Microsoft Entra B2B를 사용하여 외부 게스트 사용자에게 Power BI 콘텐츠 배포

  • 아티클

요약: 이 문서는 Microsoft Entra ID(이전 Azure Active Directory) B2B(business-to-business)의 통합을 사용하여 조직 외부 사용자에게 콘텐츠를 배포하는 방법을 간략히 설명하는 기술 백서입니다.

작성자: Lukasz Pawlowski, Kasper de Jonge

기술 검토자: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

참고 항목

이 백서는 브라우저에서 인쇄를 선택한 다음, PDF로 저장을 선택하여 저장하거나 인쇄할 수 있습니다.

소개

Power BI는 비즈니스에 대한 전방위 시야를 조직에 제공하고 이러한 조직의 모든 사용자가 데이터를 사용하여 지능적인 결정을 내릴 수 있도록 합니다. 이러한 많은 조직이 외부 파트너, 클라이언트 및 계약자와 강력하고 신뢰할 수 있는 관계를 맺고 있습니다. 이러한 조직은 이들 외부 파트너의 사용자에게 Power BI 대시보드 및 보고서에 대한 안전한 액세스를 제공해야 합니다.

Power BI는 Microsoft Entra B2B(business-to-business)와 통합하여 내부 데이터에 대한 제어를 유지 관리하고 액세스를 통제하면서 조직 외부의 게스트 사용자에게 Power BI 콘텐츠를 안전하게 배포할 수 있습니다.

이 백서에서는 Power BI와 Microsoft Entra B2B의 통합을 이해하는 데 필요한 모든 세부 정보를 다룹니다. 가장 일반적인 사용 사례, 설정, 라이선스 및 행 수준 보안에 대해 다룹니다.

시나리오

Contoso는 자동차 제조업체로, 제조 작업을 실행하는 데 필요한 모든 구성 요소, 재료 및 서비스를 제공하는 다양한 공급업체와 협력하고 있습니다. Contoso는 물류 공급망을 간소화하려고 하며 Power BI를 사용하여 공급망의 주요 성능 메트릭을 모니터링할 계획입니다. Contoso는 안전하고 관리하기 쉬운 방식으로 외부 공급망 파트너 분석과 공유하려고 합니다.

Contoso는 Power BI 및 Microsoft Entra B2B를 사용하여 외부 사용자가 다음 환경을 사용하도록 설정할 수 있습니다.

항목별 임시 공유

Contoso는 Contoso의 자동차를 위한 라디에이터를 제작하는 공급업체와 협업합니다. 종종 Contoso의 모든 자동차의 데이터를 사용하여 라디에이터의 안정성을 최적화해야 합니다. Contoso의 분석가는 Power BI를 사용하여 공급업체의 엔지니어와 라디에이터 안정성 보고서를 공유합니다. 엔지니어는 보고서를 볼 수 있는 링크가 포함된 이메일을 받습니다.

위에서 설명한 대로 이 임시 공유는 필요에 따라 비즈니스 사용자가 수행합니다. Power BI에서 외부 사용자에게 보낸 링크는 Microsoft Entra B2B 초대 링크입니다. 외부 사용자가 링크를 열면 Contoso의 Microsoft Entra 조직에 게스트 사용자로 참가하라는 메시지가 표시됩니다. 초대가 수락되면 해당 링크가 특정 보고서 또는 대시보드를 엽니다. Microsoft Entra 관리자는 외부 사용자를 조직에 초대할 수 있는 권한을 위임하고 이 문서의 거버넌스 섹션에 설명된 대로 해당 사용자가 초대를 수락하면 수행할 수 있는 작업을 선택합니다. Contoso 분석가는 게스트 사용자만 초대할 수 있는데, Microsoft Entra 관리자가 해당 작업을 허용했으며 Power BI 관리자는 사용자가 Power BI의 테넌트 설정에서 콘텐츠를 볼 수 있는 게스트를 초대하도록 허용했기 때문입니다.

Microsoft Entra ID를 사용하여 Power BI에 게스트 초대

  1. 프로세스는 외부 사용자와 대시보드 또는 보고서를 공유하는 Contoso 내부 사용자로 시작됩니다. 외부 사용자가 Contoso Microsoft Entra에서 아직 게스트가 아닌 경우 초대됩니다. Contoso Microsoft Entra ID로의 초대가 포함된 메일 주소로 메일이 전송됩니다.
  2. 받는 사람은 Contoso Microsoft Entra ID에 대한 초대를 수락하고 Contoso의 Microsoft Entra ID에 게스트 사용자로 추가됩니다.
  3. 그러면 받는 사람이 Power BI 대시보드, 보고서 또는 앱으로 리디렉션됩니다.

Contoso 비즈니스 사용자가 비즈니스 목적으로 필요에 따라 초대 작업을 수행하기 때문에 이 프로세스는 임시 작업으로 간주됩니다. 공유되는 각 항목은 외부 사용자가 콘텐츠를 보기 위해 액세스할 수 있는 단일 링크입니다.

외부 사용자가 Contoso 리소스에 액세스할 수 있도록 초대되면 Contoso Microsoft Entra ID에서 섀도 계정을 만들 수 있으며 다시 초대할 필요는 없습니다. Power BI 대시보드와 같은 Contoso 리소스에 처음 액세스하려고 하면 초대를 응하기 위한 동의 프로세스를 거칩니다. 동의를 완료하지 않으면 Contoso의 콘텐츠에 액세스할 수 없습니다. 제공된 원래 링크를 통해 초대에 응하는 데 문제가 있는 경우 Microsoft Entra 관리자가 특정 초대 링크를 다시 보내므로 초대에 응할 수 있습니다.

항목별 계획 공유

Contoso는 하청업체와 협력하여 라디에이터의 안정성 분석을 수행합니다. 하청업체에는 Contoso의 Power BI 환경에서 데이터에 액세스해야 하는 10명의 사용자로 구성된 팀이 있습니다. Contoso Microsoft Entra 관리자는 모든 사용자를 초대하고 협력업체에 변경 사항이 있을 시 담당자로서 모든 추가/변경을 처리합니다. Microsoft Entra 관리자가 협력업체의 모든 직원에 대한 보안 그룹을 만듭니다. Contoso의 직원은 보안 그룹을 사용하여 보고서에 대한 액세스를 쉽게 관리하고 필요한 모든 하청업체 직원이 필요한 모든 보고서, 대시보드 및 Power BI 앱에 액세스할 수 있도록 합니다. 또한 Microsoft Entra 관리자는 Contoso 또는 협력업체의 신뢰할 수 있는 직원에게 초대 권한을 위임하여 시기적절한 직원 관리를 보장함으로써 전적으로 초대 프로세스에 개입하지 않을 수 있습니다.

일부 조직은 외부 사용자를 추가하거나, 외부 조직의 많은 사용자를 초대하거나, 많은 외부 조직을 초대할 때 더 많은 통제를 필요로 합니다. 이러한 경우 계획 공유를 사용하여 공유 규모를 관리하고, 조직 정책을 적용하고, 신뢰할 수 있는 개인에게 외부 사용자를 초대하고 관리하는 권한을 위임할 수도 있습니다. Microsoft Entra B2B에서는 IT 관리자가 Azure Portal에서 직접 계획된 초대를 보내거나, 하나의 작업으로 사용자 세트를 초대할 수 있는 초대 관리자 API를 사용하여 PowerShell을 통해 계획된 초대를 보낼 수 있습니다. 조직은 계획된 초대 방식을 사용하여 사용자를 초대하고 승인 프로세스를 구현할 수 있는 사용자를 제어할 수 있습니다. 동적 그룹과 같은 고급 Microsoft Entra 기능을 사용하면 보안 그룹 멤버 자격을 자동으로 쉽게 유지 관리할 수 있습니다.

