กระจายเนื้อหา Power BI ให้กับผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอก โดยใช้ Azure Active Directory B2BDistribute Power BI content to external guest users using Azure Active Directory B2B

ข้อมูลสรุป: นี่คือเอกสารทางเทคนิคที่สรุปวิธีการกระจายเนื้อหาไปยังผู้ใช้ภายนอกองค์กรโดยใช้การรวมของ Azure Active Directory ธุรกิจไปยังธุรกิจ (Azure AD B2B)Summary: This is a technical whitepaper outlining how to distribute content to users outside the organization using the integration of Azure Active Directory Business-to-business (Azure AD B2B).

นักเขียน: Lukasz Pawlowski, Kasper de JongeWriters: Lukasz Pawlowski, Kasper de Jonge

ผู้ตรวจทานด้านเทคนิค: อดัมวิลสัน, เช็งหลิว, เคียนเหลียง, Sergei Gundorov, จายากริม, อดัมแซกซ์, มายา Shenhav, Nimrod Shalit, Elisabeth โอลสันTechnical Reviewers: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

หมายเหตุ

คุณสามารถบันทึกหรือพิมพ์เอกสารนี้ได้โดยการเลือกพิมพ์จากเบราว์เซอร์ของคุณจากนั้นเลือกบันทึกเป็น PDFYou can save or print this whitepaper by selecting Print from your browser, then selecting Save as PDF.

บทนำIntroduction

Power BI ช่วยให้องค์กรมีมุมมอง 360 องศาในธุรกิจของพวกเขา และเพิ่มศักยภาพของทุกคนในองค์กรเหล่านี้ให้ทำการตัดสินใจอย่างชาญฉลาดโดยใช้ข้อมูลPower BI gives organizations a 360-degree view of their business and empowers everyone in these organizations to make intelligent decisions using data. หลายองค์กรเหล่านี้มีความสัมพันธ์ที่แข็งแกร่งและเชื่อถือได้กับคู่ค้าภายนอก ผู้รับบริการ และผู้รับเหมาMany of these organizations have strong and trusted relationships with external partners, clients, and contractors. องค์กรเหล่านี้จำเป็นต้องให้การเข้าถึงที่ปลอดภัยไปยังแดชบอร์ดและรายงานของ Power BI แก่ผู้ใช้ที่อยู่ในกลุ่มคู่ค้าภายนอกเหล่านี้These organizations need to provide secure access to Power BI dashboards and reports to users in these external partners.

Power BI รวมเข้ากับ Azure Active Directory เพื่อธุรกิจ (Azure AD B2B) เพื่ออนุญาตให้กระจายเนื้อหา Power BI ไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกองค์กร ในขณะที่ยังคงรักษาการควบคุมและดูแลการเข้าถึงไปยังข้อมูลภายในPower BI integrates with Azure Active Directory Business-to-business (Azure AD B2B) to allow secure distribution of Power BI content to guest users outside the organization – while still maintaining control and governing access to internal data.

เอกสารนี้ครอบคลุมรายละเอียดทั้งหมดที่คุณจำเป็นในการทำความเข้าใจการรวมกันของ Power BI กับ Azure Active Directory B2BThis white paper covers the all the details you need to understand Power BI's integration with Azure Active Directory B2B. เราครอบคลุมกรณีใช้งานทั่วไปส่วนใหญ่ การตั้งค่า สิทธิ์การใช้งาน และการรักษาความปลอดภัยระดับแถวWe cover its most common use case, setup, licensing, and row level security.

หมายเหตุ

ตลอดทั้งเอกสารนี้ เรากล่าวถึง Azure Active Directory เป็น Azure AD และ Azure Active Directory Business to Business เป็น Azure AD B2BThroughout this white paper, we refer to Azure Active Directory as Azure AD and Azure Active Directory Business to Business as Azure AD B2B.

สถานการณ์สมมติScenarios

Contoso คือ ผู้ผลิตที่รถยนต์ และทำงานกับผู้จำหน่ายหลากหลายจำนวนมาก ซึ่งเป็นผู้จัดเตรียมองค์ประกอบ วัสดุ และบริการที่จำเป็นให้บริษัทเพื่อดำเนินการผลิตของบริษัทContoso is an automotive manufacturer and works with many diverse suppliers who provide it with all the components, materials, and services necessary to run its manufacturing operations. Contoso ต้องการปรับปรุงประสิทธิภาพลอจิสติกส์ห่วงโซ่อุปทานและวางแผนที่จะใช้ Power BI เพื่อตรวจสอบเมตริกประสิทธิภาพของห่วงโซ่อุปทานของบริษัทContoso wants to streamline its supply chain logistics and plans to use Power BI to monitor key performance metrics of its supply chain. Contoso ต้องการแชร์ผลการวิเคราะห์ให้แก่คู่ค้าในห่วงโซ่อุปทานภายนอกในวิธีจัดการได้และปลอดภัยContoso wants to share with external supply chain partners analytics in a secure and manageable way.

Contoso สามารถเปิดใช้งานประสบการณ์การใช้งานต่อไปนี้สำหรับผู้ใช้ภายนอกโดยใช้ Power BI และ Azure AD B2BContoso can enable the following experiences for external users using Power BI and Azure AD B2B.

การแชร์รายการแบบเฉพาะกิจAd hoc per item sharing

Contoso ทำงานกับซัพพลายเออร์ที่ผลิตหม้อน้ำรถยนต์สำหรับรถยนต์ของ ContosoContoso works with a supplier who builds radiators for Contoso's cars. บ่อยครั้ง พวกเขาจำเป็นต้องปรับความน่าเชื่อถือของหม้อน้ำรถยนต์โดยใช้ข้อมูลจากรถยนต์ทั้งหมดของ ContosoOften, they need to optimize the reliability of the radiators using data from all of Contoso's cars. นักวิเคราะห์ที่ Contoso ใช้ Power BI เพื่อแชร์รายงานความน่าเชื่อถือของหม้อน้ำรถยนต์กับวิศวกรของซัพพลายเออร์An analyst at Contoso uses Power BI to share a radiator reliability report with an Engineer at the supplier. วิศวกรได้รับอีเมลที่มีลิงก์เพื่อดูรายงานThe Engineer receives an email with a link to view the report.

ตามที่อธิบายไว้ด้านบน การแชร์เฉพาะกิจนี้จะดำเนินการ โดยผู้ใช้ทางธุรกิจบนเซลล์ที่จำเป็นAs described above, this ad-hoc sharing is performed by business users on an as needed basis. ลิงก์ที่ส่งโดย Power BI ไปยังผู้ใช้ภายนอกคือลิงก์การเชิญ Azure AD B2BThe link sent by Power BI to the external user is an Azure AD B2B invite link. เมื่อผู้ใช้ภายนอกเปิดลิงก์ พวกเขาจะถูกขอให้เข้าร่วมองค์กร Azure AD ของ Contoso ในฐานะผู้ใช้ที่เป็นผู้เยี่ยมชมWhen the external user opens the link, they are asked to join Contoso's Azure AD organization as a Guest user. หลังจากที่ยอมรับคำเชิญแล้ว ลิงก์จะเปิดรายงานหรือแดชบอร์ดที่เจาะจงAfter the invite is accepted, the link opens the specific report or dashboard. ผู้ดูแลระบบ Azure Active Directory มอบหมายสิทธิ์ให้เชิญผู้ใช้ภายนอกไปยังองค์กร และเลือกว่าผู้ใช้เหล่านั้นสามารถทำอะไรได้บ้างเมื่อพวกเขายอมรับคำเชิญตามที่อธิบายไว้ในส่วนการกำกับดูแลของเอกสารนี้The Azure Active Directory admin delegates permission to invite external users to the organization and chooses what those users can do once they accept the invite as described in the Governance section of this document. นักวิเคราะห์ Contoso สามารถเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมเท่านั้น เนื่องจากผู้ดูแลระบบ Azure AD อนุญาตการดำเนินการนั้นและผู้ดูแลระบบ Power BI อนุญาตให้ผู้ใช้เชิญผู้เยี่ยมชมให้ดูเนื้อหาในการตั้งค่าของผู้เช่า Power BI ได้The Contoso analyst can invite the Guest user only because the Azure AD administrator allowed that action and the Power BI administrator allowed users to invite guests to view content in Power BI's tenant settings.

เชิญผู้เยี่ยมชมไปยัง Power BI โดยใช้ AAD

  1. กระบวนการเริ่มต้นจากผู้ใช้ภายใน Contoso แชร์แดชบอร์ดหรือรายงานกับผู้ใช้ภายนอกThe process starts with a Contoso internal user sharing a dashboard or a report with an external user. ถ้าผู้ใช้ภายนอกยังไม่ได้เป็นผู้เยี่ยมชมใน Azure AD ของ Contoso พวกเขาจะได้รับเชิญIf the external user is not already a guest in Contoso's Azure AD, they are invited. อีเมลพร้อมกับคำเชิญไปยัง Azure AD ของ Contoso จะถูกส่งไปยังอีเมลแอดเดรสของพวกเขาAn email is sent to their email address that includes an invite to Contoso's Azure AD
  2. ผู้รับยอมรับคำเชิญไปยัง Azure AD ของ Contoso และจะถูกเพิ่มเป็นผู้ใช้ที่เป็นผู้เยี่ยมชมในของ Azure AD ของ ContosoThe recipient accepts the invite to Contoso's Azure AD and is added as a Guest user in Contoso's Azure AD.
  3. จากนั้น ระบบจะนำผู้รับไปยังแดชบอร์ด รายงาน หรือแอป ของ Power BI ซึ่งเป็นแบบอ่านอย่างเดียวสำหรับผู้ใช้The recipient is then redirected to the Power BI dashboard, report, or app, which are read-only for the user.

กระบวนการนี้ถือว่าเป็นเฉพาะกิจเนื่องจากผู้ใช้ทางธุรกิจใน Contoso ดำเนินการเชิญตามความจำเป็นเพื่อวัตถุประสงค์ทางธุรกิจของพวกเขาThe process is considered ad-hoc since business users in Contoso perform the invite action as needed for their business purposes. แต่ละรายการที่แชร์จะเป็นลิงก์เดี่ยวที่ผู้ใช้ภายนอกสามารถเข้าถึงเพื่อดูเนื้อหาได้Each item shared is a single link the external user can access to view the content.

เมื่อผู้ใช้ภายนอกได้รับเชิญให้เข้าถึงทรัพยากร Contoso บัญชีเงาอาจถูกสร้างขึ้นสำหรับพวกเขาใน Contoso Azure AD และพวกเขาไม่จำเป็นต้องได้รับเชิญอีกครั้งOnce the external user has been invited to access Contoso resources, a shadow account may be created for them in Contoso Azure AD and they do not need to be invited again. ในครั้งแรกที่พวกเขาพยายามเข้าถึงทรัพยากร Contoso เช่น แดชบอร์ด Power BI พวกเขาจะต้องผ่านกระบวนการขอความยินยอม เพื่อแลกใช้คำเชิญThe first time they try to access a Contoso resource like a Power BI dashboard, they go through a consent process, which redeems the invitation. ถ้าพวกเขาไม่ดำเนินการขอความยินยอมให้เสร็จ พวกเขาจะไม่สามารถเข้าถึงเนื้อหาใด ๆ ของ ContosoIf they do not complete the consent, they cannot access any of Contoso's content. ถ้าพวกเขามีปัญหาในการแลกใช้คำเชิญของพวกเขาผ่านทางลิงก์เดิมที่มีให้ ผู้ดูแลระบบ Azure AD สามารถส่งลิงก์เชิญเฉพาะสำหรับพวกเขาเพื่อทำการแลกใช้สิทธิ์If they have trouble redeeming their invitation via the original link provided, an Azure AD administrator can resent a specific invitation link for them to redeem.

การแชร์รายการแบบวางแผนไว้Planned per item sharing

Contoso ทำงานกับผู้รับเหมาย่อยเพื่อดำเนินการวิเคราะห์ความน่าเชื่อถือของหม้อน้ำรถยนต์Contoso works with a subcontractor to perform reliability analysis of radiators. ผู้รับเหมาย่อยมีทีมงาน 10 คนที่ต้องการเข้าถึงข้อมูลในสภาพแวดล้อม Power BI ของ ContosoThe subcontractor has a team of 10 people who need access to data in Contoso's Power BI environment. ผู้ดูแลระบบ Contoso Azure AD มีหน้าที่ในการเชิญผู้ใช้ทั้งหมด และ จัดการเพิ่ม/แก้ไขใด ๆ ตามการแก้ไขของบุคลากรจากผู้รับเหมาย่อยThe Contoso Azure AD administrator is involved to invite all the users and to handle any additions/changes as personnel at the subcontractor change. ผู้ดูแลระบบ Azure AD สร้างกลุ่มปลอดภัยสำหรับพนักงานทั้งหมดที่ผู้รับเหมาย่อยThe Azure AD administrator creates a security group for all the employees at the subcontractor. การใช้กลุ่มปลอดภัย พนักงานของ Contoso สามารถจัดการการเข้าถึงรายงาน และมั่นใจว่าบุคลากรผู้รับเหมาย่อยที่จำเป็นทั้งหมดสามารถเข้าถึงรายงาน แดชบอร์ด และแอป Power BI ทั้งหมดที่จำเป็นต้องมีUsing the security group, Contoso's employees can easily manage access to reports and ensure all required subcontractor personnel have access to all the required reports, dashboards, and Power BI apps. ผู้ดูแลระบบ Azure AD ยังสามารถหลีกเลี่ยงการเกี่ยวข้องกับกระบวนการเชิญทั้งหมด โดยเลือกที่จะมอบหมายสิทธิ์การเชิญให้แก่พนักงานที่เชื่อถือได้ ที่ Contoso หรือ ที่ผู้รับเหมาย่อยที่เพื่อให้มั่นใจในการบริหารจัดการบุคลากรอย่างทันเวลาThe Azure AD administrator can also avoid being involved in the invitation process altogether by choosing to delegate invitation rights to a trusted employee at Contoso or at the subcontractor to ensure timely personnel management.

บางองค์กรจำเป็นต้องมีการควบคุมมากขึ้น เมื่อมีการเพิ่มผู้ใช้ภายนอก มีการเชิญผู้ใช้จำนวนมากจากองค์กรภายนอก หรือมีองค์กรภายนอกจำนวนมากSome organizations require more control over when external users are added, are inviting many users in an external organization, or many external organizations. ในกรณีเหล่านี้ สามารถใช้การแชร์ที่วางแผนไว้แล้วเพื่อจัดการมาตราส่วนของการแชร์ เพื่อบังคับใช้นโยบายขององค์กร และแม้กระทั่งเพื่อมอบหมายสิทธิ์ให้บุคคลที่เชื่อถือได้สามารถเชิญและจัดการผู้ใช้ภายนอกIn these cases, planned sharing can be used to manage the scale of sharing, to enforce organizational policies, and even to delegate rights to trusted individuals to invite and manage external users. Azure AD B2B รองรับการเชิญที่วางแผนไว้เพื่อส่งโดยตรงจากพอร์ทัล Azure โดยผู้ดูแลระบบ IT หรือผ่านทาง PowerShell โดยใช้ระบบจัดการคำเชิญ API ที่สามารถเชิญชุดของผู้ใช้ได้ในการดำเนินการเดียวAzure AD B2B supports planned invites to be sent directly from the Azure portal by an IT administrator, or through PowerShell using the invitation manager API where a set of users can be invited in one action. การใช้การวางแผนคำเชิญที่วางแผนไว้ ช่วยให้องค์กรสามารถควบคุมว่าใครสามารถเชิญผู้ใช้ และดำเนินกระบวนการอนุมัติUsing the planned invites approach, the organization can control who can invite users and implement approval processes. Azure AD ขั้นสูงมีคุณสมบัติรองรับกลุ่มขนาดใหญ่ ทำให้ง่ายต่อการรักษาความปลอดภัยของสมาชิกกลุ่มโดยอัตโนมัติAdvanced Azure AD capabilities like dynamic groups can make it easy to maintain security group membership automatically.

ควบคุมว่าผู้เยี่ยมชมใดสามารถดูเนื้อหาได้

  1. กระบวนการเริ่มต้นด้วยผู้ดูแลระบบ IT ที่เชิญผู้ใช้ที่เป็นผู้เยี่ยมชมด้วยตนเองหรือผ่าน API ที่ให้มาโดย Azure Active DirectoryThe process starts with an IT administrator inviting the guest user either manually or through the API provided by Azure Active Directory
  2. ผู้ใช้ยอมรับคำเชิญไปยังองค์กรThe user accepts the invite to the organization.
  3. เมื่อผู้ใช้ยอมรับคำเชิญแล้ว ผู้ใช้ใน Power BI สามารถแชร์รายงานหรือแดชบอร์ดกับผู้ใช้ภายนอก หรือในกลุ่มปลอดภัยของพวกเขาOnce the user has accepted the invitation, a user in Power BI can share a report or dashboard with the external user, or a security group they are in. เช่นเดียวกับการแชร์ทั่วไปใน Power BI ผู้ใช้ภายนอกจะได้รับอีเมลที่ มีลิงก์ไปยังรายการJust like with regular sharing in Power BI the external user receives an email with the link to the item.
  4. เมื่อผู้ใช้ภายนอกเข้าถึงลิงก์ การรับรองความถูกต้องของพวกเขาในไดเรกทอรีของพวกเขาจะถูกส่งไปยัง Azure AD ของ Contoso เพื่อขออนุญาตเข้าสู่เนื้อหา Power BIWhen the external user accesses the link, their authentication in their directory is passed to Contoso's Azure AD and used to gain access to the Power BI content.

