Distribuir conteúdo de Power BI para usuários convidados externos usando Azure Active Directory B2BDistribute Power BI content to external guest users using Azure Active Directory B2B

Resumo: Este é um White paper técnico que descreve como distribuir conteúdo para usuários fora da organização usando a integração do Azure Active Directory B2B (Azure AD Business).Summary: This is a technical whitepaper outlining how to distribute content to users outside the organization using the integration of Azure Active Directory Business-to-business (Azure AD B2B).

Usadas Lukasz Pawlowski, Kasper de JongeWriters: Lukasz Pawlowski, Kasper de Jonge

Revisores técnicos: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth OlsonTechnical Reviewers: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Observação

Você pode salvar ou imprimir este whitepaper selecionando Imprimir no seu navegador e, em seguida, selecionando Salvar como PDF.You can save or print this whitepaper by selecting Print from your browser, then selecting Save as PDF.

IntroduçãoIntroduction

A Power BI dá às organizações uma visão de 360 de seu negócio e capacita todos nessas organizações a tomar decisões inteligentes usando dados.Power BI gives organizations a 360-degree view of their business and empowers everyone in these organizations to make intelligent decisions using data. Muitas dessas organizações têm relações fortes e confiáveis com parceiros, clientes e contratados externos.Many of these organizations have strong and trusted relationships with external partners, clients, and contractors. Essas organizações precisam fornecer acesso seguro a Power BI dashboards e relatórios aos usuários nesses parceiros externos.These organizations need to provide secure access to Power BI dashboards and reports to users in these external partners.

O Power BI integra-se com Azure Active Directory B2B do Azure ad para permitir a distribuição segura de conteúdo de Power bi para usuários convidados fora da organização – ao mesmo tempo que mantém o controle e rege o acesso a dados internos.Power BI integrates with Azure Active Directory Business-to-business (Azure AD B2B) to allow secure distribution of Power BI content to guest users outside the organization – while still maintaining control and governing access to internal data.

Este white paper abrange todos os detalhes necessários para entender a integração Power BI com o B2B Azure Active Directory.This white paper covers the all the details you need to understand Power BI's integration with Azure Active Directory B2B. Abordamos seu caso de uso, configuração, licenciamento e segurança de nível de linha mais comuns.We cover its most common use case, setup, licensing, and row level security.

Observação

Ao longo deste white paper, nos referimos Azure Active Directory como Azure AD e Azure Active Directory Business to Business como Azure AD B2B.Throughout this white paper, we refer to Azure Active Directory as Azure AD and Azure Active Directory Business to Business as Azure AD B2B.

CenáriosScenarios

A contoso é um fabricante automotivo e trabalha com muitos fornecedores diferentes que o fornecem a todos os componentes, materiais e serviços necessários para executar suas operações de fabricação.Contoso is an automotive manufacturer and works with many diverse suppliers who provide it with all the components, materials, and services necessary to run its manufacturing operations. A contoso deseja simplificar sua logística de cadeia de fornecedores e planejar o uso de Power BI para monitorar as principais métricas de desempenho de sua cadeia de suprimentos.Contoso wants to streamline its supply chain logistics and plans to use Power BI to monitor key performance metrics of its supply chain. A contoso deseja compartilhar com a análise de parceiros de cadeia de suprimentos externa de maneira segura e gerenciável.Contoso wants to share with external supply chain partners analytics in a secure and manageable way.

A Contoso pode habilitar as seguintes experiências para usuários externos usando o Power BI e o Azure AD B2B.Contoso can enable the following experiences for external users using Power BI and Azure AD B2B.

Ad hoc por compartilhamento de itemAd hoc per item sharing

A contoso trabalha com um fornecedor que cria radiadores para carros da contoso.Contoso works with a supplier who builds radiators for Contoso's cars. Muitas vezes, eles precisam otimizar a confiabilidade dos radiadores usando dados de todos os carros da contoso.Often, they need to optimize the reliability of the radiators using data from all of Contoso's cars. Um analista da Contoso usa Power BI para compartilhar um relatório de confiabilidade do radiador com um engenheiro no fornecedor.An analyst at Contoso uses Power BI to share a radiator reliability report with an Engineer at the supplier. O engenheiro recebe um email com um link para exibir o relatório.The Engineer receives an email with a link to view the report.

Conforme descrito acima, esse compartilhamento ad hoc é realizado por usuários empresariais de acordo com a necessidade.As described above, this ad-hoc sharing is performed by business users on an as needed basis. O link enviado pelo Power BI ao usuário externo é um link de convite do Azure AD B2B.The link sent by Power BI to the external user is an Azure AD B2B invite link. Quando o usuário externo abre o link, ele é solicitado a ingressar na organização do Azure AD da Contoso como um usuário convidado.When the external user opens the link, they are asked to join Contoso's Azure AD organization as a Guest user. Depois que o convite for aceito, o link abrirá o relatório ou o painel específico.After the invite is accepted, the link opens the specific report or dashboard. O administrador do Azure Active Directory delega a permissão para convidar usuários externos para a organização e escolhe o que esses usuários podem fazer quando aceitam o convite conforme descrito na seção governança deste documento.The Azure Active Directory admin delegates permission to invite external users to the organization and chooses what those users can do once they accept the invite as described in the Governance section of this document. O analista da Contoso pode convidar o usuário convidado somente porque o administrador do Azure AD permitiu que essa ação e o administrador de Power BI permitiam que os usuários convidassem os convidados a exibir conteúdo nas configurações de locatário do Power BI.The Contoso analyst can invite the Guest user only because the Azure AD administrator allowed that action and the Power BI administrator allowed users to invite guests to view content in Power BI's tenant settings.

Convidar convidados para Power BI usando o AAD

  1. O processo começa com um usuário interno da Contoso que compartilha um Dashboard ou um relatório com um usuário externo.The process starts with a Contoso internal user sharing a dashboard or a report with an external user. Se o usuário externo ainda não for um convidado no Azure AD da Contoso, ele será convidado.If the external user is not already a guest in Contoso's Azure AD, they are invited. Um email é enviado para seu endereço de email que inclui um convite para o Azure AD da contosoAn email is sent to their email address that includes an invite to Contoso's Azure AD
  2. O destinatário aceita o convite para o Azure AD da Contoso e é adicionado como um usuário convidado no Azure AD da contoso.The recipient accepts the invite to Contoso's Azure AD and is added as a Guest user in Contoso's Azure AD.
  3. Em seguida, o destinatário é redirecionado para o painel Power BI, relatório ou aplicativo, que são somente leitura para o usuário.The recipient is then redirected to the Power BI dashboard, report, or app, which are read-only for the user.

O processo é considerado ad hoc, já que os usuários empresariais da Contoso executam a ação de convite conforme necessário para suas finalidades comerciais.The process is considered ad-hoc since business users in Contoso perform the invite action as needed for their business purposes. Cada item compartilhado é um único link que o usuário externo pode acessar para exibir o conteúdo.Each item shared is a single link the external user can access to view the content.

Depois que o usuário externo foi convidado para acessar os recursos da Contoso, uma conta de sombra pode ser criada para eles no contoso Azure AD e não precisa ser convidada novamente.Once the external user has been invited to access Contoso resources, a shadow account may be created for them in Contoso Azure AD and they do not need to be invited again. Na primeira vez que tentam acessar um recurso da Contoso como um painel Power BI, eles passam por um processo de consentimento, que o reconsidera o convite.The first time they try to access a Contoso resource like a Power BI dashboard, they go through a consent process, which redeems the invitation. Se eles não concluírem o consentimento, eles não poderão acessar nenhum conteúdo da contoso.If they do not complete the consent, they cannot access any of Contoso's content. Se eles tiverem problemas para resgatar o convite por meio do link original fornecido, um administrador do Azure AD poderá reenviar um link de convite específico para que eles possam resgatar.If they have trouble redeeming their invitation via the original link provided, an Azure AD administrator can resent a specific invitation link for them to redeem.

Planejado por compartilhamento de itemPlanned per item sharing

A contoso trabalha com um subcontratado para executar a análise de confiabilidade de radiadores.Contoso works with a subcontractor to perform reliability analysis of radiators. O subcontratado tem uma equipe de 10 pessoas que precisam acessar dados no ambiente de Power BI da contoso.The subcontractor has a team of 10 people who need access to data in Contoso's Power BI environment. O administrador do Azure AD da Contoso está envolvido para convidar todos os usuários e para lidar com adições/alterações à medida que o pessoal do subcontratado mudar.The Contoso Azure AD administrator is involved to invite all the users and to handle any additions/changes as personnel at the subcontractor change. O administrador do Azure AD cria um grupo de segurança para todos os funcionários do subcontratado.The Azure AD administrator creates a security group for all the employees at the subcontractor. Usando o grupo de segurança, os funcionários da Contoso podem facilmente gerenciar o acesso a relatórios e garantir que toda a equipe subcontratado necessária tenha acesso a todos os relatórios, painéis e aplicativos de Power BI necessários.Using the security group, Contoso's employees can easily manage access to reports and ensure all required subcontractor personnel have access to all the required reports, dashboards, and Power BI apps. O administrador do Azure AD também pode evitar estar envolvido no processo de convite ao escolher delegar direitos de convite a um funcionário confiável na contoso ou ao subcontratado para garantir o gerenciamento de pessoal oportuno.The Azure AD administrator can also avoid being involved in the invitation process altogether by choosing to delegate invitation rights to a trusted employee at Contoso or at the subcontractor to ensure timely personnel management.

Algumas organizações exigem mais controle sobre quando usuários externos são adicionados, convidando muitos usuários em uma organização externa ou muitas organizações externas.Some organizations require more control over when external users are added, are inviting many users in an external organization, or many external organizations. Nesses casos, o compartilhamento planejado pode ser usado para gerenciar a escala de compartilhamento, para impor políticas organizacionais e até mesmo para delegar direitos a indivíduos confiáveis para convidar e gerenciar usuários externos.In these cases, planned sharing can be used to manage the scale of sharing, to enforce organizational policies, and even to delegate rights to trusted individuals to invite and manage external users. O Azure AD B2B dá suporte a convites planejados a serem enviados diretamente do portal do Azure por um administrador de tiou por meio do PowerShell usando a API do Gerenciador de convite , em que um conjunto de usuários pode ser convidado em uma ação.Azure AD B2B supports planned invites to be sent directly from the Azure portal by an IT administrator, or through PowerShell using the invitation manager API where a set of users can be invited in one action. Usando a abordagem de convites planejados, a organização pode controlar quem pode convidar usuários e implementar processos de aprovação.Using the planned invites approach, the organization can control who can invite users and implement approval processes. Recursos avançados do Azure AD, como grupos dinâmicos, podem facilitar a manutenção automática da associação do grupo de segurança.Advanced Azure AD capabilities like dynamic groups can make it easy to maintain security group membership automatically.

Controlar quais convidados podem ver o conteúdo

  1. As estrelas do processo com um administrador de ti convidam o usuário convidado manualmente ou por meio da API fornecida pelo Azure Active DirectoryThe process stars with an IT administrator inviting the guest user either manually or through the API provided by Azure Active Directory
  2. O usuário aceita o convite para a organização.The user accepts the invite to the organization.
  3. Depois que o usuário aceitar o convite, um usuário do Power BI poderá compartilhar um relatório ou Dashboard com o usuário externo ou um grupo de segurança no qual eles estão.Once the user has accepted the invitation, a user in Power BI can share a report or dashboard with the external user, or a security group they are in. Assim como no caso de compartilhamento regular no Power BI o usuário externo recebe um email com o link para o item.Just like with regular sharing in Power BI the external user receives an email with the link to the item.
  4. Quando o usuário externo acessa o link, sua autenticação em seu diretório é passada para o Azure AD da Contoso e usada para obter acesso ao conteúdo de Power BI.When the external user accesses the link, their authentication in their directory is passed to Contoso's Azure AD and used to gain access to the Power BI content.

