Planificación de la implementación de Power BI: configuración del inquilino

  • Artículo

Nota

Este artículo forma parte de la serie de artículos sobre el planeamiento de la implementación de Power BI. Esta serie se centra principalmente en la carga de trabajo de Power BI dentro de Microsoft Fabric. Para obtener una introducción a la serie, consulte el planeamiento de la implementación de Power BI.

En este artículo de configuración de inquilinos se presentan aspectos importantes para saber cómo configurar el inquilino de Fabric, con énfasis en la experiencia de Power BI. Está dirigido a varios públicos:

  • Administradores de Fabric: los administradores responsables de supervisar Fabric en la organización.
  • Administradores de Microsoft Entra: el equipo responsable de supervisar y administrar Microsoft Entra ID (anteriormente conocido como Azure Active Directory).

Fabric es parte de un ecosistema más amplio de Microsoft. Si su organización ya está usando otros servicios de suscripción en la nube, como Azure, Microsoft 365 o Dynamics 365, entonces Fabric opera dentro del mismo inquilino Microsoft Entra. El dominio de la organización (por ejemplo, contoso.com) está asociado a Microsoft Entra ID. Como todos los servicios en la nube de Microsoft, su inquilino de Fabric depende de Microsoft Entra ID de su organización para la administración de identidades y accesos.

Sugerencia

Muchas organizaciones tienen un entorno de Active Directory (AD) local que sincronizan con Microsoft Entra ID en la nube. Esta configuración se conoce como una solución de identidad híbrida, que está fuera del ámbito de este artículo. El concepto importante que hay que reconocer es que los usuarios, grupos y principales de servicio deben existir en Microsoft Entra ID para que funcione un conjunto de servicios basados en la nube como Fabric. Disponer de una solución de identidad híbrida funcionará para Fabric. Se recomienda hablar con los administradores de Microsoft Entra sobre la mejor solución para la organización.

Para más información sobre las responsabilidades de un administrador de Fabric, vea Administración de inquilinos.

Inquilino de Microsoft Entra

La mayoría de las organizaciones tienen un inquilino de Microsoft Entra, por lo que normalmente se puede afirmar que un inquilino de Microsoft Entra representa una organización.

Por lo general, Microsoft Entra ID se configura antes de que comience la implementación de Fabric. Pero, a veces, la importancia de Microsoft Entra ID se tiene en cuenta cuando se aprovisiona un servicio en la nube.

Sugerencia

Como la mayoría de las organizaciones tienen un inquilino de Microsoft Entra, puede resultar difícil explorar nuevas características de forma aislada. Es posible que pueda optar a un inquilino desarrollador no de producción a través del Programa para desarrolladores de Microsoft 365; para obtener más información, consulte las preguntas frecuentes. Como alternativa, puede registrarse para obtener una prueba gratuita de un mes o comprar un plan de Microsoft 365.

Inquilino no administrado

Un inquilino administrado tiene un administrador global asignado en Microsoft Entra ID. Si no existe un inquilino de Microsoft Entra para un dominio de organización (por ejemplo, contoso.com), cuando el primer usuario de esa organización se registre en una cuenta o prueba de Fabric, se creará un inquilino no administrado en Microsoft Entra ID. Un inquilino no administrado también se conoce como inquilino en la sombra o inquilino creado mediante autoservicio. Tiene una configuración básica, lo que permite que el servicio en la nube funcione sin la asignación de un administrador global.

Para administrar, configurar y admitir correctamente Fabric, se necesita un inquilino administrado. Un administrador del sistema puede seguir un proceso que para asumir un inquilino no administrado, a fin de poder administrarlo correctamente en nombre de la organización.

Sugerencia

La administración de Microsoft Entra ID es un tema amplio y profundo. Se recomienda asignar usuarios específicos del departamento de TI como administradores del sistema a fin de administrar Microsoft Entra ID de forma segura para la organización.

Lista de comprobación: al revisar su inquilino Microsoft Entra para su uso con Fabric, las decisiones y acciones clave incluyen:

  • Hacerse cargo del inquilino: si procede, inicie el proceso para hacerse cargo de un inquilino no administrado.
  • Confirmar que el inquilino de Microsoft Entra está administrado: compruebe que los administradores del sistema administran el inquilino de Microsoft Entra de forma activa.