การแชร์เฉพาะกิจหรือวางแผนของแอป Power BIAd hoc or planned sharing of Power BI Apps

Contoso มีชุดของรายงานและแดชบอร์ดที่พวกเขาต้องการแชร์กับซัพพลายเออร์หนึ่งรายหรือมากกว่าContoso has a set of reports and dashboards they need to share with one or more Suppliers. เพื่อให้แน่ใจว่าผู้ใช้ภายนอกที่จำเป็นทั้งหมดสามารถเข้าถึงเนื้อหานี้ เนื้อหาดังกล่าวจะถูกจัดทำเป็นแพ็คเกจแอป Power BITo ensure all required external users have access to this content, it is packaged as a Power BI app. ผู้ใช้ภายนอกจะถูกเพิ่มไปยังรายการเข้าถึงแอปโดยตรง หรือผ่านทางกลุ่มปลอดภัยด้วยวิธีใดวิธีหนึ่งThe external users are either added directly to the app access list or through security groups. จากนั้นใครบางคนจาก Contoso ก็ส่ง URL ของแอปไปยังผู้ใช้ภายนอกทั้งหมด ตัวอย่างเช่น ในอีเมลSomeone at Contoso then sends the app URL to all the external users, for example in an email. เมื่อผู้ใช้ภายนอกเปิดลิงก์ พวกเขาจะเห็นเนื้อหาทั้งหมดในประสบการณ์นำทางเดียวที่ง่ายWhen the external users open the link, they see all the content in a single easy to navigate experience.

การใช้แอป Power BI ทำให้ Contoso สร้างพอร์ทัล BI สำหรับซัพพลายเออร์ของตนได้ง่ายUsing a Power BI app makes it easy for Contoso to build a BI Portal for its suppliers. รายการเข้าถึงเดียวควบคุมการเข้าถึงไปยังเนื้อหาที่จำเป็นทั้งหมด ทำให้ช่วยลดเวลาการตรวจสอบและการตั้งค่าการอนุญาตระดับรายการA single access list controls access to all the required content reducing wasted time checking and setting item level permissions. Azure AD B2B รักษาความปลอดภัยการเข้าถึงโดยใช้ข้อมูลประจำตัวเดิมของซัพพลายเออร์ ดังนั้นผู้ใช้จึงไม่จำเป็นต้องใช้ข้อมูลประจำตัวในการเข้าสู่ระบบเพิ่มเติมAzure AD B2B maintains security access using the Supplier's native identity so users don't need additional login credentials. ถ้าใช้การเชิญที่วางแผนไว้กับกลุ่มปลอดภัย เข้าถึงการจัดการไปยังแอปเมื่อเปลี่ยนบุคลากรเข้าหรือออกจากโครงการนั้นเป็นเรื่องที่ทำได้ง่ายIf using planned invites with security groups, access management to the app as personnel rotate into or out of the project is simplified. กำหนดสมาชิกในกลุ่มปลอดภัยแบบแมนวล หรือโดยใช้ กลุ่มไดนามิก เพื่อให้ผู้ใช้ภายนอกทั้งหมดจากซัพพลายเออร์ถูกเพิ่มโดยอัตโนมัติลงในกลุ่มปลอดภัยอย่างเหมาะสมMembership in security groups manually or by using dynamic groups, so that all external users from a supplier are automatically added to the appropriate security group.

ควบคุมเนื้อหา ด้วย AAD

  1. กระบวนการเริ่มต้นโดยผู้ใช้ได้รับการเชิญไปยังองค์กรของ Azure AD ของ Contoso ผ่านพอร์ทัล Azure หรือ PowerShellThe process starts by the user being invited to Contoso's Azure AD organization through the Azure portal or PowerShell
  2. ผู้ใช้สามารถเพิ่มไปยังกลุ่มผู้ใช้ใน Azure ADThe user can be added to a user group in Azure AD. สามารถใช้กลุ่มผู้ใช้แบบคงที่ หรือแบบไดนามิก แต่กลุ่มแบบไดนามิกช่วยลดการทำงานแบบแมนวลA static or dynamic user group can be used, but dynamic groups help reduce manual work.
  3. ผู้ใช้ภายนอกที่มีสิทธิ์เข้าถึงแอป Power BI ผ่านกลุ่มผู้ใช้The external users are given access to the Power BI App through the user group. URL ของแอปควรส่งตรงไปยังผู้ใช้ภายนอก หรือวางบนไซต์ที่พวกเขาสามารถเข้าถึงThe app URL should be sent directly to the external user or placed on a site they have access to. Power BI ใช้ความพยายามอย่างดีที่สุดเมื่อต้องส่งอีเมลที่มีลิงก์แอปไปยังผู้ใช้ภายนอก แต่เมื่อใช้กลุ่มผู้ใช้ที่สามารถเปลี่ยนแปลงสมาชิกภาพแล้ว ทาง Power BI ก็จะไม่สามารถส่งไปยังผู้ใช้ภายนอกทั้งหมดที่จัดการโดยใช้กลุ่มผู้ใช้Power BI makes a best effort to send an email with the app link to external users but when using user groups whose membership can change, Power BI is not able to send to all external users managed through user groups.
  4. เมื่อผู้ใช้ภายนอกเข้าถึง URL ของแอป Power BI พวกเขาได้รับการรับรองโดย Azure AD ของ Contoso และแอปถูกติดตั้งสำหรับผู้ใช้ และผู้ใช้สามารถดูรายงานและแดชบอร์ดที่มีอยู่ทั้งหมดภายในแอปWhen the external user accesses the Power BI app URL, they are authenticated by Contoso's Azure AD, the app is installed for the user, and the user can see all the contained reports and dashboards within the app.

แอปยังมีคุณลักษณะไม่ซ้ำกันที่ช่วยให้ผู้เขียนแอปติดตั้งแอปพลิเคชันสำหรับผู้ใช้ได้โดยอัตโนมัติเพื่อให้พร้อมใช้งานเมื่อผู้ใช้เข้าสู่ระบบApps also have a unique feature that allows app authors to install the application automatically for the user, so it is available when the user logs in. คุณลักษณะนี้ถูกติดตั้งโดยอัตโนมัติเฉพาะสำหรับผู้ใช้ภายนอกที่เป็นส่วนหนึ่งขององค์กรของ Contoso แล้วในเวลาที่มีการเผยแพร่หรือปรับปรุงแอปพลิเคชันแล้วThis feature only installs automatically for external users who are already part of Contoso's organization at the time the application is published or updated. ดังนั้น การใช้คำเชิญที่มีการวางแผนเป็นการดีที่สุด และขึ้นอยู่กับแอปที่ได้เผยแพร่ หรืออัปเดต หลังจากผู้ใช้เพิ่มเข้าไปใน Contoso Azure ADThus, it is best used with the planned invites approach, and depends on the app being published or updated after the users are added to Contoso's Azure AD. ผู้ใช้ภายนอกสามารถติดตั้งแอปโดยใช้ลิงก์แอปได้เสมอExternal users can always install the app using the app link.

การแสดงข้อคิดเห็นและการสมัครใช้งานเนื้อหาทั่วทั้งองค์กรCommenting and subscribing to content across organizations

ในขณะที่ Contoso ยังคงทำงานกับผู้รับเหมาหรือซัพพลายเออร์ วิศวกรภายนอกจำเป็นต้องทำงานอย่างใกล้ชิดกับนักวิเคราะห์ของ ContosoAs Contoso continues to work with its subcontractors or suppliers, the external Engineers need to work closely with Contoso's analysts. Power BI มีคุณลักษณะการทำงานร่วมกันมากมายที่ช่วยให้ผู้ใช้ติดต่อสื่อสารเกี่ยวกับเนื้อหาที่พวกเขาสามารถใช้ได้Power BI provides several collaboration features that help users communicate about content they can consume. การแสดงข้อคิดเห็นในแดชบอร์ด (และการแสดงข้อคิดเห็นในรายงานเร็ว ๆ นี้) อนุญาตให้ผู้ใชพูดคุยเกี่ยวกับประเด็นข้อมูลที่พวกเขาเห็น และสื่อสารกับผู้เขียนรายงานเพื่อถามคำถามDashboard commenting (and soon Report commenting) allows users to discuss data points they see and communicate with report authors to ask questions.

ในปัจจุบัน ผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกสามารถเข้าร่วมในข้อคิดเห็น โดยแสดงความคิดเห็น และอ่านการตอบกลับCurrently, external guest users can participate in comments by leaving comments and reading the replies. อย่างไรก็ตาม จะต่างจากผู้ใช้ภายใน โดยผู้ใช้ที่เป็นผู้เยี่ยมชมจะไม่สามารถเป็น @mentioned และไม่ได้รับการแจ้งเตือนว่าพวกเขาได้รับข้อคิดเห็นได้However, unlike internal users, guest users cannot be @mentioned and do not receive notifications that they've received a comment. ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถใช้คุณลักษณะการสมัครใช้งานภายใน Power BI ในช่วงเวลาการเขียนGuest users cannot use the subscriptions feature within Power BI at the time of writing. ในรุ่นถัดไป ข้อจำกัดเหล่านั้นจะถูกยกเลิก และผู้ใช้ที่เป็นผู้เยี่ยมชมจะได้รับอีเมลเมื่อข้อคิดเห็น @mentions พวกเขา หรือเมื่อการสมัครใช้งานถูกส่งไปยังอีเมลของพวกเขาที่ประกอบด้วยการเชื่อมโยงไปยังเนื้อหาใน Power BIIn an upcoming release, those restrictions will be lifted and the Guest user will receive an email when a comment @mentions them, or when a subscription is delivered to their email that contains a link to the content in Power BI.

เข้าถึงเนื้อหาในแอป Power BI สำหรับอุปกรณ์เคลื่อนที่Access content in the Power BI mobile apps

ในรุ่นถัดไป เมื่อผู้ใช้ของ Contoso แชร์รายงานหรือแดชบอร์ดลงของพวกเขากับผู้เยี่ยมชมภายนอก Power BI จะส่งอีเมลแจ้งผู้เยี่ยมชมIn an upcoming release, when Contoso's users share reports or dashboards with their external Guest counterparts, Power BI will send an email notifying the Guest. เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมเปิดลิงก์ไปยังรายงานหรือแดชบอร์ดบนอุปกรณ์เคลื่อนที่ของพวกเขา เนื้อหาจะเปิดในแอป Power BI ดั้งเดิมสำหรับอุปกรณ์เคลื่อนบนอุปกรณ์ของพวกเขา ถ้าพวกเขาเคยติดตั้งไว้When the guest user opens the link to the report or dashboard on their mobile device, the content will open in the native Power BI mobile apps on their device, if they're installed. จากนั้นผู้ใช้ที่เป็นผู้เยี่ยมชมจะสามารถนำทางระหว่างเนื้อหาที่แชร์กับพวกเขาในผู้เช่าภายนอก และกลับไปยังเนื้อหาของพวกเขาจากผู้เช่าหน้าหลักของพวกเขาThe guest user will then be able to navigate between content shared with them in the external tenant, and back to their own content from their home tenant.

หมายเหตุ

ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถเปิดแอปสำหรับอุปกรณ์เคลื่อน Power BI และนำทางไปยังผู้เช่าภายนอกทันที พวกเขาต้องเริ่มต้นด้วยลิงก์ไปยังรายการในผู้เช่าภายนอกThe guest user cannot open the Power BI mobile app and immediately navigate to the external tenant, they must start with a link to an item in the external tenant. วิธีแก้ไขปัญหาทั่วไปจะอธิบายไว้ใน การกระจายลิงก์ไปยังเนื้อหาใน Power BI ขององค์กรหลัก ในส่วนอื่น ๆ ของเอกสารนี้Common workarounds are described in the Distributing links to content in the Parent organization's Power BI section later in this document.

การแก้ไขและการจัดการเนื้อหา Power BI แบบข้ามองค์กรCross-organization editing and management of Power BI content

Contoso และซัพพลายเออร์ของเขา และผู้รับเหมาทำงานร่วมกันอย่างใกล้ชิดมากขึ้นContoso and its Suppliers and subcontractors work increasingly closely together. บ่อยครั้ง นักวิเคราะห์จากผู้รับเหมาย่อยต้องการเมตริกเพิ่มเติมหรือเพิ่มการแสดงผลด้วยภาพของข้อมูลลงในรายงานที่ Contoso แชร์กับพวกเขาOften an analyst at the subcontractor needs additional metrics or data visualizations to be added to a report Contoso has shared with them. ข้อมูลควรอยู่ภายในผู้เช่า Power BI ของ Contoso แต่ผู้ใช้ภายนอกควรสามารถแก้ไข สร้างเนื้อหาใหม่ และแม้แต่แจกจ่ายให้กับบุคคลที่เหมาะสมThe data should reside in Contoso's Power BI tenant, but external users should be able to edit it, create new content, and even distribute it to appropriate individuals.

Power BI มีตัวเลือกที่เปิดใช้งานให้ ผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกสามารถแก้ไข และจัดการเนื้อหา ในองค์กรได้Power BI provides an option that enables External guest users can edit and manage content in the organization. ตามค่าเริ่มต้น ผู้ใช้ภายนอกมีประสบการณ์การใช้งานแบบอ่านเท่านั้นBy default, external users have a read-only consumption-oriented experience. อย่างไรก็ตาม การตั้งค่าใหม่นี้อนุญาตให้ผู้ดูแลระบบ Power BI เลือกว่าผู้ใช้ภายนอกคนใดสามารถแก้ไขและจัดการเนื้อหาภายในองค์กรของพวกเขาได้However, this new setting allows the Power BI admin to choose which external users can edit and manage content within their own organization. เมื่ออนุญาตแล้ว ผู้ใช้ภายนอกสามารถแก้ไขรายงาน แดชบอร์ด เผยแพร่ หรืออัปเดตแอป ทำงานในพื้นที่ทำงาน และเชื่อมต่อกับข้อมูลที่พวกเขามีสิทธิ์การใช้Once allowed, the external user can edit reports, dashboards, publish or update apps, work in workspaces, and connect to data they have permission to use.

สถานการณ์สมมตินี้จะอธิบายไว้ในรายละเอียดในส่วนการเปิดใช้งานผู้ใช้ภายนอกเพื่อแก้ไข และจัดการเนื้อหาภายใน Power BI ภายหลังในเอกสารนี้This scenario is described in detail in the section Enabling external users to edit and manage content within Power BI later in this document.

ความสัมพันธ์ขององค์กรโดยใช้ Power BI และ Azure AD B2BOrganizational relationships using Power BI and Azure AD B2B

เมื่อผู้ใช้ทั้งหมดของ Power BI อยู่ภายในองค์กร คุณจะไม่จำเป็นต้องใช้ Azure AD B2BWhen all the users of Power BI are internal to the organization, there is no need to use Azure AD B2B. อย่างไรก็ตาม เมื่อองค์กรสององค์กรหรือมากกว่า ต้องการทำงานร่วมกันบนข้อมูลและข้อมูลเชิงลึกแล้ว การสนับสนุนของ Power BI สำหรับ Azure AD B2B ทำได้ง่าย และคุ้มราคาด้วยเช่นกันHowever, once two or more organizations want to collaborate on data and insights, Power BI's support for Azure AD B2B makes it easy and cost effective to do so.

ด้านล่างนี้คือโครงสร้างองค์กรที่ทำงานร่วมกันโดยทั่วไปซึ่งเหมาะสมสำหรับการทำงานร่วมกันแบบข้ามองค์กรในรูปแบบ Azure AD B2B ใน Power BIBelow are typically encountered organizational structures that are well suited for Azure AD B2B style cross-organization collaboration in Power BI. Azure AD B2B ทำงานได้ดีในกรณีส่วนใหญ่ แต่ในบางสถานการณ์ ทางเลือกทั่วไปอื่น ๆ ที่อยู่ในส่วนท้ายของเอกสารนี้ก็คู่ควรสำหรับการนำไปพิจารณาAzure AD B2B works well in most cases, but in some situations the Common alternative approaches covered at the end of this document are worth considering.

กรณีที่ 1: การประสานงานโดยตรงระหว่างองค์กรCase 1: Direct collaboration between organizations

ความสัมพันธ์ของ Contoso กับซัพพลายเออร์หม้อน้ำรถยนต์ เป็น ตัวอย่างของการทำงานร่วมกันโดยตรงระหว่างองค์กรContoso's relationship with its radiator supplier is an example of direct collaboration between organizations. เนื่องจากมีจำนวนผู้ใช้น้อยที่ Contoso และซัพพลายเออร์ต้องการเข้าถึงข้อมูลความน่าเชื่อถือของหม้อน้ำรถยนต์ ดังนั้นการใช้ Azure AD B2B ที่อาศัยการแชร์ภายนอกจะเหมาะสมที่สุดSince there are relatively few users at Contoso and its supplier who need access to radiator reliability information, using Azure AD B2B based external sharing is ideal. ใช้งานง่าย และง่ายต่อการจัดการIt is easy to use and simple to administer. นี่ยังเป็นแพทเทิร์นทั่วไปในบริการให้คำปรึกษาที่ผู้ให้คำปรึกษาอาจจำเป็นต้องสร้างเนื้อหาสำหรับองค์กรThis is also a common pattern in consulting services where a consultant may need to build content for an organization.

