Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B

Сводка. Это технический технический документ, определяющий, как распространять содержимое пользователям за пределами организации с помощью интеграции идентификатора Microsoft Entra (ранее известного как Azure Active Directory) для бизнеса (Microsoft Entra B2B).

Писатели: Лукас Пауловски, Каспер де Йонге

Технические рецензенты: Адам Уилсон, Шенг Лю, Киан Лианг, Сергей Гандоров, Джейкоб Гримм, Адам Сакстон, Майя Шэнхав, Nimrod Shalit, Elisabeth Olson

Примечание.

Вы можете сохранить или распечатать этот документ , выбрав "Печать " в браузере, а затем нажмите кнопку "Сохранить как PDF".

Введение

Power BI предоставляет организациям 360-градусное представление о своем бизнесе и позволяет всем в этих организациях принимать интеллектуальные решения с помощью данных. Многие из этих организаций имеют сильные и доверенные отношения с внешними партнерами, клиентами и подрядчиками. Эти организации должны обеспечить безопасный доступ к панелям мониторинга и отчетам Power BI пользователям в этих внешних партнерах.

Power BI интегрируется с Microsoft Entra business-to-business (Microsoft Entra B2B), чтобы обеспечить безопасное распределение содержимого Power BI гостевым пользователям за пределами организации, сохраняя контроль и управление доступом к внутренним данным.

В этом техническом документе рассматриваются все сведения, необходимые для понимания интеграции Power BI с Microsoft Entra B2B. Мы рассмотрим наиболее распространенный вариант использования, настройку, лицензирование и безопасность на уровне строк.

Сценарии

Contoso является производителем автомобилей и работает со многими различными поставщиками, которые обеспечивают его всеми компонентами, материалами и службами, необходимыми для выполнения своих производственных операций. Компания Contoso хочет оптимизировать логистику цепочки поставок и планирует использовать Power BI для мониторинга ключевых показателей производительности своей цепочки поставок. Компания Contoso хочет предоставить общий доступ к аналитике внешних партнеров по цепочке поставок в безопасном и управляемом виде.

Компания Contoso может включить следующие возможности для внешних пользователей с помощью Power BI и Microsoft Entra B2B.

Нерегламентированный общий доступ к элементам

Компания Contoso работает с поставщиком, который создает радиаторы для автомобилей Contoso. Часто они должны оптимизировать надежность радиаторов с помощью данных со всех автомобилей Contoso. Аналитик компании Contoso использует Power BI для совместного использования отчета о надежности радиатора с инженером поставщика. Инженер получает сообщение электронной почты со ссылкой для просмотра отчета.

Как описано выше, этот нерегламентированный общий доступ осуществляется бизнес-пользователями по мере необходимости. Ссылка, отправленная Power BI внешним пользователем, — это ссылка на приглашение Microsoft Entra B2B. Когда внешний пользователь открывает ссылку, им предлагается присоединиться к организации Microsoft Entra Contoso в качестве гостевого пользователя. После принятия приглашения ссылка открывает определенный отчет или панель мониторинга. Администратор Microsoft Entra делегирует разрешение на приглашение внешних пользователей в организацию и выбирает, что эти пользователи могут сделать после принятия приглашения, как описано в разделе управления этого документа. Аналитик Contoso может пригласить гостевого пользователя только потому, что администратор Microsoft Entra разрешил это действие, а администратор Power BI разрешил пользователям приглашать гостей просматривать содержимое в параметрах клиента Power BI.

1. Процесс начинается с внутреннего пользователя Contoso, совместного использования панели мониторинга или отчета с внешним пользователем. Если внешний пользователь еще не является гостем в идентификаторе Microsoft Entra Contoso, он приглашен. Сообщение электронной почты отправляется по адресу электронной почты, включающее приглашение на идентификатор Microsoft Entra Contoso.
2. Получатель принимает приглашение на идентификатор Microsoft Entra Contoso и добавляется в качестве гостевого пользователя в идентификатор Microsoft Entra Contoso.
3. Затем получатель перенаправляется на панель мониторинга, отчет или приложение Power BI.

Этот процесс считается нерегламентированным, так как бизнес-пользователи в Contoso выполняют действия приглашения, как это необходимо для их бизнес-целей. Каждый элемент является одной ссылкой, к которой может получить доступ внешний пользователь для просмотра содержимого.

Когда внешний пользователь был приглашен на доступ к ресурсам Contoso, для них может быть создана теневая учетная запись в идентификаторе Microsoft Entra Contoso, и им не нужно снова приглашать. При первом попытке получить доступ к ресурсу Contoso, например панели мониторинга Power BI, они проходят процесс согласия, который активирует приглашение. Если они не завершают согласие, они не могут получить доступ к содержимому Компании Contoso. Если у них возникли проблемы с активацией приглашения с помощью исходной ссылки, администратор Microsoft Entra может повторно отправить определенную ссылку приглашения для активации.

Запланированный общий доступ к элементам

Компания Contoso работает с субподрядчиком для выполнения анализа надежности радиаторов. Субподрядчик имеет команду из 10 человек, которым требуется доступ к данным в среде Contoso Power BI. Администратор Microsoft Entra contoso участвует в приглашении всех пользователей и обработке любых добавлений и изменений в качестве персонала при изменении субподрядчика. Администратор Microsoft Entra создает группу безопасности для всех сотрудников в субподрядчике. Используя группу безопасности, сотрудники Компании Contoso могут легко управлять доступом к отчетам и гарантировать, что все необходимые сотрудники субподрядчика имеют доступ ко всем необходимым отчетам, панелям мониторинга и приложениям Power BI. Администратор Microsoft Entra также может избежать участия в процессе приглашения в целом, выбрав делегировать права приглашения доверенному сотруднику компании Contoso или в субподрядчике, чтобы обеспечить своевременное управление персоналом.

