กระจายเนื้อหา Power BI ไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมจากภายนอกโดยใช้ Microsoft Entra B2B

สรุป: นี่คือเอกสารทางเทคนิคที่สรุปวิธีการกระจายเนื้อหาไปยังผู้ใช้ภายนอกองค์กรโดยใช้การผสานรวม Microsoft Entra ID (ก่อนหน้านี้เรียกว่า Azure Active Directory) business-to-business (Microsoft Entra B2B)

ผู้เขียน: Lukasz Pawlowski, Kasper de Jonge

ผู้ตรวจสอบทางเทคนิค: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

หมายเหตุ

คุณสามารถบันทึกหรือพิมพ์เอกสารทางเทคนิคนี้โดยการเลือก พิมพ์ จากเบราว์เซอร์ของคุณ แล้วเลือก บันทึกเป็น PDF

บทนำ

Power BI ช่วยให้องค์กรมีมุมมอง 360 องศาในธุรกิจของพวกเขา และเพิ่มศักยภาพของทุกคนในองค์กรเหล่านี้เพื่อทําการตัดสินใจอย่างชาญฉลาดโดยใช้ข้อมูล หลายองค์กรเหล่านี้มีความสัมพันธ์ที่แข็งแกร่งและเชื่อถือได้กับคู่ค้าภายนอก ผู้รับบริการ และผู้รับเหมา องค์กรเหล่านี้จําเป็นต้องให้การเข้าถึงที่ปลอดภัยไปยังแดชบอร์ดและรายงาน Power BI แก่ผู้ใช้ในคู่ค้าภายนอกเหล่านี้

Power BI รวมเข้ากับ Microsoft Entra เพื่อธุรกิจ (Microsoft Entra B2B) เพื่ออนุญาตให้มีการกระจายความปลอดภัยของเนื้อหา Power BI ไปยังผู้ใช้เป็นผู้เยี่ยมชมภายนอกองค์กร ในขณะที่ยังคงรักษาการควบคุมและควบคุมการเข้าถึงข้อมูลภายใน

เอกสารนี้ครอบคลุมรายละเอียดทั้งหมดที่คุณต้องการเพื่อทําความเข้าใจการรวมกันของ Power BI กับ Microsoft Entra B2B เราครอบคลุมกรณีการใช้งานทั่วไปส่วนใหญ่ การตั้งค่า สิทธิ์การใช้งาน และการรักษาความปลอดภัยระดับแถว

สถานการณ์สมมติ

Contoso คือ ผู้ผลิตที่รถยนต์ และทํางานกับผู้จําหน่ายหลากหลายจํานวนมาก ซึ่งเป็นผู้จัดเตรียมองค์ประกอบ วัสดุ และบริการที่จําเป็นให้บริษัทเพื่อดําเนินการผลิตของบริษัท Contoso ต้องการปรับปรุงประสิทธิภาพลอจิสติกส์ห่วงโซ่อุปทานและวางแผนที่จะใช้ Power BI เพื่อตรวจสอบเมตริกประสิทธิภาพของห่วงโซ่อุปทานของบริษัท Contoso ต้องการแชร์การวิเคราะห์ให้แก่คู่ค้าในห่วงโซ่อุปทานภายนอกในวิธีการจัดการที่ปลอดภัยและจัดการได้

Contoso สามารถเปิดใช้งานประสบการณ์การใช้งานต่อไปนี้สําหรับผู้ใช้ภายนอกโดยใช้ Power BI และ Microsoft Entra B2B

การแชร์รายการแบบเฉพาะกิจ

Contoso ทํางานกับซัพพลายเออร์ที่สร้างหม้อน้ํารถยนต์สําหรับรถยนต์ของ Contoso บ่อยครั้ง พวกเขาจําเป็นต้องปรับความน่าเชื่อถือของหม้อน้ํารถยนต์โดยใช้ข้อมูลจากรถยนต์ทั้งหมดของ Contoso นักวิเคราะห์ที่ Contoso ใช้ Power BI เพื่อแชร์รายงานความน่าเชื่อถือของหม้อน้ําหม้อน้ํากับวิศวกรของซัพพลายเออร์ วิศวกรได้รับอีเมลที่มีลิงก์เพื่อดูรายงาน

ตามที่อธิบายไว้ข้างต้น การแชร์เฉพาะกิจนี้จะดําเนินการโดยผู้ใช้ทางธุรกิจบนพื้นฐานที่จําเป็น ลิงก์ที่ส่งโดย Power BI ไปยังผู้ใช้ภายนอกคือลิงก์การเชิญ Microsoft Entra B2B เมื่อผู้ใช้ภายนอกเปิดลิงก์ พวกเขาจะถูกขอให้เข้าร่วมองค์กร Microsoft Entra ของ Contoso ในฐานะผู้ใช้ที่เป็นผู้เยี่ยมชม หลังจากยอมรับคําเชิญแล้ว ลิงก์จะเปิดรายงานหรือแดชบอร์ดที่เจาะจง ผู้ดูแลระบบ Microsoft Entra มอบหมายสิทธิ์ให้เชิญผู้ใช้ภายนอกไปยังองค์กร และเลือกว่าผู้ใช้เหล่านั้นสามารถทําอะไรได้บ้างเมื่อพวกเขายอมรับคําเชิญตามที่อธิบายไว้ในส่วนการกํากับดูแลของเอกสารนี้ นักวิเคราะห์ Contoso สามารถเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมเท่านั้น เนื่องจากผู้ดูแลระบบ Microsoft Entra อนุญาตการดําเนินการนั้นและผู้ดูแลระบบ Power BI อนุญาตให้ผู้ใช้เชิญผู้เยี่ยมชมเพื่อดูเนื้อหาในการตั้งค่าผู้เช่าของ Power BI ได้

1. กระบวนการเริ่มต้นจากผู้ใช้ภายใน Contoso แชร์แดชบอร์ดหรือรายงานกับผู้ใช้ภายนอก ถ้าผู้ใช้ภายนอกยังไม่ได้เป็นผู้เยี่ยมชมใน Microsoft Entra ID ของ Contoso พวกเขาจะได้รับเชิญ อีเมลจะถูกส่งไปยังที่อยู่อีเมลของพวกเขาที่มีคําเชิญไปยัง ID Microsoft Entra ของ Contoso
2. ผู้รับยอมรับคําเชิญไปยังรหัส Microsoft Entra ของ Contoso และจะถูกเพิ่มเป็นผู้ใช้ที่เป็นผู้เยี่ยมชมใน ID Microsoft Entra ของ Contoso
3. จากนั้น ระบบจะนําผู้รับไปยังแดชบอร์ด รายงาน หรือแอป Power BI

กระบวนการนี้ถือว่าเป็นเฉพาะกิจเนื่องจากผู้ใช้ทางธุรกิจใน Contoso ดําเนินการเชิญตามความจําเป็นเพื่อวัตถุประสงค์ทางธุรกิจของพวกเขา แต่ละรายการที่แชร์จะเป็นลิงก์เดียวที่ผู้ใช้ภายนอกสามารถเข้าถึงเพื่อดูเนื้อหาได้

เมื่อผู้ใช้ภายนอกได้รับเชิญให้เข้าถึงทรัพยากร Contoso บัญชีเงาอาจถูกสร้างขึ้นสําหรับพวกเขาใน Contoso Microsoft Entra ID และพวกเขาไม่จําเป็นต้องได้รับเชิญอีกครั้ง ในครั้งแรกที่พวกเขาพยายามเข้าถึงทรัพยากร Contoso เช่น แดชบอร์ด Power BI พวกเขาต้องผ่านกระบวนการขอความยินยอม เพื่อแลกใช้คําเชิญ ถ้าพวกเขาไม่ดําเนินการขอความยินยอมให้เสร็จสมบูรณ์ พวกเขาจะไม่สามารถเข้าถึงเนื้อหาของ Contoso ใด ๆ ได้ ถ้าพวกเขามีปัญหาในการแลกใช้คําเชิญของพวกเขาผ่านลิงก์เดิมที่ให้ไว้ ผู้ดูแลระบบ Microsoft Entra สามารถส่งลิงก์เชิญเฉพาะสําหรับพวกเขาเพื่อทําการแลกใช้สิทธิ์

การแชร์รายการแบบวางแผนไว้

Contoso ทํางานกับผู้รับเหมาย่อยเพื่อดําเนินการวิเคราะห์ความน่าเชื่อถือของหม้อน้ําหม้อน้ํา ผู้รับเหมาย่อยมีทีมงาน 10 คนที่ต้องการเข้าถึงข้อมูลในสภาพแวดล้อม Power BI ของ Contoso ผู้ดูแลระบบ Contoso Microsoft Entra มีส่วนเกี่ยวข้องในการเชิญผู้ใช้ทั้งหมด และจัดการเพิ่ม/เปลี่ยนแปลงใด ๆ ตามการเปลี่ยนแปลงของบุคลากรจากผู้รับเหมาย่อย ผู้ดูแลระบบ Microsoft Entra สร้างกลุ่มความปลอดภัยสําหรับพนักงานทั้งหมดที่ผู้รับเหมาย่อย การใช้กลุ่มความปลอดภัย พนักงานของ Contoso สามารถจัดการการเข้าถึงรายงานและตรวจสอบให้แน่ใจว่าบุคลากรผู้รับเหมาย่อยที่จําเป็นทั้งหมดสามารถเข้าถึงรายงาน แดชบอร์ด และแอป Power BI ที่จําเป็นทั้งหมดได้อย่างง่ายดาย ผู้ดูแลระบบ Microsoft Entra ยังสามารถหลีกเลี่ยงการเกี่ยวข้องกับกระบวนการเชิญทั้งหมด โดยเลือกที่จะมอบหมายสิทธิ์การเชิญให้แก่พนักงานที่เชื่อถือได้ที่ Contoso หรือที่ผู้รับเหมาย่อยเพื่อให้มั่นใจในการบริหารจัดการบุคลากรอย่างทันเวลา

บางองค์กรจําเป็นต้องควบคุมมากขึ้นเมื่อมีการเพิ่มผู้ใช้ภายนอก มีการเชิญผู้ใช้จํานวนมากในองค์กรภายนอก หรือมีองค์กรภายนอกจํานวนมาก ในกรณีเหล่านี้ สามารถใช้การแชร์ที่วางแผนไว้แล้วเพื่อจัดการมาตราส่วนของการแชร์ เพื่อบังคับใช้นโยบายขององค์กร และแม้กระทั่งเพื่อมอบหมายสิทธิ์ให้บุคคลที่เชื่อถือได้สามารถเชิญและจัดการผู้ใช้ภายนอก Microsoft Entra B2B สนับสนุนคําเชิญที่วางแผนไว้เพื่อส่งโดยตรง จากพอร์ทัล Azure โดยผู้ดูแลระบบ IT หรือผ่านทาง PowerShell โดยใช้ตัวจัดการคําเชิญ API ที่สามารถเชิญชุดของผู้ใช้ได้ในการดําเนินการเดียว การใช้วิธีการเชิญที่วางแผนไว้ องค์กรสามารถควบคุมว่าใครสามารถเชิญผู้ใช้และดําเนินกระบวนการอนุมัติ ความสามารถขั้นสูงของ Microsoft Entra เช่น กลุ่มแบบไดนามิกทําให้ง่ายต่อการรักษาความปลอดภัยของสมาชิกกลุ่มโดยอัตโนมัติ

