Distribuir contenido de Power BI a usuarios externos invitados con B2B de Microsoft Entra

Resumen: Este es el documento técnico de las notas del producto, en que el que se muestra cómo distribuir el contenido a los usuarios fuera de la organización mediante la integración de la característica de Colaboración entre negocios de Microsoft Entra ID (anteriormente conocido como Azure Active Directory) (B2B de Microsoft Entra).

Escritores: Lukasz Pawlowski, Kasper de Jonge

Revisores técnicos: Adam Wilson, Sheng Liu,Rangrang, Qian Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elizabeth Olson

Nota

Para guardar o imprimir estas notas del producto, haga clic en Imprimir en el explorador y después en Guardar como PDF.

Introducción

Power BI ofrece a las organizaciones una visión de 360 grados de su negocio y permite a todos los usuarios de estas organizaciones tomar decisiones inteligentes mediante datos. Muchas de estas organizaciones tienen relaciones sólidas y de confianza con asociados externos, clientes y contratistas. Estas organizaciones deben proporcionar acceso seguro a los paneles e informes de Power BI a los usuarios de estos asociados externos.

Power BI se integra con Colaboración entre negocios de Microsoft Entra (B2B de Microsoft Entra) para permitir la distribución segura del contenido de Power BI a usuarios invitados fuera de la organización, al tiempo que se mantiene el control y se gobierna el acceso a los datos internos.

En estas notas del producto, se describen todos los detalles que necesita para comprender la integración de Power BI con B2B de Microsoft Entra. Tratamos su caso de uso más común, la configuración, las licencias y la seguridad de nivel de fila.

Escenarios

Contoso es un fabricante de automóviles y trabaja con muchos proveedores diversos que lo proporcionan con todos los componentes, materiales y servicios necesarios para ejecutar sus operaciones de fabricación. Contoso quiere simplificar su logística de la cadena de suministro y planea usar Power BI para supervisar las métricas clave de rendimiento de su cadena de suministro. Contoso quiere compartir con asociados externos de la cadena de suministro análisis de una manera segura y fácil de administrar.

Contoso puede habilitar las siguientes experiencias para usuarios externos mediante Power BI y B2B de Microsoft Entra.

Uso compartido ad hoc por elemento

Contoso trabaja con un proveedor que construye radiadores para los automóviles de Contoso. A menudo, necesitan optimizar la confiabilidad de los radiadores mediante datos de todos los automóviles de Contoso. Un analista de Contoso usa Power BI para compartir un informe de confiabilidad del radiador con un ingeniero en el proveedor. El ingeniero recibe un correo electrónico con un vínculo para ver el informe.

Como se ha descrito anteriormente, los usuarios empresariales realizan este uso compartido ad hoc según sea necesario. El vínculo enviado por Power BI al usuario externo es un vínculo de invitación de B2B de Microsoft Entra. Cuando el usuario externo abre el vínculo, se le pide que se una a la organización de Microsoft Entra de Contoso como usuario invitado. Una vez aceptada la invitación, el vínculo abre el informe o panel específicos. El administrador de Microsoft Entra delega el permiso para invitar a usuarios externos a la organización y elige lo que esos usuarios pueden hacer una vez que acepten la invitación, tal como se describe en la sección Gobernanza de este documento. El analista de Contoso solo puede invitar al usuario invitado porque el administrador de Microsoft Entra permitió esa acción y el administrador de Power BI permitía a los usuarios invitar a los invitados a ver el contenido en la configuración del inquilino de Power BI.

Invite guests to Power BI using Microsoft Entra ID

  1. El proceso comienza con un usuario interno de Contoso que comparte un panel o un informe con un usuario externo. Si el usuario externo aún no es invitado en Microsoft Entra ID de Contoso, se le invita. Se envía un correo electrónico a su dirección de correo electrónico que incluye una invitación a Microsoft Entra ID de Contoso.
  2. El destinatario acepta la invitación a Microsoft Entra ID de Contoso y se le agrega como usuario invitado en dicha instancia.
  3. A continuación, el destinatario se redirige al panel, informe o aplicación de Power BI.

El proceso se considera ad hoc, ya que los usuarios empresariales de Contoso realizan la acción de invitación según sea necesario para sus fines empresariales. Cada elemento compartido es un único vínculo al que el usuario externo puede acceder para ver el contenido.

Una vez que se ha invitado al usuario externo a acceder a los recursos de Contoso, se puede crear una cuenta instantánea para este en Microsoft Entra ID de Contoso, y no es necesario volver a invitarlo. La primera vez que intentan acceder a un recurso de Contoso como un panel de Power BI, pasan por un proceso de consentimiento, que canjea la invitación. Si no completan el consentimiento, no podrán acceder a ningún contenido de Contoso. Si tiene problemas para canjear su invitación a través del vínculo original proporcionado, un administrador de Microsoft Entra puede reenviar un vínculo de invitación específico para su canje.

Uso compartido planeado por elemento

Contoso trabaja con un subcontratista para realizar análisis de confiabilidad de radiadores. El subcontratista tiene un equipo de 10 personas que necesitan acceso a los datos en el entorno de Power BI de Contoso. El administrador de Microsoft Entra de Contoso está implicado para invitar a todos los usuarios y controlar cualquier adiciones o cambios como personal en el cambio de subcontratista. El administrador de Microsoft Entra crea un grupo de seguridad para todos los empleados del subcontratista. Con el grupo de seguridad, los empleados de Contoso pueden administrar fácilmente el acceso a los informes y garantizar que todo el personal subcontratista necesario tenga acceso a todos los informes, paneles y aplicaciones de Power BI necesarios. El administrador de Microsoft Entra también puede evitar participar en el proceso de invitación por completo si elige delegar derechos de invitación a un empleado de confianza en Contoso o en el subcontratista para garantizar la administración oportuna del personal.

Algunas organizaciones requieren más control sobre cuándo se agregan usuarios externos, invitan a muchos usuarios de una organización externa o a muchas organizaciones externas. En estos casos, se puede usar el uso compartido planeado para administrar la escala de uso compartido, aplicar directivas organizativas e incluso delegar derechos a usuarios de confianza para invitar y administrar usuarios externos. B2B de Microsoft Entra admite invitaciones planeadas para enviarlas directamente desde Azure Portal por un administrador de TI, o a través de PowerShell mediante la API del administrador de invitaciones, donde puede invitar a un conjunto de usuarios con una sola acción. Con el enfoque de invitaciones planeadas, la organización puede controlar quién puede invitar a los usuarios e implementar procesos de aprobación. Las funcionalidades avanzadas de Microsoft Entra, como los grupos dinámicos, pueden facilitar el mantenimiento automático de la pertenencia a grupos de seguridad.

