Distribuer Power BI-indhold til eksterne gæstebrugere ved hjælp af Microsoft Entra B2B

  • Artikel

Resumé: Dette er et teknisk whitepaper, der beskriver, hvordan du distribuerer indhold til brugere uden for organisationen ved hjælp af integrationen af Microsoft Entra ID (tidligere kendt som Azure Active Directory) business-to-business (Microsoft Entra B2B).

Forfattere: Lukasz Pawlowski, Kasper de Jonge

Tekniske korrekturlæsere: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Bemærk

Du kan gemme eller udskrive dette whitepaper ved at vælge Udskriv i browseren og derefter vælge Gem som PDF.

Introduktion

Power BI giver organisationer en 360-graders visning af deres virksomhed og giver alle i disse organisationer mulighed for at træffe intelligente beslutninger ved hjælp af data. Mange af disse organisationer har stærke og betroede relationer med eksterne partnere, klienter og entreprenører. Disse organisationer skal give brugere i disse eksterne partnere sikker adgang til Power BI-dashboards og -rapporter.

Power BI kan integreres med Microsoft Entra business-to-business (Microsoft Entra B2B) for at tillade sikker distribution af Power BI-indhold til gæstebrugere uden for organisationen – samtidig med at du bevarer kontrollen og styrer adgangen til interne data.

I denne hvidbog beskrives alle de oplysninger, du skal bruge for at forstå Power BI's integration med Microsoft Entra B2B. Vi dækker den mest almindelige use case, konfiguration, licensering og sikkerhed på rækkeniveau.

Scenarier

Contoso er en bilproducent og arbejder med mange forskellige leverandører, der leverer alle de komponenter, materialer og tjenester, der er nødvendige for at køre produktionsaktiviteterne. Contoso ønsker at strømline sin forsyningskædelogistik og planlægger at bruge Power BI til at overvåge vigtige målepunkter for ydeevnen i forsyningskæden. Contoso ønsker at dele analyser med eksterne forsyningskædepartnere på en sikker og håndterbar måde.

Contoso kan aktivere følgende oplevelser for eksterne brugere ved hjælp af Power BI og Microsoft Entra B2B.

Ad hoc-deling pr. element

Contoso arbejder sammen med en leverandør, der bygger kølere til Contosos biler. De skal ofte optimere pålideligheden af kølerne ved hjælp af data fra alle Contosos biler. En analytiker hos Contoso bruger Power BI til at dele en kølerpålidelighedsrapport med en tekniker hos leverandøren. Teknikeren modtager en mail med et link til at få vist rapporten.

Som beskrevet ovenfor udføres denne ad hoc-deling af virksomhedsbrugere efter behov. Det link, der sendes af Power BI til den eksterne bruger, er et Microsoft Entra B2B-invitationslink. Når den eksterne bruger åbner linket, bliver vedkommende bedt om at tilmelde sig Contosos Microsoft Entra-organisation som gæstebruger. Når invitationen er accepteret, åbner linket den specifikke rapport eller det specifikke dashboard. Microsoft Entra-administratoren uddelegerer tilladelse til at invitere eksterne brugere til organisationen og vælger, hvad disse brugere kan gøre, når de accepterer invitationen, som beskrevet i afsnittet Styring i dette dokument. Contoso-analytikeren kan kun invitere gæstebrugeren, fordi Microsoft Entra-administratoren har tilladt denne handling, og Power BI-administratoren har givet brugerne tilladelse til at invitere gæster til at få vist indhold i Power BI's lejerindstillinger.

Inviter gæster til Power BI ved hjælp af Microsoft Entra ID

  1. Processen starter med en intern Contoso-bruger, der deler et dashboard eller en rapport med en ekstern bruger. Hvis den eksterne bruger ikke allerede er gæst i Contosos Microsoft Entra-id, inviteres vedkommende. Der sendes en mail til vedkommendes mailadresse, der indeholder en invitation til Contosos Microsoft Entra-id.
  2. Modtageren accepterer invitationen til Contosos Microsoft Entra ID og tilføjes som gæstebruger i Contosos Microsoft Entra ID.
  3. Modtageren omdirigeres derefter til Power BI-dashboardet, -rapporten eller -appen.

Processen betragtes som ad hoc, da erhvervsbrugere i Contoso udfører invitationshandlingen efter behov til deres forretningsmæssige formål. Hvert element, der deles, er et enkelt link, som den eksterne bruger kan få adgang til for at få vist indholdet.

Når den eksterne bruger er blevet inviteret til at få adgang til Contoso-ressourcer, kan der oprettes en skyggekonto til dem i Contoso Microsoft Entra ID, og de behøver ikke at blive inviteret igen. Første gang de forsøger at få adgang til en Contoso-ressource, f.eks. et Power BI-dashboard, gennemgår de en samtykkeproces, som indløser invitationen. Hvis de ikke fuldfører samtykket, kan de ikke få adgang til noget af Contosos indhold. Hvis de har problemer med at indløse deres invitation via det oprindelige link, kan en Microsoft Entra-administrator sende et bestemt invitationslink igen, så de kan indløse den igen.

Planlagt deling pr. element

Contoso arbejder sammen med en underleverandør om at udføre pålidelighedsanalyser af kølere. Underleverandøren har et team på 10 personer, der skal have adgang til data i Contosos Power BI-miljø. Contoso Microsoft Entra-administratoren er involveret i at invitere alle brugere og håndtere eventuelle tilføjelser/ændringer, efterhånden som personale hos underleverandøren ændres. Microsoft Entra-administratoren opretter en sikkerhedsgruppe for alle medarbejdere hos underleverandøren. Ved hjælp af sikkerhedsgruppen kan Contosos medarbejdere nemt administrere adgangen til rapporter og sikre, at alle påkrævede underleverandører har adgang til alle de påkrævede rapporter, dashboards og Power BI-apps. Microsoft Entra-administratoren kan også undgå at deltage i invitationsprocessen helt ved at vælge at delegere invitationsrettigheder til en medarbejder, der er tillid til, hos Contoso eller hos underleverandøren for at sikre rettidig personaleadministration.

