Sdílet prostřednictvím

Plánování implementace Power BI: Plánování zabezpečení na úrovni tenanta

  • Článek

Poznámka:

Tento článek je součástí řady článků o plánování implementace Power BI. Tato série se zaměřuje především na prostředí Power BI v Rámci Microsoft Fabric. Úvod do série najdete v tématu Plánování implementace Power BI.

Tento článek o plánování zabezpečení na úrovni tenanta se primárně zaměřuje na:

  • Správci Power BI: Správci, kteří jsou zodpovědní za dohled nad Power BI v organizaci.
  • Center of Excellence, IT a BI team: Týmy, které jsou také zodpovědné za dohled nad Power BI. Možná budou muset spolupracovat se správci Power BI, týmy zabezpečení informací a dalšími relevantními týmy.

Tento článek může být relevantní také pro samoobslužné tvůrce Power BI, kteří vytvářejí, publikují a spravují obsah v pracovních prostorech.

Řada článků je určená k rozšíření obsahu dokumentu white paper o zabezpečení Power BI. Dokument white paper o zabezpečení Power BI se zaměřuje na klíčová technická témata, jako je ověřování, rezidence dat a izolace sítě, hlavním cílem série je poskytnout vám důležité informace a rozhodnutí, které vám pomůžou naplánovat zabezpečení a ochranu osobních údajů.

Vzhledem k tomu, že obsah Power BI je možné používat a zabezpečit různými způsoby, budou tvůrci obsahu provádět mnoho taktických rozhodnutí. Na úrovni tenanta je ale potřeba rozhodnout o strategickém plánování. Tato strategická rozhodnutí o plánování jsou zaměřena na tento článek.

Doporučujeme, abyste co nejdříve udělali rozhodnutí o zabezpečení na úrovni tenanta, protože ovlivní všechno ostatní. Jakmile budete mít přehled o celkových cílech zabezpečení a cílech, je také jednodušší dělat další rozhodnutí o zabezpečení.

Správa Power BI

Správce Power BI je role s vysokou úrovní oprávnění, která má významnou kontrolu nad Power BI. Doporučujeme pečlivě zvážit, kdo je k této roli přiřazený, protože správce Power BI může provádět mnoho funkcí vysoké úrovně, mezi které patří:

  • Správa nastavení klienta: Správa istrátory můžou spravovat nastavení tenanta na portálu pro správu. Můžou povolit nebo zakázat nastavení a povolit nebo zakázat konkrétní uživatele nebo skupiny v rámci nastavení. Je důležité si uvědomit, že nastavení tenanta má významný vliv na uživatelské prostředí.
  • Správa rolí pracovního prostoru: Správa istrátory mohou aktualizovat role pracovního prostoru na portálu pro správu. Můžou potenciálně aktualizovat zabezpečení pracovního prostoru pro přístup k datům nebo udělit oprávnění jiným uživatelům pro přístup k jakýmkoli datům v služba Power BI.
  • Přístup k osobním pracovnímu prostoru: Správa istrátory mají přístup k obsahu a řídí osobní pracovní prostor libovolného uživatele.
  • Přístup k metadatům tenanta: Správa istrátory mají přístup k metadatům celého tenanta, včetně protokolů aktivit Power BI a událostí aktivit načtených rozhraními API pro správu Power BI.

Tip

Osvědčeným postupem je přiřadit mezi dvěma a čtyřmi uživateli roli správce prostředků infrastruktury. Tímto způsobem můžete snížit riziko a zároveň zajistit odpovídající pokrytí a křížové školení.

Správce Power BI patří alespoň k jedné z těchto předdefinovaných rolí:

Poznámka:

Správce Power Platform sice může spravovat služba Power BI, ale inverzní funkce není pravdivá. Někdo přiřazený k roli správce prostředků infrastruktury nemůže spravovat jiné aplikace v Power Platformu.

Kontrolní seznam – Při plánování, kdo bude správcem Power BI, patří klíčová rozhodnutí a akce:

  • Určete, kdo má aktuálně přiřazenou roli správce: Ověřte, kdo je přiřazený k některé z rolí správy Power BI: správce Prostředků infrastruktury, správce Power Platform a globální správce.
  • Určete, kdo by měl spravovat služba Power BI: Pokud existuje příliš mnoho správců Power BI, vytvořte plán pro snížení celkového počtu. Pokud jsou uživatelé přiřazení jako správci Power BI, kteří se pro takovou roli s vysokou úrovní oprávnění dobře nehodí, vytvořte plán pro vyřešení problému.
  • Objasnění rolí a zodpovědností: U každého správce Power BI se ujistěte, že jsou jejich povinnosti jasné. Ověřte, že došlo k odpovídajícímu křížovému trénování.

Strategie zabezpečení a ochrany osobních údajů

Budete muset učinit některá rozhodnutí na úrovni tenanta, která se týkají zabezpečení a ochrany osobních údajů. Taktika přijatá a rozhodnutí, která provedete, budou záviset na:

  • Vaše datová kultura. Cílem je podpořit kulturu dat, která chápe, že zabezpečení a ochrana dat je zodpovědností všech.
  • Vaše strategie vlastnictví obsahu a správy . Úroveň centralizované a decentralizované správy obsahu významně ovlivňuje způsob zpracování zabezpečení.
  • Strategie rozsahu doručování obsahu. Počet lidí, kteří budou zobrazovat obsah, ovlivní způsob zpracování zabezpečení obsahu.
  • Vaše požadavky na dodržování globálních, národních/regionálních a oborových předpisů.

Tady je několik příkladů strategií zabezpečení vysoké úrovně. Můžete se rozhodnout, že se rozhodnete, že ovlivní celou organizaci.

