Azure Active Directory B2B を使用して外部ゲスト ユーザーに Power BI コンテンツを配布するDistribute Power BI content to external guest users using Azure Active Directory B2B

概要: これは、Azure Active Directory 企業間 Azure AD (B2B) との統合を使用して、組織外のユーザーにコンテンツを配布する方法を説明する技術ホワイトペーパーです。Summary: This is a technical whitepaper outlining how to distribute content to users outside the organization using the integration of Azure Active Directory Business-to-business (Azure AD B2B).

ライター: Lukasz Pawlowski、Kasper de JongeWriters: Lukasz Pawlowski, Kasper de Jonge

技術レビューアー: Adam Wilson、Sheng Liu、Qian Liu、Sergei Gundorov、Jacob Grimm、Adam Saxton、Maya Shenhav、Nimrod Shalit、Elisabeth OlsonTechnical Reviewers: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

注意

このホワイトペーパーを保存または印刷するには、ブラウザーから [ 印刷 ] を選択し、[ PDF として保存] を選択します。You can save or print this whitepaper by selecting Print from your browser, then selecting Save as PDF.

はじめにIntroduction

Power BI によって、組織はビジネスの360度のビューを提供し、これらの組織のすべてのユーザーがデータを使用してインテリジェントな意思決定を行えるようにします。Power BI gives organizations a 360-degree view of their business and empowers everyone in these organizations to make intelligent decisions using data. これらの組織の多くは、外部のパートナー、クライアント、および請負業者との信頼関係が強固で信頼されています。Many of these organizations have strong and trusted relationships with external partners, clients, and contractors. これらの組織は、これらの外部パートナーのユーザーに Power BI のダッシュボードやレポートへのセキュリティで保護されたアクセスを提供する必要があります。These organizations need to provide secure access to Power BI dashboards and reports to users in these external partners.

Power BI は Azure Active Directory 企業間 (AZURE AD B2B) と統合されているため、組織外のゲストユーザーに Power BI コンテンツを安全に配布できますが、内部データへのアクセスを制御し、管理することができます。Power BI integrates with Azure Active Directory Business-to-business (Azure AD B2B) to allow secure distribution of Power BI content to guest users outside the organization – while still maintaining control and governing access to internal data.

このホワイトペーパーでは、Azure Active Directory B2B との統合 Power BI を理解するために必要なすべての詳細について説明します。This white paper covers the all the details you need to understand Power BI's integration with Azure Active Directory B2B. 最も一般的なユースケース、セットアップ、ライセンス、および行レベルのセキュリティについて説明します。We cover its most common use case, setup, licensing, and row level security.

注意

このホワイトペーパーでは、Azure AD として Azure Active Directory と、Azure AD B2B としての企業とビジネスの Azure Active Directory について説明します。Throughout this white paper, we refer to Azure Active Directory as Azure AD and Azure Active Directory Business to Business as Azure AD B2B.

シナリオScenarios

Contoso は自動車メーカーであり、製造工程の実行に必要なすべてのコンポーネント、マテリアル、およびサービスを提供するさまざまなサプライヤーと連携しています。Contoso is an automotive manufacturer and works with many diverse suppliers who provide it with all the components, materials, and services necessary to run its manufacturing operations. Contoso は、サプライチェーンの物流を合理化し、Power BI を使用してサプライチェーンの主要なパフォーマンスメトリックを監視する計画を立てています。Contoso wants to streamline its supply chain logistics and plans to use Power BI to monitor key performance metrics of its supply chain. Contoso は、安全で管理しやすい方法で外部サプライチェーンパートナーと共有したいと考えています。Contoso wants to share with external supply chain partners analytics in a secure and manageable way.

Contoso では、Power BI と Azure AD B2B を使用して、外部ユーザーに対して次のエクスペリエンスを有効にすることができます。Contoso can enable the following experiences for external users using Power BI and Azure AD B2B.

項目の共有ごとのアドホックAd hoc per item sharing

Contoso 社は、Contoso の自動車の仲介者として機能します。Contoso works with a supplier who builds radiators for Contoso's cars. 多くの場合、Contoso の自動車のすべてのデータを使用して、放射の信頼性を最適化する必要があります。Often, they need to optimize the reliability of the radiators using data from all of Contoso's cars. Contoso 社のアナリストは、Power BI を使用して、サプライヤーのエンジニアと radiator の信頼性レポートを共有しています。An analyst at Contoso uses Power BI to share a radiator reliability report with an Engineer at the supplier. エンジニアは、レポートを表示するためのリンクを含む電子メールを受信します。The Engineer receives an email with a link to view the report.

前述のように、このアドホック共有は必要に応じて、ビジネスユーザーによって実行されます。As described above, this ad-hoc sharing is performed by business users on an as needed basis. 外部ユーザーに Power BI によって送信されるリンクは、Azure AD B2B 招待リンクです。The link sent by Power BI to the external user is an Azure AD B2B invite link. 外部ユーザーがリンクを開くと、ゲストユーザーとして Contoso の Azure AD 組織に参加するように求められます。When the external user opens the link, they are asked to join Contoso's Azure AD organization as a Guest user. 招待が承諾されると、特定のレポートまたはダッシュボードが開きます。After the invite is accepted, the link opens the specific report or dashboard. Azure Active Directory 管理者は、組織に外部ユーザーを招待するアクセス許可を委任し、このドキュメントの「ガバナンス」で説明されているように、招待を受け入れるとユーザーが実行できる操作を選択します。The Azure Active Directory admin delegates permission to invite external users to the organization and chooses what those users can do once they accept the invite as described in the Governance section of this document. Contoso アナリストは、ゲストユーザーを招待することができます。 Azure AD 管理者は、そのアクションと Power BI 管理者に対して、Power BI のテナント設定の内容を表示するゲストを招待することを許可したためです。The Contoso analyst can invite the Guest user only because the Azure AD administrator allowed that action and the Power BI administrator allowed users to invite guests to view content in Power BI's tenant settings.

AAD を使用して Power BI にゲストを招待する

  1. このプロセスは、ダッシュボードを共有する Contoso 内部ユーザー、または外部ユーザーとのレポートを使用して開始されます。The process starts with a Contoso internal user sharing a dashboard or a report with an external user. 外部ユーザーがまだ Contoso 社の Azure AD のゲストでない場合は、招待されます。If the external user is not already a guest in Contoso's Azure AD, they are invited. Contoso 社の Azure AD への招待を含む電子メールアドレスに電子メールが送信されます。An email is sent to their email address that includes an invite to Contoso's Azure AD
  2. 受信者は Contoso の Azure AD への招待を受け入れ、Contoso の Azure AD のゲストユーザーとして追加されます。The recipient accepts the invite to Contoso's Azure AD and is added as a Guest user in Contoso's Azure AD.
  3. 受信者は、ユーザーに対して読み取り専用の Power BI ダッシュボード、レポート、またはアプリにリダイレクトされます。The recipient is then redirected to the Power BI dashboard, report, or app, which are read-only for the user.

Contoso のビジネスユーザーは、ビジネス上の目的で必要に応じて招待アクションを実行するため、このプロセスはアドホックと見なされます。The process is considered ad-hoc since business users in Contoso perform the invite action as needed for their business purposes. 共有されている各アイテムは、外部ユーザーがコンテンツを表示するためにアクセスできる単一のリンクです。Each item shared is a single link the external user can access to view the content.

外部ユーザーが Contoso のリソースにアクセスするように招待されると、Contoso Azure AD にシャドウアカウントが作成され、再度招待する必要がなくなります。Once the external user has been invited to access Contoso resources, a shadow account may be created for them in Contoso Azure AD and they do not need to be invited again. Power BI ダッシュボードのように Contoso のリソースに初めてアクセスしようとすると、招待を引き換え同意プロセスが実行されます。The first time they try to access a Contoso resource like a Power BI dashboard, they go through a consent process, which redeems the invitation. 同意しない場合、Contoso のコンテンツにはアクセスできません。If they do not complete the consent, they cannot access any of Contoso's content. 提供された元のリンクを使用して招待を利用できない場合は、Azure AD 管理者が特定の招待リンクを再送信して使用することができます。If they have trouble redeeming their invitation via the original link provided, an Azure AD administrator can resent a specific invitation link for them to redeem.

アイテムの共有ごとの予定Planned per item sharing

Contoso は、下請業者と協力して、放射型の信頼性分析を実行します。Contoso works with a subcontractor to perform reliability analysis of radiators. 下請業者は、Contoso の Power BI 環境のデータにアクセスする必要がある10人のユーザーのチームを持っています。The subcontractor has a team of 10 people who need access to data in Contoso's Power BI environment. Contoso Azure AD 管理者は、すべてのユーザーを招待し、下請業者の変更で担当者として追加や変更を処理するために関与します。The Contoso Azure AD administrator is involved to invite all the users and to handle any additions/changes as personnel at the subcontractor change. Azure AD 管理者は、下請業者のすべての従業員のセキュリティグループを作成します。The Azure AD administrator creates a security group for all the employees at the subcontractor. Contoso の従業員は、セキュリティグループを使用して、レポートへのアクセスを簡単に管理し、必要なすべての下請業者の担当者がすべての必要なレポート、ダッシュボード、および Power BI アプリにアクセスできるようにすることができます。Using the security group, Contoso's employees can easily manage access to reports and ensure all required subcontractor personnel have access to all the required reports, dashboards, and Power BI apps. Azure AD 管理者は、Contoso または下請業者の信頼された従業員に招待権限を委任することにより、招待プロセスに関与しないようにすることもできます。The Azure AD administrator can also avoid being involved in the invitation process altogether by choosing to delegate invitation rights to a trusted employee at Contoso or at the subcontractor to ensure timely personnel management.

一部の組織では、外部ユーザーを追加するタイミングをより細かく制御する必要があり、外部組織や多くの外部組織で多くのユーザーを招待しています。Some organizations require more control over when external users are added, are inviting many users in an external organization, or many external organizations. このような場合、計画された共有を使用して、共有のスケールを管理したり、組織のポリシーを適用したり、信頼されたユーザーに権限を委任して外部ユーザーを招待および管理したりすることができます。In these cases, planned sharing can be used to manage the scale of sharing, to enforce organizational policies, and even to delegate rights to trusted individuals to invite and manage external users. Azure AD B2B では、 IT 管理者によって Azure portal から直接送信される予定の招待をサポートしています。または、 招待マネージャー API を使用して 、ユーザーのセットを1回の操作で招待することができます。Azure AD B2B supports planned invites to be sent directly from the Azure portal by an IT administrator, or through PowerShell using the invitation manager API where a set of users can be invited in one action. 計画された招待方法を使用すると、組織はユーザーを招待して承認プロセスを実装できるユーザーを制御できます。Using the planned invites approach, the organization can control who can invite users and implement approval processes. 動的グループなどの高度な Azure AD 機能を使用すると、セキュリティグループのメンバーシップを自動的に管理しやすくなります。Advanced Azure AD capabilities like dynamic groups can make it easy to maintain security group membership automatically.

どのゲストがコンテンツを表示できるかを制御する

  1. プロセスは、IT 管理者によって、手動で、またはによって提供される API を使用して、ゲストユーザーを招待することによって開始され Azure Active DirectoryThe process starts with an IT administrator inviting the guest user either manually or through the API provided by Azure Active Directory
  2. ユーザーは、組織への招待を受け入れます。The user accepts the invite to the organization.
  3. ユーザーが招待を承諾すると、Power BI のユーザーは、レポートまたはダッシュボードを外部ユーザーまたはセキュリティグループと共有することができます。Once the user has accepted the invitation, a user in Power BI can share a report or dashboard with the external user, or a security group they are in. Power BI の通常の共有と同様に、外部ユーザーはアイテムへのリンクを含む電子メールを受信します。Just like with regular sharing in Power BI the external user receives an email with the link to the item.
  4. 外部ユーザーがリンクにアクセスすると、ディレクトリ内での認証は Contoso の Azure AD に渡され、Power BI コンテンツにアクセスするために使用されます。When the external user accesses the link, their authentication in their directory is passed to Contoso's Azure AD and used to gain access to the Power BI content.

