Distribuera Power BI-innehåll till externa gästanvändare med Hjälp av Microsoft Entra B2B

Sammanfattning: Det här är ett tekniskt white paper som beskriver hur du distribuerar innehåll till användare utanför organisationen med hjälp av integrering av Microsoft Entra ID (tidigare känt som Azure Active Directory) business-to-business (Microsoft Entra B2B).

Författare: Lukasz Pawlowski, Kasper de Jonge

Tekniska granskare: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Kommentar

Du kan spara eller skriva ut det här vitboken genom att välja Skriv ut i webbläsaren och sedan välja Spara som PDF.

Introduktion

Power BI ger organisationer en 360-graders vy över sin verksamhet och ger alla i dessa organisationer möjlighet att fatta intelligenta beslut med hjälp av data. Många av dessa organisationer har starka och betrodda relationer med externa partners, klienter och entreprenörer. Dessa organisationer måste ge säker åtkomst till Power BI-instrumentpaneler och rapporter till användare i dessa externa partner.

Power BI integreras med Microsoft Entra business-to-business (Microsoft Entra B2B) för att tillåta säker distribution av Power BI-innehåll till gästanvändare utanför organisationen – samtidigt som kontroll och styrning av åtkomst till interna data bibehålls.

Det här faktabladet beskriver all information du behöver för att förstå Power BI:s integrering med Microsoft Entra B2B. Vi tar upp det vanligaste användningsfallet, konfigurationen, licensiering och säkerhet på radnivå.

Scenarier

Contoso är en fordonstillverkare och arbetar med många olika leverantörer som tillhandahåller alla komponenter, material och tjänster som krävs för att driva sin tillverkningsverksamhet. Contoso vill effektivisera logistiken i leveranskedjan och planerar att använda Power BI för att övervaka viktiga prestandamått i leveranskedjan. Contoso vill dela med externa partneranalyser för leveranskedjan på ett säkert och hanterbart sätt.

Contoso kan aktivera följande funktioner för externa användare med hjälp av Power BI och Microsoft Entra B2B.

Ad hoc per objektdelning

Contoso arbetar med en leverantör som bygger radiatorer för Contosos bilar. Ofta måste de optimera tillförlitligheten för radiatorerna med hjälp av data från alla Contosos bilar. En analytiker på Contoso använder Power BI för att dela en rapport om radiatortillförlitlighet med en tekniker hos leverantören. Teknikern får ett e-postmeddelande med en länk för att visa rapporten.

Enligt beskrivningen ovan utförs denna ad hoc-delning av företagsanvändare efter behov. Länken som skickas av Power BI till den externa användaren är en Microsoft Entra B2B-inbjudningslänk. När den externa användaren öppnar länken uppmanas de att ansluta till Contosos Microsoft Entra-organisation som gästanvändare. När inbjudan har accepterats öppnar länken den specifika rapporten eller instrumentpanelen. Microsoft Entra-administratören delegerar behörighet att bjuda in externa användare till organisationen och väljer vad dessa användare kan göra när de godkänner inbjudan enligt beskrivningen i avsnittet Styrning i det här dokumentet. Contoso-analytikern kan bara bjuda in gästanvändaren eftersom Microsoft Entra-administratören tillät åtgärden och Power BI-administratören tillät användare att bjuda in gäster att visa innehåll i Power BI:s klientinställningar.

1. Processen börjar med att en intern Contoso-användare delar en instrumentpanel eller en rapport med en extern användare. Om den externa användaren inte redan är gäst i Contosos Microsoft Entra-ID bjuds de in. Ett e-postmeddelande skickas till deras e-postadress som innehåller en inbjudan till Contosos Microsoft Entra-ID.
2. Mottagaren accepterar inbjudan till Contosos Microsoft Entra-ID och läggs till som gästanvändare i Contosos Microsoft Entra-ID.
3. Mottagaren omdirigeras sedan till Power BI-instrumentpanelen, rapporten eller appen.

Processen betraktas som ad hoc eftersom företagsanvändare i Contoso utför inbjudan efter behov för sina affärsändamål. Varje objekt som delas är en enda länk som den externa användaren kan komma åt för att visa innehållet.

När den externa användaren har bjudits in att komma åt Contoso-resurser kan ett skuggkonto skapas för dem i Contoso Microsoft Entra-ID och de behöver inte bjudas in igen. Första gången de försöker komma åt en Contoso-resurs som en Power BI-instrumentpanel går de igenom en medgivandeprocess som löser in inbjudan. Om de inte slutför medgivandet kan de inte komma åt något av Contosos innehåll. Om de har problem med att lösa in sin inbjudan via den ursprungliga länken kan en Microsoft Entra-administratör skicka om en specifik inbjudningslänk som de kan lösa in.

Planerad delning per objekt

Contoso arbetar med en underleverantör för att utföra tillförlitlighetsanalys av radiatorer. Underleverantören har ett team på 10 personer som behöver åtkomst till data i Contosos Power BI-miljö. Contoso Microsoft Entra-administratören är involverad i att bjuda in alla användare och att hantera eventuella tillägg/ändringar som personal vid underleverantörsändringen. Microsoft Entra-administratören skapar en säkerhetsgrupp för alla anställda på underleverantören. Med hjälp av säkerhetsgruppen kan Contosos anställda enkelt hantera åtkomst till rapporter och se till att all nödvändig underleverantörspersonal har åtkomst till alla nödvändiga rapporter, instrumentpaneler och Power BI-appar. Microsoft Entra-administratören kan också undvika att delta i inbjudningsprocessen helt och hållet genom att välja att delegera inbjudningsrättigheter till en betrodd anställd på Contoso eller hos underleverantören för att säkerställa personalhantering i tid.

