Verteilen von Power BI-Inhalten an externe Gastbenutzer mit Microsoft Entra B2B

Zusammenfassung: Dieses Dokument ist ein technisches Whitepaper, das beschreibt, wie Sie mithilfe der Integration von Microsoft Entra ID (vormals bekannt als Azure Active Directory) Business-to-Business (Microsoft Entra B2B) Inhalte an Benutzer außerhalb der Organisation verteilen.

Ersteller: Lukasz Pawlowski, Kasper de Jonge

Technische Prüfer: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Hinweis

Sie können dieses Whitepaper speichern oder ausdrucken, indem Sie in Ihrem Browser erst auf Drucken und dann auf Als PDF speichern klicken.

Einführung

Power BI gibt Organisationen eine 360-Grad-Sicht über ihr Unternehmen und ermöglicht es jedem in diesen Organisationen, intelligente Entscheidungen anhand von Daten zu treffen. Viele dieser Organisationen haben starke und vertrauensvolle Beziehungen mit externen Partnern, Kunden und Auftragnehmern. Diese Organisationen müssen Benutzern dieser externen Partner sicheren Zugriff auf Power BI-Dashboards und -Berichte bereitstellen.

Power BI lässt sich in Microsoft Entra Business-to-Business (Microsoft Entra B2B) integrieren, um die sichere Verteilung von Power BI-Inhalten an Gastbenutzer außerhalb der Organisation zu ermöglichen – bei gleichzeitiger Beibehaltung der Kontrolle und Regelung des Zugriffs auf interne Daten.

Dieses Whitepaper enthält alle Details, die Sie benötigen, um die Integration von Power BI in Microsoft Entra B2B zu verstehen. Wir behandeln den häufigsten Anwendungsfall, die Einrichtung, die Lizenzierung und die Sicherheit auf Zeilenebene.

Szenarien

Contoso ist ein Automobilhersteller und arbeitet mit vielen verschiedenen Lieferanten zusammen, die ihm alle Komponenten, Materialien und Dienste bereitstellen, die er für seine Fertigungsvorgänge benötigt. Contoso möchte seine Lieferkettenlogistik optimieren und plant, Power BI zur Überwachung der wichtigsten Leistungsmetriken seiner Lieferkette zu verwenden. Contoso möchte Analysen auf sichere und verwaltbare Weise mit externen Lieferkettenpartnern teilen.

Contoso kann die folgenden Erfahrungen für externe Benutzer mithilfe von Power BI und Microsoft Entra B2B ermöglichen.

Ad-hoc-Freigabe pro Element

Contoso arbeitet mit einem Lieferanten zusammen, der die Kühler für die Fahrzeuge von Contoso herstellt. Häufig müssen sie die Zuverlässigkeit der Kühler mithilfe von Daten von allen Fahrzeugen von Contoso optimieren. Ein Analyst bei Contoso verwendet Power BI, um einen Bericht zur Zuverlässigkeit der Kühler mit einem Techniker beim Lieferanten zu teilen. Der Techniker erhält eine E-Mail mit einem Link zum Anzeigen des Berichts.

Wie oben beschrieben, wird diese Ad-hoc-Freigabe von Geschäftsbenutzern je nach Bedarf durchgeführt. Der Link, der von Power BI an den externen Benutzer gesendet wird, ist ein Microsoft Entra B2B-Einladungslink. Wenn der externe Benutzer den Link öffnet, wird er aufgefordert, der Microsoft Entra-Organisation von Contoso als Gastbenutzer beizutreten. Nachdem die Einladung akzeptiert wurde, öffnet der Link den spezifischen Bericht oder das spezifische Dashboard. Der Microsoft Entra-Administrator delegiert die Berechtigung, externe Benutzer in die Organisation einzuladen, und wählt aus, was diese Benutzer tun können, nachdem sie die Einladung angenommen haben, wie im Abschnitt „Governance“ dieses Dokuments beschrieben. Der Contoso-Analyst kann den Gastbenutzer nur einladen, weil der Microsoft Entra-Administrator diese Aktion zugelassen hat und der Power BI-Administrator in den Mandanteneinstellungen von Power Bi Benutzern erlaubt hat, Gäste zum Anzeigen von Inhalten einzuladen.

1. Der Prozess beginnt damit, dass ein interner Contoso-Benutzer ein Dashboard oder einen Bericht für einen externen Benutzer freigibt. Wenn der externe Benutzer noch kein Gast in Microsoft Entra ID von Contoso ist, wird er eingeladen. Eine E-Mail wird an seine E-Mail-Adresse gesendet, die eine Einladung zu Microsoft Entra ID von Contoso enthält.
2. Der Empfänger akzeptiert die Einladung zu Microsoft Entra ID von Contoso und wird als Gastbenutzer in Microsoft Entra ID von Contoso hinzugefügt.
3. Der Empfänger wird dann zum Power BI-Dashboard, zum Bericht oder zur App umgeleitet.

Der Prozess wird als Ad-hoc betrachtet, da Geschäftsbenutzer in Contoso die Einladungsaktion nach Bedarf für ihre Geschäftszwecke durchführen. Jedes freigegebene Element ist ein einzelner Link, auf den der externe Benutzer zugreifen kann, um den Inhalt anzuzeigen.

Nachdem der externe Benutzer zum Zugriff auf Contoso-Ressourcen eingeladen wurde, kann für den Benutzer im Contoso-Microsoft Entra ID ein Schattenkonto erstellt werden, und er muss nicht erneut eingeladen werden. Wenn er zum ersten Mal versucht, auf eine Contoso-Ressource wie ein Power BI-Dashboard zuzugreifen, durchläuft er einen Einwilligungsprozess, bei dem die Einladung eingelöst wird. Wenn er den Einwilligungsprozess nicht abschließt, kann er nicht auf die Inhalte von Contoso zugreifen. Wenn sie Probleme haben, ihre Einladung über den ursprünglichen Link einzulösen, kann ein Microsoft Entra-Admin ihnen einen speziellen Einladungslink schicken, den sie nutzen können.

Geplante Freigabe pro Element

Contoso arbeitet mit einem Subunternehmer zusammen, um eine Zuverlässigkeitsanalyse für Kühlern durchzuführen. Der Subunternehmer hat ein Team von 10 Personen, die Zugriff auf Daten in der Power BI-Umgebung von Contoso benötigen. Der Contoso-Microsoft Entra-Administrator ist für die Einladung aller Benutzer und die Bearbeitung von Ergänzungen/Änderungen zuständig, wenn sich das Personal des Subunternehmers ändert. Der Microsoft Entra-Administrator erstellt eine Sicherheitsgruppe für alle Mitarbeiter des Subunternehmers. Mithilfe der Sicherheitsgruppe können die Mitarbeiter von Contoso problemlos den Zugriff auf Berichte verwalten und sicherstellen, dass alle erforderlichen Mitarbeiter des Subunternehmers Zugriff auf alle erforderlichen Berichte, Dashboards und Power BI-Apps haben. Der Microsoft Entra-Administrator kann es auch ganz vermeiden, am Einladungsprozess beteiligt zu sein, indem er die Einladungsrechte an einen vertrauenswürdigen Mitarbeiter bei Contoso oder beim Subunternehmer delegiert, um eine zeitnahe Personalverwaltung zu gewährleisten.

Einige Organisationen benötigen mehr Kontrolle darüber, wann externe Benutzer hinzugefügt werden, wenn sie viele Benutzer aus einer externen Organisation oder viele externe Organisationen einladen. In diesen Fällen kann die geplante Freigabe verwendet werden, um den Umfang der Freigabe zu verwalten, Organisationsrichtlinien zu erzwingen und sogar Rechte an vertrauenswürdige Personen zu delegieren, um externe Benutzer einzuladen und zu verwalten. Microsoft Entra B2B unterstützt geplante Einladungen, die von einem IT-Administrator direkt aus dem Azure-Portal gesendet werden, oder über PowerShell mithilfe der Einladungsmanager-API, in der eine Gruppe von Benutzern in einer einzigen Aktion eingeladen werden kann. Mithilfe des Ansatzes für geplante Einladungen kann die Organisation steuern, wer Benutzer einladen und Genehmigungsprozesse implementieren kann. Erweiterte Microsoft Entra-Funktionen wie dynamische Gruppen können die automatische Verwaltung der Sicherheitsgruppenmitgliedschaft vereinfachen.

