Distribusjon av Power BI-innhold til eksterne gjestebrukere ved hjelp av Azure Active Directory B2B

Sammendrag: Dette er en teknisk hvitkopi som understreker hvordan du distribuerer innhold til brukere utenfor organisasjonen ved hjelp av integrering av Azure Active Directory bedrift-til-bedrift (Azure AD B2B).

Skrivere: Lukasz Pawlowski, Kasper de Jonge

Tekniske anmeldere: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Obs!

Du kan lagre eller skrive ut denne hvitboken ved å velge Skriv ut fra nettleseren og deretter velge Lagre som PDF.

Innledning

Power BI gir organisasjoner en 360-graders visning av virksomheten, og gjør alle i disse organisasjonene i stand til å foreta intelligente beslutninger ved hjelp av data. Mange av disse organisasjonene har sterke og pålitelige relasjoner med eksterne partnere, klienter og leverandører. Disse organisasjonene må gi sikker tilgang til Power BI-instrumentbord og rapporter til brukerne hos de eksterne partnerne.

Power BI integreres med Azure Active Directory bedrift-til-bedrift (Azure AD B2B) for å tillate sikker distribusjon av Power BI-innhold til gjestebrukere utenfor organisasjonen, men med fortsatt kontroll over og styrende tilgang til interne data.

Denne hvitboken dekker alle detaljene du trenger for å forstå Power BI-integrasjonen med Azure Active Directory B2B. Vi dekker de vanligste brukstilfeller, konfigurasjoner, lisensieringer og sikkerhet på radnivå.

Obs!

I denne hvitboken refererer vi til Azure Active Directory som Azure AD og Azure Active Directory bedrift til bedrift som Azure AD B2B.

Scenarioer

Contoso er en bilprodusent og jobber med mange ulike leverandører som leverer alle komponentene, materialene, og tjenestene som er nødvendige for å kjøre operasjonene i produksjonen. Contoso ønsker å strømlinjeforme sin leveransekjedelogistikk og har planer om å bruke Power BI til å overvåke viktige måledata for ytelse i forsyningskjeden. Contoso ønsker å dele analyser med eksterne leveransekjedepartnere på en sikker og håndterbar måte.

Contoso kan aktivere følgende opplevelser for eksterne brukere, ved hjelp av Power BI og Azure AD B2B.

Ad hoc-deling per element

Contoso jobber med en leverandør som bygger radiatorer for Contosos biler. Ofte trenger de å optimalisere påliteligheten til radiatorene ved hjelp av data fra alle Contosos biler. En analytiker hos Contoso bruker Power BI til å dele en pålitelighetsrapport om radiatorer med en ingeniør hos leverandøren. Ingeniøren mottar en e-postmelding med en kobling til å vise rapporten.

Som beskrevet ovenfor, utføres ad hoc-delingen av bedriftsbrukere på en behovsbasert basis. Koblingen som sendes fra Power BI til den eksterne brukeren er en kobling til en Azure AD B2B-invitasjon. Når den eksterne brukeren åpner koblingen, blir vedkommende bedt om å bli med i Contosos Azure AD-organisasjon som gjestebruker. Når invitasjonen er godtatt, åpner koblingen den bestemte rapporten eller instrumentbordet. Administratoren for Azure Active Directory delegerer tillatelse til å invitere eksterne brukere til organisasjonen, og velger hva disse brukerne kan gjøre når de godtar invitasjonen, som beskrevet i delen om styring i dette dokumentet. Contoso-analytikeren kan invitere gjestebrukeren bare fordi Azure AD-administratoren tillot denne handlingen, og Power BI-administratoren tillot brukere å invitere gjester til å vise innhold i leierinnstillinger for Power BI.

Invitasjon av gjester til Power BI ved hjelp av AAD

  1. Prosessen starter med en intern bruker i Contoso som deler et instrumentbord eller en rapport med en ekstern bruker. Hvis den eksterne brukeren ikke allerede er gjest i Contosos Azure AD, blir vedkommende invitert. En e-post sendes til vedkommendes e-postadresse, og inkluderer en invitasjon til Contosos Azure AD
  2. Mottakeren godtar invitasjonen til Contosos Azure AD, og blir lagt til som en gjestebruker.
  3. Mottakeren blir så omdirigert til instrumentbordet, rapporten eller appen i Power BI. Dette er skrivebeskyttet for brukeren.

Prosessen anses som ad hoc, siden bedriftsbrukere i Contoso sender invitasjoner etter hvert som behovet oppstår i bedriften. Hvert element som deles er én enkelt kobling den eksterne brukeren har tilgang til for å vise innholdet.

Når en ekstern bruker er invitert til å få tilgang til Contoso-ressurser, kan en skyggekonto opprettes i Contoso Azure AD, og vedkommende trenger ikke å bli invitert på nytt. Første gang brukerne prøver å få tilgang til en Contoso-ressurs, som et Power BI-instrumentbord, går de gjennom en samtykkeprosess, som innløser invitasjonen. Hvis de ikke fullfører samtykket, får de ikke tilgang til noe av Contosos innhold. Hvis de har problemer med å løse inn invitasjonen via den opprinnelige koblingen de fikk, kan en Azure AD-administrator sende en spesifikk invitasjonskobling de kan løse inn.

Planlagt deling per element

Contoso jobber med en underleverandør for å utføre pålitelighetsanalyser av radiatorer. Underleverandøren har et team på 10 personer som trenger tilgang til data i Contosos Power BI-miljø. Administratoren for Contoso Azure AD involveres for å invitere alle brukerne, og for å håndtere eventuelle tillegg/endringer som personale hos underleverandøren endrer. Azure AD-administratoren oppretter en sikkerhetsgruppe for alle ansatte hos underleverandøren. Contosos ansatte kan ved hjelp av sikkerhetsgruppen enkelt administrere tilgang til rapporter og sikre at alt nødvendig personale har tilgang til alle rapporter, instrumentbord og Power BI-apper de trenger. Azure AD-administratoren kan også unngå helt å bli involvert i invitasjonsprosessen, ved å velge å delegere invitasjonsrettigheter til en klarert ansatt i Contoso eller hos underleverandøren for å sikre rettidig personaladministrasjon.

Noen organisasjoner krever mer kontroll over når eksterne brukere er lagt til, og om mange brukere i en ekstern eller mange eksterne organisasjoner er invitert. I slike tilfeller kan planlagt deling brukes til å administrere omfanget av deling, for å håndheve organisasjonspolicyer, og også til å delegere rettigheter til klarerte personer slik at de kan invitere og administrere eksterne brukere. Azure AD B2B støtter planlagte invitasjoner som skal sendes direkte fra Azure-portalen av en IT-administrator, eller via PowerShell ved hjelp av API-en for invitasjonsstyring der et sett med brukere kan inviteres i én handling. Organisasjonen kan ved å bruke planlagte invitasjoner styre hvem som kan invitere brukere og implementere godkjenningsprosesser. Avanserte Azure AD-funksjoner, som dynamiske grupper, kan gjøre det enkelt å opprettholde medlemskapet i en sikkerhetsgruppe automatisk.

Kontroller hvilke gjester som kan se innholdet

  1. Prosessen starter med at en IT-administrator inviterer gjestebrukeren enten manuelt, eller gjennom API-en som leveres av Azure Active Directory
  2. Brukerne godtar invitasjonen til organisasjonen.
  3. Når brukerne har godtatt invitasjonen, kan en bruker i Power BI dele en rapport eller et instrumentbord med de eksterne brukerne, eller en sikkerhetsgruppe de er i. Akkurat som med vanlig deling i Power BI, mottar de eksterne brukerne en e-postmelding med kobling til elementet.
  4. Når de eksterne brukerne får tilgang til koblingen, blir godkjenningen i katalogen deres sendt til Contosos Azure AD, og brukes til å få tilgang til Power BI-innholdet.