Nogle organisationer kræver mere kontrol over, hvornår der tilføjes eksterne brugere, inviterer mange brugere i en ekstern organisation eller mange eksterne organisationer. I disse tilfælde kan planlagt deling bruges til at administrere omfanget af deling, til at gennemtvinge organisatoriske politikker og endda delegere rettigheder til personer, der er tillid til, til at invitere og administrere eksterne brugere. Microsoft Entra B2B understøtter planlagte invitationer, der skal sendes direkte fra Azure-portal af en it-administrator eller via PowerShell ved hjælp af API'en til invitationsstyring, hvor et sæt brugere kan inviteres i én handling. Ved hjælp af den planlagte tilgang til invitationer kan organisationen styre, hvem der kan invitere brugere og implementere godkendelsesprocesser. Avancerede Microsoft Entra-funktioner som dynamiske grupper kan gøre det nemt at vedligeholde medlemskab af sikkerhedsgrupper automatisk.

Kontrollér, hvilke gæster der kan se indhold

  1. Processen starter med en it-administrator, der inviterer gæstebrugeren enten manuelt eller via DEN API, der leveres af Microsoft Entra-id.
  2. Brugeren accepterer invitationen til organisationen.
  3. Når brugeren har accepteret invitationen, kan en bruger i Power BI dele en rapport eller et dashboard med den eksterne bruger eller en sikkerhedsgruppe, vedkommende befinder sig i. På samme måde som med almindelig deling i Power BI modtager den eksterne bruger en mail med linket til elementet.
  4. Når den eksterne bruger får adgang til linket, overføres deres godkendelse i deres mappe til Contosos Microsoft Entra-id og bruges til at få adgang til Power BI-indholdet.

Ad hoc- eller planlagt deling af Power BI-apps

Contoso har et sæt rapporter og dashboards, de skal dele med en eller flere leverandører. For at sikre, at alle påkrævede eksterne brugere har adgang til dette indhold, pakkes det som en Power BI-app. De eksterne brugere føjes enten direkte til appens adgangsliste eller via sikkerhedsgrupper. En person hos Contoso sender derefter url-adressen til appen til alle eksterne brugere, f.eks. i en mail. Når de eksterne brugere åbner linket, kan de se alt indholdet i en enkelt oplevelse, der er nem at navigere i.

Brug af en Power BI-app gør det nemt for Contoso at bygge en BI-portal til sine leverandører. En enkelt adgangsliste styrer adgangen til alt det påkrævede indhold, hvilket reducerer spildtid ved kontrol og angivelse af tilladelser på elementniveau. Microsoft Entra B2B bevarer sikkerhedsadgang ved hjælp af leverandørens oprindelige identitet, så brugerne ikke behøver yderligere logonoplysninger. Hvis du bruger planlagte invitationer med sikkerhedsgrupper, forenkles adgangsstyringen til appen, når medarbejderne roterer ind eller ud af projektet. Medlemskab af sikkerhedsgrupper manuelt eller ved hjælp af dynamiske grupper, så alle eksterne brugere fra en leverandør automatisk føjes til den relevante sikkerhedsgruppe.

Kontrollér indhold med Microsoft Entra-id

  1. Processen starter med, at brugeren inviteres til Contosos Microsoft Entra-organisation via Azure-portal eller PowerShell.
  2. Brugeren kan føjes til en brugergruppe i Microsoft Entra ID. Der kan bruges en statisk eller dynamisk brugergruppe, men dynamiske grupper hjælper med at reducere manuelt arbejde.
  3. De eksterne brugere får adgang til Power BI-appen via brugergruppen. URL-adressen til appen skal sendes direkte til den eksterne bruger eller placeres på et websted, som vedkommende har adgang til. Power BI gør det bedste for at sende en mail med applinket til eksterne brugere, men når du bruger bruger brugergrupper, hvis medlemskab kan ændres, kan Power BI ikke sende til alle eksterne brugere, der administreres via brugergrupper.
  4. Når den eksterne bruger får adgang til URL-adressen til Power BI-appen, godkendes vedkommende af Contosos Microsoft Entra-id, appen installeres for brugeren, og brugeren kan se alle de indeholdte rapporter og dashboards i appen.

Apps har også en unik funktion, der gør det muligt for appforfattere at installere programmet automatisk for brugeren, så det er tilgængeligt, når brugeren logger på. Denne funktion installeres kun automatisk for eksterne brugere, der allerede er en del af Contosos organisation på det tidspunkt, hvor programmet publiceres eller opdateres. Den bruges derfor bedst med den planlagte tilgang til invitationer og afhænger af, at appen publiceres eller opdateres, når brugerne er føjet til Contosos Microsoft Entra-id. Eksterne brugere kan altid installere appen ved hjælp af applinket.

Kommentering og abonnement på indhold på tværs af organisationer

Da Contoso fortsætter med at arbejde sammen med sine underleverandører eller leverandører, skal de eksterne teknikere arbejde tæt sammen med Contosos analytikere. Power BI indeholder flere samarbejdsfunktioner, der hjælper brugerne med at kommunikere om indhold, de kan forbruge. Dashboardkommentarer (og snart rapportkommentarer) giver brugerne mulighed for at diskutere datapunkter, de får vist, og kommunikere med rapportforfattere for at stille spørgsmål.

I øjeblikket kan eksterne gæstebrugere deltage i kommentarer ved at skrive kommentarer og læse svarene. I modsætning til interne brugere kan gæstebrugere dog ikke være @mentioned og ikke modtage meddelelser om, at de har modtaget en kommentar. Gæstebrugere kan bruge abonnementsfunktionen i Power BI til at abonnere på en rapport eller et dashboard. Få mere at vide i Mailabonnementer på rapporter og dashboards i Power BI-tjeneste.

Få adgang til indhold i Power BI-mobilapps

Når gæstebrugeren åbner linket til rapporten eller dashboardet på sin mobilenhed, åbnes indholdet i de oprindelige Power BI-mobilapps på deres enhed, hvis de er installeret. Gæstebrugeren kan derefter navigere mellem indhold, der er delt med dem i den eksterne lejer, og tilbage til deres eget indhold fra deres hjemmelejer. Du kan finde flere oplysninger om adgang til indhold, der er blevet delt med dig fra en ekstern organisation via Power BI-mobilapps, under Få vist Power BI-indhold, der er delt med dig fra en ekstern organisation.

Organisatoriske relationer ved hjælp af Power BI og Microsoft Entra B2B

Når alle brugere af Power BI er interne i organisationen, er det ikke nødvendigt at bruge Microsoft Entra B2B. Men når to eller flere organisationer ønsker at samarbejde om data og indsigt, gør Power BI's understøttelse af Microsoft Entra B2B det nemt og omkostningseffektivt at gøre det.

Nedenfor finder du typisk organisationsstrukturer, der er velegnede til Microsoft Entra B2B-stilsamarbejde på tværs af organisationer i Power BI. Microsoft Entra B2B fungerer godt i de fleste tilfælde, men i nogle situationer er de almindelige alternative metoder, der er beskrevet i slutningen af dette dokument, værd at overveje.

