Pianificazione dell'implementazione di Power BI: pianificazione della sicurezza a livello di tenant

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sul carico di lavoro di Power BI all'interno di Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo sulla pianificazione della sicurezza a livello di tenant è destinato principalmente a:

• Amministratori di Power BI: amministratori responsabili della supervisione di Power BI nell'organizzazione.
• Centro di eccellenza, IT e team bi: i team responsabili della supervisione di Power BI. Potrebbe essere necessario collaborare con gli amministratori di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.

Questo articolo potrebbe anche essere rilevante per gli autori self-service di Power BI che creano, pubblicano e gestiscono il contenuto nelle aree di lavoro.

La serie di articoli è destinata a ampliare il contenuto del white paper sulla sicurezza di Power BI. Anche se il white paper sulla sicurezza di Power BI è incentrato su argomenti tecnici chiave come l'autenticazione, la residenza dei dati e l'isolamento della rete, l'obiettivo principale della serie è fornire considerazioni e decisioni utili per pianificare la sicurezza e la privacy.

Poiché il contenuto di Power BI può essere usato e protetto in modi diversi, molte decisioni tattiche verranno prese dagli autori di contenuti. Tuttavia, esistono anche alcune decisioni strategiche di pianificazione da prendere a livello di tenant. Queste decisioni di pianificazione strategica sono l'obiettivo di questo articolo.

È consigliabile prendere le decisioni di sicurezza a livello di tenant il prima possibile perché influiscono su tutto il resto. Inoltre, è più facile prendere altre decisioni sulla sicurezza dopo avere maggiore chiarezza sugli obiettivi e sugli obiettivi di sicurezza complessivi.

Amministrazione di Power BI

L'amministratore di Power BI è un ruolo con privilegi elevati che ha un controllo significativo su Power BI. È consigliabile considerare attentamente chi è assegnato a questo ruolo perché un amministratore di Power BI può eseguire molte funzioni di alto livello, tra cui:

• Gestione delle impostazioni del tenant: Amministrazione istrator può gestire le impostazioni del tenant nel portale di amministrazione. Possono abilitare o disabilitare le impostazioni e consentire o impedire utenti o gruppi specifici all'interno delle impostazioni. È importante comprendere che le impostazioni del tenant hanno un'influenza significativa sull'esperienza utente.
• Gestione dei ruoli dell'area di lavoro: Amministrazione istrator può aggiornare i ruoli dell'area di lavoro nel portale di amministrazione. Possono potenzialmente aggiornare la sicurezza dell'area di lavoro per accedere a tutti i dati o concedere diritti ad altri utenti per accedere ai dati nel servizio Power BI.
• Accesso all'area di lavoro personale: Amministrazione istrator può accedere al contenuto e gestire l'area di lavoro personale di qualsiasi utente.
• Accesso ai metadati del tenant: i Amministrazione istrator possono accedere ai metadati a livello di tenant, inclusi i log attività di Power BI e gli eventi di attività recuperati dalle API di amministrazione di Power BI.

Suggerimento

Come procedura consigliata, è consigliabile assegnare tra due e quattro utenti al ruolo di amministratore dell'infrastruttura. In questo modo, è possibile ridurre i rischi garantendo al tempo stesso una copertura adeguata e un training incrociato.

Un amministratore di Power BI appartiene ad almeno uno di questi ruoli predefiniti:

• Amministratore di Power BI (Microsoft 365)
• Amministratore di Power Platform (Microsoft 365)
• Amministratore globale (ID Microsoft Entra, noto in precedenza come Azure Active Directory)

Nota

Anche se un amministratore di Power Platform può gestire la servizio Power BI, l'inverso non è vero. Un utente assegnato al ruolo di amministratore dell'infrastruttura non può gestire altre applicazioni in Power Platform.

Elenco di controllo : quando si pianifica chi sarà un amministratore di Power BI, le decisioni chiave e le azioni includono:

• Identificare chi è attualmente assegnato al ruolo di amministratore: verificare chi è assegnato a uno dei ruoli di amministrazione di Power BI: amministratore dell'infrastruttura, amministratore di Power Platform e amministratore globale.
• Determinare chi deve gestire il servizio Power BI: se sono presenti troppi amministratori di Power BI, creare un piano per ridurre il numero totale. Se sono presenti utenti assegnati come amministratori di Power BI che non sono adatti a un ruolo con privilegi elevati, creare un piano per risolvere il problema.
• Chiarire i ruoli e le responsabilità: per ogni amministratore di Power BI, assicurarsi che le responsabilità siano chiare. Verificare che sia stato eseguito il training incrociato appropriato.

Strategie di sicurezza e privacy

È necessario prendere alcune decisioni a livello di tenant correlate alla sicurezza e alla privacy. Le tattiche prese e le decisioni da prendere si basano su:

• Impostazioni cultura dei dati. L'obiettivo è incoraggiare una cultura dei dati che comprenda che la sicurezza e la protezione dei dati sono responsabilità di tutti.
• Le strategie di proprietà e gestione dei contenuti. Il livello di gestione centralizzata e decentralizzata dei contenuti influisce in modo significativo sulla modalità di gestione della sicurezza.
• Strategie di ambito per la distribuzione di contenuti. Il numero di persone che visualizzeranno il contenuto influirà sulla modalità di gestione della sicurezza per il contenuto.
• I requisiti per rispettare le normative globali, nazionali/regionali e del settore.

Ecco alcuni esempi di strategie di sicurezza di alto livello. È possibile scegliere di prendere decisioni che influisce sull'intera organizzazione.

• Requisiti per la sicurezza a livello di riga: è possibile usare la sicurezza a livello di riga per limitare l'accesso ai dati per utenti specifici. Ciò significa che gli utenti diversi visualizzeranno dati diversi quando accedono allo stesso report. Un modello semantico di Power BI (noto in precedenza come set di dati) o un'origine dati (quando si usa Single Sign-On) può applicare la sicurezza a livello di riga. Per altre informazioni, vedere la sezione Applicare la sicurezza dei dati in base all'identità dei consumer nell'articolo Report consumer security planning (Pianificazione della sicurezza degli utenti consumer).
• Individuabilità dei dati: determinare la misura in cui è consigliabile incoraggiare l'individuazione dei dati in Power BI. L'individuabilità influisce sugli utenti che possono trovare modelli semantici o datamarts nell'hub dati e se gli autori di contenuti sono autorizzati a richiedere l'accesso a tali elementi (usando il flusso di lavoro Richiedi accesso). Per altre informazioni, vedere lo scenario di utilizzo di business intelligence self-service gestito personalizzabile.
• Dati che possono essere archiviati in Power BI: determinare se sono presenti determinati tipi di dati che non devono essere archiviati in Power BI. Ad esempio, è possibile specificare che determinati tipi di informazioni riservate, ad esempio numeri di conto bancario o numeri di previdenza sociale, non possano essere archiviati in un modello semantico. Per altre informazioni, vedere l'articolo Protezione delle informazioni e prevenzione della perdita dei dati.
• Rete privata in ingresso: determinare se esistono requisiti per l'isolamento della rete usando endpoint privati per accedere a Power BI. Quando si usa collegamento privato di Azure, il traffico dei dati viene inviato tramite il backbone della rete privata Microsoft anziché passare attraverso Internet.
• Rete privata in uscita: determinare se è necessaria una maggiore sicurezza per la connessione alle origini dati. Il gateway dati Rete virtuale (rete virtuale) consente la connettività in uscita sicura da Power BI alle origini dati all'interno di una rete virtuale. È possibile usare un gateway dati della rete virtuale di Azure quando il contenuto viene archiviato in un'area di lavoro Premium.

