Distribúcia obsahu služby Power BI externým hosťom pomocou služby Microsoft Entra B2B

Zhrnutie: Toto je technická dokumentácia, ktorá popisuje, ako distribuovať obsah používateľom mimo organizácie pomocou integrácie služby Microsoft Entra ID (predtým známej ako Azure Active Directory) business-to-business (Microsoft Entra B2B).

Spisovatelia: Lukasz Pawlowski, Kasper de Jonge

Technickí recenzenti: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Poznámka

Túto technickú dokumentáciu môžete uložiť alebo vytlačiť tak, že vyberiete možnosť Tlačiť v prehliadači a potom možnosť Uložiť ako PDF.

Úvod

Power BI poskytuje organizáciám 360-stupňový pohľad na ich podnikanie a umožňuje všetkým v týchto organizáciách prijímať inteligentné rozhodnutia pomocou údajov. Mnohé z týchto organizácií majú silné a dôveryhodné vzťahy s externými partnermi, klientmi a dodávateľmi. Tieto organizácie musia týmto externým partnerom poskytnúť zabezpečený prístup k tabuliam a zostavám služby Power BI.

Služba Power BI sa integruje so spoločnosťou Microsoft Entra business-to-business (Microsoft Entra B2B) a umožňuje tak zabezpečenú distribúciu obsahu služby Power BI pre hostí mimo organizácie, pričom naďalej zostáva zachovaná kontrola a riadiaci prístup k interným údajom.

Táto biela kniha obsahuje všetky podrobnosti, ktoré potrebujete na pochopenie integrácie služby Power BI so službou Microsoft Entra B2B. Popisujeme najčastejšie sa vyskytujúce prípady použitia, nastavenie, licencovanie a zabezpečenie na úrovni riadkov.

Scenáre

Spoločnosť Contoso je automobilový výrobca a pracuje s mnohými rôznorodými dodávateľmi, ktorí jej poskytujú všetky komponenty, materiály a služby potrebné na prevádzku vo výrobe. Spoločnosť Contoso chce zjednodušiť logistiku dodávateľského reťazca a plánuje používať Power BI na monitorovanie kľúčových metrík výkonu svojho dodávateľského reťazca. Spoločnosť Contoso chce zdieľať analýzu s partnermi externého dodávateľského reťazca pomocou zabezpečeného a spravovateľného spôsobu.

Contoso môže povoliť nasledujúce možnosti pre externých používateľov pomocou služieb Power BI a Microsoft Entra B2B.

Ad hoc na zdieľanie položiek

Contoso spolupracuje s dodávateľom, ktorý buduje radiátory pre automobily spoločnosti Contoso. Často je potrebné optimalizovať spoľahlivosť radiátorov pomocou údajov zo všetkých áut spoločnosti Contoso. Analytik spoločnosti Contoso používa Power BI na zdieľanie zostavy spoľahlivosti radiátora s inžinierom zo dodávateľa. Technik dostane e-mail s prepojením na zobrazenie zostavy.

Ako je uvedené vyššie, toto ad hoc zdieľanie vykonávajú podnikoví používatelia podľa potreby. Prepojenie, ktoré služba Power BI odoslala externému používateľovi, je pozývacím prepojením na Microsoft Entra B2B. Keď externý používateľ otvorí prepojenie, zobrazí sa výzva, aby sa ako hosťovský používateľ pripojil k organizácii Microsoft Entra spoločnosti Contoso. Po prijatí pozvánky sa prepojením otvorí konkrétna zostava alebo tabuľa. Správca služby Microsoft Entra deleguje povolenie na pozvanie externých používateľov do organizácie a vyberie, čo títo používatelia môžu urobiť, keď prijmú pozvánku, ako sa to popisuje v časti Riadenie tohto dokumentu. Analytik spoločnosti Contoso môže pozývať hosťovského používateľa len preto, lebo správca služby Microsoft Entra túto akciu povolil a správca služby Power BI umožnil používateľom pozývať hostí, aby si mohli zobrazovať obsah v nastaveniach nájomníka služby Power BI.

1. Tento proces začína interným používateľom spoločnosti Contoso, ktorý zdieľa tabuľu alebo zostavu s externým používateľom. Ak externý používateľ ešte nie je hosťom v identifikácii Microsoft Entra ID spoločnosti Contoso, je pozvaný. Na ich e-mailovú adresu s pozvánkou na ID Microsoft Entra spoločnosti Contoso sa odošle e-mail.
2. Príjemca prijme pozvánku do ID microsoft Entra spoločnosti Contoso a pridá sa ako hosťovský používateľ vo identifikácii Microsoft Entra spoločnosti Contoso.
3. Príjemca bude presmerovaný na tabuľu, zostavu alebo aplikáciu Power BI.

Tento proces sa považuje za ad hoc, pretože podnikoví používatelia v spoločnosti Contoso vykonávajú akciu pozvánky podľa potreby na svoje obchodné účely. Každá zdieľaná položka je jedno prepojenie, ku ktorému má externý používateľ prístup a môže zobraziť obsah.

Po pozvaní externého používateľa na prístup k zdrojom spoločnosti Contoso môže byť pre nich vytvorené tieňové konto v identifikácii Contoso Microsoft Entra ID a už ho nie je potrebné pozvať. Pri prvom pokuse o prístup k zdroju spoločnosti Contoso, ako je napríklad tabuľa Power BI, prejdú procesom udelenia súhlasu, pri ktorom sa uplatnia pozvánka. Ak súhlas neukončia, nebudú môcť získať prístup k žiadnemu obsahu spoločnosti Contoso. Ak sa im podarí uplatniť pozvanie prostredníctvom poskytnutého pôvodného prepojenia, správca služby Microsoft Entra môže pre nich znova odoslať prepojenie s konkrétnou pozvánkou, aby sa uplatnil.

Plánované na zdieľanie položky

Spoločnosť Contoso spolupracuje so subdodávateľom na vykonanie analýzy spoľahlivosti radiátorov. Subdodávateľ má tím 10 ľudí, ktorí potrebujú prístup k údajom v prostredí služby Power BI spoločnosti Contoso. Správca spoločnosti Contoso Microsoft Entra je zapojený do pozývania všetkých používateľov a na spracovanie prípadných dodatkov/zmien ako zamestnancov pri zmene subdodávateľa. Správca spoločnosti Microsoft Entra vytvorí skupinu zabezpečenia pre všetkých zamestnancov u subdodávateľa. Vďaka skupine zabezpečenia môžu zamestnanci spoločnosti Contoso jednoducho spravovať prístup k zostavám a zabezpečiť, aby všetci požadovaní subdodávatelia mali prístup ku všetkým požadovaným zostavám, tabuliam a aplikáciám služby Power BI. Správca spoločnosti Microsoft Entra sa tiež môže úplne vyhnúť zapojeniu do procesu pozvánky tým, že vyberie delegovanie práv pozvánky dôveryhodnému zamestnancovi spoločnosti Contoso alebo subdodávateľovi s cieľom zabezpečiť včasné personálne riadenie.

