Power BI-tartalom terjesztése külső vendégfelhasználóknak a Microsoft Entra B2B használatával

Összefoglalás: Ez egy technikai tanulmány, amely bemutatja, hogyan terjeszthet tartalmat a szervezeten kívüli felhasználók számára a Microsoft Entra ID (korábbi nevén Azure Active Directory) vállalati (Microsoft Entra B2B) integrációjával.

Írók: Lukasz Pawlowski, Kasper de Jonge

Technikai véleményezők: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Feljegyzés

Ezt a tanulmányt mentheti vagy kinyomtathatja a böngészőBen a Nyomtatás, majd a Mentés PDF-ként lehetőséget választva.

Bevezetés

A Power BI 360 fokos betekintést nyújt a szervezeteknek az üzleti tevékenységükbe, és lehetővé teszi, hogy ezekben a szervezetekben mindenki intelligens döntéseket hozzon az adatok használatával. Ezen szervezetek közül sok erős és megbízható kapcsolatban áll külső partnerekkel, ügyfelekkel és alvállalkozókkal. Ezeknek a szervezeteknek biztonságos hozzáférést kell biztosítaniuk a Power BI-irányítópultokhoz és -jelentésekhez a külső partnerek felhasználói számára.

A Power BI integrálható a Microsoft Entra vállalatközi szolgáltatással (Microsoft Entra B2B), hogy a Power BI-tartalom biztonságosan elosztható legyen a szervezeten kívüli vendégfelhasználók számára, miközben továbbra is felügyeli és szabályozza a belső adatokhoz való hozzáférést.

Ez a tanulmány a Power BI Microsoft Entra B2B-vel való integrációjának megértéséhez szükséges összes részletet ismerteti. Ismertetjük a leggyakoribb használati esetet, a beállítási, licencelési és sorszintű biztonságot.

Forgatókönyvek

A Contoso egy autóipari gyártó, és számos különböző beszállítóval dolgozik, akik a gyártási műveletek futtatásához szükséges összes összetevőt, anyagot és szolgáltatást biztosítják. A Contoso egyszerűsíteni szeretné az ellátási lánc logisztikáját, és a Power BI-t szeretné használni az ellátási lánc főbb teljesítménymetrikáinak monitorozására. A Contoso biztonságos és kezelhető módon szeretné megosztani a külső ellátási lánc partnereivel az elemzéseket.

A Contoso a power BI és a Microsoft Entra B2B használatával engedélyezheti a következő funkciókat külső felhasználók számára.

Alkalmi elemmegosztás

A Contoso olyan beszállítóval dolgozik, aki radiátorokat épít a Contoso autóihoz. Gyakran optimalizálniuk kell a radiátorok megbízhatóságát a Contoso összes autójának adataival. A Contoso egyik elemzője a Power BI használatával oszt meg egy radiátor megbízhatósági jelentést a beszállító egyik mérnökével. A mérnök egy e-mailt kap a jelentés megtekintésére szolgáló hivatkozással.

A fentiekben leírtaknak megfelelően ezt az alkalmi megosztást az üzleti felhasználók igény szerint végzik el. A Power BI által a külső felhasználónak küldött hivatkozás a Microsoft Entra B2B meghívási hivatkozása. Amikor a külső felhasználó megnyitja a hivatkozást, a rendszer felkéri őket, hogy vendégfelhasználóként csatlakozzanak a Contoso Microsoft Entra szervezetéhez. A meghívás elfogadása után a hivatkozás megnyitja az adott jelentést vagy irányítópultot. A Microsoft Entra rendszergazdája engedélyt ad arra, hogy külső felhasználókat hívjon meg a szervezetbe, és kiválasztja, hogy mit tehetnek, ha elfogadják a meghívást a dokumentum Irányítási szakaszában leírtak szerint. A Contoso-elemző csak azért hívhatja meg a vendégfelhasználót, mert a Microsoft Entra rendszergazdája engedélyezte ezt a műveletet, és a Power BI-rendszergazda engedélyezte a felhasználóknak, hogy vendégeket hívjanak meg a Power BI bérlői beállításaiban lévő tartalmak megtekintésére.

1. A folyamat azzal kezdődik, hogy egy Belső Contoso-felhasználó megoszt egy irányítópultot vagy egy jelentést egy külső felhasználóval. Ha a külső felhasználó még nem vendég a Contoso Microsoft Entra-azonosítójában, a rendszer meghívja őket. A rendszer e-mailt küld az e-mail-címére, amely tartalmazza a Contoso Microsoft Entra-azonosítójára való meghívást.
2. A címzett elfogadja a meghívást a Contoso Microsoft Entra-azonosítójára, és vendégfelhasználóként hozzáadódik a Contoso Microsoft Entra-azonosítójához.
3. Ezután a rendszer átirányítja a címzettet a Power BI-irányítópultra, jelentésre vagy alkalmazásra.

A folyamat esetinek minősül, mivel a Contoso üzleti felhasználói az üzleti céljaikhoz szükséges módon hajtják végre a meghívási műveletet. Minden megosztott elem egyetlen hivatkozás, amelyhez a külső felhasználó hozzáférhet a tartalom megtekintéséhez.

Miután meghívták a külső felhasználót a Contoso-erőforrások elérésére, létre lehet hozni számukra egy árnyékfiókot a Contoso Microsoft Entra ID-ban, és nem kell őket újra meghívni. Amikor először próbálnak hozzáférni egy Contoso-erőforráshoz, például egy Power BI-irányítópulthoz, egy hozzájárulási folyamaton mennek keresztül, amely beváltja a meghívást. Ha nem fejezik be a hozzájárulást, nem férnek hozzá a Contoso egyik tartalmához sem. Ha nem sikerül beváltani a meghívót az eredeti hivatkozáson keresztül, a Microsoft Entra rendszergazdája újra elküldhet egy adott meghívóhivatkozást a beváltáshoz.

Tervezett elemmegosztás

A Contoso egy alvállalkozóval együttműködve végzi a radiátorok megbízhatósági elemzését. Az alvállalkozó 10 fős csapattal rendelkezik, akiknek szükségük van az adatokhoz való hozzáférésre a Contoso Power BI-környezetében. A Contoso Microsoft Entra rendszergazdája részt vesz az összes felhasználó meghívásában, valamint az alvállalkozói változás személyzeteként végzett esetleges kiegészítések/módosítások kezelésében. A Microsoft Entra rendszergazdája létrehoz egy biztonsági csoportot az alvállalkozó összes alkalmazottja számára. A biztonsági csoport használatával a Contoso alkalmazottai egyszerűen kezelhetik a jelentésekhez való hozzáférést, és gondoskodhatnak arról, hogy az összes szükséges alvállalkozói munkatárs hozzáférhessen az összes szükséges jelentéshez, irányítópulthoz és Power BI-alkalmazáshoz. A Microsoft Entra rendszergazdája azzal is elkerülheti a meghívási folyamatban való részvételt, ha úgy dönt, hogy a meghívási jogosultságokat a Contoso megbízható alkalmazottjának vagy az alvállalkozónak delegálja az időben történő személyzetkezelés biztosítása érdekében.

