Dystrybuowanie zawartości usługi Power BI do zewnętrznych użytkowników-gości przy użyciu usługi Microsoft Entra B2B

Podsumowanie: Jest to oficjalny dokument techniczny przedstawiający sposób rozpowszechniania zawartości użytkownikom spoza organizacji przy użyciu integracji identyfikatora Entra firmy Microsoft (wcześniej znanego jako usługa Azure Active Directory) między firmami (Microsoft Entra B2B).

Pisarze: Lukasz Pawełowski, Kasper de Jonge

Recenzenci techniczni: Adam Wilson, Qian Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elizabeth Olson

Uwaga

Możesz zapisać lub wydrukować ten oficjalny dokument, wybierając pozycję Drukuj w przeglądarce, a następnie wybierając pozycję Zapisz jako plik PDF.

Wprowadzenie

Usługa Power BI zapewnia organizacjom 360-stopniowy wgląd w swoją działalność i umożliwia wszystkim w tych organizacjach podejmowanie inteligentnych decyzji przy użyciu danych. Wiele z tych organizacji ma silne i zaufane relacje z partnerami zewnętrznymi, klientami i wykonawcami. Organizacje te muszą zapewnić bezpieczny dostęp do pulpitów nawigacyjnych i raportów usługi Power BI użytkownikom z tych partnerów zewnętrznych.

Usługa Power BI integruje się z firmą Microsoft Entra business-to-business (Microsoft Entra B2B), aby umożliwić bezpieczną dystrybucję zawartości usługi Power BI użytkownikom-gościom spoza organizacji — zachowując jednocześnie kontrolę i zarządzanie dostępem do danych wewnętrznych.

Ten oficjalny dokument zawiera wszystkie szczegóły potrzebne do zrozumienia integracji usługi Power BI z firmą Microsoft Entra B2B. Omówimy jego najczęstszy przypadek użycia, konfigurację, licencjonowanie i zabezpieczenia na poziomie wiersza.

Scenariusze

Firma Contoso jest producentem samochodów i współpracuje z wieloma różnymi dostawcami, którzy zapewniają mu wszystkie składniki, materiały i usługi niezbędne do prowadzenia działalności produkcyjnej. Firma Contoso chce usprawnić logistykę łańcucha dostaw i planuje użycie usługi Power BI do monitorowania kluczowych metryk wydajności łańcucha dostaw. Firma Contoso chce udostępnić analizę zewnętrznych partnerów łańcucha dostaw w bezpieczny i możliwy do zarządzania sposób.

Firma Contoso może włączyć następujące środowiska dla użytkowników zewnętrznych przy użyciu usług Power BI i Microsoft Entra B2B.

Ad hoc na udostępnianie elementów

Firma Contoso współpracuje z dostawcą, który buduje chłodnice dla samochodów firmy Contoso. Często muszą zoptymalizować niezawodność chłodnicy przy użyciu danych ze wszystkich samochodów firmy Contoso. Analityk firmy Contoso używa usługi Power BI do udostępniania raportu o niezawodności chłodnicy inżynierowi u dostawcy. Inżynier otrzymuje wiadomość e-mail z linkiem umożliwiającym wyświetlenie raportu.

Zgodnie z powyższym opisem udostępnianie ad hoc jest wykonywane przez użytkowników biznesowych zgodnie z potrzebami. Link wysłany przez usługę Power BI do użytkownika zewnętrznego to link zaproszenia firmy Microsoft Entra B2B. Gdy użytkownik zewnętrzny otworzy link, zostanie poproszony o dołączenie do organizacji Firmy Microsoft Entra firmy Contoso jako użytkownika-gościa. Po zaakceptowaniu zaproszenia link otwiera określony raport lub pulpit nawigacyjny. Administrator firmy Microsoft Entra deleguje uprawnienia do zapraszania użytkowników zewnętrznych do organizacji i wybiera, co ci użytkownicy mogą zrobić po zaakceptowaniu zaproszenia zgodnie z opisem w sekcji Ład w tym dokumencie. Analityk firmy Contoso może zaprosić użytkownika-gościa tylko dlatego, że administrator firmy Microsoft Entra zezwolił na to działanie, a administrator usługi Power BI zezwolił użytkownikom na zapraszanie gości do wyświetlania zawartości w ustawieniach dzierżawy usługi Power BI.

1. Proces rozpoczyna się od wewnętrznego użytkownika firmy Contoso współużytkowania pulpitu nawigacyjnego lub raportu z użytkownikiem zewnętrznym. Jeśli użytkownik zewnętrzny nie jest jeszcze gościem w identyfikatorze Microsoft Entra firmy Contoso, zostanie zaproszony. Wiadomość e-mail jest wysyłana na ich adres e-mail, który zawiera zaproszenie do identyfikatora Firmy Microsoft Entra firmy Contoso.
2. Odbiorca akceptuje zaproszenie do identyfikatora Firmy Microsoft Entra firmy Contoso i jest dodawany jako użytkownik-gość w identyfikatorze Microsoft Entra firmy Contoso.
3. Odbiorca jest następnie przekierowywany do pulpitu nawigacyjnego, raportu lub aplikacji usługi Power BI.

Proces jest uważany za ad hoc, ponieważ użytkownicy biznesowi w firmie Contoso wykonują akcję zapraszania zgodnie z potrzebami dla swoich celów biznesowych. Każdy udostępniony element jest jednym linkiem, do których użytkownik zewnętrzny może uzyskać dostęp w celu wyświetlenia zawartości.

Po zaproszeniu użytkownika zewnętrznego do uzyskiwania dostępu do zasobów firmy Contoso można utworzyć dla nich konto w tle w identyfikatorze Firmy Microsoft Microsoft Entra i nie trzeba ich ponownie zapraszać. Przy pierwszej próbie uzyskania dostępu do zasobu firmy Contoso, takiego jak pulpit nawigacyjny usługi Power BI, przechodzą przez proces wyrażania zgody, który zrealizował zaproszenie. Jeśli nie ukończą zgody, nie będą oni mogli uzyskać dostępu do żadnej zawartości firmy Contoso. Jeśli masz problemy z zrealizowaniem zaproszenia za pośrednictwem podanego oryginalnego linku, administrator firmy Microsoft Entra może wysłać ponownie określony link z zaproszeniem, aby je zrealizować.

Planowane współużytkowanie elementów

Firma Contoso współpracuje z podwykonawcą w celu przeprowadzenia analizy niezawodności chłodnic. Podwykonawca ma zespół 10 osób, które potrzebują dostępu do danych w środowisku usługi Power BI firmy Contoso. Administrator firmy Microsoft Entra firmy Contoso jest zaangażowany w zapraszanie wszystkich użytkowników i obsługę wszelkich dodatków/zmian jako pracowników w ramach zmiany podwykonawcy. Administrator firmy Microsoft Entra tworzy grupę zabezpieczeń dla wszystkich pracowników podwykonawcy. Korzystając z grupy zabezpieczeń, pracownicy firmy Contoso mogą łatwo zarządzać dostępem do raportów i zapewnić wszystkim wymaganym pracownikom podwykonawców dostęp do wszystkich wymaganych raportów, pulpitów nawigacyjnych i aplikacji usługi Power BI. Administrator firmy Microsoft Entra może również całkowicie uniknąć udziału w procesie zaproszeń, delegując uprawnienia do zaproszenia do zaufanego pracownika w firmie Contoso lub podwykonawcy w celu zapewnienia terminowego zarządzania personelem.