콘텐츠를 볼 수 있는 게스트 제어

  1. 프로세스는 IT 관리자가 수동으로 또는 Microsoft Entra ID에서 제공하는 API를 통해 게스트 사용자를 초대하는 것부터 시작됩니다.
  2. 사용자는 조직에 대한 초대를 수락합니다.
  3. 사용자가 초대를 수락하면 Power BI의 사용자가 보고서 또는 대시보드를 외부 사용자 또는 해당 사용자가 있는 보안 그룹과 공유할 수 있습니다. 일반 공유와 마찬가지로 Power BI에서 외부 사용자는 항목에 대한 링크가 포함된 이메일을 받습니다.
  4. 외부 사용자가 링크에 액세스하면 해당 디렉터리의 인증이 Contoso Microsoft Entra ID로 전달되어 Power BI 콘텐츠에 대한 액세스 권한을 얻는 데 사용됩니다.

Power BI Apps의 임시 또는 계획 공유

Contoso에는 하나 이상의 공급업체와 공유해야 하는 보고서 및 대시보드 세트가 있습니다. 필요한 모든 외부 사용자가 이 콘텐츠에 액세스할 수 있도록 Power BI 앱으로 패키지화됩니다. 외부 사용자는 앱 액세스 목록에 직접 추가되거나 보안 그룹을 통해 추가됩니다. 그런 다음, Contoso의 누군가가 이메일 등을 통해 모든 외부 사용자에게 앱 URL을 보냅니다. 외부 사용자가 링크를 열면 탐색하기 쉬운 단일 환경에 모든 콘텐츠가 표시됩니다.

Power BI 앱을 사용하면 Contoso가 공급업체를 위한 BI 포털을 쉽게 빌드할 수 있습니다. 단일 액세스 목록은 필요한 모든 콘텐츠에 대한 액세스를 제어하여 항목 수준 권한을 검사하고 설정하는 데 걸리는 시간을 줄입니다. Microsoft Entra B2B는 공급업체의 네이티브 ID를 사용하여 보안 액세스를 유지 관리하므로 사용자에게 추가 로그인 자격 증명이 필요하지 않습니다. 보안 그룹과 함께 계획된 초대를 사용하면 직원이 프로젝트 내부 또는 외부로 순환 근무할 때 앱에 대한 액세스 관리가 간소화됩니다. 공급업체의 모든 외부 사용자가 적절한 보안 그룹에 자동으로 추가되도록 수동으로 또는 동적 그룹을 사용하여 보안 그룹에 멤버 자격이 부여됩니다.

Microsoft Entra ID로 콘텐츠 제어

  1. 프로세스는 사용자가 Azure Portal 또는 PowerShell을 통해 Contoso Microsoft Entra ID 조직에 초대되는 것부터 시작됩니다.
  2. Microsoft Entra ID의 사용자 그룹에 사용자를 추가할 수 있습니다. 정적 또는 동적 사용자 그룹을 사용할 수 있지만 동적 그룹은 수동 작업을 줄이는 데 도움이 됩니다.
  3. 외부 사용자에게는 사용자 그룹을 통해 Power BI 앱에 대한 액세스 권한이 부여됩니다. 앱 URL은 외부 사용자에게 직접 전송하거나 해당 사용자에게 액세스 권한이 있는 사이트에 배치해야 합니다. Power BI는 앱 링크가 포함된 메일을 외부 사용자에게 보내기 위해 최선을 다하지만, 멤버 자격이 변경될 수 있는 사용자 그룹을 사용하는 경우 Power BI는 사용자 그룹을 통해 관리되는 모든 외부 사용자에게 보내지 못할 수 있습니다.
  4. 외부 사용자가 Power BI 앱 URL에 액세스하면 Contoso Microsoft Entra ID에 의해 인증되고, 앱이 사용자용으로 설치되며, 사용자는 앱 내에서 포함된 모든 보고서 및 대시보드를 볼 수 있습니다.

또한 앱에는 앱 작성자가 사용자를 위해 애플리케이션을 자동으로 설치할 수 있는 고유한 기능이 있으므로 사용자가 로그인할 때 사용할 수 있습니다. 이 기능은 애플리케이션이 게시되거나 업데이트될 때 이미 Contoso 조직에 속한 외부 사용자에 대해서만 자동으로 설치됩니다. 따라서 계획된 초대 방식에서 최적으로 사용되며 사용자가 Contoso Microsoft Entra ID에 추가된 후 게시되거나 업데이트되는 앱에 따라 달라집니다. 외부 사용자는 항상 앱 링크를 사용하여 앱을 설치할 수 있습니다.

조직 전체의 콘텐츠 주석 달기 및 구독

Contoso가 하청업체 또는 공급업체와 계속해서 협업하므로 외부 엔지니어는 Contoso의 분석가와 긴밀히 협력해야 합니다. Power BI는 사용자가 사용 가능한 콘텐츠에 대해 의사 소통하는 데 도움이 되는 몇 가지 협업 기능을 제공합니다. 대시보드 댓글 달기(및 향후 보고서 댓글 달기)를 사용하면 사용자가 보고 있는 데이터 포인트에 대해 논의하고 보고서 작성자와 소통하여 질문을 할 수 있습니다.

현재 외부 게스트 사용자는 의견을 남기고 회신을 읽어 댓글에 참여할 수 있습니다. 그러나 내부 사용자와 달리 게스트 사용자는 @mentioned 불가능하며 댓글이 있다는 알림을 받지 못합니다. 게스트 사용자는 Power BI 내의 구독 기능을 사용하여 보고서 또는 대시보드를 구독할 수 있습니다. Power BI 서비스의 보고서 및 대시보드에 대한 메일 구독에 대해 자세히 알아 보세요.

Power BI 모바일 앱의 콘텐츠에 액세스

게스트 사용자가 모바일 디바이스에서 보고서 또는 대시보드에 대한 링크를 열면 해당 디바이스의 네이티브 Power BI 모바일 앱(설치된 경우)에서 콘텐츠가 열립니다. 그러면 게스트 사용자가 외부 테넌트에서 공유된 콘텐츠를 탐색한 다음, 홈 테넌트의 자체 콘텐츠로 돌아갈 수 있습니다. Power BI 모바일 앱을 통해 외부 조직에서 사용자와 공유된 콘텐츠에 액세스하는 방법에 대한 자세한 내용은 외부 조직의 사용자와 공유하는 Power BI 콘텐츠 보기를 참조하세요.

Power BI 및 Microsoft Entra B2B를 사용한 조직 관계

Power BI의 모든 사용자가 조직 내부에 있는 경우 Microsoft Entra B2B를 사용할 필요가 없습니다. 그러나 둘 이상의 조직에서 데이터 및 인사이트에 대해 협업하려는 경우 Power BI에서 Microsoft Entra B2B를 지원하면 쉽고 비용 효율적으로 협업할 수 있습니다.

다음은 일반적으로 Power BI에서 Microsoft Entra B2B 스타일의 조직 간 협업에 적합한 조직 구조입니다. Microsoft Entra B2B는 대부분의 경우 잘 작동하지만, 경우에 따라서는 이 문서의 끝에 설명된 일반적인 대체 방법을 고려해볼 가치가 있습니다.

