Distribuire il contenuto di Power BI agli utenti guest esterni usando Microsoft Entra B2B

  • Articolo

Riepilogo: questo white paper tecnico descrive come distribuire contenuto agli utenti esterni all'organizzazione usando l'integrazione di Microsoft Entra ID (denominato in precedenza Azure Active Directory) business-to-business (Microsoft Entra B2B).

Redattori: Lukasz Pawlowski, Kasper de Jonge

Revisori tecnici: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabetta Olson

Nota

È possibile salvare o stampare questo white paper selezionando Stampa dal browser, quindi selezionando Salva come PDF.

Introduzione

Power BI offre alle organizzazioni una visione a 360 gradi della propria azienda e consente a tutti gli utenti di queste organizzazioni di prendere decisioni intelligenti usando i dati. Molte di queste organizzazioni hanno relazioni forti e attendibili con partner esterni, clienti e terzisti. Queste organizzazioni devono fornire accesso sicuro alle dashboard e ai report di Power BI agli utenti di tali partner esterni.

Power BI si integra con Microsoft Entra business to business (Microsoft Entra B2B) per consentire la distribuzione sicura del contenuto di Power BI agli utenti guest esterni all'organizzazione, mantenendo al tempo stesso il controllo e la governance dell'accesso ai dati interni.

Questo white paper illustra tutti i dettagli necessari per comprendere l'integrazione di Power BI con Microsoft Entra B2B. Vengono illustrati i casi d'uso più comuni, la configurazione, la gestione delle licenze e la sicurezza a livello di riga.

Scenari

Contoso è un produttore automobilistico e opera con molti fornitori diversi che lo riforniscono di tutti i componenti, i materiali e i servizi necessari per eseguire le sue operazioni di produzione. Contoso vuole semplificare la logistica della catena di approvvigionamento e i piani per l'uso di Power BI per monitorare le metriche delle prestazioni chiave della catena di approvvigionamento. Contoso vuole condividere con i partner della catena di approvvigionamento esterni l'analisi in modo sicuro e gestibile.

Contoso può abilitare le esperienze seguenti per gli utenti esterni che usano Power BI e Microsoft Entra B2B.

Condivisione ad hoc per elemento

Contoso collabora con un fornitore che costruisce i radiatori per le automobili di Contoso. Spesso è necessario ottimizzare l'affidabilità dei radiatori usando i dati di tutte le automobili di Contoso. Un analista di Contoso usa Power BI per condividere un report sull'affidabilità del radiatore con un tecnico del fornitore. Il tecnico riceve un’e-mail con un collegamento per visualizzare il report.

Come descritto in precedenza, questa condivisione ad hoc viene eseguita dagli utenti aziendali in base alle esigenze. Il collegamento inviato da Power BI all'utente esterno è un collegamento di invito a Microsoft Entra B2B. Quando l'utente esterno apre il collegamento, gli viene chiesto di unirsi all'organizzazione Microsoft Entra di Contoso come utente guest. Dopo aver accettato l'invito, il collegamento apre il report o la dashboard specifica. L'amministratore di Microsoft Entra concede il permesso di invitare utenti esterni all'organizzazione e sceglie le operazioni che gli utenti possono eseguire dopo aver accettato l'invito come descritto nella sezione Governance del presente documento. L'analista di Contoso può invitare l'utente guest solo perché l'amministratore di Microsoft Entra ha consentito l'azione e l'amministratore di Power BI ha consentito agli utenti di invitare gli utenti guest a visualizzare il contenuto nelle impostazioni del tenant di Power BI.

Invitare utenti guest in Power BI usando Microsoft Entra ID

  1. Il processo inizia con la condivisione della dashboard o di un report da parte di un utente interno di Contoso con un utente esterno. Se l'utente esterno non è già un guest nell'ID Microsoft Entra di Contoso, viene invitato. Riceve un’e-mail che include un invito all'ID Microsoft Entra di Contoso.
  2. Il destinatario accetta l'invito all'ID Microsoft Entra di Contoso e viene aggiunto come utente guest nell'ID Microsoft Entra di Contoso.
  3. Il destinatario viene quindi reindirizzato alla dashboard, al report o all'app di Power BI.

Il processo viene considerato ad hoc perché gli utenti aziendali di Contoso eseguono l'azione di invito in base alle esigenze aziendali. Ogni elemento condiviso è un singolo collegamento a cui l'utente esterno può accedere per visualizzare il contenuto.

Dopo che l'utente esterno è stato invitato ad accedere alle risorse Contoso, è possibile creare un account shadow in Contoso Microsoft Entra ID e non è necessario invitarlo di nuovo. La prima volta che prova ad accedere a una risorsa Contoso come una dashboard di Power BI, passa attraverso un processo di consenso, che riscatta l'invito. Se non completa il consenso, non può accedere ai contenuti di Contoso. In caso di problemi durante il riscatto dell'invito tramite il collegamento originale fornito, un amministratore di Microsoft Entra può inviare nuovamente un collegamento di invito specifico per il riscatto.

Condivisione pianificata per elemento

Contoso collabora con un subappaltatore per eseguire l'analisi dell'affidabilità dei radiatori. Il subappaltatore ha un team di 10 persone che devono accedere ai dati nell'ambiente Power BI di Contoso. L'amministratore di Microsoft Entra di Contoso ha il compito di invitare tutti gli utenti e gestire eventuali aggiunte/variazioni del personale al cambio del subappaltatore. L'amministratore di Microsoft Entra crea un gruppo di sicurezza per tutti i dipendenti del subappaltatore. Usando il gruppo di sicurezza, i dipendenti di Contoso possono gestire facilmente l'accesso ai report e garantire che tutto il personale subappaltatore richiesto abbia accesso a tutti i report, le dashboard e le app di Power BI necessarie. L'amministratore di Microsoft Entra può anche evitare di essere coinvolto completamente nel processo di invito delegando i diritti di invito a un dipendente attendibile di Contoso o presso il subappaltatore per garantire una gestione tempestiva del personale.

Alcune organizzazioni richiedono un maggiore controllo sul momento in cui vengono aggiunti utenti esterni, invitano molti utenti in un'organizzazione esterna o molte organizzazioni esterne. In questi casi, la condivisione pianificata può essere usata per gestire la scalabilità della condivisione, per applicare i criteri dell'organizzazione e anche per delegare i diritti di invitare e gestire utenti esterni a utenti attendibili. Microsoft Entra B2B supporta gli inviti pianificati a essere inviati direttamente dal portale di Azure da un amministratore IT o tramite PowerShell usando l'API di gestione inviti con cui un set di utenti può essere invitato in un'unica azione. Usando l'approccio degli inviti pianificati, l'organizzazione può controllare chi può invitare gli utenti e implementare i processi di approvazione. Le funzionalità avanzate di Microsoft Entra come i gruppi dinamici possono facilitare il mantenimento automatico dell'appartenenza ai gruppi di sicurezza.