Egyes szervezetek nagyobb ellenőrzést igényelnek a külső felhasználók hozzáadásakor, egy külső szervezet több felhasználót vagy több külső szervezetet is meghívnak. Ezekben az esetekben a tervezett megosztás a megosztás skálájának kezelésére, a szervezeti szabályzatok kikényszerítésére, valamint a külső felhasználók meghívására és kezelésére vonatkozó jogosultságok megbízható személyek számára történő delegálására is használható. A Microsoft Entra B2B támogatja azokat a tervezett meghívásokat, amelyeket közvetlenül az Azure Portalról küldhet egy rendszergazda, vagy a Meghíváskezelő API használatával a PowerShellen keresztül, ahol egy művelettel meghívhatók felhasználók. A tervezett meghívási megközelítéssel a szervezet szabályozhatja, hogy ki hívhat meg felhasználókat, és implementálhatja a jóváhagyási folyamatokat. A Microsoft Entra fejlett képességei, például a dinamikus csoportok megkönnyítik a biztonsági csoporttagság automatikus fenntartását.

1. A folyamat azzal kezdődik, hogy egy rendszergazda manuálisan vagy a Microsoft Entra ID által biztosított API-val hívja meg a vendégfelhasználót.
2. A felhasználó elfogadja a szervezet meghívását.
3. Miután a felhasználó elfogadta a meghívást, a Power BI-beli felhasználók megoszthatnak egy jelentést vagy irányítópultot a külső felhasználóval vagy egy biztonsági csoporttal. A Power BI-ban való rendszeres megosztáshoz hasonlóan a külső felhasználó is kap egy e-mailt az elemre mutató hivatkozással.
4. Amikor a külső felhasználó hozzáfér a hivatkozáshoz, a címtárban lévő hitelesítése át lesz adva a Contoso Microsoft Entra-azonosítójának, és a Power BI-tartalomhoz való hozzáférésre szolgál.

A Power BI Apps alkalmi vagy tervezett megosztása

A Contoso olyan jelentésekkel és irányítópultokkal rendelkezik, amelyekre egy vagy több szállítóval kell megosztaniuk őket. Annak érdekében, hogy minden szükséges külső felhasználó hozzáférhessen ehhez a tartalomhoz, power BI-alkalmazásként van csomagolva. A külső felhasználók vagy közvetlenül az alkalmazáshozzáférési listához, vagy biztonsági csoportokon keresztül lesznek hozzáadva. Ezután valaki a Contoso-ban elküldi az alkalmazás URL-címét az összes külső felhasználónak, például egy e-mailben. Amikor a külső felhasználók megnyitják a hivatkozást, egyetlen könnyen navigálható felületen látják az összes tartalmat.

A Power BI-alkalmazások használata megkönnyíti a Contoso számára, hogy bi-portált építsen beszállítói számára. Egyetlen hozzáférési lista szabályozza az összes szükséges tartalomhoz való hozzáférést, csökkentve a felesleges időellenőrzést és az elemszintű engedélyek beállítását. A Microsoft Entra B2B a szállító natív identitásával tartja fenn a biztonsági hozzáférést, így a felhasználóknak nincs szükségük további bejelentkezési hitelesítő adatokra. Ha biztonsági csoportokkal rendelkező tervezett meghívásokat használ, a hozzáférés-kezelés az alkalmazáshoz a személyzetnek a projektbe való be- vagy kijelentkezése során egyszerűbb. A biztonsági csoportokban való tagság manuálisan vagy dinamikus csoportokkal történik, így a rendszer automatikusan felveszi a megfelelő biztonsági csoportba a szállító összes külső felhasználóját.

1. A folyamat azzal kezdődik, hogy a felhasználó meghívást kap a Contoso Microsoft Entra-szervezetéhez az Azure Portalon vagy a PowerShellen keresztül.
2. A felhasználó hozzáadható egy felhasználói csoporthoz a Microsoft Entra-azonosítóban. Statikus vagy dinamikus felhasználói csoport is használható, de a dinamikus csoportok segítenek csökkenteni a manuális munkát.
3. A külső felhasználók a felhasználói csoporton keresztül férhetnek hozzá a Power BI alkalmazáshoz. Az alkalmazás URL-címét közvetlenül a külső felhasználónak kell elküldeni, vagy olyan helyre kell helyezni, amelyhez hozzáféréssel rendelkezik. A Power BI mindent megtesz annak érdekében, hogy az alkalmazás hivatkozásával e-mailt küldjön külső felhasználóknak, de ha olyan felhasználói csoportokat használ, amelyek tagsága változhat, a Power BI nem tud minden, felhasználói csoportokkal felügyelt külső felhasználónak elküldeni.
4. Amikor a külső felhasználó hozzáfér a Power BI-alkalmazás URL-címéhez, a Contoso Microsoft Entra-azonosítója hitelesíti őket, az alkalmazás telepítve van a felhasználó számára, és a felhasználó megtekintheti az alkalmazásban található összes jelentést és irányítópultot.

Az alkalmazások egyedi funkcióval is rendelkeznek, amellyel az alkalmazás szerzői automatikusan telepíthetik az alkalmazást a felhasználó számára, így az elérhető, amikor a felhasználó bejelentkezik. Ez a funkció csak olyan külső felhasználók számára telepíthető automatikusan, akik már a Contoso szervezetének részei az alkalmazás közzétételekor vagy frissítésekor. Így a legjobban a tervezett meghívási megközelítéssel használható, és attól függ, hogy a felhasználók a Contoso Microsoft Entra-azonosítójához való hozzáadása után milyen alkalmazást tesznek közzé vagy frissítenek. A külső felhasználók az alkalmazás hivatkozásával bármikor telepíthetik az alkalmazást.

Megjegyzések és tartalomra való feliratkozás szervezetek között

Mivel a Contoso továbbra is együttműködik alvállalkozóival vagy beszállítóival, a külső mérnököknek szorosan együtt kell működnie a Contoso elemzőivel. A Power BI számos együttműködési funkciót biztosít, amelyek segítségével a felhasználók kommunikálhatnak az általuk fogyasztható tartalmakkal. Az irányítópult-megjegyzések (és hamarosan a jelentések megjegyzése) lehetővé teszik a felhasználók számára, hogy megbeszéljék az általuk látott adatpontokat, és kommunikáljanak a jelentéskészítőkkel, hogy kérdéseket tegyenek fel.

A külső vendégfelhasználók jelenleg megjegyzéseket hagyva és a válaszok elolvasásával vehetnek részt a megjegyzésekben. A belső felhasználókkal ellentétben azonban a vendégfelhasználók nem lehetnek @mentioned és nem kapnak értesítést arról, hogy megjegyzést kaptak. A vendégfelhasználók a Power BI előfizetési funkciójával feliratkozhatnak egy jelentésre vagy irányítópultra. További információ a jelentésekhez és irányítópultokhoz tartozó e-mail-előfizetésekről a Power BI szolgáltatás.

Tartalom elérése a Power BI-mobilalkalmazásokban

Amikor a vendégfelhasználó megnyitja a jelentésre vagy irányítópultra mutató hivatkozást a mobileszközén, a tartalom a natív Power BI-mobilalkalmazásokban nyílik meg az eszközön, ha telepítve van. A vendégfelhasználó ezután navigálhat a külső bérlőben velük megosztott tartalmak között, és visszatérhet a saját tartalmaihoz a saját bérlőjéről. A külső szervezettől Power BI-mobilalkalmazásokkal megosztott tartalmak eléréséről további információt a külső szervezettől Önnel megosztott Power BI-tartalmak megtekintése című témakörben talál.

Szervezeti kapcsolatok a Power BI és a Microsoft Entra B2B használatával

Ha a Power BI összes felhasználója a szervezeten belül van, nincs szükség a Microsoft Entra B2B használatára. Ha azonban két vagy több szervezet közösen szeretne együttműködni az adatokon és a megállapításokon, a Power BI Microsoft Entra B2B-hez nyújtott támogatása megkönnyíti és költséghatékonysá teszi ezt.