Importante

Quando si considera l'isolamento della rete, collaborare con l'infrastruttura IT e i team di rete prima di modificare le impostazioni del tenant di Power BI. collegamento privato di Azure consente una maggiore sicurezza in ingresso tramite endpoint privati, mentre un gateway di rete virtuale di Azure consente una sicurezza in uscita avanzata durante la connessione alle origini dati. Il gateway di rete virtuale di Azure è gestito da Microsoft anziché gestito dal cliente, quindi elimina il sovraccarico dell'installazione e del monitoraggio dei gateway locali.

Alcune decisioni a livello di organizzazione comportano criteri di governance aziendali, in particolare quando si riferiscono alla conformità. Altre decisioni a livello di organizzazione possono comportare indicazioni che è possibile fornire agli autori di contenuti responsabili della gestione e della protezione dei propri contenuti. I criteri e le linee guida risultanti devono essere inclusi nel portale centralizzato, nei materiali di formazione e nel piano di comunicazione.

Suggerimento

Vedere gli altri articoli di questa serie per suggerimenti aggiuntivi relativi alla pianificazione della sicurezza per i consumer di report e gli autori di contenuti.

Elenco di controllo : quando si pianificano le strategie di sicurezza di alto livello, le decisioni chiave e le azioni includono:

• Identificare i requisiti normativi correlati alla sicurezza: analizzare e documentare ogni requisito, incluso il modo in cui si garantisce la conformità.
• Identificare le strategie di sicurezza di alto livello: determinare quali requisiti di sicurezza sono abbastanza importanti da includere in un criterio di governance.
• Collaborare con altri amministratori: contattare gli amministratori di sistema pertinenti per discutere come soddisfare i requisiti di sicurezza e quali prerequisiti tecnici esistono. Pianificare l'applicazione di un modello di verifica tecnico.
• Aggiornare le impostazioni del tenant di Power BI: configurare ogni impostazione del tenant di Power BI pertinente. Pianificare regolarmente le revisioni di completamento.
• Creare e pubblicare indicazioni per gli utenti: creare la documentazione per le strategie di sicurezza di alto livello. Includere informazioni dettagliate sul processo e su come un utente può richiedere un'esenzione dal processo standard. Rendere queste informazioni disponibili nel portale centralizzato e nei materiali di formazione.
• Aggiornare i materiali di formazione: per le strategie di sicurezza di alto livello, determinare i requisiti o le linee guida da includere nei materiali di formazione degli utenti.

Integrazione con Microsoft Entra ID

La sicurezza di Power BI si basa sulla base di un tenant di Microsoft Entra . I concetti di Microsoft Entra seguenti sono rilevanti per la sicurezza di un tenant di Power BI.

• Accesso utente: l'accesso al servizio Power BI richiede un account utente (oltre a una licenza di Power BI: gratuito, Power BI Pro o Premium per utente - PPU). È possibile aggiungere utenti interni e utenti guest all'ID Microsoft Entra oppure sincronizzarsi con un Active Directory locale (AD). Per altre informazioni sugli utenti guest, vedere Strategia per gli utenti esterni.
• Gruppi di sicurezza: i gruppi di sicurezza di Microsoft Entra sono necessari quando si rendono disponibili determinate funzionalità nelle impostazioni del tenant di Power BI. Potrebbero essere necessari anche gruppi per proteggere in modo efficace il contenuto dell'area di lavoro di Power BI o per la distribuzione del contenuto. Per altre informazioni, vedere Strategia per l'uso dei gruppi.
• Criteri di accesso condizionale: è possibile configurare l'accesso condizionale alle servizio Power BI e all'app Power BI per dispositivi mobili. L'accesso condizionale di Microsoft Entra può limitare l'autenticazione in varie situazioni. Ad esempio, è possibile applicare criteri che:
  • Richiedere l'autenticazione a più fattori per alcuni o tutti gli utenti.
  • Consenti solo i dispositivi conformi ai criteri dell'organizzazione.
  • Consentire la connettività da una rete o da uno o più intervalli IP specifici.
  • Bloccare la connettività da un computer non aggiunto a un dominio.
  • Bloccare la connettività per un accesso rischioso.
  • Consente solo a determinati tipi di dispositivi di connettersi.
  • Consentire o negare l'accesso condizionale a Power BI per utenti specifici.
• Entità servizio: potrebbe essere necessario creare una registrazione dell'app Microsoft Entra per effettuare il provisioning di un'entità servizio. L'autenticazione dell'entità servizio è una procedura consigliata quando un amministratore di Power BI vuole eseguire script automatici, pianificati e pianificati che estraggono i dati usando le API di amministrazione di Power BI. Le entità servizio sono utili anche quando si incorpora il contenuto di Power BI in un'applicazione personalizzata.
• Criteri in tempo reale: è possibile scegliere di configurare il controllo sessione in tempo reale o i criteri di controllo di accesso, che coinvolgono sia Microsoft Entra ID che app Microsoft Defender per il cloud. Ad esempio, è possibile impedire il download di un report nel servizio Power BI quando ha un'etichetta di riservatezza specifica. Per altre informazioni, vedere gli articoli sulla protezione delle informazioni e sulla prevenzione della perdita dei dati.

Potrebbe essere difficile trovare il giusto equilibrio tra accesso senza restrizioni e accesso eccessivamente restrittivo (che frustra gli utenti). La strategia migliore consiste nell'collaborare con l'amministratore di Microsoft Entra per capire cosa è attualmente configurato. Provare a rimanere reattivi alle esigenze dell'azienda tenendo conto delle restrizioni necessarie.