Vissa organisationer behöver mer kontroll över när externa användare läggs till, bjuder in många användare i en extern organisation eller många externa organisationer. I dessa fall kan planerad delning användas för att hantera delningsskalan, framtvinga organisationsprinciper och till och med delegera rättigheter till betrodda personer att bjuda in och hantera externa användare. Microsoft Entra B2B stöder planerade inbjudningar som skickas direkt från Azure-portalen av en IT-administratör eller via PowerShell med hjälp av API :et för inbjudningshanteraren där en uppsättning användare kan bjudas in i en enda åtgärd. Med hjälp av metoden för planerade inbjudningar kan organisationen styra vem som kan bjuda in användare och implementera godkännandeprocesser. Avancerade Microsoft Entra-funktioner som dynamiska grupper kan göra det enkelt att underhålla medlemskap i säkerhetsgrupper automatiskt.

1. Processen börjar med att en IT-administratör bjuder in gästanvändaren manuellt eller via API:et som tillhandahålls av Microsoft Entra ID.
2. Användaren godkänner inbjudan till organisationen.
3. När användaren har accepterat inbjudan kan en användare i Power BI dela en rapport eller instrumentpanel med den externa användaren eller en säkerhetsgrupp som de befinner sig i. Precis som med vanlig delning i Power BI får den externa användaren ett e-postmeddelande med länken till objektet.
4. När den externa användaren kommer åt länken skickas deras autentisering i deras katalog till Contosos Microsoft Entra-ID och används för att få åtkomst till Power BI-innehållet.

Ad hoc eller planerad delning av Power BI-appar

Contoso har en uppsättning rapporter och instrumentpaneler som de behöver dela med en eller flera leverantörer. För att säkerställa att alla externa användare som krävs har åtkomst till det här innehållet paketeras det som en Power BI-app. De externa användarna läggs antingen till direkt i listan över appåtkomst eller via säkerhetsgrupper. Någon på Contoso skickar sedan appens URL till alla externa användare, till exempel i ett e-postmeddelande. När de externa användarna öppnar länken ser de allt innehåll i en enkel navigeringsupplevelse.

Med hjälp av en Power BI-app är det enkelt för Contoso att skapa en BI-portal för sina leverantörer. En enda åtkomstlista styr åtkomsten till allt innehåll som krävs, vilket minskar bortkastad tidskontroll och anger behörigheter på objektnivå. Microsoft Entra B2B upprätthåller säkerhetsåtkomst med hjälp av leverantörens interna identitet så att användarna inte behöver ytterligare inloggningsuppgifter. Om du använder planerade inbjudningar med säkerhetsgrupper förenklas åtkomsthanteringen till appen när personalen roterar in i eller ut ur projektet. Medlemskap i säkerhetsgrupper manuellt eller med hjälp av dynamiska grupper, så att alla externa användare från en leverantör läggs till automatiskt i lämplig säkerhetsgrupp.

1. Processen börjar med att användaren bjuds in till Contosos Microsoft Entra-organisation via Azure-portalen eller PowerShell.
2. Användaren kan läggas till i en användargrupp i Microsoft Entra-ID. En statisk eller dynamisk användargrupp kan användas, men dynamiska grupper bidrar till att minska det manuella arbetet.
3. De externa användarna får åtkomst till Power BI-appen via användargruppen. Appens URL ska skickas direkt till den externa användaren eller placeras på en webbplats som de har åtkomst till. Power BI gör det bästa för att skicka ett e-postmeddelande med applänken till externa användare, men när du använder användargrupper vars medlemskap kan ändras kan Power BI inte skicka till alla externa användare som hanteras via användargrupper.
4. När den externa användaren kommer åt Power BI-appens URL autentiseras de av Contosos Microsoft Entra-ID, appen installeras för användaren och användaren kan se alla inneslutna rapporter och instrumentpaneler i appen.

Appar har också en unik funktion som gör att appförfattare kan installera programmet automatiskt för användaren, så att det är tillgängligt när användaren loggar in. Den här funktionen installeras endast automatiskt för externa användare som redan är en del av Contosos organisation när programmet publiceras eller uppdateras. Därför används den bäst med metoden för planerade inbjudningar och är beroende av att appen publiceras eller uppdateras efter att användarna har lagts till i Contosos Microsoft Entra-ID. Externa användare kan alltid installera appen med hjälp av applänken.

Kommentera och prenumerera på innehåll mellan organisationer

Eftersom Contoso fortsätter att arbeta med sina underleverantörer eller leverantörer måste de externa ingenjörerna ha ett nära samarbete med Contosos analytiker. Power BI innehåller flera samarbetsfunktioner som hjälper användarna att kommunicera om innehåll som de kan använda. Med kommentarer på instrumentpanelen (och snart Rapportkommentera) kan användarna diskutera datapunkter som de ser och kommunicera med rapportförfattare för att ställa frågor.

För närvarande kan externa gästanvändare delta i kommentarer genom att lämna kommentarer och läsa svaren. Men till skillnad från interna användare kan gästanvändare inte vara @mentioned och får inte meddelanden om att de har fått en kommentar. Gästanvändare kan använda prenumerationsfunktionen i Power BI för att prenumerera på en rapport eller instrumentpanel. Läs mer i E-postprenumerationer för rapporter och instrumentpaneler i Power BI-tjänst.

Få åtkomst till innehåll i Power BI-mobilappar

När gästanvändaren öppnar länken till rapporten eller instrumentpanelen på sin mobila enhet öppnas innehållet i de interna Power BI-mobilapparna på deras enhet, om de är installerade. Gästanvändaren kan sedan navigera mellan innehåll som delas med dem i den externa klientorganisationen och tillbaka till sitt eget innehåll från sin hemklientorganisation. Mer information om åtkomst till innehåll som har delats med dig från en extern organisation via Power BI-mobilappar finns i Visa Power BI-innehåll som delas med dig från en extern organisation.

Organisationsrelationer med Power BI och Microsoft Entra B2B

När alla användare av Power BI är interna i organisationen behöver du inte använda Microsoft Entra B2B. Men när två eller flera organisationer vill samarbeta om data och insikter gör Power BI:s stöd för Microsoft Entra B2B det enkelt och kostnadseffektivt att göra det.

Nedan visas vanligtvis organisationsstrukturer som passar bra för samarbete mellan organisationer i Microsoft Entra B2B i Power BI. Microsoft Entra B2B fungerar bra i de flesta fall, men i vissa situationer är de vanliga alternativa metoder som beskrivs i slutet av det här dokumentet värda att överväga.

