Distribuce obsahu Power BI externím uživatelům typu host pomocí Microsoft Entra B2B

Shrnutí: Toto je technický dokument white paper, který popisuje, jak distribuovat obsah uživatelům mimo organizaci pomocí integrace Microsoft Entra ID (dříve označovaného jako Azure Active Directory) business-to-business (Microsoft Entra B2B).

Spisovatelé: Lukasz Pawlowski, Kasper de Jonge

Technické recenzenty: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elizabeth Olson

Poznámka:

Tento dokument white paper můžete uložit nebo vytisknout tak , že v prohlížeči vyberete Možnost Tisk a pak vyberete Uložit jako PDF.

Úvod

Power BI poskytuje organizacím 360stupňový přehled o jejich podnikání a umožňuje všem v těchto organizacích provádět inteligentní rozhodnutí pomocí dat. Mnoho z těchto organizací má silné a důvěryhodné vztahy s externími partnery, klienty a dodavateli. Tyto organizace musí poskytovat zabezpečený přístup k řídicím panelům a sestavám Power BI uživatelům v těchto externích partnerech.

Power BI se integruje s Microsoft Entra business-to-business (Microsoft Entra B2B), aby umožňovala zabezpečenou distribuci obsahu Power BI uživatelům typu host mimo organizaci a přitom zachovává kontrolu a řízení přístupu k interním datům.

Tento dokument white paper popisuje všechny podrobnosti, které potřebujete k pochopení integrace Power BI s Microsoft Entra B2B. Probereme nejčastější případy použití, nastavení, licencování a zabezpečení na úrovni řádků.

Scénáře

Contoso je automobilový výrobce a pracuje s mnoha různorodými dodavateli, kteří ji poskytují se všemi součástmi, materiály a službami potřebnými ke spuštění výrobního provozu. Společnost Contoso chce zjednodušit logistiku a plány dodavatelského řetězce tak, aby používala Power BI k monitorování klíčových metrik výkonu svého dodavatelského řetězce. Contoso chce sdílet analýzy externích dodavatelů dodavatelského řetězce zabezpečeným a spravovatelným způsobem.

Contoso může externím uživatelům pomocí Power BI a Microsoft Entra B2B povolit následující prostředí.

Ad hoc sdílení položek

Společnost Contoso spolupracuje s dodavatelem, který vytváří radiátory pro auta společnosti Contoso. Často potřebují optimalizovat spolehlivost radiátorů pomocí dat ze všech aut společnosti Contoso. Analytik ve společnosti Contoso používá Power BI ke sdílení sestavy spolehlivosti radiátorů s technikem dodavatele. Technik obdrží e-mail s odkazem k zobrazení sestavy.

Jak je popsáno výše, toto ad hoc sdílení provádí podnikoví uživatelé podle potřeby. Odkaz odeslaný Power BI externímu uživateli je odkaz na pozvání Microsoft Entra B2B. Když externí uživatel otevře odkaz, zobrazí se mu výzva, aby se připojil k organizaci Microsoft Entra společnosti Contoso jako uživatel typu host. Po přijetí pozvánky odkaz otevře konkrétní sestavu nebo řídicí panel. Správce Microsoft Entra deleguje oprávnění k pozvání externích uživatelů do organizace a zvolí, co tito uživatelé můžou dělat, jakmile pozvánku přijmou, jak je popsáno v části Zásady správného řízení tohoto dokumentu. Analytik Společnosti Contoso může pozvat uživatele typu host pouze proto, že správce Microsoft Entra povolil tuto akci a správce Power BI povolil uživatelům pozvat hosty k zobrazení obsahu v nastavení tenanta Power BI.

1. Proces začíná interním uživatelem Contosa, který sdílí řídicí panel nebo sestavu s externím uživatelem. Pokud externí uživatel ještě není hostem v ID Microsoft Entra společnosti Contoso, je pozvaný. E-mail se odešle na e-mailovou adresu, která obsahuje pozvánku na ID Microsoft Entra společnosti Contoso.
2. Příjemce přijme pozvánku na ID Microsoft Entra společnosti Contoso a přidá se jako uživatel typu host v MICROSOFT Entra ID společnosti Contoso.
3. Příjemce se pak přesměruje na řídicí panel, sestavu nebo aplikaci Power BI.

Tento proces se považuje za ad hoc, protože podnikoví uživatelé ve společnosti Contoso provádějí akci pozvání podle potřeby pro své obchodní účely. Každá sdílená položka je jedním odkazem, ke které má externí uživatel přístup k zobrazení obsahu.

Jakmile bude externí uživatel pozvaný pro přístup k prostředkům Společnosti Contoso, může se pro ně vytvořit stínový účet v ID Microsoft Entra Společnosti Contoso a nemusí být znova pozvaný. Při prvním pokusu o přístup k prostředku Contoso, jako je řídicí panel Power BI, projdou procesem souhlasu, který pozvánku uplatní. Pokud souhlas nedokončí, nebudou mít přístup k žádnému obsahu společnosti Contoso. Pokud mají potíže s uplatněním pozvánky prostřednictvím původního odkazu, může správce Microsoft Entra znovu odeslat konkrétní odkaz na pozvánku, který může uplatnit.

Plánované sdílení položek

Společnost Contoso spolupracuje se subdodavatelem na analýzu spolehlivosti radiátorů. Subdodavatel má tým 10 lidí, kteří potřebují přístup k datům v prostředí Power BI společnosti Contoso. Správce Microsoft Entra společnosti Contoso je zapojen do pozvání všech uživatelů a zpracování jakýchkoli změn při změně subdodavatele. Správce Microsoft Entra vytvoří skupinu zabezpečení pro všechny zaměstnance subdodavatele. Pomocí skupiny zabezpečení můžou zaměstnanci společnosti Contoso snadno spravovat přístup k sestavám a zajistit, aby všichni pracovníci subdodavatele měli přístup ke všem požadovaným sestavám, řídicím panelům a aplikacím Power BI. Správce Microsoft Entra se také může zcela vyhnout zapojení do procesu pozvání tím, že se rozhodnete delegovat práva pozvání důvěryhodnému zaměstnanci společnosti Contoso nebo subdodavateli, aby se zajistilo včasné řízení pracovníků.

