Share via

Plánovanie implementácie služby Power BI: Plánovanie zabezpečenia na úrovni nájomníka

  • Článok

Poznámka

Tento článok je súčasťou série článkov k plánovaniu implementácie služby Power BI. Táto séria sa zameriava predovšetkým na vyťaženie služby Power BI v rámci služby Microsoft Fabric. Úvod do série nájdete v téme Plánovanie implementácie služby Power BI.

Tento článok o plánovaní zabezpečenia na úrovni nájomníka je primárne zameraný na:

  • Správcovia služby Power BI: správcovia, ktorí sú zodpovední za dohľad nad službou Power BI v organizácii.
  • Centrum excelentnosti, IT a tím BI: Tímy, ktoré tiež zodpovedajú za dohľad nad službou Power BI. Možno budú musieť spolupracovať so správcami služby Power BI, tímami zabezpečenia informácií a ďalšími relevantnými tímami.

Tento článok môže byť relevantný aj pre samoobslužných tvorcov služby Power BI, ktorí vytvárajú, publikujú a spravujú obsah v pracovných priestoroch.

Séria článkov je určená na rozbalenie obsahu v technickej dokumentácii zabezpečenia služby Power BI. Zatiaľ čo technická dokumentácia k zabezpečeniu v službe Power BI sa zameriava na kľúčové technické témy, ako je overovanie, pobyt údajov a izolácia siete, hlavným cieľom série je poskytnúť vám dôležité informácie a rozhodnutia, ktoré vám pomôžu pri plánovaní zabezpečenia a ochrany osobných údajov.

Keďže obsah služby Power BI je možné použiť a zabezpečiť rôznymi spôsobmi, tvorcovia obsahu budú prijímať mnohé taktické rozhodnutia. Existuje však aj niekoľko strategických plánovacích rozhodnutí na úrovni nájomníka. Tieto rozhodnutia o strategickom plánovaní sú zameraná na tento článok.

Odporúčame, aby ste sa v čo najskoršom poradí rozhodli o zabezpečení na úrovni nájomníka, pretože ovplyvnia všetko ostatné. Okrem toho je jednoduchšie robiť ďalšie rozhodnutia o zabezpečení, keď budete mať prehľad o svojich celkových cieľoch a cieľoch zabezpečenia.

Spravovanie služby Power BI

Správca služby Power BI je rola s vysokými oprávneniami, ktorá má významnú kontrolu nad službou Power BI. Odporúča sa starostlivo zvážiť, kto bol priradený k tejto role, pretože správca služby Power BI môže vykonávať mnohé funkcie na vysokej úrovni, ako napríklad:

  • Správa nastavení nájomníka: Spravovanie v portáli na správu môžu spravovať nastavenia nájomníka. Môžu povoliť alebo zakázať nastavenia a povoliť alebo zakázať konkrétnych používateľov alebo skupiny v nastaveniach. Je dôležité vedieť, že nastavenia vášho nájomníka majú významný vplyv na používateľské prostredie.
  • Správa rolí pracovného priestoru: Spravovanie funkcií môžu aktualizovať roly pracovného priestoru na portáli na správu. Môžu potenciálne aktualizovať zabezpečenie pracovného priestoru na prístup k údajom alebo udeliť práva iným používateľom na prístup k údajom v služba Power BI.
  • Prístup k osobnému pracovnému priestoru: Spravovanie istratori môžu pristupovať k obsahu a riadiť osobný pracovný priestor ľubovoľného používateľa.
  • Prístup k metaúdajom nájomníka: Spravovanie stratori môžu získať prístup k metaúdajom v rámci celého nájomníka vrátane denníkov aktivity služby Power BI a udalostí aktivít načítaných rozhraniami API správcu služby Power BI.

Tip

Ako najvhodnejší postup by ste mali k role správcu služby Fabric priradiť dvoch až štyroch používateľov. Týmto spôsobom môžete znížiť riziko a zároveň zabezpečiť adekvátne pokrytie a krížové trénovanie.

Správca služby Power BI patrí aspoň do jednej z týchto vstavaných rolí:

Poznámka

Hoci správca power platformy môže spravovať služba Power BI, opak nie je pravdivý. Niekto s priradenou rolou správcu služby Fabric nemôže spravovať iné aplikácie na Power Platforme.

Kontrolný zoznam – kľúčové rozhodnutia a akcie zahŕňajú:

  • Identifikácia aktuálne priradenej roly správcu: Overenie toho, kto bol priradený k niektorej z rolí spravovania služby Power BI: správca služby Fabric, správca služby Power Platform a globálny správca.
  • Určite, kto by mal spravovať služba Power BI: Ak je správcov služby Power BI príliš veľa, vytvorte plán na zníženie celkového počtu. Ak sú používatelia priradení ako správcovia služby Power BI, ktorí nie sú vhodná pre takúto rolu s vysokými oprávneniami, vytvorte plán na vyriešenie problému.
  • Objasnite roly a povinnosti: V prípade každého správcu služby Power BI sa uistite, že sú jeho zodpovednosti jasné. Overte, či sa vyskytlo príslušné krížové trénovaie.

Stratégie zabezpečenia a ochrany osobných údajov

Budete musieť vykonať rozhodnutia na úrovni nájomníka, ktoré sa týkajú zabezpečenia a ochrany osobných údajov. Prijatá taktika a rozhodnutia, ktoré urobíte, budú spoliehať na:

  • Vaša kultúra údajov. Cieľom je podporiť kultúru údajov, ktorá rozumie, že zabezpečenie a ochrana údajov je zodpovednosťou všetkých.
  • Vaše stratégie vlastníctva obsahu a správy . Úroveň centralizovaného a decentralizovaného spravovania obsahu významne ovplyvňuje spôsob narábania so zabezpečením.
  • Vaše stratégie rozsahu doručovania obsahu. Počet ľudí, ktorí budú obsah zobrazovať, bude mať vplyv na spôsob narábania s zabezpečením obsahu.
  • Vaše požiadavky musia spĺňať globálne, národné/regionálne a priemyselné predpisy.

Tu je niekoľko príkladov stratégií zabezpečenia na vysokej úrovni. Môžete sa rozhodnúť, že budete vykonávať rozhodnutia, ktoré budú mať vplyv na celú organizáciu.