1. กระบวนการเริ่มต้นจากผู้ดูแลระบบ IT เชิญผู้ใช้ที่เป็นผู้เยี่ยมชมอาจโดยการด้วยตนเอง หรือผ่าน API ที่ให้ไว้โดย ID Microsoft Entra
2. ผู้ใช้ยอมรับคําเชิญไปยังองค์กร
3. เมื่อผู้ใช้ยอมรับคําเชิญแล้ว ผู้ใช้ใน Power BI สามารถแชร์รายงานหรือแดชบอร์ดกับผู้ใช้ภายนอก หรือกลุ่มความปลอดภัยที่พวกเขาอยู่ได้ เช่นเดียวกับการแชร์ทั่วไปใน Power BI ผู้ใช้ภายนอกจะได้รับอีเมลที่มีลิงก์ไปยังรายการ
4. เมื่อผู้ใช้ภายนอกเข้าถึงลิงก์ การรับรองความถูกต้องของพวกเขาในไดเรกทอรีของพวกเขาจะถูกส่งผ่านไปยังรหัส Microsoft Entra ของ Contoso และใช้เพื่อเข้าถึงเนื้อหา Power BI

การแชร์เฉพาะกิจหรือวางแผนของแอป Power BI

Contoso มีชุดของรายงานและแดชบอร์ดที่พวกเขาต้องการแชร์กับซัพพลายเออร์หนึ่งรายหรือมากกว่า เพื่อให้แน่ใจว่าผู้ใช้ภายนอกที่จําเป็นทั้งหมดมีสิทธิ์เข้าถึงเนื้อหานี้ เนื้อหาดังกล่าวจะถูกจัดเป็นแพคเกจเป็นแอป Power BI ผู้ใช้ภายนอกจะถูกเพิ่มไปยังรายการเข้าถึงแอปโดยตรง หรือผ่านทางกลุ่มความปลอดภัย จากนั้นใครบางคนที่ Contoso ส่ง URL ของแอปไปยังผู้ใช้ภายนอกทั้งหมด ตัวอย่างเช่น ในอีเมล เมื่อผู้ใช้ภายนอกเปิดลิงก์ พวกเขาจะเห็นเนื้อหาทั้งหมดในประสบการณ์การนําทางเดียวที่ง่าย

การใช้แอป Power BI ทําให้ Contoso สร้างพอร์ทัล BI สําหรับซัพพลายเออร์ของตนได้ง่ายขึ้น รายการเข้าถึงเดียวควบคุมการเข้าถึงไปยังเนื้อหาที่จําเป็นทั้งหมด ทําให้ช่วยลดเวลาการตรวจสอบและการตั้งค่าการอนุญาตระดับรายการ Microsoft Entra B2B รักษาความปลอดภัยการเข้าถึงโดยใช้ข้อมูลประจําตัวเดิมของซัพพลายเออร์ ดังนั้นผู้ใช้จึงไม่จําเป็นต้องใช้ข้อมูลประจําตัวการลงชื่อเข้าใช้เพิ่มเติม ถ้าใช้การเชิญที่วางแผนไว้กับกลุ่มความปลอดภัย การเข้าถึงการจัดการไปยังแอปเมื่อเปลี่ยนบุคลากรเข้าหรือออกจากโครงการนั้นเป็นเรื่องที่ง่ายดาย เป็นสมาชิกในกลุ่มความปลอดภัยด้วยตนเองหรือโดยใช้ กลุ่มแบบไดนามิก เพื่อให้ผู้ใช้ภายนอกทั้งหมดจากซัพพลายเออร์ถูกเพิ่มโดยอัตโนมัติลงในกลุ่มความปลอดภัยที่เหมาะสม

1. กระบวนการเริ่มต้นโดยผู้ใช้ที่ได้รับเชิญไปยังองค์กร Microsoft Entra ของ Contoso ผ่านพอร์ทัล Azure หรือ PowerShell
2. ผู้ใช้สามารถเพิ่มไปยังกลุ่มผู้ใช้ใน Microsoft Entra ID สามารถใช้กลุ่มผู้ใช้แบบคงที่หรือแบบไดนามิก แต่กลุ่มแบบไดนามิกช่วยลดการทํางานแบบแมนวล
3. ผู้ใช้ภายนอกที่มีสิทธิ์เข้าถึงแอป Power BI ผ่านกลุ่มผู้ใช้ URL ของแอปควรส่งตรงไปยังผู้ใช้ภายนอก หรือวางบนไซต์ที่พวกเขามีสิทธิ์เข้าถึง Power BI ใช้ความพยายามอย่างดีที่สุดเพื่อส่งอีเมลที่มีลิงก์แอปไปยังผู้ใช้ภายนอก แต่เมื่อใช้กลุ่มผู้ใช้ที่สามารถเปลี่ยนแปลงสมาชิกภาพแล้ว Power BI จะไม่สามารถส่งไปยังผู้ใช้ภายนอกทั้งหมดที่จัดการผ่านกลุ่มผู้ใช้ได้
4. เมื่อผู้ใช้ภายนอกเข้าถึง URL ของแอป Power BI พวกเขาได้รับการรับรองโดย Microsoft Entra ID ของ Contoso แอปจะถูกติดตั้งสําหรับผู้ใช้ และผู้ใช้สามารถดูรายงานและแดชบอร์ดที่มีอยู่ทั้งหมดภายในแอป

แอปยังมีคุณลักษณะไม่ซ้ํากันที่อนุญาตให้ผู้เขียนแอปติดตั้งแอปพลิเคชันสําหรับผู้ใช้โดยอัตโนมัติ เพื่อให้พร้อมใช้งานเมื่อผู้ใช้เข้าสู่ระบบ คุณลักษณะนี้จะติดตั้งโดยอัตโนมัติสําหรับผู้ใช้ภายนอกที่เป็นส่วนหนึ่งขององค์กรของ Contoso อยู่แล้วในเวลาที่เผยแพร่หรืออัปเดตแอปพลิเคชัน ดังนั้น การใช้คําเชิญที่มีการวางแผนเป็นการดีที่สุด และขึ้นอยู่กับแอปที่เผยแพร่หรืออัปเดตหลังจากผู้ใช้ถูกเพิ่มไปยัง ID Microsoft Entra ของ Contoso ผู้ใช้ภายนอกสามารถติดตั้งแอปโดยใช้ลิงก์แอปได้เสมอ

การแสดงข้อคิดเห็นและการสมัครใช้งานเนื้อหาทั่วทั้งองค์กร

ในขณะที่ Contoso ยังคงทํางานกับผู้รับเหมาหรือซัพพลายเออร์ วิศวกรภายนอกจําเป็นต้องทํางานอย่างใกล้ชิดกับนักวิเคราะห์ของ Contoso Power BI มีคุณลักษณะการทํางานร่วมกันมากมายที่ช่วยให้ผู้ใช้สื่อสารเกี่ยวกับเนื้อหาที่พวกเขาสามารถใช้ได้ การแสดงข้อคิดเห็นในแดชบอร์ด (และการแสดงข้อคิดเห็นในรายงานเร็ว ๆ นี้) ช่วยให้ผู้ใช้สามารถพูดคุยเกี่ยวกับจุดข้อมูลที่พวกเขาเห็น และสื่อสารกับผู้เขียนรายงานเพื่อถามคําถาม

ในปัจจุบัน ผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกสามารถเข้าร่วมในข้อคิดเห็น โดยแสดงความคิดเห็น และอ่านการตอบกลับ อย่างไรก็ตาม จะต่างจากผู้ใช้ภายใน โดยผู้ใช้ที่เป็นผู้เยี่ยมชมจะไม่สามารถเป็น @mentioned และไม่ได้รับการแจ้งเตือนว่าพวกเขาได้รับข้อคิดเห็นได้ ผู้ใช้ที่เป็นผู้เยี่ยมชมสามารถใช้คุณลักษณะการสมัครใช้งานภายใน Power BI เพื่อสมัครใช้งานไปยังรายงานหรือแดชบอร์ดด้วยตนเอง เรียนรู้เพิ่มเติมในการสมัครใช้งานอีเมลสําหรับรายงานและแดชบอร์ดในบริการของ Power BI

เข้าถึงเนื้อหาในแอป Power BI สําหรับอุปกรณ์เคลื่อนที่

เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมเปิดลิงก์ไปยังรายงานหรือแดชบอร์ดบนอุปกรณ์เคลื่อนที่ของพวกเขา เนื้อหาจะเปิดในแอป Power BI ดั้งเดิมสําหรับอุปกรณ์เคลื่อนที่บนอุปกรณ์ของพวกเขา ถ้าพวกเขาได้ติดตั้งไว้ จากนั้นผู้ใช้ที่เป็นผู้เยี่ยมชมจะสามารถนําทางระหว่างเนื้อหาที่แชร์กับพวกเขาในผู้เช่าภายนอก และกลับไปยังเนื้อหาของพวกเขาจากผู้เช่าหน้าหลักของพวกเขา สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถึงเนื้อหาที่แชร์กับคุณจากองค์กรภายนอกผ่านแอป Power BI สําหรับอุปกรณ์เคลื่อนที่ ให้ดู เนื้อหา Power BI ที่แชร์กับคุณจากองค์กรภายนอก

ความสัมพันธ์ขององค์กรโดยใช้ Power BI และ Microsoft Entra B2B

เมื่อผู้ใช้ทั้งหมดของ Power BI อยู่ภายในองค์กร คุณไม่จําเป็นต้องใช้ Microsoft Entra B2B อย่างไรก็ตาม เมื่อองค์กรสององค์กรหรือมากกว่าต้องการทํางานร่วมกันบนข้อมูลและข้อมูลเชิงลึกแล้ว การสนับสนุนของ Power BI สําหรับ Microsoft Entra B2B ทําให้การดําเนินการดังกล่าวเป็นเรื่องง่ายและคุ้มราคาด้วยเช่นกัน

ด้านล่างนี้เป็นโครงสร้างองค์กรที่ทํางานร่วมกันโดยทั่วไปซึ่งเหมาะสมสําหรับการทํางานร่วมกันแบบข้ามองค์กรในรูปแบบ Microsoft Entra B2B ใน Power BI Microsoft Entra B2B ทํางานได้ดีในกรณีส่วนใหญ่ แต่ในบางสถานการณ์ ทางเลือกทั่วไปอื่น ๆ ที่ครอบคลุมที่ส่วนท้ายของเอกสารนี้ก็คุ้มค่าที่จะพิจารณา