Ad hoc- eller planlagt deling av Power BI-apper

Contoso har et sett med rapporter og instrumentbord de trenger for å dele med én eller flere leverandører. Det er pakket som en Power BI-app for å sikre at alle nødvendige eksterne brukere har tilgang til dette innholdet. Eksterne brukere legges enten direkte til i listen over apptilganger, eller via sikkerhetsgrupper. Noen hos Contoso sender deretter app-nettadressen til alle eksterne brukere, for eksempel i en e-postmelding. Når de eksterne brukerne åpner koblingen, se de alt innholdet i én enkelt, lett navigerbar opplevelse.

Bruk av en Power BI-app gjør det enkelt for Contoso å bygge en BI-portal for sine leverandører. Én enkelt liste kontrollerer tilgangen til alt det nødvendige innholdet, og reduserer bortkastet tid på kontroll og angivelse av nivåtillatelser for elementer. Azure AD B2B opprettholder sikkerhetstilgang ved hjelp av leverandørens opprinnelige identitet, slik at brukerne ikke trenger ekstra påloggingslegitimasjon. Hvis du bruker planlagte invitasjoner med sikkerhetsgrupper, forenkles tilgangsadministrasjonen til appen etter hvert som personell roterer inn eller ut av prosjektet. Opprett medlemskap i sikkerhetsgrupper manuelt eller ved å bruke dynamiske grupper, slik at alle eksterne brukere fra en leverandør automatisk legges til i den aktuelle sikkerhetsgruppen.

Kontroll av innhold med AAD

  1. Prosessen starter med at brukeren blir invitert til Contosos Azure AD-organisasjon gjennom Azure-portalen eller PowerShell
  2. Brukeren kan legges til i en brukergruppe i Azure AD. En statisk eller dynamisk brukergruppe kan brukes, men dynamiske grupper bidrar til å redusere manuelt arbeid.
  3. De eksterne brukerne får tilgang til Power BI-appen gjennom brukergruppen. Nettadressen til appen bør sendes direkte til de eksterne brukerne eller plasseres på et område de har tilgang til. Power BI sende en e-postmelding med appkoblingen til eksterne brukere, men når du benytter brukergrupper med medlemskap som kan endres, kan ikke Power BI sende til alle eksterne brukere som administreres gjennom brukergrupper.
  4. Når de eksterne brukerne har tilgang til nettadressen for Power BI-appen, godkjennes de av Contosos Azure AD. Appen blir installert for brukeren, og brukeren kan se alle de innebygde rapportene og instrumentbordene i appen.

Apper har også en unik funksjon som gjør at appforfattere kan installere appen automatisk for brukerne, slik at den er tilgjengelig når de logger på. Denne funksjonen installeres bare automatisk for eksterne brukere som allerede er en del av Contosos organisasjon når programmet publiseres eller oppdateres. Den brukes derfor best sammen med tilnærmingen med planlagte invitasjoner, og avhenger av at appen blir publisert eller oppdatert etter at brukerne er lagt til Contosos Azure AD. Eksterne brukere kan alltid installere appen ved hjelp av appkoblingen.

Kommentering og abonnering på innhold på tvers av organisasjoner

Etter hvert som Contoso fortsetter å jobbe med sine underleverandører eller leverandører, må de eksterne teknikerne samarbeide tett med Contosos analytikere. Power BI tilbyr flere samarbeidsfunksjoner som hjelper brukerne med å kommunisere om innhold de kan forbruke. Instrumentbordkommentering (og snart rapportkommentering) gjør at brukere kan diskutere datapunkter de ser, og kommunisere med rapportforfattere for å stille spørsmål.

For øyeblikket kan eksterne gjestebrukere delta i kommentering ved å legge igjen kommentarer og lese svarene. I motsetning til interne brukere kan imidlertid gjestebrukere ikke bli @mentioned, og mottar ikke meldinger om at de har fått en kommentar. Gjestebrukere kan ikke bruke abonnementsfunksjonen i Power BI på skrivetidspunktet. Slike begrensninger vil bli fjernet i en kommende versjon, og gjestebrukerne vil motta en e-postmelding når de blir @mentions i en kommentar, eller når et abonnement som inneholder en kobling til innholdet i Power BI er levert til deres e-postadresse.

Slik får du tilgang til innholdet i Power BI-mobilappene

Når Contosos brukere deler rapporter eller instrumentbord med sine eksterne gjestekolleger, vil Power BI i en kommende versjon sende en e-postmelding som varsler gjesten. Når gjestebrukeren åpner koblingen til rapporten eller instrumentbordet på mobilenheten, åpnes innholdet i de opprinnelige Power BI-mobilappene på enheten, hvis de er installert. Gjestebrukeren vil deretter kunne navigere mellom innhold som er delt med dem i den eksterne leieren, og gå tilbake til sitt eget innhold fra den private leieren.

Obs!

Gjestebrukerne kan ikke åpne Power BI-mobilappen og umiddelbart navigere til den eksterne leieren, de må begynne med en kobling til et element i den eksterne leieren. Vanlige løsninger er beskrevet i delen Distribuer koblinger til innhold i den overordnede organisasjonens Power BI, senere i dette dokumentet.

Redigering på tvers av organisasjonen og administrasjon av Power BI-innhold

Contoso og deres leverandører og underleverandører arbeider stadig tettere sammen. En analytiker hos underleverandøren trenger ofte flere visualiseringer av måledata eller data som skal legges til i en rapport som Contoso har delt med dem. Dataene bør være i Contosos Power BI-leier, men eksterne brukere bør kunne redigere dem, opprette nytt innhold og distribuere dem til de rette personene.

Power BI tilbyr et alternativ som gjør at eksterne gjestebrukere kan redigere og administrere innhold i organisasjonen. Eksterne brukere har som standard en skrivebeskyttet forbruksorientert opplevelse. Denne nye innstillingen lar imidlertid Power BI-administratoren velge hvilke eksterne brukere som kan redigere og administrere innhold i organisasjonen. Når tillatelse er gitt, kan de eksterne brukerne redigere rapporter og instrumentbord, publisere eller oppdatere apper, arbeide i arbeidsområder og koble til data de har tillatelse til å bruke.

Dette scenarioet er beskrevet i detalj i delen Aktiver eksterne brukere til å redigere og behandle innhold i Power BI, senere i dette dokumentet.

Organisatoriske relasjoner ved bruk av Power BI og Azure AD B2B

Når alle brukerne av Power BI er interne i organisasjonen, er det ikke nødvendig å bruke Azure AD B2B. Når to eller flere organisasjoner ønsker å samarbeide om data og innsikt, er det enkelt og kostnadseffektivt å gjøre dette med Power BI-støtte for Azure AD B2B.

Nedenfor finner du vanlige organisatoriske strukturer som er godt egnet for Azure AD B2B-stilen for samarbeid på tvers av organisasjoner i Power BI. Azure AD B2B fungerer bra i de fleste tilfeller, men i noen situasjoner er det verdt å vurdere de vanlige alternative tilnærmingene som er beskrevet på slutten av dette dokumentet.

Tilfelle 1: direkte samarbeid mellom organisasjoner

Contosos relasjon med radiatorleverandøren er et eksempel på direkte samarbeid mellom organisasjoner. Siden det er forholdsvis få brukere hos Contoso, og leverandøren trenger tilgang til informasjon om pålitelighet for radiatorer, er det ideelt å bruke Azure AD B2B-basert ekstern deling. Det er enkelt å bruke og enkelt å administrere. Dette er også et vanlig mønster for konsulenttjenester der en konsulent kanskje trenger å bygge innhold for en organisasjon.

