Power BI -sisällön jakaminen ulkoisille vieraskäyttäjille Microsoft Entra B2B:n avulla

Yhteenveto: Tässä teknisessä raportissa kerrotaan, miten sisältöä jaetaan organisaation ulkopuolisille käyttäjille käyttämällä Microsoft Entra ID:n (aiemmin azure Active Directory) yrityskohtaista (Microsoft Entra B2B) integrointia.

Kirjailijat: Lukasz Pawlowski, Kasper de Jonge

Tekniset arvioijat: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Muistiinpano

Voit tallentaa tai tulostaa tämän teknisen raportin valitsemalla selaimessa Tulosta ja valitsemalla sitten Tallenna PDF-tiedostona.

Esittely

Power BI tarjoaa organisaatioille 360 asteen näkymän liiketoimintaansa ja antaa organisaatioiden kaikille mahdollisuuden tehdä tietoihin perustuvia älykkäitä päätöksiä. Monilla näistä organisaatioista on vahva ja luotettu suhde ulkoisiin kumppaneihin, asiakkaisiin ja alihankkijoiden kanssa. Organisaatioiden on tarjottava ulkoisten kumppanien käyttäjille suojattu käyttöoikeus Power BI -koontinäyttöihin ja -raportteihin.

Power BI on integroitu Microsoft Entra Business-to-Businessin (Microsoft Entra B2B) kanssa, jotta Power BI -sisältöä voidaan jakaa turvallisesti organisaation ulkopuolisille vieraskäyttäjille säilyttäen samalla sisäisten tietojen hallinnan ja hallinnan.

Tässä raportissa käsitellään kaikki tiedot siitä, miten Power BI on integroitu Microsoft Entra B2B:n kanssa. Käsittelemme sen yleisimmän käyttötapauksen, asennuksen, käyttöoikeudet ja rivitason suojauksen.

Skenaariot

Contoso on autovalmistaja ja sillä on useita toimittajia, jotka tuottavat sille valmistuksessa tarvittavia osia, materiaaleja ja palveluja. Contoso haluaa virtaviivaistaa toimitusketjunsa logistiikkaa ja aikoo käyttää Power BI:tä toimitusketjun suorituskyvyn mittarien valvontaan. Contoso haluaa jakaa analyyseja turvallisesti ja hallitusti ulkoisten toimitusketjukumppanien kanssa.

Power BI:tä ja Microsoft Entra B2B:tä käyttämällä Contoso voi ottaa ulkoisille käyttäjille käyttöön seuraavat käyttökokemukset.

Ad hoc -jakaminen nimikkeittäin

Contosolla on toimittaja, joka rakentaa jäähdyttimia Contoson autoihin. Usein jäähdyttimien luotettavuus täytyy optimoida käyttämällä Contoson autoista peräisin olevia tietoja. Contoson analyytikko jakaa jäähdyttimen luotettavuusraportin toimittajan insinöörille Power BI:n avulla. Insinööri saa sähköpostilla linkin raportin tarkasteluun.

Yrityskäyttäjät suorittavat ad hoc -jakamisen tarpeen mukaan edellä kuvatulla tavalla. Power BI:n ulkoiselle käyttäjälle lähettämä linkki on Microsoft Entra B2B -kutsulinkki. Kun ulkoinen käyttäjä avaa linkin, häntä pyydetään liittymään Contoson Microsoft Entra -organisaatioon vieraskäyttäjänä. Kun kutsu on hyväksytty, linkki avaa tietyn raportin tai koontinäytön. Microsoft Entra -järjestelmänvalvoja delegoi oikeuksia kutsua ulkoisia käyttäjiä organisaatioon ja valitsee, mitä kyseiset käyttäjät voivat tehdä hyväksyttyään kutsun tämän asiakirjan Hallinto-osiossa kuvatulla tavalla. Contoso-analyytikko voi kutsua vieraskäyttäjän vain, koska Microsoft Entran järjestelmänvalvoja on sallinut toiminnon ja koska Power BI:n järjestelmänvalvoja on sallinut käyttäjien kutsua vieraita tarkastelemaan sisältöä Power BI:n vuokraaja-asetuksissa.

1. Aluksi Contoson sisäinen käyttäjä jakaa koontinäytön tai raportin ulkoisen käyttäjän kanssa. Jos ulkoinen käyttäjä ei ole vielä Contoson Microsoft Entra -tunnuksen vieras, hänet kutsutaan vieraaksi. Hänen sähköpostiosoitteeseensa lähetetään sähköpostiviesti, joka sisältää kutsun Contoson Microsoft Entra -tunnukseen.
2. Vastaanottaja hyväksyy kutsun Contoson Microsoft Entra -tunnukseen ja hänet lisätään vieraskäyttäjäksi Contoson Microsoft Entra -tunnukseen.
3. Tämän jälkeen vastaanottaja ohjataan Power BI -koontinäyttöön, -raporttiin tai -sovellukseen.

Prosessi on luonteeltaan ad hoc, sillä Contoson yrityskäyttäjät lähettävät kutsun liiketoiminnan tarpeen mukaan. Jokainen jaettu kohde on yksittäinen linkki, jonka kautta ulkoinen käyttäjä voi tarkastella sisältöä.

Kun ulkoinen käyttäjä on kutsuttu käyttämään Contoson resursseja, hänelle voidaan luoda varjotili Contoso Microsoft Entra -tunnukseen eikä häntä tarvitse enää kutsua uudelleen. Kun käyttäjä yrittää käyttää Contoso-resurssia, kuten Power BI -koontinäyttöä, ensimmäisen kerran, hän käy läpi suostumusprosessin, joka lunastaa kutsun. Jos käyttäjä ei anna suostumustaan, hän ei voi käyttää Contoson sisältöä. Jos käyttäjällä on ongelmia lunastaa kutsu alkuperäisen linkin kautta, Microsoft Entran järjestelmänvalvoja voi lähettää tietyn kutsulinkin uudelleen lunastettavaksi.

Suunniteltu jakaminen nimikkeittäin

Contosolla on alihankkija, joka tekee jäähdyttimien luotettavuusanalyysin. Alihankkijalla on 10 hengen tiimi, joka tarvitsee käyttöoikeuden Contoson Power BI -ympäristön tietoihin. Contoson Microsoft Entra -järjestelmänvalvoja kutsuu kaikki käyttäjät ja käsittelee lisäykset ja muutokset, jos alihankkijan henkilöstössä on muutoksia. Microsoft Entran järjestelmänvalvoja luo käyttöoikeusryhmän kaikille alihankkijan työntekijöille. Käyttöoikeusryhmän avulla Contoson työntekijät voivat helposti hallita raporttien käyttöoikeuksia ja varmistaa, että kaikki tarvittavat alihankkijan henkilöstön käyttäjät voivat käyttää tarvittavia raportteja, koontinäyttöjä ja Power BI -sovelluksia. Microsoft Entran järjestelmänvalvoja voi myös estää kutsuprosessin kokonaan delegoimalla kutsuoikeudet Contoson tai alihankkijan luotetylle työntekijälle ja varmistaa ajantasaisen henkilöstön hallinnan.

Jotkin organisaatiot tarvitsevat enemmän hallintaa siihen, milloin ulkoisia käyttäjiä lisätään, kutsuvat useita ulkoisen organisaation käyttäjiä tai useita ulkoisia organisaatioita. Näissä tapauksissa suunniteltua jakamista voidaan käyttää jakamisen laajuuden hallitsemiseen, organisaation käytäntöjen toteuttamiseen ja jopa oikeuksien delegoimiseen luotetuille henkilöille, jotta he voivat kutsua ja hallita ulkoisia käyttäjiä. Microsoft Entra B2B tukee suunniteltuja kutsuja, jotka IT-järjestelmänvalvoja lähettää suoraan Azure-portaali tai PowerShellin kautta käyttämällä kutsujen hallinnan ohjelmointirajapintaa, jossa yhdellä toiminnolla voi kutsua joukon käyttäjiä. Suunniteltujen kutsujen avulla organisaatio voi määrittää kutsun lähettäjät ja ottaa käyttöön hyväksymisprosesseja. Microsoft Entran lisäominaisuuksien, kuten dynaamisten ryhmien, avulla käyttöoikeusryhmän jäsenyyksien automaattinen ylläpito on helppoa.

