Pianificazione dell'implementazione di Power BI: configurazione del tenant

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sull'esperienza Power BI in Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo sulla configurazione del tenant presenta aspetti importanti da conoscere sulla configurazione del tenant di Fabric, con particolare attenzione all'esperienza di Power BI. È pensato per più gruppi di destinatari:

  • Amministratori Fabric: amministratori responsabili della supervisione Fabric nell'organizzazione.
  • Amministratori di Microsoft Entra: il team responsabile della supervisione e della gestione dell'ID Microsoft Entra.

Fabric fa parte di un ecosistema Microsoft più ampio. Se l'organizzazione usa già altri servizi di sottoscrizione cloud, ad esempio Azure, Microsoft 365 o Dynamics 365, Fabric opera all'interno dello stesso tenant di Microsoft Entra. Il dominio dell'organizzazione (ad esempio contoso.com) è associato a Microsoft Entra ID. Come tutti i servizi cloud Microsoft, il tenant di Fabric si basa su Microsoft Entra ID dell'organizzazione per la gestione delle identità e degli accessi.

Suggerimento

Molte organizzazioni dispongono di un ambiente Active Directory (AD) locale sincronizzato con Microsoft Entra ID nel cloud. Questa configurazione è nota come soluzione di identità ibrida, che non rientra nell'ambito di questo articolo. Il concetto importante da comprendere è che gli utenti, i gruppi e le entità servizio devono esistere in Microsoft Entra ID per una suite di servizi basata sul cloud come Fabric. La presenza di una soluzione ibrida di gestione delle identità funziona per Fabric. È consigliabile comunicare con gli amministratori di Microsoft Entra per decidere la soluzione migliore per l'organizzazione.

Per altre informazioni sulle responsabilità di un amministratore dell'infrastruttura, vedere Amministrazione tenant.

Tenant di Microsoft Entra

La maggior parte delle organizzazioni ha un tenant di Microsoft Entra, quindi di solito è vero che un tenant di Microsoft Entra rappresenta un'organizzazione.

In genere, Microsoft Entra ID viene configurato prima dell'inizio di un'implementazione di Fabric. Tuttavia, a volte è quando si effettua il provisioning di un servizio cloud che si comprende l'importanza di Microsoft Entra ID.

Suggerimento

Poiché la maggior parte delle organizzazioni ha un tenant di Microsoft Entra, può essere difficile esplorare nuove funzionalità in modo isolato. Si potrebbe essere idonei per un tenant per sviluppatori non di produzione tramite il Microsoft 365 Developer Program; per informazioni dettagliate, vedere le domande frequenti. In alternativa, è possibile iscriversi per una versione di valutazione gratuita di 1 mese o acquistare un piano di Microsoft 365.

Tenant non gestito

Un tenant gestito ha un amministratore globale assegnato all'interno di Microsoft Entra ID. Se un tenant di Microsoft Entra non esiste per un dominio aziendale (ad esempio contoso.com), quando il primo utente dell'organizzazione si iscrive a una versione di valutazione o a un account Fabric, viene creato un tenant non gestito in Microsoft Entra ID. Un tenant non gestito è noto anche come tenant shadow o tenant creato in modalità self-service. Ha una configurazione di base, che consente al servizio cloud di funzionare senza assegnare un amministratore globale.

Per gestire, configurare e supportare correttamente Fabric, è necessario un tenant gestito. Esiste un processo che un amministratore di sistema può seguire per assumere il controllo di un tenant non gestito in modo che possa gestirlo correttamente per conto dell'organizzazione.

Suggerimento

L'amministrazione di Microsoft Entra ID è un argomento ampio e approfondito. È consigliabile assegnare persone specifiche nel reparto IT come amministratori di sistema per gestire in modo sicuro Microsoft Entra ID per l'organizzazione.

Elenco di controllo: quando si esamina il tenant di Microsoft Entra per l'uso con Fabric, le decisioni chiave e le azioni includono:

  • Acquisire il tenant:, se applicabile, avviare il processo per assumere il ruolo di un tenant non gestito.
  • Verificare che il tenant di Microsoft Entra sia gestito: verificare che gli amministratori di sistema gestiscano attivamente il tenant di Microsoft Entra.

ID tenant per utenti esterni

È necessario considerare il modo in cui gli utenti accederanno al tenant quando si dispone di utenti esterni (ad esempio clienti, partner o fornitori) o quando gli utenti interni devono accedere a un altro tenant all'esterno dell'organizzazione. Per accedere a un tenant aziendale diverso, viene usato un URL modificato.

