Distribuire il contenuto di Power BI agli utenti guest esterni usando Microsoft Entra B2B

  • Articolo

Riepilogo: questo white paper tecnico descrive come distribuire contenuto agli utenti esterni all'organizzazione usando l'integrazione di Microsoft Entra ID (noto in precedenza come Azure Active Directory) business-to-business (Microsoft Entra B2B).

Scrittori: Lukasz Pawlowski, Kasper de Jonge

Revisori tecnici: Adam Wilson, Device Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabetta Olson

Nota

È possibile salvare o stampare il white paper selezionando Stampa dal browser e quindi selezionando Salva come PDF.

Introduzione

Power BI offre alle organizzazioni una visione a 360 gradi della propria azienda e consente a tutti gli utenti di queste organizzazioni di prendere decisioni intelligenti usando i dati. Molte di queste organizzazioni hanno relazioni forti e attendibili con partner esterni, clienti e terzisti. Queste organizzazioni devono fornire accesso sicuro ai dashboard e ai report di Power BI agli utenti di questi partner esterni.

Power BI si integra con Microsoft Entra business to business (Microsoft Entra B2B) per consentire la distribuzione sicura del contenuto di Power BI agli utenti guest esterni all'organizzazione, mantenendo al tempo stesso il controllo e la governance dell'accesso ai dati interni.

Questo white paper illustra tutti i dettagli necessari per comprendere l'integrazione di Power BI con Microsoft Entra B2B. Vengono illustrati i casi d'uso più comuni, la configurazione, la gestione delle licenze e la sicurezza a livello di riga.

Scenari

Contoso è un produttore automobilistico e lavora con molti fornitori diversi che lo forniscono con tutti i componenti, i materiali e i servizi necessari per eseguire le sue operazioni di produzione. Contoso vuole semplificare la logistica della supply chain e i piani per l'uso di Power BI per monitorare le metriche delle prestazioni chiave della catena di fornitura. Contoso vuole condividere con i partner della supply chain esterni l'analisi in modo sicuro e gestibile.

Contoso può abilitare le esperienze seguenti per gli utenti esterni che usano Power BI e Microsoft Entra B2B.

Condivisione ad hoc per elemento

Contoso collabora con un fornitore che costruisce i termostati per le automobili di Contoso. Spesso, è necessario ottimizzare l'affidabilità dei termostati usando i dati di tutte le automobili di Contoso. Un analista di Contoso usa Power BI per condividere un report sull'affidabilità del termostato con un tecnico del fornitore. Il tecnico riceve un messaggio di posta elettronica con un collegamento per visualizzare il report.

Come descritto in precedenza, questa condivisione ad hoc viene eseguita dagli utenti aziendali in base alle esigenze. Il collegamento inviato da Power BI all'utente esterno è un collegamento di invito a Microsoft Entra B2B. Quando l'utente esterno apre il collegamento, viene chiesto di partecipare all'organizzazione Microsoft Entra di Contoso come utente guest. Dopo aver accettato l'invito, il collegamento apre il report o il dashboard specifico. L'autorizzazione dell'amministratore di Microsoft Entra per invitare utenti esterni all'organizzazione e sceglie le operazioni che gli utenti possono eseguire dopo aver accettato l'invito come descritto nella sezione Governance di questo documento. L'analista di Contoso può invitare l'utente guest solo perché l'amministratore di Microsoft Entra ha consentito l'azione e l'amministratore di Power BI ha consentito agli utenti di invitare gli utenti guest a visualizzare il contenuto nelle impostazioni del tenant di Power BI.

Invitare utenti guest a Power BI usando Microsoft Entra ID

  1. Il processo inizia con un utente interno contoso che condivide un dashboard o un report con un utente esterno. Se l'utente esterno non è già un guest nell'ID Microsoft Entra di Contoso, viene invitato. Viene inviato un messaggio di posta elettronica al proprio indirizzo di posta elettronica che include un invito all'ID Microsoft Entra di Contoso.
  2. Il destinatario accetta l'invito all'ID Microsoft Entra di Contoso e viene aggiunto come utente guest nell'ID Microsoft Entra di Contoso.
  3. Il destinatario viene quindi reindirizzato al dashboard, al report o all'app di Power BI.

Il processo viene considerato ad hoc perché gli utenti aziendali di Contoso eseguono l'azione di invito in base alle esigenze aziendali. Ogni elemento condiviso è un singolo collegamento a cui l'utente esterno può accedere per visualizzare il contenuto.

Dopo che l'utente esterno è stato invitato ad accedere alle risorse contoso, è possibile creare un account shadow in Contoso Microsoft Entra ID e non è necessario invitarli di nuovo. La prima volta che provano ad accedere a una risorsa Contoso come un dashboard di Power BI, passano attraverso un processo di consenso, che riscatta l'invito. Se non completano il consenso, non possono accedere ai contenuti di Contoso. In caso di problemi durante il riscatto dell'invito tramite il collegamento originale fornito, un amministratore di Microsoft Entra può inviare nuovamente un collegamento di invito specifico per il riscatto.

Condivisione pianificata per elemento

Contoso lavora con un subappaltatore per eseguire l'analisi dell'affidabilità dei termostati. Il subappaltatore ha un team di 10 persone che devono accedere ai dati nell'ambiente Power BI di Contoso. L'amministratore di Microsoft Entra di Contoso è coinvolto nell'invitare tutti gli utenti e gestire eventuali aggiunte/modifiche come personale al cambio del subappaltatore. L'amministratore di Microsoft Entra crea un gruppo di sicurezza per tutti i dipendenti del subappaltatore. Usando il gruppo di sicurezza, i dipendenti di Contoso possono gestire facilmente l'accesso ai report e garantire che tutto il personale subappaltatore richiesto abbia accesso a tutti i report, i dashboard e le app di Power BI necessari. L'amministratore di Microsoft Entra può anche evitare di essere coinvolto completamente nel processo di invito scegliendo di delegare i diritti di invito a un dipendente attendibile di Contoso o presso il subappaltatore per garantire una gestione tempestiva del personale.

Alcune organizzazioni richiedono un maggiore controllo sul momento in cui vengono aggiunti utenti esterni, invitano molti utenti in un'organizzazione esterna o molte organizzazioni esterne. In questi casi, la condivisione pianificata può essere usata per gestire la scalabilità della condivisione, per applicare i criteri dell'organizzazione e anche per delegare i diritti a utenti attendibili per invitare e gestire utenti esterni. Microsoft Entra B2B supporta gli inviti pianificati a essere inviati direttamente dal portale di Azure da un amministratore IT o tramite PowerShell usando l'API di Gestione inviti in cui un set di utenti può essere invitato in un'unica azione. Usando l'approccio degli inviti pianificati, l'organizzazione può controllare chi può invitare gli utenti e implementare i processi di approvazione. Le funzionalità avanzate di Microsoft Entra come i gruppi dinamici possono semplificare la gestione automatica dell'appartenenza ai gruppi di sicurezza.

