Distribuir conteúdo do Power BI para usuários convidados externos usando o Microsoft Entra B2B

Resumo: este é um white paper técnico que descreve como distribuir conteúdo para usuários fora da organização usando a integração do Microsoft Entra ID (anteriormente conhecido como Azure Active Directory) entre empresas (Microsoft Entra B2B).

Escritores: Lukasz Pawlowski, Kasper de Jonge

Revisores Técnicos: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Observação

Você pode salvar ou imprimir este whitepaper selecionando Imprimir no seu navegador e, em seguida, selecionando Salvar como PDF.

Introdução

O Power BI oferece às organizações uma visão 360 graus de seus negócios e capacita todas essas organizações a tomar decisões inteligentes usando dados. Muitas dessas organizações têm relações fortes e confiáveis com parceiros externos, clientes e prestadores de serviços. Essas organizações precisam fornecer acesso seguro aos painéis e relatórios do Power BI aos usuários desses parceiros externos.

O Power BI se integra ao Microsoft Entra entre empresas (Microsoft Entra B2B) para permitir a distribuição segura de conteúdo do Power BI para usuários convidados fora da organização, mantendo o controle e a governança de acesso aos dados internos.

Este white paper aborda todos os detalhes necessários para entender a integração do Power BI com o Microsoft Entra B2B. Abordamos seu caso de uso mais comum, instalação, licenciamento e segurança em nível de linha.

Cenários

A Contoso é fabricante de automóveis e trabalha com muitos fornecedores diversos que fornecem todos os componentes, materiais e serviços necessários para executar suas operações de fabricação. A Contoso deseja simplificar sua logística da cadeia de suprimentos e planeja usar o Power BI para monitorar as principais métricas de desempenho de sua cadeia de suprimentos. A Contoso deseja compartilhar com parceiros externos de cadeia de fornecedores de maneira segura e gerenciável.

A Contoso pode habilitar as seguintes experiências para usuários externos usando o Power BI e o Microsoft Entra B2B.

Ad hoc por compartilhamento de itens

A Contoso trabalha com um fornecedor que constrói radiadores para os carros da Contoso. Muitas vezes, eles precisam otimizar a confiabilidade dos radiadores usando dados de todos os carros da Contoso. Um analista da Contoso usa o Power BI para compartilhar um relatório de confiabilidade do radiador com um engenheiro do fornecedor. O Engenheiro recebe um email com um link para exibir o relatório.

Conforme descrito acima, esse compartilhamento ad hoc é executado por usuários corporativos conforme necessário. O link enviado pelo Power BI para o usuário externo é um link de convite do Microsoft Entra B2B. Quando o usuário externo abre o link, ele é solicitado a ingressar na organização do Microsoft Entra da Contoso como um usuário convidado. Depois que o convite é aceito, o link abre o relatório específico ou painel. O administrador do Microsoft Entra delega permissão para convidar usuários externos para a organização e escolhe o que esses usuários podem fazer quando aceitam o convite, conforme descrito na seção Governança deste documento. O analista da Contoso pode convidar o usuário apenas porque o administrador do Microsoft Entra permitiu essa ação e o administrador do Power BI permitiu que os usuários convidassem usuários para exibir conteúdo nas configurações de locatário do Power BI.

1. O processo começa com um usuário interno da Contoso compartilhando um painel ou um relatório com um usuário externo. Se o usuário externo ainda não for um convidado no Microsoft Entra ID da Contoso, ele será convidado. Um email é enviado para seu endereço de email que inclui um convite para o Microsoft Entra ID da Contoso.
2. O destinatário aceita o convite para o Microsoft Entra ID da Contoso e é adicionado como um usuário convidado no Microsoft Entra ID da Contoso.
3. Em seguida, o destinatário é redirecionado para o painel, relatório ou aplicativo do Power BI.

O processo é considerado ad hoc, pois os usuários empresariais da Contoso executam a ação de convite conforme necessário para seus fins comerciais. Cada item compartilhado é um link único que o usuário externo pode acessar para exibir o conteúdo.

Depois que o usuário externo tiver sido convidado a acessar os recursos da Contoso, uma conta de sombra poderá ser criada para ele no Microsoft Entra ID da Contoso e ele não precisará ser convidado novamente. Na primeira vez em que tentam acessar um recurso da Contoso, como um painel do Power BI, eles passam por um processo de consentimento, que resgata o convite. Se eles não concluírem o consentimento, não poderão acessar nenhum conteúdo da Contoso. Se ele tiver problemas para resgatar o convite por meio do link original fornecido, um administrador do Microsoft Entra poderá reenviar um link de convite específico para ser resgatado por ele.

Compartilhamento planejado por item

A Contoso trabalha com um subcontratado para executar a análise de confiabilidade de radiadores. O subcontratado tem uma equipe de 10 pessoas que precisam de acesso aos dados no ambiente do Power BI da Contoso. O administrador do Microsoft Entra da Contoso está envolvido para convidar todos os usuários e lidar com quaisquer adições/alterações como pessoal na alteração do subcontratado. O administrador do Microsoft Entra cria um grupo de segurança para todos os funcionários no subcontratado. Usando o grupo de segurança, os funcionários da Contoso podem gerenciar facilmente o acesso aos relatórios e garantir que todos os funcionários subcontratados necessários tenham acesso a todos os relatórios, painéis e aplicativos do Power BI necessários. O administrador do Microsoft Entra também pode evitar se envolver completamente no processo de convite optando por delegar direitos de convite a um funcionário confiável da Contoso ou ao subcontratado para garantir o gerenciamento de pessoal em tempo hábil.

Algumas organizações exigem mais controle sobre quando usuários externos são adicionados, estão convidando muitos usuários em uma organização externa ou muitas organizações externas. Nesses casos, o compartilhamento planejado pode ser usado para gerenciar a escala de compartilhamento, impor políticas organizacionais e até mesmo delegar direitos a indivíduos confiáveis para convidar e gerenciar usuários externos. O Microsoft Entra B2B dá suporte a convites planejados para serem enviados diretamente do portal do Azure por um administrador de TI ou por meio do PowerShell usando a API do gerenciador de convites em que um conjunto de usuários pode ser convidado em uma ação. Usando a abordagem de convites planejados, a organização pode controlar quem pode convidar usuários e implementar processos de aprovação. Recursos avançados do Microsoft Entra, como grupos dinâmicos, podem facilitar a manutenção automática da associação ao grupo de segurança.