Fall 1: Direkt samarbete mellan organisationer

Contosos relation med sin radiatorleverantör är ett exempel på direkt samarbete mellan organisationer. Eftersom det finns relativt få användare på Contoso och dess leverantör som behöver åtkomst till information om radiatortillförlitlighet är det idealiskt att använda Microsoft Entra B2B-baserad extern delning. Det är enkelt att använda och enkelt att administrera. Detta är också ett vanligt mönster i konsulttjänster där en konsult kan behöva skapa innehåll för en organisation.

Vanligtvis sker den här delning från början med ad hoc-delning per objekt. Men när teamen växer eller relationerna fördjupas blir delningsmetoden Planerad per objekt den bästa metoden för att minska hanteringskostnaderna. Dessutom kan ad hoc- eller planerad delning av Power BI-appar, kommentera och prenumerera på innehåll i organisationer, komma till användning även för åtkomst till innehåll i mobilappar. Viktigt är att om båda organisationernas användare har Power BI Pro-licenser i sina respektive organisationer kan de använda dessa Pro-licenser i varandras Power BI-miljöer. Detta ger en fördelaktig licensiering eftersom den inbjudande organisationen kanske inte behöver betala för en Power BI Pro-licens för externa användare. Detta beskrivs mer detaljerat i avsnittet Licensiering senare i det här dokumentet.

Ärende 2: Moderföretag och dess dotterbolag eller dotterbolag

Vissa organisationsstrukturer är mer komplexa, inklusive delvis eller helägda dotterbolag, anslutna företag eller relationer mellan hanterade tjänsteleverantörer. Dessa organisationer har en överordnad organisation som ett holdingbolag, men de underliggande organisationerna arbetar delvis självständigt, ibland under olika regionala krav. Detta leder till att varje organisation har en egen Microsoft Entra-miljö och separata Power BI-klienter.

I den här strukturen behöver den överordnade organisationen vanligtvis distribuera standardiserade insikter till sina dotterbolag. Vanligtvis sker den här delning med hjälp av metoden Ad hoc eller planerad delning av Power BI Apps enligt följande bild, eftersom den tillåter distribution av standardiserat auktoritativt innehåll till breda målgrupper. I praktiken används en kombination av alla scenarier som nämns tidigare i det här dokumentet.

Detta följer följande process:

1. Användare från varje dotterbolag bjuds in till Contosos Microsoft Entra-ID
2. Sedan publiceras Power BI-appen för att ge dessa användare åtkomst till de data som krävs
3. Slutligen öppnar användarna appen via en länk som de har fått för att se rapporterna

Organisationer i den här strukturen står inför flera viktiga utmaningar:

• Så här distribuerar du länkar till innehåll i den överordnade organisationens Power BI
• Så här tillåter du att underordnade användare får åtkomst till datakällan som hanteras av den överordnade organisationen

Distribuera länkar till innehåll i den överordnade organisationens Power BI

Tre metoder används ofta för att distribuera länkar till innehållet. Det första och mest grundläggande är att skicka länken till appen till de användare som krävs eller placera den på en SharePoint Online-webbplats som den kan öppnas från. Användarna kan sedan bokmärkeslänken i sina webbläsare för snabbare åtkomst till de data de behöver.

Den andra metoden är att den överordnade organisationen tillåter användare från dotterbolagen att komma åt sin Power BI och kontroller som de kan komma åt via behörighet. Detta ger åtkomst till Power BI-start där användaren från dotterbolaget ser en omfattande lista över innehåll som delas till dem i den överordnade organisationens klientorganisation. Sedan ges URL:en till den överordnade organisationens Power BI-miljö till användarna i dotterbolagen.

Den sista metoden använder en Power BI-app som skapats i Power BI-klientorganisationen för varje dotterbolag. Power BI-appen innehåller en instrumentpanel med paneler som konfigurerats med alternativet extern länk. När användaren trycker på panelen tas de till lämplig rapport, instrumentpanel eller app i den överordnade organisationens Power BI. Den här metoden har den extra fördelen att appen kan installeras automatiskt för alla användare i dotterbolaget och är tillgänglig för dem när de loggar in i sin egen Power BI-miljö. En extra fördel med den här metoden är att den fungerar bra med Power BI-mobilappar som kan öppna länken internt. Du kan också kombinera detta med den andra metoden för att möjliggöra enklare växling mellan Power BI-miljöer.

Tillåta underordnade användare att komma åt datakällor som hanteras av den överordnade organisationen

Ofta behöver analytiker på ett dotterbolag skapa egna analyser med hjälp av data som tillhandahålls av den överordnade organisationen. I det här fallet används ofta molndatakällor för att hantera utmaningen.

Den första metoden använder Azure Analysis Services för att skapa ett informationslager i företagsklass som hanterar analytikernas behov i hela det överordnade företaget och dess dotterbolag enligt följande bild. Contoso kan vara värd för data och använda funktioner som säkerhet på radnivå för att säkerställa att användare i varje dotterbolag endast kan komma åt sina data. Analytiker i varje organisation kan komma åt informationslagret via Power BI Desktop och publicera resulterande analyser till sina respektive Power BI-klienter.

Den andra metoden använder Azure SQL Database för att skapa ett relationsdatalager för att ge åtkomst till data. Detta fungerar på samma sätt som Azure Analysis Services-metoden, även om vissa funktioner som säkerhet på radnivå kan vara svårare att distribuera och underhålla mellan dotterbolag.

Mer avancerade metoder är också möjliga, men ovanstående är överlägset de vanligaste.

Fall 3: Delad miljö mellan partner

Contoso kan ingå ett partnerskap med en konkurrent för att gemensamt bygga en bil på en delad monteringslinje, men för att distribuera fordonet under olika märken eller i olika regioner. Detta kräver omfattande samarbete och samägarskap av data, intelligens och analys i organisationer. Den här strukturen är också vanlig i konsultbranschen där ett team med konsulter kan utföra projektbaserad analys för en klient.

