Power BI-inhoud distribueren naar externe gastgebruikers met Behulp van Microsoft Entra B2B

Samenvatting: Dit is een technisch technisch document waarin wordt uitgelegd hoe u inhoud distribueert naar gebruikers buiten de organisatie met behulp van de integratie van Microsoft Entra ID (voorheen Bekend als Azure Active Directory) business-to-business (Microsoft Entra B2B).

Schrijvers: Lucasz Pawlowski, Kasper de Jonge

Technische revisoren: Adam Wilson,, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Notitie

U kunt dit technisch document opslaan of afdrukken door Afdrukken te selecteren in uw browser en vervolgens Opslaan als PDF te selecteren.

Inleiding

Power BI biedt organisaties een 360-graden overzicht van hun bedrijf en stelt iedereen in deze organisaties in staat intelligente beslissingen te nemen met behulp van gegevens. Veel van deze organisaties hebben sterke en vertrouwde relaties met externe partners, klanten en contractanten. Deze organisaties moeten veilige toegang bieden tot Power BI-dashboards en -rapporten voor gebruikers in deze externe partners.

Power BI kan worden geïntegreerd met Microsoft Entra business-to-business (Microsoft Entra B2B) om veilige distributie van Power BI-inhoud mogelijk te maken voor gastgebruikers buiten de organisatie, terwijl de toegang tot interne gegevens nog steeds wordt gehandhaafd en beheerd.

In dit witboek worden alle details behandeld die u nodig hebt om inzicht te hebben in de integratie van Power BI met Microsoft Entra B2B. We behandelen de meest voorkomende use-case, setup, licenties en beveiliging op rijniveau.

Scenario's

Contoso is een automobielfabrikant en werkt met veel verschillende leveranciers die het leveren van alle onderdelen, materialen en services die nodig zijn om de productiebewerkingen uit te voeren. Contoso wil de logistiek van de toeleveringsketen stroomlijnen en power BI gebruiken om belangrijke prestatiegegevens van de toeleveringsketen te bewaken. Contoso wil analyses van externe toeleveringsketenpartners op een veilige en beheerbare manier delen.

Contoso kan de volgende ervaringen inschakelen voor externe gebruikers met behulp van Power BI en Microsoft Entra B2B.

Ad hoc per item delen

Contoso werkt met een leverancier die radiatoren bouwt voor de auto's van Contoso. Vaak moeten ze de betrouwbaarheid van de radiatoren optimaliseren met behulp van gegevens uit alle auto's van Contoso. Een analist van Contoso gebruikt Power BI om een radiatorbetrouwbaarheidsrapport te delen met een technicus bij de leverancier. De technicus ontvangt een e-mail met een koppeling om het rapport weer te geven.

Zoals hierboven beschreven, wordt dit ad-hoc delen uitgevoerd door zakelijke gebruikers op basis van de benodigde basis. De koppeling die door Power BI naar de externe gebruiker wordt verzonden, is een Microsoft Entra B2B-uitnodigingskoppeling. Wanneer de externe gebruiker de koppeling opent, wordt deze gevraagd om als gastgebruiker deel te nemen aan de Microsoft Entra-organisatie van Contoso. Nadat de uitnodiging is geaccepteerd, opent de koppeling het specifieke rapport of dashboard. De Microsoft Entra-beheerder delegeert machtigingen om externe gebruikers uit te nodigen voor de organisatie en kiest wat deze gebruikers kunnen doen zodra ze de uitnodiging accepteren, zoals beschreven in de sectie Governance van dit document. De Contoso-analist kan de gastgebruiker alleen uitnodigen omdat de Microsoft Entra-beheerder die actie heeft toegestaan en de Power BI-beheerder gebruikers heeft toegestaan om gasten uit te nodigen om inhoud te bekijken in de tenantinstellingen van Power BI.

1. Het proces begint met een interne Contoso-gebruiker die een dashboard of een rapport deelt met een externe gebruiker. Als de externe gebruiker nog geen gast is in de Microsoft Entra-id van Contoso, worden ze uitgenodigd. Er wordt een e-mailbericht verzonden naar het e-mailadres met een uitnodiging voor de Microsoft Entra-id van Contoso.
2. De ontvanger accepteert de uitnodiging voor de Microsoft Entra-id van Contoso en wordt toegevoegd als gastgebruiker in de Microsoft Entra-id van Contoso.
3. De ontvanger wordt vervolgens omgeleid naar het Power BI-dashboard, -rapport of -app.

Het proces wordt beschouwd als ad-hoc omdat zakelijke gebruikers in Contoso de uitnodigingsactie uitvoeren, indien nodig voor hun zakelijke doeleinden. Elk gedeeld item is één koppeling die de externe gebruiker kan openen om de inhoud weer te geven.

Zodra de externe gebruiker is uitgenodigd voor toegang tot Contoso-resources, kan er een schaduwaccount worden gemaakt in Contoso Microsoft Entra-id en hoeven ze niet opnieuw te worden uitgenodigd. De eerste keer dat ze toegang proberen te krijgen tot een Contoso-resource, zoals een Power BI-dashboard, doorlopen ze een toestemmingsproces, waarmee de uitnodiging wordt ingewisseld. Als ze de toestemming niet voltooien, hebben ze geen toegang tot de inhoud van Contoso. Als ze problemen ondervinden bij het inwisselen van hun uitnodiging via de oorspronkelijke koppeling, kan een Microsoft Entra-beheerder een specifieke uitnodigingskoppeling opnieuw verzenden om deze in te wisselen.

Gepland per item delen

Contoso werkt met een onderaannemer om betrouwbaarheidsanalyses van radiatoren uit te voeren. De onderaannemer heeft een team van 10 personen die toegang nodig hebben tot gegevens in de Power BI-omgeving van Contoso. De Contoso Microsoft Entra-beheerder is betrokken bij het uitnodigen van alle gebruikers en het afhandelen van eventuele toevoegingen/wijzigingen als personeel bij de wijziging van de onderaannemer. De Microsoft Entra-beheerder maakt een beveiligingsgroep voor alle werknemers van de onderaannemer. Met behulp van de beveiligingsgroep kunnen de werknemers van Contoso eenvoudig de toegang tot rapporten beheren en ervoor zorgen dat alle vereiste onderaannemers toegang hebben tot alle vereiste rapporten, dashboards en Power BI-apps. De Microsoft Entra-beheerder kan er ook voor zorgen dat de beheerder van Microsoft Entra helemaal niet betrokken wordt bij het uitnodigingsproces door ervoor te kiezen om uitnodigingsrechten te delegeren aan een vertrouwde werknemer bij Contoso of bij de onderaannemer om tijdig personeelbeheer te garanderen.