1. Prosessi alkaa siitä, kun IT-järjestelmänvalvoja kutsuu vieraskäyttäjän joko manuaalisesti tai Microsoft Entra -tunnuksen tarjoaman ohjelmointirajapinnan kautta.
2. Käyttäjä hyväksyy kutsun organisaatioon.
3. Kun käyttäjä on hyväksynyt kutsun, Power BI:n käyttäjä voi jakaa raportin tai koontinäytön ulkoiselle käyttäjälle tai käyttöoikeusryhmälle, jossa hän on. Ulkoinen käyttäjä saa sähköpostilla linkin kohteeseen samaan tapaan kuin tavallisen Power BI -jaon yhteydessäkin.
4. Kun ulkoinen käyttäjä käyttää linkkiä, hänen hakemistossaan oleva todennus välitetään Contoson Microsoft Entra -tunnukseen ja sen avulla pääsee käyttämään Power BI -sisältöä.

Power BI -sovellusten ad hoc- tai suunniteltu jakaminen

Contosolla on joukko raportteja ja koontinäyttöjä, jotka he haluavat jakaa yhden tai useamman toimittajan kanssa. Jotta kaikilla tarvittavilla ulkoisilla käyttäjillä olisi käyttöoikeus tähän sisältöön, se on pakattu Power BI -sovellukseksi. Ulkoiset käyttäjät lisätään joko suoraan sovelluksen käyttöoikeusluetteloon tai käyttöoikeusryhmien kautta. Tämän jälkeen Contoson käyttäjä lähettää sovelluksen URL-osoitteen kaikille ulkoisille käyttäjille, esimerkiksi sähköpostiviestissä. Kun ulkoiset käyttäjät avaavat linkin, koko sisältö on helposti käytettävissä yhdessä ainoassa käyttökokemuksessa.

Power BI -sovelluksen avulla Contoson on helppo luoda toimittajilleen BI-portaali. Yksittäinen käyttöoikeusluettelo hallitsee kaiken tarvittavan sisällön käyttöä, mikä vähentää nimiketason käyttöoikeuksien tarkistamiseen ja määrittämiseen käytettyä aikaa. Microsoft Entra B2B ylläpitää suojauksen käyttöoikeuksia käyttämällä toimittajan alkuperäisiä käyttäjätietoja, jotta käyttäjät eivät tarvitse muita kirjautumistunnuksia. Suunniteltuja kutsuja käyttöoikeusryhmien kanssa käytettäessä sovelluksen käyttöoikeuksien hallintaa on yksinkertaistettu, sillä henkilöstöä liittyy projektiin tai pois siitä. Käyttöoikeusryhmien jäsenyydet määritetään manuaalisesti tai käyttämällä dynaamisia ryhmiä, jotta kaikki toimittajan ulkoiset käyttäjät lisätään automaattisesti oikeaan käyttöoikeusryhmään.

1. Prosessi käynnistyy, kun käyttäjä kutsutaan Contoson Microsoft Entra -organisaatioon Azure-portaali tai PowerShellin kautta.
2. Käyttäjä voidaan lisätä käyttäjäryhmään Microsoft Entra -tunnuksella. Voit käyttää staattista tai dynaamista käyttäjäryhmää, mutta dynaamiset ryhmät vähentävät manuaalista työtä.
3. Ulkoisille käyttäjille annetaan käyttöoikeus Power BI -sovellukseen käyttäjäryhmän kautta. Sovelluksen URL-osoite lähetetään suoraan ulkoiselle käyttäjälle tai sijoitetaan sivustoon, johon hänellä on käyttöoikeus. Power BI pyrkii parhaansa mukaan lähettämään sovelluslinkin sisältävän sähköpostiviestin ulkoisille käyttäjille, mutta kun käytetään käyttäjäryhmiä, joiden jäsenyydet muuttuvat, Power BI ei pysty lähettämään sähköpostia kaikille käyttäjäryhmien kautta hallituille ulkoisille käyttäjille.
4. Kun ulkoinen käyttäjä käyttää Power BI -sovelluksen URL-osoitetta, hänet todennetaan Contoson Microsoft Entra -tunnuksella, sovellus asennetaan käyttäjälle ja käyttäjä voi nähdä kaikki sovellukseen sisältyvät raportit ja koontinäytöt.

Sovelluksissa on myös ainutlaatuinen ominaisuus, jonka avulla sovellusten tekijät voivat asentaa sovelluksen automaattisesti käyttäjälle, joten se on käytettävissä, kun käyttäjä kirjautuu sisään. Tämä toiminto asentaa automaattisesti vain niille ulkoisille käyttäjille, jotka ovat jo osa Contoson organisaatiota sovelluksen julkaisu- tai päivityshetkellä. Näin ollen se sopii parhaiten suunniteltujen kutsujen lähestymistapaan ja riippuu siitä, julkaistaanko sovellus vai päivitetäänkö se, kun käyttäjät on lisätty Contoson Microsoft Entra -tunnukseen. Ulkoiset käyttäjät voivat aina asentaa sovelluksen sovelluslinkin avulla.

Kommentointi ja sisällön tilaaminen eri organisaatioissa

Contoson jatkaessa alihankkijoiden tai toimittajien kanssa työskentelyä ulkoisille insinööreille tulee tarve tehdä yhteistyötä Contoson analyytikoiden kanssa. Power BI tarjoaa useita yhteistyöominaisuuksia, jotka auttavat käyttäjiä vaihtamaan tietoja kuluttamastaan sisällöstä. Koontinäytön kommentoinnin (ja pian raportin kommentoinnin) avulla käyttäjät voivat keskustella näkemiään arvopisteitä ja esittää kysymyksiä raporttien tekijöiden kanssa.

Tällä hetkellä ulkoiset vieraskäyttäjät voivat osallistua kommentteihin jättämällä kommentteja ja lukemalla vastauksia. Kuitenkin toisin kuin sisäisiä käyttäjiä vieraskäyttäjät eivät voi olla @mentioned eivätkä he saa ilmoituksia siitä, että he ovat saaneet kommentin. Vieraskäyttäjät voivat tilata raportin tai koontinäytön itse Power BI:n tilausominaisuuden avulla. Lisätietoja on Power BI -palvelu kohdasta Raporttien ja koontinäyttöjen sähköpostitilaukset.

Sisällön käyttäminen Power BI -mobiilisovelluksissa

Kun vieraskäyttäjä avaa linkin raporttiin tai koontinäyttöön mobiililaitteellaan, sisältö avautuu laitteen alkuperäisiin Power BI -mobiilisovelluksiin, jos ne on asennettu. Vieraskäyttäjä voi tämän jälkeen siirtyä hänelle ulkoisessa vuokraajassa jaettujen sisältöjen välillä sekä takaisin omaan kotivuokraajansa sisältöön. Lisätietoja siitä, miten voit käyttää sisältöä, joka on jaettu kanssasi ulkoisesta organisaatiosta Power BI -mobiilisovellusten kautta, on artikkelissa Ulkoisesta organisaatiosta kanssasi jaetun Power BI -sisällön tarkasteleminen.

Organisaatiosuhteet Power BI:tä ja Microsoft Entra B2B:tä käyttämällä

Kun kaikki Power BI:n käyttäjät ovat organisaation sisäisiä, ei ole tarvetta käyttää Microsoft Entra B2B:tä. Kun vähintään kaksi organisaatiota haluaa työstää tietoja ja merkityksellisiä tietoja yhdessä, Power BI:n Microsoft Entra B2B -tuki tekee siitä helppoa ja kustannustehokasta.