Některé organizace vyžadují větší kontrolu nad tím, kdy se přidávají externí uživatelé, zvou mnoho uživatelů v externí organizaci nebo mnoho externích organizací. V těchto případech lze plánované sdílení použít ke správě rozsahu sdílení, k vynucování zásad organizace a dokonce i k delegování práv důvěryhodným jednotlivcům, kteří chtějí pozvat a spravovat externí uživatele. Microsoft Entra B2B podporuje plánované pozvánky, které mají být odesílány přímo z webu Azure Portal správcem IT, nebo prostřednictvím PowerShellu pomocí rozhraní API správce pozvánek, kde je možné pozvat sadu uživatelů v jedné akci. Pomocí plánovaného přístupu k pozvání může organizace řídit, kdo může pozvat uživatele a implementovat schvalovací procesy. Pokročilé funkce Microsoft Entra, jako jsou dynamické skupiny, umožňují snadno udržovat členství ve skupinách zabezpečení automaticky.

1. Proces začíná správcem IT, který zve uživatele typu host buď ručně, nebo prostřednictvím rozhraní API poskytnutého ID Microsoft Entra.
2. Uživatel přijme pozvánku do organizace.
3. Jakmile uživatel pozvánku přijme, může uživatel v Power BI sdílet sestavu nebo řídicí panel s externím uživatelem nebo skupinu zabezpečení, ve které se nachází. Stejně jako při běžném sdílení v Power BI externí uživatel obdrží e-mail s odkazem na položku.
4. Když externí uživatel získá přístup k odkazu, předá se jeho ověřování v jeho adresáři ID Microsoft Entra společnosti Contoso a použije se k získání přístupu k obsahu Power BI.

Ad hoc nebo plánované sdílení aplikací Power BI

Společnost Contoso má sadu sestav a řídicích panelů, které potřebují sdílet s jedním nebo více dodavateli. Aby všichni požadovaná externí uživatelé měli k tomuto obsahu přístup, je zabalená jako aplikace Power BI. Externí uživatelé se buď přidají přímo do přístupového seznamu aplikace, nebo prostřednictvím skupin zabezpečení. Někdo ve společnosti Contoso pak pošle adresu URL aplikace všem externím uživatelům, například v e-mailu. Když externí uživatelé otevřou odkaz, uvidí veškerý obsah v jediném snadno procházetelném prostředí.

Použití aplikace Power BI usnadňuje společnosti Contoso vytvoření portálu BI pro své dodavatele. Jeden přístupový seznam řídí přístup ke všemu požadovanému obsahu, čímž se snižuje doba kontroly času a nastavení oprávnění na úrovni položky. Microsoft Entra B2B udržuje přístup k zabezpečení pomocí nativní identity dodavatele, takže uživatelé nepotřebují další přihlašovací údaje. Pokud používáte plánované pozvánky se skupinami zabezpečení, zjednoduší se správa přístupu k aplikaci při obměně pracovníků do projektu nebo mimo projekt. Členství ve skupinách zabezpečení ručně nebo pomocí dynamických skupin, aby se všichni externí uživatelé z dodavatele automaticky přidali do příslušné skupiny zabezpečení.

1. Proces začíná pozváním uživatele do organizace Microsoft Entra společnosti Contoso prostřednictvím webu Azure Portal nebo PowerShellu.
2. Uživatele lze přidat do skupiny uživatelů v MICROSOFT Entra ID. Můžete použít statickou nebo dynamickou skupinu uživatelů, ale dynamické skupiny pomáhají omezit ruční práci.
3. Externí uživatelé mají přístup k aplikaci Power BI prostřednictvím skupiny uživatelů. Adresa URL aplikace by měla být odeslána přímo externímu uživateli nebo umístěná na webu, ke kterým má přístup. Power BI se snaží poslat e-mail s odkazem na aplikaci externím uživatelům, ale když používáte skupiny uživatelů, jejichž členství se může změnit, Power BI nemůže posílat všem externím uživatelům spravovaným prostřednictvím skupin uživatelů.
4. Když externí uživatel přistupuje k adrese URL aplikace Power BI, ověří ho ID Microsoft Entra společnosti Contoso, aplikace se pro uživatele nainstaluje a uživatel uvidí všechny obsažené sestavy a řídicí panely v aplikaci.

Aplikace mají také jedinečnou funkci, která autorům aplikací umožňuje automaticky nainstalovat aplikaci pro uživatele, takže je dostupná, když se uživatel přihlásí. Tato funkce se nainstaluje automaticky jenom pro externí uživatele, kteří jsou již součástí organizace Společnosti Contoso v době publikování nebo aktualizace aplikace. Proto se nejlépe používá s plánovaným přístupem pozvánek a závisí na publikování nebo aktualizaci aplikace poté, co se uživatelé přidají do Microsoft Entra ID společnosti Contoso. Externí uživatelé můžou aplikaci kdykoli nainstalovat pomocí odkazu na aplikaci.

Komentování a přihlášení k odběru obsahu napříč organizacemi

Vzhledem k tomu, že společnost Contoso nadále spolupracuje se svými subdodavateli nebo dodavateli, externí technici musí úzce spolupracovat s analytiky společnosti Contoso. Power BI nabízí několik funkcí pro spolupráci, které uživatelům pomáhají komunikovat s obsahem, který můžou využívat. Komentování řídicího panelu (a brzy komentování sestav) umožňuje uživatelům diskutovat o datových bodech, které vidí, a komunikovat s autory sestav a klást otázky.

V současné době se externí uživatelé typu host můžou účastnit komentářů tím, že zanechají komentáře a čtou odpovědi. Na rozdíl od interních uživatelů ale uživatelé typu host nemůžou @mentioned dostávat oznámení, že dostali komentář. Uživatelé typu host můžou použít funkci předplatných v Power BI k přihlášení k odběru sestavy nebo řídicího panelu. Další informace najdete v odběrech e-mailu pro sestavy a řídicí panely v služba Power BI.

Přístup k obsahu v mobilních aplikacích Power BI

Když uživatel typu host otevře odkaz na sestavu nebo řídicí panel na svém mobilním zařízení, otevře se obsah v nativních mobilních aplikacích Power BI na svém zařízení, pokud je nainstalovaný. Uživatel typu host pak bude moct přecházet mezi obsahem sdíleným v externím tenantovi a zpět na vlastní obsah ze svého domovského tenanta. Další informace o přístupu k obsahu, který s vámi někdo sdílí z externí organizace prostřednictvím mobilních aplikací Power BI, najdete v tématu Zobrazení obsahu Power BI, který s vámi někdo sdílí z externí organizace.

Organizační vztahy pomocí Power BI a Microsoft Entra B2B

Pokud jsou všichni uživatelé Power BI interní pro organizaci, není nutné používat Microsoft Entra B2B. Jakmile ale dvě nebo více organizací chce spolupracovat na datech a přehledech, podpora Power BI pro Microsoft Entra B2B usnadňuje a nákladově efektivní práci.

