在 Microsoft Purview 中(跨租户)连接到 Power BI 租户并对其进行管理

本文概述了如何在跨租户场景中注册 Power BI 租户,以及如何在 Microsoft Purview 中对租户进行身份验证并与之交互。 如果不熟悉该服务,请参阅“了解 Microsoft Purview”。

注意

有关扫描 Microsoft Fabric 租户的信息,请参阅 Microsoft Fabric 文档

支持的功能

元数据提取 完全扫描 增量扫描 限定范围扫描 分类 标记 访问策略 沿袭 数据共享 实时视图
No No

* Microsoft Fabric 租户中的 Power BI 项可通过实时视图进行访问。

扫描 Power BI 源时,Microsoft Purview 支持:

  • 提取技术元数据,包括:

    • 工作区
    • 仪表板
    • 报表
    • 数据集(包括表和列)
    • 数据流
    • 数据市场
  • 提取上述 Power BI 项目和外部数据源资产中资产关系的静态世系。 有关详细信息,请参阅 Power BI 世系

适用于 Power BI 扫描的受支持的方案

方案 Microsoft Purview 公共访问 Power BI 公共访问 运行时选项 验证选项 部署清单
使用 Azure 集成运行时进行公共访问 允许 允许 Azure 运行时 委托身份验证/服务主体 部署清单
使用自承载集成运行时进行公共访问 允许 允许 自承载运行时 委托身份验证/服务主体 部署清单
专用访问权限 拒绝 允许 托管 VNet IR(仅限 v2) 委托身份验证/服务主体 查看部署清单
专用访问权限 允许 拒绝 自承载运行时 委托身份验证/服务主体 部署清单
专用访问权限 拒绝 允许 自承载运行时 委托身份验证/服务主体 部署清单
专用访问权限 拒绝 拒绝 自承载运行时 委托身份验证/服务主体 部署清单

已知限制

  • 如果 Power BI 租户受到专用终结点的保护,则标准或 kubernetes 支持的自承载运行时是唯一的扫描选项。
  • 对于跨租户方案,委托身份验证和服务主体是唯一受支持的扫描身份验证选项。
  • 如果在扫描后未显示 Power BI 数据集架构,则是由于 Power BI 元数据扫描程序当前存在的一个限制。
  • 将跳过空工作区。

先决条件

在开始之前,请确保具有以下各项:

注册 Power BI 租户

  1. 从左侧的选项中,选择“数据映射”。

  2. 选择“注册”,然后选择 Fabric 作为数据源。 它包括 Power BI 源和资产。

    显示可供选择的数据源列表的屏幕截图。

  3. 为数据源提供一个易记名称。 该名称的长度必须介于 3-63 个字符,并且只能包含字母、数字、下划线和连字符。 不允许包含空格。

  4. 编辑租户 ID字段,以替换为要注册和扫描的跨租户 Power BI 的租户。 默认情况下,填充 Microsoft Purview 的租户 ID。

    显示跨租户 Power BI 注册体验的屏幕截图。

  5. 选择“注册”。

对 Power BI 租户进行身份验证

在 Power BI 租户所在的 Microsoft Entra 租户中:

  1. Azure 门户中,搜索“Microsoft Entra ID”

  2. 按照使用 Microsoft Entra ID 创建基本组并添加成员中的说明在 Microsoft Entra ID 中创建一个新安全组。

    提示

    如果你已有想要使用的安全组,则可以跳过此步骤。

  3. 选择“安全性”作为“组类型” 。

    安全组类型的屏幕截图。

  4. 选择“成员”,然后选择“+ 添加成员” 。

  5. 搜索并选择 Microsoft Purview 托管标识或服务主体。

    显示如何通过搜索目录名称来添加目录的屏幕截图。

    你应会看到一条成功通知,显示已添加该标识。

    显示成功添加目录托管标识的屏幕截图。

将安全组与 Power BI 租户关联

  1. 登录到 Power BI 管理门户

  2. 选择“租户设置”页。

    重要

    你需要成为 Power BI 管理员才能看到“租户设置”页。

  3. 选择“管理员 API 设置”>“允许服务主体使用只读 Power BI 管理员 API (预览)” 。

  4. 选择“特定安全组”。

    该图显示如何允许服务主体获取只读 Power BI 管理员 API 权限。

  5. 选择“管理员 API 设置”>“使用详细元数据增强管理员 API 响应”和“使用 DAX 和 mashup 表达式增强管理员 API 响应”> 启用切换按钮,以允许 Microsoft Purview 数据映射在扫描过程中自动发现 Power BI 数据集的详细元数据。

