Distribución del contenido de Power BI a usuarios invitados externos mediante Azure Active Directory B2B

Resumen: Se trata de una guía técnica que describe cómo distribuir contenido a los usuarios fuera de la organización mediante la integración de Azure Active Directory Business-to-business (Azure AD B2B).

Escritores: Lukasz Pawlowski, Kasper de Jonge

Revisores técnicos: Adam Wilson, Shenhav, Nimrod Shalit, Elizabeth Olson, Sergio Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elizabeth Olson

Nota

Para guardar o imprimir estas notas del producto, haga clic en Imprimir en el explorador y después en Guardar como PDF.

Introducción

Power BI ofrece a las organizaciones una visión de 360 grados de su negocio y permite a todos los usuarios de estas organizaciones tomar decisiones inteligentes mediante datos. Muchas de estas organizaciones tienen relaciones sólidas y de confianza con asociados externos, clientes y contratistas. Estas organizaciones deben proporcionar acceso seguro a los paneles e informes de Power BI a los usuarios de estos asociados externos.

Power BI se integra con Azure Active Directory Business-to-business (Azure AD B2B) para permitir la distribución segura del contenido de Power BI a los usuarios invitados fuera de la organización, a la vez que mantiene el control y el control del acceso a los datos internos.

En estas notas del producto se describen todos los detalles que necesita para comprender la integración de Power BI con Azure Active Directory B2B. Tratamos su caso de uso más común, la configuración, las licencias y la seguridad de nivel de fila.

Nota

A lo largo de estas notas del producto, nos referimos a Azure Active Directory como Azure AD y Azure Active Directory Business to Business como Azure AD B2B.

Escenarios

Contoso es un fabricante de automóviles y trabaja con muchos proveedores diversos que lo proporcionan con todos los componentes, materiales y servicios necesarios para ejecutar sus operaciones de fabricación. Contoso quiere simplificar su logística de la cadena de suministro y planea usar Power BI para supervisar las métricas clave de rendimiento de su cadena de suministro. Contoso quiere compartir con asociados externos de la cadena de suministro análisis de forma segura y manejable.

Contoso puede habilitar las siguientes experiencias para los usuarios externos mediante Power BI y Azure AD B2B.

Uso compartido ad hoc por elemento

Contoso trabaja con un proveedor que construye radiadores para automóviles de Contoso. A menudo, necesitan optimizar la confiabilidad de los radiadores mediante datos de todos los coches de Contoso. Un analista de Contoso usa Power BI para compartir un informe de confiabilidad del radiador con un ingeniero en el proveedor. El ingeniero recibe un correo electrónico con un vínculo para ver el informe.

Como se ha descrito anteriormente, los usuarios empresariales realizan este uso compartido ad hoc según sea necesario. El vínculo enviado por Power BI al usuario externo es un vínculo de invitación de Azure AD B2B. Cuando el usuario externo abre el vínculo, se les pide que se unan a la organización de Azure AD de Contoso como usuario invitado. Una vez aceptada la invitación, el vínculo abre el informe o panel específicos. El administrador de Azure Active Directory delega el permiso para invitar a usuarios externos a la organización y elige lo que esos usuarios pueden hacer una vez que acepten la invitación, tal como se describe en la sección Gobernanza de este documento. El analista de Contoso solo puede invitar al usuario invitado porque el administrador de Azure AD permitió esa acción y el administrador de Power BI permitía a los usuarios invitar a los invitados a ver el contenido en la configuración del inquilino de Power BI.

Invitar a invitados a Power BI mediante AAD

  1. El proceso comienza con un usuario interno de Contoso que comparte un panel o un informe con un usuario externo. Si el usuario externo aún no es invitado en Azure AD de Contoso, se les invita. Se envía un correo electrónico a su dirección de correo electrónico que incluye una invitación a Azure AD de Contoso.
  2. El destinatario acepta la invitación a Azure AD de Contoso y se agrega como usuario invitado en Azure AD de Contoso.
  3. A continuación, el destinatario se redirige al panel, informe o aplicación de Power BI, que son de solo lectura para el usuario.

El proceso se considera ad hoc, ya que los usuarios empresariales de Contoso realizan la acción de invitación según sea necesario para sus fines empresariales. Cada elemento compartido es un único vínculo al que el usuario externo puede acceder para ver el contenido.

Una vez que se ha invitado al usuario externo a acceder a los recursos de Contoso, se puede crear una cuenta instantánea para ellos en Contoso Azure AD y no es necesario volver a invitarla. La primera vez que intentan acceder a un recurso de Contoso como un panel de Power BI, pasan por un proceso de consentimiento, que canjea la invitación. Si no completan el consentimiento, no podrán acceder a ningún contenido de Contoso. Si tienen problemas para canjear su invitación a través del vínculo original proporcionado, un administrador de Azure AD puede reenviar un vínculo de invitación específico para que los canjeen.

Uso compartido planeado por elemento

Contoso trabaja con un subcontratista para realizar análisis de confiabilidad de radiadores. El subcontratista tiene un equipo de 10 personas que necesitan acceso a los datos en el entorno de Power BI de Contoso. El administrador de Azure AD de Contoso está implicado para invitar a todos los usuarios y controlar las adiciones o cambios como personal en el cambio del subcontratista. El administrador de Azure AD crea un grupo de seguridad para todos los empleados del subcontratista. Con el grupo de seguridad, los empleados de Contoso pueden administrar fácilmente el acceso a los informes y garantizar que todo el personal subcontratista necesario tenga acceso a todos los informes, paneles y aplicaciones de Power BI necesarios. El administrador de Azure AD también puede evitar participar en el proceso de invitación por completo si elige delegar derechos de invitación a un empleado de confianza en Contoso o en el subcontratista para garantizar la administración oportuna del personal.

Algunas organizaciones requieren más control sobre cuándo se agregan usuarios externos, invitan a muchos usuarios de una organización externa o a muchas organizaciones externas. En estos casos, el uso compartido planeado se puede usar para administrar la escala de uso compartido, para aplicar directivas organizativas e incluso delegar derechos a usuarios de confianza para invitar y administrar usuarios externos. Azure AD B2B admite invitaciones planeadas que un administrador de TI envía directamente desde el Azure Portal, o a través de PowerShell mediante la API del administrador de invitaciones donde se puede invitar a un conjunto de usuarios en una acción. Con el enfoque de invitaciones planeadas, la organización puede controlar quién puede invitar a los usuarios e implementar procesos de aprobación. Las funcionalidades avanzadas de Azure AD, como los grupos dinámicos, pueden facilitar el mantenimiento automático de la pertenencia a grupos de seguridad.

Controlar qué invitados pueden ver el contenido

  1. El proceso comienza con un administrador de TI que invita al usuario invitado manualmente o a través de la API proporcionada por Azure Active Directory.
  2. El usuario acepta la invitación a la organización.
  3. Una vez que el usuario haya aceptado la invitación, un usuario de Power BI puede compartir un informe o panel con el usuario externo o un grupo de seguridad en el que se encuentran. Al igual que con el uso compartido normal en Power BI, el usuario externo recibe un correo electrónico con el vínculo al elemento.
  4. Cuando el usuario externo accede al vínculo, su autenticación en su directorio se pasa a Azure AD de Contoso y se usa para obtener acceso al contenido de Power BI.