Некоторые организации требуют больше контроля над добавлением внешних пользователей, приглашают многих пользователей во внешнюю организацию или многие внешние организации. В таких случаях запланированный общий доступ можно использовать для управления масштабом общего доступа, применения политик организации и даже делегирования прав доверенным лицам для приглашения внешних пользователей и управления ими. Microsoft Entra B2B поддерживает запланированные приглашения для отправки непосредственно из портал Azure ИТ-администратором или с помощью PowerShell с помощью API диспетчера приглашений, где набор пользователей может быть приглашен в одном действии. Используя подход запланированных приглашений, организация может контролировать, кто может приглашать пользователей и реализовывать процессы утверждения. Расширенные возможности Microsoft Entra, такие как динамические группы, позволяют легко поддерживать членство в группах безопасности автоматически.

1. Процесс начинается с ИТ-администратора, приглашающего гостевого пользователя вручную или через API, предоставленный идентификатором Microsoft Entra.
2. Пользователь принимает приглашение в организацию.
3. После принятия приглашения пользователь в Power BI может предоставить общий доступ к отчету или панели мониторинга внешнему пользователю или группе безопасности. Как и при регулярном совместном использовании в Power BI, внешний пользователь получает сообщение электронной почты со ссылкой на элемент.
4. Когда внешний пользователь обращается к ссылке, их проверка подлинности в каталоге передается в идентификатор Microsoft Entra Contoso и используется для получения доступа к содержимому Power BI.

Нерегламентированный или запланированный общий доступ к приложениям Power BI

Компания Contoso имеет набор отчетов и панелей мониторинга, которыми они должны поделиться с одним или несколькими поставщиками. Чтобы обеспечить доступ всех необходимых внешних пользователей к этому содержимому, он упаковается в виде приложения Power BI. Внешние пользователи добавляются непосредственно в список доступа к приложению или через группы безопасности. Затем кто-то в Contoso отправляет URL-адрес приложения всем внешним пользователям, например в сообщении электронной почты. Когда внешние пользователи открывают ссылку, они видят все содержимое в одном простом интерфейсе навигации.

Использование приложения Power BI упрощает создание портала бизнес-аналитики для своих поставщиков. Единый список доступа управляет доступом ко всем требуемым содержимому, что сокращает время, проверка проверка разрешения на уровне элементов. Microsoft Entra B2B поддерживает доступ к безопасности с помощью собственного удостоверения поставщика, чтобы пользователи не нуждались в дополнительных учетных данных входа. При использовании запланированных приглашений с группами безопасности управление доступом к приложению в качестве персонала, вращающегося или выходного из проекта, упрощается. Членство в группах безопасности вручную или с помощью динамических групп, чтобы все внешние пользователи из поставщика автоматически добавлялись в соответствующую группу безопасности.

1. Процесс начинается с приглашения пользователя в организацию Microsoft Entra Contoso через портал Azure или PowerShell.
2. Пользователь может быть добавлен в группу пользователей в идентификаторе Microsoft Entra. Можно использовать статическую или динамическую группу пользователей, но динамические группы помогают сократить работу вручную.
3. Внешние пользователи получают доступ к приложению Power BI через группу пользователей. URL-адрес приложения должен быть отправлен непосредственно внешнему пользователю или размещен на сайте, к который у него есть доступ. Power BI делает все возможное для отправки сообщения электронной почты со ссылкой на приложение внешним пользователям, но при использовании групп пользователей, членство которых может измениться, Power BI не может отправлять всем внешним пользователям, управляемым с помощью групп пользователей.
4. Когда внешний пользователь обращается к URL-адресу приложения Power BI, он проходит проверку подлинности с помощью идентификатора Microsoft Entra Contoso, приложение устанавливается для пользователя, а пользователь может видеть все содержащиеся отчеты и панели мониторинга в приложении.

Приложения также имеют уникальную функцию, которая позволяет авторам приложений автоматически устанавливать приложение для пользователя, поэтому оно доступно при входе пользователя. Эта функция устанавливается автоматически для внешних пользователей, которые уже являются частью организации Contoso в то время, когда приложение публикуется или обновляется. Таким образом, он лучше всего используется с запланированными приглашениями и зависит от приложения, публикуемого или обновляемого после добавления пользователей в идентификатор Microsoft Entra Contoso. Внешние пользователи всегда могут установить приложение с помощью ссылки на приложение.

Комментарии и подписка на содержимое в разных организациях

Поскольку Компания Contoso продолжает работать со своими субподрядчиками или поставщиками, внешние инженеры должны тесно сотрудничать с аналитиками Компании Contoso. Power BI предоставляет несколько функций совместной работы, которые помогают пользователям обмениваться данными о содержимом, которое они могут использовать. Примечания на панели мониторинга (и скорое комментирование отчетов) позволяют пользователям обсуждать точки данных, которые они видят и взаимодействуют с авторами отчетов, чтобы задать вопросы.

В настоящее время внешние гостевые пользователи могут участвовать в комментариях, оставляя комментарии и читая ответы. Однако, в отличие от внутренних пользователей, гостевые пользователи не могут быть @mentioned и не получают уведомления о том, что они получили комментарий. Гостевые пользователи могут использовать функцию подписок в Power BI для подписки на отчет или панель мониторинга. Дополнительные сведения о подписках электронной почты для отчетов и панелей мониторинга см. в служба Power BI.

Доступ к содержимому в мобильных приложениях Power BI

Когда гостевой пользователь открывает ссылку на отчет или панель мониторинга на мобильном устройстве, содержимое откроется в собственных мобильных приложениях Power BI на своем устройстве, если они установлены. Затем гостевой пользователь сможет перемещаться между контентом, общим с ним в внешнем клиенте, а затем вернуться к собственному содержимому из своего домашнего клиента. Дополнительные сведения о доступе к содержимому, к которому вы предоставили доступ из внешней организации через мобильные приложения Power BI, см. в статье Просмотр содержимого Power BI, доступ к которому предоставлен вам из внешней организации.

Связи организации с помощью Power BI и Microsoft Entra B2B

Если все пользователи Power BI являются внутренними для организации, вам не нужно использовать Microsoft Entra B2B. Однако как только две или несколько организаций хотят совместно работать с данными и аналитическими сведениями, поддержка Power BI для Microsoft Entra B2B упрощает и экономически эффективную работу.