    重要

    更新 Power BI 租户上的“管理员 API 设置”后,请等待大约 15 分钟,然后再注册扫描和测试连接。

    图中显示了用于启用子项目扫描的 Power BI 管理门户配置。

    注意

    如果允许创建的安全组(其成员包括 Microsoft Purview 托管标识)使用只读 Power BI 管理员 API,则还会允许该安全组访问此租户中的所有 Power BI 项目的元数据(例如仪表板和报表名称、所有者、说明等)。 将元数据拉取到 Microsoft Purview 后,Microsoft Purview 的权限(而不是 Power BI 权限)会确定谁可以看到该元数据。

    注意

    可以从开发人员设置中删除安全组,但不会从 Microsoft Purview 帐户中删除之前提取的元数据。 如果愿意,可以单独将其删除。

扫描跨租户 Power BI

委托的身份验证和服务主体是跨租户扫描唯一支持的选项。 可以使用以下任一项进行扫描:

使用带有委托身份验证的 Azure IR 创建跨租户扫描

若要使用 Azure 运行时创建并运行新扫描,请执行以下步骤:

  1. 在 Power BI 租户所在的 Microsoft Entra 租户中创建用户帐户,并将用户分配到此角色:Fabric 管理员。 记下用户名并登录以更改密码。

  2. 向用户分配适当的 Power BI 许可证。

  3. 在创建 Microsoft Purview 的租户中导航到你的 Azure Key Vault 的实例。

  4. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    Azure Key Vault 实例的屏幕截图。

  5. 输入机密的名称。 对于“”,请键入为 Microsoft Entra 用户新建的密码。 选择“创建”以完成操作。

    显示如何在 Azure Key Vault 中生成机密的屏幕截图。

  6. 如果密钥保管库尚未连接到 Microsoft Purview,则需要创建新的密钥保管库连接

  7. 在 Power BI 所在的 Microsoft Entra 租户中创建应用注册。 在“重定向 URI”中提供 Web URL。

    如何在跨租户的 Microsoft Entra ID 中创建应用的屏幕截图。

  8. 记下客户端 ID(应用 ID)。

    显示如何创建服务主体的屏幕截图。

  9. 在 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“应用权限”。 为应用程序分配以下委托的权限,并为租户授予管理员同意:

    • Power BI 服务 Tenant.Read.All
    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Power BI 和 Microsoft Graph 上的委托权限的屏幕截图。

  10. 在 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“身份验证”。 在“支持的帐户类型”下,请选择“任何组织目录(任何 Microsoft Entra 目录 - 多租户)中的帐户”

    屏幕截图:帐户类型支持多租户。

  11. 在“隐式授权和混合流”下,选择“ID 令牌(用于隐式流和混合流)”。

    屏幕截图:ID 令牌混合流。

  12. 在“高级设置”下,启用“允许公共客户端流”。

  13. 在 Microsoft Purview Studio 中,转到左侧菜单中的“数据映射”。 转到“源”。

  14. 从跨租户中选择已注册的 Power BI 源。

  15. 选择“+ 新建扫描”。

  16. 为扫描提供一个名称。 然后选择包含或排除个人工作区的选项。

    注意

    如果切换扫描配置以包括或排除个人工作区,则会触发对 Power BI 源进行完全扫描。

  17. 从下拉列表中选择“Azure AutoResolveIntegrationRuntime”。

    显示使用 Azure 跨租户集成运行时进行 Power BI 扫描设置的屏幕截图。

  18. 对于“凭据”,请选择“委托身份验证”,然后选择“+ 新建”,以创建新凭据。

  19. 创建新凭据并提供以下所需参数:

