はじめに
Power BI Service(クラウド)から、社内ネットワークや Azure VNet 内に閉じた SQL Database へ安全にアクセスしたい——エンタープライズ案件では頻出する要件です。
接続方式は大きく分けて 2 種類あります。仮想ネットワーク内の Windows VM に「On-premises Data Gateway(オンプレミスデータゲートウェイ)」をインストールして中継する方法と、Microsoft マネージドの「VNet データゲートウェイ」を利用する方法です。
本記事では、前者の On-premises Data Gateway を使った構築手順を、Private Endpoint を設定した Azure SQL Database を題材に解説します。あわせて、後者の VNet データゲートウェイとの違いや選定基準にも触れますので、自社環境に合わせた構成判断の参考になれば幸いです。
参考: Install an on-premises data gateway | Microsoft Learn
“An on-premises data gateway is software that you install in an on-premises network. The gateway facilitates access to data in that network.”
(オンプレミスデータゲートウェイは、オンプレミスネットワークにインストールするソフトウェアであり、当該ネットワーク内のデータへのアクセスを仲介する機能を提供します)
https://learn.microsoft.com/en-us/data-integration/gateway/service-gateway-install
- Power BI Service から閉域網(プライベートネットワーク)へ接続する構成
- On-premises Data Gateway のインストールから初期設定までの手順
- Private Endpoint を設定した Azure SQL Database への接続設定と疎通確認
- VNet データゲートウェイとの構成比較と選定基準
なお、Private Endpoint 自体の構築手順は別記事の「Azure Private Endpoint の設定手順|Blob Storage への閉域接続と DNS 設定」で詳しく解説しています。Private DNS Zone の仕組みから整理したい方はあわせてご参照ください。
今回の構成
- データソース: Private Endpoint を設定した Azure SQL Database
- 中継サーバー: SQL Database と同じ VNet 内の Windows VM(Windows Server 2019 または 2022 を推奨)
- 目的: Power BI Service から閉域網内の SQL Database のデータを更新・参照可能にする
On-premises Data Gateway とは
On-premises Data Gateway は、Power BI Service や Power Apps、Power Automate などのクラウドサービスと、社内ネットワークまたは Azure VNet 内のプライベートなデータソースとの間で、セキュアな通信経路を提供するソフトウェアです。
インターネットに直接公開されていないデータベースに対しても、ゲートウェイをインストールしたサーバーを経由することで、データの参照やスケジュール更新が可能になります。通信は Azure Service Bus Relay を介したアウトバウンド HTTPS(TCP 443)で完結するため、ファイアウォールにインバウンドポートを開放する必要はありません。
Power BI で利用できるゲートウェイの種類
Microsoft が提供しているゲートウェイは現在 3 種類あり、用途によって使い分けることになります。
| 種別 | 概要 | 主な用途 |
|---|---|---|
| On-premises Data Gateway(標準) | 自前で用意した Windows サーバーにインストールするゲートウェイ。複数ユーザー・複数データソースで共用可能 | 社内オンプレミス DB、Azure VNet 内の閉域 DB への接続 |
| On-premises Data Gateway(個人モード) | 個人利用専用。Power BI のみで利用可 | 個人開発者が自分専用のレポート更新を行うケース |
| VNet データゲートウェイ | Microsoft マネージドのサービス。VM のインストールが不要 | Power BI Premium / PPU / Embedded 環境での Azure PaaS への閉域接続 |
本記事で扱うのは 1 つ目の 標準モード(Standard) です。VNet データゲートウェイとの比較は記事後半で詳しく扱います。
前提環境
作業を始める前に、以下の環境が整っていることを前提としています。
事前に準備するもの
- SQL Database: Private Endpoint が設定されており、VNet 内からのみアクセス可能な状態
- Windows VM: SQL Database と同じ VNet(または Peering 等で通信可能な VNet)に配置
- Power BI アカウント: ゲートウェイ管理者となるアカウント(Microsoft Entra ID の組織アカウント)
VM の動作要件
公式ドキュメントが示す On-premises Data Gateway の動作要件は以下のとおりです。
参考: Install an on-premises data gateway | Microsoft Learn(最小要件・推奨スペック)
“Minimum requirements: .NET Framework 4.8 / A 64-bit version of Windows 10 or a 64-bit version of Windows Server 2019 / 4-GB disk space for performance monitoring logs.