Controllare quali utenti guest possono visualizzare il contenuto

  1. Il processo inizia con un amministratore IT che invita l'utente guest manualmente o tramite l'API fornita da Microsoft Entra ID.
  2. L'utente accetta l'invito all'organizzazione.
  3. Dopo che l'utente ha accettato l'invito, un utente in Power BI può condividere un report o un dashboard con l'utente esterno o un gruppo di sicurezza in cui si trovano. Analogamente alla normale condivisione in Power BI, l'utente esterno riceve un messaggio di posta elettronica con il collegamento all'elemento.
  4. Quando l'utente esterno accede al collegamento, l'autenticazione nella directory viene passata all'ID Microsoft Entra di Contoso e viene usata per ottenere l'accesso al contenuto di Power BI.

Condivisione ad hoc o pianificata di App Power BI

Contoso ha un set di report e dashboard che devono condividere con uno o più fornitori. Per garantire che tutti gli utenti esterni necessari abbiano accesso a questo contenuto, vengono inseriti in un pacchetto come app di Power BI. Gli utenti esterni vengono aggiunti direttamente all'elenco di accesso delle app o tramite gruppi di sicurezza. Un utente di Contoso invia quindi l'URL dell'app a tutti gli utenti esterni, ad esempio in un messaggio di posta elettronica. Quando gli utenti esterni aprono il collegamento, visualizzano tutto il contenuto in un'unica esperienza facile da esplorare.

L'uso di un'app Power BI semplifica la compilazione di un portale bi per i fornitori. Un singolo elenco di accesso controlla l'accesso a tutti i contenuti necessari riducendo i tempi di controllo e impostando le autorizzazioni a livello di elemento. Microsoft Entra B2B mantiene l'accesso alla sicurezza usando l'identità nativa del fornitore, in modo che gli utenti non necessitino di credenziali di accesso aggiuntive. Se si usano inviti pianificati con gruppi di sicurezza, la gestione dell'accesso all'app quando il personale ruota o fuori dal progetto è semplificato. L'appartenenza ai gruppi di sicurezza manualmente o tramite gruppi dinamici, in modo che tutti gli utenti esterni di un fornitore vengano aggiunti automaticamente al gruppo di sicurezza appropriato.

Controllare il contenuto con Microsoft Entra ID

  1. Il processo inizia dall'utente invitato all'organizzazione Microsoft Entra di Contoso tramite il portale di Azure o PowerShell.
  2. L'utente può essere aggiunto a un gruppo di utenti in Microsoft Entra ID. È possibile usare un gruppo di utenti statico o dinamico, ma i gruppi dinamici consentono di ridurre il lavoro manuale.
  3. Agli utenti esterni viene concesso l'accesso all'app Power BI tramite il gruppo di utenti. L'URL dell'app deve essere inviato direttamente all'utente esterno o inserito in un sito a cui ha accesso. Power BI fa il massimo sforzo per inviare un messaggio di posta elettronica con il collegamento dell'app a utenti esterni, ma quando si usano gruppi di utenti la cui appartenenza può cambiare, Power BI non è in grado di inviare a tutti gli utenti esterni gestiti tramite gruppi di utenti.
  4. Quando l'utente esterno accede all'URL dell'app Power BI, viene autenticato dall'ID Microsoft Entra di Contoso, l'app viene installata per l'utente e l'utente può visualizzare tutti i report e i dashboard contenuti all'interno dell'app.

Le app hanno anche una funzionalità univoca che consente agli autori di app di installare automaticamente l'applicazione per l'utente, quindi è disponibile quando l'utente accede. Questa funzionalità viene installata automaticamente solo per gli utenti esterni che fanno già parte dell'organizzazione di Contoso al momento della pubblicazione o dell'aggiornamento dell'applicazione. Pertanto, è preferibile usare con l'approccio degli inviti pianificati e dipende dall'app da pubblicare o aggiornare dopo l'aggiunta degli utenti all'ID Microsoft Entra di Contoso. Gli utenti esterni possono sempre installare l'app usando il collegamento all'app.

Commenti e sottoscrizione di contenuti in tutte le organizzazioni

Man mano che Contoso continua a lavorare con i suoi subappaltatori o fornitori, i tecnici esterni devono collaborare con gli analisti di Contoso. Power BI offre diverse funzionalità di collaborazione che consentono agli utenti di comunicare il contenuto che possono usare. Il commento del dashboard (e il commento del report presto) consente agli utenti di discutere i punti dati visualizzati e comunicare con gli autori di report per porre domande.

Attualmente, gli utenti guest esterni possono partecipare ai commenti lasciando commenti e leggendo le risposte. Tuttavia, a differenza degli utenti interni, gli utenti guest non possono essere @mentioned e non ricevono notifiche che hanno ricevuto un commento. Gli utenti guest possono usare la funzionalità sottoscrizioni all'interno di Power BI per sottoscrivere autonomamente un report o un dashboard. Per altre informazioni, vedere Sottoscrizioni tramite posta elettronica per report e dashboard nel servizio Power BI.

Accedere al contenuto nelle app Power BI per dispositivi mobili

Quando l'utente guest apre il collegamento al report o al dashboard nel dispositivo mobile, il contenuto verrà aperto nelle app power BI native nel dispositivo, se installate. L'utente guest sarà quindi in grado di spostarsi tra il contenuto condiviso con loro nel tenant esterno e tornare al proprio contenuto dal tenant principale. Per altre informazioni sull'accesso al contenuto condiviso con l'utente da un'organizzazione esterna tramite app Power BI per dispositivi mobili, vedere Visualizzare il contenuto di Power BI condiviso con l'utente da un'organizzazione esterna.

Relazioni organizzative con Power BI e Microsoft Entra B2B

Quando tutti gli utenti di Power BI sono interni all'organizzazione, non è necessario usare Microsoft Entra B2B. Tuttavia, una volta due o più organizzazioni vogliono collaborare ai dati e alle informazioni dettagliate, il supporto di Power BI per Microsoft Entra B2B rende più semplice e conveniente farlo.

Di seguito sono in genere rilevate strutture organizzative adatte per la collaborazione tra organizzazioni in stile Microsoft Entra B2B in Power BI. Microsoft Entra B2B funziona bene nella maggior parte dei casi, ma in alcune situazioni gli approcci alternativi comuni trattati alla fine di questo documento vale la pena prendere in considerazione.