  • Požiadavky na zabezpečenie na úrovni riadkov: Pomocou zabezpečenia na úrovni riadkov (RLS) môžete obmedziť prístup k údajom pre konkrétnych používateľov. To znamená, že pri prístupe k tej istej zostave budú vidieť rôzni používatelia rôzne údaje. Sémantický model služby Power BI (predtým známy ako množina údajov) alebo zdroj údajov (pri použití jediného prihlásenia) môže vynútiť zabezpečenie na úrovni riadkov. Ďalšie informácie nájdete v časti Vynútenie zabezpečenia údajov na základe identity spotrebiteľa v článku Plánovanie zabezpečenia spotrebiteľa zostavy.
  • Vyhľadateľnosť údajov: Určte, do akej miery je potrebné v službe Power BI podporovať zistiteľnosť údajov. Zisťovanie má vplyv na to, kto môže vyhľadať sémantické modely alebo dátovémarty v centre údajov, a či autori obsahu môžu požiadať o prístup k týmto položkám (pomocou pracovného postupu Požiadať o prístup ). Ďalšie informácie nájdete v scenári prispôsobiteľného spravovaného samoobslužného používania BI .
  • Údaje, ktoré sú povolené na ukladanie v službe Power BI: Určte, či existujú určité typy údajov, ktoré by sa nemali ukladať v službe Power BI. Môžete napríklad zadať, že niektoré citlivé typy informácií, ako sú napríklad čísla bankových kont alebo čísla sociálneho zabezpečenia, nie sú povolené ukladať v sémantickom modeli. Ďalšie informácie nájdete v článku Ochrana informácií a ochrana pred únikom údajov.
  • Súkromné siete prichádzajúcej siete: Určte, či existujú požiadavky na izoláciu siete pomocou súkromných koncových bodov na prístup do služby Power BI. Pri používaní služby Azure Private Link sa prenos údajov uskutočňuje prostredníctvom súkromnej chrbticovej siete spoločnosti Microsoft namiesto toho, aby sa presúval cez internet.
  • Odchádzajúce súkromné siete: Určte, či sa pri pripájaní k zdrojom údajov vyžaduje viac zabezpečenia. Brána údajov Virtuálna sieť (VNet) umožňuje zabezpečené odchádzajúce pripojenia zo služby Power BI k zdrojom údajov v rámci VNet. Bránu údajov Azure VNet môžete použiť, keď je obsah uložený v pracovnom priestore Premium.

Dôležité

Keď uvažujete o izolácii siete, pred zmenou ktoréhokoľvek nastavenia nájomníka služby Power BI pracujte so svojou IT infraštruktúrou a tímami siete. Služba Azure Private Link umožňuje rozšírené vstupné zabezpečenie prostredníctvom súkromných koncových bodov, zatiaľ čo brána Azure VNet umožňuje rozšírené odchádzajúce zabezpečenie pri pripájaní k zdrojom údajov. Brána Azure VNet je spravovaná spoločnosťou Microsoft a nie spravovaná zákazníkom, takže eliminuje náklady na inštaláciu a monitorovanie lokálnych brán.

Niektoré rozhodnutia na úrovni organizácie budú mať za následok politiky pevnej správy, najmä ak sa týkajú dodržiavania súladu. Iné rozhodnutia na úrovni organizácie môžu viesť k sprievodným materiálom, ktoré môžete poskytnúť tvorcom obsahu, ktorí sú zodpovední za spravovanie a zabezpečenie svojho vlastného obsahu. Výsledné politiky a pokyny by mali byť zahrnuté do vášho centralizovaného portálu, školiacich materiálov a komunikačného plánu.

Tip

Ďalšie návrhy, ktoré sa týkajú plánovania zabezpečenia pre spotrebiteľov zostáv a tvorcov obsahu, nájdete v iných článkoch v tejto sérii.

Kontrolný zoznam – pri plánovaní stratégií zabezpečenia na vysokej úrovni zahŕňajú kľúčové rozhodnutia a akcie:

  • Identifikujte regulačné požiadavky týkajúce sa zabezpečenia: Preskúmajte a zdokumentujte každú požiadavku vrátane spôsobu zabezpečenia dodržiavania súladu.
  • Identifikujte stratégie zabezpečenia na vysokej úrovni: Určte, ktoré požiadavky zabezpečenia sú dostatočne dôležité na to, aby sa mali zahrnúť do politiky riadenia.
  • Spolupráca s ostatnými správcami: Obráťte sa na príslušného správcu systému a zistite, ako spĺňať požiadavky zabezpečenia a aké technické predpoklady existujú. Plánujeme urobiť technickú kontrolu koncepcie.
  • Aktualizácia nastavení nájomníka služby Power BI: Nastavte všetky relevantné nastavenia nájomníka služby Power BI. Pravidelne si naplánujte kontroly následného sledovania.
  • Vytvorenie a publikovanie používateľského sprievodného materiálu: Vytvorte dokumentáciu pre stratégie zabezpečenia na vysokej úrovni. Uveďte podrobnosti o procese a o tom, ako môže používateľ požiadať o výnimku zo štandardného procesu. Sprístupnenie týchto informácií na centralizovanom portáli a školiacich materiáloch.
  • Aktualizácia vzdelávacích materiálov: V prípade stratégií zabezpečenia na vysokej úrovni určite, ktoré požiadavky alebo usmernenia by ste mali zahrnúť do materiálov na školenie používateľov.

Integrácia s identifikáciou Microsoft Entra ID

Zabezpečenie Power BI je postavené na základoch nájomníka Microsoft Entra . Nasledujúce koncepty služby Microsoft Entra sú relevantné pre zabezpečenie nájomníka služby Power BI.

  • Prístup používateľa: Prístup k služba Power BI vyžaduje používateľské konto (okrem licencie na Power BI: bezplatná verzia, Power BI Pro alebo Premium na používateľa – PPU). Do identifikátora Microsoft Entra ID môžete pridať interných aj hosťovských používateľov alebo ich možno synchronizovať s lokálna služba Active Directory (AD). Ďalšie informácie o hosťovských používateľoch nájdete v téme Stratégia pre externých používateľov.
  • Skupiny zabezpečenia: Skupiny zabezpečenia v službe Microsoft Entra sa vyžadujú pri sprístupnení určitých funkcií v nastaveniach nájomníka služby Power BI. Skupiny tiež možno budú potrebovať skupiny na efektívne zabezpečenie obsahu pracovného priestoru služby Power BI alebo na distribúciu obsahu. Ďalšie informácie nájdete v téme Stratégia používania skupín.
  • Politiky podmieneného prístupu: Môžete nastaviť podmienený prístup do služba Power BI a mobilnej aplikácie Power BI. Podmienený prístup spoločnosti Microsoft Entra môže obmedziť overovanie v rôznych situáciách. Môžete napríklad uplatniť politiky, ktoré:
    • Niektorí alebo všetci používatelia vyžadujú viacfaktorové overovanie.
    • Povoľte iba zariadenia, ktoré sú v súlade s politikami organizácie.
    • Povoľte pripojenie z konkrétnej siete alebo rozsahov IP adries.
    • Blokovanie pripojenia z počítača, ktorý nie je pripojený k doméne.
    • Blokovanie pripojenia pre riskantné prihlásenie.
    • Povoliť pripojenie iba určitým typom zariadení.
    • Podmienené povolenie alebo zamietnuť prístup do služby Power BI pre konkrétnych používateľov.
  • Objekty služby: Možno bude potrebné vytvoriť registráciu aplikácie v aplikácii Microsoft Entra, aby ste mohli zriadiť objekt služby. Overovanie objektom služby je odporúčaným postupom, ak chce správca služby Power BI spúšťať automatickú, plánovanú skripty, ktorá extrahuje údaje pomocou rozhraní API správcu služby Power BI. Objekty služby sú užitočné aj pri vkladaní obsahu služby Power BI do vlastnej aplikácie.
  • Politiky v reálnom čase: Môžete sa rozhodnúť nastaviť riadenie relácie v reálnom čase alebo politiky riadenia prístupu, ktorých súčasťou sú microsoft Entra ID aj Microsoft Defender for Cloud Apps. Môžete napríklad zakázať sťahovanie zostavy v služba Power BI, ak má konkrétne označenie citlivosti. Ďalšie informácie nájdete v článkoch o ochrane informácií a o ochrane pred únikom údajov.