Suggerimento

Molte organizzazioni hanno un ambiente di Active Directory locale (AD) sincronizzato con Microsoft Entra ID nel cloud. Questa configurazione è nota come soluzione ibrida di gestione delle identità , che non rientra nell'ambito di questo articolo. Il concetto importante da comprendere è che gli utenti, i gruppi e le entità servizio devono esistere in Microsoft Entra ID per i servizi basati sul cloud come Power BI. La presenza di una soluzione ibrida di gestione delle identità funziona per Power BI. È consigliabile comunicare con gli amministratori di Microsoft Entra la soluzione migliore per l'organizzazione.

Elenco di controllo : quando si identificano le esigenze per l'integrazione di Microsoft Entra, le decisioni chiave e le azioni includono:

• Collaborare con gli amministratori di Microsoft Entra: collaborare con gli amministratori di Microsoft Entra per scoprire quali sono i criteri di Microsoft Entra esistenti. Determinare se sono presenti criteri (correnti o pianificati) che influiscono sull'esperienza utente nella servizio Power BI e/o nelle applicazioni Power BI per dispositivi mobili.
• Decidere quando usare l'accesso utente e l'entità servizio: per le operazioni automatizzate, decidere quando usare un'entità servizio anziché l'accesso utente.
• Creare o aggiornare le linee guida per gli utenti: determinare se sono presenti argomenti di sicurezza che è necessario documentare per la community degli utenti di Power BI. In questo modo, sapranno cosa aspettarsi per l'uso di gruppi e criteri di accesso condizionale.

Strategia per gli utenti esterni

Power BI supporta Microsoft Entra Business to Business (B2B). Gli utenti esterni, ad esempio da un cliente o da una società partner, possono essere invitati come utenti guest in Microsoft Entra ID a scopo di collaborazione. Gli utenti esterni possono usare Power BI e molti altri servizi di Azure e Microsoft 365.

Importante

Il white paper di Microsoft Entra B2B è la risorsa migliore per apprendere le strategie per la gestione degli utenti esterni. Questo articolo è limitato alla descrizione delle considerazioni più importanti rilevanti per la pianificazione.

Esistono vantaggi quando un utente esterno proviene da un'altra organizzazione che dispone anche dell'ID Microsoft Entra configurato.

• Il tenant home gestisce le credenziali: il tenant principale dell'utente rimane in controllo dell'identità e della gestione delle credenziali. Non è necessario sincronizzare le identità.
• Tenant principale gestisce lo stato dell'utente: quando un utente lascia l'organizzazione e l'account viene rimosso o disabilitato, con effetto immediato, l'utente non avrà più accesso al contenuto di Power BI. È un vantaggio significativo perché potresti non sapere quando qualcuno ha lasciato la propria organizzazione.
• Flessibilità per le licenze utente: sono disponibili opzioni di licenza convenienti. Un utente esterno potrebbe avere già una licenza Power BI Pro o PPU, nel qual caso non è necessario assegnarne uno. È anche possibile concedere loro l'accesso al contenuto in un'area di lavoro di capacità Premium o Infrastruttura F64 o superiore assegnando loro una licenza fabric (gratuita).

Importante

A volte questo articolo si riferisce a Power BI Premium o alle relative sottoscrizioni di capacità (SKU P). Tenere presente che Microsoft sta attualmente consolidando le opzioni di acquisto e ritirando gli SKU di Power BI Premium per capacità. I clienti nuovi ed esistenti devono invece prendere in considerazione l'acquisto di sottoscrizioni della capacità di Fabric (SKU F).

Per altre informazioni, vedere Aggiornamenti importanti in arrivo per le licenze di Power BI Premium e Domande frequenti su Power BI Premium.

Impostazioni chiave

Esistono due aspetti per abilitare e gestire il funzionamento dell'accesso utente esterno:

• Impostazioni di Microsoft Entra gestite da un amministratore di Microsoft Entra. Queste impostazioni di Microsoft Entra sono un prerequisito.
• Impostazioni del tenant di Power BI gestite da un amministratore di Power BI nel portale di amministrazione. Queste impostazioni controllano l'esperienza utente nella servizio Power BI.

Processo di invito guest

Esistono due modi per invitare gli utenti guest al tenant.

• Inviti pianificati: è possibile configurare gli utenti esterni in anticipo in Microsoft Entra ID. In questo modo, l'account guest è pronto ogni volta che un utente di Power BI deve usarlo per assegnare le autorizzazioni, ad esempio le autorizzazioni dell'app. Anche se richiede una pianificazione iniziale, è il processo più coerente perché sono supportate tutte le funzionalità di sicurezza di Power BI. Un amministratore può usare PowerShell per aggiungere in modo efficiente un numero elevato di utenti esterni.
• Inviti ad hoc: un account guest può essere generato automaticamente in Microsoft Entra ID al momento in cui un utente di Power BI condivide o distribuisce il contenuto a un utente esterno (che non è stato configurato in precedenza). Questo approccio è utile quando non si conosce in anticipo chi saranno gli utenti esterni. Tuttavia, questa funzionalità deve essere abilitata per prima cosa in Microsoft Entra ID. L'approccio di invito ad hoc funziona per le autorizzazioni ad hoc per elemento e le autorizzazioni dell'app.

Suggerimento

Non tutte le opzioni di sicurezza nella servizio Power BI supportano l'attivazione di un invito ad hoc. Per questo motivo, è disponibile un'esperienza utente incoerente quando si assegnano autorizzazioni, ad esempio la sicurezza dell'area di lavoro rispetto alle autorizzazioni per elemento e le autorizzazioni dell'app. Quando possibile, è consigliabile usare l'approccio di invito pianificato perché comporta un'esperienza utente coerente.

ID tenant cliente

Ogni tenant di Microsoft Entra ha un identificatore univoco globale (GUID) noto come ID tenant. In Power BI è noto come ID tenant del cliente (CTID). Il CTID consente al servizio Power BI di individuare il contenuto dal punto di vista di un tenant aziendale diverso. È necessario aggiungere il CTID agli URL quando si condivide il contenuto con un utente esterno.

Ecco un esempio di aggiunta del CTID a un URL: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

Quando è necessario fornire il CTID per l'organizzazionea un utente esterno, è possibile trovarlo nella servizio Power BI aprendo la finestra di dialogo Informazioni su Power BI. È disponibile nel menu Guida e supporto tecnico (?) che si trova in alto a destra del servizio Power BI. Il CTID viene aggiunto alla fine dell'URL del tenant.

