使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者

摘要：這是一份技術白皮書，說明如何使用整合 Microsoft Entra ID（先前稱為 Azure Active Directory）企業對企業（Microsoft Entra B2B）將內容發佈到組織外部的使用者。

作家： 盧卡斯·帕洛夫斯基、卡巴斯·德瓊

技術評論員： 亞當·威爾遜、盛劉、錢亮、謝爾蓋·岡多羅夫、雅各·格裡姆、亞當·薩克斯頓、瑪雅·申哈夫、尼姆羅德·沙利特、伊莉莎白·奧爾森

注意

您可以從瀏覽器選取 [列印]，然後選取 [另存新檔 PDF]，以儲存或列印此白皮書。

簡介

Power BI 為組織提供 360 度的業務檢視，並讓這些組織中的每個人都能夠使用數據做出智能決策。 其中許多組織與外部合作夥伴、客戶和承包商有著強大且受信任的關係。 這些組織需要為這些外部合作夥伴中的使用者提供Power BI儀錶板和報表的安全存取權。

Power BI 與 Microsoft Entra 企業對企業 （Microsoft Entra B2B） 整合，以允許將 Power BI 內容安全地散發給組織外部的來賓使用者，同時仍維持對內部數據的控制和控管存取。

本白皮書涵蓋瞭解 Power BI 與 Microsoft Entra B2B 整合所需的所有詳細數據。 我們涵蓋最常見的使用案例、設定、授權和數據列層級安全性。

案例

Contoso 是一家汽車製造商，並與許多多樣化的供應商合作，提供其執行製造作業所需的所有元件、材料和服務。 Contoso 想要簡化其供應鏈物流，並計劃使用Power BI來監視其供應鏈的關鍵效能計量。 Contoso 想要以安全且可管理的方式與外部供應鏈合作夥伴分析共用。

Contoso 可以使用 Power BI 和 Microsoft Entra B2B 為外部使用者啟用下列體驗。

每個專案的臨機操作共用

Contoso 與一家為 Contoso 的汽車建置暖氣的供應商合作。 通常，他們需要使用來自所有 Contoso 汽車的數據，來優化輻射器的可靠性。 Contoso 的分析師會使用 Power BI 與供應商工程師共用可靠性報告。 工程師會收到一封電子郵件，其中包含檢視報告的連結。

如上所述，此臨機操作共用會視需要由商務用戶執行。 Power BI 傳送給外部用戶的連結是 Microsoft Entra B2B 邀請連結。 當外部使用者開啟連結時，系統會要求他們以來賓使用者身分加入 Contoso 的 Microsoft Entra 組織。 接受邀請之後，鏈接會開啟特定的報表或儀錶板。 Microsoft Entra 系統管理員會委派邀請外部使用者加入組織的許可權，並在接受邀請后，選擇這些使用者可以執行的動作，如本檔的治理一節所述。 Contoso 分析師只能邀請來賓用戶，因為 Microsoft Entra 系統管理員允許該動作，而 Power BI 系統管理員允許使用者邀請來賓在 Power BI 的租使用者設定中檢視內容。

1. 此程式會從 Contoso 內部使用者與外部使用者共用儀錶板或報表開始。 如果外部使用者還不是 Contoso 的 Microsoft Entra ID 中的來賓，則會受邀。 電子郵件會傳送至其電子郵件位址，其中包含 Contoso 的 Microsoft Entra 識別碼邀請。
2. 收件者接受 Contoso 的 Microsoft Entra 識別碼邀請，並在 Contoso 的 Microsoft Entra ID 中新增為來賓使用者。
3. 收件者接著會重新導向至Power BI儀錶板、報表或應用程式。

此程式被視為臨機操作，因為 Contoso 中的商務用戶會視需要對其商務用途執行邀請動作。 每個共享的專案都是外部使用者可以存取以檢視內容的單一連結。

一旦邀請外部使用者存取 Contoso 資源，就可以在 Contoso Microsoft Entra ID 中為其建立影子帳戶，而且不需要再次受邀。 他們第一次嘗試存取 Contoso 資源，例如 Power BI 儀錶板，會經歷同意程式，以兌換邀請。 如果他們未完成同意，他們就無法存取任何 Contoso 的內容。 如果他們無法透過提供的原始鏈接兌換邀請，Microsoft Entra 系統管理員可以重新傳送特定的邀請連結，讓他們兌換。

已規劃每個項目共用

Contoso 會與轉包商合作，以執行對毒素的可靠性分析。 轉包商有 10 個小組，需要存取 Contoso Power BI 環境中的數據。 Contoso Microsoft Entra 系統管理員參與邀請所有使用者，並在轉包商變更時處理任何新增/變更。 Microsoft Entra 系統管理員會為轉包商的所有員工建立安全組。 使用安全組，Contoso 的員工可以輕鬆地管理報表的存取權，並確保所有必要的轉包商人員都能存取所有必要的報表、儀錶板和 Power BI 應用程式。 Microsoft Entra 系統管理員也可以選擇將邀請權委派給 Contoso 或轉包商的受信任員工，以確保及時的人員管理，以避免完全參與邀請程式。