Možno by bolo ťažké nájsť správnu rovnováhu medzi neobmedzeným prístupom a príliš obmedzujúcim prístupom (ktorý frustruje používateľov). Najlepšou stratégiou je spolupracujte so správcom spoločnosti Microsoft Entra, aby ste pochopili, čo je aktuálne nastavené. Snažte sa reagovať na potreby podniku a zároveň dbať na potrebné obmedzenia.

Tip

Mnohé organizácie majú prostredie lokálna služba Active Directory (AD), ktoré synchronizujú s identifikáciou Microsoft Entra ID v cloude. Toto nastavenie sa nazýva hybridné riešenie identity , ktoré nie je súčasťou tohto článku. Dôležitým konceptom, ktorému je potrebné porozumieť, je, že používatelia, skupiny a objekty služby musia existovať v aplikácii Microsoft Entra ID, aby cloudové služby, ako napríklad Power BI, mohli fungovať. Vytvorenie riešenia hybridnej identity bude fungovať v službe Power BI. Odporúčame vám, aby ste sa so správcami služby Microsoft Entra porozprávali o najlepšom riešení pre vašu organizáciu.

Kontrolný zoznam – ak identifikujú potreby integrácie aplikácie Microsoft Entra, kľúčové rozhodnutia a akcie zahŕňajú:

  • Spolupráca so správcami služby Microsoft Entra: Spolupracujte so správcami služby Microsoft Entra a zistite, aké existujúce politiky služby Microsoft Entra existujú. Určite, či existujú politiky (aktuálne alebo plánované), ktoré budú mať vplyv na používateľské prostredie v služba Power BI a/alebo v mobilných aplikáciách Power BI.
  • Rozhodnite sa, kedy bude použitý prístup používateľa a kedy bude použitý objekt služby: Pri automatizovaných operáciách rozhodnite, kedy použijete objekt služby namiesto prístupu používateľa.
  • Vytvorenie alebo aktualizácia používateľského sprievodného materiálu: Určte, či existujú témy zabezpečenia, ktoré budete potrebovať na dokumentáciu pre komunitu používateľov služby Power BI. Týmto spôsobom budú vedieť, čo môžu očakávať pri používaní skupín a politík podmieneného prístupu.

Stratégia pre externých používateľov

Power BI podporuje službu Microsoft Entra Business-to-Business (B2B). Externí používatelia, napríklad od zákazníka alebo partnerskej spoločnosti, môžu byť pozvaní ako hosťovskí používatelia v identifikátore Microsoft Entra ID na účely spolupráce. Externí používatelia môžu pracovať so službou Power BI a mnohými ďalšími službami Azure a Microsoft 365.

Dôležité

Technická dokumentácia Microsoft Entra B2B je najlepším zdrojom informácií o stratégiách na manipuláciu s externými používateľmi. Tento článok je obmedzený na popis najdôležitejších a dôležitých informácií týkajúcich sa plánovania.

Existujú výhody, keď externý používateľ pochádza z inej organizácie, ktorá má nastavené aj ID Entra spoločnosti Microsoft.

  • Domáci nájomník spravuje poverenia: Domáci nájomník používateľa má stále kontrolu nad svojou identitou a správou poverení. Identity nemusíte synchronizovať.
  • Domáci nájomník spravuje stav používateľa: Keď používateľ organizáciu opustí a konto sa odstráni alebo vypne, s okamžitou platnosťou už nebude mať prístup k vášmu obsahu služby Power BI. Je to významná výhoda, pretože možno neviete, kedy niekto opustil svoju organizáciu.
  • Flexibilita licencovania používateľov: Existujú nákladovo efektívne možnosti licencovania. Externý používateľ už môže mať licenciu na Power BI Pro alebo Premium na používateľa, v takom prípade mu nemusíte priraďovať licenciu. Takisto im možno udeliť prístup k obsahu v kapacite Premium alebo v pracovnom priestore služby Fabric F64 alebo väčšej kapacite tak, že im priradíte licenciu Fabric (free).

Dôležité

V čase, keď sa tento článok týka služby Power BI Premium alebo jej predplatných kapacity (skladové jednotky SKU P). Spoločnosť Microsoft v súčasnosti konsoliduje možnosti nákupu a vyradí skladové jednotky SKU služby Power BI Premium na kapacitu. Noví a existujúci zákazníci by namiesto toho mali zvážiť zakúpenie predplatného kapacity služby Fabric (skladové jednotky F SKU).

Ďalšie informácie nájdete v téme Dôležitá aktualizácia pre licencie Power BI Premium a Power BI Premium: najčastejšie otázky.

Nastavenia kľúča

Existujú dva aspekty, ktoré sa týkajú umožnenia a spravovania spôsobu fungovania prístupu externých používateľov:

  • nastavenia Microsoft Entra, ktoré spravuje správca služby Microsoft Entra. Tieto nastavenia prostredia Microsoft Entra sú nevyhnutným predpokladom.
  • Nastavenia nájomníka služby Power BI, ktoré spravuje správca služby Power BI na portáli na správu. Tieto nastavenia ovládajú používateľské prostredie v služba Power BI.

Proces pozvánky pre hosťovského hosťa

Existujú dva spôsoby, ako pozvať hostí do svojho nájomníka.

  • Plánované pozvánky: V službe Microsoft Entra ID môžete vopred nastaviť externých používateľov . Týmto spôsobom je hosťovské konto pripravené vždy, keď ho používateľ služby Power BI potrebuje použiť na priradenie povolení (napríklad povolení aplikácie). Hoci si to vyžaduje vopred plánovanie, je to naj konzistentnejší proces, pretože sú podporované všetky možnosti zabezpečenia služby Power BI. Správca môže pomocou prostredia PowerShell efektívne pridať veľký počet externých používateľov.
  • Ad hoc pozvánky: V identifikátore Microsoft Entra ID je možné automaticky vygenerovať hosťovské konto v čase, keď používateľ služby Power BI zdieľa alebo distribuuje obsah externému používateľovi (ktorý predtým nebol nastavený). Tento prístup je užitočný, ak vopred neviete, kto budú externí používatelia. Táto funkcia však musí byť najprv povolená v aplikácii Microsoft Entra ID. Prístup ad hoc pozvánky funguje v prípade povolení ad hoc na položku a povolení aplikácie.

Tip

Nie všetky možnosti zabezpečenia v služba Power BI podporujú spustenie pozvánky ad hoc. Z tohto dôvodu pri priraďovaní povolení existuje nekonzistentná používateľská skúsenosť (napríklad zabezpečenie pracovného priestoru versus povolenia pre jednotlivé položky v porovnaní s povoleniami aplikácie). Vždy, keď je to možné, odporúčame použiť prístup plánovanej pozvánky, pretože má za následok konzistentnú používateľskú skúsenosť.

ID nájomníka zákazníka

Každý nájomník spoločnosti Microsoft Entra má globálne jedinečný identifikátor (GUID) známy ako ID nájomníka. V Službe Power BI sa označuje ako ID nájomníka zákazníka (CTID). CTID umožňuje služba Power BI vyhľadávať obsah z pohľadu iného nájomníka organizácie. Pri zdieľaní obsahu s externým používateľom je potrebné pripojiť CTID k URL adresám.