Niektoré organizácie vyžadujú väčšiu kontrolu nad tým, kedy sa pridávajú externí používatelia, pozývajú mnohých používateľov v externej organizácii alebo mnoho externých organizácií. V týchto prípadoch možno plánované zdieľanie použiť na spravovanie rozsahu zdieľania, presadzovanie politík organizácie a dokonca aj na delegovanie práv dôveryhodným jednotlivcom na pozývanie a spravovanie externých používateľov. Microsoft Entra B2B podporuje plánované pozvánky, ktoré má správca IT odoslať priamo z portálu Azure, alebo prostredníctvom prostredia PowerShell pomocou rozhrania API správcu pozvánky, v ktorom je možné v jednej akcii pozvať množinu používateľov. Pomocou prístupu plánovaných pozvánok môže organizácia kontrolovať, kto môže pozvať používateľov a implementovať schvaľovacie procesy. Pokročilé funkcie služby Microsoft Entra, ako sú napríklad dynamické skupiny, môžu zjednodušiť automatickú údržbu členstva v skupinách zabezpečenia.

1. Proces sa začína tým, že správca IT pozýva hosťovského používateľa manuálne alebo prostredníctvom rozhrania API, ktoré poskytuje id Microsoft Entra.
2. Používateľ prijme pozvánku do organizácie.
3. Keď používateľ prijal pozvanie, používateľ v službe Power BI môže zdieľať zostavu alebo tabuľu s externým používateľom alebo so skupinou zabezpečenia, v ktorej sa nachádzajú. Rovnako ako pri bežnom zdieľaní v službe Power BI, externý používateľ dostane e-mail s prepojením na položku.
4. Keď externý používateľ prejde na prepojenie, jeho overovanie v adresári sa prenesie do ID spoločnosti Contoso v službe Microsoft Entra a použije sa na získanie prístupu k obsahu služby Power BI.

Ad hoc alebo plánované zdieľanie aplikácií Power BI

Contoso má množinu zostáv a tabúľ, ktoré potrebujú zdieľať s jedným alebo viacerými dodávateľmi. Ak chcete zabezpečiť, aby všetci externí používatelia mali prístup k tomuto obsahu, je zbalená ako aplikácia služby Power BI. Externí používatelia sa pridávajú priamo do zoznamu prístupov k aplikácii alebo prostredníctvom skupín zabezpečenia. Niekto v spoločnosti Contoso potom odošle URL adresu aplikácie všetkým externým používateľom, napríklad e-mailom. Keď externí používatelia otvoria prepojenie, zobrazí sa im všetok obsah v rámci jednoduchého navigácie.

Používanie aplikácie Power BI uľahčuje spoločnosti Contoso vytváranie portálu BI pre jej dodávateľov. Jeden zoznam prístupov riadi prístup ku všetkého požadovanému obsahu a znižuje plytvanie kontrolou času a nastavuje povolenia na úrovni položky. Microsoft Entra B2B zachováva prístup k zabezpečeniu pomocou natívnej identity dodávateľa, aby používatelia nemuseli potrebovať ďalšie prihlasovacie poverenia. Ak sa zjednoduší používanie plánovaných pozvánok so skupinami zabezpečenia, zjednoduší sa správa prístupu k aplikácii ako pracovníci, ktorí sa striedajú do projektu alebo mimo neho. Členstvo v skupinách zabezpečenia manuálne alebo pomocou dynamických skupín, aby sa všetci externí používatelia z dodávateľa automaticky pridali do príslušnej skupiny zabezpečenia.

1. Tento proces sa začína tým, že používateľ bol pozvaný do organizácie Microsoft Entra spoločnosti Contoso prostredníctvom portálu Azure alebo prostredia PowerShell.
2. Používateľa možno pridať do skupiny používateľov v systéme Microsoft Entra ID. Je možné použiť statickú alebo dynamickú skupinu používateľov, ale dynamické skupiny pomáhajú znížiť manuálnu prácu.
3. Externí používatelia získavajú prístup k aplikácii Power BI prostredníctvom skupiny používateľov. URL adresa aplikácie by sa mala odoslať priamo externému používateľovi alebo umiestniť na lokalitu, ku ktorým má prístup. Služba Power BI vyťažuje maximálne úsilie na odoslanie e-mailu s prepojením na aplikáciu externým používateľom, ale pri používaní skupín používateľov, ktorých členstvo sa môže zmeniť, služba Power BI nedokáže odoslať všetkým externým používateľom spravovaným prostredníctvom skupín používateľov.
4. Keď externý používateľ pristupuje k URL adrese aplikácie Power BI, overí sa id spoločnosti Contoso microsoft entra, aplikácia sa nainštaluje pre používateľa a používateľ môže zobraziť všetky obsiahnuté zostavy a tabule v aplikácii.

Aplikácie majú tiež jedinečnú funkciu, ktorá umožňuje autorom aplikácií automaticky nainštalovať aplikáciu pre používateľa, takže je k dispozícii po prihlásení používateľa. Táto funkcia sa automaticky nainštaluje iba pre externých používateľov, ktorí už sú súčasťou organizácie spoločnosti Contoso v čase, keď je aplikácia publikovaná alebo aktualizovaná. Najlepšie sa preto používa s prístupom plánovanej pozvánky a závisí od toho, či bude aplikácia publikovaná alebo aktualizovaná po pridaní používateľov do ID služby Microsoft Entra spoločnosti Contoso. Externí používatelia môžu aplikáciu kedykoľvek nainštalovať pomocou prepojenia na aplikáciu.

Komentovanie a prihlásenie na odber obsahu v rámci organizácií

Keďže spoločnosť Contoso naďalej spolupracuje so svojimi subdodávateľmi alebo dodávateľmi, externí inžinieri musia úzko spolupracovať s analytikmi spoločnosti Contoso. Power BI poskytuje niekoľko funkcií na spoluprácu, ktoré pomáhajú používateľom komunikovať o obsahu, ktorý môžu využívať. Pridávanie komentárov na tabule (a čoskoro pridávanie komentárov do zostáv) umožňuje používateľom diskutovať o údajových bodoch, ktoré vidia, a komunikovať s autormi zostáv, aby mohli klásť otázky.

V súčasnosti sa externí hosťovskí používatelia môžu podieľať na komentároch tak, že zanechú komentáre a prečítajú odpovede. Na rozdiel od interných používateľov však hosťovskí používatelia nemôžu byť @mentioned a nedostávajú oznámenia o tom, že dostali komentár. Hosťovskí používatelia môžu použiť funkciu prihlásenia na odber v rámci služby Power BI na prihlásenie na odber zostavy alebo tabule. Ďalšie informácie nájdete v téme Prihlásenie na odber zostáv a tabúľ e-mailom v služba Power BI.

Prístup k obsahu v mobilných aplikáciách Power BI

Keď hosť otvorí prepojenie na zostavu alebo tabuľu vo svojom mobilnom zariadení, obsah sa v natívnej mobilnej aplikácii Power BI v zariadení otvorí, ak je nainštalovaný. Hosťovský používateľ potom bude môcť prechádzať medzi obsahom, ktorý sa s ním zdieľa v externom nájomníkovi, a späť k vlastnému obsahu z jeho domovského nájomníka. Ďalšie informácie o prístupe k obsahu, ktorý s vami zdieľala externá organizácia prostredníctvom mobilných aplikácií Power BI, nájdete v téme Zobrazenie obsahu služby Power BI zdieľaného z externej organizácie.

Vzťahy organizácie pomocou služieb Power BI a Microsoft Entra B2B

Keď sú všetci používatelia služby Power BI vo svojej organizácii interní, nie je potrebné používať Microsoft Entra B2B. Keď však dve alebo viaceré organizácie budú chcieť spolupracovať na údajoch a prehľadoch, podpora služby Power BI pre službu Microsoft Entra B2B vám to uľahčuje a zjednodušuje nákladovo efektívnu.