某些組織需要進一步控制新增外部使用者、邀請外部組織中的許多用戶，或許多外部組織。 在這些情況下，計劃共用可用來管理共用的規模、強制執行組織原則，甚至將許可權委派給信任的個人，以邀請和管理外部使用者。 Microsoft Entra B2B 支援由 IT 系統管理員直接從 Azure 入口網站 傳送的計畫邀請，或使用邀請管理員 API 透過 PowerShell 傳送計畫邀請，其中一組使用者可以在一個動作中受邀。 使用規劃的邀請方法，組織可以控制誰可以邀請用戶並實作核准程式。 動態群組等進階 Microsoft Entra 功能可讓您輕鬆地自動維護安全組成員資格。

1. 此程式從IT系統管理員開始，邀請來賓使用者手動或透過 Microsoft Entra ID 所提供的 API。
2. 使用者接受組織的邀請。
3. 一旦使用者接受邀請，Power BI 中的使用者就可以與外部使用者或他們位於的安全組共用報表或儀錶板。 就像在Power BI中定期共用一樣，外部使用者會收到包含專案連結的電子郵件。
4. 當外部使用者存取連結時，其目錄中的驗證會傳遞至 Contoso 的 Microsoft Entra ID，並用來取得 Power BI 內容的存取權。

Power BI 應用程式的臨機操作或計劃共用

Contoso 有一組報表和儀錶板，他們需要與一或多個供應商共用。 為了確保所有必要的外部使用者都能存取此內容，它會封裝為Power BI 應用程式。 外部使用者會直接新增至應用程式存取清單或透過安全組。 Contoso 上的某人接著會將應用程式 URL 傳送給所有外部使用者，例如電子郵件中。 當外部使用者開啟連結時，他們會在單一容易瀏覽的體驗中看到所有內容。

使用Power BI 應用程式可讓 Contoso 輕鬆地為其供應商建置 BI 入口網站。 單一存取清單可控制所有必要內容的存取，以減少浪費時間檢查和設定專案層級許可權。 Microsoft Entra B2B 會使用供應商的原生身分識別來維護安全性存取，讓使用者不需要額外的登入認證。 如果搭配安全組使用計劃邀請，則會簡化人員輪替或移出專案時，對應用程式的存取管理。 以手動方式或使用 動態群組的安全組成員資格，讓供應商的所有外部使用者自動新增至適當的安全組。

1. 此程式一開始會透過 Azure 入口網站 或 PowerShell 邀請使用者加入 Contoso 的 Microsoft Entra 組織。
2. 用戶可以新增至 Microsoft Entra ID 中的使用者群組。 您可以使用靜態或動態使用者群組，但動態群組有助於減少手動工作。
3. 外部用戶可透過使用者群組存取 Power BI 應用程式。 應用程式 URL 應該直接傳送給外部使用者，或放在他們有權存取的網站。 Power BI 會盡最大努力將具有應用程式連結的電子郵件傳送給外部使用者，但在使用成員資格可以變更的使用者群組時，Power BI 無法傳送給透過使用者群組管理的所有外部使用者。
4. 當外部使用者存取 Power BI 應用程式 URL 時，其會由 Contoso 的 Microsoft Entra ID 進行驗證，且會為使用者安裝應用程式，而且使用者可以查看應用程式內的所有內含報表和儀錶板。

應用程式也有唯一的功能，可讓應用程式作者自動為使用者安裝應用程式，因此當使用者登入時可以使用。 此功能只會針對在發佈或更新應用程式時已屬於 Contoso 組織一部分的外部使用者自動安裝。 因此，它最適合用於計劃中的邀請方法，並取決於在使用者新增至 Contoso 的 Microsoft Entra ID 之後發佈或更新的應用程式。 外部使用者一律可以使用應用程式連結來安裝應用程式。

批注和訂閱跨組織的內容

當 Contoso 繼續與其轉包商或供應商合作時，外部工程師必須與 Contoso 分析師密切合作。 Power BI 提供數個共同作業功能，可協助使用者傳達可取用的內容。 儀錶板批注（以及快速報表批注）可讓使用者討論他們看到的數據點，並與報表作者溝通，詢問問題。

目前，外部來賓使用者可以留下批注並閱讀回復，以參與批注。 不過，不同於內部使用者，來賓用戶無法 @mentioned 收到且不會收到他們已收到批注的通知。 來賓使用者可以使用Power BI內的訂用帳戶功能，自行訂閱報表或儀錶板。 若要深入瞭解，請參閱 Power BI 服務 中報表和儀錶板的電子郵件訂閱。

存取 Power BI 行動裝置應用程式中的內容

當來賓使用者在其行動裝置上開啟報表或儀錶板的連結時，如果已安裝，內容將會在裝置上的原生 Power BI 行動裝置應用程式中開啟。 然後，來賓使用者就可以在外部租使用者中與他們共用的內容之間巡覽，並從其主租使用者返回自己的內容。 如需透過Power BI行動應用程式從外部組織存取已與您共用之內容的詳細資訊，請參閱 檢視從外部組織與您共用的Power BI內容。

使用 Power BI 和 Microsoft Entra B2B 的組織關聯性

當 Power BI 的所有使用者都屬於組織內部時，就不需要使用 Microsoft Entra B2B。 不過，一旦兩個以上的組織想要對數據和深入解析進行共同作業，Power BI 對 Microsoft Entra B2B 的支援可讓您輕鬆且符合成本效益。

以下是適用於Power BI 中 Microsoft Entra B2B 樣式跨組織共同作業的組織結構。 在大部分情況下，Microsoft Entra B2B 效果良好，但在某些情況下，本檔結尾所涵蓋的常見替代方法值得考慮。