Sommige organisaties vereisen meer controle over wanneer externe gebruikers worden toegevoegd, veel gebruikers uitnodigen in een externe organisatie of veel externe organisaties. In deze gevallen kan gepland delen worden gebruikt voor het beheren van de schaal van delen, het afdwingen van organisatiebeleid en zelfs voor het delegeren van rechten aan vertrouwde personen om externe gebruikers uit te nodigen en te beheren. Microsoft Entra B2B biedt ondersteuning voor geplande uitnodigingen die rechtstreeks vanuit Azure Portal moeten worden verzonden door een IT-beheerder of via PowerShell met behulp van de uitnodigingsbeheer-API , waarbij een set gebruikers in één actie kan worden uitgenodigd. Met behulp van de benadering voor geplande uitnodigingen kan de organisatie bepalen wie gebruikers kan uitnodigen en goedkeuringsprocessen kan implementeren. Geavanceerde Microsoft Entra-mogelijkheden, zoals dynamische groepen, kunnen het eenvoudig maken om het lidmaatschap van beveiligingsgroepen automatisch te behouden.

1. Het proces begint met een IT-beheerder die de gastgebruiker handmatig of via de API van Microsoft Entra ID uitnodigt.
2. De gebruiker accepteert de uitnodiging voor de organisatie.
3. Zodra de gebruiker de uitnodiging heeft geaccepteerd, kan een gebruiker in Power BI een rapport of dashboard delen met de externe gebruiker of een beveiligingsgroep waarin deze zich bevindt. Net als bij regelmatig delen in Power BI ontvangt de externe gebruiker een e-mail met de koppeling naar het item.
4. Wanneer de externe gebruiker de koppeling opent, wordt de verificatie in de directory doorgegeven aan de Microsoft Entra-id van Contoso en gebruikt om toegang te krijgen tot de Power BI-inhoud.

Ad hoc of gepland delen van Power BI-apps

Contoso heeft een set rapporten en dashboards die ze moeten delen met een of meer leveranciers. Om ervoor te zorgen dat alle vereiste externe gebruikers toegang hebben tot deze inhoud, wordt deze verpakt als een Power BI-app. De externe gebruikers worden rechtstreeks toegevoegd aan de toegangslijst voor apps of via beveiligingsgroepen. Iemand bij Contoso stuurt vervolgens de app-URL naar alle externe gebruikers, bijvoorbeeld in een e-mailbericht. Wanneer de externe gebruikers de koppeling openen, zien ze alle inhoud in één eenvoudige navigatie-ervaring.

Met behulp van een Power BI-app kan Contoso eenvoudig een BI-portal bouwen voor zijn leveranciers. Eén toegangslijst bepaalt de toegang tot alle vereiste inhoud, waardoor de controle van verspilde tijd wordt verminderd en machtigingen op itemniveau worden ingesteld. Microsoft Entra B2B onderhoudt beveiligingstoegang met behulp van de systeemeigen identiteit van de leverancier, zodat gebruikers geen aanvullende aanmeldingsreferenties nodig hebben. Als u geplande uitnodigingen met beveiligingsgroepen gebruikt, wordt toegangsbeheer voor de app vereenvoudigd naarmate het personeel naar of buiten het project draait. Lidmaatschap van beveiligingsgroepen handmatig of met behulp van dynamische groepen, zodat alle externe gebruikers van een leverancier automatisch worden toegevoegd aan de juiste beveiligingsgroep.

1. Het proces begint door de gebruiker die wordt uitgenodigd voor de Microsoft Entra-organisatie van Contoso via Azure Portal of PowerShell.
2. De gebruiker kan worden toegevoegd aan een gebruikersgroep in Microsoft Entra-id. Een statische of dynamische gebruikersgroep kan worden gebruikt, maar dynamische groepen helpen handmatig werk te verminderen.
3. De externe gebruikers krijgen toegang tot de Power BI-app via de gebruikersgroep. De APP-URL moet rechtstreeks naar de externe gebruiker worden verzonden of op een site worden geplaatst waar ze toegang toe hebben. Power BI doet er alles aan om een e-mailbericht te verzenden met de app-koppeling naar externe gebruikers, maar wanneer u gebruikersgroepen gebruikt waarvan het lidmaatschap kan veranderen, kan Power BI niet verzenden naar alle externe gebruikers die worden beheerd via gebruikersgroepen.
4. Wanneer de externe gebruiker de URL van de Power BI-app opent, wordt deze geverifieerd door de Microsoft Entra-id van Contoso, wordt de app geïnstalleerd voor de gebruiker en kan de gebruiker alle ingesloten rapporten en dashboards in de app zien.

Apps hebben ook een unieke functie waarmee app-auteurs de toepassing automatisch voor de gebruiker kunnen installeren, dus deze is beschikbaar wanneer de gebruiker zich aanmeldt. Deze functie wordt alleen automatisch geïnstalleerd voor externe gebruikers die al deel uitmaken van de organisatie van Contoso op het moment dat de toepassing wordt gepubliceerd of bijgewerkt. Het wordt daarom het beste gebruikt met de benadering voor geplande uitnodigingen en is afhankelijk van de app die wordt gepubliceerd of bijgewerkt nadat de gebruikers zijn toegevoegd aan de Microsoft Entra-id van Contoso. Externe gebruikers kunnen de app altijd installeren met behulp van de app-koppeling.

Opmerkingen maken en abonneren op inhoud in organisaties

Aangezien Contoso blijft werken met zijn onderaannemers of leveranciers, moeten de externe technici nauw samenwerken met de analisten van Contoso. Power BI biedt verschillende samenwerkingsfuncties waarmee gebruikers kunnen communiceren over inhoud die ze kunnen gebruiken. Met dashboardcommentarmentatie (en binnenkort rapportcommentaar) kunnen gebruikers gegevenspunten bespreken die ze zien en communiceren met rapportauteurs om vragen te stellen.

Op dit moment kunnen externe gastgebruikers deelnemen aan opmerkingen door opmerkingen te verlaten en de antwoorden te lezen. In tegenstelling tot interne gebruikers kunnen gastgebruikers echter geen @mentioned meldingen ontvangen dat ze een opmerking hebben ontvangen. Gastgebruikers kunnen de abonnementsfunctie in Power BI gebruiken om zich te abonneren op een rapport of dashboard. Meer informatie in e-mailabonnementen voor rapporten en dashboards in de Power BI-service.

Toegang tot inhoud in mobiele Power BI-apps

Wanneer de gastgebruiker de koppeling naar het rapport of dashboard op zijn mobiele apparaat opent, wordt de inhoud geopend in de systeemeigen mobiele Power BI-apps op hun apparaat als ze zijn geïnstalleerd. De gastgebruiker kan vervolgens navigeren tussen inhoud die met hen is gedeeld in de externe tenant en terug naar hun eigen inhoud vanuit hun thuistenant. Zie Power BI-inhoud weergeven die met u is gedeeld vanuit een externe organisatie via mobiele Power BI-apps voor meer informatie over het openen van inhoud die met u is gedeeld vanuit een externe organisatie.

Organisatierelaties met Power BI en Microsoft Entra B2B

Wanneer alle gebruikers van Power BI intern zijn voor de organisatie, hoeft u Microsoft Entra B2B niet te gebruiken. Als twee of meer organisaties echter willen samenwerken aan gegevens en inzichten, maakt de ondersteuning van Power BI voor Microsoft Entra B2B het eenvoudig en rendabel om dit te doen.