Uso compartido ad hoc o planeado de aplicaciones de Power BI

Contoso tiene un conjunto de informes y paneles que deben compartir con uno o varios proveedores. Para asegurarse de que todos los usuarios externos necesarios tienen acceso a este contenido, se empaqueta como una aplicación de Power BI. Los usuarios externos se agregan directamente a la lista de acceso a la aplicación o a través de grupos de seguridad. A continuación, alguien de Contoso envía la dirección URL de la aplicación a todos los usuarios externos, por ejemplo, en un correo electrónico. Cuando los usuarios externos abren el vínculo, ven todo el contenido en una sola experiencia fácil de navegar.

El uso de una aplicación de Power BI facilita a Contoso la compilación de un portal de BI para sus proveedores. Una única lista de acceso controla el acceso a todo el contenido necesario, lo que reduce la comprobación de tiempo y la configuración de permisos de nivel de elemento. Azure AD B2B mantiene el acceso de seguridad mediante la identidad nativa del proveedor para que los usuarios no necesiten credenciales de inicio de sesión adicionales. Si usa invitaciones planeadas con grupos de seguridad, se simplifica la administración de acceso a la aplicación a medida que el personal gira hacia o fuera del proyecto. Pertenencia a grupos de seguridad manualmente o mediante grupos dinámicos, de modo que todos los usuarios externos de un proveedor se agreguen automáticamente al grupo de seguridad adecuado.

Control del contenido con AAD

  1. El proceso se inicia mediante la invitación del usuario a la organización de Azure AD de Contoso a través de la Azure Portal o PowerShell.
  2. El usuario se puede agregar a un grupo de usuarios en Azure AD. Se puede usar un grupo de usuarios estático o dinámico, pero los grupos dinámicos ayudan a reducir el trabajo manual.
  3. A los usuarios externos se les concede acceso a la aplicación de Power BI a través del grupo de usuarios. La dirección URL de la aplicación se debe enviar directamente al usuario externo o colocarla en un sitio al que tienen acceso. Power BI hace un mejor esfuerzo para enviar un correo electrónico con el vínculo de la aplicación a usuarios externos, pero cuando se usan grupos de usuarios cuya pertenencia puede cambiar, Power BI no puede enviar a todos los usuarios externos administrados a través de grupos de usuarios.
  4. Cuando el usuario externo accede a la dirección URL de la aplicación de Power BI, se autentica mediante Azure AD de Contoso, la aplicación se instala para el usuario y el usuario puede ver todos los informes y paneles contenidos dentro de la aplicación.

Las aplicaciones también tienen una característica única que permite a los autores de aplicaciones instalar la aplicación automáticamente para el usuario, por lo que está disponible cuando el usuario inicia sesión. Esta característica solo se instala automáticamente para los usuarios externos que ya forman parte de la organización de Contoso en el momento en que la aplicación se publica o actualiza. Por lo tanto, se usa mejor con el enfoque de invitaciones planeadas y depende de la aplicación que se publique o actualice después de que los usuarios se agreguen a Azure AD de Contoso. Los usuarios externos siempre pueden instalar la aplicación mediante el vínculo de la aplicación.

Comentarios y suscripción al contenido entre organizaciones

A medida que Contoso sigue trabajando con sus subcontratistas o proveedores, los ingenieros externos deben trabajar estrechamente con los analistas de Contoso. Power BI proporciona varias características de colaboración que ayudan a los usuarios a comunicarse sobre el contenido que pueden consumir. Los comentarios del panel (y pronto comentarios de informes) permiten a los usuarios analizar los puntos de datos que ven y se comunican con los autores de informes para formular preguntas.

Actualmente, los usuarios invitados externos pueden participar en comentarios dejando comentarios y leyendo las respuestas. Sin embargo, a diferencia de los usuarios internos, los usuarios invitados no pueden ser @mentioned y no reciben notificaciones que han recibido un comentario. En una próxima versión, esas restricciones se levantarán y el usuario invitado recibirá un correo electrónico cuando un comentario les haga un comentario @mentions . Los usuarios invitados pueden usar la característica de suscripciones de Power BI para suscribirse a un informe o panel. Obtenga más información en Email suscripciones para informes y paneles en el servicio Power BI.

Acceso al contenido en las aplicaciones móviles de Power BI

En una próxima versión, cuando los usuarios de Contoso compartan informes o paneles con sus homólogos invitados externos, Power BI enviará un correo electrónico que notifique al invitado. Cuando el usuario invitado abra el vínculo al informe o panel en su dispositivo móvil, el contenido se abrirá en las aplicaciones móviles nativas de Power BI en su dispositivo, si están instalados. A continuación, el usuario invitado podrá navegar entre el contenido compartido con ellos en el inquilino externo y volver a su propio contenido desde su inquilino principal.

Nota

El usuario invitado no puede abrir la aplicación móvil de Power BI y navegar inmediatamente al inquilino externo, debe empezar con un vínculo a un elemento del inquilino externo. Las soluciones alternativas comunes se describen en la sección Distribución de vínculos a contenido en la sección Power BI de la organización primaria más adelante en este documento.

Edición y administración entre organizaciones del contenido de Power BI

Contoso y sus proveedores y subcontratistas trabajan cada vez más estrechamente juntos. A menudo, un analista del subcontratista necesita que se agreguen métricas o visualizaciones de datos adicionales a un informe que Contoso ha compartido con ellos. Los datos deben residir en el inquilino de Power BI de Contoso, pero los usuarios externos deben poder editarlos, crear nuevo contenido e incluso distribuirlos a los usuarios adecuados.

Power BI proporciona una opción que permite a los usuarios invitados externos editar y administrar contenido en la organización. De manera predeterminada, los usuarios externos tienen una experiencia orientada al consumo de solo lectura. Sin embargo, esta configuración nueva permite al administrador de Power BI elegir los usuarios externos que pueden editar y administrar el contenido dentro de su propia organización. Una vez que tiene la autorización, el usuario externo puede editar informes, paneles, publicar o actualizar aplicaciones, trabajar en áreas de trabajo y conectarse a los datos que tiene permiso para usar.

Este escenario se describe en detalle en la sección Habilitación de usuarios externos para editar y administrar contenido en Power BI más adelante en este documento.

Relaciones organizativas mediante Power BI y Azure AD B2B

Cuando todos los usuarios de Power BI son internos de la organización, no es necesario usar Azure AD B2B. Sin embargo, una vez que dos o más organizaciones desean colaborar en datos e información, la compatibilidad de Power BI con Azure AD B2B facilita y rentable hacerlo.

A continuación se suelen encontrar estructuras organizativas adecuadas para la colaboración entre organizaciones de estilo B2B de Azure AD en Power BI. Azure AD B2B funciona bien en la mayoría de los casos, pero en algunas situaciones los enfoques alternativos comunes tratados al final de este documento merecen la pena tener en cuenta.

Caso 1: Colaboración directa entre organizaciones

La relación de Contoso con su proveedor de radiadores es un ejemplo de colaboración directa entre organizaciones. Dado que hay relativamente pocos usuarios en Contoso y su proveedor que necesitan acceso a la información de confiabilidad del radiador, el uso compartido externo basado en Azure AD B2B es ideal. Es fácil de usar y fácil de administrar. También es un patrón común en los servicios de consultoría en los que es posible que un consultor necesite crear contenido para una organización.