1. Der Prozess beginnt damit, dass ein IT-Administrator den Gastbenutzer entweder manuell oder über die von Microsoft Entra ID einlädt.
2. Der Benutzer akzeptiert die Einladung in die Organisation.
3. Nachdem der Benutzer die Einladung angenommen hat, kann ein Benutzer in Power BI einen Bericht oder ein Dashboard für den externen Benutzer freigeben, oder für eine Sicherheitsgruppe, in der er sich befindet. Genau wie bei der regulären Freigabe in Power BI erhält der externe Benutzer eine E-Mail mit dem Link zum Element.
4. Wenn der externe Benutzer auf den Link zugreift, wird seine Authentifizierung in seinem Verzeichnis an Microsoft Entra ID von Contoso übergeben und verwendet, um Zugriff auf den Power BI-Inhalt zu erhalten.

Ad-hoc- oder geplante Freigabe von Power BI-Apps

Contoso hat eine Reihe von Berichten und Dashboards, die für einen oder mehrere Lieferanten freigegeben werden müssen. Um sicherzustellen, dass alle erforderlichen externen Benutzer Zugriff auf diese Inhalte haben, werden sie als Power BI-App paketiert. Die externen Benutzer werden entweder direkt der App-Zugriffsliste hinzugefügt oder über Sicherheitsgruppen. Eine Person bei Contoso sendet dann die App-URL an alle externen Benutzer, z. B. in einer E-Mail. Wenn die externen Benutzer den Link öffnen, sehen sie den gesamten Inhalt in einer einzigen, einfach zu navigierenden Erfahrung.

Die Verwendung einer Power BI-App erleichtert Contoso das Erstellen eines BI-Portals für seine Lieferanten. Eine einzige Zugriffsliste steuert den Zugriff auf alle erforderlichen Inhalte, so dass weniger Zeit mit dem Überprüfen und Festlegen von Berechtigungen auf Elementebene verschwendet wird. Microsoft Entra B2B verwaltet den Sicherheitszugriff mithilfe der nativen Identität des Lieferanten, sodass Benutzer keine zusätzlichen Anmeldeinformationen benötigen. Wenn Sie geplante Einladungen mit Sicherheitsgruppen verwenden, wird die Zugriffsverwaltung für die App vereinfacht, wenn Mitarbeiter dem Projekt beitreten oder es verlassen. Manuelle Mitgliedschaft in Sicherheitsgruppen oder mithilfe dynamischer Gruppen, sodass alle externen Benutzer eines Lieferanten automatisch der entsprechenden Sicherheitsgruppe hinzugefügt werden.

1. Der Prozess beginnt damit, dass der Benutzer über das Azure-Portal oder PowerShell zur Microsoft Entra-Organisation von Contoso eingeladen wird.
2. Der Benutzer kann einer Benutzergruppe in Microsoft Entra-ID hinzugefügt werden. Es kann eine statische oder dynamische Benutzergruppe verwendet werden, aber dynamische Gruppen helfen dabei, manuelle Arbeit zu reduzieren.
3. Die externen Benutzer erhalten über die Benutzergruppe den Zugriff auf die Power BI-App. Die App-URL sollte direkt an den externen Benutzer gesendet oder auf einer Website platziert werden, auf die er Zugriff hat. Power BI bemüht sich nach Kräften, eine E-Mail mit dem App-Link an externe Benutzerinnen und Benutzer zu senden, aber bei der Verwendung von Benutzergruppen, deren Mitgliedschaft sich ändern kann, ist Power BI nicht in der Lage, die E-Mail an alle über Benutzergruppen verwalteten externen Benutzerinnen und Benutzer zu senden.
4. Wenn der externe Benutzer auf die Power BI-App-URL zugreift, wird er durch Microsoft Entra von Contoso authentifiziert, die App wird für den Benutzer installiert, und der Benutzer kann alle in der App enthaltenen Berichte und Dashboards anzeigen.

Apps verfügen auch über ein einzigartiges Feature, mit dem App-Autoren die Anwendung automatisch für den Benutzer installieren können, sodass sie verfügbar ist, wenn sich der Benutzer anmeldet. Dieses Feature installiert die Anwendung nur für diejenigen externe Benutzer automatisch, die zum Zeitpunkt der Veröffentlichung oder Aktualisierung der Anwendung bereits Teil der Organisation von Contoso sind. Daher wird es am besten mit dem Ansatz für geplante Einladungen verwendet und hängt davon ab, dass die App veröffentlicht oder aktualisiert wird, nachdem die Benutzer zu Microsoft Entra von Contoso hinzugefügt wurden. Externe Benutzer können die App jederzeit über den App-Link installieren.

Organisationsübergreifendes Kommentieren und Abonnieren von Inhalten

Da Contoso weiterhin mit seinen Subunternehmern oder Lieferanten zusammenarbeitet, müssen die externen Techniker eng mit den Analysten von Contoso zusammenarbeiten. Power BI bietet mehrere Features für die Zusammenarbeit, mit denen Benutzer über Inhalte kommunizieren können, die sie konsumieren können. Das Dashboard-Kommentieren (und bald das Berichts-Kommentieren) ermöglicht es Benutzern, Datenpunkte zu besprechen, die sie sehen, und mit Berichtsautoren zu kommunizieren, um Fragen zu stellen.

Derzeit können externe Gastbenutzer an Kommentaren teilnehmen, indem sie Kommentare hinterlassen und die Antworten lesen. Im Gegensatz zu internen Benutzern können Gastbenutzer jedoch nicht @mentioned werden und erhalten keine Benachrichtigungen, dass sie einen Kommentar erhalten haben. Gastbenutzer können das Abonnementfeature in Power BI verwenden, um sich selbst für einen Bericht oder ein Dashboard zu abonnieren. Weitere Informationen finden Sie unter E-Mail-Abonnements für Berichte und Dashboards im Power BI-Dienst.

Zugriff auf Inhalte in mobilen Power BI-Apps

Wenn der Gastbenutzer den Link zum Bericht oder Dashboard auf seinem mobilen Gerät öffnet, wird der Inhalt in den nativen mobilen Power BI-Apps auf seinem Gerät geöffnet, sofern die Apps installiert sind. Der Gastnutzer kann dann zwischen den für ihn freigegebenen Inhalten im externen Mandanten und zurück zu seinen eigenen Inhalten in seinem Heimatmandanten navigieren. Weitere Informationen zum Zugriff auf Inhalte, die von einer externen Organisation über mobile Power BI-Apps für Sie freigegeben wurden, finden Sie unter Anzeigen von Power BI-Inhalten, die von einer externen Organisation für Sie freigegeben wurden.

Organisationsbeziehungen mit Power BI und Microsoft Entra B2B

Wenn alle Power BI-Benutzer organisationsintern sind, besteht keine Notwendigkeit, Microsoft Entra B2B zu verwenden. Sobald jedoch zwei oder mehr Organisationen an Daten und Erkenntnissen zusammenarbeiten möchten, ist dies dank der Unterstützung von Power BI für Microsoft Entra B2B einfach und kostengünstig möglich.

Im Folgenden finden Sie typische Organisationsstrukturen, die sich gut für die organisationsübergreifende Zusammenarbeit in Power BI im Stil von Microsoft Entra B2B eignen. Microsoft Entra B2B funktioniert in den meisten Fällen gut, aber in einigen Situationen sind die am Ende dieses Dokuments behandelten allgemeinen alternativen Ansätze eine Überlegung wert.

