Distribúcia obsahu Power BI externým hostiteľským používateľom pomocou služby Azure Active Directory B2B

Zhrnutie: Jedná sa o technický whitepaper, ktorý načrtáva, ako distribuovať obsah používateľom mimo organizácie pomocou integrácie Azure Active Directory Business-to-business (Azure AD B2B).

Spisovatelia: Lukasz Pawlowski, Kasper de Jonge

Technickí recenzenti: Adam Wilson, Sheng Liu, Qian Liang, Sergej Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Poznámka

Túto technickú dokumentáciu môžete uložiť alebo vytlačiť tak, že vyberiete možnosť Tlačiť v prehliadači a potom možnosť Uložiť ako PDF.

Úvod

Power BI poskytuje organizáciám 360-stupňový pohľad na ich podnikanie a umožňuje všetkým v týchto organizáciách robiť inteligentné rozhodnutia pomocou údajov. Mnohé z týchto organizácií majú silné a dôveryhodné vzťahy s externými partnermi, klientmi a dodávateľmi. Tieto organizácie musia používateľom týchto externých partnerov poskytovať bezpečný prístup k tabuliam a zostavám služby Power BI.

Power BI sa integruje so Azure Active Directory Business-to-business (Azure AD B2B), aby umožnila bezpečnú distribúciu obsahu služby Power BI hosťujúcim používateľom mimo organizácie – pri zachovaní kontroly a riadení prístupu k interným údajom.

Táto biela kniha obsahuje všetky podrobnosti, ktoré potrebujete na pochopenie integrácie služby Power BI s Azure Active Directory B2B. Pokrývame jeho najbežnejší prípad použitia, nastavenie, udeľovanie licencií a zabezpečenie na úrovni riadkov.

Poznámka

V tejto bielej knihe odkazujeme na Azure Active Directory ako Azure AD a Azure Active Directory Business to Business ako Azure AD B2B.

Scenáre

Contoso je výrobca automobilov a spolupracuje s mnohými rôznymi dodávateľmi, ktorí jej poskytujú všetky komponenty, materiály a služby potrebné na prevádzku svojich výrobných operácií. Contoso chce zefektívniť logistiku dodávateľského reťazca a plánuje používať Power BI na monitorovanie kľúčových metriky výkonnosti svojho dodávateľského reťazca. Contoso chce zdieľať s externými partnermi dodávateľského reťazca analýzu bezpečným a zvládnuteľným spôsobom.

Contoso môže povoliť nasledujúce možnosti pre externých používateľov pomocou služby Power BI a Azure AD B2B.

Ad hoc na zdieľanie položiek

Contoso spolupracuje s dodávateľom, ktorý vyrába radiátory pre autá Contoso. Často musia optimalizovať spoľahlivosť radiátorov pomocou údajov zo všetkých vozidiel contoso. Analytik spoločnosti Contoso používa Power BI na zdieľanie správy o spoľahlivosti radiátora s inžinierom u dodávateľa. Inžinier dostane e-mail s prepojením na zobrazenie zostavy.

Ako je opísané vyššie, toto zdieľanie ad hoc vykonávajú obchodní používatelia podľa potreby. Prepojenie odoslané power bi externému používateľovi je prepojenie pozvania služby Azure AD B2B. Keď externý používateľ otvorí prepojenie, zobrazí sa výzva na pripojenie sa k organizácii Azure AD spoločnosti Contoso ako hosťujúci používateľ. Po prijatí pozvánky sa na prepojenie otvorí konkrétna zostava alebo tabuľa. Správca Azure Active Directory deleguje povolenie pozvať externých používateľov do organizácie a vyberie, čo môžu títo používatelia urobiť, keď prijmú pozvánku, ako je popísané v časti Správa tohto dokumentu. Analytik contoso môže pozvať hosťujúceho používateľa len preto, že správca služby Azure AD povolil túto akciu a správca služby Power BI umožnil používateľom pozvať hostí na zobrazenie obsahu v nastaveniach nájomníka služby Power BI.

Pozvanie hostí do služby Power BI pomocou AAD

  1. Proces začína interným používateľom contoso, ktorý zdieľa tabuľu alebo zostavu s externým používateľom. Ak externý používateľ ešte nie je hosťom v službe Azure AD spoločnosti Contoso, sú pozvaní. Na ich e-mailovú adresu, ktorá obsahuje pozvánku na Azure AD spoločnosti Contoso, sa odošle e-mail
  2. Príjemca prijme pozvanie na Azure AD spoločnosti Contoso a pridá sa ako hosť v službe Azure AD spoločnosti Contoso.
  3. Príjemca sa potom presmeruje na tabuľu, zostavu alebo aplikáciu služby Power BI, ktoré sú určené iba na čítanie pre používateľa.

Tento proces sa považuje za ad hoc, pretože obchodní používatelia v contoso vykonávajú pozývanú akciu podľa potreby na svoje obchodné účely. Každá zdieľaná položka je jediným prepojením, ku ktoré má externý používateľ prístup na zobrazenie obsahu.

Po pozvaní externého používateľa na prístup k prostriedkom Contoso sa pre nich môže vytvoriť tieňové konto v službe Contoso Azure AD a nie je potrebné ho znova pozvať. Pri prvom pokuse o prístup k zdroju Contoso, ako je tabuľa služby Power BI, prechádzajú procesom súhlasu, ktorý uplatní pozvánku. Ak nedokončia súhlas, nemajú prístup k žiadnemu obsahu spoločnosti Contoso. Ak majú problémy s uplatnením pozvánky prostredníctvom pôvodného poskytnutého prepojenia, správca služby Azure AD môže rozhorčenie s konkrétnym odkazom na pozvánku na uplatnenie.

Plánované zdieľanie na položku

Contoso spolupracuje so subdodávateľom na analýze spoľahlivosti radiátorov. Subdodávateľ má tím 10 ľudí, ktorí potrebujú prístup k údajom v prostredí služby Contoso Power BI. Správca AD Contoso Azure je zapojený, aby pozval všetkých používateľov a spracoval akékoľvek doplnky / zmeny ako personál zmeny subdodávateľa. Správca služby Azure AD vytvorí skupinu zabezpečenia pre všetkých zamestnancov subdodávateľa. Pomocou skupiny zabezpečenia môžu zamestnanci spoločnosti Contoso jednoducho spravovať prístup k zostavám a zabezpečiť, aby všetci požadovaní subdodávatelia mali prístup ku všetkým požadovaným zostavám, tabuliam a aplikáciám služby Power BI. Správca služby Azure AD sa tiež môže vyhnúť tomu, aby sa úplne zapojil do procesu pozvania tým, že sa rozhodne delegovať práva na pozvanie na dôveryhodného zamestnanca spoločnosti Contoso alebo u subdodávateľa, aby sa zabezpečilo včasné riadenie personálu.

Niektoré organizácie vyžadujú väčšiu kontrolu nad pridaním externých používateľov, pozývajú mnohých používateľov v externej organizácii alebo v mnohých externých organizáciách. V týchto prípadoch sa plánované zdieľanie môže použiť na správu rozsahu zdieľania, presadzovanie organizačných politík a dokonca aj na delegovanie práv na dôveryhodných jednotlivcov na pozvanie a správu externých používateľov. Azure AD B2B podporuje plánované pozvánky, ktoré má odoslať priamo z portálu Azure správcom ITalebo cez PowerShell pomocou rozhrania API správcu pozvania, kde je možné pozvať množinu používateľov v jednej akcii. Pomocou prístupu plánovaných pozvaní môže organizácia kontrolovať, kto môže pozvať používateľov a implementovať schvaľovacie procesy. Pokročilé možnosti azure AD, ako sú dynamické skupiny, môžu uľahčiť automatické udržiavanie členstva v skupine zabezpečenia.

Ovládanie obsahu, ktoré hostia môžu vidieť

  1. Proces začína tým, že správca IT pozýva hosťujúceho používateľa buď manuálne, alebo prostredníctvom rozhrania API poskytovaného Azure Active Directory
  2. Používateľ prijme pozvanie do organizácie.
  3. Po prijatí pozvánky používateľ v službe Power BI môže zdieľať zostavu alebo tabuľu s externým používateľom alebo skupinu zabezpečenia, v ktorej sa nachádzajú. Rovnako ako pri pravidelnom zdieľaní v službe Power BI externý používateľ dostane e-mail s prepojením na položku.
  4. Keď externý používateľ pristupuje k prepojeniu, jeho overenie v adresári sa prenesie do služby Azure AD spoločnosti Contoso a použije sa na získanie prístupu k obsahu služby Power BI.