    • 名称:为凭据提供一个独一无二的名称。

    • 客户端 ID:使用你在前面创建的服务主体客户端 ID(应用 ID)。

    • 用户名:提供之前创建的 Fabric 管理员的用户名。

    • 密码:选择相应的密钥保管库连接和前面保存了 Power BI 帐户密码的机密名称。

    显示使用委托身份验证进行 Power BI 扫描设置的屏幕截图。

  20. 在继续执行后续步骤之前,选择“测试连接”。

    显示测试连接状态的屏幕截图。

    如果测试失败,请选择“查看报表”,以查看详细状态并排查问题:

    1. “访问 - 失败”状态表示用户身份验证失败。 验证用户名和密码是否正确。 检查凭证是否包含来自应用注册的正确客户端(应用)ID。
    2. “资产(+ 世系) - 失败”状态表示 Microsoft Purview 和 Power BI 之间的授权失败。 确保将用户添加到 Fabric 管理员角色(前 Power BI 管理员角色),并为其分配适当的 Power BI 许可证。
    3. “详细元数据(增强型) - 失败”状态表示对”使用详细元数据增强管理员 API 响应”设置禁用了 Power BI 管理门户。
  21. 设置扫描触发器。 你的选项为“定期”或“一次”。

    Microsoft Purview 扫描计划程序的屏幕截图。

  22. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

    显示如何保存并运行 Power BI 源的屏幕截图。

提示

若要排查与扫描有关的任何问题,请执行以下操作:

  1. 确认已完成方案的部署清单
  2. 查看扫描故障排除文档

结合使用自承载 IR 和服务主体创建跨租户扫描

要使用自承载集成运行时创建和运行新扫描,请执行以下步骤:

  1. 在 Power BI 所在的 Microsoft Entra 租户中创建应用注册。 在“重定向 URI”中提供 Web URL。

    如何在跨租户的 Microsoft Entra ID 中创建应用的屏幕截图。

  2. 记下客户端 ID(应用 ID)。

    显示如何创建服务主体的屏幕截图。

  3. 在 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“应用权限”。 为应用程序分配以下委托权限:

    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Microsoft Graph 上的委托权限的屏幕截图。

  4. 在 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“身份验证”。 在“支持的帐户类型”下,请选择“任何组织目录(任何 Microsoft Entra 目录 - 多租户)中的帐户”

    屏幕截图:帐户类型支持多租户。

  5. 在“隐式授权和混合流”下,选择“ID 令牌(用于隐式流和混合流)”。

    屏幕截图:ID 令牌混合流。

  6. 在“高级设置”下,启用“允许公共客户端流”。

  7. 在创建 Microsoft Purview 的租户中,导航到你的 Azure Key Vault 的实例。

  8. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    Azure Key Vault 实例的屏幕截图。

  9. 输入机密的名称。 对于“值”,请键入为应用注册新创建的密钥。 选择“创建”以完成操作。

  10. 在“证书和机密”下,创建新的机密并安全地保存,以便执行后续步骤。

  11. 在 Azure 门户中,导航到 Azure Key Vault。

  12. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    显示如何导航到 Azure 密钥保管库的屏幕截图。

  13. 输入机密名称和值,键入为应用注册新创建的密码。 选择“创建”以完成操作。

    显示如何为 SPN 生成 Azure Key Vault 机密的屏幕截图。

  14. 如果密钥保管库尚未连接到 Microsoft Purview,则需要创建新的密钥保管库连接

  15. 在 Microsoft Purview Studio 中,转到左侧菜单中的“数据映射”。 转到“源”。

  16. 从跨租户中选择已注册的 Power BI 源。

  17. 选择“+ 新建扫描”。

  18. 为扫描提供一个名称。 然后选择包含或排除个人工作区的选项。

    注意

    如果切换扫描配置以包括或排除个人工作区,则会触发对 Power BI 源进行完全扫描。

  19. 从下拉列表中选择你的自承载集成运行时。

  20. 对于“凭据”,请选择“服务主体”,然后选择“+ 新建”,以创建新凭据。

  21. 创建新凭据并提供以下所需参数:

    • 名称:为凭据提供一个独一无二的名称
    • 身份验证方法:服务主体
    • 租户 ID:你的 Power BI 租户 ID
    • 客户端 ID:使用你在前面创建的服务主体客户端 ID(应用 ID)