Hieronder ziet u doorgaans organisatiestructuren die geschikt zijn voor samenwerking tussen meerdere organisaties in Microsoft Entra B2B in Power BI. Microsoft Entra B2B werkt in de meeste gevallen goed, maar in sommige gevallen zijn de algemene alternatieve benaderingen die aan het einde van dit document worden behandeld, de moeite waard om rekening mee te houden.

Case 1: Directe samenwerking tussen organisaties

De relatie van Contoso met de radiatorleverancier is een voorbeeld van directe samenwerking tussen organisaties. Omdat er relatief weinig gebruikers zijn bij Contoso en de leverancier die toegang nodig hebben tot informatie over de betrouwbaarheid van radiatoren, is het gebruik van extern delen op basis van Microsoft Entra B2B ideaal. Het is eenvoudig te gebruiken en eenvoudig te beheren. Dit is ook een veelvoorkomend patroon in adviesservices waarbij een consultant mogelijk inhoud moet bouwen voor een organisatie.

Normaal gesproken gebeurt dit delen in eerste instantie met ad-hoc per item delen. Naarmate teams echter groeien of relaties verdiepen, wordt de benadering Gepland per item delen de voorkeursmethode om de overhead van het beheer te verminderen. Daarnaast kan het ad-hoc of gepland delen van Power BI-apps, het commentaar geven en abonneren op inhoud in organisaties, toegang tot inhoud in mobiele apps ook worden afgespeeld. Belangrijk: als gebruikers van beide organisaties Power BI Pro-licenties hebben in hun respectieve organisaties, kunnen ze die Pro-licenties in elkaars Power BI-omgevingen gebruiken. Dit biedt voordelige licenties omdat de uitnodigende organisatie mogelijk niet hoeft te betalen voor een Power BI Pro-licentie voor de externe gebruikers. Dit wordt verderop in dit document uitvoeriger besproken in de sectie Licenties.

Case 2: Bovenliggende en haar dochterondernemingen of gelieerde ondernemingen

Sommige organisatiestructuren zijn complexer, waaronder dochterondernemingen in gedeeltelijk of volledig eigendom, gelieerde bedrijven of relaties van beheerde serviceproviders. Deze organisaties hebben een bovenliggende organisatie, zoals een holding, maar de onderliggende organisaties werken semi-autonoom, soms onder verschillende regionale vereisten. Dit leidt tot elke organisatie met een eigen Microsoft Entra-omgeving en afzonderlijke Power BI-tenants.

In deze structuur moet de bovenliggende organisatie doorgaans gestandaardiseerde inzichten distribueren naar haar dochterondernemingen. Normaal gesproken gebeurt dit delen met behulp van de ad-hoc- of geplande manier van delen van Power BI-apps, zoals geïllustreerd in de volgende afbeelding, omdat het distributie van gestandaardiseerde gezaghebbende inhoud toestaat voor brede doelgroepen. In de praktijk wordt een combinatie van alle scenario's die eerder in dit document worden genoemd, gebruikt.

Dit volgt het volgende proces:

1. Gebruikers van elke dochteronderneming worden uitgenodigd voor de Microsoft Entra-id van Contoso
2. Vervolgens wordt de Power BI-app gepubliceerd om deze gebruikers toegang te geven tot de vereiste gegevens
3. Ten slotte openen de gebruikers de app via een koppeling die ze hebben gekregen om de rapporten te bekijken

In deze structuur worden verschillende belangrijke uitdagingen geconfronteerd door organisaties:

• Koppelingen distribueren naar inhoud in de Power BI van de bovenliggende organisatie
• Dochteronderneminggebruikers toegang geven tot de gegevensbron die wordt gehost door de bovenliggende organisatie

Koppelingen naar inhoud distribueren in de Power BI van de bovenliggende organisatie

Er worden vaak drie benaderingen gebruikt om koppelingen naar de inhoud te distribueren. De eerste en meest eenvoudige is het verzenden van de koppeling naar de app naar de vereiste gebruikers of om deze in een SharePoint Online-site te plaatsen waaruit deze kan worden geopend. Gebruikers kunnen vervolgens een bladwijzer toevoegen aan de koppeling in hun browser voor snellere toegang tot de gegevens die ze nodig hebben.

De tweede benadering is waar de bovenliggende organisatie gebruikers van de dochterondernemingen toegang geeft tot de Power BI en bepaalt waartoe ze toegang hebben via machtigingen. Dit geeft toegang tot Power BI-startpagina waar de gebruiker van de dochteronderneming een uitgebreide lijst met inhoud ziet die met hen is gedeeld in de tenant van de bovenliggende organisatie. Vervolgens wordt de URL naar de Power BI-omgeving van de bovenliggende organisatie aan de gebruikers van de dochterondernemingen gegeven.

De laatste benadering maakt gebruik van een Power BI-app die is gemaakt in de Power BI-tenant voor elke dochteronderneming. De Power BI-app bevat een dashboard met tegels die zijn geconfigureerd met de optie externe koppeling. Wanneer de gebruiker op de tegel drukt, wordt deze naar het juiste rapport, dashboard of app in de Power BI van de bovenliggende organisatie gebracht. Deze aanpak heeft het extra voordeel dat de app automatisch kan worden geïnstalleerd voor alle gebruikers in de dochteronderneming en beschikbaar is wanneer ze zich aanmelden bij hun eigen Power BI-omgeving. Een extra voordeel van deze aanpak is dat het goed werkt met mobiele Power BI-apps waarmee de koppeling systeemeigen kan worden geopend. U kunt dit ook combineren met de tweede benadering om eenvoudiger te schakelen tussen Power BI-omgevingen.

Dochteronderneminggebruikers toegang geven tot gegevensbronnen die worden gehost door de bovenliggende organisatie

Vaak moeten analisten bij een dochteronderneming hun eigen analyses maken met behulp van gegevens die door de bovenliggende organisatie worden geleverd. In dit geval worden vaak cloudgegevensbronnen gebruikt om de uitdaging aan te pakken.

De eerste benadering maakt gebruik van Azure Analysis Services om een datawarehouse op bedrijfsniveau te bouwen dat voldoet aan de behoeften van analisten in het bovenliggende bedrijf en haar dochterondernemingen, zoals in de volgende afbeelding wordt weergegeven. Contoso kan de gegevens hosten en mogelijkheden zoals beveiliging op rijniveau gebruiken om ervoor te zorgen dat gebruikers in elke dochteronderneming alleen toegang hebben tot hun gegevens. Analisten van elke organisatie hebben toegang tot het datawarehouse via Power BI Desktop en publiceren resulterende analyses naar hun respectieve Power BI-tenants.

De tweede benadering maakt gebruik van Azure SQL Database om een relationeel datawarehouse te bouwen voor toegang tot gegevens. Dit werkt op dezelfde manier als de Benadering van Azure Analysis Services, hoewel sommige mogelijkheden, zoals beveiliging op rijniveau, lastiger kunnen worden geïmplementeerd en onderhouden tussen dochterondernemingen.

Meer geavanceerde benaderingen zijn ook mogelijk, maar de bovenstaande zijn verreweg het meest voorkomende.

