Azure Active Directory B2B を使用して外部ゲスト ユーザーに Power BI コンテンツを配布する

概要: これは、Azure Active Directory Business-to-Business (Azure AD B2B) の統合を使用して組織外のユーザーにコンテンツを配布する方法を示す技術的なホワイトペーパーです。

作家: ルカシュ・ポーロウスキー、カスパー・デ・ジョング

技術レビュー担当者: Adam Wilson、Sheng Liu、Qian Liang、Sergei Gundorov、Jacob Grimm、Adam Saxton、Maya Shenhav、Nimrod Shalit、Elisabeth Olson

注意

ブラウザーで [印刷] を選択して [PDF として保存] を選択することで、このホワイト ペーパーを保存または印刷できます。

はじめに

Power BI を使用すると、組織はビジネスを 360 度表示でき、これらの組織のすべてのユーザーがデータを使用してインテリジェントな意思決定を行えるようになります。 これらの組織の多くは、外部のパートナー、クライアント、請負業者と強固で信頼できる関係を持っています。 これらの組織は、これらの外部パートナーのユーザーに Power BI ダッシュボードとレポートへの安全なアクセスを提供する必要があります。

Power BI は Azure Active Directory Business-to-Business (Azure AD B2B) と統合され、組織外のゲスト ユーザーに Power BI コンテンツを安全に配布しながら、内部データへの制御と管理アクセスを維持できます。

このホワイト ペーパーでは、Power BI と Azure Active Directory B2B の統合について理解するために必要なすべての詳細について説明します。 最も一般的なユース ケース、セットアップ、ライセンス、行レベルのセキュリティについて説明します。

Note

このホワイト ペーパーでは、Azure Active Directory を Azure AD、Azure Active Directory Business to Business を Azure AD B2B と説明します。

シナリオ

Contoso は自動車メーカーであり、製造業務を実行するために必要なすべてのコンポーネント、材料、サービスを提供する多くの多様なサプライヤーと協力しています。 Contoso は、サプライ チェーンの物流を合理化し、Power BI を使用してサプライ チェーンの主要なパフォーマンス メトリックを監視する計画を立てたいと考えています。 Contoso は、セキュリティで保護された管理可能な方法で外部のサプライ チェーン パートナーの分析と共有したいと考えています。

Contoso は、Power BI と Azure AD B2B を使用して外部ユーザーに対して次のエクスペリエンスを有効にすることができます。

アイテムごとのアドホック共有

Contoso は、Contoso の車のラジエータを構築するサプライヤーと協力しています。 多くの場合、Contoso のすべての車のデータを使用してラジエータの信頼性を最適化する必要があります。 Contoso のアナリストは、Power BI を使用して、サプライヤーのエンジニアとラジエータ信頼性レポートを共有しています。 エンジニアは、レポートを表示するためのリンクを含む電子メールを受け取ります。

前述のように、このアドホック共有は、ビジネス ユーザーが必要に応じて実行します。 Power BI から外部ユーザーに送信されるリンクは、Azure AD B2B 招待リンクです。 外部ユーザーがリンクを開くと、Contoso の Azure AD 組織にゲスト ユーザーとして参加するように求められます。 招待が受け入れられると、リンクによって特定のレポートまたはダッシュボードが開きます。 Azure Active Directory 管理者は、組織に外部ユーザーを招待するアクセス許可を委任し、このドキュメントのガバナンス セクションで説明されているように、招待を受け入れたユーザーが実行できる操作を選択します。 Azure AD 管理者がそのアクションを許可し、Power BI 管理者が Power BI のテナント設定でコンテンツを表示するようにユーザーを招待できるため、Contoso アナリストはゲスト ユーザーのみを招待できます。

Invite guests to Power BI using AAD

  1. このプロセスは、Contoso 内部ユーザーがダッシュボードまたはレポートを外部ユーザーと共有することから始まります。 外部ユーザーがまだ Contoso の Azure AD のゲストでない場合は、招待されます。 Contoso の Azure AD への招待を含む電子メールがメール アドレスに送信されます
  2. 受信者は Contoso の Azure AD への招待を受け入れ、Contoso の Azure AD でゲスト ユーザーとして追加されます。
  3. その後、受信者は Power BI ダッシュボード、レポート、またはアプリにリダイレクトされます。これはユーザーの読み取り専用です。

Contoso のビジネス ユーザーはビジネス目的で必要に応じて招待アクションを実行するため、このプロセスはアドホックと見なされます。 共有される各項目は、外部ユーザーがコンテンツを表示するためにアクセスできる単一のリンクです。

外部ユーザーが Contoso リソースへのアクセスを招待されると、Contoso Azure AD でシャドウ アカウントが作成される可能性があり、もう一度招待する必要はありません。 Power BI ダッシュボードのような Contoso リソースに初めてアクセスしようとすると、同意プロセスが実行され、招待が引き換えられます。 同意を完了しなかった場合、Contoso のコンテンツにはアクセスできません。 元のリンクを使用して招待を引き換える際に問題が発生した場合、Azure AD 管理者は特定の招待リンクを再送信して引き換えることができます。

アイテム共有ごとに計画済み

Contoso は下請け業者と協力して、ラジエータの信頼性分析を実行します。 下請け業者には、Contoso の Power BI 環境でデータにアクセスする必要がある 10 人のチームがあります。 Contoso Azure AD 管理者は、すべてのユーザーを招待し、下請け業者の変更担当者として追加/変更を処理するために関与します。 Azure AD 管理者は、下請け業者のすべての従業員のセキュリティ グループを作成します。 セキュリティ グループを使用すると、Contoso の従業員はレポートへのアクセスを簡単に管理し、必要なすべての下請け業者の担当者が必要なすべてのレポート、ダッシュボード、Power BI アプリにアクセスできるようにします。 また、Azure AD 管理者は、Contoso または下請け業者で信頼できる従業員に招待権を委任し、タイムリーな人員管理を確保することで、招待プロセスに関与しないようにすることもできます。

組織によっては、外部ユーザーを追加するタイミング、外部組織の多くのユーザーを招待するタイミング、または多くの外部組織を招待するタイミングをより詳細に制御する必要があります。 このような場合、計画的な共有を使用して、共有の規模を管理したり、組織のポリシーを適用したり、信頼できる個人に外部ユーザーを招待および管理する権限を委任したりできます。 Azure AD B2B では、計画された招待を 、IT 管理者が Azure portal から直接送信するか、または一連のユーザーを 1 つのアクションで招待できる 招待マネージャー API を使用して PowerShell を介して 送信することをサポートしています。 計画された招待アプローチを使用して、組織はユーザーを招待し、承認プロセスを実装できるユーザーを制御できます。 動的グループなどの高度な Azure AD 機能を使用すると、セキュリティ グループのメンバーシップを自動的に簡単に維持できます。

Control which guests can see content

  1. このプロセスは、IT 管理者がゲスト ユーザーを手動で招待するか、Azure Active Directory によって提供される API を使用して招待することから始まります。
  2. ユーザーは、組織への招待を受け入れます。
  3. ユーザーが招待を承諾すると、Power BI のユーザーは、レポートまたはダッシュボードを外部ユーザーまたは自分が参加しているセキュリティ グループと共有できます。 Power BI の通常の共有と同様に、外部ユーザーはアイテムへのリンクを含む電子メールを受信します。
  4. 外部ユーザーがリンクにアクセスすると、ディレクトリ内の認証が Contoso の Azure AD に渡され、Power BI コンテンツへのアクセスに使用されます。