Power BI アプリのアドホックまたは計画的な共有Ad hoc or planned sharing of Power BI Apps

Contoso には、1つまたは複数のサプライヤーと共有するために必要な一連のレポートとダッシュボードが用意されています。Contoso has a set of reports and dashboards they need to share with one or more Suppliers. 必要なすべての外部ユーザーがこのコンテンツにアクセスできるようにするために、Power BI アプリとしてパッケージ化されます。To ensure all required external users have access to this content, it is packaged as a Power BI app. 外部ユーザーは、アプリアクセスリストに直接追加するか、セキュリティグループを使用して追加されます。The external users are either added directly to the app access list or through security groups. Contoso のだれかが、電子メールなどのすべての外部ユーザーにアプリの URL を送信します。Someone at Contoso then sends the app URL to all the external users, for example in an email. 外部ユーザーがリンクを開くと、すべてのコンテンツが単一のナビゲーションエクスペリエンスで表示されます。When the external users open the link, they see all the content in a single easy to navigate experience.

Power BI アプリを使用すると、Contoso はサプライヤー向けの BI ポータルを簡単に作成できます。Using a Power BI app makes it easy for Contoso to build a BI Portal for its suppliers. 1つのアクセスリストでは、必要なすべてのコンテンツへのアクセスを制御し、無駄な時間のチェックと項目レベルのアクセス許可の設定を減らします。A single access list controls access to all the required content reducing wasted time checking and setting item level permissions. B2B Azure AD は、ユーザーが追加のログイン資格情報を必要としないように、サプライヤーのネイティブ id を使用してセキュリティアクセスを維持します。Azure AD B2B maintains security access using the Supplier's native identity so users don't need additional login credentials. セキュリティグループで計画された招待を使用している場合は、チームがプロジェクトを交代またはアウトするときに、アプリへのアクセス管理が簡略化されます。If using planned invites with security groups, access management to the app as personnel rotate into or out of the project is simplified. 手動または 動的グループを使用したセキュリティグループのメンバーシップ。これにより、仕入先のすべての外部ユーザーが適切なセキュリティグループに自動的に追加されます。Membership in security groups manually or by using dynamic groups, so that all external users from a supplier are automatically added to the appropriate security group.

AAD を使用したコンテンツの制御

  1. プロセスは、Azure portal または PowerShell を使用して Contoso の Azure AD 組織に招待されているユーザーによって開始されます。The process starts by the user being invited to Contoso's Azure AD organization through the Azure portal or PowerShell
  2. ユーザーは Azure AD のユーザーグループに追加できます。The user can be added to a user group in Azure AD. 静的または動的なユーザーグループを使用できますが、動的グループを使用すると手動作業を減らすことができます。A static or dynamic user group can be used, but dynamic groups help reduce manual work.
  3. 外部ユーザーには、ユーザーグループを介して Power BI アプリへのアクセス権が付与されます。The external users are given access to the Power BI App through the user group. アプリの URL は、外部ユーザーに直接送信するか、アクセス権のあるサイトに配置する必要があります。The app URL should be sent directly to the external user or placed on a site they have access to. Power BI を使用すると、外部ユーザーにアプリリンクを含む電子メールを送信することができますが、メンバーシップの変更が可能なユーザーグループを使用する場合、Power BI は、ユーザーグループを通じて管理されるすべての外部ユーザーに送信することはできません。Power BI makes a best effort to send an email with the app link to external users but when using user groups whose membership can change, Power BI is not able to send to all external users managed through user groups.
  4. 外部ユーザーが Power BI アプリの URL にアクセスすると、その URL は Contoso の Azure AD によって認証され、ユーザーに対してアプリがインストールされ、ユーザーはアプリ内のすべての包含レポートとダッシュボードを表示できます。When the external user accesses the Power BI app URL, they are authenticated by Contoso's Azure AD, the app is installed for the user, and the user can see all the contained reports and dashboards within the app.

アプリには、アプリの作成者がユーザーのアプリケーションを自動的にインストールできるようにする固有の機能もあります。これにより、ユーザーがログインするときにアプリケーションを使用できるようになります。Apps also have a unique feature that allows app authors to install the application automatically for the user, so it is available when the user logs in. この機能は、アプリケーションが公開または更新されたときに Contoso の組織の一部である外部ユーザーに対してのみ、自動的にインストールされます。This feature only installs automatically for external users who are already part of Contoso's organization at the time the application is published or updated. したがって、計画された招待アプローチで最もよく使用され、ユーザーが Contoso の Azure AD に追加された後に発行または更新されるアプリによって異なります。Thus, it is best used with the planned invites approach, and depends on the app being published or updated after the users are added to Contoso's Azure AD. 外部ユーザーは、アプリリンクを使用していつでもアプリをインストールできます。External users can always install the app using the app link.

組織全体でコンテンツのコメント化とサブスクライブを行うCommenting and subscribing to content across organizations

Contoso は、下請け業者やサプライヤーと協力して、Contoso のアナリストと密接に連携する必要があります。As Contoso continues to work with its subcontractors or suppliers, the external Engineers need to work closely with Contoso's analysts. Power BI には、ユーザーが使用できるコンテンツに関する情報をやり取りするためのコラボレーション機能がいくつか用意されています。Power BI provides several collaboration features that help users communicate about content they can consume. ダッシュボードコメント (およびすぐにレポートコメント) を使用すると、ユーザーに表示されるデータポイントについて話し合い、レポート作成者とやり取りして質問することができます。Dashboard commenting (and soon Report commenting) allows users to discuss data points they see and communicate with report authors to ask questions.

現在、外部のゲストユーザーは、コメントを残して返信を読み取ることで、コメントに参加できます。Currently, external guest users can participate in comments by leaving comments and reading the replies. ただし、内部ユーザーとは異なり、ゲストユーザーは、 @mentioned コメントを受け取ったことを示す通知を受け取ることはできません。However, unlike internal users, guest users cannot be @mentioned and do not receive notifications that they've received a comment. ゲストユーザーは、書き込み時に Power BI 内のサブスクリプション機能を使用することはできません。Guest users cannot use the subscriptions feature within Power BI at the time of writing. 今後のリリースでは、これらの制限が解除され、ゲストユーザーにコメントが送信されたとき、 @mentions または Power BI のコンテンツへのリンクが記載された電子メールにサブスクリプションが配信されたときに、電子メールが送信されます。In an upcoming release, those restrictions will be lifted and the Guest user will receive an email when a comment @mentions them, or when a subscription is delivered to their email that contains a link to the content in Power BI.

Power BI モバイルアプリのコンテンツにアクセスするAccess content in the Power BI mobile apps

今後のリリースでは、Contoso 社のユーザーがレポートまたはダッシュボードを外部のゲストと共有すると、Power BI はゲストに通知する電子メールを送信します。In an upcoming release, when Contoso's users share reports or dashboards with their external Guest counterparts, Power BI will send an email notifying the Guest. ゲストユーザーがモバイルデバイスでレポートまたはダッシュボードへのリンクを開くと、デバイスのネイティブ Power BI モバイルアプリでコンテンツが開きます (インストールされている場合)。When the guest user opens the link to the report or dashboard on their mobile device, the content will open in the native Power BI mobile apps on their device, if they're installed. ゲストユーザーは、外部テナントで共有されているコンテンツ間を移動し、ホームテナントから独自のコンテンツに戻ることができます。The guest user will then be able to navigate between content shared with them in the external tenant, and back to their own content from their home tenant.

注意

ゲストユーザーは Power BI モバイルアプリを開き、外部テナントにすぐに移動することはできません。外部テナントのアイテムへのリンクから開始する必要があります。The guest user cannot open the Power BI mobile app and immediately navigate to the external tenant, they must start with a link to an item in the external tenant. 一般的な回避策については、このドキュメントで後述 する「親組織の Power BI のコンテンツへのリンクの配布 」を参照してください。Common workarounds are described in the Distributing links to content in the Parent organization's Power BI section later in this document.

Power BI コンテンツのクロス組織の編集と管理Cross-organization editing and management of Power BI content

Contoso とそのサプライヤーおよび下請け業者は、密接に連携しています。Contoso and its Suppliers and subcontractors work increasingly closely together. 多くの場合、下請業者のアナリストは、Contoso が共有しているレポートに追加のメトリックまたはデータビジュアライゼーションを追加する必要があります。Often an analyst at the subcontractor needs additional metrics or data visualizations to be added to a report Contoso has shared with them. データは Contoso の Power BI テナントに格納されている必要がありますが、外部ユーザーは、それを編集し、新しいコンテンツを作成し、適切なユーザーに配布することもできます。The data should reside in Contoso's Power BI tenant, but external users should be able to edit it, create new content, and even distribute it to appropriate individuals.

Power BI には、外部の ゲストユーザーが組織内のコンテンツを編集および管理できる オプションが用意されています。Power BI provides an option that enables External guest users can edit and manage content in the organization. 既定では、外部ユーザーには読み取り専用の使用状況指向のエクスペリエンスがあります。By default, external users have a read-only consumption-oriented experience. ただし、この新しい設定により、Power BI 管理者は、自分の組織内のコンテンツを編集および管理できる外部ユーザーを選択できます。However, this new setting allows the Power BI admin to choose which external users can edit and manage content within their own organization. 外部ユーザーは、許可されると、レポート、ダッシュボード、アプリの発行または更新、ワークスペースでの作業、および使用するアクセス許可があるデータへの接続を行うことができます。Once allowed, the external user can edit reports, dashboards, publish or update apps, work in workspaces, and connect to data they have permission to use.

このシナリオの詳細については、このドキュメントの後半の「外部ユーザーがコンテンツを編集および管理できるようにする Power BI」を参照してください。This scenario is described in detail in the section Enabling external users to edit and manage content within Power BI later in this document.

Power BI と Azure AD B2B を使用した組織の関係Organizational relationships using Power BI and Azure AD B2B

Power BI のすべてのユーザーが組織の内部にある場合、Azure AD B2B を使用する必要はありません。When all the users of Power BI are internal to the organization, there is no need to use Azure AD B2B. ただし、2つ以上の組織がデータと洞察を共同作業する場合は、Power BI が Azure AD B2B をサポートすることで、簡単かつコスト効率が向上します。However, once two or more organizations want to collaborate on data and insights, Power BI's support for Azure AD B2B makes it easy and cost effective to do so.

通常、Power BI で Azure AD B2B スタイルのクロス組織コラボレーションに適した組織構造が検出されます。Below are typically encountered organizational structures that are well suited for Azure AD B2B style cross-organization collaboration in Power BI. Azure AD B2B はほとんどの場合に適していますが、状況によっては、このドキュメントの最後に記載されている一般的な代替方法を検討する価値があります。Azure AD B2B works well in most cases, but in some situations the Common alternative approaches covered at the end of this document are worth considering.

ケース 1: 組織間の直接的な共同作業Case 1: Direct collaboration between organizations

Contoso とその radiator supplier の関係は、組織間の直接的な共同作業の一例です。Contoso's relationship with its radiator supplier is an example of direct collaboration between organizations. Contoso とそのサプライヤーには、radiator の信頼性情報へのアクセスを必要とするユーザーが比較的少ないため、Azure AD B2B ベースの外部共有を使用することをお勧めします。Since there are relatively few users at Contoso and its supplier who need access to radiator reliability information, using Azure AD B2B based external sharing is ideal. 簡単に使用でき、簡単に管理できます。It is easy to use and simple to administer. これはコンサルティングサービスの一般的なパターンでもあり、コンサルタントが組織のコンテンツを構築する必要がある場合があります。This is also a common pattern in consulting services where a consultant may need to build content for an organization.