Case 3: Gedeelde omgeving tussen partners

Contoso kan een partnerschap aangaan met een concurrent om gezamenlijk een auto te bouwen op een gedeelde assemblagelijn, maar om het voertuig onder verschillende merken of in verschillende regio's te distribueren. Hiervoor is uitgebreide samenwerking en co-eigendom van gegevens, intelligentie en analyses in organisaties vereist. Deze structuur is ook gebruikelijk in de adviesdienstenindustrie, waar een team van consultants projectgebaseerde analyses voor een klant kan uitvoeren.

In de praktijk zijn deze structuren complex, zoals wordt weergegeven in de volgende afbeelding en moeten medewerkers worden onderhouden. Om effectief te zijn, mogen organisaties Power BI Pro-licenties die zijn aangeschaft voor hun respectieve Power BI-tenants opnieuw gebruiken.

Als u een gedeelde Power BI-tenant wilt maken, moet er een Microsoft Entra-id worden gemaakt en moet ten minste één Power BI Pro-gebruikersaccount worden aangeschaft voor een gebruiker in die tenant. Deze gebruiker nodigt de vereiste gebruikers uit voor de gedeelde organisatie. Belangrijk is dat in dit scenario de gebruikers van Contoso worden behandeld als externe gebruikers wanneer ze werken binnen de Power BI van de gedeelde organisatie.

Het proces verloopt als volgt:

1. De gedeelde organisatie wordt ingesteld als een nieuwe Microsoft Entra-id en ten minste één gebruikersaccount wordt gemaakt in de nieuwe tenant. Aan die gebruiker moet een Power BI Pro-licentie zijn toegewezen.
2. Deze gebruiker stelt vervolgens een Power BI-tenant in en nodigt de vereiste gebruikers uit van Contoso en de partnerorganisatie. De gebruiker brengt ook gedeelde gegevensassets tot stand, zoals Azure Analysis Services. Contoso en de gebruikers van de partner hebben toegang tot de Power BI van de gedeelde organisatie als gastgebruikers. Normaal gesproken worden alle gedeelde assets opgeslagen en geopend vanuit de gedeelde organisatie.
3. Afhankelijk van hoe de partijen ermee instemmen om samen te werken, is het voor elke organisatie mogelijk om hun eigen eigen gegevens en analyses te ontwikkelen met behulp van gedeelde datawarehouse-assets. Ze kunnen deze distribueren naar hun respectieve interne gebruikers met behulp van hun interne Power BI-tenants.

Case 4: Distributie naar honderden of duizenden externe partners

Terwijl Contoso een radiatorbetrouwbaarheidsrapport voor één leverancier heeft gemaakt, wil Contoso nu een set gestandaardiseerde rapporten maken voor honderden leveranciers. Hierdoor kan Contoso ervoor zorgen dat alle leveranciers de analyse hebben die ze nodig hebben om verbeteringen aan te brengen of productiefouten op te lossen.

Wanneer een organisatie gestandaardiseerde gegevens en inzichten moet distribueren naar veel externe gebruikers/organisaties, kunnen ze het ad-hoc- of geplande delen van power BI-apps gebruiken om snel en zonder uitgebreide ontwikkelingskosten een BI-portal te bouwen. Het proces voor het bouwen van een dergelijke portal met behulp van een Power BI-app wordt behandeld in de casestudy: een BI-portal bouwen met behulp van Power BI + Microsoft Entra B2B – stapsgewijze instructies verderop in dit document.

Een veelvoorkomende variant van dit geval is wanneer een organisatie inzichten probeert te delen met consumenten, met name wanneer u Azure Active Directory B2C wilt gebruiken met Power BI. Power BI biedt geen systeemeigen ondersteuning voor Azure Active Directory B2C. Als u opties voor dit geval evalueert, kunt u alternatieve optie 2 gebruiken in de algemene alternatieve benadering van de sectie verderop in dit document.

Casestudy: Een BI-portal bouwen met Behulp van Power BI + Microsoft Entra B2B – Stapsgewijze instructies

De integratie van Power BI met Microsoft Entra B2B biedt Contoso een naadloze, probleemloze manier om gastgebruikers veilige toegang te bieden tot de BI-portal. Contoso kan dit instellen met drie stappen:

1. BI-portal maken in Power BI

   De eerste taak voor Contoso is het maken van hun BI-portal in Power BI. De BI-portal van Contoso bestaat uit een verzameling speciaal gebouwde dashboards en rapporten die beschikbaar worden gesteld aan veel interne en gastgebruikers. De aanbevolen manier om dit in Power BI te doen, is door een Power BI-app te bouwen. Meer informatie over apps in Power BI.

• Het BI-team van Contoso maakt een werkruimte in Power BI

  

• Andere auteurs worden toegevoegd aan de werkruimte

  

• Inhoud wordt gemaakt in de werkruimte

  

  Nu de inhoud is gemaakt in een werkruimte, is Contoso klaar om gastgebruikers in partnerorganisaties uit te nodigen om deze inhoud te gebruiken.

2. Gastgebruikers uitnodigen

   Contoso kan op twee manieren gastgebruikers uitnodigen voor de BI-portal in Power BI:

   • Geplande uitnodigingen
   • Ad-hoc-uitnodigingen

   Geplande uitnodigingen

   In deze benadering nodigt Contoso de gastgebruikers uit naar de Microsoft Entra van tevoren en distribueert vervolgens Power BI-inhoud naar hen. Contoso kan gastgebruikers uitnodigen vanuit De Azure-portal of met behulp van PowerShell. Hier volgen de stappen voor het uitnodigen van gastgebruikers vanuit Azure Portal:

   • De Microsoft Entra-beheerder van Contoso navigeert naar Azure Portal>Microsoft Entra ID>Users>All users>New guest user

   

   • Een uitnodigingsbericht toevoegen voor de gastgebruikers en uitnodigen selecteren

   

   Notitie

   Als u gastgebruikers wilt uitnodigen vanuit Azure Portal, hebt u een Microsoft Entra-beheerder nodig voor uw tenant.

   Als Contoso veel gastgebruikers wil uitnodigen, kunnen ze dit doen met behulp van PowerShell. De Microsoft Entra-beheerder van Contoso slaat de e-mailadressen van alle gastgebruikers op in een CSV-bestand. Hier volgen microsoft Entra B2B-samenwerkingscode en PowerShell-voorbeelden en -instructies.

   Na de uitnodiging ontvangen gastgebruikers een e-mail met de uitnodigingskoppeling.

   

   Zodra de gastgebruikers de koppeling hebben geselecteerd, hebben ze toegang tot inhoud in de Microsoft Entra-tenant van Contoso.

   Notitie

   Het is mogelijk om de indeling van de uitnodigings-e-mail te wijzigen met behulp van de microsoft Entra ID-huisstijlfunctie, zoals hier wordt beschreven.

   Ad-hoc-uitnodigingen

   Wat gebeurt er als Contoso niet alle gastgebruikers kent die hij van tevoren wil uitnodigen? Of als de analist in Contoso die de BI-portal heeft gemaakt, inhoud wil distribueren naar gastgebruikers zelf? We ondersteunen dit scenario ook in Power BI met ad-hoc-uitnodigingen.