Deling mellom organisasjoner

Denne delingen oppstår vanligvis første gang du bruker ad hoc per element-deling. Etter hvert som team vokser, eller relasjoner blir dypere, blir planlagt per element-deling den foretrukne metoden, for å redusere administrasjonskostnader. Ad-hoc eller planlagt deling av Power BI-apper, kommentering og abonnering på innhold på tvers av organisasjoner og tilgang til innhold i mobilappene kan også komme inn i bildet, i tillegg til redigering på tvers av organisasjonen og administrasjon av Power BI-innhold. Enda viktigere er det at hvis begge organisasjonene har Power BI Pro-lisenser i sine respektive organisasjoner, kan de bruke disse Pro-lisensene i hverandres Power BI-miljøer. Dette gir en fordelaktig lisensiering, siden den inviterende organisasjonen kanskje ikke trenger å betale for en Power BI Pro-lisens for eksterne brukere. Dette beskrives mer detaljert i delen Lisensiering senere i dette dokumentet.

Tilfelle 2: overordnede og dets representasjons kontorer eller tilknyttede selskaper

Noen organisasjonsstrukturer er mer komplekse, og inkluderer helt eller delvis eide datterselskaper, tilknyttede selskaper eller administrerte tjenesteleverandørrelasjoner. Disse organisasjonene har en overordnet organisasjon for eksempel et holdingselskap, mens de underliggende organisasjonene opererer halvautonomisk, noen ganger under ulike regionale krav. Dette fører til at hver organisasjon har sitt eget Azure AD-miljø og separate Power BI-leiere.

Arbeid med datterselskaper

I denne strukturen må den overordnede organisasjonen vanligvis distribuere standardisert innsikt til datterselskapene. Denne delingen oppstår vanligvis ved bruk av Ad hoc eller planlagt deling av Power BI-apptilnærmingen, som vist i illustrasjonen nedenfor, fordi det muliggjør distribusjon av standardisert autoritativt innhold for større publikum. I praksis brukes en kombinasjon av alle scenarioer som er nevnt tidligere i dette dokumentet.

Kombinasjon av scenarioer

Dette gir følgende prosess:

  1. Brukere fra hvert datterselskap blir invitert til Contosos Azure AD
  2. Deretter blir Power BI-appen publisert for å gi disse brukerne tilgang til nødvendige data
  3. Til slutt åpner brukerne appen via en kobling de har fått, for å se rapportene

Organisasjoner står overfor flere viktige utfordringer i denne strukturen:

  • Hvordan de skal distribuere koblinger til innhold i den overordnede organisasjonens Power BI
  • Hvordan de skal tillate brukerne i datterselskaper å få tilgang til datakilden som driftes av den overordnede organisasjonen

Tre tilnærminger brukes vanligvis til å distribuere koblinger til innholdet. Den første og mest grunnleggende er å sende koblingen til appen til de nødvendige brukerne, eller plassere den i et SharePoint Online-område der den kan åpnes. Brukerne kan deretter lage bokmerke for koblingen i nettleseren for raskere å få tilgang til dataene de trenger.

Den andre tilnærmingen avhenger av redigeringene på tvers av organisasjonen og administrasjon av innholdskapasiteten for Power BI. Den overordnede organisasjonen gir brukere fra datterselskaper tilgang til sin Power BI, og kontrollerer hva de kan få tilgang til gjennom tillatelser. Dette gir tilgang til Power BI Start, der brukeren fra datterselskapet ser en omfattende liste over innhold som er delt med dem i den overordnede organisasjonens leier. Deretter blir nettadressen til den overordnede organisasjonens Power BI-miljø gitt til brukerne i datterselskapene.

Den siste tilnærmingen bruker en Power BI-app som er opprettet i Power BI-leieren for hvert datterselskap. Power BI-appen inkluderer et instrumentbord med fliser som er konfigurert med alternativet for ekstern kobling. Når brukerne trykker på flisen, kommer de til den aktuelle rapporten, instrumentbordet eller appen i den overordnede organisasjonens Power BI. Denne tilnærmingen har lagt til den fordelen at appen kan installeres automatisk for alle brukere i datterselskapene, og er tilgjengelig for dem når de logger på sine egne Power BI-miljøer. En annen fordel med denne tilnærmingen er at den fungerer bra med Power BI-mobilappene som opprinnelig kan åpne koblingen. Du kan også kombinere dette med den andre tilnærmingen for å aktivere enklere bytte mellom Power BI-miljøer.

Tillat brukerne i datterselskaper å få tilgang til datakilder som driftes av den overordnede organisasjonen

Analytikere i et datterselskap må ofte lage sine egne analyser ved hjelp av data som oppgis av den overordnede organisasjonen. I dette tilfellet brukes vanlige skydatakilder til å håndtere utfordringen.

Den første tilnærmingen utnytter Azure Analysis Services til å bygge et datalager på foretaksnivå som tjener behovene til analytikere på tvers av den overordnede organisasjonen og datterselskapene, som vist på bildet nedenfor. Contoso kan være vert for dataene og bruke funksjoner som sikkerhet på radnivå for å sikre at brukerne i hvert av datterselskapene kan få tilgang til bare deres data. Analytikere i hver organisasjon kan få tilgang til datalageret gjennom Power BI Desktop, og publisere resultatanalyser til sine respektive Power BI-leiere.

Slik oppstår deling med Power BI-leiere

Den andre tilnærmingen utnytter Azure SQL Database til å bygge et relasjonelt datalager for å gi tilgang til data. Dette fungerer på samme måte som Azure Analysis Services-tilnærmingen, selv om noen egenskaper, som sikkerhet på radnivå, kan være vanskeligere å distribuere og opprettholde på tvers av datterselskaper.

Mer avanserte tilnærminger er også mulig, men ovennevnte er den aller mest vanlige.

Tilfelle 3: delt miljø på tvers av partnere

Contoso kan gå inn i et partnerskap med en konkurrent for i fellesskap å bygge en bil på et delt samlebånd, men distribuere kjøretøyet under ulike merker eller i forskjellige områder. Dette krever utstrakt samarbeid og sameie av data, intelligens og analyser på tvers av organisasjoner. Denne strukturen er også vanlig i konsulenttjenestebransjen, der et team med konsulenter kan gjøre prosjektbasert analyse for en klient.

Delt miljø på tvers av partnere

I praksis er disse strukturene komplekse, som vist i illustrasjonen nedenfor, og krever personale for å opprettholdes. For å kunne være effektiv, er denne strukturen avhengig av redigering og administrasjon av innholdskapasitet i Power BI på tvers av organisasjonen, siden det gjør det mulig for organisasjoner å gjenbruke Power BI Pro-lisenser som er kjøpt til sine respektive Power BI-leiere.

Lisenser og delt organisasjonsinnhold

Hvis du vil opprette en delt Power BI-leier, må en Azure Active Directory opprettes og minst én Power BI Pro-brukerkonto må kjøpes for en bruker i Active Directory. Denne brukeren inviterer de nødvendige brukerne til den delte organisasjonen. Det viktigste er at i dette scenarioet behandles Contosos brukere som eksterne brukere når de opererer i den delte organisasjonens Power BI.