Tu je príklad pripájania CTID k URL adrese: https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

Ak potrebujete zadať CTID pre vašu organizáciu externému používateľovi, môžete ho nájsť v služba Power BI otvorením dialógového okna Informácie o Power BI. Je k dispozícii v ponuke Pomoc a podpora (?) v pravom hornom rohu služba Power BI. IDENTIFIKÁCIA CTID sa pripojí na koniec URL adresy nájomníka.

Snímka obrazovky dialógového okna Informácie o Power BI so zvýrazneným ID nájomníka zákazníka.

Používanie značiek pre organizácie

Keď sa externý hosťovský prístup vo vašej organizácii často vyskytuje, je vhodné použiť vlastnú značku. Pomáha používateľom určiť, ku ktorému nájomníkovi organizácie pristupujú. Medzi vlastné prvky značky patrí logo, titulný obrázok a farba motívu.

Nasledujúca snímka obrazovky znázorňuje, ako vyzerá služba Power BI pri prístupe hosťovským kontom. Obsahuje možnosť Obsahu hosťa, ktorá je k dispozícii po pripojení CTID k URL adrese.

Snímka obrazovky služba Power BI so zvýraznenou možnosťou Obsah hosťa.

Externé zdieľanie údajov

Niektoré organizácie musia v porovnaní so zdieľaním zostáv s externými používateľmi robiť viac. Majú v úmysle zdieľať sémantické modely s externými používateľmi, ako sú napríklad partneri, zákazníci alebo dodávatelia.

Cieľom zdieľania sémantických modelov na mieste (známe aj ako zdieľanie sémantických modelov medzi nájomníkmi) je umožniť externým používateľom vytvárať vlastné prispôsobené zostavy a zložené modely pomocou údajov, ktoré vytvárate, spravujete a poskytujete. Pôvodný zdieľaný sémantický model (vytvorený vami) zostane vo vašom nájomníkovi služby Power BI. Závislé zostavy a modely sú uložené v nájomníkovi služby Power BI externého používateľa.

Na vytvorenie sémantického modelu zdieľania modelu funguje niekoľko aspektov zabezpečenia.

  • Nastavenie nájomníka: Povoliť hosťovským používateľom pracovať so zdieľanými sémantickými modelmi vo vlastných nájomníkoch: Toto nastavenie určuje, či funkciu externého zdieľania údajov možno použiť. Ak sa má povoliť ktorékoľvek z ďalších dvoch nastavení (zobrazené ďalej), musí sa povoliť. Správca služby Power BI ju pre celú organizáciu povolil alebo zakázal.
  • Nastavenie nájomníka: Povoliť konkrétnym používateľom zapnúť externé zdieľanie údajov: Toto nastavenie určuje, ktoré skupiny používateľov môžu externe zdieľať údaje. Skupiny tu povolených používateľov budú môcť používať tretie nastavenie (popísané ďalej). Toto nastavenie spravuje správca služby Power BI.
  • Nastavenie sémantického modelu: Externé zdieľanie: Toto nastavenie určuje, či môžu konkrétny sémantický model používať externí používatelia. Toto nastavenie spravujú tvorcovia obsahu a vlastníci každého konkrétneho sémantického modelu.
  • Povolenie sémantického modelu: Čítanie a vytváranie: Štandardné povolenia pre sémantický model na podporu tvorcov obsahu sú stále zavedené.

Dôležité

Pojem spotrebiteľ sa zvyčajne používa na odkazovanie na používateľov s jediným zobrazením, ktorí spotrebúvajú obsah vytvorený inými používateľmi v organizácii. Avšak pri zdieľaní sémantických modelov na mieste je tu producent sémantického modelu a spotrebiteľ sémantického modelu. V takejto situácii je spotrebiteľom sémantického modelu zvyčajne tvorca obsahu v inej organizácii.

Ak je pre váš sémantický model zadané zabezpečenie na úrovni riadkov, bude pre externých používateľov poctené. Ďalšie informácie nájdete v časti Vynútenie zabezpečenia údajov na základe identity spotrebiteľa v článku Plánovanie zabezpečenia spotrebiteľa zostavy.

Predplatné na externého používateľa

Je bežné, že externí používatelia sa v identifikátore Microsoft Entra ID spravujú ako hosťovskí používatelia, ako je to popísané vyššie. Okrem tohto bežného prístupu služba Power BI poskytuje ďalšie možnosti distribúcie predplatných zostáv používateľom mimo organizácie.

Nastavenie nájomníka Povoliť odosielanie prihlásenia na odber e-mailov externým používateľom určuje, či majú používatelia možnosť odosielať e-mailové predplatné externým používateľom, ktorí ešte nie sú hosťovskými používateľmi služby Microsoft Entra. Odporúčame, aby ste toto nastavenie nájomníka nastavili tak, ako prísne alebo flexibilne vaša organizácia uprednostňuje spravovanie externých používateľských kont.

Tip

Spravovanie stratori môžu overiť, ktorí externí používatelia odosielajú odbery,Získanie predplatných zostáv ako Spravovanie rozhrania API. Zobrazí sa e-mailová adresa externého používateľa. Typ objektu sa nerozpozná , pretože externý používateľ nie je nastavený v službe Microsoft Entra ID.

Kontrolný zoznam – pri plánovaní spracovávania externých hosťovských používateľov sú k dispozícii kľúčové rozhodnutia a akcie:

  • Identifikujte požiadavky pre externých používateľov v službe Power BI: Určite, aké prípady použitia sa používajú na externú spoluprácu. Objasnite scenáre používania služby Power BI so službou Microsoft Entra B2B. Určte, či sa spolupráca s externými používateľmi javí ako bežná alebo zriedkavá.
  • Určte aktuálne nastavenia služby Microsoft Entra: Obráťte sa na správcu služby Microsoft Entra a zistite, ako je aktuálne nastavená externá spolupráca. Určte, aký vplyv to bude mať na používanie B2B so službou Power BI.
  • Rozhodnite sa, ako pozvať externých používateľov: Môžete spolupracovať so správcami služby Microsoft Entra pri rozhodovaní o vytvorení hosťovských kont v službe Microsoft Entra ID. Rozhodnite sa, či ad hoc pozvánky budú povolené. Rozhodnite sa, do akej miery sa použije plánovaný prístup pozvánky. Skontrolujte, či celý proces pochopíte a zdokumentujte.
  • Vytvorenie a publikovanie používateľského sprievodu k externým používateľom: Vytvorte dokumentáciu pre tvorcov obsahu, ktorá ich prevedie postupom zdieľania obsahu s externými používateľmi (najmä v prípade, keď sa vyžaduje plánovaný proces pozvánky). Zahrnúť informácie o obmedzeniach, ktorým budú externí používatelia čeliť v prípade, že majú v úmysle mať externých používateľov upravovať a spravovať obsah. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
  • Určite, ako zvládnuť externé zdieľanie údajov: Rozhodnite sa, či by malo byť povolené zdieľanie externých údajov, a či je obmedzené na konkrétnu množinu schválených tvorcov obsahu. Nastavte nastavenie Povoliť hosťovským používateľom pracovať so zdieľanými sémantickými modelmi vo vlastnom nastavení nájomníka nájomníkov a nastavenie Povoliť konkrétnym používateľom zapnúť externé zdieľanie údajov nájomníka, aby sa zosúladili s vaším rozhodnutím. Poskytnite informácie o externom zdieľaní údajov pre tvorcov sémantických modelov. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
  • Zistite, ako pracovať s licenciami služby Power BI pre externých používateľov: Ak hosťovský používateľ nemá existujúcu licenciu na Power BI, rozhodnite sa, či im chcete priradiť licenciu. Skontrolujte, či je proces zdokumentovaný.
  • Zahrňte svoje ID CTID do príslušnej dokumentácie používateľa: Zadajte URL adresu, ktorá pripája ID nájomníka (CTID) do používateľskej dokumentácie. Uveďte príklady pre tvorcov a spotrebiteľov o tom, ako používať URL adresy, ktoré pripájajú CTID.
  • Nastavenie vlastnej značky v službe Power BI: Na portáli na správu nastavte vlastnú značku, ktorá pomáha externým používateľom identifikovať nájomníka organizácie, ku ktorému pristupujú.
  • Overenie alebo aktualizácia nastavení nájomníka: Skontrolujte, ako sú v služba Power BI aktuálne nastavené nastavenia nájomníka. Podľa potreby ich aktualizujte na základe rozhodnutí o spravovaní prístupu externého používateľa.

