다음을 통해 공유

Power BI 구현 계획: 테넌트 수준 보안 계획

  • 아티클

참고 항목

이 문서는 Power BI 구현 계획 시리즈의 일부를 구성합니다. 이 시리즈는 주로 Microsoft Fabric 내 Power BI 환경에 중점을 두고 있습니다. 시리즈에 대한 소개는 Power BI 구현 계획을 참조하세요.

이 테넌트 수준 보안 계획 문서는 주로 다음을 대상으로 합니다.

  • Power BI 관리자: 조직의 Power BI를 감독할 책임이 있는 관리자입니다.
  • 우수성 센터, IT 및 BI 팀: Power BI를 감독할 책임도 있는 팀입니다. Power BI 관리자, 정보 보안 팀 및 기타 관련 팀과 공동 작업해야 하는 경우가 있을 수 있습니다.

이 문서는 작업 영역에서 콘텐츠를 만들고 게시하고 관리하는 셀프 서비스 Power BI 작성자의 관심사일 수도 있습니다.

일련의 문서는 Power BI 보안 백서의 콘텐츠를 확장하기 위한 것입니다. Power BI 보안 백서에서는 인증, 데이터 보존 및 네트워크 격리 등의 주요 기술 항목을 중점적으로 다루지만, 보안 및 프라이버시와 관련된 의사결정 사항과 고려 사항을 제시하는 것을 주된 목표로 합니다.

Power BI 콘텐츠를 다양한 방식으로 사용하고 보호할 수 있으므로 콘텐츠 작성자가 많은 전술적 결정을 내릴 수 있습니다. 그러나 테넌트 수준에서도 몇 가지 전략적 계획 결정을 내릴 수 있습니다. 이러한 전략적 계획 결정은 이 문서의 초점입니다.

테넌트 수준 보안 결정은 다른 모든 것에 영향을 주므로 가능하면 빨리 내리는 것이 좋습니다. 또한 전체 보안 목표와 목적에 대한 명확성이 있는 경우 개별 보안 결정을 내리는 것이 더 쉽습니다.

Power BI 관리

Power BI 관리자는 Power BI를 크게 제어할 수 있는 높은 권한의 역할입니다. Power BI 관리자는 다음을 비롯한 많은 고급 기능을 수행할 수 있으므로 이 역할에 할당된 사용자를 신중하게 고려하는 것이 좋습니다.

  • 테넌트 설정 관리: 관리자는 관리 포털에서 테넌트 설정을 관리할 수 있습니다. 설정을 사용하거나 사용하지 않도록 설정하고 설정 내에서 특정 사용자 또는 그룹을 허용하거나 허용하지 않을 수 있습니다. 테넌트 설정이 사용자 환경에 상당한 영향을 미친다는 것을 이해하는 것이 중요합니다.
  • 작업 영역 역할 관리: 관리자는 관리 포털에서 작업 영역 역할을 업데이트할 수 있습니다. 잠재적으로 작업 영역 보안을 업데이트하여 데이터에 액세스하거나 다른 사용자에게 Power BI 서비스 데이터에 액세스할 수 있는 권한을 부여할 수 있습니다.
  • 개인 작업 영역 액세스: 관리자는 콘텐츠에 액세스하고 모든 사용자의 개인 작업 영역 제어할 수 있습니다.
  • 테넌트 메타데이터에 대한 액세스: 관리자는 Power BI 관리자 API에서 검색한 Power BI 활동 로그 및 활동 이벤트를 포함하여 테넌트 전체 메타데이터에 액세스할 수 있습니다.

모범 사례로 두 명에서 4명의 사용자 간에 Fabric 관리자 역할을 할당해야 합니다. 이렇게 하면 적절한 적용 범위와 교차 학습이 있는지 확인하면서 위험을 줄일 수 있습니다.

Power BI 관리자는 다음 기본 제공 역할 중 하나 이상에 속합니다.

참고 항목

Power Platform 관리자는 Power BI 서비스를 관리할 수 있지만 반대의 경우는 그렇지 않습니다. 패브릭 관리자 역할에 할당된 사용자는 Power Platform 다른 애플리케이션을 관리할 수 없습니다.

검사 목록 - Power BI 관리자가 될 사용자를 계획할 때 주요 결정 및 작업에는 다음이 포함됩니다.

  • 현재 관리자 역할이 할당된 사용자를 식별합니다. 패브릭 관리자, Power Platform 관리자 및 전역 관리자 Power BI 관리 역할 중 하나에 할당된 사용자를 확인합니다.
  • Power BI 서비스를 관리할 사용자 결정: Power BI 관리자가 너무 많은 경우 총 수를 줄이는 계획을 만듭니다. 이러한 높은 권한 역할에 적합하지 않은 사용자가 Power BI 관리자로 할당된 경우 문제를 해결하기 위한 계획을 만듭니다.
  • 역할 및 책임 명시: 각 Power BI 관리자에 대해 해당 책임이 명확한지 확인합니다. 적절한 교차 학습이 발생했는지 확인합니다.

보안 및 개인 정보 전략

보안 및 개인 정보 보호와 관련된 테넌트 수준 결정을 내려야 합니다. 수행된 전술과 의사 결정은 다음을 사용합니다.

  • 데이터 문화. 목표는 데이터의 보안 및 보호가 모든 사람의 책임임을 이해하는 데이터 문화를 장려하는 것입니다.
  • 콘텐츠 소유권 및 관리 전략. 중앙 집중식 및 탈중앙화 콘텐츠 관리 수준은 보안 처리 방식에 큰 영향을 줍니다.
  • 콘텐츠 배달 범위 전략. 콘텐츠를 볼 사용자 수는 콘텐츠에 대한 보안을 처리하는 방법에 영향을 미칩니다.
  • 글로벌, 국가/지역 및 산업 규정을 준수하기 위한 요구 사항입니다.

다음은 높은 수준의 보안 전략의 몇 가지 예입니다. 전체 조직에 영향을 주는 결정을 내릴 수 있습니다.