I praktiken är dessa strukturer komplexa som visas i följande bild och kräver att personalen underhåller. För att vara effektiva får organisationer återanvända Power BI Pro-licenser som köpts för respektive Power BI-klientorganisation.

För att upprätta en delad Power BI-klient måste ett Microsoft Entra-ID skapas och minst ett Power BI Pro-användarkonto måste köpas för en användare i den klientorganisationen. Den här användaren bjuder in de användare som krävs till den delade organisationen. I det här scenariot behandlas Contosos användare som externa användare när de arbetar i den delade organisationens Power BI.

Processen ser ut så här:

1. Den delade organisationen upprättas som ett nytt Microsoft Entra-ID och minst ett användarkonto skapas i den nya klientorganisationen. Användaren bör ha tilldelats en Power BI Pro-licens.
2. Den här användaren upprättar sedan en Power BI-klientorganisation och bjuder in de användare som krävs från Contoso och partnerorganisationen. Användaren upprättar även alla delade datatillgångar som Azure Analysis Services. Contoso och partnerns användare kan komma åt den delade organisationens Power BI som gästanvändare. Normalt lagras och används alla delade tillgångar från den delade organisationen.
3. Beroende på hur parterna är överens om att samarbeta är det möjligt för varje organisation att utveckla egna upphovsrättsskyddade data och analyser med hjälp av delade informationslagertillgångar. De kan distribuera dem till sina respektive interna användare med hjälp av sina interna Power BI-klienter.

Ärende 4: Distribution till hundratals eller tusentals externa partner

Contoso skapade en rapport om radiatortillförlitlighet för en leverantör, men nu vill Contoso skapa en uppsättning standardiserade rapporter för hundratals leverantörer. På så sätt kan Contoso se till att alla leverantörer har den analys de behöver för att göra förbättringar eller åtgärda tillverkningsfel.

När en organisation behöver distribuera standardiserade data och insikter till många externa användare/organisationer kan de använda scenariot Ad hoc eller planerad delning av Power BI Apps för att snabbt och utan omfattande utvecklingskostnader skapa en BI-portal. Processen för att skapa en sådan portal med hjälp av en Power BI-app beskrivs i fallstudien: Skapa en BI-portal med hjälp av Power BI + Microsoft Entra B2B – stegvisa instruktioner senare i det här dokumentet.

En vanlig variant av det här fallet är när en organisation försöker dela insikter med konsumenter, särskilt när de vill använda Azure Active Directory B2C med Power BI. Power BI har inte inbyggt stöd för Azure Active Directory B2C. Om du utvärderar alternativ för det här fallet kan du överväga att använda alternativ alternativ 2 i avsnittet Vanliga alternativ i avsnittet senare i det här dokumentet.

Fallstudie: Skapa en BI-portal med hjälp av Power BI + Microsoft Entra B2B – stegvisa instruktioner

Power BI:s integrering med Microsoft Entra B2B ger Contoso ett sömlöst och problemfritt sätt att ge gästanvändare säker åtkomst till BI-portalen. Contoso kan konfigurera detta med tre steg:

1. Skapa BI-portalen i Power BI

   Den första uppgiften för Contoso är att skapa sin BI-portal i Power BI. Contosos BI-portal består av en samling specialbyggda instrumentpaneler och rapporter som kommer att göras tillgängliga för många interna användare och gästanvändare. Det rekommenderade sättet att göra detta i Power BI är att skapa en Power BI-app. Läs mer om appar i Power BI.

• Contosos BI-team skapar en arbetsyta i Power BI

  

• Andra författare läggs till i arbetsytan

  

• Innehåll skapas i arbetsytan

  

  Nu när innehållet har skapats på en arbetsyta är Contoso redo att bjuda in gästanvändare i partnerorganisationer att använda det här innehållet.

2. Bjud in gästanvändare

   Det finns två sätt för Contoso att bjuda in gästanvändare till sin BI-portal i Power BI:

   • Planerade inbjudningar
   • Ad hoc-inbjudningar

   Planerade inbjudningar

   I den här metoden bjuder Contoso in gästanvändare till Microsoft Entra i förväg och distribuerar sedan Power BI-innehåll till dem. Contoso kan bjuda in gästanvändare från Azure-portalen eller med hjälp av PowerShell. Här följer stegen för att bjuda in gästanvändare från Azure-portalen:

   • Contosos Microsoft Entra-administratör navigerar till Microsoft Entra-ID-användare>>i Azure-portalen>Alla användare>Ny gästanvändare

   

   • Lägg till ett inbjudningsmeddelande för gästanvändare och välj Bjud in

   

   Kommentar

   Om du vill bjuda in gästanvändare från Azure-portalen behöver du en Microsoft Entra-administratör för din klientorganisation.

   Om Contoso vill bjuda in många gästanvändare kan de göra det med hjälp av PowerShell. Contosos Microsoft Entra-administratör lagrar e-postadresserna för alla gästanvändare i en CSV-fil. Här är Microsoft Entra B2B-samarbetskod och PowerShell-exempel och instruktioner.

   Efter inbjudan får gästanvändare ett e-postmeddelande med inbjudningslänken.

   

   När gästanvändare väljer länken kan de komma åt innehåll i Contoso Microsoft Entra-klientorganisationen.

   Kommentar

   Du kan ändra layouten för e-postinbjudan med hjälp av varumärkesfunktionen Microsoft Entra ID enligt beskrivningen här.

   Ad hoc-inbjudningar

   Vad händer om Contoso inte känner till alla gästanvändare som de vill bjuda in i förväg? Eller vad händer om analytikern i Contoso som skapade BI-portalen vill distribuera innehåll till gästanvändare själv? Vi stöder även det här scenariot i Power BI med ad hoc-inbjudningar.

   Analytikern kan bara lägga till externa användare i åtkomstlistan för appen när de publicerar den. Gästanvändare får en inbjudan och när de godkänner den omdirigeras de automatiskt till Power BI-innehållet.

   

   Kommentar

   Inbjudningar behövs bara första gången en extern användare bjuds in till din organisation.