   De analist kan alleen de externe gebruikers toevoegen aan de toegangslijst van de app wanneer ze deze publiceren. De gastgebruikers krijgen een uitnodiging en zodra ze deze accepteren, worden ze automatisch omgeleid naar de Power BI-inhoud.

   

   Notitie

   Uitnodigingen zijn alleen nodig wanneer een externe gebruiker voor het eerst wordt uitgenodigd voor uw organisatie.

3. Inhoud distribueren

   Nu het BI-team van Contoso de BI-portal en uitgenodigde gastgebruikers heeft gemaakt, kunnen ze hun portal distribueren naar hun eindgebruikers door gastgebruikers toegang te geven tot de app en deze te publiceren. In Power BI worden namen van gastgebruikers die eerder zijn toegevoegd aan de Contoso-tenant, automatisch aangevuld. Adhoc-uitnodigingen voor andere gastgebruikers kunnen op dit moment ook worden toegevoegd.

   Notitie

   Als u beveiligingsgroepen gebruikt om de toegang tot de app voor externe gebruikers te beheren, gebruikt u de benadering Geplande uitnodigingen en deelt u de app-koppeling rechtstreeks met elke externe gebruiker die toegang moet hebben tot de app. Anders kan de externe gebruiker mogelijk geen inhoud installeren of weergeven vanuit de app._

   Gastgebruikers ontvangen een e-mail met een koppeling naar de app.

   

   Wanneer u op deze koppeling klikt, worden gastgebruikers gevraagd om zich te verifiëren met de identiteit van hun eigen organisatie.

   

   Zodra ze zijn geverifieerd, worden ze omgeleid naar de BI-app van Contoso.

   

   Gastgebruikers kunnen later naar de app van Contoso gaan door te klikken op de koppeling in het e-mailbericht of door een bladwijzer voor de koppeling te maken. Contoso kan het ook eenvoudiger maken voor gastgebruikers door deze koppeling toe te voegen aan een bestaande extranetportal die de gastgebruikers al gebruiken.

4. Volgende stappen

   Met behulp van een Power BI-app en Microsoft Entra B2B kon Contoso snel een BI-portal maken voor zijn leveranciers zonder code. Dit vereenvoudigt het distribueren van gestandaardiseerde analyses naar alle leveranciers die deze nodig hebben.

   Hoewel in het voorbeeld werd getoond hoe één gemeenschappelijk rapport kan worden gedistribueerd tussen leveranciers, kan Power BI veel verder gaan. Om ervoor te zorgen dat elke partner alleen gegevens ziet die relevant zijn voor zichzelf, kan beveiliging op rijniveau eenvoudig worden toegevoegd aan het rapport en gegevensmodel. In de sectie Gegevensbeveiliging voor externe partners verderop in dit document wordt dit proces uitgebreid beschreven.

   Vaak moeten afzonderlijke rapporten en dashboards worden ingesloten in een bestaande portal. Dit kan ook worden bereikt door veel van de technieken in het voorbeeld opnieuw te gebruiken. In deze situaties is het echter eenvoudiger om rapporten of dashboards rechtstreeks vanuit een werkruimte in te sluiten. Het proces voor het uitnodigen en toewijzen van beveiligingsmachtigingen aan de vereiste gebruikers blijft hetzelfde.

Hoe heeft Lucy van Leverancier1 toegang tot Power BI-inhoud vanuit de tenant van Contoso?

Nu we hebben gezien hoe Contoso Power BI-inhoud naadloos kan distribueren naar gastgebruikers in partnerorganisaties, laten we eens kijken hoe dit werkt onder de schermen.

Wanneer Contoso wordt uitgenodigd lucy@supplier1.com voor de directory, maakt Microsoft Entra ID een koppeling tussen Lucy@supplier1.com en de Contoso Microsoft Entra-tenant. Met deze koppeling weet Microsoft Entra ID dat Lucy@supplier1.com toegang heeft tot inhoud in de Contoso-tenant.

Wanneer Lucy toegang probeert te krijgen tot de Power BI-app van Contoso, controleert Microsoft Entra ID of Lucy toegang heeft tot de Contoso-tenant en geeft vervolgens Power BI een token waarmee wordt aangegeven dat Lucy is geverifieerd voor toegang tot inhoud in de Contoso-tenant. Power BI gebruikt dit token om te autoriseren en ervoor te zorgen dat Lucy toegang heeft tot de Power BI-app van Contoso.

De integratie van Power BI met Microsoft Entra B2B werkt met alle zakelijke e-mailadressen. Als de gebruiker geen Microsoft Entra-identiteit heeft, wordt de gebruiker mogelijk gevraagd er een te maken. In de volgende afbeelding ziet u de gedetailleerde stroom:

Het is belangrijk te erkennen dat het Microsoft Entra-account wordt gebruikt of gemaakt in de Microsoft Entra-id van de externe partij. Hierdoor kan Lucy hun eigen gebruikersnaam en wachtwoord gebruiken en hun referenties automatisch niet meer werken in andere tenants wanneer Lucy het bedrijf verlaat wanneer hun organisatie ook Gebruikmaakt van Microsoft Entra-id.

Licenties

Contoso kan een van de drie methoden kiezen om gastgebruikers van haar leveranciers en partnerorganisaties toegang te geven tot Power BI-inhoud.

Notitie

De gratis laag van Microsoft Entra B2B is voldoende om Power BI te gebruiken met Microsoft Entra B2B. Voor sommige geavanceerde Microsoft Entra B2B-functies, zoals dynamische groepen, zijn extra licenties vereist. Zie de Microsoft Entra B2B-documentatie voor meer informatie.

Benadering 1: Contoso maakt gebruik van Power BI Premium

Met deze aanpak koopt Contoso Power BI Premium-capaciteit en wijst de BI-portalinhoud toe aan deze capaciteit. Hierdoor hebben gastgebruikers van partnerorganisaties toegang tot de Power BI-app van Contoso zonder power BI-licentie.

Externe gebruikers zijn ook onderworpen aan het verbruik dat alleen wordt aangeboden aan 'gratis' gebruikers in Power BI wanneer ze inhoud in Power BI Premium gebruiken.

Contoso kan ook profiteren van andere Power BI Premium-mogelijkheden voor de apps, zoals verhoogde vernieuwingsfrequenties, capaciteit en grote modelgrootten.

Benadering 2: Contoso wijst Power BI Pro-licenties toe aan gastgebruikers

Met deze methode wijst Contoso pro-licenties toe aan gastgebruikers van partnerorganisaties. Dit kan worden gedaan vanuit de Microsoft 365-beheercentrum van Contoso. Hierdoor hebben gastgebruikers van partnerorganisaties toegang tot de Power BI-app van Contoso zonder dat ze zelf een licentie hoeven aan te schaffen. Dit kan geschikt zijn voor delen met externe gebruikers van wie de organisatie Power BI nog niet heeft aangenomen.

Notitie

De pro-licentie van Contoso is alleen van toepassing op gastgebruikers wanneer ze toegang hebben tot inhoud in de Contoso-tenant. Pro-licenties maken toegang tot inhoud mogelijk die zich niet in een Power BI Premium-capaciteit bevindt.