Ниже обычно встречаются организационные структуры, которые хорошо подходят для совместной работы microsoft Entra B2B в Power BI. Microsoft Entra B2B хорошо работает в большинстве случаев, но в некоторых ситуациях общие альтернативные подходы, описанные в конце этого документа, стоит рассмотреть.

Вариант 1. Прямая совместная работа между организациями

Связь Contoso с поставщиком радиатора является примером прямого сотрудничества между организациями. Так как в Contoso и его поставщике есть относительно мало пользователей, которым требуется доступ к сведениям о надежности радиатора, использование внешнего общего доступа на основе Microsoft Entra B2B идеально подходит. Легко использовать и просто администрировать. Это также распространенный шаблон в консультационных службах, где консультанту может потребоваться создать содержимое для организации.

Как правило, этот общий доступ изначально используется с помощью специального общего доступа к элементам. Однако по мере увеличения или углубления связей команды подход к совместному использованию элементов становится предпочтительным способом снижения затрат на управление. Кроме того, нерегламентированный или запланированный общий доступ к приложениям Power BI, комментариям и подписке на содержимое в разных организациях, доступ к контенту в мобильных приложениях также может вступить в игру. Важно отметить, что если у пользователей обеих организаций есть лицензии Power BI Pro в соответствующих организациях, они могут использовать эти лицензии Pro в средах Power BI друг друга. Это обеспечивает выгодное лицензирование, так как приглашающей организации может не потребоваться платить за лицензию Power BI Pro для внешних пользователей. Это подробно описано в разделе "Лицензирование" далее в этом документе.

Дело 2. Родитель и ее дочерние компании или филиалы

Некоторые структуры организации являются более сложными, включая частично или полностью принадлежащие дочерние компании, дочерние компании или отношения с управляемыми поставщиками услуг. У этих организаций есть родительская организация, например холдинговая компания, но базовые организации работают полуавтономно, иногда в соответствии с различными региональными требованиями. Это приводит к тому, что каждая организация имеет собственную среду Microsoft Entra и отдельные клиенты Power BI.

В этой структуре родительская организация обычно должна распространять стандартизированные аналитические сведения в своих дочерних компаниях. Как правило, этот общий доступ используется с помощью специального или запланированного общего доступа к Приложениям Power BI, как показано на следующем рисунке, так как он позволяет распространять стандартизированное авторитетное содержимое для широкой аудитории. На практике используется сочетание всех сценариев, упоминание приведенных ранее в этом документе.

Ниже приведен следующий процесс:

1. Пользователи из каждой дочерней компании приглашены на идентификатор Microsoft Entra Contoso
2. Затем приложение Power BI публикуется, чтобы предоставить этим пользователям доступ к необходимым данным
3. Наконец, пользователи открывают приложение по ссылке, которую они получили, чтобы просмотреть отчеты

В этой структуре сталкиваются несколько важных проблем, с которыми сталкиваются организации:

• Распространение ссылок на содержимое в Power BI родительской организации
• Как разрешить дочерним пользователям получать доступ к источнику данных, размещенного родительской организацией

Распространение ссылок на содержимое в Power BI родительской организации

Три подхода часто используются для распространения ссылок на содержимое. Первым и самым основным является отправка ссылки на приложение необходимым пользователям или его размещение на сайте SharePoint Online, с которого его можно открыть. Затем пользователи могут закладывать ссылку в своих браузерах для быстрого доступа к нужным данным.

Второй подход заключается в том, что родительская организация позволяет пользователям из дочерних компаний получать доступ к его Power BI и элементам управления, к которым они могут получить доступ через разрешение. Это дает доступ к главная страница Power BI, где пользователь из дочерней компании видит полный список содержимого, доступного для них, в клиенте родительской организации. Затем URL-адрес среды Power BI родительской организации предоставляется пользователям дочерних компаний.

Последний подход использует приложение Power BI, созданное в клиенте Power BI для каждой дочерней компании. Приложение Power BI включает панель мониторинга с плитками, настроенными с параметром внешней связи. Когда пользователь нажимает плитку, они передаются в соответствующий отчет, панель мониторинга или приложение в Power BI родительской организации. Этот подход имеет дополнительное преимущество, что приложение может быть установлено автоматически для всех пользователей в дочерней компании и доступно для них при входе в собственную среду Power BI. Дополнительным преимуществом этого подхода является то, что он хорошо работает с мобильными приложениями Power BI, которые могут открывать ссылку в собственном коде. Это также можно объединить со вторым подходом, чтобы упростить переключение между средами Power BI.

Разрешение дочерним пользователям получать доступ к источникам данных, размещенным родительской организацией

Часто аналитики дочерней компании должны создавать собственную аналитику с помощью данных, предоставленных родительской организацией. В этом случае часто облачные источники данных используются для решения проблемы.

Первый подход использует Службы Azure Analysis Services для создания хранилища данных корпоративного класса, который служит потребностям аналитиков в родительских и ее дочерних компаниях, как показано на следующем рисунке. Компания Contoso может размещать данные и использовать такие возможности, как безопасность на уровне строк, чтобы гарантировать пользователям в каждой дочерней компании доступ только к своим данным. Аналитики каждой организации могут получить доступ к хранилищу данных через Power BI Desktop и опубликовать результирующий анализ в соответствующих клиентах Power BI.

Второй подход использует База данных SQL Azure для создания реляционного хранилища данных для предоставления доступа к данным. Это работает аналогично подходу Служб Azure Analysis Services, хотя некоторые возможности, такие как безопасность на уровне строк, могут быть сложнее развертывать и поддерживать в дочерних компаниях.

Более сложные подходы также возможны, однако приведенные выше на сегодняшний день наиболее распространенные.

Вариант 3. Общая среда для партнеров

Contoso может вступить в партнерство с конкурентом, чтобы совместно построить автомобиль на общей линии сборки, но распространить автомобиль под различными брендами или в разных регионах. Для этого требуется обширная совместная работа и совместное владение данными, аналитикой и аналитикой в разных организациях. Эта структура также распространена в отрасли консультационных услуг, где команда консультантов может выполнять аналитику на основе проектов для клиента.