Caso 1: Collaborazione diretta tra organizzazioni

La relazione di Contoso con il suo fornitore di termostati è un esempio di collaborazione diretta tra le organizzazioni. Poiché ci sono relativamente pochi utenti di Contoso e il suo fornitore che hanno bisogno di accedere alle informazioni sull'affidabilità del termostato, l'uso della condivisione esterna basata su Microsoft Entra B2B è ideale. È facile da usare e semplice da amministrare. Questo è anche un modello comune nei servizi di consulenza in cui un consulente potrebbe dover creare contenuto per un'organizzazione.

Condividere tra organizzazioni

In genere, questa condivisione viene eseguita inizialmente usando la condivisione ad hoc per elemento. Tuttavia, man mano che i team aumentano o aumentano le relazioni, l'approccio di condivisione pianificata per elemento diventa il metodo preferito per ridurre il sovraccarico di gestione. Inoltre, la condivisione ad hoc o pianificata di app Power BI, commenti e sottoscrizione al contenuto tra le organizzazioni, l'accesso al contenuto nelle app per dispositivi mobili può entrare in gioco. Importante, se gli utenti di entrambe le organizzazioni hanno licenze di Power BI Pro nelle rispettive organizzazioni, possono usare tali licenze Pro in ambienti Power BI. Ciò offre licenze vantaggiose perché l'organizzazione che invita potrebbe non dover pagare per una licenza di Power BI Pro per gli utenti esterni. Questo argomento viene descritto in modo più dettagliato nella sezione Licenze più avanti in questo documento.

Caso 2: Parent e le sue consociate o affiliate

Alcune strutture dell'organizzazione sono più complesse, tra cui filiali parzialmente o interamente di proprietà, società affiliate o relazioni tra provider di servizi gestiti. Queste organizzazioni hanno un'organizzazione padre, ad esempio una holding, ma le organizzazioni sottostanti operano in modo semi-autonomo, a volte in base a requisiti regionali diversi. In questo modo ogni organizzazione ha un proprio ambiente Microsoft Entra e tenant di Power BI separati.

Lavorare con le filiali

In questa struttura, l'organizzazione padre deve in genere distribuire informazioni dettagliate standardizzate alle sue filiali. In genere, questa condivisione viene eseguita usando l'approccio Ad hoc o pianificato di App Power BI, come illustrato nell'immagine seguente, poiché consente la distribuzione di contenuti autorevoli standardizzati a un pubblico ampio. In pratica viene usata una combinazione di tutti gli scenari menzionati in precedenza in questo documento.

Combinazione di scenari

Di seguito è riportato il processo seguente:

  1. Gli utenti di ogni filiale vengono invitati all'ID Microsoft Entra di Contoso
  2. L'app Power BI viene quindi pubblicata per concedere a questi utenti l'accesso ai dati necessari
  3. Infine, gli utenti aprono l'app tramite un collegamento a cui sono stati assegnati per visualizzare i report

Diverse sfide importanti sono affrontate dalle organizzazioni in questa struttura:

  • Come distribuire i collegamenti al contenuto in Power BI dell'organizzazione padre
  • Come consentire agli utenti sussidiari di accedere all'origine dati ospitata dall'organizzazione padre

Distribuzione di collegamenti al contenuto in Power BI dell'organizzazione padre

Tre approcci vengono comunemente usati per distribuire i collegamenti al contenuto. Il primo e il più semplice consiste nell'inviare il collegamento all'app agli utenti necessari o inserirlo in un sito di SharePoint Online da cui può essere aperto. Gli utenti possono quindi aggiungere un segnalibro al collegamento nei browser per un accesso più rapido ai dati necessari.

Il secondo approccio è il punto in cui l'organizzazione padre consente agli utenti delle filiali di accedere a Power BI e controlla che possono accedere tramite l'autorizzazione. In questo modo è possibile accedere a Home di Power BI in cui l'utente della filiale visualizza un elenco completo di contenuto condiviso nel tenant dell'organizzazione padre. L'URL dell'ambiente Power BI dell'organizzazione padre viene quindi assegnato agli utenti delle filiali.

L'approccio finale usa un'app Power BI creata all'interno del tenant di Power BI per ogni filiale. L'app Power BI include un dashboard con riquadri configurati con l'opzione collegamento esterno. Quando l'utente preme il riquadro, viene visualizzato il report, il dashboard o l'app appropriati in Power BI dell'organizzazione padre. Questo approccio ha il vantaggio aggiunto che l'app può essere installata automaticamente per tutti gli utenti della filiale ed è disponibile per loro ogni volta che accedono al proprio ambiente Power BI. Un ulteriore vantaggio di questo approccio è che funziona bene con le app Power BI per dispositivi mobili che possono aprire il collegamento in modo nativo. È anche possibile combinare questo approccio con il secondo approccio per consentire un passaggio più semplice tra gli ambienti di Power BI.

Consentire agli utenti sussidiari di accedere alle origini dati ospitate dall'organizzazione padre

Spesso gli analisti di una filiale devono creare analisi personalizzate usando i dati forniti dall'organizzazione padre. In questo caso, in genere le origini dati cloud vengono usate per risolvere la sfida.

Il primo approccio usa Azure Analysis Services per creare un data warehouse di livello aziendale che soddisfa le esigenze degli analisti nell'elemento padre e nelle sue filiali, come illustrato nell'immagine seguente. Contoso può ospitare i dati e usare funzionalità come la sicurezza a livello di riga per garantire che gli utenti di ogni filiale possano accedere solo ai dati. Gli analisti di ogni organizzazione possono accedere al data warehouse tramite Power BI Desktop e pubblicare analisi risultanti nei rispettivi tenant di Power BI.

Modalità di condivisione con i tenant di Power BI

Il secondo approccio usa database SQL di Azure per creare un data warehouse relazionale per fornire l'accesso ai dati. Questo approccio funziona in modo analogo all'approccio di Azure Analysis Services, anche se alcune funzionalità come la sicurezza a livello di riga possono essere più difficili da distribuire e gestire tra le filiali.

Anche gli approcci più sofisticati sono possibili, tuttavia, sono di gran lunga i più comuni.

Caso 3: Ambiente condiviso tra partner

Contoso può entrare in una partnership con un concorrente per costruire congiuntamente un'auto su una linea di montaggio condivisa, ma per distribuire il veicolo con marchi diversi o in aree diverse. Ciò richiede un'ampia collaborazione e la coproprietà dei dati, dell'intelligence e dell'analisi in tutte le organizzazioni. Questa struttura è comune anche nel settore dei servizi di consulenza in cui un team di consulenti può eseguire analisi basate su progetti per un cliente.