แชร์ระหว่างองค์กร

โดยทั่วไปแล้ว แชร์นี้เกิดขึ้นเริ่มแรกโดยการใช้การแชร์รายการแบบเฉพาะกิจTypically, this sharing occurs initially using Ad hoc per item sharing. อย่างไรก็ตาม เมื่อทีมเติบโตหรือความสัมพันธ์ลึกมากขึ้น การแชร์รายการแบบวางแผนไว้กลายเป็นวิธีที่น่าพอใจในการลดค่าใช้จ่ายในการดำเนินงานการจัดการHowever, as teams grow or relationships deepen, the Planned per item sharing approach becomes the preferred method to reduce management overhead. นอกจากนี้ การแชร์แบบเฉพาะกิจ หรือแบบวางแผนไว้ของแอป Power BI การแสดงข้อคิดเห็น และการสมัครใช้งานไปยังเนื้อหาทั่วทั้งองค์กร การเข้าถึงเนื้อหาในแอปสำหรับอุปกรณ์เคลื่อนที่ สามารถนำมาเล่นได้เช่นกัน และการแก้ไขและการจัดการเนื้อหา Power BI แบบข้ามองค์กรAdditionally, the Ad hoc or planned sharing of Power BI Apps, Commenting and subscribing to content across organizations, access to content in mobile apps can come into play as well, and cross-organization editing and management of Power BI content. สิ่งสำคัญ ถ้าผู้ใช้ขององค์กรทั้งสองมีสิทธิ์การใช้งาน Power BI Pro ในองค์กรที่พวกเขาเกี่ยวข้อง พวกเขาสามารถใช้สิทธิ์การใช้งาน Pro เหล่านั้นในสภาพแวดล้อม Power BI ของกันและกันImportantly, if both organizations' users have Power BI Pro licenses in their respective organizations, they can use those Pro licenses in each other's Power BI environments. ซึ่งให้สิทธิ์การใช้งานที่เป็นประโยชน์เนื่องจากองค์กรที่เชิญอาจไม่จำเป็นต้องชำระเงินสำหรับสิทธิ์การใช้งาน Power BI Pro สำหรับผู้ใช้ภายนอกThis provides advantageous licensing since the inviting organization may not need to pay for a Power BI Pro license for the external users. โดยจะกล่าวถึงรายละเอียดเพิ่มเติมของเรื่องนี้ในส่วนของสิทธิ์การใช้งานในภายหลังในเอกสารนี้This is discussed in more detail in the Licensing section later in this document.

กรณีที่ 2: ผู้ปกครองและบริษัทย่อยหรือบริษัทในเครือCase 2: Parent and its subsidiaries or affiliates

โครงสร้างบางองค์กรจะซับซ้อนมากขึ้น รวมถึงบริษัทสาขา บริษัทในเครือที่เป็นเจ้าของบางส่วนหรือทั้งหมด หรือความสัมพันธ์ที่จัดการโดยผู้ให้บริการSome organization structures are more complex, including partially or wholly owned subsidiaries, affiliated companies, or managed service provider relationships. องค์กรเหล่านี้มีองค์กรหลัก เช่น บริษัทโฮลดิ้ง แต่องค์กรที่อยู่เบื้องหลังดำเนินการแบบกึ่งปกครองตัวเอง บางครั้งอยู่ภายใต้ข้อกำหนดในภูมิภาคอื่นThese organizations have a parent organization such as a holding company, but the underlying organizations operate semi-autonomously, sometimes under different regional requirements. ซึ่งทำให้แต่ละองค์กรมีสภาพแวดล้อมทาง Azure AD ของตนเอง และแยกจากผู้เช่า Power BIThis leads to each organization having its own Azure AD environment and separate Power BI tenants.

การทำงานกับบริษัทสาขา

ในโครงสร้างนี้ องค์กรหลักโดยทั่วไปแล้วจำเป็นต้องแจกจ่ายข้อมูลเชิงลึกที่เป็นมาตรฐานให้กับบริษัทสาขาIn this structure, the parent organization typically needs to distribute standardized insights to its subsidiaries. โดยทั่วไปแล้ว การแชร์นี้เกิดขึ้นโดยใช้การแชร์ที่วางแผนไว้ หรือเฉพาะกิจของแอป Power BI ดังที่แสดงในรูปต่อไปนี้ เนื่องจากจะทำให้การแจกจ่ายเนื้อหาอย่างเป็นมาตรฐานให้กับผู้ชมที่กว้างขวางTypically, this sharing occurs using the Ad hoc or planned sharing of Power BI Apps approach as illustrated in the following image, since it allows distribution of standardized authoritative content to broad audiences. ในทางปฏิบัติ ใช้การรวมกันของสถานการณ์สมมติทั้งหมดที่กล่าวถึงก่อนหน้านี้ในเอกสารนี้In practice a combination of all the Scenarios mentioned earlier in this document is used.

การรวมสถานการณ์

โดยปฏิบัติตามขั้นตอนต่อไปนี้:This follows the following process:

  1. ผู้ใช้จากแต่ละบริษัทสาขาได้รับเชิญไปยัง Azure AD ของ ContosoUsers from each Subsidiary are invited to Contoso's Azure AD
  2. จากนั้นแอป Power BI จะถูกเผยแพร่เพื่อให้ผู้ใช้เหล่านี้เข้าถึงข้อมูลที่จำเป็นThen the Power BI app is published to give these users access to the required data
  3. สุดท้าย ผู้ใช้เปิดแอปผ่านลิงก์ที่พวกเขาได้รับเพื่อดูรายงานFinally, the users open the app through a link they've been given to see the reports

ความท้าทายต่าง ๆ ที่สำคัญที่องค์กรเผชิญในโครงสร้างนี้:Several important challenges are faced by organizations in this structure:

  • วิธีการแจกจ่ายลิงก์ไปยังเนื้อหาในองค์กรหลักของ Power BIHow to distribute links to content in the Parent organization's Power BI
  • วิธีการอนุญาตให้ผู้ใช้ในบริษัทสาขาเข้าถึงแหล่งข้อมูลที่โฮสต์โดยองค์กรหลักHow to allow subsidiary users to access data source hosted by the parent organization

สามวิธีที่ใช้บ่อยในการแจกจ่ายลิงก์ไปยังเนื้อหาThree approaches are commonly used to distribute links to the content. วิธีแรกและใช้ทั่วไปมากที่สุดคือส่งลิงก์ไปยังแอปของผู้ใช้ที่ต้องการ หรือวางไว้ในไซต์ SharePoint Online จากสถานที่ที่สามารถเปิดลิงก์ได้The first and most basic is to send the link to the app to the required users or to place it in a SharePoint Online site from which it can be opened. จากนั้น ผู้ใช้สามารถบุ๊กมาร์กลิงก์ในเบราว์เซอร์ของพวกเขาเพื่อเข้าถึงข้อมูลที่พวกเขาต้องการได้เร็วขึ้นUsers can then bookmark the link in their browsers for faster access to the data they need.

วิธีที่สองอาศัยการแก้ไขและการจัดการความสามารถของเนื้อหา Power BI แบบข้ามองค์กรThe second approach relies on the cross-organization editing and management of Power BI content capability. องค์กรหลักอนุญาตผู้ใช้จากบริษัทสาขาให้เข้าถึง Power BI ของตน และควบคุมสิ่งที่พวกเขาสามารถเข้าถึงผ่านทางการอนุญาตThe Parent organization allows users from the subsidiaries to access its Power BI and controls what they can access through permission. การดำเนินการนี้ให้การเข้าถึงหน้าแรกของ Power BI ซึ่งเป็นที่ที่ผู้ใช้จากบริษัทสาขาเห็นรายการทั้งหมดของเนื้อหาที่แบ่งปันให้กับพวกเขาในผู้เช่าขององค์กรหลักThis gives access to Power BI Home where the user from the subsidiary sees a comprehensive list of content shared to them in the Parent organization's tenant. จากนั้นส่ง URL ไปยังสภาพแวดล้อม Power BI ขององค์กรหลักให้กับผู้ใช้จากบริษัทสาขาThen the URL to the Parent organizations' Power BI environment is given to the users at the subsidiaries.

วิธีสุดท้ายคือใช้แอป Power BI ที่สร้างขึ้นภายในผู้เช่า Power BI สำหรับแต่ละบริษัทสาขาThe final approach uses a Power BI app created within the Power BI tenant for each subsidiary. แอป Power BI ได้แก่ แดชบอร์ดที่มี ไทล์ที่กำหนดค่าด้วยตัวเลือกลิงก์ภายนอกThe Power BI app includes a dashboard with tiles configured with the external link option. เมื่อผู้ใช้กดไทล์ พวกเขาจะถูกนำไปยังรายงาน แดชบอร์ด หรือแอปที่เหมาะสมใน Power BI ขององค์กรหลักWhen the user presses the tile, they are taken to the appropriate report, dashboard, or app in the parent organization's Power BI. วิธีนี้มีประโยชน์เพิ่มเติมคือแอปสามารถติดตั้งโดยอัตโนมัติสำหรับผู้ใช้ทั้งหมดในบริษัทสาขา และพร้อมใช้งานได้ทุกเวลาเมื่อพวกเขาลงชื่อเข้าใช้ลงในสภาพแวดล้อม Power BI ของตนเองThis approach has the added advantage that the app can be installed automatically for all users in the subsidiary and is available to them whenever they sign in to their own Power BI environment. ประโยชน์เพิ่มเติมของวิธีการนี้คือทำงานได้ดีกับแอปสำหรับอุปกรณ์เคลื่อนที่ Power BI ที่สามารถเปิดลิงก์ได้แบบธรรมชาติAn added advantage of this approach is that it works well with the Power BI mobile apps that can open the link natively. คุณยังสามารถรวมวิธีนี้กับวิธีที่สองเพื่อให้ง่ายต่อการสลับระหว่างสภาพแวดล้อม Power BIYou can also combine this with the second approach to enable easier switching between Power BI environments.

อนุญาตให้ผู้ใช้ในบริษัทสาขาเข้าถึงแหล่งข้อมูลที่โฮสต์โดยองค์กรหลักAllowing subsidiary users to access data sources hosted by the parent organization

บ่อยครั้งที่นักวิเคราะห์ที่บริษัทสาขาจำเป็นต้องสร้างการวิเคราะห์ของตนเองโดยใช้ข้อมูลที่ให้มาโดยองค์กรหลักOften analysts at a subsidiary need to create their own analytics using data supplied by the parent organization. ในกรณีนี้ โดยทั่วไปจะใช้แหล่งข้อมูลระบบคลาวด์เพื่อจัดการความท้าทายIn this case, commonly cloud data sources are used to address the challenge.

วิธีแรกใช้ Azure Analysis Services เพื่อสร้างคลังข้อมูลระดับองค์กรที่ทำหน้าที่บริการความต้องการของนักวิเคราะห์ทั่วทั้งบริษัทหลักและบริษัทสาขาตามที่แสดงในรูปด้านล่างThe first approach leverages Azure Analysis Services to build an enterprise grade data warehouse that serves the needs of Analysts across the parent and its subsidiaries as shown the following image. Contoso สามารถโฮสต์ข้อมูล และใช้ความสามารถ เช่น ความปลอดภัยระดับแถวเพื่อให้แน่ใจว่าผู้ใช้ในแต่ละบริษัทสาขาสามารถเข้าถึงเฉพาะข้อมูลของพวกเขาเท่านั้นContoso can host the data and use capabilities like row level security to ensure users in each subsidiary can access only their data. นักวิเคราะห์ที่แต่ละองค์กรสามารถเข้าถึงคลังข้อมูลผ่านทาง Power BI Desktop และเผยแพร่ผลการวิเคราะห์ไปยังผู้เช่า Power BI ที่เกี่ยวข้องของพวกเขาAnalysts at each organization can access the data warehouse through Power BI Desktop and publish resulting analytics to their respective Power BI tenants.

วิธีแชร์กับผู้เช่า Power BI

วิธีที่สองใช้ ฐานข้อมูล SQL Azure เพื่อสร้างคลังข้อมูลเชิงสัมพันธ์เพื่อให้การเข้าถึงข้อมูลThe second approach leverages Azure SQL Database to build a relational data warehouse to provide access to data. ซึ่งทำงานคล้ายคลึงกับวิธี Azure Analysis Services แต่ความสามารถบางอย่าง เช่น ความปลอดภัยระดับแถวอาจจะยากขึ้นเพื่อ ปรับใช้และรักษาไว้ทั่วทั้งบริษัทสาขาThis works similarly to the Azure Analysis Services approach, though some capabilities like row level security may be harder to deploy and maintain across subsidiaries.

อย่างไรก็ตาม สามารถทำให้วิธีการซับซ้อนมากขึ้นไปอีกได้ ซึ่งวิธีการที่มากกว่านี้ไม่ค่อยจะนิยมนักMore sophisticated approaches are also possible, however the above are by far the most common.

กรณีที่ 3: สภาพแวดล้อมที่ใช้ร่วมกันทั่วทั้งคู่ค้าCase 3: Shared environment across partners

Contoso อาจเข้าสู่ความร่วมมือกับคู่แข่งเพื่อสร้างรถยนต์ร่วมกันในสายการประกอบร่วมกัน แต่เพื่อกระจายยานพาหนะภายใต้แบรนด์ที่ต่างกัน หรือในภูมิภาคที่ต่างกันContoso may enter into a partnership with a competitor to jointly build a car on a shared assembly line, but to distribute the vehicle under different brands or in different regions. การดำเนินการนี้จำเป็นต้องมีการทำงานร่วมกันที่ครอบคลุมและมีความเป็นเจ้าของร่วมของข้อมูล ข่าวกรอง และการวิเคราะห์ทั่วทั้งองค์กรThis requires extensive collaboration and co-ownership of data, intelligence, and analytics across organizations. โครงสร้างนี้ยังใช้ทั่วไปในอุตสาหกรรมบริการให้คำปรึกษาที่ทีมผู้ให้คำปรึกษาอาจทำการวิเคราะห์โดยอ้างอิงโครงการสำหรับผู้รับบริการThis structure is also common in the consulting services industry where a team of consultants may do project-based analytics for a client.

สภาพแวดล้อมที่แชร์ทั่วทั้งคู่ค้า

ในทางปฏิบัติ โครงสร้างเหล่านี้มีความซับซ้อนดังที่แสดงในรูปต่อไปนี้ และต้องมีพนักงานบำรุงรักษาIn practice, these structures are complex as shown in the following image, and require staff to maintain. การใช้งานโครงสร้างนี้ขึ้นอยู่กับความสามารถในการแก้ไขและการจัดการเนื้อหา Power BI แบบข้ามองค์กร เนื่องจากจะช่วยให้องค์กรสามารถนำสิทธิ์การใช้งาน Power BI Pro ที่ซื้อสำหรับผู้เช่า Power BI ที่เกี่ยวข้องของพวกเขามาใช้ใหม่ได้To be effective this structure relies on the cross-organization editing and management of Power BI content capability since it allows organizations to reuse Power BI Pro licenses purchased for their respective Power BI tenants.

สิทธิ์การใช้งานและเนื้อหาระดับองค์กรที่แชร์

หากต้องการสร้างผู้เช่า Power BI ที่แชร์ Azure Active Directory จำเป็นต้องสร้าง และจำเป็นต้องซื้อบัญชีผู้ใช้ Power BI Pro อย่างน้อยหนึ่งรายสำหรับเป็นผู้ใช้ในไดเรกทอรีที่ใช้งานอยู่To establish a shared Power BI tenant, an Azure Active Directory needs to be created and at least one Power BI Pro user account needs to be purchased for a user in that active directory. ผู้ใช้รายนี้เชิญผู้ใช้ที่จำเป็นสำหรับองค์กรที่แชร์This user invites the required users to the shared organization. สิ่งสำคัญ ในสถานการณ์นี้ ผู้ใช้ของ Contoso จะถือว่าเป็นผู้ใช้ภายนอกเมื่อพวกเขาทำงานภายใน Power BI ขององค์กรที่แชร์Importantly, in this scenario, Contoso's users are treated as external users when they operate within the Shared Organization's Power BI.

กระบวนการมีดังนี้:The process is as follows:

  1. องค์กรที่แชร์ถูกสร้างขึ้นเป็น Azure Active Directory ใหม่ และมีบัญชีผู้ใช้อย่างน้อยหนึ่งรายถูกสร้างขึ้นในองค์กรใหม่The Shared Organization is established as a new Azure Active Directory and at least one user account is created in the new organization. ผู้ใช้นั้นควรมีสิทธิการใช้งาน Power BI Pro ที่มอบหมายให้พวกเขาThat user should have a Power BI Pro license assigned to them.
  2. จากนั้น ผู้ใช้นี้จะสร้างผู้เช่า Power BI และเชิญผู้ใช้ที่จำเป็นจาก Contoso และองค์กรคู่ค้าThis user then establishes a Power BI tenant and invites the required users from Contoso and the Partner organization. ผู้ใช้ยังสร้างแอสเซทข้อมูลแชร์ เช่น Azure Analysis ServicesThe user also establishes any shared data assets like Azure Analysis Services. Contoso และผู้ใช้ของคู่ค้าสามารถเข้าถึง Power BI ขององค์กรที่แชร์ในฐานะผู้ใช้ที่เป็นผู้เยี่ยมชมContoso and the Partner's users can access the shared organization's Power BI as guest users. ถ้าได้รับอนุญาตให้แก้ไข และจัดการเนื้อหาใน Power BI ผู้ใช้ภายนอกสามารถใช้หน้าแรกของ Power BI ใช้พื้นที่ทำงาน อัปโหลด หรือแก้ไขเนื้อหา และแชร์รายงานIf allowed to edit and manage content in Power BI the external users can use Power BI home, use workspaces, upload, or edit content and share reports. โดยทั่วไปแล้ว แอสเซทที่แชร์จะถูกจัดเก็บและเข้าถึงได้จากองค์กรที่แชร์Typically, all shared assets are stored and accessed from the shared organization.
  3. ทั้งนี้ขึ้นอยู่กับวิธีการที่คู่ค้าตกลงในการทำงานร่วมกัน อาจเป็นไปได้ที่จะให้แต่ละองค์กรพัฒนาข้อมูลกรรมสิทธิ์และการวิเคราะห์ของตนเองโดยใช้แอสเซทคลังข้อมูลที่แชร์Depending on how the parties agree to collaborate, it is possible for each organization to develop their own proprietary data and analytics using shared data warehouse assets. พวกเขาสามารถแจกจ่ายให้กับผู้ใช้ภายในที่เกี่ยวข้องของพวกเขาโดยใช้ผู้เช่า Power BI ภายในของพวกเขาThey can distribute those to their respective internal users using their internal Power BI tenants.