Identificador de inquilino para usuarios externos

Debe tener en cuenta cómo accederán los usuarios a su inquilino cuando tenga usuarios externos (como clientes, socios o proveedores) o cuando los usuarios internos deban acceder a otro inquilino fuera de su organización. Para acceder a otro inquilino organizativo, se usa una dirección URL modificada.

Cada inquilino de Microsoft Entra tiene un identificador único global (GUID) conocido como identificador de inquilino. En Fabric, se conoce como id. de inquilino del cliente (CTID). El CTID se anexa al final de la dirección URL del inquilino. Puede encontrar el CTID en Portal de Fabric abriendo la ventana de diálogo Acerca de Microsoft Fabric. Está disponible en el menú Ayuda y soporte técnico(?), situado en la parte superior derecha del portal Fabric.

Conocer el CTID es importante para escenarios B2B de Microsoft Entra. Las direcciones URL que proporcione a usuarios externos (por ejemplo, para ver un informe de Power BI) deben agregar el parámetro CTID para acceder al inquilino correcto.

Si tiene intención de colaborar con usuarios externos o proporcionarles contenidos, le recomendamos que configure una personalización de marca. El uso de un logotipo, una imagen de portada y un tema ayuda a los usuarios a identificar a qué inquilino organizativo acceden.

Lista de comprobación: al conceder permiso a usuarios externos para ver su contenido, o cuando tiene varios inquilinos, las decisiones y acciones clave incluyen:

  • Incluir el CTID en la documentación del usuario pertinente: registre la dirección URL que anexa el identificador de inquilino (CTID) en la documentación del usuario.
  • Configure la personalización de la marca en Fabric: en el portal de administración de Fabric, configure una personalización de marca para ayudar a los usuarios a identificar al inquilino de la organización.

Administradores de Microsoft Entra

Los administradores de Fabric necesitan trabajar periódicamente con los administradores de Microsoft Entra.

La lista siguiente incluye algunas razones comunes para la colaboración entre los administradores de Fabric y los administradores de Microsoft Entra.

  • Grupos de seguridad: necesitará crear nuevos grupos de seguridad para administrar correctamente la configuración de los inquilinos de Fabric. Es posible que también necesite nuevos grupos para proteger el contenido del área de trabajo o para distribuir contenido.
  • Propiedad del grupo de seguridad: es posible que desee asignar un propietario de grupo para permitir más flexibilidad en cuanto a quién puede administrar un grupo de seguridad. Por ejemplo, podría ser más eficaz permitir que el Centro de Excelencia (COE) administrase la pertenencia a determinados grupos específicos de Fabric.
  • Entidades de servicio: es posible que tenga que crear un registro de aplicación de Microsoft Entra para aprovisionar una entidad de servicio. La autenticación con una entidad de seguridad de servicio es una práctica recomendada cuando un administrador de Fabric desea ejecutar scripts programados sin supervisión que extraen datos utilizando el administrador de API, o cuando se inserta contenido en una aplicación.
  • Usuarios externos: deberá comprender cómo se configuran los valores de los usuarios externos (invitados) en Microsoft Entra ID. Hay varias configuraciones del inquilino de Fabric relacionadas con los usuarios externos, y dependen de cómo esté configurado Microsoft Entra ID. Además, ciertas capacidades de seguridad para la carga de trabajo de Power BI solo funcionan cuando se usa el enfoque de invitación planificada para usuarios externos en Microsoft Entra ID.
  • Directivas de control en tiempo real: puede elegir configurar directivas de control de sesión en tiempo real, lo que implica tanto el identificador de Microsoft Entra como Microsoft Defender for Cloud Apps. Por ejemplo, puede prohibir la descarga de un informe de Power BI cuando tenga una etiqueta de confidencialidad específica.

Para más información, vea Colaborar con otros administradores.

Lista de comprobación: al considerar cómo trabajar con los administradores de Microsoft Entra, las decisiones clave y las acciones incluyen las siguientes:

  • Identificar a los administradores de Microsoft Entra: asegúrese de que conoce a los administradores de Microsoft Entra para la organización. Prepárese para trabajar con ellos según sea necesario.
  • Implique a los administradores de Microsoft Entra: a medida que trabaje en el proceso de planificación de la implementación, invite a los administradores de Microsoft Entra a las reuniones pertinentes e involúcrelos en la toma de decisiones relevantes.