Ambiente condiviso tra partner

In pratica, queste strutture sono complesse come illustrato nell'immagine seguente e richiedono il mantenimento del personale. Per essere efficaci, le organizzazioni possono riutilizzare le licenze di Power BI Pro acquistate per i rispettivi tenant di Power BI.

Licenze e contenuto dell'organizzazione condivisa

Per stabilire un tenant di Power BI condiviso, è necessario creare un ID Microsoft Entra e deve essere acquistato almeno un account utente di Power BI Pro per un utente in tale tenant. Questo utente invita gli utenti necessari all'organizzazione condivisa. In particolare, in questo scenario gli utenti di Contoso vengono considerati come utenti esterni quando operano all'interno di Power BI dell'organizzazione condivisa.

Passaggi del processo:

  1. L'organizzazione condivisa viene stabilita come nuovo ID Microsoft Entra e nel nuovo tenant viene creato almeno un account utente. A tale utente deve essere assegnata una licenza di Power BI Pro.
  2. Questo utente stabilisce quindi un tenant di Power BI e invita gli utenti necessari da Contoso e dall'organizzazione partner. L'utente stabilisce anche tutti gli asset di dati condivisi, ad esempio Azure Analysis Services. Contoso e gli utenti del partner possono accedere a Power BI dell'organizzazione condivisa come utenti guest. In genere, tutti gli asset condivisi vengono archiviati e accessibili dall'organizzazione condivisa.
  3. A seconda del modo in cui le parti accettano di collaborare, è possibile che ogni organizzazione sviluppi i propri dati proprietari e analisi usando asset di data warehouse condivisi. Possono distribuirli ai rispettivi utenti interni usando i tenant di Power BI interni.

Caso 4: Distribuzione a centinaia o migliaia di partner esterni

Mentre Contoso ha creato un report sull'affidabilità del termostato per un fornitore, Ora Contoso desidera creare un set di report standardizzati per centinaia di fornitori. Ciò consente a Contoso di garantire che tutti i fornitori dispongano dell'analisi necessaria per apportare miglioramenti o per correggere i difetti di produzione.

Distribuzione a molti partner

Quando un'organizzazione deve distribuire dati e informazioni dettagliate standardizzate a molti utenti/organizzazioni esterni, può usare lo scenario Ad hoc o pianificato di condivisione di app Power BI per creare rapidamente un portale di business intelligence e senza costi di sviluppo estesi. Il processo di compilazione di un portale di questo tipo con un'app Power BI è illustrato nel case study: Creazione di un portale di BI con Power BI + Microsoft Entra B2B - Istruzioni dettagliate più avanti in questo documento.

Una variante comune di questo caso è quando un'organizzazione tenta di condividere informazioni dettagliate con i consumer, soprattutto quando si vuole usare Azure Active Directory B2C con Power BI. Power BI non supporta in modo nativo Azure Active Directory B2C. Se si valutano le opzioni per questo caso, è consigliabile usare l'opzione alternativa 2 nell'approccio alternativo comune alla sezione più avanti in questo documento.

Case study: Creazione di un portale bi con Power BI + Microsoft Entra B2B - Istruzioni dettagliate

L'integrazione di Power BI con Microsoft Entra B2B offre a Contoso un modo semplice e senza problemi per fornire agli utenti guest l'accesso sicuro al portale bi. Contoso può configurare questa operazione con tre passaggi:

Creazione di un portale

  1. Creare un portale bi in Power BI

    La prima attività per Contoso consiste nel creare il portale bi in Power BI. Il portale bi di Contoso sarà costituito da una raccolta di dashboard e report creati appositamente che verranno resi disponibili a molti utenti interni e guest. Il modo consigliato per eseguire questa operazione in Power BI consiste nel creare un'app Power BI. Altre informazioni sulle app in Power BI.

  • Il team di Business Intelligence di Contoso crea un'area di lavoro in Power BI

    area di lavoro

  • Altri autori vengono aggiunti all'area di lavoro

    Aggiungere autori

  • Il contenuto viene creato all'interno dell'area di lavoro

    Creare contenuto all'interno dell'area di lavoro

    Ora che il contenuto viene creato in un'area di lavoro, Contoso è pronto per invitare gli utenti guest nelle organizzazioni partner a utilizzare questo contenuto.

  1. Invitare utenti guest

    È possibile invitare gli utenti guest nel portale di Business Intelligence in Power BI in due modi:

    • Inviti pianificati
    • Inviti ad hoc

    Inviti pianificati

    In questo approccio Contoso invita gli utenti guest a Microsoft Entra in anticipo e quindi distribuisce il contenuto di Power BI. Contoso può invitare utenti guest dalla portale di Azure o tramite PowerShell. Ecco i passaggi per invitare gli utenti guest dal portale di Azure:

    • L'amministratore di Microsoft Entra di Contoso passa a portale di Azure> Microsoft Entra ID>Users>Tutti gli utenti>Nuovo utente guest

    Utente guest

    • Aggiungere un messaggio di invito per gli utenti guest e selezionare Invita

    Aggiungi invito

    Nota

    Per invitare gli utenti guest dalla portale di Azure, è necessario un amministratore di Microsoft Entra per il tenant.

    Se Contoso vuole invitare molti utenti guest, è possibile farlo usando PowerShell. L'amministratore di Microsoft Entra di Contoso archivia gli indirizzi di posta elettronica di tutti gli utenti guest in un file CSV. Ecco il codice di collaborazione B2B di Microsoft Entra e gli esempi e le istruzioni di PowerShell.

    Dopo l'invito, gli utenti guest ricevono un messaggio di posta elettronica con il collegamento di invito.

    Collegamento di invito

    Dopo che gli utenti guest selezionano il collegamento, possono accedere al contenuto nel tenant Di Contoso Microsoft Entra.

    Nota

    È possibile modificare il layout del messaggio di posta elettronica di invito usando la funzionalità di personalizzazione di Microsoft Entra ID, come descritto qui.

    Inviti ad hoc

    Cosa succede se Contoso non conosce tutti gli utenti guest che vuole invitare in anticipo? In alternativa, cosa accade se l'analista di Contoso che ha creato il portale bi vuole distribuire il contenuto agli utenti guest? Questo scenario è supportato anche in Power BI con inviti ad hoc.

    L'analista può semplicemente aggiungere gli utenti esterni all'elenco di accesso dell'app durante la pubblicazione. Gli utenti guest ricevono un invito e, una volta accettati, vengono reindirizzati automaticamente al contenuto di Power BI.