Compartir entre organizaciones

Normalmente, este uso compartido se produce inicialmente mediante el uso compartido ad hoc por elemento. Sin embargo, a medida que los equipos crecen o se profundizan las relaciones, el enfoque planeado por uso compartido de elementos se convierte en el método preferido para reducir la sobrecarga de administración. Además, el uso compartido ad hoc o planeado de aplicaciones de Power BI, comentarios y suscripción al contenido entre organizaciones, el acceso al contenido de las aplicaciones móviles también puede entrar en juego, y la edición y administración entre organizaciones del contenido de Power BI. Importantemente, si los usuarios de ambas organizaciones tienen licencias de Power BI Pro en sus respectivas organizaciones, pueden usar esas licencias Pro en los entornos de Power BI entre sí. Esto proporciona licencias ventajosas, ya que es posible que la organización que invita no tenga que pagar una licencia de Power BI Pro para los usuarios externos. Esto se describe con más detalle en la sección Licencias más adelante en este documento.

Caso 2: Matriz y sus subsidiarias o filiales

Algunas estructuras de la organización son más complejas, incluidas las subsidiarias de propiedad parcial o total, las empresas afiliadas o las relaciones de proveedores de servicios administrados. Estas organizaciones tienen una organización primaria, como una empresa de retención, pero las organizaciones subyacentes operan de forma semiautonómica, a veces bajo requisitos regionales diferentes. Esto conduce a que cada organización tenga su propio entorno de Azure AD y a inquilinos de Power BI independientes.

Trabajar con subsidiarias

En esta estructura, la organización primaria normalmente necesita distribuir información estandarizada a sus subsidiarias. Normalmente, este uso compartido se produce mediante el enfoque Ad hoc o planeado de aplicaciones de Power BI, como se muestra en la imagen siguiente, ya que permite la distribución de contenido autoritativo estandarizado a audiencias amplias. En la práctica se usa una combinación de todos los escenarios mencionados anteriormente en este documento.

Combinación de escenarios

Esto sigue el siguiente proceso:

  1. Se invita a los usuarios de cada filial a Azure AD de Contoso.
  2. A continuación, se publica la aplicación power BI para conceder a estos usuarios acceso a los datos necesarios.
  3. Por último, los usuarios abren la aplicación a través de un vínculo que se les ha dado para ver los informes.

En esta estructura se enfrentan varios desafíos importantes:

  • Cómo distribuir vínculos a contenido en Power BI de la organización primaria
  • Cómo permitir que los usuarios subsidiarios accedan al origen de datos hospedado por la organización primaria

Normalmente se usan tres enfoques para distribuir vínculos al contenido. La primera y la más básica es enviar el vínculo a la aplicación a los usuarios necesarios o colocarlo en un sitio de SharePoint Online desde el que se puede abrir. A continuación, los usuarios pueden marcar el vínculo en sus exploradores para obtener acceso más rápido a los datos que necesitan.

El segundo enfoque se basa en la edición y administración entre organizaciones de la funcionalidad de contenido de Power BI. La organización primaria permite a los usuarios de las subsidiarias acceder a sus Power BI y controla lo que pueden acceder a través del permiso. Esto proporciona acceso a Inicio de Power BI donde el usuario de la filial ve una lista completa de contenido compartido en el inquilino de la organización primaria. A continuación, se asigna la dirección URL al entorno de Power BI de las organizaciones primarias a los usuarios de las subsidiarias.

El enfoque final usa una aplicación de Power BI creada dentro del inquilino de Power BI para cada filial. La aplicación Power BI incluye un panel con iconos configurados con la opción de vínculo externo. Cuando el usuario presiona el icono, se le lleva al informe, el panel o la aplicación adecuados en Power BI de la organización primaria. Este enfoque tiene la ventaja adicional de que la aplicación se puede instalar automáticamente para todos los usuarios de la filial y está disponible para ellos siempre que inicien sesión en su propio entorno de Power BI. Una ventaja adicional de este enfoque es que funciona bien con las aplicaciones móviles de Power BI que pueden abrir el vínculo de forma nativa. También puede combinar esto con el segundo enfoque para facilitar el cambio entre entornos de Power BI.

Permitir que los usuarios subsidiarios accedan a orígenes de datos hospedados por la organización primaria

A menudo, los analistas de una filial necesitan crear su propio análisis mediante los datos proporcionados por la organización primaria. En este caso, normalmente se usan orígenes de datos en la nube para abordar el desafío.

El primer enfoque aprovecha Azure Analysis Services para crear un almacenamiento de datos de nivel empresarial que sirva a las necesidades de los analistas en el primario y sus subsidiarias, como se muestra en la imagen siguiente. Contoso puede hospedar los datos y usar funcionalidades como la seguridad de nivel de fila para asegurarse de que los usuarios de cada filial solo pueden acceder a sus datos. Los analistas de cada organización pueden acceder al almacenamiento de datos a través de Power BI Desktop y publicar análisis resultantes en sus respectivos inquilinos de Power BI.

Cómo se produce el uso compartido con inquilinos de Power BI

El segundo enfoque aprovecha Azure SQL Database para crear un almacenamiento de datos relacional para proporcionar acceso a los datos. Esto funciona de forma similar al enfoque de Azure Analysis Services, aunque algunas funcionalidades como la seguridad de nivel de fila pueden ser más difíciles de implementar y mantener entre subsidiarias.

Los enfoques más sofisticados también son posibles, pero lo anterior es, con mucho, el más común.

Caso 3: Entorno compartido entre asociados

Contoso puede participar en una asociación con un competidor para construir conjuntamente un automóvil en una línea de montaje compartida, pero para distribuir el vehículo bajo diferentes marcas o en regiones diferentes. Esto requiere una amplia colaboración y copropiedad de datos, inteligencia y análisis en todas las organizaciones. Esta estructura también es común en el sector de servicios de consultoría donde un equipo de consultores puede realizar análisis basados en proyectos para un cliente.

Entorno compartido entre asociados

En la práctica, estas estructuras son complejas, como se muestra en la imagen siguiente, y requieren que el personal mantenga. Para ser eficaz, esta estructura se basa en la edición y administración entre organizaciones de la funcionalidad de contenido de Power BI, ya que permite a las organizaciones reutilizar Power BI Pro licencias adquiridas para sus respectivos inquilinos de Power BI.

Licencias y contenido de la organización compartida

Para establecer un inquilino de Power BI compartido, es necesario crear una instancia de Azure Active Directory y, al menos, una cuenta de usuario de Power BI Pro debe adquirirse para un usuario de esa instancia de Active Directory. Este usuario invita a los usuarios necesarios a la organización compartida. Lo importante es que, en este escenario, los usuarios de Contoso se tratan como usuarios externos cuando operan dentro de Power BI de la organización compartida.