3. Distribuera innehåll

   Nu när Contosos BI-team har skapat BI-portalen och bjudit in gästanvändare kan de distribuera sin portal till sina slutanvändare genom att ge gästanvändare åtkomst till appen och publicera den. Power BI kompletterar automatiskt namn på gästanvändare som tidigare har lagts till i Contoso-klientorganisationen. Adhoc-inbjudningar till andra gästanvändare kan också läggas till just nu.

   Kommentar

   Om du använder säkerhetsgrupper för att hantera åtkomst till appen för externa användare använder du metoden Planerade inbjudningar och delar applänken direkt med varje extern användare som måste komma åt den. Annars kanske den externa användaren inte kan installera eller visa innehåll från app._

   Gästanvändare får ett e-postmeddelande med en länk till appen.

   

   När du klickar på den här länken uppmanas gästanvändare att autentisera med sin egen organisations identitet.

   

   När de har autentiserats omdirigeras de till Contosos BI-app.

   

   Gästanvändare kan senare komma till Contosos app genom att klicka på länken i e-postmeddelandet eller bokmärkeslänken. Contoso kan också göra det enklare för gästanvändare genom att lägga till den här länken i alla befintliga extranätsportaler som gästanvändare redan använder.

4. Nästa steg

   Med hjälp av en Power BI-app och Microsoft Entra B2B kunde Contoso snabbt skapa en BI-portal för sina leverantörer utan kod. Detta förenklade distributionen av standardiserade analyser till alla leverantörer som behövde den.

   Exemplet visade hur en enda gemensam rapport kunde distribueras mellan leverantörer, men Power BI kan gå mycket längre. För att säkerställa att varje partner endast ser data som är relevanta för sig själva kan säkerhet på radnivå enkelt läggas till i rapporten och datamodellen. Avsnittet Datasäkerhet för externa partner senare i det här dokumentet beskriver den här processen i detalj.

   Ofta måste enskilda rapporter och instrumentpaneler bäddas in i en befintlig portal. Detta kan också åstadkommas genom att återanvända många av de tekniker som visas i exemplet. I sådana situationer kan det dock vara enklare att bädda in rapporter eller instrumentpaneler direkt från en arbetsyta. Processen för att bjuda in och tilldela säkerhetsbehörighet till de användare som krävs förblir densamma.

Under huven: Hur kan Lucy från Supplier1 komma åt Power BI-innehåll från Contosos klientorganisation?

Nu när vi har sett hur Contoso smidigt kan distribuera Power BI-innehåll till gästanvändare i partnerorganisationer ska vi titta på hur detta fungerar under huven.

När Contoso bjuds in lucy@supplier1.com till sin katalog skapar Microsoft Entra-ID en länk mellan Lucy@supplier1.com och Contoso Microsoft Entra-klientorganisationen. Den här länken låter Microsoft Entra-ID veta att Lucy@supplier1.com det kan komma åt innehåll i Contoso-klientorganisationen.

När Lucy försöker komma åt Contosos Power BI-app verifierar Microsoft Entra ID att Lucy kan komma åt Contoso-klientorganisationen och tillhandahåller sedan Power BI en token som anger att Lucy autentiseras för att komma åt innehåll i Contoso-klientorganisationen. Power BI använder den här token för att auktorisera och se till att Lucy har åtkomst till Contosos Power BI-app.

Power BI:s integrering med Microsoft Entra B2B fungerar med alla e-postadresser för företag. Om användaren inte har någon Microsoft Entra-identitet kan de uppmanas att skapa en. Följande bild visar det detaljerade flödet:

Det är viktigt att känna igen att Microsoft Entra-kontot kommer att användas eller skapas i den externa partens Microsoft Entra-ID, detta gör det möjligt för Lucy att använda sitt eget användarnamn och lösenord och deras autentiseringsuppgifter slutar automatiskt att fungera i andra klienter när Lucy lämnar företaget när deras organisation också använder Microsoft Entra-ID.

Licensiering

Contoso kan välja en av tre metoder för att licensiera gästanvändare från sina leverantörer och partnerorganisationer för att få åtkomst till Power BI-innehåll.

Kommentar

Microsoft Entra B2B:s kostnadsfria nivå räcker för att använda Power BI med Microsoft Entra B2B. Vissa avancerade Microsoft Entra B2B-funktioner som dynamiska grupper kräver ytterligare licensiering. Mer information finns i Microsoft Entra B2B-dokumentationen.

Metod 1: Contoso använder Power BI Premium

Med den här metoden köper Contoso Power BI Premium-kapacitet och tilldelar sitt BI-portalinnehåll till den här kapaciteten. Detta gör att gästanvändare från partnerorganisationer kan komma åt Contosos Power BI-app utan någon Power BI-licens.

Externa användare omfattas också av de förbrukningsupplevelser som erbjuds till "kostnadsfria" användare i Power BI när de använder innehåll i Power BI Premium.

Contoso kan också dra nytta av andra Power BI Premium-funktioner för sina appar, till exempel ökade uppdateringsfrekvenser, kapacitet och stora modellstorlekar.

Metod 2: Contoso tilldelar Power BI Pro-licenser till gästanvändare

Med den här metoden tilldelar Contoso pro-licenser till gästanvändare från partnerorganisationer – detta kan göras från Contosos Administrationscenter för Microsoft 365. Detta gör att gästanvändare från partnerorganisationer kan komma åt Contosos Power BI-app utan att själva köpa en licens. Detta kan vara lämpligt för delning med externa användare vars organisation inte har antagit Power BI ännu.

Kommentar

Contosos pro-licens gäller endast för gästanvändare när de får åtkomst till innehåll i Contoso-klientorganisationen. Pro-licenser ger åtkomst till innehåll som inte finns i en Power BI Premium-kapacitet.

