Share via

Plánování implementace Power BI: Nastavení tenanta

  • Článek

Poznámka:

Tento článek je součástí řady článků o plánování implementace Power BI. Tato série se zaměřuje především na úlohy Power BI v Rámci Microsoft Fabric. Úvod do série najdete v tématu Plánování implementace Power BI.

Tento článek o nastavení tenanta představuje důležité aspekty, které je potřeba vědět o nastavení tenanta Fabric s důrazem na prostředí Power BI. Cílí na více cílových skupin:

  • Správci prostředků infrastruktury: Správci, kteří jsou zodpovědní za dohled nad prostředky infrastruktury v organizaci.
  • Správci Microsoft Entra: Tým, který zodpovídá za dohled a správu ID Microsoft Entra (dříve označovaný jako Azure Active Directory).

Prostředky infrastruktury jsou součástí většího ekosystému Microsoftu. Pokud už vaše organizace používá jiné cloudové služby předplatného, jako jsou Azure, Microsoft 365 nebo Dynamics 365, pak Fabric funguje ve stejném tenantovi Microsoft Entra. Vaše organizační doména (například contoso.com) je přidružená k ID Microsoft Entra. Stejně jako všechny cloudové služby Microsoftu se váš tenant Fabric spoléhá na ID Microsoft Entra vaší organizace pro správu identit a přístupu.

Tip

Mnoho organizací má prostředí místní Active Directory (AD), které synchronizují s Microsoft Entra ID v cloudu. Toto nastavení se označuje jako řešení hybridní identity , které je mimo rozsah tohoto článku. Důležitým konceptem je, že uživatelé, skupiny a instanční objekty musí existovat v Microsoft Entra ID pro cloudovou sadu služeb, jako je Fabric, aby fungovaly. Řešení hybridní identity bude fungovat pro Prostředky infrastruktury. Doporučujeme, abyste se svými správci Microsoft Entra mluvili o nejlepším řešení pro vaši organizaci.

Další informace o zodpovědnostech správce prostředků infrastruktury najdete v tématu Správa tenanta.

Tenant Microsoft Entra

Většina organizací má jednoho tenanta Microsoft Entra, takže obvykle platí, že tenant Microsoft Entra představuje organizaci.

Obvykle je ID Microsoft Entra nastaveno před zahájením implementace infrastruktury. Někdy se ale stane, že zřídíte cloudovou službu, o důležitosti ID Microsoft Entra.

Tip

Vzhledem k tomu, že většina organizací má jednoho tenanta Microsoft Entra, může být obtížné prozkoumat nové funkce izolovaným způsobem. V rámci programu Microsoft 365 Developer Program můžete získat nárok na neprodukčního vývojářského tenanta. Podrobnosti najdete v nejčastějších dotazech. Alternativně si můžete zaregistrovat 1měsíční bezplatnou zkušební verzi nebo si koupit plán Microsoftu 365.

Nespravovaný klient

Spravovaný tenant má přiřazeného globálního správce v rámci ID Microsoft Entra. Pokud tenant Microsoft Entra neexistuje pro doménu organizace (například contoso.com), když se první uživatel z této organizace zaregistruje ke zkušební verzi nebo účtu Fabric, vytvoří se nespravovaný tenant v Microsoft Entra ID. Nespravovaný tenant se také označuje jako stínový tenant nebo samoobslužný tenant. Má základní konfiguraci, která cloudové službě umožňuje pracovat bez přiřazení globálního správce.

Aby bylo možné správně spravovat, konfigurovat a podporovat prostředky infrastruktury, vyžaduje se spravovaný tenant. Existuje proces, podle kterého může správce systému převzít nespravovaného tenanta , aby ho mohl správně spravovat jménem organizace.

Tip

Správa Microsoft Entra ID je široké a hluboké téma. Ke bezpečné správě ID Microsoft Entra pro vaši organizaci doporučujeme přiřadit konkrétní lidi ve vašem IT oddělení jako správce systému.

Kontrolní seznam – Při kontrole tenanta Microsoft Entra pro použití s prostředky infrastruktury patří klíčová rozhodnutí a akce:

  • Převzít tenanta: Pokud je to možné, zahajte proces převzetí nespravovaného tenanta.
  • Ověřte, že je tenant Microsoft Entra spravovaný: Ověřte, že správci systému aktivně spravují vašeho tenanta Microsoft Entra.