Alla on usein vastaan tulevat organisaatiorakenteet, jotka soveltuvat hyvin Microsoft Entra B2B:n tyyliseen organisaatioiden väliseen yhteistyöhön Power BI:ssä. Microsoft Entra B2B toimii useimmissa tapauksissa hyvin, mutta joissakin tilanteissa kannattaa pohtia tämän asiakirjan lopussa käsiteltyjä vaihtoehtoisia menetelmiä.

Tapaus 1: suora yhteistyö organisaatioiden välillä

Contoson suhde jäähdyttimien toimittajaan on esimerkki organisaatioiden välisestä suorasta yhteistyöstä. Koska Contosolla ja sen toimittajalla on suhteellisen vähän käyttäjiä, jotka tarvitsevat käyttöoikeuden jäähdyttimen luotettavuustietoihin, Microsoft Entra B2B:hen perustuva ulkoinen jakaminen on ihanteellinen ratkaisu. Se on helppokäyttöinen ja yksinkertainen hallita. Tämä on myös yleinen tapaus konsultointipalveluissa, joissa konsultti saattaa joutua luomaan sisältöä organisaatiolle.

Yleensä tällainen jakaminen tapahtuu käyttäen aluksi ad hoc -jakamista nimikkeittäin. Ryhmien kasvaessa tai suhteiden syvetessä lähestymistavaksi muodostuu suunniteltu jakaminen nimikkeittäin, jolloin voidaan vähentää hallinnan kustannuksia. Lisäksi Power BI -sovellusten ad hoc- tai suunniteltu jakaminen, sisällön kommentointi ja tilaaminen organisaatioissa, mobiilisovellusten sisällön käyttöoikeus voi olla myös hyvä asia. On tärkeää huomata, että jos molempien organisaatioiden käyttäjillä on Power BI Pro -käyttöoikeudet omissa organisaatioissaan, he voivat käyttää Pro-käyttöoikeuksia toistensa Power BI -ympäristöissä. Käyttöoikeuksista on etua, sillä kutsuvan organisaation ei tarvitse maksaa ulkoisten käyttäjien Power BI Pro -käyttöoikeudesta. Tätä käsitellään tarkemmin myöhemmin tämän asiakirjan Käyttöoikeudet-osassa.

Tapaus 2: Pääkohde ja sen tytäryhtiöt

Joidenkin organisaatioiden rakenteet ovat monimutkaisempia, mukaan lukien osittain tai kokonaan omistetut tytäryhtiöt, konserniyhtiöt tai hallitut palvelutoimittajasuhteet. Näillä organisaatioilla on pääorganisaatio, kuten holding-yhtiö, mutta sen pohjana olevat organisaatiot toimivat puoli-itsenäisesti, joskus erilaisia alueellisia vaatimuksia noudattaen. Tämä johtaa siihen, että jokaisella organisaatiolla on oma Microsoft Entra -ympäristönsä ja erilliset Power BI -vuokraajat.

Tässä rakenteessa pääorganisaation täytyy yleensä jakaa standardoituja merkityksellisiä tietoja tytäryhtiöilleen. Yleensä tämä jakaminen tapahtuu käyttämällä lähestymistapana Power BI -sovellusten ad hoc- tai suunniteltua jakamista seuraavassa kuvassa esitetyllä tavalla, koska näin voidaan jakaa standardoitua oletettua sisältöä laajoille käyttäjäryhmille. Käytännössä käytetään kaikkia aiemmin tässä asiakirjassa mainittujen skenaarioiden yhdistelmää.

Prosessi on seuraava:

1. Kunkin tytäryhtiön käyttäjät kutsutaan Contoson Microsoft Entra -tunnukseen
2. Tämän jälkeen julkaistaan Power BI -sovellus, joka antaa käyttäjille käyttöoikeuden tarvittaviin tietoihin.
3. Lopuksi käyttäjät avaavat sovelluksen saamansa linkin kautta ja voivat näin tarkastella raportteja.

Organisaatiot kohtaavat useita tärkeitä haasteita tässä rakenteessa:

• Linkkien jakaminen pääorganisaation Power BI:ssä olevaa sisältöä varten
• Miten antaa tytäryhtiön käyttäjille käyttöoikeus pääorganisaation isännöimään tietolähteeseen

Linkkien jakelu pääorganisaation Power BI:ssä olevaa sisältöä varten

Linkkejä sisältöön jaetaan yleisesti kolmella tavalla. Ensimmäinen ja perustavin on lähettää tarvittaville käyttäjille linkki sovellukseen tai sijoittaa linkki SharePoint Online -sivustoon, jossa se voidaan avata. Käyttäjät voivat tehdä linkistä kirjanmerkin selaimessa, jotta he pääsevät nopeasti käsiksi tarvitseihinsa.

Toinen lähestymistapa on se, jossa pääorganisaatio antaa tytäryhtiöiden käyttäjien käyttää Power BI:tään ja hallinnoida heidän käyttöoikeuksiaan. Näin annetaan käyttöoikeus Power BI -aloitussivu, joissa tytäryhtiön käyttäjä näkee kattavan luettelon hänelle jaetusta sisällöstä pääorganisaation vuokraajassa. Tämän jälkeen tytäryhtiöiden käyttäjille annetaan URL-osoite pääorganisaation Power BI -ympäristöön.

Viimeinen menetelmä käyttää Power BI -sovellusta, joka on luotu Power BI -vuokraajassa kullekin tytäryhtiölle. Power BI -sovellus sisältää koontinäytön, jossa on ruutuja, joihin on määritetty ulkoisen linkin asetus. Kun käyttäjä valitsee ruudun, hänet viedään asianmukaiseen raporttiin, koontinäyttöön tai sovellukseen pääorganisaation Power BI -sovelluksessa. Tämän lähestymistavan etuna on myös se, että sovellus voidaan asentaa automaattisesti tytäryhtiön kaikille käyttäjille ja se on saatavilla aina, kun käyttäjät kirjautuvat omaan Power BI -ympäristöönsä. Lisäksi lähestymistapa etuna on, että se toimii hyvin Power BI -mobiilisovelluksissa, jotka voivat avata linkin alkuperäisessä sovelluksessa. Voit myös yhdistää tämän toiseen lähestymistapaan, jotta vaihtaminen Power BI -ympäristöjen välillä on helpompaa.

Miten antaa tytäryhtiön käyttäjille käyttöoikeus pääorganisaation isännöimään tietolähteeseen

Tytäryhtiön analyytikoiden on usein luotava omia analyysejään pääorganisaation antamien tietojen avulla. Tässä tapauksessa haasteeseen vastataan yleisesti käyttämällä pilvipalvelutietolähteitä.

Ensimmäisessä lähestymistavassa rakennetaan Azure Analysis Servicesin avulla yritysluokan tietovarasto, joka täyttää pää- ja tytäryhtiöiden analyytikoiden tarpeet, kuten seuraavassa kuvassa esitetään. Contoso voi isännöidä tietoja ja käyttää rivitason suojauksen kaltaisia ominaisuuksia varmistaakseen, että kunkin tytäryhtiön käyttäjät voivat käyttää vain omia tietojaan. Kunkin organisaation analyytikot voivat käyttää tietovarastoa Power BI Desktopin kautta ja julkaista näin syntyviä analyysejä omille Power BI -vuokraajilleen.

Toisessa lähestymistavassa azure-SQL-tietokanta luodaan relaatiotietovarasto, joka tarjoaa pääsyn tietoihin. Tämä toimii samalla tavalla kuin Azure Analysis Services -lähestymistapa, mutta joidenkin ominaisuuksien kuten rivitason suojauksen käyttöönotto ja säilyttäminen voi olla vaikeampaa tytäryhtiöissä.

Hienostuneemmatkin lähestymistavat ovat mahdollisia, mutta edellä tavat ovat selvästi yleisimpiä.