Controllare quali utenti guest possono visualizzare il contenuto

  1. Il processo inizia con un amministratore IT che invita l'utente guest manualmente o tramite l'API fornita da Microsoft Entra ID.
  2. L'utente accetta l'invito all'organizzazione.
  3. Dopo che l'utente ha accettato l'invito, un utente in Power BI può condividere un report, una dashboard con l'utente esterno o un gruppo di sicurezza in cui si trovano. Analogamente alla normale condivisione in Power BI, l'utente esterno riceve un'e-mail con il collegamento verso l'elemento.
  4. Quando l'utente esterno accede al collegamento, l'autenticazione nella directory viene passata all'ID Microsoft Entra di Contoso e viene usata per ottenere l'accesso al contenuto di Power BI.

Condivisione ad hoc o pianificata di App Power BI

Contoso ha un set di report e dashboard che deve condividere con uno o più fornitori. Per garantire che tutti gli utenti esterni necessari abbiano accesso a questo contenuto, vengono inseriti in un pacchetto come app di Power BI. Gli utenti esterni vengono aggiunti direttamente all'elenco di accesso delle app o tramite gruppi di sicurezza. Un utente di Contoso invia quindi l'URL dell'app a tutti gli utenti esterni, ad esempio in un'e-mail. Quando gli utenti esterni aprono il collegamento, visualizzano tutto il contenuto in un'unica esperienza facile da esplorare.

L'uso di un'app Power BI facilita la compilazione di un portale BI per i fornitori. Un singolo elenco di accesso controlla l'accesso a tutti i contenuti necessari riducendo le perdite di tempo per controllare e impostare le autorizzazioni a livello di elemento. Microsoft Entra B2B mantiene l'accesso alla sicurezza usando l'identità nativa del fornitore, in modo che gli utenti non necessitino di credenziali di accesso aggiuntive. Se si usano inviti pianificati con gruppi di sicurezza, la gestione dell'accesso all'app quando il personale ruota dentro o fuori dal progetto è semplificata. L'appartenenza ai gruppi di sicurezza manualmente o tramite gruppi dinamici, in modo che tutti gli utenti esterni di un fornitore vengano aggiunti automaticamente al gruppo di sicurezza appropriato.

Controllare il contenuto con Microsoft Entra ID

  1. Il processo inizia dall'utente invitato all'organizzazione Microsoft Entra di Contoso tramite il portale di Azure o di PowerShell.
  2. L'utente può essere aggiunto a un gruppo di utenti in Microsoft Entra ID. È possibile usare un gruppo di utenti statico o dinamico, ma i gruppi dinamici consentono di ridurre il lavoro manuale.
  3. Agli utenti esterni viene concesso l'accesso all'app Power BI tramite il gruppo di utenti. L'URL dell'app deve essere inviato direttamente all'utente esterno o inserito in un sito a cui ha accesso. Power BI fa il massimo per inviare un'e-mail con il collegamento dell'app agli utenti esterni, ma quando si usano gruppi di utenti la cui adesione può cambiare, Power BI non è in grado di inviarla a tutti gli utenti esterni gestiti tramite gruppi di utenti.
  4. Quando l'utente esterno accede all'URL dell'app Power BI, viene autenticato dall'ID Microsoft Entra di Contoso, l'app viene installata per l'utente e l'utente può visualizzare tutti i report e le dashboard contenute all'interno dell'app.

Le app hanno anche una funzionalità esclusiva che consente agli autori di app di installare automaticamente l'applicazione per l'utente affinché sia disponibile quando questo effettua l'accesso. Questa funzionalità viene installata automaticamente solo per gli utenti esterni che fanno già parte dell'organizzazione di Contoso al momento della pubblicazione o dell'aggiornamento dell'applicazione. Pertanto, è preferibile usarla con l'approccio degli inviti pianificati e dipende dalla pubblicazione o dall'aggiornamento dell'app dopo che gli utenti sono stati aggiunti all'ID Microsoft Entra di Contoso. Gli utenti esterni possono sempre installare l'app usando il collegamento all'app.

Commenti e sottoscrizione a contenuti in tutte le organizzazioni

Mentre Contoso continua a operare con i suoi subappaltatori o fornitori, i tecnici esterni devono lavorare a stretto contatto con gli analisti di Contoso. Power BI offre diverse funzionalità di collaborazione che consentono agli utenti di comunicare il contenuto che possono usare. I commenti sulla dashboard (e presto anche sui report) consentono agli utenti di discutere i punti dati visualizzati e di comunicare con gli autori di report per porre domande.

Attualmente, gli utenti guest esterni possono partecipare lasciando commenti e leggendo le risposte. Tuttavia, a differenza degli utenti interni, gli utenti guest non possono essere @mentioned e non ricevono notifiche sulla ricezione dei commenti. Gli utenti guest possono usare la funzionalità sottoscrizioni all'interno di Power BI per sottoscrivere autonomamente un report o una dashboard. Per ulteriori informazioni, leggere iscrizioni tramite e-mail per report e dashboard nel servizio Power BI.

Accedere al contenuto nelle app Power BI per dispositivi mobili

Quando l'utente guest apre il collegamento al report o alla dashboard nel dispositivo mobile, il contenuto verrà aperto nelle app power BI native nel dispositivo, se installate. L'utente guest sarà quindi in grado di spostarsi tra il contenuto condiviso con loro nel tenant esterno e tornare al proprio contenuto dal tenant principale. Per ulteriori informazioni sull'accesso al contenuto condiviso con l'utente da un'organizzazione esterna tramite l'app Power BI per dispositivi mobili, vedere Visualizzare il contenuto di Power BI condiviso con l'utente da un'organizzazione esterna.

Relazioni organizzative con Power BI e Microsoft Entra B2B

Quando tutti gli utenti di Power BI sono interni all'organizzazione, non è necessario usare Microsoft Entra B2B. Tuttavia, quando due o più organizzazioni desiderano collaborare su dati e approfondimenti, il supporto di Power BI per Microsoft Entra B2B consente di farlo in modo semplice e conveniente.

Di seguito sono riportate le strutture organizzative tipicamente riscontrate che si prestano bene alla collaborazione tra organizzazioni in stile Microsoft Entra B2B in Power BI. Microsoft Entra B2B funziona bene nella maggior parte dei casi, ma in alcune situazioni vale la pena prendere in considerazione gli approcci alternativi comuni trattati alla fine di questo documento.