Ogni tenant di Microsoft Entra ha un identificatore univoco globale (GUID) noto come ID tenant. In Fabric è noto come ID tenant del cliente (CTID). Il CTID viene aggiunto alla fine dell'URL del tenant. È possibile trovare il CTID nel portale di Infrastruttura aprendo la finestra di dialogo Informazioni su Microsoft Fabric. È disponibile nel menu Guida e supporto, che si trova in alto a destra nel portale di Fabric.

Conoscere il CTID è importante per gli scenari Microsoft Entra B2B. Gli URL forniti agli utenti esterni (ad esempio per visualizzare un report di Power BI) devono aggiungere il parametro CTID per accedere al tenant corretto.

Se si intende collaborare con o fornire contenuto a utenti esterni, è consigliabile configurare la personalizzazione. L'uso di un logo, di un'immagine di copertina e di un tema consente agli utenti di identificare il tenant aziendale a cui accedono.

Elenco di controllo: quando si concede agli utenti esterni l'autorizzazione per visualizzare il contenuto o quando si dispone di più tenant, le decisioni chiave e le azioni includono:

  • Includere il CTID nella documentazione utente pertinente: registrare l'URL che aggiunge l'ID tenant (CTID) nella documentazione dell'utente.
  • Configurare la personalizzazione in Fabric: nel portale di amministrazione di Fabric configurare la personalizzazione per aiutare gli utenti a identificare il tenant dell'organizzazione.

Amministratori di Microsoft Entra

Gli amministratori dell'infrastruttura devono collaborare periodicamente con gli amministratori di Microsoft Entra.

L'elenco seguente include alcuni motivi comuni per la collaborazione tra gli amministratori di Fabric e gli amministratori di Microsoft Entra.

  • Gruppi di sicurezza: è necessario creare nuovi gruppi di sicurezza per gestire correttamente le impostazioni del tenant di Fabric. Potrebbero essere necessari anche nuovi gruppi per proteggere il contenuto dell'area di lavoro o per la distribuzione del contenuto.
  • Proprietà del gruppo di sicurezza: potrebbe essere necessario assegnare un proprietario del gruppo per consentire maggiore flessibilità in merito a chi può gestire un gruppo di sicurezza. Ad esempio, potrebbe essere più efficiente consentire al Center of Excellence (COE) di gestire le appartenenze di determinati gruppi specifici dell'infrastruttura.
  • Entità servizio: potrebbe essere necessario creare una registrazione dell'app Microsoft Entra per effettuare il provisioning di un'entità servizio. L'autenticazione con un'entità servizio è una procedura consigliata quando un amministratore di Fabric vuole eseguire script automatici pianificati che estraggono dati usando le API di amministrazioneo quando incorpora contenuto in un'applicazione.
  • Utenti esterni: è necessario comprendere come vengono configurate le impostazioni per gli utenti esterni (guest) in Microsoft Entra ID. Esistono diverse impostazioni del tenant di Fabric correlate agli utenti esterni e si basano sulla configurazione di Microsoft Entra ID. Inoltre, alcune funzionalità di sicurezza per il carico di lavoro di Power BI funzionano solo quando si usa l'approccio di invito pianificato per gli utenti esterni in Microsoft Entra ID.
  • Criteri di controllo in tempo reale: è possibile scegliere di configurare criteri di controllo delle sessioni in tempo reale, che implicano l'uso sia di Microsoft Entra ID che di Microsoft Defender for Cloud Apps. Ad esempio, è possibile impedire il download di un report di Power BI quando ha un'etichetta di riservatezza specifica.

Per altre informazioni, vedere Collaborare con altri amministratori.

Elenco di controllo: quando si valuta come collaborare con gli amministratori di Microsoft Entra, le decisioni e le azioni principali includono:

  • Identificare gli amministratori di Microsoft Entra: assicurarsi di conoscere gli amministratori di Microsoft Entra per l'organizzazione. Essere pronti a lavorare con loro in base alle esigenze.
  • Coinvolgere gli amministratori di Microsoft Entra: mentre si lavora al processo di pianificazione dell'implementazione, invitare gli amministratori di Microsoft Entra a riunioni pertinenti e coinvolgerli nel processo decisionale pertinente.