사례 1: 조직 간 직접 협업

Contoso와 라디에이터 공급업체의 관계는 조직 간 직접 협업의 한 예입니다. Contoso와 해당 공급업체에는 라디에이터 안정성 정보에 액세스해야 하는 사용자가 비교적 적기 때문에 Microsoft Entra B2B 기반 외부 공유를 사용하는 것이 이상적입니다. 사용하기 쉽고 관리가 간단합니다. 또한 이는 컨설턴트가 조직을 위한 콘텐츠를 빌드해야 할 수 있는 컨설팅 서비스의 일반적인 패턴이기도 합니다.

조직 간 공유

일반적으로 이 공유는 처음에 항목별 임시 공유를 사용하여 발생합니다. 그러나 팀이 성장하거나 관계가 심화됨에 따라 관리 오버헤드를 줄이기 위해 항목별 계획 공유 방식이 선호됩니다. 또한 Power BI Apps의 임시 또는 계획 공유, 조직 전체의 콘텐츠 댓글 달기 및 구독, 모바일 앱의 콘텐츠에 대한 액세스도 수행할 수 있습니다. 중요한 것은 두 조직의 사용자가 각 조직에서 Power BI Pro 라이선스를 갖고 있는 경우 서로의 Power BI 환경에서도 해당 Pro 라이선스를 사용할 수 있다는 것입니다. 초대하는 조직이 외부 사용자에 대한 Power BI Pro 라이선스 비용을 지불할 필요가 없으므로 이 방식은 유리한 라이선스를 제공합니다. 이 내용은 이 문서의 뒷부분에 있는 라이선싱 섹션에서 자세히 설명합니다.

사례 2: 모회사 및 자회사 또는 계열사

일부 조직 구조는 부분 또는 완전 소유 자회사, 계열사 또는 관리되는 서비스 공급자 관계를 포함하여 훨씬 복잡합니다. 이러한 조직에는 지주 회사와 같은 부모 조직이 있지만 기본 조직은 반자율적으로 운영되며 때로는 다른 지역적 요구 사항에 따라 운영됩니다. 이로 인해 각 조직에는 고유한 Microsoft Entra 환경 및 별도의 Power BI 테넌트가 있습니다.

자회사와 협력

이 구조에서 부모 조직은 일반적으로 표준화된 인사이트를 자회사에 배포해야 합니다. 일반적으로 이 공유는 표준화된 신뢰할 수 있는 콘텐츠를 광범위한 대상 그룹에 배포할 수 있으므로 다음 이미지에 설명된 대로 Power BI Apps 방식의 임시 또는 계획 공유를 사용하여 수행됩니다. 실제로 이 문서의 앞부분에서 언급한 모든 시나리오의 조합이 사용됩니다.

시나리오 조합

이 프로세스는 다음과 같습니다.

  1. 각 자회사의 사용자가 Contoso Microsoft Entra ID에 초대됩니다.
  2. 그런 다음, Power BI 앱이 게시되어 이들 사용자에게 필요한 데이터에 대한 액세스 권한을 부여합니다.
  3. 마지막으로, 사용자는 보고서를 볼 수 있도록 제공된 링크를 통해 앱을 엽니다.

이 구조의 조직에서는 다음과 같은 몇 가지 중요한 문제가 발생합니다.

  • 부모 조직의 Power BI에서 콘텐츠에 대한 링크를 배포하는 방법
  • 자회사 사용자가 부모 조직에서 호스트하는 데이터 원본에 액세스할 수 있도록 허용하는 방법

부모 조직의 Power BI에서 콘텐츠에 대한 링크 배포

일반적으로 콘텐츠에 대한 링크를 배포하는 데 세 가지 방법이 사용됩니다. 첫 번째이자 가장 기본적인 방법은 앱에 대한 링크를 필요한 사용자에게 보내거나 해당 사용자가 열 수 있는 SharePoint Online 사이트에 배치하는 것입니다. 그런 다음, 사용자는 필요한 데이터에 더 빠르게 액세스하기 위해 브라우저에서 링크를 책갈피로 지정할 수 있습니다.

두 번째 접근 방식은 부모 조직이 자회사의 사용자가 Power BI에 액세스하도록 허용하고 사용 권한을 통해 액세스할 수 있는 항목을 제어하는 것입니다. 이렇게 하면 자회사의 사용자가 부모 조직의 테넌트에서 공유되는 포괄적인 콘텐츠 목록을 볼 수 있는 Power BI 홈에 액세스할 수 있습니다. 그런 다음, 부모 조직의 Power BI 환경에 대한 URL이 자회사의 사용자에게 제공됩니다.

마지막 방법에서는 각 자회사에 대해 Power BI 테넌트 내에서 만든 Power BI 앱을 사용합니다. Power BI 앱에는 외부 링크 옵션으로 구성된 타일이 있는 대시보드가 포함되어 있습니다. 사용자가 타일을 누르면 부모 조직의 Power BI에서 적절한 보고서, 대시보드 또는 앱으로 이동됩니다. 이 방법은 자회사의 모든 사용자에 대해 앱을 자동으로 설치할 수 있고 사용자가 자체 Power BI 환경에 로그인할 때마다 앱을 사용할 수 있다는 장점이 추가되었습니다. 이 방법의 추가된 장점은 기본적으로 링크를 열 수 있는 Power BI 모바일 앱에서 잘 작동한다는 점입니다. 또한 이 방법을 두 번째 방법과 결합하면 Power BI 환경 간에 더 쉽게 전환할 수 있습니다.

자회사 사용자가 부모 조직에서 호스트하는 데이터 원본에 액세스할 수 있도록 허용

종종 자회사의 분석가는 부모 조직에서 제공하는 데이터를 사용하여 자체 분석을 해야 합니다. 이 경우 일반적으로 클라우드 데이터 원본이 문제를 해결하는 데 사용됩니다.

첫 번째 방법은 Azure Analysis Services를 사용하여 다음 이미지와 같이 모회사 및 자회사에서 분석가의 요구 사항을 지원하는 엔터프라이즈급 데이터 웨어하우스를 빌드합니다. Contoso는 데이터를 호스트하고 행 수준 보안과 같은 기능을 사용하여 각 자회사의 사용자가 해당 데이터에만 액세스하도록 할 수 있습니다. 각 조직의 분석가는 Power BI Desktop을 통해 데이터 웨어하우스에 액세스하고 결과 분석을 해당 Power BI 테넌트에 게시할 수 있습니다.

Power BI 테넌트에서 공유가 수행되는 방법

두 번째 방법은 데이터에 대한 액세스를 제공하기 위해 Azure SQL Database를 사용하여 관계형 데이터 웨어하우스를 빌드합니다. 이 방법은 Azure Analysis Services 방법과 유사하게 작동하지만 행 수준 보안과 같은 일부 기능은 자회사 간에 배포 및 유지 관리하기 훨씬 어려울 수 있습니다.

더 정교한 방법도 사용 가능하지만 지금까지는 위의 방법이 가장 일반적입니다.

사례 3: 파트너 간 공유 환경

Contoso는 경쟁사와 파트너십을 맺어 공유 어셈블리 라인에서 자동차를 공동으로 제작하지만 다른 브랜드로 또는 다른 지역에서 차량을 배포할 수 있습니다. 이를 위해서는 조직 전체에서 데이터, 인텔리전스 및 분석에 대한 광범위한 협업 및 공동 소유권이 필요합니다. 이 구조는 컨설턴트 팀이 클라이언트에 대한 프로젝트 기반 분석을 수행할 수 있는 컨설팅 서비스 업계에서도 일반적입니다.

파트너 간 공유 환경

실제로 이러한 구조는 다음 이미지와 같이 복잡하며 직원이 유지 관리해야 합니다. 이 구조를 효과적으로 구현하기 위해 조직은 해당 Power BI 테넌트용으로 구매한 Power BI Pro 라이선스를 다시 사용할 수 있도록 허용됩니다.