Caso 1: Collaborazione diretta tra organizzazioni

La relazione di Contoso con il suo fornitore di radiatori è un esempio di collaborazione diretta tra organizzazioni. Poiché ci sono relativamente pochi utenti di Contoso e il suo fornitore che hanno bisogno di accedere alle informazioni sull'affidabilità del radiatore, l'uso della condivisione esterna basata su Microsoft Entra B2B è ideale. È facile da usare e semplice da amministrare. Si tratta anche di un modello comune nei servizi di consulenza in cui un consulente potrebbe dover creare contenuto per un'organizzazione.

Condividere tra organizzazioni

In genere, questa condivisione viene eseguita inizialmente usando la condivisione ad hoc per elemento. Tuttavia, man mano che i team aumentano o si approfondiscono le relazioni, l'approccio di condivisione pianificata per elemento diventa il metodo preferito per ridurre il sovraccarico delle spese di gestione. Inoltre, anche la condivisione ad hoc o pianificata di app Power BI, commenti e sottoscrizione al contenuto tra le organizzazioni, l'accesso al contenuto nelle app per dispositivi mobili possono entrare in gioco. È importante notare che se gli utenti di entrambe le organizzazioni dispongono di licenze Power BI Pro nelle rispettive organizzazioni, possono utilizzare tali licenze Pro negli ambienti Power BI dell'altra organizzazione. Ciò offre licenze vantaggiose perché l'organizzazione che invita potrebbe non dover pagare per una licenza di Power BI Pro per gli utenti esterni. Questo argomento viene descritto in modo più dettagliato nella sezione Licenze più avanti in questo documento.

Caso 2: Società madre e società controllate o affiliate

Alcune strutture dell'organizzazione sono più complesse, tra cui società controllate parzialmente o totalmente, società affiliate o relazioni tra provider di servizi gestiti. Queste organizzazioni hanno una società madre, come ad esempio una holding, ma le organizzazioni sottostanti operano in modo semi-autonomo, a volte a causa di requisiti regionali diversi. In questo modo ogni organizzazione ha un proprio ambiente Microsoft Entra e tenant di Power BI separati.

Lavorare con le società controllate

In questa struttura, l'organizzazione madre deve in genere distribuire informazioni dettagliate standardizzate alle sue controllate. In genere, questa condivisione viene eseguita usando l'approccio ad hoc o pianificato di app Power BI, come illustrato nell'immagine seguente, poiché consente la distribuzione di contenuti autorevoli standardizzati a un pubblico ampio. In pratica viene usata una combinazione di tutti gli scenari menzionati in precedenza in questo documento.

Combinazione di scenari

Di seguito è riportato il processo seguente:

  1. Gli utenti di ogni controllata vengono invitati all'ID Microsoft Entra di Contoso
  2. L'app Power BI viene quindi pubblicata per concedere a questi utenti l'accesso ai dati necessari
  3. Infine, gli utenti aprono l'app tramite un collegamento che hanno ricevuto per visualizzare i report

Diverse sfide importanti sono affrontate dalle organizzazioni in questa struttura:

  • Come distribuire i collegamenti verso il contenuto di Power BI nell'organizzazione madre
  • Come consentire agli utenti sussidiari di accedere all'origine dati ospitata dall'organizzazione madre

Distribuzione di collegamenti verso il contenuto di Power BI nell'organizzazione madre

Tre approcci vengono comunemente usati per distribuire i collegamenti verso il contenuto. Il primo e il più semplice consiste nell'inviare il collegamento all'app agli utenti necessari o inserirlo in un sito di SharePoint Online da cui può essere aperto. Gli utenti possono quindi aggiungere un segnalibro al collegamento nei browser per un accesso più rapido ai dati necessari.

Il secondo approccio è quello secondo il quale l'organizzazione madre consente agli utenti delle controllate di accedere a Power BI e controlla che possano accedere tramite l'autorizzazione. In questo modo si accede a Power BI Home, dove l'utente della controllata vede un elenco completo dei contenuti condivisi nel tenant dell'organizzazione madre. L'URL dell'ambiente Power BI dell'organizzazione madre viene quindi fornito agli utenti delle società controllate.

L'approccio finale usa un'app Power BI creata all'interno del tenant di Power BI per ogni società controllata. L'app Power BI include una dashboard con riquadri configurati con l'opzione collegamento esterno. Quando l'utente preme il riquadro, viene condotto al report, alla dashboard o all'app appropriata nella Power BI dell'organizzazione madre. Questo approccio ha l'ulteriore vantaggio che l'app può essere installata automaticamente per tutti gli utenti della controllata ed è disponibile per loro ogni volta che accedono al loro ambiente Power BI. Un altro vantaggio di questo approccio è che funziona bene con le app Power BI per dispositivi mobili che possono aprire il collegamento in modo nativo. È anche possibile combinare questi due approcci per consentire un passaggio più semplice tra gli ambienti di Power BI.

Consentire agli utenti controllati di accedere alle fonti dei dati ospitate dall'organizzazione madre

Spesso gli analisti di una controllata devono creare analisi personalizzate usando i dati forniti dall'organizzazione madre. In questo caso, in genere le fonti dati cloud vengono usate per risolvere la questione.

Il primo approccio usa Azure Analysis Services per creare un data warehouse di livello aziendale che soddisfi le esigenze degli analisti della società madre e delle sue controllate, come illustrato nell'immagine seguente. Contoso può ospitare i dati e usare funzionalità come la sicurezza a livello di riga per garantire che gli utenti di ogni controllata possano accedere solo ai loro dati. Gli analisti di ogni organizzazione possono accedere al data warehouse tramite Power BI Desktop e pubblicare le analisi risultanti nei rispettivi tenant di Power BI.

Modalità di condivisione con i tenant di Power BI

Il secondo approccio usa database SQL di Azure per creare un data warehouse relazionale che fornisca l'accesso ai dati. Questo approccio funziona in modo analogo all'approccio di Azure Analysis Services, anche se alcune funzionalità come la sicurezza a livello di riga possono essere più difficili da distribuire e gestire tra le controllate.

È possibile utilizzare anche approcci più sofisticati, tuttavia, quelli di cui sopra sono di gran lunga i più comuni.

Caso 3: Ambiente condiviso tra partner

Contoso può stringere una partnership con un concorrente per costruire congiuntamente un'auto su una linea di assemblaggio condivisa, ma per distribuire il veicolo con marchi diversi o in regioni diverse. Ciò richiede un'ampia collaborazione e la coproprietà dei dati, dell'intelligence e dell'analisi in tutte le organizzazioni. Questa struttura è comune anche nel settore dei servizi di consulenza in cui un team di consulenti può eseguire analisi basate su progetti per un cliente.