Tapaus 3: Jaettu ympäristö kumppaneille

Contoso voi aloittaa kilpailijan kanssa kumppanuuden, jossa auto rakennetaan yhdessä jaetulla kokoonpanolinjalla mutta ajoneuvon jakelu suoritetaan eri automerkkien alla tai eri alueilla. Tämä edellyttää kattavaa yhteistyötä ja tiedon, älyn ja analytiikan yhteisomistajuutta organisaatioissa. Tämä rakenne on yleinen myös konsultointialalla, jossa konsulttitiimi saattaa tehdä projektiin perustuvan analyysin asiakkaalle.

Kuten seuraavassa kuvassa näkyy, nämä rakenteet ovat käytännössä monimutkaisia ja vaativat niitä hoitavan henkilökunnan. Organisaatiot voivat käyttää omille Power BI -vuokraajilleen ostettuja Power BI Pro -käyttöoikeuksia uudelleen.

Jotta jaettu Power BI -vuokraaja voidaan perustaa, on luotava Microsoft Entra -tunnus ja vuokraajan käyttäjälle on ostettava vähintään yksi Power BI Pro -käyttäjätili. Tämä käyttäjä kutsuu tarvittavia käyttäjiä jaettuun organisaatioon. Tässä skenaariossa Contoson käyttäjiä kohdellaan ulkoisina käyttäjinä, kun he toimivat Jaetun organisaation Power BI:ssä.

Prosessi on seuraava:

1. Jaettu organisaatio perustetaan uutena Microsoft Entra -tunnuksena, ja uuteen vuokraajaan luodaan vähintään yksi käyttäjätili. Käyttäjälle tulisi olla määritettynä Power BI Pro -käyttöoikeus.
2. Tämä käyttäjä perustaa Power BI -vuokraajan ja kutsuu tarvittuja käyttäjiä Contososta ja kumppaniorganisaatiosta. Käyttäjä muodostaa myös jaetut tietoresurssit, kuten Azure Analysis Servicesin. Contoson ja kumppanin käyttäjät voivat käyttää jaetun organisaation Power BI:tä vieraskäyttäjinä. Yleensä kaikki jaetut resurssit tallennetaan jaettuun organisaatioon ja niitä käytetään jaetun organisaation sisällä.
3. Sen mukaan, miten osapuolet suostuvat tekemään yhteistyötä, kunkin organisaation on mahdollista kehittää omia omistusoikeudellisia tietojaan ja analyysejaan jaetun tietovaraston resurssien avulla. He voivat jakaa ne omille sisäisille käyttäjilleen omia sisäisiä Power BI -vuokraajiaan käyttämällä.

Tapaus 4: Jakelu sadoille tai tuhansille ulkoisille kumppaneille

Contoso loi jäähdyttimen luotettavuusraportin yhdelle toimittajalle, mutta nyt Contoso haluaa luoda joukon standardoituja raportteja sadoille toimittajille. Näin Contoso voi varmistaa, että kaikilla toimittajilla on analyysit, joita ne tarvitsevat tehdäkseen parannuksia tai korjatakseen valmistusvikoja.

Kun organisaation täytyy jakaa standardoituja tietoja ja merkityksellisiä tietoja monille ulkoisille käyttäjille tai organisaatioille, se voi käyttää Power BI -sovellusskenaarion ad hoc- tai suunniteltua jakamista. Näin BI-portaalin luominen onnistuu nopeasti ja ilman suuria kehityskustannuksia. Tällaisen portaalin luominen Power BI:n avulla on kuvattu tämän asiakirjan myöhemmässä Tapaustutkimus: BI-portaalin luominen Power BI:n ja Microsoft Entra B2B:n avulla – vaiheittaiset ohjeet.

Tällaisessa tapauksessa organisaatio yrittää yleensä jakaa merkityksellisiä tietoja kuluttajille, erityisesti yrittäessään käyttää Azure Active Directory B2C:tä Power BI:n kanssa. Power BI ei suoraan tue Azure Active Directory B2C:tä. Jos mietit vaihtoehtoja, kannattaa harkita tämän asiakirjan myöhemmässä Yleisiä vaihtoehtoisia lähestymistapoja -osiossa esitettyä vaihtoehtoa 2.

Tapaustutkimus: BI-portaalin luominen Power BI:n ja Microsoft Entra B2B:n avulla – vaiheittaiset ohjeet

Power BI:n integrointi Microsoft Entra B2B:n kanssa antaa Contosolle saumattoman ja vaivaamattoman tavan tarjota vieraskäyttäjille suojattu käyttöoikeus sen BI-portaaliin. Contoso voi määrittää tämän kolmella vaiheella:

1. BI-portaalin luominen Power BI:ssä

   Contoson ensimmäinen tehtävä on luoda BI-portaali Power BI:ssä. Contoson BI-portaali koostuu kokoelmasta tarkoituksenmukaisia koontinäyttöjä ja raportteja, jotka tulevat monien sisäisten käyttäjien ja vieraskäyttäjien saataville. Suositeltu tapa tehdä tämä Power BI:ssä on luoda Power BI -sovellus. Lue lisää Power BI:n sovelluksista.

• Contoson BI-tiimi luo työtilan Power BI:ssä

  

• Muut tekijät lisätään työtilaan

  

• Sisältö luodaan työtilassa

  

  Nyt kun sisältö on luotu työtilassa, Contoso on valmis kutsumaan kumppaniorganisaatioista vieraskäyttäjiä käyttämään sisältöä.

2. Vieraskäyttäjien kutsuminen

   Contoso voi kutsua vieraskäyttäjiä sen BI-portaaliin Power BI:ssä kahdella tavalla:

   • Suunnitellut kutsut
   • Ad hoc -kutsut

   Suunnitellut kutsut

   Tässä lähestymistavassa Contoso kutsuu vieraskäyttäjät Microsoft Entraansa etukäteen ja sitten jakaa heille Power BI -sisältöä. Contoso voi kutsua vieraskäyttäjiä Azure-portaali kautta tai käyttämällä PowerShelliä. Vieraskäyttäjiä voi kutsua Azure-portaali seuraavasti:

   • Contoson Microsoft Entra -järjestelmänvalvoja siirtyy osoitteeseen Azure-portaali> Microsoft Entra ID>Users>All users>New guest user

   

   • Lisää vieraskäyttäjille kutsuviesti ja valitse Kutsu

   

   Muistiinpano

   Jos haluat kutsua vieraskäyttäjiä Azure-portaali, tarvitset vuokraajaasi Microsoft Entra -järjestelmänvalvojan.

   Contoso voi halutessaan kutsua monta vieraskäyttäjää PowerShellin avulla. Contoson Microsoft Entra -järjestelmänvalvoja tallentaa kaikkien vieraskäyttäjien sähköpostiosoitteet CSV-tiedostoon. Tässä ovat Microsoft Entra B2B -yhteistyökoodi ja PowerShell-mallit sekä ohjeet.

   Kutsun jälkeen vieraskäyttäjät saavat sähköpostiviestin, jossa on kutsulinkki.

   

   Kun vieraskäyttäjät valitsevat linkin, he voivat käyttää Contoso Microsoft Entra -vuokraajan sisältöä.

   Muistiinpano

   Kutsuviestin asettelua voi muuttaa käyttämällä Microsoft Entra -tunnuksen tuotemukautusta tässä kuvatulla tavalla.

   Ad hoc -kutsut

   Entä jos Contoso ei tiedä kaikkia kutsumiseen haluavia vieraskäyttäjiä etukäteen? Tai entä jos BI-portaalin luonut Contoson analyytikko haluaa itse jakaa sisältöä vieraskäyttäjille? Tuemme myös tätä skenaariota Power BI:ssä ad hoc -kutsujen avulla.

   Analyytikko voi lisätä ulkoiset käyttäjät sovelluksen käyttöoikeusluetteloon julkaistessaan sovelluksen. Vieraskäyttäjät saavat kutsun, ja kun he hyväksyvät sen, heidät ohjataan automaattisesti Power BI -sisältöön.

   

   Muistiinpano

   Kutsuja tarvitaan vain kun ulkopuolinen käyttäjä kutsutaan organisaatioosi ensimmäisen kerran.