라이선스 및 공유 조직 콘텐츠

공유 Power BI 테넌트를 설정하려면 Microsoft Entra ID를 만들어야 하며 해당 테넌트 사용자에 대해 하나 이상의 Power BI Pro 사용자 계정을 구매해야 합니다. 이 사용자가 공유 조직에 필요한 사용자를 초대합니다. 중요한 것은 이 시나리오에서 Contoso 사용자는 공유 조직의 Power BI 내에서 작업을 처리할 때 외부 사용자로 처리된다는 것입니다.

프로세스는 다음과 같습니다.

  1. 공유 조직은 새 Microsoft Entra ID로 설정되며 새 조직에서 하나 이상의 사용자 계정이 만들어집니다. 해당 사용자에게는 Power BI Pro 라이선스가 할당되어 있어야 합니다.
  2. 그런 다음, 이 사용자는 Power BI 테넌트를 설정하고 Contoso 및 파트너 조직에서 필요한 사용자를 초대합니다. 또한 이 사용자는 Azure Analysis Services 같은 공유 데이터 자산도 설정합니다. Contoso 및 파트너의 사용자는 게스트 사용자로 공유 조직의 Power BI에 액세스할 수 있습니다. 일반적으로 모든 공유 자산은 공유 조직에 저장되고 액세스됩니다.
  3. 당사자가 협업에 동의하는 방식에 따라 각 조직에서 공유 데이터 웨어하우스 자산을 사용하여 자체 독점 데이터 및 분석을 개발할 수 있습니다. 내부 Power BI 테넌트를 사용하여 해당 내부 사용자에게 이를 배포할 수 있습니다.

사례 4: 수백 또는 수천 개의 외부 파트너에게 배포

Contoso는 한 공급업체를 위해 라디에이터 안정성 보고서를 만들었지만 이제 Contoso는 수백 개의 공급업체를 위해 표준화된 보고서 세트를 만들고자 합니다. 이를 통해 Contoso는 모든 공급업체가 개선을 위해 필요하거나 제조 결함을 해결하기 위해 필요한 분석을 수행할 수 있습니다.

여러 파트너에게 배포

조직이 표준화된 데이터와 인사이트를 많은 외부 사용자/조직에 배포해야 하는 경우, Power BI Apps 시나리오의 임시 또는 계획 공유를 사용하여 광범위한 개발 비용 없이 신속하게 BI Portal을 빌드할 수 있습니다. Power BI 앱을 사용하여 이러한 포털을 빌드하는 프로세스는 이 문서의 뒷부분에 있는 사례 연구: Power BI + Microsoft Entra B2B를 사용하여 BI Portal 빌드 – 단계별 지침에 설명되어 있습니다.

이 경우의 일반적인 변형은 조직에서 소비자와 인사이트를 공유하려고 하는 경우, 특히 Power BI에서 Azure Active Directory B2C를 사용하려는 경우입니다. Power BI는 기본적으로 Azure Active Directory B2C를 지원하지 않습니다. 이 사례에 대한 옵션을 평가하는 경우 이 문서의 뒷부분에 있는 일반적인 대체 방법 섹션의 대체 옵션 2를 사용하는 것이 좋습니다.

사례 연구: Power BI + Microsoft Entra B2B를 사용하여 BI Portal 빌드 – 단계별 지침

Power BI와 Microsoft Entra B2B가 통합되면 게스트 사용자에게 BI 포털에 대한 보안 액세스를 제공하는 원활하고 번거롭지 않은 방법을 Contoso에 제공합니다. Contoso는 다음 세 단계를 사용하여 이를 설정할 수 있습니다.

포털 빌드

  1. Power BI에서 BI 포털 만들기

    Contoso의 첫 번째 작업은 Power BI에서 BI 포털을 만드는 것입니다. Contoso의 BI 포털은 많은 내부 및 게스트 사용자가 사용할 수 있도록 특별히 빌드된 대시보드 및 보고서 컬렉션으로 구성됩니다. Power BI에서 이 작업을 수행하는 권장 방법은 Power BI 앱을 빌드하는 것입니다. Power BI의 앱에 대한 자세히 알아 보세요.

  • Contoso의 BI 팀이 Power BI에서 작업 영역을 만듭니다.

    작업 영역

  • 다른 작성자가 작업 영역에 추가됩니다.

    작성자 추가

  • 콘텐츠가 작업 영역 내에 생성됩니다.

    작업 영역 내에서 콘텐츠 만들기

    이제 콘텐츠가 작업 영역에서 만들어졌으므로 Contoso는 파트너 조직의 게스트 사용자를 초대하여 이 콘텐츠를 사용할 준비가 되었습니다.

  1. 게스트 사용자 초대

    Contoso가 Power BI의 BI 포털에 게스트 사용자를 초대하는 방법은 두 가지가 있습니다.

    • 계획 초대
    • 임시 초대

    계획 초대

    이 방법에서 Contoso는 게스트 사용자를 Microsoft Entra로 미리 초대한 다음, Power BI 콘텐츠를 배포합니다. Contoso는 Azure Portal 또는 PowerShell을 사용하여 게스트 사용자를 초대할 수 있습니다. Azure Portal에서 게스트 사용자를 초대하는 단계는 다음과 같습니다.

    • Contoso Microsoft Entra 관리자가 Azure Portal>Microsoft Entra ID>사용자>모든 사용자>새 게스트 사용자로 이동

    게스트 사용자

    • 게스트 사용자를 위한 초대 메시지를 추가하고 초대를 선택합니다.

    초대 보내기

    참고 항목

    Azure Portal에서 게스트 사용자를 초대하려면 테넌트에 대한 Microsoft Entra 관리자가 필요합니다.

    Contoso가 많은 게스트 사용자를 초대하려는 경우 PowerShell을 사용하여 초대할 수 있습니다. Contoso의 Microsoft Entra 관리자는 모든 게스트 사용자의 이메일 주소를 CSV 파일에 저장합니다. 다음은 Microsoft Entra B2B 협업 코드 및 PowerShell 샘플 및 지침입니다.

    초대 후 게스트 사용자는 초대 링크가 포함된 이메일을 받습니다.

    초대 링크

    게스트 사용자가 링크를 선택하면 Contoso Microsoft Entra 테넌트의 콘텐츠에 액세스할 수 있습니다.

    참고 항목

    여기에 설명된 대로 Microsoft Entra ID 브랜딩 기능을 사용하여 초대 이메일의 레이아웃을 변경할 수 있습니다.

    임시 초대

    Contoso가 미리 초대하려는 모든 게스트 사용자를 알지 못하는 어떻게 해야 할까요? 또는 BI 포털을 만든 Contoso 분석가가 게스트 사용자에게 콘텐츠를 직접 배포하려고 하는 경우 어떻게 해야 할까요? 임시 초대를 사용하여 Power BI에서 이 시나리오를 지원할 수 있습니다.

    분석가는 게시할 때 앱의 액세스 목록에 외부 사용자를 추가할 수 있습니다. 게스트 사용자가 초대를 받고 수락하면 Power BI 콘텐츠로 자동으로 리디렉션됩니다.

    외부 사용자 추가

    참고 항목

    초대는 외부 사용자를 처음으로 조직에 초대할 때만 필요합니다.