Sag 1: Direkte samarbejde mellem organisationer

Contosos relation til kølerleverandøren er et eksempel på direkte samarbejde mellem organisationer. Da der er relativt få brugere hos Contoso og dens leverandør, der har brug for adgang til kølerpålidelighedsoplysninger, er det ideelt at bruge Microsoft Entra B2B-baseret ekstern deling. Det er nemt at bruge og nemt at administrere. Dette er også et almindeligt mønster i konsulenttjenester, hvor en konsulent muligvis skal opbygge indhold til en organisation.

Del mellem organisationer

Denne deling sker typisk i første omgang ved hjælp af ad hoc-deling pr. element. Men i takt med at teams vokser eller relationerne uddybes, bliver tilgangen Planlagt deling pr. element den foretrukne metode til at reducere administrationsomkostningerne. Derudover kan ad hoc- eller planlagt deling af Power BI-apps, kommentering og abonnement på indhold på tværs af organisationer også få adgang til indhold i mobilapps. Det er vigtigt, at hvis begge organisationers brugere har Power BI Pro-licenser i deres respektive organisationer, kan de bruge disse Pro-licenser i hinandens Power BI-miljøer. Dette giver fordelagtig licens, da den organisation, der inviterer, muligvis ikke behøver at betale for en Power BI Pro-licens for de eksterne brugere. Dette beskrives mere detaljeret i afsnittet Licensering senere i dette dokument.

Sag 2: Overordnet og dets datterselskaber eller associerede selskaber

Nogle organisationsstrukturer er mere komplekse, herunder helt eller delvist ejede datterselskaber, tilknyttede virksomheder eller administrerede tjenesteudbyderrelationer. Disse organisationer har en overordnet organisation som f.eks. et holdingselskab, men de underliggende organisationer opererer delvist autonomt, nogle gange under forskellige regionale krav. Dette fører til, at hver organisation har sit eget Microsoft Entra-miljø og separate Power BI-lejere.

Arbejde med datterselskaber

I denne struktur skal den overordnede organisation typisk distribuere standardiseret indsigt til sine datterselskaber. Denne deling sker typisk ved hjælp af ad hoc-tilgangen eller den planlagte deling af Power BI Apps som vist på følgende billede, da det giver mulighed for distribution af standardiseret autoritativt indhold til brede målgrupper. I praksis bruges en kombination af alle de scenarier, der er nævnt tidligere i dette dokument.

Kombination af scenarier

Dette følger følgende proces:

  1. Brugere fra hvert datterselskab inviteres til Contosos Microsoft Entra ID
  2. Derefter publiceres Power BI-appen for at give disse brugere adgang til de påkrævede data
  3. Endelig åbner brugerne appen via et link, de har fået for at se rapporterne

Organisationer står over for flere vigtige udfordringer i denne struktur:

  • Sådan distribuerer du links til indhold i den overordnede organisations Power BI
  • Sådan gør du det muligt for brugere af datterselskaber at få adgang til datakilden, der hostes af den overordnede organisation

Distribution af links til indhold i den overordnede organisations Power BI

Tre metoder bruges ofte til at distribuere links til indholdet. Den første og mest grundlæggende er at sende linket til appen til de påkrævede brugere eller placere det på et SharePoint Online-websted, hvorfra det kan åbnes. Brugerne kan derefter bogmærke linket i deres browsere for at få hurtigere adgang til de data, de har brug for.

Den anden fremgangsmåde er, hvor den overordnede organisation giver brugere fra datterselskaberne mulighed for at få adgang til dens Power BI og de kontrolelementer, som de kan få adgang til via tilladelser. Dette giver adgang til Power BI Start, hvor brugeren fra datterselskabet kan se en omfattende liste over indhold, der er delt med dem i den overordnede organisations lejer. Derefter gives URL-adressen til den overordnede organisations Power BI-miljø til brugerne i datterselskaberne.

Den endelige fremgangsmåde bruger en Power BI-app, der er oprettet i Power BI-lejeren for hvert datterselskab. Power BI-appen indeholder et dashboard med felter, der er konfigureret med indstillingen eksternt link. Når brugeren trykker på feltet, føres vedkommende til den relevante rapport, det relevante dashboard eller den relevante app i den overordnede organisations Power BI. Denne fremgangsmåde har den ekstra fordel, at appen kan installeres automatisk for alle brugere i datterselskabet og er tilgængelig for dem, når de logger på deres eget Power BI-miljø. En ekstra fordel ved denne fremgangsmåde er, at den fungerer godt sammen med Power BI-mobilapps, der kan åbne linket oprindeligt. Du kan også kombinere dette med den anden metode for at gøre det nemmere at skifte mellem Power BI-miljøer.

Gør det muligt for datterselskabsbrugere at få adgang til datakilder, der hostes af den overordnede organisation

Analytikere i et datterselskab skal ofte oprette deres egne analyser ved hjælp af data, der leveres af den overordnede organisation. I dette tilfælde bruges ofte clouddatakilder til at håndtere udfordringen.

Den første tilgang bruger Azure Analysis Services til at bygge et data warehouse i virksomhedsklasse, der opfylder behovene hos analytikere på tværs af det overordnede og dets datterselskaber, som vist på følgende billede. Contoso kan hoste dataene og bruge funktioner som sikkerhed på rækkeniveau for at sikre, at brugerne i hvert datterselskab kun kan få adgang til deres data. Analytikere i hver organisation kan få adgang til data warehouse via Power BI Desktop og publicere resulterende analyser til deres respektive Power BI-lejere.

Sådan sker deling med Power BI-lejere

Den anden metode bruger Azure SQL Database til at oprette et relationsdata warehouse for at give adgang til data. Dette fungerer på samme måde som Azure Analysis Services-tilgangen, selvom nogle funktioner som sikkerhed på rækkeniveau kan være sværere at udrulle og vedligeholde på tværs af datterselskaber.

Mere avancerede metoder er også mulige, men ovenstående er langt den mest almindelige.

Sag 3: Delt miljø på tværs af partnere

Contoso kan indgå et partnerskab med en konkurrent om i fællesskab at bygge en bil på en delt samlebånd, men at distribuere køretøjet under forskellige mærker eller i forskellige områder. Dette kræver omfattende samarbejde og medejerskab af data, intelligens og analyser på tværs af organisationer. Denne struktur er også almindelig i konsulentbranchen, hvor et team af konsulenter kan udføre projektbaserede analyser for en klient.