Stratégia umiestnení súborov

Existujú rôzne typy súborov, ktoré by mali byť správne uložené. Preto je dôležité, aby používatelia pochopili očakávania, kde by sa mali súbory a údaje nachádzať.

Existuje riziko spojené so súbormi Power BI Desktop a excelovými zošitmi, pretože môžu obsahovať importované údaje. Tieto údaje môžu zahŕňať informácie o zákazníkoch, informácie umožňujúce osobnú identifikáciu (PII), súkromné informácie alebo údaje podliehajúce požiadavkám na reguláciu alebo dodržiavanie súladu.

Tip

Prehliadnuť súbory uložené mimo služba Power BI je jednoduché. Odporúčame, aby ste ich zvážili, keď plánujete zabezpečenie.

Tu je niekoľko typov súborov, ktoré môžu byť súčasťou implementácie služby Power BI.

  • Zdrojové súbory
    • Súbory aplikácie Power BI Desktop: Pôvodné súbory (.pbix) obsahu publikovaného v služba Power BI. Keď súbor obsahuje dátový model, môže obsahovať importované údaje.
    • Excelové zošity: Excelové zošity (.xlsx) môžu v služba Power BI zahŕňať pripojenia k sémantickým modelom. Môžu tiež obsahovať exportované údaje. Môžu to byť dokonca pôvodné zošity pre obsah, ktorý je publikovaný v služba Power BI (ako položka zošita v pracovnom priestore).
    • Súbory stránkovanej zostavy: Pôvodné súbory zostáv (.rdl) pre obsah publikovaný do služba Power BI.
    • Súbory zdrojových údajov: Ploché súbory (napríklad .csv alebo .txt) alebo excelové zošity, ktoré obsahujú zdrojové údaje importované do modelu služby Power BI.
  • Exportované a iné súbory
    • Súbory aplikácie Power BI Desktop: súbory .pbix stiahnuté z služba Power BI.
    • PowerPoint a PDF súbory: Powerpointové prezentácie (.pptx) a PDF dokumenty stiahnuté z služba Power BI.
    • Súbory Excelu a CSV: Údaje exportované zo zostáv v služba Power BI.
    • Súbory stránkovaných zostáv: súbory exportované zo stránkovaných zostáv v služba Power BI. Podporujú sa Excel, PDF a PowerPoint. Pre stránkované zostavy existujú aj iné formáty exportných súborov vrátane Wordu, XML alebo webového archívu. Pri použití exportovaných súborov do zostáv rozhrania API sú podporované aj formáty obrázkov.
    • E-mailové súbory: E-mailové obrázky a prílohy z odberu.

Budete musieť urobiť nejaké rozhodnutia o tom, kde používatelia môžu alebo nemôžu ukladať súbory. Tento proces zvyčajne zahŕňa vytvorenie politiky riadenia, na ktorú môžu používatelia odkazovať. Umiestnenia pre zdrojové súbory a exportované súbory by mali byť zabezpečené, aby sa zaručil príslušný prístup oprávnených používateľov.

Tu je niekoľko odporúčaní na prácu so súbormi.

  • Ukladanie súborov v zdieľanej knižnici: Použite lokalitu Teams, knižnicu SharePoint alebo OneDrive pre pracovnú alebo školskú zdieľanú knižnicu. Nepoužívajte osobné knižnice a disky. Skontrolujte, či je umiestnenie úložiska zálohované. Uistite sa tiež, že umiestnenie úložiska má povolenú verziu, aby bolo možné vrátiť údaje späť na predchádzajúcu verziu.
  • Použite služba Power BI čo najviac: Vždy, keď je to možné, použite služba Power BI na zdieľanie a distribúciu obsahu. Týmto spôsobom sa vždy vykoná úplný audit prístupu. Ukladanie a zdieľanie súborov v systéme súborov by malo byť vyhradené pre malý počet používateľov, ktorí pracujú na obsahu.
  • Nepoužívajte e-mail: Neodporúča sa používať e-mail na zdieľanie súborov. Ak niekto odosiela e-mail excelovému zošitu alebo súboru Power BI Desktop 10 používateľom, vytvorí sa 10 kópií súboru. Vždy existuje riziko zahrnutia nesprávnej (internej alebo externej) e-mailovej adresy. Existuje tiež väčšie riziko, že súbor bude preposielaný inej osobe. (Na minimalizovanie tohto rizika je potrebné, aby ste v spolupráci so správcom exchangeu Online implementovali pravidlá na blokovanie príloh na základe podmienok týkajúcich sa veľkosti alebo typu prípony súboru. Ďalšie stratégie na ochranu pred únikom údajov pre Power BI sú popísané v článkoch o ochrane informácií a ochrane pred únikom údajov.)
  • Používanie súborov šablón: Niekedy je legitímne potrebné zdieľať súbor aplikácie Power BI Desktop s niekým iným. V tomto prípade zvážte vytvorenie a zdieľanie súboru šablóny aplikácie Power BI Desktop (.pbit). Súbor šablóny obsahuje iba metaúdaje, takže je menší ako zdrojový súbor. Táto technika bude vyžadovať, aby príjemca zadajte poverenia zdroja údajov na obnovenie údajov modelu.

Na portáli na správu sa nachádzajú nastavenia nájomníka, ktoré určujú, ktoré formáty exportu majú používatelia povolené používať pri exporte z služba Power BI. Tieto nastavenia je dôležité skontrolovať a nastaviť. Ide o doplnkovú aktivitu plánovania umiestnení súborov, ktoré by sa mali použiť na exportované súbory.

Tip

Niektoré formáty exportu podporujú ochranu komplexných informácií pomocou šifrovania. Z dôvodu regulačných požiadaviek majú niektoré organizácie platnú potrebu obmedziť, ktoré formáty exportu môžu používatelia používať. Článok Information Protection for Power BI popisuje faktory, ktoré treba vziať do úvahy pri rozhodovaní o tom, ktoré formáty exportu povoliť alebo zakázať v nastaveniach nájomníka. Vo väčšine prípadov odporúčame obmedziť možnosti exportu iba vtedy, keď musíte spĺňať konkrétne regulačné požiadavky. Pomocou denníka aktivity služby Power BI môžete identifikovať používateľov, ktorí vykonávajú množstvo exportov. Týmto používateľom môžete naučiť o efektívnejších a zabezpečených alternatívach.