  • 행 수준 보안 요구 사항: RLS(행 수준 보안)를 사용하여 특정 사용자의 데이터 액세스를 제한할 수 있습니다. 즉, 동일한 보고서에 액세스할 때 사용자마다 다른 데이터를 볼 수 있습니다. Power BI 의미 체계 모델(이전에는 데이터 세트라고 함) 또는 데이터 원본(Single Sign-On을 사용하는 경우)은 RLS를 적용할 수 있습니다. 자세한 내용은 소비자 보안 계획 보고서 문서의 소비자 ID에 따라 데이터 보안 적용 섹션을 참조하세요.
  • 데이터 검색 가능성: Power BI에서 데이터 검색 가능성을 권장해야 하는 정도를 결정합니다. 검색 가능성은 데이터 허브에서 의미 체계 모델 또는 데이터 마트를 찾을 수 있는 사용자와 콘텐츠 작성자가 액세스 요청 워크플로를 사용하여 해당 항목에 대한 액세스를 요청할 수 있는지 여부에 영향을 줍니다. 자세한 내용은 사용자 지정 가능한 관리형 셀프 서비스 BI 사용 시나리오를 참조하세요.
  • Power BI에 저장할 수 있는 데이터: Power BI에 저장해서는 안 되는 특정 유형의 데이터가 있는지 확인합니다. 예를 들어 은행 계좌 번호 또는 사회 보장 번호와 같은 특정 중요한 정보 유형을 의미 체계 모델에 저장할 수 없도록 지정할 수 있습니다. 자세한 내용은 정보 보호 및 데이터 손실 방지 문서를 참조하세요.
  • 인바운드 프라이빗 네트워킹: 프라이빗 엔드포인트를 사용하여 Power BI에 액세스하여 네트워크 격리에 대한 요구 사항이 있는지 확인합니다. Azure Private Link를 사용하면 인터넷을 통해 전송되는 대신 Microsoft 개인 네트워크 백본을 사용하여 데이터 트래픽이 전송됩니다.
  • 아웃바운드 프라이빗 네트워킹: 데이터 원본에 연결할 때 더 많은 보안이 필요한지 여부를 확인합니다. VNet(Virtual Network) 데이터 게이트웨이를 사용하면 Power BI에서 VNet 내의 데이터 원본으로의 안전한 아웃바운드 연결을 사용할 수 있습니다. 콘텐츠가 프리미엄 작업 영역에 저장되면 Azure VNet 데이터 게이트웨이를 사용할 수 있습니다.

Important

네트워크 격리를 고려할 때 Power BI 테넌트 설정을 변경하기 전에 IT 인프라 및 네트워킹 팀과 함께 작업합니다. Azure Private Link 프라이빗 엔드포인트를 통해 향상된 인바운드 보안을 허용하는 반면, Azure VNet 게이트웨이는 데이터 원본에 연결할 때 향상된 아웃바운드 보안을 허용합니다. Azure VNet 게이트웨이는 고객 관리가 아닌 Microsoft에서 관리되므로 온-프레미스 게이트웨이를 설치하고 모니터링하는 오버헤드가 제거됩니다.

조직 수준의 결정 중 일부는 특히 규정 준수와 관련된 경우 회사 거버넌스 정책을 생성합니다. 다른 조직 수준의 결정으로 인해 자체 콘텐츠를 관리하고 보안을 유지하는 콘텐츠 작성자에게 제공할 수 있는 지침이 발생하기도 합니다. 결과 정책 및 지침은 중앙 집중식 포털, 교육 자료 및 통신 계획에 포함되어야 합니다.

보고서 소비자콘텐츠 작성자에 대한 보안 계획과 관련된 추가 제안은 이 시리즈의 다른 문서를 참조하세요.

검사 목록 - 상위 수준 보안 전략을 계획할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 보안과 관련된 규정 요구 사항 식별: 규정 준수를 보장하는 방법을 포함하여 각 요구 사항을 조사하고 문서화합니다.
  • 개략적인 보안 전략 식별: 거버넌스 정책에 포함할 만큼 중요한 보안 요구 사항을 결정합니다.
  • 다른 관리자와 공동 작업: 보안 요구 사항을 충족하는 방법과 존재하는 기술 필수 구성 요소를 논의하려면 관련 시스템 관리자에게 문의하세요. 기술 개념 증명을 수행할 계획입니다.
  • Power BI 테넌트 설정 업데이트: 각 관련 Power BI 테넌트 설정을 지정합니다. 정기적으로 후속 검토를 예약합니다.
  • 사용자 지침 생성 및 게시: 고급 보안 전략에 대한 설명서를 만듭니다. 프로세스 및 사용자가 표준 프로세스에서 예외를 요청할 수 있는 방법에 대한 세부 정보를 포함합니다. 중앙 집중식 포털 및 학습 자료에서 정보를 제공합니다.
  • 교육 자료 업데이트: 높은 수준의 보안 전략의 경우 사용자 교육 자료에 포함해야 하는 요구 사항 또는 지침을 결정합니다.

Microsoft Entra ID와 통합

Power BI 보안은 Microsoft Entra 테넌트를 기반으로 합니다. 다음 Microsoft Entra 개념은 Power BI 테넌트 보안과 관련이 있습니다.

  • 사용자 액세스: Power BI 서비스에 액세스하려면 사용자 계정이 필요합니다(무료, Power BI Pro 또는 사용자당 프리미엄 - PPU 등 Power BI 라이선스 외). 내부 사용자와 게스트 사용자를 모두 Microsoft Entra ID에 추가하거나 AD(온-프레미스 Active Directory)와 동기화할 수 있습니다. 게스트 사용자에 대한 자세한 내용은 외부 사용자에 대한 전략을 참조하세요.
  • 보안 그룹: Power BI 테넌트 설정에서 특정 기능을 사용할 수 있도록 하는 경우 Microsoft Entra 보안 그룹이 필요합니다. Power BI 작업 영역 콘텐츠를 보호하거나 콘텐츠를 효과적으로 배포하기 위해 그룹이 필요할 수도 있습니다. 자세한 내용은 그룹 사용 전략을 참조하세요.
  • 조건부 액세스 정책: Power BI 서비스 및 Power BI 모바일 앱에 대한 조건부 액세스를 설정할 수 있습니다. Microsoft Entra 조건부 액세스는 다양한 상황에서 인증을 제한할 수 있습니다. 예를 들어 다음과 같은 정책을 적용할 수 있습니다.
    • 일부 또는 모든 사용자에 대해 다단계 인증을 요구합니다.
    • 조직 정책을 준수하는 디바이스만 허용합니다.
    • 특정 네트워크 또는 IP 범위에서 연결을 허용합니다.
    • 도메인에 가입되지 않은 컴퓨터의 연결을 차단합니다.
    • 위험한 로그인에 대한 연결을 차단합니다.
    • 특정 유형의 디바이스만 연결할 수 있습니다.
    • 특정 사용자에 대한 Power BI에 대한 액세스를 조건부로 허용하거나 거부합니다.
  • 서비스 주체: 서비스 주체를 프로비전하려면 Microsoft Entra 앱 등록을 만들어야 할 수 있습니다. Power BI 관리자가 Power BI 관리자 API를 사용하여 데이터를 추출하는 예약된 무인 스크립트를 실행하려는 경우 서비스 주체 인증이 권장됩니다. 서비스 주체는 사용자 지정 애플리케이션에 Power BI 콘텐츠를 포함할 때도 유용합니다.
  • 실시간 정책: Microsoft Entra ID 및 Microsoft 클라우드용 Defender 앱를 모두 포함하는 실시간 세션 제어 정책 또는 액세스 제어 정책을 설정하도록 선택할 수 있습니다. 예를 들어 특정 민감도 레이블이 있는 경우 Power BI 서비스 보고서에서 다운로드를 금지할 수 있습니다. 자세한 내용은 정보 보호 및 데이터 손실 방지 문서를 참조하세요.

무제한 액세스와 지나치게 제한적인 액세스(사용자를 좌절시키는) 간의 적절한 균형을 찾기 어려울 수 있습니다. 가장 좋은 전략은 Microsoft Entra 관리자와 협력하여 현재 설정된 내용을 이해하는 것입니다. 필요한 제한을 염두에 두고 비즈니스 요구 사항에 계속 대응해 보세요.