Compartilhamento ad hoc ou planejado de aplicativos Power BIAd hoc or planned sharing of Power BI Apps

A contoso tem um conjunto de relatórios e painéis que eles precisam para compartilhar com um ou mais fornecedores.Contoso has a set of reports and dashboards they need to share with one or more Suppliers. Para garantir que todos os usuários externos necessários tenham acesso a esse conteúdo, ele é empacotado como um aplicativo Power BI.To ensure all required external users have access to this content, it is packaged as a Power BI app. Os usuários externos são adicionados diretamente à lista de acesso do aplicativo ou por meio de grupos de segurança.The external users are either added directly to the app access list or through security groups. Em seguida, alguém da Contoso envia a URL do aplicativo para todos os usuários externos, por exemplo, em um email.Someone at Contoso then sends the app URL to all the external users, for example in an email. Quando os usuários externos abrem o link, eles veem todo o conteúdo em uma única experiência fácil de navegar.When the external users open the link, they see all the content in a single easy to navigate experience.

Usar um aplicativo Power BI torna mais fácil para a contoso criar um portal de BI para seus fornecedores.Using a Power BI app makes it easy for Contoso to build a BI Portal for its suppliers. Uma única lista de acesso controla o acesso a todo o conteúdo necessário, reduzindo a verificação de tempo desperdiçado e definindo permissões de nível de item.A single access list controls access to all the required content reducing wasted time checking and setting item level permissions. O Azure AD B2B mantém o acesso de segurança usando a identidade nativa do fornecedor para que os usuários não precisem de credenciais de logon adicionais.Azure AD B2B maintains security access using the Supplier's native identity so users don't need additional login credentials. Se você estiver usando convites planejados com grupos de segurança, o gerenciamento de acesso ao aplicativo como pessoal gira dentro ou fora do projeto é simplificado.If using planned invites with security groups, access management to the app as personnel rotate into or out of the project is simplified. Associação de grupos de segurança manualmente ou usando grupos dinâmicos, para que todos os usuários externos de um fornecedor sejam adicionados automaticamente ao grupo de segurança apropriado.Membership in security groups manually or by using dynamic groups, so that all external users from a supplier are automatically added to the appropriate security group.

Controlar o conteúdo com o AAD

  1. O processo é iniciado pelo usuário que está sendo convidado para a organização do Azure AD da Contoso por meio do portal do Azure ou do PowerShellThe process starts by the user being invited to Contoso's Azure AD organization through the Azure portal or PowerShell
  2. O usuário pode ser adicionado a um grupo de usuários no Azure AD.The user can be added to a user group in Azure AD. Um grupo de usuários estático ou dinâmico pode ser usado, mas os grupos dinâmicos ajudam a reduzir o trabalho manual.A static or dynamic user group can be used, but dynamic groups help reduce manual work.
  3. Os usuários externos recebem acesso ao aplicativo Power BI por meio do grupo de usuários.The external users are given access to the Power BI App through the user group. A URL do aplicativo deve ser enviada diretamente ao usuário externo ou colocada em um site ao qual eles têm acesso.The app URL should be sent directly to the external user or placed on a site they have access to. Power BI dá um melhor esforço para enviar um email com o link do aplicativo para usuários externos, mas ao usar grupos de usuários cujas associações podem ser alteradas, Power BI não é capaz de enviar a todos os usuários externos gerenciados por meio de grupos de usuários.Power BI makes a best effort to send an email with the app link to external users but when using user groups whose membership can change, Power BI is not able to send to all external users managed through user groups.
  4. Quando o usuário externo acessa a URL do aplicativo Power BI, ele é autenticado pelo Azure AD da Contoso, o aplicativo é instalado para o usuário e o usuário pode ver todos os relatórios e painéis contidos no aplicativo.When the external user accesses the Power BI app URL, they are authenticated by Contoso's Azure AD, the app is installed for the user, and the user can see all the contained reports and dashboards within the app.

Os aplicativos também têm um recurso exclusivo que permite que os autores de aplicativos instalem o aplicativo automaticamente para o usuário, para que ele esteja disponível quando o usuário fizer logon.Apps also have a unique feature that allows app authors to install the application automatically for the user, so it is available when the user logs in. Esse recurso só é instalado automaticamente para usuários externos que já fazem parte da organização da Contoso no momento em que o aplicativo é publicado ou atualizado.This feature only installs automatically for external users who are already part of Contoso's organization at the time the application is published or updated. Portanto, ele é melhor usado com a abordagem de convites planejados e depende do aplicativo que está sendo publicado ou atualizado depois que os usuários são adicionados ao Azure AD da contoso.Thus, it is best used with the planned invites approach, and depends on the app being published or updated after the users are added to Contoso's Azure AD. Os usuários externos sempre podem instalar o aplicativo usando o link do aplicativo.External users can always install the app using the app link.

Comentar e inscrever-se no conteúdo entre organizaçõesCommenting and subscribing to content across organizations

À medida que a contoso continua a trabalhar com seus prestadores de serviço ou fornecedores, os engenheiros externos precisam trabalhar em conjunto com os analistas da contoso.As Contoso continues to work with its subcontractors or suppliers, the external Engineers need to work closely with Contoso's analysts. O Power BI fornece vários recursos de colaboração que ajudam os usuários a se comunicarem sobre o conteúdo que podem consumir.Power BI provides several collaboration features that help users communicate about content they can consume. Os comentários do painel (e em breve comentários do relatório) permitem que os usuários discutam os pontos de dados que veem e se comunicam com autores de relatório para fazer perguntas.Dashboard commenting (and soon Report commenting) allows users to discuss data points they see and communicate with report authors to ask questions.

Atualmente, os usuários convidados externos podem participar de comentários, deixando comentários e lendo as respostas.Currently, external guest users can participate in comments by leaving comments and reading the replies. No entanto, diferentemente dos usuários internos, @mentioned os usuários convidados não podem ser e não recebem notificações de que receberam um comentário.However, unlike internal users, guest users cannot be @mentioned and do not receive notifications that they've received a comment. Os usuários convidados não podem usar o recurso de assinaturas em Power BI no momento da gravação.Guest users cannot use the subscriptions feature within Power BI at the time of writing. Em uma versão futura, essas restrições serão compostas e o usuário convidado receberá um email quando tiver um @mentions comentário ou quando uma assinatura for entregue ao email contendo um link para o conteúdo em Power bi.In an upcoming release, those restrictions will be lifted and the Guest user will receive an email when a comment @mentions them, or when a subscription is delivered to their email that contains a link to the content in Power BI.

Acessar conteúdo no Power BI aplicativos móveisAccess content in the Power BI mobile apps

Em uma versão futura, quando os usuários da Contoso compartilharem relatórios ou dashboards com seus contrapartes convidados externos, Power BI enviará um email notificando o convidado.In an upcoming release, when Contoso's users share reports or dashboards with their external Guest counterparts, Power BI will send an email notifying the Guest. Quando o usuário convidado abrir o link para o relatório ou painel em seu dispositivo móvel, o conteúdo será aberto nos aplicativos móveis nativos Power BI em seu dispositivo, se estiverem instalados.When the guest user opens the link to the report or dashboard on their mobile device, the content will open in the native Power BI mobile apps on their device, if they're installed. O usuário convidado poderá então navegar entre o conteúdo compartilhado com eles no locatário externo e voltar para seu próprio conteúdo de seu locatário inicial.The guest user will then be able to navigate between content shared with them in the external tenant, and back to their own content from their home tenant.

Observação

O usuário convidado não pode abrir o aplicativo Power BI Mobile e navegar imediatamente até o locatário externo, deve começar com um link para um item no locatário externo.The guest user cannot open the Power BI mobile app and immediately navigate to the external tenant, they must start with a link to an item in the external tenant. As soluções alternativas comuns são descritas na seção distribuindo links para conteúdo na Power bi da organização pai mais adiante neste documento.Common workarounds are described in the Distributing links to content in the Parent organization's Power BI section later in this document.

Edição e gerenciamento entre organizações de conteúdo de Power BICross-organization editing and management of Power BI content

A Contoso e seus fornecedores e subcontratados trabalham cada vez mais juntos.Contoso and its Suppliers and subcontractors work increasingly closely together. Muitas vezes, um analista do subcontratado precisa de uma métrica adicional ou visualizações de dados a serem adicionadas a um relatório que a contoso compartilhou com elas.Often an analyst at the subcontractor needs additional metrics or data visualizations to be added to a report Contoso has shared with them. Os dados devem residir no locatário de Power BI da Contoso, mas os usuários externos devem ser capazes de editá-lo, criar um novo conteúdo e até mesmo distribuí-lo para os indivíduos apropriados.The data should reside in Contoso's Power BI tenant, but external users should be able to edit it, create new content, and even distribute it to appropriate individuals.

Power BI fornece uma opção que permite que usuários convidados externos possam editar e gerenciar conteúdo na organização.Power BI provides an option that enables External guest users can edit and manage content in the organization. Por padrão, os usuários externos têm uma experiência orientada por consumo somente leitura.By default, external users have a read-only consumption-oriented experience. No entanto, essa nova configuração permite que o administrador do Power BI escolha quais usuários externos podem editar e gerenciar conteúdo em sua própria organização.However, this new setting allows the Power BI admin to choose which external users can edit and manage content within their own organization. Depois de permitido, o usuário externo pode editar relatórios, dashboards, publicar ou atualizar aplicativos, trabalhar em espaços de trabalho e conectar-se a dados que eles têm permissão para usar.Once allowed, the external user can edit reports, dashboards, publish or update apps, work in workspaces, and connect to data they have permission to use.

Esse cenário é descrito em detalhes na seção permitindo que usuários externos editem e gerenciem conteúdo em Power BI mais adiante neste documento.This scenario is described in detail in the section Enabling external users to edit and manage content within Power BI later in this document.

Relações organizacionais usando Power BI e B2B do Azure ADOrganizational relationships using Power BI and Azure AD B2B

Quando todos os usuários de Power BI são internos à organização, não há necessidade de usar o Azure AD B2B.When all the users of Power BI are internal to the organization, there is no need to use Azure AD B2B. No entanto, uma vez que duas ou mais organizações desejam colaborar em dados e ideias, o suporte de Power BI para B2B do Azure AD torna isso mais fácil e econômico.However, once two or more organizations want to collaborate on data and insights, Power BI's support for Azure AD B2B makes it easy and cost effective to do so.

A seguir, normalmente, são encontradas estruturas organizacionais adequadas para a colaboração entre organizações do estilo B2B do Azure AD no Power BI.Below are typically encountered organizational structures that are well suited for Azure AD B2B style cross-organization collaboration in Power BI. O Azure AD B2B funciona bem na maioria dos casos, mas, em algumas situações, vale a pena considerar as abordagens alternativas comuns abordadas no final deste documento.Azure AD B2B works well in most cases, but in some situations the Common alternative approaches covered at the end of this document are worth considering.

Caso 1: Colaboração direta entre organizaçõesCase 1: Direct collaboration between organizations

O relacionamento da contoso com seu fornecedor de radiador é um exemplo de colaboração direta entre organizações.Contoso's relationship with its radiator supplier is an example of direct collaboration between organizations. Como há relativamente poucos usuários na contoso e seu fornecedor que precisa acessar informações de confiabilidade do radiador, usar o compartilhamento externo baseado em B2B do Azure AD é ideal.Since there are relatively few users at Contoso and its supplier who need access to radiator reliability information, using Azure AD B2B based external sharing is ideal. É fácil de usar e de administrar.It is easy to use and simple to administer. Esse também é um padrão comum nos serviços de consultoria, em que um consultor pode precisar criar conteúdo para uma organização.This is also a common pattern in consulting services where a consultant may need to build content for an organization.