1. O processo começa com um administrador de TI convidando o usuário manualmente ou por meio da API fornecida pelo Microsoft Entra ID.
2. O usuário aceita o convite para a organização.
3. Depois que o usuário aceitar o convite, um usuário do Power BI poderá compartilhar um relatório ou painel com o usuário externo ou um grupo de segurança no qual ele está. Assim como ocorre com o compartilhamento regular no Power BI, o usuário externo recebe um email com o link para o item.
4. Quando o usuário externo acessa o link, sua autenticação em seu diretório é passada para o Microsoft Entra ID da Contoso e usada para obter acesso ao conteúdo do Power BI.

Compartilhamento ad hoc ou planejado de aplicativos do Power BI

A Contoso tem um conjunto de relatórios e painéis necessários para compartilhar com um ou mais Fornecedores. Para garantir que todos os usuários externos necessários tenham acesso a esse conteúdo, ele é empacotado como um aplicativo do Power BI. Os usuários externos são adicionados diretamente à lista de acesso do aplicativo ou por meio de grupos de segurança. Alguém na Contoso envia a URL do aplicativo para todos os usuários externos, por exemplo, em um email. Quando os usuários externos abrem o link, eles veem todo o conteúdo em uma única experiência fácil de navegar.

O uso de um aplicativo do Power BI facilita para a Contoso criar um Portal de BI para seus fornecedores. Uma única lista de acesso controla o acesso a todo o conteúdo necessário, reduzindo a verificação de tempo perdido e definindo permissões de nível de item. O Microsoft Entra B2B mantém o acesso à segurança usando a identidade nativa do Fornecedor para que os usuários não precisem de credenciais de entrada adicionais. Se estiver usando convites planejados com grupos de segurança, o gerenciamento de acesso ao aplicativo à medida que a equipe gira para dentro ou para fora do projeto é simplificado. Associação a grupos de segurança manualmente ou usando grupos dinâmicos, para que todos os usuários externos de um fornecedor sejam adicionados automaticamente ao grupo de segurança apropriado.

1. O processo começa pelo usuário que está sendo convidado para a organização do Microsoft Entra da Contoso por meio do portal do Azure ou do PowerShell.
2. O usuário pode ser adicionado a um grupo de usuários no Microsoft Entra ID. Um grupo de usuários estático ou dinâmico pode ser usado, mas grupos dinâmicos ajudam a reduzir o trabalho manual.
3. Os usuários externos recebem acesso ao Aplicativo do Power BI por meio do grupo de usuários. A URL do aplicativo deve ser enviada diretamente para o usuário externo ou colocada em um site ao qual ele tem acesso. O Power BI faz o melhor esforço para enviar um email com o link do aplicativo para usuários externos, mas ao usar grupos de usuários cuja associação pode mudar, o Power BI não é capaz de enviar a todos os usuários externos gerenciados por meio de grupos de usuários.
4. Quando o usuário externo acessa a URL do aplicativo do Power BI, ele é autenticado pelo Microsoft Entra ID da Contoso, o aplicativo é instalado para o usuário e o usuário pode ver todos os relatórios e painéis contidos no aplicativo.

Os aplicativos também têm um recurso exclusivo que permite que os autores de aplicativos instalem o aplicativo automaticamente para o usuário, portanto, ele está disponível quando o usuário faz logon. Esse recurso só é instalado automaticamente para usuários externos que já fazem parte da organização da Contoso no momento em que o aplicativo é publicado ou atualizado. Portanto, ele é mais usado com a abordagem planejada de convites e depende do aplicativo ser publicado ou atualizado após os usuários serem adicionados ao Microsoft Entra ID da Contoso. Os usuários externos sempre podem instalar o aplicativo usando o link do aplicativo.

Comentando e assinando o conteúdo entre organizações

À medida que a Contoso continua a trabalhar com seus subcontratados ou fornecedores, os engenheiros externos precisam trabalhar em estreita colaboração com os analistas da Contoso. O Power BI fornece vários recursos de colaboração que ajudam os usuários a se comunicarem sobre o conteúdo que podem consumir. O comentário do painel (e em breve comentários de relatório) permite que os usuários discutam pontos de dados que veem e se comuniquem com os autores do relatório para fazer perguntas.

Atualmente, usuários convidados externos podem participar de comentários deixando comentários e lendo as respostas. No entanto, ao contrário dos usuários internos, os usuários convidados não podem ser @mentioned e não recebem notificações de que receberam um comentário. Os usuários convidados podem usar o recurso de assinaturas no Power BI para assinar um relatório ou painel. Leia Assinaturas de e-mail para relatórios e painéis no serviço do Power BI para saber mais.

Acessar conteúdo nos aplicativos móveis do Power BI

Quando o usuário convidado abrir o link para o relatório ou painel em seu dispositivo móvel, o conteúdo será aberto nos aplicativos móveis nativos do Power BI em seu dispositivo, se eles estiverem instalados. Em seguida, o usuário convidado poderá navegar entre o conteúdo compartilhado com ele no locatário externo e voltar para seu próprio conteúdo do locatário inicial. Para obter mais informações sobre como acessar o conteúdo que foi compartilhado com você de uma organização externa por meio de aplicativos móveis do Power BI, consulte Exibir conteúdo do Power BI compartilhado com você de uma organização externa.

Relações organizacionais usando o Power BI e o Microsoft Entra B2B

Quando todos os usuários do Power BI são internos para a organização, não é necessário usar o Microsoft Entra B2B. No entanto, uma vez que duas ou mais organizações desejem colaborar em dados e insights, o suporte do Power BI para o Microsoft Entra B2B torna fácil e econômico fazer isso.

Veja a seguir estruturas organizacionais encontradas com frequência que são adequadas para a colaboração entre organizações no estilo do Microsoft Entra B2B no Power BI. O Microsoft Entra B2B funciona bem na maioria dos casos, mas em algumas situações, vale a pena considerar as abordagens alternativas comuns mencionadas no final deste documento.