กรณีที่ 1: การทํางานร่วมกันโดยตรงระหว่างองค์กร

ความสัมพันธ์ของ Contoso กับซัพพลายเออร์หม้อน้ําหม้อน้ําเป็นตัวอย่างของการทํางานร่วมกันโดยตรงระหว่างองค์กร เนื่องจากมีจํานวนผู้ใช้น้อยที่ Contoso และซัพพลายเออร์ต้องการเข้าถึงข้อมูลความน่าเชื่อถือของหม้อน้ํารถยนต์ ดังนั้นการใช้ Microsoft Entra B2B ที่อาศัยการแชร์ภายนอกจะเหมาะสมที่สุด ใช้งานง่ายและง่ายต่อการจัดการ นี่ยังเป็นรูปแบบทั่วไปในบริการให้คําปรึกษาที่ผู้ให้คําปรึกษาอาจจําเป็นต้องสร้างเนื้อหาสําหรับองค์กร

โดยทั่วไปแล้ว การแชร์นี้เกิดขึ้นเริ่มแรกโดยใช้การแชร์รายการแบบเฉพาะกิจ อย่างไรก็ตาม เมื่อทีมเติบโตหรือความสัมพันธ์ลึกมากขึ้น การแชร์รายการแบบวางแผนไว้กลายเป็นวิธีที่ต้องการเพื่อลดค่าใช้จ่ายในการจัดการ นอกจากนี้ การแชร์แบบเฉพาะกิจ หรือแบบวางแผนไว้ของแอป Power BI การแสดงข้อคิดเห็น และการสมัครใช้งานไปยังเนื้อหาทั่วทั้งองค์กร การเข้าถึงเนื้อหาในแอปสําหรับอุปกรณ์เคลื่อนที่สามารถนํามาเล่นได้เช่นกัน ที่สําคัญ ถ้าผู้ใช้ของทั้งสององค์กรมีสิทธิ์การใช้งาน Power BI Pro ในองค์กรที่เกี่ยวข้อง พวกเขาสามารถใช้สิทธิ์การใช้งาน Pro เหล่านั้นในสภาพแวดล้อม Power BI ของกันและกัน ซึ่งให้สิทธิ์การใช้งานที่เป็นประโยชน์เนื่องจากองค์กรที่เชิญอาจไม่จําเป็นต้องชําระเงินสําหรับสิทธิ์การใช้งาน Power BI Pro สําหรับผู้ใช้ภายนอก ซึ่งจะกล่าวถึงรายละเอียดเพิ่มเติมในส่วนของสิทธิ์การใช้งานในภายหลังในเอกสารนี้

กรณีที่ 2: บริษัทหลักและบริษัทสาขาหรือบริษัทในเครือ

โครงสร้างบางองค์กรมีความซับซ้อนมากขึ้น รวมถึงบริษัทสาขา บริษัทในเครือที่เป็นเจ้าของบางส่วนหรือทั้งหมด หรือความสัมพันธ์ที่จัดการโดยผู้ให้บริการ องค์กรเหล่านี้มีองค์กรหลัก เช่น บริษัทโฮลดิ้ง แต่องค์กรพื้นฐานดําเนินการแบบกึ่งปกครองตัว บางครั้งอยู่ภายใต้ข้อกําหนดในภูมิภาคอื่น ซึ่งทําให้แต่ละองค์กรมีสภาพแวดล้อม Microsoft Entra ของตนเองและแยกผู้เช่า Power BI

ในโครงสร้างนี้ องค์กรหลักโดยทั่วไปแล้วจําเป็นต้องแจกจ่ายข้อมูลเชิงลึกที่เป็นมาตรฐานให้กับบริษัทสาขา โดยทั่วไปแล้ว การแชร์นี้เกิดขึ้นโดยใช้การแชร์ที่วางแผนไว้หรือเฉพาะกิจของแอป Power BI ดังที่แสดงในรูปต่อไปนี้ เนื่องจากจะทําให้การแจกจ่ายเนื้อหาอย่างเป็นมาตรฐานให้กับผู้ชมที่กว้างขวาง ในทางปฏิบัติ ใช้การรวมกันของสถานการณ์สมมติทั้งหมดที่กล่าวถึงก่อนหน้านี้ในเอกสารนี้

โดยปฏิบัติตามขั้นตอนต่อไปนี้:

1. ผู้ใช้จากแต่ละบริษัทสาขาได้รับเชิญไปยังรหัส Microsoft Entra ของ Contoso
2. จากนั้นแอป Power BI จะถูกเผยแพร่เพื่อให้ผู้ใช้เหล่านี้สามารถเข้าถึงข้อมูลที่จําเป็นได้
3. สุดท้าย ผู้ใช้เปิดแอปผ่านลิงก์ที่พวกเขาได้รับเพื่อดูรายงาน

ความท้าทายต่าง ๆ ที่สําคัญที่องค์กรเผชิญในโครงสร้างนี้:

• วิธีการแจกจ่ายลิงก์ไปยังเนื้อหาในองค์กรหลักของ Power BI
• วิธีการอนุญาตให้ผู้ใช้ในบริษัทสาขาเข้าถึงแหล่งข้อมูลที่โฮสต์โดยองค์กรหลัก

การแจกจ่ายลิงก์ไปยังเนื้อหาในองค์กรหลักของ Power BI

สามวิธีที่ใช้บ่อยในการแจกจ่ายลิงก์ไปยังเนื้อหา วิธีแรกและใช้ทั่วไปมากที่สุดคือการส่งลิงก์ไปยังแอปไปยังผู้ใช้ที่ต้องการ หรือวางไว้ในไซต์ SharePoint Online จากสถานที่ที่สามารถเปิดลิงก์ได้ จากนั้นผู้ใช้สามารถบุ๊กมาร์กลิงก์ในเบราว์เซอร์ของพวกเขาเพื่อการเข้าถึงข้อมูลที่พวกเขาต้องการได้เร็วขึ้น

วิธีที่สองคือที่องค์กรหลักอนุญาตให้ผู้ใช้จากบริษัทสาขาเข้าถึง Power BI และตัวควบคุมที่พวกเขาสามารถเข้าถึงผ่านสิทธิ์ ซึ่งให้การเข้าถึงหน้าแรกของ Power BI ที่ผู้ใช้จากบริษัทสาขาเห็นรายการทั้งหมดของเนื้อหาที่แชร์กับพวกเขาในผู้เช่าขององค์กรหลัก จากนั้นส่ง URL ไปยังสภาพแวดล้อม Power BI ขององค์กรหลักให้กับผู้ใช้จากบริษัทสาขา

วิธีสุดท้ายคือใช้แอป Power BI ที่สร้างขึ้นภายในผู้เช่า Power BI สําหรับแต่ละบริษัทสาขา แอป Power BI ประกอบด้วยแดชบอร์ดที่มี ไทล์ที่กําหนดค่าด้วยตัวเลือกลิงก์ภายนอก เมื่อผู้ใช้กดไทล์ พวกเขาจะถูกนําไปยังรายงาน แดชบอร์ด หรือแอปที่เหมาะสมใน Power BI ขององค์กรหลัก วิธีนี้มีประโยชน์เพิ่มเติมคือแอปสามารถติดตั้งโดยอัตโนมัติสําหรับผู้ใช้ทั้งหมดในบริษัทสาขา และพร้อมใช้งานได้ทุกเมื่อที่พวกเขาลงชื่อเข้าใช้ในสภาพแวดล้อม Power BI ของตนเอง ประโยชน์เพิ่มเติมของวิธีการนี้คือทํางานได้ดีกับแอป Power BI สําหรับอุปกรณ์เคลื่อนที่ที่สามารถเปิดลิงก์ได้แบบธรรมชาติ คุณยังสามารถรวมวิธีนี้กับวิธีที่สองเพื่อให้ง่ายต่อการสลับระหว่างสภาพแวดล้อม Power BI

อนุญาตให้ผู้ใช้ในบริษัทสาขาเข้าถึงแหล่งข้อมูลที่โฮสต์โดยองค์กรหลัก

บ่อยครั้งที่นักวิเคราะห์ที่บริษัทสาขาจําเป็นต้องสร้างการวิเคราะห์ของตนเองโดยใช้ข้อมูลที่ให้มาโดยองค์กรหลัก ในกรณีนี้ โดยทั่วไปจะใช้แหล่งข้อมูลระบบคลาวด์เพื่อจัดการความท้าทาย

วิธีแรกใช้ Azure Analysis Services เพื่อสร้างคลังข้อมูลระดับองค์กรที่ให้บริการความต้องการของนักวิเคราะห์ทั่วทั้งบริษัทหลักและบริษัทสาขาตามที่แสดงในรูปต่อไปนี้ Contoso สามารถโฮสต์ข้อมูลและใช้ความสามารถ เช่น ความปลอดภัยระดับแถวเพื่อให้แน่ใจว่าผู้ใช้ในแต่ละบริษัทสาขาสามารถเข้าถึงเฉพาะข้อมูลของพวกเขาเท่านั้น นักวิเคราะห์ที่แต่ละองค์กรสามารถเข้าถึงคลังข้อมูลผ่าน Power BI Desktop และเผยแพร่ผลการวิเคราะห์ไปยังผู้เช่า Power BI ที่เกี่ยวข้องของพวกเขา

วิธีที่สองใช้ ฐานข้อมูล SQL ของ Azure เพื่อสร้างคลังข้อมูลเชิงสัมพันธ์เพื่อให้การเข้าถึงข้อมูล ซึ่งทํางานคล้ายกับวิธี Azure Analysis Services แต่ความสามารถบางอย่าง เช่น ความปลอดภัยระดับแถวอาจยากขึ้นเพื่อปรับใช้และรักษาไว้ทั่วทั้งบริษัทสาขา

อย่างไรก็ตาม วิธีการที่ซับซ้อนมากขึ้นนั้นสามารถทําได้ แต่ข้างบนนั้นพบได้บ่อยที่สุด

กรณีที่ 3: สภาพแวดล้อมที่ใช้ร่วมกันทั่วทั้งคู่ค้า

Contoso อาจร่วมเป็นพันธมิตรกับคู่แข่งเพื่อสร้างรถยนต์ร่วมกันบนบรรทัดแอสเซมบลีที่ใช้ร่วมกัน แต่เพื่อแจกจ่ายยานพาหนะภายใต้แบรนด์ต่าง ๆ หรือในภูมิภาคต่าง ๆ การดําเนินการนี้จําเป็นต้องมีการทํางานร่วมกันที่ครอบคลุมและความเป็นเจ้าของร่วมของข้อมูล ข่าวกรอง และการวิเคราะห์ทั่วทั้งองค์กร โครงสร้างนี้ยังใช้ทั่วไปในอุตสาหกรรมบริการให้คําปรึกษาที่ทีมที่ปรึกษาอาจทําการวิเคราะห์โดยอ้างอิงโครงการสําหรับลูกค้า