Benadering 3: Gastgebruikers gebruiken hun eigen Power BI Pro-licentie

Met deze methode wijst Leverancier 1 een Power BI Pro-licentie toe aan Lucy. Ze hebben vervolgens toegang tot de Power BI-app van Contoso met deze licentie. Omdat Lucy hun Pro-licentie van hun eigen organisatie kan gebruiken bij het openen van een externe Power BI-omgeving, wordt deze methode soms aangeduid als Bring Your Own License (BYOL). Als beide organisaties Power BI gebruiken, biedt dit voordelige licenties voor de algehele analyseoplossing en minimaliseert u de overhead van het toewijzen van licenties aan externe gebruikers.

Notitie

De pro-licentie die aan Lucy door Leverancier 1 wordt gegeven, is van toepassing op elke Power BI-tenant waar Lucy een gastgebruiker is. Pro-licenties maken toegang tot inhoud mogelijk die zich niet in een Power BI Premium-capaciteit bevindt.

Gegevensbeveiliging voor externe partners

Bij het werken met meerdere externe leveranciers moet Contoso ervoor zorgen dat elke leverancier alleen gegevens over zijn eigen producten ziet. Op gebruikers gebaseerde beveiliging en dynamische beveiliging op rijniveau maken dit eenvoudig te bereiken met Power BI.

Beveiliging op basis van gebruikers

Een van de krachtigste functies van Power BI is Beveiliging op rijniveau. Met deze functie kan Contoso één rapport en een semantisch model (voorheen een gegevensset genoemd) maken, maar nog steeds verschillende beveiligingsregels toepassen voor elke gebruiker. Zie Beveiliging op rijniveau (RLS) voor een uitgebreide uitleg.

Dankzij de integratie van Power BI met Microsoft Entra B2B kan Contoso beveiligingsregels op rijniveau toewijzen aan gastgebruikers zodra ze worden uitgenodigd voor de Contoso-tenant. Zoals we eerder hebben gezien, kan Contoso gastgebruikers toevoegen via geplande of ad-hoc-uitnodigingen. Als Contoso beveiliging op rijniveau wil afdwingen, wordt het sterk aanbevolen om geplande uitnodigingen te gebruiken om de gastgebruikers vooraf toe te voegen en deze toe te wijzen aan de beveiligingsrollen voordat de inhoud wordt gedeeld. Als Contoso in plaats daarvan ad-hoc-uitnodigingen gebruikt, kan het even duren voordat de gastgebruikers geen gegevens kunnen zien.

Notitie

Deze vertraging bij het openen van gegevens die worden beveiligd door beveiliging op rijniveau wanneer ad-hocuitnodigingen worden gebruikt, kan leiden tot ondersteuningsaanvragen voor uw IT-team, omdat gebruikers lege of niet-werkende rapporten/dashboards zien wanneer ze een koppeling voor delen openen in het e-mailbericht dat ze ontvangen. Daarom wordt het sterk aanbevolen om geplande uitnodigingen in dit scenario te gebruiken.

Laten we dit eens bekijken met een voorbeeld.

Zoals eerder vermeld, heeft Contoso leveranciers over de hele wereld en willen ze ervoor zorgen dat de gebruikers van hun leveranciersorganisaties inzichten krijgen uit gegevens van alleen hun grondgebied. Gebruikers van Contoso hebben echter toegang tot alle gegevens. In plaats van verschillende rapporten te maken, maakt Contoso één rapport en filtert de gegevens op basis van de gebruiker die deze bekijkt.

Om ervoor te zorgen dat Contoso gegevens kan filteren op basis van wie er verbinding maakt, worden er twee rollen gemaakt in Power BI Desktop. Een om alle gegevens uit de SalesTerritory 'Europe' en een andere te filteren op 'Noord-Amerika'.

Wanneer rollen in het rapport worden gedefinieerd, moet een gebruiker worden toegewezen aan een specifieke rol om toegang te krijgen tot gegevens. De toewijzing van rollen vindt plaats in de Power BI-service (Semantische modellen > Beveiliging).

Hiermee opent u een pagina waarin het BI-team van Contoso de twee rollen kan zien die ze hebben gemaakt. Het BI-team van Contoso kan nu gebruikers toewijzen aan de rollen.

In het voorbeeld voegt Contoso een gebruiker toe aan een partnerorganisatie met e-mailadres admin@fabrikam.com aan de rol Europa:

Wanneer dit wordt opgelost door Microsoft Entra-id, kan Contoso de naam zien die wordt weergegeven in het venster dat klaar is om te worden toegevoegd:

Wanneer deze gebruiker nu de app opent die met hen is gedeeld, zien ze alleen een rapport met gegevens uit Europa:

Dynamische beveiliging op rijniveau

Een ander interessant onderwerp is om te zien hoe dynamische beveiliging op rijniveau (RLS) werkt met Microsoft Entra B2B.

Kortom, dynamische beveiliging op rijniveau werkt door gegevens in het model te filteren op basis van de gebruikersnaam van de persoon die verbinding maakt met Power BI. In plaats van meerdere rollen toe te voegen voor groepen gebruikers, definieert u de gebruikers in het model. Het patroon wordt hier niet gedetailleerd beschreven. Kasper de Jong biedt een gedetailleerde schrijfbewerking over alle smaken beveiliging op rijniveau in Power BI Desktop Dynamic Security Cheat sheet, en in dit technisch document .

Laten we eens kijken naar een klein voorbeeld: Contoso heeft een eenvoudig rapport over verkoop per groep:

Dit rapport moet nu worden gedeeld met twee gastgebruikers en een interne gebruiker. De interne gebruiker kan alles zien, maar de gastgebruikers kunnen alleen de groepen zien waar ze toegang toe hebben. Dit betekent dat we de gegevens alleen moeten filteren voor de gastgebruikers. Contoso gebruikt het dynamische RLS-patroon zoals beschreven in het technisch document en blogbericht om de gegevens op de juiste manier te filteren. Dit betekent dat Contoso de gebruikersnamen toevoegt aan de gegevens zelf:

Vervolgens maakt Contoso het juiste gegevensmodel waarmee de gegevens op de juiste wijze worden gefilterd met de juiste relaties:

Om de gegevens automatisch te filteren op basis van wie is aangemeld, moet Contoso een rol maken die de gebruiker doorgeeft die verbinding maakt. In dit geval maakt Contoso twee rollen: de eerste is de securityrole die de tabel Gebruikers filtert met de huidige gebruikersnaam van de gebruiker die is aangemeld bij Power BI (dit werkt zelfs voor gastgebruikers van Microsoft Entra B2B).

Contoso maakt ook een andere 'AllRole' voor de interne gebruikers die alles kunnen zien. Deze rol heeft geen beveiligingspredicaat.

Na het uploaden van het Power BI Desktop-bestand naar de service, kan Contoso gastgebruikers toewijzen aan securityRole en interne gebruikers aan de 'AllRole'

Wanneer de gastgebruikers het rapport nu openen, zien ze alleen de verkoop van groep A:

In de matrix rechts ziet u het resultaat van de functie USERNAME() en USERPRINCIPALNAME() beide het e-mailadres van gastgebruikers.