案例 1：組織之間的直接共同作業

Contoso 與其供應商的關係是組織之間直接共同作業的範例。 由於 Contoso 及其供應商的用戶相對較少，因此使用 Microsoft Entra B2B 型外部共用是理想的選擇。 很容易使用且易於管理。 這也是諮詢服務中常見的模式，其中顧問可能需要為組織建置內容。

一般而言，此共用一開始會使用特定每個項目共用。 不過，隨著小組成長或關聯性加深，規劃的每個項目共用方法會成為減少管理額外負荷的慣用方法。 此外，Power BI Apps 的臨機操作或計劃共用、批注和訂閱跨組織的內容、行動裝置應用程式中的內容存取權也可以開始運作。 重要的是，如果兩個組織的使用者在其各自的組織中擁有Power BI Pro授權，他們可以在彼此的Power BI環境中使用這些 Pro授權。 這提供有利的授權，因為邀請組織可能不需要為外部使用者支付Power BI Pro授權。 本檔稍後的一節將更詳細地討論這一點。

案例 2：母公司及其子公司或關聯公司

某些組織結構較為複雜，包括部分或全資子公司、附屬公司或受控服務提供者關係。 這些組織有一個父組織，例如控股公司，但基礎組織會以半自主方式運作，有時在不同的區域需求下運作。 這會導致每個組織都有自己的 Microsoft Entra 環境，以及個別的 Power BI 租使用者。

在此結構中，父組織通常需要將標準化見解散發給其子公司。 一般而言，此共用會使用Power BI Apps的臨機操作或計劃共用方法，如下圖所示，因為它允許將標準化授權內容散發給廣大物件。 實際上會使用本檔稍早提及的所有案例組合。

這會遵循下列程式：

1. 每個子公司的用戶都會受邀加入 Contoso 的 Microsoft Entra 識別碼
2. 然後，Power BI 應用程式會發佈，讓使用者存取所需的數據
3. 最後，使用者透過他們獲得的連結來開啟應用程式，以查看報告

此結構中的組織面臨數個重要挑戰：

• 如何在父組織的Power BI 中發佈內容的連結
• 如何允許附屬使用者存取父組織所裝載的數據源

將連結發佈至父組織Power BI 中的內容

三種方法通常用於發佈內容的連結。 第一個和最基本的是將應用程式的連結傳送給所需的使用者，或將它放置於可開啟的 SharePoint Online 網站中。 然後，使用者可以將瀏覽器中的連結加入書籤，以更快速地存取所需的數據。

第二種方法是父組織可讓使用者從子公司存取其Power BI，並控制其可透過許可權存取的控制件。 這可讓您存取 Power BI 首頁，其中子公司的使用者會在父組織的租使用者中看到與其共用的內容完整清單。 然後，父組織的Power BI環境的URL會提供給子公司的使用者。

最後一種方法會針對每個子公司使用在Power BI租使用者內建立的Power BI 應用程式。 Power BI 應用程式包含具有設定 外部連結選項之磚的儀錶板。 當使用者按下圖格時，系統會將他們帶到父組織的Power BI 中適當的報表、儀錶板或應用程式。 這個方法具有可自動為子公司中的所有使用者安裝應用程式的優點，而且每當他們登入自己的Power BI環境時，就可以使用該應用程式。 這種方法的一個額外優點是，它適用於可原生開啟連結的Power BI行動應用程式。 您也可以將此與第二種方法結合，以在Power BI環境之間輕鬆切換。

允許附屬使用者存取父組織所裝載的數據源

子公司的分析師通常需要使用父組織提供的數據來建立自己的分析。 在此情況下，通常會使用雲端數據源來解決挑戰。

第一種方法會使用 Azure Analysis Services 來建置企業級數據倉儲，以符合父系及其子公司分析師的需求，如下圖所示。 Contoso 可以裝載數據並使用數據列層級安全性等功能，以確保每個子公司中的使用者只能存取其數據。 每個組織的分析師都可以透過Power BI Desktop存取數據倉儲，並將產生的分析發佈至其各自的Power BI 租使用者。

第二種方法會使用 Azure SQL 資料庫 來建置關係型數據倉儲，以提供數據的存取權。 這與 Azure Analysis Services 方法類似，不過數據列層級安全性等某些功能可能較難跨子公司部署和維護。

您也可以使用更複雜的方法，但上述方法到目前為止是最常見的方法。

案例 3：跨合作夥伴共享環境

Contoso 可能與競爭對手合作，共同在共用組裝線上建造汽車，但將車輛分散到不同品牌或不同地區。 這需要跨組織進行廣泛的共同作業和共同擁有數據、智慧和分析。 此結構在諮詢服務產業中也很常見，顧問小組可能會對客戶端執行以專案為基礎的分析。

實際上，這些結構很複雜，如下圖所示，而且需要員工維護。 為了有效，組織可以重複使用為其個別 Power BI 租用戶購買的 Power BI Pro 授權。

若要建立共用的Power BI租使用者，必須建立 Microsoft Entra 識別碼，而且至少需要為該租使用者中的使用者購買一個 Power BI Pro 用戶帳戶。 此使用者邀請必要的使用者加入共享組織。 重要的是，在此案例中，Contoso 的使用者會在共享組織的Power BI內運作時被視為外部使用者。