ในทางปฏิบัติ โครงสร้างเหล่านี้มีความซับซ้อนดังที่แสดงในรูปต่อไปนี้ และต้องมีพนักงานบํารุงรักษา เพื่อให้มีประสิทธิภาพ องค์กรสามารถนําสิทธิ์การใช้งาน Power BI Pro ที่ซื้อสําหรับผู้เช่า Power BI ที่เกี่ยวข้องของพวกเขามาใช้ใหม่ได้

หากต้องการสร้างผู้เช่า Power BI ที่ใช้ร่วมกัน จําเป็นต้องสร้างรหัส Microsoft Entra และต้องซื้อบัญชีผู้ใช้ Power BI Pro อย่างน้อยหนึ่งบัญชีสําหรับผู้ใช้ในผู้เช่ารายนั้น ผู้ใช้รายนี้เชิญผู้ใช้ที่จําเป็นสําหรับองค์กรที่แชร์ สิ่งสําคัญ ในสถานการณ์นี้ ผู้ใช้ของ Contoso จะถือว่าเป็นผู้ใช้ภายนอกเมื่อพวกเขาทํางานภายใน Power BI ขององค์กรที่แชร์

กระบวนการมีดังนี้:

1. องค์กรที่แชร์ถูกสร้างขึ้นเป็น ID รายการ Microsoft ใหม่และบัญชีผู้ใช้อย่างน้อยหนึ่งบัญชีจะถูกสร้างขึ้นในผู้เช่าใหม่ ผู้ใช้นั้นควรมีสิทธิ์การใช้งาน Power BI Pro ที่กําหนดให้กับพวกเขา
2. จากนั้นผู้ใช้นี้จะสร้างผู้เช่า Power BI และเชิญผู้ใช้ที่จําเป็นจาก Contoso และองค์กรคู่ค้า ผู้ใช้ยังสร้างแอสเซทข้อมูลที่แชร์ เช่น Azure Analysis Services Contoso และผู้ใช้ของคู่ค้าสามารถเข้าถึง Power BI ขององค์กรที่แชร์ในฐานะผู้ใช้ที่เป็นผู้เยี่ยมชม โดยทั่วไปแล้ว แอสเซทที่แชร์ทั้งหมดจะถูกจัดเก็บและเข้าถึงได้จากองค์กรที่แชร์
3. ทั้งนี้ขึ้นอยู่กับวิธีการที่คู่ค้าตกลงในการทํางานร่วมกัน อาจเป็นไปได้ที่จะให้แต่ละองค์กรพัฒนาข้อมูลกรรมสิทธิ์และการวิเคราะห์ของตนเองโดยใช้แอสเซทคลังข้อมูลที่แชร์ พวกเขาสามารถแจกจ่ายให้กับผู้ใช้ภายในที่เกี่ยวข้องของพวกเขาโดยใช้ผู้เช่า Power BI ภายในของพวกเขา

กรณีที่ 4: การแจกจ่ายไปยังหลายร้อยหรือพันคู่ค้าภายนอก

ในขณะที่ Contoso สร้างรายงานความน่าเชื่อถือของหม้อน้ําสําหรับซัพพลายเออร์หนึ่งราย แต่ Contoso ต้องการสร้างรายงานที่ได้มาตรฐานสําหรับซัพพลายเออร์หลายร้อยราย สิ่งนี้ช่วยให้ Contoso มั่นใจว่าซัพพลายเออร์ทั้งหมดมีการวิเคราะห์ที่พวกเขาต้องการเพื่อทําการปรับปรุงหรือแก้ไขข้อบกพร่องในการผลิต

เมื่อองค์กรต้องการแจกจ่ายข้อมูลและข้อมูลเชิงลึกให้เป็นมาตรฐานแก่ผู้ใช้/องค์กรภายนอกจํานวนมาก พวกเขาสามารถใช้สถานการณ์การแชร์เฉพาะกิจหรือวางแผนของแอป Power BI เพื่อสร้างพอร์ทัล BI อย่างรวดเร็วและไม่มีค่าใช้จ่ายการพัฒนาที่กว้างขวาง กระบวนการสร้างพอร์ทัลดังกล่าวโดยใช้แอป Power BI จะกล่าวถึงในกรณีศึกษา: การสร้างพอร์ทัล BI โดยใช้ Power BI + Microsoft Entra B2B – คําแนะนําทีละขั้นตอนในภายหลังในเอกสารนี้

ตัวแปรทั่วไปของกรณีนี้คือเมื่อองค์กรกําลังพยายามแชร์ข้อมูลเชิงลึกกับผู้บริโภค โดยเฉพาะอย่างยิ่งเมื่อต้องการใช้ Azure Active Directory B2C กับ Power BI Power BI ไม่สนับสนุน Azure Active Directory B2C ในแบบดั้งเดิม ถ้าคุณกําลังประเมินตัวเลือกสําหรับกรณีนี้ พิจารณาการใช้ตัวเลือกที่ 2 ในวิธีการอื่นทั่วไปในภายหลังของเอกสารนี้

กรณีศึกษา: การสร้างพอร์ทัล BI โดยใช้ Power BI + Microsoft Entra B2B – คําแนะนําทีละขั้นตอน

Power BI รวมเข้ากับ Microsoft Entra B2B ให้ Contoso มีวิธีการอย่างราบรื่น แสนง่ายดายเพื่อให้ผู้ใช้ที่เป็นผู้เยี่ยมชมเข้าถึงพอร์ทัล BI ของตนได้อย่างปลอดภัย Contoso สามารถตั้งค่านี้ด้วยสามขั้นตอน:

1. สร้างพอร์ทัล BI ใน Power BI

   งานแรกสําหรับ Contoso คือการสร้างพอร์ทัล BI ของพวกเขาใน Power BI พอร์ทัล BI ของ Contoso จะประกอบด้วยคอลเลกชันของแดชบอร์ดและรายงานที่สร้างขึ้นอย่างมีวัตถุประสงค์ที่พร้อมสําหรับผู้ใช้ภายในและที่เป็นผู้เยี่ยมชมจํานวนมาก วิธีที่แนะนําสําหรับการทําเช่นนี้ใน Power BI คือการสร้างแอป Power BI เรียนรู้เพิ่มเติมเกี่ยวกับแอปฯใน Power BI

• ทีม BI ของ Contoso สร้างพื้นที่ทํางานใน Power BI

  

• ผู้เขียนอื่น ๆ จะถูกเพิ่มไปยังพื้นที่ทํางาน

  

• เนื้อหาจะถูกสร้างขึ้นภายในพื้นที่ทํางาน

  

  ตอนนี้เนื้อหาถูกสร้างขึ้นในพื้นที่ทํางานแล้ว Contoso ก็พร้อมที่จะเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมในองค์กรของคู่ค้าให้ใช้เนื้อหานี้

2. เชิญผู้ใช้ที่เป็นผู้เยี่ยมชม

   มีสองวิธีสําหรับ Contoso ในการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมไปยังพอร์ทัลของ BI ใน Power BI:

   • การเชิญที่วางแผน
   • คําเชิญเฉพาะกิจ

   การเชิญที่วางแผน

   ในวิธีนี้ Contoso เชิญผู้ใช้ที่เป็นผู้เยี่ยมชมไปยัง Microsoft Entra ล่วงหน้า จากนั้นแจกจ่ายเนื้อหา Power BI ไปให้พวกเขา Contoso สามารถเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจากพอร์ทัล Azure หรือใช้ PowerShell นี่คือขั้นตอนในการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจากพอร์ทัล Azure:

   • ผู้ดูแลระบบ Microsoft Entra ของ Contoso นําทางไปยังพอร์ทัล>Azure ผู้ใช้>Microsoft Entra ID>ผู้ใช้>ทั้งหมด ผู้ใช้ที่เป็นผู้เยี่ยมชมใหม่

   

   • เพิ่มข้อความเชิญสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชม และเลือก เชิญ

   

   หมายเหตุ

   หากต้องการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจากพอร์ทัล Azure คุณต้องมีผู้ดูแลระบบ Microsoft Entra สําหรับผู้เช่าของคุณ

   หาก Contoso ต้องการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจํานวนมาก พวกเขาสามารถทําได้โดยใช้ PowerShell ผู้ดูแลระบบ Microsoft Entra ของ Contoso จัดเก็บที่อยู่อีเมลของผู้ใช้ที่เป็นผู้เยี่ยมชมทั้งหมดในไฟล์ CSV ต่อไปนี้เป็น รหัสการทํางานร่วมกันของ Microsoft Entra B2B และตัวอย่าง และคําแนะนําของ PowerShell

   หลังจากเชิญ ผู้ใช้ที่เป็นผู้เยี่ยมชมจะได้รับอีเมลที่มีลิงก์การเชิญ

   

   เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมเลือกลิงก์ พวกเขาจะสามารถเข้าถึงเนื้อหาในผู้เช่า Contoso Microsoft Entra

   หมายเหตุ

   คุณสามารถเปลี่ยนเค้าโครงของอีเมลคําเชิญได้โดยใช้คุณลักษณะการสร้างแบรนด์ ID ของ Microsoft Entra ตามที่อธิบายไว้ที่นี่

   คําเชิญเฉพาะกิจ

   เกิดอะไรขึ้นถ้า Contoso ไม่รู้จักผู้ใช้ที่เป็นผู้เยี่ยมชมทั้งหมดที่ต้องการเชิญล่วงหน้า หรือเกิดอะไรขึ้นถ้านักวิเคราะห์ใน Contoso ซึ่งเป็นผู้ที่สร้างพอร์ทัล BI ต้องการแจกจ่ายเนื้อหาให้กับผู้ใช้ที่เป็นผู้เยี่ยมชมด้วยตัวเธอเอง นอกจากนี้เรายังสนับสนุนสถานการณ์สมมตินี้ใน Power BI ด้วยคําเชิญเฉพาะกิจ

   นักวิเคราะห์เพียงแค่เพิ่มผู้ใช้ภายนอกไปยังรายการเข้าถึงของแอปเมื่อพวกเขากําลังเผยแพร่ ผู้ใช้ที่เป็นผู้เยี่ยมชมได้รับคําเชิญ และเมื่อพวกเขายอมรับ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังเนื้อหา Power BI โดยอัตโนมัติ

   

   หมายเหตุ

   การเชิญจําเป็นต้องมีการเชิญผู้ใช้ภายนอกไปยังองค์กรของคุณในครั้งแรกเท่านั้น

3. กระจายเนื้อหา

   ตอนนี้ทีม BI ของ Contoso ได้สร้างพอร์ทัล BI และเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมแล้ว พวกเขาสามารถแจกจ่ายพอร์ทัลของพวกเขาให้กับผู้ใช้ของพวกเขา โดยการให้ผู้ใช้ที่เป็นผู้เยี่ยมชมเข้าถึงแอป และเผยแพร่ Power BI จะเติมชื่ออัตโนมัติของผู้ใช้ที่เป็นผู้เยี่ยมชมที่เพิ่มเข้ามาในผู้เช่า Contoso ก่อนหน้านี้ คําเชิญเฉพาะกิจไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมอื่น ยังสามารถเพิ่มได้ในจุดนี้เช่นกัน