Compartilhamento entre organizações

Normalmente, esse compartilhamento ocorre inicialmente usando ad hoc por compartilhamento de item.Typically, this sharing occurs initially using Ad hoc per item sharing. No entanto, à medida que as equipes crescem ou se aprofundam, a abordagem de compartilhamento por item planejada se torna o método preferencial para reduzir a sobrecarga de gerenciamento.However, as teams grow or relationships deepen, the Planned per item sharing approach becomes the preferred method to reduce management overhead. Além disso, o compartilhamento ad hoc ou planejado de aplicativos Power BI, comentários e assinatura de conteúdo entre organizações, o acesso ao conteúdo em aplicativos móveis também pode entrar em jogo, bem como a edição entre organizações e o gerenciamento de conteúdo de Power BI.Additionally, the Ad hoc or planned sharing of Power BI Apps, Commenting and subscribing to content across organizations, access to content in mobile apps can come into play as well, and cross-organization editing and management of Power BI content. Importante, se os usuários das organizações tiverem Power BI Pro licenças em suas respectivas organizações, eles poderão usar essas licenças pro nos ambientes de Power BI de cada uma delas.Importantly, if both organizations' users have Power BI Pro licenses in their respective organizations, they can use those Pro licenses in each other's Power BI environments. Isso fornece licenciamento vantajoso, uma vez que a organização que está convidando talvez não precise pagar por uma licença de Power BI Pro para os usuários externos.This provides advantageous licensing since the inviting organization may not need to pay for a Power BI Pro license for the external users. Isso é discutido mais detalhadamente na seção licenciamento mais adiante neste documento.This is discussed in more detail in the Licensing section later in this document.

Caso 2: Pai e suas subsidiárias ou afiliadasCase 2: Parent and its subsidiaries or affiliates

Algumas estruturas de organização são mais complexas, incluindo subsidiárias parcialmente ou totalmente corporativas, empresas afiliadas ou relações de provedor de serviços gerenciados.Some organization structures are more complex, including partially or wholly owned subsidiaries, affiliated companies, or managed service provider relationships. Essas organizações têm uma organização pai como uma empresa controladora, mas as organizações subjacentes operam semiautônomamente, às vezes em diferentes requisitos regionais.These organizations have a parent organization such as a holding company, but the underlying organizations operate semi-autonomously, sometimes under different regional requirements. Isso leva a cada organização que tem seu próprio ambiente do Azure AD e separa Power BI locatários.This leads to each organization having its own Azure AD environment and separate Power BI tenants.

Trabalhando com subsidiárias

Nessa estrutura, a organização pai normalmente precisa distribuir informações padronizadas para suas subsidiárias.In this structure, the parent organization typically needs to distribute standardized insights to its subsidiaries. Normalmente, esse compartilhamento ocorre usando o compartilhamento ad hoc ou planejado da abordagem de aplicativos Power BI, conforme ilustrado na imagem a seguir, pois permite a distribuição de conteúdo autoritativo padronizado para públicos amplos.Typically, this sharing occurs using the Ad hoc or planned sharing of Power BI Apps approach as illustrated in the following image, since it allows distribution of standardized authoritative content to broad audiences. Na prática, uma combinação de todos os cenários mencionados anteriormente neste documento é usada.In practice a combination of all the Scenarios mentioned earlier in this document is used.

Combinação de cenários

Isso segue o seguinte processo:This follows the following process:

  1. Os usuários de cada subsidiária são convidados para o Azure AD da contosoUsers from each Subsidiary are invited to Contoso's Azure AD
  2. Em seguida, o aplicativo Power BI é publicado para conceder a esses usuários acesso aos dados necessáriosThen the Power BI app is published to give these users access to the required data
  3. Por fim, os usuários abrem o aplicativo por meio de um link que eles receberam para ver os relatóriosFinally, the users open the app through a link they've been given to see the reports

Vários desafios importantes são enfrentados pelas organizações nesta estrutura:Several important challenges are faced by organizations in this structure:

  • Como distribuir links para conteúdo no Power BI da organização paiHow to distribute links to content in the Parent organization's Power BI
  • Como permitir que os usuários da subsidiária acessem a fonte de dados hospedada pela organização paiHow to allow subsidiary users to access data source hosted by the parent organization

Três abordagens são comumente usadas para distribuir links para o conteúdo.Three approaches are commonly used to distribute links to the content. O primeiro e mais básico é enviar o link para o aplicativo para os usuários necessários ou colocá-lo em um site do SharePoint Online a partir do qual ele pode ser aberto.The first and most basic is to send the link to the app to the required users or to place it in a SharePoint Online site from which it can be opened. Os usuários podem então marcar o link em seus navegadores para ter acesso mais rápido aos dados de que precisam.Users can then bookmark the link in their browsers for faster access to the data they need.

A segunda abordagem se baseia na edição e gerenciamento entre organizações de Power BI recurso de conteúdo.The second approach relies on the cross-organization editing and management of Power BI content capability. A organização pai permite que os usuários das subsidiárias acessem seu Power BI e controlam o que eles podem acessar por meio de permissão.The Parent organization allows users from the subsidiaries to access its Power BI and controls what they can access through permission. Isso dá acesso ao Power BI Home, em que o usuário da subsidiária vê uma lista abrangente de conteúdo compartilhado para eles no locatário da organização pai.This gives access to Power BI Home where the user from the subsidiary sees a comprehensive list of content shared to them in the Parent organization's tenant. Em seguida, a URL para o ambiente de Power BI das organizações pai é dada aos usuários nas subsidiárias.Then the URL to the Parent organizations' Power BI environment is given to the users at the subsidiaries.

A abordagem final usa um aplicativo Power BI criado dentro do locatário Power BI para cada subsidiária.The final approach uses a Power BI app created within the Power BI tenant for each subsidiary. O aplicativo Power BI inclui um painel com blocos configurados com a opção link externo.The Power BI app includes a dashboard with tiles configured with the external link option. Quando o usuário pressiona o bloco, ele é levado para o relatório, o painel ou o aplicativo apropriado no Power BI da organização pai.When the user presses the tile, they are taken to the appropriate report, dashboard, or app in the parent organization's Power BI. Essa abordagem tem a vantagem adicional de que o aplicativo pode ser instalado automaticamente para todos os usuários na subsidiária e está disponível para eles sempre que eles entrarem em seu próprio ambiente de Power BI.This approach has the added advantage that the app can be installed automatically for all users in the subsidiary and is available to them whenever they sign in to their own Power BI environment. Uma vantagem adicional dessa abordagem é que ela funciona bem com os aplicativos móveis Power BI que podem abrir o link nativamente.An added advantage of this approach is that it works well with the Power BI mobile apps that can open the link natively. Você também pode combinar isso com a segunda abordagem para permitir a alternância mais fácil entre ambientes de Power BI.You can also combine this with the second approach to enable easier switching between Power BI environments.

Permitindo que os usuários da subsidiária acessem fontes de dados hospedadas pela organização paiAllowing subsidiary users to access data sources hosted by the parent organization

Geralmente, os analistas de uma subsidiária precisam criar sua própria análise usando os dados fornecidos pela organização pai.Often analysts at a subsidiary need to create their own analytics using data supplied by the parent organization. Nesse caso, geralmente as fontes de dados de nuvem são usadas para resolver o desafio.In this case, commonly cloud data sources are used to address the challenge.

A primeira abordagem aproveita Azure Analysis Services para criar uma data warehouse de nível empresarial que atenda às necessidades de analistas em todo o pai e em suas subsidiárias, conforme mostrado na imagem a seguir.The first approach leverages Azure Analysis Services to build an enterprise grade data warehouse that serves the needs of Analysts across the parent and its subsidiaries as shown the following image. A Contoso pode hospedar os dados e usar recursos como segurança em nível de linha para garantir que os usuários em cada subsidiária possam acessar apenas seus dados.Contoso can host the data and use capabilities like row level security to ensure users in each subsidiary can access only their data. Os analistas em cada organização podem acessar os data warehouse por meio de Power BI Desktop e publicar análises resultantes em seus respectivos locatários de Power BI.Analysts at each organization can access the data warehouse through Power BI Desktop and publish resulting analytics to their respective Power BI tenants.

Como o compartilhamento ocorre com Power BI locatários

A segunda abordagem aproveita o banco de dados SQL do Azure para criar um data warehouse relacional para fornecer acesso aos dados.The second approach leverages Azure SQL Database to build a relational data warehouse to provide access to data. Isso funciona de forma semelhante à abordagem de Azure Analysis Services, embora alguns recursos como segurança de nível de linha possam ser mais difíceis de implantar e manter entre as subsidiárias.This works similarly to the Azure Analysis Services approach, though some capabilities like row level security may be harder to deploy and maintain across subsidiaries.

Abordagens mais sofisticadas também são possíveis, mas as anteriores são de longe as mais comuns.More sophisticated approaches are also possible, however the above are by far the most common.

Caso 3: Ambiente compartilhado entre parceirosCase 3: Shared environment across partners

A Contoso pode entrar em uma parceria com um concorrente para criar um carro em conjunto em uma linha de assembly compartilhada, mas para distribuir o veículo sob diferentes marcas ou em regiões diferentes.Contoso may enter into a partnership with a competitor to jointly build a car on a shared assembly line, but to distribute the vehicle under different brands or in different regions. Isso requer colaboração extensiva e copropriedade de dados, inteligência e análise entre organizações.This requires extensive collaboration and co-ownership of data, intelligence, and analytics across organizations. Essa estrutura também é comum no setor de serviços de consultoria, em que uma equipe de consultores pode fazer análises baseadas em projetos para um cliente.This structure is also common in the consulting services industry where a team of consultants may do project-based analytics for a client.

Ambiente compartilhado entre parceiros

Na prática, essas estruturas são complexas, conforme mostrado na imagem a seguir, e exigem que a equipe se mantenha.In practice, these structures are complex as shown in the following image, and require staff to maintain. Para ser eficaz, essa estrutura depende da edição e do gerenciamento entre organizações de Power BI recurso de conteúdo, pois permite que as organizações reutilizem Power BI Pro licenças adquiridas para seus respectivos locatários de Power BI.To be effective this structure relies on the cross-organization editing and management of Power BI content capability since it allows organizations to reuse Power BI Pro licenses purchased for their respective Power BI tenants.

Licenças e conteúdo compartilhado da organização

Para estabelecer um locatário de Power BI compartilhado, um Azure Active Directory precisa ser criado e pelo menos uma conta de usuário Power BI Pro precisa ser adquirida para um usuário nesse Active Directory.To establish a shared Power BI tenant, an Azure Active Directory needs to be created and at least one Power BI Pro user account needs to be purchased for a user in that active directory. Esse usuário convida os usuários necessários para a organização compartilhada.This user invites the required users to the shared organization. O importante é que, nesse cenário, os usuários da Contoso são tratados como usuários externos quando operam dentro das Power BI da organização compartilhada.Importantly, in this scenario, Contoso's users are treated as external users when they operate within the Shared Organization's Power BI.