Ambiente condiviso tra partner

In pratica, come illustrato nell'immagine seguente, queste strutture sono complesse e richiedono la gestione del personale. Per essere efficaci, le organizzazioni possono riutilizzare le licenze di Power BI Pro acquistate per i rispettivi tenant di Power BI.

Licenze e contenuto dell'organizzazione condivisa

Per stabilire un tenant di Power BI condiviso, è necessario creare un ID Microsoft Entra e deve essere acquistato almeno un account utente di Power BI Pro per un utente in tale tenant. Questo utente invita gli utenti necessari all'organizzazione condivisa. In particolare, in questo scenario gli utenti di Contoso vengono considerati come utenti esterni quando operano all'interno di Power BI dell'organizzazione condivisa.

Passaggi del processo:

  1. L'organizzazione condivisa viene stabilita come nuovo ID Microsoft Entra e nel nuovo tenant viene creato almeno un account utente. A tale utente deve essere assegnata una licenza di Power BI Pro.
  2. Questo utente stabilisce quindi un tenant di Power BI e invita gli utenti richiesti da Contoso e dall'organizzazione partner. L'utente stabilisce anche tutti gli asset di dati condivisi, come ad esempio Azure Analysis Services. Contoso e gli utenti del partner possono accedere a Power BI dell'organizzazione condivisa come utenti guest. In genere, tutti gli asset condivisi vengono archiviati e sono accessibili dall'organizzazione condivisa.
  3. A seconda del modo in cui le parti accettano di collaborare, è possibile che ogni organizzazione sviluppi i propri dati e le proprie analisi usando risorse di data warehouse condivise. Possono distribuirli ai rispettivi utenti interni usando i tenant di Power BI interni.

Caso 4: Distribuzione a centinaia o migliaia di partner esterni

Avendo Contoso creato un report sull'affidabilità del radiatore per un fornitore, ora desidera creare una serie di report standardizzati per centinaia di fornitori. Ciò consente a Contoso di garantire che tutti i fornitori dispongano dell'analisi necessaria per apportare miglioramenti o per correggere i difetti di produzione.

Distribuzione a molti partner

Quando un'organizzazione deve distribuire dati e informazioni dettagliate standardizzate a molti utenti/organizzazioni esterni, può usare lo scenario ad hoc o pianificato di condivisione di app Power BI per creare un portale BI rapidamente e senza costi di sviluppo ingenti. Il processo di costruzione di un portale di questo tipo con un'app Power BI è illustrato nel case study: Creazione di un portale BI con Power BI + Microsoft Entra B2B - Istruzioni dettagliate più avanti in questo documento.

Una variante comune di questo caso è quando un'organizzazione tenta di condividere informazioni dettagliate con i consumatori, soprattutto quando si vuole usare Azure Active Directory B2C con Power BI. Power BI non supporta in modo nativo Azure Active Directory B2C. Se si valutano le opzioni per questo caso, è consigliabile usare l'opzione alternativa 2 nell'approccio alternativo comune nella sezione più avanti in questo documento.

Case study: Creazione di un portale BI con Power BI + Microsoft Entra B2B - Istruzioni dettagliate

L'integrazione di Power BI con Microsoft Entra B2B offre a Contoso un modo semplice e senza problemi per fornire agli utenti guest l'accesso sicuro al portale BI. Contoso può configurare questa operazione con tre passaggi:

Creazione di un portale

  1. Creare un portale BI in Power BI

    La prima attività per Contoso consiste nel creare il portale BI in Power BI. Il portale BI di Contoso sarà costituito da una raccolta di dashboard e report creati appositamente che verranno resi disponibili a molti utenti interni e guest. Il modo consigliato per eseguire questa operazione in Power BI consiste nel creare un'app Power BI. Altre informazioni sulle app in Power BI.

  • Il team BI di Contoso crea un'area di lavoro in Power BI

    area di lavoro

  • Altri autori vengono aggiunti all'area di lavoro

    Aggiungere autori

  • Il contenuto viene creato all'interno dell'area di lavoro

    Creare contenuto all'interno dell'area di lavoro

    Ora che il contenuto viene creato in un'area di lavoro, Contoso è pronto per invitare gli utenti guest nelle organizzazioni partner a utilizzare questo contenuto.

  1. Invitare gli utenti guest

    È possibile invitare gli utenti guest nel portale BI in Power BI in due modi:

    • Inviti pianificati
    • Inviti ad hoc

    Inviti pianificati

    In questo approccio Contoso invita gli utenti guest a Microsoft Entra in anticipo e poi distribuisce loro il contenuto di Power BI. Contoso può invitare utenti guest dal portale di Azure o tramite PowerShell. Ecco i passaggi per invitare gli utenti guest dal portale di Azure:

    • L'amministratore di Microsoft Entra di Contoso passa al portale di Azure>di Microsoft Entra ID>Utenti>Tutti gli utenti>Nuovo utente guest

    Utente guest

    • Aggiungere un messaggio di invito per gli utenti guest e selezionare Invita

    Aggiungi invito

    Nota

    Per invitare gli utenti guest dal portale di Azure, è necessario un amministratore di Microsoft Entra per il tenant.

    Se Contoso vuole invitare molti utenti guest, può farlo usando PowerShell. L'amministratore di Microsoft Entra di Contoso archivia gli indirizzi e-mail di tutti gli utenti guest in un file CSV. Ecco il codice di collaborazione B2B di Microsoft Entra e gli esempi e le istruzioni di PowerShell.

    Dopo l'invito, gli utenti guest ricevono un'e-mail con il collegamento di invito.

    Collegamento di invito

    Dopo che gli utenti guest selezionano il collegamento, possono accedere al contenuto nel tenant Di Contoso Microsoft Entra.

    Nota

    È possibile modificare il layout dell'e-mail di invito usando la funzionalità di personalizzazione di Microsoft Entra ID, come descritto qui.

    Inviti ad hoc

    Cosa succede se Contoso non conosce tutti gli utenti guest che vuole invitare in anticipo? In alternativa, cosa accade se l'analista di Contoso che ha creato il portale BI vuole distribuire il contenuto agli utenti guest? Questo scenario è supportato anche in Power BI con inviti ad hoc.

    L'analista può semplicemente aggiungere gli utenti esterni all'elenco di accesso dell'app durante la pubblicazione. Gli utenti guest ricevono un invito e, una volta accettato, vengono reindirizzati automaticamente al contenuto di Power BI.