  2. 콘텐츠 배포

    Contoso의 BI 팀이 BI 포털을 만들고 게스트 사용자를 초대했으므로 게스트 사용자에게 앱에 대한 액세스 권한을 부여하고 앱을 게시하여 최종 사용자에게 포털을 배포할 수 있습니다. Power BI는 이전에 Contoso 테넌트에 추가된 게스트 사용자의 이름을 자동으로 완성합니다. 또한 이 시점에서 다른 게스트 사용자에게 임시 초대를 추가할 수 있습니다.

    참고 항목

    보안 그룹을 사용하여 외부 사용자를 위한 앱의 액세스를 관리하는 경우 계획 초대 방법을 사용하고 앱에 액세스해야 하는 각 외부 사용자와 직접 앱 링크를 공유합니다. 그렇지 않으면 외부 사용자가 app._ 내에서 콘텐츠를 설치하거나 보지 못할 수 있습니다.

    게스트 사용자는 앱에 대한 링크가 포함된 이메일을 받습니다.

    이메일 초대 링크

    이 링크를 클릭하면 게스트 사용자에게 자신의 조직 ID를 사용하여 인증하라는 메시지가 표시됩니다.

    Sign in page

    성공적으로 인증되면 Contoso의 BI 앱으로 리디렉션됩니다.

    공유 콘텐츠 보기

    게스트 사용자는 이후에 메일의 링크를 클릭하거나 링크를 책갈피로 지정하여 Contoso의 앱에 연결할 수 있습니다. 또한 Contoso는 게스트 사용자가 더 쉽게 연결할 수 있도록 게스트 사용자가 이미 사용 중인 기존 엑스트라넷 포털에 이 링크를 추가할 수도 있습니다.

  3. 다음 단계

    Contoso는 Power BI 앱과 Microsoft Entra B2B를 사용하여 코드 없는 방식으로 공급업체를 위한 BI 포털을 신속하게 만들 수 있었습니다. 이렇게 하면 표준화된 분석을 필요한 모든 공급업체에 배포하는 작업이 크게 간소화되었습니다.

    이 예제에서는 단일 공통 보고서를 공급업체 간에 배포하는 방법을 보여 주지만 Power BI는 이를 훨씬 더 개선할 수 있습니다. 각 파트너가 자신과 관련된 데이터만 볼 수 있도록 행 수준 보안을 보고서 및 데이터 모델에 쉽게 추가할 수 있습니다. 이 문서의 뒷부분에 있는 외부 파트너를 위한 데이터 보안 섹션에서 이 프로세스를 자세히 설명합니다.

    개별 보고서 및 대시보드를 기존 포털에 포함해야 하는 경우가 많습니다. 또한 이 작업은 예제에 나온 다양한 기술을 다시 사용하여 수행할 수 있습니다. 그러나 이러한 상황에서는 작업 영역에서 직접 보고서 또는 대시보드를 포함하는 것이 훨씬 쉬울 수 있습니다. 필요한 사용자를 초대하고 보안 권한을 초대하고 할당하는 프로세스는 동일합니다.

내부적으로: Supplier1의 Lucy가 Contoso의 테넌트에서 Power BI 콘텐츠에 액세스하려면 어떻게 해야 할까요?

Contoso가 파트너 조직의 게스트 사용자에게 Power BI 콘텐츠를 원활하게 배포할 수 있는 방법을 살펴보았습니다. 이제 내부적으로 어떻게 작동하는지 살펴보겠습니다.

Contoso가 lucy@supplier1.com을(를) 해당 디렉터리에 초대하면 Microsoft Entra ID는 Lucy@supplier1.com과(와) Contoso Microsoft Entra 테넌트 간에 링크를 만듭니다. 이 링크를 통해 Microsoft Entra ID는 Lucy@supplier1.com이(가) Contoso 테넌트의 콘텐츠에 액세스할 수 있음을 알 수 있습니다.

Lucy가 Contoso의 Power BI 앱에 액세스하려고 하면 Microsoft Entra ID는 Lucy가 Contoso 테넌트에 액세스할 수 있는지 확인한 다음, Power BI에 Lucy가 Contoso 테넌트의 콘텐츠에 액세스하도록 인증되었음을 나타내는 토큰을 제공합니다. Power BI는 이 토큰을 사용하여 Lucy에게 Contoso의 Power BI 앱에 대한 액세스 권한이 있음을 인증하고 확인합니다.

인증 및 권한 부여

Power BI와 Microsoft Entra B2B의 통합은 모든 업무용 이메일 주소에서 작동합니다. 사용자에게 Microsoft Entra ID가 없는 경우 ID를 만들라는 메시지가 표시될 수 있습니다. 다음 이미지에서는 자세한 흐름을 보여 줍니다.

통합 흐름도

Microsoft Entra 계정이 외부 주체의 Microsoft Entra ID에서 사용되거나 생성된다는 것을 인식하는 것이 중요합니다. 이를 통해 Lucy는 자신의 사용자 이름과 암호를 사용할 수 있으며 해당 조직에서 Microsoft Entra ID를 사용할 경우 Lucy가 회사를 떠날 때마다 다른 테넌트에서 자격 증명이 자동으로 작동 중지됩니다.

라이선스

Contoso는 공급업체 및 파트너 조직의 게스트 사용자에게 Power BI 콘텐츠에 대한 액세스 권한을 부여할 수 있는 세 가지 방법 중 하나를 선택할 수 있습니다.

참고 항목

Microsoft Entra B2B의 무료 계층은 Microsoft Entra B2B에서 Power BI를 사용하기에 충분합니다. 동적 그룹과 같은 일부 고급 Microsoft Entra B2B 기능에는 추가 라이선스가 필요합니다. 자세한 내용은 Microsoft Entra B2B 설명서를 참조하세요.

방법 1: Contoso에서 Power BI Premium 사용

이 방법에서는 Contoso가 Power BI Premium 용량을 구매하고 해당 BI 포털 콘텐츠를 이 용량에 할당합니다. 이를 통해 파트너 조직의 게스트 사용자가 Power BI 라이선스 없이도 Contoso의 Power BI 앱에 액세스할 수 있습니다.

또한 외부 사용자에게는 Power BI Premium 내에서 콘텐츠를 사용할 때 Power BI의 "무료" 사용자에게 제공되는 사용량 전용 환경만 적용됩니다.

Contoso는 향상된 새로 고침 속도, 용량 및 대규모 모델 크기와 같은 앱의 다른 Power BI 프리미엄 기능을 활용할 수도 있습니다.

추가 기능

방법 2: Contoso가 게스트 사용자에게 Power BI Pro 라이선스 할당

이 방법에서는 Contoso가 파트너 조직의 게스트 사용자에게 Pro 라이선스를 할당합니다. Contoso의 Microsoft 365 관리 센터에서 이 작업을 수행할 수 있습니다. 이를 통해 파트너 조직의 게스트 사용자가 라이선스를 구매하지 않고도 Contoso의 Power BI 앱에 액세스할 수 있습니다. 이 방법은 조직에 아직 Power BI가 도입되지 않은 외부 사용자와 공유하는 데 적합할 수 있습니다.

참고 항목

Contoso의 Pro 라이선스는 게스트 사용자가 Contoso 테넌트의 콘텐츠에 액세스할 때만 해당 사용자에게 적용됩니다. Pro 라이선스를 사용하면 Power BI Premium 용량에 없는 콘텐츠에 액세스할 수 있습니다.