Fall 1: Direkte Zusammenarbeit zwischen Organisationen

Die Beziehung zwischen Contoso und seinem Lieferanten für Kühler ist ein Beispiel für die direkte Zusammenarbeit zwischen Organisationen. Da es bei Contoso und seinem Lieferanten relativ wenige Benutzer gibt, die Zugriff auf Informationen zur Zuverlässigkeit der Kühler benötigen, ist die Verwendung von Microsoft Entra B2B-basierten externen Freigaben ideal. Es ist einfach zu verwenden und leicht zu verwalten. Dies ist auch ein häufiges Muster in Beratungsdiensten, bei denen ein Berater möglicherweise Inhalte für eine Organisation erstellen muss.

In der Regel erfolgt diese Freigabe zunächst per Ad-hoc-Freigabe pro Element. Wenn Teams jedoch wachsen oder sich die Beziehungen vertiefen, wird der Freigabeansatz „Geplant pro Element“ zur bevorzugten Methode, um den Verwaltungsaufwand zu reduzieren. Darüber hinaus können auch die Ad-hoc- oder geplante Freigabe von Power BI-Apps, das organisationsübergreifende Kommentieren und Abonnieren von Inhalten sowie der Zugriff auf Inhalte in mobilen Apps ins Spiel kommen. Wichtig: Wenn die Benutzer beider Organisationen über Power BI Pro-Lizenzen in ihren jeweiligen Organisationen verfügen, können sie diese Pro-Lizenzen in den Power BI-Umgebungen der jeweils anderen Organisation verwenden. Dies bietet eine vorteilhafte Lizenzierung, da die einladende Organisation möglicherweise keine Power BI Pro-Lizenz für die externen Benutzer bezahlen muss. Dies wird im Abschnitt „Lizenzierung“ später in diesem Dokument ausführlicher erläutert.

Fall 2: Muttergesellschaft und ihre Tochtergesellschaften oder verbundenen Unternehmen

Einige Organisationsstrukturen sind komplexer, einschließlich teilweise oder hundertprozentige Tochtergesellschaften, verbundene Unternehmen oder Beziehungen zu Anbietern verwalteter Dienste. Diese Organisationen haben eine übergeordnete Organisation, z. B. eine Holdinggesellschaft, aber die darunter liegenden Organisationen arbeiten halbautonom, manchmal unter unterschiedlichen regionalen Anforderungen. Dies führt dazu, dass jede Organisation über eine eigene Microsoft Entra-Umgebung und separate Power BI-Mandanten verfügt.

In dieser Struktur muss die übergeordnete Organisation in der Regel standardisierte Erkenntnisse an seine Tochtergesellschaften verteilen. In der Regel erfolgt diese Freigabe mithilfe des Ansatzes der Ad-hoc- oder geplanten Freigabe von Power BI Apps, wie in der folgenden Abbildung dargestellt, da er die Verteilung standardisierter maßgeblicher Inhalte an ein breites Publikum ermöglicht. In der Praxis wird eine Kombination aller zuvor in diesem Dokument erwähnten Szenarien verwendet.

Dies folgt dem folgenden Prozess:

1. Benutzer aus jeder Tochtergesellschaft werden zur Microsoft Entra ID von Contoso eingeladen
2. Anschließend wird die Power BI-App veröffentlicht, um diesen Benutzern Zugriff auf die erforderlichen Daten zu geben
3. Schließlich öffnen die Benutzer die App über einen Link, den sie erhalten haben, um die Berichte anzuzeigen

Organisationen in dieser Struktur stehen vor mehreren wichtigen Herausforderungen:

• Wie verteilen sie Links zu Inhalten in Power BI der übergeordneten Organisation
• Wie ermöglichen sie Benutzern der Tochtergesellschaft den Zugriff auf die von der übergeordneten Organisation gehostete Datenquelle

Verteilen von Links zu Inhalten in Power BI der übergeordneten Organisation

Drei Ansätze werden häufig verwendet, um Links zu den Inhalten zu verteilen. Die erste und einfachste Ansatz besteht darin, den Link zur App an die erforderlichen Benutzer zu senden oder ihn auf einer SharePoint Online-Website zu platzieren, von der aus er geöffnet werden kann. Benutzer können den Link dann in ihren Browsern als Lesezeichen speichern, um schneller auf die von Ihnen benötigten Daten zuzugreifen.

Im zweiten Ansatz erlaubt die übergeordnete Organisation Benutzern der Tochtergesellschaften den Zugriff auf Power BI und steuert den Zugriff über Berechtigungen. Dadurch wird der Zugriff auf die Power BI-Startseite gewährt, auf welcher der Benutzer der Tochtergesellschaft eine umfassende Liste von Inhalten sieht, die für ihn im Mandanten der übergeordneten Organisation freigegeben wurden. Anschließend wird die URL zur Power BI-Umgebung der übergeordneten Organisationen den Benutzerinnen und Benutzern in den Tochtergesellschaften zugewiesen.

Der letzte Ansatz verwendet eine Power BI-App, die im Power BI-Mandanten für jede Tochtergesellschaft erstellt wurde. Die Power BI-App enthält eine Dashboard mit Kacheln, die mit der Option „externer Link“ konfiguriert sind. Wenn der Benutzer die Kachel drückt, wird er zum entsprechenden Bericht, Dashboard oder zur Power BI-App der übergeordneten Organisation weitergeleitet. Dieser Ansatz hat den zusätzlichen Vorteil, dass die App automatisch für alle Benutzer in der Tochtergesellschaft installiert werden kann und ihnen zur Verfügung steht, sobald sie sich in ihrer eigenen Power BI-Umgebung anmelden. Ein zusätzlicher Vorteil dieses Ansatzes ist, dass er gut mit mobilen Power BI-Apps funktioniert, die den Link nativ öffnen können. Sie können dies auch mit dem zweiten Ansatz kombinieren, um einen einfacheren Wechsel zwischen Power BI-Umgebungen zu ermöglichen.

Zulassen, dass Benutzer von Tochtergesellschaften auf Datenquellen zugreifen können, die von der übergeordneten Organisation gehostet werden

Häufig müssen Analysten einer Tochtergesellschaft ihre eigenen Analysen mithilfe von Daten erstellen, die von der übergeordneten Organisation bereitgestellt werden. In diesem Fall werden üblicherweise Clouddatenquellen verwendet, um die Herausforderung zu bewältigen.

Der erste Ansatz verwendet Azure Analysis Services, um ein Data Warehouse auf Unternehmensniveau zu erstellen, das die Anforderungen von Analysten für die übergeordnete Organisation und ihre Tochtergesellschaften erfüllt, wie in der folgenden Abbildung dargestellt. Contoso kann die Daten hosten und Funktionalitäten wie die Sicherheit auf Zeilenebene verwenden, um sicherzustellen, dass Benutzer in jeder Tochtergesellschaft nur auf ihre Daten zugreifen können. Analysten jeder Organisation können über Power BI Desktop auf das Data Warehouse zugreifen und die resultierenden Analysen in ihren jeweiligen Power BI-Mandanten veröffentlichen.

Der zweite Ansatz verwendet Azure SQL-Datenbank, um ein relationales Data Warehouse zu erstellen, um den Zugriff auf Daten zu ermöglichen. Dies funktioniert ähnlich wie der Azure Analysis Services-Ansatz, obwohl einige Funktionalitäten wie die Sicherheit auf Zeilenebene möglicherweise schwieriger bereitzustellen und über Tochtergesellschaften hinweg zu verwalten sind.

Anspruchsvollere Ansätze sind auch möglich, aber die oben genannten sind bei weitem die häufigsten.