組織間で共有する

通常、この共有は、アイテムの共有ごとにアドホックに使用します。Typically, this sharing occurs initially using Ad hoc per item sharing. ただし、チームの成長や関係が増すにつれて、計画された項目ごとの共有アプローチは、管理オーバーヘッドを削減するために推奨される方法になります。However, as teams grow or relationships deepen, the Planned per item sharing approach becomes the preferred method to reduce management overhead. さらに、Power BI アプリのアドホックまたは計画された共有、組織全体のコンテンツのコメント化とサブスクライブ、モバイルアプリでのコンテンツへのアクセスが可能になります。また、組織をまたいで Power BI コンテンツを編集したり管理したりすることもできます。Additionally, the Ad hoc or planned sharing of Power BI Apps, Commenting and subscribing to content across organizations, access to content in mobile apps can come into play as well, and cross-organization editing and management of Power BI content. 重要な点として、両方の組織のユーザーがそれぞれの組織でライセンスを Power BI Pro している場合は、それらの Pro ライセンスを互いの Power BI 環境で使用できます。Importantly, if both organizations' users have Power BI Pro licenses in their respective organizations, they can use those Pro licenses in each other's Power BI environments. これにより、招待側の組織が外部ユーザーの Power BI Pro ライセンスに対して支払う必要がない可能性があるため、有益なライセンスが提供されます。This provides advantageous licensing since the inviting organization may not need to pay for a Power BI Pro license for the external users. 詳細については、このドキュメントで後述する「ライセンス」を参照してください。This is discussed in more detail in the Licensing section later in this document.

ケース 2: 親とその関連会社または関連会社Case 2: Parent and its subsidiaries or affiliates

一部の組織構造は、部分的または完全に所有する子会社、関連会社、または管理されたサービスプロバイダーの関係など、より複雑になります。Some organization structures are more complex, including partially or wholly owned subsidiaries, affiliated companies, or managed service provider relationships. このような組織には、持ち株会社などの親組織がありますが、基になる組織は、地域要件が異なる場合によっては自律的に動作します。These organizations have a parent organization such as a holding company, but the underlying organizations operate semi-autonomously, sometimes under different regional requirements. これにより、各組織は独自の Azure AD 環境と個別の Power BI テナントを持つことになります。This leads to each organization having its own Azure AD environment and separate Power BI tenants.

子会社の操作

この構造では、通常、親組織は、標準化された洞察を子会社に配布する必要があります。In this structure, the parent organization typically needs to distribute standardized insights to its subsidiaries. 通常、この共有は、次の図に示すように、Power BI アプリのアドホックまたは計画された共有を使用して行われます。これは、標準化された権限のあるコンテンツを広範な対象ユーザーに配布できるためです。Typically, this sharing occurs using the Ad hoc or planned sharing of Power BI Apps approach as illustrated in the following image, since it allows distribution of standardized authoritative content to broad audiences. 実際には、このドキュメントで既に説明したすべてのシナリオを組み合わせて使用します。In practice a combination of all the Scenarios mentioned earlier in this document is used.

シナリオの結合

これは、次のプロセスに従います。This follows the following process:

  1. 各子会社のユーザーが Contoso 社の Azure AD に招待されます。Users from each Subsidiary are invited to Contoso's Azure AD
  2. その後、Power BI アプリが公開され、これらのユーザーは必要なデータにアクセスできるようになります。Then the Power BI app is published to give these users access to the required data
  3. 最後に、ユーザーは、レポートを表示するために指定されたリンクを使用してアプリを開きます。Finally, the users open the app through a link they've been given to see the reports

この構造の組織では、いくつかの重要な課題が直面しています。Several important challenges are faced by organizations in this structure:

  • 親組織の Power BI のコンテンツへのリンクを配布する方法How to distribute links to content in the Parent organization's Power BI
  • 親組織でホストされているデータソースへのアクセスを、子会社のユーザーに許可する方法How to allow subsidiary users to access data source hosted by the parent organization

リンクをコンテンツに配布するには、一般的に3つの方法が使用されます。Three approaches are commonly used to distribute links to the content. 1つ目の最も基本的な方法は、アプリへのリンクを必要なユーザーに送信する方法と、それを開くことのできる SharePoint Online サイトに配置する方法です。The first and most basic is to send the link to the app to the required users or to place it in a SharePoint Online site from which it can be opened. ユーザーは、ブラウザーでリンクをブックマークして、必要なデータにすばやくアクセスできます。Users can then bookmark the link in their browsers for faster access to the data they need.

2番目の方法は、Power BI コンテンツ機能の組織間の編集と管理に依存しています。The second approach relies on the cross-organization editing and management of Power BI content capability. 親組織は、子会社のユーザーに Power BI へのアクセスを許可し、アクセス許可によってアクセスできる対象を制御します。The Parent organization allows users from the subsidiaries to access its Power BI and controls what they can access through permission. これにより、Power BI ホームにアクセスできるようになります。ここでは、子会社のユーザーが、親組織のテナントで共有されているコンテンツの包括的な一覧を確認できます。This gives access to Power BI Home where the user from the subsidiary sees a comprehensive list of content shared to them in the Parent organization's tenant. その後、親組織の Power BI 環境への URL が、子会社のユーザーに与えられます。Then the URL to the Parent organizations' Power BI environment is given to the users at the subsidiaries.

最終的な方法では、各子会社の Power BI テナント内で作成された Power BI アプリを使用します。The final approach uses a Power BI app created within the Power BI tenant for each subsidiary. Power BI アプリには 、[外部リンク] オプションを使用して構成されたタイルを含むダッシュボードが含まれています。The Power BI app includes a dashboard with tiles configured with the external link option. ユーザーがタイルを押すと、親組織の Power BI にある適切なレポート、ダッシュボード、またはアプリが表示されます。When the user presses the tile, they are taken to the appropriate report, dashboard, or app in the parent organization's Power BI. このアプローチには、子会社のすべてのユーザーに対して自動的にアプリをインストールし、独自の Power BI 環境にサインインするたびにアプリケーションを使用できるという利点があります。This approach has the added advantage that the app can be installed automatically for all users in the subsidiary and is available to them whenever they sign in to their own Power BI environment. この方法の利点として、リンクをネイティブに開くことができる Power BI モバイルアプリに適しています。An added advantage of this approach is that it works well with the Power BI mobile apps that can open the link natively. また、これを2番目の方法と組み合わせて、Power BI 環境間での切り替えを容易にすることもできます。You can also combine this with the second approach to enable easier switching between Power BI environments.

親組織でホストされているデータソースへのアクセスを、子会社のユーザーに許可するAllowing subsidiary users to access data sources hosted by the parent organization

多くの場合、子会社のアナリストは、親組織によって提供されるデータを使用して独自の分析を作成する必要があります。Often analysts at a subsidiary need to create their own analytics using data supplied by the parent organization. この場合、一般的なクラウドデータソースを使用して課題に対処します。In this case, commonly cloud data sources are used to address the challenge.

最初の方法では、次の図に示すように、 Azure Analysis Services を利用して、親とその子会社全体でアナリストのニーズに対応するエンタープライズグレードのデータウェアハウスを構築します。The first approach leverages Azure Analysis Services to build an enterprise grade data warehouse that serves the needs of Analysts across the parent and its subsidiaries as shown the following image. Contoso はデータをホストし、行レベルのセキュリティなどの機能を使用して、各子会社のユーザーが自分のデータにのみアクセスできるようにすることができます。Contoso can host the data and use capabilities like row level security to ensure users in each subsidiary can access only their data. 各組織のアナリストは、Power BI Desktop を通じてデータウェアハウスにアクセスし、その結果の分析をそれぞれの Power BI テナントに発行できます。Analysts at each organization can access the data warehouse through Power BI Desktop and publish resulting analytics to their respective Power BI tenants.

Power BI テナントを使用した共有のしくみ

2番目の方法では、 Azure SQL Database を利用して、データへのアクセスを提供するリレーショナルデータウェアハウスを構築します。The second approach leverages Azure SQL Database to build a relational data warehouse to provide access to data. これは、Azure Analysis Services の方法と同様に機能しますが、行レベルのセキュリティなどの一部の機能は、複数の子会社にわたってデプロイおよび保守が困難な場合があります。This works similarly to the Azure Analysis Services approach, though some capabilities like row level security may be harder to deploy and maintain across subsidiaries.

より高度な方法も使用できますが、上記の方法は最も一般的です。More sophisticated approaches are also possible, however the above are by far the most common.

ケース 3: パートナー間の共有環境Case 3: Shared environment across partners

Contoso は、対戦相手と提携して、共有組立ラインに自動車を建設することができますが、車両を別のブランドまたは異なる地域に分散させることができます。Contoso may enter into a partnership with a competitor to jointly build a car on a shared assembly line, but to distribute the vehicle under different brands or in different regions. これには、組織全体のデータ、インテリジェンス、および分析の広範なコラボレーションと共同所有権が必要です。This requires extensive collaboration and co-ownership of data, intelligence, and analytics across organizations. この構造は、コンサルタントチームがクライアントに対してプロジェクトベースの分析を行うことができるコンサルティングサービス業界にも共通しています。This structure is also common in the consulting services industry where a team of consultants may do project-based analytics for a client.

パートナー間の共有環境

実際には、次の図に示すように、これらの構造は複雑であり、スタッフに管理を求める必要があります。In practice, these structures are complex as shown in the following image, and require staff to maintain. この構造を効果的にするには、組織が各自の Power BI テナント用に購入した Power BI Pro ライセンスを再利用できるようにするため、Power BI コンテンツ機能のクロス組織の編集と管理に依存します。To be effective this structure relies on the cross-organization editing and management of Power BI content capability since it allows organizations to reuse Power BI Pro licenses purchased for their respective Power BI tenants.

ライセンスと共有組織のコンテンツ

共有 Power BI テナントを確立するには、Azure Active Directory を作成する必要があり、その Active Directory 内のユーザーに対して少なくとも1つの Power BI Pro ユーザーアカウントを購入する必要があります。To establish a shared Power BI tenant, an Azure Active Directory needs to be created and at least one Power BI Pro user account needs to be purchased for a user in that active directory. このユーザーは、必要なユーザーを共有組織に招待します。This user invites the required users to the shared organization. 重要なのは、このシナリオでは、Contoso のユーザーが共有組織の Power BI 内で動作する場合、外部ユーザーとして扱われるということです。Importantly, in this scenario, Contoso's users are treated as external users when they operate within the Shared Organization's Power BI.

プロセスは、次のとおりです。The process is as follows:

  1. 共有組織は新しい Azure Active Directory として確立され、少なくとも1つのユーザーアカウントが新しい組織に作成されます。The Shared Organization is established as a new Azure Active Directory and at least one user account is created in the new organization. そのユーザーには Power BI Pro ライセンスが割り当てられている必要があります。That user should have a Power BI Pro license assigned to them.
  2. その後、このユーザーは Power BI のテナントを確立し、必要なユーザーを Contoso とパートナー組織から招待します。This user then establishes a Power BI tenant and invites the required users from Contoso and the Partner organization. また、ユーザーは Azure Analysis Services のような共有データ資産も確立します。The user also establishes any shared data assets like Azure Analysis Services. Contoso とパートナーのユーザーは、ゲストユーザーとして共有組織の Power BI にアクセスできます。Contoso and the Partner's users can access the shared organization's Power BI as guest users. Power BI のコンテンツの編集と管理を許可されている場合は、外部ユーザーが Power BI ホームを使用したり、ワークスペースを使用したり、コンテンツをアップロードまたは編集したり、レポートを共有したりできます。If allowed to edit and manage content in Power BI the external users can use Power BI home, use workspaces, upload, or edit content and share reports. 通常、共有されているすべての資産は、共有組織から格納およびアクセスされます。Typically, all shared assets are stored and accessed from the shared organization.
  3. パーティがどのように共同作業に同意するかによって、各組織は、共有データウェアハウス資産を使用して独自の独自のデータと分析を開発することができます。Depending on how the parties agree to collaborate, it is possible for each organization to develop their own proprietary data and analytics using shared data warehouse assets. 内部 Power BI テナントを使用して、それらのユーザーをそれぞれの内部ユーザーに配布することができます。They can distribute those to their respective internal users using their internal Power BI tenants.

