行时,需要版本 5.40.8836.1 及更高版本,并且限定范围扫描中只支持手动输入工作区 GUID。
  • 如果使用托管 VNet 集成运行时 (v2),则限定范围扫描仅支持手动输入工作区 GUID。

后续步骤

现在,你已经注册了源,请按照以下指南来详细了解 Microsoft Purview 和你的数据。