Az alábbiakban általában a Microsoft Entra B2B-stílusú, szervezetközi együttműködéshez megfelelő szervezeti struktúrákat találjuk meg a Power BI-ban. A Microsoft Entra B2B a legtöbb esetben jól működik, de bizonyos esetekben érdemes megfontolni a dokumentum végén tárgyalt gyakori alternatív megközelítéseket.

1. eset: Közvetlen együttműködés a szervezetek között

A Contoso és a radiátorszállító kapcsolata példa a szervezetek közötti közvetlen együttműködésre. Mivel a Contoso és beszállítója viszonylag kevés felhasználóval rendelkezik, akiknek szükségük van a radiátor megbízhatóságára vonatkozó információkhoz, a Microsoft Entra B2B-alapú külső megosztás ideális megoldás. Könnyen használható és egyszerűen kezelhető. Ez egy gyakori minta a tanácsadási szolgáltatásokban is, ahol előfordulhat, hogy egy tanácsadónak tartalmat kell létrehoznia egy szervezet számára.

Ez a megosztás általában kezdetben ad hoc elemenkénti megosztást használ. A csapatok növekedésével vagy a kapcsolatok mélyítésével azonban az elemenkénti tervezett megosztási megközelítés lesz az előnyben részesített módszer a felügyeleti többletterhelés csökkentésére. Emellett a Power BI-alkalmazások alkalmi vagy tervezett megosztása, a szervezetek közötti tartalmak megjegyzése és feliratkozása, valamint a mobilalkalmazásokban lévő tartalmakhoz való hozzáférés is szerepet játszhat. Fontos, hogy ha mindkét szervezet felhasználói Power BI Pro-licencekkel rendelkeznek a saját szervezetükben, akkor használhatják ezeket a Pro-licenceket egymás Power BI-környezeteiben. Ez előnyös licencelést biztosít, mivel előfordulhat, hogy a meghívó szervezetnek nem kell fizetnie a Külső felhasználók Számára készült Power BI Pro-licencért. Erről részletesebben a dokumentum Licencelési szakaszában olvashat.

2. eset: Szülő és leányvállalatai vagy leányvállalatai

Egyes szervezeti struktúrák összetettebbek, beleértve a részben vagy teljesen tulajdonában lévő leányvállalatokat, kapcsolt vállalatokat vagy felügyelt szolgáltatói kapcsolatokat. Ezeknek a szervezeteknek van egy szülőszervezete, például egy holdingtársaság, de a mögöttes szervezetek részben autonóm módon működnek, néha különböző regionális követelmények mellett. Ez azt eredményezi, hogy minden szervezet saját Microsoft Entra-környezettel és különálló Power BI-bérlőkkel rendelkezik.

Ebben a struktúrában a szülőszervezetnek általában szabványosított megállapításokat kell terjesztenie a leányvállalatai számára. Ez a megosztás általában a Power BI Apps ad hoc vagy tervezett megosztásával történik, ahogy az az alábbi képen is látható, mivel lehetővé teszi a szabványosított mérvadó tartalom terjesztését a szélesebb közönség számára. A gyakorlatban a dokumentum korábbi részében említett forgatókönyvek kombinációját használják.

Ez a következő folyamatot követi:

1. Az egyes leányvállalatok felhasználóit meghívjuk a Contoso Microsoft Entra-azonosítójára
2. Ezután megjelenik a Power BI alkalmazás, amely hozzáférést biztosít ezeknek a felhasználóknak a szükséges adatokhoz
3. Végül a felhasználók megnyitják az alkalmazást egy hivatkozáson keresztül, amelyet a jelentések megtekintéséhez kaptak

Ebben a struktúrában a szervezetek számos fontos kihívással szembesülnek:

• Tartalomra mutató hivatkozások terjesztése a szülőszervezet Power BI-ban
• A másodlagos felhasználók hozzáférésének engedélyezése a szülőszervezet által üzemeltetett adatforráshoz

Hivatkozások terjesztése a szülőszervezet Power BI-jában lévő tartalmakra

A tartalomra mutató hivatkozások terjesztésére általában három módszer használható. Az első és legalapvetőbb az alkalmazásra mutató hivatkozás elküldése a szükséges felhasználóknak, vagy egy Olyan SharePoint Online-webhely, ahonnan megnyitható. A felhasználók ezután könyvjelzővel látják el a hivatkozást a böngészőjükben, hogy gyorsabban hozzáférjenek a szükséges adatokhoz.

A második megközelítés az, amikor a szülőszervezet engedélyezi a leányvállalatok felhasználóinak a Power BI-hoz való hozzáférést, valamint azt, hogy engedélyekkel férhetnek hozzá. Ez hozzáférést biztosít Power BI kezdőlapja, ahol a leányvállalat felhasználója a szülőszervezet bérlőjében megosztott tartalmak átfogó listáját látja. Ezután a szülőszervezet Power BI-környezetének URL-címét a leányvállalatok felhasználói kapják meg.

A végső megközelítés egy Power BI-bérlőn belül létrehozott Power BI-alkalmazást használ minden egyes leányvállalathoz. A Power BI alkalmazás tartalmaz egy irányítópultot, amelyen a külső hivatkozás lehetőséggel konfigurált csempék találhatók. Amikor a felhasználó lenyomja a csempét, a rendszer a szülőszervezet Power BI-jában található megfelelő jelentésbe, irányítópultra vagy alkalmazásba helyezi őket. Ez a megközelítés további előnye, hogy az alkalmazás automatikusan telepíthető a leányvállalat összes felhasználója számára, és a saját Power BI-környezetbe való bejelentkezéskor elérhető. Ennek a megközelítésnek az az előnye, hogy jól működik a Power BI mobilalkalmazásaival, amelyek natív módon nyithatják meg a hivatkozást. A Power BI-környezetek közötti könnyebb váltás érdekében ezt a második megközelítéssel is kombinálhatja.

Lehetővé teszi a leányvállalatok számára, hogy hozzáférjenek a szülő szervezet által üzemeltetett adatforrásokhoz

A leányvállalat elemzőinek gyakran saját elemzéseket kell létrehozniuk a szülőszervezet által szolgáltatott adatok használatával. Ebben az esetben gyakran felhőbeli adatforrásokat használnak a kihívás megoldásához.

Az első megközelítés az Azure Analysis Services használatával hoz létre egy nagyvállalati szintű adattárházat, amely kiszolgálja az elemzők igényeit a szülő és a leányvállalatai között, ahogy az alábbi ábrán látható. A Contoso üzemeltetheti az adatokat, és olyan képességeket használhat, mint a sorszintű biztonság, hogy az egyes leányvállalatok felhasználói csak a saját adataikhoz férhessenek hozzá. Az egyes szervezetek elemzői a Power BI Desktopon keresztül férhetnek hozzá az adattárházhoz, és az eredményként kapott elemzéseket közzétehetik a megfelelő Power BI-bérlőiken.

A második módszer az Azure SQL Database használatával hoz létre egy relációs adattárházat az adatokhoz való hozzáférés biztosításához. Ez az Azure Analysis Services megközelítéséhez hasonlóan működik, bár egyes képességek, például a sorszintű biztonság nehezebben telepíthetők és karbantarthatók a leányvállalatok között.

Kifinomultabb megközelítések is lehetségesek, de a fentiek messze a leggyakoribbak.