ケース 4: 数百または数千の外部パートナーへの配布Case 4: Distribution to hundreds or thousands of external partners

Contoso は1つの業者に対して radiator の信頼性レポートを作成しましたが、Contoso 社は、数百のサプライヤー向けに標準化されたレポートのセットを作成することを希望しています。While Contoso created a radiator reliability report for one Supplier, now Contoso desires to create a set of standardized reports for hundreds of Suppliers. これにより、Contoso は、すべてのサプライヤーが、改善のために必要な分析や、製造の欠陥の修正に必要な分析を確実に行えるようになります。This allows Contoso to ensure all suppliers have the analytics they need to make improvements or to fix manufacturing defects.

多数のパートナーへの配布

標準化されたデータと洞察を多数の外部ユーザーまたは組織に配布する必要がある場合は、Power BI アプリのアドホックまたは計画された共有のシナリオを使用して、開発コストのない BI ポータルをすばやく構築できます。When an organization needs to distribute standardized data and insights to many external users/organizations, they can use the Ad hoc or planned sharing of Power BI Apps scenario to build a BI Portal quickly and without extensive development costs. Power BI アプリを使用してこのようなポータルを構築するプロセスについては、このドキュメントで後述する Power BI + Azure AD B2B を使用した BI ポータルの構築に関するチュートリアルで説明します。The process to build such a portal using a Power BI app is covered in the Case Study: Building a BI Portal using Power BI + Azure AD B2B – Step-by-Step instructions later in this document.

このケースの一般的な亜種は、組織が顧客と洞察を共有しようとしている場合です。特に、Power BI で Azure B2C を使用しようとしている場合です。A common variant of this case is when an organization is attempting to share insights with consumers, especially when looking to use Azure B2C with Power BI. Power BI は、Azure B2C をネイティブでサポートしていません。Power BI does not natively support Azure B2C. このケースのオプションを評価している場合は、このドキュメントの後半の「」セクションで別の方法2を使用することを検討してください。If you're evaluating options for this case, consider using Alternative Option 2 in the Common alternative approaches the section later in this document.

ケーススタディ: Power BI + Azure AD B2B を使用して BI ポータルを構築する-ステップバイステップの手順Case Study: Building a BI Portal using Power BI + Azure AD B2B – Step-by-Step instructions

Power BI の Azure AD B2B との統合により、Contoso はシームレスで手間のかからない方法で、ゲストユーザーに BI ポータルへのセキュリティで保護されたアクセスを提供します。Power BI's integration with Azure AD B2B gives Contoso a seamless, hassle-free way to provide guest users with secure access to its BI portal. Contoso では、次の3つの手順でこれを設定できます。Contoso can set this up with three steps:

ポータルを構築する

  1. Power BI で BI ポータルを作成するCreate BI portal in Power BI

    Contoso の最初のタスクは、Power BI で BI ポータルを作成することです。The first task for Contoso is to create their BI portal in Power BI. Contoso の BI ポータルは、多数の内部ユーザーとゲストユーザーが使用できるようにする、専用のダッシュボードとレポートのコレクションで構成されています。Contoso's BI portal will consist of a collection of purpose-built dashboards and reports that will be made available to many internal and guest users. Power BI でこれを行うには、Power BI アプリを構築することをお勧めします。The recommended way for doing this in Power BI is to build a Power BI app. アプリの詳細について は Power BI を参照してください。Learn more about apps in Power BI.

  • Contoso の BI チームは、ワークスペースを作成し Power BIContoso's BI team creates a workspace in Power BI

    ワークスペース

  • 他の作成者がワークスペースに追加されるOther authors are added to the workspace

    作成者の追加

  • コンテンツはワークスペース内に作成されますContent is created inside the workspace

    ワークスペース内にコンテンツを作成する

    コンテンツがワークスペースに作成されたので、Contoso は、このコンテンツを使用するパートナー組織のゲストユーザーを招待する準備ができました。Now that the content is created in a workspace, Contoso is ready to invite guest users in partner organizations to consume this content.

  1. ゲスト ユーザーを招待するInvite Guest Users

    Contoso が Power BI で BI ポータルにゲストユーザーを招待するには、次の2つの方法があります。There are two ways for Contoso to invite guest users to its BI portal in Power BI:

    • 計画された招待Planned Invites
    • アドホック招待Ad hoc Invites

    計画された招待Planned Invites

    このアプローチでは、Contoso がゲストユーザーを Azure AD に事前に招待し、Power BI コンテンツをそれらに配布します。In this approach, Contoso invites the guest users to its Azure AD ahead of time and then distributes Power BI content to them. Contoso は、Azure portal または PowerShell を使用して、ゲストユーザーを招待できます。Contoso can invite guest users from the Azure portal or using PowerShell. Azure portal からゲストユーザーを招待するには、次の手順を実行します。Here are the steps to invite guest users from the Azure portal:

    • Contoso の Azure AD 管理者は 、新しいゲストユーザー > すべてのユーザー > ユーザーとグループに Azure portal > Azure Active Directoryに移動します。Contoso's Azure AD administrator navigates to Azure portal > Azure Active Directory > Users and groups > All users > New guest user

    ゲスト ユーザー

    • ゲストユーザーの招待メッセージを追加し、[招待] をクリックします。Add an invitation message for the guest users and click Invite

    招待の追加

    注意

    Azure portal からゲストユーザーを招待するには、テナントの Azure Active Directory の管理者である必要があります。To invite guest users from the Azure portal, you need to an administrator for the Azure Active Directory of your tenant.

    Contoso が多くのゲストユーザーを招待する場合は、PowerShell を使用してこれを行うことができます。If Contoso wants to invite many guest users, they can do so using PowerShell. Contoso の Azure AD 管理者は、すべてのゲストユーザーの電子メールアドレスを CSV ファイルに保存します。Contoso's Azure AD administrator stores the email addresses of all the guest users in a CSV file. B2B コラボレーションコードと PowerShell のサンプルと手順については Azure Active Directory を参照してください。Here are Azure Active Directory B2B collaboration code and PowerShell samples and instructions.

    招待の後、ゲストユーザーは招待リンクを含む電子メールを受信します。After the invitation, guest users receive an email with the invitation link.

    招待のリンク

    ゲストユーザーがリンクをクリックすると、Contoso Azure AD テナントのコンテンツにアクセスできるようになります。Once the guest users click the link, they can access content in the Contoso Azure AD tenant.

    注意

    ここで説明するように Azure AD ブランド化機能を使用して、招待メールのレイアウトを変更することができます。It is possible to change the layout of the invitation email using the Azure AD branding feature as described here.

    アドホック招待Ad hoc Invites

    Contoso が事前に招待したいすべてのゲストユーザーを把握していない場合はどうすればよいですか。What if Contoso does not know all the guest users it wants to invite ahead of time? また、BI ポータルを作成した Contoso のアナリストが、ゲストユーザーにコンテンツを配布する必要がある場合はどうでしょうか。Or, what if the analyst in Contoso who created the BI portal wants to distribute content to guest users herself? また、アドホック招待を使用した Power BI でもこのシナリオがサポートされます。We also support this scenario in Power BI with ad-hoc invites.

    アナリストは、アプリの発行時に、アプリのアクセスリストに外部ユーザーを追加するだけで済みます。The analyst can just add the external users to the access list of the app when they are publishing it. ゲストユーザーは招待を受け取り、承諾すると、Power BI のコンテンツに自動的にリダイレクトされます。The guest users gets an invite and once they accept it, they are automatically redirected to the Power BI content.

    外部ユーザーの追加

    注意

    招待は、外部ユーザーが初めて組織に招待されたときにのみ必要です。Invites are needed only the first time an external user is invited to your organization.

  2. [ドライバー パッケージ]Distribute Content

    Contoso の BI チームが BI ポータルと招待されたゲストユーザーを作成したので、ゲストユーザーにアプリへのアクセスを許可して発行することによって、ポータルをエンドユーザーに配布することができます。Now that Contoso's BI team has created the BI portal and invited guest users, they can distribute their portal to their end users by giving guest users access to the app and publishing it. Power BI、Contoso テナントに既に追加されているゲストユーザーの名前をオートコンプリートします。Power BI auto-completes names of guest users who have been previously added to the Contoso tenant. この時点で、他のゲストユーザーへのアドホック招待を追加することもできます。Adhoc invitations to other guest users can also be added at this point.

    注意

    セキュリティグループを使用して外部ユーザーのアプリへのアクセスを管理する場合は、計画された招待方法を使用して、アクセスする必要がある外部ユーザーに直接アプリリンクを共有します。If using Security groups to manage access to the app for external users, use the Planned Invites approach and share the app link directly with each external user who must access it. それ以外の場合、外部ユーザーはアプリ内からコンテンツをインストールまたは表示できない可能性があります。 Otherwise, the external user may not be able to install or view content from within the app.

    ゲストユーザーは、アプリへのリンクを含む電子メールを受け取ります。Guest users get an email with a link to the app.

    電子メール招待のリンク

    このリンクをクリックすると、ゲストユーザーは自身の組織の id で認証するように求められます。On clicking this link, guest users are asked to authenticate with their own organization's identity.

    サインイン ページ

    正常に認証されると、Contoso の BI アプリにリダイレクトされます。Once they are successfully authenticated, they are redirected to Contoso's BI app.

    共有コンテンツを表示

    その後、ゲストユーザーは、電子メールのリンクをクリックするかリンクをブックマークすることで、Contoso のアプリにアクセスできます。Guest users can subsequently get to Contoso's app by clicking the link in the email or bookmarking the link. Contoso では、ゲストユーザーが既に使用している既存のエクストラネットポータルにこのリンクを追加することで、ゲストユーザーの作業を容易にすることもできます。Contoso can also make it easier for guest users by adding this link to any existing extranet portal that the guest users already use.

  3. 次のステップNext steps

    Contoso は、Power BI アプリと Azure AD B2B を使用して、コードなしでサプライヤーの BI ポータルをすばやく作成できました。Using a Power BI app and Azure AD B2B, Contoso was able to quickly create a BI Portal for its suppliers in a no-code way. これにより、標準化された分析を必要なすべてのサプライヤーに配布することが大幅に簡素化されました。This greatly simplified distributing standardized analytics to all the suppliers who needed it.

    この例では、1つの共通レポートをサプライヤー間で分散する方法を示しましたが、Power BI はさらに詳細になります。While the example showed how a single common report could be distributed among suppliers, Power BI can go much further. 各パートナーが自身に関連するデータのみを認識するように、行レベルセキュリティを簡単にレポートとデータモデルに追加できます。To ensure each partner sees only data relevant to themselves, Row Level Security can be added easily to the report and data model. このドキュメントで後述する「外部パートナー向けのデータセキュリティ」セクションでは、このプロセスについて詳しく説明します。The Data security for external partners section later in this document describes this process in details.