많은 조직에는 클라우드의 Microsoft Entra ID와 동기화되는 온-프레미스 AD(Active Directory) 환경이 있습니다. 이 설정을 하이브리드 ID 솔루션이라고 하는데, 이 문서의 범위를 벗어납니다. 이해해야 할 중요한 개념은 Power BI와 같은 클라우드 기반 서비스가 작동하려면 사용자, 그룹 및 서비스 주체가 Microsoft Entra ID에 존재해야 한다는 것입니다. 하이브리드 ID 솔루션은 Power BI에서 작동합니다. Microsoft Entra 관리자에게 조직에 가장 적합한 솔루션을 얘기해주는 것이 좋습니다.

체크리스트 - Microsoft Entra 통합에 대한 요구 사항을 식별하는 경우 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • Microsoft Entra 관리자와 작업: Microsoft Entra 관리자와 공동 작업하여 기존 Microsoft Entra 정책이 무엇인지 알아봅니다. Power BI 서비스 및/또는 Power BI 모바일 애플리케이션의 사용자 환경에 영향을 줄 정책(현재 또는 계획됨)이 있는지 확인합니다.
  • 사용자 액세스와 서비스 주체를 사용해야 하는 시기 결정: 자동화된 작업의 경우 사용자 액세스 대신 서비스 주체를 사용할 시기를 결정합니다.
  • 사용자 지침 생성 또는 업데이트: Power BI 사용자 커뮤니티에 대해 문서화해야 하는 보안 항목이 있는지 확인합니다. 이렇게 하면 그룹 및 조건부 액세스 정책을 사용하기 위해 무엇을 기대해야 하는지 알 수 있습니다.

외부 사용자를 위한 전략

Power BI는 Microsoft Entra B2B(Business-to-Business)를 지원합니다. 예를 들어 고객 또는 파트너 회사의 외부 사용자는 공동 작업을 위해 Microsoft Entra ID의 게스트 사용자로 초대할 수 있습니다. 외부 사용자는 Power BI와 다른 여러 Azure 및 Microsoft 365 서비스를 사용할 수 있습니다.

Important

Microsoft Entra B2B 백서는 외부 사용자 처리 전략을 학습하는 데 가장 적합한 리소스입니다. 이 문서는 계획과 관련된 가장 중요한 고려 사항을 설명하는 것으로 제한됩니다.

외부 사용자가 Microsoft Entra ID를 설정한 다른 조직에서 온 경우 장점이 있습니다.

  • 홈 테넌트가 자격 증명 관리: 사용자의 홈 테넌트는 자격 증명의 ID 및 관리를 계속 제어합니다. ID를 동기화할 필요가 없습니다.
  • 홈 테넌트가 사용자 상태 관리: 사용자가 해당 조직을 떠나 계정이 제거되거나 비활성화되면 즉시 적용되므로 사용자는 더 이상 Power BI 콘텐츠에 액세스할 수 없습니다. 누가 언제 조직을 떠났는지 알 수 없을 수도 있기 때문에 중요한 이점입니다.
  • 사용자 라이선스에 대한 유연성: 비용 효율적인 라이선스 옵션이 있습니다. 외부 사용자에게 이미 Power BI Pro 또는 PPU 라이선스가 있을 수 있습니다. 이 경우 라이선스를 할당할 필요가 없습니다. 무료 라이선스를 할당하여 프리미엄 용량 또는 Fabric F64 이상 용량 작업 영역의 콘텐츠에 대한 액세스 권한을 부여할 수도 있습니다.

Important

경우에 따라 이 문서는 Power BI Premium 또는 해당 용량 구독(P SKU)을 참조합니다. Microsoft는 현재 구매 옵션을 통합하고 용량당 Power BI Premium SKU를 사용 중지하고 있습니다. 신규 및 기존 고객은 대신 용량 구독(F SKU)을 구매를 고려해야 합니다.

자세한 내용은 Power BI Premium 라이선스 관련 중요 업데이트Power BI Premium FAQ를 참조하세요.

키 설정

외부 사용자 액세스의 작동 방식을 사용하도록 설정하고 관리하는 두 가지 측면이 있습니다.

  • Microsoft Entra 관리자가 관리하는 Microsoft Entra 설정입니다. 이러한 Microsoft Entra 설정은 필수 구성 요소입니다.
  • 관리 포털에서 Power BI 관리자가 관리하는 Power BI 테넌트 설정. 이러한 설정은 Power BI 서비스의 사용자 환경을 제어합니다.

게스트 초대 프로세스

게스트 사용자를 테넌트로 초대하는 방법은 두 가지입니다.

  • 계획된 초대: Microsoft Entra ID에서 외부 사용자를 미리 설정할 수 있습니다. 이렇게 하면 Power BI 사용자가 사용 권한(예: 앱 권한)을 할당하는 데 게스트 계정을 사용해야 할 때마다 게스트 계정이 준비됩니다. 일부 사전 계획이 필요하지만 모든 Power BI 보안 기능이 지원되기 때문에 가장 일관된 프로세스입니다. 관리자는 PowerShell을 사용하여 많은 수의 외부 사용자를 효율적으로 추가할 수 있습니다.
  • 임시 초대: 게스트 계정은 Power BI 사용자가 이전에 설정되지 않은 외부 사용자에게 콘텐츠를 공유하거나 배포할 때 Microsoft Entra ID에서 자동으로 생성될 수 있습니다. 이 방법은 외부 사용자가 누구인지 미리 알 수 없는 경우에 유용합니다. 그러나 이 기능은 먼저 Microsoft Entra에서 사용하도록 설정해야 합니다. 임시 초대 방법은 항목별 임시 권한 및 앱 권한에 대해 작동합니다.

Power BI 서비스의 모든 보안 옵션이 임시 초대 트리거를 지원하는 것은 아닙니다. 이러한 이유로 권한을 할당할 때 일관성 없는 사용자 경험이 있습니다(예: 작업 영역 보안과 항목별 권한 및 앱 권한). 가능하면 일관된 사용자 환경을 만들 수 있는 계획된 초대 방법을 사용하는 것이 좋습니다.

고객 테넌트 ID

모든 Microsoft Entra 테넌트에는 테넌트 ID라고 하는 GUID(Globally Unique Identifier)가 있습니다. Power BI에서는 CTID(고객 테넌트 ID)라고 합니다. CTID를 사용하면 Power BI 서비스 다른 조직 테넌트 관점에서 콘텐츠를 찾을 수 있습니다. 외부 사용자와 콘텐츠를 공유할 때 URL에 CTID를 추가해야 합니다.

다음은 URL에 CTID를 추가하는 예제입니다. https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

조직의 CTID를 외부 사용자에게 제공해야 하는 경우 Power BI 정보 대화 상자 창을 열어 Power BI 서비스를 찾을 수 있습니다. Power BI 서비스의 오른쪽 위에 있는 도움말 및 지원(?) 메뉴에서 사용할 수 있습니다. CTID는 테넌트 URL의 끝에 추가됩니다.

고객 테넌트 ID가 강조 표시된 Power BI 정보 대화 창의 스크린샷.

조직 브랜딩

조직에서 외부 게스트 액세스가 자주 발생하는 경우 사용자 지정 브랜딩을 사용하는 것이 좋습니다. 이는 사용자가 액세스 중인 조직 테넌트 식별에 도움이 됩니다. 사용자 지정 브랜딩 요소에는 로고, 표지 이미지 및 테마 색이 포함됩니다.