此程序如下：

1. 共享組織會建立為新的 Microsoft Entra 識別碼，而且新租使用者中至少會建立一個用戶帳戶。 該用戶應為其指派 Power BI Pro 授權。
2. 此用戶接著會建立 Power BI 租使用者，並邀請 Contoso 和合作夥伴組織的必要使用者。 使用者也會建立任何共享的數據資產，例如 Azure Analysis Services。 Contoso 和合作夥伴的使用者可以以來賓使用者身分存取共用組織的Power BI。 一般而言，所有共用資產都會從共用組織儲存和存取。
3. 根據雙方同意如何共同作業，每個組織都有可能使用共用數據倉儲資產來開發自己的專屬數據和分析。 他們可以使用其內部 Power BI 租使用者，將這些用戶散發給各自的內部使用者。

案例 4：散發給數百或數千個外部合作夥伴

雖然 Contoso 為一個供應商建立了一份可靠性報告，但現在 Contoso 想要為數百家供應商建立一組標準化報告。 這可讓 Contoso 確保所有供應商都有進行改進或修正製造缺陷所需的分析。

當組織需要將標準化數據和深入解析散發給許多外部使用者/組織時，他們可以使用Power BI Apps案例的臨機操作或計劃共用，快速且不需要大量的開發成本來建置BI入口網站。 使用 Power BI 應用程式建置這類入口網站的程序涵蓋於案例研究：使用 Power BI + Microsoft Entra B2B 建置 BI 入口網站 – 本檔稍後的逐步指示。

此案例的常見變體是當組織嘗試與取用者共用深入解析時，特別是在想要搭配Power BI使用 Azure Active Directory B2C 時。 Power BI 原生不支援 Azure Active Directory B2C。 如果您正在評估此案例的選項，請考慮在本檔稍後的一節中使用替代選項 2。

案例研究：使用 Power BI + Microsoft Entra B2B 建置 BI 入口網站 – 逐步指示

Power BI 與 Microsoft Entra B2B 的整合讓 Contoso 能夠順暢且輕鬆的方式，為來賓使用者提供其 BI 入口網站的安全存取權。 Contoso 可以使用三個步驟來設定：

1. 在 Power BI 中建立 BI 入口網站

   Contoso 的第一項工作是在Power BI 中建立其BI入口網站。 Contoso 的 BI 入口網站將包含一組用途建置的儀錶板和報表，可供許多內部和來賓使用者使用。 在 Power BI 中執行這項操作的建議方式是建置 Power BI 應用程式。 深入瞭解 Power BI中的應用程式。

• Contoso 的 BI 小組會在 Power BI 中建立工作區

  

• 其他作者會新增至工作區

  

• 內容會在工作區內建立

  

  現在內容已建立於工作區中，Contoso 已準備好邀請合作夥伴組織中的來賓用戶取用此內容。

2. 邀請來賓使用者

   Contoso 有兩種方式可將來賓使用者邀請至 Power BI 中的 BI 入口網站：

   • 計劃邀請
   • 臨機操作邀請

   計劃邀請

   在此方法中，Contoso 會事先邀請來賓使用者加入其 Microsoft Entra，然後將 Power BI 內容散發給他們。 Contoso 可以從 Azure 入口網站 或使用 PowerShell 邀請來賓使用者。 以下是從 Azure 入口網站 邀請來賓使用者的步驟：

   • Contoso 的 Microsoft Entra 系統管理員流覽至 Azure 入口網站> Microsoft Entra ID>Users>所有使用者>新增來賓使用者

   

   • 為來賓使用者新增邀請訊息，然後選取 [邀請]

   

   注意

   若要邀請來自 Azure 入口網站 的來賓使用者，您需要租使用者的 Microsoft Entra 系統管理員。

   如果 Contoso 想要邀請許多來賓用戶，他們可以使用 PowerShell 來執行此動作。 Contoso 的 Microsoft Entra 系統管理員會將所有來賓用戶的電子郵件地址儲存在 CSV 檔案中。 以下是 Microsoft Entra B2B 共同作業程式代碼和 PowerShell 範例 和指示。

   邀請之後，來賓使用者會收到包含邀請鏈接的電子郵件。

   

   一旦來賓用戶選取連結，他們就可以存取 Contoso Microsoft Entra 租用戶中的內容。

   注意

   您可以使用 Microsoft Entra ID 商標功能變更邀請電子郵件的版面配置，如這裡所述。

   臨機操作邀請

   如果 Contoso 不知道想要事先邀請的所有來賓使用者，該怎麼辦？ 或者，如果 Contoso 中建立 BI 入口網站的分析師想要自行將內容發佈給來賓使用者，該怎麼辦？ 我們也在Power BI中支援具有臨機操作邀請的此案例。

   分析師可以在發佈應用程式時，將外部使用者新增至應用程式的存取清單。 來賓使用者會收到邀請，一旦他們接受邀請，就會自動重新導向至Power BI內容。

   

   注意

   只有在第一次邀請外部使用者到您的組織時，才需要邀請邀請。

3. 發佈內容

   現在，Contoso 的 BI 小組已建立 BI 入口網站和受邀的來賓使用者，他們可以將入口網站發佈給終端使用者，方法是授與來賓使用者對應用程式的訪問許可權，並將其發佈。 Power BI 會自動完成先前已新增至 Contoso 租使用者之來賓用戶的名稱。 此時也可以新增其他來賓用戶的臨機邀請。