3. Jaa sisältöä

   Nyt kun Contoson BI-tiimi on luonut BI-portaalin ja kutsunut vieraskäyttäjiä, he voivat jakaa portaalinsa loppukäyttäjille antamalla vieraskäyttäjille käyttöoikeuden sovellukseen ja julkaisemalla sen. Power BI täydentää automaattisesti vieraskäyttäjiä, jotka on lisätty aiemmin Contoso-vuokraajaan. Muille vieraskäyttäjille suunnattuja ad hoc -kutsuja voi lisätä tässä vaiheessa.

   Muistiinpano

   Jos käytät käyttöoikeusryhmiä sovelluksen ulkoisten käyttäjien käyttöoikeuksien hallitsemiseen, käytä suunnitellut kutsut -menetelmää ja jaa sovelluksen linkki suoraan kullekin sitä tarvitseville ulkoisille käyttäjille. Muussa tapauksessa ulkoinen käyttäjä ei ehkä voi asentaa tai tarkastella sisältöä app._

   Vieraskäyttäjät saavat sähköpostiviestin, jossa on linkki sovellukseen.

   

   Kun napsautat tätä linkkiä, vieraskäyttäjiä pyydetään tekemään todennus omien organisaatioidensa käyttäjätietojen avulla.

   

   Kun todentaminen on onnistunut, heidät ohjataan Contoson BI-sovellukseen.

   

   Vieraskäyttäjät voivat myöhemmin siirtyä Contoson sovellukseen napsauttamalla sähköpostiviestissä olevaa linkkiä tai tekemällä linkistä kirjanmerkin. Contoso voi myös helpottaa vieraskäyttäjiä lisäämällä tämän linkin mihin tahansa olemassa olevaan ja vieraskäyttäjien jo käyttämään ekstranet-portaaliin.

4. Seuraavat vaiheet

   Power BI -sovellusta ja Microsoft Entra B2B:tä käyttämällä Contoso pystyi nopeasti luomaan toimittajilleen BI-portaalin ilman koodia. Tämä yksinkertaisti huomattavasti standardoidun analytiikan jakelua kaikille sitä tarvinneille toimittajille.

   Esimerkki esitteli, miten yksittäinen yleinen raportti voidaan jakaa toimittajille, mutta Power BI voi edetä huomattavasti. Jos haluat varmistaa, että kukin kumppani näkee vain itselleen olennaiset tiedot, rivitason suojaus voidaan lisätä helposti raporttiin ja tietomalliin. Tämän asiakirjan myöhempi Ulkoisten kumppanien tietosuoja -osio kuvaa tätä prosessia yksityiskohtaisesti.

   Usein yksittäiset raportit ja koontinäytöt on upotettava aiemmin luotuun portaaliin. Tämä voidaan tehdä myös käyttämällä monia esimerkissä esiteltyjä tekniikoita. Niissä tilanteissa voi kuitenkin olla helpompaa upottaa raportit tai koontinäytöt suoraan työtilasta. Prosessi tarvittavien käyttäjien kutsumiseksi ja määrittämiseksi tarvittaville käyttäjille pysyy samana.

Kulissien takana: Miten Toimittaja1:n Lucy voi käyttää Power BI -sisältöä Contoson vuokraajasta?

Nyt kun olemme nähneet, miten Contoso voi saumattomasti jakaa Power BI -sisältöä kumppaniorganisaation vieraskäyttäjille, katsotaan, miten tämä toimii kulissien takana.

Kun Contoso kutsuu lucy@supplier1.com käyttäjän hakemistoonsa, Microsoft Entra ID luo linkin käyttäjän ja Contoso Microsoft Entra -vuokraajan välille Lucy@supplier1.com . Tämän linkin avulla Microsoft Entra -tunnus tietää, että Lucy@supplier1.com voi käyttää Contoso-vuokraajan sisältöä.

Kun Lucy yrittää käyttää Contoson Power BI -sovellusta, Microsoft Entra ID tarkistaa, että Lucylla on oikeus käyttää Contoso-vuokraajaa, ja tarjoaa sitten Power BI:lle tunnuksen, joka ilmaisee, että Lucy on todennettu Contoso-vuokraajan sisällön käyttäjäksi. Power BI käyttää tätä tunnusta valtuuttamiseen ja varmistaa, että Lucylla on käyttöoikeus Contoson Power BI -sovellukseen.

Power BI:n integrointi Microsoft Entra B2B:hen toimii kaikkien yrityssähköpostiosoitteiden kanssa. Jos käyttäjällä ei ole Microsoft Entra -käyttäjätietoja, häntä saatetaan kehottaa luomaan sellainen. Seuraavassa kuvassa näkyy yksityiskohtainen työnkulku:

On tärkeää huomata, että Microsoft Entra -tiliä käytetään tai luodaan ulkoisen osapuolen Microsoft Entra -tunnuksella. Tämän ansiosta Lucyn on mahdollista käyttää omaa käyttäjänimeään ja salasanaansa ja heidän tunnistetietonsa lakkaavat automaattisesti toimimasta muissa vuokraajissa aina, kun Lucy lähtee yrityksestä, kun heidän organisaationsa käyttää myös Microsoft Entra -tunnusta.

Käyttöoikeudet

Contoso voi valita yhden kolmesta menetelmästä, kun se antaa Power BI -sisällön käyttöoikeudet toimittajiensa ja kumppaniorganisaatioidensa vieraskäyttäjille.

Muistiinpano

Microsoft Entra B2B:n ilmainen taso riittää Power BI:n käyttöön Microsoft Entra B2B:n kanssa. Jotkin kehittyneet Microsoft Entra B2B -ominaisuudet, kuten dynaamiset ryhmät, edellyttävät lisää käyttöoikeuksia. Lisätietoja on Microsoft Entra B2B -dokumentaatiossa.

Menetelmä 1: Contoso käyttää Power BI Premiumia

Tässä lähestymistavassa Contoso ostaa Power BI Premium -kapasiteetin ja määrittää BI-portaalinsa sisällön tähän kapasiteettiin. Näin kumppaniorganisaatioiden vieraskäyttäjät voivat käyttää Contoson Power BI -sovellusta ilman Power BI -käyttöoikeutta.

Ulkoiset käyttäjät saavat ainoastaan Power BI:n ilmaiskäyttäjille tarjoamansa kuluttajakokemuksen käyttäessään Power BI Premiumin sisältöä.

Contoso voi hyödyntää sovelluksissaan myös muita Power BI Premium -toimintoja, kuten parannettua päivitystaaskua, kapasiteettia sekä suuria mallikokoja.

Menettely 2: Contoso määrittää Power BI Pro -käyttöoikeudet vieraskäyttäjille

Tässä lähestymistavassa Contoso määrittää pro-käyttöoikeudet kumppaniorganisaatioiden vieraskäyttäjille – tämä voidaan tehdä Contoson Microsoft 365 -hallintakeskus. Näin kumppaniorganisaatioiden vieraskäyttäjät voivat käyttää Contoson Power BI -sovellusta ilman, että heidän täytyy ostaa käyttöoikeutta itse. Tämä voi sopia jakamiseen sellaisten ulkoisten käyttäjien kanssa, joiden organisaatio ei ole vielä ottanut Power BI:tä käyttöön.

Muistiinpano

Contoson pro-käyttöoikeus koskee vieraskäyttäjiä vain, kun he käyttävät Contoso-vuokraajan sisältöä. Pro-käyttöoikeudet mahdollistavat pääsyn sisältöön, jota ei ole Power BI Premium -kapasiteetissa.

Lähestymistapa 3: Vieraskäyttäjät tuovat power BI Pro -käyttöoikeutensa mukanaan

Tässä menetelmässä Toimittaja1 määrittää Power BI Pro -käyttöoikeuden Lucylle. Tämän käyttöoikeuden avulla he voivat käyttää Contoson Power BI -sovellusta. Koska Lucy voi käyttää oman organisaationsa Pro-käyttöoikeutta käyttäessään ulkoista Power BI -ympäristöä, tätä menetelmää kutsutaan joskus tuo oma -käyttöoikeudeksi (Bring your own license , BYOL). Jos molemmat organisaatiot käyttävät Power BI:tä, analytiikkaratkaisulle tarjoutuu edullisia käyttöoikeuksia ja samalla minimoidaan ulkoisille käyttäjille käyttöoikeuksien määrittämiseen liittyvät yleiskulut.