Personalizzazione dell'organizzazione

Quando l'accesso guest esterno si verifica spesso nell'organizzazione, è consigliabile usare la personalizzazione. Consente agli utenti di identificare il tenant aziendale a cui accedono. Gli elementi di personalizzazione includono un logo, un'immagine di copertina e un colore del tema.

Lo screenshot seguente mostra l'aspetto del servizio Power BI quando si accede da un account guest. Include un'opzione Contenuto guest, disponibile quando il CTID viene aggiunto all'URL.

Condivisione di dati esterni

Alcune organizzazioni devono eseguire più operazioni rispetto alla condivisione di report con utenti esterni. Intendono condividere modelli semantici con utenti esterni, ad esempio partner, clienti o fornitori.

L'obiettivo per la condivisione di modelli semantici sul posto (noto anche come condivisione di modelli semantici tra tenant) è consentire agli utenti esterni di creare report personalizzati e modelli compositi usando i dati creati, gestiti e forniti. Il modello semantico condiviso originale (creato dall'utente) rimane nel tenant di Power BI. I report e i modelli dipendenti vengono archiviati nel tenant di Power BI dell'utente esterno.

Esistono diversi aspetti di sicurezza per rendere funzionante la condivisione di modelli semantici sul posto.

• Impostazione del tenant: consente agli utenti guest di lavorare con modelli semantici condivisi nei propri tenant: questa impostazione specifica se è possibile usare la funzionalità di condivisione dei dati esterna. Deve essere abilitata per rendere effettiva una delle altre due impostazioni (illustrate di seguito). È abilitato o disabilitato per l'intera organizzazione dall'amministratore di Power BI.
• Impostazione del tenant: consente a utenti specifici di attivare la condivisione dei dati esterni: questa impostazione specifica quali gruppi di utenti possono condividere i dati esternamente. I gruppi di utenti consentiti qui potranno usare la terza impostazione (descritta di seguito). Questa impostazione viene gestita dall'amministratore di Power BI.
• Impostazione del modello semantico: condivisione esterna: questa impostazione specifica se tale modello semantico specifico può essere usato dagli utenti esterni. Questa impostazione viene gestita dai creatori di contenuti e dai proprietari per ogni modello semantico specifico.
• Autorizzazione del modello semantico: lettura e compilazione: le autorizzazioni standard del modello semantico per supportare gli autori di contenuti sono ancora disponibili.

Importante

In genere, il termine consumer viene usato per fare riferimento a utenti di sola visualizzazione che utilizzano contenuto prodotto da altri utenti dell'organizzazione. Tuttavia, con la condivisione di modelli semantici sul posto, esiste un producer del modello semantico e un consumer del modello semantico. In questo caso, il consumer del modello semantico è in genere un creatore di contenuti nell'altra organizzazione.

Se viene specificata la sicurezza a livello di riga per il modello semantico, viene rispettata per gli utenti esterni. Per altre informazioni, vedere la sezione Applicare la sicurezza dei dati in base all'identità dei consumer nell'articolo Report consumer security planning (Pianificazione della sicurezza degli utenti consumer).

Sottoscrizioni utente esterne

È più comune che gli utenti esterni vengano gestiti come utenti guest in Microsoft Entra ID, come descritto in precedenza. Oltre a questo approccio comune, Power BI offre altre funzionalità per la distribuzione di sottoscrizioni di report agli utenti esterni all'organizzazione.

L'impostazione del tenant Consenti l'invio di sottoscrizioni di posta elettronica a utenti esterni specifica se gli utenti possono inviare sottoscrizioni di posta elettronica a utenti esterni che non sono ancora utenti guest di Microsoft Entra. È consigliabile impostare questa impostazione del tenant in modo che sia allineata a quanto rigorosamente, o in modo flessibile, l'organizzazione preferisce gestire gli account utente esterni.

Suggerimento

Amministrazione istrator può verificare quali utenti esterni vengono inviati sottoscrizioni usando Ottenere sottoscrizioni report come API di Amministrazione. Viene visualizzato l'indirizzo di posta elettronica per l'utente esterno. Il tipo di entità non è risolto perché l'utente esterno non è configurato in Microsoft Entra ID.

Elenco di controllo : quando si pianifica come gestire gli utenti guest esterni, le decisioni chiave e le azioni includono:

• Identificare i requisiti per gli utenti esterni in Power BI: determinare i casi d'uso per la collaborazione esterna. Chiarire gli scenari per l'uso di Power BI con Microsoft Entra B2B. Determinare se la collaborazione con utenti esterni è un evento comune o raro.
• Determinare le impostazioni correnti di Microsoft Entra: collaborare con l'amministratore di Microsoft Entra per scoprire come è attualmente configurata la collaborazione esterna. Determinare l'impatto sull'uso di B2B con Power BI.
• Decidere come invitare utenti esterni: collaborare con gli amministratori di Microsoft Entra per decidere come verranno creati gli account guest in Microsoft Entra ID. Decidere se saranno consentiti inviti ad hoc. Decidere in quale misura verrà usato l'approccio di invito pianificato. Assicurarsi che l'intero processo sia compreso e documentato.
• Creare e pubblicare materiale sussidiario per gli utenti esterni: creare la documentazione per gli autori di contenuti che li guideranno su come condividere contenuti con utenti esterni (in particolare quando è necessario il processo di invito pianificato). Includere informazioni sulle limitazioni che gli utenti esterni dovranno affrontare se intendono modificare e gestire il contenuto da parte degli utenti esterni. Pubblicare queste informazioni nel portale centralizzato e nel materiale di formazione.
• Determinare come gestire la condivisione dei dati esterni: decidere se la condivisione di dati esterni deve essere consentita e se è limitata a un set specifico di autori di contenuti approvati. Impostare l'impostazione Consenti agli utenti guest di lavorare con modelli semantici condivisi nel tenant dei propri tenant e l'impostazione Consenti agli utenti specifici di attivare il tenant di condivisione dei dati esterni per allinearsi alla decisione. Fornire informazioni sulla condivisione dei dati esterni per i creatori di modelli semantici. Pubblicare queste informazioni nel portale centralizzato e nel materiale di formazione.
• Determinare come gestire le licenze di Power BI per gli utenti esterni: se l'utente guest non ha una licenza di Power BI esistente, decidere se assegnare loro una licenza. Verificare che il processo sia documentato.
• Includere il CTID nella documentazione dell'utente pertinente: registrare l'URL che aggiunge l'ID tenant (CTID) nella documentazione dell'utente. Includere esempi per creatori e consumer su come usare gli URL che aggiungono il CTID.
• Configurare la personalizzazione in Power BI: nel portale di amministrazione configurare la personalizzazione personalizzata per aiutare gli utenti esterni a identificare il tenant aziendale a cui accedono.
• Verificare o aggiornare le impostazioni del tenant: controllare come sono attualmente configurate le impostazioni del tenant nel servizio Power BI. Aggiornarli in base alle esigenze in base alle decisioni prese per la gestione dell'accesso utente esterno.