Power BI アプリのアドホックまたは計画的な共有

Contoso には、1 つ以上のサプライヤーと共有する必要がある一連のレポートとダッシュボードがあります。 必要なすべての外部ユーザーがこのコンテンツにアクセスできるようにするために、Power BI アプリとしてパッケージ化されます。 外部ユーザーは、アプリのアクセス リストに直接追加されるか、セキュリティ グループを介して追加されます。 その後、Contoso の他のユーザーが、電子メールなど、すべての外部ユーザーにアプリの URL を送信します。 外部ユーザーがリンクを開くと、すべてのコンテンツが 1 つの操作しやすいエクスペリエンスで表示されます。

Power BI アプリを使用すると、Contoso はサプライヤー向けの BI ポータルを簡単に構築できます。 1 つのアクセス リストは、必要なすべてのコンテンツへのアクセスを制御し、無駄な時間のチェックとアイテム レベルのアクセス許可の設定を減らします。 Azure AD B2B は、サプライヤーのネイティブ ID を使用してセキュリティ アクセスを維持するため、ユーザーは追加のログイン資格情報を必要としません。 セキュリティ グループで計画的な招待を使用する場合は、担当者がプロジェクトに入ったり外に入ったり出したりすると、アプリへのアクセス管理が簡素化されます。 サプライヤーのすべての外部ユーザーが適切なセキュリティ グループに自動的に追加されるように、手動で、または 動的グループを使用してセキュリティ グループのメンバーシップ。

Control content with AAD

  1. このプロセスは、Azure portal または PowerShell を使用して Contoso の Azure AD 組織に招待されたユーザーによって開始されます。
  2. ユーザーは、Azure AD のユーザー グループに追加できます。 静的または動的なユーザー グループを使用できますが、動的グループは手動作業を減らすのに役立ちます。
  3. 外部ユーザーには、ユーザー グループを介して Power BI アプリへのアクセス権が付与されます。 アプリの URL は、外部ユーザーに直接送信するか、アクセス権を持つサイトに配置する必要があります。 Power BI では、アプリのリンクを含む電子メールを外部ユーザーに送信するように最善の努力をしていますが、メンバーシップが変更される可能性があるユーザー グループを使用する場合、Power BI はユーザー グループを通じて管理されているすべての外部ユーザーに送信することはできません。
  4. 外部ユーザーが Power BI アプリの URL にアクセスすると、Contoso の Azure AD によって認証され、ユーザー用にアプリがインストールされ、ユーザーはアプリ内に含まれるすべてのレポートとダッシュボードを表示できます。

アプリには、アプリ作成者がユーザーに対してアプリケーションを自動的にインストールできる固有の機能もあります。そのため、ユーザーがログインしたときに使用できます。 この機能は、アプリケーションの発行または更新時に既に Contoso の組織に属している外部ユーザーにのみ自動的にインストールされます。 したがって、これは計画的な招待アプローチで最適に使用され、ユーザーが Contoso の Azure AD に追加された後に発行または更新されるアプリに依存します。 外部ユーザーは、アプリ リンクを使用していつでもアプリをインストールできます。

組織全体のコンテンツのコメントとサブスクライブ

Contoso は下請け業者やサプライヤーと協力し続けるので、外部エンジニアは Contoso のアナリストと緊密に連携する必要があります。 Power BI には、ユーザーが使用できるコンテンツについてユーザーがコミュニケーションを取るのに役立つ複数のコラボレーション機能が用意されています。 ダッシュボードのコメント (および間もなくレポートのコメント) を使用すると、ユーザーは表示されるデータ ポイントについて話し合い、レポート作成者と連絡を取って質問することができます。

現在、外部ゲスト ユーザーは、コメントを残して返信を読むことで、コメントに参加できます。 ただし、内部ユーザーとは異なり、ゲスト ユーザーは @mentioned コメントを受け取ったという通知を受け取ることができません。 ゲスト ユーザーは、書き込み時に Power BI 内でサブスクリプション機能を使用できません。 今後のリリースでは、これらの制限が解除され、ゲスト ユーザーにコメント @mentions を付けたり、Power BI のコンテンツへのリンクを含むサブスクリプションがメールに配信されたりすると、電子メールが届きます。

Power BI モバイル アプリのコンテンツにアクセスする

今後のリリースでは、Contoso のユーザーが外部のゲストに対応するユーザーとレポートまたはダッシュボードを共有すると、Power BI からゲストに通知する電子メールが送信されます。 ゲスト ユーザーがモバイル デバイス上のレポートまたはダッシュボードへのリンクを開くと、コンテンツはデバイス上のネイティブ Power BI モバイル アプリ (インストールされている場合) で開きます。 ゲスト ユーザーは、外部テナントで共有されているコンテンツ間を移動し、ホーム テナントから自分のコンテンツに戻ることができるようになります。

Note

ゲスト ユーザーは Power BI モバイル アプリを開くことができず、すぐに外部テナントに移動します。外部テナント内のアイテムへのリンクから始める必要があります。 一般的な回避策については、このドキュメントの後半の「 親組織の Power BI」セクションのコンテンツへのリンクの配布 に関するページで説明します。

組織間での Power BI コンテンツの編集と管理

Contoso とそのサプライヤーと下請け業者は、ますます緊密に連携しています。 多くの場合、下請け業者のアナリストは、Contoso が共有したレポートに追加のメトリックまたはデータの視覚化を追加する必要があります。 データは Contoso の Power BI テナントに存在する必要がありますが、外部ユーザーはデータを編集し、新しいコンテンツを作成し、適切な個人に配布できる必要があります。

Power BI には、 外部ゲスト ユーザーが組織内のコンテンツを編集および管理できるようにする オプションが用意されています。 既定では、外部ユーザーのアクセスは読み取り専用で、使用することに重点が置かれています。 ただし、この新しい設定により Power BI 管理者は、自分の組織内のコンテンツを編集したり、管理したりできる外部ユーザーを選択できます。 外部ユーザーは、許可されると、レポートとダッシュボードの編集、アプリの発行または更新、ワークスペースでの作業、および使用するアクセス許可があるデータへの接続を行うことができます。

このシナリオについては、このドキュメントの後半の「外部ユーザーが Power BI 内でコンテンツを編集および管理できるようにする」セクションで詳しく説明します。

Power BI と Azure AD B2B を使用した組織関係

Power BI のすべてのユーザーが組織の内部にいる場合は、Azure AD B2B を使用する必要はありません。 ただし、2 つ以上の組織がデータと分析情報に関して共同作業を行う場合、Power BI の Azure AD B2B のサポートにより、簡単かつコスト効率が高くなります。

通常、Power BI の Azure AD B2B スタイルの組織間コラボレーションに適した組織構造を次に示します。 Azure AD B2B はほとんどの場合うまく機能しますが、場合によっては、このドキュメントの最後で説明する一般的な代替方法を検討する価値があります。