Ad hoc alebo plánované zdieľanie aplikácií Power BI

Contoso má sadu zostáv a tabúľ, ktoré musia zdieľať s jedným alebo viacerými dodávateľmi. Aby sa zabezpečilo, že všetci požadovaní externí používatelia budú mať prístup k tomuto obsahu, je zabalený ako aplikácia služby Power BI. Externí používatelia sa buď pridajú priamo do zoznamu prístupov k aplikáciám alebo prostredníctvom skupín zabezpečenia. Niekto v spoločnosti Contoso potom odošle adresu URL aplikácie všetkým externým používateľom, napríklad v e-maile. Keď externí používatelia otvoria prepojenie, zobrazia všetok obsah v jednom ľahko navigovateľnom zážitku.

Používanie aplikácie Power BI uľahčuje spoločnosti Contoso vytvoriť portál BI pre svojich dodávateľov. Jeden zoznam prístupov riadi prístup ku všetkému požadovanému obsahu, čím sa znižuje kontrola premárneného času a nastavenie povolení na úrovni položiek. Azure AD B2B zachováva prístup k zabezpečeniu pomocou natívnej identity dodávateľa, takže používatelia nepotrebujú ďalšie prihlasovacie údaje. Ak používate plánované pozvánky so skupinami zabezpečenia, zjednoduší sa správa prístupu k aplikácii, keď sa zamestnanci otáčajú do projektu alebo z projektu. Členstvo v skupinách zabezpečenia manuálne alebo pomocou dynamických skupíntak, aby sa všetci externí používatelia od dodávateľa automaticky pridali do príslušnej skupiny zabezpečenia.

Ovládanie obsahu pomocou AAD

  1. Proces sa spustí pozvaním používateľa do organizácie Azure AD spoločnosti Contoso prostredníctvom portálu Azure alebo prostredia PowerShell.
  2. Používateľa je možné pridať do skupiny používateľov v službe Azure AD. Môže sa použiť statická alebo dynamická skupina používateľov, ale dynamické skupiny pomáhajú znižovať manuálnu prácu.
  3. Externí používatelia majú prístup k aplikácii Power BI prostredníctvom skupiny používateľov. Adresa URL aplikácie by mala byť odoslaná priamo externému používateľovi alebo umiestnená na stránke, ku ktorú má prístup. Služba Power BI vynakladá maximálne úsilie na odoslanie e-mailu s prepojením aplikácie externým používateľom, ale pri používaní skupín používateľov, ktorých členstvo sa môže zmeniť, služba Power BI nie je schopná odosielať všetkým externým používateľom spravovaným prostredníctvom skupín používateľov.
  4. Keď externý používateľ pristupuje k adrese URL aplikácie Power BI, overí ich azure AD spoločnosti Contoso, aplikácia je nainštalovaná pre používateľa a používateľ môže zobraziť všetky obsiahnuté zostavy a tabule v aplikácii.

Aplikácie majú tiež jedinečnú funkciu, ktorá umožňuje autorom aplikácií nainštalovať aplikáciu automaticky pre používateľa, takže je k dispozícii, keď sa používateľ prihlási. Táto funkcia sa nainštaluje automaticky iba pre externých používateľov, ktorí sú už súčasťou organizácie contoso v čase publikovania alebo aktualizácie aplikácie. Preto sa najlepšie používa s prístupom plánovaných pozvaní a závisí od zverejnenia alebo aktualizácie aplikácie po pridaní používateľov do služby Azure AD spoločnosti Contoso. Externí používatelia môžu aplikáciu vždy nainštalovať pomocou odkazu aplikácie.

Komentovanie a prihlásenie na odber obsahu v organizáciách

Keďže Contoso naďalej spolupracuje so svojimi subdodávateľmi alebo dodávateľmi, externí inžinieri musia úzko spolupracovať s analytikmi spoločnosti Contoso. Power BI poskytuje niekoľko funkcií spolupráce, ktoré pomáhajú používateľom komunikovať o obsahu, ktorý môžu spotrebovať. Komentovanie tabule (a čoskoro komentovanie správy) umožňuje používateľom diskutovať o dátových bodoch, ktoré vidia, a komunikovať s autormi zostáv, aby sa pýtali otázky.

V súčasnosti sa externí hosťujúci používatelia môžu zúčastňovať na komentároch zanechaním komentárov a čítaním odpovedí. Na rozdiel od interných používateľov však hosťujúci používatelia nemôžu byť @mentioned a nedostávajú upozornenia, že dostali komentár. Hosťujúci používatelia nemôžu v čase písania používať funkciu predplatného v službe Power BI. V nadchádzajúcom vydaní sa tieto obmedzenia zrušia a hosťujúci používateľ dostane e-mail, keď ich komentár alebo @mentions keď sa do ich e-mailu doručí predplatné, ktoré obsahuje prepojenie na obsah v službe Power BI.

Prístup k obsahu v mobilných aplikáciách Služby Power BI

V nadchádzajúcom vydaní, keď používatelia spoločnosti Contoso zdieľajú zostavy alebo tabule so svojimi externými hosťovským náprotivkami, power BI odošle e-mail s upozornením hosťa. Keď hosťujúci používateľ otvorí prepojenie na zostavu alebo tabuľu vo svojom mobilnom zariadení, obsah sa otvorí v natívnych mobilných aplikáciách služby Power BI v zariadení, ak je nainštalovaný. Hosťujúci používateľ potom bude môcť prechádzať medzi obsahom zdieľaným s nimi v externom nájomníkovi a späť k vlastnému obsahu od svojho domáceho nájomcu.

Poznámka

Hosťujúci používateľ nemôže otvoriť mobilnú aplikáciu Power BI a okamžite prejsť na externého nájomníka, musí začať prepojením na položku v externom nájomníkovi. Bežné riešenia sú popísané v prepojeniach Distribúcia obsahu v časti Power BI nadradenej organizácie neskôr v tomto dokumente.

Medziorganizačná úprava a správa obsahu služby Power BI

Contoso a jeho dodávatelia a subdodávatelia čoraz užšie spolupracujú. Často analytik v spoločnosti Contoso potrebuje ďalšie metriky alebo vizualizácie údajov, ktoré treba pridať do zostavy, ktorá s nimi zdieľa spoločnosť Contoso. Údaje by sa mali nachádzať v nájomníkovi služby Power BI spoločnosti Contoso, ale externí používatelia by ho mali mať možnosť upravovať, vytvárať nový obsah a dokonca distribuovať príslušným jednotlivcom.

Power BI poskytuje možnosť, ktorá umožňuje externým hosťovských používateľom upravovať a spravovať obsah v organizácii. Predvolene majú externí používatelia iba na čítanie orientované prostredie. Toto nové nastavenie však umožňuje správcovi služby Power BI vybrať, ktorí externí používatelia môžu upravovať a spravovať obsah v rámci svojej organizácie. Po povolení môže externý používateľ upravovať zostavy, tabule, publikovať alebo aktualizovať aplikácie, pracovať v pracovných priestoroch a pripájať sa k údajom, na ktoré má povolenie používať.

Tento scenár je podrobne popísaný v časti Povolenie externým používateľom upravovať a spravovať obsah v rámci služby Power BI ďalej v tomto dokumente.

Organizačné vzťahy pomocou služby Power BI a Azure AD B2B

Keď sú všetci používatelia služby Power BI v organizácii interne, službu Azure AD B2B nemusíte používať. Keď sa však dve alebo viacero organizácií chce spolupracovať na údajoch a prehľadoch, podpora služby Power BI pre Azure AD B2B umožňuje jednoduché a cenovo efektívne riešenie.

Nižšie sa zvyčajne vyskytujú štruktúry organizácie, ktoré sú vhodné pre spoluprácu v službe Azure AD B2B v štýle služby Azure AD na základe organizácie v službe Power BI. Služba Azure AD B2B funguje vo väčšine prípadov veľmi dobre, v niektorých situáciách však stojí za zmienku bežné alternatívne prístupy, ktoré sú uvedené na konci tohto dokumentu.

Prípad 1: Priama spolupráca medzi organizáciami

Vzťah spoločnosti Contoso s týmto dodávateľom je príkladom priamej spolupráce medzi organizáciami. Keďže v spoločnosti Contoso existuje relatívne málo používateľov, ktorí potrebujú prístup k informáciám o spoľahlivosti úložiska Azure AD B2B, externé zdieľanie je ideálne. Spravovanie je jednoduché. Toto je tiež bežný vzor v konzultačných službách, v ktorých môže konzultant vytvárať obsah pre organizáciu.