กรณีที่ 4: เผยแพร่ไปยังคู่ค้าภายนอกหลายร้อยหรือหลายพันรายCase 4: Distribution to hundreds or thousands of external partners

ในขณะที่ Contoso สร้างรายงานความน่าเชื่อถือของหม้อน้ำรถยนต์สำหรับซัพพลายเออร์รายหนึ่ง เวลานี้ Contoso ต้องการสร้างชุดรายงานที่เป็นมาตรฐานสำหรับซัพพลายเออร์จำนวนร้อยรายWhile Contoso created a radiator reliability report for one Supplier, now Contoso desires to create a set of standardized reports for hundreds of Suppliers. การดำเนินการนี้ช่วยให้ Contoso แน่ใจว่าซัพพลายเออร์ทั้งหมดมีข้อมูลวิเคราะห์ที่พวกเขาต้องการเพื่อพัฒนาหรือแก้ไขข้อบกพร่องในการผลิตThis allows Contoso to ensure all suppliers have the analytics they need to make improvements or to fix manufacturing defects.

การแจกจ่ายให้คู่ค้าจำนวนมาก

เมื่อองค์กรต้องการแจกจ่ายข้อมูลและข้อมูลเชิงลึกให้เป็นมาตรฐานแก่ผู้ใช้/องค์กรภายนอกจำนวนมาก พวกเขาสามารถใช้สถานการณ์การแชร์เฉพาะกิจหรือวางแผนของแอป Power BI เพื่อสร้างพอร์ทัล BI อย่างรวดเร็ว และไม่มีค่าใช้จ่ายการพัฒนาที่ใหญ่โตWhen an organization needs to distribute standardized data and insights to many external users/organizations, they can use the Ad hoc or planned sharing of Power BI Apps scenario to build a BI Portal quickly and without extensive development costs. กระบวนการในการสร้างพอร์ทัลดังกล่าวโดยใช้แอป Power BI ครอบคลุมอยู่ในกรณีศึกษา: การสร้างพอร์ทัล BI โดยใช้ Power BI + Azure AD B2B –คำแนะนำแบบทีละขั้นตอนในเอกสารนี้The process to build such a portal using a Power BI app is covered in the Case Study: Building a BI Portal using Power BI + Azure AD B2B – Step-by-Step instructions later in this document.

ตัวแปรทั่วไปของกรณีนี้คือเมื่อองค์กรพยายามแชร์ข้อมูลเชิงลึกกับผู้บริโภค โดยเฉพาะอย่างยิ่งเมื่อต้องการใช้ Azure B2C กับ Power BIA common variant of this case is when an organization is attempting to share insights with consumers, especially when looking to use Azure B2C with Power BI. Power BI ไม่สนับสนุน Azure B2C โดยธรรมชาติPower BI does not natively support Azure B2C. ถ้าคุณกำลังประเมินตัวเลือกสำหรับกรณีนี้ พิจารณาการใช้ตัวเลือกที่ 2 ในวิธีการอื่นทั่วไปในภายหลังของเอกสารนี้If you're evaluating options for this case, consider using Alternative Option 2 in the Common alternative approaches the section later in this document.

กรณีศึกษา: การสร้างพอร์ทัล BI โดยใช้ Power BI + Azure AD B2B –คำแนะนำทีละขั้นตอนCase Study: Building a BI Portal using Power BI + Azure AD B2B – Step-by-Step instructions

Power BI รวมเข้ากับ Azure AD B2B ให้ Contoso มีวิธีการอย่างราบรื่น แสนง่ายดายเพื่อให้ผู้ใช้ที่เป็นผู้เยี่ยมชมเข้าถึงพอร์ทัลของ BI อย่างปลอดภัยPower BI's integration with Azure AD B2B gives Contoso a seamless, hassle-free way to provide guest users with secure access to its BI portal. Contoso สามารถตั้งค่านี้ในสามขั้นตอน:Contoso can set this up with three steps:

สร้างพอร์ทัล

  1. สร้างพอร์ทัล BI ใน Power BICreate BI portal in Power BI

    งานแรกสำหรับ Contoso คือการสร้างพอร์ทัล BI ของพวกเขาใน Power BIThe first task for Contoso is to create their BI portal in Power BI. พอร์ทัล BI ของ Contoso จะประกอบด้วยคอลเลกชันของแดชบอร์ดและรายงานที่สร้างขึ้นอย่างมีวัตถุประสงค์ที่พร้อมสำหรับผู้ใช้ภายในและที่เป็นผู้เยี่ยมชมมากมายContoso's BI portal will consist of a collection of purpose-built dashboards and reports that will be made available to many internal and guest users. วิธีที่แนะนำสำหรับการทำเช่นนี้ใน Power BI คือการ สร้างแอป Power BIThe recommended way for doing this in Power BI is to build a Power BI app. เรียนรู้เพิ่มเติมเกี่ยวกับ แอปใน Power BILearn more about apps in Power BI.

  • ทีม BI ของ Contoso สร้างพื้นที่ทำงานใน Power BIContoso's BI team creates a workspace in Power BI

    พื้นที่ทำงาน

  • ผู้เขียนอื่น ๆ จะถูกเพิ่มไปยังพื้นที่ทำงานOther authors are added to the workspace

    เพิ่มผู้เขียน

  • เนื้อหาจะถูกสร้างขึ้นภายในพื้นที่ทำงานContent is created inside the workspace

    สร้างเนื้อหาภายในพื้นที่ทำงาน

    หลังจากที่เนื้อหาถูกสร้างขึ้นในพื้นที่ทำงาน Contoso พร้อมที่จะเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมในองค์กรคู่ค้าในการใช้เนื้อหานี้Now that the content is created in a workspace, Contoso is ready to invite guest users in partner organizations to consume this content.

  1. เชิญผู้ใช้ที่เป็นผู้เยี่ยมชมInvite Guest Users

    มีสองวิธีสำหรับ Contoso ในการเชิญผู้เยี่ยมชมไปยังพอร์ทัลของ BI ใน Power BI ของเขา:There are two ways for Contoso to invite guest users to its BI portal in Power BI:

    • คำเชิญที่วางแผนPlanned Invites
    • คำเชิญเฉพาะกิจAd hoc Invites

    คำเชิญที่วางแผนไว้Planned Invites

    ในวิธีนี้ Contoso เชิญผู้ใช้ที่เป็นผู้เยี่ยมชมไปยัง Azure AD ของเขาล่วงหน้า และจากนั้นแจกจ่ายเนื้อหา Power BI ไปให้พวกเขาIn this approach, Contoso invites the guest users to its Azure AD ahead of time and then distributes Power BI content to them. Contoso สามารถเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจากพอร์ทัล Azure หรือใช้ PowerShellContoso can invite guest users from the Azure portal or using PowerShell. นี่คือขั้นตอนในการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจากพอร์ทัล Azure:Here are the steps to invite guest users from the Azure portal:

    • ผู้ดูแลระบบ Azure AD ของ Contoso นำทางไปยังพอร์ทัล Azure > Azure Active Directory > ผู้ใช้และกลุ่ม > ผู้ใช้ทั้งหมด > ผู้ใช้ที่เป็นผู้เยี่ยมชมใหม่Contoso's Azure AD administrator navigates to Azure portal > Azure Active Directory > Users and groups > All users > New guest user

    ผู้ใช้ที่เป็นผู้เยี่ยมชม

    • เพิ่มข้อความเชิญสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชม แล้วคลิกเชิญAdd an invitation message for the guest users and click Invite

    ส่งคำเชิญ

    หมายเหตุ

    หากต้องการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจากพอร์ทัล Azure คุณจำเป็นต้องเป็นผู้ดูแลระบบสำหรับ Azure Active Directory ของผู้เช่าของคุณTo invite guest users from the Azure portal, you need to an administrator for the Azure Active Directory of your tenant.

    หาก Contoso ต้องการเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจำนวนมาก พวกเขาสามารถทำได้โดยใช้ PowerShellIf Contoso wants to invite many guest users, they can do so using PowerShell. ผู้ดูแลระบบ Azure AD ของ Contoso จัดเก็บอีเมลแอดเดรสของผู้ใช้ที่เป็นผู้เยี่ยมชมทั้งหมดในไฟล์ CSVContoso's Azure AD administrator stores the email addresses of all the guest users in a CSV file. ในที่นี้มี โค้ดร่วมกันของ Azure Active Directory B2B และตัวอย่างของ PowerShell และคำแนะนำHere are Azure Active Directory B2B collaboration code and PowerShell samples and instructions.

    หลังจากเชิญ ผู้ใช้ที่เป็นผู้เยี่ยมชมจะได้รับอีเมลที่มีลิงก์การเชิญAfter the invitation, guest users receive an email with the invitation link.

    ลิงก์การเชิญ

    เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมคลิกที่ลิงก์พวกเขาสามารถเข้าถึงเนื้อหาในผู้เช่า Azure AD ของ Contoso ได้Once the guest users click the link, they can access content in the Contoso Azure AD tenant.

    หมายเหตุ

    สามารถเปลี่ยนเค้าโครงของอีเมลคำเชิญได้โดยใช้คุณลักษณะแบรนด์ Azure AD ตามที่อธิบายไว้ ที่นี่It is possible to change the layout of the invitation email using the Azure AD branding feature as described here.

    คำเชิญเฉพาะกิจAd hoc Invites

    เกิดอะไรขึ้นถ้า Contoso ไม่รู้จักผู้ใช้ที่เป็นผู้เยี่ยมชมทั้งหมดที่ต้องการเชิญล่วงหน้าWhat if Contoso does not know all the guest users it wants to invite ahead of time? หรือเกิดอะไรขึ้นถ้านักวิเคราะห์ใน Contoso ซึ่งเป็นผู้ที่สร้างพอร์ทัล BI ต้องการแจกจ่ายเนื้อหาให้กับผู้ใช้ที่เป็นผู้เยี่ยมชมด้วยตัวเธอเองOr, what if the analyst in Contoso who created the BI portal wants to distribute content to guest users herself? เรายังสนับสนุนสถานการณ์สมมตินี้ใน Power BI ด้วยคำเชิญเฉพาะกิจWe also support this scenario in Power BI with ad-hoc invites.

    นักวิเคราะห์สามารถเพิ่มผู้ใช้ภายนอกลงในรายชื่อการเข้าถึงของแอปได้เมื่อพวกเขากำลังเผยแพร่The analyst can just add the external users to the access list of the app when they are publishing it. ผู้ใช้ที่เป็นผู้เยี่ยมชมจะได้รับคำเชิญและเมื่อพวกเขายอมรับพวกเขาจะถูกเปลี่ยนเส้นทางไปยังเนื้อหา Power BI โดยอัตโนมัติThe guest users gets an invite and once they accept it, they are automatically redirected to the Power BI content.

    เพิ่มผู้ใช้ภายนอก

    หมายเหตุ

    การเชิญจำเป็นต้องมีการเชิญผู้ใช้ภายนอกไปยังองค์กรของคุณในครั้งแรกเท่านั้นInvites are needed only the first time an external user is invited to your organization.

  2. แจกจ่ายเนื้อหาDistribute Content

    เวลานี้หลังจากที่ทีม BI ของ Contoso ได้สร้างพอร์ทัล BI และเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมแล้ว พวกเขาสามารถแจกจ่ายพอร์ทัลของพวกเขาแก่ผู้ใช้ของพวกเขา โดยการให้ผู้ใช้ที่เป็นผู้เยี่ยมชมเข้าไปยังแอป และเผยแพร่Now that Contoso's BI team has created the BI portal and invited guest users, they can distribute their portal to their end users by giving guest users access to the app and publishing it. Power BI กรอกชื่ออัตโนมัติให้กับผู้ใช้ที่เป็นผู้เยี่ยมชมที่เพิ่มเข้ามาในผู้เช่า Contoso ก่อนหน้านี้Power BI auto-completes names of guest users who have been previously added to the Contoso tenant. การเชิญเฉพาะกิจไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมอื่น ยังสามารถเพิ่มได้ในจุดนี้เช่นกันAdhoc invitations to other guest users can also be added at this point.

    หมายเหตุ

    ถ้าใช้กลุ่มปลอดภัยเพื่อจัดการการเข้าถึงแอปสำหรับผู้ใช้ภายนอก ให้ใช้วิธีการเชิญที่วางแผนไว้ และแชร์ลิงก์แอปโดยตรงกับผู้ใช้ภายนอกแต่ละคนที่จำเป็นต้องเข้าถึงIf using Security groups to manage access to the app for external users, use the Planned Invites approach and share the app link directly with each external user who must access it. มิฉะนั้นแล้ว ผู้ใช้ภายนอกอาจไม่สามารถติดตั้ง หรือดูเนื้อหาจากภายในแอปได้Otherwise, the external user may not be able to install or view content from within the app._

    ผู้ใช้ที่เป็นผู้เยี่ยมชมได้รับอีเมลที่มีลิงก์ไปยังแอปGuest users get an email with a link to the app.

    อีเมลลิงก์การเชิญ

    เมื่อคลิกที่ลิงก์นี้ ผู้ใช้ที่เป็นผู้เยี่ยมชมจะถูกขอให้รับรองความถูกต้อง ด้วยข้อมูลประจำตัวขององค์กรของตนเองOn clicking this link, guest users are asked to authenticate with their own organization's identity.

    หน้าลงชื่อเข้าใช้

    เมื่อพวกเขารับรองความถูกต้องเรียบร้อยแล้ว ระบบจะเปลี่ยนเส้นทางไปยังแอปของ BI ของ ContosoOnce they are successfully authenticated, they are redirected to Contoso's BI app.

    ดูเนื้อหาที่แชร์

    ผู้ใช้ที่เป็นผู้เยี่ยมชมสามารถเข้าถึงแอปของ Contoso ภายหลัง โดยคลิกลิงก์ในอีเมล หรือบุ๊กมาร์กลิงก์Guest users can subsequently get to Contoso's app by clicking the link in the email or bookmarking the link. Contoso ยังสามารถยังทำให้ง่ายขึ้นสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชม โดยการเพิ่มลิงก์นี้ไปยังพอร์ทัลเอ็กซ์ทราเน็ตใด ๆ ที่มีอยู่ที่ผู้ใช้ที่เป็นผู้เยี่ยมชมใช้งานอยู่แล้วContoso can also make it easier for guest users by adding this link to any existing extranet portal that the guest users already use.

  3. ขั้นตอนถัดไปNext steps

    การใช้แอป Power BI และ Azure AD B2B ทำให้ Contoso สามารถสร้างพอร์ทัล BI สำหรับซัพพลายเออร์ของตนได้โดยไม่ต้องใช้โค้ดUsing a Power BI app and Azure AD B2B, Contoso was able to quickly create a BI Portal for its suppliers in a no-code way. การดำเนินการนี้ช่วยให้แจกจ่ายข้อมูลการวิเคราะห์มาตรฐานแก่ซัพพลายเออรทั้งหมด์ที่ต้องการได้ง่ายThis greatly simplified distributing standardized analytics to all the suppliers who needed it.

    ในขณะที่ตัวอย่างแสดงวิธีการแจกจ่ายรายงานเดี่ยวทั่วไประหว่างซัพพลายเออร์ โดย Power BI สามารถดำเนินการอีกจำนวนมากWhile the example showed how a single common report could be distributed among suppliers, Power BI can go much further. เพื่อให้แน่ใจว่า คู่ค้าแต่ละรายเห็นเฉพาะข้อมูลที่เกี่ยวข้องกับพวกเขา ดังนั้นจึงสามารถเพิ่มการรักษาความปลอดภัยระดับแถวอย่างง่ายดายลงในรูปแบบข้อมูลและรายงานTo ensure each partner sees only data relevant to themselves, Row Level Security can be added easily to the report and data model. การรักษาความปลอดภัยของข้อมูลสำหรับคู่ค้าภายนอกมีรายละเอียดอธิบายในภายหลังในเอกสารนี้The Data security for external partners section later in this document describes this process in details.