  • Požadavky na zabezpečení na úrovni řádků: Zabezpečení na úrovni řádků (RLS) můžete použít k omezení přístupu k datům pro konkrétní uživatele. To znamená, že různí uživatelé uvidí při přístupu ke stejné sestavě různá data. Sémantický model Power BI (dříve označovaný jako datová sada) nebo zdroj dat (při použití jednotného přihlašování) může vynutit zabezpečení na úrovni řádků. Další informace najdete v části Vynucení zabezpečení dat na základě identity příjemce v článku Plánování zabezpečení příjemce sestavy.
  • Zjistitelnost dat: Určete rozsah, ve kterém se má v Power BI podporovat zjistitelnost dat. Zjistitelnost ovlivňuje, kdo může najít sémantické modely nebo datové diagramy v datovém centru a zda autoři obsahu mohou požádat o přístup k těmto položkám (pomocí pracovního postupu vyžádání přístupu ). Další informace najdete ve scénáři přizpůsobitelného samoobslužného využití BI .
  • Data, která jsou povolená k ukládání v Power BI: Určete, jestli existují určité typy dat, které by neměly být uloženy v Power BI. Můžete například určit, že určité typy citlivých informací, jako jsou čísla bankovních účtů nebo čísla sociálního pojištění, nesmí být uložené v sémantickém modelu. Další informace najdete v článku Ochrana informací a ochrana před únikem informací.
  • Příchozí privátní sítě: Zjistěte, jestli existují požadavky na izolaci sítě pomocí privátních koncových bodů pro přístup k Power BI. Když používáte Azure Private Link, datový provoz se odesílá pomocí páteřní sítě Microsoftu, a ne přes internet.
  • Odchozí privátní sítě: Určete, jestli se při připojování ke zdrojům dat vyžaduje více zabezpečení. Brána dat virtuální sítě umožňuje zabezpečené odchozí připojení z Power BI ke zdrojům dat v rámci virtuální sítě. Bránu dat virtuální sítě Azure můžete použít, když je obsah uložený v pracovním prostoru Premium.

Důležité

Při zvažování izolace sítě před změnou nastavení tenanta Power BI spolupracujte s it infrastrukturou a síťovými týmy. Azure Private Link umožňuje rozšířené příchozí zabezpečení prostřednictvím privátních koncových bodů, zatímco brána virtuální sítě Azure umožňuje rozšířené odchozí zabezpečení při připojování ke zdrojům dat. Brána virtuální sítě Azure je spravovaná Microsoftem, nikoli spravovaná zákazníkem, takže eliminuje režii při instalaci a monitorování místních bran.

Některá rozhodnutí na úrovni vaší organizace budou mít za následek pevné zásady správného řízení, zejména pokud se týkají dodržování předpisů. Další rozhodnutí na úrovni organizace můžou vést k pokynům, které můžete poskytnout tvůrcům obsahu, kteří zodpovídají za správu a zabezpečení vlastního obsahu. Výsledné zásady a pokyny by měly být součástí centralizovaného portálu, školicích materiálů a komunikačního plánu.

Tip

Další návrhy týkající se plánování zabezpečení pro uživatele sestav a tvůrce obsahu najdete v dalších článcích v této sérii.

Kontrolní seznam – Při plánování strategií zabezpečení vysoké úrovně zahrnují klíčová rozhodnutí a akce:

  • Identifikace zákonných požadavků souvisejících se zabezpečením: Prozkoumejte a zdokumentujte jednotlivé požadavky, včetně toho, jak zajistíte dodržování předpisů.
  • Identifikujte strategie zabezpečení vysoké úrovně: Určete, které požadavky na zabezpečení jsou dostatečně důležité, aby se měly zahrnout do zásad správného řízení.
  • Spolupracujte s ostatními správci: Obraťte se na příslušné správce systému a prodiskutujte, jak splnit požadavky na zabezpečení a jaké technické požadavky existují. Naplánujte si technické testování konceptu.
  • Aktualizace nastavení tenanta Power BI: Nastavte každé relevantní nastavení tenanta Power BI. Pravidelně naplánujte následné kontroly.
  • Pokyny k vytváření a publikování uživatelů: Vytvoření dokumentace pro strategie zabezpečení vysoké úrovně Uveďte podrobnosti o procesu a o tom, jak může uživatel požádat o výjimku ze standardního procesu. Tyto informace zpřístupníte na centralizovaných portálech a školicích materiálech.
  • Aktualizace školicích materiálů: Pro strategie zabezpečení vysoké úrovně určete, které požadavky nebo pokyny byste měli zahrnout do školicích materiálů pro uživatele.

Integrace s Microsoft Entra ID

Zabezpečení Power BI vychází ze základu tenanta Microsoft Entra . Následující koncepty Microsoft Entra jsou relevantní pro zabezpečení tenanta Power BI.

  • Přístup uživatele: Přístup k služba Power BI vyžaduje uživatelský účet (kromě licence Power BI: Free, Power BI Pro nebo Premium na uživatele – PPU). Do Microsoft Entra ID můžete přidat interní uživatele i uživatele typu host nebo je můžete synchronizovat s místní Active Directory (AD). Další informace ouživatelch
  • Skupiny zabezpečení: Skupiny zabezpečení Microsoft Entra jsou vyžadovány při zpřístupnění určitých funkcí v nastavení tenanta Power BI. Můžete také potřebovat skupiny k efektivnímu zabezpečení obsahu pracovního prostoru Power BI nebo k distribuci obsahu. Další informace najdete v tématu Strategie použití skupin.
  • Zásady podmíněného přístupu: Podmíněný přístup můžete nastavit k služba Power BI a mobilní aplikaci Power BI. Podmíněný přístup Microsoft Entra může omezit ověřování v různých situacích. Můžete například vynutit zásady, které:
    • Vyžaduje vícefaktorové ověřování pro některé nebo všechny uživatele.
    • Povolí jenom zařízení, která vyhovují zásadám organizace.
    • Povolte připojení z konkrétní sítě nebo rozsahů IP adres.
    • Zablokujte připojení z počítače, který není připojený k doméně.
    • Zablokujte připojení pro rizikové přihlašování.
    • Povolit připojení jenom určitých typů zařízení.
    • Podmíněně povolte nebo odepřete přístup k Power BI pro konkrétní uživatele.
  • Instanční objekty: K zřízení instančního objektu možná budete muset vytvořit registraci aplikace Microsoft Entra. Ověřování instančního objektu je doporučený postup, když správce Power BI chce spouštět bezobslužné, naplánované skripty, které extrahují data pomocí rozhraní API pro správu Power BI. Instanční objekty jsou také užitečné při vkládání obsahu Power BI do vlastní aplikace.
  • Zásady v reálném čase: Můžete se rozhodnout nastavit řízení relací v reálném čase nebo zásady řízení přístupu, které zahrnují Microsoft Entra ID i Microsoft Defender for Cloud Apps. Můžete například zakázat stahování sestavy v služba Power BI, pokud má konkrétní popisek citlivosti. Další informace najdete v článcích o ochraně informací a ochraně před únikem informací.

Může být obtížné najít správnou rovnováhu mezi neomezeným přístupem a příliš omezujícím přístupem (což frustruje uživatele). Nejlepší strategií je spolupracovat se správcem Microsoft Entra, abyste pochopili, co je aktuálně nastavené. Pokuste se zachovat odezvu na potřeby firmy a zároveň myslet na potřebná omezení.

