この記事では、ストレージ アカウント、データ ソース、ファイアウォール、IP アドレスへの接続についてよく寄せられる質問とその回答を示します。
バックアップと復元
ファイアウォールの背後にあるストレージ アカウントを使用してバックアップおよび復元するにはどうすればよいですか?
Azure Analysis Services には、固定の IP アドレスまたはサービス タグが使用されていません。 Analysis Services サーバーに使用する IP アドレスの範囲は、Azure リージョンの IP アドレスの範囲内であれば任意のものを指定できます。 サーバーの IP アドレスは可変であり、時間の経過と共に変化する可能性があるため、ファイアウォール規則では、サーバーが存在する Azure リージョンの IP アドレスの範囲全体を許可する必要があります。
Azure ストレージ アカウントが Analysis Services サーバーとは異なるリージョンにあります。 ストレージ アカウントのファイアウォール設定を構成するにはどうすればよいですか。
ストレージ アカウントが別のリージョンにある場合は、ストレージ アカウントのファイアウォール設定を構成して、 [選択されたネットワーク] からのアクセスを許可します。 ファイアウォールの [アドレス範囲] に、Analysis Services サーバーがあるリージョンの IP アドレスの範囲を指定します。 Azure リージョンの IP 範囲を取得するには、「Azure IP 範囲とサービス タグ – パブリック クラウド」をご覧ください。 すべてのネットワークからのアクセスを許可するようにストレージ アカウントのファイアウォール設定を構成することはできますが、[選択されたネットワーク] を選択して IP アドレス範囲を指定することをお勧めします。
Azure ストレージ アカウントが Analysis Services サーバーと同じリージョンにあります。 ストレージ アカウントのファイアウォール設定を構成するにはどうすればよいですか。
Analysis Services サーバーとストレージ アカウントが同じリージョンにあるため、両者間の通信では内部 IP アドレス範囲が使用されます。このため、選択されたネットワークを使用するようにファイアウォールを構成したり、IP アドレス範囲を指定したりすることはできません。 組織のポリシーにファイアウォールが必要な場合は、すべてのネットワークからのアクセスを許可するように構成する必要があります。
データ ソース接続
データ ソース システムには VNET があります。 Analysis Services サーバーに対して VNET のデータベースへのアクセスを許可するにはどうすればよいですか。
Azure Analysis Services は VNET に参加できません。 この場合の最適な解決策は、VNET 上にオンプレミス データ ゲートウェイをインストールして構成し、次に AlwaysUseGateway サーバー プロパティを使用して Analysis Services サーバーを構成することです。 詳細については、「Azure Virtual Network (VNet) 上のデータソースに対してゲートウェイを使用する」を参照してください。
ファイアウォールの背後にソース データベースがあります。 Analysis Services サーバーがファイアウォールにアクセスできるようにファイアウォールを構成するにはどうすればよいですか。
Azure Analysis Services には、固定の IP アドレスまたはサービス タグが使用されていません。 Analysis Services サーバーに使用する IP アドレスの範囲は、Azure リージョンの IP アドレスの範囲内であれば任意のものを指定できます。 ソース データベースのファイアウォール規則で、サーバーの Azure リージョンの IP アドレスの "全範囲" を指定する必要があります。 もう 1 つの、おそらくより安全な代替策として、オンプレミス データ ゲートウェイを構成する方法があります。 次に、AlwaysUseGateway サーバー プロパティを使用して Analysis Services サーバーを構成し、オンプレミス データ ゲートウェイの IP アドレスがデータ ソースのファイアウォール規則で許可されているものであることを確認します。
コンシューマー電子メール アカウント
コンシューマー電子メール アカウント (outlook.com や gmail.com など) をテナントに招待し、Azure Analysis Services にアクセスするためのアクセス許可を付与することはできますか?
はい。Azure Analysis Services は、B2C アカウント (サーバー テナントに招待されたコンシューマー電子メール アカウント) をサポートしています。 ただし、このようなアカウントには制限があります。たとえば、コンシューマー電子メール アカウント プロバイダーによっては、Power BI サービスのライブ接続レポートからのシングル サインオンがサポートされない場合があります。
Azure アプリと IP アドレス
IP アドレスがすぐに変化する Azure ベースのアプリケーション (たとえば、Azure Functions、Azure Data Factory) を使用しています。 Azure Analysis Services のファイアウォール規則を管理して、アプリが実行されている IP アドレスを動的に許可するにはどうすればよいですか。
Azure Analysis Services は、プライベート リンク、VNET、またはサービス タグをサポートしていません。 いくつかのオープン ソース ソリューションがあります (クライアント アプリケーションの IP アドレスを検出し、ファイアウォール規則を自動的かつ一時的に更新する https://github.com/mathwro/Scripts/blob/master/Azure/AllowAzure-AnalysisServer.ps1 など)。
ファイアウォールの内側にあるクライアントは、URL ベースの規則を有効にすることができます
クライアントとインターネットの間にファイアウォールがあるクライアントを使用して、Azure Analysis Services にアクセスします。 トラフィックがファイアウォールを通過できるようするには、どの URL を構成する必要がありますか。
- api.powerbi.com
- login.windows.net
- *.asazure.windows.net