O processo é o seguinte:The process is as follows:

  1. A organização compartilhada é estabelecida como um novo Azure Active Directory e pelo menos uma conta de usuário é criada na nova organização.The Shared Organization is established as a new Azure Active Directory and at least one user account is created in the new organization. Esse usuário deve ter uma licença Power BI Pro atribuída a ele.That user should have a Power BI Pro license assigned to them.
  2. Esse usuário estabelece um locatário Power BI e convida os usuários necessários da Contoso e da organização parceira.This user then establishes a Power BI tenant and invites the required users from Contoso and the Partner organization. O usuário também estabelece quaisquer ativos de dados compartilhados, como Azure Analysis Services.The user also establishes any shared data assets like Azure Analysis Services. A Contoso e os usuários do parceiro podem acessar a Power BI da organização compartilhada como usuários convidados.Contoso and the Partner's users can access the shared organization's Power BI as guest users. Se for permitido editar e gerenciar conteúdo em Power BI os usuários externos podem usar Power BI página inicial, usar espaços de trabalho, carregar ou editar conteúdo e compartilhar relatórios.If allowed to edit and manage content in Power BI the external users can use Power BI home, use workspaces, upload, or edit content and share reports. Normalmente, todos os ativos compartilhados são armazenados e acessados da organização compartilhada.Typically, all shared assets are stored and accessed from the shared organization.
  3. Dependendo de como as partes concordam em colaborar, é possível que cada organização desenvolva seus próprios dados proprietários e análises usando ativos de data warehouse compartilhados.Depending on how the parties agree to collaborate, it is possible for each organization to develop their own proprietary data and analytics using shared data warehouse assets. Eles podem distribuí-los para seus respectivos usuários internos usando seus locatários Power BI internos.They can distribute those to their respective internal users using their internal Power BI tenants.

Caso 4: Distribuição para centenas ou milhares de parceiros externosCase 4: Distribution to hundreds or thousands of external partners

Embora a contoso tenha criado um relatório de confiabilidade do radiador para um fornecedor, agora a contoso deseja criar um conjunto de relatórios padronizados para centenas de fornecedores.While Contoso created a radiator reliability report for one Supplier, now Contoso desires to create a set of standardized reports for hundreds of Suppliers. Isso permite que a contoso garanta que todos os fornecedores tenham a análise de que precisam para fazer melhorias ou para corrigir os defeitos de fabricação.This allows Contoso to ensure all suppliers have the analytics they need to make improvements or to fix manufacturing defects.

Distribuição para muitos parceiros

Quando uma organização precisa distribuir dados padronizados e informações para muitos usuários/organizações externos, eles podem usar o cenário ad hoc ou planejado de aplicativos Power BI para criar um portal de BI rapidamente e sem custos de desenvolvimento extensivos.When an organization needs to distribute standardized data and insights to many external users/organizations, they can use the Ad hoc or planned sharing of Power BI Apps scenario to build a BI Portal quickly and without extensive development costs. O processo para criar um portal desse tipo usando um aplicativo Power BI é abordado no estudo de caso: Criando um portal de BI usando o Power BI + Azure AD B2B – instruções passo a passo mais adiante neste documento.The process to build such a portal using a Power BI app is covered in the Case Study: Building a BI Portal using Power BI + Azure AD B2B – Step-by-Step instructions later in this document.

Uma variante comum desse caso é quando uma organização está tentando compartilhar ideias com consumidores, especialmente ao considerar o uso do Azure B2C com Power BI.A common variant of this case is when an organization is attempting to share insights with consumers, especially when looking to use Azure B2C with Power BI. Power BI não dá suporte nativo ao Azure B2C.Power BI does not natively support Azure B2C. Se você estiver avaliando opções para esse caso, considere usar a opção 2 alternativa nas abordagens alternativas comuns na seção mais adiante neste documento.If you're evaluating options for this case, consider using Alternative Option 2 in the Common alternative approaches the section later in this document.

Estudo de caso: Criando um portal de BI usando o Power BI + Azure AD B2B – instruções passo a passoCase Study: Building a BI Portal using Power BI + Azure AD B2B – Step-by-Step instructions

A integração do Power BI com o Azure AD B2B oferece à contoso uma maneira direta e sem complicações de fornecer aos usuários convidados acesso seguro ao seu portal de BI.Power BI's integration with Azure AD B2B gives Contoso a seamless, hassle-free way to provide guest users with secure access to its BI portal. A Contoso pode configurar isso com três etapas:Contoso can set this up with three steps:

Criando um portal

  1. Criar um portal de BI no Power BICreate BI portal in Power BI

    A primeira tarefa para a contoso é criar seu portal de BI no Power BI.The first task for Contoso is to create their BI portal in Power BI. O portal de BI da Contoso consistirá em uma coleção de painéis e relatórios criados por finalidade que serão disponibilizados para muitos usuários internos e convidados.Contoso's BI portal will consist of a collection of purpose-built dashboards and reports that will be made available to many internal and guest users. A maneira recomendada para fazer isso no Power BI é criar um aplicativo Power BI.The recommended way for doing this in Power BI is to build a Power BI app. Saiba mais sobre os aplicativos no Power bi.Learn more about apps in Power BI.

  • A equipe de BI da Contoso cria um espaço de trabalho de aplicativo no Power BIContoso's BI team creates an App workspace in Power BI

    Workspace de aplicativo

  • Outros autores são adicionados ao espaço de trabalhoOther authors are added to the workspace

    Adicionar autores

  • O conteúdo é criado dentro do espaço de trabalhoContent is created inside the workspace

    Criar conteúdo dentro do espaço de trabalho

    Agora que o conteúdo foi criado em um espaço de trabalho de aplicativo, a Contoso está pronta para convidar usuários convidados em organizações parceiras para consumir esse conteúdo.Now that the content is created in an app workspace, Contoso is ready to invite guest users in partner organizations to consume this content.

  1. Convidar usuários convidadosInvite Guest Users

    Há duas maneiras de o contoso convidar usuários convidados para seu portal de BI no Power BI:There are two ways for Contoso to invite guest users to its BI portal in Power BI:

    • Convites planejadosPlanned Invites
    • Convites ad hocAd hoc Invites

    Convites planejadosPlanned Invites

    Nessa abordagem, a contoso convida os usuários convidados para o Azure AD antecipadamente e, em seguida, distribui Power BI conteúdo a eles.In this approach, Contoso invites the guest users to its Azure AD ahead of time and then distributes Power BI content to them. A Contoso pode convidar usuários convidados do portal do Azure ou usando o PowerShell.Contoso can invite guest users from the Azure portal or using PowerShell. Estas são as etapas para convidar usuários convidados do portal do Azure:Here are the steps to invite guest users from the Azure portal:

    • O administrador do Azure AD da Contoso navega para portal do Azure > Azure Active Directory > usuários e grupos > todos os usuários > novo usuário convidadoContoso's Azure AD administrator navigates to Azure portal > Azure Active Directory > Users and groups > All users > New guest user

    Usuário convidado

    • Adicione uma mensagem de convite para os usuários convidados e clique em convidarAdd an invitation message for the guest users and click Invite

    Adicionar convite

    Observação

    Para convidar usuários convidados da portal do Azure, você precisa de um administrador para a Azure Active Directory do seu locatário.To invite guest users from the Azure portal, you need to an administrator for the Azure Active Directory of your tenant.

    Se a contoso quiser convidar muitos usuários convidados, eles poderão fazer isso usando o PowerShell.If Contoso wants to invite many guest users, they can do so using PowerShell. O administrador do Azure AD da Contoso armazena os endereços de email de todos os usuários convidados em um arquivo CSV.Contoso's Azure AD administrator stores the email addresses of all the guest users in a CSV file. Aqui estão Azure Active Directory código de colaboração B2B e exemplos e instruções do PowerShell.Here are Azure Active Directory B2B collaboration code and PowerShell samples and instructions.

    Após o convite, os usuários convidados receberão um email com o link do convite.After the invitation, guest users receive an email with the invitation link.

    Link de convite

    Depois que os usuários convidados clicarem no link, poderão acessar o conteúdo no locatário do Azure AD da contoso.Once the guest users click the link, they can access content in the Contoso Azure AD tenant.

    Observação

    É possível alterar o layout do email de convite usando o recurso de identidade visual do Azure AD, conforme descrito aqui.It is possible to change the layout of the invitation email using the Azure AD branding feature as described here.

    Convites ad hocAd hoc Invites

    E se a contoso não souber todos os usuários convidados que deseja convidar antes do tempo?What if Contoso does not know all the guest users it wants to invite ahead of time? Ou, e se o analista da Contoso que criou o portal de BI quiser distribuir o conteúdo para os usuários convidados?Or, what if the analyst in Contoso who created the BI portal wants to distribute content to guest users herself? Também damos suporte a esse cenário em Power BI com convites ad hoc.We also support this scenario in Power BI with ad-hoc invites.

    O analista pode apenas adicionar os usuários externos à lista de acesso do aplicativo quando eles estão publicando-os.The analyst can just add the external users to the access list of the app when they are publishing it. Os usuários convidados recebem um convite e, depois de aceitá-lo, eles são redirecionados automaticamente para o conteúdo de Power BI.The guest users gets an invite and once they accept it, they are automatically redirected to the Power BI content.

    Adicionar usuário externo

    Observação

    Os convites são necessários apenas na primeira vez que um usuário externo é convidado para sua organização.Invites are needed only the first time an external user is invited to your organization.

  2. Distribuir conteúdoDistribute Content

    Agora que a equipe de BI da Contoso criou o portal de BI e convidou os usuários convidados, eles podem distribuir seu portal para seus usuários finais, fornecendo aos usuários convidados acesso ao aplicativo e publicando-o.Now that Contoso's BI team has created the BI portal and invited guest users, they can distribute their portal to their end users by giving guest users access to the app and publishing it. Power BI conclui automaticamente os nomes de usuários convidados que foram adicionados anteriormente ao locatário da contoso.Power BI auto-completes names of guest users who have been previously added to the Contoso tenant. Os convites ad hoc para outros usuários convidados também podem ser adicionados neste ponto.Adhoc invitations to other guest users can also be added at this point.

    Observação

    Se você estiver usando grupos de segurança para gerenciar o acesso ao aplicativo para usuários externos, use a abordagem de convites planejados e compartilhe o link do aplicativo diretamente com cada usuário externo que deve acessá-lo.If using Security groups to manage access to the app for external users, use the Planned Invites approach and share the app link directly with each external user who must access it. Caso contrário, o usuário externo pode não conseguir instalar ou exibir o conteúdo de dentro do aplicativo. Otherwise, the external user may not be able to install or view content from within the app.

    Os usuários convidados recebem um email com um link para o aplicativo.Guest users get an email with a link to the app.

    Link de convite por email

    Ao clicar nesse link, os usuários convidados serão solicitados a autenticar com a identidade de sua própria organização.On clicking this link, guest users are asked to authenticate with their own organization's identity.

    Página de entrada

    Depois que eles forem autenticados com êxito, eles serão redirecionados para o aplicativo de BI da contoso.Once they are successfully authenticated, they are redirected to Contoso's BI app.

    Consulte conteúdo compartilhado

    Os usuários convidados podem chegar posteriormente ao aplicativo da Contoso clicando no link no email ou no indicador do link.Guest users can subsequently get to Contoso's app by clicking the link in the email or bookmarking the link. A contoso também pode facilitar para os usuários convidados adicionando esse link a qualquer portal de extranet existente que os usuários convidados já usam.Contoso can also make it easier for guest users by adding this link to any existing extranet portal that the guest users already use.

  3. Próximas etapasNext steps

    Usando um aplicativo Power BI e o Azure AD B2B, a contoso conseguiu criar rapidamente um portal de BI para seus fornecedores de forma sem código.Using a Power BI app and Azure AD B2B, Contoso was able to quickly create a BI Portal for its suppliers in a no-code way. Isso simplificau muito a distribuição de análises padronizadas para todos os fornecedores que precisavam dela.This greatly simplified distributing standardized analytics to all the suppliers who needed it.

    Embora o exemplo tenha mostrado como um único relatório comum poderia ser distribuído entre os fornecedores, Power BI pode ir muito além.While the example showed how a single common report could be distributed among suppliers, Power BI can go much further. Para garantir que cada parceiro veja apenas os dados relevantes, Segurança em Nível de Linha pode ser adicionado facilmente ao relatório e ao modelo de dados.To ensure each partner sees only data relevant to themselves, Row Level Security can be added easily to the report and data model. A seção segurança de dados para parceiros externos mais adiante neste documento descreve esse processo em detalhes.The Data security for external partners section later in this document describes this process in details.

