Udostępnij za pośrednictwem


Planowanie implementacji usługi Power BI: Konfiguracja dzierżawy

Uwaga

Ten artykuł stanowi część serii artykułów dotyczących planowania implementacji usługi Power BI. Ta seria koncentruje się głównie na środowisku usługi Power BI w usłudze Microsoft Fabric. Aby zapoznać się z wprowadzeniem do serii, zobacz Planowanie implementacji usługi Power BI.

W tym artykule dotyczącym konfiguracji dzierżawy przedstawiono ważne aspekty, które należy wiedzieć o konfigurowaniu dzierżawy usługi Fabric, z naciskiem na środowisko usługi Power BI. Jest ona przeznaczona dla wielu odbiorców:

  • Administratorzy sieci szkieletowej: administratorzy, którzy są odpowiedzialni za nadzorowanie usługi Fabric w organizacji.
  • Administratorzy firmy Microsoft Entra: zespół odpowiedzialny za nadzorowanie identyfikatora Entra firmy Microsoft i zarządzanie nim.

Sieć szkieletowa jest częścią większego ekosystemu firmy Microsoft. Jeśli Twoja organizacja korzysta już z innych usług subskrypcji w chmurze, takich jak Azure, Microsoft 365 lub Dynamics 365, usługa Fabric działa w ramach tej samej dzierżawy firmy Microsoft Entra. Domena organizacyjna (na przykład contoso.com) jest skojarzona z identyfikatorem Entra firmy Microsoft. Podobnie jak wszystkie usługi w chmurze firmy Microsoft, dzierżawa usługi Fabric opiera się na identyfikatorze Firmy Microsoft Entra organizacji na potrzeby zarządzania tożsamościami i dostępem.

Napiwek

Wiele organizacji ma środowisko lokalna usługa Active Directory (AD), które synchronizuje z identyfikatorem Microsoft Entra ID w chmurze. Ta konfiguracja jest znana jako rozwiązanie tożsamości hybrydowej, które jest poza zakresem tego artykułu. Ważne jest, aby zrozumieć, że użytkownicy, grupy i jednostki usługi muszą istnieć w usłudze Microsoft Entra ID, aby pakiet usług, takich jak Sieć szkieletowa, działał w chmurze. Posiadanie hybrydowego rozwiązania do obsługi tożsamości będzie działać dla sieci szkieletowej. Zalecamy rozmowę z administratorami firmy Microsoft Entra o najlepszym rozwiązaniu dla Twojej organizacji.

Aby uzyskać więcej informacji na temat obowiązków administratora sieci szkieletowej, zobacz Administracja dzierżawą.

Dzierżawa Microsoft Entra

Większość organizacji ma jedną dzierżawę firmy Microsoft Entra, dlatego często prawdą jest, że dzierżawa firmy Microsoft Entra reprezentuje organizację.

Zazwyczaj identyfikator Entra firmy Microsoft jest konfigurowany przed rozpoczęciem implementacji sieci szkieletowej. Czasami jednak podczas aprowizowania usługi w chmurze zdajesz sobie sprawę z znaczenia identyfikatora Entra firmy Microsoft.

Napiwek

Ponieważ większość organizacji ma jedną dzierżawę firmy Microsoft Entra, może być trudne do eksplorowania nowych funkcji w izolowany sposób. Możesz zakwalifikować się do dzierżawy deweloperów nieprodukcyjnych za pośrednictwem programu deweloperów platformy Microsoft 365. Aby uzyskać szczegółowe informacje, zobacz często zadawane pytania. Alternatywnie możesz zarejestrować się w 1-miesięcznej bezpłatnej wersji próbnej lub kupić plan platformy Microsoft 365.

Niezarządzana dzierżawa

Dzierżawa zarządzana ma administratora globalnego przypisanego w ramach identyfikatora Entra firmy Microsoft. Jeśli dzierżawa firmy Microsoft Entra nie istnieje dla domeny organizacyjnej (na przykład contoso.com), gdy pierwszy użytkownik z tej organizacji zarejestruje się w celu uzyskania wersji próbnej lub konta usługi Fabric, dzierżawa niezarządzana zostanie utworzona w identyfikatorze Entra firmy Microsoft. Dzierżawa niezarządzana jest również nazywana dzierżawą w tle lub dzierżawą utworzoną samoobsługowo. Ma podstawową konfigurację umożliwiającą działanie usługi w chmurze bez przypisywania administratora globalnego.