Delt miljø på tværs af partnere

I praksis er disse strukturer komplekse som vist på følgende billede og kræver, at medarbejderne vedligeholder. Organisationer har tilladelse til at genbruge Power BI Pro-licenser, der er købt til deres respektive Power BI-lejere, for at være effektive.

Licenser og delt organisationsindhold

Hvis du vil oprette en delt Power BI-lejer, skal der oprettes et Microsoft Entra-id, og der skal købes mindst én Power BI Pro-brugerkonto til en bruger i den pågældende lejer. Denne bruger inviterer de påkrævede brugere til den delte organisation. Det er vigtigt, at Contosos brugere i dette scenarie behandles som eksterne brugere, når de arbejder i den delte organisations Power BI.

Processen er som følger:

  1. Den delte organisation oprettes som et nyt Microsoft Entra-id, og der oprettes mindst én brugerkonto i den nye lejer. Brugeren skal have tildelt en Power BI Pro-licens.
  2. Denne bruger opretter derefter en Power BI-lejer og inviterer de påkrævede brugere fra Contoso og partnerorganisationen. Brugeren etablerer også alle delte dataaktiver, f.eks. Azure Analysis Services. Contoso og partnerens brugere kan få adgang til den delte organisations Power BI som gæstebrugere. Normalt gemmes og tilgås alle delte aktiver fra den delte organisation.
  3. Afhængigt af hvordan parterne accepterer at samarbejde, er det muligt for hver organisation at udvikle deres egne beskyttede data og analyser ved hjælp af delte data warehouse-aktiver. De kan distribuere dem til deres respektive interne brugere ved hjælp af deres interne Power BI-lejere.

Sag 4: Distribution til hundred- eller tusindvis af eksterne partnere

Mens Contoso har oprettet en kølerpålidelighedsrapport for én leverandør, ønsker Contoso nu at oprette et sæt standardiserede rapporter for hundredvis af leverandører. Dette gør det muligt for Contoso at sikre, at alle leverandører har den analyse, de har brug for til at foretage forbedringer eller rette produktionsfejl.

Distribution til mange partnere

Når en organisation har brug for at distribuere standardiserede data og indsigt til mange eksterne brugere/organisationer, kan de bruge scenariet Ad hoc eller planlagt deling af Power BI Apps til hurtigt og uden omfattende udviklingsomkostninger at bygge en BI-portal. Processen til oprettelse af en sådan portal ved hjælp af en Power BI-app er beskrevet i casestudiet: Oprettelse af en BI-portal ved hjælp af Power BI + Microsoft Entra B2B – trinvise instruktioner senere i dette dokument.

En almindelig variant af denne sag er, når en organisation forsøger at dele indsigt med forbrugere, især når de ønsker at bruge Azure Active Directory B2C med Power BI. Power BI understøtter ikke Azure Active Directory B2C oprindeligt. Hvis du evaluerer indstillingerne for denne sag, kan du overveje at bruge Alternativ mulighed 2 i afsnittet Almindelige alternative metoder senere i dette dokument.

Case study: Oprettelse af en BI-portal ved hjælp af Power BI + Microsoft Entra B2B – trinvise instruktioner

Power BI's integration med Microsoft Entra B2B giver Contoso en problemfri og problemfri måde at give gæstebrugere sikker adgang til bi-portalen. Contoso kan konfigurere dette med tre trin:

Oprettelse af en portal

  1. Opret BI-portal i Power BI

    Den første opgave for Contoso er at oprette deres BI-portal i Power BI. Contosos BI-portal består af en samling specialbyggede dashboards og rapporter, der bliver gjort tilgængelige for mange interne brugere og gæstebrugere. Den anbefalede måde at gøre dette på i Power BI er at bygge en Power BI-app. Få mere at vide om apps i Power BI.

  • Contosos BI-team opretter et arbejdsområde i Power BI

    arbejdsområde

  • Andre forfattere føjes til arbejdsområdet

    Tilføj forfattere

  • Indhold oprettes i arbejdsområdet

    Opret indhold i arbejdsområdet

    Nu, hvor indholdet er oprettet i et arbejdsområde, er Contoso klar til at invitere gæstebrugere i partnerorganisationer til at bruge dette indhold.

  1. Inviter gæstebrugere

    Contoso kan invitere gæstebrugere til sin BI-portal i Power BI på to måder:

    • Planlagte invitationer
    • Ad hoc-invitationer

    Planlagte invitationer

    I denne fremgangsmåde inviterer Contoso gæstebrugerne til Microsoft Entra på forhånd og distribuerer derefter Power BI-indhold til dem. Contoso kan invitere gæstebrugere fra Azure-portal eller bruge PowerShell. Her er trinnene til at invitere gæstebrugere fra Azure-portal:

    • Contosos Microsoft Entra-administrator navigerer til Azure-portal> Microsoft Entra ID-brugere>>Alle brugere>Ny gæstebruger

    Gæstebruger

    • Tilføj en invitationsmeddelelse til gæstebrugerne, og vælg Inviter

    Tilføj invitation

    Bemærk

    Hvis du vil invitere gæstebrugere fra Azure-portal, skal du have en Microsoft Entra-administrator til din lejer.

    Hvis Contoso vil invitere mange gæstebrugere, kan de gøre det ved hjælp af PowerShell. Contosos Microsoft Entra-administrator gemmer mailadresserne på alle gæstebrugere i en CSV-fil. Her er Microsoft Entra B2B-samarbejdskode og PowerShell-eksempler og -instruktioner.

    Efter invitationen modtager gæstebrugere en mail med invitationslinket.

    Invitationslink

    Når gæstebrugerne vælger linket, kan de få adgang til indhold i Contoso Microsoft Entra-lejeren.

    Bemærk

    Det er muligt at ændre layoutet af invitationsmailen ved hjælp af brandingfunktionen Microsoft Entra ID som beskrevet her.

    Ad hoc-invitationer

    Hvad sker der, hvis Contoso ikke kender alle de gæstebrugere, den vil invitere på forhånd? Eller hvad nu, hvis analytikeren i Contoso, der oprettede BI-portalen, selv vil distribuere indhold til gæstebrugere? Vi understøtter også dette scenarie i Power BI med ad hoc-invitationer.

    Analytikeren kan blot føje de eksterne brugere til adgangslisten for appen, når de publicerer den. Gæstebrugerne får en invitation, og når de har accepteret den, omdirigeres de automatisk til Power BI-indholdet.

    Tilføj ekstern bruger

    Bemærk

    Invitationer er kun nødvendige, første gang en ekstern bruger inviteres til din organisation.