    บ่อยครั้งที่แดชบอร์ดและรายงานเดี่ยวจำเป็นต้องฝังลงในพอร์ทัลที่มีอยู่แล้วOften individual reports and dashboards need to be embedded into an existing portal. ซึ่งยังสามารถดำเนินการได้โดยนำเทคนิคต่าง ๆ ตามที่แสดงนี้มาใช้ใหม่ได้This can also be accomplished reusing many of the techniques shown in the example. อย่างไรก็ตาม ในสถานการณ์เหล่านั้น การฝังรายงานหรือแดชบอร์ดโดยตรงจากพื้นที่ทำงานอาจเป็นการง่ายกว่าHowever, in those situations it may be easier to embed reports or dashboards directly from a workspace. ขั้นตอนสำหรับการเชิญและการให้อนุญาตที่ปลอดภัยไปยังผู้ใช้ที่ต้องการยังคงเหมือนเดิมThe process for inviting and assigning security permission to the require users remain the same.

ใต้เครื่องดูดควัน: วิธีการคือลูซี่จาก Supplier1 สามารถเข้าถึงเนื้อหา Power BI จากผู้เช่าของ Contoso ได้อย่างไรUnder the hood: How is Lucy from Supplier1 able to access Power BI content from Contoso's tenant?

ตอนนี้เราได้เห็นวิธีที่ Contoso สามารถแจกจ่ายเนื้อหา Power BI ไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมในองค์กรคู่ค้าได้อย่างราบรื่น มาดูว่าการดำเนินการนี้ทำงานอย่างไรในเบื้องหลังNow that we have seen how Contoso is able to seamlessly distribute Power BI content to guest users in partner organizations, let's look at how this works under the hood.

เมื่อ Contoso ได้รับเชิญ lucy@supplier1.com ไปยังไดเรกทอรี AZURE AD จะสร้างการเชื่อมโยงระหว่าง Lucy@supplier1.com และผู้เช่า azure AD ของ ContosoWhen Contoso invited lucy@supplier1.com to its directory, Azure AD creates a link between Lucy@supplier1.com and the Contoso Azure AD tenant. ลิงก์นี้ช่วยให้ Azure AD ทราบว่า Lucy@supplier1.com สามารถเข้าถึงเนื้อหาในผู้เช่า Contoso ได้This link lets Azure AD know that Lucy@supplier1.com can access content in the Contoso tenant.

เมื่อ Lucy พยายามเข้าถึงแอป Power BI ของ Contoso ทาง Azure AD จะตรวจสอบว่า Lucy สามารถเข้าถึงผู้เช่า Contoso ได้หรือไม่ และจากนั้นจะให้ Power BI แสดงโทเค็นที่บ่งชี้ว่า Lucy ได้รับการรับรองความถูกต้องเพื่อเข้าถึงเนื้อหาในผู้เช่า ContosoWhen Lucy tries to access Contoso's Power BI app, Azure AD verifies that Lucy can access the Contoso tenant and then provides Power BI a token that indicates that Lucy is authenticated to access content in the Contoso tenant. Power BI ใช้โทเค็นนี้ในการให้อนุญาต และตรวจสอบให้แน่ใจว่า Lucy มีสิทธิ์เข้าถึงแอป Power BI ของ ContosoPower BI uses this token to authorize and ensure that Lucy has access to Contoso's Power BI app.

การตรวจสอบและการรับรองความถูกต้อง

Power BI รวมเข้ากับ Azure AD B2B โดยทำงานกับอีเมลแอดเดรสธุรกิจทั้งหมดPower BI's integration with Azure AD B2B works with all business email addresses. ถ้าผู้ใช้ไม่มีข้อมูลประจำตัว Azure AD พวกเขาอาจได้รับข้อความแจ้งให้สร้างIf the user does not have an Azure AD identity, they may be prompted to create one. รูปภาพต่อไปนี้แสดงโฟลว์อย่างละเอียด:The following image shows the detailed flow:

แผนภูมิโฟลว์การรวม

สิ่งสำคัญคือต้องทราบว่าบัญชี Azure AD จะถูกใช้หรือสร้างขึ้นใน Azure AD ของบุคคลภายนอกการดำเนินการนี้จะช่วยให้ลูซี่สามารถใช้ชื่อผู้ใช้และรหัสผ่านของตนเองและข้อมูลประจำตัวของพวกเขาจะหยุดทำงานโดยอัตโนมัติเมื่อใดก็ตามที่ลูซี่ออกจากบริษัทเมื่อองค์กรของพวกเขายังใช้ Azure ADIt is important to recognize that the Azure AD account will be used or created in the external party's Azure AD, this will make it possible for Lucy to use their own username and password and their credentials will automatically stop working in other tenants whenever Lucy leaves the company when their organization also uses Azure AD.

สิทธิ์การใช้งานLicensing

Contoso สามารถเลือกหนึ่งในสามวิธีในการให้สิทธิ์การใช้งานแก่ผู้ใช้ที่เป็นผู้เยี่ยมชมจากซัพพลายเออร์และองค์กรคู่ค้าเพื่อให้สามารถเข้าถึงเนื้อหา Power BIContoso can choose one of three approaches to license guest users from its suppliers and partner organizations to have access to Power BI content.

หมายเหตุ

AZURE Ad B2B's ฟรีในระดับที่เพียงพอที่จะใช้ POWER BI ด้วย AZURE AD B2B คุณลักษณะบางอย่างของ Azure AD B2B ที่ทันสมัยเช่นกลุ่มแบบไดนามิกจำเป็นต้องมีสิทธิ์การใช้งานเพิ่มเติม โปรดดูเอกสารประกอบของ Azure AD B2B สำหรับข้อมูลเพิ่มเติม:https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidanceThe Azure AD B2B's free tier is enough to use Power BI with Azure AD B2B. Some advanced Azure AD B2B features like dynamic groups require additional licensing. Please refer to the Azure AD B2B documentation for additional information: https://docs.microsoft.com/azure/active-directory/b2b/licensing-guidance

วิธีที่ 1: Contoso ใช้ Power BI PremiumApproach 1: Contoso uses Power BI Premium

วิธีนี้ Contoso ซื้อความจุ Power BI Premium และกำหนดเนื้อหาพอร์ทัล BI ไปยังความจุนี้With this approach, Contoso purchases Power BI Premium capacity and assigns its BI portal content to this capacity. การดำเนินการนี้อนุญาตให้ผู้ใช้ที่เป็นผู้เยี่ยมชมจากองค์กรคู่ค้าเข้าถึงแอป Power BI ของ Contoso ได้โดยไม่ต้องมีสิทธิ์การใช้งาน Power BIThis allows guest users from partner organizations to access Contoso's Power BI app without any Power BI license.

ผู้ใช้ภายนอกยังถูกกำหนดให้ใช้ประสบการณ์รับข้อมูลเท่านั้น ซึ่งนำเสนอให้ผู้ใช้ "ฟรี" ใน Power BI เมื่อใช้งานเนื้อหาภายใน Power BI PremiumExternal users are also subject to the consumption only experiences offered to "Free" users in Power BI when consuming content within Power BI Premium.

Contoso ยังสามารถใช้ประโยชน์จากความสามารถของ Power BI Premium สำหรับแอปของตนเอง เช่น เพิ่มอัตรารีเฟรช กำหนดความจุ และเพิ่มขนาดโมเดลContoso can also take advantage of other Power BI premium capabilities for its apps like increased refresh rates, dedicated capacity, and large model sizes.

ความสามารถเพิ่มเติม

วิธีที่ 2: Contoso กำหนดสิทธิ์การใช้งาน Power BI Pro ให้กับผู้เยี่ยมชมApproach 2: Contoso assigns Power BI Pro licenses to guest users

ด้วยวิธีนี้ Contoso สามารถมอบหมายสิทธิ์การใช้งาน pro ให้ผู้ใช้ที่เป็นผู้เยี่ยมชมจากองค์กรคู่ค้า – ซึ่งสามารถทำได้จากศูนย์ดูแลระบบ Microsoft 365 ของ ContosoWith this approach, Contoso assigns pro licenses to guest users from partner organizations – this can be done from Contoso's Microsoft 365 admin center. การดำเนินการนี้อนุญาตให้ผู้ใช้ที่เป็นผู้เยี่ยมชมจากองค์กรคู่ค้าเข้าถึงแอป Power BI ของ Contoso ได้โดยไม่ต้องซื้อสิทธิ์การใช้งานด้วยตนเองThis allows guest users from partner organizations to access Contoso's Power BI app without purchasing a license themselves. ซึ่งอาจเหมาะสมสำหรับการแชร์กับผู้ใช้ภายนอกที่องค์กรยังไม่ได้ปรับใช้ Power BIThis can be appropriate for sharing with external users whose organization has not adopted Power BI yet.

หมายเหตุ

สิทธิ์การใช้งาน pro ของ Contoso มีผลกับผู้ใช้ที่เป็นผู้เยี่ยมชมเฉพาะเมื่อพวกเขาเข้าถึงเนื้อหาในผู้เช่า Contoso เท่านั้นContoso's pro license applies to guest users only when they access content in the Contoso tenant. สิทธิ์การใช้งาน pro เปิดใช้งานการเข้าถึงเนื้อหาที่ไม่ได้อยู่ในความจุ Power BI PremiumPro licenses enable access to content that is not in a Power BI Premium capacity. อย่างไรก็ตาม ผู้ใช้ภายนอกที่มีสิทธิ์การใช้งาน Pro จะถูกจำกัดตามค่าเริ่มต้นให้มีเฉพาะประสบการณ์การรับข้อมูลHowever, external users with a Pro license are restricted by default to a consumption only experience. ซึ่งสามารถเปลี่ยนแปลงได้โดยใช้วิธีการที่อธิบายไว้ในการ เปิดใช้งานการทำงานภายนอกเพื่อแก้ไขและจัดการเนื้อหาภายในส่วน POWER BI ในภายหลังในเอกสารนี้This can be changed by using the approach described in the Enabling external users to edit and manage content within Power BI section later in this document.

ข้อมูลสิทธิ์การใช้งาน

วิธีที่ 3: ผู้ใช้ที่เป็นผู้เยี่ยมชมนำสิทธิ์การใช้งาน Power BI Pro ของตนเองApproach 3: Guest users bring their own Power BI Pro license

ด้วยวิธีนี้ ซัพพลายเออร์ 1 มอบหมายสิทธิ์การใช้งาน Power BI Pro ให้กับ LucyWith this approach, Supplier 1 assigns a Power BI Pro license to Lucy. พวกเขาสามารถเข้าถึงแอป Power BI ของ Contoso ด้วยสิทธิ์การใช้งานนี้They can then access Contoso's Power BI app with this license. เนื่องจากลูซี่สามารถใช้ใบอนุญาต Pro จากองค์กรของตนเองเมื่อเข้าถึงสภาพแวดล้อม Power BI ภายนอกวิธีการนี้บางครั้งเรียกว่าการ นำสิทธิ์การใช้งานของคุณเอง (BYOL)Since Lucy can use their Pro license from their own organization when accessing an external Power BI environment, this approach is sometimes referred to as bring your own license (BYOL). ถ้าทั้งสององค์กรใช้ Power BI วิธีนี้มีประโยชน์จากสิทธิ์การใช้งานสำหรับโซลูชันการวิเคราะห์โดยรวม และช่วยลดค่าใช้จ่ายการกำหนดสิทธิ์การใช้งานให้ผู้ใช้ภายนอกIf both organizations are using Power BI, this offers advantageous licensing for the overall analytics solution and minimizes overhead of assigning licenses to external users.

หมายเหตุ

สิทธิ์การใช้งาน pro ที่กำหนดให้ Lucy โดยซัพพลายเออร์ 1 มีผลกับผู้เช่า Power BI ใด ๆ ที่ Lucy เป็นผู้ใช้ที่เป็นผู้เยี่ยมชมThe pro license given to Lucy by Supplier 1 applies to any Power BI tenant where Lucy is a guest user. สิทธิ์การใช้งาน pro เปิดใช้งานการเข้าถึงเนื้อหาที่ไม่ได้อยู่ในความจุ Power BI PremiumPro licenses enable access to content that is not in a Power BI Premium capacity. อย่างไรก็ตาม ผู้ใช้ภายนอกที่มีสิทธิ์การใช้งาน Pro จะถูกจำกัดตามค่าเริ่มต้นให้มีเฉพาะประสบการณ์การรับข้อมูลHowever, external users with a Pro license are restricted by default to a consumption only experience. การดำเนินการนี้สามารถเปลี่ยนแปลงได้โดยใช้วิธีการที่อธิบายไว้ในการ เปิดใช้งานผู้ที่อยู่ภายนอกเพื่อแก้ไขและจัดการเนื้อหาภายในส่วน POWER BI ในภายหลังในเอกสารนี้This can be change by using the approach described in the Enabling external users to edit and manage content within Power BI section later in this document.

ข้อกำหนดสิทธิ์การใช้งาน Pro

ความปลอดภัยของข้อมูลสำหรับคู่ค้าภายนอกData security for external partners

โดยทั่วไปเมื่อทำงานกับซัพพลายเออร์ภายนอกจำนวนมาก Contoso จำเป็นต้องตรวจสอบให้แน่ใจว่า ซัพพลายเออร์แต่ละรายเห็นเฉพาะข้อมูลเกี่ยวกับผลิตภัณฑ์ของตนเองเท่านั้นCommonly when working with multiple external suppliers, Contoso needs to ensure that each supplier sees data only about its own products. การรักษาความปลอดภัยตามผู้ใช้และการรักษาความปลอดภัยระดับแถวแบบไดนามิกทำได้ง่ายโดยใช้ Power BIUser-based security and dynamic row level security make this easy to accomplish with Power BI.

การรักษาความปลอดภัยตามผู้ใช้User-based security

หนึ่งในคุณลักษณะที่มีประสิทธิภาพที่สุดของ Power BI คือการรักษาความปลอดภัยระดับแถวOne of the most powerful features of Power BI is Row Level Security. คุณลักษณะนี้ช่วยให้ Contoso สร้างรายงานและชุดข้อมูล แต่ยังคง ใช้กฎความปลอดภัยที่แตกต่างกันสำหรับผู้ใช้แต่ละรายThis feature allows Contoso to create a single report and dataset but still apply different security rules for each user. สำหรับคำอธิบายโดยละเอียด ดู การรักษาความปลอดภัยระดับแถว (RLS)For an in-depth explanation, see Row-level security (RLS).

Power BI รวมเข้ากับ Azure AD B2B อนุญาตให้ Contoso กำหนดกฎการรักษาความปลอดภัยระดับแถวให้แก่ผู้ใช้ที่เป็นผู้เยี่ยมชมทันทีที่พวกเขาได้รับเชิญไปยังผู้เช่า ContosoPower BI's integration with Azure AD B2B allows Contoso to assign Row Level Security rules to guest users as soon as they are invited to the Contoso tenant. ขณะที่เราเคยเห็นมาก่อน Contoso สามารถเพิ่มผู้ใช้ที่เป็นผู้เยี่ยมชมผ่านการเชิญแบบวางแผนหรือเฉพาะกิจอย่างใดอย่างหนึ่งAs we have seen before, Contoso can add guest users through either planned or ad-hoc invites. ถ้า Contoso ต้องการเสริมความปลอดภัยระดับแถว ขอแนะนำการใช้คำเชิญที่วางแผนไว้เพื่อเพิ่มผู้ใช้ที่เป็นผู้เยี่ยมชมก่อนเวลาและกำหนดพวกเขาไปยังบทบาทการรักษาความปลอดภัยก่อนที่จะแชร์เนื้อหาIf Contoso wants to enforce row level security, it is strongly recommended to use planned invites to add the guest users ahead of time and assigning them to the security roles before sharing the content. ถ้าในทางกลับกัน Contoso คำเชิญแบบเฉพาะกิจ อาจเป็นระยะเวลาสั้น ๆ ที่ผู้เยี่ยมชมจะไม่สามารถดูข้อมูลใด ๆIf Contoso instead uses ad-hoc invites, there might be a short period of time where the guest users will not be able to see any data.

หมายเหตุ

วิธีการนี้ทำให้เกิดความล่าช้าในการเข้าถึงข้อมูลที่มีการป้องกันโดย RLS เมื่อใช้คำเชิญแบบเฉพาะกิจ อาจทำให้ต้องร้องขอการสนับสนุนจากทีม IT ของคุณ เนื่องจากผู้ใช้จะเห็นรายงาน/แดชบอร์ดเป็นหน้าว่างหรือเสีย เมื่อพวกเขาเปิดลิงก์ที่แชร์ในอีเมลที่พวกเขาได้รับThis delay in accessing data protected by RLS when using ad-hoc invites can lead to support requests to your IT team because users will see either blank or broken looking reports/dashboards when opening a sharing link in the email they receive. ดังนั้น ซึ่งจะแนะนำอย่างยิ่งให้ใช้คำเชิญที่วางแผนไว้ในสถานการณ์นี้* *Therefore, it is strongly recommended to use planned invites in this scenario.**

เรามาดูขั้นตอนนี้ด้วยตัวอย่างกันLet's walk through this with an example.

ตามที่กล่าวถึงก่อนหน้า Contoso มีซัพพลายเออร์ทั่วโลก และพวกเขาต้องการตรวจสอบให้แน่ใจว่า ผู้ใช้จากองค์กรซัพพลายเออร์ของพวกเขาได้รับข้อมูลเชิงลึกจากข้อมูลจากอาณาเขตของพวกเขาเท่านั้นAs mentioned before, Contoso has suppliers around the globe, and they want to make sure that the users from their supplier organizations get insights from data from just their territory. แต่ผู้ใช้จาก Contoso สามารถเข้าถึงข้อมูลทั้งหมดBut users from Contoso can access all the data. แทนที่จะสร้างรายงานที่แตกต่างกันหลายฉบับ Contoso สร้างรายงานเดียว และใช้ตัวกรองข้อมูลตามผู้ใช้ที่ดูข้อมูลนั้นInstead of creating several different reports, Contoso creates a single report and filters the data based the user viewing it.

