Planning van Power BI-implementatie: tenantconfiguratie

  • Artikel

Notitie

Dit artikel maakt deel uit van de reeks artikelen over de implementatieplanning van Power BI. Deze reeks richt zich voornamelijk op de Power BI-workload in Microsoft Fabric. Zie de planning van de Power BI-implementatie voor een inleiding tot de reeks.

In dit artikel over het instellen van tenants worden belangrijke aspecten geïntroduceerd die u moet weten over het instellen van uw Fabric-tenant, met de nadruk op de Power BI-ervaring. Het is gericht op meerdere doelgroepen:

  • Infrastructuurbeheerders: de beheerders die verantwoordelijk zijn voor het toezicht op Fabric in de organisatie.
  • Microsoft Entra-beheerders: het team dat verantwoordelijk is voor het toezicht op en het beheer van Microsoft Entra ID (voorheen Bekend als Azure Active Directory).

Fabric maakt deel uit van een groter Microsoft-ecosysteem. Als uw organisatie al andere cloudabonnementservices gebruikt, zoals Azure, Microsoft 365 of Dynamics 365, werkt Fabric binnen dezelfde Microsoft Entra-tenant. Uw organisatiedomein (bijvoorbeeld contoso.com) is gekoppeld aan Microsoft Entra-id. Net als alle Microsoft-cloudservices is uw Fabric-tenant afhankelijk van de Microsoft Entra-id van uw organisatie voor identiteits- en toegangsbeheer.

Tip

Veel organisaties hebben een on-premises Active Directory-omgeving (AD) die ze synchroniseren met Microsoft Entra ID in de cloud. Deze installatie wordt een hybride identiteitsoplossing genoemd, die buiten het bereik van dit artikel valt. Het belangrijkste concept om te begrijpen is dat gebruikers, groepen en service-principals moeten bestaan in Microsoft Entra-id voor een cloudsuite met services zoals Fabric. Het hebben van een hybride identiteitsoplossing werkt voor Fabric. Het is raadzaam om met uw Microsoft Entra-beheerders te praten over de beste oplossing voor uw organisatie.

Zie Tenantbeheer voor meer informatie over de verantwoordelijkheden van een Fabric-beheerder.

Microsoft Entra-tenant

De meeste organisaties hebben één Microsoft Entra-tenant, dus het is meestal waar dat een Microsoft Entra-tenant een organisatie vertegenwoordigt.

Meestal wordt De Microsoft Entra-id ingesteld voordat een Infrastructuur-implementatie begint. Soms gaat het echter om het inrichten van een cloudservice die u bewust wordt van het belang van Microsoft Entra-id.

Tip

Omdat de meeste organisaties één Microsoft Entra-tenant hebben, kan het lastig zijn om nieuwe functies op een geïsoleerde manier te verkennen. U kunt in aanmerking komen voor een tenant voor niet-productieontwikkelaars via het Microsoft 365 Developer Program. Zie de veelgestelde vragen voor meer informatie. U kunt zich ook registreren voor een gratis proefversie van 1 maand of een Microsoft 365-abonnement kopen.

Onbeheerde tenant

Een beheerde tenant heeft een globale beheerder toegewezen in Microsoft Entra-id. Als er geen Microsoft Entra-tenant bestaat voor een organisatiedomein (bijvoorbeeld contoso.com), wordt er een onbeheerde tenant gemaakt in Microsoft Entra ID wanneer de eerste gebruiker van die organisatie zich registreert voor een fabric-proefversie of -account. Een niet-beheerde tenant wordt ook wel een schaduwtenant of een zelf gemaakte tenant genoemd. Het heeft een basisconfiguratie, waardoor de cloudservice kan werken zonder een globale beheerder toe te wijzen.

Voor het correct beheren, configureren en ondersteunen van Fabric is een beheerde tenant vereist. Er is een proces dat een systeembeheerder kan volgen om een onbeheerde tenant over te nemen, zodat deze deze goed kan beheren namens de organisatie.

Tip

Het beheer van Microsoft Entra ID is een breed en uitgebreid onderwerp. U wordt aangeraden specifieke personen in uw IT-afdeling toe te wijzen als systeembeheerders om de Microsoft Entra-id voor uw organisatie veilig te beheren.

Controlelijst : wanneer u uw Microsoft Entra-tenant controleert voor gebruik met Fabric, zijn belangrijke beslissingen en acties:

  • Overname tenant: indien van toepassing, initieer het proces om een onbeheerde tenant over te nemen.
  • Controleer of de Microsoft Entra-tenant wordt beheerd: controleer of uw systeembeheerders uw Microsoft Entra-tenant actief beheren.

Tenant-id voor externe gebruikers

U moet overwegen hoe gebruikers toegang krijgen tot uw tenant wanneer u externe gebruikers (zoals klanten, partners of leveranciers) hebt of wanneer interne gebruikers toegang moeten hebben tot een andere tenant buiten uw organisatie. Voor toegang tot een andere organisatietenant wordt een gewijzigde URL gebruikt.