  2. Distribuer indhold

    Nu, hvor Contosos BI-team har oprettet BI-portalen og inviteret gæstebrugere, kan de distribuere deres portal til deres slutbrugere ved at give gæstebrugere adgang til appen og publicere den. Power BI udfylder automatisk navne på gæstebrugere, der tidligere er føjet til Contoso-lejeren. Adhoc-invitationer til andre gæstebrugere kan også tilføjes på dette tidspunkt.

    Bemærk

    Hvis du bruger sikkerhedsgrupper til at administrere adgang til appen for eksterne brugere, skal du bruge tilgangen Planlagte invitationer og dele applinket direkte med hver ekstern bruger, der skal have adgang til den. Ellers kan den eksterne bruger muligvis ikke installere eller få vist indhold fra app._

    Gæstebrugere får en mail med et link til appen.

    Mailinvitationslink

    Når gæstebrugere klikker på dette link, bliver de bedt om at godkende med deres egen organisations identitet.

    Logonside

    Når de er blevet godkendt, omdirigeres de til Contosos BI-app.

    Se delt indhold

    Gæstebrugere kan senere få adgang til Contosos app ved at klikke på linket i mailen eller ved at angive et bogmærke for linket. Contoso kan også gøre det nemmere for gæstebrugere ved at føje dette link til en eksisterende ekstranetportal, som gæstebrugerne allerede bruger.

  3. Næste trin

    Ved hjælp af en Power BI-app og Microsoft Entra B2B kunne Contoso hurtigt oprette en BI-portal til sine leverandører uden kode. Dette forenklede distributionen af standardiserede analyser til alle de leverandører, der havde brug for den.

    Mens eksemplet viste, hvordan en enkelt fælles rapport kan distribueres blandt leverandører, kan Power BI gå meget længere. For at sikre, at hver partner kun får vist data, der er relevante for sig selv, kan sikkerhed på rækkeniveau nemt føjes til rapporten og datamodellen. Afsnittet Datasikkerhed for eksterne partnere senere i dette dokument beskriver denne proces i detaljer.

    Ofte skal individuelle rapporter og dashboards integreres i en eksisterende portal. Dette kan også opnås ved at genbruge mange af de teknikker, der vises i eksemplet. I disse situationer kan det dog være nemmere at integrere rapporter eller dashboards direkte fra et arbejdsområde. Processen til invitation og tildeling af sikkerhedstilladelser til de påkrævede brugere forbliver den samme.

Under hjelmen: Hvordan kan Lucy fra Leverandør1 få adgang til Power BI-indhold fra Contosos lejer?

Nu, hvor vi har set, hvordan Contoso er i stand til problemfrit at distribuere Power BI-indhold til gæstebrugere i partnerorganisationer, kan vi se på, hvordan dette fungerer under overfladen.

Når Contoso inviteres lucy@supplier1.com til sin mappe, opretter Microsoft Entra ID et link mellem Lucy@supplier1.com og Contoso Microsoft Entra-lejeren. Dette link giver Microsoft Entra ID besked, der Lucy@supplier1.com kan få adgang til indhold i Contoso-lejeren.

Når Lucy forsøger at få adgang til Contosos Power BI-app, kontrollerer Microsoft Entra ID, at Lucy kan få adgang til Contoso-lejeren, og giver derefter Power BI et token, der angiver, at Lucy er godkendt til at få adgang til indhold i Contoso-lejeren. Power BI bruger dette token til at godkende og sikre, at Lucy har adgang til Contosos Power BI-app.

Bekræftelse og autorisation

Power BI's integration med Microsoft Entra B2B fungerer sammen med alle virksomhedens mailadresser. Hvis brugeren ikke har en Microsoft Entra-identitet, bliver vedkommende muligvis bedt om at oprette en. På følgende billede vises det detaljerede flow:

Integrationsrutediagram

Det er vigtigt at erkende, at Microsoft Entra-kontoen bruges eller oprettes i den eksterne parts Microsoft Entra-id. Dette gør det muligt for Lucy at bruge deres eget brugernavn og adgangskode, og deres legitimationsoplysninger stopper automatisk med at arbejde i andre lejere, når Lucy forlader virksomheden, når deres organisation også bruger Microsoft Entra-id.

Licenser

Contoso kan vælge en af tre metoder til at licensere gæstebrugere fra sine leverandører og partnerorganisationer til at have adgang til Power BI-indhold.

Bemærk

Microsoft Entra B2B's gratis niveau er nok til at bruge Power BI med Microsoft Entra B2B. Nogle avancerede Funktioner i Microsoft Entra B2B, f.eks. dynamiske grupper, kræver yderligere licenser. Du kan få flere oplysninger i dokumentationen til Microsoft Entra B2B.

Tilgang 1: Contoso bruger Power BI Premium

Med denne fremgangsmåde køber Contoso Power BI Premium-kapacitet og tildeler dens BI-portalindhold til denne kapacitet. Dette gør det muligt for gæstebrugere fra partnerorganisationer at få adgang til Contosos Power BI-app uden nogen Power BI-licens.

Eksterne brugere er også underlagt det forbrug, der kun tilbydes "gratis" brugere i Power BI, når de bruger indhold i Power BI Premium.

Contoso kan også drage fordel af andre Power BI Premium-funktioner til sine apps, f.eks. øget opdateringshastighed, kapacitet og store modelstørrelser.

Yderligere funktioner

Tilgang 2: Contoso tildeler Power BI Pro-licenser til gæstebrugere

Med denne fremgangsmåde tildeler Contoso pro-licenser til gæstebrugere fra partnerorganisationer – dette kan gøres fra Contosos Microsoft 365 Administration. Dette gør det muligt for gæstebrugere fra partnerorganisationer at få adgang til Contosos Power BI-app uden selv at købe en licens. Dette kan være velegnet til deling med eksterne brugere, hvis organisation endnu ikke har vedtaget Power BI.

Bemærk

Contosos pro-licens gælder kun for gæstebrugere, når de får adgang til indhold i Contoso-lejeren. Pro-licenser giver adgang til indhold, der ikke er i en Power BI Premium-kapacitet.

Licensoplysninger

Tilgang 3: Gæstebrugere medbringer deres egen Power BI Pro-licens

Med denne fremgangsmåde tildeler Leverandør 1 en Power BI Pro-licens til Lucy. De kan derefter få adgang til Contosos Power BI-app med denne licens. Da Lucy kan bruge deres Pro-licens fra deres egen organisation, når hun tilgår et eksternt Power BI-miljø, kaldes denne fremgangsmåde nogle gange byol (bring your own license ). Hvis begge organisationer bruger Power BI, giver dette fordelagtige licenser til den overordnede analyseløsning og minimerer omkostningerne ved at tildele licenser til eksterne brugere.