Nu krijgt de interne gebruiker alle gegevens te zien:

Zoals u ziet, werkt Dynamische beveiliging op rijniveau met zowel interne als gastgebruikers.

Notitie

Dit scenario werkt ook wanneer u een model gebruikt in Azure Analysis Services. Meestal is uw Azure Analysis Service verbonden met dezelfde Microsoft Entra-id als uw Power BI. In dat geval kent Azure Analysis Services ook de gastgebruikers die zijn uitgenodigd via Microsoft Entra B2B.

Verbinding maken naar on-premises gegevensbronnen

Power BI biedt de mogelijkheid voor Contoso om on-premises gegevensbronnen, zoals SQL Server Analysis Services of SQL Server , rechtstreeks te gebruiken via de on-premises gegevensgateway. Het is zelfs mogelijk om u aan te melden bij deze gegevensbronnen met dezelfde referenties als die worden gebruikt met Power BI.

Notitie

Wanneer u een gateway installeert om verbinding te maken met uw Power BI-tenant, moet u een gebruiker gebruiken die in uw tenant is gemaakt. Externe gebruikers kunnen geen gateway installeren en deze verbinden met uw tenant._

Voor externe gebruikers is dit mogelijk ingewikkelder omdat de externe gebruikers meestal niet bekend zijn bij de on-premises AD. Power BI biedt hiervoor een tijdelijke oplossing doordat Contoso-beheerders de externe gebruikersnamen kunnen toewijzen aan interne gebruikersnamen, zoals beschreven in Uw gegevensbron beheren - Analysis Services. Kan bijvoorbeeld lucy@supplier1.com worden toegewezen aan lucy_supplier1_com#EXT@contoso.com.

Deze methode is prima als Contoso slechts een handvol gebruikers heeft of als Contoso alle externe gebruikers kan toewijzen aan één intern account. Voor complexere scenario's waarbij elke gebruiker zijn eigen referenties nodig heeft, is er een geavanceerdere benadering die gebruikmaakt van aangepaste AD-kenmerken om de toewijzing uit te voeren, zoals beschreven in Uw gegevensbron beheren - Analysis Services. Hierdoor kan de Contoso-beheerder een toewijzing definiëren voor elke gebruiker in uw Microsoft Entra-id (ook externe B2B-gebruikers). Deze kenmerken kunnen worden ingesteld via het AD-objectmodel met behulp van scripts of code, zodat Contoso de toewijzing volledig kan automatiseren bij uitnodiging of op een geplande frequentie.

Beheer

Aanvullende Instellingen voor Microsoft Entra-id's die van invloed zijn op ervaringen in Power BI met betrekking tot Microsoft Entra B2B

Wanneer u Microsoft Entra B2B deelt, beheert de Microsoft Entra-beheerder aspecten van de ervaring van de externe gebruiker. Deze worden beheerd op de pagina Instellingen voor externe samenwerking binnen de Instellingen voor Microsoft Entra-id's voor uw tenant.

Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Notitie

De machtigingen voor gastgebruikers zijn standaard beperkt op Ja, dus gastgebruikers in Power BI hebben beperkte ervaringen, met name om het delen van gebruikers heen, waarbij personenkiezer-UIs niet werken voor die gebruikers. Het is belangrijk om samen met uw Microsoft Entra-beheerder deze in te stellen op Nee, zoals hieronder wordt weergegeven om een goede ervaring te garanderen.

Uitnodigingen voor gasten beheren

Power BI-beheerders kunnen extern delen alleen voor Power BI beheren door naar de Power BI-beheerportal te gaan. Beheerders kunnen echter ook extern delen beheren met verschillende Microsoft Entra-beleidsregels. Met deze beleidsregels kunnen beheerders het volgende doen:

• Uitnodigingen uitschakelen door eindgebruikers
• Alleen beheerders en gebruikers met de rol Gastnodiger kunnen uitnodigen
• Beheer s, de rol Gastnodiger en leden kunnen uitnodigen
• Alle gebruikers, inclusief gasten, kunnen uitnodigen

Meer informatie over dit beleid vindt u in Uitnodigingen voor gemachtigden voor Microsoft Entra B2B-samenwerking.

Alle Power BI-acties van externe gebruikers worden ook gecontroleerd in onze controleportal.

Beleid voor voorwaardelijke toegang voor gastgebruikers

Contoso kan beleid voor voorwaardelijke toegang afdwingen voor gastgebruikers die toegang hebben tot inhoud vanuit de Contoso-tenant. Gedetailleerde instructies vindt u in Voorwaardelijke toegang voor gebruikers van B2B-samenwerking.

Algemene alternatieve benaderingen

Hoewel Microsoft Entra B2B het eenvoudig maakt om gegevens en rapporten te delen tussen organisaties, zijn er verschillende andere benaderingen die vaak worden gebruikt en in bepaalde gevallen beter kunnen zijn.

Alternatieve optie 1: dubbele identiteiten maken voor partnergebruikers

Met deze optie moest Contoso handmatig dubbele identiteiten maken voor elke partnergebruiker in de Contoso-tenant, zoals wordt weergegeven in de volgende afbeelding. Vervolgens kan Contoso binnen Power BI de toegewezen identiteiten delen met de juiste rapporten, dashboards of apps.

Redenen om dit alternatief te kiezen:

• Aangezien de identiteit van de gebruiker wordt beheerd door uw organisatie, vallen alle gerelateerde services, zoals e-mail, SharePoint, enzovoort, ook onder het beheer van uw organisatie. Uw IT-Beheer-beheerders kunnen wachtwoorden opnieuw instellen, de toegang tot accounts uitschakelen of activiteiten in deze services controleren.
• Gebruikers die persoonlijke accounts voor hun bedrijf gebruiken, hebben vaak geen toegang tot bepaalde services, dus hebben mogelijk een organisatieaccount nodig.
• Sommige services werken alleen voor de gebruikers van uw organisatie. Het is bijvoorbeeld niet mogelijk om met Intune inhoud te beheren op de persoonlijke/mobiele apparaten van externe gebruikers die Microsoft Entra B2B gebruiken.

Redenen om dit alternatief niet te kiezen:

• Gebruikers van partnerorganisaties moeten twee sets referenties onthouden: één voor toegang tot inhoud van hun eigen organisatie en de andere voor toegang tot inhoud van Contoso. Dit is een gedoe voor deze gastgebruikers en veel gastgebruikers worden verward door deze ervaring.
• Contoso moet licenties per gebruiker aanschaffen en toewijzen aan deze gebruikers. Als een gebruiker e-mail moet ontvangen of Office-toepassingen moet gebruiken, hebben ze de juiste licenties nodig, waaronder Power BI Pro om inhoud in Power BI te bewerken en te delen.
• Contoso wil mogelijk strenger autorisatie- en governancebeleid afdwingen voor externe gebruikers in vergelijking met interne gebruikers. Hiervoor moet Contoso een interne nomenclatuur maken voor externe gebruikers en alle Contoso-gebruikers moeten worden geïnformeerd over deze nomenclatuur.
• Wanneer de gebruiker de organisatie verlaat, heeft deze nog steeds toegang tot de resources van Contoso totdat de Contoso-beheerder zijn account handmatig verwijdert
• Contoso-beheerders moeten de identiteit voor de gast beheren, waaronder het maken, opnieuw instellen van wachtwoorden, enzovoort.