다음 스크린샷은 게스트 계정으로 액세스할 때 Power BI 서비스의 모습을 보여줍니다. 여기에는 CTID가 URL에 추가될 때 사용할 수 있는 게스트 콘텐츠 옵션이 포함되어 있습니다.

게스트 콘텐츠 옵션이 강조 표시된 Power BI 서비스 스크린샷.

외부 데이터 공유

일부 조직에서는 외부 사용자와 보고서를 공유하는 것보다 더 많은 작업을 수행해야 합니다. 파트너, 고객 또는 공급업체 등 외부 사용자와 의미 체계 모델을 공유하려고 합니다.

현재 위치 의미 체계 모델 공유(테넌트 간 의미 체계 모델 공유라고도 함)의 목표는 외부 사용자가 만들고 관리하고 제공하는 데이터를 사용하여 자체 사용자 지정된 보고서 및 복합 모델을 만들 수 있도록 하는 것입니다. 사용자가 만든 원래 공유 의미 체계 모델은 Power BI 테넌트에서 유지됩니다. 종속 보고서 및 모델은 외부 사용자의 Power BI 테넌트에서 저장됩니다.

현재 위치 의미 체계 모델 공유 작업을 수행하기 위한 몇 가지 보안 측면이 있습니다.

  • 테넌트 설정: 게스트 사용자가 자신의 테넌트에서 공유 의미 체계 모델을 사용하도록 허용: 이 설정은 외부 데이터 공유 기능을 사용할 수 있는지 여부를 지정합니다. 다른 두 설정 중 하나(다음에 표시됨)가 적용되려면 사용하도록 설정해야 합니다. Power BI 관리자에 의해 전체 조직에 대해 사용하도록 설정하거나 사용하지 않도록 설정됩니다.
  • 테넌트 설정: 특정 사용자가 외부 데이터 공유를 켤 수 있도록 허용: 이 설정은 외부에서 데이터를 공유할 수 있는 사용자 그룹을 지정합니다. 여기에 허용된 사용자 그룹은 세 번째 설정(다음에 설명)을 사용할 수 있습니다. 이 설정은 Power BI 관리자가 관리합니다.
  • 의미 체계 모델 설정: 외부 공유: 이 설정은 외부 사용자가 특정 의미 체계 모델을 사용할 수 있는지 여부를 지정합니다. 이 설정은 각 특정 의미 체계 모델에 대한 콘텐츠 작성자 및 소유자가 관리합니다.
  • 의미 체계 모델 권한: 읽기빌드: 콘텐츠 작성자를 지원하기 위한 표준 의미 체계 모델 권한은 여전히 유지됩니다.

Important

일반적으로 소비자라는 용어는 조직의 다른 사용자가 생성한 콘텐츠를 사용하는 보기 전용 사용자를 참조하는 데 사용됩니다. 그러나 현재 위치 의미 체계 모델 공유에는 의미 체계 모델의 생산자와 의미 체계 모델의 소비자가 있습니다. 이 경우 의미 체계 모델의 소비자는 일반적으로 다른 조직의 콘텐츠 작성자입니다.

의미 체계 모델에 대해 행 수준 보안을 지정하면 외부 사용자에게 적용됩니다. 자세한 내용은 소비자 보안 계획 보고서 문서의 소비자 ID에 따라 데이터 보안 적용 섹션을 참조하세요.

외부 사용자 구독

앞에서 설명한 대로 외부 사용자가 Microsoft Entra ID에서 게스트 사용자로 관리되는 것이 가장 일반적입니다. 이러한 일반적인 접근 방식 외에도 Power BI는 조직 외부 사용자에게 보고서 구독을 배포하기 위한 다른 기능을 제공합니다.

Power BI 전자 메일 구독을 외부 사용자에게 보내도록 허용 테넌트 설정은 사용자가 아직 Microsoft Entra 게스트 사용자가 아닌 외부 사용자에게 전자 메일 구독을 보낼 수 있는지 여부를 지정합니다. 조직에서 외부 사용자 계정을 관리하는 것을 얼마나 엄격하게 또는 유연하게 관리하는지에 맞춰 이 테넌트 설정을 설정하는 것이 좋습니다.

관리자는 보고서 구독을 관리 API로 가져오기를 사용하여 구독을 보내고 있는 외부 사용자를 확인할 수 있습니다. 외부 사용자의 이메일 주소가 표시됩니다. 외부 사용자가 Microsoft Entra ID에 설정되지 않았기 때문에 보안 주체 유형이 해결되지 않음입니다.

검사 목록 - 외부 게스트 사용자를 처리하는 방법을 계획할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • Power BI의 외부 사용자 요구 사항: 외부 공동 작업에 사용할 사용 사례를 결정합니다. Microsoft Entra B2B에서 Power BI를 사용하는 시나리오를 명확히 설명합니다. 외부 사용자와의 공동 작업이 일반적인지 드문지 확인합니다.
  • 현재 Microsoft Entra 설정 확인: Microsoft Entra 관리자와 공동 작업하여 외부 공동 작업이 현재 설정되는 방법을 알아봅니다. Power BI에서 B2B를 사용하는 데 어떤 영향을 미칠지 결정합니다.
  • 외부 사용자를 초대하는 방법 결정: Microsoft Entra ID 관리자와 공동 작업하여 게스트 계정을 Microsoft Entra로 만드는 방법을 결정합니다. 임시 초대가 허용되는지 여부를 결정합니다. 계획된 초대 접근 방식이 어느 정도까지 사용될지 결정합니다. 전체 프로세스를 이해하고 문서화해야 합니다.
  • 외부 사용자에 대한 사용자 지침 생성 및 게시:콘텐츠 작성자를 위한 설명서를 만들어 외부 사용자와 콘텐츠를 공유하는 방법(특히 계획된 초대 프로세스가 필요한 경우)을 안내합니다. 외부 사용자가 콘텐츠를 편집하고 관리하려는 경우 외부 사용자가 직면하게 될 제한 사항에 대한 정보를 포함합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
  • 외부 데이터 공유를 처리하는 방법 결정: 외부 데이터 공유를 허용할지 여부와 승인된 특정 콘텐츠 작성자 집합으로 제한되는지 여부를 결정합니다. 게스트 사용자가 자신의 테넌트에서 공유 의미 체계 모델로 작업할 수 있도록 허용 테넌트 설정 및 특정 사용자가 외부 데이터 공유를 켤 수 있도록 허용 테넌트 설정을 결정에 맞게 설정합니다. 의미 체계 모델 작성자를 위한 외부 데이터 공유에 대한 정보를 제공합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
  • 외부 사용자에 대한 Power BI 라이선스를 처리하는 방법 결정: 게스트 사용자에게 기존 Power BI 라이선스가 없는 경우 라이선스를 할당하는 프로세스를 결정합니다. 프로세스가 문서화됐는지 확인하십시오.
  • 관련 사용자 설명서에 CTID 포함: 사용자 설명서에 테넌트 ID(CTID)를 추가한 URL을 기록합니다. CTID를 추가하는 URL을 사용하는 방법에 대한 작성자 및 소비자의 예제를 포함합니다.
  • Power BI에서 사용자 지정 브랜딩 설정: 관리 포털에서 사용자가 조직 테넌트를 식별할 수 있도록 사용자 지정 브랜딩을 설정합니다.
  • 테넌트 설정 확인 또는 업데이트: 테넌트 설정이 현재 Power BI 서비스에서 설정되는 방식을 확인합니다. 외부 사용자 액세스를 관리하기 위해 내린 결정에 따라 필요한 대로 업데이트합니다.