El proceso es el siguiente:

  1. La organización compartida se establece como una nueva instancia de Azure Active Directory y se crea al menos una cuenta de usuario en la nueva organización. Ese usuario debe tener asignada una licencia de Power BI Pro.
  2. A continuación, este usuario establece un inquilino de Power BI e invita a los usuarios necesarios de Contoso y a la organización partner. El usuario también establece los recursos de datos compartidos, como Azure Analysis Services. Contoso y los usuarios del partner pueden acceder a Power BI de la organización compartida como usuarios invitados. Si se permite editar y administrar contenido en Power BI, los usuarios externos pueden usar la página principal de Power BI, usar áreas de trabajo, cargar o editar contenido y compartir informes. Normalmente, todos los recursos compartidos se almacenan y se accede a ellos desde la organización compartida.
  3. En función de cómo las partes acepten colaborar, es posible que cada organización desarrolle sus propios datos y análisis propietarios mediante recursos de almacenamiento de datos compartidos. Pueden distribuirlos a sus respectivos usuarios internos mediante sus inquilinos internos de Power BI.

Caso 4: Distribución a cientos o miles de asociados externos

Aunque Contoso creó un informe de confiabilidad del radiador para un proveedor, ahora Contoso desea crear un conjunto de informes estandarizados para cientos de proveedores. Esto permite a Contoso asegurarse de que todos los proveedores tienen el análisis que necesitan para realizar mejoras o corregir defectos de fabricación.

Distribución a muchos asociados

Cuando una organización necesita distribuir datos estandarizados e información a muchos usuarios o organizaciones externos, puede usar el escenario Ad hoc o planeado de Aplicaciones de Power BI para crear un portal de BI rápidamente y sin costos de desarrollo extensos. El proceso para compilar este portal mediante una aplicación de Power BI se trata en el caso práctico: Creación de un portal de BI mediante Power BI + Azure AD B2B: instrucciones paso a paso más adelante en este documento.

Una variante común de este caso es cuando una organización intenta compartir información con los consumidores, especialmente cuando se busca usar Azure B2C con Power BI. Power BI no admite de forma nativa Azure B2C. Si va a evaluar las opciones de este caso, considere la posibilidad de usar la opción 2 alternativa en la sección Enfoques alternativos comunes que encontrará más adelante en este documento.

Caso práctico: Creación de un portal de BI mediante Power BI + Azure AD B2B: instrucciones paso a paso

La integración de Power BI con Azure AD B2B proporciona a Contoso una forma sin problemas y sin problemas para proporcionar a los usuarios invitados acceso seguro a su portal de BI. Contoso puede configurarlo con tres pasos:

Creación de un portal

  1. Crear portal de BI en Power BI

    La primera tarea de Contoso es crear su portal de BI en Power BI. El portal de BI de Contoso constará de una colección de paneles e informes creados específicamente que estarán disponibles para muchos usuarios internos e invitados. La manera recomendada de hacerlo en Power BI es compilar una aplicación de Power BI. Obtenga más información sobre las aplicaciones en Power BI.

  • El equipo de BI de Contoso crea un área de trabajo en Power BI

    Trabajo

  • Otros autores se agregan al área de trabajo.

    Agregar autores

  • El contenido se crea dentro del área de trabajo.

    Creación de contenido dentro del área de trabajo

    Ahora que el contenido se crea en un área de trabajo, Contoso está listo para invitar a los usuarios invitados de las organizaciones asociadas a consumir este contenido.

  1. Invitar a usuarios externos

    Hay dos maneras de que Contoso invite a los usuarios invitados a su portal de BI en Power BI:

    • Invitaciones planeadas
    • Invitaciones ad hoc

    Invitaciones planeadas

    En este enfoque, Contoso invita a los usuarios invitados a su instancia de Azure AD con antelación y, a continuación, distribuye contenido de Power BI a ellos. Contoso puede invitar a usuarios invitados desde el Azure Portal o mediante PowerShell. Estos son los pasos para invitar a los usuarios invitados desde el Azure Portal:

    • El administrador de Azure AD de Contoso navega a Azure Portal>Azure Active DirectoryUsers All usersNew guest user (Usuarios> de Azure Active Directory >Todos los usuarios nuevos usuarios>)

    Usuario invitado

    • Agregue un mensaje de invitación para los usuarios invitados y haga clic en Invitar.

    Agregar invitación

    Nota

    Para invitar a usuarios invitados desde el Azure Portal, debe tener un administrador para Azure Active Directory del inquilino.

    Si Contoso quiere invitar a muchos usuarios invitados, puede hacerlo mediante PowerShell. El administrador de Azure AD de Contoso almacena las direcciones de correo electrónico de todos los usuarios invitados en un archivo CSV. Estos son el código de colaboración B2B de Azure Active Directory y ejemplos e instrucciones de PowerShell.

    Después de la invitación, los usuarios invitados reciben un correo electrónico con el vínculo de invitación.

    Vínculo de invitación

    Una vez que los usuarios invitados hacen clic en el vínculo, pueden acceder al contenido en el inquilino de Azure AD de Contoso.

    Nota

    Es posible cambiar el diseño del correo electrónico de invitación mediante la característica de personalización de marca de Azure AD, como se describe aquí.

    Invitaciones ad hoc

    ¿Qué ocurre si Contoso no conoce a todos los usuarios invitados que desea invitar con antelación? O bien, ¿qué ocurre si el analista de Contoso que creó el portal de BI quiere distribuir contenido a los usuarios invitados? También se admite este escenario en Power BI con invitaciones ad hoc.

    El analista solo puede agregar los usuarios externos a la lista de acceso de la aplicación al publicarla. Los usuarios invitados obtienen una invitación y, una vez que lo aceptan, se redirigen automáticamente al contenido de Power BI.

    Agregar usuario externo

    Nota

    Las invitaciones solo son necesarias la primera vez que se invita a un usuario externo a su organización.

  2. Distribuir contenido

    Ahora que el equipo de BI de Contoso ha creado el portal de BI e invitado a los usuarios invitados, puede distribuir su portal a sus usuarios finales al conceder acceso a los usuarios invitados a la aplicación y publicarlo. Power BI completa automáticamente los nombres de los usuarios invitados que se han agregado previamente al inquilino de Contoso. También se pueden agregar invitaciones Adhoc a otros usuarios invitados en este momento.

    Nota

    Si usa grupos de seguridad para administrar el acceso a la aplicación para usuarios externos, use el enfoque Invitaciones planeadas y comparta el vínculo de la aplicación directamente con cada usuario externo que deba acceder a ella. De lo contrario, es posible que el usuario externo no pueda instalar ni ver contenido desde la app._

    Los usuarios invitados reciben un correo electrónico con un vínculo a la aplicación.

    vínculo de invitación de Email

    Al hacer clic en este vínculo, se pide a los usuarios invitados que se autentiquen con la identidad de su propia organización.

    Página de inicio de sesión

    Una vez que se autentican correctamente, se redirigen a la aplicación de BI de Contoso.

    Ver contenido compartido

    Los usuarios invitados pueden acceder posteriormente a la aplicación de Contoso haciendo clic en el vínculo del correo electrónico o marcando el vínculo. Contoso también puede facilitar a los usuarios invitados agregar este vínculo a cualquier portal de extranet existente que los usuarios invitados ya usen.

  3. Pasos siguientes

    Con una aplicación de Power BI y Azure AD B2B, Contoso pudo crear rápidamente un portal de BI para sus proveedores sin código. Esto simplifica considerablemente la distribución de análisis estandarizados a todos los proveedores que lo necesitaban.