Níže jsou obvykle zjištěny organizační struktury, které jsou vhodné pro spolupráci mezi organizacemi ve stylu Microsoft Entra B2B v Power BI. Microsoft Entra B2B funguje ve většině případů dobře, ale v některých situacích stojí za zvážení běžné alternativní přístupy popsané na konci tohoto dokumentu.

Případ 1: Přímá spolupráce mezi organizacemi

Vztah společnosti Contoso se svým dodavatelem radiátoru je příkladem přímé spolupráce mezi organizacemi. Vzhledem k tomu, že společnost Contoso a její dodavatel potřebují přístup k informacím o spolehlivosti radiátorů, je ideální použít externí sdílení založené na Microsoft Entra B2B. Je snadné ji používat a jednoduše spravovat. To je také běžný vzor v konzultačních službách, kde konzultant může potřebovat vytvořit obsah pro organizaci.

Obvykle k tomuto sdílení dochází zpočátku pomocí ad hoc sdílení položek. S růstem týmů nebo vztahy se však stává upřednostňovanou metodou, jak snížit režijní náklady na správu. Ad hoc nebo plánované sdílení aplikací Power BI, komentování a přihlášení k odběru obsahu v organizacích může být také přístup k obsahu v mobilních aplikacích. Důležité je, že pokud uživatelé obou organizací mají v příslušných organizacích licence Power BI Pro, můžou tyto licence Pro používat v prostředíCh Power BI. To poskytuje výhodné licencování, protože zvaná organizace nemusí platit za licenci Power BI Pro externím uživatelům. Toto je podrobněji popsáno v části Licencování dále v tomto dokumentu.

Případ 2: Nadřazená společnost a její pobočky nebo pobočky

Některé organizační struktury jsou složitější, včetně částečně nebo zcela vlastněných poboček, přidružených společností nebo vztahů poskytovatelů spravovaných služeb. Tyto organizace mají nadřazenou organizaci, například holdingovou společnost, ale základní organizace fungují samostatně, někdy v různých regionálních požadavcích. To vede k tomu, že každá organizace má vlastní prostředí Microsoft Entra a samostatné tenanty Power BI.

V této struktuře je obvykle potřeba, aby nadřazená organizace distribuovala standardizované přehledy do svých poboček. K tomuto sdílení obvykle dochází pomocí ad hoc nebo plánovaného sdílení přístupu Power BI Apps, jak je znázorněno na následujícím obrázku, protože umožňuje distribuci standardizovaného autoritativního obsahu pro široké cílové skupiny. V praxi se používá kombinace všech scénářů uvedených výše v tomto dokumentu.

To se řídí následujícím procesem:

1. Uživatelé z každé pobočky jsou pozváni na ID Microsoft Entra společnosti Contoso.
2. Aplikace Power BI se pak publikuje, aby těmto uživatelům poskytla přístup k požadovaným datům.
3. Nakonec uživatelé aplikaci otevřou prostřednictvím odkazu, který jim byl udělen, aby si zobrazili sestavy.

Organizace v této struktuře čelí několika důležitým výzvám:

• Distribuce odkazů na obsah v Power BI nadřazené organizace
• Jak povolit podřízeným uživatelům přístup ke zdroji dat hostovaným nadřazenou organizací

Distribuce odkazů na obsah v Power BI nadřazené organizace

Tři přístupy se běžně používají k distribuci odkazů na obsah. První a nejzásadnější je poslat odkaz na aplikaci požadovaným uživatelům nebo ho umístit na web SharePointu Online, ze kterého se dá otevřít. Uživatelé pak můžou odkaz v prohlížečích označit záložkou, aby měli rychlejší přístup k datům, která potřebují.

Druhým přístupem je místo, kde nadřazená organizace umožňuje uživatelům z poboček přístup ke službě Power BI a řídí, že mají přístup prostřednictvím oprávnění. Tím získáte přístup k Domovská stránka Power BI, kde uživatel z pobočky uvidí úplný seznam obsahu, který s ním sdílí v tenantovi nadřazené organizace. Pak se uživatelům na pobočkách přidělí adresa URL prostředí Power BI nadřazené organizace.

Konečný přístup používá aplikaci Power BI vytvořenou v rámci tenanta Power BI pro každou pobočku. Aplikace Power BI obsahuje řídicí panel s dlaždicemi nakonfigurovanými s možností externího odkazu. Když uživatel stiskne dlaždici, přejde do příslušné sestavy, řídicího panelu nebo aplikace v Power BI nadřazené organizace. Tento přístup má přidanou výhodu, že aplikaci je možné nainstalovat automaticky pro všechny uživatele v pobočce a je jim k dispozici, kdykoli se přihlásí ke svému vlastnímu prostředí Power BI. Další výhodou tohoto přístupu je, že funguje dobře s mobilními aplikacemi Power BI, které můžou odkaz otevřít nativně. Můžete to také zkombinovat s druhým přístupem, abyste usnadnili přepínání mezi prostředími Power BI.

Povolení přístupu ke zdrojům dat hostovaným nadřazenou organizací podřízeným uživatelům

Analytici v pobočce často potřebují vytvářet vlastní analýzy pomocí dat poskytovaných nadřazenou organizací. V tomto případě se k řešení problému používají běžně cloudové zdroje dat.

První přístup používá Azure Analysis Services k vytvoření datového skladu na podnikové úrovni, který slouží potřebám analytiků v rámci nadřazené firmy a jejích poboček, jak je znázorněno na následujícím obrázku. Společnost Contoso může hostovat data a používat funkce, jako je zabezpečení na úrovni řádků, aby uživatelé v každé pobočce měli přístup jenom ke svým datům. Analytici v každé organizaci mají přístup k datovému skladu prostřednictvím Power BI Desktopu a publikují výsledné analýzy do příslušných tenantů Power BI.

Druhý přístup používá Azure SQL Database k vytvoření relačního datového skladu, který poskytuje přístup k datům. To funguje podobně jako přístup azure Analysis Services, i když některé funkce, jako je zabezpečení na úrovni řádků, můžou být obtížnější nasazovat a udržovat napříč pobočkami.

Složitější přístupy jsou také možné, ale výše uvedené jsou zdaleka nejběžnější.

Případ 3: Sdílené prostředí napříč partnery

Společnost Contoso může vstoupit do partnerství s konkurentem, aby společně vytvořila auto na sdílené montážní lince, ale distribuuje vozidlo pod různými značkami nebo v různých oblastech. To vyžaduje rozsáhlou spolupráci a spoluvlastnictví dat, inteligentních funkcí a analýz napříč organizacemi. Tato struktura je také společná v odvětví konzultačních služeb, kde tým konzultantů může provádět projektové analýzy pro klienta.