Bemærk

Den Pro-licens, der er givet til Lucy af Leverandør 1, gælder for alle Power BI-lejere, hvor Lucy er gæstebruger. Pro-licenser giver adgang til indhold, der ikke er i en Power BI Premium-kapacitet.

Pro-licenskrav

Datasikkerhed for eksterne partnere

Når Contoso arbejder med flere eksterne leverandører, skal han som regel sikre, at hver leverandør kun får vist data om sine egne produkter. Brugerbaseret sikkerhed og dynamisk sikkerhed på rækkeniveau gør det nemt at opnå dette med Power BI.

Brugerbaseret sikkerhed

En af de mest effektive funktioner i Power BI er sikkerhed på rækkeniveau. Denne funktion gør det muligt for Contoso at oprette en enkelt rapport og semantisk model (tidligere kaldet et datasæt), men stadig anvende forskellige sikkerhedsregler for hver bruger. Du kan finde en detaljeret forklaring under Sikkerhed på rækkeniveau (RLS).

Power BI's integration med Microsoft Entra B2B gør det muligt for Contoso at tildele sikkerhedsregler på rækkeniveau til gæstebrugere, så snart de inviteres til Contoso-lejeren. Som vi har set før, kan Contoso tilføje gæstebrugere via enten planlagte invitationer eller ad hoc-invitationer. Hvis Contoso vil gennemtvinge sikkerhed på rækkeniveau, anbefales det på det kraftigste at bruge planlagte invitationer til at tilføje gæstebrugerne på forhånd og tildele dem til sikkerhedsrollerne, før du deler indholdet. Hvis Contoso i stedet bruger ad hoc-invitationer, kan der være en kort periode, hvor gæstebrugerne ikke kan se nogen data.

Bemærk

Denne forsinkelse i adgangen til data, der er beskyttet af sikkerhed på rækkeniveau, når du bruger ad hoc-invitationer, kan føre til supportanmodninger til it-teamet, fordi brugerne kan se enten tomme eller brudte rapporter/dashboards, når de åbner et delingslink i den mail, de modtager. Det anbefales derfor på det kraftigste at bruge planlagte invitationer i dette scenarie.

Lad os gennemgå dette med et eksempel.

Som tidligere nævnt har Contoso leverandører over hele verden, og de vil gerne sikre, at brugerne fra deres leverandørorganisationer får indsigt fra data lige fra deres område. Men brugere fra Contoso kan få adgang til alle dataene. I stedet for at oprette flere forskellige rapporter opretter Contoso en enkelt rapport og filtrerer dataene baseret på den bruger, der får den vist.

Delt indhold

For at sikre, at Contoso kan filtrere data baseret på, hvem der opretter forbindelse, oprettes der to roller i Power BI Desktop. Den ene til at filtrere alle dataene fra SalesTerritory "Europa" og en anden for "Nordamerika".

Administration af roller

Når der er defineret roller i rapporten, skal en bruger tildeles en bestemt rolle, for at vedkommende kan få adgang til data. Tildelingen af roller sker i Power BI-tjeneste ( Semantiske modeller > Sikkerhed ).

Indstilling af sikkerhed

Dette åbner en side, hvor Contosos BI-team kan se de to roller, de har oprettet. Nu kan Contosos BI-team tildele brugere til rollerne.

Sikkerhed på rækkeniveau

I eksemplet føjer Contoso en bruger i en partnerorganisation med mailadresse admin@fabrikam.com til rollen Europa:

Sikkerhedsindstillinger på rækkeniveau

Når dette løses af Microsoft Entra ID, kan Contoso se, at navnet vises i det vindue, der er klar til at blive tilføjet:

Vis roller

Når denne bruger nu åbner den app, der blev delt med vedkommende, kan vedkommende kun se en rapport med data fra Europa:

Få vist indhold

Dynamisk sikkerhed på rækkeniveau

Et andet interessant emne er at se, hvordan dynamisk sikkerhed på rækkeniveau fungerer sammen med Microsoft Entra B2B.

Kort sagt fungerer dynamisk sikkerhed på rækkeniveau ved at filtrere data i modellen baseret på brugernavnet for den person, der opretter forbindelse til Power BI. I stedet for at tilføje flere roller for grupper af brugere definerer du brugerne i modellen. Vi beskriver ikke mønsteret i detaljer her. Kasper de Jong tilbyder en detaljeret beskrivelse af alle varianter af sikkerhed på rækkeniveau i Power BI Desktop Dynamisk sikkerheds snydeark og i dette whitepaper .

Lad os se på et lille eksempel – Contoso har en enkel rapport over salg efter grupper:

Eksempelindhold

Nu skal denne rapport deles med to gæstebrugere og en intern bruger – den interne bruger kan se alt, men gæstebrugerne kan kun se de grupper, de har adgang til. Det betyder, at vi kun skal filtrere dataene for gæstebrugerne. Contoso bruger mønsteret dynamisk sikkerhed på rækkeniveau, som beskrevet i whitepaper og blogindlæg, for at filtrere dataene korrekt. Det betyder, at Contoso føjer brugernavnene til selve dataene:

Vis brugere af sikkerhed på rækkeniveau til selve dataene

Contoso opretter derefter den rigtige datamodel, der filtrerer dataene korrekt med de rigtige relationer:

Relevante data vises

For at filtrere dataene automatisk baseret på, hvem der er logget på, skal Contoso oprette en rolle, der overføres til den bruger, der opretter forbindelse. I dette tilfælde opretter Contoso to roller – den første er den "sikkerhedsrolle", der filtrerer tabellen Brugere med det aktuelle brugernavn for den bruger, der er logget på Power BI (dette fungerer også for Microsoft Entra B2B-gæstebrugere).

Administrer roller

Contoso opretter også endnu et "AllRole" til sine interne brugere, der kan se alt – denne rolle har ikke noget sikkerhedskondikat.

Når Power BI Desktop-filen er uploadet til tjenesten, kan Contoso tildele gæstebrugere til "SecurityRole" og interne brugere til "AllRole"

Når gæstebrugerne nu åbner rapporten, kan de kun se salg fra gruppe A:

Kun fra gruppe A

I matrixen til højre kan du se resultatet af funktionen USERNAME() og USERPRINCIPALNAME() og begge returnere gæstebrugernes mailadresse.