ケース 1: 組織間の直接の共同作業

Contoso とラジエター サプライヤーの関係は、組織間の直接的なコラボレーションの一例です。 Contoso とそのサプライヤーにはラジエータの信頼性情報にアクセスする必要があるユーザーが比較的少ないため、Azure AD B2B ベースの外部共有を使用するのが理想的です。 使いやすく、管理が簡単です。 これは、コンサルタントが組織のコンテンツを構築する必要があるコンサルティング サービスの一般的なパターンでもあります。

Share between organizations

通常、この共有は、最初は項目ごとのアドホック共有を使用して行われます。 ただし、チームが成長したり関係が深くなったりすると、管理オーバーヘッドを軽減するための推奨される方法として、項目ごとの共有の計画アプローチが推奨されます。 さらに、Power BI Apps のアドホックまたは計画的な共有、組織全体のコンテンツへのコメントとサブスクライブ、モバイル アプリ内のコンテンツへのアクセス、Power BI コンテンツのクロス組織編集と管理も可能です。 重要なのは、両方の組織のユーザーがそれぞれの組織で Power BI Pro ライセンスを持っている場合、それらの Pro ライセンスを互いの Power BI 環境で使用できることです。 これは、招待元の組織が外部ユーザーの Power BI Pro ライセンスに対して支払う必要がない場合があるため、有利なライセンスを提供します。 これについては、このドキュメントの後半の「ライセンス」セクションで詳しく説明します。

ケース 2: 親およびその子会社または関連会社

一部の組織構造は、一部または完全に所有される子会社、関連会社、マネージド サービス プロバイダーの関係など、より複雑です。 これらの組織には持ち株会社などの親組織がありますが、基になる組織は半自律的に、場合によっては地域の要件が異なる場合があります。 これにより、各組織は独自の Azure AD 環境を持ち、Power BI テナントを分離できます。

Working with subsidiaries

この構造では、親組織は通常、標準化された分析情報を子会社に配布する必要があります。 通常、この共有は、次の図に示すように、Power BI Apps アプローチのアドホック共有または計画共有を使用して行われます。これは、標準化された権限のあるコンテンツを幅広いユーザーに配布できるためです。 実際には、このドキュメントで前述したすべてのシナリオの組み合わせを使用します。

Combining scenarios

これは、次のプロセスに従います。

  1. 各子会社のユーザーは、Contoso の Azure AD に招待されます
  2. その後、Power BI アプリが発行され、これらのユーザーが必要なデータにアクセスできるようになります
  3. 最後に、ユーザーは、レポートを表示するために指定されたリンクを使用してアプリを開きます。

この構造の組織は、いくつかの重要な課題に直面しています。

  • 親組織の Power BI でコンテンツへのリンクを配布する方法
  • 親組織がホストするデータ ソースに、子会社のユーザーがアクセスできるようにする方法

3 つの方法は、通常、コンテンツへのリンクを配布するために使用されます。 最初に最も基本的なのは、アプリへのリンクを必要なユーザーに送信するか、開くことができる SharePoint Online サイトに配置することです。 その後、ユーザーはブラウザーのリンクをブックマークして、必要なデータにすばやくアクセスできます。

2 つ目のアプローチは、Power BI コンテンツ機能のクロス組織編集と管理に依存しています。 親組織では、子会社のユーザーが Power BI にアクセスし、アクセス許可を通じてアクセスできる内容を制御できます。 これにより、子会社のユーザーが親組織のテナントで共有されているコンテンツの包括的な一覧が表示される Power BI Home にアクセスできます。 その後、親組織の Power BI 環境への URL が、子会社のユーザーに付与されます。

最後のアプローチでは、各子会社の Power BI テナント内に作成された Power BI アプリを使用します。 Power BI アプリには、 外部リンク オプションで構成されたタイルを含むダッシュボードが含まれています。 ユーザーがタイルを押すと、親組織の Power BI の適切なレポート、ダッシュボード、またはアプリに移動します。 この方法では、アプリを子会社内のすべてのユーザーに対して自動的にインストールでき、独自の Power BI 環境にサインインするたびに利用できるという利点が追加されています。 この方法の追加の利点は、リンクをネイティブに開くことができる Power BI モバイル アプリで適切に動作することです。 これを 2 番目のアプローチと組み合わせて、Power BI 環境間の切り替えを容易にすることもできます。

親組織がホストするデータ ソースへのアクセスを子会社ユーザーに許可する

多くの場合、子会社のアナリストは、親組織から提供されたデータを使用して独自の分析を作成する必要があります。 この場合、一般的にクラウド データ ソースを使用して課題に対処します。

最初のアプローチでは、 Azure Analysis Services を利用して、次の図に示すように、親とその子会社全体のアナリストのニーズに対応するエンタープライズ グレードのデータ ウェアハウスを構築します。 Contoso はデータをホストし、行レベルのセキュリティなどの機能を使用して、各子会社のユーザーが自分のデータにのみアクセスできるようにします。 各組織のアナリストは、Power BI Desktop を介してデータ ウェアハウスにアクセスし、結果の分析をそれぞれの Power BI テナントに発行できます。

How sharing occurs with Power BI tenants

2 つ目のアプローチでは、 Azure SQL Database を 利用してリレーショナル データ ウェアハウスを構築し、データへのアクセスを提供します。 これは Azure Analysis Services アプローチと同様に機能しますが、行レベルのセキュリティなどの一部の機能は、子会社間でのデプロイと保守が困難な場合があります。

より洗練されたアプローチも可能ですが、上記が最も一般的です。

ケース 3: パートナー間の共有環境

Contoso は、競合他社とのパートナーシップを結び、共有の組み立てライン上に車を共同で構築しますが、異なるブランドまたは異なる地域で車両を配布する場合があります。 これには、組織全体にわたるデータ、インテリジェンス、分析の広範なコラボレーションと共同所有権が必要です。 この構造は、コンサルタントのチームがクライアントに対してプロジェクトベースの分析を行うコンサルティング サービス業界でも一般的です。

Shared environment across partners

実際には、これらの構造は次の図に示すように複雑であり、スタッフに保守を要求します。 この構造を有効にするには、組織がそれぞれの Power BI テナント用に購入した Power BI Pro ライセンスを再利用できるため、組織間での Power BI コンテンツ機能の編集と管理に依存します。

Licenses and shared organization content

共有 Power BI テナントを確立するには、Azure Active Directory を作成する必要があり、その Active Directory 内のユーザーに対して少なくとも 1 つの Power BI Pro ユーザー アカウントを購入する必要があります。 このユーザーは、必要なユーザーを共有組織に招待します。 重要なのは、このシナリオでは、Contoso のユーザーは、共有組織の Power BI 内で操作するときに外部ユーザーとして扱われます。

このプロセスは次のとおりです。

  1. 共有組織は新しい Azure Active Directory として確立され、新しい組織に少なくとも 1 つのユーザー アカウントが作成されます。 そのユーザーには、Power BI Pro ライセンスが割り当てられている必要があります。
  2. その後、このユーザーは Power BI テナントを確立し、Contoso とパートナー組織から必要なユーザーを招待します。 ユーザーは、Azure Analysis Services などの共有データ資産も確立します。 Contoso とパートナーのユーザーは、共有組織の Power BI にゲスト ユーザーとしてアクセスできます。 Power BI でコンテンツの編集と管理が許可されている場合、外部ユーザーは Power BI ホームの使用、ワークスペースの使用、コンテンツのアップロード、編集、レポートの共有を行うことができます。 通常、すべての共有資産は、共有組織から格納され、アクセスされます。
  3. 関係者が共同作業にどのように同意するかに応じて、各組織が共有データ ウェアハウス資産を使用して独自のデータと分析を開発できます。 内部 Power BI テナントを使用して、それらのユーザーをそれぞれの内部ユーザーに配布できます。