V praxi jsou tyto struktury složité, jak je znázorněno na následujícím obrázku, a vyžadují údržbu zaměstnanců. Aby to bylo efektivní, mohou organizace opakovaně používat licence Power BI Pro zakoupené pro příslušné tenanty Power BI.

Pokud chcete vytvořit sdíleného tenanta Power BI, je potřeba vytvořit ID Microsoft Entra a pro uživatele v daném tenantovi musí být zakoupen alespoň jeden uživatelský účet Power BI Pro. Tento uživatel pozve požadované uživatele do sdílené organizace. V tomto scénáři se uživatelé společnosti Contoso považují za externí uživatele, kteří pracují v Power BI sdílené organizace.

Proces je následující:

1. Sdílená organizace se vytvoří jako nové ID Microsoft Entra a v novém tenantovi se vytvoří aspoň jeden uživatelský účet. Tento uživatel by měl mít přiřazenou licenci Power BI Pro.
2. Tento uživatel pak vytvoří tenanta Power BI a pozve požadované uživatele ze společnosti Contoso a partnerské organizace. Uživatel také vytvoří všechny sdílené datové prostředky, jako je Azure Analysis Services. Uživatelé Společnosti Contoso a partnera mají přístup k Power BI sdílené organizace jako uživatelé typu host. Obvykle jsou všechny sdílené prostředky uložené a přístupné ze sdílené organizace.
3. V závislosti na tom, jak strany souhlasí, aby spolupracovaly, je možné, aby každá organizace vypracovala vlastní proprietární data a analýzy pomocí sdílených prostředků datového skladu. Tyto uživatele můžou distribuovat svým interním uživatelům pomocí svých interních tenantů Power BI.

Případ 4: Distribuce do stovek nebo tisíců externích partnerů

Zatímco Společnost Contoso vytvořila sestavu spolehlivosti radiátorů pro jednoho dodavatele, společnost Contoso teď chce vytvořit sadu standardizovaných sestav pro stovky dodavatelů. To společnosti Contoso umožňuje zajistit, aby všichni dodavatelé měli analýzu, kterou potřebují k vylepšování nebo opravě výrobních vad.

Když organizace potřebuje distribuovat standardizovaná data a přehledy mnoha externím uživatelům nebo organizacím, můžou pomocí ad hoc nebo plánovaného sdílení scénáře Power BI Apps rychle a bez rozsáhlých nákladů na vývoj vytvořit portál BI. Postup vytvoření takového portálu pomocí aplikace Power BI je popsaný v případové studii: Vytvoření portálu BI pomocí Power BI + Microsoft Entra B2B – podrobné pokyny dále v tomto dokumentu.

Běžnou variantou tohoto případu je, když se organizace pokouší sdílet přehledy se spotřebiteli, zejména při hledání azure Active Directory B2C s Power BI. Power BI nativně nepodporuje Azure Active Directory B2C. Pokud v tomto případě vyhodnocujete možnosti, zvažte použití alternativní možnosti 2 v části Běžné alternativní přístupy v další části tohoto dokumentu.

Případová studie: Vytvoření portálu BI pomocí Power BI + Microsoft Entra B2B – podrobné pokyny

Integrace Power BI s Microsoft Entra B2B poskytuje společnosti Contoso bezproblémový a bezproblémový způsob, jak uživatelům typu host poskytnout zabezpečený přístup k portálu BI. Společnost Contoso ji může nastavit třemi kroky:

1. Vytvoření portálu BI v Power BI

   Prvním úkolem společnosti Contoso je vytvoření portálu BI v Power BI. Portál BI společnosti Contoso se skládá z kolekce účelově vytvořených řídicích panelů a sestav, které budou zpřístupněny mnoha interním uživatelům a uživatelům typu host. Doporučeným způsobem, jak to udělat v Power BI, je vytvořit aplikaci Power BI. Přečtěte si další informace o aplikacích v Power BI.

• Tým BI společnosti Contoso vytvoří pracovní prostor v Power BI.

  

• Do pracovního prostoru se přidají další autoři.

  

• Obsah se vytvoří v pracovním prostoru.

  

  Teď, když je obsah vytvořený v pracovním prostoru, společnost Contoso je připravena pozvat uživatele typu host v partnerských organizacích, aby tento obsah mohli využívat.

2. Pozvat uživatele typu host

   Contoso může pozvat uživatele typu host na portál BI v Power BI dvěma způsoby:

   • Plánované pozvánky
   • Ad hoc pozvánky

   Plánované pozvánky

   V tomto přístupu společnost Contoso pozve uživatele typu host na microsoft Entra předem a pak jim distribuuje obsah Power BI. Contoso může pozvat uživatele typu host z webu Azure Portal nebo pomocí PowerShellu. Tady je postup, jak pozvat uživatele typu host z webu Azure Portal:

   • Správce Microsoft Entra společnosti Contoso přejde na web Azure Portal>Microsoft Entra ID>Users>Všichni uživatelé>Nový uživatel typu host

   

   • Přidání zprávy s pozvánkou pro uživatele typu host a výběr možnosti Pozvat

   

   Poznámka:

   Pokud chcete pozvat uživatele typu host z webu Azure Portal, potřebujete správce Microsoft Entra pro vašeho tenanta.

   Pokud chce Contoso pozvat mnoho uživatelů typu host, může to udělat pomocí PowerShellu. Správce Microsoft Entra společnosti Contoso ukládá e-mailové adresy všech uživatelů typu host do souboru CSV. Tady jsou ukázky a pokyny pro spolupráci Microsoft Entra B2B a PowerShell .

   Po pozvánce dostanou uživatelé typu host e-mail s odkazem na pozvánku.

   

   Jakmile uživatelé typu host vyberou odkaz, budou mít přístup k obsahu v tenantovi Microsoft Entra společnosti Contoso.

   Poznámka:

   Rozložení e-mailu s pozvánkou je možné změnit pomocí funkce brandingu Microsoft Entra ID, jak je popsáno zde.

   Ad hoc pozvánky

   Co když Contoso neví všechny uživatele typu host, které chce pozvat předem? Nebo co když analytik ve společnosti Contoso, který vytvořil portál BI, chce distribuovat obsah uživatelům typu host sám? Tento scénář také podporujeme v Power BI s ad hoc pozvánkami.

   Analytik může jenom přidat externí uživatele do přístupového seznamu aplikace, když ji publikují. Uživatelé typu host dostanou pozvánku a jakmile ji přijmou, budou automaticky přesměrováni na obsah Power BI.

