Planejamento de implementação do Power BI: configuração do locatário
Observação
Este artigo faz parte da série de artigos sobre o Planejamento de implantação do Power BI. Esta série se concentra principalmente na experiência do Power BI no Microsoft Fabric. Para ter uma introdução a essa série, confira Planejamento de implementação do Power BI.
Este artigo de configuração de locatário apresenta aspectos importantes para saber mais sobre como configurar seu locatário do Fabric, com ênfase na experiência do Power BI. Ele é direcionado a vários públicos-alvo:
- Administradores do Fabric: os administradores responsáveis por supervisionar o Fabric na organização.
- Administradores do Microsoft Entra: a equipe responsável por supervisionar e gerenciar a ID do Microsoft Entra.
O Fabric faz parte de um ecossistema maior da Microsoft. Se sua organização já estiver usando outros serviços de assinatura de nuvem, como o Azure, o Microsoft 365 ou o Dynamics 365, o Fabric operará no mesmo locatário do Microsoft Entra. Seu domínio organizacional (por exemplo, contoso.com) está associado ao Microsoft Entra ID. Assim como todos os serviços de nuvem da Microsoft, seu locatário do Fabric depende do Microsoft Entra ID da sua organização para gerenciamento de identidade e acesso.
Dica
Muitas organizações têm um ambiente do Active Directory (AD) local que sincronizam com o Microsoft Entra ID na nuvem. Essa configuração é conhecida como uma solução de identidade híbrida, que está fora do escopo deste artigo. O conceito importante a ser entendido é que os usuários, grupos e entidades de serviço devem existir no Microsoft Entra ID para um conjunto de serviços baseado em nuvem, como o Fabric, para funcionar. Ter uma solução de identidade híbrida funcionará para o Fabric. Recomendamos conversar com os administradores do Microsoft Entra sobre a melhor solução para sua organização.
Para obter mais informações sobre as responsabilidades de um administrador do Fabric, consulte Administração de locatário.
Locatário do Microsoft Entra
A maioria das organizações tem um locatário do Microsoft Entra, portanto, geralmente é verdade que um locatário do Microsoft Entra representa uma organização.
Normalmente, o Microsoft Entra ID é configurado antes do início de uma implementação do Fabric. No entanto, às vezes é quando você provisiona um serviço de nuvem que você se torna ciente da importância do Microsoft Entra ID.
Dica
Como a maioria das organizações tem um locatário do Microsoft Entra, pode ser desafiador explorar novos recursos de forma isolada. Você pode se qualificar para um locatário de desenvolvedor que não seja de produção por meio do Programa de Desenvolvedor do Microsoft 365; para obter detalhes, consulte as Perguntas frequentes. Como alternativa, você pode se inscrever para uma avaliação gratuita de 1 mês ou comprar um plano do Microsoft 365.
Locatário não gerenciado
Um locatário gerenciado tem um administrador global atribuído no Microsoft Entra ID. Se um locatário do Microsoft Entra não existir para um domínio organizacional (por exemplo, contoso.com), quando o primeiro usuário dessa organização se inscrever para uma avaliação ou conta do Fabric, um locatário não gerenciado será criado no Microsoft Entra ID. Um locatário não gerenciado também é conhecido como um locatário sombra ou um locatário criado por autoatendimento. Ele tem uma configuração básica, permitindo que o serviço de nuvem funcione sem atribuir um administrador global.
Para gerenciar, configurar e dar suporte corretamente ao Fabric, um locatário gerenciado é necessário. Há um processo que um administrador do sistema pode seguir para assumir um locatário não gerenciado para que ele possa gerenciá-lo corretamente em nome da organização.
Dica
A administração do Microsoft Entra ID é um tópico amplo e profundo. Recomendamos que você atribua pessoas específicas em seu departamento de TI como administradores do sistema para gerenciar com segurança o Microsoft Entra ID para sua organização.
Lista de verificação – Ao revisar seu locatário do Microsoft Entra para uso com o Fabric, as principais decisões e ações incluem:
- Assumir o locatário: se aplicável, inicie o processo para assumir um locatário não gerenciado.
- Confirme se o locatário do Microsoft Entra é gerenciado: Verifique se os administradores do sistema gerenciam ativamente seu locatário do Microsoft Entra.