Caso 1: Colaboração direta entre organizações

A relação da Contoso com seu fornecedor radiador é um exemplo de colaboração direta entre organizações. Como há relativamente poucos usuários na Contoso e em seu fornecedor que precisam de acesso às informações de confiabilidade do radiador, usar o compartilhamento externo baseado no Microsoft Entra B2B é ideal. É fácil de usar e simples de administrar. Esse também é um padrão comum em serviços de consultoria em que um consultor pode precisar criar conteúdo para uma organização.

Normalmente, esse compartilhamento ocorre inicialmente usando ad hoc por compartilhamento de item. No entanto, à medida que as equipes crescem ou as relações se aprofundam, a abordagem de compartilhamento planejado por item torna-se o método preferencial para reduzir a sobrecarga de gerenciamento. Além disso, o compartilhamento ad hoc ou planejado de Aplicativos do Power BI, Comentários e assinaturas de conteúdo entre organizações, o acesso ao conteúdo em aplicativos móveis também pode entrar em jogo. É importante ressaltar que, se os usuários de ambas as organizações tiverem licenças Power BI Pro em suas respectivas organizações, eles poderão usar essas licenças Pro nos ambientes do Power BI umas das outras. Isso fornece licenciamento vantajoso, pois a organização que convida pode não precisar pagar por uma licença de Power BI Pro para os usuários externos. Isso é discutido mais detalhadamente na seção Licenciamento mais adiante neste documento.

Caso 2: Pai e suas subsidiárias ou afiliadas

Algumas estruturas organizacionais são mais complexas, incluindo subsidiárias de propriedade parcial ou total, empresas afiliadas ou relações de provedores de serviços gerenciados. Essas organizações têm uma organização pai, como uma holding, mas as organizações subjacentes operam de forma semi-autônoma, às vezes sob diferentes requisitos regionais. Isso faz com que cada organização tenha seu próprio ambiente do Microsoft Entra e locatários separados do Power BI.

Nessa estrutura, a organização pai normalmente precisa distribuir insights padronizados para suas subsidiárias. Normalmente, esse compartilhamento ocorre usando a abordagem Ad hoc ou compartilhamento planejado de Aplicativos do Power BI, conforme ilustrado na imagem a seguir, pois permite a distribuição de conteúdo autoritativo padronizado para públicos amplos. Na prática, uma combinação de todos os cenários mencionados anteriormente neste documento é usada.

Isso segue o seguinte processo:

1. Usuários de cada subsidiária são convidados para o Microsoft Entra ID da Contoso
2. Em seguida, o aplicativo Power BI é publicado para dar a esses usuários acesso aos dados necessários
3. Por fim, os usuários abrem o aplicativo por meio de um link que eles receberam para ver os relatórios

Vários desafios importantes são enfrentados pelas organizações nesta estrutura:

• Como distribuir links para o conteúdo no Power BI da organização pai
• Como permitir que usuários subsidiárias acessem a fonte de dados hospedada pela organização pai

Como distribuir links para o conteúdo no Power BI da organização pai

Três abordagens são comumente usadas para distribuir links para o conteúdo. O primeiro e mais básico é enviar o link para o aplicativo para os usuários necessários ou colocá-lo em um site do SharePoint Online do qual ele possa ser aberto. Em seguida, os usuários podem marcar o link em seus navegadores para obter acesso mais rápido aos dados necessários.

A segunda abordagem é onde a organização pai permite que os usuários das subsidiárias acessem seu Power BI e controles que eles podem acessar por meio de permissão. Isso dá acesso a Página Inicial do Power BI em que o usuário da subsidiária vê uma lista abrangente de conteúdo compartilhado com ele no locatário da organização pai. Em seguida, a URL para o ambiente do Power BI das organizações pai é fornecida aos usuários nas subsidiárias.

A abordagem final usa um aplicativo do Power BI criado dentro do locatário do Power BI para cada subsidiária. O aplicativo Do Power BI inclui um painel com blocos configurados com a opção de link externo. Quando o usuário pressiona o bloco, ele é levado para o relatório, painel ou aplicativo apropriado no Power BI da organização pai. Essa abordagem tem a vantagem adicional de que o aplicativo pode ser instalado automaticamente para todos os usuários na subsidiária e está disponível para eles sempre que eles entrarem em seu próprio ambiente do Power BI. Uma vantagem adicional dessa abordagem é que ela funciona bem com os aplicativos móveis do Power BI que podem abrir o link nativamente. Você também pode combinar isso com a segunda abordagem para permitir uma alternância mais fácil entre ambientes do Power BI.

Como permitir que usuários subsidiárias acessem a fonte de dados hospedada pela organização pai

Muitas vezes, os analistas de uma subsidiária precisam criar suas próprias análises usando dados fornecidos pela organização pai. Nesse caso, normalmente, as fontes de dados de nuvem são usadas para resolver o desafio.

A primeira abordagem usa Azure Analysis Services para criar um data warehouse de nível empresarial que atenda às necessidades dos analistas em todo o pai e suas subsidiárias, conforme mostrado na imagem a seguir. A Contoso pode hospedar os dados e usar recursos como segurança em nível de linha para garantir que os usuários em cada subsidiária possam acessar apenas seus dados. Analistas de cada organização podem acessar o data warehouse por meio de Power BI Desktop e publicar análises resultantes em seus respectivos locatários do Power BI.

A segunda abordagem usa Banco de Dados SQL do Azure para criar um data warehouse relacional para fornecer acesso aos dados. Isso funciona de forma semelhante à abordagem Azure Analysis Services, embora alguns recursos como a segurança em nível de linha possam ser mais difíceis de implantar e manter entre subsidiárias.

Abordagens mais sofisticadas também são possíveis, no entanto, as acima são de longe as mais comuns.

Caso 3: ambiente compartilhado entre parceiros

A Contoso pode firmar uma parceria com um concorrente para construir em conjunto um carro em uma linha de montagem compartilhada, mas distribuir o veículo em diferentes marcas ou em regiões diferentes. Isso requer ampla colaboração e co-propriedade de dados, inteligência e análise entre organizações. Essa estrutura também é comum no setor de serviços de consultoria em que uma equipe de consultores pode fazer análises baseadas em projeto para um cliente.