    Aggiungere un utente esterno

    Nota

    Gli inviti sono necessari solo la prima volta che un utente esterno viene invitato all'organizzazione.

  2. Distribuisci contenuto

    Ora che il team bi di Contoso ha creato il portale bi e gli utenti guest invitati, può distribuire il portale agli utenti finali concedendo agli utenti guest l'accesso all'app e pubblicandolo. Power BI esegue il completamento automatico dei nomi degli utenti guest aggiunti in precedenza al tenant Contoso. A questo punto è anche possibile aggiungere inviti ad ad hoc ad altri utenti guest.

    Nota

    Se si usano gruppi di sicurezza per gestire l'accesso all'app per gli utenti esterni, usare l'approccio Inviti pianificati e condividere il collegamento all'app direttamente con ogni utente esterno che deve accedervi. In caso contrario, l'utente esterno potrebbe non essere in grado di installare o visualizzare il contenuto dall'interno del app._

    Gli utenti guest ricevono un messaggio di posta elettronica con un collegamento all'app.

    Collegamento di invito tramite posta elettronica

    Facendo clic su questo collegamento, agli utenti guest viene chiesto di eseguire l'autenticazione con l'identità dell'organizzazione.

    Sign in page

    Dopo l'autenticazione, vengono reindirizzati all'app BI di Contoso.

    Visualizzare il contenuto condiviso

    Gli utenti guest possono accedere successivamente all'app contoso facendo clic sul collegamento nel messaggio di posta elettronica o inserendo un segnalibro nel collegamento. Contoso può anche semplificare gli utenti guest aggiungendo questo collegamento a qualsiasi portale Extranet esistente già usato dagli utenti guest.

  3. Passaggi successivi

    Usando un'app Power BI e Microsoft Entra B2B, Contoso è stata in grado di creare rapidamente un portale bi per i suoi fornitori senza codice. Ciò semplifica notevolmente la distribuzione di analisi standardizzate a tutti i fornitori che ne hanno bisogno.

    Mentre l'esempio ha mostrato come un singolo report comune possa essere distribuito tra i fornitori, Power BI può andare molto oltre. Per garantire che ogni partner veda solo i dati rilevanti per se stessi, la sicurezza a livello di riga può essere aggiunta facilmente al report e al modello di dati. La sezione Sicurezza dei dati per i partner esterni più avanti in questo documento descrive in dettaglio questo processo.

    Spesso i singoli report e dashboard devono essere incorporati in un portale esistente. Questa operazione può essere eseguita anche riutilizzando molte delle tecniche illustrate nell'esempio. In queste situazioni, tuttavia, può essere più semplice incorporare report o dashboard direttamente da un'area di lavoro. Il processo per l'invito e l'assegnazione dell'autorizzazione di sicurezza agli utenti necessari rimangono invariati.

In background: in che modo Lucy da Supplier1 è in grado di accedere al contenuto di Power BI dal tenant di Contoso?

Ora che è stato illustrato in che modo Contoso è in grado di distribuire facilmente il contenuto di Power BI agli utenti guest nelle organizzazioni partner, si esaminerà il funzionamento di questo approccio.

Quando Contoso ha invitato lucy@supplier1.com alla directory, Microsoft Entra ID crea un collegamento tra Lucy@supplier1.com e il tenant di Contoso Microsoft Entra. Questo collegamento consente a Microsoft Entra ID di sapere che Lucy@supplier1.com può accedere al contenuto nel tenant contoso.

Quando Lucy tenta di accedere all'app Power BI di Contoso, Microsoft Entra ID verifica che Lucy possa accedere al tenant contoso e quindi fornisce a Power BI un token che indica che Lucy è autenticato per accedere al contenuto nel tenant contoso. Power BI usa questo token per autorizzare e assicurarsi che Lucy abbia accesso all'app Power BI di Contoso.

Verifica e autorizzazione

L'integrazione di Power BI con Microsoft Entra B2B funziona con tutti gli indirizzi di posta elettronica aziendali. Se l'utente non ha un'identità di Microsoft Entra, potrebbe essere richiesto di crearne uno. L'immagine seguente mostra il flusso dettagliato:

Diagramma di flusso di integrazione

È importante riconoscere che l'account Microsoft Entra verrà usato o creato nell'ID Microsoft Entra della parte esterna, in modo che Lucy possa usare il proprio nome utente e password e le credenziali smetteranno automaticamente di lavorare in altri tenant ogni volta che Lucy lascia l'azienda quando l'organizzazione usa anche Microsoft Entra ID.

Licenze

Contoso può scegliere uno dei tre approcci per concedere licenze agli utenti guest dai fornitori e dalle organizzazioni partner per avere accesso al contenuto di Power BI.

Nota

Il livello gratuito di Microsoft Entra B2B è sufficiente per usare Power BI con Microsoft Entra B2B. Alcune funzionalità avanzate di Microsoft Entra B2B come i gruppi dinamici richiedono licenze aggiuntive. Per altre informazioni, vedere la documentazione di Microsoft Entra B2B.

Approccio 1: Contoso usa Power BI Premium

Con questo approccio, Contoso acquista la capacità di Power BI Premium e assegna il contenuto del portale bi a questa capacità. In questo modo gli utenti guest delle organizzazioni partner possono accedere all'app Power BI di Contoso senza alcuna licenza di Power BI.

Gli utenti esterni sono soggetti anche all'utilizzo solo delle esperienze offerte agli utenti "Gratuiti" in Power BI quando usano contenuti all'interno di Power BI Premium.

Contoso può anche sfruttare altre funzionalità Premium di Power BI per le app, ad esempio frequenze di aggiornamento, capacità e dimensioni di modelli di grandi dimensioni.

Funzionalità aggiuntive

Approccio 2: Contoso assegna licenze di Power BI Pro agli utenti guest

Con questo approccio, Contoso assegna licenze pro agli utenti guest delle organizzazioni partner. Questa operazione può essere eseguita dai interfaccia di amministrazione di Microsoft 365 di Contoso. In questo modo gli utenti guest delle organizzazioni partner possono accedere all'app Power BI di Contoso senza acquistare una licenza. Questo può essere appropriato per la condivisione con utenti esterni la cui organizzazione non ha ancora adottato Power BI.

Nota

La licenza Pro di Contoso si applica agli utenti guest solo quando accedono al contenuto nel tenant contoso. Le licenze Pro consentono l'accesso al contenuto che non si trova in una capacità Power BI Premium.

