Condividi tramite


Uso dei tag del servizio con Power BI

È possibile usare i tag del servizio di Azure con Power BI per abilitare un'istanza gestita di SQL di Azure per consentire le connessioni in ingresso dal servizio Power BI. In Azure, un tag del servizio è un gruppo definito di indirizzi IP che è possibile configurare per essere gestito automaticamente, come gruppo, per ridurre al minimo la complessità degli aggiornamenti o delle modifiche secondo le regole di sicurezza di rete. Usando i tag di servizio con Power BI, è possibile abilitare un'istanza gestita di SQL per consentire le connessioni in ingresso dal servizio Power BI.

Per abilitare correttamente gli endpoint da usare nel servizio Power BI sono necessarie le configurazioni seguenti:

  1. Abilitare un endpoint pubblico nell'istanza gestita di SQL.
  2. Creare una regola del gruppo di sicurezza di rete per consentire il traffico in ingresso.
  3. Immettere le credenziali in Power BI.

Le sezioni seguenti esaminano ognuno di questi passaggi.

Abilitare un endpoint pubblico

La prima parte del processo consiste nell'abilitare un endpoint pubblico nell'istanza gestita di SQL. Seguire questa procedura:

  1. Accedere al portale di Azure e passare all'istanza gestita di SQL.

  2. Sul lato sinistro della pagina, selezionare Rete.

  3. Far scorrere l'endpoint pubblico (dati) su Abilita, quindi impostare la versione TLS minima su 1.2. L'immagine seguente mostra la schermata nel portale di Azure.

    Screenshot del portale di Azure per abilitare gli endpoint pubblici.

  4. Per salvare le impostazioni, fare clic su Save (Salva).

Creare una regola del gruppo di sicurezza di rete

La raccolta successiva di passaggi richiede la creazione di una regola del gruppo di sicurezza di rete (NSG) per consentire il traffico in ingresso per il servizio Power BI. Questa azione può essere completata nel portale di Azure sfruttando il "tag del servizio di origine" di Power BI oppure usando l'interfaccia della riga di comando (CLI) o PowerShell.

Nota

La priorità della regola impostata deve essere superiore alla regola 4096 deny_all_inbound, ovvero il valore di priorità deve essere inferiore a 4096. Nell'esempio seguente viene usato un valore di priorità pari a 400.

Lo script dell'interfaccia della riga di comando seguente viene fornito come esempio di riferimento. Per ulteriori informazioni, vedere az network nsg rule. Potrebbe essere necessario modificare più valori affinché l'esempio funzioni correttamente nella situazione. In seguito viene fornito uno script di PowerShell.

#login to azure
az login

#set subscription that contains SQL MI instance
$subname = "mysubscriptionname"
az account set --subscription $subname

#set NSG rule for inbound PowerBI traffic

#update $RG to your resource group name
$rg = 'myresourcegroup'
#update $nsg to your Network Security Group name
$nsg = 'nsgresourcename'
# Name the NSG rule
$rule = 'allow_inbound_PowerBI'
#set the priority - this must be higher priority (lower number) than the deny_all_inbound rule
$priority = 400
#specifiy the service tag to use
$servicetag = 'PowerBI'
#specify the public endpoint port defined in step 1
$port = 3342
#set the rule to inbound direction
$direction = 'Inbound'
#set the access type to "Allow"
$access = 'Allow'
#Set the protocol as TCP
$protocol = 'tcp'
#Provide a description for the rule
$desc = 'Allow PowerBI Access to SQL MI for Direct Query or Data Refresh.'
 
#create the NSG rule
az network nsg rule create -g $rg \
--nsg-name $nsg -n $rule --priority $priority \
--source-address-prefixes $servicetag --destination-address-prefixes '*' \
--destination-port-ranges $port --direction $direction --access $access \
--protocol $protocol --description $desc

Lo script di PowerShell seguente viene fornito come riferimento alternativo per creare la regola del gruppo di sicurezza di rete. Per altre informazioni, vedere Aggiungere una regola del gruppo di sicurezza di rete in PowerShell. Potrebbe essere necessario modificare più valori affinché l'esempio funzioni correttamente nella situazione.

#login to azure
Login-AzAccount

#get your subscription ID
Get-AzSubscription

####
#Script to create Network Security Group Rule
###

#enter your subscription ID
Set-AzContext -SubscriptionId "yoursubscriptionID" 

#Provide the resource group for your Network Security Group
$RGname="yourRG"
#Enter the port for the SQL Managed Instance Public Endpoint
$port=3342
#name the NSG rule
$rulename="allow_inbound_PowerBI"
#provide the name of the Network Security Group to add the rule to
$nsgname="yourNSG"
#set direction to inbound to allow PowerBI to access SQL MI
$direction ="Inbound"
#set the priority of the rule. Priority must be higher (ie. lower number) than the deny_all_inbound (4096)
$priority=400
#set the service tags for the source to \u201cPowerBI\u201d
$serviceTag = "PowerBI"

# Get the NSG resource
$nsg = Get-AzNetworkSecurityGroup -Name $nsgname -ResourceGroupName $RGname

# Add the inbound security rule.
$nsg | Add-AzNetworkSecurityRuleConfig -Name $rulename -Description "Allow app port" -Access Allow `
    -Protocol * -Direction $direction -Priority $priority -SourceAddressPrefix $serviceTag -SourcePortRange * `
    -DestinationAddressPrefix * -DestinationPortRange $port

# Update the NSG.
$nsg | Set-AzNetworkSecurityGroup 

Immettere le credenziali in Power BI

L'ultima parte del processo consiste nell'immettere le credenziali nel servizio Power BI.

  1. Accedere al servizio Power BI e passare all'area di lavoro contenente i set di dati che usano Istanza gestita di SQL. Nell'esempio seguente l'area di lavoro è denominata ASAdataset e il set di dati è denominato Contoso SQL MI Demo.

  2. Selezionare Impostazioni nell'angolo in alto a destra, quindi scegliere Impostazioni dal menu a discesa.

    Screenshot del menu a discesa delle impostazioni.

  3. In Set di dati, espandere la sezione Credenziali origine dati.

    Screenshot dell'opzione Modifica credenziali nella scheda Set di dati.

  4. Selezionare il collegamento Modifica credenziali. Nella finestra di dialogo visualizzata, immettere credenziali valide.

Salvare le impostazioni e uscire. L'istanza gestita di SQL è ora configurata per consentire le connessioni in ingresso dal servizio Power BI.