Na prática, essas estruturas são complexas, conforme mostrado na imagem a seguir, e exigem a manutenção da equipe. Para entrar em vigor, as organizações têm permissão para reutilizar Power BI Pro licenças adquiridas para seus respectivos locatários do Power BI.

Para estabelecer um locatário compartilhado do Power BI, um Microsoft Entra ID precisa ser criado e pelo menos uma conta de usuário do Power BI Pro precisa ser comprada para um usuário nesse locatário. Esse usuário convida os usuários necessários para a organização compartilhada. É importante ressaltar que, nesse cenário, os usuários da Contoso são tratados como usuários externos quando operam no Power BI da Organização Compartilhada.

O processo é o seguinte:

1. A organização compartilhada é estabelecida como um novo Microsoft Entra ID e pelo menos uma conta de usuário é criada no novo locatário. Esse usuário deve ter uma licença Power BI Pro atribuída a ele.
2. Em seguida, esse usuário estabelece um locatário do Power BI e convida os usuários necessários da Contoso e da organização do Parceiro. O usuário também estabelece todos os ativos de dados compartilhados, como Azure Analysis Services. A Contoso e os usuários do Parceiro podem acessar o Power BI da organização compartilhada como usuários convidados. Normalmente, todos os ativos compartilhados são armazenados e acessados da organização compartilhada.
3. Dependendo de como as partes concordam em colaborar, é possível que cada organização desenvolva seus próprios dados e análises proprietários usando ativos de data warehouse compartilhados. Eles podem distribuí-los para seus respectivos usuários internos usando seus locatários internos do Power BI.

Caso 4: Distribuição para centenas ou milhares de parceiros externos

Embora a Contoso tenha criado um relatório de confiabilidade do radiador para um Fornecedor, agora a Contoso deseja criar um conjunto de relatórios padronizados para centenas de fornecedores. Isso permite que a Contoso garanta que todos os fornecedores tenham a análise necessária para fazer melhorias ou corrigir defeitos de fabricação.

Quando uma organização precisa distribuir dados e insights padronizados para muitos usuários/organizações externos, ela pode usar o cenário Ad hoc ou compartilhamento planejado de Aplicativos do Power BI para criar um Portal de BI de forma rápida e sem custos extensivos de desenvolvimento. O processo para criar esse portal usando um aplicativo do Power BI é abordado em Estudo de caso: criar um portal do BI usando o Power BI + Microsoft Entra B2B – instruções passo a passo, mais adiante neste documento.

Uma variante comum desse caso é quando uma organização está tentando compartilhar insights com os consumidores, especialmente ao tentar usar o Azure Active Directory B2C com o Power BI. O Power BI não dá suporte nativo ao Azure Active Directory B2C. Se você estiver avaliando opções para esse caso, considere usar a Opção Alternativa 2 na alternativa Comum aborda a seção mais adiante neste documento.

Estudo de caso: criar um portal do BI usando o Power BI + Microsoft Entra B2B – instruções passo a passo

A integração do Power BI com o Microsoft Entra B2B oferece à Contoso uma maneira perfeita e descomplicada de fornecer aos usuários convidados acesso seguro ao seu portal do BI. A Contoso pode configurar isso com três etapas:

1. Criar um portal de BI no Power BI

   A primeira tarefa da Contoso é criar o portal de BI no Power BI. O portal de BI da Contoso consistirá em uma coleção de painéis e relatórios criados com finalidade que serão disponibilizados para muitos usuários internos e convidados. A maneira recomendada para fazer isso no Power BI é criar um aplicativo do Power BI. Saiba mais sobre aplicativos do Power BI.

• A equipe de BI da Contoso cria um workspace no Power BI

  

• Outros autores são adicionados ao workspace

  

• O conteúdo é criado dentro do workspace

  

  Agora que o conteúdo é criado em um workspace, a Contoso está pronta para convidar usuários convidados em organizações parceiras para consumir esse conteúdo.

2. Convidar usuários convidados

   Há duas maneiras de a Contoso convidar usuários convidados para seu portal de BI no Power BI:

   • Convites planejados
   • Convites ad hoc

   Convites planejados

   Nessa abordagem, a Contoso convida os usuários convidados para o seu Microsoft Entra antecipadamente e, em seguida, distribui o conteúdo do Power BI para eles. A Contoso pode convidar usuários convidados do portal do Azure ou usando o PowerShell. Estas são as etapas para convidar usuários convidados do portal do Azure:

   • O administrador do Microsoft Entra da Contoso navega até Portal do Azure>Microsoft Entra ID>Usuários>Todos os usuários>Novo usuário convidado

   

   • Adicione uma mensagem de convite para os usuários convidados e selecione Convidar

   

   Observação

   Para convidar usuários do portal do Azure, você precisa de um administrador do Microsoft Entra para o seu locatário.

   Se a Contoso quiser convidar muitos usuários convidados, eles poderão fazer isso usando o PowerShell. O administrador do Microsoft Entra da Contoso armazena os endereços de email de todos os usuários convidados em um arquivo CSV. Aqui estão o código de colaboração do Microsoft Entra B2B e exemplos do PowerShell e instruções.

   Após o convite, os usuários convidados recebem um email com o link de convite.

   

   Depois que os usuários convidados selecionarem o link, eles poderão acessar o conteúdo no locatário do Microsoft Entra da Contoso.

   Observação

   É possível alterar o layout do email de convite usando o recurso de identidade visual do Microsoft Entra ID, conforme descrito aqui.

   Convites ad hoc

   E se a Contoso não souber todos os usuários convidados que deseja convidar antecipadamente? Ou e se a analista da Contoso que criou o portal de BI quiser distribuir conteúdo para os próprios usuários convidados? Também damos suporte a esse cenário no Power BI com convites ad hoc.

   O analista pode apenas adicionar os usuários externos à lista de acesso do aplicativo ao publicá-lo. Os usuários convidados recebem um convite e, depois de aceitá-lo, são redirecionados automaticamente para o conteúdo do Power BI.