    Aggiungi utente esterno

    Nota

    Gli inviti sono necessari solo la prima volta che un utente esterno viene invitato nell'organizzazione.

  2. Distribuisci contenuto

    Ora che il team BI di Contoso ha creato il portale BI e gli utenti guest invitati, può distribuire il portale agli utenti finali concedendo agli utenti guest l'accesso all'app e pubblicandolo. Power BI esegue il completamento automatico dei nomi degli utenti guest aggiunti in precedenza al tenant Contoso. A questo punto è anche possibile aggiungere inviti ad hoc ad altri utenti guest.

    Nota

    Se si usano gruppi di sicurezza per gestire l'accesso all'app per gli utenti esterni, usare l'approccio Inviti pianificati e condividere il collegamento all'app direttamente con ogni utente esterno che deve accedervi. In caso contrario, l'utente esterno potrebbe non essere in grado di installare o visualizzare il contenuto dall'interno dell'app._

    Gli utenti guest ricevono un'email con un collegamento all'app.

    Collegamento di invito tramite e-mail

    Facendo clic su questo collegamento, agli utenti guest viene chiesto di eseguire l'autenticazione con l'identità dell'organizzazione.

    Sign in page

    Dopo l'autenticazione, vengono reindirizzati all'app BI di Contoso.

    Vedere contenuti condivisi

    Gli utenti guest possono accedere successivamente all'app contoso facendo clic sul collegamento nell'e-mail o inserendo un segnalibro nel collegamento. Contoso può anche agevolare gli utenti guest aggiungendo questo collegamento a qualsiasi portale extranet esistente già usato dagli utenti guest.

  3. Passaggi successivi

    Usando un'app Power BI e Microsoft Entra B2B, Contoso è stata in grado di creare rapidamente un portale BI per i suoi fornitori senza codice. Ciò semplifica notevolmente la distribuzione di analisi standardizzate a tutti i fornitori che ne hanno bisogno.

    Mentre l'esempio ha mostrato come un singolo report comune possa essere distribuito tra i fornitori, Power BI può andare molto oltre. Per garantire che ogni partner veda solo i dati rilevanti per se stessi, la sicurezza a livello di riga può essere aggiunta facilmente al report e al modello di dati. La sezione Sicurezza dei dati per i partner esterni più avanti in questo documento descrive in dettaglio questo processo.

    Spesso i singoli report e dashboard devono essere incorporati in un portale esistente. Questa operazione può essere eseguita anche riutilizzando molte delle tecniche illustrate nell'esempio. In queste situazioni, tuttavia, può essere più semplice incorporare report o dashboard direttamente da un'area di lavoro. Il processo per l'invito e l'assegnazione dell'autorizzazione di sicurezza agli utenti necessari rimangono invariati.

In background: in che modo Lucy da Fornitore 1 è in grado di accedere al contenuto di Power BI dal tenant di Contoso?

Ora che è stato illustrato in che modo Contoso è in grado di distribuire facilmente il contenuto di Power BI agli utenti guest nelle organizzazioni partner, si esaminerà il funzionamento di questo approccio.

Quando Contoso ha invitato lucy@supplier1.com alla directory, Microsoft Entra ID crea un collegamento tra Lucy@supplier1.com e il tenant di Contoso Microsoft Entra. Questo collegamento consente a Microsoft Entra ID di sapere che Lucy@supplier1.com può accedere al contenuto nel tenant contoso.

Quando Lucy tenta di accedere all'app Power BI di Contoso, Microsoft Entra ID verifica che Lucy possa accedere al tenant Contoso e quindi fornisce a Power BI un token che indica che Lucy è autenticato per accedere al contenuto nel tenant Contoso. Power BI usa questo token per autorizzare e accertarsi che Lucy abbia accesso all'app Power BI di Contoso.

Verifica e autorizzazione

L'integrazione di Power BI con Microsoft Entra B2B funziona con tutti gli indirizzi di posta elettronica aziendali. Se l'utente non ha un'identità di Microsoft Entra, potrebbe essere richiesto di crearne una. L'immagine seguente mostra il flusso dettagliato:

Diagramma di flusso di integrazione

È importante riconoscere che l'account Microsoft Entra verrà usato o creato nella parte esterna dell'ID Microsoft Entra, in modo che Lucy possa usare il proprio nome utente e password e le credenziali smetteranno automaticamente di lavorare in altri tenant ogni volta che Lucy lascia l'azienda quando l'organizzazione usa anche Microsoft Entra ID.

Licenze

Contoso può scegliere uno dei tre approcci per concedere licenze agli utenti guest dai fornitori e dalle organizzazioni partner per avere accesso al contenuto di Power BI.

Nota

Il livello gratuito di Microsoft Entra B2B è sufficiente per usare Power BI con Microsoft Entra B2B. Alcune funzionalità avanzate di Microsoft Entra B2B come i gruppi dinamici richiedono licenze aggiuntive. Per ulteriori informazioni, vedere la documentazione di Microsoft Entra B2B.

Approccio 1: Contoso usa Power BI Premium

Con questo approccio, Contoso acquista la capacità di Power BI Premium e assegna il contenuto del portale BI a tale capacità. In questo modo gli utenti guest delle organizzazioni partner possono accedere all'app Power BI di Contoso senza alcuna licenza di Power BI.

Gli utenti esterni sono soggetti anche e soltanto all'utilizzo delle esperienze offerte agli utenti "Gratuiti" in Power BI quando usano contenuti all'interno di Power BI Premium.

Contoso può anche sfruttare altre funzionalità Premium di Power BI per le app, come ad esempio aggiornamenti più frequenti, capacità e modelli di grandi dimensioni.

Funzionalità aggiuntive

Approccio 2: Contoso assegna licenze di Power BI Pro agli utenti guest

Con questo approccio, Contoso assegna licenze pro agli utenti guest delle organizzazioni partner. Questa operazione può essere eseguita dall'interfaccia di amministrazione di Microsoft 365 di Contoso. In questo modo gli utenti guest delle organizzazioni partner possono accedere all'app Power BI di Contoso senza acquistare una licenza. Questo può essere appropriato per la condivisione con utenti esterni la cui organizzazione non ha ancora adottato Power BI.

Nota

La licenza Pro di Contoso si applica agli utenti guest solo quando accedono al contenuto nel tenant Contoso. Le licenze Pro consentono l'accesso al contenuto che non si trova in una capacità Power BI Premium.