Zdieľanie medzi organizáciami

Toto zdieľanie sa zvyčajne zvyčajne zvyčajne vyskytuje s použitím ad hoc zdieľania položiek. Keď však tímy rastú alebo vzťahy prehlbujú, prístup Plánované zdieľanie položiek sa stane preferovanou metódou na zníženie nákladov na správu. Okrem toho môže zahrať aj ad hoc alebo plánované zdieľanie aplikácií Power BI, komentovanie a prihlásenie na odber obsahu v rámci organizácií, prístup k obsahu v mobilných aplikáciách a úpravy a spravovanie obsahu služby Power BI medzi organizáciami. Dôležité je, že ak používatelia oboch organizácií majú vlastné Power BI Pro licencie v príslušných organizáciách, môžu tieto licencie pre Pro používať aj v prostrediach služby Power BI. Toto poskytuje výhodné licencie, pretože pozývajúca organizácia nemusí platiť za Power BI Pro licencie pre externých používateľov. Podrobnejšie sa to rozoberá v časti Licencovanie ďalej v tomto dokumente.

Prípad 2: Nadradený a jeho pobočky alebo sesterských spoločností

Niektoré organizačné štruktúry sú zložitejšie, vrátane čiastočne alebo priamo vlastnených pobočiek, sesterských spoločností alebo spravovaných vzťahov poskytovateľa služieb. Tieto organizácie majú nadradenú organizáciu, ako je holdingová spoločnosť, ale základné organizácie pracujú čiastočne nezávisle, niekedy pod rôznymi regionálnymi požiadavkami. Vedie to k tomu, že každá organizácia má vlastné prostredie služby Azure AD a samostatných nájomníkov služby Power BI.

Práca s pobočkami

V tejto štruktúre potrebuje nadradená organizácia zvyčajne distribuovať štandardizované prehľady svojim pobočkám. Toto zdieľanie sa zvyčajne vyskytuje pomocou prístupu Ad hoc alebo plánovaného zdieľania aplikácií Power BI, ako je znázornené na nasledujúcom obrázku, pretože umožňuje distribúciu štandardizovaného smerodajného obsahu širokej cieľovej skupine. V praxi sa používa kombinácia všetkých scenárov uvedených vyššie v tomto dokumente.

Kombinovanie scenárov

Nasleduje nasledujúci proces:

  1. Používatelia z každej pobočky sú pozvaní do služby Azure AD spoločnosti Contoso.
  2. Potom sa publikuje aplikácia Power BI s cieľom poskytnúť týmto používateľom prístup k požadovaným údajom
  3. Nakoniec používatelia otvoria aplikáciu prostredníctvom prepojenia, ktoré dostali na zobrazenie zostáv.

S niekoľkými dôležitými výzvami sa stretávajú organizácie v tejto štruktúre:

  • Ako distribuovať prepojenia na obsah v Službe Power BI nadradenej organizácie
  • Umožnenie pomocných používateľov získať prístup k zdroju údajov hosťovanému nadradenou organizáciou

Na distribúciu prepojení k obsahu sa bežne používajú tri prístupy. Prvým a najzákladnejším je odoslanie prepojenia na aplikáciu požadovaným používateľom alebo na miesto v lokalite SharePoint Online, z ktorej je možné aplikáciu otvoriť. Používatelia si potom môžu vytvoriť záložku na prepojenie vo svojich prehliadačoch, aby mali rýchlejší prístup k údajom, ktoré potrebujú.

Druhý prístup sa opiera o úpravu a správu obsahu v rámci organizácie v rámci služby Power BI. Nadradená organizácia umožňuje používateľom z pobočky pristupovať k jej službe Power BI a riadi, k čomu môžu získať prístup prostredníctvom povolenia. Poskytuje tak prístup k Power BI Domov pričom používateľ z pobočky uvidí komplexný zoznam obsahu, ktorý sa s nimi zdieľa v nájomníkovi nadradenej organizácie. Potom sa URL adresa prostredia Power BI nadradených organizácií predá používateľom v pobočkách.

Definitívny prístup používa aplikáciu Power BI vytvorenú v rámci nájomníka služby Power BI pre každú pobočku. Aplikácia Power BI obsahuje tabuľu s dlaždicami nakonfigurovanými s možnosťou externého prepojenia. Keď používateľ stlačí dlaždicu, presmeruje sa na príslušnú zostavu, tabuľu alebo aplikáciu v službe Power BI nadradenej organizácie. Tento prístup má pridanú výhodu, že aplikácia sa môže nainštalovať automaticky pre všetkých používateľov v pobočke a bude k dispozícii pre nich pri každom prihlásení do vlastného prostredia služby Power BI. Pridanou výhodou tohto prístupu je, že dobre funguje s mobilnými aplikáciami Power BI, ktoré môžu natívne otvoriť prepojenie. Môžete to skombinovať aj s druhým prístupom, čo vám umožní jednoduchšie prepínanie medzi prostrediami služby Power BI.

Umožnenie používateľom s pobočkou pristupovať k zdrojom údajov hosťovaných nadradenou organizáciou

Analytici v pobočke často potrebujú vytvoriť vlastnú analýzu pomocou údajov, ktoré jej poskytol nadradená organizácia. V tomto prípade sa na riešenie tejto výzvy bežne používajú cloudové zdroje údajov.

Prvý prístup využíva služby Azure Analysis Services na vytvorenie skladu údajov podnikovej triedy, ktorý slúži potrebám analytikov v nadradenej oblasti a jej pobočkách, ako je znázornené na nasledujúcom obrázku. Spoločnosť Contoso môže hosťovať údaje a používať možnosti, ako napríklad zabezpečenie na úrovni riadkov, a zabezpečiť, aby používatelia v každej pobočke mohli pristupovať iba k svojim údajom. Analytici v každej organizácii môžu získať prístup k skladu údajov prostredníctvom služby Power BI Desktop a publikovať výslednú analýzu pre príslušných nájomníkov služby Power BI.

Ako sa zdieľanie prebieha s nájomníkmi služby Power BI

Druhý prístup využíva databázu Azure SQL na vytvorenie relačného skladu údajov a poskytuje prístup k údajom. Táto možnosť funguje podobne ako pri prístupe služby Azure Analysis Services, hoci niektoré možnosti, ako napríklad zabezpečenie na úrovni riadkov, môžu byť ťažšie nasadiť a spravovať v pobočkách.

Sofistikovanejšie prístupy sú tiež možné, no uvedené prístupy sú zďaleka najbežnejšie.

Prípad 3: Zdieľané prostredie v rámci partnerov

Spoločnosť Contoso môže zadať partnerstvo s konkurentom spoločne vytvoriť auto na zdieľanej zostave, ale distribuovať tieto spoločnosti pod rôznymi značkami alebo v rôznych oblastiach. To si vyžaduje rozsiahlu spoluprácu a spoluvlastlastné vlastníctvo údajov, funkcií inteligencie a analýz v rámci organizácií. Táto štruktúra je bežná aj v odvetví konzultačných služieb, v ktorom môže tím konzultantov pre klienta robiť analýzu na základe projektu.

Zdieľané prostredie v rámci partnerov

V praxi sú tieto štruktúry zložité, ako je to znázornené na nasledujúcom obrázku, a vyžadujú údržbu zamestnancov. Aby táto štruktúra bola efektívna, závisí od úprav a spravovania obsahu v rámci organizácie, pretože umožňuje organizáciám opätovné použitie licencií pre Power BI Pro príslušné nájomníkov služby Power BI, ktoré sa zakúpili pre príslušné licencie služby Power BI.

Licencie a zdieľaný obsah organizácie

Na vytvorenie zdieľaného nájomníka služby Power BI je Azure Active Directory potrebné vytvoriť konto a aspoň jedno používateľské konto Power BI Pro používateľ musí byť zakúpené pre používateľa v tejto službe Active Directory. Tento používateľ pozve požadovaných používateľov do zdieľanej organizácie. Dôležité je, že v tomto scenári sa používatelia spoločnosti Contoso pri použití v rámci služby Power BI zdieľanej organizácie považujú za externých používateľov.

