Pianificazione dell'implementazione di Power BI: Configurazione del tenant

  • Articolo

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sul carico di lavoro di Power BI all'interno di Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo sulla configurazione del tenant presenta aspetti importanti da conoscere sulla configurazione del tenant di Fabric, con particolare attenzione all'esperienza di Power BI. È destinato a più destinatari:

  • Amministratori dell'infrastruttura: amministratori responsabili della supervisione dell'infrastruttura nell'organizzazione.
  • Amministratori di Microsoft Entra: il team responsabile della supervisione e della gestione dell'ID Microsoft Entra (noto in precedenza come Azure Active Directory).

Fabric fa parte di un ecosistema Microsoft più ampio. Se l'organizzazione usa già altri servizi di sottoscrizione cloud, ad esempio Azure, Microsoft 365 o Dynamics 365, Fabric opera nello stesso tenant di Microsoft Entra. Il dominio aziendale (ad esempio, contoso.com) è associato all'ID Microsoft Entra. Come tutti i servizi cloud Microsoft, il tenant di Fabric si basa sull'ID Microsoft Entra dell'organizzazione per la gestione delle identità e degli accessi.

Suggerimento

Molte organizzazioni hanno un ambiente di Active Directory locale (AD) sincronizzato con Microsoft Entra ID nel cloud. Questa configurazione è nota come soluzione ibrida di gestione delle identità , che non rientra nell'ambito di questo articolo. Il concetto importante da comprendere è che gli utenti, i gruppi e le entità servizio devono esistere in Microsoft Entra ID per una suite di servizi basata sul cloud come Fabric. La presenza di una soluzione ibrida di gestione delle identità funziona per Fabric. È consigliabile comunicare con gli amministratori di Microsoft Entra la soluzione migliore per l'organizzazione.

Per altre informazioni sulle responsabilità di un amministratore dell'infrastruttura, vedere Amministrazione del tenant.

Tenant di Microsoft Entra

La maggior parte delle organizzazioni ha un tenant di Microsoft Entra, quindi è comunemente vero che un tenant di Microsoft Entra rappresenta un'organizzazione.

In genere, Microsoft Entra ID viene configurato prima dell'inizio di un'implementazione di Fabric. Tuttavia, a volte è quando si effettua il provisioning di un servizio cloud che si è consapevoli dell'importanza di Microsoft Entra ID.

Suggerimento

Poiché la maggior parte delle organizzazioni ha un tenant di Microsoft Entra, può essere difficile esplorare nuove funzionalità in modo isolato. È possibile qualificarsi per un tenant per sviluppatori non di produzione tramite il Programma per sviluppatori di Microsoft 365. Per informazioni dettagliate, vedere le domande frequenti. In alternativa, è possibile iscriversi per una versione di valutazione gratuita di 1 mese o acquistare un piano di Microsoft 365.

Tenant non gestito

Un tenant gestito ha un amministratore globale assegnato all'interno di Microsoft Entra ID. Se un tenant di Microsoft Entra non esiste per un dominio aziendale (ad esempio, contoso.com), quando il primo utente dell'organizzazione si iscrive a una versione di valutazione o a un account fabric, viene creato un tenant non gestito in Microsoft Entra ID. Un tenant non gestito è noto anche come tenant shadow o tenant creato in modalità self-service. Ha una configurazione di base, consentendo al servizio cloud di funzionare senza assegnare un amministratore globale.

Per gestire, configurare e supportare correttamente Fabric, è necessario un tenant gestito. Esiste un processo che un amministratore di sistema può seguire per assumere il controllo di un tenant non gestito in modo che possa gestirlo correttamente per conto dell'organizzazione.

Suggerimento

L'amministrazione di Microsoft Entra ID è un argomento ampio e approfondito. È consigliabile assegnare persone specifiche nel reparto IT come amministratori di sistema per gestire in modo sicuro l'ID Microsoft Entra per l'organizzazione.

Elenco di controllo : quando si esamina il tenant di Microsoft Entra per l'uso con Fabric, le decisioni chiave e le azioni includono:

  • Acquisire il tenant: se applicabile, avviare il processo per assumere il controllo di un tenant non gestito.
  • Verificare che il tenant di Microsoft Entra sia gestito: verificare che gli amministratori di sistema gestiscono attivamente il tenant di Microsoft Entra.

ID tenant per utenti esterni

È necessario considerare il modo in cui gli utenti accederanno al tenant quando si dispone di utenti esterni (ad esempio clienti, partner o fornitori) o quando gli utenti interni devono accedere a un altro tenant all'esterno dell'organizzazione. Per accedere a un tenant aziendale diverso, viene usato un URL modificato.