Informazioni sulla licenza

Approccio 3: Gli utenti guest usano la propria licenza Power BI Pro

Con questo approccio, Fornitore 1 assegna una licenza di Power BI Pro a Lucy. Possono quindi accedere all'app Power BI di Contoso con questa licenza. Poiché Lucy può usare la licenza Pro dalla propria organizzazione quando accede a un ambiente Power BI esterno, questo approccio viene talvolta definito usa la tua licenza (BYOL). Se entrambe le organizzazioni usano Power BI, questo offre licenze vantaggiose per la soluzione di analisi complessiva e riduce al minimo il sovraccarico di assegnazione delle licenze agli utenti esterni.

Nota

La licenza pro assegnata a Lucy da Fornitore 1 si applica a qualsiasi tenant di Power BI in cui Lucy è un utente guest. Le licenze Pro consentono l'accesso al contenuto che non si trova in una capacità Power BI Premium.

Requisiti di licenza Pro

Sicurezza dei dati per partner esterni

In genere, quando si lavora con più fornitori esterni, Contoso deve accertarsi che ogni fornitore veda i dati relativi esclusivamente ai propri prodotti. La sicurezza basata sull'utente e la sicurezza dinamica a livello di riga semplificano questa operazione con Power BI.

Sicurezza basata sui ruoli

Una delle funzionalità più potenti di Power BI è la sicurezza a livello di riga. Questa funzionalità consente a Contoso di creare un singolo report e un modello semantico (denominato in precedenza set di dati) ma di applicare regole di sicurezza diverse per ogni utente. Per una spiegazione approfondita, vedere Sicurezza a livello di riga (RLS).

L'integrazione di Power BI con Microsoft Entra B2B consente a Contoso di assegnare le regole di sicurezza a livello di riga agli utenti guest non appena vengono invitati al tenant Contoso. Come si è visto in precedenza, Contoso può aggiungere utenti guest tramite inviti pianificati o ad hoc. Se Contoso vuole applicare la sicurezza a livello di riga, è fortemente consigliabile usare inviti pianificati per aggiungere gli utenti guest in anticipo e assegnarli ai ruoli di sicurezza prima di condividere il contenuto. Se Contoso usa invece inviti ad hoc, potrebbe verificarsi un breve periodo di tempo in cui gli utenti guest non potranno visualizzare i dati.

Nota

Questo ritardo nell'accesso ai dati protetti dalla sicurezza a livello di riga quando si usano inviti ad hoc può comportare richieste di supporto al team IT perché gli utenti visualizzeranno report o dashboard vuoti o interrotti all'apertura di un collegamento di condivisione nell'e-mail ricevuta. È pertanto consigliabile usare gli inviti pianificati in questo scenario.

Di seguito viene illustrato un esempio.

Come accennato in precedenza, Contoso ha fornitori in tutto il mondo e vuole accertarsi che gli utenti delle organizzazioni dei fornitori ottengano informazioni dettagliate dai dati soltanto dal proprio territorio. Tuttavia, gli utenti di Contoso possono accedere a tutti i dati. Anziché creare diversi report, Contoso crea un singolo report e filtra i dati in base all'utente che lo visualizza.

Contenuto condiviso

Per accertarsi che Contoso possa filtrare i dati in base a chi si connette, vengono creati due ruoli in Power BI Desktop. Uno per filtrare tutti i dati dal SalesTerritory "Europa" e un altro da "America del Nord".

Gestione dei ruoli

Ogni volta che i ruoli vengono definiti nel report, un utente deve essere assegnato a un ruolo specifico per ottenere l'accesso a tutti i dati. L'assegnazione dei ruoli avviene all'interno del servizio Power BI (sicurezza dei >modelli semantici ).

Configurazione della sicurezza

Verrà aperta una pagina in cui il team BI di Contoso può visualizzare i due ruoli creati. Adesso il team BI di Contoso può assegnare gli utenti ai ruoli.

Sicurezza a livello di riga

Nell'esempio, Contoso aggiunge un utente in un'organizzazione partner con e-mail admin@fabrikam.com nel ruolo Europa:

Impostazioni di sicurezza a livello di riga

Quando questo viene risolto da Microsoft Entra ID, Contoso può visualizzare il nome che compare nella finestra pronto per essere aggiunto:

Mostra ruoli

Ora, quando questo utente apre l'app che è stata condivisa con lui, visualizza soltanto un report con dati provenienti dall'Europa:

Contenuto della vista

Sicurezza a livello di riga dinamica

Un altro argomento interessante consiste nel vedere come funziona la sicurezza a livello di riga dinamica con Microsoft Entra B2B.

In breve, la sicurezza a livello di riga dinamica funziona filtrando i dati nel modello in base al nome utente della persona che si connette a Power BI. Anziché aggiungere più ruoli per i gruppi di utenti, è possibile definire gli utenti nel modello. Il modello non verrà descritto qui nel dettaglio. Kasper de Jong offre una scrittura dettagliata su tutti i tipi di sicurezza a livello di riga nel foglio informativo sulla sicurezza dinamica di Power BI Desktop e inquesto white paper.

Di seguito è riportato un piccolo esempio: Contoso ha un semplice report sulle vendite per gruppi:

Contenuto di esempio

Ora questo report deve essere condiviso con due utenti guest e un utente interno: l'utente interno può visualizzare tutto, ma gli utenti guest possono visualizzare solo i gruppi a cui hanno accesso. Ciò significa che è necessario filtrare i dati solo per gli utenti guest. Per filtrare i dati in modo appropriato, Contoso usa il modello sicurezza a livello di riga dinamica, come descritto nel white paper e nel post del blog. Ciò significa che Contoso aggiunge i nomi utente ai dati stessi:

Visualizzare gli utenti della sicurezza a livello di riga per i dati stessi

Contoso crea quindi il modello di dati corretto che filtra i dati in modo appropriato con le relazioni corrette:

Compaiono i dati appropriati

Per filtrare automaticamente i dati in base all'utente connesso, Contoso deve creare un ruolo che passa all'utente che si connette. In questo caso, Contoso crea due ruoli: il primo è il "securityrole" che filtra la tabella Users con il nome utente corrente dell'utente connesso a Power BI (questo avviene anche per gli utenti guest di Microsoft Entra B2B).

Gestire i ruoli

Contoso crea anche un altro "AllRole" per gli utenti interni che possono visualizzare tutti gli elementi, ovvero questo ruolo non ha alcun predicato di sicurezza.

Dopo aver caricato il file di Power BI Desktop nel servizio, Contoso può assegnare gli utenti guest al "SecurityRole" e gli utenti interni all'"AllRole"

Ora, quando gli utenti guest aprono il report, visualizzano solo le vendite del gruppo A:

Solo dal gruppo A

Nella matrice a destra è possibile visualizzare il risultato della funzione USERNAME() e USERPRINCIPALNAME() che restituiscono entrambi l'indirizzo di posta elettronica degli utenti guest.