Elke Microsoft Entra-tenant heeft een GUID (Globally Unique Identifier) die de tenant-id wordt genoemd. In Fabric wordt dit de tenant-id (CTID) van de klant genoemd. De CTID wordt toegevoegd aan het einde van de tenant-URL. U vindt de CTID in de Fabric-portal door het dialoogvenster Over Microsoft Fabric te openen. Het is beschikbaar in het menu Help en ondersteuning (?), dat zich in de rechterbovenhoek van de Fabric-portal bevindt.

Het is belangrijk om uw CTID te kennen voor Microsoft Entra B2B-scenario's. URL's die u aan externe gebruikers opgeeft (bijvoorbeeld om een Power BI-rapport weer te geven) moeten de CTID-parameter toevoegen om toegang te krijgen tot de juiste tenant.

Als u van plan bent samen te werken met of inhoud te bieden aan externe gebruikers, raden we u aan aangepaste huisstijl in te stellen. Het gebruik van een logo, omslagafbeelding en thema helpt gebruikers bij het identificeren van de tenant van de organisatie waartoe ze toegang hebben.

Controlelijst : wanneer u externe gebruikers toestemming geeft om uw inhoud weer te geven of wanneer u meerdere tenants hebt, zijn belangrijke beslissingen en acties onder andere:

  • Neem uw CTID op in de relevante gebruikersdocumentatie: Noteer de URL die de tenant-id (CTID) toevoegt aan de gebruikersdocumentatie.
  • Aangepaste huisstijl instellen in Fabric: Stel in de Fabric-beheerportal aangepaste huisstijl in om gebruikers te helpen de tenant van de organisatie te identificeren.

Microsoft Entra-beheerders

Fabric-beheerders moeten regelmatig met de Microsoft Entra-beheerders werken.

De volgende lijst bevat enkele veelvoorkomende redenen voor samenwerking tussen Fabric-beheerders en Microsoft Entra-beheerders.

  • Beveiligingsgroepen: U moet nieuwe beveiligingsgroepen maken om de infrastructuurtenantinstellingen goed te beheren. Mogelijk hebt u ook nieuwe groepen nodig om werkruimte-inhoud te beveiligen of om inhoud te distribueren.
  • Eigendom van beveiligingsgroep: U wilt mogelijk een groepseigenaar toewijzen om meer flexibiliteit te bieden bij wie een beveiligingsgroep kan beheren. Het kan bijvoorbeeld efficiënter zijn om het COE (Center of Excellence) de lidmaatschappen van bepaalde Fabric-specifieke groepen te laten beheren.
  • Service-principals: mogelijk moet u een Microsoft Entra-app-registratie maken om een service-principal in te richten. Verificatie met een service-principal wordt aanbevolen wanneer een Fabric-beheerder onbeheerde, geplande scripts wil uitvoeren waarmee gegevens worden geëxtraheerd met behulp van de beheer-API's of wanneer inhoud in een toepassing wordt ingesloten .
  • Externe gebruikers: U moet begrijpen hoe de instellingen voor externe (gast)gebruikers worden ingesteld in Microsoft Entra-id. Er zijn verschillende Fabric-tenantinstellingen met betrekking tot externe gebruikers en ze zijn afhankelijk van hoe Microsoft Entra-id is ingesteld. Bovendien werken bepaalde beveiligingsmogelijkheden voor de Power BI-workload alleen wanneer u de geplande uitnodigingsbenadering gebruikt voor externe gebruikers in Microsoft Entra-id.
  • Beleid voor realtime controle: u kunt ervoor kiezen om beleid voor realtime sessiebeheer in te stellen, waarbij zowel Microsoft Entra-id als Microsoft Defender voor Cloud-apps zijn betrokken. U kunt bijvoorbeeld het downloaden van een Power BI-rapport verbieden wanneer het een specifiek vertrouwelijkheidslabel heeft.

Zie Samenwerken met andere beheerders voor meer informatie.

Controlelijst : als u overweegt om met uw Microsoft Entra-beheerders te werken, zijn belangrijke beslissingen en acties onder andere:

  • Identificeer uw Microsoft Entra-beheerders: zorg ervoor dat u de Microsoft Entra-beheerders voor uw organisatie kent. Wees bereid om er zo nodig mee te werken.
  • Betrek uw Microsoft Entra-beheerders: wanneer u uw implementatieplanningsproces doorloopt, nodigt u Microsoft Entra-beheerders uit voor relevante vergaderingen en neemt u deze bij relevante besluitvorming.

Locatie voor gegevensopslag

Wanneer er een nieuwe tenant wordt gemaakt, worden resources ingericht in Azure. Dit is het cloudcomputingplatform van Microsoft. Uw geografische locatie wordt de thuisregio voor uw tenant. De basisregio wordt ook wel de standaardgegevensregio genoemd.