Control which guests can see content

  1. El proceso comienza con un administrador de TI que invita al usuario invitado manualmente o a través de la API proporcionada por Microsoft Entra ID.
  2. El usuario acepta la invitación a la organización.
  3. Una vez que el usuario haya aceptado la invitación, un usuario de Power BI puede compartir un informe o panel con el usuario externo o un grupo de seguridad en el que se encuentran. Al igual que con el uso compartido normal en Power BI, el usuario externo recibe un correo electrónico con el vínculo al elemento.
  4. Cuando el usuario externo accede al vínculo, su autenticación en su directorio se pasa a Microsoft Entra ID de Contoso y se usa para obtener acceso al contenido de Power BI.

Uso compartido ad hoc o planeado de aplicaciones de Power BI

Contoso tiene un conjunto de informes y paneles que necesitan compartir con uno o varios proveedores. Para asegurarse de que todos los usuarios externos necesarios tienen acceso a este contenido, se empaqueta como una aplicación de Power BI. Los usuarios externos se agregan directamente a la lista de acceso a la aplicación o a través de grupos de seguridad. A continuación, alguien de Contoso envía la dirección URL de la aplicación a todos los usuarios externos, por ejemplo, en un correo electrónico. Cuando los usuarios externos abren el vínculo, ven todo el contenido en una única experiencia fácil de navegar.

El uso de una aplicación de Power BI facilita a Contoso la creación de un portal de BI para sus proveedores. Una única lista de acceso controla el acceso a todo el contenido necesario, lo que reduce la comprobación de tiempo desperdiciada y establece los permisos de nivel de elemento. B2B de Microsoft Entra mantiene el acceso de seguridad mediante la identidad nativa del proveedor para que los usuarios no necesiten credenciales de inicio de sesión adicionales. Si usa invitaciones planeadas con grupos de seguridad, se simplifica la administración de acceso a la aplicación a medida que el personal gira o sale del proyecto. La pertenencia a grupos de seguridad manualmente o mediante grupos dinámicos, de modo que todos los usuarios externos de un proveedor se agreguen automáticamente al grupo de seguridad adecuado.

Control content with Microsoft Entra ID

  1. El proceso comienza por el usuario que se invita a la organización de Microsoft Entra de Contoso a través de Azure Portal o PowerShell.
  2. El usuario se puede agregar a un grupo de usuarios en Microsoft Entra ID. Se puede usar un grupo de usuarios estático o dinámico, pero los grupos dinámicos ayudan a reducir el trabajo manual.
  3. A los usuarios externos se les concede acceso a la aplicación de Power BI a través del grupo de usuarios. La dirección URL de la aplicación debe enviarse directamente al usuario externo o colocarse en un sitio al que tienen acceso. Power BI hace un mejor esfuerzo para enviar un correo electrónico con el vínculo de la aplicación a usuarios externos, pero cuando se usan grupos de usuarios cuya pertenencia puede cambiar, Power BI no puede enviar a todos los usuarios externos administrados a través de grupos de usuarios.
  4. Cuando el usuario externo accede a la dirección URL de la aplicación de Power BI, se autentica mediante Microsoft Entra ID de Contoso, la aplicación se instala para el usuario y el usuario puede ver todos los informes y paneles contenidos dentro de la aplicación.

Las aplicaciones también tienen una característica única que permite a los autores de aplicaciones instalar la aplicación automáticamente para el usuario, por lo que está disponible cuando el usuario inicia sesión. Esta característica solo se instala automáticamente para los usuarios externos que ya forman parte de la organización de Contoso en el momento en que se publica o actualiza la aplicación. Por lo tanto, se usa mejor con el enfoque de invitaciones planeadas y depende de la aplicación que se publique o actualice después de que los usuarios se agreguen a Microsoft Entra ID de Contoso. Los usuarios externos siempre pueden instalar la aplicación mediante el vínculo de la aplicación.

Comentarios y suscripción al contenido entre organizaciones

A medida que Contoso sigue trabajando con sus subcontratistas o proveedores, los ingenieros externos deben trabajar estrechamente con los analistas de Contoso. Power BI proporciona varias características de colaboración que ayudan a los usuarios a comunicarse sobre el contenido que pueden consumir. Los comentarios del panel (y pronto comentarios de informes) permiten a los usuarios analizar los puntos de datos que ven y se comunican con los autores de informes para formular preguntas.

Actualmente, los usuarios invitados externos pueden participar en los comentarios dejando comentarios y leyendo las respuestas. Sin embargo, a diferencia de los usuarios internos, los usuarios invitados no pueden ser @mentioned y no reciben notificaciones que han recibido un comentario. Los usuarios invitados pueden usar la característica de suscripciones de Power BI para suscribirse a sí mismos a un informe o panel. Obtenga más información en Suscripciones de correo electrónico para informes y paneles en el servicio Power BI.

Acceso al contenido en las aplicaciones móviles de Power BI

Cuando el usuario invitado abra el vínculo al informe o panel en su dispositivo móvil, el contenido se abrirá en las aplicaciones móviles nativas de Power BI en su dispositivo, si están instalados. Después, el usuario invitado podrá navegar entre el contenido compartido con ellos en el inquilino externo y volver a su propio contenido desde su inquilino principal. Para obtener más información sobre el acceso al contenido que se ha compartido con usted desde una organización externa a través de aplicaciones móviles de Power BI, consulte Visualización del contenido de Power BI compartido con usted desde una organización externa.

Relaciones organizativas con Power BI y B2B de Microsoft Entra

Cuando todos los usuarios de Power BI son internos de la organización, no es necesario usar B2B de Microsoft Entra. Sin embargo, una vez que dos o más organizaciones desean colaborar en datos e información, la compatibilidad de Power BI con B2B de Microsoft Entra facilita y rentable hacerlo.

A continuación se suelen encontrar estructuras organizativas adecuadas para la colaboración entre organizaciones de estilo B2B de Microsoft Entra en Power BI. B2B de Microsoft Entra funciona bien en la mayoría de los casos, pero en algunas situaciones los enfoques alternativos comunes tratados al final de este documento merecen la pena tener en cuenta.