Kontrolný zoznam – pri plánovaní umiestnení súborov sa medzi kľúčové rozhodnutia a akcie patria tieto:

  • Identifikujte, kde sa majú súbory nachádzať: Rozhodnite sa, kam sa majú súbory uložiť. Určte, či existujú konkrétne miesta, ktoré sa nemajú použiť.
  • Vytváranie a publikovanie dokumentácie o umiestneniach súborov: Vytvorte používateľskú dokumentáciu, ktorá objasňuje zodpovednosti za spravovanie a zabezpečenie súborov. Mal by tiež popisovať všetky miesta, kde by sa súbory mali (alebo nemali) ukladať. Tieto informácie publikujte na centralizovaný portál a školiace materiály.
  • Nastavte nastavenia nájomníka pre export: Skontrolujte a nastavte každé nastavenie nájomníka týkajúce sa formátov exportu, ktoré chcete podporovať.

Stratégia používania skupín

Na zabezpečenie obsahu služby Power BI odporúčame používať skupiny zabezpečenia Microsoft Entra z nasledujúcich dôvodov.

  • Menšia údržba: Členstvo v skupine zabezpečenia možno upraviť bez potreby úpravy povolení pre obsah služby Power BI. Do skupiny sa môžu pridať noví používatelia a zo skupiny môžu byť odstránení nepotrební používatelia.
  • Vylepšená presnosť: Keďže zmeny členstva v skupine sa vykonávajú len raz, výsledkom je presnejšie priradenie povolení. Ak sa zistí chyba, možno ju jednoduchšie opraviť.
  • Delegovanie: Zodpovednosť za spravovanie členstva v skupine môžete delegovať na vlastníka skupiny.

Rozhodnutia skupiny na vysokej úrovni

Existuje niekoľko strategických rozhodnutí o spôsobe použitia skupín.

Povolenie na vytváranie a spravovanie skupín

Existujú dve kľúčové rozhodnutia o vytváraní a spravovaní skupín.

  • Kto môžu vytvoriť skupinu? Bežne môže vytvoriť len IT skupiny zabezpečenia. Je však možné pridať používateľov k role správcu vstavaných skupín Microsoft Entra. Takýmto spôsobom môžu určití dôveryhodní používatelia, napríklad šampióni služby Power BI alebo satelitní členovia vášho COE, vytvárať skupiny pre svoju obchodnú jednotku.
  • Kto môžu spravovať členov skupiny? Je bežné, že IT spravuje členstvo v skupine. Je však možné určiť jedného alebo viacerých vlastníkov skupiny, ktorí majú povolenie pridávať a odstraňovať členov skupiny. Samoobslužná správa skupín je užitočná v prípade, keď je umožnené, aby decentralizovaný tím alebo satelitné členy COE spravovali členstvo v skupinách špecifických pre Power BI.

Tip

Umožnenie samoobslužného riadenia skupín a určenie vlastníkov decentralizovaných skupín je skvelým spôsobom, ako vyvážiť efektivitu a rýchlosť s riadením.

Plánovanie pre skupiny služby Power BI

Je dôležité, aby ste vytvorili stratégiu vysokej úrovne na použitie skupín na zabezpečenie obsahu služby Power BI a mnohých ďalších využití.

Rôzne prípady použitia pre skupiny

Zvážte nasledujúce prípady použitia pre skupiny.

Prípad použitia Popis Príklad názvu skupiny
Komunikácia s Centrom excelentnosti (CE) služby Power BI Zahŕňa všetkých používateľov priradených k COE vrátane všetkých základných a satelitných členov COE. V závislosti od vašich potrieb môžete tiež vytvoriť samostatnú skupinu len pre základných členov. Pravdepodobne to bude skupina v Microsoft 365, ktorá koreluje s lokalitou Teams. • Centrum excelentnosti v službe Power BI
Komunikácia s vedúcim tímom služby Power BI Zahrnuje výkonného sponzora a zástupcov obchodných jednotiek, ktorí spolupracujú na čele iniciatívy Power BI v organizácii. • Riadiaci výbor Power BI
Komunikácia s komunitou používateľov služby Power BI Zahŕňa všetkých používateľov, ktorí majú priradenú akýkoľvek typ používateľskej licencie na Power BI. Je užitočný pri vytváraní oznámení všetkým používateľom služby Power BI vo vašej organizácii. Pravdepodobne to bude skupina v Microsoft 365, ktorá koreluje s lokalitou Teams. • Komunita Power BI
Podpora komunity používateľov služby Power BI Zahŕňa používateľov technickej podpory, ktorí priamo komunikujú s komunitou používateľov, aby zvládli problémy s podporou služby Power BI. Táto e-mailová adresa (a podľa príslušnej lokality v službe Teams) je dostupná a viditeľná pre používateľskú populáciu. • Podpora používateľov služby Power BI
Poskytovanie eskalovanej podpory Zahŕňa konkrétnych používateľov, zvyčajne z CE služby Power BI, ktorí poskytujú narastajúcu podporu. Táto e-mailová adresa (a v prípade potreby aj lokalita Teams) je zvyčajne súkromná, iba na použitie tímom podpory používateľa. • Podpora používateľov eskalovanej služby Power BI
Spravovanie priebehu služba Power BI Zahŕňa konkrétnych používateľov, ktorí môžu spravovať služba Power BI. Ak chcete zjednodušiť spravovanie, členovia tejto skupiny môžu tiež korelovať s rolou v službe Microsoft 365. • Správcovia služby Power BI
Oznamovanie povolených funkcií a postupného zavádzania funkcií Zahŕňa používateľov povolených pre konkrétne nastavenie nájomníka na portáli na správu (ak bude funkcia obmedzená) alebo ak sa funkcia má postupne zavádzať pre skupiny používateľov. Mnohé z nastavení nájomníka budú vyžadovať vytvorenie novej skupiny špecifickej pre Power BI. • Tvorcovia pracovných priestorov služby Power BI

• Externé zdieľanie údajov Power BI
Spravovanie brán údajov Zahŕňa jednu alebo viac skupín používateľov, ktorí môžu spravovať klaster brány. Ak existuje viacero brán alebo keď decentralizované tímy spravujú brány, môže sa k tomuto typu pripojiť niekoľko skupín. • Správcovia brány Power BI

• Tvorcovia zdroja údajov brány služby Power BI

• Vlastníci zdroja údajov brány power BI

• Používatelia zdroja údajov brány Power BI
Spravovanie kapacít Premium Zahŕňa používateľov, ktorí môžu spravovať kapacitu Premium. Ak existujú viaceré kapacity alebo decentralizované tímy spravujú kapacity, môže sa to týkať niekoľkých skupín tohto typu. • Prispievatelia do kapacity služby Power BI
Zabezpečenie pracovných priestorov, aplikácií a položiek Mnoho skupín, ktoré sú založené na oblastiach s predmetmi a povolený prístup na správu zabezpečenia rolí pracovného priestoru služby Power BI, povolení aplikácií a povolení pre jednotlivé položky. • Správcovia pracovného priestoru služby Power BI

• Členovia pracovného priestoru služby Power BI

• Prispievatelia do pracovného priestoru služby Power BI

• Pre divákov pracovného priestoru služby Power BI

• Zobrazovače aplikácií služby Power BI
Nasadenie obsahu Zahŕňa používateľov, ktorí môžu nasadiť obsah pomocou kanála nasadenia služby Power BI. Táto skupina sa používa v spojení s povoleniami pracovného priestoru. • Správcovia kanálov nasadenia služby Power BI
Automatizácia správcovských operácií Zahŕňa objekty služby, ktoré môžu používať rozhranie API služby Power BI na účely vkladania alebo správy. • služba Power BI hlavné objekty

Skupiny pre nastavenia nájomníka služby Power BI

V závislosti od interných procesov, ktoré máte na svojom mieste, budete mať aj ďalšie potrebné skupiny. Tieto skupiny sú užitočné pri spravovaní nastavení nájomníka. Tu je niekoľko príkladov.