Thuisregio

De thuisregio is belangrijk omdat:

  • De prestaties van rapporten en dashboards zijn deels afhankelijk van gebruikers die zich in de nabijheid van de tenantlocatie bevinden.
  • Er kunnen juridische of wettelijke redenen zijn waarom de gegevens van de organisatie in een specifieke jurisdictie worden opgeslagen.

De thuisregio voor de tenant van de organisatie is ingesteld op de locatie van de eerste gebruiker die zich registreert. Als de meeste gebruikers zich in een andere regio bevinden, is die regio mogelijk niet de beste keuze.

U kunt de thuisregio voor uw tenant bepalen door het dialoogvenster Over Microsoft Fabric te openen in de Fabric-portal. De regio wordt weergegeven naast uw gegevens wordt opgeslagen in het label.

Mogelijk ontdekt u dat uw tenant zich in een regio bevindt die niet ideaal is. U kunt de functie Multi-Geo gebruiken door een capaciteit te maken in een specifieke regio (beschreven in de volgende sectie), of u kunt deze verplaatsen. Als u uw tenant naar een andere regio wilt verplaatsen, moet uw globale Microsoft 365-beheerder een ondersteuningsaanvraag openen.

De verplaatsing van een tenant naar een andere regio is geen volledig geautomatiseerd proces en enige downtime is hierbij betrokken. Houd rekening met de vereisten en acties die vereist zijn voor en na de verplaatsing.

Tip

Omdat er veel inspanning is vereist, raden we u aan deze eerder dan later te doen wanneer u vaststelt dat een verplaatsing noodzakelijk is.

Controlelijst : bij het overwegen van de thuisregio voor het opslaan van gegevens in uw tenant, zijn belangrijke beslissingen en acties:

  • Identificeer uw thuisregio: bepaal de thuisregio voor uw tenant.
  • Start het proces om uw tenant te verplaatsen: als u ontdekt dat uw tenant zich in een ongeschikte geografische regio bevindt (die niet kan worden opgelost met de functie Multi-Geo), onderzoekt u het proces om uw tenant te verplaatsen.

Andere specifieke gegevensregio's

Sommige organisaties hebben vereisten voor gegevenslocatie . Vereisten voor gegevenslocatie omvatten doorgaans wettelijke of branchevereisten voor het opslaan van gegevens in een specifieke geografische regio. Vereisten voor gegevenssoevereine zijn vergelijkbaar, maar strenger omdat de gegevens onderhevig zijn aan de wetten van het land of de regio waarin de gegevens worden opgeslagen. Sommige organisaties hebben ook vereisten voor gegevenslokalisatie , die bepalen dat gegevens die binnen bepaalde grenzen zijn gemaakt, binnen die grenzen moeten blijven.

Wettelijke, branche- of wettelijke vereisten kunnen vereisen dat u bepaalde gegevens ergens anders uit de thuisregio opslaat (beschreven in de vorige sectie). In deze situaties kunt u profiteren van de functie Multi-Geo door een capaciteit in een specifieke regio te maken. In dit geval moet u werkruimten toewijzen aan de juiste capaciteit om ervoor te zorgen dat de werkruimtegegevens worden opgeslagen op de gewenste geografische locatie.

Met ondersteuning voor meerdere geografische gebieden kunnen organisaties het volgende doen:

  • Voldoen aan de vereisten voor gegevenslocatie voor data-at-rest.
  • Verbeter de mogelijkheid om gegevens in de buurt van de gebruikersdatabase te vinden.

Notitie

De functie Multi-Geo is beschikbaar met elk type capaciteitslicentie (met uitzondering van gedeelde capaciteit). Het is niet beschikbaar met PPU (Premium Per User), omdat gegevens die zijn opgeslagen in werkruimten die zijn toegewezen aan PPU, altijd worden opgeslagen in de thuisregio (net als gedeelde capaciteit).

Controlelijst : bij het overwegen van andere specifieke gegevensregio's voor uw tenant zijn belangrijke beslissingen en acties:

  • Vereisten voor gegevenslocatie identificeren: Bepaal wat uw vereisten zijn voor gegevenslocatie. Bepaal welke regio's geschikt zijn en welke gebruikers mogelijk betrokken zijn.
  • Onderzoek het gebruik van de functie Multi-Geo: Voor specifieke situaties waarin gegevens ergens anders vanuit de thuisregio moeten worden opgeslagen, onderzoekt u het inschakelen van Multi-Geo.

Gerelateerde inhoud

Zie de planning van de Power BI-implementatie voor meer overwegingen, acties, besluitvormingscriteria en aanbevelingen om u te helpen bij beslissingen over de implementatie van Power BI.

Tip

Als u wilt weten hoe u een Fabric-tenant beheert, raden we u aan de Beheer ister Microsoft Fabric-module te doorlopen.