Nu får den interne bruger vist alle dataene:

Alle de viste data

Som du kan se, fungerer dynamisk sikkerhed på rækkeniveau med både interne brugere eller gæstebrugere.

Bemærk

Dette scenarie fungerer også, når du bruger en model i Azure Analysis Services. Azure Analysis Service er normalt forbundet med det samme Microsoft Entra-id som din Power BI – i så fald kender Azure Analysis Services også de gæstebrugere, der er inviteret via Microsoft Entra B2B.

Forbind til datakilder i det lokale miljø

Power BI giver Contoso mulighed for at bruge datakilder i det lokale miljø, f.eks . SQL Server Analysis Services eller SQL Server direkte takket være datagatewayen i det lokale miljø. Det er endda muligt at logge på disse datakilder med de samme legitimationsoplysninger, som bruges sammen med Power BI.

Bemærk

Når du installerer en gateway for at oprette forbindelse til din Power BI-lejer, skal du bruge en bruger, der er oprettet i din lejer. Eksterne brugere kan ikke installere en gateway og forbinde den med din tenant._

For eksterne brugere kan dette være mere kompliceret, da de eksterne brugere normalt ikke er kendt af AD i det lokale miljø. Power BI tilbyder en løsning på dette ved at give Contoso-administratorer tilladelse til at knytte de eksterne brugernavne til interne brugernavne, som beskrevet i Administrer din datakilde – Analysis Services. Kan f.eks lucy@supplier1.com . knyttes til lucy_supplier1_com#EXT@contoso.com.

Tilknytning af brugernavne

Denne metode er fin, hvis Contoso kun har en håndfuld brugere, eller hvis Contoso kan knytte alle eksterne brugere til en enkelt intern konto. I mere komplekse scenarier, hvor hver bruger har brug for sine egne legitimationsoplysninger, er der en mere avanceret tilgang, der bruger brugerdefinerede AD-attributter til at udføre tilknytningen, som beskrevet i Administrer din datakilde – Analysis Services. Dette gør det muligt for Contoso-administratoren at definere en tilknytning for hver bruger i dit Microsoft Entra-id (også eksterne B2B-brugere). Disse attributter kan angives via AD-objektmodellen ved hjælp af scripts eller kode, så Contoso fuldt ud kan automatisere tilknytningen ved invitation eller efter en planlagt kadence.

Styring

Når Microsoft Entra B2B-deling bruges, styrer Microsoft Entra-administratoren aspekter af den eksterne brugers oplevelse. Disse styres på siden Indstillinger for eksternt samarbejde i indstillingerne for Microsoft Entra ID for din lejer.

Du kan få mere at vide under Konfigurer indstillinger for eksternt samarbejde.

Bemærk

Som standard er indstillingen Gæstebrugeres tilladelser begrænset indstillet til Ja, så gæstebrugere i Power BI har begrænsede oplevelser, især om deling, hvor personvælger-U'er ikke fungerer for disse brugere. Det er vigtigt at samarbejde med din Microsoft Entra-administrator om at angive det til Nej, som vist nedenfor for at sikre en god oplevelse.

Indstillinger for eksternt samarbejde

Kontrollér gæsteinviteringer

Power BI-administratorer kan styre ekstern deling udelukkende for Power BI ved at gå til Power BI-administrationsportalen. Men administratorer kan også styre ekstern deling med forskellige Microsoft Entra-politikker. Disse politikker gør det muligt for administratorer at:

  • Deaktiver invitationer fra slutbrugere
  • Det er kun administratorer og brugere med rollen Gæsteinvitation, der kan invitere
  • Administration s, rollen Gæsteinvitation og medlemmer kan invitere
  • Alle brugere, herunder gæster, kan invitere

Du kan læse mere om disse politikker i Deleger invitationer til Microsoft Entra B2B-samarbejde.

Alle eksterne brugeres Power BI-handlinger overvåges også på vores overvågningsportal.

Politikker for betinget adgang for gæstebrugere

Contoso kan gennemtvinge politikker for betinget adgang for gæstebrugere, der får adgang til indhold fra Contoso-lejeren. Du kan finde detaljerede instruktioner i Betinget adgang for B2B-samarbejdsbrugere.

Almindelige alternative metoder

Selvom Microsoft Entra B2B gør det nemt at dele data og rapporter på tværs af organisationer, er der flere andre metoder, der ofte bruges og kan være bedre i visse tilfælde.

Alternativ mulighed 1: Opret dubletidentiteter for partnerbrugere

Med denne indstilling skulle Contoso manuelt oprette identiske identiteter for hver partnerbruger i Contoso-lejeren, som vist på følgende billede. Derefter kan Contoso i Power BI dele de relevante rapporter, dashboards eller apps med de tildelte identiteter.

Angivelse af relevante tilknytninger og navne

Årsager til at vælge dette alternativ:

  • Da brugerens identitet styres af din organisation, er alle relaterede tjenester, f.eks. mail, SharePoint osv. også inden for organisationens kontrol. It-Administration istratorer kan nulstille adgangskoder, deaktivere adgang til konti eller overvåge aktiviteter i disse tjenester.
  • Brugere, der bruger personlige konti til deres virksomhed, er ofte begrænset til at få adgang til visse tjenester, så de kan have brug for en organisationskonto.
  • Nogle tjenester fungerer kun over organisationens brugere. Det kan f.eks. ikke være muligt at bruge Intune til at administrere indhold på personlige/mobile enheder for eksterne brugere, der bruger Microsoft Entra B2B.

Årsager til ikke at vælge dette alternativ:

  • Brugere fra partnerorganisationer skal huske to sæt legitimationsoplysninger – ét for at få adgang til indhold fra deres egen organisation og det andet for at få adgang til indhold fra Contoso. Dette er besværligt for disse gæstebrugere, og mange gæstebrugere er forvirrede over denne oplevelse.
  • Contoso skal købe og tildele licenser pr. bruger til disse brugere. Hvis en bruger skal modtage mail eller bruge Office-programmer, skal vedkommende bruge de relevante licenser, herunder Power BI Pro, til at redigere og dele indhold i Power BI.
  • Contoso vil måske gennemtvinge strengere godkendelses- og styringspolitikker for eksterne brugere sammenlignet med interne brugere. For at opnå dette skal Contoso oprette en intern terminologi for eksterne brugere, og alle Contoso-brugere skal oplæres i denne nomenklatur.
  • Når brugeren forlader organisationen, har vedkommende fortsat adgang til Contosos ressourcer, indtil Contoso-administratoren manuelt sletter sin konto
  • Contoso-administratorer skal administrere identiteten for gæsten, herunder oprettelse, nulstilling af adgangskode osv.