ID do locatário para usuários externos
Você deve considerar como os usuários acessarão seu locatário quando você tiver usuários externos (como clientes, parceiros ou fornecedores) ou quando os usuários internos precisarem acessar outro locatário fora da sua organização. Para acessar um locatário organizacional diferente, uma URL modificada é usada.
Cada locatário do Microsoft Entra tem um GUID (identificador global exclusivo) conhecido como ID do locatário. No Fabric, ele é conhecido como a ID de locatário do cliente (CTID). A CTID é acrescentada ao final da URL do locatário. Você pode encontrar o CTID no portal do Fabric abrindo a janela de diálogo Sobre o Microsoft Fabric. Está disponível no menu Suporte à Ajuda (?), localizado na parte superior direita do portal do Fabric.
Conhecer sua CTID é importante para cenários B2B do Microsoft Entra. As URLs que você fornece a usuários externos (por exemplo, para exibir um relatório do Power BI) devem ser acrescentadas do parâmetro CTID para acessar o locatário correto.
Se você pretende colaborar ou fornecer conteúdo a usuários externos, recomendamos configurar a identidade visual personalizada. O uso de um logotipo, imagem de capa e tema ajuda os usuários a identificar qual locatário organizacional eles estão acessando.
Lista de verificação – ao conceder permissão a usuários externos para exibir o conteúdo ou quando há vários locatários, as principais decisões e ações incluem:
- Inclua a CTID na documentação relevante do usuário: registre a URL que acrescenta a ID do locatário (CTID) na documentação do usuário.
- Configurar a identidade visual personalizada no Fabric: no portal de administração do Fabric, configure a identidade visual personalizada para ajudar os usuários a identificar o locatário organizacional.
Administradores do Microsoft Entra
Os administradores do Fabric precisam trabalhar periodicamente com os administradores do Microsoft Entra.
A lista a seguir inclui alguns motivos comuns para colaboração entre administradores do Fabric e administradores do Microsoft Entra.
- Grupos de segurança: você precisará criar grupos de segurança para gerenciar corretamente as configurações do locatário do Fabric. Você também pode precisar de novos grupos para proteger o conteúdo do espaço de trabalho ou para distribuir conteúdo.
- Propriedade do grupo de segurança: talvez você queira atribuir um proprietário de grupo para permitir mais flexibilidade em quem pode gerenciar um grupo de segurança. Por exemplo, poderia ser mais eficiente permitir que o Centro de Excelência (COE) gerencie as associações de determinados grupos específicos do Fabric.
- Entidades de serviço: Talvez seja necessário criar um registro de aplicativo do Microsoft Entra para provisionar uma entidade de serviço. A autenticação com uma entidade de serviço é uma prática recomendada quando um administrador do Fabric deseja executar scripts agendados autônomos que extraem dados usando as APIs de administrador ou ao inserir conteúdo em um aplicativo.
- Usuários externos: Você precisará entender como as configurações para usuários externos (convidados) são configuradas no Microsoft Entra ID. Há várias configurações de locatário do Fabric relacionadas a usuários externos e elas dependem de como o Microsoft Entra ID é configurado. Além disso, determinados recursos de segurança para a carga de trabalho do Power BI só funcionam ao usar a abordagem de convite planejado para usuários externos no Microsoft Entra ID.
- Políticas de controle em tempo real: Você pode optar por configurar políticas de controle de sessão em tempo real, que envolvem o Microsoft Entra ID e Aplicativos do Microsoft Defender para Nuvem. Por exemplo, você poderá proibir o download de um relatório do Power BI quando ele tiver um rótulo de confidencialidade específico.
Para obter mais informações, consulte Colaborar com outros administradores.
Lista de verificação – Ao considerar como trabalhar com seus administradores do Microsoft Entra, as principais decisões e ações incluem:
- Identifique os administradores do Microsoft Entra: Verifique se você conhece os administradores do Microsoft Entra para sua organização. Esteja preparado para trabalhar com eles conforme necessário.
- Envolva seus administradores do Microsoft Entra: À medida que você trabalha com seu processo de planejamento de implementação, convide os administradores do Microsoft Entra para reuniões pertinentes e envolva-os na tomada de decisões relevante.