3. eset: Megosztott környezet partnerek között

A Contoso partneri kapcsolatot létesíthet egy versenytárssal, hogy közösen építsenek egy autót egy megosztott szerelősorra, de a járművet különböző márkák vagy különböző régiókban szétosztják. Ehhez széles körű együttműködésre és az adatok, az intelligencia és az elemzések vállalatok közötti közös használatára van szükség. Ez a struktúra a tanácsadási szolgáltatási ágazatban is gyakori, ahol egy tanácsadói csapat projektalapú elemzéseket végezhet egy ügyfél számára.

A gyakorlatban ezek a struktúrák összetettek, ahogyan az alábbi képen látható, és a személyzetnek fenn kell tartania. A hatékony használat érdekében a szervezetek felhasználhatják a saját Power BI-bérlőikhez vásárolt Power BI Pro-licenceket.

Megosztott Power BI-bérlő létrehozásához létre kell hozni egy Microsoft Entra-azonosítót, és legalább egy Power BI Pro-felhasználói fiókot meg kell vásárolni egy adott bérlőben lévő felhasználó számára. Ez a felhasználó meghívja a szükséges felhasználókat a megosztott szervezetbe. Fontos, hogy ebben a forgatókönyvben a Contoso felhasználói külső felhasználókként lesznek kezelve, amikor a megosztott szervezet Power BI-jában működnek.

A folyamat a következő:

1. A megosztott szervezet új Microsoft Entra-azonosítóként jön létre, és legalább egy felhasználói fiók jön létre az új bérlőben. Ehhez a felhasználóhoz Power BI Pro-licenccel kell rendelkeznie.
2. Ez a felhasználó ezután létrehoz egy Power BI-bérlőt, és meghívja a Contoso és a partnerszervezet szükséges felhasználóit. A felhasználó olyan megosztott adategységeket is létrehoz, mint az Azure Analysis Services. A Contoso és a partner felhasználói vendégfelhasználóként elérhetik a megosztott szervezet Power BI-t. Általában az összes megosztott objektumot a megosztott szervezet tárolja és éri el.
3. Attól függően, hogy a felek hogyan járulnak hozzá az együttműködéshez, minden szervezet fejleszthet saját védett adatokat és elemzéseket megosztott adattárház-eszközök használatával. Ezeket eloszthatják a saját belső felhasználóik között a belső Power BI-bérlőik használatával.

4. eset: Terjesztés több száz vagy több ezer külső partnernek

Míg a Contoso létrehozott egy radiátor megbízhatósági jelentést egy szállító számára, a Contoso most szabványosított jelentéseket szeretne létrehozni több száz szállító számára. Ez lehetővé teszi a Contoso számára, hogy minden beszállító rendelkezzen a fejlesztéshez vagy a gyártási hibák javításához szükséges elemzésekkel.

Ha egy szervezetnek szabványosított adatokat és elemzéseket kell terjesztenie számos külső felhasználónak/szervezetnek, a Power BI Apps eseti vagy tervezett megosztásával gyorsan és jelentős fejlesztési költségek nélkül hozhat létre bi-portált. Az ilyen portál Power BI-alkalmazással történő létrehozásának folyamatát a jelen dokumentum későbbi részében található esettanulmány ismerteti: BI-portál létrehozása a Power BI + Microsoft Entra B2B használatával – Részletes utasítások.

Az eset gyakori változata az, amikor egy szervezet megkísérli megosztani az elemzéseket a felhasználókkal, különösen akkor, ha az Azure Active Directory B2C-t a Power BI-jal szeretné használni. A Power BI natív módon nem támogatja az Azure Active Directory B2C-t. Ha az esethez tartozó lehetőségeket értékeli, fontolja meg a 2. alternatív lehetőség használatát a jelen dokumentum későbbi szakaszában, a Közös alternatív megközelítésekben.

Esettanulmány: BI-portál létrehozása a Power BI+ Microsoft Entra B2B használatával – Részletes útmutató

A Power BI Microsoft Entra B2B-vel való integrációja zökkenőmentes, problémamentes módot biztosít a Contoso számára, hogy biztonságos hozzáférést biztosítson a vendégfelhasználóknak a BI-portálhoz. A Contoso három lépéssel állíthatja be ezt:

1. BI-portál létrehozása a Power BI-ban

   A Contoso első feladata, hogy létrehozza a BI-portált a Power BI-ban. A Contoso BI-portálja egy célként létrehozott irányítópultokból és jelentésekből áll, amelyek számos belső és vendégfelhasználó számára elérhetővé válnak. Ennek a Power BI-ban való elvégzésének ajánlott módja egy Power BI-alkalmazás létrehozása. További információ a Power BI-alkalmazásokról.

• A Contoso BI csapata létrehoz egy munkaterületet a Power BI-ban

  

• A munkaterülethez más szerzők is hozzáadódnak

  

• A tartalom a munkaterületen belül jön létre

  

  Most, hogy a tartalom egy munkaterületen lett létrehozva, a Contoso készen áll arra, hogy meghívja a partnerszervezetek vendégfelhasználóit a tartalom felhasználására.

2. Vendégfelhasználók meghívása

   A Contoso kétféleképpen hívhat meg vendégfelhasználókat a Bi-portáljára a Power BI-ban:

   • Tervezett meghívások
   • Alkalmi meghívások

   Tervezett meghívások

   Ebben a megközelítésben a Contoso előre meghívja a vendégfelhasználókat a Microsoft Entra-ba, majd elosztja nekik a Power BI-tartalmakat. A Contoso meghívhat vendégfelhasználókat az Azure Portalról vagy a PowerShell használatával. A vendégfelhasználók meghívásának lépései az Azure Portalról:

   • A Contoso Microsoft Entra-rendszergazdája az Azure Portalra> lép a Microsoft Entra azonosító>felhasználóihoz>Minden felhasználó>Új vendégfelhasználó

   

   • Meghívóüzenet hozzáadása a vendégfelhasználók számára, és válassza a Meghívás lehetőséget

   

   Feljegyzés

   Ha vendégfelhasználókat szeretne meghívni az Azure Portalról, szüksége van egy Microsoft Entra-rendszergazdára a bérlőjéhez.

   Ha a Contoso sok vendégfelhasználót szeretne meghívni, ezt a PowerShell használatával teheti meg. A Contoso Microsoft Entra rendszergazdája egy CSV-fájlban tárolja az összes vendégfelhasználó e-mail-címét. Az alábbiakban a Microsoft Entra B2B együttműködési kódját és PowerShell-mintáit és utasításait találja.

   A meghívás után a vendégfelhasználók e-mailt kapnak a meghívó hivatkozásával.

   

   Miután a vendégfelhasználók kiválasztják a hivatkozást, hozzáférhetnek a Contoso Microsoft Entra-bérlőben lévő tartalmakhoz.

   Feljegyzés

   A meghívó e-mail elrendezését az itt ismertetett Microsoft Entra ID arculati funkcióval módosíthatja.

   Alkalmi meghívások

   Mi történik, ha a Contoso nem ismeri az összes vendégfelhasználót, akit előre meg szeretne hívni? Vagy mi a teendő, ha a BI-portált létrehozó Contoso elemzője saját maga szeretne tartalmat terjeszteni a vendégfelhasználóknak? Ezt a forgatókönyvet a Power BI-ban is támogatjuk alkalmi meghívásokkal.

   Az elemző egyszerűen hozzáadhatja a külső felhasználókat az alkalmazás hozzáférési listájához a közzétételkor. A vendégfelhasználók meghívást kapnak, és miután elfogadják, a rendszer automatikusan átirányítja őket a Power BI-tartalomra.

   

   Feljegyzés

   A meghívókra csak akkor van szükség, amikor először meghívnak egy külső felhasználót a szervezetbe.