    新凭据菜单的屏幕截图,其中显示了 SPN 的 Power BI 凭据以及提供的所有所需值。

  22. 在继续执行后续步骤之前,选择“测试连接”。

    如果测试失败,请选择“查看报表”,以查看详细状态并排查问题:

    1. “访问 - 失败”状态表示用户身份验证失败。 验证应用 ID 和密码是否正确。 检查凭证是否包含来自应用注册的正确客户端(应用)ID。
    2. “资产(+ 世系) - 失败”状态表示 Microsoft Purview 和 Power BI 之间的授权失败。 确保将用户添加到 Fabric 管理员角色(前 Power BI 管理员角色),并为其分配适当的 Power BI 许可证。
    3. “详细元数据(增强型) - 失败”状态表示对”使用详细元数据增强管理员 API 响应”设置禁用了 Power BI 管理门户。
  23. 设置扫描触发器。 你的选项为“定期”或“一次”。

    Microsoft Purview 扫描计划程序的屏幕截图。

  24. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

提示

若要排查与扫描有关的任何问题,请执行以下操作:

  1. 确认已完成方案的部署清单
  2. 查看扫描故障排除文档

部署清单

部署清单是设置跨租户 Power BI 源所需的所有步骤的摘要。 可以在安装期间使用它或进行故障排除,以确认已按照所有必要步骤进行连接。

在公用网络中使用委托身份验证扫描跨租户 Power BI

  1. 确保在注册期间正确输入 Power BI 租户 ID。 默认情况下,将填充与 Microsoft Purview 相同的 Microsoft Entra 实例中存在的 Power BI 租户 ID。

  2. 通过启用元数据扫描,确保 Power BI 元数据模型处于最新状态

  3. 在 Azure 门户中,验证 Microsoft Purview 帐户网络是否设置为“公共访问”。

  4. 在 Power BI 租户管理门户中,确保 Power BI 租户配置为允许公用网络。

  5. 检查 Azure Key Vault 的实例,确保:

    1. 密码或机密没有拼写错误。
    2. Microsoft Purview 托管标识具有对机密的 get 和 list 访问权限。
  6. 查看你的凭据,验证:

    1. 客户端 ID 与应用注册的应用程序(客户端)ID 匹配。
    2. 对于委托的身份验证,用户名包括用户主体名称,例如 johndoe@contoso.com
  7. 在 Power BI Microsoft Entra 租户中,验证以下 Power BI 管理员用户设置:

    1. 用户被分配到 Fabric 管理员角色(前 Power BI 管理员角色)。
    2. 至少向用户分配了一个 Power BI 许可证
    3. 如果用户是最近创建的,请至少以该用户身份登录一次,确保密码重置成功并且用户可以成功启动会话。
    4. 没有对用户强制执行的多重身份验证或条件访问策略。
  8. 在 Power BI Microsoft Entra 租户中,验证以下应用注册设置:

    1. 应用注册存在于 Power BI 租户所在的 Microsoft Entra 租户中。
    2. 如果使用服务主体,则在API 权限下,会为以下 API 分配以下委托的权限(具有读取):
      • Microsoft Graph openid
      • Microsoft Graph User.Read
    3. 如果使用委托的身份验证,则在API 权限下,会为以下 API 设置以下委托的权限为租户授予管理员同意(具有读取):
      • Power BI 服务 Tenant.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read
    4. 身份验证下:
      1. 将选择“支持的帐户类型”>“任何组织目录(任何 Microsoft Entra 目录 - 多租户)中的帐户”。
      2. 依次选择“隐式授权和混合流”>“ID 令牌(用于隐式流和混合流)”。
      3. 启用“允许公共客户端流”。
  9. 在 Power BI 租户中,从 Microsoft Entra 租户中,确保服务主体是新安全组的成员

  10. 在 Power BI 租户管理门户上,验证是否为新安全组启用了“允许服务主体使用只读 Power BI 管理 API”。

后续步骤

现在你已经注册了源,请按照以下指南来详细了解 Microsoft Purview 和你的数据。