ID tenanta pro externí uživatele

Musíte zvážit, jak budou uživatelé přistupovat k vašemu tenantovi, když máte externí uživatele (například zákazníky, partnery nebo dodavatele) nebo kdy interní uživatelé musí přistupovat k jinému tenantovi mimo vaši organizaci. Pro přístup k jinému tenantovi organizace se použije upravená adresa URL.

Každý tenant Microsoft Entra má globálně jedinečný identifikátor (GUID), který se označuje jako ID tenanta. V Prostředcích infrastruktury se označuje jako ID tenanta zákazníka (CTID). IDENTIFIKÁTOR CTID se připojí na konec adresy URL tenanta. ID CTID najdete na portálu Fabric otevřením dialogového okna Informace o Microsoft Fabric . Je k dispozici v nabídce Nápověda a podpora (?), která se nachází v pravém horním rohu portálu Fabric.

Znalost CTID je důležitá pro scénáře Microsoft Entra B2B. Adresy URL, které zadáte externím uživatelům (například k zobrazení sestavy Power BI), musí připojit parametr CTID, aby bylo možné získat přístup ke správnému tenantovi.

Pokud máte v úmyslu spolupracovat s externími uživateli nebo poskytovat obsah, doporučujeme nastavit vlastní branding. Použití loga, titulního obrázku a motivu pomáhá uživatelům identifikovat tenanta organizace, ke kterému přistupuje.

Kontrolní seznam – Při udělování oprávnění externím uživatelům k zobrazení obsahu nebo při více tenantech patří klíčová rozhodnutí a akce:

  • Uveďte ID CTID v příslušné uživatelské dokumentaci: Poznamenejte si adresu URL, která připojí ID tenanta (CTID) v uživatelské dokumentaci.
  • Nastavení vlastního brandingu v prostředcích infrastruktury: Na portálu pro správu Prostředků infrastruktury nastavte vlastní branding, který uživatelům pomůže identifikovat tenanta organizace.

Správci Microsoft Entra

Správci prostředků infrastruktury musí pravidelně pracovat se správci Microsoft Entra.

Následující seznam obsahuje některé běžné důvody spolupráce mezi správci prostředků infrastruktury a správci Microsoft Entra.

  • Skupiny zabezpečení: Abyste mohli správně spravovat nastavení tenanta Fabric, budete muset vytvořit nové skupiny zabezpečení. Můžete také potřebovat nové skupiny k zabezpečení obsahu pracovního prostoru nebo k distribuci obsahu.
  • Vlastnictví skupiny zabezpečení: Můžete chtít přiřadit vlastníka skupiny, aby bylo možné flexibilněji spravovat skupinu zabezpečení. Může být například efektivnější umožnit Center of Excellence (COE) spravovat členství určitých skupin specifických pro prostředky infrastruktury.
  • Instanční objekty: K zřízení instančního objektu možná budete muset vytvořit registraci aplikace Microsoft Entra. Ověřování pomocí instančního objektu je doporučeným postupem, když správce Infrastruktury chce spouštět bezobslužné, naplánované skripty, které extrahují data pomocí rozhraní API pro správu nebo při vkládání obsahu do aplikace.
  • Externí uživatelé: Budete muset pochopit, jak se nastavení pro externí uživatele (host) nastavuje v Microsoft Entra ID. K externím uživatelům se vztahuje několik nastavení tenanta Fabric a spoléhají na to, jak je nastavené ID Microsoft Entra. Některé možnosti zabezpečení pro úlohu Power BI také fungují jenom při použití plánovaného přístupu k pozvání pro externí uživatele v Microsoft Entra ID.
  • Zásady řízení v reálném čase: Můžete nastavit zásady řízení relací v reálném čase, které zahrnují Id Microsoft Entra i Microsoft Defender for Cloud Apps. Pokud má například konkrétní popisek citlivosti, můžete zakázat stažení sestavy Power BI.

Další informace najdete v tématu Spolupráce s ostatními správci.

Kontrolní seznam – Při zvažování spolupráce s vašimi správci Microsoft Entra patří klíčová rozhodnutí a akce:

  • Identifikujte správce Microsoft Entra: Ujistěte se, že znáte správce Microsoft Entra pro vaši organizaci. Připravte se na práci s nimi podle potřeby.
  • Zapojte správce Microsoft Entra: Při provádění procesu plánování implementace pozvěte správce Microsoft Entra na relevantní schůzky a zapojte je do relevantního rozhodování.