Recommended: An 8-core CPU / 8 GB of memory / A 64-bit version of Windows Server 2019 or later / Solid-state drive (SSD) storage for spooling.”
https://learn.microsoft.com/en-us/data-integration/gateway/service-gateway-install
| 項目 | 最低要件 | 推奨 |
|---|---|---|
| OS | Windows 10 / Windows Server 2019(64-bit) | Windows Server 2019 以降 |
| .NET Framework | 4.8 以上 | 4.8 以上 |
| CPU | 単一コアでも可 | 8 コア以上 |
| メモリ | 1 GB 程度から動作 | 8 GB 以上 |
| ストレージ | 4 GB の空き容量 | SSD(スプール領域用) |
| 画面解像度 | 1280 × 800 以上 | — |
加えて、以下の構成上の制約があります。事前に確認しておくことを推奨します。
- ドメインコントローラーへのインストールは非対応
- Server Core 構成および Windows コンテナへのインストールは非対応
- 1 台のマシンに同モードのゲートウェイは 1 つまで(標準モードと個人モードの併存は可能)
- Power BI テナントで Azure Private Link が有効化されている場合、On-premises Data Gateway は利用不可(VNet データゲートウェイの利用が推奨される)
最後の制約は重要なポイントです。詳細は後述の「制約事項と注意点」で改めて整理します。
ファイアウォール要件
ゲートウェイをインストールする VM から、以下のエンドポイントへのアウトバウンド HTTPS 通信(TCP 443)が許可されている必要があります。
*.servicebus.windows.net*.frontend.clouddatahub.net*.core.windows.netlogin.microsoftonline.com*.msftncsi.com
詳細な許可リストは公式ドキュメントの「ポートと通信に関する注意事項」を参照してください。
導入手順
ゲートウェイをインストールする VM にログインし、Microsoft 公式サイトから 「On-premises data gateway(standard mode)」 のインストーラー(GatewayInstall.exe)をダウンロードします。
参考: Download On-premises data gateway | Microsoft Download Center
“Supported Operating Systems: Windows 10, Windows 11, Windows Server 2019, Windows Server 2022. .Net Framework 4.8 or greater.”
https://www.microsoft.com/en-us/download/details.aspx?id=53127
個人モードのインストーラーと名称が似ているため、ファイル名と表示名が「standard mode」であることを確認してダウンロードしてください。
ダウンロードした GatewayInstall.exe を実行します。インストール先フォルダを確認し、ライセンス条項に同意して 「インストール」 をクリックします。通常はデフォルトのインストールパスのままで問題ありません。
インストールが完了するとサインイン画面が表示されます。Power BI Service の組織アカウント(Microsoft Entra ID で管理されている職場・学校アカウント) のメールアドレスを入力してサインインします。
このアカウントが構築するゲートウェイの管理者となります。個人用の Microsoft アカウント(@outlook.com など)ではサインインできない点に注意してください。
「このコンピューターに新しいゲートウェイを登録します」を選択し、次へ進みます。以下の項目を設定します。
- 新しいゲートウェイ名: Power BI Service 上で表示される名前(例:
gw-prd-japaneast-01)。テナント内で一意である必要があります - 回復キー: ゲートウェイを別マシンへ復旧・移行する際に必要となるパスワード
入力後、「構成」 をクリックします。
重要: 回復キーは Microsoft 側でも保管されません
“You’re responsible for keeping the gateway recovery key in a safe place where it can be retrieved later. Microsoft doesn’t have access to this key and it can’t be retrieved by us.”
