Power BI-Implementierungsplanung: Mandanteneinrichtung

  • Artikel

Hinweis

Dieser Artikel ist Teil der Artikelreihe zur Power BI-Implementierungsplanung. Diese Reihe konzentriert sich hauptsächlich auf den Power BI-Workload innerhalb von Microsoft Fabric. Eine Einführung in die Artikelreihe finden Sie unter Power BI-Implementierungsplanung.

In diesem Artikel zur Mandanteneinrichtung werden wichtige Aspekte zum Einrichten Ihres Fabric-Mandanten vorgestellt, wobei der Schwerpunkt auf der Power BI-Benutzeroberfläche liegt. Er richtet sich an mehrere Zielgruppen:

  • Fabric-Administrator*innen: Administrator*innen, die für die Überwachung von Fabric in der Organisation verantwortlich sind
  • Microsoft Entra-Administrator*innen: Das Team, das für die Überwachung und Verwaltung von Microsoft Entra ID (ehemals Azure Active Directory) verantwortlich ist.

Fabric ist Teil eines größeren Microsoft-Ökosystems. Wenn Ihre Organisation bereits andere Cloudabonnementdienste wie Azure, Microsoft 365 oder Dynamics 365 verwendet, wird Fabric im selben Microsoft Entra-Mandanten ausgeführt. Ihre Organisationsdomäne (z. B. contoso.com) ist Microsoft Entra ID zugeordnet. Wie alle Microsoft-Clouddienste nutzt der Fabric-Mandant die Microsoft Entra ID-Instanz Ihrer Organisation für die Identitäts- und Zugriffsverwaltung.

Tipp

Viele Organisationen verfügen über eine lokale Active Directory-Umgebung (AD), die sie mit Microsoft Entra ID in der Cloud synchronisieren. Dieses Setup wird als hybride Identitätslösung bezeichnet. Dies überschreitet den Rahmen dieses Artikels. Es ist wichtig zu verstehen, dass Benutzer*innen, Gruppen und Dienstprinzipale in Microsoft Entra ID vorhanden sein müssen, damit eine cloudbasierte Suite mit Diensten wie Fabric funktioniert. Eine Lösung mit Hybrididentität funktioniert für Fabric. Es wird empfohlen, die beste Lösung für Ihre Organisation mit Ihren Microsoft Entra ID-Administrator*innen zu besprechen.

Weitere Informationen zu den Zuständigkeiten eines Fabric-Administrators finden Sie unter Mandantenverwaltung.

Microsoft Entra-Mandant

Die meisten Organisationen verfügen über einen Microsoft Entra-Mandanten, sodass ein Microsoft Entra-Mandant häufig eine Organisation darstellt.

In der Regel wird Microsoft Entra ID vor dem Beginn einer Fabric-Implementierung eingerichtet. Manchmal werden Sie sich jedoch erst bei der Bereitstellung eines Clouddiensts über die Bedeutung von Microsoft Entra ID klar.

Tipp

Da die meisten Organisationen über einen Microsoft Entra-Mandanten verfügen, kann es schwierig sein, neue Features isoliert zu erkunden. Eventuell sind Sie für einen Nicht-Produktionsentwicklermandanten über das Microsoft 365-Entwicklerprogramm berechtigt. Ausführliche Informationen finden Sie in den häufig gestellten Fragen (FAQ). Alternativ können Sie sich für eine 1-monatige kostenlose Testversion registrieren oder einen Microsoft 365-Plan erwerben.

Nicht verwalteter Mandant

Ein verwalteter Mandant weist eine*n globale*n Administrator*in auf, der oder die in Microsoft Entra ID zugewiesen ist. Wenn für eine Organisationsdomäne (z. B. contoso.com) kein Microsoft Entra-Mandant vorhanden ist, wird ein nicht verwalteter Mandant in Microsoft Entra ID erstellt, wenn sich der*die erste Benutzer*in aus dieser Organisation für eine Fabric-Testversion oder ein Fabric-Konto registriert. Ein nicht verwalteter Mandant wird auch als Schattenmandant oder im Self-Service erstellter Mandant bezeichnet. Es weist eine grundlegende Konfiguration auf, sodass der Clouddienst ohne Zuweisen globaler Administrator*innen funktioniert.