    Geralmente, relatórios e painéis individuais precisam ser inseridos em um portal existente.Often individual reports and dashboards need to be embedded into an existing portal. Isso também pode ser feito reutilizando muitas das técnicas mostradas no exemplo.This can also be accomplished reusing many of the techniques shown in the example. No entanto, nessas situações, pode ser mais fácil inserir relatórios ou dashboards diretamente de um espaço de trabalho.However, in those situations it may be easier to embed reports or dashboards directly from a workspace. O processo para convidar e atribuir permissão de segurança para os usuários necessários permanecem os mesmos.The process for inviting and assigning security permission to the require users remain the same.

Nos bastidores: Como o Lucy da Supplier1 é capaz de acessar Power BI conteúdo do locatário da contoso?Under the hood: How is Lucy from Supplier1 able to access Power BI content from Contoso's tenant?

Agora que vimos como a contoso é capaz de distribuir diretamente Power BI conteúdo para usuários convidados em organizações parceiras, vamos examinar como isso funciona nos bastidores.Now that we have seen how Contoso is able to seamlessly distribute Power BI content to guest users in partner organizations, let's look at how this works under the hood.

Quando a Contoso lucy@supplier1.com convidou para seu diretório, o Azure ad cria um Lucy@supplier1.com link entre o e o locatário do Azure ad da contoso.When Contoso invited lucy@supplier1.com to its directory, Azure AD creates a link between Lucy@supplier1.com and the Contoso Azure AD tenant. Esse link permite que o Azure ad Lucy@supplier1.com saiba que pode acessar o conteúdo no locatário da contoso.This link lets Azure AD know that Lucy@supplier1.com can access content in the Contoso tenant.

Quando o Lucy tenta acessar o aplicativo Power BI da Contoso, o Azure AD verifica se o Lucy pode acessar o locatário da Contoso e, em seguida, fornece Power BI um token que indica que o Lucy é autenticado para acessar o conteúdo no locatário da contoso.When Lucy tries to access Contoso's Power BI app, Azure AD verifies that Lucy can access the Contoso tenant and then provides Power BI a token that indicates that Lucy is authenticated to access content in the Contoso tenant. Power BI usa esse token para autorizar e garantir que o Lucy tenha acesso ao aplicativo de Power BI da contoso.Power BI uses this token to authorize and ensure that Lucy has access to Contoso's Power BI app.

Verificação e autorização

A integração do Power BI com o Azure AD B2B funciona com todos os endereços de email de negócios.Power BI's integration with Azure AD B2B works with all business email addresses. Se o usuário não tiver uma identidade do Azure AD, poderá ser solicitado a criar uma.If the user does not have an Azure AD identity, they may be prompted to create one. A imagem a seguir mostra o fluxo detalhado:The following image shows the detailed flow:

Gráfico de fluxo de integração

É importante reconhecer que a conta do Azure AD será usada ou criada no Azure AD da parte externa, isso possibilitará que o Lucy use seu próprio nome de usuário e senha e suas credenciais irão parar de funcionar automaticamente em outros locatários sempre que Lucy deixa a empresa quando sua organização também usa o Azure AD.It is important to recognize that the Azure AD account will be used or created in the external party's Azure AD, this will make it possible for Lucy to use their own username and password and their credentials will automatically stop working in other tenants whenever Lucy leaves the company when their organization also uses Azure AD.

LicenciamentoLicensing

A Contoso pode escolher uma das três abordagens para licenciar usuários convidados de seus fornecedores e organizações parceiras para ter acesso a Power BI conteúdo.Contoso can choose one of three approaches to license guest users from its suppliers and partner organizations to have access to Power BI content.

Observação

A camada gratuita do Azure AD B2B's é suficiente para usar Power BI com o Azure AD B2B. Alguns recursos B2B avançados do Azure AD, como grupos dinâmicos, exigem licenciamento adicional. Consulte a documentação B2B do Azure AD para obter informações adicionais: https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance The Azure AD B2B's free tier is enough to use Power BI with Azure AD B2B. Some advanced Azure AD B2B features like dynamic groups require additional licensing. Please refer to the Azure AD B2B documentation for additional information: https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance

Abordagem 1: A contoso usa Power BI PremiumApproach 1: Contoso uses Power BI Premium

Com essa abordagem, a contoso compra Power BI Premium capacidade e atribui seu conteúdo do portal de BI a essa capacidade.With this approach, Contoso purchases Power BI Premium capacity and assigns its BI portal content to this capacity. Isso permite que usuários convidados de organizações parceiras acessem o aplicativo de Power BI da Contoso sem nenhuma licença Power BI.This allows guest users from partner organizations to access Contoso's Power BI app without any Power BI license.

Os usuários externos também estão sujeitos às experiências somente de consumo oferecidas para usuários "gratuitos" em Power BI ao consumir conteúdo no Power BI Premium.External users are also subject to the consumption only experiences offered to "Free" users in Power BI when consuming content within Power BI Premium.

A contoso também pode aproveitar outros recursos Power BI Premium para seus aplicativos, como taxas de atualização maiores, capacidade dedicada e tamanhos de modelos grandes.Contoso can also take advantage of other Power BI premium capabilities for its apps like increased refresh rates, dedicated capacity, and large model sizes.

Recursos adicionais

Abordagem 2: A contoso atribui licenças de Power BI Pro a usuários convidadosApproach 2: Contoso assigns Power BI Pro licenses to guest users

Com essa abordagem, a contoso atribui licenças pro a usuários convidados de organizações parceiras – isso pode ser feito no centro de administração de Microsoft 365 da contoso.With this approach, Contoso assigns pro licenses to guest users from partner organizations – this can be done from Contoso's Microsoft 365 admin center. Isso permite que usuários convidados de organizações parceiras acessem o aplicativo de Power BI da Contoso sem comprar uma licença por conta própria.This allows guest users from partner organizations to access Contoso's Power BI app without purchasing a license themselves. Isso pode ser apropriado para o compartilhamento com usuários externos cuja organização ainda não adotou Power BI.This can be appropriate for sharing with external users whose organization has not adopted Power BI yet.

Observação

A licença pro da Contoso aplica-se a usuários convidados somente quando eles acessam conteúdo no locatário da contoso. As licenças pro permitem o acesso ao conteúdo que não está em uma capacidade de Power BI Premium. No entanto, usuários externos com uma licença pro são restritos por padrão a uma experiência de consumo apenas. Isso pode ser alterado usando a abordagem descrita na seção habilitando usuários externos para editar e gerenciar conteúdo no Power bi mais adiante neste documento.Contoso's pro license applies to guest users only when they access content in the Contoso tenant. Pro licenses enable access to content that is not in a Power BI Premium capacity. However, external users with a Pro license are restricted by default to a consumption only experience. This can be change by using the approach described in the Enabling external users to edit and manage content within Power BI section later in this document.

Informações de licença

Abordagem 3: Os usuários convidados trazem sua própria licença de Power BI ProApproach 3: Guest users bring their own Power BI Pro license

Com essa abordagem, o fornecedor 1 atribui uma licença de Power BI Pro ao Lucy.With this approach, Supplier 1 assigns a Power BI Pro license to Lucy. Em seguida, eles podem acessar o aplicativo de Power BI da contoso com essa licença.They can then access Contoso's Power BI app with this license. Como o Lucy pode usar sua licença pro de sua própria organização ao acessar um ambiente de Power BI externo, essa abordagem, às vezes, é conhecida como traga sua própria licença (BYOL).Since Lucy can use their Pro license from their own organization when accessing an external Power BI environment, this approach is sometimes referred to as bring your own license (BYOL). Se ambas as organizações estiverem usando Power BI, isso oferecerá um licenciamento vantajoso para a solução de análise geral e minimizará a sobrecarga de atribuir licenças a usuários externos.If both organizations are using Power BI, this offers advantageous licensing for the overall analytics solution and minimizes overhead of assigning licenses to external users.

Observação

A licença pro fornecida ao Lucy pelo fornecedor 1 se aplica a qualquer locatário Power BI em que Lucy é um usuário convidado. As licenças pro permitem o acesso ao conteúdo que não está em uma capacidade de Power BI Premium. No entanto, usuários externos com uma licença pro são restritos por padrão a uma experiência de consumo apenas. Isso pode ser alterado usando a abordagem descrita na seção habilitando usuários externos para editar e gerenciar conteúdo no Power bi mais adiante neste documento.The pro license given to Lucy by Supplier 1 applies to any Power BI tenant where Lucy is a guest user. Pro licenses enable access to content that is not in a Power BI Premium capacity. However, external users with a Pro license are restricted by default to a consumption only experience. This can be change by using the approach described in the Enabling external users to edit and manage content within Power BI section later in this document.

Requisitos de licença pro

Segurança de dados para parceiros externosData security for external partners

Normalmente, ao trabalhar com vários fornecedores externos, a contoso precisa garantir que cada fornecedor Veja dados apenas sobre seus próprios produtos.Commonly when working with multiple external suppliers, Contoso needs to ensure that each supplier sees data only about its own products. A segurança baseada em usuário e a segurança em nível de linha dinâmica facilitam esse processo com Power BI.User-based security and dynamic row level security make this easy to accomplish with Power BI.

Segurança baseada no usuárioUser-based security

Um dos recursos mais poderosos do Power BI é Segurança em Nível de Linha.One of the most powerful features of Power BI is Row Level Security. Esse recurso permite que a contoso crie um único relatório e conjunto de recursos, mas ainda aplique regras de segurança diferentes para cada usuário.This feature allows Contoso to create a single report and dataset but still apply different security rules for each user. Para obter uma explicação aprofundada, consulte RLS (segurança em nível de linha).For an in-depth explanation, see Row-level security (RLS).

A integração do Power BI com o Azure AD B2B permite que a contoso atribua regras de Segurança em Nível de Linha a usuários convidados assim que elas são convidadas para o locatário da contoso.Power BI's integration with Azure AD B2B allows Contoso to assign Row Level Security rules to guest users as soon as they are invited to the Contoso tenant. Como vimos antes, a Contoso pode adicionar usuários convidados por meio de convites planejados ou ad hoc.As we have seen before, Contoso can add guest users through either planned or ad-hoc invites. Se a contoso quiser impor a segurança em nível de linha, é altamente recomendável usar os convites planejados para adicionar os usuários convidados antecipadamente e atribuí-los às funções de segurança antes de compartilhar o conteúdo.If Contoso wants to enforce row level security, it is strongly recommended to use planned invites to add the guest users ahead of time and assigning them to the security roles before sharing the content. Se a contoso usa convites ad hoc, pode haver um curto período de tempo em que os usuários convidados não poderão ver dados.If Contoso instead uses ad-hoc invites, there might be a short period of time where the guest users will not be able to see any data.

Observação

Esse atraso no acesso a dados protegidos pela RLS ao usar convites ad hoc pode levar a solicitações de suporte à sua equipe de ti, pois os usuários verão os relatórios/painéis em branco ou com aparência desfeita ao abrir um link de compartilhamento no email que receberem.This delay in accessing data protected by RLS when using ad-hoc invites can lead to support requests to your IT team because users will see either blank or broken looking reports/dashboards when opening a sharing link in the email they receive. Portanto, é altamente recomendável usar convites planejados neste cenário. * *Therefore, it is strongly recommended to use planned invites in this scenario.**

Vamos percorrer isso com um exemplo.Let's walk through this with an example.