Fall 3: Partnerübergreifende gemeinsame Umgebung

Contoso kann eine Partnerschaft mit einem Wettbewerber eingehen, um gemeinsam ein Fahrzeug auf einer gemeinsamen Montagelinie zu bauen, das Fahrzeug aber unter verschiedenen Marken oder in verschiedenen Regionen zu vertreiben. Dies erfordert eine umfassende Zusammenarbeit und Miteigentümerschaft an Daten, Informationen und Analysen in allen Organisationen. Diese Struktur ist auch in der Beratungsdienstleistungsbranche üblich, in der ein Team von Beratern projektbasierte Analysen für einen Kunden durchführen kann.

In der Praxis sind diese Strukturen komplex, wie in der folgenden Abbildung gezeigt, und erfordern Personal für die Verwaltung. Um effektiv zu sein, dürfen Organisationen Power BI Pro-Lizenzen wiederverwenden, die für ihre jeweiligen Power BI-Mandanten erworben wurden.

Um einen gemeinsamen Power BI-Mandanten einzurichten, muss ein Microsoft Entra ID erstellt werden, und mindestens ein Power BI Pro-Benutzerkonto muss für einen Benutzer in diesem Mandanten erworben werden. Dieser Benutzer lädt die erforderlichen Benutzer in die gemeinsame Organisation ein. Wichtig ist, dass die Benutzer von Contoso in diesem Szenario als externe Benutzer behandelt werden, wenn sie innerhalb von Power BI der gemeinsamen Organisation arbeiten.

Der Prozess sieht folgendermaßen aus:

1. Die freigegebene Organisation wird als neue Microsoft Entra ID eingerichtet und mindestens ein Benutzerkonto wird im neuen Mandanten erstellt. Diesem Benutzer sollte eine Power BI Pro-Lizenz zugewiesen sein.
2. Dieser Benutzer richtet dann einen Power BI-Mandanten ein und lädt die erforderlichen Benutzer von Contoso und der Partnerorganisation ein. Der Benutzer richtet auch alle gemeinsamen Datenressourcen wie Azure Analysis Services ein. Contoso und die Benutzer des Partners können als Gastbenutzer auf Power BI der gemeinsamen Organisation zugreifen. In der Regel werden alle gemeinsamen Ressourcen in der gemeinsamen Organisation gespeichert und zugänglich gemacht.
3. Je nachdem, wie die Parteien die Zusammenarbeit vereinbaren, ist es möglich, dass jede Organisation ihre eigenen geschützten Daten und Analysen unter Verwendung gemeinsamer Data Warehouse-Ressourcen entwickelt. Sie können diese mithilfe ihrer internen Power BI-Mandanten an ihre jeweiligen internen Benutzer verteilen.

Fall 4: Verteilung an Hunderte oder Tausende externer Partner

Nachdem Contoso einen Bericht zur Zuverlässigkeit der Kühler für einen Lieferanten erstellt hat, möchte Contoso nun eine Reihe von standardisierten Berichten für Hunderte von Lieferanten erstellen. Dadurch kann Contoso sicherstellen, dass alle Lieferanten über die Analysen verfügen, die sie benötigen, um Verbesserungen vorzunehmen oder Herstellungsfehler zu beheben.

Wenn eine Organisation standardisierte Daten und Erkenntnisse an viele externe Benutzer/Organisationen verteilen muss, kann sie das Szenario „Ad-hoc- oder geplante Freigabe von Power BI-Apps“ verwenden, um schnell und ohne große Entwicklungskosten ein BI-Portal zu erstellen. Der Prozess zum Erstellen eines solchen Portals mit einer Power BI-App wird in der Fallstudie später in diesem Dokument behandelt: Erstellen eines BI-Portals mittels Power BI + Microsoft Entra B2B – Schritt-für-Schritt-Anweisungen.

Eine häufige Variante dieses Falles ist, wenn ein Organisation versucht, Erkenntnisse für Verbraucher freizugeben, insbesondere wenn Azure Active Directory B2C mit Power BI verwendet werden soll. Power BI unterstützt Azure Active Directory B2C nicht nativ. Wenn Sie die Optionen für diesen Fall bewerten, sollten Sie in Betracht ziehen, die alternative Option 2 im Abschnitt „Allgemeine alternative Ansätze“ weiter unten in diesem Dokument zu verwenden.

Fallstudie: Erstellen eines BI-Portals mittels Power BI + Microsoft Entra B2B – Schritt-für-Schritt-Anleitungen

Die Integration von Power BI in Microsoft Entra B2B bietet Contoso eine nahtlose und problemlose Möglichkeit, Gastbenutzern einen sicheren Zugriff auf sein BI-Portal zu bieten. Contoso kann dies mit drei Schritten einrichten:

1. Erstellen eines BI-Portals in Power BI

   Die erste Aufgabe für Contoso besteht darin, sein BI-Portal in Power BI zu erstellen. Das BI-Portal von Contoso besteht aus einer Sammlung von speziell entwickelten Dashboards und Berichten, die vielen internen Benutzern und Gastbenutzern zur Verfügung gestellt werden. Der empfohlene Weg, dies in Power BI zu tun, ist die Erstellung einer Power BI-App. Weitere Informationen zu Apps in Power BI.

• Das BI-Team von Contoso erstellt einen Arbeitsbereich in Power BI

  

• Andere Autoren werden dem Arbeitsbereich hinzugefügt

  

• Inhalte werden innerhalb des Arbeitsbereichs erstellt

  

  Nachdem nun die Inhalte in einem Arbeitsbereich erstellt sind, ist Contoso bereit, Gastbenutzer in Partnerorganisationen einzuladen, um diese Inhalte zu konsumieren.

2. Einladen von Gastbenutzern

   Es gibt zwei Möglichkeiten für Contoso, Gastbenutzer zu seinem BI-Portal in Power BI einzuladen:

   • Geplante Einladungen
   • Ad-hoc-Einladungen

   Geplante Einladungen

   Bei diesem Ansatz lädt Contoso die Gastbenutzer*innen im Voraus zu seiner Microsoft Entra-Umgebung ein und verteilt dann Power BI-Inhalte an sie. Contoso kann Gastbenutzer aus dem Azure-Portal oder mithilfe von PowerShell einladen. Hier sind die Schritte zum Einladen von Gastbenutzern aus dem Azure-Portal:

   • Der Microsoft Entra-Administrator von Contoso navigiert zum Azure-Portal>Microsoft Entra ID>Benutzer>Alle Benutzer>Neuer Benutzer

   

   • Fügen Sie eine Einladungsnachricht für die Gastbenutzer hinzu, und wählen Sie „Einladen“ aus

   

   Hinweis

   Um Gastbenutzer aus dem Azure-Portal einzuladen, benötigen Sie einen Microsoft Entra-Administrator für Ihren Mandanten.

   Wenn Contoso viele Gastbenutzer einladen möchte, kann es dies mithilfe von PowerShell tun. Der Microsoft Entra-Administrator von Contoso speichert die E-Mail-Adressen aller Gastbenutzer in einer CSV-Datei. Hier finden Sie Microsoft Entra B2B-Code für die Zusammenarbeit und PowerShell-Beispiele sowie Anweisungen.

   Nach der Einladung erhalten Gastbenutzer eine E-Mail mit dem Einladungslink.

   

   Nachdem die Gastbenutzer den Link ausgewählt haben, können sie auf Inhalte im Contoso Microsoft Entra-Mandanten zugreifen.

   Hinweis

   Es ist möglich, das Layout der Einladungs-E-Mail mithilfe des Branding-Features von Microsoft Entra ID zu ändern, wie hier beschrieben.

   Ad-hoc-Einladungen

   Was geschieht, wenn Contoso nicht alle Gastbenutzer, die es einladen möchte, im Voraus kennt? Oder was, wenn der Analyst in Contoso, der das BI-Portal erstellt hat, Inhalte selbst an Gastbenutzer verteilen möchte? Wir unterstützen dieses Szenario auch in Power BI mit Ad-hoc-Einladungen.

   Der Analyst kann die externen Benutzer einfach der Zugriffsliste der App hinzufügen, wenn er sie veröffentlicht. Die Gastbenutzer erhalten eine Einladung und werden nach der Annahme automatisch zum Power BI-Inhalt umgeleitet.