Um Fabric ordnungsgemäß zu verwalten, zu konfigurieren und zu unterstützen, ist ein verwalteter Mandant erforderlich. Es gibt ein Verfahren, dem Systemadministrator*innen folgen können, um einen nicht verwalteten Mandanten zu übernehmen, damit sie ihn im Namen der Organisation ordnungsgemäß verwalten können.

Tipp

Die Verwaltung von Microsoft Entra ID ist ein breit angelegtes und tiefgreifendes Thema. Es wird empfohlen, bestimmte Personen in Ihrer IT-Abteilung als Systemadministrator*innen zuzuweisen, um Microsoft Entra ID für Ihre Organisation sicher zu verwalten.

Checkliste: Beim Überprüfen Ihres Microsoft Entra-Mandanten für die Verwendung mit Fabric sind die folgenden wichtigen Entscheidungen und Maßnahmen zu berücksichtigen:

  • Übernehmen Sie den Mandanten: Initiieren Sie gegebenenfalls den Prozess zum Übernehmen eines nicht verwalteten Mandanten.
  • Vergewissern Sie sich, dass der Microsoft Entra-Mandant verwaltet wird: Überprüfen Sie, ob Ihre Systemadministrator*innen Ihren Microsoft Entra-Mandanten aktiv verwalten.

Mandanten-ID für externe Benutzer*innen

Sie müssen sich damit auseinandersetzen, wie Benutzer*innen auf Ihren Mandanten zugreifen, wenn Sie über externe Benutzer*innen (z. B. Kund*innen, Partner*innen oder Anbieter*innen) verfügen oder wenn interne Benutzer*innen auf einen anderen Mandanten außerhalb der Organisation zugreifen müssen. Für den Zugriff auf einen anderen Organisationsmandanten wird eine geänderte URL verwendet.

Jeder Microsoft Entra-Mandant verfügt über einen global eindeutigen Bezeichner (GUID), der als Mandanten-ID bezeichnet wird. In Fabric wird sie als Kundenmandanten-ID (Customer Tenant ID, CTID) bezeichnet. Die CTID wird an das Ende der Mandanten-URL angefügt. Sie finden die CTID im Fabric-Portal. Öffnen Sie dazu das Dialogfeld Informationen zu Microsoft Fabric. Sie steht im Menü Hilfe & Support (?) rechts oben im Fabric-Portal zur Verfügung.

Die Kenntnis Ihrer CTID ist für Microsoft Entra B2B-Szenarien wichtig. An URLs, die Sie externen Benutzer*innen bereitstellen (z. B. zum Anzeigen eines Power BI-Berichts), muss der CTID-Parameter angefügt sein, um auf den richtigen Mandanten zuzugreifen.

Wenn Sie mit externen Benutzer*innen zusammenarbeiten oder diesen Inhalte zur Verfügung stellen möchten, empfiehlt es sich, benutzerdefiniertes Branding einzurichten. Wenn Sie ein Logo, ein Titelbild und ein Design verwenden, können Benutzer*innen leichter erkennen, auf welchen Organisationsmandanten sie zugreifen.

Prüfliste: Das Erteilen von Berechtigungen zum Anzeigen Ihrer Inhalte oder bei mehreren Mandanten an externe Benutzer*innen umfasst folgende wichtige Entscheidungen und Aktionen:

  • Schließen Sie Ihre CTID in relevante Benutzerdokumentation ein: Halten Sie die URL mit angehängter Mandanten-ID (CTID) in der Benutzerdokumentation fest.
  • Richten Sie benutzerdefiniertes Branding in Fabric ein: Richten Sie im Fabric-Verwaltungsportal benutzerdefiniertes Branding ein, um Benutzer*innen das Identifizieren des Organisationsmandanten zu erleichtern.

Microsoft Entra-Administrator*innen

Fabric-Administrator*innen müssen regelmäßig mit den Microsoft Entra-Administrator*innen zusammenarbeiten.

Die folgende Liste enthält einige verbreitete Gründe für die Zusammenarbeit zwischen Fabric-Administrator*innen und Microsoft Entra-Administrator*innen.