    Aunque en el ejemplo se muestra cómo se puede distribuir un único informe común entre proveedores, Power BI puede ir mucho más lejos. Para asegurarse de que cada asociado solo ve los datos relevantes para sí mismos, la seguridad de nivel de fila se puede agregar fácilmente al modelo de datos y el informe. La sección Seguridad de datos para asociados externos más adelante en este documento describe este proceso en detalles.

    A menudo, los informes y paneles individuales deben insertarse en un portal existente. Esto también se puede lograr reutilizando muchas de las técnicas que se muestran en el ejemplo. Sin embargo, en esas situaciones puede ser más fácil insertar informes o paneles directamente desde un área de trabajo. El proceso para invitar y asignar permisos de seguridad a los usuarios necesarios sigue siendo el mismo.

En segundo plano: ¿Cómo puede Lucy del proveedor1 acceder al contenido de Power BI desde el inquilino de Contoso?

Ahora que hemos visto cómo Contoso puede distribuir sin problemas el contenido de Power BI a los usuarios invitados de las organizaciones asociadas, veamos cómo funciona en segundo plano.

Cuando Contoso invitado lucy@supplier1.com a su directorio, Azure AD crea un vínculo entre Lucy@supplier1.com y el inquilino de Azure AD de Contoso. Este vínculo permite a Azure AD saber que Lucy@supplier1.com puede acceder al contenido en el inquilino de Contoso.

Cuando Lucy intenta acceder a la aplicación power BI de Contoso, Azure AD comprueba que Lucy puede acceder al inquilino de Contoso y, a continuación, proporciona a Power BI un token que indica que Lucy está autenticado para acceder al contenido en el inquilino de Contoso. Power BI usa este token para autorizar y asegurarse de que Lucy tiene acceso a la aplicación power BI de Contoso.

Comprobación y autorización

La integración de Power BI con Azure AD B2B funciona con todas las direcciones de correo electrónico empresariales. Si el usuario no tiene una identidad de Azure AD, es posible que se le pida que cree una. En la imagen siguiente se muestra el flujo detallado:

Gráfico de flujo de integración

Es importante reconocer que la cuenta de Azure AD se usará o creará en Azure AD del tercero externo, lo que permitirá a Lucy usar su propio nombre de usuario y contraseña y sus credenciales dejarán de funcionar automáticamente en otros inquilinos siempre que Lucy abandone la empresa cuando su organización también use Azure AD.

Licencias

Contoso puede elegir uno de los tres enfoques para conceder licencias a los usuarios invitados de sus proveedores y organizaciones asociadas para tener acceso al contenido de Power BI.

Nota

El nivel gratis de Azure AD B2B es suficiente para usar Power BI con Azure AD B2B. Algunas características avanzadas de Azure AD B2B, como los grupos dinámicos, requieren licencias adicionales. Para obtener más información, consulte la Documentación de Azure AD B2B.

Enfoque 1: Contoso usa Power BI Premium

Con este enfoque, Contoso compra Power BI Premium capacidad y asigna su contenido del portal de BI a esta capacidad. Esto permite a los usuarios invitados de las organizaciones asociadas acceder a la aplicación power BI de Contoso sin ninguna licencia de Power BI.

Los usuarios externos también están sujetos a las experiencias de consumo que solo se ofrecen a los usuarios "gratis" en Power BI al consumir contenido dentro de Power BI Premium.

Contoso también puede aprovechar otras funcionalidades de Power BI Premium para sus aplicaciones, como aumento de las tasas de actualización, la capacidad y los tamaños de modelo grandes.

Funcionalidades adicionales

Enfoque 2: Contoso asigna licencias Power BI Pro a los usuarios invitados

Con este enfoque, Contoso asigna licencias pro a los usuarios invitados de organizaciones asociadas: esto se puede hacer desde el Centro de administración de Microsoft 365 de Contoso. Esto permite a los usuarios invitados de las organizaciones asociadas acceder a la aplicación power BI de Contoso sin adquirir una licencia por sí mismos. Esto puede ser adecuado para compartir con usuarios externos cuya organización aún no ha adoptado Power BI.

Nota

La licencia pro de Contoso solo se aplica a los usuarios invitados cuando acceden al contenido del inquilino de Contoso. Las licencias Pro permiten el acceso al contenido que no está en una capacidad de Power BI Premium. Sin embargo, los usuarios externos con una licencia Pro están restringidos de forma predeterminada a una experiencia de solo consumo. Esto se puede cambiar mediante el enfoque descrito en la sección Habilitación de usuarios externos para editar y administrar contenido en Power BI más adelante en este documento.

Información de licencia

Enfoque 3: Los usuarios invitados traigan su propia licencia de Power BI Pro

Con este enfoque, el Proveedor 1 asigna una licencia de Power BI Pro a Lucy. Después, pueden acceder a la aplicación Power BI de Contoso con esta licencia. Dado que Lucy puede usar su licencia Pro de su propia organización al acceder a un entorno externo de Power BI, este enfoque se conoce a veces como traiga su propia licencia (BYOL). Si ambas organizaciones usan Power BI, esto ofrece licencias ventajosas para la solución de análisis general y minimiza la sobrecarga de asignar licencias a usuarios externos.

Nota

La licencia profesional dada a Lucy by Supplier 1 se aplica a cualquier inquilino de Power BI donde Lucy es un usuario invitado. Las licencias Pro permiten el acceso al contenido que no está en una capacidad de Power BI Premium. Sin embargo, los usuarios externos con una licencia Pro están restringidos de forma predeterminada a una experiencia de solo consumo. Esto puede cambiarse mediante el enfoque descrito en la sección Habilitación de usuarios externos para editar y administrar contenido en Power BI más adelante en este documento.

Requisitos de licencia Pro

Seguridad de datos para asociados externos

Normalmente, al trabajar con varios proveedores externos, Contoso debe asegurarse de que cada proveedor solo ve datos sobre sus propios productos. La seguridad basada en el usuario y la seguridad de nivel de fila dinámica facilitan este proceso con Power BI.

Seguridad basada en el usuario

Una de las características más eficaces de Power BI es seguridad de nivel de fila. Esta característica permite a Contoso crear un único informe y un conjunto de datos, pero seguir aplicando reglas de seguridad diferentes para cada usuario. Para obtener una explicación detallada, consulte Seguridad de nivel de fila (RLS).

La integración de Power BI con Azure AD B2B permite a Contoso asignar reglas de seguridad de nivel de fila a los usuarios invitados en cuanto se les invita al inquilino de Contoso. Como hemos visto antes, Contoso puede agregar usuarios invitados a través de invitaciones planeadas o ad hoc. Si Contoso quiere aplicar la seguridad de nivel de fila, se recomienda encarecidamente usar invitaciones planeadas para agregar los usuarios invitados con antelación y asignarlos a los roles de seguridad antes de compartir el contenido. Si Contoso en su lugar usa invitaciones ad hoc, es posible que haya un breve período de tiempo en el que los usuarios invitados no podrán ver ningún dato.

Nota

Este retraso en el acceso a los datos protegidos por RLS cuando se usan invitaciones ad hoc puede dar lugar a solicitudes de soporte técnico al equipo de TI, ya que los usuarios verán informes o paneles en blanco o rotos al abrir un vínculo para compartir en el correo electrónico que reciben. Por lo tanto, se recomienda encarecidamente usar invitaciones planeadas en este escenario.**

Veamos esto con un ejemplo.