    多くの場合、個別のレポートとダッシュボードを既存のポータルに埋め込む必要があります。Often individual reports and dashboards need to be embedded into an existing portal. この例に示されている多くの手法を再利用することもできます。This can also be accomplished reusing many of the techniques shown in the example. ただし、このような状況では、ワークスペースから直接レポートまたはダッシュボードを埋め込む方が簡単な場合があります。However, in those situations it may be easier to embed reports or dashboards directly from a workspace. [ユーザーの要求] にセキュリティ権限を割り当てるプロセスは同じままです。The process for inviting and assigning security permission to the require users remain the same.

内部では、どのようにして Lucy が Contoso のテナントからのコンテンツに Power BI アクセスできるかどうかについて、どのようにしてますか。Under the hood: How is Lucy from Supplier1 able to access Power BI content from Contoso's tenant?

Contoso がパートナー組織のゲストユーザーに Power BI コンテンツをシームレスに配布する方法について説明したので、ここではそのしくみについて詳しく見ていきましょう。Now that we have seen how Contoso is able to seamlessly distribute Power BI content to guest users in partner organizations, let's look at how this works under the hood.

Contoso がディレクトリに招待すると lucy@supplier1.com 、Azure AD によっ Lucy@supplier1.com てと contoso Azure AD テナントの間にリンクが作成されます。When Contoso invited lucy@supplier1.com to its directory, Azure AD creates a link between Lucy@supplier1.com and the Contoso Azure AD tenant. このリンクを使用すると Lucy@supplier1.com 、が Contoso テナントのコンテンツにアクセスできることを Azure AD ことができます。This link lets Azure AD know that Lucy@supplier1.com can access content in the Contoso tenant.

Lucy が Contoso の Power BI アプリにアクセスしようとすると、Azure AD が contoso テナントにアクセスできることを確認し、Lucy が Contoso テナントのコンテンツにアクセスするために認証されていることを示すトークン Power BI を提供します。When Lucy tries to access Contoso's Power BI app, Azure AD verifies that Lucy can access the Contoso tenant and then provides Power BI a token that indicates that Lucy is authenticated to access content in the Contoso tenant. Power BI は、このトークンを使用して承認し、Lucy が Contoso の Power BI アプリにアクセスできるようにします。Power BI uses this token to authorize and ensure that Lucy has access to Contoso's Power BI app.

検証と承認

Power BI の Azure AD B2B との統合は、すべての業務用電子メールアドレスと連携します。Power BI's integration with Azure AD B2B works with all business email addresses. ユーザーが Azure AD id を持っていない場合は、作成するように求めるメッセージが表示されることがあります。If the user does not have an Azure AD identity, they may be prompted to create one. 次の図は、詳細なフローを示しています。The following image shows the detailed flow:

統合フローチャート

Azure AD アカウントが外部パーティの Azure AD で使用または作成されることを認識することが重要です。これにより、Lucy が独自のユーザー名とパスワードを使用できるようになります。また、組織が Azure AD を使用しているときに、その資格情報は自動的に他のテナントで動作を停止します。It is important to recognize that the Azure AD account will be used or created in the external party's Azure AD, this will make it possible for Lucy to use their own username and password and their credentials will automatically stop working in other tenants whenever Lucy leaves the company when their organization also uses Azure AD.

ライセンスLicensing

Contoso は、サプライヤーおよびパートナー組織からのゲストユーザーのライセンスを取得して、Power BI コンテンツにアクセスできるようにする3つの方法のいずれかを選択できます。Contoso can choose one of three approaches to license guest users from its suppliers and partner organizations to have access to Power BI content.

注意

Azure AD B2B's free レベルでは、AZURE AD B2B で Power BI を使用するのに十分です。動的グループなどの高度な Azure AD B2B 機能では、追加のライセンスが必要になります。詳細については、Azure AD B2B のドキュメントを参照してください。https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidanceThe Azure AD B2B's free tier is enough to use Power BI with Azure AD B2B. Some advanced Azure AD B2B features like dynamic groups require additional licensing. Please refer to the Azure AD B2B documentation for additional information: https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance

方法 1: Contoso を使用する Power BI PremiumApproach 1: Contoso uses Power BI Premium

このアプローチでは、Contoso は Power BI Premium 容量を購入し、その BI ポータルコンテンツをこの容量に割り当てます。With this approach, Contoso purchases Power BI Premium capacity and assigns its BI portal content to this capacity. これにより、パートナー組織のゲストユーザーは、Power BI ライセンスを使用せずに Contoso 社の Power BI アプリにアクセスできるようになります。This allows guest users from partner organizations to access Contoso's Power BI app without any Power BI license.

外部ユーザーは、Power BI Premium 内でコンテンツを使用するときに、Power BI の "無料" のユーザーに提供される使用量のみにも影響します。External users are also subject to the consumption only experiences offered to "Free" users in Power BI when consuming content within Power BI Premium.

Contoso では、更新頻度の増加、専用容量、大規模なモデルサイズなど、アプリの他の Power BI premium 機能を利用することもできます。Contoso can also take advantage of other Power BI premium capabilities for its apps like increased refresh rates, dedicated capacity, and large model sizes.

その他の機能

方法 2: Contoso Power BI Pro ライセンスをゲストユーザーに割り当てます。Approach 2: Contoso assigns Power BI Pro licenses to guest users

このアプローチでは、Contoso はパートナー組織のゲストユーザーに pro ライセンスを割り当てます。これは Contoso の Microsoft 365 管理センターから行うことができます。With this approach, Contoso assigns pro licenses to guest users from partner organizations – this can be done from Contoso's Microsoft 365 admin center. これにより、パートナー組織のゲストユーザーは、ライセンスを購入しなくても Contoso 社の Power BI アプリにアクセスできるようになります。This allows guest users from partner organizations to access Contoso's Power BI app without purchasing a license themselves. これは、組織がまだ Power BI 採用していない外部ユーザーとの共有に適しています。This can be appropriate for sharing with external users whose organization has not adopted Power BI yet.

注意

Contoso の pro ライセンスは、Contoso テナントのコンテンツにアクセスする場合にのみ、ゲストユーザーに適用されます。Contoso's pro license applies to guest users only when they access content in the Contoso tenant. Pro ライセンスを使用すると、Power BI Premium 容量以外のコンテンツにアクセスできます。Pro licenses enable access to content that is not in a Power BI Premium capacity. ただし、Pro ライセンスを持つ外部ユーザーは、既定で消費のみのエクスペリエンスに制限されています。However, external users with a Pro license are restricted by default to a consumption only experience. これは、このドキュメントで後述する「Power BI で 外部ユーザーがコンテンツを編集および管理できるようにする 方法」で説明されている方法を使用して変更できます。This can be changed by using the approach described in the Enabling external users to edit and manage content within Power BI section later in this document.

ライセンス情報

方法 3: ゲストユーザーが独自の Power BI Pro ライセンスを持ち込むApproach 3: Guest users bring their own Power BI Pro license

このアプローチでは、Supplier 1 は Power BI Pro ライセンスを Lucy に割り当てます。With this approach, Supplier 1 assigns a Power BI Pro license to Lucy. その後、このライセンスで Contoso の Power BI アプリにアクセスできます。They can then access Contoso's Power BI app with this license. Lucy は外部 Power BI 環境にアクセスするときに自身の組織の Pro ライセンスを使用できるため、この方法は ライセンス 持ち込み (byol) と呼ばれることもあります。Since Lucy can use their Pro license from their own organization when accessing an external Power BI environment, this approach is sometimes referred to as bring your own license (BYOL). 両方の組織が Power BI を使用している場合は、分析ソリューション全体に対して有益なライセンスが提供され、外部ユーザーにライセンスを割り当てる際のオーバーヘッドが最小限に抑えられます。If both organizations are using Power BI, this offers advantageous licensing for the overall analytics solution and minimizes overhead of assigning licenses to external users.

注意

Supplier 1 で Lucy に指定された pro ライセンスは、Lucy がゲストユーザーであるすべての Power BI テナントに適用されます。The pro license given to Lucy by Supplier 1 applies to any Power BI tenant where Lucy is a guest user. Pro ライセンスを使用すると、Power BI Premium 容量以外のコンテンツにアクセスできます。Pro licenses enable access to content that is not in a Power BI Premium capacity. ただし、Pro ライセンスを持つ外部ユーザーは、既定で消費のみのエクスペリエンスに制限されています。However, external users with a Pro license are restricted by default to a consumption only experience. これは、このドキュメントで後述する「Power BI で 外部ユーザーがコンテンツを編集および管理できるようにする 方法」で説明されている方法を使用して変更できます。This can be change by using the approach described in the Enabling external users to edit and manage content within Power BI section later in this document.

Pro ライセンスの要件

外部パートナー向けのデータセキュリティData security for external partners

一般に、複数の外部業者を使用する場合、Contoso は、各供給業者が自社の製品に関するデータのみを認識するようにする必要があります。Commonly when working with multiple external suppliers, Contoso needs to ensure that each supplier sees data only about its own products. ユーザーベースのセキュリティと動的な行レベルのセキュリティにより、Power BI で簡単に実行できます。User-based security and dynamic row level security make this easy to accomplish with Power BI.

ユーザーベースのセキュリティUser-based security

Power BI の最も強力な機能の1つは行レベルセキュリティです。One of the most powerful features of Power BI is Row Level Security. この機能を使用すると、Contoso は1つのレポートとデータセットを作成できますが、ユーザーごとに異なるセキュリティ規則を適用できます。This feature allows Contoso to create a single report and dataset but still apply different security rules for each user. 詳細については、「 行レベルのセキュリティ (RLS)」を参照してください。For an in-depth explanation, see Row-level security (RLS).

Power BI の Azure AD B2B との統合により、Contoso は contoso テナントに招待されるとすぐに行レベルセキュリティ規則をゲストユーザーに割り当てることができます。Power BI's integration with Azure AD B2B allows Contoso to assign Row Level Security rules to guest users as soon as they are invited to the Contoso tenant. 前に説明したように、Contoso では、計画またはアドホック招待を通じてゲストユーザーを追加できます。As we have seen before, Contoso can add guest users through either planned or ad-hoc invites. Contoso が行レベルのセキュリティを適用する場合は、計画された招待を使用して、ゲストユーザーを事前に追加し、コンテンツを共有する前にそれらをセキュリティロールに割り当てることを強くお勧めします。If Contoso wants to enforce row level security, it is strongly recommended to use planned invites to add the guest users ahead of time and assigning them to the security roles before sharing the content. Contoso がアドホック招待を使用する場合、ゲストユーザーがデータを表示できない期間が短時間である可能性があります。If Contoso instead uses ad-hoc invites, there might be a short period of time where the guest users will not be able to see any data.

注意

アドホック招待を使用するときに、RLS によって保護されたデータにアクセスする際のこの遅延は、受信した電子メールで共有リンクを開いたときに、ユーザーに対して空白または破損したレポート/ダッシュボードが表示されるため、IT チームへの要求をサポートする可能性があります。This delay in accessing data protected by RLS when using ad-hoc invites can lead to support requests to your IT team because users will see either blank or broken looking reports/dashboards when opening a sharing link in the email they receive. そのため、このシナリオでは、計画された招待を使用することを強くお勧めします。 * *Therefore, it is strongly recommended to use planned invites in this scenario.**

例を見てみましょう。Let's walk through this with an example.

前述のように、Contoso 社には世界中のサプライヤーがいます。また、サプライヤー組織のユーザーが、その地域のデータから洞察を得られるようにしたいと考えています。As mentioned before, Contoso has suppliers around the globe, and they want to make sure that the users from their supplier organizations get insights from data from just their territory. ただし、Contoso のユーザーはすべてのデータにアクセスできます。But users from Contoso can access all the data. Contoso は複数の異なるレポートを作成するのではなく、1つのレポートを作成し、そのデータを表示するユーザーに基づいてデータをフィルター処理します。Instead of creating several different reports, Contoso creates a single report and filters the data based the user viewing it.