   注意

   如果使用安全組來管理外部使用者的應用程式存取權，請使用計劃邀請方法，並直接與每個必須存取它的外部使用者共用應用程序連結。 否則，外部使用者可能無法從app._內安裝或檢視內容

   來賓使用者會收到包含應用程式連結的電子郵件。

   

   按兩下此連結時，系統會要求來賓使用者向自己的組織身分識別進行驗證。

   

   成功驗證之後，系統會將他們重新導向至 Contoso 的 BI 應用程式。

   

   來賓使用者可以稍後按兩下電子郵件中的連結或將連結加入書籤，以進入 Contoso 的應用程式。 Contoso 也可以藉由將此連結新增至來賓使用者已使用的任何現有外部網路入口網站，讓來賓使用者更容易使用。

4. 下一步

   Contoso 使用 Power BI 應用程式和 Microsoft Entra B2B，能夠以無程式碼的方式快速為其供應商建立 BI 入口網站。 這可大幅簡化將標準化分析散發給所有需要它的供應商。

   雖然此範例示範如何在供貨商之間散發單一通用報表，但 Power BI 可以更進一步。 為了確保每個合作夥伴只看到與本身相關的數據，數據列層級安全性可以輕鬆地新增至報表和數據模型。 本檔稍後的一節將詳細說明此程式。

   個別報表和儀錶板通常需要內嵌至現有的入口網站。 這也可以藉由重複使用範例中顯示的許多技術來完成。 不過，在這些情況下，直接從工作區內嵌報表或儀錶板可能會比較容易。 邀請及指派安全性許可權給必要使用者的程序會維持不變。

在幕後：來自 Supplier1 的 Lucy 如何能夠從 Contoso 的租使用者存取 Power BI 內容？

既然我們已經瞭解 Contoso 如何順暢地將 Power BI 內容散發給合作夥伴組織中的來賓使用者，讓我們看看這在幕後的運作方式。

當 Contoso 受邀 lucy@supplier1.com 加入其目錄時，Microsoft Entra ID 會在 和 Contoso Microsoft Entra 租用戶之間建立 Lucy@supplier1.com 連結。 此連結可讓 Microsoft Entra ID 知道 Lucy@supplier1.com 可以存取 Contoso 租用戶中的內容。

當 Lucy 嘗試存取 Contoso 的 Power BI 應用程式時，Microsoft Entra ID 會確認 Lucy 可以存取 Contoso 租使用者，然後提供 Power BI 令牌，指出 Lucy 已驗證以存取 Contoso 租使用者中的內容。 Power BI 會使用此令牌來授權，並確保 Lucy 能夠存取 Contoso 的 Power BI 應用程式。

Power BI 與 Microsoft Entra B2B 整合適用於所有商務電子郵件位址。 如果用戶沒有 Microsoft Entra 身分識別，系統可能會提示他們建立一個身分識別。 下圖顯示詳細的流程：

請務必辨識 Microsoft Entra 帳戶將會在外部合作物件的 Microsoft Entra 標識符中使用或建立，如此一來，Lucy 就能使用自己的使用者名稱和密碼，而且每當 Lucy 在其組織使用 Microsoft Entra ID 時，其認證就會自動停止在其他租使用者中工作。

授權

Contoso 可以選擇三種方法之一，以授權其供應商和合作夥伴組織的來賓使用者存取 Power BI 內容。

注意

Microsoft Entra B2B 的免費層足以搭配 Microsoft Entra B2B 使用 Power BI。 某些進階的 Microsoft Entra B2B 功能，例如動態群組需要額外的授權。 如需詳細資訊，請參閱 Microsoft Entra B2B 檔。

方法 1：Contoso 使用 Power BI 進階版

透過這種方法，Contoso 會購買 Power BI 進階版 容量，並將其 BI 入口網站內容指派給此容量。 這可讓合作夥伴組織的來賓使用者存取 Contoso 的 Power BI 應用程式，而不需要任何 Power BI 授權。

在 Power BI 中取用內容時，外部使用者也會受限於取用 Power BI 中「免費」使用者的唯一體驗 進階版。

Contoso 也可以利用其應用程式的其他 Power BI Premium 功能，例如增加重新整理速率、容量和大型模型大小。

方法 2：Contoso 將 Power BI Pro 授權指派給來賓使用者

透過這種方法，Contoso 會將 Pro 授權指派給合作夥伴組織的來賓使用者 – 這可從 Contoso 的 Microsoft 365 系統管理中心 完成。 這可讓合作夥伴組織的來賓使用者存取 Contoso 的 Power BI 應用程式，而不需要自行購買授權。 這適用於與組織尚未採用Power BI的外部用戶共用。

注意

只有在 Contoso 租使用者中存取內容時，Contoso 的 Pro 授權才會套用至來賓使用者。 Pro 授權可讓您存取不在 Power BI 進階版 容量中的內容。

方法 3：來賓使用者自備 Power BI Pro 授權

透過這種方法，供應商 1 會將 Power BI Pro 授權指派給 Lucy。 然後，他們可以使用此授權存取 Contoso 的 Power BI 應用程式。 由於 Lucy 可以在存取外部 Power BI 環境時，從自己的組織使用他們的 Pro 授權，因此這種方法有時稱為 自備授權 （BYOL）。 如果兩個組織都使用Power BI，這會為整體分析解決方案提供有利的授權，並將將授權指派給外部使用者的額外負荷降到最低。