   

   Poznámka:

   Pozvánky jsou potřeba jenom při prvním pozvání externího uživatele do vaší organizace.

3. Distribuce obsahu

   Teď, když tým BI společnosti Contoso vytvořil portál BI a pozval uživatele typu host, může distribuovat svůj portál koncovým uživatelům tím, že uživatelům typu host udělí přístup k aplikaci a publikuje ji. Power BI automaticky dokončuje jména uživatelů typu host, kteří byli dříve přidáni do tenanta Contoso. V tuto chvíli je možné přidat také adhocové pozvánky jiným uživatelům typu host.

   Poznámka:

   Pokud ke správě přístupu k aplikaci externím uživatelům používáte skupiny zabezpečení, použijte přístup Plánované pozvánky a sdílejte odkaz aplikace přímo s každým externím uživatelem, který k ní musí přistupovat. Jinak externí uživatel pravděpodobně nebude moct instalovat ani zobrazovat obsah z app._

   Uživatelé typu host dostanou e-mail s odkazem na aplikaci.

   

   Po kliknutí na tento odkaz se uživatelům typu host zobrazí výzva k ověření pomocí vlastní identity organizace.

   

   Po úspěšném ověření se přesměrují do aplikace BI společnosti Contoso.

   

   Uživatelé typu host se později dostanou do aplikace Společnosti Contoso kliknutím na odkaz v e-mailu nebo záložkou odkazu. Contoso také může uživatelům typu host usnadnit přidání tohoto odkazu na stávající portál extranetu, který už uživatelé typu host používají.

4. Další kroky

   Pomocí aplikace Power BI a Microsoft Entra B2B společnost Contoso dokázala rychle vytvořit portál BI pro dodavatele bez kódu. To výrazně zjednodušilo distribuci standardizovaných analýz všem dodavatelům, kteří ji potřebovali.

   I když příklad ukázal, jak může být jedna společná sestava distribuována mezi dodavatele, může Power BI mnohem více pokračovat. Aby se zajistilo, že každý partner vidí jenom data relevantní pro sebe, můžete do sestavy a datového modelu snadno přidat zabezpečení na úrovni řádků. Část Zabezpečení dat pro externí partnery dále v tomto dokumentu popisuje tento proces podrobně.

   Jednotlivé sestavy a řídicí panely se často musí vkládat do existujícího portálu. Toho lze dosáhnout také opětovným použitím mnoha technik zobrazených v příkladu. V takových situacích ale může být jednodušší vkládat sestavy nebo řídicí panely přímo z pracovního prostoru. Proces pozvání a přiřazení oprávnění zabezpečení požadovaným uživatelům zůstane stejný.

Pod pokličkou: Jak má Lucy od Dodavatele1 přístup k obsahu Power BI z tenanta Contosa?

Teď, když jsme viděli, jak contoso dokáže bezproblémově distribuovat obsah Power BI uživatelům typu host v partnerských organizacích, podívejme se, jak to funguje pod kapotou.

Když společnost Contoso pozvala lucy@supplier1.com do svého adresáře, vytvoří ID Microsoft Entra propojení mezi Lucy@supplier1.com tenantem Microsoft Entra společnosti Contoso. Tento odkaz umožňuje microsoftu Entra ID vědět, že Lucy@supplier1.com má přístup k obsahu v tenantovi Contoso.

Když se Lucy pokusí získat přístup k aplikaci Power BI contosa, Microsoft Entra ID ověří, že Lucy má přístup k tenantovi Contoso, a pak poskytne Power BI token, který označuje, že Lucy je ověřený pro přístup k obsahu v tenantovi Contoso. Power BI tento token používá k autorizaci a zajištění přístupu Lucy k aplikaci Power BI společnosti Contoso.

Integrace Power BI s Microsoft Entra B2B funguje se všemi obchodními e-mailovými adresami. Pokud uživatel nemá identitu Microsoft Entra, může se zobrazit výzva k jeho vytvoření. Na následujícím obrázku je podrobný tok:

Je důležité si uvědomit, že účet Microsoft Entra se použije nebo vytvoří v ID Microsoft Entra externí strany, což lucy umožní používat vlastní uživatelské jméno a heslo a jejich přihlašovací údaje automaticky přestanou fungovat v jiných tenantech, kdykoli Lucy opustí společnost, když jejich organizace také používá ID Microsoft Entra.

Licencování

Společnost Contoso si může vybrat jeden ze tří přístupů k licencování uživatelů typu host od dodavatelů a partnerských organizací, aby měla přístup k obsahu Power BI.

Poznámka:

Bezplatná úroveň Microsoft Entra B2B stačí k používání Power BI s Microsoft Entra B2B. Některé pokročilé funkce Microsoft Entra B2B, jako jsou dynamické skupiny, vyžadují další licencování. Další informace naleznete v dokumentaci k Microsoft Entra B2B.

Přístup 1: Contoso používá Power BI Premium

Díky tomuto přístupu společnost Contoso zakoupí kapacitu Power BI Premium a přiřadí k této kapacitě obsah portálu BI. To umožňuje uživatelům typu host z partnerských organizací přístup k aplikaci Power BI společnosti Contoso bez jakékoli licence Power BI.

Externí uživatelé se také můžou při využívání obsahu v Power BI Premium řídit jenom prostředím nabízeným uživatelům bezplatné verze Power BI.

Společnost Contoso může také využívat další prémiové funkce Power BI pro své aplikace, jako jsou vyšší frekvence aktualizace, kapacita a velké velikosti modelů.

Přístup 2: Contoso přiřadí uživatelům typu host licence Power BI Pro.

Díky tomuto přístupu společnost Contoso přiřadí uživatelům typu host licence typu host z partnerských organizací – to je možné provést z Centrum pro správu Microsoftu 365 společnosti Contoso. To umožňuje uživatelům typu host z partnerských organizací přístup k aplikaci Power BI společnosti Contoso bez nutnosti zakoupit si licenci sami. To může být vhodné pro sdílení s externími uživateli, jejichž organizace ještě Power BI nepřijala.

Poznámka:

Licence Contoso pro profesionály se vztahuje jenom na uživatele typu host, pokud přistupují k obsahu v tenantovi Contoso. Licence Pro umožňují přístup k obsahu, který není v kapacitě Power BI Premium.