   

   Hinweis

   Einladungen sind nur beim ersten Mal erforderlich, wenn ein externer Benutzer in Ihre Organisation eingeladen wird.

3. Treiberpakete

   Nachdem das BI-Team von Contoso das BI-Portal erstellt und Gastbenutzer eingeladen hat, können sie ihr Portal an ihre Endbenutzer verteilen, indem Gastbenutzer Zugriff auf die App erhalten und sie dann veröffentlicht wird. Power BI vervollständigt automatisch Namen von Gastbenutzern, die zuvor dem Contoso-Mandanten hinzugefügt wurden. Ad-hoc-Einladungen an andere Gastbenutzer können an dieser Stelle ebenfalls hinzugefügt werden.

   Hinweis

   Wenn Sie Sicherheitsgruppen verwenden, um den Zugriff auf die App für externe Benutzer zu verwalten, verwenden Sie den Ansatz „Geplante Einladungen“, und teilen Sie den App-Link direkt mit jedem externen Benutzer, der auf die App zugreifen muss. Andernfalls ist der externe Benutzer möglicherweise nicht in der Lage, Inhalte innerhalb der App anzuzeigen._

   Gastbenutzer erhalten eine E-Mail mit einem Link zur App.

   

   Wenn sie auf diesen Link klicken, werden Gastbenutzer aufgefordert, sich mit der Identität ihrer eigenen Organisation zu authentifizieren.

   

   Nachdem sie erfolgreich authentifiziert wurden, werden sie zur BI-App von Contoso umgeleitet.

   

   Gastbenutzer können später zur App von Contoso gelangen, indem Sie in der E-Mail auf den Link klicken oder ein Lesezeichen für den Link erstellen. Contoso kann es für Gastbenutzer auch einfacher machen, indem dieser Link jedem vorhandenen Extranet-Portal hinzugefügt wird, das die Gastbenutzer bereits verwenden.

4. Nächste Schritte

   Mithilfe einer Power BI-App und Microsoft Entra B2B konnte Contoso schnell ohne Code ein BI-Portal für seine Lieferanten erstellen. Dadurch wurde die Verteilung standardisierter Analysen an alle Lieferanten, die sie benötigten, erheblich vereinfacht.

   Während das Beispiel gezeigt hat, wie ein einzelner gemeinsamer Bericht an Lieferanten verteilt werden kann, kann Power BI noch viel weiter gehen. Um sicherzustellen, dass jeder Partner nur Daten sieht, die für ihn selbst relevant sind, kann die Sicherheit auf Zeilenebene dem Bericht und dem Datenmodell einfach hinzugefügt werden. Im Abschnitt „Datensicherheit für externe Partner“ weiter unten in diesem Dokument wird dieser Prozess ausführlich beschrieben.

   Häufig müssen einzelne Berichte und Dashboards in ein vorhandenes Portal eingebettet werden. Dies kann auch erreicht werden, indem viele der im Beispiel gezeigten Techniken wiederverwendet werden. In diesen Situationen kann es jedoch einfacher sein, Berichte oder Dashboards direkt aus einem Arbeitsbereich einzubetten. Der Prozess zum Einladen und Zuweisen von Sicherheitsberechtigungen für die erforderlichen Benutzerinnen und Benutzer bleibt unverändert.

Unter der Oberfläche: Wie kann Lucy von Supplier1 über den Mandanten von Contoso auf Power BI-Inhalte zugreifen?

Nachdem wir nun erfahren haben, wie Contoso Power BI-Inhalte nahtlos an Gastbenutzer in Partnerorganisationen verteilen kann, sehen wir uns an, wie dies unter der Oberfläche funktioniert.

Da Contoso lucy@supplier1.com zu seinem Verzeichnis eingeladen hat, erstellt die Microsoft Entra-ID eine Verknüpfung zwischen Lucy@supplier1.com und dem Contoso Microsoft Entra-Mandanten. Über diesen Link wird Microsoft Entra ID informiert, dass Lucy@supplier1.com auf Inhalte im Contoso-Mandanten zugegriffen werden kann.

Wenn Lucy versucht, auf die Power BI-App von Contoso zuzugreifen, überprüft Microsoft Entra ID, ob Lucy auf den Contoso-Mandanten zugreifen kann, und stellt Power BI dann ein Token zur Verfügung, das angibt, dass Lucy für den Zugriff auf Inhalte im Contoso-Mandanten authentifiziert ist. Power BI verwendet dieses Token zur Autorisierung und um sicherzustellen, dass Lucy Zugriff auf die Power BI-App von Contoso hat.

Die Integration von Power BI in Microsoft Entra B2B funktioniert mit allen geschäftlichen E-Mail-Adressen. Wenn der Benutzer nicht über eine Microsoft Entra-Identität verfügt, wird er möglicherweise aufgefordert, eine zu erstellen. Die folgende Abbildung zeigt den detaillierten Flow:

Es ist wichtig zu wissen, dass das Microsoft Entra-Konto im Microsoft Entra ID der externen Partei verwendet oder erstellt wird. Dadurch kann Lucy ihren eigenen Benutzernamen und ihr eigenes Kennwort verwenden, und ihre Anmeldeinformationen werden automatisch nicht mehr in anderen Mandanten funktionieren, wenn Lucy das Unternehmen verlässt, wenn ihre Organisation ebenfalls Microsoft Entra ID verwendet.

Lizenzierung

Contoso kann einen von drei Ansätzen wählen, um Gastbenutzer seiner Lieferanten und Partnerorganisationen für den Zugriff auf Power BI-Inhalte zu lizenzieren.

Hinweis

Die kostenlose Stufe von Microsoft Entra B2B reicht aus, um Power BI mit Microsoft Entra B2B zu verwenden. Einige erweiterte Microsoft Entra B2B-Features wie dynamische Gruppen erfordern eine zusätzliche Lizenzierung. Weitere Informationen finden Sie in der Microsoft Entra B2B-Dokumentation.

Ansatz 1: Contoso verwendet Power BI Premium

Bei diesem Ansatz kauft Contoso Power BI Premium-Kapazität und weist dieser Kapazität seine BI-Portalinhalte zu. Dadurch können Gastbenutzer aus Partnerorganisationen ohne Power BI-Lizenz auf die Power BI-App von Contoso zugreifen.

Externe Benutzer unterliegen auch den Nur-Verbrauchs-Erfahrungen, die „Free“-Benutzern in Power BI beim Nutzen von Inhalten innerhalb Power BI Premium angeboten werden.

Contoso kann auch andere Power BI Premium-Funktionalitäten für seine Apps nutzen, z. B. erhöhte Aktualisierungsraten, Kapazität und große Modellgrößen.

Ansatz 2: Contoso weist Gastbenutzern Power BI Pro-Lizenzen zu

Bei diesem Ansatz weist Contoso Gastbenutzern aus Partnerorganisationen Pro-Lizenzen zu – dies kann über das Microsoft 365 Admin Center von Contoso erfolgen. Dadurch können Gastbenutzer aus Partnerorganisationen auf die Power BI-App von Contoso zugreifen, ohne selbst eine Lizenz zu kaufen. Dies kann für die Freigabe für externe Benutzer geeignet sein, deren Organisation Power BI noch nicht eingeführt hat.

Hinweis

Die Pro-Lizenz von Contoso gilt für Gastbenutzer nur, wenn sie auf Inhalte im Contoso-Mandanten zugreifen. Pro-Lizenzen ermöglichen den Zugriff auf Inhalte, die sich nicht in einer Power BI Premium-Kapazität befinden.