라이선스 정보

방법 3: 게스트 사용자가 자체 Power BI Pro 라이선스 사용

이 방법에서는 Supplier 1이 Lucy에게 Power BI Pro 라이선스를 할당합니다. 그런 다음, 이 라이선스를 사용하여 Contoso의 Power BI 앱에 액세스할 수 있습니다. Lucy가 외부 Power BI 환경에 액세스할 때 자신의 조직에서 Pro 라이선스를 사용할 수 있으므로 이 방법을 BYOL(사용자 라이선스 필요)이라고도 합니다. 두 조직 모두 Power BI를 사용하는 경우 이 방법은 전체 분석 솔루션에 유리한 라이선스를 제공하며 외부 사용자에게 라이선스를 할당하는 오버헤드를 최소화합니다.

참고 항목

Supplier 1에서 Lucy에게 제공한 Pro 라이선스는 Lucy가 게스트 사용자인 모든 Power BI 테넌트에 적용됩니다. Pro 라이선스를 사용하면 Power BI Premium 용량에 없는 콘텐츠에 액세스할 수 있습니다.

Pro 라이선스 요구 사항

외부 파트너를 위한 데이터 보안

일반적으로 여러 외부 공급업체와 작업할 때 Contoso는 각 공급업체가 자사 제품에 대한 데이터만 볼 수 있도록 해야 합니다. 사용자 기반 보안 및 동적 행 수준 보안을 사용하면 Power BI를 사용하여 이 작업을 쉽게 수행할 수 있습니다.

사용자 기반 보안

Power BI의 가장 강력한 기능 중 하나는 행 수준 보안입니다. 이 기능을 사용하면 Contoso가 단일 보고서와 의미 체계 모델 (이전 데이터 세트)을 만들 수 있지만 각 사용자에 대해 서로 다른 보안 규칙을 적용할 수 있습니다. 자세한 설명은 RLS(행 수준 보안)를 참조하세요.

Power BI가 Microsoft Entra B2B와 통합되면 Contoso는 Contoso 테넌트에 게스트 사용자가 초대되는 즉시 해당 사용자에게 행 수준 보안 규칙을 할당할 수 있습니다. 앞서 살펴본 것처럼 Contoso는 계획 초대 또는 임시 초대를 통해 게스트 사용자를 추가할 수 있습니다. Contoso가 행 수준 보안을 적용하려는 경우 콘텐츠를 공유하기 전에 계획 초대를 사용하여 게스트 사용자를 미리 추가하고 보안 역할에 해당 사용자를 할당하는 것이 좋습니다. Contoso가 임시 초대를 사용하는 경우에는 게스트 사용자가 어떠한 데이터도 볼 수 없는 짧은 기간이 있을 수 있습니다.

참고 항목

임시 초대를 사용할 때 RLS로 보호되는 데이터 액세스 시 발생하는 이러한 지연으로 인해 사용자가 받는 이메일에서 공유 링크를 열면 비어 있거나 손상된 보고서/대시보드가 표시되기 때문에 IT 팀에 지원 요청을 하게 될 수 있습니다. 따라서 이 시나리오에서는 계획 초대를 사용하는 것이 좋습니다.

이와 관련된 예를 하나 살펴보겠습니다.

앞서 언급한 대로 Contoso는 전 세계에 공급업체가 있으며, 공급업체 조직의 사용자가 자신의 지역에서만 데이터 인사이트를 얻도록 할 수 있습니다. 그러나 Contoso의 사용자는 모든 데이터에 액세스할 수 있습니다. Contoso는 여러 개의 보고서를 작성하는 대신 단일 보고서를 만들고 사용자에게 표시되는 내용에 기반하여 데이터를 필터링합니다.

공유 콘텐츠

연결 중인 사용자를 기준으로 Contoso가 데이터를 필터링할 수 있도록 Power BI Desktop에서 두 개의 역할이 만들어집니다. 하나는 SalesTerritory "유럽"의 모든 데이터를 필터링하고 다른 하나는 "북아메리카"에 대해 필터링을 수행합니다.

역할 관리

보고서에 역할이 정의될 때마다 사용자가 구체적인 역할에 할당되어야 데이터에 액세스할 수 있습니다. 역할 할당은 Power BI 서비스(의미 체계 모델 > 보안) 내에서 수행됩니다.

보안 설정

그러면 Contoso의 BI 팀이 만든 두 역할을 볼 수 있는 페이지가 열립니다. 이제 Contoso의 BI 팀이 사용자를 역할에 할당할 수 있습니다.

행 수준 보안

예제에서 Contoso는 이메일 주소가 admin@fabrikam.com인 파트너 조직의 사용자를 유럽 역할에 추가합니다.

행 수준 보안 설정

Microsoft Entra ID로 이 문제를 해결하면 Contoso는 추가할 준비가 된 이름이 창에 표시되는 것을 볼 수 있습니다.

역할 표시

이제 이 사용자가 공유된 앱을 열면 유럽의 데이터만 포함된 보고서를 볼 수 있습니다.

뷰 콘텐츠

동적 행 수준 보안

또 다른 흥미로운 주제는 Microsoft Entra B2B에서 동적 RLS(행 수준 보안)가 어떻게 작동하는지 알아보는 것입니다.

요약하면, 동적 행 수준 보안은 Power BI에 연결하는 사람의 사용자 이름을 기반으로 모델의 데이터를 필터링하는 방식으로 작동됩니다. 사용자 그룹에 대해 여러 역할을 추가하는 대신 모델에 사용자를 정의합니다. 패턴에 대해서는 여기서 자세히 설명하지 않습니다. Kasper de Jong은 Power BI Desktop 동적 보안 참고 자료이 백서에서 행 수준 보안의 모든 버전에 대한 자세한 설명을 제공합니다.

작은 예제를 살펴보겠습니다. Contoso에는 그룹별 판매에 대한 간단한 보고서가 있습니다.

샘플 콘텐츠

이제 이 보고서를 두 명의 게스트 사용자 및 한 명의 내부 사용자와 공유해야 합니다. 내부 사용자는 모든 것을 볼 수 있지만 게스트 사용자는 액세스 권한이 있는 그룹만 볼 수 있습니다. 따라서 게스트 사용자에 대해서만 데이터를 필터링해야 합니다. 데이터를 적절하게 필터링하기 위해 Contoso는 백서와 블로그 게시물에 설명된 대로 동적 RLS 패턴을 사용합니다. 즉, Contoso는 데이터 자체에 사용자 이름을 추가합니다.

데이터 자체에 대한 RLS 사용자 보기

그런 다음, Contoso는 올바른 관계로 데이터를 적절하게 필터링하는 올바른 데이터 모델을 만듭니다.

적절한 데이터가 표시됨

로그인한 사용자를 기준으로 데이터를 자동으로 필터링하려면 Contoso가 연결 중인 사용자를 전달하는 역할을 만들어야 합니다. 이 경우 Contoso는 두 가지 역할을 만듭니다. 첫 번째는 Power BI에 로그인한 사용자의 현재 사용자 이름이 포함된 사용자 테이블을 필터링하는 "securityrole"입니다(Microsoft Entra B2B 게스트 사용자에 대해서도 작동).

역할 관리

또한 Contoso는 모든 것을 볼 수 있는 내부 사용자를 위해 또 다른 "AllRole"을 만들며, 이 역할에는 보안 조건자가 없습니다.

Power BI 데스크톱 파일을 서비스에 업로드한 후 Contoso는 게스트 사용자를 "SecurityRole"에 할당하고 내부 사용자를 "AllRole"에 할당할 수 있습니다.

이제 게스트 사용자가 보고서를 열면 그룹 A의 판매 정보만 표시됩니다.

그룹 A에서만

오른쪽 매트릭스에서는 USERNAME() 및 USERPRINCIPALNAME() 함수의 결과가 모두 게스트 사용자 이메일 주소를 반환합니다.

이제 내부 사용자가 모든 데이터를 볼 수 있습니다.

