Power BI 用の Microsoft Entra ID SSO を構成する

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページでは、アカウントレベルのフェデレーションポリシーを使用して、Power BI から Databricks へのシングルサインオン (SSO) の ID プロバイダー (IdP) として Microsoft Entra ID を構成する方法について説明します。

要件

Microsoft Entra IDを使用してPower BIからDatabricksへのSSOを構成する前に、以下のものを用意してください。

• Power BI Desktop 2.153.1206.0（2026年5月リリース）以降。
• Arrow Database Connectivity (ADBC) ドライバーを使用した Power BI 接続です。「Power BI 用の ADBC または ODBC ドライバーを構成する」を参照してください。
• 有効な電子メール要求を持つMicrosoft Entra ID ユーザー。 この電子メール要求は、 Databricksアカウントのユーザーでもある必要があります。
• Databricksワークスペースで統合ログインが有効になりました。
• Microsoft Entra ID テナント ID。Power Power BIテナント ID と一致する必要があります。 Microsoft Entra テナント ID を確認する方法 を参照してください。 Power BI テナント ID を確認するには、 「Fabric ホームリージョンの確認」を参照してください。テナント ID は、テナント URL のctid=以降の値です。

アカウントフェデレーションポリシーを設定する

アカウント管理者は、以下の値を使用してフェデレーションポリシーを作成する必要があります。

• 発行者URL: https://sts.windows.net/<tenant-id>/ 。<tenant-id> 、ご自身の Microsoft Entra ID テナント ID に置き換えてください。末尾のスラッシュは必須です。
• 視聴者： 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d
• 主題クレーム: email 。Databricksアカウントのユーザー名が、電子メール アドレスではなくMicrosoft Entra ID ユーザー プリンシパル名 (UPN) 形式と一致する場合は、件名クレームとしてupn使用します。

ポリシーを作成するステップについては、 「アカウント フェデレーション ポリシーを構成する」を参照してください。 Databricksアカウントに複数のアカウント フェデレーション ポリシーがある場合、最初に作成されたポリシーのみが OIDC 検出に使用されます。

フェデレーションポリシーを設定した後、ユーザーはPower BI Desktopから手動接続を作成し、 Azure Databricks コネクタを選択し、認証タイプとして Azure Active Directoryを 選択することで接続します。

注記

コネクタの名前は Azure Databricks ですが、 Databricks on AWSと連携して動作します。 Databricks コネクタは選択しないでください。

Power BI サービスでレポートにアクセスするには、SSO を有効にしてください。

Power BI サービスで SSO を有効にすると、ユーザーは Microsoft Entra ID の認証情報を Databricks に渡すことで、DirectQuery ストレージ モードを使用して作成されたレポートにアクセスできるようになります。

1. Power BI Desktop から Power BI サービスに Power BI レポートを公開します。

2. レポートおよび基となるデータソースへのSSOアクセスを有効にします。

   1. Power BIでレポートの基になるDatabricksセットに移動し、 データソース 資格情報 を展開し、 [資格情報の編集] をクリックします。

   2. 構成ダイアログで、 [レポート閲覧者は、Direct Query を使用して自身の Power BI ID でのみこのデータソースにアクセスできます] を 選択し、 [サインイン] をクリックします。

      

   このオプションを選択すると、データソースへのアクセスはDirectQueryを使用して処理され、レポートにアクセスするユーザーのMicrosoft Entra IDを使用して管理されます。このオプションを選択しない場合、レポートを公開したユーザーのみがDatabricksソースにアクセスできます。

構成のトラブルシューティング

SSODatabricksMicrosoftEntra ID を使用した への の TestSSO validation ステップが失敗した場合は、次のことを確認してください。

• OpenID 発行者の URL にはMicrosoft Entra テナント ID が含まれており、スラッシュで終わります。 例えば：

  https://sts.windows.net/<tenant-id>/

• Microsoft Entra ユーザーは有効な電子メール要求を持っています。 この電子メール クレームは、 Databricksワークスペースのユーザーでもある必要があります。

注記

ユーザーの メールアドレス プロパティが 、ユーザープリンシパル名 プロパティと一致していることを確認してください。 どちらのプロパティもDatabricksワークスペースのメンバーである必要があります。

オプションのクレームを設定する必要があるかもしれません。これを行うには、 https://learn.microsoft.com/entra/identity-platform/optional-claims の手順に従ってください。 ID と アクセス の両方に 電子メール 請求があることを確認してください。