Ansatz 3: Gastbenutzer bringen ihre eigene Power BI Pro-Lizenz mit

Bei diesem Ansatz weist Supplier1 Lucy eine Power BI Pro-Lizenz zu. Sie kann dann mit dieser Lizenz auf die Power BI-App von Contoso zugreifen. Da Lucy beim Zugriff auf eine externe Power BI-Umgebung ihre Pro-Lizenz aus ihrer eigenen Organisation verwenden kann, wird dieser Ansatz manchmal auch als Verwendung Ihrer eigenen Lizenz (Bring-Your-Own-License, BYOL) bezeichnet. Wenn beide Organisationen Power BI verwenden, bietet dies eine vorteilhafte Lizenzierung für die gesamte Analyselösung und minimiert den Aufwand für die Zuweisung von Lizenzen an externe Benutzer.

Hinweis

Die Pro-Lizenz, die Lucy von Supplier1 zugeteilt wurde, gilt für jeden Power BI-Mandanten, in dem Lucy Gastbenutzer ist. Pro-Lizenzen ermöglichen den Zugriff auf Inhalte, die sich nicht in einer Power BI Premium-Kapazität befinden.

Datensicherheit für externe Partner

Bei der Arbeit mit mehreren externen Lieferanten muss Contoso in der Regel sicherstellen, dass jeder Lieferant nur Daten über seine eigenen Produkte sieht. Benutzerbasierte Sicherheit und dynamische Sicherheit auf Zeilenebene können mit Power BI einfach erreicht werden.

Benutzerbasierte Sicherheit

Eines der leistungsstärksten Features von Power BI ist die Sicherheit auf Zeilenebene. Mit diesem Feature kann Contoso ein einzelnes Berichts- und Semantikmodell erstellen (zuvor als Dataset bezeichnet), aber dennoch unterschiedliche Sicherheitsregeln für jeden Benutzer anwenden. Eine ausführliche Erläuterung finden Sie unter Sicherheit auf Zeilenebene (Row-Level Security, RLS).

Dank der Integration von Power BI in Microsoft Entra B2B kann Contoso Gastbenutzern Regeln für die Sicherheit auf Zeilenebene zuweisen, sobald sie zum Contoso-Mandanten eingeladen werden. Wie wir bereits gesehen haben, kann Contoso Gastbenutzer entweder über geplante oder Ad-hoc-Einladungen hinzufügen. Wenn Contoso die Sicherheit auf Zeilenebene erzwingen möchte, wird dringend empfohlen, geplante Einladungen zu verwenden, um die Gastbenutzer im Voraus hinzuzufügen und sie den Sicherheitsrollen zuzuweisen, bevor der Inhalt freigegeben wird. Wenn Contoso stattdessen Ad-hoc-Einladungen verwendet, kann es einen kurzen Zeitraum geben, während dem die Gastbenutzerinnen und -benutzer keine Daten sehen können.

Hinweis

Diese Verzögerung beim Zugriff auf durch RLS geschützte Daten bei Verwendung von Ad-hoc-Einladungen kann zu Supportanfragen an Ihr IT-Team führen, da Benutzern beim Öffnen eines Freigabelinks in der empfangenen E-Mail entweder leere oder fehlerhaft aussehende Berichte/Dashboards angezeigt werden. Daher wird dringend empfohlen, in diesem Szenario geplante Einladungen zu verwenden.

Lassen Sie uns dies anhand eines Beispiels durchgehen.

Wie bereits erwähnt, hat Contoso Lieferanten auf der ganzen Welt und möchte sicherstellen, dass die Benutzer aus ihren Lieferantenorganisationen Erkenntnisse aus Daten nur aus ihrem Gebiet erhalten. Benutzer von Contoso können jedoch auf alle Daten zugreifen. Anstatt mehrere unterschiedliche Berichte zu erstellen, erstellt Contoso einen einzigen Bericht und filtert die Daten basierend auf der Benutzerin oder dem Benutzer, die bzw. der ihn ansieht.

Um sicherzustellen, dass Contoso Daten basierend darauf filtern kann, wer eine Verbindung herstellt, werden in Power BI-Desktop zwei Rollen erstellt. Eine zum Filtern aller Daten aus dem Verkaufsgebiet „Europa“ und eine andere für „Nordamerika“.

Wenn Rollen im Bericht definiert sind, muss ein Benutzer einer bestimmten Rolle zugewiesen sein, damit er Zugriff auf Daten erhält. Die Zuweisung von Rollen erfolgt innerhalb des Power BI-Diensts (Semantikmodelle > Sicherheit).

Dadurch wird eine Seite geöffnet, auf der das BI-Team von Contoso die beiden von ihm erstellten Rollen sehen kann. Jetzt kann das BI-Team von Contoso den Rollen Benutzer zuweisen.

Im Beispiel fügt Contoso einen Benutzer in einer Partnerorganisation mit der E-Mail-Adresse admin@fabrikam.com der Rolle „Europa“ hinzu:

Wenn dies von Microsoft Entra ID aufgelöst wird, kann Contoso sehen, dass der Name im Fenster angezeigt wird und hinzugefügt werden kann:

Wenn dieser Benutzer nun die App öffnet, die für ihn freigegeben wurde, wird nur ein Bericht mit Daten aus Europa angezeigt:

Dynamische Sicherheit auf Zeilenebene

Ein weiteres interessantes Thema ist die Funktionsweise der dynamischen Sicherheit auf Zeilenebene (Row Level Security, RLS) mit Microsoft Entra B2B.

Kurz gesagt,die dynamische Sicherheit auf Zeilenebene filtert Daten im Modell basierend auf dem Benutzernamen der Person, die sich mit Power BI verbindet. Anstatt mehrere Rollen für Gruppen von Benutzern hinzuzufügen, definieren Sie die Benutzer im Modell. Wir werden das Muster hier nicht im Detail beschreiben. Kasper de Jong bietet einen ausführlichen Bericht über alle Varianten der Sicherheit auf Zeilenebene in Power BI Desktop-Spickzettel zur dynamischen Sicherheit und in diesem Whitepaper .

Sehen wir uns ein kleines Beispiel an – Contoso hat einen einfachen Bericht über Verkäufe nach Gruppen:

Dieser Bericht muss jetzt für zwei Gastbenutzer und einen internen Benutzer freigegeben werden. Der interne Benutzer kann alles sehen, aber die Gastbenutzer können nur die Gruppen sehen, auf die sie Zugriff haben. Dies bedeutet, dass wir die Daten nur für die Gastbenutzer filtern müssen. Um die Daten entsprechend zu filtern, verwendet Contoso das dynamische RLS-Muster, wie im Whitepaper und im Blogbeitrag beschrieben. Dies bedeutet, dass Contoso die Benutzernamen zu den Daten selbst hinzufügt:

Dann erstellt Contoso das richtige Datenmodell, das die Daten mit den richtigen Beziehungen entsprechend filtert:

Um die Daten automatisch basierend darauf zu filtern, wer angemeldet ist, muss Contoso eine Rolle erstellen, die den Benutzer übergibt, der eine Verbindung herstellt. In diesem Fall erstellt Contoso zwei Rollen – die erste ist die „SecurityRole“, welche die Tabelle „Benutzer“ mit dem aktuellen Benutzernamen des bei Power BI angemeldeten Benutzers filtert (dies funktioniert sogar für Microsoft Entra B2B-Gastbenutzer).

Contoso erstellt auch eine weitere „AllRole" für seine internen Benutzer, die alles sehen können – diese Rolle verfügt über kein Sicherheitsprädikat.

Nach dem Hochladen der Power BI-Desktopdatei in den Dienst kann Contoso Gastbenutzer der „SecurityRole“ und interne Benutzer der „AllRole“ zuweisen

Wenn die Gastbenutzer nun den Bericht öffnen, sehen sie nur Verkäufe aus der Gruppe A:

In der Matrix auf der rechten Seite können Sie das Ergebnis der Funktionen USERNAME() und USERPRINCIPALNAME() sehen, die beide die E-Mail-Adresse der Gastbenutzer zurückgeben.

Nun kann der interne Benutzer alle Daten sehen:

Wie Sie sehen können, funktioniert dynamische RLS sowohl mit internen Benutzern als auch mit Gastbenutzern.