Informazioni sulla licenza

Approccio 3: Gli utenti guest mettono a propria licenza Power BI Pro

Con questo approccio, Supplier 1 assegna una licenza di Power BI Pro a Lucy. Possono quindi accedere all'app Power BI di Contoso con questa licenza. Poiché Lucy può usare la licenza Pro dalla propria organizzazione quando accede a un ambiente Power BI esterno, questo approccio viene talvolta definito bring your own license (BYOL). Se entrambe le organizzazioni usano Power BI, offre licenze vantaggiose per la soluzione di analisi complessiva e riduce al minimo il sovraccarico di assegnazione delle licenze agli utenti esterni.

Nota

La licenza pro assegnata a Lucy by Supplier 1 si applica a qualsiasi tenant di Power BI in cui Lucy è un utente guest. Le licenze Pro consentono l'accesso al contenuto che non si trova in una capacità Power BI Premium.

Requisiti di licenza Pro

Sicurezza dei dati per partner esterni

In genere, quando si lavora con più fornitori esterni, Contoso deve assicurarsi che ogni fornitore veda i dati solo relativi ai propri prodotti. La sicurezza basata sull'utente e la sicurezza dinamica a livello di riga semplificano questa operazione con Power BI.

Sicurezza basata sull'utente

Una delle funzionalità più potenti di Power BI è la sicurezza a livello di riga. Questa funzionalità consente a Contoso di creare un singolo report e un modello semantico (noto in precedenza come set di dati) ma applicare regole di sicurezza diverse per ogni utente. Per una spiegazione approfondita, vedere Sicurezza a livello di riga.

L'integrazione di Power BI con Microsoft Entra B2B consente a Contoso di assegnare le regole di sicurezza a livello di riga agli utenti guest non appena vengono invitati al tenant contoso. Come si è visto in precedenza, Contoso può aggiungere utenti guest tramite inviti pianificati o ad hoc. Se Contoso vuole applicare la sicurezza a livello di riga, è consigliabile usare inviti pianificati per aggiungere gli utenti guest in anticipo e assegnarli ai ruoli di sicurezza prima di condividere il contenuto. Se Contoso usa invece inviti ad hoc, potrebbe verificarsi un breve periodo di tempo in cui gli utenti guest non potranno visualizzare i dati.

Nota

Questo ritardo nell'accesso ai dati protetti dalla sicurezza a livello di riga quando si usano inviti ad hoc può portare a richieste di supporto al team IT perché gli utenti visualizzeranno report o dashboard vuoti o interrotti all'apertura di un collegamento di condivisione nel messaggio di posta elettronica ricevuto. È pertanto consigliabile usare gli inviti pianificati in questo scenario.

Di seguito viene illustrato un esempio.

Come accennato in precedenza, Contoso ha fornitori in tutto il mondo e vuole assicurarsi che gli utenti delle organizzazioni dei fornitori ottengano informazioni dettagliate dai dati solo dal proprio territorio. Tuttavia, gli utenti di Contoso possono accedere a tutti i dati. Anziché creare diversi report, Contoso crea un singolo report e filtra i dati in base all'utente che lo visualizza.

Contenuto condiviso

Per assicurarsi che Contoso possa filtrare i dati in base a chi si connette, vengono creati due ruoli in Power BI Desktop. Uno per filtrare tutti i dati da SalesTerritory "Europe" e un altro per "America del Nord".

Gestione dei ruoli

Ogni volta che i ruoli vengono definiti nel report, un utente deve essere assegnato a un ruolo specifico per ottenere l'accesso a tutti i dati. L'assegnazione dei ruoli avviene all'interno del servizio Power BI ( sicurezza dei modelli semantici > ).

Impostazione della sicurezza

Verrà aperta una pagina in cui il team bi di Contoso può visualizzare i due ruoli creati. Ora il team bi di Contoso può assegnare gli utenti ai ruoli.

Sicurezza a livello di riga

Nell'esempio Contoso aggiunge un utente in un'organizzazione partner con indirizzo admin@fabrikam.com di posta elettronica al ruolo Europa:

Impostazioni di sicurezza a livello di riga

Quando questo viene risolto da Microsoft Entra ID, Contoso può visualizzare il nome visualizzato nella finestra pronto per essere aggiunto:

Mostra ruoli

Ora, quando questo utente apre l'app che è stata condivisa con loro, visualizza solo un report con dati provenienti dall'Europa:

Contenuto della vista

Sicurezza a livello di riga dinamica

Un altro argomento interessante consiste nel vedere come funziona la sicurezza a livello di riga dinamica con Microsoft Entra B2B.

In breve, la sicurezza a livello di riga dinamica funziona filtrando i dati nel modello in base al nome utente della persona che si connette a Power BI. Anziché aggiungere più ruoli per i gruppi di utenti, è possibile definire gli utenti nel modello. Il modello non verrà descritto in dettaglio qui. Kasper de Jong offre una scrittura dettagliata su tutti i tipi di sicurezza a livello di riga nel foglio informativo sulla sicurezza dinamica di Power BI Desktop e in questo white paper .

Di seguito è riportato un piccolo esempio: Contoso ha un semplice report sulle vendite per gruppi:

Contenuto di esempio

Ora questo report deve essere condiviso con due utenti guest e un utente interno: l'utente interno può visualizzare tutto, ma gli utenti guest possono visualizzare solo i gruppi a cui hanno accesso. Ciò significa che è necessario filtrare i dati solo per gli utenti guest. Per filtrare i dati in modo appropriato, Contoso usa il modello dynamic RLS come descritto nel white paper e nel post di blog. Ciò significa che Contoso aggiunge i nomi utente ai dati stessi:

Visualizzare gli utenti della sicurezza a livello di riga per i dati stessi

Contoso crea quindi il modello di dati corretto che filtra i dati in modo appropriato con le relazioni corrette:

Vengono visualizzati i dati appropriati

Per filtrare automaticamente i dati in base all'utente connesso, Contoso deve creare un ruolo che passa all'utente che si connette. In questo caso, Contoso crea due ruoli, ovvero il primo è il "securityrole" che filtra la tabella Users con il nome utente corrente dell'utente connesso a Power BI (questo funziona anche per gli utenti guest di Microsoft Entra B2B).

Gestire i ruoli

Contoso crea anche un altro "AllRole" per gli utenti interni che possono visualizzare tutti gli elementi, ovvero questo ruolo non ha alcun predicato di sicurezza.