Nižšie sa zvyčajne vyskytujú známe organizačné štruktúry, ktoré sú vhodné pre spoluprácu v rámci krížovej organizácie v službe Power BI v štýle spoločnosti Microsoft Entra B2B. Vo väčšine prípadov funguje Microsoft Entra B2B dobre, ale v niektorých situáciách je vhodné zvážiť spoločné alternatívne prístupy, ktoré sú uvedené na konci tohto dokumentu.

Prípad 1: Priama spolupráca medzi organizáciami

Vzťah spoločnosti Contoso s dodávateľom radiátorov je príkladom priamej spolupráce medzi organizáciami. Vzhľadom na to, že v spoločnosti Contoso a jej dodávateľ je pomerne málo používateľov, ktorí potrebujú prístup k informáciám o spoľahlivosti radiátora, je ideálne externé zdieľanie založené na Entra B2B. Je ľahké používať a jednoducho spravovať. Ide tiež o bežný vzor v konzultačných službách, v ktorých môže konzultant potrebovať vytvárať obsah pre organizáciu.

Zvyčajne k tomuto zdieľaní dochádza na začiatku pomocou Ad hoc na zdieľanie položiek. S rastom alebo prehlbovanie vzťahov tímov sa však prístup plánovaný na zdieľanie položiek stáva preferovanou metódou na zníženie režijných nákladov na spravovanie. Okrem toho sa môže použiť aj ad hoc alebo plánované zdieľanie aplikácií Power BI, komentovanie a prihlásenie na odber obsahu v rámci organizácií, prístup k obsahu v mobilných aplikáciách. Dôležité je, že ak používatelia oboch organizácií majú licencie na Power BI Pro v príslušných organizáciách, môžu tieto licencie Pro používať navzájom v prostrediach služby Power BI. Toto poskytuje výhodné licencie, pretože pozývajúca organizácia nemusí externým používateľom platiť licenciu na Power BI Pro. Podrobnejšie sa to rozoberá v časti Licencie ďalej v tomto dokumente.

Prípad 2: Materská spoločnosť a jej dcérske spoločnosti alebo sesterské spoločnosti

Niektoré organizačné štruktúry sú zložitejšie, vrátane čiastočne alebo úplne vlastnených dcérskych spoločností, prepojených spoločností alebo vzťahov spravovaných poskytovateľov služieb. Tieto organizácie majú nadradenú organizáciu, ako je holdingová spoločnosť, ale základné organizácie fungujú poloautonómne, niekedy pod odlišnými regionálnymi požiadavkami. To vedie ku tomu, že každá organizácia má vlastné prostredie Microsoft Entra a samostatných nájomníkov služby Power BI.

V tejto štruktúre musí nadradená organizácia zvyčajne distribuovať štandardizované prehľady svojim dcérskym spoločnostiam. Toto zdieľanie sa zvyčajne uskutočňuje pomocou prístupu Ad hoc alebo plánovaného zdieľania aplikácií Power BI, ako je znázornené na nasledujúcom obrázku, pretože umožňuje distribúciu štandardizovaného smerodajného obsahu pre široké publikum. V praxi sa používa kombinácia všetkých scenárov spomenutých vyššie v tomto dokumente.

Postupuje podľa nasledujúceho procesu:

1. Používatelia z každej dcérskej spoločnosti sú vyzvaní, aby si v identifikácii Microsoft Entra spoločnosti Contoso
2. Potom sa aplikácia Power BI publikuje, aby sa týmto používateľom poskytol prístup k požadovaným údajom
3. Nakoniec používatelia otvoria aplikáciu pomocou prepojenia, ktoré dostali na zobrazenie zostáv.

Organizáciám v tejto štruktúre čelia niekoľko dôležitých výziev:

• Distribúcia prepojení na obsah v službe Power BI nadradenej organizácie
• Ako umožniť dcérskym používateľom prístup k zdroju údajov hosťovanému v nadradenej organizácii

Distribúcia prepojení na obsah v službe Power BI nadradenej organizácie

Na distribúciu prepojení k obsahu sa bežne používajú tri prístupy. Prvým a najzákladnejším je odoslanie prepojenia na aplikáciu požadovaným používateľom alebo umiestnenie na lokalitu SharePoint Online, z ktorej je možné ju otvoriť. Používatelia si potom môžu vytvoriť záložku na prepojenie vo svojich prehliadačoch, aby získali rýchlejší prístup k potrebným údajom.

Druhý prístup spočíva v tom, že nadradená organizácia umožňuje používateľom z dcérskych spoločností prístup k jej službe Power BI a ovládacím prvkom, ku ktorým majú prístup prostredníctvom povolenia. Umožní sa tým prístup k Power BI Domov, v ktorých používateľ z dcérskej spoločnosti uvidí komplexný zoznam obsahu, ktorý s ním bol zdieľaný v nájomníkovi nadradenej organizácie. Potom sa URL adresa prostredia služby Power BI nadradenej organizácie poskytne používateľom v jej dcérskych spoločnostiach.

Posledný prístup využíva aplikáciu služby Power BI vytvorenú v rámci nájomníka služby Power BI pre každú dcérsku spoločnosť. Aplikácia Power BI obsahuje tabuľu s dlaždicami nakonfigurovanými s možnosťou externého prepojenia. Keď používateľ stlačí dlaždicu, prejde na príslušnú zostavu, tabuľu alebo aplikáciu v službe Power BI nadradenej organizácie. Tento prístup prináša ďalšiu výhodu, že aplikáciu možno nainštalovať automaticky pre všetkých používateľov v pobočke a je im k dispozícii pri každom prihlásení do vlastného prostredia služby Power BI. Výhodou tohto prístupu je, že dobre funguje s mobilnými aplikáciami Power BI, ktoré môžu prepojenie otvoriť natívne. Môžete ju tiež skombinovať s druhým prístupom, ktorý umožňuje jednoduchšie prepínanie medzi prostrediami služby Power BI.

Umožnenie dcérskym používateľom získať prístup k zdrojom údajov hosťovaným v nadradenej organizácii

Analytici v pobočke často potrebujú vytvoriť vlastnú analýzu pomocou údajov, ktoré poskytuje nadradená organizácia. V tomto prípade sa na riešenie tejto výzvy bežne používajú cloudové zdroje údajov.

Prvý prístup používa službu Azure Analysis Services na vytvorenie skladu údajov na podnikovej úrovni, ktorý slúži potrebám analytikov v rámci nadradenej služby a jej dcérskych spoločností, ako je to znázornené na nasledujúcom obrázku. Spoločnosť Contoso môže hostiť údaje a používať funkcie, ako napríklad zabezpečenie na úrovni riadkov, aby používatelia v každej dcérskej spoločnosti mali prístup len k svojim údajom. Analytici v každej organizácii môžu získať prístup k skladu údajov prostredníctvom aplikácie Power BI Desktop a publikovať výsledné analýzy pre príslušných nájomníkov služby Power BI.

Druhý prístup využíva databázu Azure SQL na vytvorenie relačného skladu údajov na poskytnutie prístupu k údajom. Funguje to podobne ako prístup služby Azure Analysis Services, hoci niektoré funkcie, ako je zabezpečenie na úrovni riadkov, môžu byť ťažšie nasadiť a zachovať v rámci dcérskych spoločností.

Sofistikovanejšie prístupy sú tiež možné, ale vyššie uvedené sú zďaleka najbežnejšie.