На практике эти структуры являются сложными, как показано на следующем изображении, и требуют обслуживания персонала. Чтобы быть эффективным, организации могут повторно использовать лицензии Power BI Pro, приобретенные для соответствующих клиентов Power BI.

Чтобы установить общий клиент Power BI, необходимо создать идентификатор Microsoft Entra, а для этого клиента необходимо приобрести по крайней мере одну учетную запись пользователя Power BI Pro. Этот пользователь приглашает необходимых пользователей в общую организацию. Важно, что в этом сценарии пользователи Contoso рассматриваются как внешние пользователи при работе в Power BI общей организации.

Применяется следующая обработка.

1. Общая организация устанавливается в качестве нового идентификатора Microsoft Entra, а в новом клиенте создается по крайней мере одна учетная запись пользователя. Этот пользователь должен назначить им лицензию Power BI Pro.
2. Затем этот пользователь устанавливает клиент Power BI и приглашает необходимых пользователей из Contoso и партнерской организации. Пользователь также устанавливает все общие ресурсы данных, такие как Службы Azure Analysis Services. Пользователи Contoso и партнера могут получить доступ к Power BI общей организации в качестве гостевых пользователей. Как правило, все общие ресурсы хранятся и получают доступ к ним из общей организации.
3. В зависимости от того, как стороны согласны сотрудничать, каждая организация может разрабатывать собственные собственные данные и аналитику с помощью общих ресурсов хранилища данных. Они могут распространять их соответствующим внутренним пользователям с помощью своих внутренних клиентов Power BI.

Случай 4. Распределение по сотням или тысячам внешних партнеров

В то время как Компания Contoso создала отчет о надежности радиатора для одного поставщика, теперь Компания Contoso хочет создать набор стандартных отчетов для сотен поставщиков. Это позволяет Компании Contoso обеспечить, чтобы все поставщики имели аналитику, необходимую для улучшения или исправления производственных дефектов.

Если организации необходимо распространить стандартизированные данные и аналитические сведения для многих внешних пользователей или организаций, они могут использовать специальный или запланированный общий доступ к сценариям Power BI Apps для быстрого и без обширных затрат на разработку портала бизнес-аналитики. Процесс создания такого портала с помощью приложения Power BI рассматривается в руководстве по созданию портала бизнес-аналитики с помощью Power BI + Microsoft Entra B2B . Пошаговые инструкции далее в этом документе.

Распространенный вариант этого случая заключается в том, что организация пытается поделиться аналитическими сведениями с потребителями, особенно при попытке использовать Azure Active Directory B2C с Power BI. Power BI изначально не поддерживает Azure Active Directory B2C. Если вы оцениваете варианты для этого случая, рассмотрите возможность использования альтернативного варианта 2 в общем альтернативном подходе к разделу далее в этом документе.

Пример. Создание портала бизнес-аналитики с помощью Power BI + Microsoft Entra B2B — пошаговые инструкции

Интеграция Power BI с Microsoft Entra B2B обеспечивает компании Contoso удобный и бесплатный способ предоставления гостевым пользователям безопасного доступа к порталу бизнес-аналитики. Компания Contoso может настроить эту настройку с помощью трех шагов:

1. Создание портала бизнес-аналитики в Power BI

   Первая задача компании Contoso — создать портал бизнес-аналитики в Power BI. Портал бизнес-аналитики Contoso будет состоять из коллекции специально созданных панелей мониторинга и отчетов, которые будут доступны многим внутренним и гостевым пользователям. Рекомендуемый способ сделать это в Power BI — создать приложение Power BI. Дополнительные сведения о приложениях в Power BI.

• Команда бизнес-аналитики Компании Contoso создает рабочую область в Power BI

  

• Другие авторы добавляются в рабочую область

  

• Содержимое создается в рабочей области

  

  Теперь, когда содержимое создается в рабочей области, Компания Contoso готова пригласить гостевых пользователей в партнерских организациях для использования этого содержимого.

2. Приглашение гостевых пользователей

   В Power BI можно пригласить гостевых пользователей на портал бизнес-аналитики в Power BI двумя способами:

   • Запланированные приглашения
   • Нерегламентированные приглашения

   Запланированные приглашения

   В этом подходе Компания Contoso приглашает гостевых пользователей в microsoft Entra заранее, а затем передает им содержимое Power BI. Contoso может приглашать гостевых пользователей из портал Azure или с помощью PowerShell. Ниже приведены шаги по приглашению гостевых пользователей из портал Azure:

   • Администратор Microsoft Entra Contoso переходит к портал Azure> Microsoft Entra ID>Users>All users>New guest user

   

   • Добавьте приглашение для гостевых пользователей и выберите "Пригласить"

   

   Примечание.

   Чтобы пригласить гостевых пользователей из портал Azure, вам потребуется администратор Microsoft Entra для вашего клиента.

   Если компания Contoso хочет пригласить многих гостевых пользователей, они могут сделать это с помощью PowerShell. Администратор Microsoft Entra Contoso хранит адреса электронной почты всех гостевых пользователей в CSV-файле. Ниже приведены код совместной работы Microsoft Entra B2B и примеры PowerShell и инструкции.

   После приглашения гостевые пользователи получают сообщение электронной почты со ссылкой на приглашение.

   

   После выбора ссылки гостевые пользователи могут получить доступ к содержимому в клиенте Contoso Microsoft Entra.

   Примечание.

   Можно изменить макет сообщения электронной почты приглашения с помощью функции фирменной символики Идентификатора Microsoft Entra, как описано здесь.

   Нерегламентированные приглашения

   Что делать, если Contoso не знает всех гостевых пользователей, которые он хочет пригласить заранее? Или что делать, если аналитик компании Contoso, создавший портал бизнес-аналитики, хочет распространить содержимое для гостевых пользователей самостоятельно? Мы также поддерживаем этот сценарий в Power BI с нерегламентированными приглашениями.

   Аналитик может просто добавить внешних пользователей в список доступа приложения при его публикации. Гостевые пользователи получают приглашение и после того, как они принимают его, они автоматически перенаправляются на содержимое Power BI.

   

   Примечание.