Hinweis

Dieses Szenario funktioniert auch, wenn ein Modell in Azure Analysis Services verwendet wird. In der Regel ist Ihr Azure Analysis Service mit demselben Microsoft Entra ID wie Ihr Power BI verbunden. In diesem Fall kennt Azure Analysis Services auch die Gastbenutzer, die über Microsoft Entra B2B eingeladen wurden.

Herstellen der Verbindung mit lokalen Datenquellen

Power BI bietet Contoso die Möglichkeit, dank des lokalen Datengateways Datenquellen wie SQL Server Analysis Services oder SQL Server direkt zu nutzen. Es ist sogar möglich, sich bei diesen Datenquellen mit denselben Anmeldeinformationen wie bei Power BI anzumelden.

Hinweis

Wenn Sie ein Gateway installieren, um eine Verbindung mit Ihrem Power BI-Mandanten herzustellen, müssen Sie einen Benutzer verwenden, der in Ihrem Mandanten erstellt wurde. Externe Benutzer können kein Gateway installieren und keine Verbindung mit Ihrem Mandanten erstellen._

Für externe Benutzer kann dies komplizierter sein, da die externen Benutzer dem lokalen AD normalerweise nicht bekannt sind. Power BI bietet eine Umgehung für dieses Problem, indem Contoso-Administratoren die externen Benutzernamen internen Benutzernamen zuordnen können, wie unter Verwalten ihrer Datenquelle – Analysis Services beschrieben. Beispiel: lucy@supplier1.com kann lucy_supplier1_com#EXT@contoso.com zugeordnet werden.

Diese Methode ist gut geeignet, wenn Contoso nur eine Handvoll von Benutzer hat oder wenn Contoso alle externen Benutzer einem einzelnen internen Konto zuordnen kann. Für komplexere Szenarien, in denen jeder Benutzer seine eigenen Anmeldeinformationen benötigt, gibt es einen erweiterten Ansatz, bei dem benutzerdefinierte AD-Attribute verwendet werden, um die Zuordnung durchzuführen, wie unter Verwalten ihrer Datenquelle – Analysis Services beschrieben. Dies würde es dem Contoso-Administrator ermöglichen, eine Zuordnung für jeden Benutzer in Ihrem Microsoft Entra ID (auch für externe B2B-Benutzer) zu definieren. Diese Attribute können über das AD-Objektmodell mithilfe von Skripts oder Code festgelegt werden, sodass Contoso die Zuordnung bei Einladung oder in einem geplanten Rhythmus vollständig automatisieren kann.

Governance

Zusätzliche Microsoft Entra ID-Einstellungen, die sich auf Erfahrungen in Power BI im Zusammenhang mit Microsoft Entra B2B auswirken

Bei der Verwendung der Microsoft Entra B2B-Freigabe steuert der Microsoft Entra-Administrator Aspekte der Benutzeroberfläche des externen Benutzers. Diese werden auf der Seite „Einstellungen für externe Zusammenarbeit“ in den Microsoft Entra ID-Einstellungen für Ihren Mandanten gesteuert.

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.

Hinweis

Standardmäßig ist die Option „Gastbenutzerberechtigungen sind eingeschränkt“ auf „Ja“ festgelegt, sodass Gastbenutzer in Power BI eingeschränkte Erfahrungen haben, insbesondere im Bereich der Freigabe, bei der Benutzerauswahl-Benutzeroberflächen für diese Benutzer nicht funktionieren. Es ist wichtig, dass Sie mit Ihrem Microsoft Entra-Administrator zusammenarbeiten, um diese Option auf „Nein“ festzulegen, wie unten gezeigt, um eine gute Erfahrung zu gewährleisten.

Steuern von Gasteinladungen

Power BI-Administratoren können die externe Freigabe nur für Power BI steuern, indem sie das Power BI-Verwaltungsportal besuchen. Administratoren können die externe Freigabe aber auch mit verschiedenen Microsoft Entra-Richtlinien steuern. Diese Richtlinien ermöglichen Administratoren Folgendes:

• Deaktivieren von Einladungen durch Endbenutzer
• Nur Administratoren und Benutzer in der Rolle „Gasteinladender“ dürfen einladen.
• Administratoren, Benutzer in der Rolle „Gasteinladender“ und Mitglieder dürfen einladen.
• Alle Benutzer, einschließlich Gästen, dürfen einladen.

Weitere Informationen zu diesen Richtlinien finden Sie unter Delegieren von Einladungen für die Microsoft Entra B2B-Zusammenarbeit.

Alle Power BI-Aktionen von externen Benutzern werden ebenfalls in unserem Überwachungsportal überwacht.

Richtlinien für bedingten Zugriff für Gastbenutzer

Contoso kann Richtlinien für bedingten Zugriff für Gastbenutzer erzwingen, die über den Contoso-Mandanten auf Inhalte zugreifen. Ausführliche Anweisungen finden Sie unter Bedingter Zugriff für B2B-Zusammenarbeitsbenutzer.

Häufige alternative Ansätze

Microsoft Entra B2B erleichtert zwar die organisationsübergreifende Freigabe von Daten und Berichten, aber es gibt mehrere andere Ansätze, die häufig verwendet werden und in bestimmten Fällen besser geeignet sein können.

Alternative Option 1: Erstellen doppelter Identitäten für Partnerbenutzer

Mit dieser Option muss Contoso manuell doppelte Identitäten für jeden Partnerbenutzer im Contoso-Mandanten erstellen, wie in der folgenden Abbildung dargestellt. Anschließend kann Contoso in Power BI die entsprechenden Berichte, Dashboards oder Apps für die zugewiesenen Identitäten freigeben.

Gründe für die Wahl dieser Alternative:

• Da die Identität des Benutzers durch Ihre Organisation kontrolliert wird, unterliegen alle zugehörigen Dienste wie E-Mail, SharePoint usw. ebenfalls der Kontrolle Ihrer Organisation. Ihre IT-Administratoren können Kennwörter zurücksetzen, den Zugriff auf Konten deaktivieren oder Aktivitäten in diesen Diensten überwachen.
• Benutzer, die persönliche Konten für ihr Unternehmen benötigen, haben oft nur eingeschränkten Zugang zu bestimmten Diensten und benötigen möglicherweise ein Organisationskonto.
• Einige Dienste funktionieren nur über die Benutzer Ihrer Organisation. Beispielsweise funktioniert die Verwendung von Intune zum Verwalten von Inhalten auf den persönlichen/mobilen Geräten externer Benutzer mit Microsoft Entra B2B möglicherweise nicht.

Gründe, diese Alternative nicht zu wählen:

• Benutzer aus Partnerorganisationen müssen sich zwei Sätze von Anmeldeinformationen merken – einen für den Zugriff auf Inhalte aus ihrer eigenen Organisation und den anderen für den Zugriff auf Inhalte von Contoso. Dies ist für diese Gastbenutzer lästig, und viele Gastbenutzer sind durch diese Erfahrung verwirrt.
• Contoso muss benutzerspezifische Lizenzen kaufen und diesen Benutzern zuweisen. Wenn ein Benutzer E-Mails empfangen oder Office-Anwendungen verwenden muss, benötigt er die entsprechenden Lizenzen, einschließlich Power BI Pro zum Bearbeiten und Freigeben von Inhalten in Power BI.
• Contoso möchte möglicherweise strengere Richtlinien für Autorisierung und Governance für externe Benutzer im Vergleich zu internen Benutzern erzwingen. Um dies zu erreichen, muss Contoso eine interne Nomenklatur für externe Benutzer erstellen, und alle Contoso-Benutzer müssen über diese Nomenklatur unterrichtet werden.
• Wenn der Benutzer seine Organisation verlässt, hat er weiterhin Zugriff auf die Ressourcen von Contoso, bis der Contoso-Administrator sein Konto manuell löscht
• Contoso-Administratoren müssen die Identität für den Gast verwalten, einschließlich Erstellung, Kennwortzurücksetzungen usw.