Como se mencionó anteriormente, Contoso tiene proveedores de todo el mundo y quieren asegurarse de que los usuarios de sus organizaciones de proveedores obtengan información de los datos solo de su territorio. Pero los usuarios de Contoso pueden acceder a todos los datos. En lugar de crear varios informes diferentes, Contoso crea un único informe y filtra los datos en función del usuario que lo ve.

Contenido compartido

Para asegurarse de que Contoso puede filtrar los datos en función de quién se conecta, se crean dos roles en Power BI Desktop. Uno para filtrar todos los datos de SalesTerritory "Europa" y otro para "Norteamérica".

Administración de roles

Cada vez que se definen roles en el informe, se debe asignar un usuario a un rol específico para que obtenga acceso a los datos. La asignación de roles se produce dentro de la servicio Power BI ( Seguridad de conjuntos > de datos )

Configuración de la seguridad

Se abre una página en la que el equipo de BI de Contoso puede ver los dos roles que han creado. Ahora el equipo de BI de Contoso puede asignar usuarios a los roles.

Seguridad de nivel de fila

En el ejemplo, Contoso agrega un usuario en una organización asociada con una dirección admin@fabrikam.com de correo electrónico al rol Europa:

Configuración de seguridad de nivel de fila

Cuando Azure AD resuelve esto, Contoso puede ver que el nombre aparece en la ventana lista para agregarse:

Mostrar roles

Ahora, cuando este usuario abre la aplicación que se ha compartido con ellos, solo ve un informe con datos de Europa:

Contenido de la vista

Seguridad de nivel de fila dinámica

Otro tema interesante es ver cómo funciona la seguridad dinámica de nivel de fila (RLS) con Azure AD B2B.

En resumen, la seguridad de nivel de fila dinámica funciona filtrando los datos en el modelo en función del nombre de usuario de la persona que se conecta a Power BI. En lugar de agregar varios roles para grupos de usuarios, defina los usuarios en el modelo. Aquí no describiremos el patrón en detalle. Kasper de Jong ofrece una escritura detallada sobre todos los tipos de seguridad de nivel de fila en Power BI Desktop hoja de referencia rápida de seguridad dinámica, y en esta notas del producto .

Veamos un pequeño ejemplo: Contoso tiene un informe sencillo sobre las ventas por grupos:

Contenido de ejemplo

Ahora este informe debe compartirse con dos usuarios invitados y un usuario interno: el usuario interno puede ver todo, pero los usuarios invitados solo pueden ver los grupos a los que tienen acceso. Esto significa que debemos filtrar los datos solo para los usuarios invitados. Para filtrar los datos correctamente, Contoso usa el patrón RLS dinámico, tal como se describe en las notas del producto y la entrada de blog. Esto significa que Contoso agrega los nombres de usuario a los datos en sí:

Visualización de usuarios de RLS en los propios datos

A continuación, Contoso crea el modelo de datos correcto que filtra los datos de forma adecuada con las relaciones correctas:

Se muestran los datos adecuados

Para filtrar los datos automáticamente en función de quién ha iniciado sesión, Contoso debe crear un rol que pase al usuario que se conecta. En este caso, Contoso crea dos roles: el primero es el "securityrole" que filtra la tabla Usuarios con el nombre de usuario actual del usuario que ha iniciado sesión en Power BI (esto funciona incluso para los usuarios invitados de Azure AD B2B).

Administrar roles

Contoso también crea otro "AllRole" para sus usuarios internos que pueden ver todo: este rol no tiene ningún predicado de seguridad.

Después de cargar el archivo de Power BI Desktop en el servicio, Contoso puede asignar usuarios invitados a "SecurityRole" y usuarios internos a "AllRole"

Ahora, cuando los usuarios invitados abran el informe, solo ven las ventas del grupo A:

Solo desde el grupo A

En la matriz de la derecha puede ver el resultado de la función USERNAME() y USERPRINCIPALNAME() ambos devuelven la dirección de correo electrónico de los usuarios invitados.

Ahora el usuario interno obtiene para ver todos los datos:

Todos los datos mostrados

Como puede ver, RLS dinámico funciona con usuarios internos o invitados.

Nota

Este escenario también funciona cuando se usa un modelo en Azure Analysis Services. Normalmente, Azure Analysis Service está conectado a la misma instancia de Azure AD que Power BI; en ese caso, Azure Analysis Services también conoce a los usuarios invitados a través de Azure AD B2B.

Conexión a orígenes de datos locales

Power BI ofrece la capacidad de Contoso para aprovechar orígenes de datos locales, como SQL Server Analysis Services o SQL Server directamente gracias a la puerta de enlace de datos local. Incluso es posible iniciar sesión en esos orígenes de datos con las mismas credenciales que se usan con Power BI.

Nota

Al instalar una puerta de enlace para conectarse al inquilino de Power BI, debe usar un usuario creado en el inquilino. Los usuarios externos no pueden instalar una puerta de enlace y conectarla a la tenant._

En el caso de los usuarios externos, esto podría ser más complicado, ya que normalmente no se conoce a los usuarios externos de AD local. Power BI ofrece una solución alternativa para ello, ya que permite a los administradores de Contoso asignar los nombres de usuario externos a nombres de usuario internos, como se describe en Administración del origen de datos: Analysis Services. Por ejemplo, lucy@supplier1.com se puede asignar a lucy_supplier1_com#EXT@contoso.com.

Asignación de nombres de usuario

Este método está bien si Contoso solo tiene un puñado de usuarios o si Contoso puede asignar todos los usuarios externos a una sola cuenta interna. Para escenarios más complejos en los que cada usuario necesita sus propias credenciales, hay un enfoque más avanzado que usa atributos de AD personalizados para realizar la asignación, tal y como se describe en Administración del origen de datos: Analysis Services. Esto permitiría al administrador de Contoso definir una asignación para cada usuario de Azure AD (también usuarios B2B externos). Estos atributos se pueden establecer a través del modelo de objetos de AD mediante scripts o código para que Contoso pueda automatizar completamente la asignación en la invitación o en una cadencia programada.

Permitir que los usuarios externos editen y administren contenido en Power BI

Contoso puede permitir que los usuarios externos contribuyan al contenido dentro de la organización, tal como se ha descrito anteriormente en la sección edición y administración entre organizaciones del contenido de Power BI.

Nota

Para editar y administrar el contenido dentro de Power BI de la organización, el usuario debe tener una licencia de Power BI Pro en un área de trabajo distinta de Mi área de trabajo. Los usuarios pueden obtener licencias Pro como se describe en la sección Licencias de este documento.

Power BI Administración Portal proporciona la opción permitir que los usuarios invitados externos editen y administren contenido en la configuración de la organización en Configuración de inquilinos. De forma predeterminada, la configuración se establece en deshabilitada, lo que significa que los usuarios externos obtienen una experiencia de solo lectura restringida de forma predeterminada. La configuración se aplica a los usuarios con UserType establecido en Invitado en Azure AD. En la tabla siguiente se describen los comportamientos que los usuarios experimentan en función de su UserType y cómo se configuran las opciones.