Caso 1: Colaboración directa entre organizaciones

La relación de Contoso con su proveedor de radiadores es un ejemplo de colaboración directa entre organizaciones. Dado que hay relativamente pocos usuarios en Contoso y su proveedor que necesitan acceso a la información de confiabilidad del radiador, el uso compartido externo basado en B2B de Microsoft Entra es ideal. Es fácil de usar y fácil de administrar. También es un patrón común en los servicios de consultoría en los que es posible que un consultor necesite crear contenido para una organización.

Share between organizations

Normalmente, este uso compartido se produce inicialmente mediante el uso compartido ad hoc por elemento. Sin embargo, a medida que los equipos crecen o se profundizan las relaciones, el enfoque planeado por uso compartido de elementos se convierte en el método preferido para reducir la sobrecarga de administración. Además, el uso compartido ad hoc o planeado de las aplicaciones de Power BI, la creación de comentarios y la suscripción al contenido de todas las organizaciones, el acceso al contenido de las aplicaciones móviles también puede entrar en juego. Importantemente, si los usuarios de ambas organizaciones tienen licencias de Power BI Pro en sus respectivas organizaciones, pueden usar esas licencias Pro en los entornos de Power BI entre sí. Esto proporciona licencias ventajosas, ya que es posible que la organización que invita no tenga que pagar una licencia de Power BI Pro para los usuarios externos. Esto se describe con más detalle en la sección Licencias más adelante en este documento.

Caso 2: Matriz y sus subsidiarias o filiales

Algunas estructuras de la organización son más complejas, incluidas las subsidiarias de propiedad parcial o total, las empresas afiliadas o las relaciones de proveedores de servicios administrados. Estas organizaciones tienen una organización primaria, como una empresa de retención, pero las organizaciones subyacentes operan de forma semiautonómica, a veces bajo requisitos regionales diferentes. Esto conduce a que cada organización tenga su propio entorno de Microsoft Entra y a la creación de inquilinos de Power BI independientes.

Working with subsidiaries

En esta estructura, la organización primaria normalmente necesita distribuir información estandarizada a sus subsidiarias. Normalmente, este uso compartido se produce mediante el enfoque Ad hoc o planeado de aplicaciones de Power BI, como se muestra en la imagen siguiente, ya que permite la distribución de contenido autoritativo estandarizado a audiencias amplias. En la práctica se usa una combinación de todos los escenarios mencionados anteriormente en este documento.

Combining scenarios

El proceso es el siguiente:

  1. Se invita a los usuarios de cada subsidiaria a Microsoft Entra ID de Contoso
  2. A continuación, se publica la aplicación Power BI para conceder a estos usuarios acceso a los datos necesarios
  3. Por último, los usuarios abren la aplicación a través de un vínculo que se les ha dado para ver los informes

En esta estructura se enfrentan varios desafíos importantes:

  • Cómo distribuir vínculos a contenido en Power BI de la organización primaria
  • Cómo permitir que los usuarios subsidiarios accedan al origen de datos hospedado por la organización primaria

Normalmente se usan tres enfoques para distribuir vínculos al contenido. La primera y la más básica es enviar el vínculo a la aplicación a los usuarios necesarios o colocarlo en un sitio de SharePoint Online desde el que se puede abrir. A continuación, los usuarios pueden marcar el vínculo en sus exploradores para obtener acceso más rápido a los datos que necesitan.

El segundo enfoque es donde la organización primaria permite a los usuarios de las subsidiarias acceder a sus Power BI y controles a los que pueden acceder a través del permiso. Esto proporciona acceso a Inicio de Power BI donde el usuario de la filial ve una lista completa de contenido compartido en el inquilino de la organización primaria. A continuación, se asigna la dirección URL al entorno de Power BI de las organizaciones primarias a los usuarios de las subsidiarias.

El enfoque final usa una aplicación de Power BI creada dentro del inquilino de Power BI para cada filial. La aplicación Power BI incluye un panel con mosaicos configurados con la opción de vínculo externo. Cuando el usuario presiona el mosaico, se le lleva al informe, el panel o la aplicación adecuados en Power BI de la organización primaria. Este enfoque tiene la ventaja adicional de que la aplicación se puede instalar automáticamente para todos los usuarios de la filial y está disponible para ellos siempre que inicien sesión en su propio entorno de Power BI. Una ventaja adicional de este enfoque es que funciona bien con las aplicaciones móviles de Power BI que pueden abrir el vínculo de forma nativa. También puede combinar esto con el segundo enfoque para facilitar el cambio entre entornos de Power BI.

Permitir que los usuarios subsidiarios accedan a orígenes de datos hospedados por la organización primaria

A menudo, los analistas de una filial necesitan crear sus propios análisis mediante los datos proporcionados por la organización primaria. En este caso, normalmente se usan orígenes de datos en la nube para abordar el desafío.

El primer enfoque usa Azure Analysis Services para crear un almacenamiento de datos de nivel empresarial que sirva a las necesidades de los analistas en todo el elemento primario y sus subsidiarias, como se muestra en la imagen siguiente. Contoso puede hospedar los datos y usar funcionalidades como la seguridad de nivel de fila para asegurarse de que los usuarios de cada filial solo pueden acceder a sus datos. Los analistas de cada organización pueden acceder al almacenamiento de datos a través de Power BI Desktop y publicar análisis resultantes en sus respectivos inquilinos de Power BI.

How sharing occurs with Power BI tenants

El segundo enfoque usa Azure SQL Database para crear un almacenamiento de datos relacional para proporcionar acceso a los datos. Esto funciona de forma similar al enfoque de Azure Analysis Services, aunque algunas funcionalidades como la seguridad de nivel de fila pueden ser más difíciles de implementar y mantener entre subsidiarias.

Los enfoques más sofisticados también son posibles, pero lo anterior es, con mucho, el más común.

Caso 3: Entorno compartido entre asociados

Contoso puede participar en una asociación con un competidor para construir conjuntamente un automóvil en una línea de montaje compartida, pero para distribuir el vehículo bajo diferentes marcas o en regiones diferentes. Esto requiere una amplia colaboración y coautoría de datos, inteligencia y análisis en todas las organizaciones. Esta estructura también es común en el sector de servicios de consultoría donde un equipo de consultores puede realizar análisis basados en proyectos para un cliente.