Proces je nasledujúci:

  1. Zdieľaná organizácia je vytvorená ako nová Azure Active Directory v novej organizácii sa vytvorí aspoň jedno používateľské konto. Tento používateľ by mal mať Power BI Pro licenciu.
  2. Tento používateľ potom vytvorí nájomníka služby Power BI a pozve požadovaných používateľov z organizácie Contoso a partnerskej organizácie. Používateľ vytvára tiež všetky zdieľané položky údajov, ako sú napríklad služby Azure Analysis Services. Používatelia spoločnosti Contoso a partner môžu získať prístup k službe Power BI zdieľanej organizácie ako hosťovskí používatelia. Ak majú externí používatelia povolenie na úpravu a spravovanie obsahu v službe Power BI, môžu použiť domovskú lokalitu služby Power BI, používať pracovné priestory, nahrávať alebo upravovať obsah a zdieľať zostavy. Všetky zdieľané položky sú zvyčajne uložené a prístupné zo zdieľanej organizácie.
  3. V závislosti od toho, ako strany súhlasia so spolupracovníkmi, môže každá organizácia vyvinúť vlastné vlastnícke údaje a analýzy s použitím zdieľaných prostriedkov skladu údajov. Tieto služby môžu distribuovať svojim príslušným interným používateľom pomocou interných nájomníkov služby Power BI.

Prípad 4: Distribúcia stovkám alebo tisícom externých partnerov

Spoločnosť Contoso vytvorila zostavu spoľahlivosti v spoločnosti Contoso pre jedného dodávateľa, teraz chce spoločnosť Contoso vytvoriť súbor štandardizovaných zostáv pre stovky dodávateľov. Vďaka tomu spoločnosť Contoso zabezpečuje, aby všetci dodávatelia mali analýzy, ktoré potrebujú na vylepšenie alebo opravu chybných výrobkov v výroba.

Distribúcia mnohým partnerom

Keď organizácia potrebuje distribuovať štandardizované údaje a prehľady mnohým externým používateľom/organizáciám, môže použiť scenár Ad hoc alebo plánované zdieľanie služby Power BI Apps a rýchlo a bez rozsiahlych vývojových nákladov vytvoriť portál BI. Proces zostavenia takéhoto portálu pomocou aplikácie Power BI je zahrnutý v časti Prípadová štúdia: Vytvorenie portálu BI pomocou služby Power BI + Azure AD B2B – podrobné pokyny uvedené ďalej v tomto dokumente.

Bežným variantom tohto prípadu je pokus organizácie o zdieľanie prehľadov so spotrebiteľmi, najmä pri pohľade na použitie Azure B2C so službou Power BI. Služba Power BI natívne nepodporuje Azure B2C. Ak vyhodnocujete možnosti v tomto prípade, zvážte použitie alternatívnej možnosti 2 v časti Bežné alternatívne prístupy v časti ďalej v tomto dokumente.

Prípadová štúdia: Vytvorenie portálu BI pomocou služby Power BI + Azure AD B2B – podrobné pokyny

Integrácia služby Power BI so službou Azure AD B2B poskytuje spoločnosti Contoso bezproblémovú a bezproblémovú možnosť poskytnúť hosťovským používateľom zabezpečený prístup k portálu BI. Contoso to môže nastaviť pomocou troch krokov:

Vytvorenie portálu

  1. Vytvorenie portálu BI v službe Power BI

    Prvou úlohou spoločnosti Contoso je vytvoriť svoj portál BI v službe Power BI. Bi portál contoso bude pozostávať zo zbierky účelových tabúľ a zostáv, ktoré budú sprístupnené mnohým interným a hosťujúcim používateľom. Odporúčaným spôsobom, ako to urobiť v službe Power BI, je vytvorenie aplikácie Power BI. Prečítajte si ďalšie informácie o aplikáciách v službe Power BI.

  • Tím BI spoločnosti Contoso vytvorí pracovný priestor v službe Power BI

    pracovný priestor

  • Do pracovného priestoru sa pridajú ďalší autori

    Pridanie autorov

  • Obsah sa vytvára vo vnútri pracovného priestoru

    Vytvorenie obsahu v pracovnom priestore

    Teraz, keď je obsah vytvorený v pracovnom priestore, contoso je pripravený pozvať hosťujúcich používateľov v partnerských organizáciách, aby tento obsah konzumovali.

  1. Pozvanie hosťovských používateľov

    Spoločnosť Contoso môže pozvať hosťujúcich používateľov na svoj portál BI v službe Power BI dvoma spôsobmi:

    • Plánované pozvánky
    • Pozvánky ad hoc

    Plánované pozvánky

    V tomto prístupe Contoso pozve hosťujúcich používateľov na svoju azure AD vopred a potom im distribuuje obsah služby Power BI. Contoso môže pozvať hosťujúcich používateľov z portálu Azure alebo pomocou prostredia PowerShell. Tu sú kroky na pozvanie hosťujúcich používateľov z portálu Azure:

    • Správca služby Contoso Azure AD prechádza na portál Azure > Azure Active Directory > users > všetci používatelia Nový > hosťujúci používateľ

    Hosťujúci používateľ

    • Pridajte pozvánkovú správu pre hosťujúcich používateľov a kliknite na pozvať

    Pridanie pozvánky

    Poznámka

    Ak chcete pozvať hosťujúcich používateľov z portálu Azure, musíte sa na Azure Active Directory nájomníka obráťte na správcu.

    Ak chce Contoso pozvať mnohých hosťujúcich používateľov, môžu tak urobiť pomocou prostredia PowerShell. Správca služby Azure AD spoločnosti Contoso ukladá e-mailové adresy všetkých hosťujúcich používateľov do súboru CSV. Tu Azure Active Directory B2B kód spolupráce a powershell vzorky a pokyny.

    Po pozvánke dostanú hosťujúci používatelia e-mail s odkazom na pozvánku.

    Prepojenie na pozvanie

    Keď hosťujúci používatelia kliknú na prepojenie, môžu získať prístup k obsahu v nájomníkovi AD Contoso Azure.

    Poznámka

    Rozloženie e-mailu s pozvánkami je možné zmeniť pomocou funkcie značky Azure AD, ako je popísané tu.

    Pozvánky ad hoc

    Čo ak Contoso nepozná všetkých hosťujúcich používateľov, ktorých chce pozvať vopred? Alebo čo ak analytik spoločnosti Contoso, ktorý vytvoril bi portál, chce distribuovať obsah hosťujúcim používateľom sám? Tento scenár podporujeme aj v službe Power BI pomocou ad hoc pozvaní.

    Analytik môže len pridať externých používateľov do prístupového zoznamu aplikácie, keď ju publikujú. Hosťujúci používatelia dostanú pozvánku a akonáhle ju prijmú, automaticky sa presmerujú na obsah služby Power BI.

    Pridanie externého používateľa

    Poznámka

    Pozvánky sú potrebné len pri prvom pozvaní externého používateľa do vašej organizácie.

  2. Distribúcia obsahu

    Teraz, keď tím BI spoločnosti Contoso vytvoril portál BI a pozval hosťujúcich používateľov, môžu distribuovať svoj portál svojim koncovým používateľom tým, že hosťujúcim používateľom poskytnú prístup k aplikácii a publikujú ju. Power BI automaticky dopĺňa mená hosťujúcich používateľov, ktorí boli predtým pridaní do nájomníka Contoso. V tomto bode je možné pridať aj pozvánky Adhoc pre ostatných hosťujúcich používateľov.

    Poznámka

    Ak používate skupiny zabezpečenia na správu prístupu k aplikácii pre externých používateľov, použite prístup Plánované pozvánky a zdieľajte prepojenie aplikácie priamo s každým externým používateľom, ktorý k nej musí pristupovať. V opačnom prípade nemusí byť externý používateľ schopný nainštalovať alebo zobraziť obsah z app._

    Hosťujúci používatelia dostanú e-mail s odkazom na aplikáciu.

    Prepojenie na e-mailovú pozvánku

    Kliknutím na tento odkaz sa od hosťujúcich používateľov zobrazí výzva na overenie totožnosti vlastnej organizácie.

    Prihlásiť sa na stranu

    Po úspešnej autentifikácii sú presmerovaní do aplikácie Contoso BI.

    Zobrazenie zdieľaného obsahu

    Hosťujúci používatelia sa následne môžu dostať do aplikácie Contoso kliknutím na odkaz v e-maile alebo záložkou odkazu. Contoso môže tiež uľahčiť hosťujúcim používateľom pridaním tohto odkazu na existujúci portál extranet, ktorý už hosťujúci používatelia používajú.

  3. Ďalšie kroky

    Pomocou aplikácie Power BI a služby Azure AD B2B dokázal Contoso rýchlo vytvoriť portál BI pre svojich dodávateľov bez kódu. To výrazne zjednodušilo distribúciu štandardizovanej analýzy všetkým dodávateľom, ktorí ju potrebovali.