Umístění úložiště dat

Po vytvoření nového tenanta se prostředky zřídí v Azure, což je platforma cloud computingu Microsoftu. Vaše zeměpisná poloha se stane domovskou oblastí vašeho tenanta. Domovská oblast se také označuje jako výchozí oblast dat.

Domovská oblast

Domovská oblast je důležitá, protože:

  • Výkon sestav a řídicích panelů závisí částečně na uživatelích v blízkosti umístění tenanta.
  • Můžou existovat právní nebo zákonné důvody, proč jsou data organizace uložená v konkrétní jurisdikci.

Domovská oblast tenanta organizace je nastavená na umístění prvního uživatele, který se zaregistruje. Pokud se většina uživatelů nachází v jiné oblasti, nemusí být tato oblast nejlepší volbou.

Domovskou oblast tenanta můžete určit otevřením dialogového okna Informace o Microsoft Fabric na portálu Fabric. Oblast se zobrazí vedle položky Vaše data uložená v popisku.

Možná zjistíte, že se váš tenant nachází v oblasti, která není ideální. Funkci Multi-Geo můžete použít tak, že vytvoříte kapacitu v konkrétní oblasti (popsanou v další části), nebo ji můžete přesunout. Pokud chcete tenanta přesunout do jiné oblasti, měl by globální správce Microsoftu 365 otevřít žádost o podporu.

Přemístění tenanta do jiné oblasti není plně automatizovaný proces a týká se některých výpadků. Nezapomeňte vzít v úvahu požadavky a akce , které jsou potřeba před a po přesunutí.

Tip

Vzhledem k tomu, že se toho týká hodně úsilí, doporučujeme, abyste ho udělali dříve než později.

Kontrolní seznam – Při zvažování domovské oblasti pro ukládání dat ve vašem tenantovi patří klíčová rozhodnutí a akce:

  • Určení domovské oblasti: Určete domovskou oblast vašeho tenanta.
  • Zahajte proces přesunutí tenanta: Pokud zjistíte, že se váš tenant nachází v nevhodné geografické oblasti (které nejde vyřešit pomocí funkce Multi-Geo), prozkoumejte proces přesunutí tenanta.

Další konkrétní oblasti dat

Některé organizace mají požadavky na rezidenci dat. Požadavky na rezidenci dat obvykle zahrnují zákonné nebo oborové požadavky pro ukládání dat v konkrétní geografické oblasti. Požadavky na suverenitu dat jsou podobné, ale přísnější, protože data podléhají zákonům země nebo oblasti, ve které jsou data uložena. Některé organizace mají také požadavky na lokalizaci dat, které určují, že data vytvořená v určitých hranicích musí zůstat v těchto hranicích.

Zákonné, oborové nebo právní požadavky můžou vyžadovat, abyste určité údaje ukládaly jinam z domovské oblasti (popsané v předchozí části). V těchto situacích můžete využít funkce Multi-Geo vytvořením kapacity v konkrétní oblasti. V takovém případě musíte přiřadit pracovní prostory správné kapacitě, abyste zajistili, že data pracovního prostoru budou uložená v požadovaném geografickém umístění.

Podpora multi-Geo umožňuje organizacím:

  • Splnění požadavků na rezidenci dat pro neaktivní uložená data
  • Zdokonalte možnost vyhledat data v blízkosti uživatelské základny.

Poznámka:

Funkce Multi-Geo je dostupná s libovolným typem licence kapacity (s výjimkou sdílené kapacity). Není k dispozici u premium na uživatele (PPU), protože data uložená v pracovních prostorech přiřazených k PPU jsou vždy uložená v domovské oblasti (stejně jako sdílená kapacita).

Kontrolní seznam – Při zvažování dalších konkrétních oblastí dat pro vašeho tenanta patří klíčová rozhodnutí a akce:

  • Identifikace požadavků na rezidenci dat: Určete, jaké jsou vaše požadavky na rezidenci dat. Určete, které oblasti jsou vhodné a které uživatele mohou být zapojeni.
  • Prozkoumejte použití funkce Multi-Geo: V konkrétních situacích, kdy by se data měla ukládat jinde z domovské oblasti, prozkoumejte povolení funkce Multi-Geo.

Související obsah

Další aspekty, akce, rozhodovací kritéria a doporučení, které vám pomůžou při rozhodování o implementaci Power BI, najdete v tématu Plánování implementace Power BI.

Tip

Pokud se chcete dozvědět, jak spravovat tenanta Fabric, doporučujeme projít si modul Správa ister Microsoft Fabric.