Metod 3: Gästanvändare tar med sin egen Power BI Pro-licens

Med den här metoden tilldelar Leverantör 1 en Power BI Pro-licens till Lucy. De kan sedan komma åt Contosos Power BI-app med den här licensen. Eftersom Lucy kan använda sin Pro-licens från sin egen organisation vid åtkomst till en extern Power BI-miljö kallas den här metoden ibland för BYOL (Bring Your Own License ). Om båda organisationerna använder Power BI erbjuder detta fördelaktig licensiering för den övergripande analyslösningen och minimerar kostnaderna för att tilldela licenser till externa användare.

Kommentar

Pro-licensen som ges till Lucy av Leverantör 1 gäller för alla Power BI-klienter där Lucy är gästanvändare. Pro-licenser ger åtkomst till innehåll som inte finns i en Power BI Premium-kapacitet.

Datasäkerhet för externa partner

Contoso måste vanligtvis se till att varje leverantör endast ser data om sina egna produkter när de arbetar med flera externa leverantörer. Användarbaserad säkerhet och dynamisk säkerhet på radnivå gör det enkelt att utföra med Power BI.

Användarbaserad säkerhet

En av de mest kraftfulla funktionerna i Power BI är säkerhet på radnivå. Med den här funktionen kan Contoso skapa en enda rapport och semantisk modell (tidigare känd som en datauppsättning) men ändå tillämpa olika säkerhetsregler för varje användare. En detaljerad förklaring finns i Säkerhet på radnivå (RLS).

Med Power BI:s integrering med Microsoft Entra B2B kan Contoso tilldela säkerhetsregler på radnivå till gästanvändare så snart de bjuds in till Contoso-klientorganisationen. Som vi har sett tidigare kan Contoso lägga till gästanvändare via antingen planerade eller ad hoc-inbjudningar. Om Contoso vill framtvinga säkerhet på radnivå rekommenderar vi starkt att du använder planerade inbjudningar för att lägga till gästanvändarna i förväg och tilldela dem till säkerhetsrollerna innan du delar innehållet. Om Contoso i stället använder ad hoc-inbjudningar kan det ta en kort tid när gästanvändare inte kan se några data.

Kommentar

Den här fördröjningen vid åtkomst till data som skyddas av RLS när du använder ad hoc-inbjudningar kan leda till supportförfrågningar till IT-teamet eftersom användarna ser antingen tomma eller brutna rapporter/instrumentpaneler när de öppnar en delningslänk i det e-postmeddelande de får. Därför rekommenderar vi starkt att du använder planerade inbjudningar i det här scenariot.

Vi går igenom det här med ett exempel.

Som tidigare nämnts har Contoso leverantörer över hela världen, och de vill se till att användarna från deras leverantörsorganisationer får insikter från data från bara deras territorium. Men användare från Contoso kan komma åt alla data. I stället för att skapa flera olika rapporter skapar Contoso en enda rapport och filtrerar data baserat på användaren som visar den.

För att se till att Contoso kan filtrera data baserat på vem som ansluter skapas två roller i Power BI Desktop. En för att filtrera alla data från SalesTerritory "Europa" och en annan för "Nordamerika".

När roller definieras i rapporten måste en användare tilldelas en specifik roll för att de ska få åtkomst till alla data. Tilldelningen av roller sker i Power BI-tjänst ( Semantiska modeller > Säkerhet ).

Då öppnas en sida där Contosos BI-team kan se de två roller som de har skapat. Nu kan Contosos BI-team tilldela användare till rollerna.

I exemplet lägger Contoso till en användare i en partnerorganisation med e-postadress admin@fabrikam.com till Rollen Europa:

När detta löses av Microsoft Entra-ID kan Contoso se namnet visas i fönstret som är redo att läggas till:

Nu när den här användaren öppnar appen som delades med dem ser de bara en rapport med data från Europa:

Säkerhet på dynamisk radnivå

Ett annat intressant ämne är att se hur dynamisk säkerhet på radnivå (RLS) fungerar med Microsoft Entra B2B.

I korthet fungerar dynamisk säkerhet på radnivå genom att filtrera data i modellen baserat på användarnamnet för den person som ansluter till Power BI. I stället för att lägga till flera roller för användargrupper definierar du användarna i modellen. Vi beskriver inte mönstret i detalj här. Kasper de Jong erbjuder en detaljerad skriva upp på alla smaker av säkerhet på radnivå i Power BI Desktop Dynamisk säkerhet fuskark, och i detta white paper .

Låt oss titta på ett litet exempel – Contoso har en enkel rapport om försäljning efter grupper:

Nu måste den här rapporten delas med två gästanvändare och en intern användare – den interna användaren kan se allt, men gästanvändarna kan bara se de grupper som de har åtkomst till. Det innebär att vi endast måste filtrera data för gästanvändare. För att filtrera data på rätt sätt använder Contoso mönstret Dynamisk RLS enligt beskrivningen i white paper och blogginlägget. Det innebär att Contoso lägger till användarnamnen i själva data:

Sedan skapar Contoso rätt datamodell som filtrerar data på rätt sätt med rätt relationer:

För att filtrera data automatiskt baserat på vem som är inloggad måste Contoso skapa en roll som skickar den användare som ansluter. I det här fallet skapar Contoso två roller – den första är "securityrole" som filtrerar tabellen Användare med det aktuella användarnamnet för den användare som är inloggad i Power BI (detta fungerar även för Microsoft Entra B2B-gästanvändare).

Contoso skapar också en annan "AllRole" för sina interna användare som kan se allt – den här rollen har inget säkerhetspredikat.

När du har laddat upp Power BI-skrivbordsfilen till tjänsten kan Contoso tilldela gästanvändare till "SecurityRole" och interna användare till "AllRole"

Nu när gästanvändarna öppnar rapporten ser de bara försäljning från grupp A:

I matrisen till höger kan du se resultatet av funktionen USERNAME() och USERPRINCIPALNAME() som båda returnerar gästanvändarnas e-postadress.

Nu får den interna användaren se alla data:

Som du ser fungerar Dynamic RLS med både interna användare eller gästanvändare.

Kommentar

Det här scenariot fungerar också när du använder en modell i Azure Analysis Services. Vanligtvis är Din Azure Analysis Service ansluten till samma Microsoft Entra-ID som power BI – i så fall vet Azure Analysis Services även vilka gästanvändare som bjuds in via Microsoft Entra B2B.