Prosessen er som følger:

  1. Den delte organisasjonen er opprettet som en ny Azure Active Directory, og minst én brukerkonto er opprettet i den nye organisasjonen. Den brukeren bør ha en Power BI Pro-lisens tilordnet.
  2. Denne brukeren oppretter en Power BI-leier, og inviterer de nødvendige brukerne fra Contoso og partnerorganisasjonen. Brukeren oppretter også en hvilken som helst delt dataressurs, som Azure Analysis Services. Contosos og partnerens brukere har tilgang til den delte organisasjonens Power BI som gjestebrukere. Hvis de får tillatelse til å redigere og administrere innhold i Power BI, kan de eksterne brukerne benytte Power BI Start, bruke arbeidsområder, laste opp eller redigere innhold, og dele rapporter. Vanligvis vil alle delte ressurser lagres og er tilgjengelig fra den delte organisasjonen.
  3. Avhengig av hvordan partene blir enige om å samarbeide, er det mulig for hver organisasjon å utvikle sine egne rettighetsbeskyttede data og analyser, ved bruk av delte datalagerressurser. De kan distribuere disse til sine respektive interne brukere, ved hjelp av de interne Power BI-leierne.

Tilfelle 4: distribusjon til hundrevis eller tusenvis av eksterne partnere

Selv om Contoso lagde en rapport om radiatorpålitelighet for én leverandør, ønsker de nå å lage et sett med standardiserte rapporter for hundrevis av leverandører. Dette gjør det mulig for Contoso å sikre at alle leverandører har analysene de trenger for å gjøre forbedringer eller reparere produksjonsdefekter.

Distribusjon til mange partnere

Når en organisasjon trenger å distribuere standardiserte data og innsikter til mange eksterne brukere/organisasjoner, kan de bruke ad hoc eller planlagt deling av scenario for Power BI-apper til å bygge en BI-portal raskt og uten omfattende utviklingskostnader. prosessen for å bygge en slik portal ved hjelp av en Power BI-app er dekket i kasus studie: å bygge en BI-portal ved hjelp av Power BI + Azure AD B2B – trinn vise instruksjoner senere i dette dokumentet.

En vanlig variant av dette tilfellet er når en organisasjon prøver å dele innsikt med forbrukere, spesielt når de ønsker å bruke Azure B2C med Power BI. Power BI støtter opprinnelig ikke Azure B2C. Hvis du vurderer alternativer til dette tilfellet, kan du vurdere å bruke alternativ 2 i delen Vanlige tilnærmingsalternativer, senere i dette dokumentet.

kasus studie: bygge en BI-Portal ved hjelp av Power BI + Azure AD B2B – trinn vise instruksjoner

Power BI-integrasjon med Azure AD B2B gir Contoso en sømløs, problemfri måte å gi gjestebrukere sikker tilgang til sin BI-portal på. Contoso kan sette opp dette med tre trinn:

Bygging av en portal

  1. Opprett BI-portalen i Power BI

    Den første oppgaven for Contoso er å opprette BI-portalen i Power BI. Contosos BI-portal vil bestå av en samling av spesialbygde instrumentbord og rapporter som blir gjort tilgjengelig for mange interne brukere og gjestebrukere. Den anbefalte måten å gjøre dette på i Power BI, er å bygge en Power BI-app. Finn ut mer om apper i Power BI.

  • Contosos BI-team oppretter et arbeidsområde Power BI

    arbeidsområde

  • Andre forfattere er lagt til i arbeidsområdet

    Legg til forfattere

  • Innholdet opprettes i arbeidsområdet

    Opprett innhold i arbeidsområdet

    Nå som innholdet er opprettet i et arbeidsområde, er Contoso klar til å invitere gjestebrukere i partnerorganisasjoner til å bruke dette innholdet.

  1. Inviter gjestebrukere

    Det finnes to måter Contoso kan invitere gjestebrukere på til sin BI-portal i Power BI:

    • Planlagte invitasjoner
    • Ad hoc-invitasjoner

    Planlagte invitasjoner

    I denne tilnærmingen inviterer Contoso gjestebrukere til sin Azure AD på forhånd, og distribuerer deretter Power BI-innhold til dem. Contoso kan invitere gjestebrukere fra Azure-portalen eller ved hjelp av PowerShell. Her er fremgangsmåten for å invitere gjestebrukere fra Azure-portalen:

    • Contosos Azure AD-administrator navigerer til Azure Portal Azure Active Directory Brukere Alle brukere > > > > Ny gjestebruker

    Gjestebruker

    • Legg til en invitasjonsmelding for gjestebrukerne og klikk på Inviter

    Legg til invitasjon

    Obs!

    Hvis du vil invitere gjestebrukere fra Azure-portalen, trenger du en administrator for Azure Active Directory for leieren.

    Hvis Contoso ønsker å invitere mange gjestebrukere, kan de gjøre det ved hjelp av PowerShell. Contosos Azure AD-administrator lagrer alle gjestebrukernes e-postadresser i en CSV-fil. Her finner du instruksjoner og eksempler på samarbeidskoder for Azure Active Directory B2B og PowerShell.

    Etter invitasjonen mottar gjestebrukere en e-postmelding med invitasjonskoblingen.

    Invitasjonskobling

    Når gjestebrukerne klikker på koblingen, får de tilgang til innhold i Contoso Azure AD-leieren.

    Obs!

    Det er mulig å endre oppsettet for e-postinvitasjonen ved hjelp av funksjonen for Azure AD-varemerking, som beskrevet her.

    Ad hoc-invitasjoner

    Hva om Contoso ikke kjenner alle gjestebrukerne de vil invitere? Eller hva om analytikeren i Contoso, som opprettet BI-portalen, selv ønsker å distribuere innhold til gjestebrukere? Vi støtter også dette scenarioet i Power BI, med ad hoc-invitasjoner.

    Analytikeren kan bare legge til de eksterne brukerne i tilgangslisten til appen når de publiserer den. Gjestebrukerne får en invitasjon, og når de godtar den, omdirigeres de automatisk til Power BI innholdet.

    Legg til ekstern bruker

    Obs!

    Invitasjoner kreves bare første gang en ekstern bruker inviteres til organisasjonen.

  2. Distribuer innhold

    Nå som Contosos BI-team har opprettet BI-portalen og invitert gjestebrukere, kan de distribuere sin portal til sluttbrukerne ved at gjestebrukere får tilgang til appen og kan publisere den. Power BI fullfører automatisk navnene på gjestebrukere som tidligere har blitt lagt til i Contoso-leieren. Ad hoc-invitasjoner til andre gjestebrukere kan også legges til på dette tidspunktet.

    Obs!

    Hvis du bruker sikkerhetsgrupper til å administrere tilgang til appen for eksterne brukere, bruk tilnærmingen med planlagte invitasjoner og del appkoblingen direkte med alle eksterne brukere som må få tilgang til den. Hvis ikke, kan det hende at den eksterne brukeren ikke kan installere eller vise innhold i appen. _

    Gjestebrukerne får en e-postmelding med en kobling til appen.

    E-postmelding med invitasjonskobling

    Når gjestebrukerne klikker på denne koblingen, blir de bedt om å godkjenne med sine egne organisasjonsidentiteter.

    Påloggingsside

    Når de er godkjente, omdirigeres de til Contosos BI-app.

    Se delt innhold

    Gjestebrukere kan nå gå til Contosos app ved å klikke på koblingen i e-postmeldingen, eller lage bokmerke for koblingen. Contoso kan også gjøre det enklere for gjestebrukerne ved å legge til denne koblingen i en hvilken som helst eksisterende ekstranettportal som gjestebrukerne allerede bruker.

  3. Neste trinn

    Ved hjelp av en Power BI-app og Azure AD B2B, var Contoso i stand til raskt å opprette en BI-portal for deres leverandører, uten bruk av kode. Dette førte til en betraktelig forenkling av distribusjonen av standardisert analyse til alle leverandører som trengte det.