Muistiinpano

Toimittaja1:n Lucylle antama pro-käyttöoikeus koskee mitä tahansa Power BI -vuokraajaa, jossa Lucy on vieraskäyttäjänä. Pro-käyttöoikeudet mahdollistavat pääsyn sisältöön, jota ei ole Power BI Premium -kapasiteetissa.

Ulkoisten kumppanien tietosuoja

Toimiessaan yhteistyössä useiden ulkoisten toimittajien kanssa Contoson täytyy tavallisesti varmistaa, että jokainen toimittaja näkee vain omia tuotteitaan koskevat tiedot. Käyttäjään perustuva suojauksen ja dynaamisen rivitason suojauksen ansiosta tämä on helppoa Power BI:ssä.

Käyttäjään perustuva suojaus

Yksi Power BI:n tehokkaimmista ominaisuuksista on rivitason suojaus. Tämän ominaisuuden avulla Contoso voi luoda yhden raportin ja semanttisen mallin (aiemmin tietojoukkona) mutta silti soveltaa erilaisia suojaussääntöjä kullekin käyttäjälle. Katso tarkemmin selitys artikkelista Rivitason suojaus (RLS).

Power BI:n integrointi Microsoft Entra B2B:n kanssa antaa Contoson määrittää rivitason suojauksen sääntöjä vieraskäyttäjille heti, kun heidät on kutsuttu Contoso-vuokraajaan. Kuten olemme nähneet, Contoso voi lisätä vieraskäyttäjiä joko suunniteltujen tai ad hoc -kutsujen kautta. Jos Contoso haluaa pakottaa rivitason suojauksen, on suositeltavaa lisätä vieraskäyttäjät etukäteen käyttämällä suunniteltuja kutsuja ja määrittämällä heidät käyttöoikeusrooleihin ennen sisällön jakamista. Jos Contoso sen sijaan käyttää ad hoc -kutsuja, voi kulua hetki, ennen kuin vieraskäyttäjät näkevät tietoja.

Muistiinpano

Tämä RLS-suojattujen tietojen käytön viive ad hoc -kutsuja käytettäessä voi johtaa IT-tiimillesi esitettyihin tukipyyntöihin, koska käyttäjät näkevät joko tyhjiä tai rikkinäiseltä näyttäviä raportteja tai koontinäyttöjä avatessaan saamassaan sähköpostiviestissä olevan linkin. Siksi tässä skenaariossa on erittäin suositeltavaa käyttää suunniteltuja kutsuja.

Käydään tämä läpi käyttäen esimerkkiä.

Kuten aiemmin mainittiin, Contosolla on toimittajia kaikkialla maailmassa, ja ne haluavat varmistaa, että toimittajaorganisaatioiden käyttäjät saavat merkityksellisiä tietoja vain niiden alueelta. Contoson käyttäjät voivat kuitenkin käyttää kaikkia tietoja. Sen sijaan, että luotaisiin useita erilaisia raportteja, Contoso luo yhden raportin ja suodattaa tiedot sitä tarkastelevan käyttäjän perusteella.

Contoso haluaa varmistaa, että tietoja voidaan suodattaa sen perusteella, kuka muodostaa yhteyden, mutta Power BI Desktopissa luodaan kaksi roolia. Yksi suodattaa kaikki tiedot myyntialueesta "Eurooppa" ja toinen kohdasta "Pohjois-Amerikka".

Aina kun raportissa on määritetty rooleja, käyttäjälle on määritettävä tietty rooli, jotta hän voi käyttää mitään tietoja. Roolien määrittäminen tapahtuu Power BI -palvelu sisällä ( semanttisten mallien > suojaus ).

Tämä avaa sivun, jossa Contoson BI-tiimi voi nähdä luomansa kaksi roolia. Nyt Contoson BI-tiimi voi määrittää käyttäjille roolit.

Esimerkissä Contoso lisää Eurooppa-roolin kumppaniorganisaation käyttäjälle, jolla on sähköpostiosoite admin@fabrikam.com :

Kun Microsoft Entra -tunnus noutaa tämän ratkaistuksi, Contoso näkee nimen ilmestyvän ikkunaan valmiina lisättäväksi:

Nyt kun tämä käyttäjä avaa hänelle jaetun sovelluksen, hän näkee vain Euroopan tietoja sisältävän raportin:

Dynaaminen rivitason suojaus

Toinen kiinnostava aihe on nähdä, miten dynaaminen rivitason suojaus (RLS) toimii Microsoft Entra B2B:n kanssa.

Lyhyesti sanottuna dynaaminen rivitason suojaus toimii suodattamalla mallin tietoja Power BI:hin yhdistäneen henkilön käyttäjänimen perusteella. Sen sijaan, että lisäisit käyttäjäryhmille useita rooleja, määrität mallin käyttäjät. Emme kuvaa tätä tarkasti. Kasper de Jong on kirjoittanut yksityiskohtaisesti kaikista rivitason suojauksen makuista artikkelissa Power BI Desktop Dynamic security cheat sheet sekä tässä raportissa .

Tarkastellaan pientä esimerkkiä – Contosolla on yksinkertainen raportti myynnistä ryhmittain:

Nyt tämä raportti on jaettava kahden vieraskäyttäjän ja sisäisen käyttäjän kanssa . Sisäinen käyttäjä voi nähdä kaiken, mutta vieraskäyttäjät näkevät vain ryhmät, joihin heillä on käyttöoikeus. Tämä tarkoittaa sitä, että vain vieraskäyttäjien tiedot täytyy suodattaa. Jotta tiedot suodattuvat oikein, Contoso käyttää dynaamista rivitason suojausmallia teknisessa raportissa ja blogikirjoituksessa kuvatulla tavalla. Tämä tarkoittaa sitä, että Contoso lisää käyttäjänimet tietoihin itse:

Tämän jälkeen Contoso luo oikean tietomallin, joka suodattaa tiedot asianmukaisesti, niin että suhteet ovat oikein:

Jotta tietoja voidaan suodattaa automaattisesti sen perusteella, kuka on kirjautunut sisään, Contoson on luotava rooli, joka sopii yhteyttä muodostavalle käyttäjälle. Tässä tapauksessa Contoso luo kaksi roolia – ensimmäinen on "securityrole", joka suodattaa Käyttäjät-taulukon Power BI:hin kirjautuneena olevan käyttäjänimen perusteella (tämä toimii myös Microsoft Entra B2B:n vieraskäyttäjille).

Contoso luo myös roolin "AllRole" sisäisille käyttäjilleen, jotka näkevät kaiken – tällä roolilla ei ole mitään suojauspredikaattia.

Ladattuaan Power BI Desktop -tiedoston palveluun, Contoso voi määrittää vieraskäyttäjät rooliin "SecurityRole" ja sisäiset käyttäjät rooliin "AllRole"

Kun vieraskäyttäjät avaavat raportin, he näkevät vain ryhmän A myynnit:

Oikeanpuoleisessa matriisissa näet, että sekä USERNAME()- että USERPRINCIPALNAME()-funktio palauttavat vieraskäyttäjien sähköpostiosoitteen.

Nyt sisäinen käyttäjä näkee kaikki tiedot:

Kuten näet, dynaaminen rivitason suojaus toimii sekä sisäisten että vieraskäyttäjien kanssa.

Muistiinpano

Tämä skenaario toimii myös käytettäessä mallia Azure Analysis Servicesissä. Yleensä Azure Analysis Service on yhdistetty samaan Microsoft Entra -tunnukseen kuin Power BI – tässä tapauksessa Azure Analysis Services tunnistaa myös vieraskäyttäjät, jotka on kutsuttu Microsoft Entra B2B:n kautta.