ケース 4: 数百または数千の外部パートナーへの配布

Contoso は 1 つのサプライヤーに対してラジエータ信頼性レポートを作成しましたが、数百のサプライヤーに対して標準化された一連のレポートを作成したいと思っています。 これにより、Contoso は、改善や製造上の欠陥の修正に必要な分析を、すべてのサプライヤーに確実に提供できます。

Distribution to many partners

標準化されたデータと分析情報を多くの外部ユーザー/組織に配布する必要がある場合は、Power BI Apps シナリオのアドホック共有または計画共有を使用して、大規模な開発コストなしで迅速かつ迅速に BI ポータルを構築できます。 Power BI アプリを使用してこのようなポータルを構築するプロセスについては、「ケース スタディ: Power BI + Azure AD B2B を使用した BI ポータルの構築 - このドキュメントの後半の手順」で説明します。

このケースの一般的なバリエーションは、特に Power BI で Azure B2C を使用する場合に、組織がコンシューマーと分析情報を共有しようとしているときです。 Power BI は、Azure B2C をネイティブにサポートしていません。 この場合のオプションを評価する場合は、このドキュメントの後半の「一般的な代替方法」の代替オプション 2 を使用することを検討してください。

ケース スタディ: Power BI + Azure AD B2B を使用した BI ポータルの構築 – 手順

Power BI と Azure AD B2B の統合により、Contoso はシームレスで手間のかからない方法で、ゲスト ユーザーに BI ポータルへの安全なアクセスを提供できます。 Contoso はこれを次の 3 つの手順で設定できます。

Building a portal

  1. Power BI で BI ポータルを作成する

    Contoso の最初のタスクは、Power BIで BI ポータルを作成することです。 Contoso の BI ポータルは、多くの内部ユーザーとゲスト ユーザーが利用できる専用のダッシュボードとレポートのコレクションで構成されます。 Power BIでこれを行うには、Power BI アプリをビルドすることをお勧めします。 Power BIのアプリについて詳しくは、こちらをご覧ください。

  • Contoso の BI チームがPower BIにワークスペースを作成する

    workspace

  • 他の作成者がワークスペースに追加される

    Add authors

  • ワークスペース内にコンテンツが作成される

    Create content inside the workspace

    ワークスペースにコンテンツが作成されたので、Contoso はパートナー組織のゲスト ユーザーを招待してこのコンテンツを使用する準備ができました。

  1. ゲスト ユーザーを招待する

    Contoso がゲスト ユーザーを Power BI の BI ポータルに招待するには、次の 2 つの方法があります。

    • 計画された招待
    • アドホック招待

    計画された招待

    このアプローチでは、Contoso はゲスト ユーザーを事前にAzure ADに招待し、Power BIコンテンツを配布します。 Contoso は、Azure portalまたは PowerShell を使用してゲスト ユーザーを招待できます。 Azure portalからゲスト ユーザーを招待する手順を次に示します。

    • Contoso のAzure AD管理者が Azure portal>Azure Active Directory>UsersAll>usersNew>ゲスト ユーザーに移動する

    Guest user

    • ゲスト ユーザーの招待メッセージを追加し、[招待] をクリックします。

    Add invitation

    Note

    Azure portalからゲスト ユーザーを招待するには、テナントのAzure Active Directoryの管理者が必要です。

    Contoso が多数のゲスト ユーザーを招待する場合は、PowerShell を使用して招待できます。 Contoso のAzure AD管理者は、すべてのゲスト ユーザーの電子メール アドレスを CSV ファイルに格納します。 B2B コラボレーション コードと PowerShell のサンプルと手順Azure Active Directory次に示します。

    招待後、ゲスト ユーザーは招待リンクを含む電子メールを受け取ります。

    Invitation link

    ゲスト ユーザーは、リンクをクリックすると、Contoso Azure AD テナント内のコンテンツにアクセスできます。

    Note

    ここで説明するように、Azure ADのブランド化機能を使用して、招待メールのレイアウトを変更できます。

    アドホック招待

    事前に招待するすべてのゲスト ユーザーを Contoso が認識していない場合はどうでしょうか。 または、BI ポータルを作成した Contoso のアナリストがゲスト ユーザー自身にコンテンツを配布する場合はどうでしょうか。 また、アドホック招待を使用したPower BIでも、このシナリオがサポートされます。

    アナリストは、公開時に外部ユーザーをアプリのアクセス リストに追加できます。 ゲスト ユーザーは招待を受け取り、承諾すると、自動的にPower BIコンテンツにリダイレクトされます。

    Add external user

    Note

    招待は、外部ユーザーが組織に初めて招待された場合にのみ必要です。

  2. [ドライバー パッケージ]

    Contoso の BI チームが BI ポータルを作成し、ゲスト ユーザーを招待したら、ゲスト ユーザーにアプリへのアクセス権を付与して発行することで、ポータルをエンド ユーザーに配布できます。 Power BIは、以前に Contoso テナントに追加されたゲスト ユーザーの名前を自動補完します。 この時点で、他のゲスト ユーザーへのアドホック招待を追加することもできます。

    Note

    セキュリティ グループを使用して外部ユーザーのアプリへのアクセスを管理する場合は、計画された招待アプローチを使用し、アクセスする必要がある各外部ユーザーと直接アプリ リンクを共有します。 そうしないと、外部ユーザーがapp._内からコンテンツをインストールまたは表示できない可能性があります

    ゲスト ユーザーは、アプリへのリンクを含む電子メールを受け取ります。

    Email invitation link

    このリンクをクリックすると、ゲスト ユーザーは自分の組織の ID で認証するように求められます。

    Sign in page

    認証が正常に完了すると、Contoso の BI アプリにリダイレクトされます。

    See shared content

    ゲスト ユーザーは、その後、メール内のリンクをクリックするか、リンクをブックマークすることで、Contoso のアプリにアクセスできます。 Contoso は、ゲスト ユーザーが既に使用している既存のエクストラネット ポータルにこのリンクを追加することで、ゲスト ユーザーを容易にすることもできます。

  3. 次の手順

    Contoso は、Power BI アプリと B2B Azure ADを使用して、コードなしの方法でサプライヤー向けの BI ポータルをすばやく作成できました。 これにより、標準化された分析を必要とするすべてのサプライヤーに配布する作業が大幅に簡素化されました。

    この例では、1 つの共通レポートをサプライヤー間で配布する方法を示しましたが、Power BIさらに進むことができます。 各パートナーが自分に関連するデータのみを確認できるように、行レベルのセキュリティをレポートとデータ モデルに簡単に追加できます。 このドキュメントの後半の「外部パートナーのデータ セキュリティ」セクションでは、このプロセスについて詳しく説明します。

    多くの場合、個々のレポートとダッシュボードを既存のポータルに埋め込む必要があります。 これは、この例に示されている手法の多くを再利用して実現することもできます。 ただし、このような状況では、ワークスペースから直接レポートやダッシュボードを埋め込む方が簡単な場合があります。 必要なユーザーにセキュリティアクセス許可を招待して割り当てるプロセスは変わりません。

内部: Supplier1 の Lucy は、Contoso のテナントからPower BIコンテンツにアクセスするにはどうすればよいですか?