Aby prawidłowo zarządzać, konfigurować i obsługiwać sieć szkieletową, wymagana jest zarządzana dzierżawa. Istnieje proces, który administrator systemu może wykonać, aby przejąć dzierżawę niezarządzaną, aby mógł prawidłowo zarządzać nią w imieniu organizacji.

Napiwek

Administrowanie identyfikatorem Entra firmy Microsoft jest szerokim i głębokim tematem. Zalecamy przypisanie określonych osób w dziale IT jako administratorów systemu w celu bezpiecznego zarządzania identyfikatorem Entra firmy Microsoft dla organizacji.

Lista kontrolna — podczas przeglądania dzierżawy usługi Microsoft Entra do użycia z usługą Fabric kluczowe decyzje i akcje obejmują:

  • Przejmij dzierżawę: jeśli ma to zastosowanie, zainicjuj proces przejęcia dzierżawy niezarządzanej.
  • Upewnij się, że dzierżawa firmy Microsoft Entra jest zarządzana: sprawdź, czy administratorzy systemu aktywnie zarządzają dzierżawą firmy Microsoft Entra.

Identyfikator dzierżawy dla użytkowników zewnętrznych

Należy rozważyć, w jaki sposób użytkownicy będą uzyskiwać dostęp do dzierżawy, gdy masz użytkowników zewnętrznych (takich jak klienci, partnerzy lub dostawcy) lub gdy użytkownicy wewnętrzni muszą uzyskiwać dostęp do innej dzierżawy poza organizacją. Aby uzyskać dostęp do innej dzierżawy organizacji, jest używany zmodyfikowany adres URL.

Każda dzierżawa firmy Microsoft Entra ma globalnie unikatowy identyfikator (GUID) znany jako identyfikator dzierżawy. W sieci szkieletowej jest ona znana jako identyfikator dzierżawy klienta (CTID). Identyfikator CTID jest dołączany na końcu adresu URL dzierżawy. Identyfikator CTID można znaleźć w portalu sieci szkieletowej, otwierając okno dialogowe Informacje o usłudze Microsoft Fabric . Jest ona dostępna w menu Pomoc i obsługa techniczna (?), które znajduje się w prawym górnym rogu portalu sieci szkieletowej.

Znajomość identyfikatora CTID jest ważna w przypadku scenariuszy firmy Microsoft Entra B2B. Adresy URL udostępniane użytkownikom zewnętrznym (na przykład w celu wyświetlenia raportu usługi Power BI) muszą dołączyć parametr CTID, aby uzyskać dostęp do odpowiedniej dzierżawy.

Jeśli zamierzasz współpracować z użytkownikami zewnętrznymi lub udostępniać zawartość użytkownikom zewnętrznym, zalecamy skonfigurowanie niestandardowego znakowania. Użycie logo, obrazu tytułowego i motywu ułatwia użytkownikom identyfikowanie dzierżawy organizacji, do której uzyskuje dostęp.

Lista kontrolna — w przypadku udzielania użytkownikom zewnętrznym uprawnień do wyświetlania zawartości lub gdy masz wiele dzierżaw, kluczowe decyzje i akcje obejmują:

  • Dołącz identyfikator CTID w odpowiedniej dokumentacji użytkownika: zarejestruj adres URL dołączający identyfikator dzierżawy (CTID) w dokumentacji użytkownika.
  • Konfigurowanie znakowania niestandardowego w usłudze Fabric: w portalu administracyjnym sieci szkieletowej skonfiguruj niestandardowe znakowanie, aby ułatwić użytkownikom identyfikację dzierżawy organizacji.

Administratorzy firmy Microsoft Entra

Administratorzy sieci szkieletowej okresowo muszą pracować z administratorami firmy Microsoft Entra.