共有コンテンツ

Contoso が接続しているユーザーに基づいてデータをフィルター処理できるようにするために、Power BI desktop に2つのロールが作成されます。To make sure Contoso can filter data based on who is connecting, two roles are created in Power BI desktop. 1つは、SalesTerritory "ヨーロッパ" のすべてのデータをフィルター処理するためのもので、もう1つは "北米" を対象としています。One to filter all the data from the SalesTerritory "Europe" and another for "North America".

ロールの管理

レポートでロールが定義されている場合、ユーザーは、任意のデータにアクセスするために、特定のロールに割り当てられている必要があります。Whenever roles are defined in the report, a user must be assigned to a specific role for them to get access to any data. ロールの割り当ては、Power BI サービス ( データセット > セキュリティ ) 内で行われます。The assignment of roles happens inside the Power BI service ( Datasets > Security )

セキュリティの設定

これにより、作成した2つのロールを Contoso の BI チームが確認できるページが開きます。This opens a page where Contoso's BI team can see the two roles they created. Contoso の BI チームがロールにユーザーを割り当てることができるようになりました。Now Contoso's BI team can assign users to the roles.

行レベルのセキュリティ

この例では、Contoso は、電子メールアドレスが "" のパートナー組織のユーザーを欧州ロールに追加してい adam@themeasuredproduct.com ます。In the example Contoso is adding a user in a partner organization with email address "adam@themeasuredproduct.com" to the Europe role:

行レベルのセキュリティ設定

Azure AD によって解決されると、Contoso は、追加の準備が整ったウィンドウに名前が表示されることを確認できます。When this gets resolved by Azure AD, Contoso can see the name show up in the window ready to be added:

ロールの表示

これで、共有されていたアプリをこのユーザーが開いたときに、ヨーロッパのデータを含むレポートのみが表示されるようになりました。Now when this user opens the app that was shared with them, they only see a report with data from Europe:

ビューの内容

動的な行レベルのセキュリティDynamic row level security

もう1つの興味深いトピックは、動的な行レベルセキュリティ (RLS) が Azure AD B2B でどのように機能するかを確認することです。Another interesting topic is to see how dynamic row level security (RLS) work with Azure AD B2B.

つまり、動的な行レベルのセキュリティは、Power BI に接続しているユーザーのユーザー名に基づいてモデル内のデータをフィルター処理することによって機能します。In short, Dynamic row level security works by filtering data in the model based on the username of the person connecting to Power BI. ユーザーのグループに複数のロールを追加するのではなく、モデル内のユーザーを定義します。Instead of adding multiple roles for groups of users, you define the users in the model. ここでは、パターンについて詳しく説明しません。We won't describe the pattern in detail here. Kasper de Jong では、このホワイトペーパーに記載されている動的なセキュリティ情報のすべての種類の行レベル Power BI Desktop セキュリティについて詳細に説明しています。Kasper de Jong offers a detailed write up on all the flavors of row level security in Power BI Desktop Dynamic security cheat sheet, and in this whitepaper .

例を見てみましょう。 Contoso には、グループ別の売上に関する単純なレポートがあります。Let's look at a small example - Contoso has a simple report on sales by groups:

サンプルコンテンツ

このレポートを2人のゲストユーザーと内部ユーザーに共有する必要があります。内部ユーザーはすべてを表示できますが、ゲストユーザーはアクセス権のあるグループのみを表示できます。Now this report needs to be shared with two guest users and an internal user - the internal user can see everything, but the guest users can only see the groups they have access to. これは、ゲストユーザーのデータのみをフィルター処理する必要があることを意味します。This means we must filter the data only for the guest users. データを適切にフィルター処理するために、Contoso はホワイトペーパーとブログの投稿で説明されているように動的 RLS パターンを使用します。To filter the data appropriately, Contoso uses the Dynamic RLS pattern as described in the whitepaper and blog post. これは、Contoso がユーザー名をデータ自体に追加することを意味します。This means, Contoso adds the usernames to the data itself:

データ自体に対して RLS ユーザーを表示する

次に、Contoso は適切なリレーションシップを使用してデータを適切にフィルター処理する適切なデータモデルを作成します。Then, Contoso creates the right data model that filters the data appropriately with the right relationships:

適切なデータが表示されます。

ログインしているユーザーに基づいてデータを自動的にフィルター処理するために、Contoso は、接続しているユーザーを渡すロールを作成する必要があります。To filter the data automatically based on who is logged in, Contoso needs to create a role that passes in the user who is connecting. この場合、Contoso は2つのロールを作成します。1つは、Power BI にログインしているユーザーの現在のユーザー名を使用して Users テーブルをフィルター処理する "securityrole" です (Azure AD B2B ゲストユーザーに対しても機能します)。In this case, Contoso creates two roles – the first is the "securityrole" that filters the Users table with the current username of the user logged in to Power BI (this works even for Azure AD B2B guest users).

ロールの管理

Contoso は、すべてを表示できる、内部ユーザーに対して別の "AllRole" も作成します。このロールにはセキュリティ述語がありません。Contoso also creates another "AllRole" for its internal users who can see everything – this role does not have any security predicate.

Power BI desktop ファイルをサービスにアップロードした後、Contoso は "SecurityRole" にゲストユーザーを割り当てて、"AllRole" に内部ユーザーを割り当てることができます。After uploading the Power BI desktop file to the service, Contoso can assign guest users to the "SecurityRole" and internal users to the "AllRole"

ゲストユーザーがレポートを開くと、グループ A からの売上のみが表示されるようになりました。Now, when the guest users open the report, they only see sales from group A:

グループ A からのみ

右側のマトリックスでは、USERNAME () 関数と USERPRINCIPALNAME () 関数の結果が両方とも guest ユーザーの電子メールアドレスとして返されます。In the matrix to the right you can see the result of the USERNAME() and USERPRINCIPALNAME() function both return the guest users email address.

これで、内部ユーザーがすべてのデータを表示できるようになりました。Now the internal user gets to see all the data:

表示されるすべてのデータ

ご覧のように、動的 RLS は内部ユーザーとゲストユーザーの両方で動作します。As you can see, Dynamic RLS works with both internal or guest users.

注意

このシナリオは、Azure Analysis Services でモデルを使用する場合にも使用できます。This scenario also works when using a model in Azure Analysis Services. 通常、Azure Analysis Service は、Power BI と同じ Azure AD に接続されます。その場合、Azure Analysis Services Azure AD B2B 経由で招待されたゲストユーザーも認識しています。Usually your Azure Analysis Service is connected to the same Azure AD as your Power BI - in that case, Azure Analysis Services also knows the guest users invited through Azure AD B2B.

オンプレミスデータソースへの接続Connecting to on premises data sources

Power BI は、オンプレミスデータゲートウェイに対して直接、 SQL Server Analysis ServicesSQL Serverなどのオンプレミスデータソースを利用する Contoso の機能を提供します。Power BI offers the capability for Contoso to leverage on premises data sources like SQL Server Analysis Services or SQL Server directly thanks to the On-Premises data gateway. Power BI で使用するのと同じ資格情報を使用して、これらのデータソースにサインオンすることもできます。It is even possible to sign on to those data sources with the same credentials as used with Power BI.

注意

Power BI テナントに接続するためにゲートウェイをインストールする場合は、テナント内に作成されたユーザーを使用する必要があります。When installing a gateway to connect to your Power BI tenant, you must use a user created within your tenant. 外部ユーザーはゲートウェイをインストールしてテナントに接続することはできません。 External users cannot install a gateway and connect it to your tenant.

外部ユーザーの場合、外部ユーザーは通常、オンプレミスの AD で認識されていないため、より複雑になる可能性があります。For external users, this might be more complicated as the external users are usually not known to the on-premises AD. Power BI は、「 データソースの管理-Analysis Services」で説明されているように、Contoso の管理者が外部ユーザー名を内部ユーザー名にマップできるようにすることで、この回避策を提供します。Power BI offers a workaround for this by allowing Contoso administrators to map the external usernames to internal usernames as described in Manage your data source - Analysis Services. たとえば、は lucy@supplier1.com lucy _ supplier1 _ com # EXT@contoso.com にマップできます。For example, lucy@supplier1.com can be mapped to lucy_supplier1_com#EXT@contoso.com.

ユーザー名のマッピング

Contoso が少数のユーザーのみを持っている場合、または Contoso がすべての外部ユーザーを1つの内部アカウントにマップできる場合、この方法は問題ありません。This method is fine if Contoso only has a handful of users or if Contoso can map all the external users to a single internal account. 各ユーザーが独自の資格情報を必要とする複雑なシナリオでは、「データソースの管理-Analysis Services」で説明されているように、カスタム AD 属性を使用してマッピングを行うより高度なアプローチがあります。For more complex scenarios where each user needs their own credentials, there is a more advanced approach that uses custom AD attributes to do the mapping as described in Manage your data source - Analysis Services. これにより、Contoso の管理者は、Azure AD (外部 B2B ユーザー) のすべてのユーザーのマッピングを定義できるようになります。This would allow the Contoso administrator to define a mapping for every user in your Azure AD (also external B2B users). これらの属性は、スクリプトまたはコードを使用して AD オブジェクトモデルを通じて設定できます。そのため、Contoso は招待またはスケジュールされたリズムでマッピングを完全に自動化できます。These attributes can be set through the AD object model using scripts or code so Contoso can fully automate the mapping on invite or on a scheduled cadence.

外部ユーザーが Power BI 内のコンテンツを編集および管理できるようにするEnabling external users to edit and manage content within Power BI

Contoso を使用すると、組織内でのコンテンツの投稿を外部ユーザーに許可することができます。これには、「組織内の組織内での Power BI コンテンツの編集と管理」セクションを参照してください。Contoso can allow external users to contribute content within the organization as described earlier in the cross-organization editing and management of Power BI content section.

注意

組織の Power BI 内のコンテンツを編集および管理するには、ユーザーは個人用ワークスペース以外のワークスペースで Power BI Pro ライセンスを持っている必要があります。To edit and manage content within your organization's Power BI, the user must have a Power BI Pro license in a workspace other than My workspace. ユーザーは、このドキュメントの「 ライセンス 」セクションで説明されているように Pro ライセンスを取得できます。Users can obtain Pro licenses as covered in the Licensing section of this document.

Power BI 管理ポータルでは、[外部のゲストユーザーがテナントの設定] の [組織] 設定 でコンテンツを編集および管理できるように します。The Power BI Admin Portal provides the allow external guest users to edit and manage content in the organization setting in Tenant settings. 既定では、この設定は [無効] に設定されています。つまり、既定では、外部ユーザーは制限付きの読み取り専用のエクスペリエンスを利用できます。By default, the setting is set to disabled, meaning external users get a constrained read-only experience by default. この設定は、Azure AD で UserType が Guest に設定されているユーザーに適用されます。The setting applies to users with UserType set to Guest in Azure AD. 次の表では、ユーザーの UserType に応じた動作と、設定の構成方法について説明します。The table below describes the behaviors users experience depending on their UserType and how the settings are configured.

Azure AD のユーザーの種類User Type in Azure AD 外部のゲストユーザーがコンテンツ設定を編集および管理することを許可するAllow external guest users to edit and manage content setting BehaviorBehavior
ゲストGuest ユーザーに対して無効 (既定)Disabled for the user (Default) 項目ごとの消費専用ビュー。Per item consumption only view. ゲストユーザーに送信された URL を使用して表示するときに、レポート、ダッシュボード、およびアプリへの読み取り専用アクセスを許可します。Allows read-only access to reports, dashboards, and apps when viewed through a URL sent to the Guest user. Power BI Mobile アプリは、ゲストユーザーに読み取り専用のビューを提供します。Power BI Mobile apps provide a read-only view to the guest user.
ゲストGuest ユーザーに対して有効Enabled for the user 外部ユーザーは、一部の機能を使用できない場合でも、完全な Power BI エクスペリエンスにアクセスできます。The external user gets access to the full Power BI experience, though some features are not available to them. 外部ユーザーは、テナント情報が含まれている Power BI サービスの URL を使用して Power BI にログインする必要があります。The external user must log in to Power BI using the Power BI Service URL with the tenant information included. ユーザーはホームエクスペリエンス、個人用ワークスペースを取得し、アクセス許可に基づいてコンテンツを参照、表示、作成できます。The user gets the Home experience, a My Workspace, and based on permissions can browse, view, and create content.