注意

提供給 Lucy by Supplier 1 的 Pro 授權適用於 Lucy 是來賓使用者的任何 Power BI 租使用者。 Pro 授權可讓您存取不在 Power BI 進階版 容量中的內容。

外部合作夥伴的數據安全性

通常，當與多個外部供應商合作時，Contoso 必須確保每個供應商只會看到自己產品的相關數據。 用戶型安全性和動態數據列層級安全性可讓您輕鬆完成Power BI。

以用戶為基礎的安全性

Power BI 最強大的功能之一是數據列層級安全性。 此功能可讓 Contoso 建立單一報表和語意模型（先前稱為數據集），但仍對每個使用者套用不同的安全性規則。 如需深入的說明，請參閱 資料列層級安全性 （RLS） 。

Power BI 與 Microsoft Entra B2B 的整合可讓 Contoso 在受邀加入 Contoso 租使用者時，立即將數據列層級安全性規則指派給來賓使用者。 如我們先前所見，Contoso 可以透過已規劃或臨機操作的邀請來新增來賓使用者。 如果 Contoso 想要強制執行數據列層級安全性，強烈建議您事先使用已規劃的邀請來新增來賓使用者，並在共用內容之前將它們指派給安全性角色。 如果 Contoso 改用臨機操作邀請，則來賓使用者可能無法看到任何數據的時間可能很短。

注意

使用臨機操作邀請時，存取受 RLS 保護的數據時，這種延遲可能會導致對 IT 小組的支援要求，因為使用者在收到的電子郵件中開啟共用連結時，會看到空白或損毀的報表/儀錶板。 因此，強烈建議在此案例中使用計劃性邀請。

讓我們透過範例逐步解說。

如前所述，Contoso 在全球有供應商，他們想要確保來自其供應商組織的使用者從其所在地區取得數據的見解。 但 Contoso 的使用者可以存取所有數據。 Contoso 會建立單一報表，並根據檢視數據的使用者篩選數據，而不是建立數個不同的報表。

若要確定 Contoso 可以根據連線的人員篩選數據，Power BI Desktop 中會建立兩個角色。 其中一個用來篩選 SalesTerritory “Europe” 的所有數據，另一個用於 “北美洲”。

每當報表中定義角色時，用戶都必須指派給特定角色，才能存取任何數據。 角色指派會在 Power BI 服務 內發生（語意模型>安全性 ）。

這會開啟 Contoso BI 小組可以看到他們建立的兩個角色的頁面。 現在 Contoso 的 BI 小組可以將使用者指派給角色。

在範例中，Contoso 會在合作夥伴組織中新增使用者，並將電子郵件位址新增 admin@fabrikam.com 至歐洲角色：

當 Microsoft Entra ID 解析此專案時，Contoso 可以看到名稱顯示在準備好新增的視窗中：

現在，當使用者開啟與他們共用的應用程式時，他們只會看到具有來自歐洲數據的報表：

動態數據列層級安全性

另一個有趣的主題是瞭解動態數據列層級安全性 （RLS） 如何與 Microsoft Entra B2B 搭配運作。

簡言之，動態數據列層級安全性的運作方式是根據聯機至Power BI的人員用戶名稱來篩選模型中的數據。 您不需要為使用者群組新增多個角色，而是在模型中定義使用者。 我們不會在此詳細說明模式。 卡巴斯·de Jong 提供 Power BI Desktop 動態安全性速查表中各種數據列層級安全性 的詳細寫法，以及 本白皮書 。

讓我們看看一個小範例 - Contoso 有依群組銷售的簡單報表：

現在，此報表必須與兩個來賓使用者和一個內部用戶共用 - 內部使用者可以看到所有專案，但來賓使用者只能看到他們有權存取的群組。 這表示我們必須只篩選來賓用戶的數據。 為了適當地篩選數據，Contoso 會使用動態 RLS 模式，如白皮書和部落格文章中所述。 這表示，Contoso 會將用戶名稱新增至數據本身：

然後，Contoso 會建立正確的數據模型，以正確的關聯性適當地篩選數據：

若要根據登入者自動篩選數據，Contoso 必須建立傳入正在連線之使用者的角色。 在此情況下，Contoso 會建立兩個角色 -- 第一個角色是篩選用戶數據表的「安全性角色」，其中包含登入 Power BI 的使用者目前用戶名稱（這適用於 Microsoft Entra B2B 來賓使用者）。

Contoso 也會為其內部使用者建立另一個 「AllRole」，這些使用者可以看到所有專案 – 此角色沒有任何安全性述詞。

將 Power BI Desktop 檔案上傳至服務之後，Contoso 可以將來賓使用者指派給 “SecurityRole”，並將內部使用者指派給 “AllRole”

現在，當來賓用戶開啟報表時，他們只會看到群組 A 的銷售：

在右側的矩陣中，您可以看到USERNAME（） 和USERPRINCIPALNAME（） 函式的結果都會傳回來賓用戶電子郵件位址。

現在，內部使用者會看到所有資料：

如您所見，動態 RLS 適用於內部或來賓使用者。

注意

此案例也適用於在 Azure Analysis Services 中使用模型時。 Azure Analysis Service 通常會連線到與 Power BI 相同的 Microsoft Entra 標識符，在此情況下，Azure Analysis Services 也會知道透過 Microsoft Entra B2B 邀請的來賓使用者。