Přístup 3: Uživatelé typu host přinesou vlastní licenci Power BI Pro

Díky tomuto přístupu přiřadí Dodavatel 1 lucy licenci Power BI Pro. Pak můžou získat přístup k aplikaci Power BI společnosti Contoso s touto licencí. Vzhledem k tomu, že Lucy může při přístupu k externímu prostředí Power BI používat svoji licenci Pro z vlastní organizace, tento přístup se někdy označuje jako přineste si vlastní licenci (BYOL). Pokud obě organizace používají Power BI, nabízí to výhodné licencování pro celkové analytické řešení a minimalizuje režii při přiřazování licencí externím uživatelům.

Poznámka:

Licence Pro udělená Lucy podle dodavatele 1 se vztahuje na libovolného tenanta Power BI, kde Lucy je uživatel typu host. Licence Pro umožňují přístup k obsahu, který není v kapacitě Power BI Premium.

Zabezpečení dat pro externí partnery

Při práci s několika externími dodavateli musí společnost Contoso zajistit, aby každý dodavatel viděl data jenom o svých vlastních produktech. Zabezpečení na základě uživatelů a dynamické zabezpečení na úrovni řádků usnadňuje to s Power BI.

Zabezpečení na základě uživatelů

Jednou z nejvýkonnějších funkcí Power BI je zabezpečení na úrovni řádků. Tato funkce umožňuje společnosti Contoso vytvořit jednu sestavu a sémantický model (dříve označovaný jako datová sada), ale stále platí jiná pravidla zabezpečení pro každého uživatele. Podrobné vysvětlení najdete v tématu Zabezpečení na úrovni řádků (RLS).

Integrace Power BI s Microsoft Entra B2B umožňuje společnosti Contoso přiřadit pravidla zabezpečení na úrovni řádků uživatelům typu host, jakmile budou pozváni do tenanta Contoso. Jak jsme viděli dříve, společnost Contoso může přidávat uživatele typu host prostřednictvím plánovaných nebo ad hoc pozvánek. Pokud chce Contoso vynutit zabezpečení na úrovni řádků, důrazně doporučujeme před sdílením obsahu použít plánované pozvánky k přidání uživatelů typu host a jejich přiřazení k rolím zabezpečení. Pokud společnost Contoso místo toho používá ad hoc pozvánky, může existovat krátká doba, kdy uživatelé typu host nebudou moct zobrazit žádná data.

Poznámka:

Tato prodleva při přístupu k datům chráněným zabezpečením na úrovni řádků (RLS) při použití jednorázových pozvánek může vést k žádostem o podporu týmu IT, protože uživatelé při otevírání odkazu ke sdílení v přijatém e-mailu uvidí prázdné nebo poškozené sestavy nebo řídicí panely. Proto důrazně doporučujeme v tomto scénáři používat plánované pozvánky.

Pojďme si to projít příkladem.

Jak už bylo zmíněno dříve, společnost Contoso má dodavatele po celém světě a chce zajistit, aby uživatelé ze svých dodavatelů získali přehledy z dat jen z jejich území. Uživatelé z Contosa ale mají přístup ke všem datům. Místo vytváření několika různých sestav společnost Contoso vytvoří jednu sestavu a vyfiltruje data na základě uživatele, který je zobrazuje.

Aby společnost Contoso vyfiltruje data podle toho, kdo se připojuje, vytvoří se v Power BI Desktopu dvě role. Jeden pro filtrování všech dat z SalesTerritory "Europe" a další pro "Severní Amerika".

Kdykoli jsou role definované v sestavě, musí být uživatel přiřazen ke konkrétní roli, aby získal přístup k jakýmkoli datům. Přiřazení rolí probíhá uvnitř služba Power BI (Zabezpečení sémantických modelů>).

Otevře se stránka, kde tým BI contosa uvidí dvě role, které vytvořil. Teď může tým BI společnosti Contoso přiřadit uživatele k rolím.

V příkladu Contoso přidává uživatele v partnerské organizaci s e-mailovou adresou admin@fabrikam.com do role Evropa:

Když se tento problém vyřeší pomocí ID Microsoft Entra, contoso uvidí název, který se zobrazí v okně připraveném k přidání:

Když teď tento uživatel otevře aplikaci, kterou s nimi někdo sdílel, uvidí jenom sestavu s daty z Evropy:

Dynamické zabezpečení na úrovni řádků

Dalším zajímavým tématem je zjistit, jak dynamické zabezpečení na úrovni řádků (RLS) funguje s Microsoft Entra B2B.

Stručně řečeno, dynamické zabezpečení na úrovni řádků funguje filtrováním dat v modelu na základě uživatelského jména osoby, která se připojuje k Power BI. Místo přidání více rolí pro skupiny uživatelů definujete uživatele v modelu. V tomto příkladu nebudeme podrobně popisovat vzor. Kasper de Jong nabízí podrobný zápis o všech příchuti zabezpečení na úrovni řádků v Power BI Desktopu Dynamické bezpečnostní taháky a v tomto dokumentu white paper .

Podívejme se na malý příklad – Contoso má jednoduchou sestavu o prodeji podle skupin:

Teď je potřeba tuto sestavu sdílet se dvěma uživateli typu host a interním uživatelem – interní uživatel vidí všechno, ale uživatelé typu host vidí jenom skupiny, ke kterým mají přístup. To znamená, že data musíme filtrovat jenom pro uživatele typu host. Aby společnost Contoso data vyfiltrovala odpovídajícím způsobem, použije vzor dynamického zabezpečení na úrovni řádků, jak je popsáno v dokumentu white paper a blogovém příspěvku. To znamená, že Společnost Contoso přidá uživatelská jména do samotných dat:

Společnost Contoso pak vytvoří správný datový model, který data odpovídajícím způsobem filtruje se správnými relacemi:

Aby společnost Contoso data automaticky vyfiltrovala podle toho, kdo je přihlášený, musí vytvořit roli, která předává uživatele, který se připojuje. V tomto případě společnost Contoso vytvoří dvě role – první je role "securityrole", která filtruje tabulku Users s aktuálním uživatelským jménem přihlášeného uživatele k Power BI (to funguje i pro uživatele typu host Microsoft Entra B2B).

Contoso také vytvoří další roli AllRole pro interní uživatele, kteří vidí všechno – tato role nemá žádný predikát zabezpečení.

Po nahrání souboru Power BI Desktopu do služby může Společnost Contoso přiřadit uživatele typu host k roli SecurityRole a interním uživatelům do role AllRole.

Když teď uživatelé typu host sestavu otevřou, uvidí jenom prodeje ze skupiny A:

V matici napravo uvidíte výsledek funkce USERNAME() a USERPRINCIPALNAME() jak vrátit e-mailovou adresu uživatelů typu host.

Teď se interní uživatel dostane k zobrazení všech dat:

Jak vidíte, dynamické zabezpečení na úrovni řádků funguje s interními uživateli i uživateli typu host.