Prípad 3: Zdieľané prostredie medzi partnermi

Spoločnosť Contoso môže uzavrieť partnerstvo s konkurentom, aby spoločne postavila auto na zdieľanej montážnej linke, ale distribuovala vozidlo pod rôznymi značkami alebo v rôznych regiónoch. Je to vyžaduje rozsiahlu spoluprácu a spoluvlastníctvo údajov, spravodajských informácií a analýz v rámci organizácií. Táto štruktúra je bežná aj v odvetví konzultačných služieb, v ktorom môže tím konzultantov vykonávať projektovú analýzu pre klienta.

V praxi sú tieto štruktúry zložité, ako je to znázornené na nasledujúcom obrázku, a vyžadujú, aby zamestnanci udržiavali. Aby boli organizácie efektívne, môžu opätovne používať licencie Power BI Pro zakúpené pre príslušných nájomníkov služby Power BI.

Na vytvorenie zdieľaného nájomníka služby Power BI je potrebné vytvoriť ID používateľa služby Microsoft Entra a pre používateľa v danom nájomníkovi musí byť zakúpené aspoň jedno používateľské konto v službe Power BI Pro. Tento používateľ pozvete požadovaných používateľov do zdieľanej organizácie. Dôležité je, že v tomto scenári sa používatelia spoločnosti Contoso považujú za externých používateľov, keď pracujú v službe Power BI zdieľanej organizácie.

Proces je nasledujúci:

1. Zdieľaná organizácia je založená ako nové ID služby Microsoft Entra a v novom nájomníkovi sa vytvorí aspoň jedno používateľské konto. Tento používateľ by mal mať priradenú licenciu na Power BI Pro.
2. Tento používateľ potom nadviaže nájomníka služby Power BI a pozvete požadovaných používateľov zo spoločnosti Contoso a partnerskej organizácie. Používateľ vytvára aj akékoľvek zdieľané položky údajov, ako je napríklad Azure Analysis Services. Spoločnosť Contoso a používatelia partnerov môžu ako hosťovskí používatelia získať prístup k službe Power BI zdieľanej organizácie. Všetky zdieľané položky sú zvyčajne uložené a prístupné zo zdieľanej organizácie.
3. V závislosti od spôsobu, akým sa strany dohodli na spolupráci, môže každá organizácia vyvinúť vlastné vlastnícke údaje a analýzy pomocou zdieľaných položiek skladu údajov. Môžu ich distribuovať príslušným interným používateľom pomocou interných nájomníkov služby Power BI.

Prípad 4: Distribúcia pre stovky alebo tisíce externých partnerov

Hoci spoločnosť Contoso vytvorila zostavu na spoľahlivosť radiátora pre jedného dodávateľa, teraz si Contoso chce vytvoriť množinu štandardizovaných zostáv pre stovky dodávateľov. To umožňuje spoločnosti Contoso zabezpečiť, aby všetci dodávatelia mali analýzu, ktorú potrebujú na vylepšenie alebo opravu chybných výrobkov.

Ak organizácia potrebuje distribuovať štandardizované údaje a prehľady mnohým externým používateľom alebo organizáciám, môže rýchlo a bez rozsiahlych nákladov na vývoj použiť Ad hoc alebo plánované zdieľanie scenára služby Power BI Apps na vytvorenie portálu BI. Proces vytvorenia takéhoto portálu pomocou aplikácie Power BI je zahrnutý v prípadovej štúdii: Vytvorenie portálu BI pomocou služby Power BI + Microsoft Entra B2B – podrobné pokyny uvedené neskôr v tomto dokumente.

Bežným variantom tohto prípadu je pokus organizácie o zdieľanie prehľadov s používateľmi, a to najmä pri pokuse o použitie služby Azure Active Directory B2C so službou Power BI. Služba Power BI natívne nepodporuje službu Azure Active Directory B2C. Ak vyhodnocujete možnosti pre tento prípad, zvážte použitie alternatívnej možnosti 2 v časti Bežné alternatívne prístupy ďalej v tomto dokumente.

Prípadová štúdia: Vytvorenie portálu BI pomocou služieb Power BI + Microsoft Entra B2B – podrobné pokyny

Integrácia služby Power BI so službou Microsoft Entra B2B poskytuje spoločnosti Contoso bezproblémový a bezproblémový spôsob, ako hosťovským používateľom poskytnúť zabezpečený prístup k portálu BI. Spoločnosť Contoso to môže nastaviť pomocou troch krokov:

1. Vytvorenie portálu BI v službe Power BI

   Prvou úlohou spoločnosti Contoso je vytvoriť portál BI v službe Power BI. Portál BI spoločnosti Contoso bude pozostávať z kolekcie účelovo vytvorených tabúľ a zostáv, ktoré budú sprístupnené mnohým interným a hosťovským používateľom. Odporúčaným spôsobom, ako to urobiť v službe Power BI, je vytvorenie aplikácie služby Power BI. Ďalšie informácie o aplikáciách v službe Power BI.

• Tím BI spoločnosti Contoso vytvorí pracovný priestor v službe Power BI

  

• Do pracovného priestoru sa pridávajú ďalší autori

  

• Obsah sa vytvára v pracovnom priestore

  

  Teraz, keď je obsah vytvorený v pracovnom priestore, je spoločnosť Contoso pripravená pozvať hosťovských používateľov v partnerských organizáciách, aby tento obsah mohli využívať.

2. Pozvanie hosťovských používateľov

   Existujú dva spôsoby, ako môže spoločnosť Contoso pozvať hostí na portál BI v službe Power BI:

   • Plánované pozvánky
   • Ad-hoc pozvánka

   Plánované pozvánky

   V tomto prístupe Contoso vopred pozvete hosťovských používateľov do svojej služby Microsoft Entra a potom im distribuuje obsah služby Power BI. Spoločnosť Contoso môže pozývať hosťovských používateľov z portálu Azure alebo pomocou prostredia PowerShell. Tu sú kroky na pozvanie hosťovských používateľov z portálu Azure:

   • Správca spoločnosti Microsoft Entra spoločnosti Contoso prejde na portál>Azure Microsoft Entra ID Users (Identifikácia>používateľa) Všetci používatelia>>Nový hosťovský používateľ

   

   • Pridajte správu s pozvánkou pre hosťovských používateľov a vyberte položku Pozvať

   

   Poznámka

   Ak chcete pozvať hosťovských používateľov z portálu Azure, budete potrebovať správcu služby Microsoft Entra pre svojho nájomníka.

   Ak chce spoločnosť Contoso pozvať mnoho hosťovských používateľov, môže tak urobiť pomocou prostredia PowerShell. Správca spoločnosti Microsoft Entra spoločnosti Contoso uloží e-mailové adresy všetkých hosťovských používateľov do CSV súboru. Tu sú kód a pokyny na spoluprácu pre službu Microsoft Entra B2B a ukážky a pokyny prostredia PowerShell.

   Po pozvánke dostanú hosťovskí používatelia e-mail s prepojením na pozvánku.

   

   Keď hosťovskí používatelia vyberú prepojenie, môžu získať prístup k obsahu v nájomníkovi Contoso Microsoft Entra.

   Poznámka

   Rozloženie e-mailu s pozvánkou je možné zmeniť pomocou funkcie značky Microsoft Entra ID, ako je to popísané tu.

   Ad-hoc pozvánka

   Čo ak spoločnosť Contoso nepozná všetkých hosťovských používateľov, pozvať ich vopred? Alebo čo ak chce analytik spoločnosti Contoso, ktorý vytvoril portál BI, distribuovať obsah samotným hosťovským používateľom? Tento scenár podporujeme aj v službe Power BI s ad-hoc pozvánkami.