    Eksemplet viste hvordan én enkelt, vanlig rapport kan distribueres mellom leverandører, men Power BI kan gå mye lenger. For å sikre at hver partner bare ser data som er relevante for seg selv, kan sikkerhet på radnivå enkelt legges til i rapporten og datamodellen. Delen om datasikkerhet for eksterne partnere senere i dette dokumentet beskriver denne prosessen i detaljer.

    Individuelle rapporter og instrumentbord må ofte bygges inn i en eksisterende portal. Dette kan også oppnås ved å gjenbruke mange av teknikkene som er vist i eksemplet. I disse situasjonene kan det imidlertid være enklere å bygge inn rapporter eller instrumentbord direkte fra et arbeidsområde. Prosessen med å invitere og tilordne sikkerhetstillatelse til de nødvendige brukerne er den samme.

Bak panseret: Hvordan får Lucy fra Supplier1 tilgang til Power BI fra Contosos leier?

Nå som vi har sett hvordan Contoso er i stand til sømløst å distribuere Power BI-innhold til gjestebrukere i partnerorganisasjoner, la oss se på hvordan dette fungerer bak kulissene.

Når Contoso inviterer lucy@supplier1.com til sin katalog, oppretter Azure AD en kobling mellom Lucy@supplier1.com og Contoso Azure AD-leieren. Denne koblingen forteller Azure AD at Lucy@supplier1.com kan få tilgang til innhold i Contoso-leieren.

Når Lucy prøver å få tilgang til Contosos Power BI-app, bekrefter Azure AD at hun kan få tilgang til Contoso-leieren, og deretter gir Power BI et token som angir at Lucy er godkjent til å få tilgang til innhold i Contoso-leieren. Power BI bruker dette tokenet til å godkjenne og sikre at Lucy har tilgang til Contosos Power BI-app.

Bekreftelse og godkjenning

Power BI-integrasjon med Azure AD B2B fungerer med alle profesjonelle e-postadresser. Hvis brukerne ikke har Azure AD-identitet, kan de bli bedt om å opprette en. Bildet nedenfor viser flyten i detalj:

Flytskjema for integrering

Det er viktig å forstå at Azure AD-kontoen vil brukes eller opprettes i den eksterne partens Azure AD, dette vil gjøre det mulig for Lucy å bruke sitt eget brukernavn og passord, og legitimasjonen deres vil automatisk slutte å fungere i andre leiere når Lucy slutter i organisasjonen når organisasjonen også bruker Azure AD.

Lisensiering

Contoso kan velge én av tre tilnærminger for å lisensiere gjestebrukere fra leverandører og partnerorganisasjoner til å få tilgang til Power BI-innhold.

Obs!

Gratislag for Azure AD B2B er nok til å bruke Power BI azure AD B2B. Enkelte avanserte Azure AD B2B-funksjoner, som dynamiske grupper, krever ekstra lisensiering. Se Azure AD B2B-dokumentasjonen for mer informasjon:https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance

Tilnærming 1: Contoso bruker Power BI Premium

Med denne fremgangsmåten kjøper Contoso Power BI Premium-kapasitet og tilordner innholdet i BI-portalen til denne kapasiteten. Dette gjør det mulig for gjestebrukere fra partnerorganisasjoner å få tilgang til Contoso Power BI-appen uten Power BI-lisens.

Eksterne brukere er også underlagt «bare forbruk»-opplevelsen som tilbys til «Gratis»-brukere i Power BI når de bruker innhold i Power BI Premium.

Contoso kan også dra nytte av andre Power BI Premium-funksjoner for appen sin, for eksempel økt oppdateringsfrekvens, kapasitet og store modellstørrelser.

Flere egenskaper

Tilnærming 2: Contoso tilordner Power BI Pro lisenser til gjestebrukere

Med denne tilnærmingen tilordner Contoso pro-lisenser til gjestebrukere fra partner organisasjoner. Dette kan gjøres fra administrasjonssenteret for Contoso i Microsoft 365. Det gjør det mulig for gjestebrukere fra partnerorganisasjoner å få tilgang til Contosos Power BI-app uten å kjøpe en Power BI-lisens. Dette kan være passende for deling med eksterne brukere i en organisasjon som ikke har innført Power BI ennå.

Obs!

Contosos pro-lisens gjelder for gjestebrukere bare når de får tilgang til innhold i Contoso-leieren. Pro-lisenser aktiverer tilgang til innhold som ikke er i en Power BI Premium-kapasitet. Eksterne brukere med en Pro-lisens er imidlertid som standard begrenset til en «bare forbruk»-opplevelse. Dette kan endres ved hjelp av tilnærmingen som er beskrevet i delen Aktivere eksterne brukere til å redigere og administrere innhold i Power BI senere i dette dokumentet.

Lisensinformasjon

Tilnærming 3: Gjestebrukere tar med sin Power BI Pro lisens

Med denne tilnærmingen tilordner leverandør 1 en Power BI Pro-lisens til Lucy. De kan deretter få tilgang til Contosos Power BI-app med denne lisensen. Siden Lucy kan bruke Pro lisens fra sin egen organisasjon når hun får tilgang til et eksternt Power BI-miljø, blir denne tilnærmingen noen ganger referert til som å ta med din egen lisens (BYOL). Hvis begge organisasjonene bruker Power BI, gir dette en fordelaktig lisensiering for den generelle analyseløsningen, og minimerer kostnadene med å tilordne lisenser til eksterne brukere.

Obs!

Pro-lisensen som er gitt til Lucy av leverandør 1 gjelder for alle Power BI-leiere der Lucy er gjestebruker. Pro-lisenser aktiverer tilgang til innhold som ikke er i en Power BI Premium-kapasitet. Eksterne brukere med en Pro-lisens er imidlertid som standard begrenset til en «bare forbruk»-opplevelse. Dette kan endres ved hjelp av tilnærmingen som er beskrevet i delen Aktivere eksterne brukere til å redigere og administrere innhold i Power BI senere i dette dokumentet.

Pro-lisenskrav

Datasikkerhet for eksterne partnere

Vanligvis når de arbeider med flere eksterne leverandører, trenger Contoso å sikre at hver leverandør ser data bare om sine egne produkter. Brukerbasert sikkerhet og dynamisk sikkerhet på radnivå gjør dette enkelt å oppnå med Power BI.

Brukerbasert sikkerhet

En av de kraftigste funksjonene i Power BI er sikkerhet på radnivå. Denne funksjonen gjør det mulig for Contoso å opprette én enkelt rapport og ett datasett, men fremdeles bruke ulike sikkerhetsregler for hver bruker. Hvis du vil ha en detaljert forklaring, se Sikkerhet på radnivå (RLS).

Power BI-integrering med Azure AD B2B gjør at Contoso kan tilordne regler for sikkerhet på radnivå til gjestebrukere så snart de er invitert til Contoso-leieren. Som vi har sett før, kan Contoso legge til gjestebrukere gjennom planlagte eller ad hoc-invitasjoner. Hvis Contoso ønsker å fremtvinge sikkerhet på radnivå, anbefales det på det sterkeste å bruke planlagte invitasjoner til å legge til gjestebrukere i forkant, og tilordne dem til sikkerhetsrollene før du deler innholdet. Hvis Contoso i stedet bruker ad hoc-invitasjoner, kan det være en kort tidsperiode da gjestebrukere ikke vil kunne se noen data.

Obs!

Denne forsinkelsen i tilgang til data som er beskyttet av sikkerhet på radnivå ved bruk av ad hoc-invitasjoner, kan føre til kundestøtteforespørsler til IT-teamet, fordi brukerne vil se enten tomme eller brutte rapporter/instrumentbord når de åpner en delt kobling i e-postmeldingen de mottar. Derfor anbefales det på det sterkeste å bruke planlagte invitasjoner i dette scenarioet.**

La oss gå gjennom dette med et eksempel.