Näyttöyhteys paikallisiin tietolähteisiin

Power BI tarjoaa Contosolle kyvyn käyttää suoraan paikallisia tietolähteitä, kuten SQL Server Analysis Servicesiä tai SQL Serveriä, paikallisen tietoyhdyskäytävän ansiosta. Tietolähteisiin on mahdollista myös kirjautua samoilla tunnistetiedoilla kuin Power BI:hin.

Muistiinpano

Kun asennat yhdyskäytävän Power BI -vuokraajaan yhdistämistä varten, sinun on käytettävä vuokraajassasi luotua käyttäjää. Ulkoiset käyttäjät eivät voi asentaa yhdyskäytävää ja yhdistää sitä tenant._

Tämä saattaa olla monimutkaisempaa ulkoisille käyttäjille, koska ulkoiset käyttäjät ovat yleensä tuntematon paikalliselle AD:lle. Power BI mahdollistaa tämän ongelman siten, että Contoso-järjestelmänvalvojat voivat yhdistää ulkoiset käyttäjänimet sisäisiin käyttäjänimiin artikkelissa Tietolähteen hallinta – Analysis Services kuvatulla tavalla. lucy@supplier1.com Esimerkiksi voidaan yhdistää lucy_supplier1_com#EXT@contoso.com.

Tämä menetelmä on sopiva, jos Contosolla on vain muutama käyttäjä tai jos Contoso voi yhdistää kaikki ulkoiset käyttäjät yhteen sisäiseen tiliin. Tilanteisiin, joissa kukin käyttäjä tarvitsee omat tunnistetietonsa, on olemassa edistyneempi menetelmä, joka käyttää yhdistämiseen mukautettuja AD-määritteitä artikkelissa Tietolähteen hallinta – Analysis Services kuvatulla tavalla. Tämän ansiosta Contoson järjestelmänvalvoja voi tehdä yhdistämismäärityksen jokaiselle Microsoft Entra -tunnuksesi käyttäjälle (myös ulkoisille B2B-käyttäjille). Nämä määritteet voidaan määrittää AD-objektimallin kautta komentosarjoja tai koodia käyttämällä, jolloin Contoso voi tehdä yhdistämisen täysin automaattisesti tai ajoittettuna.

Hallinto

Muut Microsoft Entra -tunnuksen asetukset, jotka vaikuttavat Microsoft Entra B2B:hen liittyviin Power BI -käyttökokemuksiin

Kun käytät Microsoft Entra B2B:n jakamista, Microsoft Entran järjestelmänvalvoja hallitsee ulkoisen käyttäjän käyttökokemuksen ominaisuuksia. Näitä hallitaan Ulkoisen yhteistyön asetukset -sivulla vuokraajasi Microsoft Entra -tunnuksen asetuksissa.

Lisätietoja on kohdassa Ulkoisen yhteistyön asetusten määrittäminen.

Muistiinpano

Vieraskäyttäjien käyttöoikeuksia on rajoitettu -asetus on oletusarvoisesti Kyllä, joten Power BI:n vieraskäyttäjien kokemuksia on rajoitettu erityisesti jakamisen osalta, eivätkä henkilöiden valitsimen käyttöliittymät toimi kyseisillä käyttäjillä. Varmista hyvä käyttökokemus ja määritä asetus arvoon Ei alla kuvatulla tavalla yhdessä Microsoft Entra -järjestelmänvalvojasi kanssa.

Hallitse vieraskutsuja

Power BI -järjestelmänvalvojat voivat hallita ulkoista jakamista vain Power BI:n osalta Power BI -hallintaportaalissa. Järjestelmänvalvojat voivat kuitenkin myös hallita ulkoista jakamista erilaisten Microsoft Entra -käytäntöjen avulla. Näiden käytäntöjen avulla järjestelmänvalvojat voivat tehdä seuraavat toimet:

• Loppukäyttäjien kutsujen poistaminen käytöstä
• Vain järjestelmänvalvojat ja käyttäjät, jotka ovat vieraskutsujan roolissa, voivat kutsua
• Hallinta, vieraskutsujan rooli ja jäsenet voivat kutsua
• Kaikki käyttäjät, mukaan lukien vieraat, voivat kutsua

Lue lisää näistä käytännöistä kohdasta Delegoi Microsoft Entra B2B -yhteistyökutsuja.

Kaikkia ulkoisten käyttäjien toimintoja valvotaan valvontaportaalissamme.

Vieraskäyttäjien ehdolliset käyttöoikeuskäytännöt

Contoso voi pakottaa ehdolliset käyttöoikeuskäytännöt vieraskäyttäjille, jotka käyttävät Contoso-vuokraajan sisältöä. Tarkat ohjeet ovat kohdassa B2B-yhteistyön ehdollinen käyttö.

Yleisiä vaihtoehtoisia menetelmiä

Microsoft Entra B2B:n avulla on helppoa jakaa tietoja ja raportteja organisaatioissa, mutta usein käytettyjä lähestymistapoja on monia muitakin ja joissakin tapauksissa ne saattavat olla parempiakin.

Vaihtoehto 1: Luo kumppanikäyttäjille kaksoisidentiteettejä

Tässä vaihtoehdossa Contoson piti luoda manuaalisesti kaksoisidentiteetti jokaiselle Contoso-vuokraajan kumppanikäyttäjälle seuraavassa kuvassa esitetyllä tavalla. Tämän jälkeen Contoso voi jakaa määritetyille identiteeteille asianmukaiset raportit, koontinäytöt tai sovellukset Power BI:ssä.

Syitä tämän vaihtoehdon valitsemiseen:

• Koska organisaatiosi hallitsee käyttäjän käyttäjätietoja, kaikki siihen liittyvät palvelut, kuten sähköposti, SharePoint jne., ovat myös organisaatiosi hallinnassa. IT Hallinta valvojasi voivat vaihtaa salasanoja, estää tilien käytön tai valvoa toimintaa näissä palveluissa.
• Henkilökohtaisia tilejä yritykselleen käyttävien käyttäjien tiettyjen palveluiden käyttöä on usein rajoitettu, joten saatat tarvita organisaatiotilin.
• Jotkin palvelut toimivat vain organisaatiosi käyttäjien kanssa. Esimerkiksi sisällön hallinta Intunen avulla ulkoisten käyttäjien henkilökohtaisissa tai mobiililaitteissa Microsoft Entra B2B:tä käyttämällä ei ehkä ole mahdollista.

Miksi vaihtoehtoa ei kannata valita:

• Kumppaniorganisaatioiden käyttäjien on muistettava kaksi tunnistetietojoukkoa: yksillä he pääsevät käyttämään oman organisaationsa sisältöä ja toiset käyttävät Contoson sisältöä. Tämä on helppoa, ja kokemus hämmentää monia vieraskäyttäjiä.
• Contoson on ostettava ja määritettävä käyttäjille käyttäjäkohtaisia käyttöoikeuksia. Jos käyttäjän on saatava sähköpostia tai käytettävä Office-sovelluksia, hän tarvitsee asianmukaiset käyttöoikeudet, kuten Power BI Pro -käyttöoikeudet sisällön muokkaamiseen ja jakamiseen Power BI:ssä.
• Contoso saattaa haluta ottaa käyttöön tiukempia valtuutus- ja hallintokäytäntöjä ulkoisille käyttäjille sisäisiin käyttäjiin verrattuna. Tämän saavuttamiseksi Contoson pitää luoda organisaation nimikkeistö ulkoisille käyttäjille ja kaikki Contoso-käyttäjät pitää kouluttaa nimikkeistöön.
• Kun käyttäjä poistuu organisaatiosta, hän voi edelleen käyttää Contoson resursseja, kunnes Contoson järjestelmänvalvoja poistaa hänen tilinsä manuaalisesti.
• Contoso-järjestelmänvalvojien pitää hallita käyttäjätietoja, esimerkiksi luoda ne, palauttaa salasanat jne.