Niektóre organizacje wymagają większej kontroli nad dodawaniem użytkowników zewnętrznych, zapraszają wielu użytkowników w organizacji zewnętrznej lub wielu organizacji zewnętrznych. W takich przypadkach planowane udostępnianie może służyć do zarządzania skalą udostępniania, wymuszania zasad organizacji, a nawet delegowania praw do zaufanych osób w celu zapraszania użytkowników zewnętrznych i zarządzania nimi. Firma Microsoft Entra B2B obsługuje zaproszenia planowane do wysłania bezpośrednio z witryny Azure Portal przez administratora IT lub za pośrednictwem programu PowerShell przy użyciu interfejsu API menedżera zaproszeń, w którym zestaw użytkowników można zaprosić w jednej akcji. Przy użyciu podejścia planowane zaproszenia organizacja może kontrolować, kto może zapraszać użytkowników i implementować procesy zatwierdzania. Zaawansowane możliwości firmy Microsoft Entra, takie jak grupy dynamiczne, mogą ułatwić automatyczne utrzymywanie członkostwa w grupach zabezpieczeń.

1. Proces rozpoczyna się od administratora IT zapraszającego użytkownika-gościa ręcznie lub za pośrednictwem interfejsu API dostarczonego przez identyfikator Entra firmy Microsoft.
2. Użytkownik akceptuje zaproszenie do organizacji.
3. Gdy użytkownik zaakceptował zaproszenie, użytkownik w usłudze Power BI może udostępnić raport lub pulpit nawigacyjny użytkownikowi zewnętrznego lub grupę zabezpieczeń, w której się znajdują. Podobnie jak w przypadku zwykłego udostępniania w usłudze Power BI użytkownik zewnętrzny otrzymuje wiadomość e-mail z linkiem do elementu.
4. Gdy użytkownik zewnętrzny uzyskuje dostęp do linku, jego uwierzytelnianie w katalogu jest przekazywane do identyfikatora Firmy Microsoft Entra firmy Contoso i używanego do uzyskiwania dostępu do zawartości usługi Power BI.

Ad hoc lub planowane udostępnianie aplikacji usługi Power BI

Firma Contoso ma zestaw raportów i pulpitów nawigacyjnych, które muszą udostępniać co najmniej jednemu dostawcy. Aby zapewnić wszystkim wymaganym użytkownikom zewnętrznym dostęp do tej zawartości, jest on spakowany jako aplikacja usługi Power BI. Użytkownicy zewnętrzni są dodawani bezpośrednio do listy dostępu do aplikacji lub za pośrednictwem grup zabezpieczeń. Osoba w firmie Contoso wysyła następnie adres URL aplikacji do wszystkich użytkowników zewnętrznych, na przykład w wiadomości e-mail. Gdy użytkownicy zewnętrzni otwierają link, widzą całą zawartość w jednym łatwym w nawigacji środowisku.

Użycie aplikacji usługi Power BI ułatwia firmie Contoso tworzenie portalu analizy biznesowej dla swoich dostawców. Pojedyncza lista dostępu kontroluje dostęp do całej wymaganej zawartości, co zmniejsza marnowanie czasu i ustawianie uprawnień na poziomie elementu. Firma Microsoft Entra B2B utrzymuje dostęp zabezpieczeń przy użyciu natywnej tożsamości dostawcy, dzięki czemu użytkownicy nie potrzebują dodatkowych poświadczeń logowania. W przypadku korzystania z planowanych zaproszeń z grupami zabezpieczeń zarządzanie dostępem do aplikacji w miarę rotacji personelu w projekcie lub poza nim jest uproszczone. Członkostwo w grupach zabezpieczeń ręcznie lub przy użyciu grup dynamicznych, aby wszyscy użytkownicy zewnętrzni od dostawcy zostali automatycznie dodani do odpowiedniej grupy zabezpieczeń.

1. Proces rozpoczyna się od zaproszonego użytkownika do organizacji firmy Microsoft Entra firmy Contoso za pośrednictwem witryny Azure Portal lub programu PowerShell.
2. Użytkownik można dodać do grupy użytkowników w usłudze Microsoft Entra ID. Można użyć statycznej lub dynamicznej grupy użytkowników, ale grupy dynamiczne pomagają zmniejszyć ręczną pracę.
3. Użytkownicy zewnętrzni mają dostęp do aplikacji Power BI za pośrednictwem grupy użytkowników. Adres URL aplikacji powinien zostać wysłany bezpośrednio do użytkownika zewnętrznego lub umieszczony w witrynie, do której ma dostęp. Usługa Power BI dokłada wszelkich starań, aby wysłać wiadomość e-mail z linkiem aplikacji do użytkowników zewnętrznych, ale w przypadku korzystania z grup użytkowników, których członkostwo może ulec zmianie, usługa Power BI nie może wysyłać do wszystkich użytkowników zewnętrznych zarządzanych za pośrednictwem grup użytkowników.
4. Gdy użytkownik zewnętrzny uzyskuje dostęp do adresu URL aplikacji usługi Power BI, jest uwierzytelniany przez identyfikator firmy Microsoft Firmy Microsoft, aplikacja jest zainstalowana dla użytkownika, a użytkownik może zobaczyć wszystkie zawarte raporty i pulpity nawigacyjne w aplikacji.

Aplikacje mają również unikatową funkcję, która umożliwia autorom aplikacji automatyczne instalowanie aplikacji dla użytkownika, dzięki czemu jest ona dostępna po zalogowaniu się użytkownika. Ta funkcja jest instalowana automatycznie tylko dla użytkowników zewnętrznych, którzy są już częścią organizacji firmy Contoso podczas publikowania lub aktualizowania aplikacji. W związku z tym najlepiej używać metody zaproszeń planowanych i zależy od aplikacji publikowanej lub aktualizowanej po dodaniu użytkowników do identyfikatora Firmy Microsoft Entra firmy Contoso. Użytkownicy zewnętrzni zawsze mogą zainstalować aplikację przy użyciu linku aplikacji.

Komentowanie i subskrybowanie zawartości w różnych organizacjach

Ponieważ firma Contoso nadal współpracuje ze swoimi podwykonawcami lub dostawcami, inżynierowie zewnętrzni muszą ściśle współpracować z analitykami firmy Contoso. Usługa Power BI udostępnia kilka funkcji współpracy, które ułatwiają użytkownikom komunikowanie się z zawartością, z której mogą korzystać. Komentowanie pulpitu nawigacyjnego (i wkrótce komentowanie raportów) umożliwia użytkownikom omawianie punktów danych, które widzą i komunikują się z autorami raportów w celu zadawania pytań.

Obecnie zewnętrzni użytkownicy-goście mogą uczestniczyć w komentarzach, pozostawiając komentarze i czytając odpowiedzi. Jednak w przeciwieństwie do użytkowników wewnętrznych użytkownicy-goście nie mogą być @mentioned i nie otrzymują powiadomień, że otrzymali komentarz. Użytkownicy-goście mogą używać funkcji subskrypcji w usłudze Power BI, aby subskrybować raport lub pulpit nawigacyjny. Dowiedz się więcej w artykule Subskrypcje poczty e-mail dla raportów i pulpitów nawigacyjnych w usługa Power BI.

Uzyskiwanie dostępu do zawartości w aplikacjach mobilnych usługi Power BI

Gdy użytkownik-gość otworzy link do raportu lub pulpitu nawigacyjnego na urządzeniu przenośnym, zawartość zostanie otwarta w natywnych aplikacjach mobilnych usługi Power BI na urządzeniu, jeśli są zainstalowane. Następnie użytkownik-gość będzie mógł przechodzić między zawartością udostępnioną im w dzierżawie zewnętrznej i z powrotem do własnej zawartości z dzierżawy macierzystej. Aby uzyskać więcej informacji na temat uzyskiwania dostępu do zawartości udostępnionej Tobie z organizacji zewnętrznej za pośrednictwem aplikacji mobilnych usługi Power BI, zobacz Wyświetlanie zawartości usługi Power BI udostępnionej Tobie z organizacji zewnętrznej.

Relacje organizacyjne przy użyciu usług Power BI i Microsoft Entra B2B

Jeśli wszyscy użytkownicy usługi Power BI są wewnętrzni w organizacji, nie ma potrzeby korzystania z usługi Microsoft Entra B2B. Jednak gdy co najmniej dwie organizacje chcą współpracować nad danymi i szczegółowymi informacjami, pomoc techniczna usługi Power BI dla firmy Microsoft Entra B2B ułatwia i opłacalne wykonywanie tych czynności.