   

   Observação

   Convites são necessários apenas na primeira vez que um usuário externo é convidado para sua organização.

3. Distribuir Conteúdo

   Agora que a equipe de BI da Contoso criou o portal de BI e convidou usuários convidados, eles podem distribuir seu portal para seus usuários finais dando aos usuários convidados acesso ao aplicativo e publicando-o. O Power BI preenchimento automático de nomes de usuários convidados que foram adicionados anteriormente ao locatário da Contoso. Os convites Adhoc para outros usuários convidados também podem ser adicionados neste ponto.

   Observação

   Se estiver usando grupos de segurança para gerenciar o acesso ao aplicativo para usuários externos, use a abordagem Convites Planejados e compartilhe o link do aplicativo diretamente com cada usuário externo que deve acessá-lo. Caso contrário, o usuário externo poderá não ser capaz de instalar ou exibir conteúdo de dentro do aplicativo._

   Os usuários convidados recebem um email com um link para o aplicativo.

   

   Ao clicar neste link, os usuários convidados são solicitados a autenticar com a identidade de sua própria organização.

   

   Depois de autenticados com êxito, eles são redirecionados para o aplicativo de BI da Contoso.

   

   Mais tarde, os usuários convidados podem acessar o aplicativo da Contoso clicando no link no email ou marcando o link. A Contoso também pode facilitar para os usuários convidados adicionando esse link a qualquer portal de extranet existente que os usuários convidados já usam.

4. Próximas etapas

   Usando um aplicativo do Power BI e o Microsoft Entra B2B, a Contoso conseguiu criar rapidamente um portal do BI para seus fornecedores de maneira sem código. Isso simplifica muito a distribuição de análise padronizada para todos os fornecedores que precisavam dela.

   Embora o exemplo tenha mostrado como um único relatório comum pode ser distribuído entre fornecedores, o Power BI pode ir muito além. Para garantir que cada parceiro veja apenas dados relevantes para si mesmos, a Segurança em Nível de Linha pode ser adicionada facilmente ao relatório e ao modelo de dados. A seção Segurança de Dados para parceiros externos posteriormente neste documento descreve esse processo em detalhes.

   Muitas vezes, relatórios e painéis individuais precisam ser inseridos em um portal existente. Isso também pode ser feito reutilizando muitas das técnicas mostradas no exemplo. No entanto, nessas situações, pode ser mais fácil inserir relatórios ou painéis diretamente de um workspace. O processo para convidar e atribuir permissão de segurança aos usuários necessários permanece o mesmo.

Sob os bastidores: Como a Lucy do Supplier1 pode acessar o conteúdo do Power BI do locatário da Contoso?

Agora que vimos como a Contoso é capaz de distribuir diretamente o conteúdo do Power BI para usuários convidados em organizações parceiras, vamos examinar como isso funciona nos bastidores.

Quando a Contoso convidou lucy@supplier1.com para o seu diretório, o Microsoft Entra ID cria um vínculo entre Lucy@supplier1.com e o locatário do Microsoft Entra da Contoso. Este link permite que o Microsoft Entra ID saiba que Lucy@supplier1.com pode acessar o conteúdo no locatário da Contoso.

Quando Lucy tenta acessar o aplicativo Power BI da Contoso, o Microsoft Entra ID verifica se Lucy pode acessar o locatário da Contoso e fornece ao Power BI um token que indica que Lucy está autenticada para acessar o conteúdo no locatário da Contoso. O Power BI usa esse token para autorizar e garantir que Lucy tenha acesso ao aplicativo Power BI da Contoso.

A integração do Power BI com o Microsoft Entra B2B funciona com todos os endereços de email corporativos. Se o usuário não tiver uma identidade do Microsoft Entra, ele poderá ser solicitado a criar uma. A imagem abaixo mostra o fluxo detalhado:

É importante reconhecer que a conta do Microsoft Entra será usada ou criada no Microsoft Entra ID da parte externa; isso permitirá que Lucy use seu próprio nome de usuário e senha e suas credenciais pararão de funcionar automaticamente em outros locatários sempre que Lucy sair da empresa, quando sua organização também usar o Microsoft Entra ID.

Licenciamento

A Contoso pode escolher uma das três abordagens para licenciar usuários convidados de seus fornecedores e organizações parceiras para ter acesso ao conteúdo do Power BI.

Observação

A camada gratuita do Microsoft Entra B2B é suficiente para usar o Power BI com o Microsoft Entra B2B. Alguns recursos avançados do Microsoft Entra B2B, como grupos dinâmicos, exigem licenciamento adicional. Para obter mais informações, confira a documentação do Microsoft Entra B2B.

Abordagem 1: a Contoso usa Power BI Premium

Com essa abordagem, a Contoso compra Power BI Premium capacidade e atribui o conteúdo do portal de BI a essa capacidade. Isso permite que usuários convidados de organizações parceiras acessem o aplicativo Power BI da Contoso sem nenhuma licença do Power BI.

Os usuários externos também estão sujeitos às experiências somente de consumo oferecidas aos usuários "Gratuitos" no Power BI ao consumir conteúdo em Power BI Premium.

A Contoso também pode aproveitar outras funcionalidades premium do Power BI para seus aplicativos, como taxas de atualização aumentadas, capacidade e tamanhos de modelo grandes.

Abordagem 2: a Contoso atribui licenças de Power BI Pro a usuários convidados

Com essa abordagem, a Contoso atribui licenças profissionais a usuários convidados de organizações parceiras– isso pode ser feito no Centro de administração do Microsoft 365 da Contoso. Isso permite que usuários convidados de organizações parceiras acessem o aplicativo Power BI da Contoso sem adquirir nenhuma licença do Power BI. Isso pode ser apropriado para compartilhar com usuários externos cuja organização ainda não adotou o Power BI.

Observação

A licença pro da Contoso se aplica aos usuários convidados somente quando eles acessam conteúdo no locatário da Contoso. As licenças pro permitem o acesso ao conteúdo que não está em uma capacidade Power BI Premium.