Tip

Mnoho organizací má prostředí místní Active Directory (AD), které synchronizují s Microsoft Entra ID v cloudu. Toto nastavení se označuje jako řešení hybridní identity , které je mimo rozsah tohoto článku. Důležitým konceptem, který je potřeba pochopit, je, že uživatelé, skupiny a instanční objekty musí existovat v Microsoft Entra ID pro cloudové služby, jako je Power BI, aby fungovaly. Řešení hybridní identity bude fungovat pro Power BI. Doporučujeme, abyste se svými správci Microsoft Entra mluvili o nejlepším řešení pro vaši organizaci.

Kontrolní seznam – Při identifikaci potřeb integrace Microsoft Entra patří klíčová rozhodnutí a akce:

  • Spolupracujte se správci Microsoft Entra: Spolupracujte se svými správci Microsoft Entra a zjistěte, jaké stávající zásady Microsoft Entra existují. Určete, jestli existují nějaké zásady (aktuální nebo plánované), které ovlivní uživatelské prostředí v služba Power BI nebo v mobilních aplikacích Power BI.
  • Rozhodněte se, kdy se má použít uživatelský přístup a instanční objekt: U automatizovaných operací se rozhodněte, kdy se má použít instanční objekt místo přístupu uživatele.
  • Pokyny pro vytváření nebo aktualizaci uživatelů: Určete, jestli existují témata zabezpečení, která budete muset zdokumentovat pro komunitu uživatelů Power BI. Díky tomu budou vědět, co očekávat při používání skupin a zásad podmíněného přístupu.

Strategie pro externí uživatele

Power BI podporuje Microsoft Entra Business-to-Business (B2B). Externí uživatelé, například od zákazníka nebo partnerské společnosti, můžou být pozvaní jako uživatelé typu host v Microsoft Entra ID pro účely spolupráce. Externí uživatelé můžou pracovat s Power BI a mnoha dalšími službami Azure a Microsoft 365.

Důležité

Dokument white paper Microsoft Entra B2B je nejlepším zdrojem informací o strategiích pro zpracování externích uživatelů. Tento článek je omezen na popis nejdůležitějších aspektů, které jsou relevantní pro plánování.

Existují výhody, když je externí uživatel z jiné organizace, která má nastavené také ID Microsoft Entra.

  • Domovský tenant spravuje přihlašovací údaje: Domovský tenant uživatele má stále kontrolu nad identitou a správou přihlašovacích údajů. Identity nemusíte synchronizovat.
  • Domovský tenant spravuje stav uživatele: Když uživatel odejde z této organizace a účet se odebere nebo zakáže, s okamžitým účinkem už uživatel nebude mít přístup k vašemu obsahu Power BI. Je to významná výhoda, protože možná nevíte, kdy někdo opustil svou organizaci.
  • Flexibilita licencování uživatelů: Existují nákladově efektivní možnosti licencování. Externí uživatel už může mít licenci Power BI Pro nebo PPU, v takovém případě mu ji nemusíte přiřazovat. Je také možné jim udělit přístup k obsahu v kapacitě Premium nebo pracovním prostoru Fabric F64 nebo většímu pracovnímu prostoru kapacity tím, že jim přiřadíte licenci Fabric (zdarma).

Důležité

Někdy se tento článek týká Power BI Premium nebo jejích předplatných kapacity (SKU P). Mějte na paměti, že Microsoft v současné době konsoliduje možnosti nákupu a vyřazuje Power BI Premium na skladové položky kapacity. Místo toho by měli noví a stávající zákazníci zvážit nákup předplatných kapacity Fabric (SKU F).

Další informace najdete v tématu Důležité aktualizace týkající se licencování Power BI Premium a nejčastějších dotazů k Power BI Premium.

Nastavení klíče

Existují dva aspekty povolení a správy způsobu fungování přístupu externího uživatele:

  • Nastavení Microsoft Entra, která spravuje správce Microsoft Entra. Tato nastavení Microsoft Entra jsou předpokladem.
  • Nastavení tenanta Power BI spravovaná správcem Power BI na portálu pro správu Tato nastavení řídí uživatelské prostředí v služba Power BI.

Proces pozvání hosta

Existují dva způsoby, jak pozvat uživatele typu host do tenanta.

  • Plánované pozvánky: Externí uživatele můžete nastavit předem v Microsoft Entra ID. Účet hosta je tak připravený vždy, když ho uživatel Power BI potřebuje použít k přiřazování oprávnění (například oprávnění aplikace). I když vyžaduje počáteční plánování, je to nejkonzistence, protože jsou podporovány všechny možnosti zabezpečení Power BI. Správce může pomocí PowerShellu efektivně přidat velký počet externích uživatelů.
  • Ad hoc pozvánky: Účet hosta se dá automaticky vygenerovat v Microsoft Entra ID v době, kdy uživatel Power BI sdílí nebo distribuuje obsah externímu uživateli (který nebyl dříve nastavený). Tento přístup je užitečný, když předem nevíte, kdo budou externí uživatelé. Tato funkce však musí být nejprve povolena v Microsoft Entra ID. Přístup ad hoc pozvání funguje pro oprávnění ad hoc pro jednotlivé položky a oprávnění aplikace.

Tip

Ne každá možnost zabezpečení v služba Power BI podporuje aktivaci ad hoc pozvánky. Z tohoto důvodu existuje nekonzistentní uživatelské prostředí při přiřazování oprávnění (například zabezpečení pracovního prostoru versus oprávnění pro jednotlivé položky a oprávnění aplikace). Kdykoli je to možné, doporučujeme použít plánovaný přístup k pozvání, protože výsledkem je konzistentní uživatelské prostředí.

ID tenanta zákazníka

Každý tenant Microsoft Entra má globálně jedinečný identifikátor (GUID), který se označuje jako ID tenanta. V Power BI se označuje jako ID tenanta zákazníka (CTID). CTID umožňuje služba Power BI vyhledat obsah z pohledu jiného tenanta organizace. Při sdílení obsahu s externím uživatelem musíte k adresám URL připojit ID CTID.

Tady je příklad připojení CTID k adrese URL: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

Když potřebujete zadat ID CTID pro vaši organizaci externímu uživateli, najdete ho v služba Power BI otevřením dialogového okna O Power BI. Je k dispozici v nabídce Nápověda a podpora (?), která se nachází v pravém horním rohu služba Power BI. IDENTIFIKÁTOR CTID se připojí na konec adresy URL tenanta.