Power BI Mobile アプリは、ゲストユーザーに読み取り専用のビューを提供します。Power BI Mobile apps provide a read-only view to the guest user.

注意

Azure AD の外部ユーザーを UserType Member に設定することもできます。External users in Azure AD can also be set to UserType Member. 現時点では、これは Power BI ではサポートされていません。This is not currently supported in Power BI.

Power BI 管理ポータルでは、次の図に設定が表示されます。In the Power BI Admin portal, the setting is shown in the following image.

管理者の設定

ゲストユーザーは、読み取り専用の既定のエクスペリエンスを取得し、コンテンツを編集および管理できます。Guest users get the read-only default experience and which can edit and manage content. 既定値は無効です。つまり、すべてのゲストユーザーが読み取り専用のエクスペリエンスを持ちます。The default is Disabled, meaning all Guest users have the read-only experience. Power BI 管理者は、組織内のすべてのゲストユーザーまたは Azure AD で定義されている特定のセキュリティグループの設定を有効にすることができます。The Power BI Admin can either enable the setting for all Guest users in the organization or for specific security groups defined in Azure AD. 次の図では、Contoso Power BI 管理者が Azure AD でセキュリティグループを作成し、Contoso テナントのコンテンツを編集および管理できる外部ユーザーを管理しています。In the following image, the Contoso Power BI Admin created a security group in Azure AD to manage which external users can edit and manage content in the Contoso tenant.

これらのユーザーが Power BI にログインできるようにするには、テナントの URL を指定します。To help these users to log in to Power BI, provide them with the Tenant URL. テナントの URL を見つけるには、次の手順に従います。To find the tenant URL, follow these steps.

  1. Power BI サービスの上部のメニューで、[ヘルプ (?] を選択し ます。In the Power BI service, in the top menu, select help ( ? ) をクリックし、 Power BI について説明します。) then About Power BI.

  2. [ テナント URL] の横にある値を探します。Look for the value next to Tenant URL. これは、ゲストユーザーと共有できるテナント URL です。This is the tenant URL you can share with your guest users.

    テナントの URL

[外部ゲストユーザーに組織内のコンテンツの編集と管理を許可する] を使用すると、指定したゲストユーザーは組織の Power BI にアクセスし、アクセス許可があるコンテンツを表示できます。When using the Allow external guest users to edit and manage content in the organization, the specified guest users get access to your organization's Power BI and see any content to which they have permission. これらのユーザーは、ホームにアクセスしたり、コンテンツを参照してワークスペースに投稿したり、アクセスリストにあるアプリをインストールしたり、個人用ワークスペースを持ったりすることができます。They can access Home, browse and contribute content to workspaces, install apps where they are on the access list, and have a My workspace. 新しいワークスペース エクスペリエンスを使用するワークスペースを作成したり、その管理者になったりすることができます。They can create or be an Admin of workspaces that use the new workspace experience.

注意

このオプションを使用する場合は、このドキュメントのガバナンスセクションを必ず確認してください。既定の Azure AD 設定を使用すると、ゲストユーザーはユーザーの選択などの特定の機能を使用できなくなるため、エクスペリエンスが低下する可能性があります。 * *When using this option make sure to review the governance section of this document since default Azure AD settings prevent Guest users to use certain features like people pickers which can lead to a reduced experience.**

[外部ゲストユーザーに組織のテナントのコンテンツの編集および管理を許可する] 設定を使用して有効にしたゲストユーザーは、一部のエクスペリエンスを使用できません。For guest users enabled through the Allow external guest users to edit and manage content in the organization tenant setting, some experiences are not available to them. レポートを更新またはパブリッシュするには、ゲストユーザーは Power BI サービス web UI を使用する必要があります。たとえば、Power BI Desktop ファイルをアップロードするには、[データの取得] を使用します。To update or publish reports, guest users need to use the Power BI service web UI, including Get Data to upload Power BI Desktop files. 次のエクスペリエンスはサポートされていません。The following experiences are not supported:

  • Power BI Desktop から Power BI サービスに直接発行することはできません。Direct publishing from Power BI desktop to the Power BI service
  • ゲスト ユーザーは、Power BI Desktop を使用して Power BI サービス内のサービス データセットに接続することができません。Guest users cannot use Power BI desktop to connect to service datasets in the Power BI service
  • Microsoft 365 グループに関連付けられているクラシックワークスペース: Guest ユーザーは、これらのワークスペースを作成したり、管理者にすることはできません。Classic workspaces tied to Microsoft 365 Groups: Guest user cannot create or be Admins of these workspaces. メンバーになることは可能です。They can be members.
  • ワークスペース アクセス リストに対して、アドホック招待の送信はサポートされていません。Sending ad-hoc invites is not supported for workspace access lists
  • ゲスト ユーザーに対して、Power BI Publisher for Excel はサポートされていません。Power BI Publisher for Excel is not supported for guest users
  • ゲスト ユーザーは、Power BI Gateway をインストールして組織に接続することができません。Guest users cannot install a Power BI Gateway and connect it to your organization
  • ゲスト ユーザーは、組織全体に発行されるアプリをインストールできません。Guest users cannot install apps publish to the entire organization
  • ゲスト ユーザーは組織のコンテンツ パックを使用、作成、更新、またはインストールできません。Guest users cannot use, create, update, or install organizational content packs
  • ゲスト ユーザーは [Excel で分析] を使用できません。Guest users cannot use Analyze in Excel
  • ゲストユーザーにコメントを設定することはできません @mentioned (この機能は今後のリリースで追加される予定です)Guest users cannot be @mentioned in commenting ( this functionality will be added in an upcoming release )
  • ゲストユーザーはサブスクリプションを使用できません (この機能は今後のリリースで追加される予定です)Guest users cannot use subscriptions ( this functionality will be added in an upcoming release )
  • この機能を使用するゲスト ユーザーには、職場または学校のアカウントが必要です。Guest users who use this capability should have a work or school account. 個人アカウントを使用しているゲストユーザーは、サインインの制限により、より多くの制限が発生します。Guest users using Personal accounts experience more limitations due to sign-in restrictions.

ガバナンスGovernance

Azure AD B2B 共有を使用する場合、Azure Active Directory 管理者は外部ユーザーのエクスペリエンスの側面を制御します。When using Azure AD B2B sharing, the Azure Active Directory administrator controls aspects of the external user's experience. これらは、テナントの Azure Active Directory 設定内の [外部コラボレーション設定] ページで制御されます。These are controlled on the External collaboration settings page within the Azure Active Directory settings for your Tenant.

設定の詳細については、次を参照してください。Details on the settings are available here:

https://docs.microsoft.com/azure/active-directory/b2b/delegate-invitations

注意

既定では、"ゲストユーザーのアクセス許可は制限されています" オプションが [はい] に設定されているので、Power BI 内のゲストユーザーは、特に、ユーザーが選択した Ui が機能しないユーザーに対して、特に共有をブロックします。By default, the Guest users permissions are limited option is set to Yes, so Guest users within Power BI have limited experiences especially surround sharing where people picker UIs do not work for those users. 適切なエクスペリエンスを確保するために、次に示すように、Azure AD 管理者と協力して [いいえ] に設定することが重要です。 * *It is important to work with your Azure AD administrator to set it to No, as shown below to ensure a good experience.**

外部コラボレーションの設定

ゲスト招待の制御Control guest invites

Power BI 管理者は、Power BI 管理ポータルにアクセスすることによって、Power BI 専用の外部共有を制御できます。Power BI administrators can control external sharing just for Power BI by visiting the Power BI admin portal. ただし、管理者は、さまざまな Azure AD ポリシーを使用して外部共有を制御することもできます。But admins can also control external sharing with various Azure AD policies. これらのポリシーを使用すると、管理者はThese policies allow admins to:

  • エンドユーザーによる招待をオフにするTurn off invitations by end users
  • 管理者と、ゲストの招待元ロールのユーザーのみが招待できるOnly admins and users in the Guest Inviter role can invite
  • 管理者、ゲストの招待元ロール、およびメンバーが招待できるAdmins, the Guest Inviter role, and members can invite
  • ゲストを含むすべてのユーザーが招待できるAll users, including guests, can invite

これらのポリシーの詳細については、「 B2B コラボレーション Azure Active Directory の招待の委任」を参照してください。You can read more about these policies in Delegate invitations for Azure Active Directory B2B collaboration.

外部ユーザーによるすべての Power BI アクションも 、監査ポータルで監査されます。All Power BI actions by external users are also audited in our auditing portal.

ゲストユーザーの条件付きアクセスポリシーConditional Access policies for guest users

Contoso テナントのコンテンツにアクセスするゲストユーザーに対して、条件付きアクセスポリシーを適用することができます。Contoso can enforce conditional access policies for guest users who access content from the Contoso tenant. 詳細な手順については、「 B2B コラボレーションユーザーの条件付きアクセス」を参照してください。You can find detailed instructions in Conditional access for B2B collaboration users.

一般的な代替アプローチCommon alternative approaches

B2B Azure AD 組織間でのデータとレポートの共有が容易になりますが、一般的に使用されるいくつかの方法があり、場合によってはより優れている場合があります。While Azure AD B2B makes it easy to share data and reports across organizations, there are several other approaches that are commonly used and may be superior in certain cases.

代替オプション 1: パートナーユーザーの id を重複して作成するAlternative Option 1: Create duplicate identities for partner users

このオプションを使用すると、contoso は、次の図に示すように、Contoso テナントのパートナーユーザーごとに重複した id を手動で作成する必要がありました。With this option, Contoso had to manually create duplicate identities for each partner user in the Contoso Tenant, as shown in the following image. 次に、Power BI 内で、Contoso は、割り当てられた id と適切なレポート、ダッシュボード、またはアプリを共有できます。Then within Power BI, Contoso can share to the assigned identities the appropriate reports, dashboards, or apps.

適切なマッピングと名前の設定

この代替手段を選択する理由:Reasons to choose this alternative:

  • ユーザーの id は組織によって制御されるため、電子メール、SharePoint などの関連サービスも組織の管理下にあります。Since the user's identity is controlled by your organization, any related service such as email, SharePoint, etc. are also within the control of your organization. IT 管理者は、これらのサービスのパスワードをリセットしたり、アカウントへのアクセスを無効にしたり、監査アクティビティを実行したりすることができます。Your IT Administrators can reset passwords, disable access to accounts, or audit activities in these services.
  • 多くの場合、ビジネスに個人のアカウントを使用するユーザーは、特定のサービスへのアクセスが制限されているため、組織のアカウントが必要になることがあります。Users who use personal accounts for their business often are restricted from accessing certain services so may need an organizational account.
  • 一部のサービスは、組織のユーザーに対してのみ機能します。Some services only work over your organization's users. たとえば、Intune を使用して、Azure B2B を使用する外部ユーザーの個人用またはモバイルデバイスでコンテンツを管理することはできません。For example, using Intune to manage content on the personal/mobile devices of external users using Azure B2B may not be possible.