  • Tvorcovia pracovných priestorov služby Power BI: Užitočné, keď potrebujete obmedziť, kto môže vytvárať pracovné priestory. Používa sa na nastavenie nájomníka Vytvoriť pracovné priestory .
  • Odborníci na predmet certifikácie v službe Power BI: Užitočné na určenie toho, kto má povolenie používať certifikovaný odporučenie pre obsah. Používa sa na nastavenie nájomníka certifikácie.
  • Schválení tvorcovia obsahu v službe Power BI: Užitočné, keď potrebujete schválenie, školenie, potvrdenie politiky pre inštaláciu aplikácie Power BI Desktop alebo na získanie licencie Power BI Pro alebo PPU. Používajú ho nastavenia nájomníka, ktoré podporujú možnosti vytvárania obsahu, ako napríklad Povoliť pripojenia DirectQuery k sémantickým modelom Power BI, ponúkať aplikácie koncovým používateľom, Povoliť koncové body XMLA a ďalšie.
  • Používatelia externých nástrojov Power BI: Užitočné, ak povolíte použitie externých nástrojov pre selektívnu skupinu používateľov. Používa sa skupinovej politiky alebo vtedy, keď je potrebné starostlivo riadiť softvérové inštalácie alebo žiadosti.
  • Vlastní vývojári služby Power BI: Užitočné vtedy, keď potrebujete kontrolovať, kto má povolenie na vkladanie obsahu do iných aplikácií mimo služby Power BI. Používa sa na nastavenie nájomníka Vložiť obsah do aplikácií .
  • Verejné publikovanie v službe Power BI: Užitočné, keď je potrebné obmedziť, kto môže publikovať údaje verejne. Používa sa na nastavenie nájomníka Publikovať na webe .
  • Zdieľanie služby Power BI s celou organizáciou: Užitočné, keď potrebujete obmedziť, kto môže zdieľať prepojenie so všetkými používateľmi v organizácii. Používa sa na nastavenie prepojení Povoliť zdieľanie, ktoré udeľujú prístup všetkým používateľom v organizácii ako nájomník.
  • Externé zdieľanie údajov v službe Power BI: Užitočné, keď potrebujete povoliť určitým používateľom zdieľať sémantické modely s externými používateľmi. Používa sa na nastavenie nastavenia Povoliť konkrétnym používateľom zapnúť nájomníka zdieľania externých údajov.
  • Prístup hosťovského používateľa služby Power BI je užitočný, keď potrebujete zoskupiť schválených externých používateľov, ktorým vaša organizácia udelí licenciu. Používa sa na nastavenie Povoliť hosťovským používateľom služby Microsoft Entra prístup k nájomníkovi služby Power BI .
  • Prístup hosťovského používateľa služby Power BI BYOL: Užitočné, keď potrebujete zoskupiť schválených externých používateľov, ktorí majú vlastnú licenciu (BYOL) z ich domovskej organizácie. Používa sa na nastavenie Povoliť hosťovským používateľom služby Microsoft Entra prístup k nájomníkovi služby Power BI .

Tip

Informácie o používaní skupín pri plánovaní prístupu k pracovnému priestoru nájdete v článku Plánovanie na úrovni pracovného priestoru. Informácie o plánovaní zabezpečenia pracovných priestorov, aplikácií a položiek nájdete v článku Plánovanie zabezpečenia spotrebiteľa zostáv.

Typ skupiny

Môžete vytvoriť rôzne typy skupín.

  • Skupina zabezpečenia: Skupina zabezpečenia je najlepšou voľbou, keď je vaším hlavným cieľom udeliť prístup k prostriedku.
  • Skupina zabezpečenia s podporou e-mailu: Keď potrebujete udeliť prístup k prostriedku a distribuovať správy celej skupine e-mailom, skupina zabezpečenia s podporou e-mailu je dobrou voľbou.
  • Skupina v Microsoft 365: Tento typ skupiny má lokalitu Teams a e-mailovú adresu. Je to najlepšia voľba, keď primárnym cieľom je komunikácia alebo spolupráca na lokalite Teams. Skupina v službe Microsoft 365 má len členov a vlastníkov. Nie je k dispozícii rola čitateľa. Z tohto dôvodu je jej hlavným účelom spolupráca. Tento typ skupiny bol predtým známy ako skupina v Office 365, moderná skupina alebo jednotná skupina.
  • Distribučná skupina: Distribučnú skupinu môžete použiť na odoslanie oznámenia o vysielaní zoznamu používateľov. Dnes sa považuje za staršiu koncepciu, ktorá poskytuje spätnú kompatibilitu. V prípade nových prípadov použitia odporúčame namiesto toho vytvoriť skupinu zabezpečenia s podporou e-mailu.

Keď požiadate o novú skupinu alebo plánujete použiť existujúcu skupinu, je dôležité mať na pamäti jej typ. Typ skupiny môže určiť, ako sa používa a spravuje.

  • Povolenia Power BI: Nie každý typ skupiny je podporovaný pre každý typ operácie zabezpečenia. Skupiny zabezpečenia (vrátane skupín zabezpečenia s podporou e-mailu) ponúkajú najvyššie pokrytie, pokiaľ ide o nastavenie možností zabezpečenia služby Power BI. Dokumentácia spoločnosti Microsoft vo všeobecnosti odporúča skupiny v Microsoft 365. V prípade služby Power BI však nie sú také schopné ako skupiny zabezpečenia. Ďalšie informácie o povoleniach služby Power BI nájdete v ďalších článkoch v tejto sérii o plánovaní zabezpečenia.
  • Nastavenia nájomníka služby Power BI: Pri povoľovaní alebo povolení skupín používateľov na prácu s nastaveniami nájomníka služby Power BI môžete používať iba skupiny zabezpečenia (vrátane skupín zabezpečenia s podporou e-mailu).
  • Pokročilé funkcie služby Microsoft Entra: Niektoré typy pokročilých funkcií nie sú podporované pre všetky typy skupín. Môžete napríklad dynamicky spravovať členstvo v skupine na základe atribútu v identifikátore Microsoft Entra (napríklad oddelenia pre používateľa alebo dokonca vlastného atribútu). Dynamické členstvá v skupinách podporujú iba skupiny v Microsoft 365 a skupiny zabezpečenia. Ak chcete vnoriť skupinu do skupiny, uvedomte si, že skupiny v Microsoft 365 túto možnosť nepodporia.
  • Spravované inak: Vaša žiadosť o vytvorenie alebo spravovanie skupiny môže byť smerovaná na iného správcu na základe typu skupiny (skupiny zabezpečenia s podporou e-mailu a distribučné skupiny sa spravujú v Exchangei). Váš interný proces sa preto bude líšiť v závislosti od typu skupiny.