모든 데이터가 표시됨

보시다시피 동적 RLS는 내부 또는 게스트 사용자 모두에서 작동합니다.

참고 항목

이 시나리오는 Azure Analysis Services에서 모델을 사용할 때도 작동합니다. 일반적으로 Azure Analysis Service는 Power BI와 동일한 Microsoft Entra ID에 연결됩니다. 이 경우 Azure Analysis Services는 Microsoft Entra B2B를 통해 초대된 게스트 사용자도 알고 있습니다.

온-프레미스 데이터 원본에 연결

Power BI는 Contoso가 온-프레미스 데이터 게이트웨이을 통해 직접 SQL Server Analysis Services 또는 SQL Server 같은 온-프레미스 데이터 원본을 사용할 수 있는 기능을 제공합니다. Power BI에서 사용하는 것과 동일한 자격 증명을 사용하여 해당 데이터 원본에 로그온할 수도 있습니다.

참고 항목

Power BI 테넌트에 연결할 게이트웨이를 설치할 때는 테넌트 내에서 만든 사용자를 사용해야 합니다. 외부 사용자는 게이트웨이를 설치하고 tenant._에 연결할 수 없습니다.

외부 사용자의 경우 외부 사용자가 일반적으로 온-프레미스 AD에 알려지지 않기 때문에 이 작업이 훨씬 복잡할 수 있습니다. Power BI는 Contoso 관리자가 데이터 원본 관리 - Analysis Services에 설명된 대로 외부 사용자 이름을 내부 사용자 이름에 매핑할 수 있도록 하여 이에 대한 해결 방법을 제공합니다. 예를 들어 lucy@supplier1.comlucy_supplier1_com#EXT@contoso.com에 매핑할 수 있습니다.

사용자 이름 매핑

Contoso에 소수의 사용자만 있거나 Contoso가 모든 외부 사용자를 단일 내부 계정에 매핑할 수 있는 경우에는 이 방법이 괜찮습니다. 각 사용자에게 고유한 자격 증명이 필요한 더 복잡한 시나리오의 경우, 데이터 원본 관리 - Analysis Services에 설명된 대로 사용자 지정 AD 특성을 사용하여 매핑을 수행하는 고급 접근 방식이 있습니다. 이 방법을 사용하면 Contoso 관리자가 Microsoft Entra ID의 모든 사용자(외부 B2B 사용자 포함)에 대한 매핑을 정의할 수 있습니다. 이러한 특성은 스크립트 또는 코드를 사용하여 AD 개체 모델을 통해 설정할 수 있으므로 Contoso는 초대 시 또는 예약된 주기로 매핑을 완전히 자동화할 수 있습니다.

거버넌스

Microsoft Entra B2B 공유를 사용하는 경우 Microsoft Entra 관리자는 외부 사용자 환경 측면을 제어합니다. 이러한 측면은 테넌트를 위한 Microsoft Entra ID 설정 내의 외부 협업 설정 페이지에서 제어됩니다.

자세한 내용은 외부 협업 설정 구성을 참조하세요.

참고 항목

기본적으로 게스트 사용자 권한이 제한됨 옵션이 예로 설정되므로 Power BI 내의 게스트 사용자는 특히 사용자 선택기 UI가 해당 사용자에 대해 작동하지 않는 공유를 중심으로 제한된 환경을 갖습니다. 좋은 환경을 보장하기 위해 아래와 같이 Microsoft Entra 관리자와 협력하여 해당 옵션을 아니요로 설정해야 합니다.

외부 협업 설정

게스트 초대 제어

Power BI 관리자는 Power BI 관리 포털을 방문하여 Power BI에 대한 외부 공유만 제어할 수 있습니다. 하지만 관리자는 다양한 Microsoft Entra 정책을 사용하여 외부 공유를 제어할 수도 있습니다. 이러한 정책을 통해 관리자는 다음을 수행할 수 있습니다.

  • 최종 사용자에 의한 초대 끄기
  • 관리자 및 게스트 초대자 역할의 사용자만 초대 가능
  • 관리자, 게스트 초대자 역할 및 구성원이 초대할 수 있음
  • 모든 사용자(게스트 포함)가 초대할 수 있음

이러한 정책에 대한 자세한 내용은 Microsoft Entra B2B 협업을 위한 초대 위임에서 확인할 수 있습니다.

외부 사용자에 의한 모든 Power BI 작업도 감사 포털에서 감사됩니다.

게스트 사용자에 대한 조건부 액세스 정책

Contoso는 Contoso 테넌트의 콘텐츠에 액세스하는 게스트 사용자에게 조건부 액세스 정책을 적용할 수 있습니다. 자세한 지침은 B2B 협업 사용자에 대한 조건부 액세스에서 확인할 수 있습니다.

일반적인 대체 방법

Microsoft Entra B2B를 사용하면 조직 간에 데이터와 보고서를 쉽게 공유할 수 있지만 일반적으로 사용되며 특정 경우에 탁월하게 작동할 수 있는 몇 가지 다른 방법이 있습니다.

대체 옵션 1: 파트너 사용자를 위한 중복 ID 만들기

이 옵션을 사용하는 경우 Contoso는 다음 이미지와 같이 Contoso 테넌트의 각 파트너 사용자에 대해 중복 ID를 수동으로 만들어야 했습니다. 그런 다음, Power BI 내에서 Contoso는 할당된 ID에 적절한 보고서, 대시보드 또는 앱을 공유할 수 있습니다.

적절한 매핑 및 이름 설정

이 대안을 선택하는 이유:

  • 사용자의 ID는 조직에 의해 제어되므로 이메일, SharePoint 등과 같은 모든 관련 서비스도 조직의 통제 내에 있습니다. IT 관리자는 암호를 재설정하거나, 계정에 대한 액세스를 사용하지 않도록 설정하거나, 이러한 서비스의 활동을 감사할 수 있습니다.
  • 업무에 개인 계정을 사용하는 사용자는 종종 특정 서비스에 대한 액세스가 제한되므로 조직 계정이 필요할 수 있습니다.
  • 일부 서비스는 조직의 사용자에 대해서만 작동합니다. 예를 들어 Microsoft Entra B2B를 사용하는 외부 사용자의 개인/모바일 디바이스에서 콘텐츠를 관리하기 위해 Intune을 사용하는 것은 불가능할 수 있습니다.

이 대안을 선택하지 않는 이유:

  • 파트너 조직의 사용자는 두 개의 자격 증명 집합을 기억해야 합니다. 하나는 자사 조직의 콘텐츠에 액세스하기 위한 것이고 다른 하나는 Contoso의 콘텐츠에 액세스하기 위한 것입니다. 이것은 이러한 게스트 사용자에게 번거로운 방식이며 많은 게스트 사용자가 이 환경으로 인해 혼란스러워합니다.
  • Contoso는 사용자별 라이선스를 구매하여 이러한 사용자에게 할당해야 합니다. 사용자가 이메일을 수신하거나 Office 애플리케이션을 사용해야 하는 경우 Power BI에서 콘텐츠를 편집하고 공유하기 위한 적절한 라이선스(Power BI Pro 포함)가 필요합니다.
  • Contoso는 내부 사용자에 비해 외부 사용자에 대해 더 엄격한 권한 부여 및 거버넌스 정책을 적용하려고 할 수 있습니다. 이를 위해 Contoso는 외부 사용자에 대한 사내 명명법을 만들어야 하며 모든 Contoso 사용자에게 이 명명법에 대해 교육해야 합니다.
  • 사용자가 조직을 떠나는 경우 Contoso 관리자가 해당 계정을 수동으로 삭제할 때까지는 Contoso의 리소스에 계속 액세스할 수 있습니다.
  • Contoso 관리자는 만들기, 암호 재설정 등을 포함하여 게스트의 ID를 관리해야 합니다.