連線 至內部部署數據源

Power BI 提供 Contoso 使用內部部署數據源的功能，例如 SQL Server Analysis Services 或 SQL Server ，直接感謝 內部部署數據閘道。 甚至可以使用與 Power BI 搭配使用的相同認證來登入那些數據源。

注意

安裝閘道以連線到 Power BI 租使用者時，您必須使用在租使用者內建立的使用者。 外部使用者無法安裝閘道，並將其連線至您的tenant._

對於外部使用者，這可能會比較複雜，因為內部部署AD通常不知道外部使用者。 Power BI 可讓 Contoso 系統管理員將外部使用者名稱對應至內部使用者名稱，如管理數據源 - Analysis Services 中所述，提供此因應措施。 例如， lucy@supplier1.com 可以對應至 lucy_supplier1_com#EXT@contoso.com。

如果 Contoso 只有少數使用者，或 Contoso 可以將所有外部用戶對應至單一內部帳戶，這個方法就沒問題。 對於每位使用者需要自己的認證更複雜的案例，有一個更進階的方法會使用自定義 AD 屬性來執行對應，如管理數據源 - Analysis Services 中所述。 這可讓 Contoso 系統管理員定義 Microsoft Entra ID 中每個用戶的對應（也是外部 B2B 使用者）。 您可以使用腳本或程式碼，透過AD物件模型設定這些屬性，讓 Contoso 可以完全自動化邀請或排程頻率上的對應。

治理

影響與 Microsoft Entra B2B 相關 Power BI 體驗的其他 Microsoft Entra ID 設定

使用 Microsoft Entra B2B 共用時，Microsoft Entra 系統管理員會控制外部用戶體驗的各個層面。 這些是在租使用者的 Microsoft Entra ID 設定內的 [外部共同作業設定] 頁面上控制。

如需詳細資訊，請參閱設定外部共同作業設定。

注意

根據預設，[來賓用戶許可權有限] 選項會設定為 [是]，因此 Power BI 中的來賓使用者有有限的體驗，尤其是人員選擇器 UI 不適用於這些用戶的共用。 請務必與您的 Microsoft Entra 系統管理員合作，將它設定為 [否]，如下所示，以確保良好的體驗。

控制來賓邀請

Power BI 系統管理員可以造訪 Power BI 管理入口網站，以控制 Power BI 的外部共用。 但系統管理員也可以控制與各種 Microsoft Entra 原則的外部共用。 這些原則可讓系統管理員：

• 關閉終端用戶的邀請
• 只有來賓邀請者角色中的系統管理員和使用者才能邀請
• 管理員、來賓邀請者角色和成員可以邀請
• 所有使用者，包括來賓，都可以邀請

您可以在 Microsoft Entra B2B 共同作業的委派邀請中深入了解這些原則。

外部使用者的所有Power BI 動作也會 在我們的稽核入口網站中稽核。

來賓用戶的條件式存取原則

Contoso 可以為從 Contoso 租使用者存取內容的來賓用戶強制執行條件式存取原則。 您可以在 B2B 共同作業使用者的條件式存取中找到詳細指示。

常見的替代方法

雖然 Microsoft Entra B2B 可讓您輕鬆地跨組織共用數據和報表，但還有其他幾種方法常用的方法，在某些情況下可能較好。

替代選項 1：為合作夥伴使用者建立重複的身分識別

使用此選項時，Contoso 必須手動為 Contoso 租使用者中的每個合作夥伴使用者建立重複的身分識別，如下圖所示。 然後在Power BI中，Contoso 可以將適當的報表、儀錶板或應用程式共用至指派的身分識別。

選擇此替代方式的原因：

• 由於使用者的身分識別是由您的組織所控制，因此電子郵件、SharePoint 等任何相關服務也位於貴組織的控制範圍內。 您的IT管理員istrators可以重設密碼、停用帳戶的存取權，或稽核這些服務中的活動。
• 使用個人帳戶進行其業務的使用者通常受限於存取特定服務，因此可能需要組織帳戶。
• 某些服務僅可透過貴組織的用戶運作。 例如，使用 Intune 來管理使用 Microsoft Entra B2B 之外部用戶的個人/行動裝置上的內容可能無法使用。

不選擇此替代方式的原因：

• 來自合作夥伴組織的用戶必須記住兩組認證：一組可存取自己組織的內容，另一組則用來存取 Contoso 的內容。 對於這些來賓用戶來說，這是一個麻煩，許多來賓使用者都對此體驗感到困惑。
• Contoso 必須購買並指派每個用戶授權給這些使用者。 如果使用者需要接收電子郵件或使用 Office 應用程式，則需要適當的授權，包括 Power BI Pro，以編輯和共用 Power BI 中的內容。
• 相較於內部使用者，Contoso 可能會想要對外部使用者強制執行更嚴格的授權和治理原則。 若要達成此目的，Contoso 需要為外部使用者建立內部命名法，而且所有 Contoso 使用者都必須接受此命名教育。
• 當使用者離開組織時，他們會繼續存取 Contoso 的資源，直到 Contoso 系統管理員手動刪除其帳戶
• Contoso 系統管理員必須管理來賓的身分識別，包括建立、密碼重設等。