   หมายเหตุ

   ถ้าใช้กลุ่มความปลอดภัยเพื่อจัดการการเข้าถึงแอปสําหรับผู้ใช้ภายนอก ให้ใช้วิธีการเชิญที่วางแผนไว้ และแชร์ลิงก์แอปโดยตรงกับผู้ใช้ภายนอกแต่ละคนที่จําเป็นต้องเข้าถึง มิฉะนั้น ผู้ใช้ภายนอกอาจไม่สามารถติดตั้ง หรือดูเนื้อหาจากภายใน app._

   ผู้ใช้ที่เป็นผู้เยี่ยมชมจะได้รับอีเมลที่มีลิงก์ไปยังแอป

   

   เมื่อคลิกที่ลิงก์นี้ ผู้ใช้ที่เป็นผู้เยี่ยมชมจะถูกขอให้รับรองความถูกต้องด้วยข้อมูลประจําตัวขององค์กรของตนเอง

   

   เมื่อพวกเขารับรองความถูกต้องเรียบร้อยแล้ว ระบบจะเปลี่ยนเส้นทางไปยังแอป BI ของ Contoso

   

   ผู้ใช้ที่เป็นผู้เยี่ยมชมสามารถเข้าถึงแอปของ Contoso ในภายหลังโดยคลิกที่ลิงก์ในอีเมลหรือบุ๊กมาร์กลิงก์ Contoso ยังสามารถทําให้ง่ายขึ้นสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชม โดยการเพิ่มลิงก์นี้ไปยังพอร์ทัลเอ็กซ์ทราเน็ตใด ๆ ที่มีอยู่ที่ผู้ใช้ที่เป็นผู้เยี่ยมชมใช้งานอยู่แล้ว

4. ขั้นตอนถัดไป

   การใช้แอป Power BI และ Microsoft Entra B2B ทําให้ Contoso สามารถสร้างพอร์ทัล BI สําหรับซัพพลายเออร์ของตนได้อย่างรวดเร็วโดยไม่มีโค้ด การดําเนินการนี้ช่วยลดความซับซ้อนในการกระจายการวิเคราะห์มาตรฐานให้กับซัพพลายเออร์ทั้งหมดที่ต้องการ

   ในขณะที่ตัวอย่างแสดงวิธีการแจกจ่ายรายงานเดี่ยวทั่วไประหว่างซัพพลายเออร์ แต่ Power BI สามารถดําเนินการอีกจํานวนมาก เพื่อให้แน่ใจว่าคู่ค้าแต่ละรายเห็นเฉพาะข้อมูลที่เกี่ยวข้องกับพวกเขา จึงสามารถเพิ่มการรักษาความปลอดภัยระดับแถวได้อย่างง่ายดายลงในแบบจําลองข้อมูลและรายงาน การรักษาความปลอดภัยของข้อมูลสําหรับคู่ค้าภายนอกมีรายละเอียดอธิบายในภายหลังในเอกสารนี้

   บ่อยครั้งที่รายงานและแดชบอร์ดแต่ละรายการจําเป็นต้องฝังลงในพอร์ทัลที่มีอยู่ ซึ่งยังสามารถดําเนินการได้โดยการนําเทคนิคต่าง ๆ ที่แสดงในตัวอย่างมาใช้ใหม่ได้ อย่างไรก็ตาม ในสถานการณ์เหล่านั้น การฝังรายงานหรือแดชบอร์ดโดยตรงจากพื้นที่ทํางานอาจเป็นการง่ายกว่า ขั้นตอนสําหรับการเชิญและการให้อนุญาตด้านความปลอดภัยแก่ผู้ใช้ที่ต้องการยังคงเหมือนเดิม

ภายใต้ประทุน: Lucy จากซัพพลายเออร์ 1 สามารถเข้าถึงเนื้อหา Power BI จากผู้เช่าของ Contoso ได้อย่างไร

ตอนนี้เราได้เห็นวิธีที่ Contoso สามารถแจกจ่ายเนื้อหา Power BI ไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมในองค์กรคู่ค้าได้อย่างราบรื่น มาดูว่าการดําเนินการนี้ทํางานอย่างไรในเบื้องหน้า

เมื่อ Contoso เชิญ lucy@supplier1.com ไปยังไดเรกทอรี Microsoft Entra ID จะสร้างลิงก์ระหว่าง Lucy@supplier1.com และผู้เช่า Contoso Microsoft Entra ลิงก์นี้ช่วยให้ Microsoft Entra ID ทราบว่า Lucy@supplier1.com สามารถเข้าถึงเนื้อหาในผู้เช่า Contoso ได้

เมื่อ Lucy พยายามเข้าถึงแอป Power BI ของ Contoso Microsoft Entra ID จะตรวจสอบว่า Lucy สามารถเข้าถึงผู้เช่า Contoso ได้หรือไม่ จากนั้นจะให้โทเค็น Power BI ที่ระบุว่า Lucy ได้รับการรับรองความถูกต้องในการเข้าถึงเนื้อหาในผู้เช่า Contoso Power BI ใช้โทเค็นนี้ในการอนุญาตและตรวจสอบให้แน่ใจว่า Lucy มีสิทธิ์เข้าถึงแอป Power BI ของ Contoso

Power BI รวมเข้ากับ Microsoft Entra B2B ทํางานกับที่อยู่อีเมลทางธุรกิจทั้งหมด หากผู้ใช้ไม่มีข้อมูลประจําตัว Microsoft Entra อาจมีข้อความปรากฏให้สร้าง รูปภาพต่อไปนี้แสดงโฟลว์โดยละเอียด:

สิ่งสําคัญคือต้องรับทราบว่าบัญชี Microsoft Entra จะใช้หรือสร้างขึ้นในรหัส Microsoft Entra ของบุคคลภายนอก การดําเนินการนี้จะทําให้ Lucy สามารถใช้ชื่อผู้ใช้และรหัสผ่านของตนเองได้ และข้อมูลประจําตัวของพวกเขาจะหยุดทํางานในผู้เช่ารายอื่นโดยอัตโนมัติเมื่อใดก็ตามที่ Lucy ออกจากบริษัทเมื่อองค์กรของพวกเขายังใช้ Microsoft Entra ID ด้วย

สิทธิ์การใช้งาน

Contoso สามารถเลือกหนึ่งในสามวิธีในการให้สิทธิ์การใช้งานแก่ผู้ใช้ที่เป็นผู้เยี่ยมชมจากซัพพลายเออร์และองค์กรคู่ค้าเพื่อให้สามารถเข้าถึงเนื้อหา Power BI ได้

หมายเหตุ

ระดับฟรีของ Microsoft Entra B2B เพียงพอที่จะใช้ Power BI กับ Microsoft Entra B2B คุณลักษณะ Microsoft Entra B2B ขั้นสูงบางอย่าง เช่น กลุ่มแบบไดนามิกจําเป็นต้องมีสิทธิ์การใช้งานเพิ่มเติม สําหรับข้อมูลเพิ่มเติม โปรดดูเอกสารประกอบ Microsoft Entra B2B

วิธี 1: Contoso ใช้ Power BI Premium

ด้วยวิธีนี้ Contoso ซื้อความจุ Power BI Premium และกําหนดเนื้อหาพอร์ทัล BI ให้กับความจุนี้ ซึ่งอนุญาตให้ผู้ใช้ที่เป็นผู้เยี่ยมชมจากองค์กรคู่ค้าเข้าถึงแอป Power BI ของ Contoso ได้โดยไม่ต้องมีสิทธิ์การใช้งาน Power BI

ผู้ใช้ภายนอกยังอยู่ภายใต้ประสบการณ์การใช้งานที่นําเสนอให้กับผู้ใช้ "ฟรี" ใน Power BI เมื่อใช้งานเนื้อหาภายใน Power BI Premium เท่านั้น

Contoso ยังสามารถใช้ประโยชน์จากความสามารถของ Power BI Premium สําหรับแอปของตน เช่น เพิ่มอัตราการรีเฟรช ความจุ และขนาดของแบบจําลองขนาดใหญ่

วิธี 2: Contoso กําหนดสิทธิ์การใช้งาน Power BI Pro ให้กับผู้ใช้ที่เป็นผู้เยี่ยมชม

ด้วยวิธีนี้ Contoso มอบหมายสิทธิ์การใช้งาน pro ให้กับผู้ใช้ที่เป็นผู้เยี่ยมชมจากองค์กรคู่ค้า – ซึ่งสามารถทําได้จากศูนย์การจัดการ Microsoft 365 ของ Contoso การดําเนินการนี้อนุญาตให้ผู้ใช้ที่เป็นผู้เยี่ยมชมจากองค์กรคู่ค้าเข้าถึงแอป Power BI ของ Contoso ได้โดยไม่ต้องซื้อสิทธิ์การใช้งานด้วยตนเอง ซึ่งอาจเหมาะสมสําหรับการแชร์กับผู้ใช้ภายนอกที่องค์กรยังไม่ได้ปรับใช้ Power BI

หมายเหตุ

สิทธิ์การใช้งาน pro ของ Contoso มีผลกับผู้ใช้ที่เป็นผู้เยี่ยมชมเฉพาะเมื่อพวกเขาเข้าถึงเนื้อหาในผู้เช่า Contoso เท่านั้น สิทธิ์การใช้งาน Pro เปิดใช้งานการเข้าถึงเนื้อหาที่ไม่ได้อยู่ในความจุ Power BI Premium

วิธี 3: ผู้ใช้ที่เป็นผู้เยี่ยมชมนําสิทธิ์การใช้งาน Power BI Pro ของตนเองมาใช้

ด้วยวิธีนี้ ซัพพลายเออร์ 1 มอบหมายสิทธิ์การใช้งาน Power BI Pro ให้กับ Lucy จากนั้น พวกเขาสามารถเข้าถึงแอป Power BI ของ Contoso ด้วยสิทธิ์การใช้งานนี้ เนื่องจาก Lucy สามารถใช้สิทธิ์การใช้งาน Pro ของพวกเขาจากองค์กรของตนเองเมื่อเข้าถึงสภาพแวดล้อม Power BI ภายนอก วิธีนี้ในบางครั้ง เรียกว่า นําสิทธิ์การใช้งาน ของคุณมาเอง (BYOL) ถ้าทั้งสององค์กรใช้ Power BI วิธีนี้มีประโยชน์จากสิทธิ์การใช้งานสําหรับโซลูชันการวิเคราะห์โดยรวม และช่วยลดค่าใช้จ่ายในการกําหนดสิทธิ์การใช้งานให้ผู้ใช้ภายนอก