เนื้อหาที่แชร์

เพื่อให้แน่ใจว่า Contoso สามารถกรองข้อมูลตามบุคคลที่จะเชื่อมต่อ จึงมีการสร้างบทบาทสองบทบาทขึ้นในเดสก์ท็อป Power BITo make sure Contoso can filter data based on who is connecting, two roles are created in Power BI desktop. หนึ่งเพื่อกรองข้อมูลทั้งหมดจาก SalesTerritory "ยุโรป" และอีกตัวกรองสำหรับ "อเมริกา"One to filter all the data from the SalesTerritory "Europe" and another for "North America".

การจัดการบทบาท

เมื่อใดก็ตามที่กำหนดบทบาทในรายงาน ผู้ใช้ต้องกำหนดบทบาทเฉพาะเจาะจงสำหรับพวกเขาเพื่อเข้าถึงข้อมูลใด ๆWhenever roles are defined in the report, a user must be assigned to a specific role for them to get access to any data. การมอบหมายบทบาทเกิดขึ้นภายในบริการ Power BI ( ชุดข้อมูล > ความปลอดภัย)The assignment of roles happens inside the Power BI service ( Datasets > Security )

การตั้งค่าความปลอดภัย

ซึ่งเปิดหน้าที่ทีม BI ของ Contoso สามารถดูสองบทบาทที่พวกเขาสร้างขึ้นThis opens a page where Contoso's BI team can see the two roles they created. ตอนนี้ทีม BI ของ Contoso สามารถกำหนดผู้ใช้ให้กับบทบาทแล้วNow Contoso's BI team can assign users to the roles.

รักษาความปลอดภัยตามระดับแถว

ในตัวอย่าง Contoso กำลังเพิ่มผู้ใช้ในองค์กรคู่ค้าที่มีที่อยู่อีเมล " adam@themeasuredproduct.com " ไปยังบทบาทยุโรป:In the example Contoso is adding a user in a partner organization with email address "adam@themeasuredproduct.com" to the Europe role:

การตั้งค่าการรักษาความปลอดภัยระดับแถว

เมื่อ Azure AD แก้ไขเรื่องนี้แล้ว Contoso สามารถดูชื่อที่แสดงในหน้าต่างที่พร้อมที่จะเพิ่ม:When this gets resolved by Azure AD, Contoso can see the name show up in the window ready to be added:

แสดงบทบาท

ในตอนนี้เมื่อผู้ใช้รายนี้เปิดแอปที่แชร์กับพวกเขาพวกเขาจะเห็นรายงานที่มีข้อมูลจากยุโรปเท่านั้น:Now when this user opens the app that was shared with them, they only see a report with data from Europe:

ดูเนื้อหา

การรักษาความปลอดภัยระดับแถวแบบไดนามิกDynamic row level security

หัวข้ออื่นที่น่าสนใจคือการดูวิธีการรักษาความปลอดภัยระดับแถวแบบไดนามิก (RLS) ที่ทำงานด้วย Azure AD B2BAnother interesting topic is to see how dynamic row level security (RLS) work with Azure AD B2B.

สรุป ความปลอดภัยระดับแถวแบบไดนามิกทำงาน โดยการกรองข้อมูลในแบบจำลองที่ยึดตามชื่อผู้ใช้ของบุคคลที่เชื่อมต่อกับ Power BIIn short, Dynamic row level security works by filtering data in the model based on the username of the person connecting to Power BI. แทนที่จะเพิ่มหลายบทบาทสำหรับกลุ่มของผู้ใช้ คุณสามารถกำหนดผู้ใช้ในแบบจำลองInstead of adding multiple roles for groups of users, you define the users in the model. เราจะไม่อธิบายแพทเทิร์นแบบรายละเอียดในที่นี้We won't describe the pattern in detail here. Kasper de Jong เสนอการเขียนโดยละเอียดขึ้นในการรักษาความปลอดภัยระดับแถวทั้งหมดใน เอกสารข้อมูลสรุปการรักษาความปลอดภัย Power BI Desktop แบบไดนามิก และใน เอกสารทางเทคนิคนี้Kasper de Jong offers a detailed write up on all the flavors of row level security in Power BI Desktop Dynamic security cheat sheet, and in this whitepaper .

มาดูตัวอย่างขนาดเล็ก - Contoso มีรายงานอย่างง่ายเกี่ยวกับยอดขายตามกลุ่ม:Let's look at a small example - Contoso has a simple report on sales by groups:

เนื้อหาอย่างง่าย

ขณะนี้รายงานนี้จำเป็นต้องแชร์กับผู้ใช้ที่เป็นผู้เยี่ยมชมสองรายและผู้ใช้ภายในหนึ่งราย โดยผู้ใช้ภายในสามารถดูทุกอย่าง แต่ผู้ใช้ที่เป็นผู้เยี่ยมชมสามารถดูเฉพาะกลุ่มที่พวกเขาสามารถเข้าถึงเท่านั้นNow this report needs to be shared with two guest users and an internal user - the internal user can see everything, but the guest users can only see the groups they have access to. ซึ่งหมายความว่า เราต้องกรองข้อมูลสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชมเท่านั้นThis means we must filter the data only for the guest users. การกรองข้อมูลอย่างเหมาะสม Contoso ใช้รูปแบบ RLS แบบไดนามิกตามที่อธิบายไว้ในเอกสารทางเทคนิคและบล็อกโพสต์To filter the data appropriately, Contoso uses the Dynamic RLS pattern as described in the whitepaper and blog post. ซึ่งหมายความว่า Contoso เพิ่มชื่อผู้ใช้ที่ลงตัวข้อมูลเอง:This means, Contoso adds the usernames to the data itself:

ดูผู้ใช้ RLS ไปยังข้อมูลเอง

จากนั้น Contoso สร้างแบบจำลองข้อมูลที่ถูกต้องที่กรองข้อมูลอย่างเหมาะสมกับความสัมพันธ์ที่ถูกต้อง:Then, Contoso creates the right data model that filters the data appropriately with the right relationships:

แสดงข้อมูลที่เหมาะสม

เมื่อต้องกรองข้อมูลโดยอัตโนมัติตามบุคคลที่จะเข้าสู่ระบบ Contoso จำเป็นต้องสร้างบทบาทที่ส่งผ่านในผู้ใช้ที่จะเชื่อมต่อTo filter the data automatically based on who is logged in, Contoso needs to create a role that passes in the user who is connecting. ในกรณีนี้ Contoso สร้างบทบาทสองบทบาท บทบาทแรกคือ "securityrole" ที่กรองตารางผู้ใช้ที่มีชื่อผู้ใช้ปัจจุบันของผู้ใช้ที่เข้าสู่ระบบ Power BI (ซึ่งสามารถใช้ได้แม้แต่กับผู้ใช้ที่เป็นผู้เยี่ยมชม Azure AD B2B)In this case, Contoso creates two roles – the first is the "securityrole" that filters the Users table with the current username of the user logged in to Power BI (this works even for Azure AD B2B guest users).

จัดการบทบาท

Contoso ยังสร้างอื่น "AllRole" อีกรายการสำหรับผู้ใช้ภายในที่สามารถดูทุกอย่าง โดยบทบาทนี้ไม่ได้ตั้งอยู่บนพื้นฐษนการรักษาความปลอดภัยใด ๆContoso also creates another "AllRole" for its internal users who can see everything – this role does not have any security predicate.

หลังจากอัปโหลดไฟล์เดสก์ท็อป Power BI ไปยังบริการแล้ว Contoso สามารถกำหนดให้ผู้ใช้ที่เป็นผู้เยี่ยมชมเป็น "SecurityRole" และผู้ใช้ภายในเป็น "AllRole"After uploading the Power BI desktop file to the service, Contoso can assign guest users to the "SecurityRole" and internal users to the "AllRole"

ในตอนนี้เมื่อผู้ใช้ที่เป็นผู้เยี่ยมชมเปิดรายงานพวกเขาจะเห็นเฉพาะการขายจากกลุ่ม A:Now, when the guest users open the report, they only see sales from group A:

เฉพาะจากกลุ่ม A

ในเมทริกซ์ไปทางด้านขวา คุณสามารถดูผลลัพธ์ของฟังก์ชัน USERNAME() และ USERPRINCIPALNAME() ทั้งคู่ตอบกลับอีเมลแอดเดรสของผู้ใช้ที่เป็นผู้เยี่ยมชมIn the matrix to the right you can see the result of the USERNAME() and USERPRINCIPALNAME() function both return the guest users email address.

ตอนนี้ ผู้ใช้ภายในได้รับเพื่อดูข้อมูลทั้งหมด:Now the internal user gets to see all the data:

แสดงข้อมูลทั้งหมด

ตามที่คุณเห็น RLS แบบไดนามิกทำงานกับผู้ใช้ภายใน หรือผู้ใช้ที่เป็นผู้เยี่ยมชมAs you can see, Dynamic RLS works with both internal or guest users.

หมายเหตุ

สถานการณ์สมมตินี้ยังทำงานเมื่อใช้แบบจำลองใน Azure Analysis ServicesThis scenario also works when using a model in Azure Analysis Services. โดยปกติแล้ว Azure Analysis Service ของคุณเชื่อมต่อกับ Azure AD เดียวกันเป็น Power BI ของคุณ ในกรณีดังกล่าว Azure Analysis Services ยังทราบผู้ใช้ที่เป็นผู้เยี่ยมชมที่ได้รับเชิญผ่าน Azure AD B2BUsually your Azure Analysis Service is connected to the same Azure AD as your Power BI - in that case, Azure Analysis Services also knows the guest users invited through Azure AD B2B.

การเชื่อมต่อกับแหล่งข้อมูลภายในองค์กรของคุณConnecting to on premises data sources

Power BI นำเสนอความสามารถให้ Contoso ใช้ประโยชน์จากแหล่งข้อมูลภายในองค์กรของตน เช่น SQL Server Analysis Services หรือ SQL Server ทั้งหมดนี้เป็นเพราะมี เกตเวย์ข้อมูลภายในองค์กรPower BI offers the capability for Contoso to leverage on premises data sources like SQL Server Analysis Services or SQL Server directly thanks to the On-Premises data gateway. นอกจากนี้ยังสามารถลงชื่อเข้าใช้ไปยังแหล่งข้อมูลเหล่านั้นมีข้อมูลประจำตัวเดียวกันเหมือนที่ใช้กับ Power BIIt is even possible to sign on to those data sources with the same credentials as used with Power BI.

หมายเหตุ

เมื่อติดตั้งเกตเวย์เพื่อเชื่อมต่อกับผู้เช่า Power BI ของคุณ คุณต้องใช้ผู้ใช้ที่สร้างขึ้นภายในผู้เช่าของคุณWhen installing a gateway to connect to your Power BI tenant, you must use a user created within your tenant. ผู้ใช้ภายนอกไม่สามารถติดตั้งเกตเวย์และเชื่อมต่อเข้ากับผู้เช่าของคุณExternal users cannot install a gateway and connect it to your tenant._

สำหรับผู้ใช้ภายนอก เรื่องนี้อาจซับซ้อนมากขึ้นเนื่องจากผู้ใช้ภายนอกโดยปกติแล้วจะไม่ทราบ AD ภายในองค์กรFor external users, this might be more complicated as the external users are usually not known to the on-premises AD. Power BI เสนอวิธีการแก้ปัญหานี้ โดยการอนุญาตให้ผู้ดูแลระบบ Contoso แมปชื่อผู้ใช้ภายนอกไปยังชื่อผู้ใช้ภายในตามที่อธิบายไว้ใน จัดการแหล่งข้อมูลของคุณ - Analysis ServicesPower BI offers a workaround for this by allowing Contoso administrators to map the external usernames to internal usernames as described in Manage your data source - Analysis Services. ตัวอย่างเช่น lucy@supplier1.com สามารถแมปกับลูซี่ _ supplier1 _ com EXT@contoso.com #ได้For example, lucy@supplier1.com can be mapped to lucy_supplier1_com#EXT@contoso.com.

การแมปชื่อผู้ใช้

วิธีนี้ทำได้ถ้า Contoso มีผู้ใช้เพียงเล็กน้อย หรือถ้า Contoso สามารถแมปผู้ใช้ภายนอกทั้งหมดไปเป็นบัญชีภายในบัญชีเดียวThis method is fine if Contoso only has a handful of users or if Contoso can map all the external users to a single internal account. สำหรับสถานการณ์ที่ซับซ้อนกว่าที่ผู้ใช้แต่ละรายต้องมีข้อมูลประจำตัวของตนเอง ไม่มีวิธีการแบบขั้นสูงกว่าที่ใช้ แอตทริบิวต์แบบกำหนดเองของ AD เพื่อทำการแมปตามที่อธิบายไว้ใน จัดการแหล่งข้อมูลของคุณ - Analysis ServicesFor more complex scenarios where each user needs their own credentials, there is a more advanced approach that uses custom AD attributes to do the mapping as described in Manage your data source - Analysis Services. ซึ่งจะช่วยให้ผู้ดูแลระบบ Contoso กำหนดแมปสำหรับผู้ใช้ทุกคนใน Azure AD (และ B2B ผู้ใช้ภายนอก)This would allow the Contoso administrator to define a mapping for every user in your Azure AD (also external B2B users). แอตทริบิวต์เหล่านี้สามารถตั้งค่าผ่านรูปแบบวัตถุ AD โดยใช้สคริปต์หรือโค้ดเพื่อให้ Contoso สามารถแมปในขณะเชิญหรือในช่วงเวลาที่กำหนดได้อย่างอัตโนมัติThese attributes can be set through the AD object model using scripts or code so Contoso can fully automate the mapping on invite or on a scheduled cadence.

ทำให้ผู้ใช้ภายนอกแก้ไข และจัดการเนื้อหาภายใน Power BI ได้Enabling external users to edit and manage content within Power BI

Contoso สามารถอนุญาตให้ผู้ใช้ภายนอกสนับสนุนเนื้อหาภายในองค์กรตามที่อธิบายไว้ก่อนหน้านี้ในส่วนของการแก้ไขและการจัดการเนื้อหา Power BI ข้ามองค์กรContoso can allow external users to contribute content within the organization as described earlier in the cross-organization editing and management of Power BI content section.

หมายเหตุ

เมื่อต้องแก้ไข และจัดการเนื้อหาภายใน Power BI ขององค์กรของคุณ ผู้ใช้ต้องมีสิทธิ์การใช้งาน Power BI Pro ในพื้นที่ทำงานอื่นที่ไม่ใช่พื้นที่ทำงานของฉันTo edit and manage content within your organization's Power BI, the user must have a Power BI Pro license in a workspace other than My workspace. ผู้ใช้สามารถรับใบอนุญาต Pro ที่ครอบคลุมอยู่ในส่วน สิทธิ์ การใช้งานของเอกสารนี้Users can obtain Pro licenses as covered in the Licensing section of this document.

พอร์ทัลผู้ดูแลระบบ Power BI มีการตั้งค่า อนุญาตผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกให้แก้ไข และจัดการเนื้อหาในองค์กร ในการตั้งค่าผู้เช่าThe Power BI Admin Portal provides the allow external guest users to edit and manage content in the organization setting in Tenant settings. ตามค่าเริ่มต้น การตั้งค่าถูกตั้งค่าเป็นปิดใช้งาน ซึ่งหมายความว่า ผู้ใช้ภายนอกได้รับประสบการณ์แบบอ่านอย่างเดียวที่มีข้อจำกัดตามค่าเริ่มต้นBy default, the setting is set to disabled, meaning external users get a constrained read-only experience by default. การตั้งค่ามีผลกับผู้ใช้ที่มี UserType (ประเภทผู้ใช้) ตั้งค่าเป็น Guest (ผู้เยี่ยมชม) ใน Azure ADThe setting applies to users with UserType set to Guest in Azure AD. ตารางด้านล่างนี้อธิบายพฤติกรรมที่ผู้ใช้มีประสบการณ์โดยขึ้นอยู่กับ UserType (ประเภทผู้ใช้) ของพวกเขาและวิธีการกำหนดค่าการตั้งค่าThe table below describes the behaviors users experience depending on their UserType and how the settings are configured.