3. Tartalom terjesztése

   Most, hogy a Contoso BI csapata létrehozta a BI-portált, és meghívta a vendégfelhasználókat, terjeszthetik a portáljukat a végfelhasználók számára azáltal, hogy hozzáférést biztosítanak a vendégfelhasználóknak az alkalmazáshoz és közzéteszik azt. A Power BI automatikusan kitölti a Contoso-bérlőhöz korábban hozzáadott vendégfelhasználók nevét. Adhoc-meghívók más vendégfelhasználók számára is hozzáadhatók ezen a ponton.

   Feljegyzés

   Ha biztonsági csoportokkal kezeli az alkalmazáshoz való hozzáférést külső felhasználók számára, használja a Tervezett meghívások megközelítést, és ossza meg az alkalmazáshivatkozást közvetlenül minden olyan külső felhasználóval, akinek hozzá kell férnie. Ellenkező esetben előfordulhat, hogy a külső felhasználó nem tudja telepíteni vagy megtekinteni a tartalmat a app._

   A vendégfelhasználók e-mailt kapnak az alkalmazásra mutató hivatkozással.

   

   A hivatkozásra kattintva a vendégfelhasználóknak saját szervezetük identitásával kell hitelesíteniük magukat.

   

   A sikeres hitelesítés után a rendszer átirányítja őket a Contoso BI-alkalmazásba.

   

   A vendégfelhasználók később hozzáférhetnek a Contoso alkalmazásához az e-mailben található hivatkozásra kattintva vagy a hivatkozás könyvjelzőivel. A Contoso a vendégfelhasználók számára is megkönnyítheti ezt a hivatkozást úgy, hogy hozzáadja ezt a hivatkozást bármely meglévő extranetes portálhoz, amelyet a vendégfelhasználók már használnak.

4. Következő lépések

   Egy Power BI-alkalmazás és a Microsoft Entra B2B használatával a Contoso gyorsan létrehozhatott egy BI-portált a beszállítói számára kód nélküli módon. Ez jelentősen leegyszerűsítette a szabványosított elemzések terjesztését az összes olyan beszállítónak, akinek szüksége volt rá.

   Bár a példa azt mutatta be, hogyan oszthatók el egyetlen közös jelentés a szállítók között, a Power BI sokkal tovább is mehet. Annak érdekében, hogy minden partner csak a saját szempontjából releváns adatokat láthasson, a sorszintű biztonság egyszerűen hozzáadható a jelentéshez és az adatmodellhez. A dokumentum későbbi, külső partnerek adatbiztonsága szakasza részletesen ismerteti ezt a folyamatot.

   Az egyes jelentéseket és irányítópultokat gyakran egy meglévő portálba kell beágyazni. Ez a példában bemutatott számos technika újrahasználásával is megvalósítható. Ezekben az esetekben azonban egyszerűbb lehet jelentéseket vagy irányítópultokat beágyazni közvetlenül egy munkaterületről. A biztonsági engedélyek meghívásának és a szükséges felhasználókhoz való hozzárendelésének folyamata változatlan marad.

A motorháztető alatt: Hogyan férhet hozzá Lucy a Supplier1-től a Power BI-tartalmakhoz a Contoso bérlőjében?

Most, hogy láthattuk, hogyan tudja a Contoso zökkenőmentesen terjeszteni a Power BI-tartalmakat a partnerszervezetek vendégfelhasználói között, nézzük meg, hogyan működik ez a folyamat a kapucni alatt.

Amikor a Contoso meghívta lucy@supplier1.com a címtárát, a Microsoft Entra ID létrehoz egy hivatkozást a Contoso Microsoft Entra-bérlő és között Lucy@supplier1.com . Ez a hivatkozás tudatja a Microsoft Entra-azonosítóval, hogy Lucy@supplier1.com hozzáfér a Contoso-bérlőben lévő tartalmakhoz.

Amikor Lucy megpróbál hozzáférni a Contoso Power BI-alkalmazásához, a Microsoft Entra-azonosító ellenőrzi, hogy Lucy hozzáfér-e a Contoso-bérlőhöz, majd egy jogkivonatot biztosít a Power BI-nak, amely azt jelzi, hogy Lucy hitelesítéssel rendelkezik a Contoso-bérlőben lévő tartalom eléréséhez. A Power BI ezzel a jogkivonattal engedélyezi és biztosítja, hogy Lucy hozzáférhessen a Contoso Power BI-alkalmazásához.

A Power BI és a Microsoft Entra B2B integrációja minden üzleti e-mail-címmel működik. Ha a felhasználó nem rendelkezik Microsoft Entra-identitással, előfordulhat, hogy a rendszer kérni fogja, hogy hozzon létre egyet. Az alábbi képen a részletes folyamat látható:

Fontos felismerni, hogy a Microsoft Entra-fiókot a külső fél Microsoft Entra-azonosítójában fogja használni vagy létrehozni. Ez lehetővé teszi, hogy Lucy saját felhasználónevet és jelszót használjon, és hitelesítő adataik automatikusan leállnak más bérlőkben, amikor Lucy elhagyja a vállalatot, amikor a szervezet a Microsoft Entra-azonosítót is használja.

Licencek

A Contoso három módszer közül választhat, hogy a beszállítóktól és partnerszervezetektől származó vendégfelhasználók hozzáférjenek a Power BI-tartalmakhoz.

Feljegyzés

A Microsoft Entra B2B ingyenes szintje elegendő a Power BI és a Microsoft Entra B2B használatához. A Microsoft Entra B2B néhány fejlett funkciója, például a dinamikus csoportok további licencelést igényelnek. További információkért tekintse meg a Microsoft Entra B2B dokumentációját.

1. megközelítés: A Contoso a Power BI Premiumot használja

Ezzel a módszerrel a Contoso megvásárolja a Power BI Premium-kapacitást, és ehhez a kapacitáshoz rendeli hozzá a BI-portál tartalmát. Így a partnerszervezetek vendégfelhasználói Power BI-licenc nélkül férhetnek hozzá a Contoso Power BI-alkalmazásához.

A külső felhasználókra is csak a Power BI "ingyenes" felhasználóinak kínált használati szolgáltatások vonatkoznak, amikor a Power BI Premiumban tartalmakat használnak.

A Contoso a Power BI egyéb prémium funkcióit is kihasználhatja az alkalmazásaihoz, például a megnövekedett frissítési arányt, a kapacitást és a nagy modellméreteket.

2. megközelítés: A Contoso Power BI Pro-licenceket rendel a vendégfelhasználókhoz

Ezzel a módszerrel a Contoso pro licenceket rendel a partnerszervezetek vendégfelhasználóihoz – ezt a Contoso Microsoft 365 Felügyeleti központ teheti meg. Ez lehetővé teszi a partnerszervezetek vendégfelhasználói számára, hogy anélkül férhessenek hozzá a Contoso Power BI-alkalmazásához, hogy maguk vásárolnak licencet. Ez alkalmas lehet olyan külső felhasználókkal való megosztásra, akiknek a szervezete még nem fogadta el a Power BI-t.

Feljegyzés

A Contoso pro licence csak akkor érvényes a vendégfelhasználókra, ha a Contoso-bérlőben lévő tartalmakhoz férnek hozzá. A Pro-licencek lehetővé teszik a nem Power BI Premium-kapacitásban lévő tartalmak elérését.