Poniżej znajdują się zwykle struktury organizacyjne, które są dobrze dostosowane do współpracy między organizacjami w usłudze Power BI w stylu firmy Microsoft Entra B2B. Firma Microsoft Entra B2B działa dobrze w większości przypadków, ale w niektórych sytuacjach warto rozważyć typowe alternatywne podejścia omówione na końcu tego dokumentu.

Przypadek 1. Bezpośrednia współpraca między organizacjami

Relacje firmy Contoso z dostawcą chłodnicy są przykładem bezpośredniej współpracy między organizacjami. Ze względu na to, że w firmie Contoso i jej dostawcy jest stosunkowo niewielu użytkowników, którzy potrzebują dostępu do informacji o niezawodności chłodnicy, korzystanie z zewnętrznego udostępniania opartego na usłudze Microsoft Entra B2B jest idealne. Łatwo jest używać i łatwo administrować. Jest to również typowy wzorzec w usługach doradczych, w których konsultant może wymagać tworzenia zawartości dla organizacji.

Zazwyczaj udostępnianie odbywa się początkowo przy użyciu ad hoc na udostępnianie elementów. Jednak w miarę jak zespoły rosną lub relacje pogłębiają się, podejście Planned per item sharing staje się preferowaną metodą zmniejszenia nakładu pracy związanego z zarządzaniem. Ponadto udostępnianie ad hoc lub planowane udostępnianie aplikacji Usługi Power BI, komentowanie i subskrybowanie zawartości w organizacjach, dostęp do zawartości w aplikacjach mobilnych może również być odtwarzany. Co ważne, jeśli użytkownicy obu organizacji mają licencje usługi Power BI Pro w odpowiednich organizacjach, mogą korzystać z tych licencji Pro w środowiskach usługi Power BI. Zapewnia to korzystne licencjonowanie, ponieważ organizacja zapraszania może nie płacić za licencję usługi Power BI Pro dla użytkowników zewnętrznych. Omówiono to bardziej szczegółowo w sekcji Licencjonowanie w dalszej części tego dokumentu.

Przypadek 2: Spółka dominująca i jej podmioty zależne lub podmioty stowarzyszone

Niektóre struktury organizacji są bardziej złożone, w tym częściowo lub całkowicie własnością spółek zależnych, powiązanych firm lub relacji z zarządzanymi dostawcami usług. Organizacje te mają organizację nadrzędną, taką jak firma holdingowa, ale bazowe organizacje działają częściowo autonomicznie, czasami w różnych wymaganiach regionalnych. Prowadzi to do tego, że każda organizacja ma własne środowisko firmy Microsoft Entra i oddzielne dzierżawy usługi Power BI.

W tej strukturze organizacja nadrzędna zazwyczaj musi dystrybuować ustandaryzowane szczegółowe informacje do swoich spółek zależnych. Zazwyczaj udostępnianie odbywa się przy użyciu podejścia Ad hoc lub planowanego udostępniania aplikacji Power BI, jak pokazano na poniższej ilustracji, ponieważ umożliwia dystrybucję ustandaryzowanej autorytatywnej zawartości do szerokiej grupy odbiorców. W praktyce jest używana kombinacja wszystkich scenariuszy wymienionych wcześniej w tym dokumencie.

Jest to następujący proces:

1. Użytkownicy z każdej spółki zależnej są zapraszani do identyfikatora Firmy Microsoft Entra firmy Contoso
2. Następnie aplikacja Power BI zostanie opublikowana w celu udzielenia tym użytkownikom dostępu do wymaganych danych
3. Na koniec użytkownicy otwierają aplikację za pośrednictwem podanego linku, aby wyświetlić raporty

W tej strukturze stoi kilka ważnych wyzwań:

• Jak rozpowszechniać linki do zawartości w usłudze Power BI organizacji nadrzędnej
• Jak zezwolić użytkownikom zależnym na dostęp do źródła danych hostowanego przez organizację nadrzędną

Rozpowszechnianie linków do zawartości w usłudze Power BI organizacji nadrzędnej

Trzy podejścia są często używane do rozpowszechniania linków do zawartości. Pierwszym i najbardziej podstawowym rozwiązaniem jest wysłanie linku do aplikacji do wymaganych użytkowników lub umieszczenie go w witrynie usługi SharePoint Online, z której można ją otworzyć. Użytkownicy mogą następnie dodać link do zakładek w swoich przeglądarkach, aby szybciej uzyskać dostęp do potrzebnych danych.

Drugie podejście polega na tym, że organizacja nadrzędna zezwala użytkownikom z spółek zależnych na dostęp do usługi Power BI i kontroluje, do których mogą uzyskiwać dostęp za pośrednictwem uprawnień. Zapewnia to dostęp do Strona główna Power BI, w którym użytkownik z spółki zależnej widzi kompleksową listę zawartości udostępnionej im w dzierżawie organizacji nadrzędnej. Następnie adres URL środowiska usługi Power BI organizacji nadrzędnej jest podawany użytkownikom w spółkach zależnych.

Ostateczne podejście korzysta z aplikacji usługi Power BI utworzonej w dzierżawie usługi Power BI dla każdej jednostki zależnej. Aplikacja Power BI zawiera pulpit nawigacyjny z kafelkami skonfigurowanymi z opcją linku zewnętrznego. Gdy użytkownik naciśnie kafelek, zostanie przewieziony do odpowiedniego raportu, pulpitu nawigacyjnego lub aplikacji w usłudze Power BI organizacji nadrzędnej. Takie podejście ma dodatkową zaletę, że aplikacja może być instalowana automatycznie dla wszystkich użytkowników w spółce zależnej i jest dostępna dla nich za każdym razem, gdy logują się do własnego środowiska usługi Power BI. Dodatkową zaletą tego podejścia jest to, że dobrze współpracuje z aplikacjami mobilnymi usługi Power BI, które mogą natywnie otwierać link. Można to również połączyć z drugim podejściem, aby umożliwić łatwiejsze przełączanie między środowiskami usługi Power BI.

Zezwalanie użytkownikom zależnym na dostęp do źródeł danych hostowanych przez organizację nadrzędną

Często analitycy w jednostce zależnej muszą tworzyć własne analizy przy użyciu danych dostarczonych przez organizację nadrzędną. W takim przypadku często źródła danych w chmurze są używane do rozwiązania problemu.

Pierwsze podejście używa usług Azure Analysis Services do utworzenia magazynu danych klasy korporacyjnej, który spełnia potrzeby analityków w obrębie podmiotu nadrzędnego i jej spółek zależnych, jak pokazano na poniższej ilustracji. Firma Contoso może hostować dane i korzystać z funkcji, takich jak zabezpieczenia na poziomie wiersza, aby zapewnić użytkownikom w każdej jednostce zależnej dostęp tylko do danych. Analitycy w każdej organizacji mogą uzyskiwać dostęp do magazynu danych za pośrednictwem programu Power BI Desktop i publikować wynikowe analizy w odpowiednich dzierżawach usługi Power BI.

Drugie podejście używa usługi Azure SQL Database do utworzenia relacyjnego magazynu danych w celu zapewnienia dostępu do danych. Działa to podobnie do podejścia usług Azure Analysis Services, choć niektóre funkcje, takie jak zabezpieczenia na poziomie wiersza, mogą być trudniejsze do wdrożenia i utrzymania w różnych jednostkach zależnych.

Bardziej zaawansowane podejścia są również możliwe, jednak powyższe są zdecydowanie najbardziej typowe.