Posizione per l'archiviazione dei dati

Quando viene creato un nuovo tenant, viene effettuato il provisioning delle risorse in Azure, ovvero la piattaforma di cloud computing di Microsoft. La posizione geografica diventa l'area principale per il tenant. L'area principale è nota anche come area dati predefinita.

Area home

L'area principale è importante perché:

  • Le prestazioni dei report e dei dashboard dipendono, in parte, dagli utenti che si trovano in prossimità della posizione del tenant.
  • Potrebbero esserci motivi legali o normativi per cui i dati dell'organizzazione vengono archiviati in una giurisdizione specifica.

L'area principale per il tenant dell'organizzazione è impostata sulla posizione del primo utente che effettua l'iscrizione. Se la maggior parte degli utenti si trova in un'area diversa, tale area potrebbe non essere la scelta migliore.

È possibile determinare l'area principale per il tenant aprendo la finestra di dialogo Informazioni su Microsoft Fabric nel portale di Fabric. L'area viene visualizzata accanto all'etichetta I dati vengono archiviati in.

Si potrebbe scoprire che il tenant si trova in un'area non ideale. È possibile usare la funzionalità Multi-Geo creando una capacità in un'area specifica (descritta nella sezione successiva) oppure spostarla. Per spostare il tenant in un'altra area, l'amministratore globale di Microsoft 365 deve aprire una richiesta di supporto.

La rilocazione di un tenant in un'altra area non è un processo completamente automatizzato e alcuni tempi di inattività sono previsti. Assicurarsi di prendere in considerazione i prerequisiti e le azioni necessari prima e dopo lo spostamento.

Suggerimento

Poiché è necessario molto impegno, quando si determina che è necessario uno spostamento è consigliabile farlo prima piuttosto che in un secondo momento.

Elenco di controllo: quando si considera l'area principale per l'archiviazione dei dati nel tenant, le decisioni chiave e le azioni includono:

  • Identificare l'area principale: determinare l'area principale per il tenant.
  • Avviare il processo di spostamento del tenant: se si scopre che il tenant si trova in un'area geografica non adatta (che non può essere risolta con la funzionalità Multi-Geo), cercare il processo di spostamento del tenant.

Altre aree dati specifiche

Alcune organizzazioni hanno requisiti di residenza dei dati. I requisiti di residenza dei dati includono in genere requisiti normativi o di settore per l'archiviazione dei dati in un'area geografica specifica. I requisiti di sovranità dei dati sono simili, ma più rigorosi perché i dati sono soggetti alle leggi del paese o dell'area geografica in cui vengono archiviati. Alcune organizzazioni hanno anche requisiti di localizzazione dei dati, che determinano che i dati creati all'interno di confini specifici debbano rimanere all'interno di tali confini.

I requisiti normativi, di settore o legali possono richiedere l'archiviazione di determinati dati in aree diverse da quella principale (descritta nella sezione precedente). In queste situazioni, è possibile trarre vantaggio dalla funzionalità Multi-Geo creando una capacità in un'area specifica. In questo caso, è necessario assegnare le aree di lavoro alla capacità corretta per assicurarsi che i dati dell'area di lavoro vengano archiviati nella posizione geografica desiderata.

Il supporto multi-geografico consente alle organizzazioni di:

  • Soddisfare i requisiti di residenza dei dati per i dati inattivi.
  • Migliorare la possibilità di individuare i dati vicino alla base utente.

Nota

La funzionalità Multi-Geo è disponibile con qualsiasi tipo di licenza di capacità (ad eccezione della capacità condivisa). Non è disponibile con Premium per utente (PPU) perché i dati archiviati nelle aree di lavoro assegnate a PPU vengono sempre archiviati nell'area principale (proprio come la capacità condivisa).

Elenco di controllo: quando si considerano altre aree dati specifiche per il tenant, le decisioni chiave e le azioni includono:

  • Identificare i requisiti di residenza dei dati: determinare i requisiti per la residenza dei dati. Identificare le aree appropriate e quali utenti potrebbero essere coinvolti.
  • Analizzare l'uso della funzionalità Multi-Geo: per situazioni specifiche in cui i dati devono essere in aree diverse da quella principale, esaminare l'abilitazione di Multi-Geo.

Per altre considerazioni, azioni, criteri decisionali e consigli utili in merito all’implementazione di Power BI, vedere Pianificazione dell'implementazione di Power BI.

Suggerimento

Per informazioni su come gestire un tenant di Fabric, è consigliabile usare il modulo Amministrare Microsoft Fabric.