Poznámka:

Tento scénář funguje také při použití modelu ve službě Azure Analysis Services. Služba Azure Analysis Service je obvykle připojená ke stejnému ID Microsoft Entra jako vaše Power BI – v takovém případě služba Azure Analysis Services také zná uživatele typu host pozvané prostřednictvím Microsoft Entra B2B.

Připojení do místních zdrojů dat

Power BI nabízí společnosti Contoso možnost používat místní zdroje dat, jako je Služba Analysis Services serveru SQL nebo SQL Server, přímo díky místní bráně dat. Je dokonce možné se k těmto zdrojům dat přihlásit se stejnými přihlašovacími údaji jako v Power BI.

Poznámka:

Při instalaci brány pro připojení k tenantovi Power BI musíte použít uživatele vytvořeného v rámci tenanta. Externí uživatelé nemůžou nainstalovat bránu a připojit ji k tenant._

U externích uživatelů to může být složitější, protože externí uživatelé obvykle nejsou v místní službě AD známí. Power BI nabízí alternativní řešení tím, že správcům společnosti Contoso umožní namapovat externí uživatelská jména na interní uživatelská jména, jak je popsáno ve správě zdroje dat – Analysis Services. Můžete například lucy@supplier1.com namapovat na lucy_supplier1_com#EXT@contoso.com.

Tato metoda je v pořádku, pokud contoso má jenom několik uživatelů nebo pokud contoso může namapovat všechny externí uživatele na jeden interní účet. V případě složitějších scénářů, kdy každý uživatel potřebuje vlastní přihlašovací údaje, existuje pokročilejší přístup, který k mapování používá vlastní atributy AD, jak je popsáno ve správě zdroje dat – Analysis Services. To by správci společnosti Contoso umožnilo definovat mapování pro každého uživatele ve vašem ID Microsoft Entra (také externí uživatele B2B). Tyto atributy je možné nastavit prostřednictvím objektového modelu AD pomocí skriptů nebo kódu, aby společnost Contoso mohla plně automatizovat mapování při pozvání nebo v naplánovaném tempu.

Řízení

Další nastavení ID Microsoft Entra, která ovlivňují prostředí v Power BI související s Microsoft Entra B2B

Při používání sdílení Microsoft Entra B2B řídí správce Microsoft Entra aspekty prostředí externího uživatele. Ty jsou řízeny na stránce nastavení externí spolupráce v nastavení Microsoft Entra ID pro vašeho tenanta.

Další informace najdete v článku Konfigurace nastavení externí spolupráce.

Poznámka:

Ve výchozím nastavení jsou oprávnění uživatelé typu host omezena na ano, takže uživatelé typu host v Power BI mají omezené prostředí, zejména obklopují sdílení, kde uživatelé s uživatelskými rozhraními pro výběr uživatelů nefungují. Je důležité spolupracovat se správcem Microsoft Entra a nastavit ho na Ne, jak je znázorněno níže, abyste zajistili dobré prostředí.

Řízení pozvánek hostů

Správci Power BI můžou řídit externí sdílení jenom pro Power BI na portálu pro správu Power BI. Správci ale můžou také řídit externí sdílení s různými zásadami Microsoft Entra. Tyto zásady umožňují správcům:

• Vypnutí pozvánek koncovými uživateli
• Pozvat můžou jenom správci a uživatelé v roli Pozvat hosta.
• Správa, roli Pozvat hosta a členové můžou pozvat
• Všichni uživatelé, včetně hostů, můžou pozvat

Další informace o těchto zásadách najdete v pozvánkách delegátů pro spolupráci Microsoft Entra B2B.

Všechny akce Power BI externích uživatelů se také auditují na našem portálu auditování.

Zásady podmíněného přístupu pro uživatele typu host

Společnost Contoso může vynutit zásady podmíněného přístupu pro uživatele typu host, kteří přistupují k obsahu z tenanta Contoso. Podrobné pokyny najdete v tématu Podmíněný přístup pro uživatele spolupráce B2B.

Běžné alternativní přístupy

I když Microsoft Entra B2B usnadňuje sdílení dat a sestav napříč organizacemi, existuje několik dalších přístupů, které se běžně používají a v některých případech mohou být nadřízené.

Alternativní možnost 1: Vytvoření duplicitních identit pro uživatele partnera

S touto možností společnost Contoso musela ručně vytvořit duplicitní identity pro každého partnerského uživatele v tenantovi Contoso, jak je znázorněno na následujícím obrázku. Společnost Contoso pak může v Power BI sdílet přiřazené identity s příslušnými sestavami, řídicími panely nebo aplikacemi.

Důvody k výběru této alternativy:

• Vzhledem k tomu, že identitu uživatele řídí vaše organizace, všechny související služby, jako je e-mail, SharePoint atd., jsou také pod kontrolou vaší organizace. It Správa istrátory můžou resetovat hesla, zakázat přístup k účtům nebo auditovat aktivity v těchto službách.
• Uživatelé, kteří používají osobní účty pro svou firmu, mají často omezený přístup k určitým službám, takže můžou potřebovat účet organizace.
• Některé služby fungují jenom u uživatelů vaší organizace. Například použití Intune ke správě obsahu na osobních nebo mobilních zařízeních externích uživatelů pomocí Microsoft Entra B2B nemusí být možné.

Důvody, proč si vybrat tuto alternativu:

• Uživatelé z partnerských organizací si musí pamatovat dvě sady přihlašovacích údajů – jednu pro přístup k obsahu z vlastní organizace a druhé pro přístup k obsahu ze společnosti Contoso. Toto je pro tyto uživatele typu host velmi složité a mnoho uživatelů typu host je v tomto prostředí zmatené.
• Společnost Contoso musí těmto uživatelům koupit a přiřadit licence pro jednotlivé uživatele. Pokud uživatel potřebuje dostávat e-maily nebo používat aplikace Office, potřebují příslušné licence, včetně Power BI Pro k úpravám a sdílení obsahu v Power BI.
• Společnost Contoso může chtít vynutit přísnější zásady autorizace a zásad správného řízení pro externí uživatele v porovnání s interními uživateli. Aby toho společnost Contoso dosáhla, musí vytvořit interní terminologii pro externí uživatele a všichni uživatelé společnosti Contoso musí být poučeni o této terminologii.
• Když uživatel odejde ze své organizace, bude mít dál přístup k prostředkům společnosti Contoso, dokud správce Společnosti Contoso ručně neodstraní svůj účet.
• Správci společnosti Contoso musí spravovat identitu hosta, včetně vytvoření, resetování hesla atd.