Anslut till lokala datakällor

Power BI erbjuder möjligheten för Contoso att använda lokala datakällor som SQL Server Analysis Services eller SQL Server direkt tack vare den lokala datagatewayen. Det går till och med att logga in på dessa datakällor med samma autentiseringsuppgifter som används med Power BI.

Kommentar

När du installerar en gateway för att ansluta till din Power BI-klient måste du använda en användare som skapats i din klientorganisation. Externa användare kan inte installera en gateway och ansluta den till din tenant._

För externa användare kan detta vara mer komplicerat eftersom de externa användarna vanligtvis inte är kända för den lokala AD:en. Power BI erbjuder en lösning för detta genom att låta Contoso-administratörer mappa de externa användarnamnen till interna användarnamn enligt beskrivningen i Hantera din datakälla – Analysis Services. Kan till exempel lucy@supplier1.com mappas till lucy_supplier1_com#EXT@contoso.com.

Den här metoden är bra om Contoso bara har en handfull användare eller om Contoso kan mappa alla externa användare till ett enda internt konto. För mer komplexa scenarier där varje användare behöver sina egna autentiseringsuppgifter finns det en mer avancerad metod som använder anpassade AD-attribut för att utföra mappningen enligt beskrivningen i Hantera din datakälla – Analysis Services. Detta skulle göra det möjligt för Contoso-administratören att definiera en mappning för varje användare i ditt Microsoft Entra-ID (även externa B2B-användare). Dessa attribut kan anges via AD-objektmodellen med hjälp av skript eller kod så att Contoso kan automatisera mappningen fullständigt vid inbjudan eller enligt en schemalagd takt.

Kontroll

Ytterligare Microsoft Entra-ID-inställningar som påverkar funktioner i Power BI som är relaterade till Microsoft Entra B2B

När du använder Microsoft Entra B2B-delning kontrollerar Microsoft Entra-administratören aspekter av den externa användarens upplevelse. Dessa styrs på sidan Inställningar för externt samarbete i inställningarna för Microsoft Entra-ID för din klientorganisation.

Mer information finns i Konfigurera inställningar för externt samarbete.

Kommentar

Som standard är behörigheterna för gästanvändare begränsade till Ja, så gästanvändare i Power BI har begränsade funktioner, särskilt surrounddelning där UIs för personväljare inte fungerar för dessa användare. Det är viktigt att arbeta med Microsoft Entra-administratören för att ställa in det på Nej, som du ser nedan för att säkerställa en bra upplevelse.

Kontrollera gästbjudningar

Power BI-administratörer kan styra extern delning bara för Power BI genom att besöka Power BI-administratörsportalen. Men administratörer kan också styra extern delning med olika Microsoft Entra-principer. Med de här principerna kan administratörer:

• Inaktivera inbjudningar från slutanvändare
• Endast administratörer och användare i rollen Gästinbjudare kan bjuda in
• Administratörer, rollen gästinbjudare och medlemmar kan bjuda in
• Alla användare, inklusive gäster, kan bjuda in

Du kan läsa mer om dessa principer i Delegera inbjudningar för Microsoft Entra B2B-samarbete.

Alla Power BI-åtgärder från externa användare granskas också i vår granskningsportal.

Principer för villkorlig åtkomst för gästanvändare

Contoso kan tillämpa principer för villkorlig åtkomst för gästanvändare som har åtkomst till innehåll från Contoso-klientorganisationen. Detaljerade instruktioner finns i Villkorsstyrd åtkomst för B2B-samarbetsanvändare.

Vanliga alternativa metoder

Microsoft Entra B2B gör det enkelt att dela data och rapporter mellan organisationer, men det finns flera andra metoder som ofta används och kan vara överlägsna i vissa fall.

Alternativ alternativ 1: Skapa duplicerade identiteter för partneranvändare

Med det här alternativet var Contoso tvungen att manuellt skapa dubblettidentiteter för varje partneranvändare i Contoso-klientorganisationen, enligt följande bild. I Power BI kan Contoso sedan dela lämpliga rapporter, instrumentpaneler eller appar till de tilldelade identiteterna.

Anledningar till att välja det här alternativet:

• Eftersom användarens identitet styrs av din organisation, är alla relaterade tjänster som e-post, SharePoint osv. också inom organisationens kontroll. IT-administratörerna kan återställa lösenord, inaktivera åtkomst till konton eller granska aktiviteter i dessa tjänster.
• Användare som använder personliga konton för sin verksamhet är ofta begränsade från att komma åt vissa tjänster, så kan behöva ett organisationskonto.
• Vissa tjänster fungerar bara över organisationens användare. Det är till exempel inte möjligt att använda Intune för att hantera innehåll på personliga/mobila enheter för externa användare som använder Microsoft Entra B2B.

Anledningar till att inte välja det här alternativet:

• Användare från partnerorganisationer måste komma ihåg två uppsättningar autentiseringsuppgifter– en för att få åtkomst till innehåll från sin egen organisation och den andra för att få åtkomst till innehåll från Contoso. Detta är ett problem för dessa gästanvändare och många gästanvändare är förvirrade av den här upplevelsen.
• Contoso måste köpa och tilldela licenser per användare till dessa användare. Om en användare behöver ta emot e-post eller använda office-program behöver de lämpliga licenser, inklusive Power BI Pro för att redigera och dela innehåll i Power BI.
• Contoso kanske vill tillämpa strängare auktoriserings- och styrningsprinciper för externa användare jämfört med interna användare. För att uppnå detta måste Contoso skapa en intern nomenklatur för externa användare och alla Contoso-användare måste utbildas om den här nomenklaturen.
• När användaren lämnar organisationen fortsätter de att ha åtkomst till Contosos resurser tills Contoso-administratören tar bort sitt konto manuellt
• Contosos administratörer måste hantera identiteten för gästen, inklusive skapande, lösenordsåterställning osv.