替代選項 2：使用自訂驗證建立自訂 Power BI Embedded 應用程式

Contoso 的另一個選項是使用自訂驗證來建置自己的自定義內嵌 Power BI 應用程式（「應用程式擁有數據」）。 雖然許多組織沒有時間或資源來建立自定義應用程式，以將Power BI內容發佈給其外部合作夥伴，但對於某些組織而言，這是最佳方法，值得認真考慮。

組織通常會有現有的合作夥伴入口網站，可集中存取合作夥伴的所有組織資源、提供與內部組織資源的隔離，並為合作夥伴提供簡化的體驗，以支援許多合作夥伴及其個別使用者。

在上述範例中，來自每個供應商的使用者登入 Contoso 的合作夥伴入口網站，該入口網站會使用 Microsoft Entra ID 作為識別提供者。 它可以使用 Microsoft Entra B2B、Azure Active Directory B2C、原生身分識別，或與任意數目的其他識別提供者同盟。 使用者將會使用 Azure Web 應用程式或類似的基礎結構來登入及存取合作夥伴入口網站組建。

在 Web 應用程式中，Power BI 報表會內嵌自 Power BI Embedded 部署。 Web 應用程式可簡化報表和任何相關服務的存取，其整合式體驗旨在讓供應商輕鬆地與 Contoso 互動。 此入口網站環境會與 Contoso 內部 Microsoft Entra ID 和 Contoso 的內部 Power BI 環境隔離，以確保供應商無法存取這些資源。 一般而言，數據會儲存在個別的合作夥伴數據倉儲中，以確保數據也隔離。 這種隔離有好處，因為它限制外部用戶的數量，直接存取貴組織的數據，限制哪些數據可能可供外部使用者使用，以及限制與外部使用者意外共享的數據。

使用 Power BI Embedded 時，入口網站可以使用有利的授權、使用應用程式令牌或主要使用者加上在 Azure 模型中購買的進階容量，這可簡化將授權指派給用戶的擔憂，並根據預期的使用量相應增加/減少。 入口網站可以提供整體更高質量且一致的體驗，因為合作夥伴可存取以合作夥伴所有需求設計的單一入口網站。 最後，由於Power BI Embedded型解決方案通常設計成多租使用者，因此更容易確保合作夥伴組織之間的隔離。

選擇此替代方式的原因：

• 隨著合作夥伴組織數目的成長，更容易管理。 由於合作夥伴會新增至與 Contoso 內部 Microsoft Entra 目錄隔離的個別目錄，因此可簡化 IT 的治理職責，並協助防止意外將內部數據共用給外部使用者。
• 典型的合作夥伴入口網站是高度品牌體驗，具有跨合作夥伴的一致體驗，並簡化以符合一般合作夥伴的需求。 因此，Contoso 可將所有必要的服務整合到單一入口網站，為合作夥伴提供更好的整體體驗。
• Azure 購買的 Power BI 進階版 涵蓋在 Power BI Embedded 中編輯內容等進階案例的授權成本，而且不需要將 Power BI Pro 授權指派給這些使用者。
• 如果架構為多租用戶解決方案，則為合作夥伴提供更佳的隔離。
• 合作夥伴入口網站通常包含Power BI報表、儀錶板和應用程式以外的其他合作夥伴工具。

不選擇此替代方式的原因：

• 建置、操作和維護這類入口網站需要大量投入資源與時間。
• 解決方案的時間比使用 B2B 共用的時間要長得多，因為需要跨多個工作流程仔細規劃和執行。
• 如果合作夥伴數量較少，則此替代方案所需的工作可能太高，無法證明其合理性。
• 與臨機操作共用共同作業是貴組織面臨的主要案例。
• 每個合作夥伴的報表和儀錶板都不同。 此替代方案除了直接與合作夥伴共用之外，還引進了管理額外負荷。

常見問題集

Contoso 是否可以傳送自動兌換的邀請，讓使用者只是「準備好開始」？ 或者使用者一律必須按下兌換 URL 嗎？

用戶必須先按下同意體驗，才能存取內容。

如果您要邀請許多來賓用戶，建議您將使用者新增至資源組織中的來賓邀請者角色，從核心 Microsoft Entra 系統管理員委派此專案。 此使用者可以使用登入UI、PowerShell腳本或 API 來邀請合作夥伴組織中的其他使用者。 這可降低 Microsoft Entra 系統管理員對合作夥伴組織使用者邀請或重新加入邀請的系統管理負擔。

如果來賓用戶合作夥伴沒有多重要素驗證，Contoso 是否可以強制進行多重要素驗證？

是。 如需詳細資訊，請參閱 B2B 共同作業用戶的條件式存取。

當受邀的合作夥伴使用同盟來新增自己的內部部署驗證時，B2B 共同作業如何運作？

如果合作夥伴有與內部部署驗證基礎結構同盟的 Microsoft Entra 租使用者，則會自動達成內部部署單一登錄 （SSO）。 如果合作夥伴沒有 Microsoft Entra 租使用者，可能會為新使用者建立 Microsoft Entra 帳戶。

我可以邀請具有取用者電子郵件帳戶的來賓使用者嗎？

Power BI 支援邀請具有取用者電子郵件帳戶的來賓使用者。 這包括網域，例如 hotmail.com、outlook.com 和 gmail.com。 不過，這些使用者可能會遇到超出公司或學校帳戶的使用者所遇到的限制。