Shared environment across partners

En la práctica, estas estructuras son complejas, como se muestra en la imagen siguiente, y requieren que el personal mantenga. Para que sea eficaz, las organizaciones pueden reutilizar Power BI Pro licencias adquiridas para sus respectivos inquilinos de Power BI.

Licenses and shared organization content

Para establecer un inquilino compartido de Power BI, es necesario crear una instancia de Microsoft Entra ID y, al menos, una cuenta de usuario de Power BI Pro debe adquirirse para un usuario de ese inquilino. Este usuario invita a los usuarios necesarios a la organización compartida. Lo importante es que, en este escenario, los usuarios de Contoso se tratan como usuarios externos cuando operan dentro de Power BI de la organización compartida.

El proceso es el siguiente:

  1. La organización compartida se establece como un nuevo identificador de Microsoft Entra ID y se crea al menos una cuenta de usuario en el nuevo inquilino. Ese usuario debe tener asignada una licencia de Power BI Pro.
  2. A continuación, este usuario establece un inquilino de Power BI e invita a los usuarios necesarios de Contoso y a la organización partner. El usuario también establece los recursos de datos compartidos, como Azure Analysis Services. Contoso y los usuarios del partner pueden acceder a Power BI de la organización compartida como usuarios invitados. Normalmente, todos los recursos compartidos se almacenan y se accede a ellos desde la organización compartida.
  3. En función de cómo las partes acepten colaborar, es posible que cada organización desarrolle sus propios datos y análisis propietarios mediante recursos de almacenamiento de datos compartidos. Pueden distribuirlos a sus respectivos usuarios internos mediante sus inquilinos internos de Power BI.

Caso 4: Distribución a cientos o miles de asociados externos

Aunque Contoso creó un informe de confiabilidad del radiador para un proveedor, ahora Contoso desea crear un conjunto de informes estandarizados para cientos de proveedores. Esto permite a Contoso asegurarse de que todos los proveedores tienen el análisis que necesitan para realizar mejoras o corregir defectos de fabricación.

Distribution to many partners

Cuando una organización necesita distribuir datos estandarizados e información a muchos usuarios o organizaciones externos, puede usar el escenario Ad hoc o planeado de Aplicaciones de Power BI para crear un portal de BI de forma rápida y sin grandes costos de desarrollo. El proceso para compilar este portal mediante una aplicación de Power BI se trata en el caso práctico: Creación de un portal de BI mediante Power BI + B2B de Microsoft Entra: instrucciones paso a paso más adelante en este documento.

Una variante común de este caso es cuando una organización intenta compartir información con los consumidores, especialmente cuando se busca usar Azure Active Directory B2C con Power BI. Power BI no admite de forma nativa Azure Active Directory B2C. Si va a evaluar las opciones de este caso, considere la posibilidad de usar la opción 2 alternativa en la sección Enfoques alternativos comunes que encontrará más adelante en este documento.

Caso práctico: Creación de un portal de BI mediante Power BI + B2B de Microsoft Entra: instrucciones paso a paso

La integración de Power BI con B2B de Microsoft Entra proporciona a Contoso una forma sin problemas y sin problemas para proporcionar a los usuarios invitados acceso seguro a su portal de BI. Contoso puede configurarlo con tres pasos:

Building a portal

  1. Crear portal de BI en Power BI

    La primera tarea de Contoso es crear su portal de BI en Power BI. El portal de BI de Contoso constará de una colección de paneles e informes creados específicamente que estarán disponibles para muchos usuarios internos e invitados. La manera recomendada de hacerlo en Power BI es compilar una aplicación de Power BI. Más información sobre las aplicaciones en Power BI.

  • El equipo de BI de Contoso crea un área de trabajo en Power BI

    workspace

  • Otros autores se agregan al área de trabajo

    Add authors

  • El contenido se crea dentro del área de trabajo

    Create content inside the workspace

    Ahora que el contenido se crea en un área de trabajo, Contoso está listo para invitar a los usuarios invitados de las organizaciones asociadas a consumir este contenido.

  1. Invitar a usuarios externos

    Hay dos maneras de que Contoso invite a los usuarios invitados a su portal de BI en Power BI:

    • Invitaciones planeadas
    • Invitaciones ad hoc

    Invitaciones planeadas

    En este enfoque, Contoso invita a los usuarios invitados a su instancia de Microsoft Entra con antelación y, a continuación, distribuye contenido de Power BI para ellos. Contoso puede invitar a usuarios invitados desde el Azure Portal o mediante PowerShell. Estos son los pasos para invitar a los usuarios invitados desde el Azure Portal:

    • El administrador de Microsoft Entra de Contoso navega a Azure Portal>Microsoft Entra ID>Usuarios>Todos los usuarios>Nuevo usuario de invitado

    Guest user

    • Agregue un mensaje de invitación para los usuarios invitados y seleccione Invitar

    Add invitation

    Nota:

    Para invitar a usuarios invitados desde Azure Portal, necesita un administrador de Microsoft Entra para el inquilino.

    Si Contoso quiere invitar a muchos usuarios invitados, puede hacerlo mediante PowerShell. El administrador de Microsoft Entra de Contoso almacena las direcciones de correo electrónico de todos los usuarios invitados en un archivo CSV. Estos son el código de colaboración de B2B de Microsoft Entra y ejemplos e instrucciones de PowerShell.

    Después de la invitación, los usuarios invitados reciben un correo electrónico con el vínculo de invitación.

    Invitation link

    Una vez que los usuarios invitados seleccionan el vínculo, pueden acceder al contenido en el inquilino de Microsoft Entra de Contoso.

    Nota:

    Es posible cambiar el diseño del correo electrónico de invitación mediante la característica de personalización de marca de Microsoft Entra ID, como se describe aquí.

    Invitaciones ad hoc

    ¿Qué ocurre si Contoso no conoce a todos los usuarios invitados que quiere invitar con antelación? O bien, ¿qué ocurre si el analista de Contoso que creó el portal de BI quiere distribuir contenido a los usuarios invitados? También se admite este escenario en Power BI con invitaciones ad hoc.

    El analista solo puede agregar los usuarios externos a la lista de acceso de la aplicación al publicarla. Los usuarios invitados obtienen una invitación y, una vez que lo aceptan, se redirigen automáticamente al contenido de Power BI.