Ubicación del almacenamiento de datos

Cuando se crea un nuevo inquilino, los recursos se aprovisionan en Azure, que es la plataforma de informática en la nube de Microsoft. Su ubicación geográfica se convierte en laregión de origen de su inquilino. La región principal también se conoce como región de datos predeterminados.

Región principal

La región de origen es importante porque:

  • El rendimiento de los informes y cuadros de mando depende, en parte, de que los usuarios estén cerca de la ubicación del inquilino.
  • Puede haber razones legales o reglamentarias por las que los datos de la organización se almacenen en una jurisdicción específica.

La región principal del inquilino de la organización se establece en la ubicación del primer usuario que se registra. Si la mayoría de sus usuarios se ubican en una región diferente, puede que esa región no sea la mejor opción.

Puede determinar la región principal de su inquilino abriendo la ventana de diálogo Acerca de Microsoft Fabric en el portal de Fabric. La región se muestra junto a la etiqueta Los datos se almacenan en.

Es posible que descubra que el inquilino reside en una región que no es ideal. Puede usar la característica Multi-Geo mediante la creación de una capacidad en una región específica (descrita en la sección siguiente) o puede moverla. Para mover su inquilino a otra región, su administrador global de Microsoft 365 debe abrir una solicitud de soporte técnico.

La reubicación de un inquilino en otra región no es un proceso totalmente automatizado, y conlleva cierto tiempo de inactividad. Asegúrese de tener en cuenta los requisitos previos y las acciones necesarias antes y después del traslado.

Sugerencia

Como se necesita mucho esfuerzo, al determinar que el traslado es necesario, se recomienda hacerlo lo antes posible.

Lista de comprobación: al considerar la región de origen para el almacenamiento de datos en su inquilino, las decisiones y acciones clave incluyen:

  • Identifique su región principal: determine la región principal de su inquilino.
  • Inicie el proceso para trasladar a su inquilino: si descubre que su inquilino se encuentra en una región geográfica inadecuada (que no puede resolverse con la función Multi-Geo), investigue el proceso para trasladar a su inquilino.

Otras regiones de datos específicas

Algunas organizaciones tienen requisitos de residencia de datos. Los requisitos de residencia de datos suelen incluir requisitos normativos o del sector para almacenar datos en una región geográfica específica. Los requisitos de soberanía de datos son similares, pero más estrictos, ya que los datos están sujetos a las leyes del país o región en el que se almacenan los datos. Algunas organizaciones también tienen requisitos de localización de datos, lo que determina que los datos creados dentro de determinadas fronteras deben permanecer dentro de esas fronteras.

Los requisitos normativos, industriales o legales pueden obligarle a almacenar determinados datos en otro lugar distinto de la región de origen (descritos en la sección anterior). En estas situaciones, puede beneficiarse de la característica Multi-Geo mediante la creación de una capacidad en una región específica. En este caso, debe asignar áreas de trabajo a la capacidad correcta para asegurarse de que los datos del área de trabajo se almacenan en la ubicación geográfica deseada.

La compatibilidad con Multi-Geo permite a las organizaciones:

  • Cumplir los requisitos de residencia de datos para los datos en reposo.
  • Mejorar la capacidad de localizar datos cerca de la base de usuarios.

Nota:

La característica Multi-Geo está disponible con cualquier tipo de licencia de capacidad (excepto capacidad compartida). No está disponible con Premium por Usuario (PPU) porque los datos almacenados en el área de trabajo asignada a PPU siempre se almacena en la región de origen (al igual que la capacidad compartida).

Lista de control: a la hora de considerar otras regiones de datos específicas para su inquilino, las decisiones y acciones clave incluyen:

  • Identificar los requisitos de residencia de datos: determine cuáles son los requisitos para la residencia de datos. Identifique qué regiones son adecuadas y qué usuarios podrían estar implicados.
  • Investigar el uso de la característica Multi-Geo: en situaciones específicas en las que los datos se deben almacenar en otro lugar de la región de datos predeterminada, investigue la habilitación de Multi-Geo.

Contenido relacionado

Para obtener más consideraciones, acciones, criterios de toma de decisiones y recomendaciones para ayudarle con las decisiones de implementación de Power BI, vea Planificación de la implementación de Power BI.

Sugerencia

Para aprender a administrar un inquilino Fabric, le recomendamos que trabaje con el módulo Administrar Microsoft Fabric.