Alternativ mulighed 2: Opret et brugerdefineret Power BI Embedded-program ved hjælp af brugerdefineret godkendelse

En anden mulighed for Contoso er at bygge sit eget brugerdefinerede integrerede Power BI-program med brugerdefineret godkendelse ("Appen ejer data"). Selvom mange organisationer ikke har tid eller ressourcer til at oprette et brugerdefineret program til at distribuere Power BI-indhold til deres eksterne partnere, er dette for nogle organisationer den bedste fremgangsmåde og fortjener seriøs overvejelse.

Organisationer har ofte eksisterende partnerportaler, der centraliserer adgangen til alle organisationsressourcer for partnere, isolerer interne organisationsressourcer og giver strømlinede oplevelser for partnere, så de kan understøtte mange partnere og deres individuelle brugere.

Mange partnerportaler

I eksemplet ovenfor logger brugere fra hver leverandør på Contosos partnerportal, der bruger Microsoft Entra-id som identitetsudbyder. Det kan bruge Microsoft Entra B2B, Azure Active Directory B2C, oprindelige identiteter eller sammenkæde med et vilkårligt antal andre identitetsudbydere. Brugeren logger på og får adgang til et partnerportalbuild ved hjælp af Azure Web App eller en lignende infrastruktur.

I webappen er Power BI-rapporter integreret fra en Power BI Embedded-installation. Webappen strømliner adgangen til rapporterne og relaterede tjenester i en sammenhængende oplevelse, der har til formål at gøre det nemt for leverandører at interagere med Contoso. Dette portalmiljø ville være isoleret fra Contoso's interne Microsoft Entra ID og Contosos interne Power BI-miljø for at sikre, at leverandørerne ikke kunne få adgang til disse ressourcer. Data gemmes typisk i et separat partnerdata warehouse for at sikre isolering af data. Denne isolation har fordele, da den begrænser antallet af eksterne brugere med direkte adgang til organisationens data, begrænser, hvilke data der potentielt kan være tilgængelige for den eksterne bruger, og begrænser utilsigtet deling med eksterne brugere.

Ved hjælp af Power BI Embedded kan portalen bruge fordelagtige licenser ved hjælp af et apptoken eller masterbrugeren plus premium-kapacitet, der er købt i Azure-modellen, hvilket forenkler bekymringer om tildeling af licenser til slutbrugere og kan skaleres op/ned baseret på forventet brug. Portalen kan tilbyde en overordnet højere kvalitet og ensartet oplevelse, da partnere tilgår en enkelt portal, der er designet med alle en Partners behov i tankerne. Da Power BI Embedded-baserede løsninger typisk er designet til at være flerlejere, gør det det nemmere at sikre isolation mellem partnerorganisationer.

Årsager til at vælge dette alternativ:

  • Nemmere at administrere i takt med, at antallet af partnerorganisationer vokser. Da partnere føjes til en separat mappe, der er isoleret fra Contosos interne Microsoft Entra-mappe, forenkles it-virksomhedens styringsopgaver og hjælper med at forhindre utilsigtet deling af interne data til eksterne brugere.
  • Typiske partnerportaler er meget brandede oplevelser med ensartede oplevelser på tværs af partnere og strømlinet for at imødekomme typiske partneres behov. Contoso kan derfor tilbyde partnerne en bedre samlet oplevelse ved at integrere alle de påkrævede tjenester i en enkelt portal.
  • Licensomkostninger til avancerede scenarier, f.eks. Redigering af indhold i Power BI Embedded, er dækket af den Azure-købte Power BI Premium og kræver ikke tildeling af Power BI Pro-licenser til disse brugere.
  • Giver bedre isolation på tværs af partnere, hvis den er udformet som en løsning med flere lejere.
  • Partnerportalen indeholder ofte andre værktøjer til partnere ud over Power BI-rapporter, dashboards og apps.

Årsager til ikke at vælge dette alternativ:

  • Der kræves en betydelig indsats for at bygge, drive og vedligeholde en sådan portal, hvilket gør den til en betydelig investering i ressourcer og tid.
  • Tid til løsning er meget længere end at bruge B2B-deling, da omhyggelig planlægning og udførelse på tværs af flere arbejdsstreams er påkrævet.
  • Hvis der er et mindre antal partnere, er den indsats, der kræves for dette alternativ, sandsynligvis for stor til at kunne begrundes.
  • Samarbejde med ad hoc-deling er det primære scenarie for din organisation.
  • Rapporterne og dashboards er forskellige for hver partner. Dette alternativ introducerer administrationsomkostninger ud over blot at dele direkte med partnere.

OFTE STILLEDE SPØRGSMÅL

Kan Contoso sende en invitation, der automatisk indløses, så brugeren bare er "klar til at gå"? Eller skal brugeren altid klikke sig igennem til URL-adressen til indløsning?

Slutbrugeren skal altid klikke sig igennem samtykkeoplevelsen, før vedkommende kan få adgang til indhold.

Hvis du inviterer mange gæstebrugere, anbefaler vi, at du uddelegerer dette fra dine microsoft Entra-kerneadministratorer ved at føje en bruger til rollen som gæsteinvitation i ressourceorganisationen. Denne bruger kan invitere andre brugere i partnerorganisationen ved hjælp af logonbrugergrænsefladen, PowerShell-scripts eller API'er. Dette reducerer den administrative byrde for dine Microsoft Entra-administratorer for at invitere eller sende invitationer til brugere i partnerorganisationen.

Kan Contoso gennemtvinge multifaktorgodkendelse for gæstebrugere, hvis partnerne ikke har multifaktorgodkendelse?

Ja. Du kan få flere oplysninger under Betinget adgang for B2B-samarbejdsbrugere.

Hvordan fungerer B2B-samarbejde, når den inviterede partner bruger sammenslutning til at tilføje deres egen godkendelse i det lokale miljø?

Hvis partneren har en Microsoft Entra-lejer, der er sammenkædet med godkendelsesinfrastrukturen i det lokale miljø, opnås enkeltlogon (SSO) automatisk. Hvis partneren ikke har en Microsoft Entra-lejer, kan der oprettes en Microsoft Entra-konto til nye brugere.

Kan jeg invitere gæstebrugere med forbrugermailkonti?

Invitation af gæstebrugere med forbrugermailkonti understøttes i Power BI. Dette omfatter domæner som hotmail.com, outlook.com og gmail.com. Disse brugere kan dog opleve begrænsninger ud over, hvad brugere med arbejds- eller skolekonti støder på.