    Zatiaľ čo príklad ukázal, ako by sa mohla distribuovať jedna spoločná zostava medzi dodávateľov, Power BI môže zájsť oveľa ďalej. Aby sa zabezpečilo, že každý partner uvidí iba údaje relevantné pre seba, zabezpečenie úrovne riadkov sa môže ľahko pridať do zostavy a dátového modelu. Časť Zabezpečenie údajov pre externých partnerov neskôr v tomto dokumente podrobne popisuje tento proces.

    Často je potrebné vložiť jednotlivé zostavy a tabule do existujúceho portálu. To sa dá dosiahnuť aj opätovným emisiou mnohých techník uvedených v príklade. V takýchto situáciách však môže byť jednoduchšie vkladať zostavy alebo tabule priamo z pracovného priestoru. Proces pozývania a priraďovania bezpečnostného povolenia používateľom vyžadujúcich používateľov zostáva rovnaký.

Pod kapotou: Ako má Lucy od dodávateľa1 prístup k obsahu služby Power BI od nájomcu spoločnosti Contoso?

Teraz, keď sme videli, ako je contoso schopný bezproblémovo distribuovať obsah služby Power BI hosťujúcim používateľom v partnerských organizáciách, pozrime sa na to, ako to funguje pod kapotou.

Keď contoso pozve lucy@supplier1.com do svojho adresára, Azure AD vytvorí prepojenie medzi Lucy@supplier1.com a contoso Azure AD nájomca. Toto prepojenie umožňuje azure AD vedieť, že Lucy@supplier1.com môže získať prístup k obsahu v nájomníkovi Contoso.

Keď sa Lucy pokúsi získať prístup k aplikácii Contoso Power BI, Azure AD overí, či má Lucy prístup k nájomníkovi Contoso, a potom poskytuje power BI token, ktorý označuje, že Lucy je overená na prístup k obsahu v nájomníkovi Contoso. Power BI používa tento token na autorizáciu a zabezpečenie toho, aby lucy mala prístup k aplikácii Power BI spoločnosti Contoso.

Overenie a autorizácia

Integrácia služby Power BI so azure AD B2B funguje so všetkými podnikovými e-mailovými adresami. Ak používateľ nemá identitu služby Azure AD, môže sa zobraziť výzva na jej vytvorenie. Nasledujúci obrázok zobrazuje podrobný tok:

Diagram toku integrácie

Je dôležité si uvedomiť, že konto Azure AD sa bude používať alebo vytvárať v službe Azure AD externej strany, čo umožní Lucy používať svoje vlastné používateľské meno a heslo a ich poverenia automaticky prestanú pracovať v iných nájomníkoch vždy, keď Lucy opustí spoločnosť, keď ich organizácia používa aj Azure AD.

Licencovanie

Contoso si môže vybrať jeden z troch prístupov na licencovanie hosťujúcich používateľov od svojich dodávateľov a partnerských organizácií, aby mali prístup k obsahu služby Power BI.

Poznámka

Bezplatná úroveň Azure AD B2B stačí na používanie služby Power BI so služby Azure AD B2B. Niektoré pokročilé funkcie Azure AD B2B, ako sú dynamické skupiny, vyžadujú ďalšie licencie. Ďalšie informácie nájdete v dokumentácii Azure AD B2B:https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance

Prístup 1: Contoso používa Premium služby Power BI

Týmto prístupom contoso zakúpi kapacitu služby Power BI Premium a priradí obsah portálu BI tejto kapacite. To umožňuje hosťujúcim používateľom z partnerských organizácií prístup k aplikácii Contoso Power BI bez licencie služby Power BI.

Externí používatelia podliehajú aj možnostiam spotreby ponúkaných používateľom služby Power BI pri konzumácii obsahu v službe Power BI Premium.

Contoso môže tiež využiť ďalšie prémiové funkcie služby Power BI pre svoje aplikácie, ako sú zvýšené obnovovacie frekvencie, kapacita a veľké veľkosti modelov.

Ďalšie možnosti

Prístup 2: Contoso priraďuje Power BI Pro licencie hosťujúcim používateľom

Týmto prístupom contoso priraďuje profesionálne licencie hosťujúcim používateľom z partnerských organizácií – to možno vykonať z Centrum spravovania služby Microsoft 365 spoločnosti Contoso. To umožňuje hosťujúcim používateľom z partnerských organizácií prístup k aplikácii Contoso Power BI bez toho, aby si sami kúpili licenciu. Môže to byť vhodné na zdieľanie s externými používateľmi, ktorých organizácia ešte neprijala službu Power BI.

Poznámka

Profesionálna licencia spoločnosti Contoso sa vzťahuje na hosťujúcich používateľov len vtedy, keď majú prístup k obsahu v nájomníkovi Contoso. Pro licencie umožňujú prístup k obsahu, ktorý nie je v Premium kapacite služby Power BI. Externí používatelia s Pro licenciou sú však predvolene obmedzení len na skúsenosti so spotrebou. Toto možno zmeniť pomocou prístupu popísaného v časti Povolenie externých používateľov na úpravu a správu obsahu v časti Power BI neskôr v tomto dokumente.

Informácie o licencii

Prístup 3: Hosťujúci používatelia si prinášajú vlastnú Power BI Pro licenciu

S týmto prístupom dodávateľ 1 pridelí lucy licenciu Power BI Pro. Potom môžu získať prístup k aplikácii Contoso Power BI s touto licenciou. Keďže Lucy môže používať svoju Pro licenciu od svojej vlastnej organizácie pri prístupe k externému prostrediu Služby Power BI, tento prístup sa niekedy označuje ako priniesť vlastnú licenciu (BYOL). Ak obe organizácie používajú službu Power BI, ponúka to výhodné licencie na celkové analytické riešenie a minimalizuje režijné náklady na priradenie licencií externým používateľom.

Poznámka

Profesionálna licencia udelená spoločnosti Lucy dodávateľom 1 sa vzťahuje na každého nájomníka služby Power BI, v ktorom je Lucy hosťujúcim používateľom. Pro licencie umožňujú prístup k obsahu, ktorý nie je v Premium kapacite služby Power BI. Externí používatelia s Pro licenciou sú však predvolene obmedzení len na skúsenosti so spotrebou. To možno zmeniť pomocou prístupu popísaného v časti Povolenie externých používateľov na úpravu a správu obsahu v časti Power BI neskôr v tomto dokumente.

Pro licenčné požiadavky

Bezpečnosť údajov pre externých partnerov

Pri práci s viacerými externými dodávateľmi musí contoso bežne zabezpečiť, aby každý dodávateľ videl údaje len o svojich vlastných produktoch. Zabezpečenie na základe používateľa a zabezpečenie na úrovni dynamického riadka uľahčujú dosiahnutie služby Power BI.

Zabezpečenie založené na používateľoch

Jednou z najsilnejších funkcií služby Power BI je zabezpečenie na úrovni riadkov. Táto funkcia umožňuje spoločnosti Contoso vytvoriť jednu zostavu a množinu údajov, ale stále uplatňuje rôzne pravidlá zabezpečenia pre každého používateľa. Podrobné vysvetlenie nájdete v téme Zabezpečenie na úrovni riadkov (RLS).

Integrácia služby Power BI so služby Azure AD B2B umožňuje spoločnosti Contoso priradiť hosťujúcim používateľom pravidlá zabezpečenia úrovne riadka hneď, ako budú pozvaní do nájomníka Contoso. Ako sme už videli, Contoso môže pridať hosťujúcich používateľov prostredníctvom plánovaných alebo ad hoc pozvaní. Ak chce contoso vynútiť zabezpečenie na úrovni riadkov, dôrazne sa odporúča použiť plánované pozvánky na pridanie hosťujúcich používateľov vopred a ich priradenie k rolám zabezpečenia pred zdieľaním obsahu. Ak contoso namiesto toho používa pozvánky ad hoc, môže na to byť krátka doba, počas ktorej hosťujúci používatelia nebudú môcť vidieť žiadne údaje.

Poznámka

Toto oneskorenie prístupu k údajom chráneným protokolom RLS pri používaní ad hoc pozvaných hovorov môže viesť k žiadostiam o podporu vášho IT tímu, pretože používatelia pri otvorení prepojenia na zdieľanie v e-maile, ktorý dostanú, sa používateľom zobrazia prázdne alebo rozbité zostavy/tabule. Preto sa dôrazne odporúča použiť plánované pozvánky v tomto scenári.**

Prejdime si tým príklad.