Contoso がパートナー組織のゲスト ユーザーにPower BIコンテンツをシームレスに配布する方法を見てきたので、これを内部でどのように機能させるかを見てみましょう。

Contoso がそのディレクトリに招待lucy@supplier1.comされると、Azure ADは Contoso Azure AD テナントとの間Lucy@supplier1.comにリンクを作成します。 このリンクAzure AD、Contoso テナント内のコンテンツにアクセスできることを知Lucy@supplier1.comることができます。

Lucy が Contoso のPower BI アプリにアクセスしようとすると、Azure ADは Lucy が Contoso テナントにアクセスできることを確認し、Lucy が Contoso テナント内のコンテンツにアクセスするために認証されていることを示すトークンをPower BI提供します。 Power BIは、このトークンを使用して、Lucy が Contoso のPower BI アプリにアクセスできることを承認し、確認します。

Verification and authorization

Power BIと Azure AD B2B の統合は、すべてのビジネス電子メール アドレスで機能します。 ユーザーがAzure AD ID を持っていない場合は、作成するように求められる場合があります。 次の図は、詳細なフローを示しています。

Integration flow chart

Azure AD アカウントが外部パーティーのAzure ADで使用または作成されることを認識することが重要です。これにより、Lucy は独自のユーザー名とパスワードを使用することができ、組織がAzure ADを使用するときに Lucy が退職するたびに、その資格情報が他のテナントで自動的に動作しなくなります。

ライセンス

Contoso は、サプライヤーやパートナー組織のゲスト ユーザーにPower BIコンテンツへのアクセス許可を付与する 3 つの方法のいずれかを選択できます。

Note

Azure AD B2B の Free レベルは、Azure AD B2B でPower BIを使用するのに十分です。 動的グループなどの一部の高度なAzure AD B2B 機能には、追加のライセンスが必要です。 詳細については、Azure AD B2B ドキュメントを参照してください。https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance

方法 1: Contoso はPower BI Premiumを使用する

このアプローチでは、Contoso は容量Power BI Premium購入し、その BI ポータルのコンテンツをこの容量に割り当てます。 これにより、パートナー組織のゲスト ユーザーは、Power BIライセンスなしで Contoso のPower BI アプリにアクセスできます。

外部ユーザーは、Power BI Premium内のコンテンツを使用する場合、Power BIの "無料" ユーザーに提供される消費のみのエクスペリエンスの対象となります。

Contoso は、更新レートの向上、容量、大規模なモデル サイズなど、アプリの他のPower BI Premium 機能を利用することもできます。

Additional capabilities

方法 2: Contoso がゲスト ユーザーにPower BI Proライセンスを割り当てる

このアプローチでは、Contoso はパートナー組織のゲスト ユーザーに Pro ライセンスを割り当てます。これは Contoso のMicrosoft 365 管理センターから行うことができます。 これにより、パートナー組織のゲスト ユーザーは、ライセンスを購入しなくても Contoso のPower BI アプリにアクセスできます。 これは、組織がまだPower BIを採用していない外部ユーザーと共有する場合に適しています。

Note

Contoso の Pro ライセンスは、Contoso テナント内のコンテンツにアクセスする場合にのみゲスト ユーザーに適用されます。 Proライセンスを使用すると、Power BI Premium容量に含まれていないコンテンツにアクセスできます。 ただし、Pro ライセンスを持つ外部ユーザーは、既定で従量課金のみのエクスペリエンスに制限されます。 これは、このドキュメントで後述する「外部ユーザーがコンテンツを編集および管理できるようにする」セクションPower BI説明されている方法を使用して変更できます。

License information

方法 3: ゲスト ユーザーが自分のPower BI Pro ライセンスを持ち込む

この方法では、サプライヤー 1 は Lucy にPower BI Pro ライセンスを割り当てます。 その後、このライセンスを使用して Contoso のPower BI アプリにアクセスできます。 Lucy は外部のPower BI環境にアクセスするときに、自分の組織のPro ライセンスを使用できるため、このアプローチはライセンス持ち込み (BYOL) と呼ばれることもあります。 両方の組織がPower BIを使用している場合、これにより分析ソリューション全体に有利なライセンスが提供され、外部ユーザーにライセンスを割り当てるオーバーヘッドが最小限に抑えられます。

Note

サプライヤー 1 によって Lucy に付与される pro ライセンスは、Lucy がゲスト ユーザーであるPower BIテナントに適用されます。 Proライセンスを使用すると、Power BI Premium容量に含まれていないコンテンツにアクセスできます。 ただし、Pro ライセンスを持つ外部ユーザーは、既定で従量課金のみのエクスペリエンスに制限されます。 これは、このドキュメントで後述する「外部ユーザーがコンテンツを編集および管理できるようにする」セクションPower BI説明されている方法を使用して変更できます。

Pro license requirements

外部パートナー向けのデータ セキュリティ

一般に、複数の外部サプライヤーと連携する場合、Contoso は各サプライヤーが自社製品に関するデータのみを確認する必要があります。 ユーザー ベースのセキュリティと動的な行レベルのセキュリティにより、Power BIで簡単に実現できます。

ユーザー ベースのセキュリティ

Power BIの最も強力な機能の 1 つは、行レベルのセキュリティです。 この機能により、Contoso は 1 つのレポートとデータセットを作成できますが、ユーザーごとに異なるセキュリティ規則を適用できます。 詳細な説明については、 行レベルのセキュリティ (RLS) を参照してください。

Power BIと Azure AD B2B の統合により、Contoso は、Contoso テナントに招待されるとすぐに、ゲスト ユーザーに行レベルのセキュリティ規則を割り当てることができます。 前に説明したように、Contoso は計画的またはアドホックの招待を通じてゲスト ユーザーを追加できます。 Contoso が行レベルのセキュリティを適用する場合は、計画された招待を使用して、事前にゲスト ユーザーを追加し、コンテンツを共有する前にセキュリティ ロールに割り当てることを強くお勧めします。 代わりに Contoso がアドホック招待を使用する場合は、ゲスト ユーザーがデータを表示できない期間が短い場合があります。

Note

アドホック招待を使用する場合に RLS によって保護されたデータへのアクセスが遅延すると、ユーザーが受信したメールで共有リンクを開くと、空白または壊れた見た目のレポート/ダッシュボードが表示されるため、IT チームへのサポート要求が発生する可能性があります。 したがって、このシナリオでは計画された招待を使用することを強くお勧めします。**

例を見てみましょう。

前述のように、Contoso には世界中にサプライヤーがいて、サプライヤー組織のユーザーが自分の担当地域からのデータから洞察を得ることを確認したいと考えています。 ただし、Contoso のユーザーはすべてのデータにアクセスできます。 Contoso は、複数の異なるレポートを作成する代わりに、1 つのレポートを作成し、それを表示するユーザーに基づいてデータをフィルター処理します。