Tipo de usuario en Azure AD Permitir que los usuarios invitados externos editen y administren la configuración de contenido Comportamiento
Invitado Deshabilitado para el usuario (valor predeterminado) Vista solo de consumo por elemento. Permite el acceso de solo lectura a informes, paneles y aplicaciones cuando se ven a través de una dirección URL enviada al usuario invitado. Power BI Mobile aplicaciones proporcionan una vista de solo lectura al usuario invitado.
Invitado Habilitado para el usuario El usuario externo obtiene acceso a la experiencia completa de Power BI, aunque algunas características no están disponibles para ellos. El usuario externo debe iniciar sesión en Power BI mediante la dirección URL del servicio Power BI con la información del inquilino incluida. El usuario obtiene la experiencia Inicio, mi área de trabajo y, en función de los permisos, puede examinar, ver y crear contenido.

Power BI Mobile aplicaciones proporcionan una vista de solo lectura al usuario invitado.

Nota

Los usuarios externos de Azure AD también se pueden establecer en UserType Member. Actualmente no se admite en Power BI.

En el portal de Power BI Administración, la configuración se muestra en la imagen siguiente.

Configuración del administrador

Los usuarios invitados obtienen la experiencia predeterminada de solo lectura y que pueden editar y administrar contenido. El valor predeterminado es Deshabilitado, lo que significa que todos los usuarios invitados tienen la experiencia de solo lectura. El Administración de Power BI puede habilitar la configuración para todos los usuarios invitados de la organización o para grupos de seguridad específicos definidos en Azure AD. En la imagen siguiente, Contoso Power BI Administración creó un grupo de seguridad en Azure AD para administrar qué usuarios externos pueden editar y administrar contenido en el inquilino de Contoso.

Para ayudar a estos usuarios a iniciar sesión en Power BI, proporciónelos con la dirección URL del inquilino. Para buscar la dirección URL del inquilino, siga estos pasos.

  1. En el servicio Power BI, en el menú superior, seleccione ayuda ( ? ) y, después, Acerca de Power BI.

  2. Vea el valor junto a URL de inquilino. Esta es la dirección URL del inquilino que puede compartir con los usuarios invitados.

    URL de inquilino

Al usar permitir que los usuarios invitados externos editen y administren contenido en la organización, los usuarios invitados especificados obtienen acceso a Power BI de la organización y ven cualquier contenido al que tengan permiso. Pueden acceder a Inicio, examinar y contribuir al contenido a las áreas de trabajo, instalar aplicaciones en las que se encuentran en la lista de acceso y tener un área de trabajo Mi. Puede ser el administrador de las áreas de trabajo o crear la opción de serlo.

Nota

Al usar esta opción, asegúrese de revisar la sección de gobernanza de este documento, ya que la configuración predeterminada de Azure AD impide que los usuarios invitados usen determinadas características como selectores de personas que pueden dar lugar a una experiencia reducida.**

Para los usuarios invitados habilitados mediante la opción Permitir que los usuarios invitados externos editen y administren contenido en la configuración del inquilino de la organización, algunas experiencias no están disponibles para ellos. Para actualizar o publicar informes, los usuarios invitados deben usar la interfaz de usuario web de servicio Power BI, incluido Obtener datos para cargar archivos Power BI Desktop. Las siguientes experiencias no se admiten:

  • Publicación directa desde Power BI Desktop en el servicio Power BI
  • Los usuarios invitados no pueden usar Power BI Desktop para conectarse a conjuntos de datos de servicio en el servicio Power BI
  • No se admite el envío de invitaciones ad hoc para listas de acceso al área de trabajo
  • Power BI Publisher para Excel no se admite para usuarios invitados
  • Los usuarios invitados no pueden instalar Power BI Gateway y conectarlo a la organización
  • Los usuarios invitados no pueden instalar la publicación de aplicaciones para toda la organización
  • Los usuarios invitados no pueden usar, crear, actualizar ni instalar aplicaciones de plantilla
  • Los usuarios invitados no pueden usar Analizar en Excel
  • Los usuarios invitados no pueden estar @mentioned en comentarios ( esta funcionalidad se agregará en una próxima versión )
  • Los usuarios invitados que usen esta funcionalidad deben tener una cuenta profesional o educativa. Los usuarios invitados que usan cuentas personales experimentan más limitaciones debido a restricciones de inicio de sesión.

Gobernanza

Cuando se usa el uso compartido de Azure AD B2B, el administrador de Azure Active Directory controla los aspectos de la experiencia del usuario externo. Estos se controlan en la página Configuración de colaboración externa dentro de la configuración de Azure Active Directory para el inquilino.

Para más información, consulte Configuración de la colaboración externa.

Nota:

De forma predeterminada, los permisos de los usuarios invitados son una opción limitada se establece en Sí, por lo que los usuarios invitados de Power BI tienen experiencias limitadas, especialmente rodeando el uso compartido en el que las interfaces de usuario del selector de personas no funcionan para esos usuarios. Es importante trabajar con el administrador de Azure AD para establecerlo en No, como se muestra a continuación para garantizar una buena experiencia.**

Configuración de colaboración externa

Controlar las invitaciones de invitado

Los administradores de Power BI pueden controlar el uso compartido externo solo para Power BI visitando el portal de administración de Power BI. Pero los administradores también pueden controlar el uso compartido externo con varias directivas de Azure AD. Estas directivas permiten a los administradores:

  • Desactivar invitaciones por parte de los usuarios finales
  • Solo los administradores y usuarios del rol Invitador de personas pueden invitar
  • Los administradores, el rol Invitador de personas y los miembros pueden invitar
  • Todos los usuarios, incluidos los invitados, pueden invitar

Puede obtener más información sobre estas directivas en Delegación de invitaciones para la colaboración B2B de Azure Active Directory.

Todas las acciones de Power BI por parte de los usuarios externos también se auditan en nuestro portal de auditoría.

Directivas de acceso condicional para usuarios invitados

Contoso puede aplicar directivas de acceso condicional para los usuarios invitados que acceden al contenido desde el inquilino de Contoso. Puede encontrar instrucciones detalladas en Acceso condicional para usuarios de colaboración B2B.

Enfoques alternativos comunes

Aunque Azure AD B2B facilita el uso compartido de datos e informes entre organizaciones, hay otros enfoques que se usan habitualmente y pueden ser superiores en determinados casos.

Opción alternativa 1: Crear identidades duplicadas para los usuarios asociados

Con esta opción, Contoso tenía que crear manualmente identidades duplicadas para cada usuario asociado en el inquilino de Contoso, como se muestra en la siguiente imagen. A continuación, en Power BI, Contoso puede compartir con las identidades asignadas los informes, paneles o aplicaciones adecuados.

Establecimiento de asignaciones y nombres adecuados

Motivos para elegir esta alternativa:

  • Dado que la identidad del usuario está controlada por su organización, cualquier servicio relacionado, como correo electrónico, SharePoint, etc. también está dentro del control de su organización. Los administradores de TI pueden restablecer contraseñas, deshabilitar el acceso a las cuentas o las actividades de auditoría en estos servicios.
  • A menudo, los usuarios que usan cuentas personales para su empresa están restringidos a acceder a determinados servicios, por lo que es posible que necesiten una cuenta de organización.
  • Algunos servicios solo funcionan con los usuarios de la organización. Por ejemplo, es posible que no sea posible usar Intune para administrar el contenido en los dispositivos personales o móviles de usuarios externos mediante Azure B2B.