파일 위치에 대한 전략

적절하게 저장해야 하는 다양한 형식의 파일이 있습니다. 따라서 사용자가 파일 및 데이터가 있어야 하는 위치에 대한 기대치를 이해하는 데 도움이 되는 것이 중요합니다.

가져온 데이터를 포함할 수 있으므로 Power BI Desktop 파일 및 Excel 통합 문서와 관련된 위험이 있을 수 있습니다. 이 데이터에는 고객 정보, PII(개인 식별 정보), 독점 정보 또는 규정 또는 규정 준수 요구 사항이 적용되는 데이터가 포함될 수 있습니다.

Power BI 서비스 외부에 저장된 파일을 간과하기 쉽습니다. 보안을 계획할 때 고려하는 것이 좋습니다.

다음은 Power BI 구현에 포함될 수 있는 몇 가지 파일 형식입니다.

  • 원본 파일
    • Power BI Desktop 파일: Power BI 서비스 게시된 콘텐츠의 원본 파일(.pbix)입니다. 파일에 데이터 모델이 포함된 경우 가져온 데이터가 포함될 수 있습니다.
    • Excel 통합 문서: Excel 통합 문서(.xlsx)에는 Power BI 서비스 의미 체계 모델에 대한 연결이 포함될 수도 있습니다. 내보낸 데이터를 포함하고 있을 수도 있습니다. Power BI 서비스에 게시된 콘텐츠의 원래 통합 문서일 수도 있습니다(작업 영역의 통합 문서 항목).
    • 페이지를 매긴 보고서 파일: Power BI 서비스에 게시된 콘텐츠에 대한 원본 보고서 파일(.rdl) 파일입니다.
    • 원본 데이터 파일: Power BI 모델로 가져온 원본 데이터가 포함된 플랫 파일(예: .csv 또는 .txt) 또는 Excel 통합 문서입니다.
  • 내보낸 파일 및 기타 파일
    • Power BI Desktop 파일: Power BI 서비스에서 다운로드한 .pbix 파일입니다.
    • PowerPoint 및 PDF 파일: Power BI 서비스에서 다운로드한 PowerPoint 프레젠테이션(.pptx) 및 PDF 문서입니다.
    • Excel 및 CSV 파일: Power BI 서비스의 보고서에서 내보낸 데이터입니다.
    • 페이지를 매긴 보고서 파일: Power BI 서비스의 페이지를 매긴 보고서에서 내보낸 파일입니다. Excel, PDF 및 PowerPoint가 지원됩니다. Word, XML 또는 웹 보관 파일 등 페이지를 매긴 보고서에 대한 다른 내보내기 파일 형식 도 있습니다. 파일을 보고서 API로 내보내기를 사용하는 경우 이미지 형식도 지원됩니다.
    • 이메일 파일: 구독의 이메일 이미지 및 첨부 파일입니다.

파일을 저장할 수 있는 위치 또는 저장할 수 없는 위치에 대해 몇 가지 결정을 내려야 합니다. 일반적으로 해당 프로세스에는 사용자가 참조할 수 있는 거버넌스 정책을 만드는 작업이 포함됩니다. 권한이 부여된 사용자가 적절하게 액세스할 수 있도록 원본 파일 및 내보낸 파일의 위치를 보호해야 합니다.

다음은 파일 작업에 대한 몇 가지 권장 사항입니다.

  • 공유 라이브러리에 파일 저장: 회사 또는 학교 공유 라이브러리로 Teams 사이트, SharePoint 라이브러리 또는 OneDrive를 사용합니다. 개인 라이브러리 및 드라이브를 사용하지 않습니다. 스토리지 위치가 백업되었는지 확인합니다. 또한 이전 버전으로 롤백할 수 있도록 스토리지 위치에 버전 관리가 사용하도록 설정되어 있는지 확인합니다.
  • 가능한 한 Power BI 서비스 사용: 가능하면 콘텐츠 공유 및 배포에 Power BI 서비스를 사용합니다. 이렇게 하면 항상 액세스에 대한 전체 감사가 이뤄집니다. 파일 시스템에서 파일 저장 및 공유는 콘텐츠에 대해 공동 작업하는 소수의 사용자를 위해 예약되어야 합니다.
  • 전자 메일 사용 줄이기: 파일 공유에 전자 메일을 사용하지 않도록 권장합니다. 다른 사용자가 Excel 통합 문서 또는 Power BI Desktop 파일을 10명의 사용자에게 전자 메일로 보내면 파일 복사본이 10개 생성됩니다. 항상 잘못된(내부 또는 외부) 이메일 주소를 포함할 위험이 있습니다. 또한 파일이 다른 사람에게 전달될 위험이 더 큽니다. (이 위험을 최소화하려면 Exchange Online 관리자와 협력하여 파일 확장명 크기 또는 형식의 조건에 따라 첨부 파일을 차단하는 규칙을 구현합니다. Power BI에 대한 기타 데이터 손실 방지 전략은 정보 보호 및 데이터 손실 방지 문서에 설명되어 있습니다.)
  • 템플릿 파일 사용: 경우에 따라 Power BI Desktop 파일을 다른 사용자와 공유해야 하는 필요성이 있습니다. 이 경우 Power BI Desktop 템플릿(.pbit) 파일을 만들고 공유하는 것이 좋습니다. 템플릿 파일에는 메타데이터만 포함되므로 원본 파일보다 크기가 더 작습니다. 이 기술을 사용하려면 받는 사람이 데이터 원본 자격 증명을 입력하여 모델 데이터를 새로 고쳐야 합니다.

관리 포털에는 사용자가 Power BI 서비스 내보낼 때 사용할 수 있는 내보내기 형식을 제어하는 테넌트 설정이 있습니다. 이러한 설정을 검토하고 설정하는 것이 중요합니다. 내보낸 파일에 사용해야 하는 파일 위치를 계획하는 보완 작업입니다.

특정 내보내기 형식은 암호화를 사용하여 엔드 투 엔드 정보 보호를 지원합니다. 규정 요구 사항으로 인해 일부 조직에서는 사용자가 사용할 수 있는 내보내기 형식을 제한해야 합니다. Power BI에 대한 정보 보호 문서에서는 테넌트 설정에서 사용하거나 사용하지 않도록 설정할 내보내기 형식을 결정할 때 고려해야 할 요인에 대해 설명합니다. 대부분의 경우 특정 규정 요구 사항을 충족해야 하는 경우에만 내보내기 기능을 제한하는 것이 좋습니다. Power BI 활동 로그를 사용하여 많은 내보내기를 수행하는 사용자를 식별할 수 있습니다. 그런 다음 이러한 사용자에게 보다 효율적이고 안전한 대안에 대해 가르칠 수 있습니다.