Som tidligere nevnt, har Contoso leverandører over hele verden, og de vil forsikre deg om at brukere fra leverandørorganisasjonene får innsikt fra data bare i deres område. Brukere fra Contoso har imidlertid tilgang til alle dataene. I stedet for å opprette flere ulike rapporter, oppretter Contoso én enkelt rapport og filtrerer dataene basert på brukeren som viser den.

Delt innhold

For å sikre at Contoso kan filtrere data basert på hvem som kobler til, opprettes det to roller i Power BI desktop. Én til å filtrere alle dataene fra SalesTerritory «Europa» og en annen for «Nord-Amerika».

Administrering av roller

Hver gang roller er definert i rapporten, må en bruker tilordnes til en bestemt rolle for å få tilgang til data. Tilordningen av roller skjer i Power BI-tjenesten ( Datasett > Sikkerhet )

Innstilling for sikkerhet

Dette åpner en side der Contosos BI-team kan se to rollene de opprettet. Contosos BI-team kan nå tilordne brukere til rollene.

Sikkerhet på radnivå

I eksemplet legger Contoso til en bruker i en partnerorganisasjon en med e-postadresse admin@fabrikam.com til Europa-rollen:

Innstillinger for sikkerhet på radnivå

Når dette blir løst av Azure AD, kan Contoso se navnet i vinduet, klart til å legges til:

Vis roller

Når denne brukeren nå åpner appen som ble delt med dem, ser de bare en rapport med data fra Europa:

Vis innhold

Dynamisk sikkerhet på radnivå

Et annet interessant emne er å se hvordan dynamisk sikkerhet på radnivå (RLS) fungerer med Azure AD B2B.

Kort sagt, fungerer dynamisk sikkerhet på radnivå ved å filtrere data i modellen, basert på brukernavnet til personen som kobler til Power BI. I stedet for å legge til flere roller for grupper av brukere, kan du definere brukerne i modellen. Vi skal ikke beskrive mønsteret i detalj her. Kasper de Jong tilbyr en detaljert oppskriving på alle utgaver av sikkerhet på radnivå i Jukseark for dynamisk sikkerhet i Power BI Desktop, og i denne hvitboken.

La oss se på et lite eksempel – Contoso har en enkel rapport om salg etter grupper:

Eksempel på innhold

Nå må denne rapporten deles med to gjestebrukere og en intern bruker – den interne brukeren kan se alt, men gjestebrukerne kan bare se gruppene de har tilgang til. Dette betyr at vi må filtrere dataene bare for gjestebrukerne. For å filtrere dataene på riktig måte, bruker Contoso mønsteret for dynamisk sikkerhet på radnivå, som er beskrevet i hvitboken og blogginnlegget. Dette betyr at Contoso legger til brukernavnene i selve dataene:

Vis brukere av sikkerhet på radnivå i selve dataene

Deretter oppretter Contoso den riktige datamodellen som filtrerer dataene på riktig måte med de riktige relasjonene:

Riktige data vises

For automatisk å filtrere dataene basert på hvem som er logget på, trenger Contoso å opprette en rolle som passerer i brukeren som kobler til. I dette tilfellet oppretter Contoso to roller – den første er «SecurityRole» som filtrerer brukertabellen med det gjeldende brukernavnet til brukeren som er logget på Power BI (dette fungerer også for gjestebrukere av Azure AD B2B).

Behandling av roller

Contoso oppretter også en annen «AllRole» for de interne brukerne som kan se alt. Denne rollen har ikke noe sikkerhetspredikat.

Etter opplasting av Power BI desktop-filen til tjenesten, kan Contoso tilordne gjestebrukere til «SecurityRole» og interne brukere til «AllRole»

Når gjestebrukerne nå åpner rapporten, ser de bare salg fra gruppe A:

Bare fra gruppe A

I matrisen til høyre kan du i resultatet av funksjonen USERNAME() og USERPRINCIPALNAME() se at begge returnerer gjestebrukernes e-postadresser.

Nå får den interne brukeren se alle dataene:

Alle data vises

Som du ser, fungerer dynamisk sikkerhet på radnivå med både interne brukere og gjestebrukere.

Obs!

Dette scenarioet fungerer også når du bruker en modell i Azure Analysis Services. Vanligvis er Azure Analysis Service koblet til samme Azure AD som din Power BI. I så fall kjenner Azure Analysis Services også gjestebrukere som er invitert gjennom Azure AD B2B.

Koble til lokale datakilder

Power BI tilbyr muligheten for at Contoso kan dra nytte av lokale datakilder, som SQL Server Analysis Services eller SQL Server direkte, takket være den lokale datagatewayen. Det er også mulig å logge på disse datakildene med samme legitimasjon som brukes med Power BI.

Obs!

Når du installerer en gateway for å koble til Power BI-leieren din, må du benytte en bruker som er opprettet i din leier. Gjestebrukere kan ikke installere en gateway og koble den til din leier._

For eksterne brukere kan dette være mer komplisert, ettersom de eksterne brukerne vanligvis ikke gjenkjennes av den lokale AD. Power BI tilbyr en midlertidig løsning for dette ved gjøre det mulig for Contoso-administratorer å tilordne de eksterne brukernavnene til interne brukernavn, som beskrevet i Administrer datakilden – Analysis Services. Kan for lucy@supplier1.com eksempel tilordnes til lucy _ supplier1 _ com# EXT@contoso.com .

Tilordning av brukernavn

Denne metoden er bra hvis Contoso bare har en håndfull brukere, eller hvis Contoso kan tilordne alle de eksterne brukere til én enkelt intern konto. For mer komplekse scenarioer der hver bruker trenger sin egen legitimasjon, finnes det en mer avansert tilnærming som bruker egendefinerte attributter for AD til å utføre tilordningen, som beskrevet i Administrer datakilden – Analysis Services. Dette gjør at Contoso-administratoren kan definere en tilordning for hver bruker i Azure AD (også eksterne B2B-brukere). Disse attributtene kan angis gjennom AD-objektmodellen ved hjelp av skripter eller kode, slik at Contoso kan automatisere tilordningen på en invitasjon eller på en planlagt frekvens.

Aktiver eksterne brukere til å redigere og administrere innhold i Power BI

Contoso kan tillate eksterne brukere å bidra med innhold i organisasjonen, som beskrevet tidligere i delen om redigering og administrering av Power BI-innhold på tvers av organisasjonen.

Obs!

For å redigere og administrere innhold i organisasjonens Power BI, må brukeren ha en Power BI Pro-lisens i et annet arbeidsområde enn Mitt arbeidsområde. Brukere kan få Pro lisenser som dekkes i Lisensiering-delen av dette dokumentet.

Administrasjonsportalen i Power BI gir innstillingen Tillat eksterne gjestebrukere å redigere og administrere innhold i organisasjonen i Leierinnstillinger. Innstillingen er som standard satt til deaktivert, det betyr at eksterne brukere får en begrenset, skrivebeskyttet opplevelse som standard. Innstillingen gjelder for brukere med UserType angitt til Gjest i Azure AD. Tabellen nedenfor beskriver virkemåtene brukerne opplever, avhengig av deres UserType og hvordan innstillingene er konfigurert.