Przypadek 3. Współużytkowane środowisko między partnerami

Firma Contoso może wejść we współpracę z konkurentem, aby wspólnie zbudować samochód na wspólnej linii montażowej, ale dystrybuować pojazd pod różnymi markami lub w różnych regionach. Wymaga to szerokiej współpracy i współwłaścicieli danych, analizy i analiz w organizacjach. Ta struktura jest również powszechna w branży usług konsultingowych, w której zespół konsultantów może wykonywać analizę opartą na projekcie dla klienta.

W praktyce struktury te są złożone, jak pokazano na poniższej ilustracji, i wymagają od personelu utrzymania. Aby zapewnić skuteczność, organizacje mogą używać ponownie licencji usługi Power BI Pro zakupionych dla odpowiednich dzierżaw usługi Power BI.

Aby ustanowić udostępnioną dzierżawę usługi Power BI, należy utworzyć identyfikator entra firmy Microsoft, a co najmniej jedno konto użytkownika usługi Power BI Pro musi zostać zakupione dla użytkownika w tej dzierżawie. Ten użytkownik zaprasza wymaganych użytkowników do udostępnionej organizacji. Co ważne, w tym scenariuszu użytkownicy firmy Contoso są traktowani jako użytkownicy zewnętrzni, gdy działają w usłudze Power BI udostępnionej organizacji.

Przebieg procesu:

1. Organizacja udostępniona jest ustanawiana jako nowy identyfikator entra firmy Microsoft, a co najmniej jedno konto użytkownika jest tworzone w nowej dzierżawie. Ten użytkownik powinien mieć przypisaną licencję usługi Power BI Pro.
2. Następnie ten użytkownik ustanawia dzierżawę usługi Power BI i zaprasza wymaganych użytkowników z firmy Contoso i organizacji partnerskiej. Użytkownik ustanawia również wszystkie udostępnione zasoby danych, takie jak Azure Analysis Services. Użytkownicy firmy Contoso i partnera mogą uzyskiwać dostęp do usługi Power BI udostępnionej organizacji jako użytkownicy-goście. Zazwyczaj wszystkie udostępnione zasoby są przechowywane i uzyskiwane z organizacji udostępnionej.
3. W zależności od tego, w jaki sposób strony zgadzają się współpracować, każda organizacja może opracowywać własne zastrzeżone dane i analizy przy użyciu udostępnionych zasobów magazynu danych. Mogą one dystrybuować je do odpowiednich użytkowników wewnętrznych przy użyciu wewnętrznych dzierżaw usługi Power BI.

Przypadek 4. Dystrybucja do setek lub tysięcy partnerów zewnętrznych

Podczas gdy firma Contoso utworzyła raport o niezawodności chłodnicy dla jednego dostawcy, teraz firma Contoso chce utworzyć zestaw standardowych raportów dla setek dostawców. Dzięki temu firma Contoso może upewnić się, że wszyscy dostawcy mają analizę potrzebną do wprowadzenia ulepszeń lub naprawy wad produkcyjnych.

Gdy organizacja musi dystrybuować standardowe dane i szczegółowe informacje dla wielu użytkowników zewnętrznych/organizacji, może użyć scenariusza Ad hoc lub planowanego udostępniania aplikacji Power BI w celu szybkiego i bez rozbudowanych kosztów programowania. Proces tworzenia takiego portalu przy użyciu aplikacji usługi Power BI jest omówiony w artykule Analiza przypadku: Tworzenie portalu analizy biznesowej przy użyciu usługi Power BI + Microsoft Entra B2B — instrukcje krok po kroku w dalszej części tego dokumentu.

Typowym wariantem tego przypadku jest to, że organizacja próbuje udostępniać szczegółowe informacje użytkownikom, szczególnie w przypadku korzystania z usługi Azure Active Directory B2C w usłudze Power BI. Usługa Power BI nie obsługuje natywnie usługi Azure Active Directory B2C. Jeśli oceniasz opcje dla tego przypadku, rozważ użycie opcji alternatywnej 2 w sekcji Typowe alternatywne podejścia w dalszej części tego dokumentu.

Analiza przypadku: Tworzenie portalu analizy biznesowej przy użyciu usługi Power BI i firmy Microsoft Entra B2B — instrukcje krok po kroku

Integracja usługi Power BI z firmą Microsoft Entra B2B zapewnia firmie Contoso bezproblemowy i bezproblemowy sposób zapewnienia użytkownikom-gościom bezpiecznego dostępu do portalu analizy biznesowej. Firma Contoso może skonfigurować tę konfigurację, wykonując trzy kroki:

1. Tworzenie portalu analizy biznesowej w usłudze Power BI

   Pierwszym zadaniem firmy Contoso jest utworzenie portalu analizy biznesowej w usłudze Power BI. Portal analizy biznesowej firmy Contoso będzie składać się z kolekcji specjalnie utworzonych pulpitów nawigacyjnych i raportów, które będą dostępne dla wielu użytkowników wewnętrznych i gości. Zalecanym sposobem wykonania tej czynności w usłudze Power BI jest utworzenie aplikacji usługi Power BI. Dowiedz się więcej o aplikacjach w usłudze Power BI.

• Zespół ds. analizy biznesowej firmy Contoso tworzy obszar roboczy w usłudze Power BI

  

• Inni autorzy są dodawani do obszaru roboczego

  

• Zawartość jest tworzona w obszarze roboczym

  

  Po utworzeniu zawartości w obszarze roboczym firma Contoso jest gotowa zaprosić użytkowników-gości w organizacjach partnerskich do korzystania z tej zawartości.

2. Zapraszanie użytkowników-gości

   Istnieją dwa sposoby zapraszania użytkowników-gości do portalu analizy biznesowej w usłudze Power BI na dwa sposoby:

   • Zaproszenia planowane
   • Zaproszenia ad hoc

   Zaproszenia planowane

   W tym podejściu firma Contoso zaprasza użytkowników-gości do swojej firmy Microsoft Entra z wyprzedzeniem, a następnie dystrybuuje do nich zawartość usługi Power BI. Firma Contoso może zapraszać użytkowników-gości z witryny Azure Portal lub przy użyciu programu PowerShell. Poniżej przedstawiono procedurę zapraszania użytkowników-gości z witryny Azure Portal:

   • Administrator firmy Microsoft Entra firmy Contoso przechodzi do witryny Azure Portal>Microsoft Entra ID>Wszyscy>użytkownicy Nowi użytkownicy-gość>

   

   • Dodaj wiadomość z zaproszeniem dla użytkowników-gości i wybierz pozycję Zaproś

   

   Uwaga

   Aby zaprosić użytkowników-gości z witryny Azure Portal, potrzebujesz administratora firmy Microsoft Entra dla swojej dzierżawy.

   Jeśli firma Contoso chce zaprosić wielu użytkowników-gości, może to zrobić przy użyciu programu PowerShell. Administrator firmy Microsoft Entra firmy Contoso przechowuje adresy e-mail wszystkich użytkowników-gości w pliku CSV. Oto przykłady i instrukcje dotyczące współpracy B2B firmy Microsoft Entra B2B i programu PowerShell .

   Po zaproszeniu użytkownicy-goście otrzymają wiadomość e-mail z linkiem zaproszenia.

   

   Po wybraniu linku użytkownicy-goście mogą uzyskiwać dostęp do zawartości w dzierżawie firmy Microsoft Microsoft Entra.

   Uwaga

   Można zmienić układ wiadomości e-mail z zaproszeniem przy użyciu funkcji oznaczania identyfikatorem Entra firmy Microsoft zgodnie z opisem w tym miejscu.

   Zaproszenia ad hoc

   Co zrobić, jeśli firma Contoso nie zna wszystkich użytkowników-gości, których chce zaprosić wcześniej? A co zrobić, jeśli analityk firmy Contoso, który utworzył portal analizy biznesowej, chce dystrybuować zawartość do użytkowników-gości? Obsługujemy również ten scenariusz w usłudze Power BI przy użyciu zaproszeń ad hoc.