  • Sicherheitsgruppen: Sie müssen neue Sicherheitsgruppen erstellen, um die Fabric-Mandanteneinstellungen ordnungsgemäß zu verwalten. Möglicherweise benötigen Sie auch neue Gruppen zum Sichern von Arbeitsbereichsinhalten oder zum Verteilen von Inhalten.
  • Sicherheitsgruppenbesitz: Möglicherweise sollten Sie einen Gruppenbesitzer zuweisen, um bei den Personen, die eine Gruppe verwalten können, flexibler zu sein. Beispielsweise könnte es effizienter sein, dem Center of Excellence (COE) zu ermöglichen, die Mitgliedschaften bestimmter Fabric-spezifischer Gruppen zu verwalten.
  • Dienstprinzipale: Möglicherweise müssen Sie eine Microsoft Entra-App-Registrierung erstellen, um einen Dienstprinzipal bereitzustellen. Die Authentifizierung mit einem Dienstprinzipal ist eine empfohlene Methode, wenn ein*e Fabric-Administrator*in unbeaufsichtigte, geplante Skripts ausführen möchte, die Daten mithilfe der Administrator-APIs extrahieren, oder wenn Inhalte in eine Anwendung eingebettet werden sollen.
  • Externe Benutzer*innen: Sie müssen wissen, wie die Einstellungen für externe Benutzer*innen (Gäste) in Microsoft Entra ID eingerichtet sind. Es gibt mehrere Fabric-Mandanteneinstellungen im Zusammenhang mit externen Benutzer*innen, und diese basieren auf der Einrichtung von Microsoft Entra ID. Außerdem können bestimmte Sicherheitsfunktionen für die Power BI-Workload nur verwendet werden, wenn Sie den Ansatz der geplanten Einladung für externe Benutzer*innen in Microsoft Entra ID nutzen.
  • Richtlinien für die Echtzeitsteuerung: Sie können sich selbst entscheiden, Richtlinien für die Echtzeitsitzungssteuerung einzurichten, die sowohl Microsoft Entra ID als auch Microsoft Defender for Cloud Apps umfasst. Beispielsweise können Sie den Download eines Power BI-Berichts untersagen, wenn er eine bestimmte Vertraulichkeitsbezeichnung aufweist.

Weitere Informationen finden Sie unter Zusammenarbeit mit anderen Administratoren.

Checkliste: Beim Gestalten der Zusammenarbeit mit Ihren Microsoft Entra-Administrator*innen sind die folgenden wichtigen Entscheidungen und Maßnahmen zu berücksichtigen:

  • Identifizieren Sie Ihre Microsoft Entra-Administrator*innen: Stellen Sie sicher, dass Sie die Microsoft Entra-Administrator*innen für Ihre Organisation kennen. Seien Sie bereit, bei Bedarf mit ihnen zu arbeiten.
  • Beziehen Sie Ihre Microsoft Entra-Administrator*innen ein: Während Sie den Prozess für die Implementierungsplanung durchlaufen, laden Sie Microsoft Entra-Administrator*innen zu anstehenden Besprechungen ein, und binden Sie sie in die relevante Entscheidungsfindung ein.

Standort für den Datenspeicher

Wenn ein neuer Mandant erstellt wird, werden Ressourcen in Azure bereitgestellt, der Cloud Computing-Plattform von Microsoft. Ihr geografischer Standort wird zur Startregion für Ihren Mandanten. Die Startregion wird auch als Standarddatenregion bezeichnet.

Startregion

Die Startregion ist aus folgenden Gründen wichtig:

  • Die Leistung von Berichten und Dashboards hängt teilweise davon ab, wie nah sich Benutzer*innen beim Mandantenstandort befinden.
  • Es kann rechtliche oder behördliche Gründe dafür geben, die Daten der Organisation in einer bestimmten Jurisdiktion zu speichern.

Die Startregion für den Mandanten der Organisation wird auf den Standort des ersten Benutzers bzw. der ersten Benutzerin festgelegt, der bzw. die sich registriert. Wenn sich die meisten Ihrer Benutzer*innen in einer anderen Region befinden, ist diese Region möglicherweise nicht die beste Wahl.

Sie können die Startregion für Ihren Mandanten ermitteln, indem Sie im Fabric-Portal das Dialogfeld Informationen zu Microsoft Fabric öffnen. Die Region wird neben der Bezeichnung Ihre Daten sind gespeichert in angezeigt.

Möglicherweise stellen Sie fest, dass sich Ihr Mandant in einer nicht idealen Region befindet. Sie können das Multi-Geo-Feature verwenden, indem Sie eine Kapazität in einer bestimmten Region erstellen (im nächsten Abschnitt beschrieben), oder Sie können sie verschieben. Zum Verschieben Ihres Mandanten in eine andere Region muss sollte Ihr globaler Microsoft 365-Administrator bzw. Ihre globale Microsoft 365-Administratorin eine Supportanfrage öffnen.