Snímek obrazovky s dialogovým oknem O Power BI se zvýrazněným ID tenanta zákazníka

Branding organizace

Když se externí přístup hostů ve vaší organizaci často stává, je vhodné použít vlastní branding. Pomáhá uživatelům identifikovat tenanta organizace, ke kterému přistupuje. Vlastní prvky brandingu zahrnují logo, titulní obrázek a barvu motivu.

Následující snímek obrazovky ukazuje, jak vypadá služba Power BI při přístupu k účtu hosta. Obsahuje možnost hostovaného obsahu , která je k dispozici, když je CTID připojena k adrese URL.

Snímek obrazovky služba Power BI se zvýrazněnou možností Obsah hosta

Sdílení externích dat

Některé organizace musí provádět více než sdílení sestav s externími uživateli. Mají v úmyslu sdílet sémantické modely s externími uživateli, jako jsou partneři, zákazníci nebo dodavatelé.

Cílem pro místní sémantické sdílení modelu (označované také jako sdílení sémantických modelů mezi tenanty) je umožnit externím uživatelům vytvářet vlastní přizpůsobené sestavy a složené modely pomocí dat, která vytváříte, spravujete a poskytujete. Původní sdílený sémantický model (vytvořený vámi) zůstane ve vašem tenantovi Power BI. Závislé sestavy a modely jsou uložené v tenantovi Power BI externího uživatele.

Existuje několik aspektů zabezpečení pro práci na sémantickém sdílení modelu.

  • Nastavení tenanta: Umožňuje uživatelům typu host pracovat se sdílenými sémantických modelů ve svých vlastních tenantech: Toto nastavení určuje, jestli se dá použít funkce externího sdílení dat. Aby se projevily některé z dalších dvou nastavení (zobrazených vedle), musí být povolené. Správce Power BI ji povolí nebo zakáže pro celou organizaci.
  • Nastavení tenanta: Povolit konkrétním uživatelům zapnout sdílení externích dat: Toto nastavení určuje, které skupiny uživatelů můžou sdílet data externě. Skupiny uživatelů, které jsou zde povolené, budou moct používat třetí nastavení (popsané dále). Toto nastavení spravuje správce Power BI.
  • Nastavení sémantického modelu: Externí sdílení: Toto nastavení určuje, jestli je možné použít konkrétní sémantický model externími uživateli. Toto nastavení spravuje tvůrci obsahu a vlastníci pro každý konkrétní sémantický model.
  • Sémantické oprávnění modelu: Čtení a sestavení: Standardní sémantická oprávnění modelu pro podporu tvůrců obsahu jsou stále na místě.

Důležité

Termín příjemce se obvykle používá k odkazu na uživatele, kteří používají obsah vytvořený jinými uživateli v organizaci. Při sdílení místních sémantických modelů je ale producent sémantického modelu a konzument sémantického modelu. V této situaci je spotřebitel sémantického modelu obvykle tvůrcem obsahu v jiné organizaci.

Pokud je pro sémantický model zadaný zabezpečení na úrovni řádků, je pro externí uživatele dodrženo. Další informace najdete v části Vynucení zabezpečení dat na základě identity příjemce v článku Plánování zabezpečení příjemce sestavy.

Předplatná externích uživatelů

Externí uživatelé se nejčastěji spravují jako uživatelé typu host v Microsoft Entra ID, jak jsme popsali dříve. Kromě tohoto běžného přístupu poskytuje Power BI další možnosti distribuce odběrů sestav uživatelům mimo organizaci.

Nastavení tenanta povolit odesílání e-mailových odběrů externím uživatelům určuje, jestli mají uživatelé oprávnění odesílat e-mailová předplatná externím uživatelům, kteří ještě nejsou uživateli typu host Microsoft Entra. Doporučujeme nastavit toto nastavení tenanta tak, aby odpovídalo tomu, jak přísně nebo pružně preferuje vaše organizace správu externích uživatelských účtů.

Tip

Správa istrátory můžou pomocí příkazu Získejte odběry sestav jako rozhraní API Správa. Zobrazí se e-mailová adresa externího uživatele. Typ objektu zabezpečení se nevyřešil , protože externí uživatel není nastavený v MICROSOFT Entra ID.

Kontrolní seznam – Při plánování zpracování externích uživatelů typu host patří klíčová rozhodnutí a akce:

  • Určení požadavků pro externí uživatele v Power BI: Určete, jaké případy použití existují pro externí spolupráci. Objasněte si scénáře použití Power BI s Microsoft Entra B2B. Určete, jestli je spolupráce s externími uživateli běžná nebo vzácná.
  • Určete aktuální nastavení Microsoft Entra: Spolupracujte s vaším správcem Microsoft Entra a zjistěte, jak je aktuálně nastavená externí spolupráce. Určete, jaký dopad to bude mít na používání B2B s Power BI.
  • Rozhodněte se, jak pozvat externí uživatele: Spolupracujte se správci Microsoft Entra a rozhodněte se, jak se budou účty hostů vytvářet v Microsoft Entra ID. Rozhodněte se, jestli budou povolené ad hoc pozvánky. Rozhodněte se, do jakého rozsahu se bude používat přístup k plánované pozvánce. Ujistěte se, že celý proces je srozumitelný a zdokumentovaný.
  • Vytváření a publikování uživatelských pokynů k externím uživatelům: Vytvořte dokumentaci pro tvůrce obsahu, která je provede postupem sdílení obsahu s externími uživateli (zejména v případě, že se vyžaduje plánovaný proces pozvání). Uveďte informace o omezeních, kterým budou externí uživatelé čelit, pokud mají v úmyslu externí uživatele upravovat a spravovat obsah. Tyto informace publikujte na centralizovaný portál a školicí materiály.
  • Určete, jak zpracovávat externí sdílení dat: Rozhodněte se, jestli má být povoleno sdílení externích dat a jestli je omezené na konkrétní sadu schválených tvůrců obsahu. Nastavte možnost Povolit uživatelům typu host pracovat se sdílenými sémantickými modely v nastavení tenanta vlastních tenantů a možnost Povolit konkrétním uživatelům zapnout nastavení tenanta pro sdílení externích dat tak, aby odpovídalo vašemu rozhodnutí. Zadejte informace o sdílení externích dat pro sémantické tvůrce modelů. Tyto informace publikujte na centralizovaný portál a školicí materiály.
  • Zjistěte, jak zpracovávat licence Power BI pro externí uživatele: Pokud uživatel typu host nemá stávající licenci Power BI, rozhodněte se, jak jim přiřadit licenci. Ujistěte se, že je proces zdokumentovaný.
  • Uveďte ID CTID v příslušné uživatelské dokumentaci: Poznamenejte si adresu URL, která připojí ID tenanta (CTID) v uživatelské dokumentaci. Uveďte příklady pro tvůrce a uživatele, jak používat adresy URL, které připojují CTID.
  • Nastavení vlastního brandingu v Power BI: Na portálu pro správu nastavte vlastní branding, který externím uživatelům pomáhá identifikovat tenanta organizace, ke kterému přistupuje.
  • Ověření nebo aktualizace nastavení tenanta: Zkontrolujte, jak jsou nastavení tenanta aktuálně nastavená v služba Power BI. Podle potřeby je aktualizujte na základě rozhodnutí o správě přístupu externího uživatele.