   Analityk może po prostu dodać użytkowników zewnętrznych do listy dostępu aplikacji podczas jej publikowania. Użytkownicy-goście otrzymują zaproszenie i po zaakceptowaniu go są automatycznie przekierowywani do zawartości usługi Power BI.

   

   Uwaga

   Zaproszenia są potrzebne tylko przy pierwszym zaproszeniu użytkownika zewnętrznego do organizacji.

3. Dystrybuuj zawartość

   Teraz, gdy zespół ds. analizy biznesowej firmy Contoso utworzył portal analizy biznesowej i zaprosił użytkowników-gości, może dystrybuować swój portal do swoich użytkowników końcowych, udzielając użytkownikom-gościom dostępu do aplikacji i publikowania jej. Usługa Power BI automatycznie uzupełnia nazwy użytkowników-gości, którzy zostali wcześniej dodani do dzierżawy firmy Contoso. W tym momencie można również dodać zaproszenia adhoc do innych użytkowników-gości.

   Uwaga

   Jeśli używasz grup zabezpieczeń do zarządzania dostępem do aplikacji dla użytkowników zewnętrznych, użyj podejścia Planned Invites i udostępnij link aplikacji bezpośrednio każdemu użytkownikowi zewnętrznemu, który musi uzyskać do niej dostęp. W przeciwnym razie użytkownik zewnętrzny może nie być w stanie zainstalować ani wyświetlić zawartości z poziomu app._

   Użytkownicy-goście otrzymują wiadomość e-mail z linkiem do aplikacji.

   

   Po kliknięciu tego linku użytkownicy-goście są proszeni o uwierzytelnienie przy użyciu tożsamości własnej organizacji.

   

   Po pomyślnym uwierzytelnieniu nastąpi przekierowanie do aplikacji analizy biznesowej firmy Contoso.

   

   Użytkownicy-goście mogą później przejść do aplikacji firmy Contoso, klikając link w wiadomości e-mail lub do zakładek. Firma Contoso może również ułatwić użytkownikom-gościom dodanie tego linku do istniejącego portalu ekstranetu, z którego korzystają już użytkownicy-goście.

4. Następne kroki

   Korzystając z aplikacji usługi Power BI i firmy Microsoft Entra B2B, firma Contoso mogła szybko utworzyć portal analizy biznesowej dla swoich dostawców w żaden sposób. Znacznie uprościło to dystrybucję standardowej analizy dla wszystkich dostawców, którzy tego potrzebują.

   W przykładzie pokazano, jak jeden wspólny raport może być dystrybuowany między dostawcami, ale usługa Power BI może pójść znacznie dalej. Aby upewnić się, że każdy partner widzi tylko dane istotne dla siebie, zabezpieczenia na poziomie wiersza można łatwo dodać do raportu i modelu danych. W sekcji Zabezpieczenia danych dla partnerów zewnętrznych w dalszej części tego dokumentu opisano szczegółowo ten proces.

   Często poszczególne raporty i pulpity nawigacyjne muszą być osadzone w istniejącym portalu. Można to również osiągnąć przez ponowne wykorzystanie wielu technik przedstawionych w przykładzie. Jednak w takich sytuacjach osadzanie raportów lub pulpitów nawigacyjnych bezpośrednio z obszaru roboczego może być łatwiejsze. Proces zapraszania i przypisywania uprawnień zabezpieczeń do wymaganych użytkowników pozostaje taki sam.

Pod maską: Jak lucy od dostawcy 1 może uzyskać dostęp do zawartości usługi Power BI z dzierżawy firmy Contoso?

Teraz, gdy zobaczyliśmy, jak firma Contoso może bezproblemowo dystrybuować zawartość usługi Power BI do użytkowników-gości w organizacjach partnerskich, przyjrzyjmy się, jak to działa pod maską.

Po zaproszeniu lucy@supplier1.com firmy Contoso do katalogu identyfikator Entra firmy Microsoft tworzy łącze między Lucy@supplier1.com dzierżawą firmy Microsoft Microsoft Entra. Ten link pozwala firmie Microsoft Entra ID wiedzieć, że Lucy@supplier1.com może uzyskiwać dostęp do zawartości w dzierżawie firmy Contoso.

Gdy Lucy próbuje uzyskać dostęp do aplikacji Power BI firmy Contoso, identyfikator Firmy Microsoft Entra sprawdza, czy Lucy może uzyskać dostęp do dzierżawy firmy Contoso, a następnie udostępnia token usługi Power BI wskazujący, że lucy jest uwierzytelniony w celu uzyskania dostępu do zawartości w dzierżawie firmy Contoso. Usługa Power BI używa tego tokenu do autoryzowania i upewnienia się, że lucy ma dostęp do aplikacji Power BI firmy Contoso.

Integracja usługi Power BI z firmą Microsoft Entra B2B współpracuje ze wszystkimi firmowymi adresami e-mail. Jeśli użytkownik nie ma tożsamości firmy Microsoft Entra, może zostać wyświetlony monit o jego utworzenie. Na poniższej ilustracji przedstawiono szczegółowy przepływ:

Ważne jest, aby pamiętać, że konto Microsoft Entra będzie używane lub tworzone w identyfikatorze Microsoft Entra firmy zewnętrznej. Umożliwi to lucy użycie własnej nazwy użytkownika i hasła, a poświadczenia automatycznie przestaną działać w innych dzierżawach, gdy Lucy opuści firmę, gdy jej organizacja będzie również używać identyfikatora Microsoft Entra ID.

Licencjonowanie

Firma Contoso może wybrać jedną z trzech metod licencjonowania użytkowników-gości od dostawców i organizacji partnerskich, aby mieć dostęp do zawartości usługi Power BI.

Uwaga

Warstwa bezpłatna firmy Microsoft Entra B2B wystarczy do korzystania z usługi Power BI z firmą Microsoft Entra B2B. Niektóre zaawansowane funkcje firmy Microsoft Entra B2B, takie jak grupy dynamiczne, wymagają dodatkowego licencjonowania. Aby uzyskać więcej informacji, zobacz dokumentację firmy Microsoft Entra B2B.

Podejście 1. Firma Contoso korzysta z usługi Power BI Premium

Dzięki temu firmie Contoso kupuje pojemność usługi Power BI Premium i przypisuje jej zawartość portalu analizy biznesowej do tej pojemności. Dzięki temu użytkownicy-goście z organizacji partnerskich mogą uzyskiwać dostęp do aplikacji Power BI firmy Contoso bez żadnej licencji usługi Power BI.

Użytkownicy zewnętrzni podlegają również środowiskom dostępnym tylko dla użytkowników bezpłatnych w usłudze Power BI podczas korzystania z zawartości w usłudze Power BI Premium.

Firma Contoso może również korzystać z innych funkcji usługi Power BI Premium dla swoich aplikacji, takich jak zwiększona częstotliwość odświeżania, pojemność i duże rozmiary modeli.

Podejście 2. Firma Contoso przypisuje licencje usługi Power BI Pro do użytkowników-gości

Dzięki temu firmie Contoso przypisuje licencje pro do użytkowników-gości z organizacji partnerskich — można to zrobić w Centrum administracyjne platformy Microsoft 365 firmy Contoso. Dzięki temu użytkownicy-goście z organizacji partnerskich mogą uzyskiwać dostęp do aplikacji Usługi Power BI firmy Contoso bez samodzielnego zakupu licencji. Może to być odpowiednie do udostępniania użytkownikom zewnętrznym, których organizacja jeszcze nie przyjęła usługi Power BI.

Uwaga

Licencja pro firmy Contoso ma zastosowanie do użytkowników-gości tylko wtedy, gdy uzyskują dostęp do zawartości w dzierżawie firmy Contoso. Licencje Pro umożliwiają dostęp do zawartości, która nie znajduje się w pojemności usługi Power BI Premium.