Ako už bolo spomenuté, Contoso má dodávateľov po celom svete a chcú sa uistiť, že používatelia z ich dodávateľských organizácií získajú prehľady z údajov len z ich územia. Používatelia spoločnosti Contoso však majú prístup ku všetkým údajom. Namiesto vytvárania niekoľkých rôznych zostáv contoso vytvorí jednu zostavu a filtruje údaje založené na tom, ako si ju používateľ prezerá.

Zdieľaný obsah

Aby ste sa uistili, že contoso dokáže filtrovať údaje na základe toho, kto sa pripája, v pracovnej ploche služby Power BI sa vytvoria dve roly. Jeden na filtrovanie všetkých údajov z SalesTerritory "Európa" a druhý pre "Severnú Ameriku".

Správa rolí

Vždy, keď sú roly definované v zostave, používateľ musí byť priradený ku konkrétnej úlohe, aby získal prístup k akýmkoľvek údajom. Priradenie rolí prebieha v rámci služby Power BI ( množiny údajov > zabezpečenie )

Nastavenie zabezpečenia

Otvorí sa stránka, na ktorej tím BI spoločnosti Contoso môže vidieť dve úlohy, ktoré vytvorili. Tím CONTOSO BI teraz môže priradiť používateľov k rolám.

Zabezpečenie na úrovni riadkov

V príklade Contoso pridáva používateľa v partnerskej organizácii s e-mailovou adresou admin@fabrikam.com do úlohy Európa:

Nastavenia zabezpečenia na úrovni riadkov

Keď sa to vyrieši Azure AD, Contoso môže zobraziť názov v okne pripravený na pridanie:

Zobraziť roly

Teraz, keď tento používateľ otvorí aplikáciu, ktorá s nimi bola zdieľaná, zobrazí sa iba zostava s údajmi z Európy:

Zobrazenie obsahu

Zabezpečenie na úrovni dynamického riadka

Ďalšou zaujímavou témou je zistiť, ako dynamické zabezpečenie na úrovni riadkov (RLS) funguje s Azure AD B2B.

Stručne povedané, zabezpečenie na úrovni dynamického riadka funguje filtrovaním údajov v modeli na základe používateľského mena osoby pripájanej k službe Power BI. Namiesto pridávania viacerých rolí pre skupiny používateľov definujete používateľov v modeli. Nebudeme tu podrobne opisovať vzorec. Kasper de Jong ponúka podrobný zápis o všetkých príchutiach zabezpečenia na úrovni riadkov v Power BI Desktop dynamického bezpečnostného cheat listua v tomto whitepaper .

Pozrime sa na malý príklad - Contoso má jednoduchú správu o predaji podľa skupín:

Vzorový obsah

Teraz je potrebné zdieľať túto zostavu s dvoma hosťujúcimi používateľmi a interným používateľom - interný používateľ môže vidieť všetko, ale hosťujúci používatelia môžu vidieť iba skupiny, ku ktorých majú prístup. To znamená, že údaje musíme filtrovať len pre hosťujúcich používateľov. Na správne filtrovanie údajov používa Contoso vzor Dynamic RLS, ako je popísané v whitepaper a blogovom príspevku. To znamená, že Contoso pridá používateľské mená do samotných údajov:

Zobrazenie používateľov RLS na samotné údaje

Contoso potom vytvorí správny dátový model, ktorý správne filtruje údaje so správnymi vzťahmi:

Zobrazia sa príslušné údaje

Ak chcete údaje automaticky filtrovať na základe toho, kto je prihlásený, contoso musí vytvoriť rolu, ktorá prechádza používateľom, ktorý sa pripája. V tomto prípade Contoso vytvorí dve roly - prvá je "securityrole", ktorá filtruje tabuľku Používatelia s aktuálnym používateľským menom používateľa prihláseného do služby Power BI (funguje to aj pre hosťujúcich používateľov Služby Azure AD B2B).

Spravovať roly

Contoso tiež vytvára ďalší "AllRole" pre svojich interných používateľov, ktorí môžu vidieť všetko - táto rola nemá žiadny bezpečnostný predikát.

Po nahratí počítačového súboru Služby Power BI do služby môže contoso priradiť hosťujúcich používateľov k "SecurityRole" a interných používateľov k "AllRole"

Teraz, keď hosťujúci používatelia otvoria zostavu, uvidia sa len predaje zo skupiny A:

Iba zo skupiny A

V matici vpravo môžete vidieť výsledok funkcie USERNAME() a USERPRINCIPALNAME() obaja vrátia e-mailovú adresu hosťujúcich používateľov.

Teraz interný používateľ môže vidieť všetky údaje:

Všetky zobrazené údaje

Ako vidíte, dynamic RLS pracuje s internými aj hosťujúcimi používateľmi.

Poznámka

Tento scenár funguje aj pri používaní modelu v službách Azure Analysis Services. Služba analýzy Azure je zvyčajne pripojená k rovnakej službe Azure AD ako služba Power BI - v takom prípade služby Azure Analysis Services tiež poznajú hosťujúcich používateľov pozvaných prostredníctvom služby Azure AD B2B.

Pripojenie k lokálnym zdrojom údajov

Power BI ponúka spoločnosti Contoso možnosť využívať lokálne zdroje údajov, ako sú služby SQL Server analysis alebo SQL Server priamo vďaka lokálnej bráne údajov. Do týchto zdrojov údajov je dokonca možné prihlásiť sa s rovnakými povereniami, ako sa používajú v službe Power BI.

Poznámka

Pri inštalácii brány na pripojenie k nájomníkovi služby Power BI musíte použiť používateľa vytvoreného v nájomníkovi. Externí používatelia nemôžu nainštalovať bránu a pripojiť ju k vášmu tenant._

Pre externých používateľov to môže byť zložitejšie, pretože externí používatelia zvyčajne nie sú známi lokálnej AD. Služba Power BI ponúka riešenie tým, že umožňuje správcom contoso priradiť externé používateľské mená k interným používateľským menám, ako je popísané v časti Správa zdroja údajov - analytické služby. Napríklad, lucy@supplier1.com môže byť priradené k lucy _ supplier1 _ com # EXT@contoso.com .

Priradenie mien používateľov

Táto metóda je v poriadku, ak má Contoso len hŕstku používateľov alebo ak contoso môže priradiť všetkých externých používateľov k jednému internému účtu. Pre zložitejšie scenáre, v ktorých každý používateľ potrebuje svoje vlastné poverenia, existuje pokročilejší prístup, ktorý používa vlastné atribúty AD na priradenie, ako je popísané v časti Správa zdroja údajov - analytické služby. To by umožnilo správcovi Contoso definovať priradenie pre každého používateľa v službe Azure AD (tiež externých B2B používateľov). Tieto atribúty je možné nastaviť prostredníctvom modelu objektu AD pomocou skriptov alebo kódu, aby contoso mohol plne automatizovať priradenie na pozvanie alebo na plánovanú kadenciu.

Povolenie externých používateľov na úpravu a správu obsahu v službe Power BI

Contoso môže povoliť externým používateľom prispievať obsahom v rámci organizácie, ako je popísané v sekcii medziorganizáciami na úpravu a správu obsahu služby Power BI.

Poznámka

Ak chcete upravovať a spravovať obsah v službe Power BI vašej organizácie, používateľ musí mať licenciu na Power BI Pro v inom pracovnom priestore ako v mojom pracovnom priestore. Používatelia môžu získať Pro licencií, ako je uvedené v licenčnej časti tohto dokumentu.

Portál spravovania služby Power BI poskytuje umožňuje externým hosťujúcim používateľom upravovať a spravovať obsah v nastavení organizácie v nastaveniach nájomníka. V predvolenom nastavení je nastavenie nastavené na vypnuté, čo znamená, že externí používatelia predvolene získajú obmedzené prostredie iba na čítanie. Nastavenie sa vzťahuje na používateľov s UserType nastaveným na Hosť v Azure AD. V nasledujúcej tabuľke je popísané správanie, ktoré používatelia zažívajú v závislosti od ich usertype a spôsobu konfigurácie nastavení.

Typ používateľa v azure AD Povoliť externým hosťujúcim používateľom upravovať a spravovať nastavenie obsahu Správanie
Hosť Vypnuté pre používateľa (predvolené) Zobrazenie iba spotreby tovaru. Umožňuje prístup k zostavám, tabuliam a aplikáciám iba na čítanie pri prezeraní prostredníctvom adresy URL odoslanej hosťovi. Power BI Mobile aplikácie poskytujú hosťujúcemu používateľovi zobrazenie iba na čítanie.
Hosť Povolené pre používateľa Externý používateľ získa prístup k plnému zážitku služby Power BI, hoci niektoré funkcie nie sú k dispozícii. Externý používateľ sa musí prihlásiť do služby Power BI pomocou adresy URL služby Power BI s priloženými informáciami o nájomníkovi. Používateľ získa domáce prostredie, môj pracovný priestor a na základe povolení môže prehľadávať, zobrazovať a vytvárať obsah.

