Credenciais Power BI
Service Principals e Master Users cadastrados
Usuários gerenciados
Usuários com acesso ao portal de relatórios
Nova credencial Power BI
Secrets criptografados com AES-256 antes de salvar
Service Principal
Client Credentials (recomendado)
Master User
ROPC — Usuário + Senha AAD
📘 Guia de configuração — Azure AD + Power BI
Passo a passo técnico para liberar o acesso via API. Escolha o tipo de conexão que vai usar.
🔑 Login com Microsoft (SSO) — onde encontrar o Tenant ID
Pra ativar "Entrar com Microsoft" pra sua empresa, você só precisa colar o Tenant ID do Azure AD na aba
⚙️ Configurações — é isso, um único campo, sem precisar criar nada no Azure.
- Acesse portal.azure.com com a conta administrativa da sua empresa.
- No menu (ou na busca), vá em Microsoft Entra ID (esse é o nome atual do Azure AD).
- Na página Visão geral (Overview), procure o campo Tenant ID (também aparece como "ID de locatário" em português).
- Clique no ícone de copiar ao lado do valor — é um código no formato
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx. - Volta aqui no sistema → aba ⚙️ Configurações → cola no campo "Azure AD Tenant ID da empresa" → Salvar.
ℹ️ Depois de salvo, todo mundo da empresa (você e seus usuários) já pode usar o botão "Entrar com Microsoft" na tela de login — não precisa repetir esse passo por pessoa, é uma configuração única por empresa.
💰 Vai usar capacidade Fabric? Leia antes de contratar
Se a intenção é economizar pausando a capacidade fora do horário de uso (esse app já tem essa automação em ⚙️ Configurações), o modelo de contratação escolhido no momento da compra
determina se essa economia realmente acontece.
✅ Pay-as-you-go (cobrança por hora/segundo)
É o modelo padrão ao contratar pelo portal do Fabric/Power BI escolhendo Subscription + Resource Group do Azure.
Pausada, a capacidade não gera custo de computação — é literalmente pra isso que serve o pause/resume.
⚠️ Reserva (1 ou 3 anos)
Já foi pago antecipado pelo período inteiro. Pausar não devolve nem economiza dinheiro — só significa
"não estou usando o que já paguei". Só compensa financeiramente com uso contínuo.
ℹ️ Independente do modelo escolhido: o armazenamento no OneLake (os dados dentro dos workspaces vinculados) é cobrado à parte, como medidor separado —
continua rodando mesmo com a capacidade pausada, porque é custo de guardar o dado, não de processar.
💡 Como confirmar na prática: depois de configurar o agendamento, veja no Azure Cost Management (Custos → Cost analysis, filtrando pelo recurso da capacidade)
se o consumo realmente zera nas janelas pausadas — isso confirma qual modelo vocês têm, sem depender só da documentação.
Service Principal
Recomendado para produção
Master User
Mais simples, com limitações
⚠️ Quem consegue fazer esse fluxo: as etapas 3 e 4 abaixo (conceder permissões de API e habilitar Service Principals no Power BI) só podem ser feitas por quem é
Administrador do Azure AD (Global Administrator / Application Administrator) e Administrador do Power BI (Fabric/Power BI Administrator) na organização do cliente —
normalmente é o time de TI, não quem está fazendo o teste do produto.
1️⃣ Criar o App Registration no Azure AD
Acesse
• Dê um nome (ex: "PBI Embed - Nome da Empresa").
• Em "Supported account types", escolha "Accounts in this organizational directory only" (single-tenant).
• Redirect URI: pode deixar em branco.
Depois de criado, na página Overview do app, anote:
portal.azure.com → Microsoft Entra ID (antigo Azure AD) → App registrations → New registration.• Dê um nome (ex: "PBI Embed - Nome da Empresa").
• Em "Supported account types", escolha "Accounts in this organizational directory only" (single-tenant).
• Redirect URI: pode deixar em branco.
Depois de criado, na página Overview do app, anote:
Application (client) ID → vira o Client ID
Directory (tenant) ID → vira o Tenant ID
2️⃣ Criar o Client Secret
Dentro do app registration → Certificates & secrets → New client secret.
• Dê uma descrição.
• Escolha a validade (expiration): as opções do Azure são normalmente 3, 6, 12, 18, 24 meses, ou uma data customizada. Recomendado: 24 meses (o máximo), pra não precisar renovar com frequência.
• Dê uma descrição.
• Escolha a validade (expiration): as opções do Azure são normalmente 3, 6, 12, 18, 24 meses, ou uma data customizada. Recomendado: 24 meses (o máximo), pra não precisar renovar com frequência.
🔴 Atenção — isso derruba a integração se for esquecido: o valor do secret (coluna "Value") só aparece uma única vez, no momento em que é criado. Se sair da tela sem copiar, precisa gerar outro.
E quando a validade escolhida vencer, os relatórios param de carregar (a geração de token falha) até alguém gerar um novo secret no Azure e atualizar a credencial aqui no sistema.
Recomendamos anotar a data de expiração em um lembrete/calendário.
3️⃣ Conceder permissões de API (Power BI Service)
Dentro do app registration → API permissions → Add a permission → Power BI Service.