Strategie pro umístění souborů

Existují různé typy souborů, které by měly být správně uloženy. Proto je důležité uživatelům pomoct pochopit očekávání, kde se mají soubory a data nacházet.

K souborům Power BI Desktopu a excelovým sešitům může dojít k riziku, protože můžou obsahovat importovaná data. Tato data můžou zahrnovat informace o zákaznících, identifikovatelné osobní údaje( PII), proprietární informace nebo data, která podléhají zákonným požadavkům nebo požadavkům na dodržování předpisů.

Tip

Soubory, které jsou uložené mimo služba Power BI, je snadné přehlédnout. Doporučujeme, abyste je při plánování zabezpečení zvážili.

Tady jsou některé typy souborů, které můžou být součástí implementace Power BI.

  • Zdrojové soubory
    • Soubory Power BI Desktopu: Původní soubory (.pbix) pro obsah publikovaný v služba Power BI. Pokud soubor obsahuje datový model, může obsahovat importovaná data.
    • Excelové sešity: Excelové sešity (.xlsx) můžou zahrnovat připojení k sémantickým modelům v služba Power BI. Můžou také obsahovat exportovaná data. Můžou to být i původní sešity pro obsah publikovaný v služba Power BI (jako položka sešitu v pracovním prostoru).
    • Soubory stránkované sestavy: Původní soubory sestavy (.rdl) pro obsah publikovaný do služba Power BI.
    • Zdrojové datové soubory: Ploché soubory (například .csv nebo .txt) nebo excelové sešity, které obsahují zdrojová data importovaná do modelu Power BI.
  • Exportované a další soubory
    • Soubory Power BI Desktopu: Soubory .pbix, které byly staženy z služba Power BI.
    • Soubory PowerPointu a PDF: PowerPointové prezentace (.pptx) a dokumenty PDF stažené z služba Power BI.
    • Soubory Excelu a CSV: Data exportovaná ze sestav v služba Power BI
    • Soubory stránkované sestavy: Soubory exportované ze stránkovaných sestav v služba Power BI. Podporují se Excel, PDF a PowerPoint. Pro stránkované sestavy existují i jiné formáty souborů exportu, včetně Wordu, XML nebo webového archivu. Při použití souborů exportu do rozhraní API pro sestavy se podporují také formáty obrázků.
    • E-mailové soubory: E-mailové obrázky a přílohy z odběrů.

Budete se muset rozhodnout, kde uživatelé můžou nebo nemůžou ukládat soubory. Tento proces obvykle zahrnuje vytvoření zásad správného řízení, na které můžou uživatelé odkazovat. Umístění zdrojových souborů a exportovaných souborů by měla být zabezpečená, aby se zajistil odpovídající přístup autorizovanými uživateli.

Tady je několik doporučení pro práci se soubory.

  • Ukládání souborů ve sdílené knihovně: Používejte web Teams, sharepointovou knihovnu nebo OneDrive pro pracovní nebo školní sdílenou knihovnu. Nepoužívejte osobní knihovny a jednotky. Ujistěte se, že je umístění úložiště zálohované. Také se ujistěte, že umístění úložiště má povolenou správu verzí, aby bylo možné vrátit zpět na předchozí verzi.
  • Použijte služba Power BI co nejvíce: Kdykoli je to možné, použijte služba Power BI ke sdílení a distribuci obsahu. Tímto způsobem je vždy k dispozici úplné auditování přístupu. Ukládání a sdílení souborů v systému souborů by mělo být vyhrazeno pro malý počet uživatelů, kteří spolupracují na obsahu.
  • Nepoužívejte e-mail: Nedoporučujeme používat e-mail ke sdílení souborů. Když někdo pošle e-mailem excelový sešit nebo soubor Power BI Desktopu 10 uživatelům, bude výsledkem 10 kopií souboru. Vždy existuje riziko zahrnutí nesprávné (interní nebo externí) e-mailové adresy. Existuje také větší riziko, že se soubor předá někomu jinému. (Pokud chcete toto riziko minimalizovat, obraťte se na správce Exchange Online a implementujte pravidla pro blokování příloh na základě podmínek velikosti nebo typu přípony souboru. Další strategie ochrany před únikem informací pro Power BI jsou popsané v článcích o ochraně informací a ochraně před únikem informací .)
  • Používejte soubory šablon: V některých případech je potřeba sdílet soubor Power BI Desktopu s někým jiným. V tomto případě zvažte vytvoření a sdílení souboru šablony Power BI Desktopu (.pbit). Soubor šablony obsahuje jenom metadata, takže je menší než zdrojový soubor. Tato technika bude vyžadovat, aby příjemce zadal přihlašovací údaje ke zdroji dat, aby aktualizoval data modelu.

Na portálu pro správu existují nastavení tenanta, která určují, které formáty exportu můžou uživatelé používat při exportu z služba Power BI. Tato nastavení je důležité zkontrolovat a nastavit. Jedná se o doplňkovou aktivitu pro plánování umístění souborů, která by se měla použít pro exportované soubory.

Tip

Některé formáty exportu podporují kompletní ochranu informací pomocí šifrování. Vzhledem k zákonným požadavkům mají některé organizace platnou potřebu omezit formáty exportu, které můžou uživatelé používat. Článek Ochrana informací pro Power BI popisuje faktory, které je potřeba vzít v úvahu při rozhodování o tom, které formáty exportu povolit nebo zakázat v nastavení tenanta. Ve většině případů doporučujeme omezit možnosti exportu jenom v případě, že potřebujete splnit konkrétní zákonné požadavky. Pomocí protokolu aktivit Power BI můžete zjistit, kteří uživatelé provádějí mnoho exportů. Tyto uživatele pak můžete naučit efektivnější a bezpečnější alternativy.