Dopo aver caricato il file di Power BI Desktop nel servizio, Contoso può assegnare gli utenti guest a "SecurityRole" e agli utenti interni a "AllRole"

Ora, quando gli utenti guest aprono il report, visualizzano solo le vendite del gruppo A:

Solo dal gruppo A

Nella matrice a destra è possibile visualizzare il risultato della funzione U edizione Standard RNAME() e U edizione Standard RPRINCIPALNAME() restituiscono entrambi l'indirizzo di posta elettronica degli utenti guest.

Ora l'utente interno ottiene per visualizzare tutti i dati:

Tutti i dati visualizzati

Come si può notare, la sicurezza a livello di riga dinamica funziona con utenti interni o guest.

Nota

Questo scenario funziona anche quando si usa un modello in Azure Analysis Services. In genere il servizio Azure Analysis Services è connesso allo stesso ID Microsoft Entra di Power BI. In tal caso, Azure Analysis Services conosce anche gli utenti guest invitati tramite Microsoft Entra B2B.

Connessione alle origini dati locali

Power BI offre la possibilità per Contoso di usare origini dati locali come SQL Server Analysis Services o SQL Server direttamente grazie al gateway dati locale. È anche possibile accedere a tali origini dati con le stesse credenziali usate con Power BI.

Nota

Quando si installa un gateway per connettersi al tenant di Power BI, è necessario usare un utente creato all'interno del tenant. Gli utenti esterni non possono installare un gateway e connetterlo al tenant._

Per gli utenti esterni, questo potrebbe essere più complicato perché gli utenti esterni in genere non sono noti ad AD locale. Power BI offre una soluzione alternativa a questo problema consentendo agli amministratori di Contoso di eseguire il mapping dei nomi utente esterni ai nomi utente interni, come descritto in Gestire l'origine dati - Analysis Services. Ad esempio, lucy@supplier1.com è possibile eseguire il mapping a lucy_supplier1_com#EXT@contoso.com.

Mapping dei nomi utente

Questo metodo è corretto se Contoso ha solo pochi utenti o se Contoso può eseguire il mapping di tutti gli utenti esterni a un singolo account interno. Per scenari più complessi in cui ogni utente necessita delle proprie credenziali, esiste un approccio più avanzato che usa attributi di Active Directory personalizzati per eseguire il mapping come descritto in Gestire l'origine dati - Analysis Services. In questo modo l'amministratore di Contoso può definire un mapping per ogni utente nell'ID Microsoft Entra (anche utenti B2B esterni). Questi attributi possono essere impostati tramite il modello a oggetti di ACTIVE Directory usando script o codice in modo che Contoso possa automatizzare completamente il mapping in caso di invito o con cadenza pianificata.

Governance

Quando si usa la condivisione Microsoft Entra B2B, l'amministratore di Microsoft Entra controlla gli aspetti dell'esperienza dell'utente esterno. Queste impostazioni vengono controllate nella pagina Impostazioni collaborazione esterna all'interno delle impostazioni di Microsoft Entra ID per il tenant.

Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.

Nota

Per impostazione predefinita, l'opzione Autorizzazioni utenti guest è limitata è impostata su Sì, quindi gli utenti guest all'interno di Power BI hanno esperienze limitate, in particolare la condivisione in cui le interfacce utente di selezione utenti non funzionano per tali utenti. È importante collaborare con l'amministratore di Microsoft Entra per impostarlo su No, come illustrato di seguito per garantire un'esperienza ottimale.

Impostazioni di collaborazione esterna

Controllare gli inviti guest

Gli amministratori di Power BI possono controllare la condivisione esterna solo per Power BI visitando il portale di amministrazione di Power BI. Ma gli amministratori possono anche controllare la condivisione esterna con vari criteri di Microsoft Entra. Questi criteri consentono agli amministratori di:

  • Disattivare gli inviti da parte degli utenti finali
  • Solo gli amministratori e gli utenti nel ruolo Mittente dell'invito guest possono inviare inviti
  • Gli amministratori, il ruolo Mittente dell'invito guest e i membri possono inviare inviti
  • Possono inviare inviti tutti gli utenti, inclusi gli utenti guest

Per altre informazioni su questi criteri, vedere Delegare gli inviti per La collaborazione B2B di Microsoft Entra.

Tutte le azioni di Power BI da parte di utenti esterni vengono controllate anche nel portale di controllo.

Criteri di accesso condizionale per gli utenti guest

Contoso può applicare criteri di accesso condizionale per gli utenti guest che accedono al contenuto dal tenant contoso. È possibile trovare istruzioni dettagliate in Accesso condizionale per gli utenti di Collaborazione B2B.

Approcci alternativi comuni

Anche se Microsoft Entra B2B semplifica la condivisione di dati e report tra le organizzazioni, esistono diversi altri approcci comunemente usati e possono essere superiori in alcuni casi.

Opzione alternativa 1: Creare identità duplicate per gli utenti partner

Con questa opzione, Contoso doveva creare manualmente identità duplicate per ogni utente partner nel tenant contoso, come illustrato nell'immagine seguente. All'interno di Power BI, Contoso può quindi condividere con le identità assegnate i report, i dashboard o le app appropriati.

Impostazione di mapping e nomi appropriati

Motivi per scegliere questa alternativa:

  • Poiché l'identità dell'utente è controllata dall'organizzazione, qualsiasi servizio correlato, ad esempio posta elettronica, SharePoint e così via, rientra nel controllo dell'organizzazione. I Amministrazione istratori IT possono reimpostare le password, disabilitare l'accesso agli account o controllare le attività in questi servizi.
  • Gli utenti che usano account personali per la propria azienda spesso sono limitati dall'accesso a determinati servizi, pertanto potrebbe essere necessario un account aziendale.
  • Alcuni servizi funzionano solo sugli utenti dell'organizzazione. Ad esempio, l'uso di Intune per gestire il contenuto nei dispositivi personali/mobili di utenti esterni che usano Microsoft Entra B2B potrebbe non essere possibile.

Motivi per non scegliere questa alternativa:

  • Gli utenti delle organizzazioni partner devono ricordare due set di credenziali: uno per accedere al contenuto dalla propria organizzazione e l'altro per accedere al contenuto da Contoso. Questo è un problema per questi utenti guest e molti utenti guest sono confusi da questa esperienza.
  • Contoso deve acquistare e assegnare licenze per utente a questi utenti. Se un utente deve ricevere messaggi di posta elettronica o usare applicazioni di Office, è necessario disporre delle licenze appropriate, incluso Power BI Pro per modificare e condividere il contenuto in Power BI.
  • Contoso potrebbe voler applicare criteri di autorizzazione e governance più rigorosi per gli utenti esterni rispetto agli utenti interni. A tale scopo, Contoso deve creare una denominazione interna per gli utenti esterni e tutti gli utenti contoso devono essere istruiti su questa nomenclatura.
  • Quando l'utente lascia l'organizzazione, continua ad avere accesso alle risorse di Contoso fino a quando l'amministratore contoso non elimina manualmente il proprio account
  • Gli amministratori contoso devono gestire l'identità per il guest, tra cui la creazione, la reimpostazione della password e così via.