검사 목록 - 레이블 범위를 계획할 때 주요 결정과 조치에는 다음이 포함됩니다.

  • 파일 위치 식별: 파일을 저장할 위치를 결정합니다. 사용해서는 안 되는 특정 위치가 있는지 확인합니다.
  • 파일 위치에 대한 설명서 생성 및 게시: 파일 관리 및 보안에 대한 책임을 명확히 하는 사용자 설명서를 만듭니다. 또한 파일을 저장해야 하는 위치(또는 저장해서는 안 되는 위치)를 설명해야 합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.
  • 내보내기를 위한 테넌트 설정: 지원하려는 내보내기 형식과 관련된 각 테넌트 설정을 검토하고 설정합니다.

그룹 사용 전략

다음과 같은 이유로 Microsoft Entra 보안 그룹을 사용하여 Power BI 콘텐츠를 보호하는 것이 좋습니다.

  • 유지 관리 감소: Power BI 콘텐츠에 대한 권한을 수정할 필요 없이 보안 그룹 멤버 자격을 수정할 수 있습니다. 새 사용자를 그룹에 추가할 수 있으며 불필요한 사용자를 그룹에서 제거할 수 있습니다.
  • 향상된 정확도: 그룹 멤버 자격 변경이 한 번 수행되므로 더 정확한 사용 권한 할당이 발생합니다. 오류가 감지되면 더 쉽게 수정할 수 있습니다.
  • 위임: 그룹 멤버 자격을 관리하는 책임을 그룹 소유자에게 위임할 수 있습니다.

상위 수준 그룹 결정

그룹을 사용하는 방법에 대해 몇 가지 전략적 결정을 내릴 수 있습니다.

그룹을 만들고 관리하는 방법

그룹을 만들고 관리하는 방법에 대한 두 가지 주요 결정이 있습니다.

  • 그룹을 만들 수 있는 사람은 누구인가요? 일반적으로 IT만 보안 그룹을 만들 수 있습니다. 그러나 기본 제공 그룹 관리자Microsoft Entra 역할에 사용자를 추가할 수 있습니다. 이렇게 하면 Power BI 챔피언 또는 COE의 위성 멤버와 같은 신뢰할 수 있는 특정 사용자가 해당 사업부에 대한 그룹을 만들 수 있습니다.
  • 그룹의 구성원을 관리할 수 있는 사람은 누구인가요? IT에서 그룹 멤버 자격을 관리하는 것이 일반적입니다. 그러나 그룹 구성원을 추가 및 제거할 수 있는 그룹 소유자를 하나 이상 지정할 수 있습니다. 셀프 서비스 그룹 관리는 분산된 팀 또는 COE의 위성 구성원이 Power BI 관련 그룹의 멤버 자격을 관리할 수 있는 경우에 유용합니다.

셀프 서비스 그룹 관리를 허용하고 분산된 그룹 소유자를 지정하는 것은 거버넌스와 효율성과 속도의 균형을 맞추는 좋은 방법입니다.

Power BI 그룹 계획

Power BI 콘텐츠 및 기타 여러 용도를 보호하기 위해 그룹을 사용하는 방법에 대한 개략적인 전략을 만드는 것이 중요합니다.

그룹에 대한 다양한 사용 사례

그룹에 대해 다음 사용 사례를 고려합니다.

사용 사례 설명 예제 그룹 이름
Power BI 우수성 센터(COE)와 커뮤니케이션 COE의 모든 코어 및 위성 멤버를 포함하여 COE와 연결된 모든 사용자를 포함합니다. 필요에 따라 핵심 멤버에 대해서만 별도의 그룹을 만들 수도 있습니다. Teams 사이트와 상관 관계가 있는 Microsoft 365 그룹일 수 있습니다. • Power BI 우수성 센터
Power BI 리더십 팀과 커뮤니케이션 조직에서 Power BI 이니셔티브를 주도하기 위해 협력하는 사업부의 임원 스폰서 및 대표를 포함합니다. • Power BI 운영 위원회
Power BI 사용자 커뮤니티와 커뮤니케이션 모든 유형의 Power BI 사용자 라이선스가 할당된 모든 사용자를 포함합니다. 조직의 모든 Power BI 사용자에게 공지하는 데 유용합니다. Teams 사이트와 상관 관계가 있는 Microsoft 365 그룹일 수 있습니다. • Power BI 커뮤니티
Power BI 사용자 커뮤니티 지원 Power BI 지원 문제를 처리하기 위해 사용자 커뮤니티와 직접 상호 작용하는 지원 센터 사용자를 포함합니다. 이 이메일 주소(및 해당하는 경우 Teams 사이트)를 사용할 수 있으며 사용자 모집단에 표시됩니다. • Power BI 사용자 지원
에스컬레이션된 지원 제공 에스컬레이션된 지원을 제공하는 Power BI COE의 특정 사용자를 포함합니다. 이 이메일 주소(및 해당하는 경우 Teams 사이트)는 일반적으로 사용자 지원 팀에서만 사용하기 위해 비공개입니다. • Power BI 에스컬레이션된 사용자 지원
Power BI 서비스 관리 Power BI 서비스를 관리할 수 있는 특정 사용자를 포함합니다. 필요에 따라 이 그룹의 구성원을 Microsoft 365의 역할과 상호 연결하여 관리를 간소화할 수 있습니다. • Power BI 관리자
허용된 기능 및 기능의 점진적 롤아웃 알림 관리 포털에서 특정 테넌트 설정에 대해 허용된 사용자(기능이 제한되는 경우) 또는 기능이 사용자 그룹에 점진적으로 롤아웃되는 경우를 포함합니다. 대부분의 테넌트 설정에서는 새 Power BI 관련 그룹을 만들어야 합니다. • Power BI 작업 영역 작성자

• Power BI 외부 데이터 공유
데이터 게이트웨이 관리 게이트웨이 클러스터를 관리할 수 있는 사용자 그룹을 하나 이상 포함합니다. 여러 게이트웨이가 있거나 분산된 팀이 게이트웨이를 관리하는 경우 이러한 유형의 여러 그룹이 있을 수 있습니다. • Power BI 게이트웨이 관리자

• Power BI 게이트웨이 데이터 원본 작성자

• Power BI 게이트웨이 데이터 원본 소유자

• Power BI 게이트웨이 데이터 원본 사용자
프리미엄 용량 관리 프리미엄 용량을 관리할 수 있는 사용자를 포함합니다. 여러 용량이 있거나 분산된 팀이 용량을 관리하는 경우 이러한 유형의 여러 그룹이 있을 수 있습니다. • Power BI 용량 기여자
작업 영역, 앱 및 항목 보안 주체 영역을 기반으로 하고 Power BI 작업 영역 역할, 앱 권한 및 항목별 권한의 보안을 관리하기 위한 액세스가 허용되는 다수의 그룹입니다. • Power BI 작업 영역 관리자

• Power BI 작업 영역 구성원

• Power BI 작업 영역 기여자

• Power BI 작업 영역 시청자

• Power BI 앱 시청자
콘텐츠 배포 Power BI 배포 파이프라인을 사용하여 콘텐츠를 배포할 수 있는 사용자를 포함합니다. 이 그룹은 작업 영역 권한과 함께 사용됩니다. • Power BI 배포 파이프라인 관리자
관리 작업 자동화 포함 또는 관리 목적으로 Power BI API를 사용할 수 있는 서비스 주체를 포함합니다. • Power BI 서비스 보안 주체

Power BI 그룹 테넌트 설정

내부 프로세스에 따라 필요한 다른 그룹이 있습니다. 이러한 그룹은 테넌트 설정을 관리할 때 유용합니다. 다음 몇 가지 예를 참조하십시오.