Alternative Option 2: Erstellen einer benutzerdefinierten Power BI Embedded-Anwendung mithilfe der benutzerdefinierten Authentifizierung

Eine weitere Option für Contoso besteht darin, seine eigene benutzerdefinierte eingebettete Power BI-Anwendung mit benutzerdefinierter Authentifizierung („App besitzt Daten“) zu erstellen. Während viele Organisationen weder die Zeit noch die Ressourcen haben, eine benutzerdefinierte Anwendung zu erstellen, um Power BI-Inhalte an ihre externen Partner zu verteilen, ist dies für einige Organisationen der beste Ansatz und sollte ernsthaft in Betracht gezogen werden.

Organisationen verfügen oftmals über bestehende Partnerportale, die den Zugriff auf alle Organisationsressourcen für Partner zentralisieren, eine Isolation von internen Organisationsressourcen bieten und optimierte Erfahrungen für Partner bereitstellen, um viele Partner und ihre einzelnen Benutzer zu unterstützen.

Im obigen Beispiel melden sich Benutzer der einzelnen Lieferanten beim Partnerportal von Contoso an, das Microsoft Entra ID als Identitätsanbieter verwendet. Es könnte Microsoft Entra B2B, Azure Active Directory B2C, native Identitäten oder einen Verbund mit einer beliebigen Anzahl anderer Identitätsanbieter verwenden. Der Benutzer würde sich anmelden und auf ein Partnerportal zugreifen, das mit Azure Web-App oder einer ähnlichen Infrastruktur erstellt wurde.

In der Web-App werden Power BI-Berichte aus einer Power BI Embedded-Bereitstellung eingebettet. Die Web-App würde den Zugriff auf die Berichte und alle zugehörigen Dienste in einer einheitlichen Erfahrung optimieren, um den Lieferanten die Interaktion mit Contoso zu erleichtern. Diese Portalumgebung würde vom Contoso-internen Microsoft Entra ID und von der internen Power BI-Umgebung von Contoso isoliert werden, um sicherzustellen, dass Lieferanten nicht auf diese Ressourcen zugreifen können. In der Regel werden Daten in einem separaten Partner-Data Warehouse gespeichert, um auch die Isolation der Daten sicherzustellen. Diese Isolation hat Vorteile, da sie die Anzahl externer Benutzer mit direktem Zugriff auf die Daten Ihrer Organisation beschränkt, die Daten beschränkt, die für den externen Benutzer potentiell verfügbar wären und die versehentliche Freigabe für externe Benutzer beschränkt.

Mittels Power BI Embedded kann das Portal eine vorteilhafte Lizenzierung verwenden, indem ein App-Token oder die Hauptbenutzer plus Premium-Kapazität verwendet wird, die im Azure-Modell erworben wurde, was die Zuweisung von Lizenzen an Endbenutzer vereinfacht und eine Skalierung nach oben/unten je nach erwarteter Nutzung ermöglicht. Das Portal kann eine insgesamt höhere Qualität und eine konsistente Erfahrung bieten, da Partner auf ein einzelnes Portal zugreifen, das auf alle Bedürfnisse eines Partners zugeschnitten ist. Da Power BI Embedded-basierende Lösungen in der Regel mandantenfähig sind, lässt sich die Isolation zwischen Partnerorganisationen einfacher gewährleisten.

Gründe für die Wahl dieser Alternative:

• Einfacher zu verwalten, wenn die Anzahl von Partnerorganisationen zunimmt. Da Partner einem separaten Verzeichnis hinzugefügt werden, das vom internen Microsoft Entra-Verzeichnis von Contoso isoliert ist, vereinfacht dies die Governancepflichten der IT und trägt dazu bei, die versehentliche Freigabe interner Daten für externe Benutzer*innen zu verhindern.
• Typische Partnerportale sind Erfahrungen mit starkem Branding mit konsistenten Erfahrungen für alle Partnern und optimiert, um die Bedürfnisse typischer Partner zu erfüllen. Contoso kann Partnern daher eine bessere Gesamterfahrung bieten, indem alle erforderlichen Dienste in ein einzelnes Portal integriert werden.
• Lizenzierungskosten für erweiterte Szenarien wie das Bearbeiten von Inhalten innerhalb von Power BI Embedded werden durch das von Azure erworbene Power BI Premium abgedeckt und erfordern keine Zuweisung von Power BI Pro-Lizenzen an diese Benutzer.
• Dies bietet eine bessere Partnerisolation, wenn sie als mandantenfähige Lösung entworfen wird.
• Das Partnerportal enthält häufig andere Tools für Partner, die über Power BI-Berichte, Dashboards und Apps hinausgehen.

Gründe, diese Alternative nicht zu wählen:

• Für den Aufbau, den Betrieb und die Wartung eines solchen Portals ist ein erheblicher Aufwand erforderlich, was eine erhebliche Investition in Ressourcen und Zeit bedeutet.
• Die Zeit bis zur Lösung ist viel länger als bei der Verwendung der B2B-Freigabe, da eine sorgfältige Planung und Ausführung über mehrere Arbeitsströme hinweg erforderlich ist.
• Bei einer geringeren Anzahl von Partnern ist der Aufwand für diese Alternative wahrscheinlich zu hoch, um ihn zu rechtfertigen.
• Die Zusammenarbeit mit Ad-hoc-Freigabe ist das primäre Szenario für Ihre Organisation.
• Die Berichte und Dashboards sind für jeden Partner unterschiedlich. Diese Alternative führt zu Verwaltungsaufwand, der über die direkte Freigabe für Partnern hinausgeht.

Häufig gestellte Fragen

Kann Contoso eine Einladung senden, die automatisch eingelöst wird, damit der Benutzer sofort loslegen kann? oder muss sich der Benutzer stets bis zur Einlöse-URL durchklicken?

Der Endbenutzer muss sich immer durch die Einwilligungserfahrung klicken, bevor er auf Inhalte zugreifen kann.

Wenn Sie viele Gastbenutzer einladen werden, empfehlen wir, dass Sie diese Aufgabe von Ihren Microsoft Entra-Administratoren weg delegieren, indem Sie einen Benutzer zur Rolle „Gasteinladender“ in der Ressourcenorganisation hinzufügen. Dieser Benutzer kann über die Anmeldeoberfläche, PowerShell-Skripts oder APIs andere Benutzer in der Partnerorganisation einladen. Dies reduziert den Verwaltungsaufwand für Ihre Microsoft Entra-Administratoren, die Benutzer in der Partnerorganisation einladen oder Einladungen erneut senden müssen.

Kann Contoso die Multi-Faktor-Authentifizierung für Gastbenutzer erzwingen, wenn seine Partner keine Multi-Faktor-Authentifizierung haben?

Ja. Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer der B2B-Zusammenarbeit.

Wie erfolgt die B2B-Zusammenarbeit, wenn der eingeladene Partner den Partnerverbund verwendet, um die eigene lokale Authentifizierung hinzuzufügen?

Wenn der Partner über einen Microsoft Entra-Mandanten verfügt, der über einen Verbund in die lokale Authentifizierungsinfrastruktur eingebunden ist, wird automatisch lokales einmaliges Anmelden (SSO) ermöglicht. Wenn der Partner keinen Microsoft Entra-Mandanten hat, kann für neue Benutzer ein Microsoft Entra-Konto erstellt werden.

Kann ich Gastbenutzer mit Consumer-E-Mail-Konten einladen?

Das Einladen von Gastbenutzern mit Consumer-E-Mail-Konten wird in Power BI unterstützt. Dies schließt Domänen wie hotmail.com, outlook.com und gmail.com ein. Bei diesen Benutzern kann es jedoch zu Einschränkungen kommen, die über das hinausgehen, was Benutzer mit Geschäfts-, Schul- oder Unikonten erfahren.