Podejście 3. Użytkownicy-goście korzystają z własnej licencji usługi Power BI Pro

Dzięki temu podejściu dostawca 1 przypisuje licencję usługi Power BI Pro do usługi Lucy. Następnie mogą uzyskiwać dostęp do aplikacji Power BI firmy Contoso przy użyciu tej licencji. Ponieważ lucy może używać licencji Pro z własnej organizacji podczas uzyskiwania dostępu do zewnętrznego środowiska usługi Power BI, takie podejście jest czasami określane jako bring your own license (BYOL). Jeśli obie organizacje korzystają z usługi Power BI, oferuje to korzystne licencjonowanie dla ogólnego rozwiązania analitycznego i minimalizuje koszty przypisywania licencji do użytkowników zewnętrznych.

Uwaga

Licencja pro udzielona lucy przez dostawcę 1 ma zastosowanie do dowolnej dzierżawy usługi Power BI, w której Lucy jest użytkownikiem-gościem. Licencje Pro umożliwiają dostęp do zawartości, która nie znajduje się w pojemności usługi Power BI Premium.

Bezpieczeństwo danych dla partnerów zewnętrznych

Często podczas pracy z wieloma dostawcami zewnętrznymi firma Contoso musi upewnić się, że każdy dostawca widzi dane tylko dotyczące własnych produktów. Zabezpieczenia oparte na użytkownikach i dynamiczne zabezpieczenia na poziomie wierszy ułatwiają osiągnięcie w usłudze Power BI.

Zabezpieczenia oparte na użytkownikach

Jedną z najbardziej zaawansowanych funkcji usługi Power BI jest zabezpieczenia na poziomie wiersza. Ta funkcja umożliwia firmie Contoso utworzenie pojedynczego raportu i modelu semantycznego (wcześniej znanego jako zestaw danych), ale nadal stosuje różne reguły zabezpieczeń dla każdego użytkownika. Aby uzyskać szczegółowe wyjaśnienie, zobacz Zabezpieczenia na poziomie wiersza (RLS).

Integracja usługi Power BI z firmą Microsoft Entra B2B umożliwia firmie Contoso przypisanie reguł zabezpieczeń na poziomie wiersza do użytkowników-gości, gdy tylko zostaną zaproszeni do dzierżawy firmy Contoso. Jak widzieliśmy wcześniej, firma Contoso może dodawać użytkowników-gości za pośrednictwem zaproszeń planowanych lub ad hoc. Jeśli firma Contoso chce wymusić zabezpieczenia na poziomie wiersza, zdecydowanie zaleca się użycie zaplanowanych zaproszeń, aby dodać użytkowników-gości przed upływem czasu i przypisać je do ról zabezpieczeń przed udostępnieniem zawartości. Jeśli zamiast tego firma Contoso korzysta z zaproszeń ad hoc, może wystąpić krótki okres, gdy użytkownicy-goście nie będą mogli zobaczyć żadnych danych.

Uwaga

To opóźnienie w uzyskiwaniu dostępu do danych chronionych przez zabezpieczenia na poziomie wiersza w przypadku korzystania z zaproszeń ad hoc może prowadzić do żądań pomocy technicznej do zespołu IT, ponieważ użytkownicy zobaczą puste lub uszkodzone wyglądające raporty/pulpity nawigacyjne podczas otwierania linku udostępniania w otrzymanej wiadomości e-mail. W związku z tym zdecydowanie zaleca się użycie planowanych zaproszeń w tym scenariuszu.

Przyjrzyjmy się temu przykładowi.

Jak wspomniano wcześniej, firma Contoso ma dostawców na całym świecie i chce się upewnić, że użytkownicy z organizacji dostawców uzyskują szczegółowe informacje z danych tylko z ich terytorium. Użytkownicy firmy Contoso mogą jednak uzyskiwać dostęp do wszystkich danych. Zamiast tworzyć kilka różnych raportów, firma Contoso tworzy pojedynczy raport i filtruje dane na podstawie wyświetlanego przez użytkownika.

Aby upewnić się, że firma Contoso może filtrować dane na podstawie tego, kto nawiązuje połączenie, w programie Power BI Desktop są tworzone dwie role. Jeden do filtrowania wszystkich danych z "Europa" salesTerritory, a drugi pod kątem "Ameryka Północna".

Za każdym razem, gdy role są zdefiniowane w raporcie, użytkownik musi być przypisany do określonej roli, aby uzyskać dostęp do dowolnych danych. Przypisanie ról odbywa się wewnątrz usługa Power BI ( Semantyczne modele > Security ).

Spowoduje to otwarcie strony, na której zespół ds. analizy biznesowej firmy Contoso może zobaczyć dwie utworzone przez nich role. Teraz zespół ds. analizy biznesowej firmy Contoso może przypisywać użytkowników do ról.

W przykładzie firma Contoso dodaje użytkownika w organizacji partnerskiej z adresem admin@fabrikam.com e-mail do roli Europa:

Po rozwiązaniu tego problemu przez identyfikator entra firmy Microsoft firma Contoso może zobaczyć nazwę wyświetlaną w oknie gotowym do dodania:

Teraz, gdy ten użytkownik otworzy udostępnioną im aplikację, zobaczy tylko raport z danymi z Europy:

Zabezpieczenia na poziomie wiersza dynamicznego

Innym interesującym tematem jest sprawdzenie, jak dynamiczne zabezpieczenia na poziomie wiersza działają z firmą Microsoft Entra B2B.

Krótko mówiąc, zabezpieczenia na poziomie wiersza dynamicznego działają przez filtrowanie danych w modelu na podstawie nazwy użytkownika osoby łączącej się z usługą Power BI. Zamiast dodawać wiele ról dla grup użytkowników, należy zdefiniować użytkowników w modelu. W tym miejscu nie opiszemy wzorca. Kasper de Jong oferuje szczegółowy zapis na temat wszystkich smaków zabezpieczeń na poziomie wiersza w programie Power BI Desktop dynamiczna ściągawka dotycząca zabezpieczeń i w tym oficjalnym dokumencie .

Przyjrzyjmy się małego przykładu — firma Contoso ma prosty raport dotyczący sprzedaży według grup:

Teraz ten raport musi być udostępniony dwóm użytkownikom-gościom i użytkownikowi wewnętrznemu — użytkownik wewnętrzny może zobaczyć wszystko, ale użytkownicy-goście mogą zobaczyć tylko grupy, do których mają dostęp. Oznacza to, że musimy filtrować dane tylko dla użytkowników-gości. Aby odpowiednio filtrować dane, firma Contoso używa wzorca zabezpieczeń na poziomie wiersza dynamicznego zgodnie z opisem w oficjalnym dokumencie i wpisie w blogu. Oznacza to, że firma Contoso dodaje nazwy użytkowników do samych danych:

Następnie firma Contoso tworzy odpowiedni model danych, który odpowiednio filtruje dane przy użyciu odpowiednich relacji:

Aby automatycznie filtrować dane na podstawie tego, kto jest zalogowany, firma Contoso musi utworzyć rolę przekazującą dane użytkownikowi, który nawiązuje połączenie. W takim przypadku firma Contoso tworzy dwie role — pierwszy to "rola zabezpieczeń", która filtruje tabelę Users przy użyciu bieżącej nazwy użytkownika zalogowanego do usługi Power BI (działa to nawet w przypadku użytkowników-gości usługi Microsoft Entra B2B).

Firma Contoso tworzy również kolejny element "AllRole" dla swoich użytkowników wewnętrznych, którzy widzą wszystko — ta rola nie ma żadnego predykatu zabezpieczeń.

Po przekazaniu pliku programu Power BI Desktop do usługi firma Contoso może przypisać użytkowników-gości do "SecurityRole" i użytkowników wewnętrznych do elementu "AllRole"

Teraz, gdy użytkownicy-goście otwierają raport, widzą tylko sprzedaż z grupy A:

W macierzy po prawej stronie można zobaczyć wynik funkcji USERNAME() i USERPRINCIPALNAME() zwracają adres e-mail użytkowników-gości.