Konvencia pomenovávanie skupín

Je pravdepodobné, že na podporu implementácie služby Power BI budete mať mnoho skupín v aplikácii Microsoft Entra ID. Preto je dôležité dohodnúť si spôsob pomenovania skupín. Dobrá konvencia pomenovania pomôže určiť účel skupiny a zjednodušiť jej spravovanie.

Zvážte použitie nasledujúcej štandardnej konvencie pomenovania: <Predpona<>Účel> – <Téma/Rozsah/Oddelenie><[Prostredie]>

Nasledujúci zoznam popisuje každú časť konvencie pomenovania.

  • Predpona: slúži na zoskupenie všetkých skupín v službe Power BI. Ak sa skupina použije pre viac ako jeden analytický nástroj, vaša predpona môže byť skôr BI než Power BI. V takom prípade bude text, ktorý popisuje účel, všeobecnejší, aby sa vzťahoval na viac ako jeden analytický nástroj.
  • Účel: Účel sa bude líšiť. Môže to byť pre rolu pracovného priestoru, povolenia aplikácie, povolenia na úrovni položky, zabezpečenie na úrovni riadkov alebo iný účel. Niekedy môže byť s jednou skupinou spokojný viacero účelov.
  • Téma/Rozsah/Oddelenie: Používa sa na objasnenie toho, na koho sa skupina vzťahuje. Často sa tu popisuje členstvo v skupine. Môže odkazovať aj na to, kto spravuje skupinu. Niekedy je možné použiť jednu skupinu na viaceré účely. Kolekciu finančných pracovných priestorov možno napríklad spravovať s jednou skupinou.
  • Prostredie: Voliteľné. Užitočné na odlíšenie vývoja, testovania a produkcie.

Tu je niekoľko príkladov názvov skupín, ktoré používajú štandardnú konvenciu pomenovania.

  • Správcovia pracovného priestoru služby Power BI – Financie [Dev]
  • Členovia pracovného priestoru služby Power BI – Finance [Dev]
  • Prispievatelia do pracovného priestoru služby Power BI – Finance [Dev]
  • Používatelia pracovného priestoru služby Power BI – Financie [Dev]
  • Používatelia aplikácií služby Power BI – Financie
  • Správcovia brány Power BI – Enterprise BI
  • Správcovia brány Power BI – Financie

Rozhodnutia na skupinu

Pri plánovaní skupín, ktoré budete potrebovať, je potrebné vykonať niekoľko rozhodnutí.

Ak tvorca alebo vlastník obsahu požiada o novú skupinu, v ideálnom prípade používajú formulár na poskytnutie nasledujúcich informácií.

  • Názov a účel: navrhovaný názov skupiny a jej zamýšľaný účel. Zvážte zahrnutie služby Power BI (alebo iba BI , ak máte viacero nástrojov BI) do názvu skupiny, aby ste jasne uviedli rozsah skupiny.
  • E-mailová adresa: E-mailová adresa v prípade vyžadovania komunikácie aj pre členov skupiny. Niektoré typy skupín nemusia byť povolené e-mailom.
  • Typ skupiny: Možnosti zahŕňajú skupinu zabezpečenia, skupinu zabezpečenia s podporou e-mailu, skupinu v Microsoft 365 a distribučnú skupinu.
  • Vlastník skupiny: Kto môžu vlastniť a spravovať členov skupiny.
  • Členstvo v skupine: Zamýšľaní používatelia, ktorí budú členmi skupiny. Zvážte, či je možné pridať externých používateľov a interných používateľov, alebo či existuje opodstatnenie na uvedenie externých používateľov do inej skupiny.
  • Použitie priradenia člena skupiny presne na čas: Pomocou privilegovaného spravovania identity (PIM) môžete povoliť prístup do skupiny s časovým údajom, jednoducho v čase. Táto služba môže byť užitočná, ak používatelia vyžadujú dočasný prístup. PiM je užitočný aj pre správcov služby Power BI, ktorí potrebujú príležitostný prístup.

Tip

Existujúce skupiny založené na grafe organizácie nie vždy fungujú správne pre účely služby Power BI. Existujúce skupiny použite vtedy, keď spĺňajú vaše potreby. Buďte však pripravení vytvoriť v prípade potreby skupiny špecifické pre Power BI.

Kontrolný zoznam – pri vytváraní stratégie používania skupín, ku kľúčovým rozhodnutiam a akciám patria:

  • Rozhodnite sa o stratégii používania skupín: Určite prípady použitia a účely, na ktoré budete musieť použiť skupiny. Používajte konkrétne informácie o tom, kedy sa má použiť zabezpečenie pomocou používateľských kont, a kedy sa vyžaduje alebo uprednostňuje skupina.
  • Vytvorte konvenciu pomenovania pre skupiny špecifické pre službu Power BI: Uistite sa, že sa používa konzistentná konvencia pomenovania pre skupiny, ktoré podporujú komunikáciu, funkcie, správu alebo zabezpečenie služby Power BI.
  • Rozhodnite sa, kto bude môcť vytvárať skupiny: Objasnite, či je potrebné prejsť IT vytvorením všetkých skupín. Alebo či určitým jednotlivcom (napríklad satelitným členom COE) možno udeliť povolenie na vytváranie skupín pre ich obchodnú jednotku.
  • Vytvorte proces, ako požiadať o novú skupinu: Vytvorte formulár, ktorý umožní používateľom požiadať o vytvorenie novej skupiny. Uistite sa, že existuje proces rýchleho reagovania na nové žiadosti. Majte na pamäti, že ak sa žiadosti oneskoria, používatelia môžu byť v pokušení začať priraďovať povolenia jednotlivým kontám.
  • Rozhodnite sa, kedy je povolená decentralizovaná správa skupiny: V prípade skupín, ktoré sa vzťahujú na konkrétny tím, rozhodnite, kedy je prijateľné, aby vlastník skupiny (mimo IT) mohol spravovať členov v skupine.
  • Rozhodnite sa, či sa použije členstvo v skupinách presne na čas: Určite, či bude užitočná správa privilegovanej identity. Ak áno, určte, pre ktoré skupiny sa dá použiť (napríklad skupina správcov služby Power BI).
  • Kontrola, ktoré skupiny v súčasnosti existujú: Určte, ktoré existujúce skupiny možno použiť a ktoré skupiny je potrebné vytvoriť.
  • Kontrola nastavenia každého nájomníka: Pre každé nastavenie nájomníka určite, či bude povolené alebo zakázané pre konkrétnu množinu používateľov. Určenie, či je potrebné vytvoriť novú skupinu na nastavenie nastavenia nájomníka.
  • Vytvorenie a publikovanie sprievodných informácií pre používateľov v skupinách: Zahrňte dokumentáciu pre tvorcov obsahu, ktorá zahŕňa požiadavky alebo preferencie pre používanie skupín. Uistite sa, že vedia, o čo požiadať, keď požiadajú o novú skupinu. Tieto informácie publikujte na centralizovaný portál a školiace materiály.

Súvisiaci obsah

V nasledujúcom článku v tejto sérii získate informácie o spôsoboch bezpečného doručenia obsahu používateľom zostáv, ktorí majú len formát čítania.