    Add external user

    Nota:

    Las invitaciones sólo son necesarias la primera vez que se invita a un usuario externo a su organización.

  2. Distribuir contenido

    Ahora que el equipo de BI de Contoso ha creado el portal de BI e invitado a los usuarios invitados, puede distribuir su portal a sus usuarios finales al conceder acceso a los usuarios invitados a la aplicación y publicarlo. Power BI autocompletar nombres de usuarios invitados que se han agregado previamente al inquilino de Contoso. También se pueden agregar invitaciones Adhoc a otros usuarios invitados en este momento.

    Nota

    Si usa grupos de seguridad para administrar el acceso a la aplicación para usuarios externos, use el enfoque Invitaciones planeadas y comparta el vínculo de la aplicación directamente con cada usuario externo que deba acceder a ella. De lo contrario, es posible que el usuario externo no pueda instalar ni ver contenido desde la app._

    Los usuarios invitados reciben un correo electrónico con un vínculo a la aplicación.

    Email invitation link

    Al hacer clic en este vínculo, se pide a los usuarios invitados que se autentiquen con la identidad de su propia organización.

    Sign in page

    Una vez que se autentiquen correctamente, se le redirigirá a la aplicación de BI de Contoso.

    See shared content

    Los usuarios invitados pueden llegar más tarde a la aplicación de Contoso haciendo clic en el vínculo del correo electrónico o marcando el vínculo. Contoso también puede facilitar a los usuarios invitados agregando este vínculo a cualquier portal de extranet existente que los usuarios invitados ya usen.

  3. Pasos siguientes

    Con una aplicación de Power BI y B2B de Microsoft Entra, Contoso pudo crear rápidamente un portal de BI para sus proveedores sin código. Esto simplifica considerablemente la distribución de análisis estandarizados a todos los proveedores que lo necesitaban.

    Aunque en el ejemplo se muestra cómo se puede distribuir un único informe común entre proveedores, Power BI puede ir mucho más lejos. Para asegurarse de que cada asociado solo ve los datos relevantes para sí mismos, la seguridad de nivel de fila se puede agregar fácilmente al modelo de datos y el informe. La sección Seguridad de datos para asociados externos más adelante en este documento describe este proceso en detalles.

    A menudo, los informes y paneles individuales deben insertarse en un portal existente. Esto también se puede lograr reutilizando muchas de las técnicas que se muestran en el ejemplo. Sin embargo, en esas situaciones puede ser más fácil insertar informes o paneles directamente desde un área de trabajo. El proceso para invitar y asignar permisos de seguridad a los usuarios necesarios sigue siendo el mismo.

En segundo plano: ¿Cómo puede Lucy del proveedor1 acceder al contenido de Power BI desde el inquilino de Contoso?

Ahora que hemos visto cómo Contoso puede distribuir sin problemas el contenido de Power BI a los usuarios invitados de las organizaciones asociadas, veamos cómo funciona en segundo plano.

Cuando Contoso ha invitado lucy@supplier1.com a su directorio, Microsoft Entra ID crea un vínculo entre Lucy@supplier1.com y el inquilino de Microsoft Entra de Contoso. Este vínculo permite a Microsoft Entra ID saber que Lucy@supplier1.com puede acceder al contenido en el inquilino de Contoso.

Cuando Lucy intenta acceder a la aplicación Power BI de Contoso, Microsoft Entra ID comprueba que Lucy puede acceder al inquilino de Contoso y, a continuación, proporciona a Power BI un token que indica que Lucy está autenticado para acceder al contenido en el inquilino de Contoso. Power BI usa este token para autorizar y asegurarse de que Lucy tiene acceso a la aplicación power BI de Contoso.

Verification and authorization

La integración de Power BI con B2B de Microsoft Entra funciona con todas las direcciones de correo electrónico empresariales. Si el usuario no tiene una identidad de Microsoft Entra, es posible que se le pida que cree una. En la imagen siguiente se muestra el flujo finalizado:

Integration flow chart

Es importante reconocer que la cuenta de Microsoft Entra se usará o creará en Microsoft Entra ID del tercero externo, lo que hará posible que Lucy use su propio nombre de usuario y contraseña y sus credenciales dejarán de funcionar automáticamente en otros inquilinos cada vez que Lucy abandone la empresa cuando su organización también use Microsoft Entra ID.

Licencias

Contoso puede elegir uno de los tres enfoques para conceder licencias a los usuarios invitados de sus proveedores y organizaciones asociadas para tener acceso al contenido de Power BI.

Nota:

El nivel gratis de B2B de Microsoft Entra es suficiente para usarlo con Power BI. Algunas características avanzadas de B2B de Microsoft Entra, como los grupos dinámicos, requieren licencias adicionales. Para obtener más información, consulte la documentación B2B de Microsoft Entra.

Enfoque 1: Contoso usa Power BI Premium

Con este enfoque, Contoso compra Power BI Premium capacidad y asigna su contenido del portal de BI a esta capacidad. Esto permite a los usuarios invitados de las organizaciones asociadas acceder a la aplicación power BI de Contoso sin ninguna licencia de Power BI.

Los usuarios externos también están sujetos a las experiencias de consumo que solo se ofrecen a los usuarios "gratis" en Power BI al consumir contenido dentro de Power BI Premium.

Contoso también puede aprovechar otras funcionalidades de Power BI Premium para sus aplicaciones, como aumento de las tasas de actualización, la capacidad y los tamaños de modelo grandes.

Additional capabilities

Enfoque 2: Contoso asigna licencias Power BI Pro a los usuarios invitados

Con este enfoque, Contoso asigna licencias pro a los usuarios invitados de organizaciones asociadas: esto se puede hacer desde el Centro de administración de Microsoft 365 de Contoso. Esto permite a los usuarios invitados de las organizaciones asociadas acceder a la aplicación Power BI de Contoso sin adquirir una licencia por sí mismos. Esto puede ser adecuado para compartir con usuarios externos cuya organización aún no ha adoptado Power BI.

Nota

La licencia pro de Contoso solo se aplica a los usuarios invitados cuando acceden al contenido del inquilino de Contoso. Las licencias pro permiten el acceso al contenido que no está en una capacidad de Power BI Premium.