หมายเหตุ

สิทธิ์การใช้งาน Pro ที่มอบให้กับ Lucy โดยซัพพลายเออร์ 1 จะใช้กับผู้เช่า Power BI ใด ๆ ที่ Lucy เป็นผู้ใช้ที่เป็นผู้เยี่ยมชม สิทธิ์การใช้งาน Pro เปิดใช้งานการเข้าถึงเนื้อหาที่ไม่ได้อยู่ในความจุ Power BI Premium

ความปลอดภัยของข้อมูลสําหรับคู่ค้าภายนอก

โดยทั่วไปเมื่อทํางานกับซัพพลายเออร์ภายนอกหลายราย Contoso จําเป็นต้องตรวจสอบให้แน่ใจว่าซัพพลายเออร์แต่ละรายเห็นเฉพาะข้อมูลเกี่ยวกับผลิตภัณฑ์ของตนเองเท่านั้น การรักษาความปลอดภัยตามผู้ใช้และการรักษาความปลอดภัยระดับแถวแบบไดนามิกทําให้ทําได้ง่ายด้วย Power BI

การรักษาความปลอดภัยตามผู้ใช้

หนึ่งในคุณลักษณะที่มีประสิทธิภาพที่สุดของ Power BI คือการรักษาความปลอดภัยระดับแถว คุณลักษณะนี้ช่วยให้ Contoso สร้างรายงานและแบบจําลองความหมาย (ก่อนหน้านี้เรียกว่าชุดข้อมูล) แต่ยังคงใช้กฎความปลอดภัยที่แตกต่างกันสําหรับผู้ใช้แต่ละราย สําหรับคําอธิบายโดยละเอียด โปรดดู การรักษาความปลอดภัยระดับแถว (RLS)

Power BI รวมเข้ากับ Microsoft Entra B2B อนุญาตให้ Contoso กําหนดกฎการรักษาความปลอดภัยระดับแถวให้แก่ผู้ใช้ที่เป็นผู้เยี่ยมชมทันทีที่พวกเขาได้รับเชิญไปยังผู้เช่า Contoso อย่างที่เราได้เห็นมาก่อน Contoso สามารถเพิ่มผู้ใช้ที่เป็นผู้เยี่ยมชมผ่านการเชิญแบบวางแผนหรือเฉพาะกิจอย่างใดอย่างหนึ่ง ถ้า Contoso ต้องการเสริมความปลอดภัยระดับแถว ขอแนะนําการใช้คําเชิญที่วางแผนไว้เพื่อเพิ่มผู้ใช้ที่เป็นผู้เยี่ยมชมก่อนเวลา และกําหนดพวกเขาไปยังบทบาทความปลอดภัยก่อนที่จะแชร์เนื้อหา ถ้า Contoso แทนใช้คําเชิญเฉพาะกิจ อาจมีระยะเวลาสั้น ๆ เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถดูข้อมูลใด ๆ

หมายเหตุ

ความล่าช้าในการเข้าถึงข้อมูลที่มีการป้องกันโดย RLS เมื่อใช้คําเชิญแบบเฉพาะกิจอาจทําให้เกิดคําขอการสนับสนุนไปยังทีม IT ของคุณ เนื่องจากผู้ใช้จะเห็นรายงาน/แดชบอร์ดเป็นหน้าว่างหรือเสีย เมื่อเปิดลิงก์ที่แชร์ในอีเมลที่พวกเขาได้รับ ดังนั้น เราขอแนะนําอย่างยิ่งให้ใช้คําเชิญที่วางแผนไว้ในสถานการณ์นี้

เรามาดูขั้นตอนนี้ด้วยตัวอย่างกัน

ตามที่กล่าวไว้ก่อนหน้านี้ Contoso มีซัพพลายเออร์ทั่วโลก และพวกเขาต้องการตรวจสอบให้แน่ใจว่าผู้ใช้จากองค์กรซัพพลายเออร์ของพวกเขาได้รับข้อมูลเชิงลึกจากข้อมูลจากอาณาเขตของพวกเขาเท่านั้น แต่ผู้ใช้จาก Contoso สามารถเข้าถึงข้อมูลทั้งหมด แทนที่จะสร้างรายงานที่แตกต่างกันหลายรายงาน Contoso จะสร้างรายงานเดียวและกรองข้อมูลโดยยึดตามผู้ใช้ที่ดู

เพื่อให้แน่ใจว่า Contoso สามารถกรองข้อมูลตามบุคคลที่จะเชื่อมต่อ จึงมีการสร้างบทบาทสองบทบาทขึ้นใน Power BI desktop หนึ่งเพื่อกรองข้อมูลทั้งหมดจาก SalesTerritory "ยุโรป" และอีกตัวกรองสําหรับ "อเมริกาเหนือ"

เมื่อใดก็ตามที่กําหนดบทบาทในรายงาน ผู้ใช้ต้องได้รับมอบหมายบทบาทเฉพาะสําหรับพวกเขาเพื่อเข้าถึงข้อมูลใด ๆ การมอบหมายบทบาทเกิดขึ้นภายในบริการของ Power BI (แบบจําลอง>ความหมายความปลอดภัย)

การดําเนินการนี้จะเปิดหน้าที่ทีม BI ของ Contoso สามารถดูสองบทบาทที่พวกเขาสร้างขึ้น ในตอนนี้ ทีม BI ของ Contoso สามารถกําหนดผู้ใช้ให้กับบทบาท

ในตัวอย่าง Contoso กําลังเพิ่มผู้ใช้ในองค์กรคู่ค้าที่มีที่อยู่อีเมล admin@fabrikam.com ไปยังบทบาทยุโรป:

เมื่อ Microsoft Entra ID แก้ไขเรื่องนี้แล้ว Contoso สามารถดูชื่อที่แสดงในหน้าต่างที่พร้อมที่จะเพิ่ม:

ในตอนนี้ เมื่อผู้ใช้รายนี้เปิดแอปที่แชร์กับพวกเขา พวกเขาจะเห็นรายงานที่มีข้อมูลจากยุโรปเท่านั้น:

การรักษาความปลอดภัยระดับแถวแบบไดนามิก

หัวข้ออื่นที่น่าสนใจคือการดูวิธีการรักษาความปลอดภัยระดับแถวแบบไดนามิก (RLS) ทํางานกับ Microsoft Entra B2B

ในระยะสั้น การรักษาความปลอดภัยระดับแถวแบบไดนามิกทํางานโดยการกรองข้อมูลในแบบจําลองตามชื่อผู้ใช้ของบุคคลที่เชื่อมต่อกับ Power BI แทนที่จะเพิ่มหลายบทบาทสําหรับกลุ่มของผู้ใช้ คุณสามารถกําหนดผู้ใช้ในแบบจําลอง เราจะไม่อธิบายรูปแบบโดยละเอียดในที่นี้ Kasper de Jong เสนอการเขียนโดยละเอียดขึ้นในการรักษาความปลอดภัยระดับแถวทั้งหมดใน เอกสารข้อมูลสรุปการรักษาความปลอดภัย Power BI Desktop แบบไดนามิก และในเอกสาร ทางเทคนิค นี้

มาดูตัวอย่างขนาดเล็ก - Contoso มีรายงานอย่างง่ายเกี่ยวกับยอดขายตามกลุ่ม:

ในตอนนี้ รายงานนี้จําเป็นต้องแชร์กับผู้ใช้ที่เป็นผู้เยี่ยมชมสองรายและผู้ใช้ภายในหนึ่งราย โดยผู้ใช้ภายในสามารถดูทุกอย่าง แต่ผู้ใช้ที่เป็นผู้เยี่ยมชมสามารถดูเฉพาะกลุ่มที่พวกเขามีสิทธิ์เข้าถึงเท่านั้น ซึ่งหมายความว่าเราต้องกรองข้อมูลสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชมเท่านั้น การกรองข้อมูลอย่างเหมาะสม Contoso ใช้รูปแบบ RLS แบบไดนามิกตามที่อธิบายไว้ในเอกสารทางเทคนิคและบล็อกโพสต์ ซึ่งหมายความว่า Contoso เพิ่มชื่อผู้ใช้ลงในข้อมูลเอง:

จากนั้น Contoso สร้างแบบจําลองข้อมูลที่ถูกต้องที่กรองข้อมูลอย่างเหมาะสมกับความสัมพันธ์ที่ถูกต้อง:

เมื่อต้องกรองข้อมูลโดยอัตโนมัติตามบุคคลที่จะเข้าสู่ระบบ Contoso จําเป็นต้องสร้างบทบาทที่ส่งผ่านในผู้ใช้ที่จะเชื่อมต่อ ในกรณีนี้ Contoso สร้างบทบาทสองบทบาท บทบาทแรกคือ "securityrole" ที่กรองตารางผู้ใช้ที่มีชื่อผู้ใช้ปัจจุบันของผู้ใช้ที่เข้าสู่ระบบ Power BI (ซึ่งสามารถใช้ได้แม้แต่กับผู้ใช้ที่เป็นผู้เยี่ยมชม Microsoft Entra B2B)

Contoso ยังสร้าง "AllRole" อีกตัวสําหรับผู้ใช้ภายในที่สามารถเห็นทุกอย่าง ซึ่งบทบาทนี้ไม่มีเพรดิเคตความปลอดภัยใด ๆ

หลังจากอัปโหลดไฟล์ Power BI desktop ไปยังบริการแล้ว Contoso สามารถกําหนดผู้ใช้ที่เป็นผู้เยี่ยมชมไปยัง "SecurityRole" และผู้ใช้ภายใน "AllRole"

ในตอนนี้ เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมเปิดรายงาน พวกเขาจะเห็นเฉพาะยอดขายจากกลุ่ม A:

ในเมทริกซ์ทางด้านขวา คุณสามารถดูผลลัพธ์ของฟังก์ชัน USERNAME() และ USERPRINCIPALNAME() ทั้งคู่ส่งกลับที่อยู่อีเมลของผู้ใช้ที่เป็นผู้เยี่ยมชม

ตอนนี้ผู้ใช้ภายในได้รับเพื่อดูข้อมูลทั้งหมด:

ตามที่คุณเห็น RLS แบบไดนามิกทํางานกับทั้งผู้ใช้ภายในหรือผู้ใช้ที่เป็นผู้เยี่ยมชม

หมายเหตุ

สถานการณ์สมมตินี้ยังทํางานเมื่อใช้แบบจําลองใน Azure Analysis Services โดยปกติแล้ว Azure Analysis Service ของคุณเชื่อมต่อกับ Microsoft Entra ID เดียวกันกับ Power BI ของคุณ ในกรณีดังกล่าว Azure Analysis Services ยังทราบผู้ใช้ที่เป็นผู้เยี่ยมชมที่ได้รับเชิญผ่าน Microsoft Entra B2B