Vaihtoehto 2: Mukautetun Power BI Embedded -sovelluksen luominen mukautetun todentamisen avulla

Contoson toinen vaihtoehto on luoda oma mukautettu upotettu Power BI -sovellus, joka käyttää mukautettua todentamista ('Sovellus omistaa tiedot'). Vaikka monilla organisaatioilla ei ole aikaa tai resursseja luoda mukautettua sovellusta, jolla ne voivat jakaa Power BI -sisältöä ulkoisille kumppaneilleen, joillekin organisaatioille tämä on paras tapa, ja ansaitsee siksi huomiota.

Organisaatioilla on usein olemassa kumppaniportaaleja, jotka keskittää kumppanien käyttöoikeudet kaikkiin organisaation resursseihin, eristävät ne organisaation sisäisistä resursseista ja tarjoavat virtaviivaistettuja kokemuksia kumppaneille, jotta ne voivat tukea monia kumppaneita ja yksittäisiä käyttäjiä.

Yllä olevassa esimerkissä kunkin toimittajan käyttäjät kirjautuvat Contoson kumppaniportaaliin, joka käyttää Microsoft Entra -tunnusta tunnistetietopalveluna. Se voisi käyttää Microsoft Entra B2B:tä, Azure Active Directory B2C:tä, alkuperäisiä käyttäjätietoja tai yhdistää moniin muihin tunnistetietopalveluihin. Käyttäjä kirjautuisi sisään ja käyttäisi kumppaniportaalia Azure-verkkosovelluksen tai samankaltaisen infrastruktuurin avulla.

Verkkosovelluksessa Power BI -raportit on upotettu Power BI Embedded -käyttöönotosta. Verkkosovellus virtaviivaistaa raporttien ja kaikkien liittyvien palveluiden käytön yhtenäiseksi käyttökokemukseksi, jonka tarkoitus on tehdä Contoson kanssa vuorovaikutuksesta helppoa. Tämä portaaliympäristö eristetään Contoson sisäisestä Microsoft Entra -tunnuksesta ja Contoson sisäisestä Power BI -ympäristöstä, jotta toimittajat eivät voisi käyttää kyseisiä resursseja. Tiedot tallennetaan yleensä erilliseen kumppanitietovarastoon, mikä myös eristää tiedot. Eristämisestä on hyötyä, sillä se rajoittaa niiden ulkoisten käyttäjien määrää, jotka voivat suoraan käyttää organisaatiosi tietoja, mikä puolestaan rajoittaa ulkoisten käyttäjien käytettävissä olevia tietoja ja vahingossa tapahtuvaa jakamista ulkopuolisten käyttäjien kanssa.

Power BI Embedded -palvelun avulla portaali voi käyttää käyttöoikeuksien etuja käyttämällä Azure-mallissa ostettua sovellustunnusta tai pääkäyttäjän plus premium -kapasiteettia. Tämä yksinkertaistaa loppukäyttäjien käyttöoikeuksien määrittämistä ja portaalia voi skaalata ylös tai alas odotettavissa olevan käytön mukaan. Portaali voi tarjota yleisesti parempilaatuisen ja yhtenäisen käyttökokemuksen, sillä kumppanit käyttävät yhtä kumppanin tarpeet huomioon ottaen suunniteltua portaalia. Koska Power BI Embeddediin perustuvat ratkaisut on yleensä suunniteltu usealle vuokraajalle, kumppaniorganisaatioiden eristämisen varmistaminen on helppoa.

Syitä tämän vaihtoehdon valitsemiseen:

• Helpompi hallita kumppaniorganisaatioiden määrän kasvaessa. Koska kumppanit lisätään Contoson sisäisestä Microsoft Entra -hakemistosta eristettyyn erilliseen hakemistoon, IT:n hallintovelvollisuuksia yksinkertaistetaan ja sisäisiä tietoja ei jaeta vahingossa ulkoisille käyttäjille.
• Tavallisesti kumppaniportaalit ovat pitkälle brändättyjä, ja niiden käyttökokemus on yhtenäinen kaikille kumppaneille ja virtaviivaistettu vastaamaan tyypillisten kumppanien tarpeisiin. Contoso voi tämän vuoksi tarjota kumppaneille paremman yleisen käyttökokemuksen integroimalla kaikki tarvittavat palvelut yhteen portaaliin.
• Mukautettujen skenaarioiden (esimerkiksi sisällön muokkaaminen Power BI Embeddedissä) käyttöoikeuksien kustannukset sisältyvät Azuren Power BI Premium -maksuun, eivätkä ne vaadi Power BI Pro -käyttöoikeuksien määritystä näille käyttäjille.
• Tarjoaa paremman eristyksen kaikille kumppaneille, jos se on muotoiltu usean vuokraajan ratkaisuksi.
• Kumppaniportaali sisältää usein kumppanikumppaneille muitakin työkaluja Power BI -raporttien, -koontinäyttöjen ja -sovellusten lisäksi.

Miksi vaihtoehtoa ei kannata valita:

• Portaalin luominen, käyttö ja ylläpito vaatii huomattavasti vaivaa, joten se on merkittävä sijoitus resursseihin ja aikaan.
• Ratkaisun toteuttaminen vie paljon enemmän aikaa kuin B2B jakamisen käyttö, sillä ratkaisu vaatii huolellista suunnittelua ja toteuttamista useissa työvirrassa.
• Jos kumppaneita on vähemmän, tämän vaihtoehdon vaatimat ponnistelut ovat todennäköisesti liian suuria perusteltavissa.
• Ad hoc -jakamista käyvä yhteistyö on ensisijainen skenaario organisaatiollesi.
• Raportit ja koontinäytöt ovat erilaiset kullekin kumppanille. Tässä vaihtoehdossa hallinnan yleiskustannuksia ei lisätä pelkästään kumppaneille jaettavaksi suoraan.

UKK

Voiko Contoso lähettää kutsun, joka on lunastetaan automaattisesti niin, että käyttäjä on juuri valmis aloittamaan? Vai pitääkö käyttäjän aina tehdä lunastus URL-osoitetta napsauttamalla?

Käyttäjän on aina napsautettava suostumuskokemusta, ennen kuin hän voi käyttää sisältöä.

Jos aiot kutsua monta vieraskäyttäjää, suosittelemme delegoimaan tämän pois Microsoft Entran tärkeistä järjestelmänvalvojista lisäämällä käyttäjän resurssiorganisaation vieraskutsujan rooliin. Tämä käyttäjä voi kutsua muita kumppaniorganisaation käyttäjiä käyttämällä kirjautumiskäyttöliittymää, PowerShell-komentosarjoja tai ohjelmointirajapintoja. Tämä vähentää Microsoft Entra -järjestelmänvalvojien työtaakkaa, sillä he eivät saa kutsua kumppaniorganisaation käyttäjiä.

Voiko Contoso pakottaa monimenetelmäisen todentamisen vieraskäyttäjille, jos sen kumppanit eivät käytä monimenetelmäistä todentamista?

Kyllä. Lisätietoja on artikkelissa B2B-yhteistyön ehdollinen käyttö.

Miten B2B-yhteistyö toimii, kun kutsuttu kumppani lisää oman paikallisen todennuksensa liittoutumalla?

Jos kumppanilla on Microsoft Entra -vuokraaja, joka on liitetty paikalliseen todentamisinfrastruktuuriin, paikallinen kertakirjautuminen (SSO) onnistuu automaattisesti. Jos kumppanilla ei ole Microsoft Entra -vuokraajaa, uusille käyttäjille voidaan luoda Microsoft Entra -tili.

Voinko kutsua vieraskäyttäjiä, joilla on kuluttajille suunnattu sähköpostitili?

Power BI tukee kuluttajille suunnattuja sähköpostitilejä käyttävien vieraskäyttäjien kutsumista. Tämä sisältää esimerkiksi hotmail.com, outlook.com ja gmail.com. Käyttäjät voivat kuitenkin kokea rajoituksia, joita työ- tai koulutilejä käyttävillä ei ole.