Strategia per i percorsi dei file

Esistono diversi tipi di file che devono essere archiviati in modo appropriato. È quindi importante aiutare gli utenti a comprendere le aspettative per la posizione dei file e dei dati.

Possono verificarsi rischi associati ai file di Power BI Desktop e alle cartelle di lavoro di Excel perché possono contenere dati importati. Questi dati possono includere informazioni sui clienti, informazioni personali, informazioni proprietarie o dati soggetti a requisiti normativi o di conformità.

Suggerimento

È facile trascurare i file archiviati all'esterno del servizio Power BI. È consigliabile prenderli in considerazione durante la pianificazione della sicurezza.

Ecco alcuni dei tipi di file che potrebbero essere coinvolti in un'implementazione di Power BI.

• File di origine
  • File di Power BI Desktop: i file originali (con estensione pbix) per il contenuto pubblicato nella servizio Power BI. Quando il file contiene un modello di dati, potrebbe contenere dati importati.
  • Cartelle di lavoro di Excel: le cartelle di lavoro di Excel (.xlsx) possono includere connessioni a modelli semantici nella servizio Power BI. Possono anche contenere dati esportati. Potrebbero anche essere cartelle di lavoro originali per il contenuto pubblicato nel servizio Power BI (come elemento della cartella di lavoro in un'area di lavoro).
  • File di report impaginati: file di report originali (con estensione rdl) per il contenuto pubblicato nel servizio Power BI.
  • File di dati di origine: file flat (ad esempio, .csv o .txt) o cartelle di lavoro di Excel che contengono dati di origine importati in un modello di Power BI.
• File esportati e di altro tipo
  • File di Power BI Desktop: file con estensione pbix scaricati dalla servizio Power BI.
  • File PowerPoint e PDF: le presentazioni di PowerPoint (.pptx) e i documenti PDF scaricati dalla servizio Power BI.
  • File di Excel e CSV: dati esportati dai report nella servizio Power BI.
  • File di report impaginati: file esportati da report impaginati nel servizio Power BI. Sono supportati Excel, PDF e PowerPoint. Esistono anche altri formati di file di esportazione per i report impaginati, tra cui Word, XML o archivio Web. Quando si usano i file di esportazione nell'API dei report, sono supportati anche i formati di immagine.
  • File di posta elettronica: immagini e allegati di posta elettronica dalle sottoscrizioni.

Dovrai prendere alcune decisioni sulla posizione in cui gli utenti possono o non possono archiviare i file. In genere, questo processo comporta la creazione di criteri di governance a cui gli utenti possono fare riferimento. I percorsi per i file di origine e i file esportati devono essere protetti per garantire l'accesso appropriato da parte degli utenti autorizzati.

Ecco alcuni consigli per l'uso dei file.

• Archiviare i file in una raccolta condivisa: usare un sito di Teams, una raccolta di SharePoint o una raccolta condivisa di OneDrive per l'azienda o l'istituto di istruzione. Evitare di usare librerie e unità personali. Assicurarsi che venga eseguito il backup del percorso di archiviazione. Assicurarsi anche che il controllo delle versioni del percorso di archiviazione sia abilitato in modo che sia possibile eseguire il rollback a una versione precedente.
• Usare il servizio Power BI il più possibile: quando possibile, usare il servizio Power BI per la condivisione e la distribuzione del contenuto. In questo modo, c'è sempre il controllo completo dell'accesso. L'archiviazione e la condivisione di file in un file system devono essere riservate al numero ridotto di utenti che collaborano al contenuto.
• Non usare la posta elettronica: scoraggiare l'uso della posta elettronica per la condivisione dei file. Quando un utente invia un messaggio di posta elettronica a una cartella di lavoro di Excel o a un file di Power BI Desktop a 10 utenti, viene restituito 10 copie del file. Esiste sempre il rischio di includere un indirizzo di posta elettronica errato (interno o esterno). Inoltre, c'è un rischio maggiore che il file verrà inoltrato a qualcun altro. Per ridurre al minimo questo rischio, rivolgersi all'amministratore di Exchange Online per implementare regole per bloccare gli allegati in base a condizioni di dimensioni o tipo di estensione di file. Altre strategie di prevenzione della perdita dei dati per Power BI sono descritte negli articoli sulla protezione delle informazioni e sulla prevenzione della perdita dei dati.
• Usare i file modello: occasionalmente, è necessario condividere un file di Power BI Desktop con un altro utente. In questo caso, prendere in considerazione la creazione e la condivisione di un file di modello di Power BI Desktop (con estensione pbit). Un file modello contiene solo i metadati, quindi è inferiore alle dimensioni del file di origine. Questa tecnica richiederà al destinatario di immettere le credenziali dell'origine dati per aggiornare i dati del modello.

Nel portale di amministrazione sono disponibili impostazioni tenant che controllano quali formati di esportazione gli utenti possono usare durante l'esportazione dal servizio Power BI. È importante esaminare e impostare queste impostazioni. Si tratta di un'attività complementare per pianificare i percorsi dei file che devono essere usati per i file esportati.

Suggerimento

Alcuni formati di esportazione supportano la protezione delle informazioni end-to-end usando la crittografia. A causa dei requisiti normativi, alcune organizzazioni hanno una necessità valida di limitare i formati di esportazione che gli utenti possono usare. L'articolo Information Protection per Power BI descrive i fattori da considerare quando si decide quali formati di esportazione abilitare o disabilitare nelle impostazioni del tenant. Nella maggior parte dei casi, è consigliabile limitare le funzionalità di esportazione solo quando è necessario soddisfare requisiti normativi specifici. È possibile usare il log attività di Power BI per identificare gli utenti che eseguono molte esportazioni. È quindi possibile insegnare a questi utenti alternative più efficienti e sicure.

Elenco di controllo : quando si pianificano i percorsi dei file, le decisioni e le azioni principali includono:

• Identificare dove devono trovarsi i file: decidere dove archiviare i file. Determinare se sono presenti posizioni specifiche che non devono essere usate.
• Creare e pubblicare la documentazione sui percorsi dei file: creare la documentazione utente che chiarisca le responsabilità per la gestione e la protezione dei file. Deve anche descrivere i percorsi in cui i file devono (o non devono essere archiviati). Pubblicare queste informazioni nel portale centralizzato e nel materiale di formazione.
• Impostare le impostazioni del tenant per le esportazioni: esaminare e impostare ogni impostazione del tenant correlata ai formati di esportazione che si vuole supportare.