Como mencionado anteriormente, a contoso tem fornecedores em todo o mundo e eles querem garantir que os usuários de suas organizações de fornecedores obtenham informações de dados de apenas seu território.As mentioned before, Contoso has suppliers around the globe, and they want to make sure that the users from their supplier organizations get insights from data from just their territory. Mas os usuários da Contoso podem acessar todos os dados.But users from Contoso can access all the data. Em vez de criar vários relatórios diferentes, a contoso cria um único relatório e filtra os dados com base no usuário que o exibe.Instead of creating several different reports, Contoso creates a single report and filters the data based the user viewing it.

Conteúdo compartilhado

Para garantir que a contoso possa filtrar dados com base em quem está se conectando, duas funções são criadas na área de trabalho Power BI.To make sure Contoso can filter data based on who is connecting, two roles are created in Power BI desktop. Um para filtrar todos os dados da SalesTerritory "Europa" e outro para "América do Norte".One to filter all the data from the SalesTerritory "Europe" and another for "North America".

Gerenciando funções

Sempre que as funções são definidas no relatório, um usuário deve ser atribuído a uma função específica para que eles obtenham acesso a qualquer dado.Whenever roles are defined in the report, a user must be assigned to a specific role for them to get access to any data. A atribuição de funções ocorre dentro do serviço do Power BI ( conjuntos de > segurança )The assignment of roles happens inside the Power BI service ( Datasets > Security )

Definindo a segurança

Isso abre uma página na qual a equipe de BI da Contoso pode ver as duas funções que eles criaram.This opens a page where Contoso's BI team can see the two roles they created. Agora, a equipe de BI da Contoso pode atribuir usuários às funções.Now Contoso's BI team can assign users to the roles.

Segurança em nível de linha

No exemplo, a Contoso está adicionando um usuário em uma organização parceira com o endereçoadam@themeasuredproduct.comde email "" à função Europe:In the example Contoso is adding a user in a partner organization with email address "adam@themeasuredproduct.com" to the Europe role:

Configurações de segurança em nível de linha

Quando isso é resolvido pelo Azure AD, a Contoso pode ver o nome aparecer na janela pronta para ser adicionada:When this gets resolved by Azure AD, Contoso can see the name show up in the window ready to be added:

Mostrar funções

Agora, quando esse usuário abrir o aplicativo que foi compartilhado com ele, ele verá apenas um relatório com dados da Europa:Now when this user opens the app that was shared with them, they only see a report with data from Europe:

Exibir conteúdo

Segurança dinâmica em nível de linhaDynamic row level security

Outro tópico interessante é ver como a RLS (segurança em nível de linha) dinâmica funciona com o B2B do Azure AD.Another interesting topic is to see how dynamic row level security (RLS) work with Azure AD B2B.

Em resumo, a segurança dinâmica em nível de linha funciona filtrando os dados no modelo com base no nome de usuário da pessoa que está se conectando ao Power BI.In short, Dynamic row level security works by filtering data in the model based on the username of the person connecting to Power BI. Em vez de adicionar várias funções para grupos de usuários, você define os usuários no modelo.Instead of adding multiple roles for groups of users, you define the users in the model. Não descreveremos o padrão em detalhes aqui.We won't describe the pattern in detail here. O Kasper de Jong oferece uma gravação detalhada em todos os tipos de segurança de nível de linha em Power BI Desktop folha de consulta de segurança dinâmicae neste White Paper .Kasper de Jong offers a detailed write up on all the flavors of row level security in Power BI Desktop Dynamic security cheat sheet, and in this whitepaper .

Vejamos um pequeno exemplo – a contoso tem um relatório simples sobre vendas por grupos:Let's look at a small example - Contoso has a simple report on sales by groups:

Conteúdo de exemplo

Agora este relatório precisa ser compartilhado com dois usuários convidados e um usuário interno-o usuário interno pode ver tudo, mas os usuários convidados só podem ver os grupos aos quais eles têm acesso.Now this report needs to be shared with two guest users and an internal user - the internal user can see everything, but the guest users can only see the groups they have access to. Isso significa que devemos filtrar os dados somente para os usuários convidados.This means we must filter the data only for the guest users. Para filtrar os dados adequadamente, a contoso usa o padrão RLS dinâmico, conforme descrito no White Paper e na postagem do blog.To filter the data appropriately, Contoso uses the Dynamic RLS pattern as described in the whitepaper and blog post. Isso significa que a contoso adiciona os nomes de acessados aos próprios dados:This means, Contoso adds the usernames to the data itself:

Exibir usuários da RLS para os próprios dados

Em seguida, a contoso cria o modelo de dados correto que filtra os dados adequadamente com as relações corretas:Then, Contoso creates the right data model that filters the data appropriately with the right relationships:

Os dados apropriados são mostrados

Para filtrar os dados automaticamente com base em quem está conectado, a contoso precisa criar uma função que passe o usuário que está se conectando.To filter the data automatically based on who is logged in, Contoso needs to create a role that passes in the user who is connecting. Nesse caso, a contoso cria duas funções – a primeira é a "securityrole", que filtra a tabela Users com o nome de usuário atual da usuária que fez logon no Power BI (isso funciona mesmo para os usuários convidados do Azure AD B2B).In this case, Contoso creates two roles – the first is the "securityrole" that filters the Users table with the current username of the user logged in to Power BI (this works even for Azure AD B2B guest users).

Gerenciar funções

A contoso também cria outro "alrole" para seus usuários internos que podem ver tudo – essa função não tem nenhum predicado de segurança.Contoso also creates another "AllRole" for its internal users who can see everything – this role does not have any security predicate.

Depois de carregar o arquivo de área de trabalho Power BI para o serviço, a Contoso pode atribuir usuários convidados ao "SecurityRole" e aos usuários internos para a "função".After uploading the Power BI desktop file to the service, Contoso can assign guest users to the "SecurityRole" and internal users to the "AllRole"

Agora, quando os usuários convidados abrirem o relatório, eles verão apenas vendas do grupo A:Now, when the guest users open the report, they only see sales from group A:

Somente do grupo A

Na matriz à direita, você pode ver o resultado da função USERNAME () e USERPRINCIPALNAME () retornam o endereço de email dos usuários convidados.In the matrix to the right you can see the result of the USERNAME() and USERPRINCIPALNAME() function both return the guest users email address.

Agora, o usuário interno consegue ver todos os dados:Now the internal user gets to see all the data:

Todos os dados mostrados

Como você pode ver, a RLS dinâmica funciona com usuários internos ou convidados.As you can see, Dynamic RLS works with both internal or guest users.

Observação

Esse cenário também funciona ao usar um modelo no Azure Analysis Services.This scenario also works when using a model in Azure Analysis Services. Normalmente, o serviço de análise do Azure está conectado ao mesmo Azure AD que seu Power BI-nesse caso, Azure Analysis Services também conhece os usuários convidados convidados por meio do Azure AD B2B.Usually your Azure Analysis Service is connected to the same Azure AD as your Power BI - in that case, Azure Analysis Services also knows the guest users invited through Azure AD B2B.

Conectando-se a fontes de dados locaisConnecting to on premises data sources

O Power BI oferece a capacidade da Contoso de aproveitar fontes de dados locais como SQL Server Analysis Services ou SQL Server graças diretamente ao Gateway de dados local.Power BI offers the capability for Contoso to leverage on premises data sources like SQL Server Analysis Services or SQL Server directly thanks to the On-Premises data gateway. É ainda possível fazer logon nessas fontes de dados com as mesmas credenciais usadas com Power BI.It is even possible to sign on to those data sources with the same credentials as used with Power BI.

Observação

Ao instalar um gateway para se conectar ao seu locatário do Power BI, você deve usar um usuário criado em seu locatário.When installing a gateway to connect to your Power BI tenant, you must use a user created within your tenant. Os usuários externos não podem instalar um gateway e conectá-lo ao seu locatário. External users cannot install a gateway and connect it to your tenant.

Para usuários externos, isso pode ser mais complicado, pois os usuários externos geralmente não são conhecidos pelo AD local.For external users, this might be more complicated as the external users are usually not known to the on-premises AD. O Power BI oferece uma solução alternativa para isso, permitindo que os administradores da Contoso mapeiem os nomes de dados externos para nomes de acessados internos, conforme descrito em gerenciar sua fonte Analysis Services.Power BI offers a workaround for this by allowing Contoso administrators to map the external usernames to internal usernames as described in Manage your data source - Analysis Services. Por exemplo, lucy@supplier1.com pode ser mapeado para Lucy_supplier1_com #EXT@contoso.com.For example, lucy@supplier1.com can be mapped to lucy_supplier1_com#EXT@contoso.com.

Mapeando nomes de usuário

Esse método será bom se a Contoso tiver apenas alguns usuários ou se a contoso puder Mapear todos os usuários externos para uma única conta interna.This method is fine if Contoso only has a handful of users or if Contoso can map all the external users to a single internal account. Para cenários mais complexos em que cada usuário precisa de suas próprias credenciais, há uma abordagem mais avançada que usa atributos personalizados do AD para fazer o mapeamento, conforme descrito em gerenciar sua fonte de dados-Analysis Services.For more complex scenarios where each user needs their own credentials, there is a more advanced approach that uses custom AD attributes to do the mapping as described in Manage your data source - Analysis Services. Isso permitiria que o administrador da Contoso definisse um mapeamento para cada usuário no AD do Azure (também usuários B2B externos).This would allow the Contoso administrator to define a mapping for every user in your Azure AD (also external B2B users). Esses atributos podem ser definidos por meio do modelo de objeto do AD usando scripts ou código para que a contoso possa automatizar totalmente o mapeamento no convite ou em uma cadência agendada.These attributes can be set through the AD object model using scripts or code so Contoso can fully automate the mapping on invite or on a scheduled cadence.

Permitindo que usuários externos editem e gerenciem conteúdo dentro do Power BIEnabling external users to edit and manage content within Power BI

A Contoso pode permitir que usuários externos contribuam com o conteúdo na organização, conforme descrito anteriormente na seção de gerenciamento e edição entre organizações de Power BI conteúdo.Contoso can allow external users to contribute content within the organization as described earlier in the cross-organization editing and management of Power BI content section.

Observação

Para editar e gerenciar conteúdo dentro da Power BI de sua organização, o usuário deve ter uma licença de Power BI Pro em um espaço de trabalho diferente do meu espaço de trabalho.To edit and manage content within your organization's Power BI, the user must have a Power BI Pro license in a workspace other than My workspace. Os usuários podem obter licenças pro, conforme abordado em the_ Licensing__section deste documento.Users can obtain Pro licenses as covered in the_ Licensing__section of this document.

O portal de administração do Power BI fornece ao permitir que usuários convidados externos editem e gerenciem conteúdo na configuração da organização em configurações de locatário.The Power BI Admin Portal provides the allow external guest users to edit and manage content in the organization setting in Tenant settings. Por padrão, a configuração é definida como desabilitada, o que significa que os usuários externos recebem uma experiência de somente leitura restrita por padrão.By default, the setting is set to disabled, meaning external users get a constrained read-only experience by default. A configuração se aplica a usuários com UserType definido como convidado no Azure AD.The setting applies to users with UserType set to Guest in Azure AD. A tabela a seguir descreve os comportamentos que os usuários enfrentam dependendo de seu UserType e como as configurações são definidas.The table below describes the behaviors users experience depending on their UserType and how the settings are configured.