Poniższa lista zawiera kilka typowych powodów współpracy między administratorami sieci szkieletowej i administratorami firmy Microsoft Entra.

  • Grupy zabezpieczeń: należy utworzyć nowe grupy zabezpieczeń, aby prawidłowo zarządzać ustawieniami dzierżawy sieci szkieletowej. Mogą być również potrzebne nowe grupy do zabezpieczania zawartości obszaru roboczego lub dystrybucji zawartości.
  • Własność grupy zabezpieczeń: możesz przypisać właściciela grupy, aby umożliwić większą elastyczność zarządzania grupą zabezpieczeń. Na przykład może to być bardziej wydajne, aby umożliwić Centrum Doskonałości (COE) zarządzanie członkostwem niektórych grup specyficznych dla sieci szkieletowej.
  • Jednostki usługi: może być konieczne utworzenie rejestracji aplikacji Microsoft Entra w celu aprowizacji jednostki usługi. Uwierzytelnianie za pomocą jednostki usługi jest zalecaną praktyką, gdy administrator sieci szkieletowej chce uruchamiać nienadzorowane, zaplanowane skrypty wyodrębniające dane przy użyciu interfejsów API administratora lub podczas osadzania zawartości w aplikacji.
  • Użytkownicy zewnętrzni: musisz zrozumieć, w jaki sposób ustawienia dla użytkowników zewnętrznych (gości) są konfigurowane w usłudze Microsoft Entra ID. Istnieje kilka ustawień dzierżawy sieci szkieletowej związanych z użytkownikami zewnętrznymi i polegają na sposobie konfigurowania identyfikatora Entra firmy Microsoft. Ponadto niektóre funkcje zabezpieczeń dla obciążenia usługi Power BI działają tylko w przypadku korzystania z planowanego podejścia z zaproszeniem dla użytkowników zewnętrznych w usłudze Microsoft Entra ID.
  • Zasady kontroli w czasie rzeczywistym: możesz skonfigurować zasady kontroli sesji w czasie rzeczywistym, które obejmują zarówno microsoft Entra ID, jak i Microsoft Defender dla Chmury Apps. Możesz na przykład zablokować pobieranie raportu usługi Power BI, gdy ma określoną etykietę poufności.

Aby uzyskać więcej informacji, zobacz Współpraca z innymi administratorami.

Lista kontrolna — podczas rozważania, jak pracować z administratorami firmy Microsoft Entra, kluczowe decyzje i akcje obejmują:

  • Zidentyfikuj administratorów firmy Microsoft Entra: upewnij się, że znasz administratorów firmy Microsoft Entra w twojej organizacji. Przygotuj się do pracy z nimi zgodnie z potrzebami.
  • Zaangażuj administratorów firmy Microsoft Entra: Podczas pracy z procesem planowania implementacji zaproś administratorów firmy Microsoft Entra do odpowiednich spotkań i zaangażuj ich w podejmowanie odpowiednich decyzji.

Lokalizacja magazynu danych

Po utworzeniu nowej dzierżawy zasoby są aprowidowane na platformie Azure, czyli platformie przetwarzania w chmurze firmy Microsoft. Lokalizacja geograficzna staje się regionem macierzystym twojej dzierżawy. Region macierzysny jest również nazywany domyślnym regionem danych.

Region domowy

Region macierzysny jest ważny, ponieważ:

  • Wydajność raportów i pulpitów nawigacyjnych zależy po części od tego, że użytkownicy znajdują się w pobliżu lokalizacji dzierżawy.
  • Mogą istnieć przyczyny prawne lub prawne, dla których dane organizacji są przechowywane w określonej jurysdykcji.

Region macierzysny dzierżawy organizacji jest ustawiony na lokalizację pierwszego użytkownika, który się zarejestruje. Jeśli większość użytkowników znajduje się w innym regionie, ten region może nie być najlepszym wyborem.

Region główny dzierżawy można określić, otwierając okno dialogowe Informacje o usłudze Microsoft Fabric w portalu sieci szkieletowej. Region jest wyświetlany obok pola Dane są przechowywane w etykiecie.