Abordagem 3: usuários convidados trazem sua própria licença de Power BI Pro

Com essa abordagem, o Fornecedor 1 atribui uma licença de Power BI Pro à Lucy. Em seguida, eles podem acessar o aplicativo Power BI da Contoso com essa licença. Como Lucy pode usar sua licença Pro de sua própria organização ao acessar um ambiente externo do Power BI, essa abordagem às vezes é conhecida como BYOL ( traga sua própria licença ). Se ambas as organizações estiverem usando o Power BI, isso oferecerá licenciamento vantajoso para a solução de análise geral e minimizará a sobrecarga de atribuição de licenças a usuários externos.

Observação

A licença pro fornecida a Lucy pelo fornecedor 1 se aplica a qualquer locatário do Power BI em que Lucy seja uma usuária convidada. As licenças pro permitem o acesso ao conteúdo que não está em uma capacidade Power BI Premium.

Segurança de dados para parceiros externos

Normalmente, ao trabalhar com vários fornecedores externos, a Contoso precisa garantir que cada fornecedor veja dados apenas sobre seus próprios produtos. A segurança baseada no usuário e a segurança dinâmica em nível de linha facilitam a realização com o Power BI.

Segurança baseada no usuário

Um dos recursos mais poderosos do Power BI é a Segurança em Nível de Linha. Esse recurso permite que a Contoso crie um único relatório e um modelo semântico (anteriormente conhecido como um conjunto de dados), mas ainda aplique regras de segurança diferentes para cada usuário. Para obter uma explicação detalhada, consulte RLS (segurança em nível de linha).

A integração do Power BI com o Microsoft Entra B2B permite que a Contoso atribua regras de Segurança em Nível de Linha aos usuários convidados assim que eles são convidados para o locatário da Contoso. Como vimos antes, a Contoso pode adicionar usuários convidados por meio de convites planejados ou ad hoc. Se a Contoso quiser impor a segurança em nível de linha, é altamente recomendável usar convites planejados para adicionar os usuários convidados antecipadamente e atribuí-los às funções de segurança antes de compartilhar o conteúdo. Se a Contoso usar convites ad hoc, pode haver um curto período de tempo em que os usuários convidados não poderão ver nenhum dado.

Observação

Esse atraso no acesso aos dados protegidos pelo RLS ao usar convites ad hoc pode levar a solicitações de suporte para sua equipe de TI, pois os usuários verão relatórios/painéis em branco ou com aparência interrompida ao abrir um link de compartilhamento no email que recebem. Portanto, é altamente recomendável usar convites planejados nesse cenário.

Vamos analisar um exemplo.

Conforme mencionado anteriormente, a Contoso tem fornecedores em todo o mundo e deseja garantir que os usuários de suas organizações fornecedoras obtenham insights de dados apenas de seu território. Mas os usuários da Contoso podem acessar todos os dados. Em vez de criar vários relatórios diferentes, a Contoso cria um único relatório e filtra os dados com base no usuário exibindo-os.

Para garantir que a Contoso possa filtrar dados com base em quem está se conectando, duas funções são criadas no Power BI Desktop. Um para filtrar todos os dados do SalesTerritory "Europa" e outro para "América do Norte".

Sempre que as funções são definidas no relatório, um usuário deve ser atribuído a uma função específica para que ele tenha acesso a qualquer dado. A atribuição de funções ocorre dentro do serviço do Power BI (Modelos semânticos > Segurança).

Isso abre uma página em que a equipe de BI da Contoso pode ver as duas funções criadas. Agora, a equipe de BI da Contoso pode atribuir usuários às funções.

No exemplo, a Contoso está adicionando um usuário em uma organização parceira com endereço de e-mail admin@fabrikam.com à função Europa:

Quando isso for resolvido pelo Microsoft Entra ID, a Contoso poderá ver o nome aparecer na janela pronto para ser adicionado:

Agora, quando esse usuário abre o aplicativo que foi compartilhado com ele, ele só vê um relatório com dados da Europa:

Usar segurança em nível de linha

Outro tópico interessante é ver como a segurança em nível de linha (RLS) dinâmica funciona com o Microsoft Entra B2B.

Em resumo, a segurança dinâmica em nível de linha funciona filtrando dados no modelo com base no nome de usuário da pessoa que está se conectando ao Power BI. Em vez de adicionar várias funções para grupos de usuários, você define os usuários no modelo. Não descreveremos o padrão em detalhes aqui. Kasper de Jong oferece uma gravação detalhada sobre todos os tipos de segurança em nível de linha em Power BI Desktop Folha de referência de segurança dinâmica e neste whitepaper .

Vejamos um pequeno exemplo – a Contoso tem um relatório simples sobre vendas por grupos:

Agora, esse relatório precisa ser compartilhado com dois usuários convidados e um usuário interno – o usuário interno pode ver tudo, mas os usuários convidados só podem ver os grupos aos quais têm acesso. Isso significa que devemos filtrar os dados somente para os usuários convidados. Para filtrar os dados adequadamente, a Contoso usa o padrão RLS Dinâmico, conforme descrito na postagem no whitepaper e no blog. Isso significa que a Contoso adiciona os nomes de usuário aos próprios dados:

Em seguida, a Contoso cria o modelo de dados certo que filtra os dados adequadamente com as relações certas:

Para filtrar os dados automaticamente com base em quem está conectado, a Contoso precisa criar uma função que passe no usuário que está se conectando. Nesse caso, a Contoso cria duas funções: a primeira é a "função de segurança", que filtra a tabela Usuários com o nome de usuário atual do usuário conectado ao Power BI (isso funciona até mesmo para usuários convidados do Microsoft Entra B2B).

A Contoso também cria outro "AllRole" para seus usuários internos que podem ver tudo – essa função não tem nenhum predicado de segurança.

Depois de carregar o arquivo da área de trabalho do Power BI no serviço, a Contoso pode atribuir usuários convidados ao "SecurityRole" e aos usuários internos ao "AllRole"

Agora, quando os usuários convidados abrem o relatório, eles só veem as vendas do grupo A:

Na matriz à direita, você pode ver o resultado da função USERNAME() e USERPRINCIPALNAME() retornar o endereço de email dos usuários convidados.

Agora, o usuário interno pode ver todos os dados:

Como você pode ver, o RLS Dinâmico funciona com usuários internos ou convidados.