Ora l'utente interno ottiene per visualizzare tutti i dati:

Tutti i dati mostrati

Come si può notare, la sicurezza a livello di riga dinamica funziona sia con utenti interni sia con utenti guest.

Nota

Questo scenario funziona anche quando si usa un modello in Azure Analysis Services. In genere il servizio Azure Analysis Services è connesso allo stesso ID Microsoft Entra di Power BI. In tal caso, Azure Analysis Services conosce anche gli utenti guest invitati tramite Microsoft Entra B2B.

Connessione a origini dati locali

Power BI offre la possibilità per Contoso di usare fonti dati locali come SQL Server Analysis Services o SQL Server direttamente grazie al gateway dati locale. È anche possibile accedere a tali fonti dati con le stesse credenziali usate con Power BI.

Nota

Quando si installa un gateway per connettersi al tenant di Power BI, è necessario usare un utente creato all'interno del tenant. Gli utenti esterni non possono installare un gateway e connetterlo al tenant._

Per gli utenti esterni, questo potrebbe essere più complicato perché gli utenti esterni in genere non sono noti all'Active Directory (AD) locale. Power BI offre una soluzione alternativa a questo problema consentendo agli amministratori di Contoso di eseguire il mapping dei nomi utente esterni ai nomi utente interni, come descritto in Gestire l'origine dati - Analysis Services. Ad esempio, è possibile eseguire il mapping di lucy@supplier1.com a lucy_supplier1_com#EXT@contoso.com.

Mapping dei nomi utente

Questo metodo è corretto se Contoso ha solo pochi utenti o se Contoso può eseguire il mapping di tutti gli utenti esterni a un singolo account interno. Per scenari più complessi, in cui ogni utente necessita delle proprie credenziali, esiste un approccio più avanzato che usa attributi di Active Directory personalizzati per eseguire il mapping, come descritto in Gestire l'origine dati - Analysis Services. In questo modo, l'amministratore di Contoso può definire un mapping per ogni utente nell'ID Microsoft Entra (anche utenti B2B esterni). Questi attributi possono essere impostati tramite il modello a oggetti di Active Directory usando script o codice in modo che Contoso possa automatizzare completamente il mapping in caso di invito o con cadenza pianificata.

Governance

Quando si usa la condivisione Microsoft Entra B2B, l'amministratore di Microsoft Entra controlla gli aspetti dell'esperienza dell'utente esterno. Queste impostazioni vengono controllate nella pagina Impostazioni collaborazione esterna all'interno delle impostazioni di Microsoft Entra ID per il tenant.

Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.

Nota

Per impostazione predefinita, l'opzione Autorizzazioni utenti guest è limitata è impostata su Sì, quindi gli utenti guest all'interno di Power BI hanno esperienze limitate, in particolare la condivisione in cui le interfacce utente di selezione utenti non funzionano per tali utenti. È importante collaborare con l'amministratore di Microsoft Entra per impostarla su No, come illustrato di seguito, per garantire un'esperienza ottimale.

Impostazioni di collaborazione esterna

Controllare gli inviti guest

Gli amministratori di Power BI possono controllare la condivisione esterna solo per Power BI visitando il portale di amministrazione di Power BI. Ma gli amministratori possono anche controllare la condivisione esterna con vari criteri di Microsoft Entra. Questi criteri consentono agli amministratori di:

  • Disattivare gli inviti da parte degli utenti finali
  • Solo gli amministratori e gli utenti nel ruolo Mittente dell'invito guest possono inviare inviti
  • Gli amministratori, il ruolo Mittente dell'invito guest e i membri possono inviare inviti
  • Possono inviare inviti tutti gli utenti, inclusi gli utenti guest

Per ulteriori informazioni su questi criteri, vedere Delegare gli inviti per la collaborazione B2B di Microsoft Entra.

Tutte le azioni di Power BI da parte di utenti esterni vengono controllate anche nel nostro portale di controllo.

Criteri di accesso condizionale per gli utenti guest

Contoso può applicare criteri di accesso condizionale per gli utenti guest che accedono al contenuto dal tenant Contoso. È possibile trovare istruzioni dettagliate in Accesso condizionale per gli utenti di collaborazione B2B.

Approcci alternativi comuni

Anche se Microsoft Entra B2B agevola la condivisione di dati e report tra le organizzazioni, esistono diversi altri approcci comunemente usati che in alcuni casi possono essere superiori.

Opzione alternativa 1: Creare identità duplicate per gli utenti partner

Con questa opzione, Contoso doveva creare manualmente identità duplicate per ogni utente partner nel tenant Contoso, come illustrato nell'immagine seguente. All'interno di Power BI, Contoso può quindi condividere con le identità assegnate i report, le dashboard o le app appropriate.

Impostazione di mapping e nomi appropriati

Motivi per scegliere questa alternativa:

  • Poiché l'identità dell'utente è controllata dall'organizzazione, qualsiasi servizio correlato, come ad esempio posta elettronica, SharePoint e così via, rientra nel controllo dell'organizzazione. Gli amministratori IT possono reimpostare le password, disabilitare l'accesso agli account o controllare le attività in questi servizi.
  • Gli utenti che usano account personali per la propria azienda spesso hanno accesso limitato a determinati servizi, pertanto potrebbe essere necessario un account aziendale.
  • Alcuni servizi funzionano solo per gli utenti dell'organizzazione. Ad esempio, l'uso di Intune per gestire il contenuto nei dispositivi personali/mobili di utenti esterni che usano Microsoft Entra B2B potrebbe non essere possibile.

Motivi per non scegliere questa alternativa:

  • Gli utenti delle organizzazioni partner devono ricordare due set di credenziali: uno per accedere al contenuto dalla propria organizzazione e l'altro per accedere al contenuto da Contoso. Questo è un problema per gli utenti guest e molti utenti guest sono confusi da questa esperienza.
  • Contoso deve acquistare e assegnare licenze singole per questi utenti. Se un utente deve ricevere e-mail o usare applicazioni di Office, è necessario disporre delle licenze appropriate, incluso Power BI Pro per modificare e condividere il contenuto in Power BI.
  • Contoso potrebbe voler applicare criteri di autorizzazione e governance più rigorosi per gli utenti esterni rispetto agli utenti interni. A tale scopo, Contoso deve creare una denominazione interna per gli utenti esterni e tutti gli utenti Contoso devono essere istruiti su questa nomenclatura.
  • Quando l'utente lascia l'organizzazione, continua ad avere accesso alle risorse di Contoso finché l'amministratore di Contoso non elimina manualmente il proprio account
  • Gli amministratori di Contoso devono gestire l'identità per il guest, tra cui la creazione, la reimpostazione della password e così via.