Power BI Mobile aplikácie poskytujú hosťujúcemu používateľovi zobrazenie iba na čítanie.

Poznámka

Externí používatelia v službe Azure AD môžu byť tiež nastavení na userType member. Momentálne nie je v službe Power BI podporovaná.

Na portáli správcu služby Power BI sa nastavenie zobrazí na nasledujúcom obrázku.

Nastavenia pre správcov

Hosťujúci používatelia získajú predvolené prostredie iba na čítanie, ktoré môže upravovať a spravovať obsah. Predvolená hodnota je vypnutá, čo znamená, že všetci používatelia hosťa majú zážitok iba na čítanie. Správca služby Power BI môže povoliť nastavenie pre všetkých hosťujúcich používateľov v organizácii alebo pre konkrétne skupiny zabezpečenia definované v službe Azure AD. Na nasledujúcom obrázku správca Contoso Power BI vytvoril skupinu zabezpečenia v službe Azure AD na správu, ktorí externí používatelia môžu upravovať a spravovať obsah v nájomníkovi Contoso.

Ak chcete týmto používateľom pomôcť prihlásiť sa do služby Power BI, poskytnite im adresu URL nájomníka. Ak chcete nájsť URL adresu nájomníka, postupujte podľa týchto krokov.

  1. V službe Power BI v hornej ponuke vyberte položku Pomocníka ( ? ) a o službe Power BI.

  2. Vyhľadajte hodnotu vedľa položky ADRESA URL nájomníka. Toto je adresa URL nájomníka, ktorú môžete zdieľať s hosťujúcimi používateľmi.

    URL adresa nájomníka

Pri používaní aplikácie Povoliť externým hosťujúcim používateľom upravovať a spravovať obsah v organizácii získajú zadí hostia prístup k službe Power BI vašej organizácie a zobrazia sa všetky obsahy, na ktoré majú povolenie. Môžu pristupovať k domovu, prehľadávať a prispievať obsahom do pracovných priestorov, inštalovať aplikácie tam, kde sú v zozname prístupov, a mať pracovný priestor Môj. Môžu vytvárať pracovné priestory alebo stať sa správcom tých, ktoré používajú novú funkciu pracovných priestorov.

Poznámka

Pri použití tejto možnosti skontrolujte sekciu správy tohto dokumentu, pretože predvolené nastavenia služby Azure AD zabraňujú hosťujúcim používateľom používať určité funkcie, ako sú napríklad vyberače ľudí, čo môže viesť k zníženiu zážitku.**

Pre hosťujúcich používateľov povolených prostredníctvom možnosti Povoliť externým hosťujúcim používateľom upravovať a spravovať obsah v nastavení nájomníka organizácie, niektoré možnosti nie sú pre nich k dispozícii. Ak chcete aktualizovať alebo publikovať zostavy, hosťujúci používatelia musia používať webové používateľské rozhranie služby Power BI vrátane získať údaje na nahrávanie Power BI Desktop súborov. Nasledujúce funkcie nie sú podporované:

  • Priame publikovanie z aplikácie Power BI Desktop do služby Power BI
  • Hosťovskí používatelia sa nemôžu pomocou služby Power BI Desktop pripájať k množinám údajov v službe Power BI
  • Klasické pracovné priestory viazané na Microsoft 365 skupiny: Hosťujúci používateľ nemôže vytvárať alebo byť správcami týchto pracovných priestorov. Môžu byť členmi.
  • Odosielanie ad-hoc pozvánok nie je podporované pre zoznamy prístupov k pracovného priestoru
  • Doplnok Power BI Publisher for Excel pre hosťovských používateľov nie je podporovaný
  • Hosťovskí používatelia si nemôžu nainštalovať bránu Power BI Gateway ani ho pripojiť k vašej organizácii
  • Hosťovskí používatelia si nemôžu nainštalovať aplikácie publikované v celej organizácii
  • Hosťujúci používatelia nemôžu používať, vytvárať, aktualizovať ani inštalovať aplikácie šablón
  • Hosťovskí používatelia nemôžu používať funkciu Analyzovať v Exceli
  • Hosťujúci používatelia nemôžu @mentioned komentovať ( táto funkcia bude pridaná v nadchádzajúcom vydaní )
  • Hosťujúci používatelia nemôžu používať predplatné (táto funkcia bude pridaná v nadchádzajúcom vydaní )
  • Hosťovskí používatelia, ktorí používajú túto možnosť, by mali mať pracovné alebo školské konto. Hosťujúci používatelia, ktorí používajú osobné kontá, majú viac obmedzení z dôvodu obmedzení prihlásenia.

Riadenie

Pri používaní zdieľania Azure AD B2B správca Azure Active Directory riadi aspekty skúseností externého používateľa. Tieto sú kontrolované na stránke Nastavenia externej spolupráce v nastaveniach Azure Active Directory pre nájomníka.

Podrobnosti o nastaveniach sú k dispozícii tu:

https://docs.microsoft.com/azure/active-directory/b2b/delegate-invitations

Poznámka

V predvolenom nastavení sú povolenia hosťujúcich používateľov obmedzené na možnosť Áno, takže hosťujúci používatelia v službe Power BI majú obmedzené možnosti, najmä zdieľanie na priestoroch, kde používateľské rozhranie, ktoré si ľudia vyberajú, nepracuje pre týchto používateľov. Je dôležité spolupracovať so správcom služby Azure AD a nastaviť ho na nie, ako je uvedené nižšie, aby ste zabezpečili dobrý zážitok.**

Nastavenia externej spolupráce

Ovládanie pozvaných hostí

Správcovia služby Power BI môžu ovládať externé zdieľanie len pre službu Power BI návštevou portálu správcu služby Power BI. Správcovia však môžu ovládať aj externé zdieľanie pomocou rôznych politík služby Azure AD. Tieto politiky umožňujú správcom:

  • Vypnutie pozvánok koncovými používateľmi
  • Pozvánku môžu pozvať iba správcovia a používatelia v roli Hosťa
  • Správcovia, rola Hosťa a členovia môžu pozvať
  • Všetci používatelia vrátane hostí môžu pozvať

Ďalšie informácie o týchto pravidlách si môžete prečítať v pozvánkach delegátov na Azure Active Directory B2B spoluprácu.

Všetky akcie služby Power BI externými používateľmi sú tiež kontrolované na našom audítorskej portáli.

Politiky podmieneného prístupu pre hosťujúcich používateľov

Contoso môže presadzovať politiky podmieneného prístupu pre hosťujúcich používateľov, ktorí majú prístup k obsahu z nájomníka Contoso. Podrobné pokyny nájdete v možnosti Podmienečný prístup pre používateľov B2B spolupráce.

Spoločné alternatívne prístupy

Zatiaľ čo Azure AD B2B uľahčuje zdieľanie údajov a zostáv medzi organizáciami, existuje niekoľko ďalších prístupov, ktoré sa bežne používajú a v určitých prípadoch môžu byť nadradené.

Alternatívna možnosť 1: Vytvorenie duplicitných identít pre partnerských používateľov

S touto možnosťou musel Contoso manuálne vytvoriť duplicitné identity pre každého partnerského používateľa v nájomníkovi Contoso, ako je znázornené na nasledujúcom obrázku. V službe Power BI môže contoso zdieľať s priradenými identitami príslušné zostavy, tabule alebo aplikácie.

Nastavenie vhodných priradení a názvov

Dôvody na výber tejto alternatívy:

  • Keďže totožnosť používateľa je kontrolovaná vašou organizáciou, všetky súvisiace služby, ako sú e-mail, SharePoint atď., sú tiež pod kontrolou vašej organizácie. Správcovia IT môžu obnoviť heslá, zakázať prístup k účtom alebo auditovať aktivity v týchto službách.
  • Používatelia, ktorí používajú osobné účty pre svoje podnikanie, majú často obmedzený prístup k určitým službám, takže môžu potrebovať organizačný účet.
  • Niektoré služby fungujú len nad používateľmi vašej organizácie. Napríklad použitie služby Intune na správu obsahu na osobných/mobilných zariadeniach externých používateľov pomocou služby Azure B2B nemusí byť možné.