Observação

Esse cenário também funciona ao usar um modelo no Azure Analysis Services. Normalmente, o seu Azure Analysis Services está conectado ao mesmo Microsoft Entra ID que o seu Power BI – nesse caso, o Azure Analysis Services também conhece os usuários convidados por meio do Microsoft Entra B2B.

Conexão com fontes de dados locais

O Power BI oferece a capacidade para a Contoso usar fontes de dados locais, como SQL Server Analysis Services ou SQL Server diretamente graças ao gateway de dados local. É possível até mesmo entrar nessas fontes de dados com as mesmas credenciais usadas com o Power BI.

Observação

Ao instalar um gateway para se conectar ao seu locatário do Power BI, você deve usar um usuário criado em seu locatário. Os usuários externos não podem instalar um gateway e conectá-lo ao seu locatário._

Para usuários externos, isso pode ser mais complicado, pois os usuários externos geralmente não são conhecidos pelo AD local. O Power BI oferece uma solução alternativa para isso, permitindo que os administradores da Contoso mapeiem os nomes de usuário externos para nomes de usuário internos, conforme descrito em Gerenciar sua fonte de dados – Analysis Services. Por exemplo, lucy@supplier1.com pode ser mapeado para lucy_supplier1_com#EXT@contoso.com.

Esse método será bom se a Contoso tiver apenas um punhado de usuários ou se a Contoso puder mapear todos os usuários externos para uma única conta interna. Para cenários mais complexos em que cada usuário precisa de suas próprias credenciais, há uma abordagem mais avançada que usa atributos personalizados do AD para fazer o mapeamento conforme descrito em Gerenciar sua fonte de dados – Analysis Services. Isso permitiria que o administrador da Contoso definisse um mapeamento para cada usuário em seu Microsoft Entra ID (também usuários B2B externos). Esses atributos podem ser definidos por meio do modelo de objeto do AD usando scripts ou código para que a Contoso possa automatizar totalmente o mapeamento no convite ou em uma cadência agendada.

Governança

Configurações adicionais do Microsoft Entra ID que afetam experiências no Power BI relacionadas ao Microsoft Entra B2B

Ao usar o compartilhamento do Microsoft Entra B2B, o administrador do Microsoft Entra controla aspectos da experiência do usuário externo. Elas são controladas na página configurações de colaboração externa dentro das configurações do Microsoft Entra ID para o seu locatário.

Para obter mais informações, confira Definir configurações de colaboração externa.

Observação

Por padrão, a opção Permissões de usuários convidados são limitadas é definida como Sim, portanto, os usuários convidados no Power BI têm experiências limitadas especialmente em torno do compartilhamento em que as UIs do seletor de pessoas não funcionam para esses usuários. É importante trabalhar com o administrador do Microsoft Entra para defini-lo como Não, conforme mostrado abaixo, para garantir uma boa experiência.

Controlar convites de convidados

Os administradores do Power BI podem controlar o compartilhamento externo apenas para o Power BI visitando o portal de administração do Power BI. Mas os administradores também podem controlar o compartilhamento externo com várias políticas do Microsoft Entra. Essas políticas permitem que os administradores:

• Desativar convites por usuários finais
• Somente administradores e usuários na função Emissor de convite para convidado podem convidar
• Administradores, a função Emissor de convite para convidado e membros podem convidar
• Todos os usuários, incluindo convidados, podem convidar

Você pode ler mais sobre essas políticas em Delegar convites para colaboração do Microsoft Entra B2B.

Todas as ações do Power BI por usuários externos também são auditadas em nosso portal de auditoria.

Políticas de Acesso Condicional para usuários convidados

A Contoso pode impor políticas de acesso condicional para usuários convidados que acessam conteúdo do locatário da Contoso. Você pode encontrar instruções detalhadas em Acesso condicional para usuários de colaboração B2B.

Abordagens alternativas comuns

Embora o Microsoft Entra B2B facilite o compartilhamento de dados e relatórios entre organizações, há várias outras abordagens que são comumente usadas e podem ser superiores em determinados casos.

Opção alternativa 1: criar identidades duplicadas para usuários parceiros

Com essa opção, a Contoso precisou criar manualmente identidades duplicadas para cada usuário parceiro no Locatário da Contoso, conforme mostrado na imagem a seguir. Em seguida, no Power BI, a Contoso pode compartilhar com as identidades atribuídas os relatórios, painéis ou aplicativos apropriados.

Motivos para escolher essa alternativa:

• Como a identidade do usuário é controlada por sua organização, qualquer serviço relacionado, como e-mail, SharePoint etc. também estão dentro do controle da sua organização. Os administradores de TI podem redefinir senhas, desabilitar o acesso a contas ou auditar atividades nesses serviços.
• Os usuários que usam contas pessoais para seus negócios geralmente são impedidos de acessar determinados serviços, portanto, podem precisar de uma conta organizacional.
• Alguns serviços só funcionam sobre os usuários da sua organização. Por exemplo, usar o Intune para gerenciar conteúdo em dispositivos pessoais/móveis de usuários externos usando o Microsoft Entra B2B pode não ser possível.

Motivos para escolher essa alternativa:

• Os usuários de organizações parceiras devem se lembrar de dois conjuntos de credenciais: um para acessar o conteúdo de sua própria organização e o outro para acessar o conteúdo da Contoso. Isso é um incômodo para esses usuários convidados e muitos usuários convidados estão confusos com essa experiência.
• A Contoso deve comprar e atribuir licenças por usuário a esses usuários. Se um usuário precisar receber e-mails ou usar aplicativos do Office, ele precisará das licenças apropriadas, incluindo Power BI Pro para editar e compartilhar conteúdo no Power BI.
• Talvez a Contoso queira impor políticas de autorização e governança mais rigorosas para usuários externos em comparação com usuários internos. Para fazer isso, a Contoso precisa criar uma nomenclatura interna para usuários externos e todos os usuários da Contoso precisam ser educados sobre essa nomenclatura.
• Quando o usuário sai da organização, ele continua a ter acesso aos recursos da Contoso até que o administrador da Contoso exclua manualmente sua conta
• Os administradores da Contoso precisam gerenciar a identidade do convidado, incluindo criação, redefinições de senha etc.