Shared content

Contoso が接続しているユーザーに基づいてデータをフィルター処理できるようにするには、Power BIデスクトップに 2 つのロールが作成されます。 1 つは SalesTerritory "Europe" のすべてのデータをフィルター処理し、もう 1 つは "北米" にフィルター処理します。

Managing roles

レポートでロールが定義されている場合は常に、ユーザーがデータにアクセスできるように特定のロールにユーザーを割り当てる必要があります。 ロールの割り当ては、Power BI サービス内で行われます (データセット セキュリティ>)

Setting security

これにより、Contoso の BI チームが作成した 2 つのロールを確認できるページが開きます。 Contoso の BI チームは、ロールにユーザーを割り当てることができます。

Row-level security

例では、Contoso は、ヨーロッパロールに電子メール アドレス admin@fabrikam.com を持つパートナー組織のユーザーを追加しています。

Row-level security settings

これがAzure ADによって解決されると、追加する準備ができているウィンドウに名前が表示されます。

Show roles

このユーザーが共有されたアプリを開くと、ヨーロッパのデータを含むレポートのみが表示されます。

View content

動的な行レベルのセキュリティ

もう 1 つの興味深いトピックは、動的な行レベル セキュリティ (RLS) が Azure AD B2B でどのように機能するかを確認することです。

つまり、動的な行レベルのセキュリティは、Power BIに接続しているユーザーのユーザー名に基づいてモデル内のデータをフィルター処理することによって機能します。 ユーザーのグループに複数のロールを追加する代わりに、モデルでユーザーを定義します。 ここではパターンについて詳しく説明しません。 Kasper de Jong では、Power BI Desktop動的セキュリティ チート シートこのホワイトペーパーで、行レベルのセキュリティのすべての種類に関する詳細な書き上げを提供しています。

小さな例を見てみましょう。Contoso には、グループ別の売上に関する簡単なレポートがあります。

Sample content

このレポートは、2 人のゲスト ユーザーと内部ユーザーと共有する必要があります。内部ユーザーはすべて表示できますが、ゲスト ユーザーはアクセスできるグループのみを表示できます。 つまり、ゲスト ユーザーのデータのみをフィルター処理する必要があります。 Contoso は、データを適切にフィルター処理するために、ホワイトペーパーとブログ記事で説明されているように、動的 RLS パターンを使用します。 つまり、Contoso はユーザー名をデータ自体に追加します。

View RLS users to the data itself

次に、Contoso は適切なリレーションシップを使用してデータを適切にフィルター処理する適切なデータ モデルを作成します。

Appropriate data is shown

ログインしているユーザーに基づいてデータを自動的にフィルター処理するには、Contoso は接続しているユーザーを渡すロールを作成する必要があります。 この場合、Contoso は 2 つのロールを作成します。1 つ目は、Power BIにログインしているユーザーの現在のユーザー名で Users テーブルをフィルター処理する "securityrole" です (これは、Azure AD B2B ゲスト ユーザーでも機能します)。

Manage roles

Contoso は、すべてを表示できる内部ユーザーに対して別の "AllRole" も作成します。このロールにはセキュリティ述語はありません。

Power BI デスクトップ ファイルをサービスにアップロードした後、Contoso はゲスト ユーザーを "SecurityRole" に割り当て、内部ユーザーを "AllRole" に割り当てることができます。

これで、ゲスト ユーザーがレポートを開くと、グループ A からの売上のみが表示されます。

Only from group A

右側のマトリックスでは、USERNAME() 関数と USERPRINCIPALNAME() 関数の両方がゲスト ユーザーの電子メール アドレスを返す結果を確認できます。

これで、内部ユーザーにすべてのデータが表示されます。

All data shown

ご覧のように、動的 RLS は内部ユーザーとゲスト ユーザーの両方で動作します。

Note

このシナリオは、Azure Analysis Servicesでモデルを使用する場合にも機能します。 通常、Azure Analysis Service はPower BIと同じAzure ADに接続されます。その場合、Azure AD B2B を通じて招待されたゲスト ユーザーも認識Azure Analysis Services。

オンプレミスのデータ ソースへの接続

Power BIでは、オンプレミス データ ゲートウェイのおかげで、SQL Server Analysis ServicesSQL Serverなどのオンプレミスのデータ ソースを Contoso が直接活用できます。 Power BIで使用されるのと同じ資格情報を使用して、これらのデータ ソースにサインオンすることもできます。

Note

ゲートウェイをインストールしてPower BIテナントに接続する場合は、テナント内に作成されたユーザーを使用する必要があります。 外部ユーザーがゲートウェイをインストールしてtenant._に接続することはできません

外部ユーザーの場合は、通常、外部ユーザーがオンプレミス AD に認識されないため、これはより複雑になる可能性があります。 Power BIでは、「データ ソースの管理 - Analysis Services」の説明に従って、Contoso 管理者が外部ユーザー名を内部ユーザー名にマップできるようにすることで、これを回避できます。 たとえば、 lucy@supplier1.comlucy_supplier1_com#EXT@contoso.com にマップできます。

Mapping user names

この方法は、Contoso が少数のユーザーしか持っていない場合、または Contoso がすべての外部ユーザーを 1 つの内部アカウントにマップできる場合に問題ありません。 各ユーザーが独自の資格情報を必要とするより複雑なシナリオでは、「データ ソースの管理 - Analysis Services」の説明に従って、カスタム AD 属性を使用してマッピングを実行する、より高度なアプローチがあります。 これにより、Contoso 管理者は、Azure AD内のすべてのユーザー (外部 B2B ユーザー) のマッピングを定義できます。 これらの属性は、スクリプトまたはコードを使用して AD オブジェクト モデルを使用して設定できるため、Contoso は招待時またはスケジュールされた周期でマッピングを完全に自動化できます。

外部ユーザーがPower BI内のコンテンツを編集および管理できるようにする

Contoso は、組織間でのコンテンツの編集と管理に関するセクションで前述したように、外部ユーザーが組織内のコンテンツPower BI投稿することを許可できます。

Note

組織のPower BI内のコンテンツを編集および管理するには、ユーザーがマイ ワークスペース以外のワークスペースにPower BI Pro ライセンスを持っている必要があります。 ユーザーは、このドキュメントの「ライセンス」セクションの説明に従って、Proライセンスを取得できます。

Power BI管理ポータルでは、外部ゲスト ユーザーがテナント設定の組織設定のコンテンツを編集および管理できます。 既定では、この設定は無効に設定されています。つまり、外部ユーザーは既定で制約付きの読み取り専用エクスペリエンスを取得します。 この設定は、userType が Azure AD の Guest に設定されているユーザーに適用されます。 次の表では、UserType と設定の構成方法に応じて、ユーザーが経験する動作について説明します。

Azure ADのユーザーの種類 外部ゲスト ユーザーによるコンテンツ設定の編集と管理を許可する Behavior
ゲスト ユーザーに対して無効 (既定値) アイテムごとの消費量のみ表示されます。 ゲスト ユーザーに送信された URL で表示されたレポート、ダッシュボード、アプリへの読み取り専用アクセスを許可します。 Power BI Mobile アプリは、ゲスト ユーザーに読み取り専用ビューを提供します。
ゲスト ユーザーに対して有効 外部ユーザーは完全なPower BIエクスペリエンスにアクセスできますが、一部の機能は利用できません。 外部ユーザーは、テナント情報を含む Power BI サービス URL を使用してPower BIにログインする必要があります。 ユーザーはホーム エクスペリエンス、マイ ワークスペースを取得し、アクセス許可に基づいてコンテンツを参照、表示、作成できます。