Kontrolní seznam – Při plánování umístění souborů zahrnují klíčová rozhodnutí a akce:

  • Určete, kde se mají soubory nacházet: Rozhodněte se, kam mají být uloženy soubory. Určete, jestli se nemají používat konkrétní umístění.
  • Vytvoření a publikování dokumentace k umístěním souborů: Vytvořte uživatelskou dokumentaci, která vysvětluje povinnosti při správě a zabezpečení souborů. Měl by také popisovat všechna umístění, kde se mají ukládat soubory (nebo by neměly). Tyto informace publikujte na centralizovaný portál a školicí materiály.
  • Nastavte nastavení tenanta pro exporty: Zkontrolujte a nastavte jednotlivá nastavení tenanta související s formáty exportu, které chcete podporovat.

Strategie pro používání skupin

K zabezpečení obsahu Power BI doporučujeme použít skupiny zabezpečení Microsoft Entra z následujících důvodů.

  • Omezená údržba: Členství ve skupině zabezpečení je možné upravit bez nutnosti upravovat oprávnění k obsahu Power BI. Do skupiny je možné přidat nové uživatele a nepotřebné uživatele je možné ze skupiny odebrat.
  • Vylepšená přesnost: Vzhledem k tomu, že se změny členství ve skupině provádějí jednou, bude výsledkem přesnější přiřazení oprávnění. Pokud se zjistí chyba, můžete ji snadněji opravit.
  • Delegování: Odpovědnost za správu členství ve skupině můžete delegovat na vlastníka skupiny.

Rozhodnutí o skupině na vysoké úrovni

Existuje několik strategických rozhodnutí týkajících se způsobu použití skupin.

Oprávnění k vytváření a správě skupin

Existují dvě klíčová rozhodnutí týkající se vytváření a správy skupin.

  • Kdo může vytvořit skupinu? Obvykle můžou skupiny zabezpečení vytvářet jenom IT. Je ale možné přidat uživatele do předdefinované role Správce skupin Microsoft Entra. Díky tomu můžou někteří důvěryhodní uživatelé, jako jsou šampioni Power BI nebo satelitní členové vašeho COE, vytvářet skupiny pro svou obchodní jednotku.
  • Kdo může spravovat členy skupiny? Je běžné, že IT spravuje členství ve skupinách. Je ale možné zadat jednoho nebo více vlastníků skupin, kteří mají oprávnění přidávat a odebírat členy skupiny. Použití samoobslužné správy skupin je užitečné, když decentralizovaný tým nebo satelitní členové COE můžou spravovat členství ve skupinách specifických pro Power BI.

Tip

Povolení samoobslužné správy skupin a určení decentralizovaných vlastníků skupin představují skvělé způsoby vyvážení efektivity a rychlosti s využitím zásad správného řízení.

Plánování skupin Power BI

Je důležité, abyste vytvořili strategii vysoké úrovně pro používání skupin pro zabezpečení obsahu Power BI a mnoha dalších použití.

Různé případy použití pro skupiny

Pro skupiny zvažte následující případy použití.

Případ použití Popis Příklad názvu skupiny
Komunikace s Power BI Center of Excellence (COE) Zahrnuje všechny uživatele přidružené k COE, včetně všech základních a satelitních členů COE. V závislosti na vašich potřebách můžete také vytvořit samostatnou skupinu pouze pro základní členy. Pravděpodobně se jedná o skupinu Microsoftu 365, která souvisí s webem Teams. • Power BI Center of Excellence
Komunikace s týmem vedení Power BI Zahrnuje sponzora a zástupce vedoucích pracovníků z organizačních jednotek, kteří spolupracují na vedení iniciativy Power BI v organizaci. • Řídicí výbor Power BI
Komunikace s komunitou uživatelů Power BI Zahrnuje všechny uživatele, kteří mají přiřazený libovolný typ uživatelské licence Power BI. Je užitečné dělat oznámení všem uživatelům Power BI ve vaší organizaci. Pravděpodobně se jedná o skupinu Microsoftu 365, která souvisí s webem Teams. • Komunita Power BI
Podpora komunity uživatelů Power BI Zahrnuje uživatele helpdesku, kteří přímo komunikují s komunitou uživatelů, aby mohli řešit problémy s podporou Power BI. Tato e-mailová adresa (a web Teams,pokud je k dispozici) je dostupná a viditelná pro populaci uživatelů. • Uživatelská podpora Power BI
Poskytování eskalované podpory Zahrnuje konkrétní uživatele, obvykle od COE Power BI, kteří poskytují eskalovanou podporu. Tato e-mailová adresa (a web Teams(pokud je k dispozici) je obvykle soukromá, aby ji používal pouze tým podpory uživatelů. • Eskalovaná uživatelská podpora Power BI
Správa stering služba Power BI Zahrnuje konkrétní uživatele, kteří mohou spravovat služba Power BI. Volitelně můžete členy této skupiny korelovat s rolí v Microsoftu 365 za účelem zjednodušení správy. • Správci Power BI
Upozorňování povolených funkcí a postupné zavádění funkcí Zahrnuje uživatele povolené pro konkrétní nastavení tenanta na portálu pro správu (pokud bude tato funkce omezená) nebo pokud se má tato funkce postupně zavést do skupin uživatelů. Mnoho nastavení tenanta bude vyžadovat, abyste vytvořili novou skupinu specifickou pro Power BI. • Tvůrci pracovních prostorů Power BI

• Sdílení externích dat Power BI
Správa bran dat Zahrnuje jednu nebo více skupin uživatelů, kteří mají povolenou správu clusteru brány. Existuje několik skupin tohoto typu, pokud existuje více bran nebo když decentralizované týmy spravují brány. • Správci brány Power BI

• Tvůrci zdrojů dat brány Power BI

• Vlastníci zdrojů dat brány Power BI

• Uživatelé zdroje dat brány Power BI
Správa kapacit Premium Zahrnuje uživatele, kteří můžou spravovat kapacitu Premium. Existuje několik skupin tohoto typu, pokud existuje více kapacit nebo když decentralizované týmy spravují kapacity. • Přispěvatelé kapacity Power BI
Zabezpečení pracovních prostorů, aplikací a položek Mnoho skupin, které jsou založené na předmětech a povoleném přístupu ke správě zabezpečení rolí pracovního prostoru Power BI, oprávnění aplikace a oprávnění pro jednotlivé položky. • Správci pracovního prostoru Power BI

• Členové pracovního prostoru Power BI

• Přispěvatelé pracovních prostorů Power BI

• Prohlížeče pracovních prostorů Power BI

• Prohlížeče aplikací Power BI
Nasazení obsahu Zahrnuje uživatele, kteří můžou nasadit obsah pomocí kanálu nasazení Power BI. Tato skupina se používá ve spojení s oprávněními pracovního prostoru. • Správci kanálů nasazení Power BI
Automatizace operací správy Zahrnuje instanční objekty, které mohou používat API Power BI pro účely vkládání nebo správy. • služba Power BI objekty zabezpečení

Skupiny pro nastavení tenanta Power BI

V závislosti na zavedených interních procesech budete mít další skupiny, které jsou potřeba. Tyto skupiny jsou užitečné při správě nastavení tenanta. Zde je uvedeno několik příkladů.