Opção alternativa 2: criar um aplicativo de Power BI Embedded personalizado usando a autenticação personalizada

Outra opção para a Contoso é criar seu próprio aplicativo personalizado inserido do Power BI com autenticação personalizada ('Dados próprios do aplicativo'). Embora muitas organizações não tenham tempo ou recursos para criar um aplicativo personalizado para distribuir conteúdo do Power BI para seus parceiros externos, para algumas organizações essa é a melhor abordagem e merece consideração séria.

Muitas vezes, as organizações têm portais de parceiros existentes que centralizam o acesso a todos os recursos organizacionais para parceiros, fornecem isolamento de recursos organizacionais internos e fornecem experiências simplificadas para que os parceiros ofereçam suporte a muitos parceiros e seus usuários individuais.

No exemplo acima, os usuários de cada fornecedor entrarão no Portal de Parceiros da Contoso que usa o Microsoft Entra ID como um provedor de identidade. Ele pode usar o Microsoft Entra B2B, Azure Active Directory B2C, identidades nativas ou federar com inúmeros outros provedores de identidade. O usuário entraria e acessaria uma compilação do portal do parceiro usando o Aplicativo Web do Azure ou uma infraestrutura semelhante.

No aplicativo Web, os relatórios do Power BI são inseridos de uma implantação do Power BI Embedded. O aplicativo Web simplificaria o acesso aos relatórios e a quaisquer serviços relacionados em uma experiência coesa destinada a facilitar a interação dos fornecedores com a Contoso. Esse ambiente do portal seria isolado da ID interna do Microsoft Entra da Contoso e do ambiente interno do Power BI da Contoso para garantir que os fornecedores não pudessem acessar esses recursos. Normalmente, os dados seriam armazenados em um data warehouse de parceiro separado para garantir o isolamento dos dados também. Esse isolamento tem benefícios, pois limita o número de usuários externos com acesso direto aos dados da sua organização, limitando quais dados poderiam estar disponíveis para o usuário externo e limitando o compartilhamento acidental com usuários externos.

Usando Power BI Embedded, o portal pode usar o licenciamento vantajoso, usando um token de aplicativo ou o usuário master mais a capacidade premium adquirida no modelo do Azure, o que simplifica as preocupações com a atribuição de licenças aos usuários finais e pode escalar/reduzir verticalmente com base no uso esperado. O portal pode oferecer uma experiência geral de maior qualidade e consistente, pois os parceiros acessam um único portal projetado com todas as necessidades de um parceiro em mente. Por fim, como as soluções baseadas em Power BI Embedded normalmente são projetadas para serem multilocatários, isso facilita garantir o isolamento entre organizações parceiras.

Motivos para escolher essa alternativa:

• Mais fácil de gerenciar à medida que o número de organizações parceiras cresce. Como os parceiros são adicionados a um diretório separado isolado do diretório interno do Microsoft Entra da Contoso, isso simplifica os deveres de governança de TI e ajuda a evitar o compartilhamento acidental de dados internos para usuários externos.
• Os Portais de Parceiros típicos são experiências altamente marcadas com experiências consistentes entre parceiros e simplificadas para atender às necessidades de parceiros típicos. Portanto, a Contoso pode oferecer uma melhor experiência geral aos parceiros integrando todos os serviços necessários em um único portal.
• Os custos de licenciamento para cenários avançados, como Editar conteúdo no Power BI Embedded, são cobertos pelo Power BI Premium adquirido pelo Azure e não exigem atribuição de licenças Power BI Pro a esses usuários.
• Fornece melhor isolamento entre parceiros se arquitetar como uma solução multilocatário.
• O Portal do Parceiro geralmente inclui outras ferramentas para parceiros além de relatórios, painéis e aplicativos do Power BI.

Motivos para escolher essa alternativa:

• É necessário um esforço significativo para criar, operar e manter esse portal, tornando-o um investimento significativo em recursos e tempo.
• O tempo de solução é muito maior do que usar o compartilhamento B2B, pois é necessário um planejamento cuidadoso e execução em vários fluxos de trabalho.
• Quando há um número menor de parceiros, o esforço necessário para essa alternativa provavelmente é muito alto para justificar.
• A colaboração com o compartilhamento ad hoc é o cenário principal enfrentado pela sua organização.
• Os relatórios e painéis são diferentes para cada parceiro. Essa alternativa introduz a sobrecarga de gerenciamento além de apenas compartilhar diretamente com parceiros.

Perguntas frequentes

Podemos enviar um convite resgatado automaticamente, de forma que o usuário simplesmente esteja “pronto para começar”? Ou o usuário sempre deve clicar na URL de resgate?

O usuário final deve sempre clicar na experiência de consentimento antes de poder acessar o conteúdo.

Se você estiver convidando muitos usuários convidados, recomendamos delegar isso de seus administradores principais do Microsoft Entra adicionando um usuário à função de convidado na organização de recursos. Esse usuário pode convidar outros usuários na organização parceira usando a interface do usuário de conexão, scripts do PowerShell ou APIs. Isso reduz a carga administrativa dos administradores do Microsoft Entra para convidar ou reenviar convites para os usuários da organização parceira.

A Contoso pode forçar a autenticação multifator para usuários convidados B2B se os parceiros não têm a autenticação multifator?

Sim. Para mais informações, consulte Acesso Condicional para usuários de colaboração B2B.

Como funciona a colaboração B2B quando o parceiro convidado estiver utilizando federação para adicionar sua própria autenticação local?

Se o parceiro tiver um locatário do Microsoft Entra que está federado à infraestrutura de autenticação local, o SSO (logon único) local será feito automaticamente. Se o parceiro não tiver um locatário do Microsoft Entra, uma conta do Microsoft Entra poderá ser criada para novos usuários.

Posso convidar usuários convidados com contas de e-mail do consumidor?

Há suporte para convidar usuários convidados com contas de email do consumidor no Power BI. Isso inclui domínios como hotmail.com, outlook.com e gmail.com. No entanto, esses usuários podem ter limitações além do que os usuários com contas corporativas ou de estudante encontram.