เชื่อมต่อไปยังแหล่งข้อมูลภายในองค์กร

Power BI นําเสนอความสามารถสําหรับ Contoso ที่จะใช้แหล่งข้อมูลภายในองค์กร เช่น SQL Server Analysis Services หรือ SQL Server โดยตรงเนื่องจาก เกตเวย์ข้อมูลภายในองค์กร นอกจากนี้ยังสามารถลงชื่อเข้าใช้ไปยังแหล่งข้อมูลเหล่านั้นด้วยข้อมูลประจําตัวเดียวกับที่ใช้กับ Power BI ได้

หมายเหตุ

เมื่อติดตั้งเกตเวย์เพื่อเชื่อมต่อกับผู้เช่า Power BI ของคุณ คุณต้องใช้ผู้ใช้ที่สร้างขึ้นภายในผู้เช่าของคุณ ผู้ใช้ภายนอกไม่สามารถติดตั้งเกตเวย์และเชื่อมต่อกับ tenant._ของคุณได้

สําหรับผู้ใช้ภายนอก เรื่องนี้อาจซับซ้อนมากขึ้นเนื่องจากผู้ใช้ภายนอกโดยปกติแล้วจะไม่ทราบ AD ภายในองค์กร Power BI เสนอวิธีการแก้ปัญหานี้ โดยการอนุญาตให้ผู้ดูแลระบบ Contoso แมปชื่อผู้ใช้ภายนอกไปยังชื่อผู้ใช้ภายในตามที่อธิบายไว้ใน จัดการแหล่งข้อมูลของคุณ - Analysis Services ตัวอย่างเช่น lucy@supplier1.com สามารถแมปกับ lucy_supplier1_com#EXT@contoso.com ได้

วิธีนี้ทําได้ถ้า Contoso มีผู้ใช้เพียงเล็กน้อย หรือถ้า Contoso สามารถแมปผู้ใช้ภายนอกทั้งหมดไปเป็นบัญชีภายในบัญชีเดียว สําหรับสถานการณ์ที่ซับซ้อนกว่าที่ผู้ใช้แต่ละรายต้องการข้อมูลประจําตัวของตนเอง มีวิธีการขั้นสูงกว่าที่ใช้แอตทริบิวต์ AD แบบกําหนดเองเพื่อทําการแมปตามที่อธิบายไว้ใน จัดการแหล่งข้อมูลของคุณ - Analysis Services ซึ่งจะช่วยให้ผู้ดูแลระบบ Contoso กําหนดแมปสําหรับผู้ใช้ทุกคนในรหัส Microsoft Entra ของคุณ (รวมถึงผู้ใช้ B2B ภายนอก) แอตทริบิวต์เหล่านี้สามารถตั้งค่าผ่านรูปแบบวัตถุ AD โดยใช้สคริปต์หรือโค้ดเพื่อให้ Contoso สามารถแมปในเมื่อเชิญหรือในช่วงเวลาที่กําหนดได้อย่างอัตโนมัติ

การควบคุมดูแล

การตั้งค่า Microsoft Entra ID เพิ่มเติมที่ส่งผลต่อประสบการณ์ใน Power BI ที่เกี่ยวข้องกับ Microsoft Entra B2B

เมื่อใช้การแชร์ของ Microsoft Entra B2B ผู้ดูแลระบบ Microsoft Entra ควบคุมลักษณะของประสบการณ์ของผู้ใช้ภายนอก สิ่งเหล่านี้จะถูกควบคุมในหน้าการตั้งค่าการทํางานร่วมกันภายนอกภายในการตั้งค่ารหัส Microsoft Entra สําหรับผู้เช่าของคุณ

สําหรับข้อมูลเพิ่มเติม ให้ดู กําหนดค่าการตั้งค่าการทํางานร่วมกันภายนอก

หมายเหตุ

ตามค่าเริ่มต้น สิทธิ์ผู้ใช้ที่เป็นผู้เยี่ยมชมจะถูกตั้งค่าตัวเลือกจํากัดเป็นใช่ ดังนั้นผู้ใช้ที่เป็นผู้เยี่ยมชมภายใน Power BI จึงมีประสบการณ์จํากัด โดยเฉพาะอย่างยิ่งการแชร์รอบ ๆ เมื่อ URI ตัวเลือกบุคคลไม่ทํางานสําหรับผู้ใช้เหล่านั้น เป็นสิ่งสําคัญที่ต้องทํางานกับผู้ดูแลระบบ Microsoft Entra ของคุณเพื่อตั้งค่าเป็น ไม่ใช่ ดังที่แสดงด้านล่างเพื่อให้แน่ใจว่าได้รับประสบการณ์ดี

ควบคุมการเชิญผู้เยี่ยมชม

ผู้ดูแลระบบ Power BI สามารถควบคุมการแชร์ภายนอกสําหรับ Power BI โดยไปที่พอร์ทัลผู้ดูแลระบบ Power BI แต่ผู้ดูแลระบบยังสามารถควบคุมการแชร์ภายนอกด้วยนโยบาย Microsoft Entra ต่าง ๆ นโยบายเหล่านี้อนุญาตให้ผู้ดูแลระบบ:

• ปิดคําเชิญโดยผู้ใช้ปลายทาง
• เฉพาะผู้ดูแลระบบและผู้ใช้ที่มีบทบาทผู้เชิญผู้เยี่ยมชมเท่านั้นที่สามารถเชิญได้
• ผู้ดูแลระบบ บทบาทผู้เชิญผู้เยี่ยมชม และสมาชิกสามารถเชิญได้
• ผู้ใช้ทั้งหมด รวมถึงผู้เยี่ยมชม สามารถเชิญได้

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับนโยบายเหล่านี้ใน มอบหมายคําเชิญสําหรับการทํางานร่วมกันของ Microsoft Entra B2B

การดําเนินการ Power BI ทั้งหมดโดยผู้ใช้ภายนอกยัง ได้รับการตรวจสอบในพอร์ทัลการตรวจสอบของเรา

นโยบายการเข้าถึงตามเงื่อนไขสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชม

Contoso สามารถบังคับใช้นโยบายการเข้าถึงตามเงื่อนไขสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชมที่เข้าถึงเนื้อหาจากผู้เช่า Contoso คุณสามารถค้นหาคําแนะนําโดยละเอียดใน การเข้าถึงตามเงื่อนไข สําหรับผู้ใช้การทํางานร่วมกันแบบ B2B

วิธีการทางเลือกทั่วไป

ในขณะที่ Microsoft Entra B2B ทําให้ง่ายต่อการแชร์ข้อมูลและรายงานทั่วทั้งองค์กร แต่ก็มีวิธีอื่น ๆ มากมายที่ใช้กันทั่วไปและอาจเป็นระดับสูงในบางกรณี

ตัวเลือกที่ 1: สร้างข้อมูลประจําตัวที่ซ้ํากันสําหรับผู้ใช้คู่ค้า

ด้วยตัวเลือกนี้ Contoso มีการสร้างข้อมูลประจําตัวที่ซ้ํากันด้วยตนเองสําหรับผู้ใช้ที่เป็นคู่ค้าแต่ละรายในผู้เช่า Contoso ดังที่แสดงในรูปต่อไปนี้ จากนั้นภายใน Power BI Contoso สามารถแชร์เพื่อระบุตัวตนที่กําหนดสําหรับรายงาน แดชบอร์ด หรือแอปที่เหมาะสม

เหตุผลในการเลือกตัวเลือกนี้:

• เนื่องจากข้อมูลประจําตัวของผู้ใช้จะถูกควบคุมโดยองค์กรของคุณ บริการใด ๆ ที่เกี่ยวข้องเช่นอีเมล SharePoint ฯลฯ ก็อยู่ภายในการควบคุมขององค์กรของคุณด้วยเช่นกัน ผู้ดูแลระบบ IT ของคุณสามารถรีเซ็ตรหัสผ่าน ปิดใช้งานการเข้าถึงบัญชี หรือตรวจสอบกิจกรรมในบริการเหล่านี้
• ผู้ใช้ที่ใช้บัญชีส่วนบุคคลสําหรับธุรกิจของพวกเขามักจะถูกจํากัดการเข้าถึงจากบริการบางอย่าง ดังนั้นจึงอาจต้องมีบัญชีขององค์กร
• บริการบางอย่างทํางานผ่านผู้ใช้ขององค์กรของคุณเท่านั้น ตัวอย่างเช่น การใช้ Intune เพื่อจัดการเนื้อหาบนอุปกรณ์เคลื่อนที่/ส่วนบุคคลของผู้ใช้ภายนอกโดยใช้ Microsoft Entra B2B อาจไม่สามารถทําได้

เหตุผลที่ไม่ควรเลือกตัวเลือกนี้:

• ผู้ใช้จากองค์กรคู่ค้าต้องจดจําข้อมูลประจําตัวสองชุด หนึ่งคือ เพื่อเข้าถึงเนื้อหาจากองค์กรของพวกเขาเอง และอีกชุดเพื่อเข้าถึงเนื้อหาจาก Contoso นี่เป็นเรื่องยุ่งยากสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชมเหล่านี้ และผู้ใช้ที่เป็นผู้เยี่ยมชมจํานวนมากสับสนเกี่ยวกับประสบการณ์การใช้งานนี้
• Contoso ต้องซื้อและกําหนดสิทธิ์การใช้งานต่อผู้ใช้ให้กับผู้ใช้เหล่านี้ ถ้าผู้ใช้จําเป็นต้องได้รับอีเมลหรือใช้แอปพลิเคชันสํานักงาน พวกเขาจําเป็นต้องมีสิทธิ์การใช้งานที่เหมาะสม รวมถึง Power BI Pro เพื่อแก้ไขและแชร์เนื้อหาใน Power BI
• Contoso อาจต้องการบังคับใช้นโยบายการกํากับดูแลและการอนุญาตที่เข้มงวดมากขึ้นสําหรับผู้ใช้ภายนอกเมื่อเทียบกับผู้ใช้ภายใน เพื่อให้บรรลุเป้าหมายนี้ Contoso จําเป็นต้องสร้างระบบการตั้งชื่อภายในสําหรับผู้ใช้ภายนอก และผู้ใช้ Contoso ทั้งหมดจําเป็นต้องได้รับความรู้เกี่ยวกับคําศัพท์เฉพาะเรื่องนี้
• เมื่อผู้ใช้ออกจากองค์กรของพวกเขา พวกเขายังคงสามารถเข้าถึงทรัพยากรของ Contoso จนกว่าผู้ดูแลระบบ Contoso จะลบบัญชีของพวกเขาด้วยตนเอง
• ผู้ดูแลระบบ Contoso ต้องจัดการข้อมูลประจําตัวสําหรับผู้เยี่ยมชม รวมถึงการสร้าง รีเซ็ตรหัสผ่าน และอื่น ๆ

ตัวเลือกที่ 2: สร้างแอปพลิเคชัน Power BI Embedded แบบกําหนดเองโดยใช้การรับรองความถูกต้องแบบกําหนดเอง