• Tipo: Application permissions (não "Delegated" — o Service Principal age sozinho, sem usuário logado).
• Marque pelo menos:
• Depois de adicionar, clique em "Grant admin consent for [organização]".
• Tipo: Application permissions (não "Delegated" — o Service Principal age sozinho, sem usuário logado).
• Marque pelo menos:
Tenant.Read.All (leitura) ou Tenant.ReadWrite.All (se for gerenciar conteúdo também).• Depois de adicionar, clique em "Grant admin consent for [organização]".
🔴 Sem o "Grant admin consent", as permissões ficam com status "Not granted" e toda chamada de API falha com erro 401/403 — mesmo com o Client Secret certo.
4️⃣ Habilitar Service Principals no Power BI (Admin Portal)
Acesse
Procure a seção "Configurações do desenvolvedor" → "Permitir que as entidades de serviço usem APIs REST do Power BI" ("Allow service principals to use Power BI APIs").
• Habilite (Enabled).
• Escolha o escopo: toda a organização, ou (mais seguro) crie um Security Group no Azure AD, adicione o Service Principal como membro, e restrinja a configuração só a esse grupo.
app.powerbi.com → ⚙️ Configurações → Portal de administração → Configurações do inquilino (Tenant settings).Procure a seção "Configurações do desenvolvedor" → "Permitir que as entidades de serviço usem APIs REST do Power BI" ("Allow service principals to use Power BI APIs").
• Habilite (Enabled).
• Escolha o escopo: toda a organização, ou (mais seguro) crie um Security Group no Azure AD, adicione o Service Principal como membro, e restrinja a configuração só a esse grupo.
ℹ️ Essa configuração pode levar até 15 minutos para propagar depois de habilitada — se testar na hora e der erro, aguarde um pouco antes de investigar mais.
5️⃣ Dar acesso ao Workspace
No workspace do Power BI que vai ser usado → Acesso (Access) → adicionar o Service Principal.
• Busque pelo nome do App Registration (Service Principals às vezes não aparecem numa busca por e-mail).
• Papel recomendado: Member (suficiente pra visualizar/embutir relatórios). Use Admin só se também for publicar/gerenciar conteúdo por API.
• Busque pelo nome do App Registration (Service Principals às vezes não aparecem numa busca por e-mail).
• Papel recomendado: Member (suficiente pra visualizar/embutir relatórios). Use Admin só se também for publicar/gerenciar conteúdo por API.
6️⃣ Testar aqui no sistema
Com Tenant ID, Client ID e Client Secret em mãos, vá em "+ Credencial", escolha "Service Principal", preencha os campos e salve.
Depois use a aba "⚡ Testar Auth" para validar antes de vincular a relatórios.
Novo usuário gerenciado
Crie um acesso ao portal de relatórios
Testar autenticação
Backend faz a chamada real ao Azure AD — sem CORS
Empresas cadastradas
Monitoramento — suspenda/reative/cancele. Cadastro de empresa é feito pelo site.
Nova empresa
O admin da empresa receberá os dados de acesso por e-mail
Configuração de E-mail
SMTP SendGrid — credenciais para envio automático
Para o SendGrid use sempre: apikey
Deixe em branco para manter a chave atual
Deve ser verificado no SendGrid
Usada nos botões dos e-mails enviados
Endereço que receberá o e-mail de teste
Carousels
Crie e gerencie seus carousels de relatórios
Fila de Relatórios
Relatórios exibidos em sequência automática
Novo item do carousel
Identifique o relatório e configure as opções
—
⚙️ Configurações
SSO, capacidade Fabric e agendamento
🔑 Login com Microsoft (SSO)
Permite que você e seus usuários entrem clicando em "Entrar com Microsoft", usando a conta do Microsoft 365/Azure AD da empresa —
sem precisar cadastrar senha separada. Pra ativar, informe o Tenant ID do Azure AD da sua empresa (encontrado no
Azure Portal → Microsoft Entra ID → Visão geral).
Só quem loga vindo desse Tenant ID específico tem acesso — ninguém de fora entra por engano.
Passo a passo com mais detalhe em 📘 Guia Azure.
Usuário criado automaticamente (só se o interruptor acima estiver ligado) entra sem relatório atribuído — você atribui depois, normal.
Capacidade Fabric
Agendamento de pausa/retomada
ℹ️ Isso pausa e retoma a capacidade Fabric/Premium inteira (economiza custo fora do horário de uso) — é diferente das credenciais de embedding de relatório.
Requer uma credencial Service Principal com role Contributor (ou "Capacity Administrator") na capacidade, dentro do Azure — permissão separada da API do Power BI.
A "Pausa" acontece todo dia no horário definido; a "Retomada" só acontece nos dias marcados como ativos — assim um fim de semana sem dias ativos fica pausado o período inteiro.
⚠️ Antes de contratar/configurar: essa economia só existe se a capacidade foi comprada como pay-as-you-go. Se for uma Reserva (1 ou 3 anos),
pausar não economiza nada. Veja o comparativo completo em 📘 Guia Azure.
📊 Monitoramento
Dados em tempo real via API — status de atualização e atividade recente
🔄 Status de atualização dos datasets
Carregando…
📋 Atividade recente (últimas 24h)
Carregando…