대체 옵션 2: 사용자 지정 인증을 사용하여 사용자 지정 Power BI Embedded 애플리케이션 만들기

Contoso의 또 다른 옵션은 사용자 지정 인증('앱 소유 데이터')을 사용하여 자체 사용자 지정 포함 Power BI 애플리케이션을 빌드하는 것입니다. 많은 조직은 Power BI 콘텐츠를 외부 파트너에게 배포하기 위한 사용자 지정 애플리케이션을 만들 시간이나 리소스가 없지만, 일부 조직에서는 이것이 가장 좋은 방법이며 진지하게 고려해볼 가치가 있습니다.

종종 조직에는 파트너를 위한 모든 조직 리소스에 대한 액세스를 중앙에서 관리하고, 내부 조직 리소스로부터 격리를 제공하고, 많은 파트너와 개별 사용자를 지원하기 위해 파트너에게 간소화된 환경을 제공하는 기존 파트너 포털이 있습니다.

많은 파트너 포털

위의 예제에서 각 공급업체의 사용자는 Microsoft Entra ID를 ID 공급자로 사용하는 Contoso 파트너 포털에 로그인합니다. Microsoft Entra B2B, Azure Active Directory B2C, 네이티브 ID를 사용하거나 여러 다른 ID 공급자와 페더레이션할 수 있습니다. 사용자는 Azure Web App 또는 유사한 인프라를 사용하여 로그인하고 파트너 포털 빌드에 액세스합니다.

웹앱 내의 Power BI 보고서는 Power BI Embedded 배포에서 포함됩니다. 웹앱은 공급자가 Contoso와 쉽게 상호 작용할 수 있도록 하기 위해 응집력 있는 환경에서 보고서 및 관련 서비스에 대한 액세스를 간소화합니다. 이 포털 환경은 공급업체가 해당 리소스에 액세스할 수 없도록 Contoso의 내부 Microsoft Entra ID 및 Contoso의 내부 Power BI 환경으로부터 격리됩니다. 일반적으로 데이터는 데이터의 격리를 보장하기 위해 별도의 파트너 데이터 웨어하우스에 저장됩니다. 이 격리는 조직의 데이터에 직접 액세스할 수 있는 외부 사용자 수를 제한하고, 외부 사용자가 잠재적으로 사용할 수 있는 데이터를 제한하고, 실수로 인한 외부 사용자와의 공유를 제한하기 때문에 이점이 있습니다.

Power BI Embedded를 사용하는 포털에서는 앱 토큰 또는 마스터 사용자 및 Azure 모델에서 구매한 프리미엄 용량을 사용하여 유리한 라이선스를 사용할 수 있으므로 최종 사용자에게 라이선스를 할당할 때의 우려 사항을 단순화하고 예상 사용량을 기준으로 스케일 업/다운할 수 있습니다. 파트너의 모든 요구 사항을 염두에 두고 디자인된 단일 포털에 파트너가 액세스하므로 포털은 전반적으로 더 높은 품질과 일관된 환경을 제공할 수 있습니다. 마지막으로, Power BI Embedded 기반 솔루션은 일반적으로 다중 테넌트로 디자인되므로 파트너 조직 간에 쉽게 격리할 수 있습니다.

이 대안을 선택하는 이유:

  • 파트너 조직의 수가 증가함에 따라 관리하기 쉽습니다. 파트너는 Contoso의 내부 Microsoft Entra 디렉터리와 격리된 별도의 디렉터리에 추가되므로 IT의 거버넌스 업무를 간소화하고 외부 사용자에게 실수로 내부 데이터가 공유되는 것을 방지할 수 있습니다.
  • 일반적인 파트너 포털은 파트너 간에 일관된 환경을 제공하고 일반적인 파트너의 요구를 충족하도록 간소화된 고도로 브랜드화된 환경입니다. 따라서 Contoso는 필요한 모든 서비스를 단일 포털에 통합하여 파트너에게 전반적으로 더 나은 환경을 제공할 수 있습니다.
  • Power BI Embedded 내 콘텐츠 편집과 같은 고급 시나리오에 대한 라이선스 비용은 Azure에서 구매한 Power BI Premium에 포함되므로 해당 사용자에게 Power BI Pro 라이선스를 할당할 필요가 없습니다.
  • 다중 테넌트 솔루션으로 설계되는 경우 파트너 간에 더 나은 격리를 제공합니다.
  • 파트너 포털에는 Power BI 보고서, 대시보드 및 앱 이외의 파트너를 위한 다른 도구가 포함되어 있는 경우가 많습니다.

이 대안을 선택하지 않는 이유:

  • 이러한 포털을 빌드, 운영 및 유지 관리하려면 상당한 노력이 필요하므로 리소스와 시간에 큰 투자가 필요합니다.
  • 여러 작업 스트림에서 신중한 계획 및 실행이 필요하므로 솔루션에 드는 시간은 B2B 공유를 사용하는 것보다 훨씬 더 깁니다.
  • 파트너가 적은 경우 이 대안에 드는 비용이 너무 높아서 적절하지 않습니다.
  • 임시 공유를 통한 협업은 조직에서 직면하는 기본 시나리오입니다.
  • 보고서와 대시보드는 파트너마다 다릅니다. 이 대안은 파트너와 직접 공유하는 것 이상의 관리 오버헤드가 발생합니다.

FAQ

Contoso에서 사용자가 바로 "준비"될 수 있도록 자동으로 처리되는 초대장을 보낼 수 있나요? 또는 사용자가 사용 URL까지 항상 클릭스루해야 하나요?

최종 사용자는 항상 동의 환경 전체를 클릭해야 콘텐츠에 액세스할 수 있습니다.

많은 게스트 사용자를 초대하는 경우 리소스 조직의 게스트 초대자 역할에 사용자를 추가하여 핵심 Microsoft Entra 관리자로부터 이 권한을 위임하는 것이 좋습니다. 이 사용자는 로그인 UI, PowerShell 스크립트 또는 API를 사용하여 파트너 조직의 다른 사용자를 초대할 수 있습니다. 이렇게 하면 Microsoft Entra 관리자가 파트너 조직의 사용자를 초대하거나 초대장을 다시 보내야 하는 관리 부담이 줄어듭니다.

파트너에게 다단계 인증 기능이 없는 경우 Contoso가 게스트 사용자에게 다단계 인증을 적용할 수 있나요?

예. 자세한 내용은 B2B 협업 사용자에 대한 조건부 액세스를 참조하세요.

초대된 파트너가 페더레이션을 사용하여 자체 온-프레미스 인증을 추가하는 경우 B2B 혀법은 어떻게 작동하나요?

파트너에게 온-프레미스 인증 인프라로 페더레이션된 Microsoft Entra 테넌트가 있는 경우 온-프레미스 SSO(Single Sign-On)가 자동으로 이루어집니다. 파트너에게 Microsoft Entra 테넌트가 없는 경우 새로운 사용자에 대한 Microsoft Entra 계정이 생성될 수 있습니다.

소비자 이메일 계정으로 게스트 사용자를 초대할 수 있나요?

소비자 이메일 계정으로 게스트 사용자를 초대하는 것은 Power BI에서 지원됩니다. 여기에는 hotmail.com, outlook.com 및 gmail.com 같은 도메인이 포함됩니다. 그러나 이러한 사용자는 회사 또는 학교 계정을 가진 사용자 이상으로 제한 사항이 있을 수 있습니다.