   Приглашения требуются только при первом приглашении внешнего пользователя в вашу организацию.

3. Распространить содержимое

   Теперь, когда группа бизнес-аналитики Contoso создала портал бизнес-аналитики и пригласила гостевых пользователей, они могут распространять свой портал своим конечным пользователям, предоставляя гостевым пользователям доступ к приложению и публикуя его. Power BI автоматически заполняет имена гостевых пользователей, которые ранее были добавлены в клиент Contoso. На этом этапе можно добавить приглашения других гостевых пользователей.

   Примечание.

   При использовании групп безопасности для управления доступом к приложению для внешних пользователей используйте подход запланированных приглашений и поделитесь ссылкой приложения непосредственно с каждым внешним пользователем, который должен получить к нему доступ. В противном случае внешний пользователь может не иметь возможности устанавливать или просматривать содержимое из app._

   Гостевые пользователи получают сообщение электронной почты со ссылкой на приложение.

   

   Щелкнув эту ссылку, гостевым пользователям предлагается пройти проверку подлинности с помощью удостоверения своей организации.

   

   После успешной проверки подлинности они перенаправляются в приложение бизнес-аналитики Компании Contoso.

   

   Гостевые пользователи могут позже перейти к приложению Contoso, щелкнув ссылку в сообщении электронной почты или закладок по ссылке. Компания Contoso также может упростить работу гостевых пользователей, добавив эту ссылку на любой существующий портал экстрасети, который уже использует гостевые пользователи.

4. Следующие шаги

   С помощью приложения Power BI и Microsoft Entra B2B Contoso удалось быстро создать портал бизнес-аналитики для своих поставщиков без кода. Это значительно упрощает распространение стандартизированной аналитики всем поставщикам, которым он нужен.

   Хотя в примере показано, как можно распределить один общий отчет между поставщиками, Power BI может идти гораздо дальше. Чтобы гарантировать, что каждый партнер видит только данные, относящиеся к себе, безопасность на уровне строк может быть легко добавлена в отчет и модель данных. В разделе "Безопасность данных для внешних партнеров" далее в этом документе подробно описывается этот процесс.

   Часто отдельные отчеты и панели мониторинга должны быть внедрены на существующий портал. Это также можно сделать, повторно используя многие методы, показанные в примере. Однако в таких ситуациях может быть проще внедрить отчеты или панели мониторинга непосредственно из рабочей области. Процесс приглашения и назначения разрешения на безопасность требуемым пользователям остается неизменным.

Под капотом: как Люси из Поставщика1 может получить доступ к содержимому Power BI из клиента Contoso?

Теперь, когда мы видели, как Contoso может легко распространять содержимое Power BI гостевым пользователям в партнерских организациях, давайте рассмотрим, как это работает под капотом.

Когда Компания Contoso пригласила lucy@supplier1.com в свой каталог, идентификатор Microsoft Entra создает связь между Lucy@supplier1.com клиентом Contoso Microsoft Entra. Эта ссылка позволяет Идентификатору Microsoft Entra знать, что Lucy@supplier1.com может получить доступ к содержимому в клиенте Contoso.

Когда Люси пытается получить доступ к приложению Power BI Компании Contoso, идентификатор Microsoft Entra проверяет, что Lucy может получить доступ к клиенту Contoso, а затем предоставляет маркер Power BI, указывающий, что Люси проходит проверку подлинности для доступа к содержимому в клиенте Contoso. Power BI использует этот маркер для авторизации и обеспечения доступа Люси к приложению Power BI Компании Contoso.

Интеграция Power BI с Microsoft Entra B2B работает со всеми бизнес-адресами электронной почты. Если у пользователя нет удостоверения Microsoft Entra, может потребоваться создать его. На следующем рисунке показан подробный поток:

Важно признать, что учетная запись Microsoft Entra будет использоваться или создана в идентификаторе Microsoft Entra внешних сторон, это позволит Люси использовать свое имя пользователя и пароль, и их учетные данные будут автоматически перестать работать в других клиентах, когда Люси покидает компанию, когда их организация также использует идентификатор Microsoft Entra.

Лицензирование

Компания Contoso может выбрать один из трех подходов к лицензирование гостевых пользователей от своих поставщиков и партнерских организаций, чтобы получить доступ к содержимому Power BI.

Примечание.

Бесплатный уровень Microsoft Entra B2B достаточно для использования Power BI с Microsoft Entra B2B. Для некоторых расширенных функций Microsoft Entra B2B, таких как динамические группы, требуется дополнительное лицензирование. Дополнительные сведения см. в документации по Microsoft Entra B2B.

Подход 1. Компания Contoso использует Power BI Premium

Благодаря этому подходу Компания Contoso приобретает емкость Power BI Premium и назначает содержимое портала бизнес-аналитики этой емкости. Это позволяет гостевым пользователям из партнерских организаций получать доступ к приложению Power BI Contoso без каких-либо лицензий Power BI.

Внешние пользователи также применяются только к возможностям использования, предлагаемым пользователям "Бесплатный" в Power BI при использовании содержимого в Power BI Premium.

Компания Contoso также может воспользоваться другими возможностями Power BI premium для своих приложений, таких как увеличение частоты обновления, емкость и большие размеры моделей.

Подход 2. Компания Contoso назначает лицензии Power BI Pro гостевым пользователям

С помощью этого подхода Contoso назначает гостевым пользователям гостевых организаций лицензии от партнерских организаций. Это можно сделать из Центр администрирования Microsoft 365 Contoso. Это позволяет гостевым пользователям из партнерских организаций получать доступ к приложению Contoso Power BI без приобретения лицензии. Это может быть уместно для совместного использования с внешними пользователями, организация которых еще не приняла Power BI.

Примечание.

Лицензия Contoso pro применяется к гостевым пользователям только при доступе к содержимому в клиенте Contoso. Лицензии Pro обеспечивают доступ к содержимому, который не входит в емкость Power BI Premium.