อีกตัวเลือกสําหรับ Contoso คือการสร้างแอปพลิเคชัน Power BI แบบฝังตัวแบบกําหนดเองด้วยการรับรองความถูกต้องแบบกําหนดเอง ('แอปเป็นเจ้าของข้อมูล') ในขณะที่องค์กรจํานวนมากไม่มีเวลาหรือทรัพยากรในการสร้างแอปพลิเคชันแบบกําหนดเองเพื่อแจกจ่ายเนื้อหา Power BI ให้กับคู่ค้าภายนอกของพวกเขา สําหรับบางองค์กรนี่จึงเป็นวิธีดีที่สุด และสมควรต่อการพิจารณาอย่างจริงจัง

บ่อยครั้งที่องค์กรมีพอร์ทัลคู่ค้าที่มีอยู่ที่รวมการเข้าถึงทรัพยากรขององค์กรทั้งหมดสําหรับคู่ค้า โดยแยกออกจากแหล่งข้อมูลขององค์กรภายใน และมอบประสบการณ์การใช้งานที่คล่องตัวสําหรับคู่ค้าเพื่อสนับสนุนคู่ค้าจํานวนมากและผู้ใช้แต่ละราย

ในตัวอย่างข้างต้น ผู้ใช้จากซัพพลายเออร์แต่ละรายลงชื่อเข้าใช้พอร์ทัลคู่ค้าของ Contoso ที่ใช้ Microsoft Entra ID เป็นผู้ให้บริการข้อมูลประจําตัว ซึ่งสามารถใช้ Microsoft Entra B2B, Azure Active Directory B2C ข้อมูลประจําตัวดั้งเดิม หรือติดต่อกับผู้ให้บริการข้อมูลประจําตัวอื่น ๆ จํานวนหนึ่ง ผู้ใช้จะลงชื่อเข้าใช้และเข้าถึงพอร์ทัลคู่ค้าที่สร้างโดยใช้ Azure Web App หรือโครงสร้างพื้นฐานที่คล้ายกัน

ภายในเว็บแอป รายงาน Power BI จะถูกฝังจากการปรับใช้ Power BI Embedded เว็บแอปจะปรับปรุงประสิทธิภาพการเข้าถึงรายงานและบริการใด ๆ ที่เกี่ยวข้องในประสบการณ์ที่เกี่ยวข้องโดยมีเป้าหมายเพื่อทําให้ซัพพลายเออร์โต้ตอบกับ Contoso ได้ง่าย สภาพแวดล้อมพอร์ทัลนี้จะถูกแยกออกจากรหัส Microsoft Entra ภายใน Contoso และสภาพแวดล้อม Power BI ภายใน Contoso เพื่อให้แน่ใจว่าซัพพลายเออร์จะไม่สามารถเข้าถึงแหล่งข้อมูลเหล่านั้นได้ โดยทั่วไปแล้ว ข้อมูลจะถูกจัดเก็บไว้ในคลังข้อมูลของคู่ค้าที่แยกต่างหากเพื่อให้แน่ใจข้อมูลถูกแยกออกจากกันเช่นกัน การแยกนี้มีประโยชน์เนื่องจากจะจํากัดจํานวนผู้ใช้ภายนอกที่มีสิทธิ์เข้าถึงข้อมูลขององค์กรของคุณโดยตรง จํากัดว่าข้อมูลอาจพร้อมใช้งานสําหรับผู้ใช้ภายนอก และจํากัดการแชร์กับผู้ใช้ภายนอกโดยไม่ตั้งใจ

ด้วยการใช้ Power BI Embedded พอร์ทัลสามารถใช้สิทธิ์การใช้งานที่เป็นประโยชน์โดยใช้โทเค็นแอปหรือผู้ใช้หลักบวกกับความจุพรีเมียมที่ซื้อในแบบจําลอง Azure ซึ่งทําให้ไม่ต้องกังวลเกี่ยวกับการกําหนดสิทธิ์การใช้งานให้กับผู้ใช้ปลายทาง และสามารถปรับมาตราส่วนขึ้น/ลงตามการใช้งานที่คาดไว้ พอร์ทัลสามารถนําเสนอคุณภาพที่สูงกว่าโดยรวมและประสบการณ์ที่สอดคล้องกันเนื่องจากคู่ค้าเข้าถึงพอร์ทัลเดียวที่ออกแบบมาเพื่อความต้องการของคู่ค้าทั้งหมด สุดท้าย เนื่องจากโซลูชันที่ยึดตาม Power BI Embedded ถูกออกแบบมาเป็นผู้เช่าหลายราย จึงทําให้ง่ายต่อการแยกกันระหว่างองค์กรของคู่ค้า

เหตุผลในการเลือกตัวเลือกนี้:

• จัดการได้ง่ายกว่าเมื่อองค์กรคู่ค้ามีจํานวนเพิ่มขึ้น เนื่องจากคู่ค้าถูกเพิ่มไปยังไดเรกทอรีแยกต่างหากจากไดเรกทอรี Microsoft Entra ภายในของ Contoso จึงทําให้ง่ายต่อการกํากับดูแลของ IT และช่วยป้องกันไม่ให้แชร์ข้อมูลภายในกับผู้ใช้ภายนอกโดยไม่ตั้งใจ
• พอร์ทัลคู่ค้าทั่วไปคือประสบการณ์แบรนด์ระดับสูงที่มีประสบการณ์สอดคล้องระหว่างคู่ค้าและปรับปรุงให้มีประสิทธิภาพเพื่อตอบสนองความต้องการของคู่ค้าทั่วไป ดังนั้น Contoso จึงสามารถนําเสนอประสบการณ์โดยรวมที่ดียิ่งขึ้นแก่คู่ค้าโดยการรวมบริการที่จําเป็นทั้งหมดลงในพอร์ทัลเดียว
• ค่าใช้จ่ายสิทธิ์การใช้งานสําหรับสถานการณ์ขั้นสูง เช่น การแก้ไขเนื้อหาภายใน Power BI Embedded ครอบคลุมโดย Azure ที่ซื้อ Power BI Premium และไม่จําเป็นต้องกําหนดสิทธิ์การใช้งาน Power BI Pro ให้ผู้ใช้เหล่านั้น
• มีการแยกทั่วทั้งคู่ค้าได้ดีขึ้นหากมีโครงสร้างเป็นโซลูชันแบบหลายผู้เช่า
• พอร์ทัลคู่ค้ามักจะมีเครื่องมืออื่น ๆ สําหรับคู่ค้านอกเหนือจากรายงาน แดชบอร์ด และแอป Power BI

เหตุผลที่ไม่ควรเลือกตัวเลือกนี้:

• จําเป็นต้องใช้ความพยายามที่สําคัญในการสร้าง ดําเนินการ และบํารุงรักษาพอร์ทัลดังกล่าว ทําให้มีการลงทุนที่สําคัญในด้านทรัพยากรและเวลา
• เวลาในโซลูชันจะใช้เวลานานกว่าการใช้การแชร์ B2B เนื่องจากจําเป็นต้องมีการวางแผนอย่างรอบคอบและจําเป็นต้องมีการดําเนินการผ่านหลายกระแสงาน
• เมื่อมีจํานวนคู่ค้าที่น้อยกว่า การลงทุนที่จําเป็นสําหรับตัวเลือกนี้มีแนวโน้มว่าสูงเกินไปที่จะจัดชิดขอบ
• การทํางานร่วมกันด้วยการแชร์เฉพาะกิจคือสถานการณ์หลักที่องค์กรของคุณเผชิญ
• รายงานและแดชบอร์ดสําหรับคู่ค้าแต่ละรายแตกต่างกัน ตัวเลือกนี้แนะนําการจัดการค่าใช้จ่ายเกินโดยแค่แชร์กับคู่ค้าโดยตรง

คำถามที่ถามบ่อย

Contoso ส่งคําเชิญที่แลกใช้สิทธิ์ได้โดยอัตโนมัติ เพื่อให้ผู้ใช้ "พร้อมใช้งาน" ได้เลย ได้หรือไม่ หรือผู้ใช้จําเป็นต้องคลิกผ่าน URL แลกสิทธิ์เสมอหรือไม่

ผู้ใช้ปลายทางต้องคลิกผ่านประสบการณ์ความยินยอมก่อนที่พวกเขาสามารถเข้าถึงเนื้อหา

ถ้าคุณจะเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจํานวนมาก เราขอแนะนําให้คุณมอบสิทธิ์นี้จากผู้ดูแลระบบ Microsoft Entra หลักของคุณ โดย การเพิ่มผู้ใช้ลงในบทบาทผู้เชิญผู้เชิญผู้เยี่ยมชมในองค์กรทรัพยากร ผู้ใช้นี้สามารถเชิญผู้ใช้อื่น ๆ ในองค์กรคู่ค้าโดยใช้ UI ลงชื่อเข้าใช้ สคริปต์ PowerShell หรือ API การดําเนินการนี้จะช่วยลดภาระการดูแลระบบของผู้ดูแลระบบ Microsoft Entra ของคุณเพื่อเชิญหรือเชิญผู้ใช้ไปยังผู้ใช้ในองค์กรคู่ค้า

Contoso บังคับให้รับรองความถูกต้องแบบหลายปัจจัยสําหรับผู้ใช้ที่เป็นผู้เยี่ยมชมได้หรือไม่ ถ้าคู่ค้าไม่มีการรับรองความถูกต้องแบบหลายปัจจัย

ได้ สําหรับข้อมูลเพิ่มเติม โปรดดู การเข้าถึงแบบมีเงื่อนไขสําหรับผู้ใช้การทํางานร่วมกันแบบ B2B

การทํางานร่วมกันแบบ B2B ทํางานอย่างไรเมื่อคู่ค้าที่ได้รับเชิญนั้นใช้สหพันธ์เพื่อเพิ่มการรับรองความถูกต้องภายในองค์กรของพวกเขา

ถ้าคู่ค้ามีผู้เช่า Microsoft Entra ที่รวมกลุ่มกันในโครงสร้างพื้นฐานการรับรองความถูกต้องภายในองค์กร การลงชื่อเข้าระบบครั้งเดียวภายในองค์กร (SSO) จะสําเร็จโดยอัตโนมัติ หากคู่ค้าไม่มีผู้เช่า Microsoft Entra บัญชี Microsoft Entra อาจถูกสร้างขึ้นสําหรับผู้ใช้ใหม่

ฉันสามารถเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมที่มีบัญชีอีเมลของผู้บริโภคหรือไม่

การเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมที่มีบัญชีอีเมลของผู้บริโภคได้รับการสนับสนุนใน Power BI ซึ่งรวมถึงโดเมน เช่น hotmail.com outlook.com และ gmail.com อย่างไรก็ตาม ผู้ใช้เหล่านั้นอาจประสบกับข้อจํากัดนอกเหนือจากที่ผู้ใช้ที่มีบัญชีที่ทํางานหรือโรงเรียนประสบ