Motivos para no elegir esta alternativa:

  • Los usuarios de organizaciones asociadas deben recordar dos conjuntos de credenciales: uno para acceder al contenido de su propia organización y el otro para acceder al contenido de Contoso. Esto es una molestia para estos usuarios invitados y muchos usuarios invitados están confundidos por esta experiencia.
  • Contoso debe comprar y asignar licencias por usuario a estos usuarios. Si un usuario necesita recibir correo electrónico o usar aplicaciones de office, necesita las licencias adecuadas, incluidas las Power BI Pro para editar y compartir contenido en Power BI.
  • Contoso podría querer aplicar directivas de gobernanza y autorización más estrictas para los usuarios externos en comparación con los usuarios internos. Para lograrlo, Contoso debe crear una nomenclatura interna para los usuarios externos y todos los usuarios de Contoso deben estar informados sobre esta nomenclatura.
  • Cuando el usuario abandona su organización, seguirá teniendo acceso a los recursos de Contoso hasta que el administrador de Contoso elimine manualmente su cuenta.
  • Los administradores de Contoso tienen que administrar la identidad del invitado, incluida la creación, los restablecimientos de contraseña, etc.

Opción alternativa 2: Creación de una aplicación de Power BI Embedded personalizada mediante la autenticación personalizada

Otra opción para Contoso es crear su propia aplicación de Power BI insertada personalizada con autenticación personalizada ("La aplicación posee datos"). Aunque muchas organizaciones no tienen tiempo ni recursos para crear una aplicación personalizada para distribuir contenido de Power BI a sus asociados externos, para algunas organizaciones, este es el mejor enfoque y merece una consideración seria.

A menudo, las organizaciones tienen portales de asociados existentes que centralizan el acceso a todos los recursos de la organización para los asociados, proporcionan aislamiento de los recursos internos de la organización y proporcionan experiencias simplificadas para que los asociados admitan a muchos asociados y a sus usuarios individuales.

Muchos portales de asociados

En el ejemplo anterior, los usuarios de cada inicio de sesión de proveedor en el Portal de partners de Contoso que usa AAD como proveedor de identidades. Podría usar AAD B2B, Azure B2C, identidades nativas o federarse con cualquier número de otros proveedores de identidades. El usuario iniciaría sesión y accedería a una compilación del portal de partners mediante Azure Web App o una infraestructura similar.

Dentro de la aplicación web, los informes de Power BI se insertan desde una implementación de Power BI Embedded. La aplicación web simplificaría el acceso a los informes y a los servicios relacionados de una experiencia cohesiva destinada a facilitar a los proveedores la interacción con Contoso. Este entorno del portal se aislaría del entorno interno de AAD de Contoso y de Power BI interno de Contoso para asegurarse de que los proveedores no podían acceder a esos recursos. Normalmente, los datos se almacenarían en un almacenamiento de datos de partner independiente para garantizar también el aislamiento de los datos. Este aislamiento tiene ventajas, ya que limita el número de usuarios externos con acceso directo a los datos de su organización, limitando los datos que podrían estar disponibles para el usuario externo y limitando el uso compartido accidental con usuarios externos.

Con Power BI Embedded, el portal puede aprovechar las licencias ventajosas, mediante el token de aplicación o el usuario maestro más la capacidad premium adquirida en el modelo de Azure, lo que simplifica las preocupaciones sobre la asignación de licencias a los usuarios finales y se puede escalar o reducir verticalmente en función del uso esperado. El portal puede ofrecer una experiencia general de mayor calidad y coherente, ya que los asociados acceden a un único portal diseñado teniendo en cuenta todas las necesidades de un partner. Por último, dado que las soluciones basadas en Power BI Embedded suelen diseñarse para ser multiinquilino, facilita la garantía de aislamiento entre las organizaciones asociadas.

Motivos para elegir esta alternativa:

  • Más fácil de administrar a medida que crece el número de organizaciones asociadas. Dado que los asociados se agregan a un directorio independiente aislado del directorio de AAD interno de Contoso, simplifica las tareas de gobernanza de TI y ayuda a evitar el uso compartido accidental de datos internos a usuarios externos.
  • Los portales de partners típicos son experiencias altamente personalizadas con experiencias coherentes entre asociados y optimizadas para satisfacer las necesidades de los asociados típicos. Por lo tanto, Contoso puede ofrecer una mejor experiencia general a los asociados mediante la integración de todos los servicios necesarios en un único portal.
  • Los costos de licencia para escenarios avanzados, como editar contenido dentro del Power BI Embedded, están cubiertos por la Power BI Premium comprada por Azure y no requiere la asignación de licencias de Power BI Pro a esos usuarios.
  • Proporciona un mejor aislamiento entre asociados si se diseña como una solución multiinquilino.
  • El Portal de partners suele incluir otras herramientas para asociados más allá de informes, paneles y aplicaciones de Power BI.

Motivos para no elegir esta alternativa:

  • Se requiere un esfuerzo significativo para crear, operar y mantener este portal, lo que hace que sea una inversión significativa en recursos y tiempo.
  • El tiempo de solución es mucho mayor que el uso compartido de B2B, ya que se requiere una planeación y ejecución cuidadosas en varias secuencias de trabajo.
  • Si hay un número menor de asociados, es probable que el esfuerzo necesario para esta alternativa sea demasiado alto para justificarlo.
  • La colaboración con el uso compartido ad hoc es el escenario principal al que se enfrenta su organización.
  • Los informes y paneles son diferentes para cada asociado. Esta alternativa presenta una sobrecarga de administración más allá de compartir directamente con asociados.

Preguntas más frecuentes

¿Puede Contoso enviar una invitación que se canjee automáticamente, por lo que el usuario solo está listo para usarse? ¿O bien, el usuario siempre tiene que hacer clic para desplazarse a la dirección URL de canje?

El usuario final siempre debe hacer clic en la experiencia de consentimiento para poder acceder al contenido.

Si va a invitar a muchos usuarios invitados, se recomienda delegarlo desde los administradores principales de Azure AD agregando un usuario al rol invitador de invitador de invitados en la organización de recursos. Este usuario puede invitar a otros usuarios de la organización asociada mediante la interfaz de usuario de inicio de sesión, los scripts de PowerShell o las API. Esto reduce la carga administrativa de los administradores de Azure AD para invitar o volver a enviar invitaciones a los usuarios de la organización asociada.

¿Puede Contoso forzar la autenticación multifactor para los usuarios invitados si sus asociados no tienen autenticación multifactor?

Sí. Para más información, consulte Acceso condicional para usuarios de colaboración B2B.

¿Cómo funciona la colaboración B2B cuando el asociado invitado utiliza la federación para agregar su propia autenticación local?

Si el asociado tiene un inquilino de Azure AD que está federado en la infraestructura de autenticación local, se consigue automáticamente el inicio de sesión único (SSO) local. Si el asociado no tiene un inquilino de Azure AD, se puede crear una cuenta de Azure AD para los nuevos usuarios.

¿Puedo invitar a usuarios invitados con cuentas de correo electrónico de consumidor?

Se admite la invitación de usuarios invitados con cuentas de correo electrónico de consumidor en Power BI. Esto incluye dominios como hotmail.com, outlook.com y gmail.com. Sin embargo, esos usuarios pueden experimentar limitaciones más allá de lo que encuentran los usuarios con cuentas profesionales o educativas.