License information

Enfoque 3: Los usuarios invitados traigan su propia licencia de Power BI Pro

Con este enfoque, el Proveedor 1 asigna una licencia de Power BI Pro a Lucy. A continuación, pueden acceder a la aplicación Power BI de Contoso con esta licencia. Dado que Lucy puede usar su licencia Pro de su propia organización al acceder a un entorno externo de Power BI, este enfoque se conoce a veces como traiga su propia licencia (BYOL). Si ambas organizaciones usan Power BI, esto ofrece licencias ventajosas para la solución de análisis general y minimiza la sobrecarga de asignar licencias a usuarios externos.

Nota

La licencia pro dada a Lucy by Supplier 1 se aplica a cualquier inquilino de Power BI en el que Lucy sea un usuario invitado. Las licencias pro permiten el acceso al contenido que no está en una capacidad de Power BI Premium.

Pro license requirements

Seguridad de datos para asociados externos

Normalmente, al trabajar con varios proveedores externos, Contoso debe asegurarse de que cada proveedor solo ve datos sobre sus propios productos. La seguridad basada en el usuario y la seguridad de nivel de fila dinámica facilitan este proceso con Power BI.

Seguridad basada en el usuario

Una de las características más eficaces de Power BI es la seguridad de nivel de fila. Esta característica permite a Contoso crear un único informe y un modelo semántico (anteriormente conocido como conjunto de datos), pero seguir aplicando reglas de seguridad diferentes para cada usuario. Para obtener una explicación detallada, consulte Seguridad de nivel de fila (RLS).

La integración de Power BI con B2B de Microsoft Entra permite a Contoso asignar reglas de seguridad de nivel de fila a los usuarios invitados en cuanto se les invita al inquilino de Contoso. Como hemos visto antes, Contoso puede agregar usuarios invitados a través de invitaciones planeadas o ad hoc. Si Contoso quiere aplicar la seguridad de nivel de fila, se recomienda encarecidamente usar invitaciones planeadas para agregar a los usuarios invitados con antelación y asignarlos a los roles de seguridad antes de compartir el contenido. Si Contoso en su lugar usa invitaciones ad hoc, es posible que haya un breve período de tiempo en el que los usuarios invitados no puedan ver ningún dato.

Nota:

Este retraso en el acceso a los datos protegidos por RLS cuando se usan invitaciones ad hoc puede dar lugar a solicitudes de soporte técnico al equipo de TI, ya que los usuarios verán informes o paneles en blanco o rotos al abrir un vínculo para compartir en el correo electrónico que reciben. Por lo tanto, se recomienda encarecidamente usar invitaciones planeadas en este escenario.

Revisemos un ejemplo con detalle.

Como se mencionó anteriormente, Contoso tiene proveedores de todo el mundo y quieren asegurarse de que los usuarios de sus organizaciones de proveedores obtengan información de los datos de solo su territorio. Pero los usuarios de Contoso pueden acceder a todos los datos. En lugar de crear varios informes diferentes, Contoso crea un único informe y filtra los datos según la visualización del usuario.

Shared content

Para asegurarse de que Contoso puede filtrar los datos en función de quién se conecta, se crean dos roles en Power BI Desktop. Uno para filtrar todos los datos de SalesTerritory "Europa" y otro para "Norteamérica".

Managing roles

Cada vez que se definen roles en el informe, se debe asignar un usuario a un rol específico para que obtenga acceso a los datos. La asignación de roles se produce dentro del servicio Power BI (Modelos semánticos > Seguridad).

Setting security

Se abrirá una página en la que el equipo de BI de Contoso puede ver los dos roles que crearon. Ahora, el equipo de BI de Contoso puede asignar usuarios a los roles.

Row-level security

En el ejemplo, Contoso agrega un usuario en una organización asociada con la dirección admin@fabrikam.com de correo electrónico al rol Europa:

Row-level security settings

Cuando Microsoft Entra ID resuelve esto, Contoso puede ver que el nombre aparece en la ventana lista para agregarse:

Show roles

Ahora, cuando este usuario abre la aplicación que se ha compartido con ellos, solo ve un informe con datos de Europa:

View content

Seguridad de nivel de fila dinámica

Otro tema interesante es ver cómo funciona la seguridad dinámica de nivel de fila (RLS) con B2B de Microsoft Entra.

En resumen, la seguridad de nivel de fila dinámica funciona filtrando datos en el modelo en función del nombre de usuario de la persona que se conecta a Power BI. En lugar de agregar varios roles para grupos de usuarios, defina los usuarios en el modelo. Aquí no describiremos el patrón en detalle. Kasper de Jong ofrece una escritura detallada sobre todos los tipos de seguridad de nivel de fila en Power BI Desktop hoja de referencia rápida de seguridad dinámica, y en esta notas del producto .

Veamos un ejemplo pequeño: Contoso tiene un informe sencillo sobre las ventas por grupos:

Sample content

Ahora este informe debe compartirse con dos usuarios invitados y un usuario interno: el usuario interno puede ver todo, pero los usuarios invitados solo pueden ver los grupos a los que tienen acceso. Esto significa que debemos filtrar los datos solo para los usuarios invitados. Para filtrar los datos correctamente, Contoso usa el patrón RLS dinámico, tal como se describe en las notas del producto y en la entrada de blog. Esto significa que Contoso agrega los nombres de usuario a los datos en sí:

View RLS users to the data itself

A continuación, Contoso crea el modelo de datos correcto que filtra los datos correctamente con las relaciones correctas:

Appropriate data is shown

Para filtrar los datos automáticamente en función de quién ha iniciado sesión, Contoso debe crear un rol que pase al usuario que se conecta. En este caso, Contoso crea dos roles: el primero es el "securityrole" que filtra la tabla Usuarios con el nombre de usuario actual del usuario que ha iniciado sesión en Power BI (esto funciona incluso para los usuarios invitados de B2B de Microsoft Entra).

Manage roles

Contoso también crea otro "AllRole" para sus usuarios internos que pueden ver todo: este rol no tiene ningún predicado de seguridad.

Después de cargar el archivo de Power BI Desktop en el servicio, Contoso puede asignar usuarios invitados a "SecurityRole" y usuarios internos a "AllRole"

Ahora, cuando los usuarios invitados abren el informe, solo ven ventas del grupo A:

Only from group A

En la matriz de la derecha puede ver el resultado de la función USERNAME() y USERPRINCIPALNAME() ambos devuelven la dirección de correo electrónico de los usuarios invitados.