  • Tvůrci pracovních prostorů Power BI: Užitečné, když potřebujete omezit, kdo může vytvářet pracovní prostory. Slouží k nastavení nastavení tenanta Vytvořit pracovní prostory.
  • Odborníci na certifikaci Power BI: Užitečné určit, kdo může používat certifikované doporučení pro obsah. Slouží k nastavení tenanta certifikace .
  • Tvůrci schváleného obsahu Power BI: Užitečné, pokud potřebujete schválení, školení nebo potvrzení zásad pro instalaci Power BI Desktopu nebo získání licence Power BI Pro nebo PPU. Používá se v nastaveních tenanta, která podporují možnosti vytváření obsahu, jako jsou povolení připojení DirectQuery k sémantickým modelům Power BI, nabízení aplikací koncovým uživatelům, povolení koncových bodů XMLA a dalších.
  • Uživatelé externích nástrojů Power BI: Užitečné, když povolíte použití externích nástrojů pro selektivní skupinu uživatelů. Používá se zásadami skupiny nebo když musí být instalace nebo požadavky softwaru pečlivě řízeny.
  • Vlastní vývojáři Power BI: Užitečné, když potřebujete určit, kdo má oprávnění vkládat obsah do jiných aplikací mimo Power BI. Slouží k nastavení obsahu Pro vložení do nastavení tenanta aplikací .
  • Veřejné publikování Power BI: Užitečné, když potřebujete omezit, kdo může veřejně publikovat data. Slouží k nastavení nastavení publikovat do webového tenanta.
  • Sdílení Power BI do celé organizace: Užitečné, když potřebujete omezit, kdo může sdílet odkaz se všemi uživateli v organizaci. Slouží k nastavení odkazů Povolit sdílení, které umožňují udělit přístup všem uživatelům v nastavení tenanta vaší organizace .
  • Sdílení externích dat Power BI: Užitečné, když potřebujete určitým uživatelům povolit sdílení sémantických modelů s externími uživateli. Slouží k nastavení nastavení Povolit konkrétním uživatelům zapnout nastavení tenanta pro sdílení externích dat.
  • Přístup uživatelů typu host Power BI s licencí: Užitečné, když potřebujete seskupit schválené externí uživatele, kteří mají udělenou licenci vaší organizací. Slouží k nastavení nastavení Povolit uživatelům typu host Microsoft Entra přístup k nastavení tenanta Power BI .
  • Přístup uživatelů typu host v Power BI k byOL: Užitečné, když potřebujete seskupit schválené externí uživatele, kteří z domovské organizace přinesou vlastní licenci (BYOL). Slouží k nastavení nastavení Povolit uživatelům typu host Microsoft Entra přístup k nastavení tenanta Power BI .

Tip

Důležité informace o používání skupin při plánování přístupu k pracovnímu prostoru najdete v článku Plánování na úrovni pracovního prostoru. Informace o plánování zabezpečení pracovních prostorů, aplikací a položek najdete v článku Plánování zabezpečení uživatelů sestavy.

Typ skupiny

Můžete vytvořit různé typy skupin.

  • Skupina zabezpečení: Skupina zabezpečení je nejlepší volbou, pokud vaším primárním cílem je udělit přístup k prostředku.
  • Skupina zabezpečení s podporou pošty: Pokud potřebujete udělit přístup k prostředku a distribuovat zprávy do celé skupiny e-mailem, je dobrou volbou skupina zabezpečení s podporou pošty.
  • Skupina Microsoft 365: Tento typ skupiny má web Teams a e-mailovou adresu. Je to nejlepší volba, pokud je primárním cílem komunikace nebo spolupráce na webu Teams. Skupina Microsoft 365 má pouze členy a vlastníky; neexistuje role čtenáře. Z tohoto důvodu je jeho primárním účelem spolupráce. Tento typ skupiny se dříve označoval jako skupina Office 365, moderní skupina nebo sjednocená skupina.
  • Distribuční skupina: Distribuční skupinu můžete použít k odeslání oznámení vysílání do seznamu uživatelů. Dnes se považuje za starší koncept, který poskytuje zpětnou kompatibilitu. Pro nové případy použití doporučujeme vytvořit místo toho skupinu zabezpečení s podporou pošty.

Když požádáte o novou skupinu nebo chcete použít existující skupinu, je důležité vědět o jejím typu. Typ skupiny může určit, jak se používá a spravuje.

  • Oprávnění Power BI: Pro každý typ operace zabezpečení se nepodporuje každý typ skupiny. Skupiny zabezpečení (včetně skupin zabezpečení s podporou pošty) nabízejí nejvyšší pokrytí, pokud jde o nastavení možností zabezpečení Power BI. Dokumentace Microsoftu obecně doporučuje skupiny Microsoftu 365. V případě Power BI ale nejsou tak schopné jako skupiny zabezpečení. Další informace o oprávněních Power BI najdete v dalších článcích této série o plánování zabezpečení.
  • Nastavení tenanta Power BI: Skupiny zabezpečení (včetně skupin zabezpečení s podporou pošty) můžete použít jenom při povolení nebo zakázání práce se skupinami uživatelů s nastavením tenanta Power BI.
  • Pokročilé funkce Microsoft Entra: Některé typy pokročilých funkcí nejsou podporovány pro všechny typy skupin. Například můžete chtít dynamicky spravovat členství ve skupinách na základě atributu v Microsoft Entra ID (například oddělení pro uživatele nebo dokonce vlastní atribut). Dynamické členství ve skupinách a skupinách zabezpečení podporují jenom skupiny Microsoftu 365. Nebo pokud chcete vnořit skupinu do skupiny, mějte na paměti, že skupiny Microsoftu 365 tuto funkci nepodporují.
  • Spravováno jinak: Žádost o vytvoření nebo správu skupiny se může směrovat na jiného správce na základě typu skupiny (skupiny zabezpečení s podporou pošty a distribuční skupiny se spravují v Exchangi). Proto se váš interní proces bude lišit v závislosti na typu skupiny.