(回復キーの保管はユーザー側の責任で行う必要があります。Microsoft 側では当該キーを保持しておらず、復元することもできません)
https://learn.microsoft.com/en-us/data-integration/gateway/service-gateway-install紛失するとゲートウェイの移行・引き継ぎができなくなるため、パスワード管理ツール等で安全に保管することを推奨します。
設定が正常に完了すると、「ゲートウェイ <名前> はオンラインです。使用する準備ができました」というメッセージが表示されます。これで VM 側の準備は完了です。
ブラウザで Power BI Service にアクセスし、右上の歯車アイコンから [接続とゲートウェイの管理] をクリックします。
なお、現在は Microsoft Fabric ポータルからも同じ画面にアクセス可能です。UI の統合が進んでいるため、画面構成が一部異なる場合があります。
[On-premises data gateways] タブの一覧に先ほど構築したゲートウェイ名が表示され、ステータスが「オンライン(緑のチェック)」になっていることを確認します。
ゲートウェイ名の右側にある 「+ 新規」 ボタンから、新しい接続(データソース)を追加します。
- ゲートウェイクラスター: 作成したゲートウェイを選択
- 接続タイプ:
SQL Server - サーバー: SQL Database の FQDN(例:
mydb.database.windows.net) - データベース: DB 名
- 認証方式:
Basic(SQL 認証)またはOAuth2(Microsoft Entra ID 認証)など、環境に合わせて選択
接続テストの前に、VM 上で SQL Database の FQDN がプライベート IP に名前解決されることを確認しておくと、トラブルの切り分けに役立ちます。VM 上のコマンドプロンプトで以下を実行します。
nslookup <SQL Database 名>.database.windows.net応答に 10.x.x.x 等のプライベート IP が含まれていれば、Private DNS Zone と VNet のリンクが正しく機能しています。グローバル IP しか返らない場合は、VNet と Private DNS Zone(privatelink.database.windows.net)のリンクを再確認してください。
参考: Private DNS Zone と VNet リンクの確認手順は「Azure Private Endpoint の設定手順|Blob Storage への閉域接続と DNS 設定」の「DNS リンクの確認」セクションでも解説しています。
設定を入力したら 「作成」 をクリックします。設定に問題がなければ「接続成功」のメッセージが表示されます。
これで、Power BI Service から Private Endpoint 経由で SQL Database へアクセスできる状態になりました。
制約事項と注意点
On-premises Data Gateway は柔軟性の高い接続手段ですが、いくつかの構成制約があります。導入前に把握しておくことで、設計段階での手戻りを防ぐことができます。
Power BI テナントで Private Link を有効化している場合は利用不可
最も重要な制約は、Power BI テナント側で Azure Private Link が有効化されている環境では、On-premises Data Gateway が利用できないという点です。
参考: Install an on-premises data gateway | Microsoft Learn
“Using an on-premises data gateway with private link enabled isn’t supported. We recommend using the VNet data gateway, which does support private link scenarios.”
(Private Link が有効化された環境において、On-premises Data Gateway はサポート対象外です。Private Link が必要なシナリオでは VNet データゲートウェイの利用が推奨されます)
https://learn.microsoft.com/en-us/data-integration/gateway/service-gateway-install
該当する環境でゲートウェイを登録・移行しようとすると、System.NullReferenceException: Object reference not set to an instance of an object というエラーが発生します。Private Link を運用している組織では、次章で解説する VNet データゲートウェイを選択することを推奨します。
なお、本記事で扱う「VNet 内 VM に Gateway を立て、その VM から Private Endpoint 経由で SQL Database に接続する」構成は、テナント側の Private Link 機能とは別のものです。テナントで Private Link を有効化していない限り、本構成は問題なく動作します。
サポートされる稼働環境の制約
- ドメインコントローラーへのインストールは非対応
- Server Core 構成および Windows コンテナへのインストールは非対応
- 常時稼働できる VM またはサーバーへのインストールが前提(ノート PC 等は不可)
- 無線 LAN 接続では性能が低下する場合があるため、有線接続の環境を推奨
- 同一マシンに同モードのゲートウェイは 1 つまで
バージョン管理とサポート期間
ゲートウェイは毎月更新版がリリースされており、サポート対象は直近 6 リリースに限られます。古いバージョンのまま運用していると、サポート対象外となり問題発生時の調査が困難になります。
2026 年 4 月リリース(バージョン 3000.314)からは、管理者が任意のタイミングで更新を実行できる Auto-Update(管理者トリガー)機能が一般提供されました。利用するには 2025 年 11 月版以降のベースラインバージョンが事前に必要です。
参考: Update an on-premises data gateway | Microsoft Learn
“You need to install or update the gateway to the November 2025 baseline version (or later) first. A minimum of 10 GB of available hard drive space is required to perform gateway updates.”