Ahora el usuario interno obtiene para ver todos los datos:

All data shown

Como puede ver, Dynamic RLS funciona con usuarios internos o invitados.

Nota:

Este escenario también funciona cuando se usa un modelo en Azure Analysis Services. Por lo general, Azure Analysis Service está conectado a la misma instancia de B2B de Microsoft Entra que Power BI; en ese caso, Azure Analysis Services también conoce a los usuarios invitados a través de B2B de Microsoft Entra.

Conexión a orígenes de datos locales

Power BI ofrece la capacidad de Contoso de usar orígenes de datos locales, como SQL Server Analysis Services o SQL Server directamente gracias a la puerta de enlace de datos local. Incluso es posible iniciar sesión en esos orígenes de datos con las mismas credenciales que se usan con Power BI.

Nota

Al instalar una puerta de enlace para conectarse al inquilino de Power BI, debe usar un usuario creado en el inquilino. Los usuarios externos no pueden instalar una puerta de enlace y conectarla a la tenant._

En el caso de los usuarios externos, esto puede ser más complicado, ya que normalmente no se conoce a los usuarios externos del AD local. Power BI ofrece una solución alternativa para esto al permitir que los administradores de Contoso asignen los nombres de usuario externos a nombres de usuario internos, como se describe en Administración del origen de datos: Analysis Services. Por ejemplo, lucy@supplier1.com se puede asignar a lucy_supplier1_com#EXT@contoso.com.

Mapping user names

Este método está bien si Contoso solo tiene un puñado de usuarios o si Contoso puede asignar todos los usuarios externos a una sola cuenta interna. Para escenarios más complejos en los que cada usuario necesita sus propias credenciales, hay un enfoque más avanzado que usa atributos de AD personalizados para realizar la asignación, como se describe en Administración del origen de datos: Analysis Services. Esto permitiría al administrador de Contoso definir una asignación para cada usuario de Microsoft Entra ID (también usuarios B2B externos). Estos atributos se pueden establecer a través del modelo de objetos de AD mediante scripts o código para que Contoso pueda automatizar completamente la asignación en la invitación o en una cadencia programada.

Gobernanza

Al usar el uso compartido de B2B de Microsoft Entra, el administrador de Microsoft Entra controla aspectos de la experiencia del usuario externo. Estos se controlan en la página Configuración de colaboración externa dentro de la configuración de Microsoft Entra ID para el inquilino.

Para más información, consulte Configuración de la colaboración externa.

Nota:

De forma predeterminada, los permisos de los usuarios invitados son una opción limitada se establece en Sí, por lo que los usuarios invitados de Power BI tienen experiencias limitadas, especialmente rodeando el uso compartido en el que las interfaces de usuario del selector de personas no funcionan para esos usuarios. Es importante trabajar con el administrador de Microsoft Entra para establecerlo en No, como se muestra a continuación para garantizar una buena experiencia.

External collaboration settings

Controlar las invitaciones de invitado

Los administradores de Power BI pueden controlar el uso compartido externo solo para Power BI visitando el portal de administración de Power BI. Pero los administradores también pueden controlar el uso compartido externo con varias directivas de Microsoft Entra. Estas directivas permiten a los administradores:

  • Desactivar invitaciones por parte de los usuarios finales
  • Solo los administradores y usuarios del rol Invitador de personas pueden invitar
  • Los administradores, el rol Invitador de personas y los miembros pueden invitar
  • Todos los usuarios, incluidos los invitados, pueden invitar

Puede obtener más información sobre estas directivas en Delegación de invitaciones para la colaboración B2B de Microsoft Entra.

Todas las acciones de Power BI por parte de los usuarios externos también se auditan en nuestro portal de auditoría.

Directivas de acceso condicional para usuarios invitados

Contoso puede aplicar directivas de acceso condicional para los usuarios invitados que acceden al contenido desde el inquilino de Contoso. Puede encontrar instrucciones detalladas en Acceso condicional para usuarios de colaboración B2B.

Enfoques alternativos comunes

Aunque B2B de Microsoft Entra facilita el uso compartido de datos e informes entre organizaciones, hay varios otros enfoques que se usan habitualmente y pueden ser superiores en determinados casos.

Opción alternativa 1: Crear identidades duplicadas para los usuarios asociados

Con esta opción, Contoso tenía que crear manualmente identidades duplicadas para cada usuario asociado en el inquilino de Contoso, como se muestra en la siguiente imagen. A continuación, en Power BI, Contoso puede compartir con las identidades asignadas los informes, paneles o aplicaciones adecuados.

Setting appropriate mappings and names

Razones para elegir esta alternativa:

  • Dado que la identidad del usuario está controlada por su organización, cualquier servicio relacionado, como correo electrónico, SharePoint, etc. también están dentro del control de su organización. Los administradores de TI pueden restablecer contraseñas, deshabilitar el acceso a cuentas o auditar actividades en estos servicios.
  • A menudo, los usuarios que usan cuentas personales para su empresa están restringidos a acceder a determinados servicios, por lo que es posible que necesiten una cuenta de la organización.
  • Algunos servicios solo funcionan sobre los usuarios de la organización. Por ejemplo, puede que no sea posible usar Intune para administrar el contenido en los dispositivos personales o móviles de usuarios externos mediante B2B de Microsoft Entra.

Razones para no elegir esta alternativa:

  • Los usuarios de organizaciones asociadas deben recordar dos conjuntos de credenciales: uno para acceder al contenido de su propia organización y el otro para acceder al contenido de Contoso. Esto es una molestia para estos usuarios invitados y muchos usuarios invitados se confunden con esta experiencia.
  • Contoso debe comprar y asignar licencias por usuario a estos usuarios. Si un usuario necesita recibir correo electrónico o usar aplicaciones de office, necesita las licencias adecuadas, incluidas las Power BI Pro para editar y compartir contenido en Power BI.
  • Contoso podría querer aplicar directivas de autorización y gobernanza más estrictas para los usuarios externos en comparación con los usuarios internos. Para ello, Contoso debe crear una nomenclatura interna para usuarios externos y todos los usuarios de Contoso deben estar informados sobre esta nomenclatura.
  • Cuando el usuario abandona su organización, seguirá teniendo acceso a los recursos de Contoso hasta que el administrador de Contoso elimine manualmente su cuenta
  • Los administradores de Contoso tienen que administrar la identidad del invitado, incluida la creación, los restablecimientos de contraseña, etc.