ประเภทผู้ใช้ใน Azure ADUser Type in Azure AD อนุญาตให้ผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกแก้ไขและจัดการการตั้งค่าเนื้อหาAllow external guest users to edit and manage content setting พฤติกรรมBehavior
แขกGuest ปิดใช้งานสำหรับผู้ใช้ (ค่าเริ่มต้น)Disabled for the user (Default) มุมมองปริมาณการใช้งานต่อรายการเท่านั้นPer item consumption only view. อนุญาตให้เข้าถึงแบบอ่านอย่างเดียวไปยังรายงาน แดชบอร์ด และแอปเมื่อดูผ่าน URL ที่ส่งไปยังผู้ใช้ที่เป็นผู้เยี่ยมชมAllows read-only access to reports, dashboards, and apps when viewed through a URL sent to the Guest user. แอปสำหรับอุปกรณ์มือถือ Power BI ให้มุมมองแบบอ่านอย่างเดียวแก่ผู้ใช้ที่เป็นผู้เยี่ยมชมPower BI Mobile apps provide a read-only view to the guest user.
แขกGuest เปิดใช้งานสำหรับผู้ใช้Enabled for the user ผู้ใช้ภายนอกสามารถเข้าถึงประสบการณ์เต็มรูปแบบของ Power BI แม้ว่าคุณลักษณะบางอย่างจะไม่พร้อมใช้งานสำหรับพวกเขาThe external user gets access to the full Power BI experience, though some features are not available to them. ผู้ใช้ภายนอกต้องเข้าสู่ระบบ Power BI โดยใช้ URL บริการ Power BI ที่มีข้อมูลของผู้เช่ารวมอยู่The external user must log in to Power BI using the Power BI Service URL with the tenant information included. ผู้ใช้รับประสบการณ์หน้าแรก พื้นที่ทำงานของฉัน และขึ้นอยู่กับสิทธิ์อนุญาต สามารถเรียกดู ดู และสร้างเนื้อหาThe user gets the Home experience, a My Workspace, and based on permissions can browse, view, and create content.

แอปสำหรับอุปกรณ์มือถือ Power BI ให้มุมมองแบบอ่านอย่างเดียวแก่ผู้ใช้ที่เป็นผู้เยี่ยมชมPower BI Mobile apps provide a read-only view to the guest user.

หมายเหตุ

นอกจากนี้ผู้ใช้ภายนอกใน Azure AD ยังสามารถตั้งค่าเป็นสมาชิกประเภทผู้ใช้External users in Azure AD can also be set to UserType Member. ซึ่งปัจจุบันยังไม่รองรับใน Power BIThis is not currently supported in Power BI.

ในพอร์ทัลผู้ดูแลระบบ Power BI การตั้งค่าจะแสดงในรูปต่อไปนี้In the Power BI Admin portal, the setting is shown in the following image.

การตั้งค่าโดยผู้ดูแลระบบ

ผู้ใช้ที่เป็นผู้เยี่ยมชมได้รับประสบการณ์เริ่มต้นแบบอ่านอย่างเดียวและที่สามารถแก้ไข และจัดการเนื้อหาได้Guest users get the read-only default experience and which can edit and manage content. ค่าเริ่มต้นถูกปิดใช้งาน ซึ่งหมายความว่า ผู้ใช้ที่เป็นผู้เยี่ยมชมทั้งหมดมีประสบการณ์แบบอ่านอย่างเดียวThe default is Disabled, meaning all Guest users have the read-only experience. ผู้ดูแลระบบ Power BI สามารถจะเปิดใช้งานการตั้งค่าสำหรับผู้เยี่ยมชมทั้งหมดในองค์กร หรือกลุ่มปลอดภัยเฉพาะที่กำหนดไว้ใน Azure ADThe Power BI Admin can either enable the setting for all Guest users in the organization or for specific security groups defined in Azure AD. ในรูปต่อไปนี้ ผู้ดูแลระบบ Contoso Power BI สร้างกลุ่มปลอดภัยใน Azure AD เพื่อจัดการว่าผู้ใช้ภายนอกรายใดสามารถแก้ไข และจัดการเนื้อหาในผู้เช่า ContosoIn the following image, the Contoso Power BI Admin created a security group in Azure AD to manage which external users can edit and manage content in the Contoso tenant.

เพื่อช่วยให้ผู้ใช้เหล่านี้ลงชื่อเข้าใช้ใน Power BI ให้จัดเตรียม URL ผู้เช่าให้แก่พวกเขาTo help these users to log in to Power BI, provide them with the Tenant URL. เมื่อต้องการค้นหา URL ของผู้เช่า กรุณาทำตามขั้นตอนเหล่านี้To find the tenant URL, follow these steps.

  1. ในบริการของ Power BI ที่เมนูด้านบน ให้เลือกความช่วยเหลือ (?In the Power BI service, in the top menu, select help ( ? ) จากนั้น เกี่ยวกับ Power BI) then About Power BI.

  2. ค้นหาค่าที่อยู่ถัดจากURL ผู้เช่าLook for the value next to Tenant URL. นี่คือ URL ของผู้เช่าที่คุณสามารถแบ่งปันกับผู้ใช้ที่เป็นผู้เยี่ยมชมของคุณได้This is the tenant URL you can share with your guest users.

    URL ผู้เช่า

เมื่อใช้ อนุญาตผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกให้แก้ไข และจัดการเนื้อหาภายในองค์กร ผู้ใช้ที่เป็นผู้เยี่ยมชมที่ระบุจะได้รับสิทธิ์เข้าถึง Power BI ขององค์กรคุณและดูเนื้อหาใด ๆ ที่พวกเขาได้รับอนุญาตWhen using the Allow external guest users to edit and manage content in the organization, the specified guest users get access to your organization's Power BI and see any content to which they have permission. พวกเขาสามารถเข้าถึงหน้าแรก เรียกดู และมีส่วนร่วมในเนื้อหาไปยังพื้นที่ทำงาน ติดตั้งแอปที่อยู่ในรายการเข้าถึง และมีพื้นที่ทำงานของฉันThey can access Home, browse and contribute content to workspaces, install apps where they are on the access list, and have a My workspace. พวกเขาสามารถสร้าง หรือเป็นผู้ดูแลระบบของพื้นที่ทำงานที่ใช้ประสบการณ์พื้นที่ทำงานใหม่They can create or be an Admin of workspaces that use the new workspace experience.

หมายเหตุ

เมื่อใช้ตัวเลือกนี้ ตรวจสอบให้แน่ใจว่าได้ตรวจทานส่วนกำกับดูแลของเอกสารนี้เนื่องจากค่าเริ่มต้นการตั้งค่า Azure AD ป้องกันไม่ให้ผู้ใช้ที่เป็นผู้เยี่ยมชมใช้คุณลักษณะบางอย่างเช่นตัวเลือกบุคคลที่สามารถทำให้ประสบการณ์ลดลง* *When using this option make sure to review the governance section of this document since default Azure AD settings prevent Guest users to use certain features like people pickers which can lead to a reduced experience.**

สำหรับผู้ใช้ที่เป็นผู้เยี่ยมชม ผู้ใช้ดังกล่าวสามารถเปิดใช้งานผ่านทาง อนุญาตผู้ใช้ที่เป็นผู้เยี่ยมชมภายนอกให้แก้ไข และจัดการเนื้อหา ในการตั้งค่าผู้เช่าองค์กร โดยประสบการณ์การใช้งานบางอย่างจะไม่พร้อมใช้งานสำหรับพวกเขาFor guest users enabled through the Allow external guest users to edit and manage content in the organization tenant setting, some experiences are not available to them. หากต้องการอัปเดตหรือเผยแพร่รายงาน ผู้ใช้ที่เป็นผู้เยี่ยมชมจำเป็นต้องใช้ UI ของเว็บบริการ Power BI รวมถึง รับข้อมูล เพื่ออัปโหลดไฟล์ Power BI DesktopTo update or publish reports, guest users need to use the Power BI service web UI, including Get Data to upload Power BI Desktop files. ประสบการณ์การใช้งานต่อไปนี้ไม่ได้รับการสนับสนุน:The following experiences are not supported:

  • เผยแพร่จาก Power BI desktop ไปยังบริการ Power BI โดยตรงDirect publishing from Power BI desktop to the Power BI service
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถใช้ Power BI desktop เพื่อเชื่อมต่อกับชุดข้อมูลบริการในบริการ Power BI ได้Guest users cannot use Power BI desktop to connect to service datasets in the Power BI service
  • พื้นที่ทำงานคลาสสิกที่เชื่อมโยงกับกลุ่ม Microsoft 365: ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถสร้างหรือเป็นผู้ดูแลระบบของพื้นที่ทำงานกลุ่มเหล่านี้ได้Classic workspaces tied to Microsoft 365 Groups: Guest user cannot create or be Admins of these workspaces. พวกเขาสามารถเป็นสมาชิกThey can be members.
  • ส่งคำเชิญเข้าร่วมกิจไม่ได้รับการสนับสนุนสำหรับรายการเข้าถึงพื้นที่ทำงานSending ad-hoc invites is not supported for workspace access lists
  • Power BI Publisher สำหรับ Excel ไม่ได้รับการสนับสนุนสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชมPower BI Publisher for Excel is not supported for guest users
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถติดตั้ง Power BI Gateway และเชื่อมต่อกับองค์กรของคุณGuest users cannot install a Power BI Gateway and connect it to your organization
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถติดตั้งแอปที่เผยแพร่ไปยังทั้งองค์กรGuest users cannot install apps publish to the entire organization
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถใช้ สร้าง อัปเด หรือติดตั้งชุดเนื้อหาองค์กรGuest users cannot use, create, update, or install organizational content packs
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถใช้การวิเคราะห์ใน ExcelGuest users cannot use Analyze in Excel
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถอยู่@mentionedในการแสดงข้อคิดเห็น (ฟังก์ชันนี้จะถูกเพิ่มในรุ่นถัดไป)Guest users cannot be @mentioned in commenting ( this functionality will be added in an upcoming release )
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมไม่สามารถใช้การสมัครใช้งาน (ฟังก์ชันนี้จะถูกเพิ่มในรุ่นถัดไป)Guest users cannot use subscriptions ( this functionality will be added in an upcoming release )
  • ผู้ใช้ที่เป็นผู้เยี่ยมชมที่ใช้ความสามารถนี้ควรมีบัญชีที่ทำงาน หรือโรงเรียนGuest users who use this capability should have a work or school account. ผู้ใช้ที่เป็นผู้เยี่ยมชมที่ใช้บัญชีส่วนบุคคลพบข้อจำกัดเพิ่มเติมเนื่องจากข้อจำกัดการลงชื่อเข้าใช้Guest users using Personal accounts experience more limitations due to sign-in restrictions.

การควบคุมดูแลGovernance

เมื่อใช้การแชร์ Azure AD B2B ผู้ดูแลระบบ Azure Active Directory ควบคุมลักษณะของประสบการณ์ของผู้ใช้ภายนอกWhen using Azure AD B2B sharing, the Azure Active Directory administrator controls aspects of the external user's experience. สิ่งต่อไปนี้จะถูกควบคุมบนหน้าการตั้งค่าการทำงานร่วมกันภายนอกในการตั้งค่า Azure Active Directory สำหรับผู้เช่าของคุณThese are controlled on the External collaboration settings page within the Azure Active Directory settings for your Tenant.

รายละเอียดเกี่ยวกับการตั้งค่ามีดังนี้:Details on the settings are available here:

https://docs.microsoft.com/azure/active-directory/b2b/delegate-invitations

หมายเหตุ

ตามค่าเริ่มต้น สิทธิ์ผู้ใช้ที่เป็นผู้เยี่ยมชมจะถูกตั้งค่าตัวเลือกจำกัดเป็นใช่ ดังนั้นผู้ใช้ที่เป็นผู้เยี่ยมชมภายใน Power BI จึงมีประสบการณ์จำกัดโดยเฉพาะอย่างยิ่ง การแชร์รอบ ๆ เมื่อ UI ตัวเลือกบุคคลไม่ทำงานสำหรับผู้ใช้เหล่านั้นBy default, the Guest users permissions are limited option is set to Yes, so Guest users within Power BI have limited experiences especially surround sharing where people picker UIs do not work for those users. เป็นสิ่งสำคัญที่ต้องทำงานกับผู้ดูแลระบบ Azure AD ของคุณเพื่อตั้งค่าเป็นไม่ใช่ ดังที่แสดงด้านล่างเพื่อให้ได้รับประสบการณ์ดี* *It is important to work with your Azure AD administrator to set it to No, as shown below to ensure a good experience.**

การตั้งค่าการทำงานร่วมกันภายนอก

การควบคุมการเชิญผู้เยี่ยมชมControl guest invites

ผู้ดูแลระบบ power BI สามารถควบคุมการแชร์ภายนอกสำหรับ Power BI โดยไปที่พอร์ทัลผู้ดูแลระบบ Power BIPower BI administrators can control external sharing just for Power BI by visiting the Power BI admin portal. แต่ผู้ดูแลระบบผู้เช่ายังสามารถควบคุมการแชร์ภายนอกด้วยนโยบาย Azure AD ต่าง ๆBut tenant administrators can also control external sharing with various Azure AD policies. นโยบายเหล่านี้ช่วยให้ผู้ดูแลระบบผู้เช่าThese policies allow tenant administrators to

  • ปิดคำเชิญโดยผู้ใช้ปลายทางTurn off invitations by end users
  • เฉพาะผู้ดูแลระบบและผู้ใช้ที่มีบทบาทผู้เชิญผู้เยี่ยมชมสามารถเชิญได้Only admins and users in the Guest Inviter role can invite
  • ผู้ดูแลระบบ บทบาทผู้เชิญผู้เยี่ยมชม และสมาชิกสามารถเชิญได้Admins, the Guest Inviter role, and members can invite
  • ผู้ใช้ทั้งหมด รวมถึงผู้เยี่ยมชม สามารถเชิญได้All users, including guests, can invite

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับนโยบายเหล่านี้ใน มอบสิทธิ์คำเชิญสำหรับทำงานร่วมกันของ Azure Active Directory B2BYou can read more about these policies in Delegate invitations for Azure Active Directory B2B collaboration.

การดำเนินการ Power BI ทั้งหมดโดยผู้ใช้ภายนอกยัง ถูกตรวจสอบในพอร์ทัลการตรวจสอบของเราAll Power BI actions by external users are also audited in our auditing portal.

นโยบายการเข้าถึงตามเงื่อนไขสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชมConditional Access policies for guest users

Contoso สามารถบังคับใช้นโยบายการเข้าถึงตามเงื่อนไขสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชมที่เข้าถึงเนื้อหาจากผู้เช่า ContosoContoso can enforce conditional access policies for guest users who access content from the Contoso tenant. คุณสามารถค้นหาคำแนะนำโดยละเอียดใน การเข้าถึงตามเงื่อนไขสำหรับผู้ใช้ทำงานร่วมกัน B2BYou can find detailed instructions in Conditional access for B2B collaboration users.

วิธีอื่นทั่วไปCommon alternative approaches

ในขณะที่ Azure AD B2B ทำให้ง่ายต่อการแชร์ข้อมูลและรายงานทั่วทั้งองค์กรแล้ว ยังมีวิธีอื่น ๆ มากมายที่ใช้บ่อย และอาจเป็นระดับสูงในบางกรณีWhile Azure AD B2B makes it easy to share data and reports across organizations, there are several other approaches that are commonly used and may be superior in certain cases.

ตัวเลือกทางเลือกที่ 1: สร้าง identities ซ้ำสำหรับผู้ใช้ของคู่ค้าAlternative Option 1: Create duplicate identities for partner users

ด้วยตัวเลือกนี้ Contoso มีการสร้างข้อมูลประจำตัวที่ซ้ำกันแบบแมนวลสำหรับผู้ใช้ที่เป็นคู่ค้าแต่ละรายในผู้เช่า Contoso ดังที่แสดงในรูปต่อไปนี้With this option, Contoso had to manually create duplicate identities for each partner user in the Contoso Tenant, as shown in the following image. จากนั้น ภายใน Power BI ทาง Contoso สามารถแชร์เพื่อกำหนดข้อมูลประจำตัวสำหรับรายงาน แดชบอร์ด หรือแอปที่เหมาะสมThen within Power BI, Contoso can share to the assigned identities the appropriate reports, dashboards, or apps.

ตั้งค่าการแมปและชื่อที่เหมาะสม

เหตุผลในการเลือกตัวเลือกนี้:Reasons to choose this alternative:

  • เนื่องจากข้อมูลประจำตัวของผู้ใช้จะถูกควบคุม โดยองค์กรของคุณ บริการใด ๆ ที่เกี่ยวข้อง เช่นอีเมล SharePoint ฯลฯ ก็อยู่ภายในการควบคุมขององค์กรของคุณด้วยเช่นกันSince the user's identity is controlled by your organization, any related service such as email, SharePoint, etc. are also within the control of your organization. ผู้ดูแลระบบ IT ของคุณสามารถรีเซ็ตรหัสผ่าน ปิดใช้งานการเข้าถึงบัญชี หรือตรวจสอบกิจกรรมในบริการเหล่านี้Your IT Administrators can reset passwords, disable access to accounts, or audit activities in these services.
  • ผู้ใช้ที่ใช้บัญชีส่วนบุคคลสำหรับธุรกิจของพวกเขามักจะถูกจำกัดการเข้าถึงจากบริการบางอย่าง ดังนั้นจึงอาจต้องมีบัญชีขององค์กรUsers who use personal accounts for their business often are restricted from accessing certain services so may need an organizational account.
  • บริการบางอย่างทำงานผ่านผู้ใช้ขององค์กรของคุณเท่านั้นSome services only work over your organization's users. ตัวอย่าง ใช้ Intune เพื่อจัดการเนื้อหาบนอุปกรณ์มือถือ/ส่วนบุคคลของผู้ใช้ภายนอกโดยใช้ Azure B2B อาจไม่สามารถทำได้For example, using Intune to manage content on the personal/mobile devices of external users using Azure B2B may not be possible.