3. megközelítés: A vendégfelhasználók saját Power BI Pro-licencet hoznak

Ezzel a módszerrel az 1. szállító Power BI Pro-licencet rendel Lucyhoz. Ezután ezzel a licenccel hozzáférhetnek a Contoso Power BI-alkalmazásához. Mivel Lucy a saját szervezetétől használhatja Pro-licencét egy külső Power BI-környezet elérésekor, ezt a módszert néha saját licenc (BYOL) használatára is nevezik. Ha mindkét szervezet a Power BI-t használja, ez előnyös licencelést biztosít az általános elemzési megoldáshoz, és minimálisra csökkenti a licencek külső felhasználókhoz való hozzárendelésének többletterhelését.

Feljegyzés

Az 1. szállító által Lucynak adott pro licenc minden Olyan Power BI-bérlőre vonatkozik, ahol Lucy vendégfelhasználó. A Pro-licencek lehetővé teszik a nem Power BI Premium-kapacitásban lévő tartalmak elérését.

Külső partnerek adatbiztonsága

Ha több külső beszállítóval dolgozik, a Contosónak gondoskodnia kell arról, hogy minden szállító csak a saját termékeiről lásson adatokat. A felhasználóalapú biztonság és a dinamikus sorszintű biztonság megkönnyíti ezt a Power BI-ban.

Felhasználóalapú biztonság

A Power BI egyik leghatékonyabb funkciója a sorszintű biztonság. Ez a funkció lehetővé teszi a Contoso számára, hogy egyetlen jelentés- és szemantikai modellt (korábbi nevén adatkészletet) hozzon létre, de továbbra is különböző biztonsági szabályokat alkalmazzon minden felhasználóra. Részletes magyarázatot a Sorszintű biztonság (RLS) című témakörben talál.

A Power BI Microsoft Entra B2B-vel való integrációja lehetővé teszi, hogy a Contoso sorszintű biztonsági szabályokat rendeljen a vendégfelhasználókhoz, amint meghívják őket a Contoso-bérlőre. Ahogy korábban láttuk, a Contoso a tervezett vagy alkalmi meghívásokkal is hozzáadhat vendégfelhasználókat. Ha a Contoso szeretné kikényszeríteni a sorszintű biztonságot, javasoljuk, hogy a tervezett meghívókkal előre vegye fel a vendégfelhasználókat, és rendelje hozzá őket a biztonsági szerepkörökhöz a tartalom megosztása előtt. Ha a Contoso inkább alkalmi meghívásokat használ, előfordulhat, hogy a vendégfelhasználók nem láthatnak adatokat.

Feljegyzés

Az RLS által védett adatok ad-hoc meghívások használatakor való elérésének késleltetése támogatási kéréseket eredményezhet az informatikai csapathoz, mivel a felhasználók üres vagy hibásnak látszó jelentéseket/irányítópultokat fognak látni, amikor megosztási hivatkozást nyitnak meg a kapott e-mailben. Ezért ebben a forgatókönyvben erősen ajánlott a tervezett meghívások használata.

Tekintsük át ezt egy példával.

Ahogy korábban említettük, a Contoso világszerte rendelkezik beszállítókkal, és biztosítani szeretnék, hogy a beszállítói szervezetek felhasználói csak a területükről származó adatokból szerezzenek betekintést. A Contoso felhasználói azonban hozzáférhetnek az összes adathoz. Több különböző jelentés létrehozása helyett a Contoso egyetlen jelentést hoz létre, és szűri az adatokat a megtekintő felhasználó alapján.

Ha meg szeretné győződni arról, hogy a Contoso képes szűrni az adatokat attól függően, hogy ki csatlakozik, két szerepkör jön létre a Power BI desktopban. Az egyik a SalesTerritory "Europe" és a "Észak-Amerika" összes adatának szűréséhez.

Amikor szerepkörök vannak definiálva a jelentésben, egy felhasználót hozzá kell rendelni egy adott szerepkörhöz, hogy hozzáférhessen az adatokhoz. A szerepkörök hozzárendelése a Power BI szolgáltatás (Szemantikai modellek > biztonsága) belül történik.

Ekkor megnyílik egy lap, amelyen a Contoso BI csapata láthatja a létrehozott két szerepkört. A Contoso BI csapata mostantól hozzárendelhet felhasználókat a szerepkörökhöz.

A példában a Contoso hozzáad egy felhasználót egy partnerszervezethez e-mail-címmel admin@fabrikam.com az Európa szerepkörhöz:

Ha ezt a Microsoft Entra ID feloldja, a Contoso láthatja, hogy a név megjelenik az ablakban, amely készen áll a hozzáadásra:

Most, hogy ez a felhasználó megnyitja a velük megosztott alkalmazást, csak egy európai adatokat tartalmazó jelentést lát:

Dinamikus sorszintű biztonság

Egy másik érdekes témakör, amelyből megtudhatja, hogyan működik a dinamikus sorszintű biztonság (RLS) a Microsoft Entra B2B-vel.

Röviden: a dinamikus sorszintű biztonság úgy működik, hogy a modellben lévő adatokat a Power BI-hoz csatlakozó személy felhasználóneve alapján szűri. Ahelyett, hogy több szerepkört ad hozzá a felhasználók csoportjaihoz, a modellben definiálja a felhasználókat. Itt nem ismertetjük részletesen a mintát. Kasper de Jong részletes leírást nyújt a sorszintű biztonság minden ízéről a Power BI Desktop dinamikus biztonsági csalási lapján, és ebben a tanulmányban .

Tekintsünk meg egy kis példát – a Contoso egy egyszerű jelentéssel rendelkezik az értékesítésről csoportok szerint:

Ezt a jelentést most meg kell osztani két vendégfelhasználóval és egy belső felhasználóval – a belső felhasználó mindent láthat, de a vendégfelhasználók csak azokat a csoportokat láthatják, amelyekhez hozzáféréssel rendelkeznek. Ez azt jelenti, hogy csak a vendégfelhasználókra kell szűrnünk az adatokat. Az adatok megfelelő szűréséhez a Contoso a tanulmányban és blogbejegyzésben ismertetett dinamikus RLS-mintát használja. Ez azt jelenti, hogy a Contoso hozzáadja a felhasználóneveket magához az adatokhoz:

Ezután a Contoso létrehozza a megfelelő adatmodellt, amely a megfelelő kapcsolatokkal megfelelően szűri az adatokat:

Ha automatikusan szeretné szűrni az adatokat a bejelentkezett felhasználó alapján, a Contoso-nak létre kell hoznia egy szerepkört, amely átmegy a csatlakozó felhasználón. Ebben az esetben a Contoso két szerepkört hoz létre – az első a "securityrole", amely szűri a Felhasználók táblát a Power BI-ba bejelentkezett felhasználó aktuális felhasználónevével (ez még a Microsoft Entra B2B vendégfelhasználók esetében is működik).

A Contoso egy másik "AllRole"-t is létrehoz a belső felhasználói számára, akik mindent láthatnak – ez a szerepkör nem rendelkezik biztonsági predikátumtal.

Miután feltöltötte az asztali Power BI-fájlt a szolgáltatásba, a Contoso hozzárendelheti a vendégfelhasználókhoz a "SecurityRole" és a belső felhasználókat az "AllRole"-hoz

Most, amikor a vendégfelhasználók megnyitják a jelentést, csak az A csoportból származó értékesítéseket látják:

A jobb oldali mátrixban az U Standard kiadás RNAME() és az U Standard kiadás RPRINCIPALNAME() függvény eredménye egyaránt a vendégfelhasználók e-mail-címét adja vissza.

Most a belső felhasználó láthatja az összes adatot:

Mint látható, a dinamikus RLS belső és vendégfelhasználókkal is működik.