Strategia per l'uso dei gruppi

È consigliabile usare i gruppi di sicurezza Di Microsoft Entra per proteggere il contenuto di Power BI per i motivi seguenti.

• Manutenzione ridotta: l'appartenenza al gruppo di sicurezza può essere modificata senza la necessità di modificare le autorizzazioni per il contenuto di Power BI. È possibile aggiungere nuovi utenti al gruppo e gli utenti non necessari possono essere rimossi dal gruppo.
• Accuratezza migliorata: poiché le modifiche all'appartenenza al gruppo vengono apportate una sola volta, si ottengono assegnazioni di autorizzazioni più accurate. Se viene rilevato un errore, può essere più facilmente corretto.
• Delega: è possibile delegare la responsabilità di gestire l'appartenenza al gruppo proprietario del gruppo.

Decisioni di gruppo di alto livello

Ci sono alcune decisioni strategiche da prendere per quanto riguarda il modo in cui verranno usati i gruppi.

Autorizzazione per creare e gestire gruppi

Esistono due decisioni chiave da prendere per la creazione e la gestione dei gruppi.

• Chi è autorizzato a creare un gruppo? In genere, solo l'IT può creare gruppi di sicurezza. Tuttavia, è possibile aggiungere utenti al ruolo predefinito Amministratore di Gruppi Di Microsoft Entra. In questo modo, alcuni utenti attendibili, come i promotori di Power BI o i membri satellite del COE, possono creare gruppi per la propria business unit.
• Chi è autorizzato a gestire i membri di un gruppo? È comune che l'IT gestisca l'appartenenza ai gruppi. Tuttavia, è possibile specificare uno o più proprietari del gruppo autorizzati ad aggiungere e rimuovere membri del gruppo. L'uso della gestione dei gruppi self-service è utile quando un team decentralizzato o i membri satellite del COE possono gestire l'appartenenza a gruppi specifici di Power BI.

Suggerimento

Consentire la gestione dei gruppi self-service e specificare proprietari di gruppi decentralizzati sono ottimi modi per bilanciare l'efficienza e la velocità con la governance.

Pianificazione per i gruppi di Power BI

È importante creare una strategia di alto livello per usare i gruppi per proteggere il contenuto di Power BI e molti altri usi.

Vari casi d'uso per i gruppi

Considerare i casi d'uso seguenti per i gruppi.

Caso d'uso	Descrizione	Nome gruppo di esempio
Comunicazione con il Centro di eccellenza di Power BI	Include tutti gli utenti associati al COE, inclusi tutti i membri principali e satellite del COE. A seconda delle esigenze, è anche possibile creare un gruppo separato solo per i membri principali. È probabile che sia un gruppo di Microsoft 365 correlato a un sito di Teams.	• Centro di eccellenza di Power BI
Comunicazione con il team di leadership di Power BI	Include lo sponsor esecutivo e i rappresentanti delle business unit che collaborano alla guida dell'iniziativa di Power BI nell'organizzazione.	• Comitato direttivo di Power BI
Comunicazione con la community degli utenti di Power BI	Include tutti gli utenti a cui è assegnato qualsiasi tipo di licenza utente di Power BI. È utile per fare annunci a tutti gli utenti di Power BI nell'organizzazione. È probabile che sia un gruppo di Microsoft 365 correlato a un sito di Teams.	• Community di Power BI
Supporto della community degli utenti di Power BI	Include gli utenti dell'help desk che interagiscono direttamente con la community degli utenti per gestire i problemi di supporto di Power BI. Questo indirizzo di posta elettronica (e il sito di Teams, se applicabile) è disponibile e visibile alla popolazione degli utenti.	• Supporto utente di Power BI
Supporto per l'escalation	Include utenti specifici, in genere dal COE di Power BI, che forniscono supporto inoltrato. Questo indirizzo di posta elettronica (e il sito di Teams, se applicabile) è in genere privato, per l'uso solo da parte del team di supporto utenti.	• Supporto utenti inoltrato a Power BI
Amministrazione istering del servizio Power BI	Include utenti specifici autorizzati ad amministrare il servizio Power BI. Facoltativamente, i membri di questo gruppo possono essere correlati al ruolo in Microsoft 365 per semplificare la gestione.	• Amministratori di Power BI
Notifica delle funzionalità consentite e implementazioni graduali delle funzionalità	Include gli utenti autorizzati per un'impostazione del tenant specifica nel portale di amministrazione (se la funzionalità sarà limitata) o se la funzionalità deve essere implementata gradualmente ai gruppi di utenti. Molte delle impostazioni del tenant richiederanno la creazione di un nuovo gruppo specifico di Power BI.	• Creatori di aree di lavoro di Power BI • Condivisione di dati esterni di Power BI
Gestione dei gateway dati	Include uno o più gruppi di utenti autorizzati ad amministrare un cluster gateway. Potrebbero esserci diversi gruppi di questo tipo quando sono presenti più gateway o quando i team decentralizzati gestiscono i gateway.	• Amministratori di Power BI Gateway • Creatori di origini dati di Power BI Gateway • Proprietari dell'origine dati di Power BI Gateway • Utenti dell'origine dati di Power BI Gateway
Gestione delle capacità Premium	Include gli utenti autorizzati a gestire una capacità Premium. Potrebbero esserci diversi gruppi di questo tipo quando sono presenti più capacità o quando i team decentralizzati gestiscono le capacità.	• Collaboratori alla capacità di Power BI
Protezione di aree di lavoro, app ed elementi	Molti gruppi basati su aree di interesse e accesso consentito per la gestione della sicurezza dei ruoli dell'area di lavoro di Power BI, delle autorizzazioni delle app e delle autorizzazioni per ogni elemento.	• Amministratori dell'area di lavoro di Power BI • Membri dell'area di lavoro di Power BI • Collaboratori all'area di lavoro di Power BI • Visualizzatori dell'area di lavoro di Power BI • Visualizzatori di app Power BI
Distribuzione del contenuto	Include gli utenti che possono distribuire il contenuto usando una pipeline di distribuzione di Power BI. Questo gruppo viene usato insieme alle autorizzazioni dell'area di lavoro.	• Amministratori della pipeline di distribuzione di Power BI
Automazione delle operazioni amministrative	Include le entità servizio autorizzate a usare API Power BI per scopi amministrativi o di incorporamento.	• servizio Power BI entità

Gruppi per le impostazioni del tenant di Power BI

A seconda dei processi interni in uso, si avranno altri gruppi necessari. Questi gruppi sono utili quando si gestiscono le impostazioni del tenant. Di seguito sono riportati alcuni esempi.