Подход 3. Гостевые пользователи получают собственную лицензию Power BI Pro

Благодаря этому подходу поставщик 1 назначает лицензию Power BI Pro Люси. Затем они могут получить доступ к приложению Power BI Компании Contoso с этой лицензией. Так как Люси может использовать свою лицензию Pro из своей организации при доступе к внешней среде Power BI, этот подход иногда называется собственной лицензией (BYOL). Если обе организации используют Power BI, это предлагает выгодное лицензирование для общего решения аналитики и сокращает затраты на назначение лицензий внешним пользователям.

Примечание.

Лицензия pro, предоставленная Lucy поставщиком 1, применяется к любому клиенту Power BI, где Люси является гостевым пользователем. Лицензии Pro обеспечивают доступ к содержимому, который не входит в емкость Power BI Premium.

Безопасность данных для внешних партнеров

Обычно при работе с несколькими внешними поставщиками Компания Contoso должна убедиться, что каждый поставщик видит данные только о своих продуктах. Безопасность на основе пользователей и динамическая безопасность на уровне строк упрощают выполнение с помощью Power BI.

Безопасность на основе пользователей

Одним из самых мощных функций Power BI является безопасность на уровне строк. Эта функция позволяет Компании Contoso создавать один отчет и семантические модели (ранее известные как набор данных), но по-прежнему применять разные правила безопасности для каждого пользователя. Подробное описание см. в разделе "Безопасность на уровне строк" (RLS).

Интеграция Power BI с Microsoft Entra B2B позволяет Contoso назначать гостевым пользователям правила безопасности на уровне строк, как только они приглашены в клиент Contoso. Как мы ранее видели, Contoso может добавлять гостевых пользователей с помощью запланированных или нерегламентированных приглашений. Если Компания Contoso хочет обеспечить безопасность на уровне строк, настоятельно рекомендуется использовать запланированные приглашения, чтобы добавить гостевых пользователей заранее и назначить их ролям безопасности перед предоставлением общего доступа к содержимому. Если компания Contoso вместо этого использует нерегламентированные приглашения, может потребоваться короткий период времени, когда гостевые пользователи не смогут просматривать данные.

Примечание.

Эта задержка в доступе к данным, защищенным RLS при использовании нерегламентированных приглашений, может привести к запросам на поддержку ит-команде, так как пользователи увидят пустые или сломанные отчеты или панели мониторинга при открытии ссылки на общий доступ по электронной почте, которую они получают. Поэтому настоятельно рекомендуется использовать запланированные приглашения в этом сценарии.

Рассмотрим этот пример.

Как упоминание ранее, Contoso имеет поставщиков по всему миру, и они хотят убедиться, что пользователи из своих организаций поставщиков получают аналитические сведения из данных только с их территории. Но пользователи из Contoso могут получить доступ ко всем данным. Вместо создания нескольких различных отчетов Contoso создает один отчет и фильтрует данные на основе просмотра пользователем.

Чтобы убедиться, что Компания Contoso может фильтровать данные на основе подключения, в Power BI Desktop создаются две роли. Один для фильтрации всех данных из SalesTerritory "Европа" и другого для "Северная Америка".

Каждый раз, когда роли определены в отчете, пользователю необходимо назначить определенную роль, чтобы получить доступ к любым данным. Назначение ролей происходит внутри служба Power BI (безопасность семантических моделей>).

Откроется страница, на которой группа бизнес-аналитики Contoso может видеть две созданные роли. Теперь команда бизнес-аналитики Contoso может назначать пользователей ролям.

В примере Contoso добавляет пользователя в партнерской организации с адресом admin@fabrikam.com электронной почты в роль Европы:

При разрешении с помощью идентификатора Microsoft Entra Contoso отображается имя, отображаемое в окне, готовое к добавлению:

Теперь, когда этот пользователь открывает приложение, которое было предоставлено им совместно, они видят только отчет с данными из Европы:

Безопасность динамического уровня строк

Еще одна интересная тема заключается в том, как динамическая безопасность на уровне строк (RLS) работает с Microsoft Entra B2B.

Короче говоря, безопасность динамического уровня строк работает путем фильтрации данных в модели на основе имени пользователя, подключающегося к Power BI. Вместо добавления нескольких ролей для групп пользователей вы определяете пользователей в модели. Здесь мы не будем подробно описывать шаблон. Kasper de Jong предлагает подробные сведения о всех вариантах безопасности на уровне строк в динамическом памятке по безопасности Power BI Desktop, и в этом техническом документе .

Рассмотрим небольшой пример: Contoso содержит простой отчет о продажах по группам:

Теперь этот отчет должен быть предоставлен совместно двумя гостевыми пользователями и внутренним пользователем — внутренний пользователь может видеть все, но гостевые пользователи могут видеть только группы, к которым у них есть доступ. Это означает, что необходимо отфильтровать данные только для гостевых пользователей. Чтобы отфильтровать данные соответствующим образом, Contoso использует шаблон Dynamic RLS, как описано в техническом документе и записи блога. Это означает, что Contoso добавляет имена пользователей в сами данные:

Затем Компания Contoso создает правильную модель данных, которая фильтрует данные соответствующим образом с правильными связями:

Чтобы автоматически отфильтровать данные на основе того, кто вошел в систему, contoso необходимо создать роль, которая передает пользователя, который подключается. В этом случае Компания Contoso создает две роли— первая — это "securityrole", которая фильтрует таблицу "Пользователи" с текущим именем пользователя, вошедшего в Power BI (это работает даже для гостевых пользователей Microsoft Entra B2B).

Компания Contoso также создает еще один элемент AllRole для своих внутренних пользователей, которые могут видеть все. Эта роль не имеет предиката безопасности.

После отправки файла Power BI Desktop в службу contoso можно назначить гостевым пользователям "SecurityRole" и внутренним пользователям allRole

Теперь, когда гостевые пользователи открывают отчет, они видят только продажи из группы A:

В матрице справа вы увидите результат функции USERNAME() и USERPRINCIPALNAME() и возвращают адрес электронной почты гостевых пользователей.

Теперь внутренний пользователь получает, чтобы просмотреть все данные:

Как видно, Dynamic RLS работает как с внутренними, так и с гостевыми пользователями.

Примечание.