Ogni tenant di Microsoft Entra ha un identificatore univoco globale (GUID) noto come ID tenant. In Fabric è noto come ID tenant del cliente (CTID). Il CTID viene aggiunto alla fine dell'URL del tenant. È possibile trovare il CTID nel portale infrastruttura aprendo la finestra di dialogo Informazioni su Microsoft Fabric . È disponibile dal menu Guida e supporto tecnico (?), che si trova in alto a destra nel portale di Fabric.

Conoscere il CTID è importante per gli scenari di Microsoft Entra B2B. Gli URL forniti agli utenti esterni (ad esempio, per visualizzare un report di Power BI) devono aggiungere il parametro CTID per accedere al tenant corretto.

Se si intende collaborare con o fornire contenuto a utenti esterni, è consigliabile configurare la personalizzazione. L'uso di un logo, di un'immagine di copertina e di un tema consente agli utenti di identificare il tenant aziendale a cui accede.

Elenco di controllo : quando si concede agli utenti esterni l'autorizzazione per visualizzare il contenuto o quando si dispone di più tenant, le decisioni chiave e le azioni includono:

  • Includere il CTID nella documentazione dell'utente pertinente: registrare l'URL che aggiunge l'ID tenant (CTID) nella documentazione dell'utente.
  • Configurare la personalizzazione in Infrastruttura: nel portale di amministrazione di Fabric configurare la personalizzazione per aiutare gli utenti a identificare il tenant dell'organizzazione.

Amministratori di Microsoft Entra

Gli amministratori dell'infrastruttura devono collaborare periodicamente con gli amministratori di Microsoft Entra.

L'elenco seguente include alcuni motivi comuni per la collaborazione tra gli amministratori di Fabric e gli amministratori di Microsoft Entra.

  • Gruppi di sicurezza: è necessario creare nuovi gruppi di sicurezza per gestire correttamente le impostazioni del tenant di Fabric. Potrebbero essere necessari anche nuovi gruppi per proteggere il contenuto dell'area di lavoro o per la distribuzione del contenuto.
  • Proprietà del gruppo di sicurezza: potrebbe essere necessario assegnare un proprietario del gruppo per consentire una maggiore flessibilità in chi può gestire un gruppo di sicurezza. Ad esempio, potrebbe essere più efficiente consentire al Centro di eccellenza (COE) di gestire le appartenenze di determinati gruppi specifici dell'infrastruttura.
  • Entità servizio: potrebbe essere necessario creare una registrazione dell'app Microsoft Entra per effettuare il provisioning di un'entità servizio. L'autenticazione con un'entità servizio è una procedura consigliata quando un amministratore di Fabric vuole eseguire script automatici pianificati che estraggono dati usando le API di amministrazione o quando si incorpora il contenuto in un'applicazione.
  • Utenti esterni: è necessario comprendere come vengono configurate le impostazioni per gli utenti esterni (guest) in Microsoft Entra ID. Esistono diverse impostazioni del tenant di Fabric correlate agli utenti esterni e si basano sulla configurazione dell'ID Microsoft Entra. Inoltre, alcune funzionalità di sicurezza per il carico di lavoro di Power BI funzionano solo quando si usa l'approccio di invito pianificato per gli utenti esterni in Microsoft Entra ID.
  • Criteri di controllo in tempo reale: è possibile scegliere di configurare criteri di controllo delle sessioni in tempo reale, che coinvolgono sia Microsoft Entra ID che app Microsoft Defender per il cloud. Ad esempio, è possibile impedire il download di un report di Power BI quando ha un'etichetta di riservatezza specifica.

Per altre informazioni, vedere Collaborare con altri amministratori.

Elenco di controllo : quando si valuta come collaborare con gli amministratori di Microsoft Entra, le decisioni e le azioni principali includono:

  • Identificare gli amministratori di Microsoft Entra: assicurarsi di conoscere gli amministratori di Microsoft Entra per l'organizzazione. Essere pronti a lavorare con loro in base alle esigenze.
  • Coinvolgere gli amministratori di Microsoft Entra: durante il processo di pianificazione dell'implementazione, invitare gli amministratori di Microsoft Entra a riunioni pertinenti e coinvolgerli nel processo decisionale pertinente.