Opzione alternativa 2: Creare un'applicazione Power BI Embedded personalizzata usando l'autenticazione personalizzata

Un'altra opzione per Contoso consiste nel creare un'applicazione Power BI incorporata personalizzata con l'autenticazione personalizzata ('App possiede i dati'). Anche se molte organizzazioni non hanno tempo o risorse per creare un'applicazione personalizzata per distribuire il contenuto di Power BI ai partner esterni, per alcune organizzazioni questo è l'approccio migliore e merita una seria considerazione.

Spesso, le organizzazioni hanno portali partner esistenti che centralizzano l'accesso a tutte le risorse organizzative per i partner, forniscono isolamento dalle risorse interne dell'organizzazione e offrono esperienze semplificate per i partner per supportare molti partner e i singoli utenti.

Molti portali partner

Nell'esempio precedente, gli utenti di ogni fornitore accedono al portale per i partner di Contoso che usa l'ID Microsoft Entra come provider di identità. Può usare Microsoft Entra B2B, Azure Active Directory B2C, identità native o eseguire la federazione con un numero qualsiasi di altri provider di identità. L'utente accede e accede a una compilazione del portale per i partner usando l'app Web di Azure o un'infrastruttura simile.

All'interno dell'app Web, i report di Power BI vengono incorporati da una distribuzione di Power BI Embedded. L'app Web semplifica l'accesso ai report e ai servizi correlati in un'esperienza coesa volta a semplificare l'interazione dei fornitori con Contoso. Questo ambiente del portale sarebbe isolato dall'ID Interno di Microsoft Contoso e dall'ambiente Interno di Power BI di Contoso per garantire che i fornitori non possano accedere a tali risorse. In genere, i dati vengono archiviati in un data warehouse partner separato per garantire anche l'isolamento dei dati. Questo isolamento offre vantaggi poiché limita il numero di utenti esterni con accesso diretto ai dati dell'organizzazione, limitando i dati potenzialmente disponibili per l'utente esterno e limitando la condivisione accidentale con utenti esterni.

Usando Power BI Embedded, il portale può usare licenze vantaggiose, usando un token dell'app o l'utente master e la capacità premium acquistata nel modello di Azure, che semplifica l'assegnazione di licenze agli utenti finali e può aumentare o ridurre le prestazioni in base all'utilizzo previsto. Il portale può offrire un'esperienza complessiva di qualità e coerenza superiore perché i partner accedono a un singolo portale progettato tenendo presente tutte le esigenze di un partner. Infine, poiché le soluzioni basate su Power BI Embedded sono in genere progettate per essere multi-tenant, semplifica l'isolamento tra le organizzazioni partner.

Motivi per scegliere questa alternativa:

  • Più facile da gestire man mano che aumenta il numero di organizzazioni partner. Poiché i partner vengono aggiunti a una directory separata isolata dalla directory interna di Microsoft Entra di Contoso, semplifica i compiti di governance it e impedisce la condivisione accidentale dei dati interni agli utenti esterni.
  • I portali per i partner tipici sono esperienze altamente personalizzate con esperienze coerenti tra i partner e semplificate per soddisfare le esigenze dei partner tipici. Contoso può quindi offrire un'esperienza complessiva migliore ai partner integrando tutti i servizi necessari in un unico portale.
  • I costi di licenza per scenari avanzati, ad esempio la modifica del contenuto all'interno di Power BI Embedded, sono coperti da Power BI Premium acquistato da Azure e non richiedono l'assegnazione delle licenze di Power BI Pro a tali utenti.
  • Offre un migliore isolamento tra i partner se progettato come soluzione multi-tenant.
  • Il portale per i partner include spesso altri strumenti per i partner oltre a report, dashboard e app di Power BI.

Motivi per non scegliere questa alternativa:

  • È necessario un impegno significativo per creare, operare e gestire un portale di questo tipo che lo rende un investimento significativo in risorse e tempo.
  • Il tempo per la soluzione è molto più lungo rispetto all'uso della condivisione B2B perché è necessaria un'attenta pianificazione ed esecuzione in più flussi di lavoro.
  • In presenza di un numero minore di partner, è probabile che il lavoro richiesto per questa alternativa sia troppo elevato da giustificare.
  • La collaborazione con la condivisione ad hoc è lo scenario principale affrontato dall'organizzazione.
  • I report e i dashboard sono diversi per ogni partner. Questa alternativa introduce un sovraccarico di gestione oltre alla semplice condivisione diretta con i partner.

Domande frequenti

Contoso può inviare un invito che viene riscattato automaticamente, in modo che l'utente sia semplicemente "pronto per l'uso"? Oppure l'utente deve sempre fare clic sull'URL di riscatto?

L'utente finale deve sempre fare clic sull'esperienza di consenso prima di poter accedere al contenuto.

Se si invitano molti utenti guest, è consigliabile delegarlo agli amministratori principali di Microsoft Entra aggiungendo un utente al ruolo mittente dell'invito guest nell'organizzazione delle risorse. Questo utente può invitare altri utenti nell'organizzazione partner usando l'interfaccia utente di accesso, script di PowerShell o API. In questo modo si riduce il carico amministrativo degli amministratori di Microsoft Entra per invitare o reinvitare gli utenti all'interno dell'organizzazione partner.

Contoso può forzare l'autenticazione a più fattori per gli utenti guest se i partner non dispongono dell'autenticazione a più fattori?

Sì. Per altre informazioni, vedere Accesso condizionale per gli utenti di Collaborazione B2B.

Come funziona collaborazione B2B quando il partner invitato usa la federazione per aggiungere la propria autenticazione locale?

Se il partner ha un tenant di Microsoft Entra federato all'infrastruttura di autenticazione locale, viene automaticamente ottenuto l'accesso Single Sign-On (SSO) locale. Se il partner non ha un tenant di Microsoft Entra, è possibile creare un account Microsoft Entra per i nuovi utenti.

È possibile invitare utenti guest con account di posta elettronica consumer?

L'invito di utenti guest con account di posta elettronica consumer è supportato in Power BI. Sono inclusi domini quali hotmail.com, outlook.com e gmail.com. Tuttavia, questi utenti possono riscontrare limitazioni oltre a quelle riscontrate dagli utenti con account aziendali o dell'istituto di istruzione.