   Analytik môže pri publikovaní aplikácie pridať externých používateľov do zoznamu prístupov aplikácie. Hosťovskí používatelia dostanú pozvánku a keď ju prijmú, automaticky sa presmerujú na obsah služby Power BI.

   

   Poznámka

   Pozvánky sú potrebné len pri prvom pozvaní externého používateľa do vašej organizácie.

3. Distribúcia obsahu

   Po vytvorení portálu BI od spoločnosti Contoso a pozvaní hosťovských používateľov môžu distribuovať svoj portál koncovým používateľom tak, že hosťovským používateľom poskytnete prístup k aplikácii a publikuje ju. Power BI automaticky dokončuje mená hosťovských používateľov, ktorí boli predtým pridaní do nájomníka Contoso. Pozvánky adhoc pre iných hosťovských používateľov môžete pridať aj v tomto bode.

   Poznámka

   Ak na spravovanie prístupu k aplikácii pre externých používateľov používate skupiny zabezpečenia, použite prístup Plánované pozvánky a zdieľajte prepojenie aplikácie priamo s každým externým používateľom, ktorý k nemu musí mať prístup. V opačnom prípade externý používateľ nemusí mať možnosť inštalovať ani zobrazovať obsah v rámci app._

   Hosťovskí používatelia dostanú e-mail s prepojením na aplikáciu.

   

   Po kliknutí na toto prepojenie budú hosťovskí používatelia požiadaní, aby sa overili identitou svojej vlastnej organizácie.

   

   Po ich úspešnom overení budú presmerovaní do aplikácie BI spoločnosti Contoso.

   

   Hosťovskí používatelia sa neskôr môžu dostať do aplikácie spoločnosti Contoso kliknutím na prepojenie v e-maile alebo si ho môžu označiť záložkou. Contoso môže tiež zjednodušiť hosťovským používateľom pridaním tohto prepojenia na akýkoľvek existujúci extranetový portál, ktorý už hosťovskí používatelia používajú.

4. Ďalšie kroky

   Pomocou aplikácie Power BI a služby Microsoft Entra B2B sa spoločnosti Contoso podarilo rýchlo vytvoriť portál BI pre svojich dodávateľov bez použitia kódu. Tým sa výrazne zjednodušila distribúcia štandardizovanej analýzy všetkým dodávateľom, ktorí ju potrebovali.

   Aj keď v príklade bolo možné distribuovať jednu spoločnú zostavu medzi dodávateľmi, Power BI môže zájsť oveľa ďalej. Aby sa zabezpečilo, že každému partnerovi sa budú zobrazovať len údaje relevantné pre seba, zabezpečenie na úrovni riadkov možno do zostavy a dátového modelu jednoducho pridať. Tento proces podrobne popisuje časť Zabezpečenie údajov pre externých partnerov ďalej v tomto dokumente.

   Jednotlivé zostavy a tabule je často potrebné vložiť na existujúci portál. To možno vykonať aj opätovným zadaním mnohých techník uvedených v príklade. V týchto situáciách však môže byť jednoduchšie vkladať zostavy alebo tabule priamo z pracovného priestoru. Proces pozývania a priraďovania povolení zabezpečenia požadovaným používateľom zostáva rovnaký.

V kapote: Ako môže Lucy z supplier1 získať prístup k obsahu služby Power BI z nájomníka spoločnosti Contoso?

Teraz, keď sme už videli, ako dokáže spoločnosť Contoso bez problémov distribuovať obsah služby Power BI hosťovským používateľom v partnerských organizáciách, pozrime sa, ako to funguje.

Keď spoločnosť Contoso pozvala lucy@supplier1.com do svojho adresára, Microsoft Entra ID vytvorí prepojenie medzi Lucy@supplier1.com nájomníkom Spoločnosti Contoso Microsoft Entra. Toto prepojenie umožňuje spoločnosti Microsoft Entra ID vedieť, že Lucy@supplier1.com môže pristupovať k obsahu v nájomníkovi spoločnosti Contoso.

Keď sa Lucy pokúsi získať prístup k aplikácii Power BI spoločnosti Contoso, Microsoft Entra ID overí, že Lucy môže získať prístup k nájomníkovi Contoso, a potom poskytne Power BI token, ktorý označuje, že Lucy má overenie na prístup k obsahu v nájomníkovi Spoločnosti Contoso. Power BI používa tento token na oprávnenie a zaistenie toho, že Lucy má prístup k aplikácii Power BI spoločnosti Contoso.

Integrácia služby Power BI so službou Microsoft Entra B2B funguje so všetkými podnikovými e-mailovými adresami. Ak používateľ nemá identitu Microsoft Entra, môže sa zobraziť výzva na jeho vytvorenie. Na nasledujúcom obrázku je znázornený podrobný postup:

Je dôležité si uvedomiť, že konto Microsoft Entra sa použije alebo vytvorí v ID služby Microsoft Entra externej strany, vďaka čomu môže Lucy použiť svoje vlastné meno používateľa a heslo a ich poverenia automaticky prestanú pracovať v iných nájomníkoch vždy, keď Lucy opustí spoločnosť, keď ich organizácia používa aj ID Microsoft Entra.

Licencovanie

Spoločnosť Contoso môže vybrať jeden z troch prístupov na získanie licencie hosťovským používateľom od dodávateľov a partnerských organizácií na prístup k obsahu služby Power BI.

Poznámka

Bezplatná úroveň služby Microsoft Entra B2B sa používa v službe Power BI s využitím služby Microsoft Entra B2B. Niektoré pokročilé funkcie služby Microsoft Entra B2B, ako sú napríklad dynamické skupiny, vyžadujú dodatočné licencie. Ďalšie informácie nájdete v dokumentácii Microsoft Entra B2B.

Prístup č. 1: Contoso používa Power BI Premium

Týmto prístupom spoločnosť Contoso zakúpi kapacitu Power BI Premium a priradí k tejto kapacite obsah portálu BI. To umožňuje hosťovským používateľom z partnerských organizácií získať prístup k aplikácii Power BI spoločnosti Contoso bez licencie na Power BI.

Externí používatelia tiež podliehajú možnostiam používania, ktoré sú ponúkané používateľom bezplatnej verzie v službe Power BI pri spotrebe obsahu v rámci služby Power BI Premium.

Spoločnosť Contoso môže vo svojich aplikáciách využívať aj ďalšie možnosti služby Power BI Premium, ako napríklad zvýšenie frekvencie obnovovania, kapacitu a veľké rozsahy modelov.

Prístup č. 2: Contoso priraďuje licencie Power BI Pro hosťovským používateľom

Pri tomto prístupe spoločnosť Contoso priraďuje licencie Pro hosťovským používateľom z partnerských organizácií. Toto je možné urobiť v Centrum spravovania služby Microsoft 365 spoločnosti Contoso. Vďaka tomu môžu hosťovskí používatelia z partnerských organizácií pristupovať k aplikácii Power BI spoločnosti Contoso bez toho, aby si sami kúpili licenciu. Môže to byť vhodné na zdieľanie s externými používateľmi, ktorých organizácia ešte nepristúpila do služby Power BI.

Poznámka

Licencia Pro spoločnosti Contoso sa vzťahuje na hosťovských používateľov len vtedy, ak pristupujú k obsahu v nájomníkovi spoločnosti Contoso. Licencie Pro umožňujú prístup k obsahu, ktorý nie je v kapacite Služby Power BI Premium.