  • Power BI 작업 영역 작성자: 작업 영역을 만들 수 있는 사용자를 제한해야 하는 경우에 유용합니다. 작업 영역 만들기 테넌트 설정을 설정하는 데 사용됩니다.
  • Power BI 인증 주제 전문가: 콘텐츠에 인증된 추천을 사용할 수 있는 사람을 지정하는 데 유용합니다. 인증 테넌트 설정을 설정하는 데 사용됩니다.
  • Power BI 승인 콘텐츠 작성자: Power BI Desktop 설치하거나 Power BI Pro 또는 PPU 라이선스를 얻기 위해 승인, 교육 또는 정책 확인이 필요한 경우에 유용합니다. Power BI 의미 체계 모델에 대한 DirectQuery 연결 허용, 최종 사용자에게 앱 푸시, XMLA 엔드포인트 허용 등과 같은 콘텐츠 만들기 기능을 장려하는 테넌트 설정에서 사용됩니다.
  • Power BI 외부 도구 사용자: 선택적 사용자 그룹에 외부 도구를 사용하도록 허용할 때 유용합니다. 그룹 정책에서 사용하거나 소프트웨어 설치 또는 요청을 신중하게 제어해야 하는 경우에 사용됩니다.
  • Power BI 사용자 지정 개발자: Power BI 외부의 다른 애플리케이션에 콘텐츠를 포함할 수 있는 사용자를 제어해야 하는 경우에 유용합니다. 앱에 포함된 콘텐츠 테넌트 설정을 설정하는 데 사용됩니다.
  • Power BI 공개 게시: 데이터를 공개적으로 게시할 수 있는 사용자를 제한해야 하는 경우에 유용합니다. 웹에 게시 테넌트 설정을 설정하는 데 사용됩니다.
  • 전체 조직에 Power BI 공유: 조직의 모든 사용자와 링크를 공유할 수 있는 사용자를 제한해야 하는 경우에 유용합니다. 공유 가능한 링크가 조직 내 모든 사용자에게 액세스 권한을 부여하도록 허용 테넌트 설정을 설정하는 데 사용됩니다.
  • Power BI 외부 데이터 공유: 특정 사용자가 외부 사용자와 의미 체계 모델을 공유하도록 허용해야 하는 경우에 유용합니다. 특정 사용자가 외부 데이터 공유를 켤 수 있도록 허용 테넌트 설정을 설정하는 데 사용됩니다.
  • Power BI 게스트 사용자 액세스 사용이 허가됨: 조직에서 라이선스를 부여받은 승인된 외부 사용자를 그룹화해야 하는 경우에 유용합니다. Microsoft Entra 게스트 사용자의 Power BI 액세스 허용 테넌트 설정을 설정하는 데 사용됩니다.
  • Power BI 게스트 사용자 액세스 BYOL: 자체 라이선스를 홈 조직에서 가져온(BYOL) 승인된 외부 사용자를 그룹화해야 하는 경우에 유용합니다. Microsoft Entra 게스트 사용자의 Power BI 액세스 허용 테넌트 설정을 설정하는 데 사용됩니다.

작업 영역 액세스를 계획할 때 그룹을 사용하는 방법에 대한 고려 사항은 작업 영역 수준 계획 문서를 참조하세요. 작업 영역, 앱 및 항목 보안 계획에 대한 자세한 내용은 보고서 소비자 보안 계획 문서를 참조하세요.

그룹 유형

다양한 그룹 유형을 만들 수 있습니다.

  • 보안 그룹: 보안 그룹은 리소스에 대한 액세스 권한을 부여하는 것이 기본 목표일 때 가장 좋은 선택입니다.
  • 메일 사용 보안 그룹: 리소스에 대한 액세스 권한을 부여하고 전자 메일로 전체 그룹에 메시지를 배포해야 하는 경우 메일 사용 보안 그룹을 선택하는 것이 좋습니다.
  • Microsoft 365 그룹: 이 유형의 그룹에는 Teams 사이트와 전자 메일 주소가 있습니다. 주요 목표는 Teams 사이트의 커뮤니케이션 또는 공동 작업일 때 가장 좋은 선택입니다. Microsoft 365 그룹에는 구성원 및 소유자만 있습니다. 시청자 역할이 없습니다. 따라서 주요 목적은 협업입니다. 이 그룹 유형은 이전에 Office 365 그룹, 최신 그룹 또는 통합 그룹으로 알려져 있었습니다.
  • 배포 그룹: 배포 그룹을 사용하여 사용자 목록에 브로드캐스트 알림을 보낼 수 있습니다. 현재는 이전 버전과의 호환성을 제공하는 레거시 개념으로 간주됩니다. 새 사용 사례의 경우 대신 메일 사용 보안 그룹을 만드는 것이 좋습니다.

새 그룹을 요청하거나 기존 그룹을 사용하려는 경우 해당 형식을 알고 있어야 합니다. 그룹 유형은 사용 및 관리 방법을 결정할 수 있습니다.

  • Power BI 권한: 모든 유형의 보안 작업에 대해 모든 유형의 그룹이 지원되는 것은 아닙니다. 보안 그룹(메일 사용 가능 보안 그룹 포함)은 Power BI 보안 옵션 설정과 관련하여 가장 높은 범위를 제공합니다. Microsoft 설명서에는 일반적으로 Microsoft 365 그룹이 권장됩니다. 그러나 Power BI의 경우 보안 그룹만큼 뛰어나지 않습니다. Power BI 권한에 대한 자세한 내용은 보안 계획에 대한 이 시리즈의 이후 문서를 참조하세요.
  • Power BI 테넌트 설정: 사용자 그룹이 Power BI 테넌트 설정을 사용하도록 허용하거나 허용하지 않는 경우에만 보안 그룹(메일 사용 가능 보안 그룹 포함)을 사용할 수 있습니다.
  • 고급 Microsoft Entra 기능: 일부 그룹 유형에서는 특정 형식의 유용한 기능이 지원되지 않습니다. 예를 들어, Microsoft Entra ID의 특성(예: 사용자의 부서 또는 사용자 지정 특성)을 기반으로 그룹 멤버 자격을 동적으로 관리할 수 있습니다. Microsoft 365 그룹 및 보안 그룹만 동적 그룹 멤버 자격을 지원합니다. 그룹 내에 그룹을 중첩하려는 경우 Microsoft 365 그룹이 해당 기능을 지원하지 않는다는 점에 유의하세요.
  • 다르게 관리: 그룹 만들기 또는 관리 요청은 그룹 유형에 따라 다른 관리자에게 라우팅될 수 있습니다(메일 사용이 가능한 보안 그룹 및 메일 그룹은 Exchange에서 관리됨). 따라서 내부 프로세스는 그룹 유형에 따라 달라집니다.