https://learn.microsoft.com/en-us/data-integration/gateway/service-gateway-update
クラスター構成で運用している場合は、全メンバーのバージョンを揃えることもポイントです。バージョンの不一致は予期しない不具合の原因になります。
VNet データゲートウェイとの比較と選定基準
Power BI から閉域網内のデータソースへ接続するもう一つの手段が VNet データゲートウェイです。Azure の VNet と論理的に紐づけて利用する Microsoft マネージドサービスで、VM の構築・運用が不要であり、Private Endpoint シナリオに最初から対応している点が特徴です。
構成の違い
| 項目 | On-premises Data Gateway | VNet データゲートウェイ |
|---|---|---|
| 提供形態 | ユーザーが用意した VM にインストール | Microsoft マネージド(VM 不要) |
| ライセンス要件 | 無料(追加ライセンス不要) | Power BI Premium / PPU / Embedded のいずれかが必要 |
| Private Link 有効テナントでの利用 | 非対応 | 対応 |
| HA(高可用性) | クラスター構成で実現(複数 VM 必要) | Microsoft 側で冗長化 |
| 運用管理 | OS 更新・ゲートウェイ更新・監視を自前で実施 | プラットフォーム側で実施 |
| 初期構築の手間 | VM 構築 + ゲートウェイ設定 + データソース登録 | VNet にサブネット委任 + 接続作成 |
| 対応データソース | 幅広い(オンプレミス DB を含む) | Azure VNet 経由で到達可能なリソース |
参考: VNet data gateway overview | Microsoft Learn
“Virtual Network (VNet) data gateways help you to connect from Microsoft Cloud services to your Azure data services within a VNet without the need of an on-premises data gateway.”
(VNet データゲートウェイは、On-premises Data Gateway を構築することなく、Microsoft クラウドサービスから VNet 内の Azure データサービスへ接続することを可能にします)
https://learn.microsoft.com/en-us/data-integration/vnet/overview
選定の目安
両者は「どちらが優れているか」ではなく、自社の環境とライセンス状況に応じて使い分ける性質のものです。
- On-premises Data Gateway が向くケース
-
- Power BI Pro までしか保有していない組織
- オンプレミスの SQL Server や Oracle など、Azure 外のデータソースに接続する必要がある。
- 複雑な認証ドライバや ODBC 設定を必要とするデータソースを扱う。
- 既に運用中の On-premises Data Gateway 資産があり、設計を変更したくない。
- VNet データゲートウェイが向くケース
-
- Power BI Premium / PPU / Embedded のいずれかを保有している。」
- 接続先がすべて Azure 内の PaaS(SQL Database、Synapse、Cosmos DB など)
- VM の運用・更新作業を削減したい。
- Power BI テナントで Azure Private Link を有効化している。
- HA を Microsoft のマネージドサービスに任せたい。
Power BI の Copilot 機能などの Premium 機能をすでに利用している環境であれば、VNet データゲートウェイへの切り替えも有力な選択肢になります。逆に、Pro ライセンスのみで閉域接続を実現したい場合は、本記事で扱った On-premises Data Gateway が現実的な選択肢となります。
構築後の運用ステップ
ゲートウェイの構築とデータソースの登録が完了しても、それだけでは Power BI Service 上のレポートからデータが見えるようにはなりません。Power BI Desktop で作成したレポートを Service へ発行した後、セマンティックモデルに対してゲートウェイをマッピング(紐づけ)する作業が別途必要になります。
発行後のマッピング手順や、複数メンバーで運用する場合の権限設計については、関連記事の「Private SQL × Power BI Service|発行後にデータが見れない理由とゲートウェイ設定手順」で具体的に解説しています。本記事の手順を完了した後、引き続きそちらをご参照ください。
まとめ
本記事では、Azure VNet 内の VM に On-premises Data Gateway を導入し、Private Endpoint で保護された SQL Database へ Power BI Service から接続する手順を解説しました。あわせて、Microsoft が推奨する VNet データゲートウェイとの違いと選定基準にも触れました。
ポイント
- ゲートウェイは SQL Database と疎通可能な常時稼働の Windows VM にインストールする
- 回復キーは Microsoft 側で保管されないため、安全な場所に保管しておく
- Power BI Service で「ゲートウェイ + データソース」を作成し、両者を紐づける
- Power BI テナントで Private Link を有効化している場合は VNet データゲートウェイを選択する
- Premium / PPU / Embedded ライセンスを保有している場合も VNet データゲートウェイが有力な選択肢
- 毎月の更新リリースに追従し、サポート対象(直近 6 リリース)の範囲内で運用する
ライセンス状況や既存環境に応じて適切なゲートウェイを選ぶことで、セキュアなネットワーク構成を維持したまま Power BI でのデータ活用基盤を整えられます。
以上、最後までお読みいただきありがとうございました。