Alternativ alternativ 2: Skapa ett anpassat Power BI Embedded-program med anpassad autentisering

Ett annat alternativ för Contoso är att skapa ett eget anpassat inbäddat Power BI-program med anpassad autentisering ("Appen äger data"). Även om många organisationer inte har tid eller resurser för att skapa ett anpassat program för att distribuera Power BI-innehåll till sina externa partner, är detta den bästa metoden för vissa organisationer och förtjänar seriöst övervägande.

Organisationer har ofta befintliga partnerportaler som centraliserar åtkomsten till alla organisationsresurser för partner, tillhandahåller isolering från interna organisationsresurser och tillhandahåller effektiva upplevelser för partner för att stödja många partner och deras enskilda användare.

I exemplet ovan loggar användare från varje leverantör in på Contosos partnerportal som använder Microsoft Entra-ID som identitetsprovider. Den kan använda Microsoft Entra B2B, Azure Active Directory B2C, interna identiteter eller federera med valfritt antal andra identitetsprovidrar. Användaren loggar in och får åtkomst till en partnerportalversion med hjälp av Azure Web App eller en liknande infrastruktur.

I webbappen bäddas Power BI-rapporter in från en Power BI Embedded-distribution. Webbappen skulle effektivisera åtkomsten till rapporterna och relaterade tjänster i en sammanhängande upplevelse som syftar till att göra det enkelt för leverantörer att interagera med Contoso. Den här portalmiljön skulle isoleras från Contosos interna Microsoft Entra-ID och Contosos interna Power BI-miljö för att säkerställa att leverantörerna inte kunde komma åt dessa resurser. Vanligtvis lagras data i ett separat informationslager för partner för att säkerställa isolering av data också. Den här isoleringen har fördelar eftersom den begränsar antalet externa användare med direkt åtkomst till organisationens data, begränsar vilka data som kan vara tillgängliga för den externa användaren och begränsar oavsiktlig delning med externa användare.

Med Power BI Embedded kan portalen använda fördelaktig licensiering med hjälp av en apptoken eller huvudanvändaren plus premiumkapacitet som köpts i Azure-modellen, vilket förenklar oron för att tilldela licenser till slutanvändare och kan skalas upp/ned baserat på förväntad användning. Portalen kan erbjuda en övergripande högre kvalitet och konsekvent upplevelse eftersom partner får åtkomst till en enda portal som utformats med alla en partners behov i åtanke. Eftersom Power BI Embedded-baserade lösningar vanligtvis är utformade för att vara flera klientorganisationer gör det det enklare att säkerställa isolering mellan partnerorganisationer.

Anledningar till att välja det här alternativet:

• Enklare att hantera i takt med att antalet partnerorganisationer växer. Eftersom partner läggs till i en separat katalog som är isolerad från Contosos interna Microsoft Entra-katalog förenklas IT:s styrningsuppgifter och förhindrar oavsiktlig delning av interna data till externa användare.
• Typiska partnerportaler är mycket varumärkesanpassade upplevelser med konsekventa upplevelser mellan partner och effektiviserade för att uppfylla vanliga partners behov. Contoso kan därför erbjuda partner en bättre övergripande upplevelse genom att integrera alla nödvändiga tjänster i en enda portal.
• Licensieringskostnader för avancerade scenarier som Redigering av innehåll i Power BI Embedded omfattas av Den Azure-köpta Power BI Premium och kräver inte tilldelning av Power BI Pro-licenser till dessa användare.
• Ger bättre isolering mellan partner om de utformas som en lösning för flera klientorganisationer.
• Partnerportalen innehåller ofta andra verktyg för partner utöver Power BI-rapporter, instrumentpaneler och appar.

Anledningar till att inte välja det här alternativet:

• Betydande ansträngningar krävs för att bygga, driva och underhålla en sådan portal, vilket gör den till en betydande investering i resurser och tid.
• Tid till lösning är mycket längre än att använda B2B-delning eftersom noggrann planering och körning över flera arbetsströmmar krävs.
• Om det finns ett mindre antal partner är den ansträngning som krävs för detta alternativ sannolikt för hög för att motivera.
• Samarbete med ad hoc-delning är det primära scenario som din organisation står inför.
• Rapporterna och instrumentpanelerna skiljer sig åt för varje partner. Det här alternativet introducerar hanteringskostnader utöver att bara dela direkt med partner.

Vanliga frågor

Kan Contoso skicka en inbjudan som löses in automatiskt, så att användaren bara är "redo att gå"? Eller måste användaren alltid klicka sig fram till inlösnings-URL:en?

Slutanvändaren måste alltid klicka sig igenom medgivandeupplevelsen innan de kan komma åt innehåll.

Om du kommer att bjuda in många gästanvändare rekommenderar vi att du delegerar detta från dina grundläggande Microsoft Entra-administratörer genom att lägga till en användare i gästinbjudarrollen i resursorganisationen. Den här användaren kan bjuda in andra användare i partnerorganisationen med hjälp av inloggningsgränssnittet, PowerShell-skript eller API:er. Detta minskar den administrativa bördan för dina Microsoft Entra-administratörer att bjuda in eller ta emot inbjudningar till användare i partnerorganisationen.

Kan Contoso framtvinga multifaktorautentisering för gästanvändare om dess partner inte har multifaktorautentisering?

Ja. Mer information finns i Villkorlig åtkomst för B2B-samarbetsanvändare.

Hur fungerar B2B-samarbete när den inbjudna partnern använder federation för att lägga till sin egen lokala autentisering?

Om partnern har en Microsoft Entra-klientorganisation som är federerad till den lokala autentiseringsinfrastrukturen uppnås lokal enkel inloggning (SSO) automatiskt. Om partnern inte har någon Microsoft Entra-klientorganisation kan ett Microsoft Entra-konto skapas för nya användare.

Kan jag bjuda in gästanvändare med konsument-e-postkonton?

Inbjudan till gästanvändare med konsument-e-postkonton stöds i Power BI. Detta omfattar domäner som hotmail.com, outlook.com och gmail.com. Dessa användare kan dock uppleva begränsningar utöver vad användare med arbets- eller skolkonton stöter på.