Brukertype i Azure AD Tillat eksterne gjestebrukere å redigere og administrere innhold i organisasjonen Virkemåte
Gjest Deaktivert for brukeren (standard) Visning bare for forbruk per element. Gir skrivebeskyttet tilgang til rapporter, instrumentbord og apper når de vises via en nettadresse som er sendt til gjestebrukeren. Power BI Mobile-apper gir en skrivebeskyttet visning til gjestebrukeren.
Gjest Aktivert for brukeren Den eksterne brukeren får tilgang til den fullstendige Power BI-opplevelsen, selv om noen funksjoner ikke er tilgjengelig for dem. Den eksterne brukeren må logge på Power BI ved hjelp av nettadressen for Power BI-tjenesten med leierinformasjonen inkludert. Brukeren får Start-opplevelsen, et Mitt arbeidsområde, og kan bla gjennom, vise og opprette innhold, basert på tillatelser.

Power BI Mobile-apper gir en skrivebeskyttet visning til gjestebrukeren.

Obs!

Eksterne brukere i Azure AD kan også settes til UserType-medlem. Dette støttes for øyeblikket ikke i Power BI.

I administrasjonsportalen for Power BI vises innstillingen som i bildet nedenfor.

Administratorinnstillinger

Gjestebrukere får den skrivebeskyttede standardopplevelsen, og kan redigere og administrere innhold. Standard er Deaktivert, det betyr at alle gjestebrukere har den skrivebeskyttede opplevelsen. Power BI-administratoren kan enten aktivere innstillingen for alle gjestebrukere i organisasjonen, eller bestemte sikkerhetsgrupper som er definert i Azure AD. I illustrasjonen nedenfor opprettet administratoren for Contoso Power BI en sikkerhetsgruppe i Azure AD for å styre hvilke eksterne brukere som kan redigere og administrere innhold i Contoso-leieren.

Oppgi nettadressen for leieren slik at brukerne kan logge seg på Power BI. Følg denne fremgangsmåten for å finne nettadressen for leieren.

  1. Velg Hjelp (?) i toppmenyen i Power Bi-tjenesten, deretter Om Power BI.

  2. Se på verdien ved siden av Nettadresse for leier. Dette er nettadressen for leieren du kan dele med gjestebrukerne.

    Nettadresse for leier

Når alternativet La eksterne gjestebrukere redigere og behandle innhold i organisasjonen brukes, får de angitte gjestebrukerne tilgang til Power BI i organisasjonen, og kan se alt innhold de har tillatelse til å se. De får tilgang til Start, de kan bla gjennom og bidra med innhold i arbeidsområder, installere apper ifølge tilgangslisten, og de kan ha et Mitt arbeidsområde. De kan opprette og være administrator for arbeidsområder som bruker den nye arbeidsområdeopplevelsen.

Obs!

Når du bruker dette alternativet, pass på at du ser gjennom styringsavsnittet i dette dokumentet, fordi standardinnstillingene for Azure AD forhindrer gjestebrukere i å bruke bestemte funksjoner, som personvelger, og det kan føre til en redusert opplevelse.**

Noen opplevelser er ikke tilgjengelig for gjestebrukere som ble aktivert gjennom leierinnstillingen La gjestebrukere redigere og behandle innhold i organisasjonen. Hvis de vil oppdatere eller publisere rapporter, må de bruke brukergrensesnittet på nettet for Power BI-tjenesten, inkludert Hent data, for å laste opp Power BI Desktop-filer. De følgende opplevelsene støttes ikke:

  • Direkte publisering fra Power BI Desktop til Power BI-tjenesten
  • Gjestebrukere kan ikke bruke Power BI Desktop til å koble til tjenestedatasett i Power Bi-tjenesten
  • Klassiske arbeidsområder som er knyttet Microsoft 365 grupper: Gjestebrukeren kan ikke opprette eller være administratorer av disse arbeidsområdene. De kan være medlemmer.
  • Sending av ad hoc-invitasjoner støttes ikke for arbeidsområdetilgang-lister
  • Power BI Publisher for Excel støttes ikke for gjestebrukere
  • Gjestebrukere kan ikke installere en Power BI Gateway og koble den til organisasjonen din
  • Gjestebrukere kan ikke installere apper og publisere til hele organisasjonen
  • Gjestebrukere kan ikke bruke, opprette, oppdatere eller installere mal-apper
  • Gjestebrukere kan ikke bruke Analyser i Excel
  • Gjestebrukere kan ikke være @mentioned i kommentering (denne funksjonaliteten vil bli lagt til i en kommende versjon)
  • Gjestebrukere kan ikke bruke abonnementer (denne funksjonaliteten vil bli lagt til i en kommende versjon)
  • Gjestebrukere som bruker denne funksjonen, må ha en jobb- eller skolekonto. Gjestebrukere som bruker personlige kontoer, opplever flere begrensninger på grunn av påloggingsrestriksjoner.

Ledelse

Når du bruker deling i Azure AD B2B, kontrollerer administratoren for Azure Active Directory aspekter av den eksterne brukerens opplevelse. Disse kontrolleres på siden Eksterne samarbeidsinnstillinger, i innstillingene for Azure Active Directory i leieren.

Detaljer om innstillingene er tilgjengelig her:

https://docs.microsoft.com/azure/active-directory/b2b/delegate-invitations

Obs!

Som standard er gjestebrukertillatelsenes alternativ for begrensninger satt til Ja, slik at gjestebrukere i Power BI har begrensede opplevelser, spesielt omkring deling der brukergrensesnittet for personvelger ikke fungerer for de brukerne. Det er viktig å arbeide med Azure AD-administratoren for å angi den til Nei, som vist nedenfor, for å sikre en god opplevelse.**

Innstillinger for eksternt samarbeid

Kontroller gjesteinvitasjoner

Power BI-administratorer kan kontrollere ekstern deling bare for Power BI, ved å gå til administrasjonsportalen for Power BI. Administratorer kan også kontrollere ekstern deling med ulike Azure AD-policyer. Disse policyene lar administratorer:

  • slå av invitasjoner av sluttbrukere
  • Bare administratorer og brukere i gjesteinviteringsrollen kan invitere
  • Administratorer, gjesteinviteringsrollen og medlemmer kan invitere
  • Alle brukere, inkludert gjester, kan invitere

Du kan lese mer om disse policyene i Deleger invitasjoner for samarbeid i Azure Active Directory B2B.

Alle Power BI-handlinger av eksterne brukere blir også overvåket i vår overvåkingsportal.

Policyer for betinget tilgang for gjestebrukere

Contoso kan fremtvinge policyer for betinget tilgang for gjestebrukere som har tilgang til innhold fra Contoso-leieren. Du finner detaljerte instruksjoner i Betinget tilgang for B2B-samarbeidsbrukere.

Vanlige alternative tilnærminger

Azure AD B2B gjør det enkelt å dele data og rapporter på tvers av organisasjoner, men det finnes flere andre tilnærminger som brukes ofte, og kan være overordnet i noen tilfeller.

Alternativ 1: Opprett dupliserte identiteter for partnerbrukere

Med dette alternativet måtte Contoso manuelt opprette dupliserte identiteter for hver partnerbruker i Contoso-leieren, som vist i illustrasjonen nedenfor. Deretter kan Contoso i Power BI dele de riktige rapportene, instrumentbordene eller appene til de tildelte identitetene.

Angi riktige tilordninger og navn

Grunner til å velge dette alternativet:

  • Ettersom brukerens identitet kontrolleres av organisasjonen, er alle relaterte tjenester, for eksempel e-post, SharePoint og så videre, under organisasjonens kontroll. IT-administratoren kan tilbakestille passord, deaktivere tilgang til kontoer eller overvåke aktiviteter i disse tjenestene.
  • Brukere som benytter personlige kontoer for virksomheten sin, har ofte begrenset tilgang til enkelte tjenester, og trenger kanskje derfor en organisasjonskonto.
  • Enkelte tjenester fungerer bare for brukere i organisasjonen. Bruk av Intune til å behandle innhold på den personlige eller mobile enheten til eksterne brukere ved hjelp av Azure B2B, er kanskje ikke mulig.