Możesz odkryć, że dzierżawa znajduje się w regionie, który nie jest idealny. Możesz użyć funkcji Multi-Geo , tworząc pojemność w określonym regionie (opisanym w następnej sekcji) lub możesz ją przenieść. Aby przenieść dzierżawę do innego regionu, administrator globalny platformy Microsoft 365 powinien otworzyć wniosek o pomoc techniczną.

Przeniesienie dzierżawy do innego regionu nie jest w pełni zautomatyzowanym procesem i wiąże się z pewnym przestojem. Pamiętaj, aby wziąć pod uwagę wymagania wstępne i akcje wymagane przed przeniesieniem i po nim.

Napiwek

Ze względu na to, że jest zaangażowany wiele wysiłków, podczas określania, że ruch jest konieczny, zalecamy wykonanie go wcześniej, a nie później.

Lista kontrolna — podczas rozważania regionu macierzystego do przechowywania danych w dzierżawie kluczowe decyzje i akcje obejmują:

  • Zidentyfikuj region macierzysty: określ region macierzysty dla dzierżawy.
  • Zainicjuj proces przenoszenia dzierżawy: jeśli okaże się, że dzierżawa znajduje się w nieodpowiednim regionie geograficznym (którego nie można rozwiązać za pomocą funkcji Multi-Geo), zbadaj proces przenoszenia dzierżawy.

Inne konkretne regiony danych

Niektóre organizacje mają wymagania dotyczące rezydencji danych. Wymagania dotyczące rezydencji danych zwykle obejmują wymagania prawne lub branżowe dotyczące przechowywania danych w określonym regionie geograficznym. Wymagania dotyczące niezależności danych są podobne, ale bardziej rygorystyczne, ponieważ dane podlegają prawom kraju lub regionu, w którym są przechowywane dane. Niektóre organizacje mają również wymagania dotyczące lokalizacji danych, które określają, że dane utworzone w określonych granicach muszą pozostać w tych granicach.

Wymagania prawne, branżowe lub prawne mogą wymagać przechowywania pewnych danych w innym miejscu z regionu macierzystego (opisanego w poprzedniej sekcji). W takich sytuacjach możesz skorzystać z funkcji Multi-Geo , tworząc pojemność w określonym regionie. W takim przypadku należy przypisać obszary robocze do odpowiedniej pojemności, aby upewnić się, że dane obszaru roboczego są przechowywane w żądanej lokalizacji geograficznej.

Obsługa funkcji Multi-Geo umożliwia organizacjom:

  • Spełnij wymagania dotyczące przechowywania danych dla danych magazynowanych.
  • Zwiększ możliwość lokalizowania danych w pobliżu bazy użytkowników.

Uwaga

Funkcja Multi-Geo jest dostępna z dowolnym typem licencji pojemności (z wyjątkiem pojemności udostępnionej). Nie jest ona dostępna w warstwie Premium na użytkownika (PPU), ponieważ dane przechowywane w obszarach roboczych przypisanych do ppU są zawsze przechowywane w regionie macierzystym (podobnie jak w przypadku pojemności udostępnionej).

Lista kontrolna — podczas rozważania innych określonych regionów danych dla dzierżawy kluczowe decyzje i akcje obejmują:

  • Określanie wymagań dotyczących rezydencji danych: określ wymagania dotyczące rezydencji danych. Zidentyfikuj, które regiony są odpowiednie i które mogą być zaangażowane.
  • Zbadaj użycie funkcji Multi-Geo: w określonych sytuacjach, w których dane powinny być przechowywane gdzie indziej z regionu macierzystego, zbadaj włączenie funkcji Multi-Geo.

Aby uzyskać więcej zagadnień, akcji, kryteriów podejmowania decyzji i zaleceń, które pomogą Ci w podejmowaniu decyzji dotyczących implementacji usługi Power BI, zobacz Planowanie implementacji usługi Power BI.

Napiwek

Aby dowiedzieć się, jak zarządzać dzierżawą usługi Fabric, zalecamy pracę za pomocą modułu Administrowanie usługą Microsoft Fabric .