Tipo de usuário no Azure ADUser Type in Azure AD Permitir que usuários convidados externos editem e gerenciem definições de conteúdoAllow external guest users to edit and manage content setting ComportamentoBehavior
ConvidadoGuest Desabilitado para o usuário (padrão)Disabled for the user (Default) Exibição somente por consumo de item.Per item consumption only view. Permite o acesso somente leitura a relatórios, painéis e aplicativos quando exibido por meio de uma URL enviada ao usuário convidado.Allows read-only access to reports, dashboards, and apps when viewed through a URL sent to the Guest user. Power BI Mobile aplicativos fornecem uma exibição somente leitura para o usuário convidado.Power BI Mobile apps provide a read-only view to the guest user.
ConvidadoGuest Habilitado para o usuárioEnabled for the user O usuário externo obtém acesso a toda a experiência de Power BI, embora alguns recursos não estejam disponíveis para eles.The external user gets access to the full Power BI experience, though some features are not available to them. O usuário externo deve fazer logon no Power BI usando a URL do serviço Power BI com as informações do locatário incluídas.The external user must log in to Power BI using the Power BI Service URL with the tenant information included. O usuário Obtém a experiência inicial, um meu espaço de trabalho e, com base em permissões, pode procurar, exibir e criar conteúdo.The user gets the Home experience, a My Workspace, and based on permissions can browse, view, and create content.
Power BI Mobile aplicativos fornecem uma exibição somente leitura para o usuário convidado.Power BI Mobile apps provide a read-only view to the guest user.

Observação

Usuários externos no Azure AD também podem ser definidos para o membro UserType.External users in Azure AD can also be set to UserType Member. No momento, não há suporte para isso no Power BI.This is not currently supported in Power BI.

No portal de administração do Power BI, a configuração é mostrada na imagem a seguir.In the Power BI Admin portal, the setting is shown in the following image.

Configurações do administrador

Os usuários convidados obtêm a experiência padrão somente leitura e podem editar e gerenciar conteúdo.Guest users get the read-only default experience and which can edit and manage content. O padrão é desabilitado, o que significa que todos os usuários convidados têm a experiência somente leitura.The default is Disabled, meaning all Guest users have the read-only experience. O administrador do Power BI pode habilitar a configuração para todos os usuários convidados na organização ou para grupos de segurança específicos definidos no Azure AD.The Power BI Admin can either enable the setting for all Guest users in the organization or for specific security groups defined in Azure AD. Na imagem a seguir, o administrador da Contoso Power BI criou um grupo de segurança no Azure AD para gerenciar quais usuários externos podem editar e gerenciar conteúdo no locatário da contoso.In the following image, the Contoso Power BI Admin created a security group in Azure AD to manage which external users can edit and manage content in the Contoso tenant.

Para ajudar esses usuários a fazer logon no Power BI, forneça a URL do locatário.To help these users to log in to Power BI, provide them with the Tenant URL. Para localizar a URL do locatário, siga estas etapas.To find the tenant URL, follow these steps.

  1. No serviço do Power BI, no menu superior, selecione ajuda ( ?In the Power BI service, in the top menu, select help ( ? ), em seguida, sobre Power bi.) then About Power BI.

  2. Procure o valor ao lado de URL do locatário.Look for the value next to Tenant URL. Esta é a URL do locatário que você pode compartilhar com seus usuários convidados.This is the tenant URL you can share with your guest users.

    URL do Locatário

Ao usar o permitir que usuários convidados externos editem e gerenciem conteúdo na organização, os usuários convidados especificados terão acesso ao Power BI da sua organização e verão qualquer conteúdo ao qual tenham permissão.When using the Allow external guest users to edit and manage content in the organization, the specified guest users get access to your organization's Power BI and see any content to which they have permission. Eles podem acessar conteúdo doméstico, navegar e contribuir para espaços de trabalho, instalar aplicativos onde estão na lista de acesso e ter um meu espaço de trabalho.They can access Home, browse and contribute content to workspaces, install apps where they are on the access list, and have a My workspace. Eles podem ser administradores de workspaces que usam a nova experiência de workspace e até mesmo criar tais workspaces.They can create or be an Admin of workspaces that use the new workspace experience.

Observação

Ao usar essa opção, certifique-se de examinar a seção governança deste documento, uma vez que as configurações padrão do Azure AD impedem que os usuários convidados usem determinados recursos como seletores de pessoas, o que pode levar a uma experiência reduzida. * *When using this option make sure to review the governance section of this document since default Azure AD settings prevent Guest users to use certain features like people pickers which can lead to a reduced experience.**

Para usuários convidados habilitados por meio do permitir que usuários convidados externos editem e gerenciem conteúdo na configuração de locatário da organização, algumas experiências não estão disponíveis para eles.For guest users enabled through the Allow external guest users to edit and manage content in the organization tenant setting, some experiences are not available to them. Para atualizar ou publicar relatórios, os usuários convidados precisam usar a interface do usuário da Web do serviço do Power BI, incluindo obter dados para carregar Power BI Desktop arquivos.To update or publish reports, guest users need to use the Power BI service web UI, including Get Data to upload Power BI Desktop files. As seguintes experiências não são compatíveis:The following experiences are not supported:

  • Publicação direta do Power BI Desktop para o serviço do Power BIDirect publishing from Power BI desktop to the Power BI service
  • Usuários convidados não podem usar o Power BI Desktop para se conectar a conjuntos de dados de serviço no serviço do Power BIGuest users cannot use Power BI desktop to connect to service datasets in the Power BI service
  • Workspaces clássicos associados a Grupos do Office 365: Um usuário convidado não é capaz de criar ou ser administradores desses workspaces.Classic workspaces tied to Office 365 Groups: Guest user cannot create or be Admins of these workspaces. Eles podem ser membros.They can be members.
  • O envio de convites ad-hoc para listas de acesso do workspace não é uma ação compatívelSending ad-hoc invites is not supported for workspace access lists
  • O Power BI Publisher para Excel não é compatível com usuários convidadosPower BI Publisher for Excel is not supported for guest users
  • Usuários convidados não podem instalar um Power BI Gateway e conectá-lo à sua organizaçãoGuest users cannot install a Power BI Gateway and connect it to your organization
  • Usuários convidados não podem instalar aplicativos e publicá-los para toda a organizaçãoGuest users cannot install apps publish to the entire organization
  • Usuários convidados não podem usar, criar, atualizar ou instalar pacotes de conteúdo organizacionalGuest users cannot use, create, update, or install organizational content packs
  • Usuários convidados não podem usar o Analisar no ExcelGuest users cannot use Analyze in Excel
  • Os usuários convidados não @mentioned podem estar em comentários (essa funcionalidade será adicionada em uma versão futura)Guest users cannot be @mentioned in commenting ( this functionality will be added in an upcoming release )
  • Os usuários convidados não podem usar assinaturas (essa funcionalidade será adicionada em uma versão futura)Guest users cannot use subscriptions ( this functionality will be added in an upcoming release )
  • Usuários convidados que usam essa funcionalidade devem ter uma conta corporativa ou de estudante.Guest users who use this capability should have a work or school account. Os usuários convidados que usam contas pessoais experimentam mais limitações devido a restrições de entrada.Guest users using Personal accounts experience more limitations due to sign-in restrictions.

GovernançaGovernance

Ao usar o compartilhamento B2B do Azure AD, o administrador de Azure Active Directory controla os aspectos da experiência do usuário externo.When using Azure AD B2B sharing, the Azure Active Directory administrator controls aspects of the external user's experience. Eles são controlados na página de configurações de colaboração externa dentro das configurações de Azure Active Directory para seu locatário.These are controlled on the External collaboration settings page within the Azure Active Directory settings for your Tenant.

Os detalhes sobre as configurações estão disponíveis aqui:Details on the settings are available here:

https://docs.microsoft.com/azure/active-directory/b2b/delegate-invitations

Observação

Por padrão, a opção permissões de usuários convidados é limitada é definida como Sim, portanto, os usuários convidados dentro de Power BI têm experiências limitadas, especialmente o compartilhamento de hosts que as interfaces do usuário do seletor de pessoas não funcionam para esses usuários.By default, the Guest users permissions are limited option is set to Yes, so Guest users within Power BI have limited experiences especially surround sharing where people picker UIs do not work for those users. É importante trabalhar com o administrador do Azure AD para defini-lo como não, conforme mostrado abaixo para garantir uma boa experiência. * *It is important to work with your Azure AD administrator to set it to No, as shown below to ensure a good experience.**

Configurações de colaboração externa

Controlar convites de convidadoControl guest invites

Power BI administradores podem controlar o compartilhamento externo apenas para Power BI visitando o portal de administração do Power BI.Power BI administrators can control external sharing just for Power BI by visiting the Power BI admin portal. Mas os administradores de locatários também podem controlar o compartilhamento externo com várias políticas do Azure AD.But tenant administrators can also control external sharing with various Azure AD policies. Essas políticas permitem que os administradores de locatáriosThese policies allow tenant administrators to

  • Desativar convites por usuários finaisTurn off invitations by end users
  • Somente administradores e usuários na função de convite do convidado podem convidarOnly admins and users in the Guest Inviter role can invite
  • Administradores, a função emissor de convite para convidado e membros podem convidarAdmins, the Guest Inviter role, and members can invite
  • Todos os usuários, incluindo convidados, podem convidarAll users, including guests, can invite

Você pode ler mais sobre essas políticas em convites delegados para Azure Active Directory colaboração B2B.You can read more about these policies in Delegate invitations for Azure Active Directory B2B collaboration.

Todas as ações de Power BI por usuários externos também são auditadas em nosso portal de auditoria.All Power BI actions by external users are also audited in our auditing portal.

Políticas de acesso condicional para usuários convidadosConditional Access policies for guest users

A Contoso pode impor políticas de acesso condicional para usuários convidados que acessam o conteúdo do locatário da contoso.Contoso can enforce conditional access policies for guest users who access content from the Contoso tenant. Você pode encontrar instruções detalhadas em acesso condicional para usuários de colaboração B2B.You can find detailed instructions in Conditional access for B2B collaboration users.

Abordagens alternativas comunsCommon alternative approaches

Embora o Azure AD B2B facilite o compartilhamento de dados e relatórios entre organizações, há várias outras abordagens que são comumente usadas e podem ser superiores em determinados casos.While Azure AD B2B makes it easy to share data and reports across organizations, there are several other approaches that are commonly used and may be superior in certain cases.

Opção alternativa 1: Criar identidades duplicadas para usuários parceirosAlternative Option 1: Create duplicate identities for partner users

Com essa opção, a Contoso tinha que criar manualmente identidades duplicadas para cada usuário do parceiro no locatário da Contoso, conforme mostrado na imagem a seguir.With this option, Contoso had to manually create duplicate identities for each partner user in the Contoso Tenant, as shown in the following image. Em seguida, em Power BI, a Contoso pode compartilhar com as identidades atribuídas aos relatórios, painéis ou aplicativos apropriados.Then within Power BI, Contoso can share to the assigned identities the appropriate reports, dashboards, or apps.

Configurando mapeamentos e nomes apropriados

Motivos para escolher essa alternativa:Reasons to choose this alternative:

  • Como a identidade do usuário é controlada por sua organização, qualquer serviço relacionado, como email, SharePoint etc., também está dentro do controle da sua organização.Since the user's identity is controlled by your organization, any related service such as email, SharePoint, etc. are also within the control of your organization. Os administradores de ti podem redefinir senhas, desabilitar o acesso a contas ou atividades de auditoria nesses serviços.Your IT Administrators can reset passwords, disable access to accounts, or audit activities in these services.
  • Os usuários que usam contas pessoais para seus negócios geralmente são restritos de acessar determinados serviços, de modo que podem precisar de uma conta institucional.Users who use personal accounts for their business often are restricted from accessing certain services so may need an organizational account.
  • Alguns serviços só funcionam nos usuários da sua organização.Some services only work over your organization's users. Por exemplo, usar o Intune para gerenciar o conteúdo em dispositivos pessoais/móveis de usuários externos usando o Azure B2B pode não ser possível.For example, using Intune to manage content on the personal/mobile devices of external users using Azure B2B may not be possible.