Alternativní možnost 2: Vytvoření vlastní aplikace Power BI Embedded pomocí vlastního ověřování

Další možností pro Contoso je vytvořit vlastní vloženou aplikaci Power BI s vlastním ověřováním (aplikace vlastní data). I když mnoho organizací nemá čas ani prostředky k vytvoření vlastní aplikace pro distribuci obsahu Power BI externím partnerům, pro některé organizace je to nejlepší přístup a zaslouží si vážné zvážení.

Organizace mají často existující partnerské portály, které centralizovaný přístup ke všem prostředkům organizace pro partnery, poskytují izolaci od interních prostředků organizace a poskytují zjednodušené prostředí pro partnery, aby podporovali mnoho partnerů a jejich individuálních uživatelů.

V předchozím příkladu se uživatelé z každého dodavatele přihlašují k Partnerskému portálu společnosti Contoso, který jako zprostředkovatele identity používá ID Microsoft Entra. Může používat Microsoft Entra B2B, Azure Active Directory B2C, nativní identity nebo federaci s libovolným počtem dalších zprostředkovatelů identity. Uživatel by se přihlásil a přistupoval k sestavení partnerského portálu pomocí webové aplikace Azure nebo podobné infrastruktury.

V rámci webové aplikace se sestavy Power BI vkládají z nasazení Power BI Embedded. Webová aplikace by zjednodušila přístup k sestavám a všem souvisejícím službám v soudržných prostředích, jejichž cílem je usnadnit dodavatelům interakci se společností Contoso. Toto prostředí portálu by bylo izolované od interního ID Microsoft Entra SPOLEČNOSTI Contoso a interního prostředí Power BI společnosti Contoso, aby se zajistilo, že dodavatelé nebudou mít k těmto prostředkům přístup. Data by se obvykle ukládaly do samostatného datového skladu partnera, aby se zajistila také izolace dat. Tato izolace má výhody, protože omezuje počet externích uživatelů s přímým přístupem k datům vaší organizace, omezení toho, jaká data by mohla být potenciálně dostupná externímu uživateli, a omezení náhodného sdílení s externími uživateli.

Pomocí Power BI Embedded může portál využívat výhodné licencování, pomocí tokenu aplikace nebo hlavního uživatele a kapacity Premium zakoupené v modelu Azure, což zjednodušuje přiřazování licencí koncovým uživatelům a může vertikálně navýšit nebo snížit kapacitu na základě očekávaného využití. Portál může nabídnout celkově vyšší kvalitu a konzistentní prostředí, protože partneři mají přístup k jednomu portálu navrženému se všemi potřebami partnera. Vzhledem k tomu, že řešení založená na Power BI Embedded jsou obvykle navržená tak, aby byla víceklientský, usnadňuje zajištění izolace mezi partnerskými organizacemi.

Důvody k výběru této alternativy:

• Snadnější správa s rostoucím počtem partnerských organizací. Vzhledem k tomu, že partneři jsou přidáni do samostatného adresáře izolovaného od interního adresáře Microsoft Entra společnosti Contoso, zjednodušuje povinnosti zásad správného řízení IT a pomáhá zabránit náhodnému sdílení interních dat externím uživatelům.
• Typické partnerské portály jsou vysoce značkové prostředí s konzistentními prostředími napříč partnery a zjednodušují se tak, aby splňovaly potřeby typických partnerů. Společnost Contoso proto může partnerům nabídnout lepší celkové prostředí díky integraci všech požadovaných služeb do jednoho portálu.
• Náklady na licencování pro pokročilé scénáře, jako je úprava obsahu v Power BI Embedded, se vztahují na Azure zakoupené Power BI Premium a nevyžadují přiřazení licencí Power BI Pro těmto uživatelům.
• Poskytuje lepší izolaci mezi partnery, pokud je navržena jako řešení s více tenanty.
• Portál partnerů často obsahuje další nástroje pro partnery mimo sestavy, řídicí panely a aplikace Power BI.

Důvody, proč si vybrat tuto alternativu:

• K vytváření, provozu a údržbě takového portálu je potřeba značné úsilí, což představuje významnou investici do prostředků a času.
• Doba potřebná k řešení je mnohem delší než použití sdílení B2B, protože je vyžadováno pečlivé plánování a spouštění napříč několika pracovními proudy.
• Pokud existuje menší počet partnerů, úsilí potřebné pro tuto alternativu je pravděpodobně příliš vysoké, aby bylo možné odůvodnit.
• Spolupráce s ad hoc sdílením je primární scénář, kterému vaše organizace čelí.
• Sestavy a řídicí panely se pro každého partnera liší. Tato alternativa představuje režii správy nad rámec přímého sdílení s partnery.

Často kladené dotazy

Může Společnost Contoso poslat pozvánku, která se automaticky uplatní, aby byl uživatel právě připravený k přechodu? Nebo musí uživatel vždy kliknout na adresu URL uplatnění?

Koncový uživatel musí vždy kliknout na prostředí souhlasu, aby měl přístup k obsahu.

Pokud budete zvát mnoho uživatelů typu host, doporučujeme, abyste ho delegoval od základních správců Microsoft Entra přidáním uživatele do role pozvaný host v organizaci prostředků. Tento uživatel může pozvat další uživatele v partnerské organizaci pomocí přihlašovacího uživatelského rozhraní, skriptů PowerShellu nebo rozhraní API. Tím se sníží administrativní zátěž správců Microsoft Entra, kteří chtějí pozvat nebo znovu pozvat uživatele v partnerské organizaci.

Může společnost Contoso vynutit vícefaktorové ověřování pro uživatele typu host, pokud její partneři nemají vícefaktorové ověřování?

Ano. Další informace najdete v tématu Podmíněný přístup pro uživatele spolupráce B2B.

Jak spolupráce B2B funguje, když pozvaný partner používá federaci k přidání vlastního místního ověřování?

Pokud má partner tenanta Microsoft Entra, který je federovaný s místní infrastrukturou ověřování, místní jednotné přihlašování (SSO) se automaticky dosáhne. Pokud partner nemá tenanta Microsoft Entra, může se vytvořit účet Microsoft Entra pro nové uživatele.

Můžu pozvat uživatele typu host s uživatelskými e-mailovými účty?

Power BI podporuje pozvání uživatelů typu host s uživatelskými e-mailovými účty. To zahrnuje domény, jako jsou hotmail.com, outlook.com a gmail.com. Tito uživatelé ale můžou narazit na omezení nad rámec toho, na co narazí uživatelé s pracovním nebo školním účtem.