Alternatieve optie 2: een aangepaste Power BI Embedded-toepassing maken met behulp van aangepaste verificatie

Een andere optie voor Contoso is het bouwen van een eigen aangepaste, ingesloten Power BI-toepassing met aangepaste verificatie ('App is eigenaar van gegevens'). Hoewel veel organisaties niet de tijd of resources hebben om een aangepaste toepassing te maken om Power BI-inhoud te distribueren naar hun externe partners, is dit voor sommige organisaties de beste aanpak en verdient het een serieuze overweging.

Organisaties hebben vaak bestaande partnerportals die de toegang tot alle organisatieresources voor partners centraliseren, isolatie bieden van interne organisatieresources en gestroomlijnde ervaringen bieden voor partners om veel partners en hun individuele gebruikers te ondersteunen.

In het bovenstaande voorbeeld melden gebruikers van elke leverancier zich aan bij de Partnerportal van Contoso die microsoft Entra-id als id-provider gebruikt. Microsoft Entra B2B, Azure Active Directory B2C, systeemeigen identiteiten of federatie met een willekeurig aantal andere id-providers kan worden gebruikt. De gebruiker zou zich aanmelden en toegang krijgen tot een partnerportal-build met behulp van Azure Web App of een vergelijkbare infrastructuur.

In de web-app worden Power BI-rapporten ingesloten vanuit een Power BI Embedded-implementatie. De web-app stroomlijnt de toegang tot de rapporten en eventuele gerelateerde services in een samenhangende ervaring die erop is gericht om leveranciers gemakkelijk te laten communiceren met Contoso. Deze portalomgeving wordt geïsoleerd van de interne Microsoft Entra-id van Contoso en de interne Power BI-omgeving van Contoso om ervoor te zorgen dat leveranciers geen toegang hebben tot deze resources. Normaal gesproken worden gegevens opgeslagen in een afzonderlijk partnerdatawarehouse om ook isolatie van gegevens te garanderen. Deze isolatie heeft voordelen omdat hiermee het aantal externe gebruikers met directe toegang tot de gegevens van uw organisatie wordt beperkt, waardoor wordt beperkt welke gegevens mogelijk beschikbaar zijn voor de externe gebruiker en het per ongeluk delen met externe gebruikers wordt beperkt.

Met Behulp van Power BI Embedded kan de portal gebruik maken van voordelige licenties, met behulp van een app-token of de hoofdgebruiker plus premium-capaciteit die is aangeschaft in het Azure-model. Dit vereenvoudigt het toewijzen van licenties aan eindgebruikers en kan omhoog/omlaag worden geschaald op basis van het verwachte gebruik. De portal kan een algehele hogere kwaliteit en consistente ervaring bieden, omdat partners toegang hebben tot één portal die is ontworpen met alle behoeften van een partner. Aangezien power BI Embedded-oplossingen doorgaans zijn ontworpen om meerdere tenants te zijn, is het eenvoudiger om isolatie tussen partnerorganisaties te garanderen.

Redenen om dit alternatief te kiezen:

• Eenvoudiger te beheren naarmate het aantal partnerorganisaties groeit. Omdat partners worden toegevoegd aan een afzonderlijke map die is geïsoleerd van de interne Microsoft Entra-directory van Contoso, vereenvoudigt het de governancetaken van IT en helpt het onbedoeld delen van interne gegevens voor externe gebruikers te voorkomen.
• Typische partnerportals zijn zeer merkervaringen met consistente ervaringen tussen partners en gestroomlijnd om te voldoen aan de behoeften van typische partners. Contoso kan daarom een betere algehele ervaring bieden aan partners door alle vereiste services in één portal te integreren.
• Licentiekosten voor geavanceerde scenario's, zoals Het bewerken van inhoud in Power BI Embedded, worden gedekt door de aangeschafte Power BI Premium-versie van Azure. Hiervoor zijn geen Power BI Pro-licenties aan deze gebruikers toegewezen.
• Biedt een betere isolatie tussen partners als deze is ontworpen als een oplossing voor meerdere tenants.
• De Partnerportal bevat vaak andere hulpprogramma's voor partners dan Power BI-rapporten, -dashboards en -apps.

Redenen om dit alternatief niet te kiezen:

• Er is aanzienlijke inspanning vereist om een dergelijke portal te bouwen, te gebruiken en te onderhouden, waardoor het een aanzienlijke investering in resources en tijd is.
• De tijd tot oplossing is veel langer dan het gebruik van B2B-delen, omdat zorgvuldige planning en uitvoering in meerdere werkstromen vereist is.
• Wanneer er een kleiner aantal partners is, is de inspanning die nodig is voor dit alternatief waarschijnlijk te hoog om te rechtvaardigen.
• Samenwerking met ad-hoc delen is het primaire scenario van uw organisatie.
• De rapporten en dashboards verschillen voor elke partner. Dit alternatief introduceert beheeroverhead, behalve het rechtstreeks delen met partners.

Veelgestelde vragen

Kan Contoso een uitnodiging verzenden die automatisch wordt ingewisseld, zodat de gebruiker gewoon klaar is om te gaan? Of moet de gebruiker altijd doorklikken naar de inwisselings-URL?

De eindgebruiker moet altijd door de toestemmingservaring klikken voordat deze toegang heeft tot inhoud.

Als u veel gastgebruikers uitnodigt, wordt u aangeraden dit te delegeren van uw belangrijkste Microsoft Entra-beheerders door een gebruiker toe te voegen aan de rol gastuitnodiging in de resourceorganisatie. Deze gebruiker kan andere gebruikers in de partnerorganisatie uitnodigen met behulp van de aanmeldingsgebruikersinterface, PowerShell-scripts of API's. Dit vermindert de administratieve lasten voor uw Microsoft Entra-beheerders om uitnodigingen voor gebruikers in de partnerorganisatie uit te nodigen of opnieuw te verzenden.

Kan Contoso meervoudige verificatie afdwingen voor gastgebruikers als de partners geen meervoudige verificatie hebben?

Ja. Zie Voorwaardelijke toegang voor B2B-samenwerkingsgebruikers voor meer informatie.

Hoe werkt B2B-samenwerking wanneer de uitgenodigde partner federatie gebruikt om hun eigen on-premises verificatie toe te voegen?

Als de partner een Microsoft Entra-tenant heeft die is gefedereerd aan de on-premises verificatie-infrastructuur, wordt on-premises eenmalige aanmelding (SSO) automatisch bereikt. Als de partner geen Microsoft Entra-tenant heeft, kan er een Microsoft Entra-account worden gemaakt voor nieuwe gebruikers.

Kan ik gastgebruikers uitnodigen met e-mailaccounts voor consumenten?

Gastgebruikers uitnodigen met e-mailaccounts voor consumenten wordt ondersteund in Power BI. Dit omvat domeinen zoals hotmail.com, outlook.com en gmail.com. Deze gebruikers kunnen echter beperkingen ondervinden buiten wat gebruikers met werk- of schoolaccounts tegenkomen.