Posizione per l'archiviazione dei dati

Quando viene creato un nuovo tenant, viene effettuato il provisioning delle risorse in Azure, ovvero la piattaforma di cloud computing di Microsoft. La posizione geografica diventa l'area principale del tenant. L'area principale è nota anche come area dati predefinita.

Home region

L'area principale è importante perché:

  • Le prestazioni dei report e dei dashboard dipendono, in parte, dagli utenti che si trovano in prossimità della posizione del tenant.
  • Potrebbero esserci motivi legali o normativi per cui i dati dell'organizzazione vengono archiviati in una giurisdizione specifica.

L'area principale per il tenant dell'organizzazione è impostata sulla posizione del primo utente che effettua l'iscrizione. Se la maggior parte degli utenti si trova in un'area diversa, tale area potrebbe non essere la scelta migliore.

È possibile determinare l'area principale del tenant aprendo la finestra di dialogo Informazioni su Microsoft Fabric nel portale di Infrastruttura. L'area viene visualizzata accanto all'etichetta I dati vengono archiviati.

Si potrebbe scoprire che il tenant si trova in un'area che non è ideale. È possibile usare la funzionalità Multi-Geo creando una capacità in un'area specifica (descritta nella sezione successiva) oppure spostarla. Per spostare il tenant in un'altra area, l'amministratore globale di Microsoft 365 deve aprire una richiesta di supporto.

La rilocazione di un tenant in un'altra area non è un processo completamente automatizzato e alcuni tempi di inattività sono coinvolti. Assicurarsi di prendere in considerazione i prerequisiti e le azioni necessari prima e dopo lo spostamento.

Suggerimento

Poiché è necessario un sacco di impegno, quando si determina che è necessario uno spostamento, è consigliabile farlo prima piuttosto che in un secondo momento.

Elenco di controllo : quando si considera l'area principale per l'archiviazione dei dati nel tenant, le decisioni chiave e le azioni includono:

  • Identificare l'area principale: determinare l'area principale per il tenant.
  • Avviare il processo di spostamento del tenant: se si scopre che il tenant si trova in un'area geografica non adatta (che non può essere risolta con la funzionalità Multi-Geo), cercare il processo di spostamento del tenant.

Altre aree dati specifiche

Alcune organizzazioni hanno requisiti di residenza dei dati. I requisiti di residenza dei dati includono in genere requisiti normativi o di settore per l'archiviazione dei dati in un'area geografica specifica. I requisiti di sovranità dei dati sono simili, ma più rigorosi perché i dati sono soggetti alle leggi del paese o dell'area geografica in cui vengono archiviati i dati. Alcune organizzazioni hanno anche requisiti di localizzazione dei dati, che determinano che i dati creati all'interno di determinati confini devono rimanere all'interno di tali confini.

I requisiti normativi, di settore o legali possono richiedere l'archiviazione di determinati dati altrove dall'area principale (descritta nella sezione precedente). In queste situazioni, è possibile trarre vantaggio dalla funzionalità Multi-Geo creando una capacità in un'area specifica. In questo caso, è necessario assegnare le aree di lavoro alla capacità corretta per assicurarsi che i dati dell'area di lavoro vengano archiviati nella posizione geografica desiderata.

Il supporto multi-geografico consente alle organizzazioni di:

  • Soddisfare i requisiti di residenza dei dati per i dati inattivi.
  • Migliorare la possibilità di individuare i dati vicino alla base utente.

Nota

La funzionalità Multi-Geo è disponibile con qualsiasi tipo di licenza di capacità (ad eccezione della capacità condivisa). Non è disponibile con Premium per utente (PPU) perché i dati archiviati nelle aree di lavoro assegnate a PPU vengono sempre archiviati nell'area principale (proprio come la capacità condivisa).

Elenco di controllo : quando si considerano altre aree dati specifiche per il tenant, le decisioni chiave e le azioni includono:

  • Identificare i requisiti di residenza dei dati: determinare quali sono i requisiti per la residenza dei dati. Identificare le aree appropriate e quali utenti potrebbero essere coinvolti.
  • Esaminare l'uso della funzionalità Multi-Geo: per situazioni specifiche in cui i dati devono essere archiviati altrove dall'area principale, esaminare l'abilitazione di Multi-Geo.

Contenuto correlato

Per altre considerazioni, azioni, criteri decisionali e consigli utili per prendere decisioni di implementazione di Power BI, vedere Pianificazione dell'implementazione di Power BI.

Suggerimento

Per informazioni su come gestire un tenant di Fabric, è consigliabile usare il modulo Amministrazione ister Microsoft Fabric.