Zásady vytváření názvů skupin

Pravděpodobně skončíte s mnoha skupinami v Microsoft Entra ID pro podporu implementace Power BI. Proto je důležité mít odsouhlasený vzor pro pojmenování skupin. Dobrá konvence vytváření názvů pomůže určit účel skupiny a zjednodušit správu.

Zvažte použití následujících standardních konvencí pojmenování: <Účel> předpony<>– <téma, obor nebo oddělení><[prostředí]>

Následující seznam popisuje jednotlivé části zásad vytváření názvů.

  • Předpona: Slouží k seskupení všech skupin Power BI dohromady. Když se skupina použije pro více než jeden analytický nástroj, vaše předpona může být jenom BI, nikoli Power BI. V takovém případě bude text, který popisuje účel, obecnější, takže se vztahuje k více než jednomu analytickému nástroji.
  • Účel: Účel se bude lišit. Může se jednat o roli pracovního prostoru, oprávnění aplikace, oprávnění na úrovni položek, zabezpečení na úrovni řádků nebo jiný účel. Někdy může být s jednou skupinou spokojeno více účelů.
  • Téma/obor/oddělení: Slouží k objasnění, na koho se skupina vztahuje. Často popisuje členství ve skupině. Může také odkazovat na to, kdo skupinu spravuje. Někdy se dá použít jedna skupina pro více účelů. Například kolekci finančních pracovních prostorů je možné spravovat pomocí jedné skupiny.
  • Prostředí: Volitelné. Užitečné k rozlišení mezi vývojem, testováním a produkčním prostředím.

Tady je několik příkladů názvů skupin, které používají standardní konvenci pojmenování.

  • Správci pracovních prostorů Power BI – Finance [Dev]
  • Členové pracovního prostoru Power BI – Finance [Dev]
  • Přispěvatelé pracovních prostorů Power BI – Finance [Dev]
  • Prohlížeče pracovních prostorů Power BI – Finance [Dev]
  • Prohlížeče aplikací Power BI – Finance
  • Správci brány Power BI – Enterprise BI
  • Správci brány Power BI – Finance

Rozhodnutí na skupinu

Při plánování skupin, které budete potřebovat, je potřeba provést několik rozhodnutí.

Když tvůrce nebo vlastník obsahu požádá o novou skupinu, ideálně použije formulář k zadání následujících informací.

  • Název a účel: Navrhovaný název skupiny a jeho zamýšlený účel. Zvažte zahrnutí Power BI (nebo jen BI , pokud máte v názvu skupiny více nástrojů BI), abyste jasně označili rozsah skupiny.
  • E-mailová adresa: E-mailová adresa, pokud je pro členy skupiny vyžadována komunikace. Ne všechny typy skupin musí být povolené pošty.
  • Typ skupiny: Mezi možnosti patří skupina zabezpečení, poštovní skupina zabezpečení, skupina Microsoft 365 a distribuční skupina.
  • Vlastník skupiny: Kdo může vlastnit a spravovat členy skupiny.
  • Členství ve skupině: Zamýšlení uživatelé, kteří budou členy skupiny. Zvažte, jestli je možné přidat externí uživatele a interní uživatele, nebo jestli existují odůvodnění pro vložení externích uživatelů do jiné skupiny.
  • Použití přiřazení člena skupiny za běhu: K povolení časového rámečku a přístupu ke skupině můžete použít Privileged Identity Management (PIM ). Tato služba může být užitečná, když uživatelé vyžadují dočasný přístup. PIM je také užitečný pro správce Power BI, kteří potřebují občasný přístup.

Tip

Existující skupiny založené na organizačním diagramu nefungují pro účely Power BI vždy dobře. Používejte existující skupiny, když vyhovují vašim potřebám. Připravte se ale na vytvoření skupin specifických pro Power BI v případě potřeby.

Kontrolní seznam – Při vytváření strategie pro používání skupin patří klíčová rozhodnutí a akce:

  • Rozhodněte se o strategii použití skupin: Určete případy použití a účely, které budete muset použít. Konkrétní informace o tom, kdy je třeba použít zabezpečení pomocí uživatelských účtů a kdy je skupina povinná nebo upřednostňovaná.
  • Vytvořte konvenci vytváření názvů pro skupiny specifické pro Power BI: Zajistěte, aby se pro skupiny, které budou podporovat komunikaci, funkce, správu nebo zabezpečení Power BI, používaly konzistentní zásady vytváření názvů.
  • Rozhodněte se, kdo může vytvářet skupiny: Zpřehledněte, jestli je potřeba projít IT vytvořením všech skupin. Nebo jestli je možné určitým jednotlivcům (například satelitním členům COE) udělit oprávnění k vytváření skupin pro jejich obchodní jednotku.
  • Vytvořte proces, jak požádat o novou skupinu: Vytvořte formulář pro uživatele, který požádá o vytvoření nové skupiny. Ujistěte se, že existuje proces, který umožňuje rychle reagovat na nové žádosti. Mějte na paměti, že pokud jsou žádosti zpožděné, můžou být uživatelé lákaví začít přiřazovat oprávnění k účtům jednotlivců.
  • Rozhodněte se, kdy je povolená decentralizovaná správa skupin: U skupin, které se vztahují na konkrétní tým, rozhodněte, kdy je pro vlastníka skupiny (mimo IT) přijatelný pro správu členů ve skupině.
  • Rozhodněte se, jestli se bude používat členství ve skupině za běhu: Určete, jestli bude privileged Identity Management užitečné. Pokud ano, určete, pro které skupiny se dají použít (například pro skupinu správců Power BI).
  • Zkontrolujte, které skupiny aktuálně existují: Určete, které existující skupiny je možné použít a které skupiny je potřeba vytvořit.
  • Zkontrolujte jednotlivá nastavení tenanta: Pro každé nastavení tenanta určete, jestli bude povolená nebo zakázaná pro konkrétní sadu uživatelů. Určete, jestli je potřeba vytvořit novou skupinu pro nastavení tenanta.
  • Vytváření a publikování pokynů pro uživatele o skupinách: Uveďte dokumentaci pro tvůrce obsahu, která zahrnuje požadavky nebo předvolby pro používání skupin. Ujistěte se, že vědí, o co se má požádat, když požádá o novou skupinu. Tyto informace publikujte na centralizovaný portál a školicí materiály.

Související obsah

V dalším článku v této sérii se dozvíte o způsobech bezpečného doručování obsahu uživatelům sestav jen pro čtení.