この代替手段を選択しない理由:Reasons not to choose this alternative:

  • パートナー組織のユーザーは、2組の資格情報を覚えておく必要があります。1つは自分の組織からコンテンツにアクセスし、もう1つは Contoso のコンテンツにアクセスするためのものです。Users from partner organizations must remember two sets of credentials– one to access content from their own organization and the other to access content from Contoso. これは、これらのゲストユーザーにとって面倒であり、多くのゲストユーザーはこのエクスペリエンスに混乱を招きます。This is a hassle for these guest users and many guest users are confused by this experience.
  • Contoso は、ユーザーごとのライセンスを購入し、これらのユーザーに割り当てる必要があります。Contoso must purchase and assign per-user licenses to these users. ユーザーが電子メールを受信するか、office アプリケーションを使用する必要がある場合は、Power BI でコンテンツを編集および共有する Power BI Pro など、適切なライセンスが必要です。If a user needs to receive email or use office applications, they need the appropriate licenses, including Power BI Pro to edit and share content in Power BI.
  • Contoso では、内部ユーザーと比較して、より厳格な承認とガバナンスのポリシーを外部ユーザーに適用することが必要になる場合があります。Contoso might want to enforce more stringent authorization and governance policies for external users compared to internal users. これを実現するには、Contoso は外部ユーザー向けの社内の用語を作成する必要があり、Contoso のすべてのユーザーはこの用語について教育を受ける必要があります。To achieve this, Contoso needs to create an in-house nomenclature for external users and all Contoso users need to be educated about this nomenclature.
  • ユーザーが組織を離れると、Contoso の管理者がアカウントを手動で削除するまで、Contoso のリソースに引き続きアクセスできるようになります。When the user leaves their organization, they continue to have access to Contoso's resources until the Contoso admin manually deletes their account
  • Contoso の管理者は、作成、パスワードのリセットなど、ゲストの id を管理する必要があります。Contoso admins have to manage the identity for the guest, including creation, password resets, etc.

代替オプション 2: カスタム認証を使用してカスタム Power BI Embedded アプリケーションを作成するAlternative Option 2: Create a custom Power BI Embedded application using custom authentication

Contoso のもう1つのオプションは、カスタム認証 ("アプリ所有データ") を使用して、独自のカスタム埋め込み Power BI アプリケーションを作成することです。Another option for Contoso is to build its own custom embedded Power BI application with custom authentication ('App owns data'). 多くの組織には、Power BI コンテンツを外部パートナーに配布するためのカスタムアプリケーションを作成するための時間やリソースがありませんが、組織によっては、これが最善の方法であり、非常に深刻な考慮事項です。While many organizations do not have the time or resources to create a custom application to distribute Power BI content to their external partners, for some organizations this is the best approach and deserves serious consideration.

多くの場合、組織は既存のパートナーポータルを使用して、パートナーのすべての組織リソースへのアクセスを一元化し、組織の内部リソースから分離し、パートナーが多数のパートナーと個々のユーザーをサポートするための合理化されたエクスペリエンスを提供しています。Often, organizations have existing partner portals that centralize access to all organizational resources for partners, provide isolation from internal organizational resources, and provide streamlined experiences for partners to support many partners and their individual users.

多くのパートナーポータル

上の例では、各サプライヤーのユーザーが、id プロバイダーとして AAD を使用する Contoso のパートナーポータルにログインしています。In the example above, users from each supplier login to Contoso's Partner Portal that uses AAD as an identity provider. AAD B2B、Azure B2C、ネイティブ id を使用することも、任意の数の他の id プロバイダーとフェデレーションすることもできます。It could use AAD B2B, Azure B2C, native identities, or federate with any number of other identity providers. ユーザーは、Azure Web アプリまたは同様のインフラストラクチャを使用してログインし、パートナーポータルのビルドにアクセスします。The user would log in and access a partner portal build using Azure Web App or a similar infrastructure.

Web アプリ内では、Power BI レポートは Power BI Embedded 配置から埋め込まれます。Within the web app, Power BI reports are embedded from a Power BI Embedded deployment. この web アプリは、サプライヤーと Contoso との対話を容易にすることを目的とした、統合されたエクスペリエンスでレポートと関連サービスへのアクセスを効率化します。The web app would streamline access to the reports and any related services in a cohesive experience aimed to make it easy for suppliers to interact with Contoso. このポータル環境は、サプライヤーがこれらのリソースにアクセスできないようにするために、Contoso internal AAD と Contoso の内部 Power BI 環境から分離されています。This portal environment would be isolated from the Contoso internal AAD and Contoso's internal Power BI environment to ensure suppliers could not access those resources. 通常、データの分離を確保するために、データは別のパートナーデータウェアハウスに格納されます。Typically, data would be stored in a separate Partner data warehouse to ensure isolation of data as well. この分離には、組織のデータへの直接アクセスを許可する外部ユーザーの数を制限し、外部ユーザーが使用できる可能性があるデータを制限し、外部ユーザーとの偶発的な共有を制限するための利点があります。This isolation has benefits since it limits the number of external users with direct access to your organization's data, limiting what data could potentially be available to the external user, and limiting accidental sharing with external users.

Power BI Embedded を使用すると、ポータルは、アプリトークンまたはマスターユーザーと Azure モデルで購入した premium 容量を使用して、有益なライセンスを活用できます。これにより、エンドユーザーへのライセンスの割り当てに関する問題が簡単になり、予想される使用量に基づいてスケールアップ/スケールダウンすることができます。Using Power BI Embedded, the portal can leverage advantageous licensing, using app token or the master user plus premium capacity purchased in Azure model, which simplifies concerns about assigning licenses to end users, and can scale up/down based on expected usage. パートナーは、パートナーのすべてのニーズを念頭に置いて設計された単一のポータルにアクセスするため、全体的な品質と一貫したエクスペリエンスを提供できます。The portal can offer an overall higher quality and consistent experience since partners access a single portal designed with all of a Partner's needs in mind. 最後に、Power BI Embedded ベースのソリューションは、通常はマルチテナントとして設計されているため、パートナー組織間の分離を容易にすることができます。Lastly, since Power BI Embedded based solutions are typically designed to be multi-tenant, it makes it easier to ensure isolation between partner organizations.

この代替手段を選択する理由:Reasons to choose this alternative:

  • パートナー組織の数が増えるにつれて管理が容易になります。Easier to manage as the number of partner organizations grows. パートナーは Contoso の内部 AAD ディレクトリから分離された別のディレクトリに追加されるため、IT 部門のガバナンスを簡素化し、内部データを外部ユーザーに誤って共有するのを防ぐことができます。Since partners are added to a separate directory isolated from Contoso's internal AAD directory, it simplifies IT's governance duties and helps prevent accidental sharing of internal data to external users.
  • 一般的なパートナーポータルは、パートナー間で一貫したエクスペリエンスを提供し、一般的なパートナーのニーズに合わせて合理化されています。Typical Partner Portals are highly branded experiences with consistent experiences across partners and streamlined to meet the needs of typical partners. そのため、必要なすべてのサービスを1つのポータルに統合することで、パートナーに対する全体的なエクスペリエンスを向上させることができます。Contoso can therefore offer a better overall experience to partners by integrating all required services into a single portal.
  • Power BI Embedded 内のコンテンツの編集などの高度なシナリオのライセンスコストは、Azure で購入した Power BI Premium に含まれており、それらのユーザーに Power BI Pro ライセンスを割り当てる必要はありません。Licensing costs for advanced scenarios like Editing content within the Power BI Embedded is covered by the Azure purchased Power BI Premium, and does not require assignment of Power BI Pro licenses to those users.
  • マルチテナントソリューションとして設計されている場合、パートナー間の分離性が向上します。Provides better isolation across partners if architected as a multi-tenant solution.
  • パートナーポータルには、多くの場合、Power BI レポート、ダッシュボード、およびアプリ以外のパートナー向けの他のツールが含まれています。The Partner Portal often includes other tools for partner beyond Power BI reports, dashboards, and apps.

この代替手段を選択しない理由:Reasons not to choose this alternative:

  • このようなポータルを構築、運用、保守するには、多大な労力が必要です。Significant effort is required to build, operate, and maintain such a portal making it a significant investment in resources and time.
  • 複数のワークストリームで慎重に計画して実行する必要があるため、B2B 共有を使用する場合よりも時間がかかります。Time to solution is much longer than using B2B sharing since careful planning and execution across multiple workstreams is required.
  • パートナーの数が少ない場合は、この代替に必要な労力が大きすぎて正当化できない可能性が高くなります。Where there are a smaller number of partners the effort required for this alternative is likely too high to justify.
  • アドホック共有による共同作業は、組織が直面する主要なシナリオです。Collaboration with ad-hoc sharing is the primary scenario faced by your organization.
  • レポートとダッシュボードは、パートナーごとに異なります。The reports and dashboards are different for each partner. この方法では、パートナーと直接共有するだけではなく、管理オーバーヘッドが発生します。This alternative introduces management overhead beyond just sharing directly with Partners.

よく寄せられる質問FAQ

Contoso は、自動的に引き換えされる招待を送信して、ユーザーが "準備完了" になるようにすることができます。または、ユーザーは常に引き換え URL をクリックする必要がありますか。Can Contoso send an invitation that is automatically redeemed, so that the user is just "ready to go"? Or does the user always have to click through to the redemption URL?

エンドユーザーがコンテンツにアクセスするには、常に同意エクスペリエンスをクリックする必要があります。The end user must always click through the consent experience before they can access content.

多数のゲストユーザーを招待する場合は、 リソース組織のゲスト招待元ロールにユーザーを追加して、コア Azure AD 管理者から委任することをお勧めします。If you will be inviting many guest users, we recommend that you delegate this from your core Azure AD admins by adding a user to the guest inviter role in the resource organization. このユーザーは、サインイン UI、PowerShell スクリプト、または API を使用して、パートナー組織の他のユーザーを招待できます。This user can invite other users in the partner organization by using the sign-in UI, PowerShell scripts, or APIs. これにより、Azure AD 管理者がパートナー組織のユーザーに招待または再送信する際の管理負担が軽減されます。This reduces the administrative burden on your Azure AD admins to invite or resent invites to users at the partner organization.

パートナーが多要素認証を使用していない場合、Contoso がゲストユーザーに対して multi-factor authentication を強制することはできますか。Can Contoso force multi-factor authentication for guest users if its partners don't have multi-factor authentication?

はい。Yes. 詳細については、「 B2B コラボレーションユーザーの条件付きアクセス」を参照してください。For more information, see Conditional access for B2B collaboration users.

招待されたパートナーがフェデレーションを使用して独自のオンプレミス認証を追加するとき、B2B コラボレーションはどのように機能しますか?How does B2B collaboration work when the invited partner is using federation to add their own on-premises authentication?

パートナーの Azure AD テナントがオンプレミス認証インフラストラクチャにフェデレーションされている場合、オンプレミスのシングル サインオン (SSO) が自動的に実行されます。If the partner has an Azure AD tenant that is federated to the on-premises authentication infrastructure, on-premises single sign-on (SSO) is automatically achieved. パートナーが Azure AD テナントを持っていない場合は、新しいユーザーに対して Azure AD アカウントを作成できます。If the partner doesn't have an Azure AD tenant, an Azure AD account may be created for new users.

コンシューマーの電子メールアカウントを使用してゲストユーザーを招待することはできますか。Can I invite guest users with consumer email accounts?

コンシューマー電子メールアカウントを使用してゲストユーザーを招待することは Power BI でサポートされています。Inviting guest users with consumer email accounts is supported in Power BI. これには、hotmail.com、outlook.com、gmail.com などのドメインが含まれます。This includes domains such as hotmail.com, outlook.com and gmail.com. ただし、これらのユーザーには、職場または学校アカウントを持つユーザー以外の制限が発生する可能性があります。However, those users may experience limitations beyond what users with work or school accounts encounter.