Prístup 3: Hosťovskí používatelia majú vlastnú licenciu na Power BI Pro.

Pri tomto prístupe dodávateľ 1 priradí licenciu na Power BI Pro Lucii. Potom môžu s touto licenciou získať prístup k aplikácii služby Power BI spoločnosti Contoso. Keďže Lucy môže používať licenciu Pro od svojej vlastnej organizácie pri prístupe k externému prostrediu služby Power BI, tento prístup sa niekedy označuje ako získať vlastnú licenciu (BYOL). Ak obe organizácie používajú Power BI, ponúka to výhodné licencie pre celkové analytické riešenie a minimalizuje režijné náklady na priradenie licencií externým používateľom.

Poznámka

Licencia na verziu Pro, ktorú Lucy poskytuje Dodávateľ 1, sa vzťahuje na každého nájomníka služby Power BI, kde je Lucy hosťovským používateľom. Licencie Pro umožňujú prístup k obsahu, ktorý nie je v kapacite Služby Power BI Premium.

Zabezpečenie údajov pre externých partnerov

Bežne platí, že pri práci s viacerými externými dodávateľmi musí spoločnosť Contoso zabezpečiť, aby každý dodávateľ videl údaje len o svojich vlastných produktoch. Zabezpečenie na základe používateľov a dynamické zabezpečenie na úrovni riadkov uľahčujú prácu so službou Power BI.

Zabezpečenie na základe používateľov

Jednou z najúčinnejších funkcií služby Power BI je zabezpečenie na úrovni riadkov. Táto funkcia umožňuje spoločnosti Contoso vytvoriť jednu zostavu a sémantický model (predtým známy ako množina údajov), ale pre každého používateľa stále platia iné pravidlá zabezpečenia. Podrobné vysvetlenie nájdete v téme Zabezpečenie na úrovni riadkov (RLS).

Integrácia služby Power BI so službou Microsoft Entra B2B umožňuje spoločnosti Contoso priradiť pravidlá zabezpečenia na úrovni riadkov hosťovským používateľom hneď, ako ich pozvú do nájomníka Contoso. Ako sme už videli, spoločnosť Contoso môže pridávať hosťovských používateľov prostredníctvom plánovaných alebo ad-hoc pozvánok. Ak chce spoločnosť Contoso vynútiť zabezpečenie na úrovni riadkov, dôrazne sa odporúča použiť plánované pozvánky na pridanie hosťovských používateľov vopred a ich priradenie k rolám zabezpečenia pred zdieľaním obsahu. Ak contoso namiesto toho používa ad-hoc pozvánky, môže byť krátky čas, počas ktorého hosťovskí používatelia nebudú môcť zobraziť žiadne údaje.

Poznámka

Toto oneskorenie pri prístupe k údajom chráneným zabezpečením na úrovni riadkov pri používaní ad-hoc pozvánok môže viesť k žiadostiam o podporu vášmu IT tímu, pretože používateľom sa pri otváraní prepojenia na zdieľanie v e-maile, ktorý dostanú, zobrazia prázdne alebo nefunkčné zostavy alebo tabule. Preto sa v tomto scenári dôrazne odporúča použiť plánované pozvánky.

Prejdime si to s príkladom.

Ako už bolo spomenuté, spoločnosť Contoso má dodávateľov na celom svete a chce sa uistiť, že používatelia z ich dodávateľských organizácií získajú prehľady z údajov len z ich územia. Používatelia zo spoločnosti Contoso však majú prístup ku všetkým údajom. Namiesto vytvárania niekoľkých rôznych zostáv vytvorí Contoso jednu zostavu a vyfiltruje údaje podľa toho, ako si ju používateľ prezerá.

Aby spoločnosť Contoso mohla filtrovať údaje na základe toho, kto sa pripája, v aplikácii Power BI Desktop sa vytvoria dve roly. Jeden na filtrovanie všetkých údajov z OblastiPredaja "Európa" a druhý pre "Severnú Ameriku".

Vždy, keď sú v zostave definované roly, používateľ musí byť priradený ku konkrétnej role, aby získal prístup k ľubovoľným údajom. Priradenie rolí prebieha v rámci služba Power BI ( Zabezpečenie sémantických modelov > ).

Otvorí sa stránka, kde tím BI spoločnosti Contoso uvidí dve roly, ktoré vytvoril. Teraz môže tím BI spoločnosti Contoso priradiť používateľov k rolám.

Contoso v príklade pridáva používateľa v partnerskej organizácii s e-mailovou adresou admin@fabrikam.com k role Európa:

Keď to vyrieši Microsoft Entra ID, Contoso môže vidieť, ako sa názov zobrazí v okne, ktoré je pripravené na pridanie:

Keď teraz otvorí aplikáciu, ktorá s ním bola zdieľaná, zobrazí sa im len zostava s údajmi z Európy:

Dynamické zabezpečenie na úrovni riadkov

Ďalšou zaujímavou témou je, ako dynamické zabezpečenie na úrovni riadkov funguje s Microsoft Entra B2B.

Stručne povedané, dynamické zabezpečenie na úrovni riadkov funguje filtrovaním údajov v modeli na základe mena používateľa používateľa, ktorý sa pripája k službe Power BI. Namiesto pridania viacerých rolí pre skupiny používateľov definujete používateľov v modeli. Tu ho nebudeme podrobne popisovať. Kasper de Jong ponúka podrobný popis všetkých typov zabezpečenia na úrovni riadkov v aplikácii Power BI Desktop s ťahákmi Dynamické zabezpečenie a v tejto technickej dokumentácii .

Pozrime sa na malý príklad – spoločnosť Contoso obsahuje jednoduchú zostavu o predaji podľa skupín:

Teraz je potrebné zdieľať túto zostavu s dvoma hosťovskými používateľmi a interným používateľom – interný používateľ môže zobraziť všetko, ale hosťovskí používatelia môžu vidieť len tie skupiny, ku ktorým majú prístup. To znamená, že musíme filtrovať údaje iba pre hosťovských používateľov. Ak chcete údaje správne filtrovať, spoločnosť Contoso používa vzor dynamického zabezpečenia na úrovni riadkov, ako je popísané v technickej dokumentácii a blogovom príspevku. To znamená, že spoločnosť Contoso pridá mená používateľov do samotných údajov:

Potom Contoso vytvorí správny dátový model, ktorý vhodným spôsobom filtruje údaje pomocou správnych vzťahov:

Ak chcete filtrovať údaje automaticky na základe toho, kto je prihlásený, spoločnosť Contoso musí vytvoriť rolu, ktorá odovzdá používateľovi, ktorý sa pripája. V tomto prípade contoso vytvorí dve roly – prvú rolu "securityrole", ktorá filtruje tabuľku Používatelia podľa aktuálneho používateľského mena používateľa prihláseného do služby Power BI (funguje to aj pre hosťovských používateľov služby Microsoft Entra B2B).

Spoločnosť Contoso tiež vytvorí ďalšiu rolu AllRole pre interných používateľov, ktorí môžu zobraziť všetko – táto rola nemá žiadny predikát zabezpečenia.

Po nahratí súboru aplikácie Power BI Desktop do služby môže spoločnosť Contoso priradiť hosťovských používateľov k role zabezpečenia a interným používateľom do roly AllRole.

Keď teraz hosťovskí používatelia otvoria zostavu, zobrazia sa im len predaje zo skupiny A:

V matici napravo môžete zobraziť výsledok funkcií USERNAME() aj USERPRINCIPALNAME() a vrátiť e-mailovú adresu hosťovských používateľov.