Teraz użytkownik wewnętrzny uzyskuje dostęp do wszystkich danych:

Jak widać, zabezpieczenia na poziomie wiersza dynamicznego działają zarówno z użytkownikami wewnętrznymi, jak i gośćmi.

Uwaga

Ten scenariusz działa również w przypadku korzystania z modelu w usługach Azure Analysis Services. Zazwyczaj usługa Azure Analysis Service jest połączona z tym samym identyfikatorem Firmy Microsoft Entra co usługa Power BI — w takim przypadku usługi Azure Analysis Services również zna użytkowników-gości zaproszonych za pośrednictwem usługi Microsoft Entra B2B.

Połączenie do lokalnych źródeł danych

Usługa Power BI oferuje firmie Contoso możliwość korzystania z lokalnych źródeł danych, takich jak sql Server Analysis Services lub SQL Server , bezpośrednio dzięki lokalnej bramie danych. Możesz nawet zalogować się do tych źródeł danych przy użyciu tych samych poświadczeń, które są używane w usłudze Power BI.

Uwaga

Podczas instalowania bramy w celu nawiązania połączenia z dzierżawą usługi Power BI należy użyć użytkownika utworzonego w ramach dzierżawy. Użytkownicy zewnętrzni nie mogą zainstalować bramy i połączyć ją z tenant._

W przypadku użytkowników zewnętrznych może to być bardziej skomplikowane, ponieważ użytkownicy zewnętrzni zwykle nie są znani lokalnej usłudze AD. Usługa Power BI oferuje obejście tego problemu, umożliwiając administratorom firmy Contoso mapowanie nazw użytkowników zewnętrznych na nazwy użytkowników wewnętrznych zgodnie z opisem w temacie Zarządzanie źródłem danych — Analysis Services. Można na przykład lucy@supplier1.com zamapować na lucy_supplier1_com#EXT@contoso.com.

Ta metoda jest dobra, jeśli firma Contoso ma tylko kilku użytkowników lub jeśli firma Contoso może mapować wszystkich użytkowników zewnętrznych na jedno konto wewnętrzne. W przypadku bardziej złożonych scenariuszy, w których każdy użytkownik potrzebuje własnych poświadczeń, istnieje bardziej zaawansowane podejście, które używa niestandardowych atrybutów usługi AD do mapowania zgodnie z opisem w temacie Zarządzanie źródłem danych — Analysis Services. Umożliwiłoby to administratorowi firmy Contoso zdefiniowanie mapowania dla każdego użytkownika w identyfikatorze Entra firmy Microsoft (również zewnętrznym użytkownikom B2B). Te atrybuty można ustawić za pomocą modelu obiektów usługi AD przy użyciu skryptów lub kodu, aby firma Contoso mogła w pełni zautomatyzować mapowanie przy zapraszaniu lub zgodnie z harmonogramem.

Ład korporacyjny

Dodatkowe ustawienia identyfikatora Entra firmy Microsoft, które mają wpływ na środowiska w usłudze Power BI związane z firmą Microsoft Entra B2B

W przypadku korzystania z udostępniania microsoft Entra B2B administrator firmy Microsoft kontroluje aspekty środowiska użytkownika zewnętrznego. Są one kontrolowane na stronie Ustawienia współpracy zewnętrznej w ustawieniach identyfikatora Entra firmy Microsoft dla dzierżawy.

Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

Uwaga

Domyślnie uprawnienia użytkowników-gości są ograniczone opcja jest ustawiona na Wartość Tak, więc użytkownicy-goście w usłudze Power BI mają ograniczone środowiska szczególnie otaczające udostępnianie, gdzie interfejsy użytkownika selektora osób nie działają dla tych użytkowników. Ważne jest, aby pracować z administratorem firmy Microsoft Entra, aby ustawić go na Nie, jak pokazano poniżej, aby zapewnić dobre środowisko.

Kontrolowanie zaproszeń gościa

Administratorzy usługi Power BI mogą kontrolować udostępnianie zewnętrzne tylko dla usługi Power BI, odwiedzając portal administracyjny usługi Power BI. Jednak administratorzy mogą również kontrolować udostępnianie zewnętrzne za pomocą różnych zasad firmy Microsoft Entra. Te zasady umożliwiają administratorom:

• Wyłączanie zaproszeń przez użytkowników końcowych
• Tylko administratorzy i użytkownicy w roli zapraszania gościa mogą zapraszać
• Administracja, rola zapraszania gościa i członkowie mogą zapraszać
• Wszyscy użytkownicy, w tym goście, mogą zapraszać

Więcej informacji na temat tych zasad można uzyskać w temacie Delegowanie zaproszeń do współpracy firmy Microsoft Entra B2B.

Wszystkie akcje usługi Power BI przez użytkowników zewnętrznych są również poddawane inspekcji w naszym portalu inspekcji.

Zasady dostępu warunkowego dla użytkowników-gości

Firma Contoso może wymusić zasady dostępu warunkowego dla użytkowników-gości, którzy uzyskują dostęp do zawartości z dzierżawy firmy Contoso. Szczegółowe instrukcje można znaleźć w temacie Dostęp warunkowy dla użytkowników współpracy B2B.

Typowe alternatywne podejścia

Chociaż firma Microsoft Entra B2B ułatwia udostępnianie danych i raportów w organizacjach, istnieje kilka innych metod, które są powszechnie używane i mogą być lepsze w niektórych przypadkach.

Alternatywna opcja 1. Tworzenie zduplikowanych tożsamości dla użytkowników partnerów

W przypadku tej opcji firma Contoso musiała ręcznie utworzyć zduplikowane tożsamości dla każdego użytkownika partnera w dzierżawie firmy Contoso, jak pokazano na poniższej ilustracji. Następnie w usłudze Power BI firma Contoso może udostępniać przypisane tożsamości odpowiednim raportom, pulpitom nawigacyjnym lub aplikacjom.

Powody wyboru tej alternatywy:

• Ponieważ tożsamość użytkownika jest kontrolowana przez organizację, każda powiązana usługa, taka jak poczta e-mail, program SharePoint itp., jest również w ramach kontroli organizacji. Twoi Administracja istratorzy IT mogą resetować hasła, wyłączać dostęp do kont lub przeprowadzać inspekcję działań w tych usługach.
• Użytkownicy korzystający z kont osobistych w swojej firmie często nie mogą uzyskiwać dostępu do niektórych usług, więc mogą potrzebować konta organizacyjnego.
• Niektóre usługi działają tylko nad użytkownikami organizacji. Na przykład użycie usługi Intune do zarządzania zawartością na urządzeniach osobistych/przenośnych użytkowników zewnętrznych przy użyciu usługi Microsoft Entra B2B może być niemożliwe.

Powody, dla których nie należy wybierać tej alternatywy:

• Użytkownicy z organizacji partnerskich muszą pamiętać dwa zestawy poświadczeń — jeden w celu uzyskania dostępu do zawartości z własnej organizacji, a drugi do uzyskiwania dostępu do zawartości od firmy Contoso. Jest to kłopotliwe dla tych użytkowników-gości i wielu użytkowników-gości jest zdezorientowanych przez to środowisko.
• Firma Contoso musi zakupić i przypisać licencje dla poszczególnych użytkowników do tych użytkowników. Jeśli użytkownik musi otrzymywać wiadomości e-mail lub korzystać z aplikacji pakietu Office, musi mieć odpowiednie licencje, w tym usługę Power BI Pro, aby edytować i udostępniać zawartość w usłudze Power BI.
• Firma Contoso może chcieć wymusić bardziej rygorystyczne zasady autoryzacji i ładu dla użytkowników zewnętrznych w porównaniu z użytkownikami wewnętrznymi. Aby to osiągnąć, firma Contoso musi utworzyć wewnętrzne nomenklaturę dla użytkowników zewnętrznych, a wszyscy użytkownicy firmy Contoso muszą być wykształceni w tej nomenklaturze.
• Gdy użytkownik opuści organizację, będzie nadal mieć dostęp do zasobów firmy Contoso, dopóki administrator firmy Contoso ręcznie nie usunie swojego konta
• Administratorzy firmy Contoso muszą zarządzać tożsamością gościa, w tym tworzenie, resetowanie haseł itp.