Feljegyzés

Ez a forgatókönyv akkor is működik, ha modellt használ az Azure Analysis Servicesben. Az Azure Analysis Service általában ugyanahhoz a Microsoft Entra-azonosítóhoz csatlakozik, mint a Power BI - ebben az esetben az Azure Analysis Services a Microsoft Entra B2B-en keresztül meghívott vendégfelhasználókat is ismeri.

helyszíni adatforrások Csatlakozás

A Power BI lehetővé teszi, hogy a Contoso közvetlenül a helyszíni adatátjárónak köszönhetően olyan helyszíni adatforrásokat használjon, mint az SQL Server Analysis Services vagy az SQL Server. Ezekre az adatforrásokra a Power BI-ban használt hitelesítő adatokkal is bejelentkezhet.

Feljegyzés

A Power BI-bérlőhöz való csatlakozáshoz átjáró telepítésekor a bérlőn belül létrehozott felhasználót kell használnia. A külső felhasználók nem telepíthetnek átjárót, és nem csatlakoztathatják az tenant._

A külső felhasználók esetében ez bonyolultabb lehet, mivel a külső felhasználók általában nem ismertek a helyszíni AD-ben. Ehhez a Power BI megoldást kínál, mivel lehetővé teszi a Contoso-rendszergazdák számára, hogy a külső felhasználóneveket belső felhasználónevekre képezhessék le az adatforrás kezelése – Analysis Services című cikkben leírtak szerint. Például lucy@supplier1.com lucy_supplier1_com#EXT@contoso.com-ra lehet leképezni.

Ez a módszer akkor megfelelő, ha a Contoso csak néhány felhasználóval rendelkezik, vagy ha a Contoso az összes külső felhasználót egyetlen belső fiókra tudja képezni. Összetettebb forgatókönyvek esetén, amikor minden felhasználónak saját hitelesítő adatokra van szüksége, létezik egy fejlettebb megközelítés, amely egyéni AD-attribútumokkal végzi el a leképezést az adatforrás kezelése – Analysis Services című cikkben leírtak szerint. Ez lehetővé tenné a Contoso-rendszergazda számára, hogy a Microsoft Entra-azonosító minden felhasználójához (külső B2B-felhasználókhoz) leképezést definiáljon. Ezek az attribútumok az AD-objektummodellen keresztül parancsfájlokkal vagy kóddal állíthatók be, így a Contoso teljes mértékben automatizálhatja a leképezést meghívás vagy ütemezett ütemezés szerint.

Szabályozás

A Microsoft Entra B2B-vel kapcsolatos Power BI-élményeket befolyásoló további Microsoft Entra-azonosító-beállítások

A Microsoft Entra B2B-megosztás használatakor a Microsoft Entra rendszergazdája irányítja a külső felhasználói élmény szempontjait. Ezeket a külső együttműködési beállítások lapon, a Bérlő Microsoft Entra-azonosító beállításai között szabályozhatja.

További információ: Külső együttműködési beállítások konfigurálása.

Feljegyzés

Alapértelmezés szerint a vendégfelhasználók engedélyei korlátozottak, így a Power BI-ban a vendégfelhasználók korlátozott felhasználói élményekkel rendelkeznek, különösen a megosztás körül, ahol a felhasználók felhasználói felhasználói felületei nem működnek. Fontos, hogy a Microsoft Entra rendszergazdájával együttműködve állítsa a nem értékre, ahogy az alább látható, a jó élmény biztosítása érdekében.

Vendégmeghívók vezérlése

A Power BI-rendszergazdák a Power BI felügyeleti portáljának felkeresésével szabályozhatják a külső megosztást a Power BI-ban. A rendszergazdák azonban különböző Microsoft Entra-szabályzatokkal is szabályozhatják a külső megosztást. Ezek a házirendek lehetővé teszik a rendszergazdák számára a következőket:

• A végfelhasználók meghívásainak kikapcsolása
• Csak a vendégmeghívó szerepkörben lévő rendszergazdák és felhasználók hívhatnak meg
• Rendszergazda, a vendégmeghívó szerepkör és a tagok meghívhatnak
• Minden felhasználó, beleértve a vendégeket is, meghívhat

Ezekről a szabályzatokról a Microsoft Entra B2B együttműködés delegálási meghívóiban olvashat bővebben.

A külső felhasználók összes Power BI-műveletét is naplózzuk a naplózási portálon.

Feltételes hozzáférési szabályzatok vendégfelhasználók számára

A Contoso feltételes hozzáférési szabályzatokat kényszeríthet ki azon vendégfelhasználók számára, akik a Contoso-bérlőből férnek hozzá a tartalomhoz. A B2B együttműködési felhasználók feltételes hozzáférésével kapcsolatos részletes útmutatást talál.

Gyakori alternatív megközelítések

Bár a Microsoft Entra B2B megkönnyíti az adatok és jelentések szervezetek közötti megosztását, számos más módszer is létezik, amelyeket gyakran használnak, és bizonyos esetekben magasabb szintűek lehetnek.

1. alternatív lehetőség: Ismétlődő identitások létrehozása partnerfelhasználók számára

Ezzel a beállítással a Contoso-nak manuálisan kellett létrehoznia az ismétlődő identitásokat a Contoso-bérlő minden egyes partnerfelhasználója számára, ahogyan az az alábbi képen látható. Ezután a Power BI-ban a Contoso megoszthatja a hozzárendelt identitásokkal a megfelelő jelentéseket, irányítópultokat vagy alkalmazásokat.

Az alternatív megoldás kiválasztásának indokai:

• Mivel a felhasználó identitását a szervezet szabályozza, minden kapcsolódó szolgáltatás, például az e-mail, a SharePoint stb. is a szervezet irányítása alá tartozik. Az informatikai Rendszergazda istratorok alaphelyzetbe állíthatják a jelszavakat, letilthatják a fiókokhoz való hozzáférést, vagy naplózási tevékenységeket végezhetnek ezekben a szolgáltatásokban.
• Azok a felhasználók, akik személyes fiókokat használnak üzleti tevékenységükhöz, gyakran korlátozottan férnek hozzá bizonyos szolgáltatásokhoz, ezért előfordulhat, hogy szervezeti fiókra van szükségük.
• Egyes szolgáltatások csak a szervezet felhasználóin működnek. Előfordulhat például, hogy a Microsoft Entra B2B-t használó külső felhasználók személyes/mobileszközein az Intune használata nem lehetséges.

Indokok, hogy ne válassza ezt az alternatívát:

• A partnerszervezetek felhasználóinak két hitelesítőadat-készletre kell emlékezniük: az egyik a saját szervezetükből származó tartalmak elérésére, a másikra pedig a Contoso-ból származó tartalmak elérésére. Ez a vendégfelhasználók számára nehézkes, és sok vendégfelhasználót összezavar ez a felület.
• A Contoso-nak felhasználónkénti licenceket kell vásárolnia és hozzárendelnie ezekhez a felhasználókhoz. Ha egy felhasználónak e-mailt kell kapnia, vagy office-alkalmazásokat kell használnia, a power BI Pro-ra is szüksége van a tartalom szerkesztéséhez és megosztásához a Power BI-ban.
• Előfordulhat, hogy a Contoso szigorúbb engedélyezési és szabályozási szabályzatokat szeretne kikényszeríteni a külső felhasználók számára a belső felhasználókhoz képest. Ennek érdekében a Contosónak létre kell hoznia egy belső nómenklatúrát a külső felhasználók számára, és minden Contoso-felhasználónak erről a nómenklatúráról kell oktatnia.
• Amikor a felhasználó elhagyja a szervezetét, továbbra is hozzáférhet a Contoso erőforrásaihoz, amíg a Contoso rendszergazdája manuálisan nem törli a fiókját
• A Contoso rendszergazdáinak kezelniük kell a vendég identitását, beleértve a létrehozást, a jelszó alaphelyzetbe állítását stb.