Teraz interný používateľ uvidí všetky údaje:

Ako vidíte, dynamické zabezpečenie na úrovni riadkov funguje s internými aj hosťovskými používateľmi.

Poznámka

Tento scenár funguje aj pri používaní modelu v službe Azure Analysis Services. Služba Azure Analysis Service je zvyčajne pripojená k rovnakému identifikátoru Microsoft Entra ako vaša služba Power BI. V takom prípade služba Azure Analysis Services tiež vie, ktorí hosťovskí používatelia boli pozvaní prostredníctvom služby Microsoft Entra B2B.

Pripojenie k lokálnym zdrojom údajov

Power BI ponúka spoločnosti Contoso možnosť priamo používať lokálne zdroje údajov, ako napríklad SQL Server Analysis Services alebo SQL Server , priamo vďaka lokálnej bráne údajov. Dokonca sa k týmto zdrojom údajov môžete prihlásiť pomocou rovnakých poverení ako v službe Power BI.

Poznámka

Pri inštalácii brány na pripojenie k nájomníkovi služby Power BI musíte použiť používateľa vytvoreného v rámci nájomníka. Externí používatelia si nemôžu nainštalovať bránu a pripojiť ju k vašej tenant._

V prípade externých používateľov to môže byť zložitejšie, pretože externí používatelia zvyčajne nie sú známi v lokálnej službe AD. Power BI ponúka alternatívne riešenie tým, že umožňuje správcom spoločnosti Contoso priradiť externé mená používateľov k interným menám používateľov tak, ako je popísané v téme Spravovanie zdroja údajov – Analysis Services. Môžete ju napríklad lucy@supplier1.com namapovať na lucy_supplier1_com#EXT@contoso.com.

Táto metóda je v poriadku, ak má contoso iba niekoľko používateľov, alebo ak dokáže spoločnosť Contoso priradiť všetkých externých používateľov k jednému internému kontu. V zložitejších scenároch, v ktorých každý používateľ potrebuje vlastné poverenia, existuje pokročilejší prístup, ktorý používa vlastné atribúty AD na priradenie, ako je to popísané v téme Spravovanie zdroja údajov – Analysis Services. To by umožnilo správcovi spoločnosti Contoso definovať mapovanie pre každého používateľa vo vašom ID Microsoft Entra (tiež externých používateľov B2B). Tieto atribúty je možné nastaviť prostredníctvom objektového modelu AD pomocou skriptov alebo kódu, takže Spoločnosť Contoso môže plne automatizovať mapovanie pri pozvánke alebo plánovanej frekvencii.

Riadenie

Ďalšie nastavenia ID entra od spoločnosti Microsoft, ktoré ovplyvňujú skúsenosti v službe Power BI súvisiace so službou Microsoft Entra B2B

Pri používaní zdieľania Microsoft Entra B2B správca služby Microsoft Entra kontroluje aspekty prostredia externého používateľa. Tieto nastavenia sa kontrolujú na stránke s nastaveniami externej spolupráce v nastaveniach ID entra spoločnosti Microsoft pre vášho nájomníka.

Ďalšie informácie nájdete v téme Konfigurácia nastavení externej spolupráce.

Poznámka

Predvolene sú povolenia hosťovských používateľov obmedzené na možnosť Áno, takže hosťovskí používatelia v rámci služby Power BI majú obmedzené možnosti najmä zdieľania surround, v ktorom používateľské rozhrania na výber osôb pre týchto používateľov nefungujú. Je dôležité, aby ste ho v spolupráci so správcom služby Microsoft Entra nastavili na hodnotu Nie, ako je to znázornené nižšie, aby ste zaistili dobrú skúsenosť.

Ovládanie pozývaných hostí

Správcovia služby Power BI môžu riadiť externé zdieľanie len pre službu Power BI tým, že navštívia portál na správu služby Power BI. Správcovia však môžu riadiť aj externé zdieľanie s rôznymi politikami služby Microsoft Entra. Tieto politiky umožňujú správcom:

• Vypnutie pozvánok koncovými používateľmi
• Pozývať môžu iba správcovia a používatelia s rolou Pozývateľ hostí
• Spravovanie, rolu Pozývateľ hostí a členovia môžu pozývať
• Všetci používatelia vrátane hostí môžu pozývať

Ďalšie informácie o týchto politikách nájdete v téme Delegovanie pozvánok na spoluprácu Microsoft Entra B2B.

Všetky akcie služby Power BI externými používateľmi sú tiež auditované na našom portáli auditovania.

Politiky podmieneného prístupu pre hosťovských používateľov

Spoločnosť Contoso môže uplatniť politiky podmieneného prístupu pre hosťovských používateľov, ktorí pristupujú k obsahu z nájomníka Contoso. Podrobné pokyny nájdete v téme Podmienený prístup pre používateľov spolupráce B2B.

Bežné alternatívne prístupy

Hoci služba Microsoft Entra B2B uľahčuje zdieľanie údajov a zostáv v rámci organizácií, bežne sa používa niekoľko ďalších prístupov, ktoré môžu byť v niektorých prípadoch lepšie.

Alternatívna možnosť 1: Vytvorenie duplicitných identít pre partnerských používateľov

Pomocou tejto možnosti musela spoločnosť Contoso manuálne vytvoriť duplicitné identity každého partnerového používateľa v nájomníkovi Contoso, ako je to znázornené na nasledujúcom obrázku. Následne môže contoso v rámci služby Power BI zdieľať s priradenými identitami príslušné zostavy, tabule alebo aplikácie.

Prečo si vybrať túto alternatívu:

• Keďže identitu používateľa riadi vaša organizácia, všetky súvisiace služby, ako napríklad e-mail, SharePoint atď., sú tiež v rámci kontroly nad vašou organizáciou. Vaše SPRAVOVANIE IT môžu resetovať heslá, zakázať prístup k kontám alebo auditovať aktivity v týchto službách.
• Používatelia, ktorí používajú osobné kontá pre svoje podnikanie, často nemôžu pristupovať k určitým službám, takže môžu potrebovať konto organizácie.
• Niektoré služby fungujú iba pre používateľov vo vašej organizácii. Používanie služby Intune na správu obsahu v osobných/mobilných zariadeniach externých používateľov pomocou služby Microsoft Entra B2B nemusí byť možné.

Prečo si vybrať túto alternatívu:

• Používatelia z partnerských organizácií si musia pamätať dve množiny poverení– jeden na prístup k obsahu z ich vlastnej organizácie a druhý na prístup k obsahu zo spoločnosti Contoso. Toto je bezproblémová skúsenosť pre týchto hosťovských používateľov a mnohí hosťovskí používatelia sú z tohto prostredia zmätení.
• Spoločnosť Contoso musí týmto používateľom zakúpiť a priradiť licencie podľa jednotlivých používateľov. Ak používateľ potrebuje dostať e-mail alebo používať aplikácie balíka Office, potrebuje príslušné licencie vrátane Power BI Pro na úpravu a zdieľanie obsahu v službe Power BI.
• Spoločnosť Contoso môže chcieť v porovnaní s internými používateľmi vynútiť prísnejšie politiky oprávnenia a riadenia pre externých používateľov. Na dosiahnutie tohto cieľa musí spoločnosť Contoso vytvoriť interné názvoslovie pre externých používateľov a všetci používatelia spoločnosti Contoso musia byť poučení o tomto názvosloví.
• Keď používateľ odíde z organizácie, bude mať naďalej prístup k zdrojom spoločnosti Contoso, kým správca spoločnosti Contoso manuálne neodstráni svoje konto.
• Správcovia spoločnosti Contoso musia spravovať identitu hosťa vrátane vytvorenia, resetovania hesla atď.