• Creatori di aree di lavoro di Power BI: utile quando è necessario limitare chi può creare aree di lavoro. Viene usato per configurare l'impostazione Del tenant Crea aree di lavoro .
• Esperti in materia di certificazione di Power BI: utile per specificare chi è autorizzato a usare l'autenticità certificata per il contenuto. Viene usato per configurare l'impostazione Tenant di certificazione .
• Autori di contenuti approvati da Power BI: utile quando è necessaria l'approvazione o il training o un riconoscimento dei criteri per l'installazione di Power BI Desktop o per ottenere una licenza Power BI Pro o PPU. Viene usato dalle impostazioni del tenant che incoraggiano le funzionalità di creazione del contenuto, ad esempio Consenti connessioni DirectQuery ai modelli semantici di Power BI, Push di app agli utenti finali, Consenti endpoint XMLA e altri.
• Utenti di strumenti esterni di Power BI: utili quando si consente l'uso di strumenti esterni per un gruppo selettivo di utenti. Viene usato da Criteri di gruppo o quando le installazioni o le richieste software devono essere controllate attentamente.
• Sviluppatori personalizzati di Power BI: utile quando è necessario controllare chi è autorizzato a incorporare contenuto in altre applicazioni all'esterno di Power BI. Viene usato per configurare l'impostazione Incorpora contenuto nei tenant delle app .
• Pubblicazione pubblica di Power BI: utile quando è necessario limitare chi può pubblicare i dati pubblicamente. Viene usato per configurare l'impostazione Pubblica sul tenant Web .
• Condivisione di Power BI per l'intera organizzazione: utile quando è necessario limitare chi può condividere un collegamento con tutti gli utenti dell'organizzazione. Viene usato per configurare l'impostazione Consenti collegamenti condivisibili per concedere l'accesso a tutti gli utenti del tenant dell'organizzazione .
• Condivisione dei dati esterni di Power BI: utile quando è necessario consentire a determinati utenti di condividere modelli semantici con utenti esterni. Viene usato per configurare l'impostazione Consenti a utenti specifici di attivare il tenant di condivisione dati esterna.
• Accesso utente guest di Power BI con licenza: utile quando è necessario raggruppare gli utenti esterni approvati a cui viene concessa una licenza dall'organizzazione. Viene usato per configurare l'impostazione Consenti agli utenti guest di Microsoft Entra di accedere al tenant di Power BI .
• Accesso BYOL degli utenti guest di Power BI: utile quando è necessario raggruppare gli utenti esterni approvati che portano la propria licenza (BYOL) dall'organizzazione principale. Viene usato per configurare l'impostazione Consenti agli utenti guest di Microsoft Entra di accedere al tenant di Power BI .

Suggerimento

Per considerazioni sull'uso dei gruppi durante la pianificazione dell'accesso all'area di lavoro, vedere l'articolo Pianificazione a livello di area di lavoro. Per informazioni sulla pianificazione della protezione di aree di lavoro, app ed elementi, vedere l'articolo Report consumer security planning (Pianificazione della sicurezza degli utenti dei report).

Tipo di gruppo

È possibile creare diversi tipi di gruppi.

• Gruppo di sicurezza: un gruppo di sicurezza è la scelta migliore quando l'obiettivo principale è concedere l'accesso a una risorsa.
• Gruppo di sicurezza abilitato alla posta elettronica: quando è necessario concedere l'accesso a una risorsa e distribuire i messaggi all'intero gruppo tramite posta elettronica, un gruppo di sicurezza abilitato alla posta elettronica è una scelta ottimale.
• Gruppo di Microsoft 365: questo tipo di gruppo ha un sito di Teams e un indirizzo di posta elettronica. È la scelta migliore quando l'obiettivo principale è la comunicazione o la collaborazione in un sito di Teams. Un gruppo di Microsoft 365 ha solo membri e proprietari; non esiste un ruolo visualizzatore. Per questo motivo, lo scopo principale è la collaborazione. Questo tipo di gruppo era precedentemente noto come gruppo di Office 365, gruppo moderno o gruppo unificato.
• Gruppo di distribuzione: è possibile usare un gruppo di distribuzione per inviare una notifica di trasmissione a un elenco di utenti. Oggi, è considerato un concetto legacy che offre compatibilità con le versioni precedenti. Per i nuovi casi d'uso, è consigliabile creare invece un gruppo di sicurezza abilitato alla posta elettronica.

Quando si richiede un nuovo gruppo o si intende usare un gruppo esistente, è importante essere a conoscenza del relativo tipo. Il tipo di gruppo può determinare come viene usato e gestito.

• Autorizzazioni di Power BI: non tutti i tipi di gruppo sono supportati per ogni tipo di operazione di sicurezza. I gruppi di sicurezza (inclusi i gruppi di sicurezza abilitati alla posta elettronica) offrono la massima copertura quando si tratta di impostare le opzioni di sicurezza di Power BI. La documentazione Microsoft consiglia in genere gruppi di Microsoft 365. Tuttavia, nel caso di Power BI, non sono in grado di supportare i gruppi di sicurezza. Per altre informazioni sulle autorizzazioni di Power BI, vedere gli articoli successivi di questa serie sulla pianificazione della sicurezza.
• Impostazioni del tenant di Power BI: è possibile usare solo i gruppi di sicurezza (inclusi i gruppi di sicurezza abilitati alla posta elettronica) quando si consentono o non consentono ai gruppi di utenti di usare le impostazioni del tenant di Power BI.
• Funzionalità avanzate di Microsoft Entra: alcuni tipi di funzionalità avanzate non sono supportati per tutti i tipi di gruppo. Ad esempio, è possibile gestire l'appartenenza al gruppo in modo dinamico in base a un attributo in Microsoft Entra ID (ad esempio il reparto per un utente o anche un attributo personalizzato). Solo i gruppi di Microsoft 365 e i gruppi di sicurezza supportano le appartenenze dinamiche ai gruppi. In alternativa, se si vuole annidare un gruppo all'interno di un gruppo, tenere presente che i gruppi di Microsoft 365 non supportano tale funzionalità.
• Gestito in modo diverso: la richiesta di creare o gestire un gruppo potrebbe essere instradata a un amministratore diverso in base al tipo di gruppo (i gruppi di sicurezza abilitati alla posta elettronica e i gruppi di distribuzione vengono gestiti in Exchange). Di conseguenza, il processo interno varia a seconda del tipo di gruppo.