Power BI Mobile アプリは、ゲスト ユーザーに読み取り専用ビューを提供します。

Note

Azure ADの外部ユーザーを UserType メンバーに設定することもできます。 これは現在、Power BIではサポートされていません。

Power BI管理ポータルで、設定を次の図に示します。

Administrator settings

ゲスト ユーザーは、読み取り専用の既定のエクスペリエンスを取得し、コンテンツを編集および管理できます。 既定値は [無効] です。つまり、すべてのゲスト ユーザーに読み取り専用のエクスペリエンスがあります。 Power BI管理者は、組織内のすべてのゲスト ユーザーまたは Azure AD で定義されている特定のセキュリティ グループに対して設定を有効にすることができます。 次の図では、Contoso Power BI 管理者が、Contoso テナントのコンテンツを編集および管理できる外部ユーザーを管理するために、Azure ADにセキュリティ グループを作成しました。

これらのユーザーがPower BIにログインできるようにするには、テナント URL を指定します。 テナントの URL を見つけるには、次の手順に従います。

  1. Power BI サービスの上部のメニューで、[ヘルプ ] ( [? ] ) 、[Power BIについて] の順に選択します。

  2. [テナントの URL] の横にある値を見つけます。 これは、ゲスト ユーザーと共有できるテナント URL です。

    Tenant URL

[外部ゲスト ユーザーによる組織内のコンテンツの編集と管理を許可する] を使用すると、指定したゲスト ユーザーは組織のPower BIにアクセスし、アクセス許可を持つコンテンツを表示します。 ホームへのアクセス、ワークスペースへのコンテンツの参照と投稿、アクセス リスト上のアプリのインストール、マイ ワークスペースの作成を行うことができます。 新しいワークスペース エクスペリエンスを使用するワークスペースを作成したり、その管理者になったりすることができます。

Note

このオプションを使用する場合は、既定のAzure AD設定によってゲスト ユーザーがユーザー 選択ウィンドウなどの特定の機能を使用できなくなるため、このドキュメントのガバナンス セクションを必ず確認してください。**

[外部ゲスト ユーザーによる組織のテナント設定でのコンテンツの編集と管理を許可する] で有効になっているゲスト ユーザーの場合、一部のエクスペリエンスは利用できません。 レポートを更新または発行するには、ゲスト ユーザーが Power BI サービス Web UI (データの取得を含む) を使用してPower BI Desktop ファイルをアップロードする必要があります。 次のエクスペリエンスはサポートされていません。

  • Power BI Desktop から Power BI サービスに直接発行することはできません。
  • ゲスト ユーザーは、Power BI Desktop を使用して Power BI サービス内のサービス データセットに接続することができません。
  • Microsoft 365 グループに関連付けられているクラシック ワークスペース: ゲスト ユーザーは、これらのワークスペースの管理者を作成することも、管理者にすることもできません。 メンバーになることは可能です。
  • ワークスペース アクセス リストに対して、アドホック招待の送信はサポートされていません。
  • ゲスト ユーザーに対して、Power BI Publisher for Excel はサポートされていません。
  • ゲスト ユーザーは、Power BI Gateway をインストールして組織に接続することができません。
  • ゲスト ユーザーは、組織全体に発行されるアプリをインストールできません。
  • ゲスト ユーザーは、テンプレート アプリを使用、作成、更新、またはインストールできません
  • ゲスト ユーザーは [Excel で分析] を使用できません。
  • ゲスト ユーザーがコメントに含 @mentioned まれることはできません (この機能は今後のリリースで追加される予定です)
  • ゲスト ユーザーはサブスクリプションを使用できません (この機能は今後のリリースで追加される予定です)
  • この機能を使用するゲスト ユーザーには、職場または学校のアカウントが必要です。 個人用アカウントを使用しているゲスト ユーザーには、サインインの制限により、より多くの制限が発生します。

ガバナンス

Azure AD B2B 共有を使用する場合、Azure Active Directory管理者は外部ユーザーエクスペリエンスの側面を制御します。 これらは、テナントのAzure Active Directory設定内の [外部コラボレーション設定] ページで制御されます。

設定の詳細については、以下を参照してください。

https://docs.microsoft.com/azure/active-directory/b2b/delegate-invitations

Note

既定では、ゲスト ユーザーのアクセス許可は [はい] に設定されているため、Power BI内のゲスト ユーザーは、特にユーザー 選択 UI が機能しない共有を囲むエクスペリエンスが制限されています。 次に示すように、Azure AD管理者と協力して No に設定することが重要です。**

External collaboration settings

ゲストの招待を制御する

Power BI管理者は、Power BI管理ポータルにアクセスして、Power BIのためだけに外部共有を制御できます。 ただし、管理者は、さまざまなAzure AD ポリシーを使用して外部共有を制御することもできます。 これらのポリシーを使用すると、管理者は次のことができるようになります。

  • エンド ユーザーによる招待を無効にする
  • 管理者と、ゲストの招待元ロールのユーザーのみが招待できる
  • 管理者、ゲストの招待元ロール、およびメンバーが招待できる
  • ゲストを含むすべてのユーザーが招待できる

これらのポリシーの詳細については、B2B コラボレーションの招待の委任Azure Active Directory参照してください。

外部ユーザーによるPower BIアクションはすべて、監査ポータルでも監査されます

ゲスト ユーザーの条件付きアクセス ポリシー

Contoso は、Contoso テナントからコンテンツにアクセスするゲスト ユーザーに条件付きアクセス ポリシーを適用できます。 詳細な手順については、 B2B コラボレーション ユーザーの条件付きアクセスに関する記事を参照してください

一般的な代替方法

Azure AD B2B を使用すると、組織間でデータとレポートを簡単に共有できますが、一般的に使用され、特定の場合に優れている可能性がある他のいくつかのアプローチがあります。

代替オプション 1: パートナー ユーザーの重複する ID を作成する

このオプションでは、次の図に示すように、Contoso テナントのパートナー ユーザーごとに重複する ID を手動で作成する必要がありました。 その後、Power BI内で、Contoso は割り当てられた ID に適切なレポート、ダッシュボード、またはアプリを共有できます。

Setting appropriate mappings and names

この代替手段を選択する理由:

  • ユーザーの ID は組織によって制御されるため、電子メール、SharePointなどの関連サービスも組織の管理下にあります。 IT 管理者は、パスワードのリセット、アカウントへのアクセスの無効化、またはこれらのサービスのアクティビティの監査を行うことができます。
  • 個人アカウントをビジネスに使用するユーザーは、多くの場合、特定のサービスへのアクセスが制限されるため、組織のアカウントが必要になる場合があります。
  • 一部のサービスは、組織のユーザーに対してのみ機能します。 たとえば、Intuneを使用して、Azure B2B を使用して外部ユーザーの個人/モバイル デバイス上のコンテンツを管理することはできません。

この代替手段を選択しない理由:

  • パートナー組織のユーザーは、自分の組織のコンテンツにアクセスするための資格情報と Contoso のコンテンツにアクセスするための資格情報の 2 つのセットを覚えておく必要があります。 これはこれらのゲスト ユーザーにとって面倒であり、多くのゲスト ユーザーはこのエクスペリエンスによって混乱しています。
  • Contoso はこれらのユーザーに対してユーザーごとのライセンスを購入して割り当てる必要があります。 ユーザーがメールを受信したり、Office アプリケーションを使用したりする必要がある場合は、Power BIでコンテンツを編集および共有するためのPower BI Proなど、適切なライセンスが必要です。
  • Contoso は、内部ユーザーと比較して、外部ユーザーに対してより厳格な承認ポリシーとガバナンス ポリシーを適用する必要がある場合があります。 これを実現するには、Contoso は外部ユーザー向けに社内の命名法を作成する必要があり、すべての Contoso ユーザーがこの命名法について教育を受ける必要があります。
  • ユーザーが組織を離れると、Contoso 管理者が自分のアカウントを手動で削除するまで、Contoso のリソースに引き続きアクセスできます。
  • Contoso の管理者は、作成、パスワードのリセットなど、ゲストの ID を管理する必要があります。

代替オプション 2: カスタム認証を使用してカスタム Power BI Embedded アプリケーションを作成する

Contoso のもう 1 つのオプションは、カスタム認証を使用して独自のカスタム埋め込みPower BI アプリケーションを構築することです ('App owns data')。 多くの組織には、外部パートナーにPower BIコンテンツを配布するためのカスタム アプリケーションを作成する時間やリソースはありませんが、一部の組織ではこれが最適なアプローチであり、真剣に検討する必要があります。

多くの場合、組織には、パートナーのすべての組織リソースへのアクセスを一元化し、内部組織リソースからの分離を提供し、パートナーが多くのパートナーとその個々のユーザーをサポートするための合理化されたエクスペリエンスを提供する既存のパートナー ポータルがあります。

Many partner portals

上記の例では、各サプライヤーのユーザーは、ID プロバイダーとしてAADを使用する Contoso のパートナー ポータルにログインします。 AAD B2B、Azure B2C、ネイティブ ID、または他の任意の数の ID プロバイダーとのフェデレーションを使用できます。 ユーザーは、Azure Web App または同様のインフラストラクチャを使用して、ログインしてパートナー ポータル ビルドにアクセスします。

Web アプリ内では、Power BI Embedded デプロイから Power BI レポートが埋め込まれます。 Web アプリは、サプライヤーが Contoso と簡単にやり取りできるように、一貫性のあるエクスペリエンスでレポートや関連サービスへのアクセスを合理化します。 このポータル環境は、サプライヤーがそれらのリソースにアクセスできないようにするために、Contoso の内部 AAD および Contoso の内部 Power BI 環境から分離されます。 通常、データは別のパートナー データ ウェアハウスに格納され、データの分離も確保されます。 この分離には、組織のデータに直接アクセスできる外部ユーザーの数が制限され、外部ユーザーが使用できる可能性のあるデータが制限され、外部ユーザーとの偶発的な共有が制限されるため、利点があります。

Power BI Embedded を使用すると、アプリ トークンまたはマスター ユーザーと Azure モデルで購入した Premium 容量を使用して、有利なライセンスを利用できます。これにより、エンド ユーザーへのライセンスの割り当てに関する懸念が簡単になり、予想される使用量に基づいてスケールアップ/スケールダウンできます。 パートナーはすべてのパートナーのニーズを念頭に置いて設計された単一のポータルにアクセスするため、ポータルは全体的に高品質で一貫したエクスペリエンスを提供できます。 最後に、Power BI Embedded ベースのソリューションは通常、マルチテナントになるように設計されているため、パートナー組織間の分離を容易にします。

この代替手段を選択する理由:

  • パートナー組織の数が増えるにつれて管理が容易になります。 パートナーは Contoso の内部 AAD ディレクトリから分離された別のディレクトリに追加されるため、IT のガバナンス業務が簡素化され、内部データが外部ユーザーに誤って共有されるのを防ぐことができます。
  • 一般的なパートナー ポータルは、パートナー間で一貫したエクスペリエンスを持つ高度にブランド化されたエクスペリエンスであり、一般的なパートナーのニーズを満たすために合理化されています。 そのため、Contoso は、必要なすべてのサービスを 1 つのポータルに統合することで、パートナーに全体的なエクスペリエンスを提供できます。
  • Power BI Embedded 内でコンテンツを編集するなどの高度なシナリオのライセンス コストは、Azure で購入した Power BI Premium によってカバーされ、それらのユーザーに Power BI Pro ライセンスを割り当てることは必要ありません。
  • マルチテナント ソリューションとして設計されている場合、パートナー間の分離性が向上します。
  • パートナー ポータルには、多くの場合、Power BI レポート、ダッシュボード、アプリ以外のパートナー用の他のツールが含まれています。

この代替手段を選択しない理由:

  • このようなポータルの構築、運用、保守には多大な労力が必要であり、リソースと時間に大きな投資を行います。
  • 複数のワークストリーム間で慎重に計画と実行を行う必要があるため、B2B 共有を使用するよりもはるかに時間がかかります。
  • パートナーの数が少ない場合、この代替手段に必要な労力が多すぎて正当化できない可能性があります。
  • アドホック共有とのコラボレーションは、組織が直面する主要なシナリオです。
  • レポートとダッシュボードは、パートナーごとに異なります。 この代替手段では、パートナーと直接共有するだけでなく、管理オーバーヘッドも発生します。

よく寄せられる質問

Contoso は自動的に引き換えられた招待を送信して、ユーザーが "移動する準備ができている" ようにすることはできますか? それとも、ユーザーは常に引き換えの URL をクリックする必要があるのですか。

エンド ユーザーがコンテンツにアクセスするには、常に同意エクスペリエンスをクリックする必要があります。

多くのゲスト ユーザーを招待する場合は、 リソース組織のゲスト招待者ロールにユーザーを追加して、コア Azure AD 管理者からこれを委任することをお勧めします。 このユーザーは、サインイン UI、PowerShell スクリプト、または API を使用して、パートナー組織の他のユーザーを招待できます。 これにより、パートナー組織のユーザーに招待を招待または再送信する Azure AD 管理者の管理上の負担が軽減されます。

パートナーが多要素認証を持っていない場合、Contoso はゲスト ユーザーに対して多要素認証を強制できますか?

はい。 詳細については、「 B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。

招待されたパートナーがフェデレーションを使用して独自のオンプレミス認証を追加するとき、B2B コラボレーションはどのように機能しますか?

パートナーの Azure AD テナントがオンプレミス認証インフラストラクチャにフェデレーションされている場合、オンプレミスのシングル サインオン (SSO) が自動的に実行されます。 パートナーに Azure AD テナントがない場合は、新しいユーザー用に Azure AD アカウントが作成される可能性があります。

コンシューマーメール アカウントを持つゲスト ユーザーを招待できますか?

Power BI では、コンシューマー電子メール アカウントを持つゲスト ユーザーの招待がサポートされています。 これには、hotmail.com、outlook.com、gmail.com などのドメインが含まれます。 ただし、これらのユーザーには、職場または学校アカウントを持つユーザーが遭遇する制限を超える制限が発生する場合があります。