Этот сценарий также работает при использовании модели в Службах Azure Analysis Services. Обычно служба Анализа Azure подключена к тому же идентификатору Microsoft Entra, что и Power BI. В этом случае службы Azure Analysis Services также знают гостевых пользователей, приглашенных через Microsoft Entra B2B.

Подключение в локальные источники данных

Power BI предоставляет возможность использования локальных источников данных, таких как SQL Server Analysis Services или SQL Server непосредственно благодаря локальному шлюзу данных. Вы даже можете войти в эти источники данных с теми же учетными данными, что и в Power BI.

Примечание.

При установке шлюза для подключения к клиенту Power BI необходимо использовать пользователя, созданного в клиенте. Внешние пользователи не могут установить шлюз и подключить его к tenant._

Для внешних пользователей это может быть сложнее, так как внешние пользователи обычно не известны локальному AD. Power BI предлагает обходное решение для этого, позволяя администраторам Contoso сопоставить внешние имена пользователей с внутренними именами пользователей, как описано в разделе "Управление источником данных " Службы Analysis Services". Например, lucy@supplier1.com можно сопоставить с lucy_supplier1_com#EXT@contoso.com.

Этот метод хорошо подходит, если у Contoso есть только несколько пользователей или contoso может сопоставить всех внешних пользователей с одной внутренней учетной записью. Для более сложных сценариев, когда каждому пользователю нужны собственные учетные данные, существует более сложный подход, использующий настраиваемые атрибуты AD для выполнения сопоставления, как описано в разделе "Управление источником данных " Службы Analysis Services". Это позволит администратору Contoso определить сопоставление для каждого пользователя в идентификаторе Microsoft Entra (также внешних пользователей B2B). Эти атрибуты можно задать с помощью объектной модели AD с помощью скриптов или кода, чтобы Компания Contoso полностью автоматизировала сопоставление при приглашении или в запланированной каденции.

Система управления

Дополнительные параметры идентификатора Microsoft Entra, влияющие на возможности Power BI, связанные с Microsoft Entra B2B

При использовании общего доступа Microsoft Entra B2B администратор Microsoft Entra управляет аспектами взаимодействия внешнего пользователя. Они управляются на странице параметров внешней совместной работы в параметрах идентификатора Microsoft Entra для вашего клиента.

Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Примечание.

По умолчанию разрешения гостевых пользователей имеют ограниченное значение "Да", поэтому гостевые пользователи в Power BI имеют ограниченный интерфейс, особенно окруженный общим доступом, где пользовательские интерфейсы выбора пользователей не работают для этих пользователей. Важно работать с администратором Microsoft Entra, чтобы задать для него значение No, как показано ниже, чтобы обеспечить хороший интерфейс.

Управление приглашениями гостей

Администраторы Power BI могут управлять внешним общим доступом только для Power BI, перейдя на портал администрирования Power BI. Но администраторы также могут управлять внешним общим доступом с различными политиками Microsoft Entra. Эти политики позволяют администраторам:

• Отключение приглашений конечными пользователями
• приглашать могут только администраторы и пользователи с ролью Guest Inviter;
• приглашать могут администраторы и участники роли Guest Inviter;
• приглашать могут все пользователи, включая гостей.

Дополнительные сведения об этих политиках см. в приглашениях делегатов для совместной работы Microsoft Entra B2B.

Все действия Power BI внешними пользователями также проверяются на портале аудита.

Политики условного доступа для гостевых пользователей

Компания Contoso может применять политики условного доступа для гостевых пользователей, которые получают доступ к содержимому из клиента Contoso. Подробные инструкции см. в разделе "Условный доступ" для пользователей совместной работы B2B.

Распространенные альтернативные подходы

Хотя Microsoft Entra B2B упрощает совместное использование данных и отчетов между организациями, существует несколько других подходов, которые часто используются и могут быть более эффективными в некоторых случаях.

Альтернативный вариант 1. Создание повторяющихся удостоверений для пользователей партнеров

С помощью этого параметра Contoso пришлось вручную создавать повторяющиеся удостоверения для каждого пользователя партнера в клиенте Contoso, как показано на следующем рисунке. Затем в Power BI Компания Contoso может предоставить доступ к назначенным удостоверениям соответствующих отчетов, панелей мониторинга или приложений.

Причины выбора этой альтернативы:

• Так как удостоверение пользователя контролируется вашей организацией, любая связанная служба, например электронная почта, SharePoint и т. д., также находятся под контролем вашей организации. ИТ-Администратор istrator может сбрасывать пароли, отключать доступ к учетным записям или выполнять аудит действий в этих службах.
• Пользователи, использующие личная учетная запись для своего бизнеса, часто ограничены доступом к определенным службам, поэтому может потребоваться учетная запись организации.
• Некоторые службы работают только над пользователями вашей организации. Например, использование Intune для управления содержимым на личных или мобильных устройствах внешних пользователей с помощью Microsoft Entra B2B может оказаться невозможным.

Причины не выбрать этот вариант:

• Пользователи из партнерских организаций должны помнить два набора учетных данных— один для доступа к содержимому из своей организации, а другой — для доступа к содержимому из Contoso. Это смешно для этих гостевых пользователей, и многие гостевые пользователи запутаются в этом интерфейсе.
• Компания Contoso должна приобрести и назначить лицензии на пользователя этим пользователям. Если пользователю нужно получать электронную почту или использовать приложения office, им нужны соответствующие лицензии, включая Power BI Pro для редактирования и совместного использования содержимого в Power BI.
• Contoso может потребоваться применить более строгие политики авторизации и управления для внешних пользователей по сравнению с внутренними пользователями. Чтобы добиться этого, Компании Contoso необходимо создать собственный nomenclature для внешних пользователей, а все пользователи Contoso должны быть образованными об этой номенклатуре.
• Когда пользователь покидает свою организацию, он продолжает получать доступ к ресурсам Contoso, пока администратор Contoso вручную не удаляет свою учетную запись.
• Администраторы Contoso должны управлять удостоверением для гостя, включая создание, сброс паролей и т. д.