Convenzione di denominazione dei gruppi

È probabile che si finirà con molti gruppi in Microsoft Entra ID per supportare l'implementazione di Power BI. È quindi importante avere un modello concordato per il nome dei gruppi. Una buona convenzione di denominazione consentirà di determinare lo scopo del gruppo e di semplificare la gestione.

Prendere in considerazione l'uso della convenzione di denominazione standard seguente: <Scopo> prefisso><- <Argomento/Ambito/Reparto><[Ambiente]>

L'elenco seguente descrive ogni parte della convenzione di denominazione.

• Prefisso: usato per raggruppare tutti i gruppi di Power BI. Quando il gruppo verrà usato per più strumenti analitici, il prefisso potrebbe essere solo BI, anziché Power BI. In tal caso, il testo che descrive lo scopo sarà più generico in modo che si riferisca a più strumenti analitici.
• Scopo: lo scopo varia. Può trattarsi di un ruolo dell'area di lavoro, di autorizzazioni per le app, di autorizzazioni a livello di elemento, di sicurezza a livello di riga o di altro scopo. A volte più scopi possono essere soddisfatti di un singolo gruppo.
• Argomento/Ambito/Reparto: usato per chiarire a chi si applica il gruppo. Spesso descrive l'appartenenza al gruppo. Può anche fare riferimento a chi gestisce il gruppo. A volte un singolo gruppo può essere usato per più scopi. Ad esempio, una raccolta di aree di lavoro finanziarie può essere gestita con un singolo gruppo.
• Ambiente: facoltativo. Utile per distinguere tra sviluppo, test e produzione.

Ecco alcuni nomi di gruppo di esempio che applicano la convenzione di denominazione standard.

• Amministratori dell'area di lavoro di Power BI - Finance [Dev]
• Membri dell'area di lavoro di Power BI - Finance [Dev]
• Collaboratori all'area di lavoro di Power BI - Finance [Dev]
• Visualizzatori dell'area di lavoro di Power BI - Finance [Dev]
• Visualizzatori di app Power BI - Finanza
• Amministratori di Power BI Gateway - Enterprise BI
• Amministratori di Power BI Gateway - Finance

Decisioni per gruppo

Quando si pianificano i gruppi necessari, è necessario prendere diverse decisioni.

Quando un autore del contenuto o un proprietario richiede un nuovo gruppo, in teoria usa un modulo per fornire le informazioni seguenti.

• Nome e scopo: nome e scopo del gruppo suggeriti. Prendere in considerazione l'inclusione di Power BI (o solo BI quando sono disponibili più strumenti di BUSINESS Intelligence) nel nome del gruppo per indicare chiaramente l'ambito del gruppo.
• Indirizzo di posta elettronica: indirizzo di posta elettronica quando è necessaria anche la comunicazione per i membri del gruppo. Non tutti i tipi di gruppi devono essere abilitati alla posta elettronica.
• Tipo di gruppo: le opzioni includono gruppo di sicurezza, gruppo di sicurezza abilitato alla posta elettronica, gruppo di Microsoft 365 e gruppo di distribuzione.
• Proprietario del gruppo: chi è autorizzato a possedere e gestire i membri del gruppo.
• Appartenenza al gruppo: gli utenti desiderati che saranno membri del gruppo. Valutare se è possibile aggiungere utenti esterni e utenti interni o se esiste una giustificazione per inserire utenti esterni in un gruppo diverso.
• Uso dell'assegnazione di membri del gruppo JIT: è possibile usare Privileged Identity Management (PIM) per consentire l'accesso jit-in-time a un gruppo. Questo servizio può essere utile quando gli utenti richiedono l'accesso temporaneo. PIM è utile anche per gli amministratori di Power BI che necessitano di accesso occasionale.

Suggerimento

I gruppi esistenti basati sul organigramma non funzionano sempre correttamente a scopo di Power BI. Usare i gruppi esistenti quando soddisfano le proprie esigenze. Tuttavia, essere pronti a creare gruppi specifici di Power BI quando si verifica la necessità.

Elenco di controllo : quando si crea la strategia per l'uso dei gruppi, le decisioni chiave e le azioni includono:

• Decidere la strategia per l'uso dei gruppi: determinare i casi d'uso e gli scopi necessari per usare i gruppi. Specificare quando la sicurezza deve essere applicata usando gli account utente rispetto a quando un gruppo è obbligatorio o preferito.
• Creare una convenzione di denominazione per i gruppi specifici di Power BI: assicurarsi che sia in uso una convenzione di denominazione coerente per i gruppi che supporteranno la comunicazione, le funzionalità, l'amministrazione o la sicurezza di Power BI.
• Decidere chi è autorizzato a creare gruppi: chiarire se è necessaria la creazione di tutti i gruppi per passare attraverso l'IT. In alternativa, è possibile concedere a determinati utenti (ad esempio membri satellite del COE) l'autorizzazione per creare gruppi per la propria business unit.
• Creare un processo per richiedere un nuovo gruppo: creare un modulo per gli utenti per richiedere la creazione di un nuovo gruppo. Assicurarsi che sia disponibile un processo per rispondere rapidamente alle nuove richieste. Tenere presente che se le richieste vengono ritardate, gli utenti potrebbero essere tentati di iniziare ad assegnare autorizzazioni agli account singoli.
• Decidere quando è consentita la gestione decentralizzata dei gruppi: per i gruppi che si applicano a un team specifico, decidere quando è accettabile che un proprietario del gruppo (all'esterno dell'IT) gestisca i membri del gruppo.
• Decidere se verrà usata l'appartenenza ai gruppi JIT: determinare se Privileged Identity Management sarà utile. In tal caso, determinare i gruppi per cui può essere usato ,ad esempio il gruppo di amministratori di Power BI.
• Esaminare i gruppi attualmente esistenti: determinare quali gruppi esistenti possono essere usati e quali gruppi devono essere creati.
• Esaminare ogni impostazione del tenant: per ogni impostazione del tenant, determinare se sarà consentita o non consentita per un set specifico di utenti. Determinare se è necessario creare un nuovo gruppo per configurare l'impostazione del tenant.
• Creare e pubblicare indicazioni per gli utenti sui gruppi: includere la documentazione per gli autori di contenuti che includono requisiti o preferenze per l'uso dei gruppi. Assicurarsi che sappiano cosa chiedere quando richiedono un nuovo gruppo. Pubblicare queste informazioni nel portale centralizzato e nel materiale di formazione.

Contenuto correlato

Nell'articolo successivo di questa serie vengono illustrati i modi per distribuire in modo sicuro il contenuto ai consumer di report di sola lettura.