Alternatívna možnosť 2: Vytvorenie vlastnej aplikácie Power BI Embedded pomocou vlastného overovania

Ďalšou možnosťou pre spoločnosť Contoso je vytvoriť vlastnú vloženú aplikáciu Power BI s vlastným overovaním ("Aplikácia vlastní údaje"). Hoci mnohé organizácie nemajú čas ani zdroje na vytvorenie vlastnej aplikácie na distribúciu obsahu služby Power BI externým partnerom, v niektorých organizáciách je to najlepší prístup a zaslúži si vážne zváženie.

Organizácie často majú existujúce partnerské portály, ktoré pre partnerov centralizujú prístup ku všetkým zdrojom organizácie, odstraňujú interné zdroje organizácie a poskytujú zjednodušené možnosti na podporu mnohých partnerov a jednotlivých používateľov.

V príklade uvedenom vyššie sa používatelia z každého dodávateľa prihlásia na portál partnerov spoločnosti Contoso, ktorý používa ID microsoft Entra ako poskytovateľa identity. Mohla by používať Microsoft Entra B2B, Azure Active Directory B2C, natívne identity alebo federovať s akýmkoľvek počtom ďalších poskytovateľov identity. Používateľ sa prihlásil a získal prístup k zostave partnerských portálov pomocou webovej aplikácie Azure alebo podobnej infraštruktúry.

V rámci webovej aplikácie sú zostavy služby Power BI vložené z nasadenia služby Power BI Embedded. Webová aplikácia by zjednodušila prístup k zostavám a všetkým súvisiacim službám v súdržnom prostredí, ktorého cieľom je uľahčiť dodávateľom interakciu so spoločnosťou Contoso. Toto prostredie portálu bude izolované od interného identifikátora Microsoft Entra ID spoločnosti Contoso a interného prostredia služby Power BI spoločnosti Contoso, aby sa zabezpečilo, že dodávatelia nebudú môcť získať prístup k týmto zdrojom. Údaje by sa zvyčajne ukladali v samostatnom sklade údajov pre partnerov, aby sa zaistila izolácia údajov. Táto izolácia má výhody, pretože obmedzuje počet externých používateľov s priamym prístupom k údajom vašej organizácie, obmedzuje potenciálne dostupné údaje pre externého používateľa a obmedzuje náhodné zdieľanie s externými používateľmi.

Pomocou služby Power BI Embedded môže portál využívať výhodné licencie, pomocou tokenu aplikácie alebo hlavného používateľa plus kapacitu Premium zakúpenú v modeli Azure, ktorá zjednodušuje obavy z priraďovania licencií koncovým používateľom a môže sa zvýšiť/znížiť na základe očakávaného používania. Portál môže ponúknuť celkovú vyššiu kvalitu a konzistentnú skúsenosť, pretože partneri pristupujú k jednému portálu navrhnutému so všetkými potrebami partnera. A nakoniec, keďže riešenia založené na službe Power BI Embedded sú zvyčajne navrhnuté tak, aby mali viacerých nájomníkov, uľahčuje sa izolácia medzi partnerskými organizáciami.

Prečo si vybrať túto alternatívu:

• Jednoduchšie spravovanie s rastom počtu partnerských organizácií. Keďže partneri sa pridávajú do samostatného adresára izolovaného od interného adresára Microsoft Entra spoločnosti Contoso, zjednodušuje úlohy správy IT a pomáha zabrániť náhodnému zdieľaniu interných údajov s externými používateľmi.
• Typické partnerské portály sú vysoko značkové skúsenosti s konzistentnými skúsenosťami medzi partnermi a zjednodušene uspokojujú potreby typických partnerov. Spoločnosť Contoso preto môže partnerom ponúknuť lepšie možnosti na úrovni celého obsahu integráciou všetkých požadovaných služieb do jediného portálu.
• Náklady na licencie pre pokročilé scenáre, ako je napríklad úprava obsahu v rámci služby Power BI Embedded, pokrýva služba Azure zakúpená službou Power BI Premium a nevyžaduje pre týchto používateľov priradenie licencií Power BI Pro.
• Poskytuje lepšiu izoláciu naprieč partnermi, ak bol architektovaný ako riešenie s viacerými nájomníkmi.
• Portál pre partnerov často obsahuje ďalšie nástroje pre partnerov nad rámec zostáv, tabúľ a aplikácií služby Power BI.

Prečo si vybrať túto alternatívu:

• Na vytvorenie, prevádzku a údržbu takéhoto portálu je potrebné veľké úsilie, aby bolo možné investovať do zdrojov a času.
• Čas riešenia je oveľa dlhší ako použitie zdieľania B2B, pretože je potrebné dôsledné plánovanie a spúšťanie v rámci viacerých pracovných tokov.
• Ak je menší počet partnerov, úsilie potrebné pre túto alternatívu je pravdepodobne príliš vysoké na to, aby to odôvodnilo.
• Spolupráca s ad hoc zdieľaním je primárnym scenárom, s ktorým čelí vaša organizácia.
• Zostavy a tabule sa pre každého partnera líšia. Táto alternatíva zavádza režijné náklady na riadenie nad rámec priameho zdieľania s partnermi.

Najčastejšie otázky

Môže spoločnosť Contoso odoslať pozvánku, ktorá sa automaticky uplatnila, takže používateľ je jednoducho "pripravený ísť"? Alebo musí používateľ vždy kliknúť na URL adresu uplatnenia?

Koncový používateľ musí pred prístupom k obsahu vždy kliknúť cez prostredie na udelenie súhlasu.

Ak budete pozývať mnohých hosťovských používateľov, odporúčame vám delegovať ho z vašich základných správcov služby Microsoft Entra pridaním používateľa do roly pozývajúceho hosťovského používateľa v organizácii zdrojov. Tento používateľ môže pozvať iných používateľov v partnerskej organizácii pomocou prihlasovacieho používateľského rozhrania, skriptov prostredia PowerShell alebo rozhraní API. Takto sa zníži administratívna záťaž pre vašich správcov služby Microsoft Entra, aby pozývali alebo opakovane vyzývali používateľov v partnerskej organizácii.

Môže spoločnosť Contoso vynútiť viacfaktorové overovanie pre hosťovských používateľov, ak jeho partneri nemajú viacfaktorové overovanie?

Áno. Ďalšie informácie nájdete v téme Podmienený prístup pre používateľov spolupráce B2B.

Ako funguje spolupráca B2B, keď pozvaný partner používa federáciu na pridanie vlastného lokálneho overovania?

Ak partner má nájomníka microsoft Entra, ktorý je federovaný do infraštruktúry lokálneho overovania, lokálne jediné prihlásenie (SSO) sa dosiahne automaticky. Ak partner nemá nájomníka Microsoft Entra, môže byť pre nových používateľov vytvorené konto Entra spoločnosti Microsoft.

Môžem pozvať hosťovských používateľov s spotrebiteľskými e-mailovými kontami?

Pozvanie hostí na zákaznícke e-mailové kontá je v službe Power BI podporované. Patria sem domény ako hotmail.com, outlook.com a gmail.com. Títo používatelia však môžu mať obmedzenia nad rámec toho, s čím sa používatelia stretávajú s pracovnými alebo školskými kontami.