Die Verschiebung eines Mandanten in eine andere Region ist kein vollständig automatisierter Prozess, und es tritt eine gewisse Downtime auf. Berücksichtigen Sie unbedingt die Voraussetzungen und erforderlichen Aktionen vor und nach dem Verschieben.

Tipp

Wenn Sie feststellen, dass eine Verschiebung notwendig ist, wird aus Gründen des großen Aufwands empfohlen, sie möglichst früh umzusetzen.

Prüfliste: Das Auswählen der Startregion zum Speichern Ihrer Daten im Mandanten umfasst folgende wichtige Entscheidungen und Aktionen:

  • Identifizieren Sie Ihre Startregion: Bestimmen Sie die Startregion für Ihren Mandanten.
  • Initiieren Sie die Verschiebung Ihres Mandanten: Wenn Sie feststellen, dass sich Ihr Mandant in einer ungeeigneten geografischen Region befindet (und dies nicht mit dem Multi-Geo-Feature behoben werden kann), recherchieren Sie, wie Sie den Mandanten verschieben können.

Andere spezifische Datenregionen

Bei einigen Organisationen liegen Anforderungen an die Datenresidenz vor. Datenresidenzanforderungen umfassen in der Regel regulatorische oder branchenspezifische Anforderungen zum Speichern von Daten in einer bestimmten geografischen Region. Anforderungen für Datenhoheit sind ähnlich, aber strenger, da die Daten den Gesetzen des Landes oder der Region unterliegen, in dem/der sie gespeichert sind. Einige Organisationen verfügen auch über Datenlokalisierungsanforderungen, die festlegen, dass innerhalb bestimmter Grenzen erstellte Daten auch innerhalb dieser Grenzen verbleiben müssen.

Behördliche, branchenspezifische oder rechtliche Anforderungen können erfordern, dass Sie bestimmte Daten an einem anderen Ort als in der Startregion (im vorherigen Abschnitt beschrieben) speichern. In diesen Situationen können Sie die Multi-Geo-Funktion nutzen, indem Sie eine Kapazität in einer bestimmten Region erstellen. In diesem Fall müssen Sie Arbeitsbereiche der richtigen Kapazität zuweisen, um sicherzustellen, dass die Arbeitsbereichsdaten am gewünschten geografischen Standort gespeichert werden.

Multi-Geo-Unterstützung ermöglicht Organisationen Folgendes:

  • Erfüllen der Anforderungen an die Datenverwaltung für ruhende Daten
  • Verbessern der Fähigkeit, Daten in der Nähe der Benutzerbasis zu speichern

Hinweis

Das Multi-Geo-Feature ist mit jeder Art von Kapazitätslizenz verfügbar (außer mit einer freigegebenen Kapazität). Mit Premium-Einzelbenutzerlizenz (Premium Per User, PPU) ist es nicht verfügbar, da Daten in Arbeitsbereichen, die PPU zugewiesen sind, immer in der Startregion gespeichert werden (genau wie freigegeben Kapazität).

Prüfliste: Das Auswählen anderer spezifischer Datenregionen für Ihren Mandanten umfasst folgende wichtige Entscheidungen und Aktionen:

  • Identifizieren Sie Datenresidenzanforderungen: Ermitteln Sie, welche Anforderungen für die Datenresidenz gelten. Identifizieren Sie, welche Regionen geeignet sind und welche Benutzer*innen möglicherweise beteiligt sind.
  • Befassen Sie sich mit der Nutzung des Multi-Geo-Features: Setzen Sie sich in bestimmten Situationen, in denen Daten an einem anderen Ort als der Startregion gespeichert werden sollen, mit der Aktivierung des Multi-Geo-Features auseinander.

Zugehöriger Inhalt

Weitere Überlegungen, Aktionen, Entscheidungskriterien und Empfehlungen für Power BI-Implementierungsentscheidungen finden Sie unter Power BI-Implementierungsplanung.

Tipp

Um zu erfahren, wie Sie einen Fabric-Mandanten verwalten, empfehlen wir Ihnen, das Modul Verwalten von Microsoft Fabric durchzuarbeiten