Motivos para não escolher essa alternativa:Reasons not to choose this alternative:

  • Os usuários de organizações parceiras devem se lembrar de dois conjuntos de credenciais – um para acessar o conteúdo de sua própria organização e o outro para acessar o conteúdo da contoso.Users from partner organizations must remember two sets of credentials– one to access content from their own organization and the other to access content from Contoso. Isso é um incômodo para esses usuários convidados e muitos usuários convidados são confundidos por essa experiência.This is a hassle for these guest users and many guest users are confused by this experience.
  • A Contoso deve comprar e atribuir licenças por usuário a esses usuários.Contoso must purchase and assign per-user licenses to these users. Se um usuário precisar receber emails ou usar aplicativos do Office, eles precisarão das licenças apropriadas, incluindo Power BI Pro para editar e compartilhar conteúdo no Power BI.If a user needs to receive email or use office applications, they need the appropriate licenses, including Power BI Pro to edit and share content in Power BI.
  • A Contoso pode querer impor políticas de governança e autorização mais rigorosas para usuários externos em comparação com usuários internos.Contoso might want to enforce more stringent authorization and governance policies for external users compared to internal users. Para conseguir isso, a contoso precisa criar um nomenclatura interno para usuários externos e todos os usuários da Contoso precisam ser instruídos sobre esse nomenclatura.To achieve this, Contoso needs to create an in-house nomenclature for external users and all Contoso users need to be educated about this nomenclature.
  • Quando o usuário deixa sua organização, ele continua a ter acesso aos recursos da Contoso até que o administrador da Contoso exclua manualmente sua contaWhen the user leaves their organization, they continue to have access to Contoso's resources until the Contoso admin manually deletes their account
  • Os administradores da Contoso precisam gerenciar a identidade do convidado, incluindo criação, redefinições de senha, etc.Contoso admins have to manage the identity for the guest, including creation, password resets, etc.

Opção alternativa 2: Criar um aplicativo de Power BI Embedded personalizado usando a autenticação personalizadaAlternative Option 2: Create a custom Power BI Embedded application using custom authentication

Outra opção para a contoso é criar seu próprio aplicativo de Power BI incorporado personalizado com autenticação personalizada (' aplicativo possui dados ').Another option for Contoso is to build its own custom embedded Power BI application with custom authentication ('App owns data'). Embora muitas organizações não tenham tempo ou recursos para criar um aplicativo personalizado para distribuir Power BI conteúdo para seus parceiros externos, para algumas organizações essa é a melhor abordagem e merece uma consideração séria.While many organizations do not have the time or resources to create a custom application to distribute Power BI content to their external partners, for some organizations this is the best approach and deserves serious consideration.

Muitas vezes, as organizações têm portais de parceiros existentes que centralizam o acesso a todos os recursos organizacionais de parceiros, fornecem isolamento de recursos organizacionais internos e fornecem experiências simplificadas para que os parceiros ofereçam suporte a muitos parceiros e seus usuários individuais.Often, organizations have existing partner portals that centralize access to all organizational resources for partners, provide isolation from internal organizational resources, and provide streamlined experiences for partners to support many partners and their individual users.

Muitos portais de parceiros

No exemplo acima, os usuários de cada fornecedor efetuam logon no portal de parceiros da Contoso que usa o AAD como um provedor de identidade.In the example above, users from each supplier login to Contoso's Partner Portal that uses AAD as an identity provider. Ele poderia usar o AAD B2B, o Azure B2C, identidades nativas ou federar com qualquer número de outros provedores de identidade.It could use AAD B2B, Azure B2C, native identities, or federate with any number of other identity providers. O usuário faria logon e acessaria um Build do portal do parceiro usando o aplicativo Web do Azure ou uma infraestrutura semelhante.The user would log in and access a partner portal build using Azure Web App or a similar infrastructure.

No aplicativo Web, Power BI relatórios são inseridos de uma implantação de Power BI Embedded.Within the web app, Power BI reports are embedded from a Power BI Embedded deployment. O aplicativo Web simplificaria o acesso aos relatórios e a todos os serviços relacionados em uma experiência coesa, visando tornar mais fácil para os fornecedores interagirem com a contoso.The web app would streamline access to the reports and any related services in a cohesive experience aimed to make it easy for suppliers to interact with Contoso. Esse ambiente de portal estaria isolado do AAD interno do Contoso e do ambiente de Power BI interno da Contoso para garantir que os fornecedores não pudessem acessar esses recursos.This portal environment would be isolated from the Contoso internal AAD and Contoso's internal Power BI environment to ensure suppliers could not access those resources. Normalmente, os dados seriam armazenados em um parceiro separado data warehouse para garantir o isolamento dos dados também.Typically, data would be stored in a separate Partner data warehouse to ensure isolation of data as well. Esse isolamento tem benefícios, pois limita o número de usuários externos com acesso direto aos dados da sua organização, limitando quais dados podem estar potencialmente disponíveis para o usuário externo e limitando o compartilhamento acidental com usuários externos.This isolation has benefits since it limits the number of external users with direct access to your organization's data, limiting what data could potentially be available to the external user, and limiting accidental sharing with external users.

Usando Power BI Embedded, o portal pode aproveitar o licenciamento vantajoso, usando o token do aplicativo ou o usuário mestre mais a capacidade Premium adquirida no modelo do Azure, o que simplifica as preocupações sobre a atribuição de licenças aos usuários finais e pode escalar/reduzir verticalmente com base no esperado usos.Using Power BI Embedded, the portal can leverage advantageous licensing, using app token or the master user plus premium capacity purchased in Azure model, which simplifies concerns about assigning licenses to end users, and can scale up/down based on expected usage. O portal pode oferecer uma experiência geral de maior qualidade e consistente, já que os parceiros acessam um único portal projetado com todas as necessidades de um parceiro em mente.The portal can offer an overall higher quality and consistent experience since partners access a single portal designed with all of a Partner's needs in mind. Por fim, como as soluções baseadas em Power BI Embedded normalmente são projetadas para serem multilocatários, isso facilita a garantia de isolamento entre organizações parceiras.Lastly, since Power BI Embedded based solutions are typically designed to be multi-tenant, it makes it easier to ensure isolation between partner organizations.

Motivos para escolher essa alternativa:Reasons to choose this alternative:

  • Mais fácil de gerenciar à medida que o número de organizações parceiras cresce.Easier to manage as the number of partner organizations grows. Como os parceiros são adicionados a um diretório separado isolado do diretório interno do AAD da Contoso, ele simplifica as tarefas de governança e ajuda a impedir o compartilhamento acidental de dados internos para usuários externos.Since partners are added to a separate directory isolated from Contoso's internal AAD directory, it simplifies IT's governance duties and helps prevent accidental sharing of internal data to external users.
  • Portais de parceiros típicos são experiências altamente marcadas com experiências consistentes entre parceiros e simplificadas para atender às necessidades de parceiros típicos.Typical Partner Portals are highly branded experiences with consistent experiences across partners and streamlined to meet the needs of typical partners. Portanto, a Contoso pode oferecer uma experiência geral melhor aos parceiros integrando todos os serviços necessários em um único portal.Contoso can therefore offer a better overall experience to partners by integrating all required services into a single portal.
  • Os custos de licenciamento para cenários avançados, como a edição de conteúdo dentro do Power BI Embedded, são cobertos pela Power BI Premium comprada do Azure e não exigem a atribuição de licenças de Power BI Pro para esses usuários.Licensing costs for advanced scenarios like Editing content within the Power BI Embedded is covered by the Azure purchased Power BI Premium, and does not require assignment of Power BI Pro licenses to those users.
  • Fornece um melhor isolamento entre parceiros, se arquitetado como uma solução multilocatário.Provides better isolation across partners if architected as a multi-tenant solution.
  • O portal de parceiros geralmente inclui outras ferramentas para parceiros além de Power BI relatórios, painéis e aplicativos.The Partner Portal often includes other tools for partner beyond Power BI reports, dashboards, and apps.

Motivos para não escolher essa alternativa:Reasons not to choose this alternative:

  • É necessário um esforço significativo para criar, operar e manter esse portal, tornando-o um investimento significativo em recursos e tempo.Significant effort is required to build, operate, and maintain such a portal making it a significant investment in resources and time.
  • O tempo de solução é muito mais longo do que usar o compartilhamento B2B, já que o planejamento cuidadoso e a execução em vários workstreams são necessários.Time to solution is much longer than using B2B sharing since careful planning and execution across multiple workstreams is required.
  • Quando há um número menor de parceiros, o esforço necessário para essa alternativa é provavelmente muito alto para justificar.Where there are a smaller number of partners the effort required for this alternative is likely too high to justify.
  • A colaboração com compartilhamento ad hoc é o principal cenário enfrentado por sua organização.Collaboration with ad-hoc sharing is the primary scenario faced by your organization.
  • Os relatórios e os painéis são diferentes para cada parceiro.The reports and dashboards are different for each partner. Essa alternativa introduz a sobrecarga de gerenciamento além de apenas compartilhar diretamente com parceiros.This alternative introduces management overhead beyond just sharing directly with Partners.

Perguntas FrequentesFAQ

A Contoso pode enviar um convite que é resgatado automaticamente, para que o usuário esteja apenas "pronto para começar"? Ou o usuário sempre precisa clicar na URL de resgate?Can Contoso send an invitation that is automatically redeemed, so that the user is just "ready to go"? Or does the user always have to click through to the redemption URL?

O usuário final sempre deve clicar na experiência de consentimento antes que possa acessar o conteúdo.The end user must always click through the consent experience before they can access content.

Se você estiver convidando muitos usuários convidados, recomendamos que você o delegue de seus administradores principais do Azure AD adicionando um usuário à função de convite do convidado na organização de recursos.If you will be inviting many guest users, we recommend that you delegate this from your core Azure AD admins by adding a user to the guest inviter role in the resource organization. Esse usuário pode convidar outros usuários na organização parceira usando a interface do usuário de entrada, scripts do PowerShell ou APIs.This user can invite other users in the partner organization by using the sign-in UI, PowerShell scripts, or APIs. Isso reduz a carga administrativa em seus administradores do Azure AD para convidar ou enviar convites a usuários na organização parceira.This reduces the administrative burden on your Azure AD admins to invite or resent invites to users at the partner organization.

A Contoso pode forçar a autenticação multifator para usuários convidados se seus parceiros não tiverem a autenticação multifator?Can Contoso force multi-factor authentication for guest users if its partners don't have multi-factor authentication?

Sim.Yes. Para obter mais informações, consulte acesso condicional para usuários de colaboração B2B.For more information, see Conditional access for B2B collaboration users.

Como funciona a colaboração B2B quando o parceiro convidado está usando a Federação para adicionar sua própria autenticação local?How does B2B collaboration work when the invited partner is using federation to add their own on-premises authentication?

Se o parceiro tiver um locatário do Azure AD federado à infraestrutura de autenticação local, o SSO (logon único) local será obtido automaticamente.If the partner has an Azure AD tenant that is federated to the on-premises authentication infrastructure, on-premises single sign-on (SSO) is automatically achieved. Se o parceiro não tiver um locatário do Azure AD, uma conta do Azure AD poderá ser criada para novos usuários.If the partner doesn't have an Azure AD tenant, an Azure AD account may be created for new users.

Posso convidar usuários convidados com contas de email do consumidor?Can I invite guest users with consumer email accounts?

O convite para usuários convidados com contas de email do consumidor tem suporte no Power BI.Inviting guest users with consumer email accounts is supported in Power BI. Isso inclui domínios como hotmail.com, outlook.com e gmail.com.This includes domains such as hotmail.com, outlook.com and gmail.com. No entanto, esses usuários podem enfrentar limitações além do que os usuários com contas corporativas ou de estudante encontram.However, those users may experience limitations beyond what users with work or school accounts encounter.