Opzione alternativa 2: Creare un'applicazione Power BI Embedded personalizzata usando l'autenticazione personalizzata

Un'altra opzione per Contoso consiste nel creare un'applicazione Power BI incorporata personalizzata con l'autenticazione personalizzata ('App possiede i dati'). Anche se molte organizzazioni non hanno tempo o risorse per creare un'applicazione personalizzata per distribuire il contenuto di Power BI ai partner esterni, per alcune organizzazioni questo è l'approccio migliore e merita una seria considerazione.

Spesso, le organizzazioni hanno portali partner esistenti che centralizzano l'accesso a tutte le risorse organizzative per i partner, forniscono isolamento dalle risorse interne dell'organizzazione e offrono esperienze semplificate per i partner per supportare numerosi partner e i singoli utenti.

Numerosi portali partner

Nell'esempio precedente, gli utenti di ogni fornitore accedono al portale per i partner di Contoso che usa l'ID Microsoft Entra come provider di identità. Può usare Microsoft Entra B2B, Azure Active Directory B2C, identità native o federarsi con qualsiasi altro numero di altri provider di identità. L'utente accede a una compilazione del portale per i partner usando l'app Web di Azure o un'infrastruttura simile.

All'interno dell'app Web, i report di Power BI vengono incorporati da una distribuzione di Power BI Embedded. L'app Web semplifica l'accesso ai report e ai servizi correlati in un'esperienza coesa volta a semplificare l'interazione dei fornitori con Contoso. Questo ambiente del portale sarebbe isolato dall'ID Interno di Microsoft Entra di Contoso e dall'ambiente Interno di Power BI di Contoso per garantire che i fornitori non possano accedere a tali risorse. In genere, i dati vengono archiviati in un data warehouse partner separato per garantire anche l'isolamento dei dati. Questo isolamento offre vantaggi poiché limita il numero di utenti esterni con accesso diretto ai dati dell'organizzazione, limitando i dati potenzialmente disponibili per l'utente esterno e limitando la condivisione accidentale con utenti esterni.

Usando Power BI Embedded, il portale può usare licenze vantaggiose, usando un token dell'app, oppure l'utente master e la capacità premium acquistata nel modello di Azure, che semplifica l'assegnazione di licenze agli utenti finali e può aumentare o ridurre le prestazioni in base all'utilizzo previsto. Il portale può offrire un'esperienza complessiva di qualità e coerenza superiore perché i partner accedono a un singolo portale progettato tenendo presente tutte le esigenze di un partner. Infine, poiché le soluzioni basate su Power BI Embedded sono in genere progettate per essere multi-tenant, semplifica l'isolamento tra le organizzazioni partner.

Motivi per scegliere questa alternativa:

  • Più facile da gestire man mano che aumenta il numero di organizzazioni partner. Poiché i partner vengono aggiunti a una directory separata isolata dalla directory interna di Microsoft Entra di Contoso, semplifica i compiti di governance IT e impedisce la condivisione accidentale dei dati interni agli utenti esterni.
  • I portali per i partner tipici sono esperienze altamente personalizzate con esperienze coerenti tra i partner e semplificate per soddisfare le esigenze dei partner tipici. Contoso può quindi offrire un'esperienza complessiva migliore ai partner integrando tutti i servizi necessari in un unico portale.
  • I costi di licenza per scenari avanzati, come ad esempio la modifica del contenuto all'interno di Power BI Embedded, sono coperti da Power BI Premium acquistato da Azure e non richiedono l'assegnazione delle licenze di Power BI Pro a tali utenti.
  • Offre un migliore isolamento tra i partner se progettato come soluzione multi-tenant.
  • Il portale per i partner include spesso altri strumenti per i partner oltre a report, dashboard e app di Power BI.

Motivi per non scegliere questa alternativa:

  • È necessario un impegno significativo per creare, operare e gestire un portale di questo tipo, che lo rende un investimento significativo in termini di risorse e di tempo.
  • Il tempo per la soluzione è molto più lungo rispetto all'uso della condivisione B2B perché è necessaria un'attenta pianificazione ed esecuzione in più flussi di lavoro.
  • In presenza di un numero minore di partner, è probabile che il lavoro richiesto per questa alternativa sia troppo elevato per essere giustificato.
  • La collaborazione con la condivisione ad hoc è lo scenario principale affrontato dall'organizzazione.
  • I report e le dashboard sono diversi per ogni partner. Questa alternativa introduce un sovraccarico di gestione oltre alla semplice condivisione diretta con i partner.

Domande frequenti

Contoso può inviare un invito che viene riscattato automaticamente, in modo che l'utente sia semplicemente "pronto per l'uso"? Oppure l'utente deve sempre fare clic sull'URL di riscatto?

L'utente finale deve sempre fare clic sull'esperienza di consenso prima di poter accedere al contenuto.

Se si invitano molti utenti guest, è consigliabile delegarlo agli amministratori principali di Microsoft Entra aggiungendo un utente al ruolo mittente dell'invito guest nell'organizzazione delle risorse. Questo utente può invitare altri utenti nell'organizzazione partner usando l'interfaccia utente di accesso, script di PowerShell o API. In questo modo si riduce il carico amministrativo degli amministratori di Microsoft Entra per invitare o reinvitare gli utenti all'interno dell'organizzazione partner.

Contoso può forzare l'autenticazione a più fattori per gli utenti guest se i partner non dispongono dell'autenticazione a più fattori?

Sì. Per altre informazioni, vedere Accesso condizionale per gli utenti di Collaborazione B2B.

Come funziona collaborazione B2B quando il partner invitato usa la federazione per aggiungere la propria autenticazione locale?

Se il partner ha un tenant di Microsoft Entra federato all'infrastruttura di autenticazione locale, viene automaticamente ottenuto l'accesso Single Sign-On (SSO) locale. Se il partner non ha un tenant di Microsoft Entra, è possibile creare un account Microsoft Entra per i nuovi utenti.

È possibile invitare utenti guest con account di posta elettronica consumer?

L'invito di utenti guest con account di posta elettronica consumer è supportato in Power BI. Sono inclusi domini quali hotmail.com, outlook.com e gmail.com. Tuttavia, questi utenti possono riscontrare limitazioni oltre a quelle riscontrate dagli utenti con account aziendali o dell'istituto di formazione.