เหตุผลที่ไม่เลือกตัวเลือกนี้:Reasons not to choose this alternative:

  • ผู้ใช้จากองค์กรคู่ค้าต้องจดจำข้อมูลประจำตัว – หนึ่งสองชุด หนึ่งคือเพื่อเข้าถึงเนื้อหาจากองค์กรของพวกเขาเอง และอีกชุดเพื่อเข้าถึงเนื้อหาจาก ContosoUsers from partner organizations must remember two sets of credentials– one to access content from their own organization and the other to access content from Contoso. นี่เป็นเรื่องยุ่งยากสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชมเหล่านี้ และผู้ใช้ที่เป็นผู้เยี่ยมชมจำนวนมากสับสนเกี่ยวกับประสบการณ์การใช้งานนี้This is a hassle for these guest users and many guest users are confused by this experience.
  • Contoso ต้องซื้อ และกำหนดสิทธิ์การใช้งานให้แก่ผู้ใช้เหล่านี้Contoso must purchase and assign per-user licenses to these users. ถ้าผู้ใช้จำเป็นต้องได้รับอีเมล หรือใช้แอปพลิเคชันสำนักงาน พวกเขาจำเป็นต้องมีสิทธิ์การใช้งานที่เหมาะสม รวมถึง Power BI Pro เพื่อแก้ไขและแชร์เนื้อหาใน Power BIIf a user needs to receive email or use office applications, they need the appropriate licenses, including Power BI Pro to edit and share content in Power BI.
  • Contoso อาจต้องการบังคับใช้นโยบายการกำกับดูแลและการให้อนุญาตที่เข้มงวดมากขึ้นสำหรับผู้ใช้ภายนอกเมื่อเทียบกับผู้ใช้ภายในContoso might want to enforce more stringent authorization and governance policies for external users compared to internal users. เพื่อให้บรรลุสิ่งนี้ Contoso จำเป็นต้องสร้างการตั้งชื่อภายในองค์กรสำหรับผู้ใช้ภายนอก และผู้ใช้ทั้งหมดของ Contoso จำเป็นต้องศึกษาเกี่ยวกับการตั้งชื่อนี้To achieve this, Contoso needs to create an in-house nomenclature for external users and all Contoso users need to be educated about this nomenclature.
  • เมื่อผู้ใช้ออกจากองค์กรของพวกเขา พวกเขายังคงสามารถเข้าถึงทรัพยากรของ Contoso จนกว่าผู้ดูแลระบบ Contoso จะลบบัญชีของพวกเขาออกแบบแมนวลWhen the user leaves their organization, they continue to have access to Contoso's resources until the Contoso admin manually deletes their account
  • ผู้ดูแลระบบ Contoso จำเป็นต้องจัดการข้อมูลประจำตัวสำหรับผู้เยี่ยมชม รวมถึงการสร้าง รีเซ็ตรหัสผ่าน และอื่น ๆContoso admins have to manage the identity for the guest, including creation, password resets, etc.

ตัวเลือกสำรองที่ 2: สร้างแอปพลิเคชัน Power BI Embedded แบบกำหนดเองโดยใช้การรับรองความถูกต้องแบบกำหนดเองAlternative Option 2: Create a custom Power BI Embedded application using custom authentication

อีกทางเลือกสำหรับ Contoso คือ สร้างแอปพลิเคชัน Power BI แบบฝังตัวที่กำหนดเองด้วยการรับรองความถูกต้องแบบกำหนดเอง ('แอปเป็นเจ้าของข้อมูล')Another option for Contoso is to build its own custom embedded Power BI application with custom authentication ('App owns data'). ในขณะที่องค์กรจำนวนมากไม่มีเวลาหรือแหล่งข้อมูลเพื่อสร้างแอปพลิเคชันแบบกำหนดเองเพื่อแจกจ่ายเนื้อหา Power BI ให้กับคู่ค้าภายนอกของพวกเขา สำหรับบางองค์กรนี่จึงเป็นวิธีดีที่สุด และสมควรต่อการพิจารณาอย่างจริงจังWhile many organizations do not have the time or resources to create a custom application to distribute Power BI content to their external partners, for some organizations this is the best approach and deserves serious consideration.

บ่อยครั้งที่องค์กรมีพอร์ทัลคู่ค้าที่มีอยู่ที่รวมการเข้าถึงทรัพยากรขององค์กรทั้งหมดสำหรับคู่ค้า โดยแยกออกจากแหล่งข้อมูลขององค์กรภายใน และมอบประสบการณ์การใช้งานที่ราบรื่นสำหรับคู่ค้าเพื่อสนับสนุนคู่ค้าจำนวนมาก และผู้ใช้แต่ละรายการOften, organizations have existing partner portals that centralize access to all organizational resources for partners, provide isolation from internal organizational resources, and provide streamlined experiences for partners to support many partners and their individual users.

พอร์ทัลคู่ค้าจำนวนมาก

ในตัวอย่างด้านบน ผู้ใช้จากซัพพลายเออร์แต่ละแห่งเข้าสู่ระบบพอร์ทัลคู่ค้าของ Contoso ที่ใช้ AAD เป็นผู้ให้บริการข้อมูลประจำตัวIn the example above, users from each supplier login to Contoso's Partner Portal that uses AAD as an identity provider. โดยอาจใช้ AAD B2B, Azure B2C ข้อมูลประจำตัวเดิม หรือร่วมกับผู้ให้บริการข้อมูลประจำตัวอื่น ๆ จำนวนเท่าใดก็ได้It could use AAD B2B, Azure B2C, native identities, or federate with any number of other identity providers. ผู้ใช้จะเข้าสู่ระบบ และเข้าถึงพอร์ทัลคู่ค้าที่สร้างขึ้นโดยใช้ Azure Web App หรือโครงสร้างพื้นฐานที่คล้ายกันThe user would log in and access a partner portal build using Azure Web App or a similar infrastructure.

ภายในเว็บแอป รายงาน Power BI จะฝังตัวจากการปรับใช้ Power BI EmbeddedWithin the web app, Power BI reports are embedded from a Power BI Embedded deployment. เว็บแอปจะปรับปรุงประสิทธิภาพการเข้าถึงรายงานและบริการใด ๆ ที่เกี่ยวข้องในประสบการณ์ที่สอดคล้องกันโดยมีเป้าหมายเพื่อให้ซัพพลายเออร์ปฏิสัมพันธ์กับ Contoso ง่ายขึ้นThe web app would streamline access to the reports and any related services in a cohesive experience aimed to make it easy for suppliers to interact with Contoso. สภาพแวดล้อมพอร์ทัลนี้จะถูกแยกออกจาก AAD ภายใน Contoso และสภาพแวดล้อม Power BI ภายใน Contoso เพื่อให้แน่ใจว่าซัพพลายเออร์จะไม่สามารถเข้าถึงแหล่งข้อมูลเหล่านั้นThis portal environment would be isolated from the Contoso internal AAD and Contoso's internal Power BI environment to ensure suppliers could not access those resources. โดยทั่วไปแล้ว ข้อมูลจะถูกจัดเก็บไว้ในคลังข้อมูลของคู่ค้าที่แยกต่างหากเพื่อให้แน่ใจข้อมูลถูกแยกออกจากกันเช่นกันTypically, data would be stored in a separate Partner data warehouse to ensure isolation of data as well. การแยกนี้มีประโยชน์เนื่องจากจะจำกัดจำนวนผู้ใช้ภายนอกที่เข้าถึงข้อมูลขององค์กรของคุณโดยตรง จำกัดว่าข้อมูลอาจพร้อมใช้งานสำหรับผู้ใช้ภายนอก และจำกัดการแชร์กับผู้ใช้ภายนอกโดยไม่ตั้งใจThis isolation has benefits since it limits the number of external users with direct access to your organization's data, limiting what data could potentially be available to the external user, and limiting accidental sharing with external users.

การใช้ Power BI Embedded พอร์ทัลสามารถใช้ประโยชน์จากสิทธิ์การใช้งานที่เป็นประโยชน์ โดยใช้โทเค็นแอป หรือผู้ใช้มาสเตอร์ บวกกับความจุ Premium ที่ซื้อมาในแบบจำลอง Azure ซึ่งทำให้พิจารณาเกี่ยวกับการกำหนดสิทธิ์การใช้งานให้กับผู้ใช้ปลายทางได้ง่ายขึ้น และสามารถปรับสัดส่วนขึ้น/ลงตามการใช้งานที่คาดไว้Using Power BI Embedded, the portal can leverage advantageous licensing, using app token or the master user plus premium capacity purchased in Azure model, which simplifies concerns about assigning licenses to end users, and can scale up/down based on expected usage. พอร์ทัลสามารถนำเสนอคุณภาพที่สูงกว่าโดยรวมและประสบการณ์ที่สอดคล้องกันเนื่องจากคู่ค้าเข้าถึงพอร์ทัลเดียวที่ออกแบบมาเพื่อความต้องการของคู่ค้าทั้งหมดThe portal can offer an overall higher quality and consistent experience since partners access a single portal designed with all of a Partner's needs in mind. สุดท้าย เนื่องจากโซลูชันที่อาศัย Power BI Embedded ถูกออกแบบมาเป็นผู้เช่าหลายราย จึงทำให้ง่ายต่อการแยกกันระหว่างองค์กรของคู่ค้าLastly, since Power BI Embedded based solutions are typically designed to be multi-tenant, it makes it easier to ensure isolation between partner organizations.

เหตุผลในการเลือกตัวเลือกนี้:Reasons to choose this alternative:

  • จัดการได้ง่ายกว่าเมื่อองค์กรคู่ค้ามีจำนวนเพิ่มขึ้นEasier to manage as the number of partner organizations grows. เนื่องจากคู่ค้าถูกเพิ่มเข้ามาในไดเรกทอรีที่แยกต่างหากจากไดเรกทอรี AAD ภายในของ Contoso จึงทำให้ง่ายต่อการกำกับดูแลของ IT และช่วยป้องกันไม่ให้แชร์ข้อมูลภายในผู้ใช้ภายนอกโดยไม่ตั้งใจSince partners are added to a separate directory isolated from Contoso's internal AAD directory, it simplifies IT's governance duties and helps prevent accidental sharing of internal data to external users.
  • พอร์ทัลคู่ค้าทั่วไปเป็นประสบการณ์แบรนด์ระดับสูงที่มีประสบการณ์สอดคล้องระหว่างคู่ค้าและ ปรับปรุงให้มีประสิทธิภาพเพื่อตอบสนองความต้องการของคู่ค้าทั่วไปTypical Partner Portals are highly branded experiences with consistent experiences across partners and streamlined to meet the needs of typical partners. ดังนั้น Contoso จึงสามารถเสนอประสบการณ์รวมที่ดียิ่งขึ้นให้แก่คู่ค้าโดยการรวมบริการที่จำเป็นทั้งหมดลงในพอร์ทัลเดียวContoso can therefore offer a better overall experience to partners by integrating all required services into a single portal.
  • ค่าใช้จ่ายสิทธิ์การใช้งานสำหรับสถานการณ์สมมติขั้นสูง เช่น การแก้ไขเนื้อหาภายใน Power BI Embedded จะครอบคลุม โดย Azure ที่ซื้อ Power BI Premium และไม่จำเป็นต้องกำหนดสิทธิ์การใช้งาน Power BI Pro ให้ผู้ใช้เหล่านั้นLicensing costs for advanced scenarios like Editing content within the Power BI Embedded is covered by the Azure purchased Power BI Premium, and does not require assignment of Power BI Pro licenses to those users.
  • มีการแยกทั่วทั้งคู่ค้าได้ดีขึ้นถ้ามีโครงสร้างเป็นโซลูชันแบบหลายผู้เช่าProvides better isolation across partners if architected as a multi-tenant solution.
  • พอร์ทัลคู่ค้ามักจะมีเครื่องมืออื่น ๆ สำหรับคู่ค้านอกเหนือจากรายงาน แดชบอร์ด และแอป Power BIThe Partner Portal often includes other tools for partner beyond Power BI reports, dashboards, and apps.

เหตุผลที่ไม่เลือกตัวเลือกนี้:Reasons not to choose this alternative:

  • จำเป็นต้องใช้ความพยายามที่สำคัญในการสร้าง ดำเนินการ และบำรุงรักษาพอร์ทัลดังกล่าว ทำให้มีการลงทุนที่สำคัญในด้านทรัพยากรและเวลาSignificant effort is required to build, operate, and maintain such a portal making it a significant investment in resources and time.
  • เวลาในโซลูชันจะใช้เวลานานกว่าการใช้การแชร์ B2B เนื่องจากมีการวางแผนอย่างรอบคอบ และจำเป็นต้องมีการดำเนินการผ่านหลายกระบวนงานTime to solution is much longer than using B2B sharing since careful planning and execution across multiple workstreams is required.
  • เมื่อมีจำนวนคู่ค้าที่น้อยกว่า การลงทุนที่จำเป็นสำหรับตัวเลือกนี้มีแนวโน้มว่าสูงเกินจริงWhere there are a smaller number of partners the effort required for this alternative is likely too high to justify.
  • การทำงานร่วมกันด้วยการแชร์แบบเฉพาะกิจคือ สถานการณ์สมมติหลักที่องค์กรของคุณเผชิญCollaboration with ad-hoc sharing is the primary scenario faced by your organization.
  • รายงานและแดชบอร์ดสำหรับคู่ค้าแต่ละรายแตกต่างกันThe reports and dashboards are different for each partner. ตัวเลือกนี้แนะนำการจัดการค่าใช้จ่ายเกินโดยแค่แชร์กับคู่ค้าโดยตรงThis alternative introduces management overhead beyond just sharing directly with Partners.

คำถามที่ถามบ่อยFAQ

สามารถส่งคำเชิญที่จะถูกแลกโดยอัตโนมัติเพื่อให้ผู้ใช้เป็นเพียง "พร้อมที่จะไป" ใช่หรือไม่ หรือผู้ใช้ต้องคลิกผ่าน URL ของการแลกสิทธิ์เสมอCan Contoso send an invitation that is automatically redeemed, so that the user is just "ready to go"? Or does the user always have to click through to the redemption URL?

ผู้ใช้ปลายทางต้องคลิกผ่านการให้ความยินยอมก่อนที่พวกเขาสามารถเข้าถึงเนื้อหาThe end user must always click through the consent experience before they can access content.

ถ้าคุณจะเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมจำนวนมาก เราขอแนะนำให้คุณมอบสิทธิ์นี้จากผู้ดูแลระบบ Azure AD หลักของคุณ โดย เพิ่มผู้ใช้ลงในบทบาทเชิญผู้เชิญผู้เยี่ยมชมในองค์กรทรัพยากรIf you will be inviting many guest users, we recommend that you delegate this from your core Azure AD admins by adding a user to the guest inviter role in the resource organization. ผู้ใช้นี้สามารถเชิญผู้ใช้อื่น ๆ ในองค์กรคู่ค้า โดยใช้ UI ลงชื่อเข้าใช้ สคริปต์ PowerShell หรือ Api ได้This user can invite other users in the partner organization by using the sign-in UI, PowerShell scripts, or APIs. วิธีนี้ช่วยลดภาระของผู้ดูแลระบบ Azure AD ของคุณในการเชิญ หรือส่งคำเชิญซ้ำไปยัง่ผู้ใช้ในองค์กรคู่ค้าThis reduces the administrative burden on your Azure AD admins to invite or resent invites to users at the partner organization.

Contoso บังคับให้รับรองความถูกต้องแบบหลายปัจจัยสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชมได้หรือไม่ ถ้าคู่ค้าไม่มีการรับรองความถูกต้องแบบหลายปัจจัยCan Contoso force multi-factor authentication for guest users if its partners don't have multi-factor authentication?

ใช่Yes. สำหรับข้อมูลเพิ่มเติม ดู เข้าถึงตามเงื่อนไขสำหรับผู้ใช้ทำงานร่วมกัน B2BFor more information, see Conditional access for B2B collaboration users.

การทำงานร่วมกันแบบ B2B ทำงานอย่างไรเมื่อคู่ค้าที่ได้รับเชิญนั้นใช้กลุ่มรวมในการเพิ่มการรับรองความถูกต้องภายในองค์กรของพวกเขาHow does B2B collaboration work when the invited partner is using federation to add their own on-premises authentication?

ถ้าคู่ค้าที่มีผู้เช่า Azure AD ที่รวมกลุ่มกันในโครงสร้างพื้นฐานการรับรองความถูกต้องภายในองค์กร จะได้รับการลงชื่อเข้าระบบครั้งเดียวภายในองค์กร (SSO) โดยอัตโนมัติIf the partner has an Azure AD tenant that is federated to the on-premises authentication infrastructure, on-premises single sign-on (SSO) is automatically achieved. ถ้าคู่ค้าไม่มีผู้เช่า Azure AD อาจสร้างบัญชีผู้ใช้ Azure AD สำหรับผู้ใช้ใหม่If the partner doesn't have an Azure AD tenant, an Azure AD account may be created for new users.

ฉันสามารถเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมที่มีบัญชีอีเมลของผู้บริโภคหรือไม่Can I invite guest users with consumer email accounts?

การเชิญผู้ใช้ที่เป็นผู้เยี่ยมชมที่มีบัญชีอีเมลของผู้บริโภคได้รับการสนับสนุนใน Power BIInviting guest users with consumer email accounts is supported in Power BI. ซึ่งรวมถึงโดเมน เช่น hotmail.com, outlook.com และ gmail.comThis includes domains such as hotmail.com, outlook.com and gmail.com. อย่างไรก็ตาม ผู้ใช้เหล่านั้นอาจประสบกับข้อจำกัดมากกว่าที่ผู้ใช้ที่มีบัญชีที่ทำงานหรือโรงเรียนประสบHowever, those users may experience limitations beyond what users with work or school accounts encounter.