Opción alternativa 2: Creación de una aplicación de Power BI Embedded personalizada mediante la autenticación personalizada

Otra opción para Contoso es crear su propia aplicación de Power BI insertada personalizada con autenticación personalizada ("La aplicación posee datos"). Aunque muchas organizaciones no tienen tiempo ni recursos para crear una aplicación personalizada para distribuir contenido de Power BI a sus asociados externos, para algunas organizaciones, este es el mejor enfoque y merece una consideración seria.

A menudo, las organizaciones tienen portales de asociados existentes que centralizan el acceso a todos los recursos de la organización para los asociados, proporcionan aislamiento de los recursos internos de la organización y proporcionan experiencias simplificadas para que los asociados admitan a muchos asociados y a sus usuarios individuales.

Many partner portals

En el ejemplo anterior, los usuarios de cada proveedor inician sesión en el Portal de partners de Contoso que usa Microsoft Entra ID como proveedor de identidades. Podría usar B2B de Microsoft Entra, Azure Active Directory B2C, identidades nativas o federarse con cualquier número de otros proveedores de identidades. El usuario iniciaría sesión y accedería a una compilación del portal de partners mediante Azure Web App o una infraestructura similar.

Dentro de la aplicación web, los informes de Power BI se insertan desde una implementación de Power BI Embedded. La aplicación web simplificaría el acceso a los informes y a los servicios relacionados en una experiencia cohesiva destinada a facilitar que los proveedores interactúen con Contoso. Este entorno del portal se aislaría del entorno interno de Microsoft Entra de Contoso y de Power BI de Contoso para asegurarse de que los proveedores no podían acceder a esos recursos. Normalmente, los datos se almacenarían en un almacenamiento de datos de partner independiente para garantizar también el aislamiento de los datos. Este aislamiento tiene ventajas, ya que limita el número de usuarios externos con acceso directo a los datos de la organización, limitando los datos que podrían estar disponibles para el usuario externo y limitando el uso compartido accidental con usuarios externos.

Con Power BI Embedded, el portal puede usar licencias ventajosas, mediante un token de aplicación o el usuario maestro más la capacidad premium adquirida en el modelo de Azure, lo que simplifica las preocupaciones sobre la asignación de licencias a los usuarios finales y puede escalar o reducir verticalmente en función del uso esperado. El portal puede ofrecer una experiencia general de mayor calidad y coherencia, ya que los asociados acceden a un único portal diseñado teniendo en cuenta todas las necesidades de un partner. Por último, dado que las soluciones basadas en Power BI Embedded normalmente están diseñadas para ser multiinquilino, facilita la garantía de aislamiento entre las organizaciones asociadas.

Razones para elegir esta alternativa:

  • Más fácil de administrar a medida que crece el número de organizaciones asociadas. Dado que los asociados se agregan a un directorio independiente aislado del directorio interno de Microsoft Entra de Contoso, simplifica las tareas de gobernanza de TI y ayuda a evitar el uso compartido accidental de datos internos a usuarios externos.
  • Los portales de partners típicos son experiencias de marca altamente personalizadas con experiencias coherentes entre asociados y optimizadas para satisfacer las necesidades de los asociados típicos. Por lo tanto, Contoso puede ofrecer una mejor experiencia general a los asociados mediante la integración de todos los servicios necesarios en un único portal.
  • Los costos de licencia para escenarios avanzados, como la edición de contenido dentro de la Power BI Embedded, están cubiertos por la Power BI Premium comprada por Azure y no requieren la asignación de licencias de Power BI Pro a esos usuarios.
  • Proporciona un mejor aislamiento entre asociados si se diseña como una solución multiinquilino.
  • El Portal de partners suele incluir otras herramientas para asociados más allá de informes, paneles y aplicaciones de Power BI.

Razones para no elegir esta alternativa:

  • Se requiere un esfuerzo significativo para crear, operar y mantener este tipo de portal, lo que lo convierte en una inversión significativa en recursos y tiempo.
  • El tiempo de solución es mucho mayor que el uso compartido de B2B, ya que se requiere una planeación y ejecución cuidadosas en varias secuencias de trabajo.
  • Si hay un número menor de asociados, es probable que el esfuerzo necesario para esta alternativa sea demasiado alto para justificarlo.
  • La colaboración con uso compartido ad hoc es el escenario principal al que se enfrenta su organización.
  • Los informes y paneles son diferentes para cada asociado. Esta alternativa presenta una sobrecarga de administración más allá del uso compartido directamente con asociados.

Preguntas más frecuentes

¿Puede Contoso enviar una invitación que se redima automáticamente, de modo que el usuario esté "listo para salir"? ¿O bien, el usuario siempre tiene que hacer clic para desplazarse a la dirección URL de canje?

El usuario final siempre debe hacer clic en la experiencia de consentimiento para poder acceder al contenido.

Si va a invitar a muchos usuarios invitados, se recomienda delegarlo desde los administradores principales de Microsoft Entra agregando un usuario al rol invitador de invitados en la organización de recursos. Este usuario puede invitar a otros usuarios de la organización asociada mediante la interfaz de usuario de inicio de sesión, los scripts de PowerShell o las API. Esto reduce la carga administrativa de los administradores de Microsoft Entra para invitar o volver a enviar invitaciones a los usuarios de la organización asociada.

¿Puede Contoso forzar la autenticación multifactor para usuarios invitados de B2B si nuestros asociados no la tienen?

Sí. Para más información, consulte Acceso condicional para usuarios de colaboración B2B.

¿Cómo funciona la colaboración B2B cuando el asociado invitado utiliza la federación para agregar su propia autenticación local?

Si el asociado tiene un inquilino de Microsoft Entra que está federado en la infraestructura de autenticación local, se consigue automáticamente el inicio de sesión único (SSO) local. Si el partner no tiene un inquilino de Microsoft Entra, se puede crear una cuenta de Microsoft Entra para los nuevos usuarios.

¿Puedo invitar a usuarios invitados con cuentas de correo electrónico de consumidor?

Se admite la invitación de usuarios invitados con cuentas de correo electrónico de consumidor en Power BI. Esto incluye dominios como hotmail.com, outlook.com y gmail.com. Sin embargo, esos usuarios pueden experimentar limitaciones más allá de lo que encuentran los usuarios con cuentas profesionales o educativas.