Dôvody, prečo si nevyberať túto alternatívu:

  • Používatelia z partnerských organizácií si musia zapamätať dve množiny poverení – jednu na prístup k obsahu z vlastnej organizácie a druhú na prístup k obsahu z contoso. Toto je problémy pre týchto hosťujúcich používateľov a mnohí hosťujúci používatelia sú zmätení touto skúsenosťou.
  • Contoso musí týmto používateľom zakúpiť a priradiť licencie na používateľa. Ak používateľ potrebuje prijímať e-maily alebo používať aplikácie balíka Office, potrebuje príslušné licencie vrátane Power BI Pro na úpravu a zdieľanie obsahu v službe Power BI.
  • Contoso možno bude chcieť presadiť prísnejšie politiky autorizácie a správy pre externých používateľov v porovnaní s internými používateľmi. Na dosiahnutie tohto cieľa musí contoso vytvoriť internú nomenklatúru pre externých používateľov a všetci používatelia contoso musia byť poučení o tejto nomenklatúre.
  • Keď používateľ opustí svoju organizáciu, bude mať naďalej prístup k zdrojom spoločnosti Contoso, kým správca contoso manuálne neodstráni svoj účet.
  • Správcovia contoso musia spravovať identitu hosťa vrátane vytvorenia, resetovania hesiel atď.

<a name="alternative-option-2-create-a-custom-power-bi-embedded-application-using-custom-authentication">Alternatívna možnosť 2: Vytvorenie vlastnej aplikácie Power BI Embedded pomocou vlastného overenia

Ďalšou možnosťou pre Contoso je vytvoriť vlastnú vloženú aplikáciu Power BI s vlastným overovaním("Aplikácia vlastní údaje"). Zatiaľ čo mnohé organizácie nemajú čas ani zdroje na vytvorenie vlastnej aplikácie na distribúciu obsahu služby Power BI svojim externým partnerom, pre niektoré organizácie je to najlepší prístup a zaslúži si vážne zváženie.

Organizácie majú často existujúce partnerské portály, ktoré centralizujú prístup ku všetkým organizačným zdrojom pre partnerov, poskytujú izoláciu od interných organizačných zdrojov a poskytujú partnerom zjednodušené skúsenosti na podporu mnohých partnerov a ich individuálnych používateľov.

Mnoho partnerských portálov

Vo vyššie uvedenom príklade sa používatelia z každého dodávateľa prihlásia na partnerský portál spoločnosti Contoso, ktorý používa AAD ako poskytovateľa identity. Môže používať AAD B2B, Azure B2C, natívne identity alebo federát s ľubovoľným počtom iných poskytovateľov identity. Používateľ sa prihlási a získa prístup k zostave partnerského portálu pomocou aplikácie Azure Web App alebo podobnej infraštruktúry.

Vo webovej aplikácii sú zostavy služby Power BI vložené z nasadenia Power BI Embedded. Webová aplikácia by zjednodušila prístup k zostavám a akýmkoľvek súvisiacim službám v súdržnom zážitku, ktorého cieľom je uľahčiť dodávateľom interakciu s contoso. Toto portálové prostredie by bolo izolované od interného prostredia AAD a contoso, aby sa zabezpečilo, že dodávatelia nebudú mať prístup k týmto zdrojom. Údaje by sa zvyčajne uchovávali v samostatnom dátovom sklade Partnera, aby sa zabezpečila aj izolácia údajov. Táto izolácia má výhody, pretože obmedzuje počet externých používateľov s priamym prístupom k údajom vašej organizácie, obmedzuje, aké údaje by mohli byť potenciálne k dispozícii externému používateľovi, a obmedzuje náhodné zdieľanie s externými používateľmi.

Pomocou Power BI Embedded môže portál využívať výhodné licencie pomocou tokenu aplikácie alebo hlavného používateľa plus prémiovú kapacitu zakúpenú v modeli Azure, čo zjednodušuje obavy z priradenia licencií koncovým používateľom a môže sa zvýšiť alebo znížiť na základe očakávaného použitia. Portál môže ponúknuť celkovo vyššiu kvalitu a konzistentný zážitok, pretože partneri majú prístup k jedinému portálu navrhnutému so všetkými potrebami partnera. A nakoniec, keďže Power BI Embedded riešenia sú zvyčajne navrhnuté tak, aby boli multi-nájomcami, uľahčuje to zabezpečenie izolácie medzi partnerskými organizáciami.

Dôvody na výber tejto alternatívy:

  • Ľahšie sa manidarí, pretože počet partnerských organizácií rastie. Keďže partneri sú pridaní do samostatného adresára izolovaného z interného adresára AAD spoločnosti Contoso, zjednodušuje povinnosti správy IT a pomáha predchádzať náhodnému zdieľaniu interných údajov externým používateľom.
  • Typické partnerské portály sú vysoko značkové skúsenosti s konzistentnými skúsenosťami medzi partnermi a zjednodušené tak, aby vyhovovali potrebám typických partnerov. Contoso tak môže ponúknuť partnerom lepšie celkové skúsenosti integráciou všetkých požadovaných služieb do jedného portálu.
  • Licenčné náklady na pokročilé scenáre, ako je úprava obsahu v rámci Power BI Embedded, sú pokryté Premium služby Power BI zakúpenej spoločnosťou Azure a nevyžaduje priradenie Power BI Pro licencií týmto používateľom.
  • Poskytuje lepšiu izoláciu medzi partnermi, ak je navrhnutá ako riešenie pre viacerých nájomníkov.
  • Partnerský portál často obsahuje ďalšie nástroje pre partnerov okrem zostáv, tabúľ a aplikácií služby Power BI.

Prečo si vybrať túto alternatívu?

  • Na vytvorenie, prevádzku a údržbu takéhoto portálu je potrebné vynaložiť významné úsilie, aby bolo potrebné významné investície do zdrojov a času.
  • Čas do riešenia je oveľa dlhšie ako zdieľanie B2B, pretože je potrebné starostlivo plánovať a realizáciu v rámci viacerých pracovných tokov.
  • Ak je počet partnerov menší, úsilie potrebné na túto alternatívu je pravdepodobne príliš vysoké, aby ich bolo možné odôvodniť.
  • Spolupráca s ad hoc zdieľaním je primárnym scenárom, s ktorým sa bude vaša organizácia stretávajú.
  • Zostavy a tabule sú pre každého partnera odlišné. Táto alternatíva so systémom spravovania so systémom režijjne zavádza nad rámec jednoduchého zdieľania s partnermi.

Najčastejšie otázky

Môže spoločnosť Contoso odoslať pozvánku, ktorá sa automaticky uplatniť, aby bol používateľ jednoducho "pripravený na odoslanie"? Alebo musí používateľ vždy kliknúť na URL adresu na uplatnenie?

Koncový používateľ musí pred prístupom k obsahu vždy kliknúť na súhlas.

Ak pozvete mnohých hosťovských používateľov, odporúčame, aby ste túto možnosť delegovať od hlavných správcov služby Azure AD tak, že do roly pozývateľ hostí v organizácii zdrojov pridáte používateľa. Tento používateľ môže pozvať iných používateľov v partnerskej organizácii pomocou prihlasovacieho používateľského rozhrania, skriptov Prostredia PowerShell alebo rozhraní API. Zníži sa tým zaťaženie správcu služby Azure AD pri pozývaní alebo opätovné pozývaní pozvaných používateľov v partnerskej organizácii.

Môže spoločnosť Contoso vynútiť viacfaktorové overovanie pre hosťovských používateľov, ak jej partneri nemajú viacfaktorové overovanie?

Áno. Ďalšie informácie nájdete v téme Podmienený prístup pre používateľov spolupráce B2B.

Ako funguje spolupráca B2B, keď pozvaný partner používa federáciu na pridanie vlastného lokálneho overovania?

Ak má partner nájomníka služby Azure AD, ktorý je federovaný do lokálnej infraštruktúry overovania, automaticky sa dosiahne lokálne jediné prihlásenie (SSO). Ak partner nemá nájomníka služby Azure AD, je možné pre nových používateľov vytvoriť konto Azure AD.

Môžem pozvať hosťovských používateľov s používateľskými e-mailovými kontami?

Pozvanie hosťovských používateľov s používateľskými e-mailovými kontami je v službe Power BI podporované. Patria sem domény ako napríklad hotmail.com, outlook.com a gmail.com. S týmito používateľmi sa však môžu vyskytnúť obmedzenia nad rámec toho, s čím sa stretnete s používateľmi s pracovnými alebo školskými kontami.