Альтернативный вариант 2. Создание пользовательского приложения Power BI Embedded с помощью пользовательской проверки подлинности

Еще одним вариантом компании Contoso является создание собственного пользовательского внедренного приложения Power BI с помощью пользовательской проверки подлинности ("Приложение владеет данными"). Хотя у многих организаций нет времени или ресурсов для создания пользовательского приложения для распространения содержимого Power BI внешним партнерам, для некоторых организаций это лучший подход и заслуживает серьезного рассмотрения.

Часто организации имеют существующие партнерские порталы, которые централизируют доступ ко всем ресурсам организации для партнеров, обеспечивают изоляцию от внутренних ресурсов организации и предоставляют упрощенные возможности для партнеров для поддержки многих партнеров и отдельных пользователей.

В приведенном выше примере пользователи каждого поставщика войдите на портал партнеров Contoso, использующий идентификатор Microsoft Entra в качестве поставщика удостоверений. Он может использовать Microsoft Entra B2B, Azure Active Directory B2C, собственные удостоверения или федерацию с любым количеством других поставщиков удостоверений. Пользователь будет входить и получать доступ к сборке портала партнера с помощью веб-приложения Azure или аналогичной инфраструктуры.

В веб-приложении отчеты Power BI внедрены из развертывания Power BI Embedded. Веб-приложение упрощает доступ к отчетам и любым связанным службам в согласованном интерфейсе, направленном на упрощение взаимодействия поставщиков с Contoso. Эта среда портала будет изолирована от внутреннего идентификатора Microsoft Entra и внутренней среды Power BI Компании Contoso, чтобы гарантировать, что поставщики не могли получить доступ к этим ресурсам. Как правило, данные хранятся в отдельном хранилище данных партнера, чтобы обеспечить изоляцию данных. Эта изоляция имеет преимущества, так как она ограничивает количество внешних пользователей с прямым доступом к данным вашей организации, ограничивая потенциально доступные данные внешним пользователям и ограничивая случайный общий доступ с внешними пользователями.

С помощью Power BI Embedded портал может использовать выгодное лицензирование, используя маркер приложения или основного пользователя плюс емкость premium, приобретенную в модели Azure, что упрощает назначение лицензий конечным пользователям и может увеличивать и уменьшать масштаб на основе ожидаемого использования. Портал может предложить общий более качественный и согласованный интерфейс, так как партнеры получают доступ к одному порталу, разработанному с учетом всех потребностей партнера. Наконец, так как решения на основе Power BI Embedded обычно предназначены для нескольких клиентов, это упрощает изоляцию между партнерскими организациями.

Причины выбора этой альтернативы:

• Проще управлять по мере роста числа партнерских организаций. Так как партнеры добавляются в отдельный каталог, изолированный от внутреннего каталога Microsoft Entra Contoso, он упрощает обязанности по управлению ИТ и помогает предотвратить случайный общий доступ к внутренним данным внешним пользователям.
• Типичные порталы партнеров — это высоко брендированные интерфейсы с согласованными опытами между партнерами и упрощены для удовлетворения потребностей типичных партнеров. Таким образом, Contoso может предложить более широкий общий опыт для партнеров, интегрируя все необходимые службы на один портал.
• Затраты на лицензирование для расширенных сценариев, таких как редактирование содержимого в Power BI Embedded, охватываются приобретенным Azure Power BI Premium и не требуют назначения лицензий Power BI Pro для этих пользователей.
• Обеспечивает более высокую изоляцию между партнерами, если архитектор является мультитенантным решением.
• Портал партнеров часто включает другие средства для партнеров за пределами отчетов, панелей мониторинга и приложений Power BI.

Причины не выбрать этот вариант:

• Значительные усилия необходимы для создания, эксплуатации и поддержания такого портала, что делает его значительным вложением в ресурсы и время.
• Время решения гораздо дольше, чем использование общего доступа B2B, так как требуется тщательное планирование и выполнение в нескольких рабочих потоках.
• Где существует меньшее число партнеров, необходимых для этой альтернативы, скорее всего, слишком высока, чтобы оправдать.
• Совместная работа с нерегламентированным общим доступом — это основной сценарий, с которым сталкивается ваша организация.
• Отчеты и панели мониторинга отличаются для каждого партнера. Эта альтернатива представляет затраты на управление за рамки простого совместного использования с партнерами.

Вопросы и ответы

Может ли Компания Contoso отправить приглашение, которое автоматически активируется, чтобы пользователь был "готов к работе"? Или ему всегда нужно будет щелкать URL-адрес активации?

Конечный пользователь должен всегда щелкнуть интерфейс согласия, прежде чем он сможет получить доступ к содержимому.

Если вы будете приглашать многих гостевых пользователей, рекомендуется делегировать это от основных администраторов Microsoft Entra, добавив пользователя в роль приглашающего гостя в организации ресурсов. Пользователь может приглашать других пользователей в партнерскую организацию, используя пользовательский интерфейс входа, скрипты PowerShell или API-интерфейсы. Это уменьшает административное бремя для администраторов Microsoft Entra, чтобы пригласить или обиду приглашать пользователей в партнерской организации.

Может ли Contoso принудительно выполнить многофакторную проверку подлинности для гостевых пользователей, если у своих партнеров нет многофакторной проверки подлинности?

Да. Дополнительные сведения см. в статье Условный доступ пользователей в службе совместной работы B2B.

Как работает совместная работа B2B, когда приглашенный партнер использует федерацию для добавления собственной локальной проверки подлинности?

Если у партнера есть клиент Microsoft Entra, федеративный с локальной инфраструктурой проверки подлинности, то локальный единый вход (SSO) достигается автоматически. Если у партнера нет клиента Microsoft Entra, для новых пользователей может быть создана учетная запись Microsoft Entra.

Можно ли приглашать гостевых пользователей с учетными записями электронной почты потребителей?

Приглашение гостевых пользователей с учетными записями электронной почты потребителей поддерживается в Power BI. К ним относятся такие домены, как hotmail.com, outlook.com и gmail.com. Однако эти пользователи могут столкнуться с ограничениями, помимо того, что пользователи с рабочими или учебными учетными записями сталкиваются.