Local para armazenamento de dados
Quando um locatário é criado, os recursos são provisionados no Azure, que é a plataforma de computação em nuvem da Microsoft. Sua localização geográfica se torna a região de origem do seu locatário. A região inicial também é conhecida como a região de dados padrão.
Região inicial
A região de origem é importante porque:
- O desempenho de relatórios e dashboards depende, em parte, dos usuários estarem próximos à localização do locatário.
- Pode haver razões legais ou regulatórias para que os dados da organização sejam armazenados em uma jurisdição específica.
A região inicial do locatário da organização é definida como o local do primeiro usuário que se inscreve. Se a maioria dos usuários estiver localizada em uma região diferente, essa região poderá não ser a melhor opção.
Você pode determinar a região de origem do locatário abrindo a janela de diálogo Sobre o Microsoft Fabric no portal do Fabric. A região é exibida ao lado dos dados armazenados no rótulo.
Você pode descobrir que seu locatário reside em uma região que não é ideal. Você pode usar o recurso multigeográfico criando uma capacidade em uma região específica (descrito na próxima seção) ou pode movê-la. Para mover seu locatário para outra região, o administrador global do Microsoft 365 deve abrir uma solicitação de suporte.
A realocação de um locatário para outra região não é um processo totalmente automatizado e envolve algum tempo de inatividade. Lembre-se de levar em consideração os pré-requisitos e as ações necessários antes e depois da movimentação.
Dica
Como há muito esforço envolvido, quando você determina que uma mudança é necessária, recomendamos que você faça isso o quanto antes.
Lista de verificação – ao considerar a região de origem para armazenar dados em seu locatário, decisões e ações importantes incluem:
- Identifique sua região de origem: determine a região de origem do locatário.
- Inicie o processo para mover o seu inquilino: se você descobrir que seu inquilino está localizado em uma região geográfica inadequada (que não pode ser resolvida com o recurso Multi-Geo), pesquise o processo para mover o seu inquilino.
Outras regiões de dados específicas
Algumas organizações têm requisitos de residência de dados. Os requisitos de residência de dados geralmente incluem requisitos regulatórios ou do setor para armazenar dados em uma região geográfica específica. Os requisitos de Soberania de dados são semelhantes, mas mais rigorosos porque os dados estão sujeitos às leis do país em que os dados são armazenados. Algumas organizações também têm requisitos de localização de dados, que determinam que os dados criados dentro de certas bordas precisam permanecer dentro dessas bordas.
Requisitos regulatórios, do setor ou legais podem exigir que você armazene determinados dados em outro lugar da região de origem (descrito na seção anterior). Nessas situações, você pode se beneficiar do recurso Multi-Geo criando uma capacidade em uma região específica. Nesse caso, você deve atribuir workspaces à capacidade correta para garantir que os dados do workspace sejam armazenados na localização geográfica desejada.
O suporte ao Multi-Geo permite que as organizações:
- Atendam aos requisitos de residência de dados para dados inativos.
- Aprimore a capacidade de localizar dados próximos à base de usuários.
Observação
O recurso multigeográfico está disponível com qualquer tipo de licença de capacidade (exceto capacidade compartilhada). Ele não está disponível com PPU (Premium por Usuário) porque os dados armazenados em workspaces atribuídos ao PPU são sempre armazenados na região de origem (assim como a capacidade compartilhada).
Lista de verificação – ao considerar outras regiões de dados específicas para seu locatário, as principais decisões e ações incluem:
- Identificar os requisitos de residência de dados: determine quais são seus requisitos para residência de dados. Identifique quais regiões são apropriadas e quais usuários podem estar envolvidos.
- Investigue o uso do recurso Multi-Geo: para situações específicas em que os dados devem ser armazenados em outro lugar da região de origem, investigue a habilitação do Multi-Geo.
Conteúdo relacionado
Para obter mais considerações, ações, critérios de tomada de decisão e recomendações para ajudar você com decisões de implementação do Power BI, veja o planejamento de implementação do Power BI.
Dica
Para aprender como gerenciar um locatário do Fabric, recomendamos que você trabalhe por meio do módulo Administrar o Microsoft Fabric.