2. alternatív lehetőség: Egyéni Power BI Embedded-alkalmazás létrehozása egyéni hitelesítéssel

A Contoso másik lehetősége, hogy saját egyéni beágyazott Power BI-alkalmazást hoz létre egyéni hitelesítéssel ("Az alkalmazás az adatok tulajdonosa"). Bár sok szervezetnek nincs ideje vagy erőforrása arra, hogy egyéni alkalmazást hozzon létre a Power BI-tartalmak külső partnereknek való terjesztéséhez, egyes szervezetek esetében ez a legjobb megközelítés, és komoly figyelmet érdemel.

A szervezetek gyakran rendelkeznek meglévő partnerportálokkal, amelyek központosítják a partnerek összes szervezeti erőforrásához való hozzáférést, elkülönítik a belső szervezeti erőforrásokat, és egyszerűbb szolgáltatásokat nyújtanak a partnerek számára, hogy sok partnert és egyéni felhasználójukat támogassák.

A fenti példában az egyes szállítók felhasználói bejelentkeznek a Contoso partnerportáljára, amely a Microsoft Entra ID azonosítót használja identitásszolgáltatóként. Használhatja a Microsoft Entra B2B-t, az Azure Active Directory B2C-t, a natív identitásokat, vagy összevonhatja a többi identitásszolgáltatóval. A felhasználó az Azure Web App vagy egy hasonló infrastruktúra használatával jelentkezne be és férne hozzá egy partnerportál buildjéhez.

A webalkalmazásban a Power BI-jelentések egy Power BI Embedded-telepítésből vannak beágyazva. A webalkalmazás egységes felületen egyszerűsítené a jelentésekhez és a kapcsolódó szolgáltatásokhoz való hozzáférést, hogy megkönnyítse a beszállítók számára a Contoso használatát. Ez a portálkörnyezet el lesz különítve a Contoso belső Microsoft Entra-azonosítójától és a Contoso belső Power BI-környezetétől, hogy a beszállítók ne férhessenek hozzá ezekhez az erőforrásokhoz. Az adatok tárolása általában egy külön partneradatraktárban történik az adatok elkülönítése érdekében. Ez az elkülönítés azért előnyös, mert korlátozza a szervezet adataihoz közvetlen hozzáféréssel rendelkező külső felhasználók számát, korlátozza a külső felhasználók számára esetleg elérhető adatokat, és korlátozza a külső felhasználókkal való véletlen megosztást.

A Power BI Embedded használatával a portál előnyös licencelési lehetőségeket használhat egy alkalmazásjogkivonat vagy a főfelhasználó, valamint az Azure-modellben vásárolt prémium szintű kapacitás használatával, ami leegyszerűsíti a licencek végfelhasználókhoz való hozzárendelésével kapcsolatos aggodalmakat, és a várt használat alapján vertikálisan fel- és leskálázható. A portál általánosan magasabb minőséget és konzisztens élményt nyújt, mivel a partnerek egyetlen, a partner igényeinek megfelelő portálhoz férnek hozzá. Végül, mivel a Power BI Embedded-alapú megoldások jellemzően több-bérlős megoldások, megkönnyítik a partnerszervezetek közötti elkülönítést.

Az alternatív megoldás kiválasztásának indokai:

• A partnerszervezetek számának növekedésével könnyebben kezelhető. Mivel a partnerek a Contoso belső Microsoft Entra-címtárától elkülönített külön címtárba kerülnek, leegyszerűsíti az informatikai irányítási feladatokat, és segít megelőzni a belső adatok véletlen megosztását a külső felhasználók számára.
• A tipikus partnerportálok a partnerek közötti konzisztens élményekkel és a tipikus partnerek igényeinek megfelelően leegyszerűsített, magas márkájú élmények. A Contoso így jobb általános élményt nyújthat a partnereknek az összes szükséges szolgáltatás egyetlen portálba való integrálásával.
• Az olyan speciális forgatókönyvek licencelési költségeit, mint a Tartalom szerkesztése a Power BI Embeddedben, az Azure által megvásárolt Power BI Premium fedezi, és nem igényel Power BI Pro-licencek hozzárendelését ezekhez a felhasználókhoz.
• Jobb elkülönítést biztosít a partnerek között, ha több-bérlős megoldásként van megépítve.
• A Partnerportál gyakran más eszközöket is tartalmaz a partnerek számára a Power BI-jelentéseken, irányítópultokon és alkalmazásokon kívül.

Indokok, hogy ne válassza ezt az alternatívát:

• Jelentős erőfeszítésekre van szükség egy ilyen portál létrehozásához, üzemeltetéséhez és karbantartásához, ami jelentős erőforrás- és időbefektetést jelent.
• A megoldáshoz szükséges idő sokkal hosszabb, mint a B2B-megosztás használata, mivel több munkafolyamat gondos tervezésére és végrehajtására van szükség.
• Ha kisebb számú partner van, az ehhez az alternatívához szükséges erőfeszítések valószínűleg túl magasak ahhoz, hogy igazolják.
• Az alkalmi megosztással való együttműködés a szervezet elsődleges forgatókönyve.
• A jelentések és irányítópultok minden partner esetében eltérőek. Ez az alternatíva a közvetlen partnerekkel való megosztáson túl a felügyeleti többletterhelést is bevezeti.

GYIK

Küldhet a Contoso egy automatikusan beváltott meghívót, hogy a felhasználó egyszerűen "készen álljon"? Vagy a felhasználónak mindig át kell kattintania a beváltás URL-címére?

A végfelhasználónak mindig át kell kattintania a hozzájárulási felületen, mielőtt hozzáfér a tartalomhoz.

Ha sok vendégfelhasználót fog meghívni, javasoljuk, hogy delegálja ezt az alapvető Microsoft Entra-rendszergazdáktól úgy , hogy hozzáad egy felhasználót az erőforrás-szervezet vendégmeghívói szerepköréhez. Ez a felhasználó meghívhat más felhasználókat a partnerszervezetben a bejelentkezési felhasználói felület, a PowerShell-szkriptek vagy az API-k használatával. Ez csökkenti a Microsoft Entra-rendszergazdák adminisztratív terheit, hogy meghívják vagy újra meghívják a partnerszervezet felhasználóit.

Kényszerítheti a Contoso a többtényezős hitelesítést a vendégfelhasználók számára, ha partnerei nem rendelkeznek többtényezős hitelesítéssel?

Igen. További információ: Feltételes hozzáférés a B2B együttműködési felhasználók számára.

Hogyan működik a B2B együttműködés, ha a meghívott partner összevonást használ saját helyszíni hitelesítés hozzáadásához?

Ha a partner rendelkezik a helyszíni hitelesítési infrastruktúrához összevont Microsoft Entra-bérlővel, a helyszíni egyszeri bejelentkezés (SSO) automatikusan létrejön. Ha a partner nem rendelkezik Microsoft Entra-bérlővel, létrehozhat egy Microsoft Entra-fiókot az új felhasználók számára.

Meghívhatok fogyasztói e-mail-fiókokkal rendelkező vendégfelhasználókat?

A Power BI támogatja a vendégfelhasználók meghívását fogyasztói e-mail-fiókokkal. Ide tartoznak például a hotmail.com, a outlook.com és a gmail.com. Ezek a felhasználók azonban a munkahelyi vagy iskolai fiókokkal rendelkező felhasználók által tapasztalt korlátozásokon túl is korlátozásokat tapasztalhatnak.