Grunner til ikke å velge dette alternativet:

  • Brukere fra partnerorganisasjoner må huske to sett med legitimasjon – én for å få tilgang til innhold fra sin egen organisasjon og den andre for å få tilgang til innhold fra Contoso. Dette er irriterende for disse gjestebrukerne, og mange av dem blir forvirret av denne opplevelsen.
  • Contoso må kjøpe og tilordne enkeltlisenser til disse brukerne. Hvis en bruker trenger å motta e-post eller bruke Office-programmer, må de ha de riktige lisensene, inkludert Power BI Pro, for å redigere og dele innhold i Power BI.
  • Contoso vil kanskje fremtvinge strengere godkjenning og styringspolicyer for eksterne brukere, sammenlignet med interne brukere. For å oppnå dette, trenger Contoso å lage et internt nomenklatur for eksterne brukere, og alle Contoso-brukere må være opplært i dette nomenklaturet.
  • Når brukerne slutter i organisasjonen, fortsetter de å ha tilgang til Contosos ressurser inntil Contoso-administratoren manuelt sletter kontoen deres
  • Contoso-administratorer må administrere identiteten for gjesten, inkludert oppretting og tilbakestilling av passord og så videre.

Alternativ 2: Opprett en egendefinert app Power BI Embedded ved hjelp av egendefinert godkjenning

Et annet alternativ for Contoso er å utvikle sine egne egendefinerte integrerte Power BI-programmer med egendefinert godkjenning («App eier data»). Selv om mange organisasjoner ikke har tid eller ressurser til å opprette et egendefinert program til å distribuere Power BI-innhold til sine eksterne partnere, er dette for noen organisasjoner den beste tilnærmingen og fortjener seriøs vurdering.

Organisasjoner har ofte eksisterende partnerportaler som sentraliser tilgang til alle organisasjonsressurser for partnere, gir isolering fra interne organisasjonsressurser og strømlinjeformede opplevelser til partnere, for å støtte mange partnere og deres individuelle brukere.

Mange partnerportaler

I eksemplet ovenfor, logger brukere fra hver leverandør på Contosos partnerportal som bruker AAD som en identitetsleverandør. Det kan bruke AAD B2B, Azure B2C, opprinnelige identiteter, eller federeres med mange andre identitetsleverandører. Brukeren logger på og får tilgang til et partnerportalbygg ved hjelp av Azure-nettappen eller en lignende infrastruktur.

Power BI-rapporter er bygd inn fra en Power BI Embedded-distribusjon i nettappen. Nettappen vil strømlinjeforme tilgang til rapportene og eventuelle tilknyttede tjenester i en sammenhengende opplevelse, for å gjøre det enkelt for leverandører å samhandle med Contoso. Dette portalmiljøet er isolert fra Contosos interne AAD og Contosos interne Power BI-miljø for å sikre at leverandører ikke får tilgang til disse ressursene. Vanligvis vil data lagres i et separat partnerdatalager for å sikre isolering av dataene også. Denne isoleringen har sine fordeler siden den begrenser antall eksterne brukere med direkte tilgang til organisasjonens data, og begrenser hvilke data som kan være tilgjengelig for den eksterne brukeren, og begrense utilsiktet deling med eksterne brukere.

Hvis du bruker Power BI Embedded, kan portalen utnytte en fordelaktig lisensiering, ved hjelp av app-token eller den overordnede brukeren, pluss premiumkapasitet kjøpt i Azure-modellen. Det forenkler tilordningen av lisenser til sluttbrukere, og kan skaleres opp eller ned, basert på forventet bruk. Portalen kan tilby en enhetlig opplevelse med samlet høyere kvalitet, siden partnerne har tilgang til en portal utformet med alle partnernes behov i tankene. Til slutt, siden løsninger basert på Power BI Embedded vanligvis er utformet for å være med flere leiere, blir det enklere å sikre isolering mellom partnerorganisasjoner.

Grunner til å velge dette alternativet:

  • Enklere å administrere etter hvert som antall partnerorganisasjoner vokser. Siden partnere er lagt til i en egen katalog, isolert fra Contosos interne ADD, forenkler det IT-avdelingens styringsoppgaver og bidrar til å hindre utilsiktet deling av interne data til eksterne brukere.
  • Vanlige partnerportaler er konsekvente opplevelser på tvers av partnere, og strømlinjeformet for å dekke behovene til vanlig partnere. Contoso kan derfor tilby en bedre totalopplevelse til partnere ved å integrere alle nødvendige tjenester i én portal.
  • Lisensieringskostnader for avanserte scenarioer, som redigering av innhold i Power BI Embedded, er dekket av Power BI Premium kjøpt via Azure, og krever ikke tilordning av Power BI Pro-lisenser til disse brukerne.
  • Gir bedre isolering på tvers av partnere, hvis det er utviklet som en løsning med flere leiere.
  • Partnerportalen inkluderer ofte andre verktøy for partnere, i tillegg til Power BI-rapporter, -instrumentbord og -apper.

Grunner til ikke å velge dette alternativet:

  • Det kreves betydelig innsats for å bygge, bruke og vedlikeholde en slik portal. Den utgjør en betydelig investering i form av ressurser og tid.
  • Løsning krever mye mer enn tiden det tar å bruke B2B-deling, fordi nøye planlegging og utføring på tvers av flere arbeidsstrømmer er nødvendig.
  • Der det er et mindre antall partnere, er sannsynligvis innsatsen som kreves for dette alternativet for høy til å kunne forsvares.
  • Samarbeid med ad hoc-deling er det primære scenarioet organisasjonen møter.
  • Rapportene og instrumentbordene er ulike for hver enkelt partner. Dette alternativet introduserer administrasjon av tillatelser utover det å dele direkte med partnere.

Vanlige spørsmål

Kan contoso sende en invitasjon som automatisk løses, slik at brukeren bare er klar til bruk? Eller trenger brukeren alltid å klikke gjennom til URL-adressen for innløsningen?

Sluttbrukerne må alltid klikke gjennom samtykkeerklæringen før de kan få tilgang til innholdet.

Hvis du skal invitere mange gjestebrukere, anbefaler vi at du delegerer dette fra dine viktigste Azure AD-administratorer ved å legge til en bruker i rollen som gjesteinviterer i organisasjonsressursen. Denne brukeren kan invitere andre brukere i partnerorganisasjonen ved hjelp av brukergrensesnittet for pålogging, PowerShell-skripter, eller API-er. Dette reduserer den administrative byrden for Azure AD-administratorene med å invitere eller sende invitasjoner på nytt til brukere i partnerorganisasjonen.

Kan Contoso fremtvinge godkjenning med flere faktorer for gjestebrukere hvis partnerne ikke har godkjenning med flere faktorer?

Ja. Hvis du vil ha mer informasjon, se Betinget tilgang for B2B-samarbeidsbrukere.

Hvordan fungerer B2B-samarbeid når den inviterte partneren bruker federering til å legge til sin egen lokale godkjenning?

Hvis partneren har en Azure AD-leier som er federert til infrastrukturen for den lokale godkjenningen, oppnås den lokale enkle påloggingen (SSO) automatisk. Hvis partneren ikke har en Azure AD-leier, kan det opprettes en Azure AD-konto for nye brukere.

Kan jeg invitere gjestebrukere med e-postkontoer for forbrukere?

Invitasjon av gjestebrukere med e-postkontoer for forbrukere støttes i Power BI. Dette inkluderer domener som hotmail.com, outlook.com og gmail.com. Disse brukerne kan imidlertid oppleve begrensninger utover det brukere med jobb- eller skolekontoer oppstår.