그룹 명명 규칙

Power BI 구현을 지원하기 위해 Microsoft Entra ID에 많은 그룹이 있을 수 있습니다. 따라서 그룹 이름을 지정하는 방법에 대해 합의된 패턴을 갖는 것이 중요합니다. 좋은 명명 규칙은 그룹의 목적을 결정하고 관리하기가 더 간단하게 만드는 데 도움이 됩니다.

다음 표준 명명 규칙을 사용하는 것이 좋습니다. <접두사><목적> - <주제/범위/부서><[환경]>

다음 목록에서는 명명 규칙의 각 부분에 대해 설명합니다.

  • 접두사: 모든 Power BI 그룹을 그룹화하기 위해 사용됩니다. 그룹이 둘 이상의 분석 도구에 사용되는 경우 접두사는 Power BI가 아닌 BI일 수 있습니다. 이 경우 용도를 설명하는 텍스트가 더 일반적이므로 둘 이상의 분석 도구와 관련이 있습니다.
  • 목적: 목적은 서로 다릅니다. 작업 영역 역할, 앱 권한, 항목 수준 권한, 행 수준 보안 또는 기타 용도일 수 있습니다. 경우에 따라 단일 그룹에서 여러 목적을 충족할 수 있습니다.
  • 주제/범위/부서: 그룹이 적용되는 대상을 명확히 하는 데 사용됩니다. 그룹 멤버 자격을 설명하는 경우가 많습니다. 그룹을 관리하는 사용자를 참조할 수도 있습니다. 경우에 따라 단일 그룹을 여러 용도로 사용할 수 있습니다. 예를 들어 단일 그룹으로 재무 작업 영역 컬렉션을 관리할 수 있습니다.
  • 환경: 선택 사항입니다. 개발, 테스트 및 프로덕션을 구분하는 데 유용합니다.

다음은 표준 명명 규칙을 적용하는 몇 가지 예제 그룹 이름입니다.

  • Power BI 작업 영역 관리자 - 재무 [개발]
  • Power BI 작업 영역 구성원 - 재무 [개발]
  • Power BI 작업 영역 기여자 - 재무 [개발]
  • Power BI 작업 영역 시청자 - 재무 [개발]
  • Power BI 앱 시청자 - 재무
  • Power BI 게이트웨이 관리자 - Enterprise BI
  • Power BI 게이트웨이 관리자 - 재무

그룹당 의사 결정

필요한 그룹을 계획할 때 몇 가지 결정을 내려야 합니다.

콘텐츠 작성자 또는 소유자가 새 그룹을 요청하는 경우 양식을 사용하여 다음 정보를 제공하는 것이 가장 좋습니다.

  • 이름 및 용도: 제안된 그룹 이름 및 의도된 용도입니다. 그룹의 범위를 명확하게 나타내려면 그룹 이름에 Power BI(또는 여러 BI 도구가 있는 경우 BI만 포함)를 포함하는 것이 좋습니다.
  • 이메일 주소: 그룹 구성원에 대한 커뮤니케이션도 필요한 경우를 위한 이메일 주소입니다. 모든 유형의 그룹이 메일을 사용하도록 설정해야 하는 것은 아닙니다.
  • 그룹 유형: 옵션에는 보안 그룹, 메일 사용 보안 그룹, Microsoft 365 그룹 및 배포 그룹이 포함됩니다.
  • 그룹 소유자: 그룹의 구성원을 소유하고 관리할 수 있는 사용자입니다.
  • 그룹 멤버 자격: 그룹의 구성원이 될 의도된 사용자입니다. 외부 사용자와 내부 사용자를 추가할 수 있는지 또는 외부 사용자를 다른 그룹에 배치할 근거가 있는지 여부를 고려합니다.
  • Just-In-Time 그룹 구성원 할당 사용:PIM(Privileged Identity Management)을 사용하여 시간 상자가 지정된 Just-In-Time 그룹에 대한 액세스를 허용할 수 있습니다. 이 서비스는 사용자에게 임시 액세스가 필요한 경우에 유용할 수 있습니다. PIM은 가끔 액세스해야 하는 Power BI 관리자에게도 유용합니다.

조직도를 기반으로 하는 기존 그룹이 Power BI 목적으로 항상 제대로 작동하지는 않습니다. 요구 사항을 충족하는 기존 그룹을 사용합니다. 그러나 필요할 때 Power BI 관련 그룹을 만들 수 있도록 준비해야 합니다.

검사 목록 - 그룹을 사용하는 방법에 대한 전략을 만들 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 그룹 사용에 대한 전략 결정: 그룹을 사용해야 하는 사용 사례 및 목적을 결정합니다. 사용자 계정을 사용하여 보안을 적용해야 하는 경우와 그룹이 요구되거나 더 나은 경우에 대해 구체적으로 설명합니다.
  • Power BI 관련 그룹에 대한 명명 규칙 생성: Power BI 통신, 기능, 관리 또는 보안을 지원하는 그룹에 일관된 명명 규칙이 사용되고 있는지 확인합니다.
  • 그룹을 만들 수 있는 사용자 결정: IT를 진행하기 위해 모든 그룹 만들기가 필요한지 여부를 명확히 합니다. 또는 특정 개인(예: COE의 위성 구성원)에게 사업부에 대한 그룹을 만들 수 있는 권한을 부여할 수 있는지 여부입니다.
  • 새 그룹을 요청하는 방법에 대한 프로세스 생성: 사용자가 새 그룹 만들기를 요청할 수 있는 양식을 만듭니다. 새 요청에 신속하게 응답하는 프로세스가 있는지 확인합니다. 요청이 지연되면 사용자는 개인 계정에 사용 권한 할당을 시작하려고 할 수 있습니다.
  • 탈중앙화 그룹 관리가 허용되는 시기 결정: 특정 팀에 적용되는 그룹의 경우 그룹 소유자(IT 외부)가 그룹의 구성원을 관리하는 것이 허용되는 시기를 결정합니다.
  • Just-In-Time 그룹 구성원 자격 사용 여부 결정: Privileged Identity Management가 유용할지 여부를 확인합니다. 유용하다면 사용할 수 있는 그룹(예: Power BI 관리자 그룹)을 결정합니다.
  • 현재 존재하는 그룹 검토: 사용할 수 있는 기존 그룹과 만들어야 하는 그룹을 결정합니다.
  • 각 테넌트 설정 검토: 각 테넌트 설정에서 특정 사용자 집합에 대한 허용 여부를 결정합니다. 테넌트 설정을 위해 새 그룹을 만들어야 하는지 여부를 결정합니다.
  • 그룹에 대한 사용자에 대한 지침 생성 및 게시: 그룹 사용에 대한 요구 사항 또는 기본 설정을 포함하는 콘텐츠 작성자에 대한 설명서를 포함합니다. 새 그룹을 요청할 때 무엇을 요청할지 알고 있는지 확인합니다. 이 정보를 중앙 집중식 포털 및 학습 자료에 게시합니다.

관련 콘텐츠

이 시리즈의 다음 문서에서는 읽기 전용 보고서 소비자에게 콘텐츠를 안전하게 제공하는 방법에 대해 알아봅니다.