Alternatywna opcja 2. Tworzenie niestandardowej aplikacji usługi Power BI Embedded przy użyciu uwierzytelniania niestandardowego

Inną opcją dla firmy Contoso jest utworzenie własnej niestandardowej osadzonej aplikacji usługi Power BI z uwierzytelnianiem niestandardowym (aplikacja jest właścicielem danych). Chociaż wiele organizacji nie ma czasu ani zasobów na utworzenie niestandardowej aplikacji w celu dystrybucji zawartości usługi Power BI do swoich partnerów zewnętrznych, w przypadku niektórych organizacji jest to najlepsze podejście i zasługuje na poważne kwestie.

Często organizacje mają istniejące portale partnerskie, które centralizują dostęp do wszystkich zasobów organizacji dla partnerów, zapewniają izolację od wewnętrznych zasobów organizacyjnych i zapewniają usprawnione środowiska dla partnerów do obsługi wielu partnerów i poszczególnych użytkowników.

W powyższym przykładzie użytkownicy z każdego dostawcy loguje się do portalu partnerskiego firmy Contoso, który używa identyfikatora Entra firmy Microsoft jako dostawcy tożsamości. Może używać usługi Microsoft Entra B2B, Azure Active Directory B2C, tożsamości natywnych lub federować z dowolną liczbą innych dostawców tożsamości. Użytkownik loguje się i uzyskuje dostęp do kompilacji portalu partnerskiego przy użyciu aplikacji internetowej platformy Azure lub podobnej infrastruktury.

W aplikacji internetowej raporty usługi Power BI są osadzone z wdrożenia usługi Power BI Embedded. Aplikacja internetowa usprawniłaby dostęp do raportów i wszelkich powiązanych usług w spójnym środowisku, co ułatwia dostawcom interakcję z firmą Contoso. To środowisko portalu zostanie odizolowane od wewnętrznego identyfikatora firmy Microsoft firmy Microsoft i wewnętrznego środowiska usługi Power BI firmy Contoso, aby upewnić się, że dostawcy nie mogą uzyskać dostępu do tych zasobów. Zazwyczaj dane są przechowywane w oddzielnym magazynie danych partnerów w celu zapewnienia izolacji danych. Ta izolacja ma korzyści, ponieważ ogranicza liczbę użytkowników zewnętrznych z bezpośrednim dostępem do danych organizacji, ograniczając dane, które potencjalnie mogą być dostępne dla użytkownika zewnętrznego i ograniczając przypadkowe udostępnianie użytkownikom zewnętrznym.

Korzystając z usługi Power BI Embedded, portal może korzystać z korzystnego licencjonowania, tokenu aplikacji lub użytkownika głównego oraz pojemności Premium zakupionej w modelu platformy Azure, co upraszcza przypisywanie licencji do użytkowników końcowych i umożliwia skalowanie w górę/w dół na podstawie oczekiwanego użycia. Portal może oferować ogólną wyższą jakość i spójne środowisko, ponieważ partnerzy uzyskują dostęp do jednego portalu zaprojektowanego ze wszystkimi potrzebami partnera. Ponadto, ponieważ rozwiązania oparte na usłudze Power BI Embedded są zwykle zaprojektowane jako wielodostępne, ułatwia zapewnienie izolacji między organizacjami partnerskimi.

Powody wyboru tej alternatywy:

• Łatwiejsze zarządzanie wraz ze wzrostem liczby organizacji partnerskich. Ponieważ partnerzy są dodawani do oddzielnego katalogu odizolowanego od wewnętrznego katalogu firmy Microsoft Entra firmy Contoso, upraszcza on obowiązki związane z zarządzaniem it i pomaga zapobiegać przypadkowemu udostępnianiu danych wewnętrznych użytkownikom zewnętrznym.
• Typowe portale partnerskie to wysoce markowe środowiska ze spójnymi środowiskami między partnerami i usprawnione w celu zaspokojenia potrzeb typowych partnerów. W związku z tym firma Contoso może zaoferować partnerom lepsze ogólne środowisko, integrując wszystkie wymagane usługi w jednym portalu.
• Koszty licencjonowania dla zaawansowanych scenariuszy, takich jak edytowanie zawartości w usłudze Power BI Embedded, są objęte zakupem usługi Power BI Premium na platformie Azure i nie wymagają przypisania licencji usługi Power BI Pro do tych użytkowników.
• Zapewnia lepszą izolację między partnerami, jeśli jest to rozwiązanie wielodostępne.
• Portal partnerski często zawiera inne narzędzia dla partnerów poza raportami, pulpitami nawigacyjnymi i aplikacjami usługi Power BI.

Powody, dla których nie należy wybierać tej alternatywy:

• Aby tworzyć, obsługiwać i obsługiwać taki portal, wymagane jest znaczne nakłady pracy związane z zasobami i czasem.
• Czas rozwiązania jest znacznie dłuższy niż korzystanie z udostępniania B2B, ponieważ wymagane jest staranne planowanie i wykonywanie w wielu strumieniach roboczych.
• Jeśli istnieje mniejsza liczba partnerów, nakład pracy wymagany dla tej alternatywy jest prawdopodobnie zbyt wysoki, aby uzasadnić.
• Współpraca z udostępnianiem ad hoc jest podstawowym scenariuszem napotykanym przez organizację.
• Raporty i pulpity nawigacyjne są różne dla każdego partnera. Ta alternatywa stanowi wprowadzenie narzutów związanych z zarządzaniem poza udostępnianiem bezpośrednio partnerom.

Często zadawane pytania

Czy firma Contoso może wysłać zaproszenie, które zostanie automatycznie zrealizowane, aby użytkownik był po prostu "gotowy do użycia"? Czy też użytkownik musi zawsze klikać do adresu URL realizacji?

Użytkownik końcowy musi zawsze klikać środowisko wyrażania zgody, zanim będzie mógł uzyskać dostęp do zawartości.

Jeśli zapraszasz wielu użytkowników-gości, zalecamy delegowanie go od podstawowych administratorów firmy Microsoft Entra przez dodanie użytkownika do roli osoby zapraszających gości w organizacji zasobów. Ten użytkownik może zaprosić innych użytkowników w organizacji partnerskiej przy użyciu interfejsu użytkownika logowania, skryptów programu PowerShell lub interfejsów API. Zmniejsza to obciążenie administracyjne administratorów firmy Microsoft Entra w celu zapraszania lub ponownego zapraszania użytkowników w organizacji partnerskiej.

Czy firma Contoso może wymusić uwierzytelnianie wieloskładnikowe dla użytkowników-gości, jeśli jego partnerzy nie mają uwierzytelniania wieloskładnikowego?

Tak. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla użytkowników współpracy B2B.

Jak działa współpraca B2B, gdy zaproszony partner korzysta z federacji w celu dodania własnego uwierzytelniania lokalnego?

Jeśli partner ma dzierżawę firmy Microsoft Entra, która jest federacyjna z lokalną infrastrukturą uwierzytelniania, lokalne logowanie jednokrotne (SSO) jest automatycznie osiągane. Jeśli partner nie ma dzierżawy firmy Microsoft Entra, dla nowych użytkowników może zostać utworzone konto Microsoft Entra.

Czy mogę zaprosić użytkowników-gości przy użyciu kont e-mail klientów?

Zapraszanie użytkowników-gości przy użyciu kont e-mail klientów jest obsługiwane w usłudze Power BI. Obejmuje to domeny, takie jak hotmail.com, outlook.com i gmail.com. Jednak ci użytkownicy mogą napotkać ograniczenia wykraczające poza to, co napotykają użytkownicy z kontami służbowymi.