3 Wege eine Power BI Agentur in deinem System zu berechtigen

Einfach, teuer, komplex, günstig. So kannst du eine Power BI Agentur in deiner Power BI Infrastruktur integrieren.

Als Power BI Agentur arbeiten wir zu 90% in den Power BI Umgebungen unserer Kunden. Das Problem: Power BI Rollen und Berechtigungen sind – in weiten Teilen – in das Microsoft Rollen- und Rechte-System integriert. Das bedeuet, dass unsere User meistens via Entra ID in ein irgendeiner Form sicher in Power BI Workspaces und Datenquellen berechtigt werden müssen.
Es gibt unterschiedliche Ansätze dies zu bewerkstelligen. Die dargestellten Ansätze haben jeweils Vor- und Nachteile und sind mit unterschiedlichen Kosten verbunden. Wir haben für deine Organisation die 3 wichtigsten Wege der Berechtigung mit Vor-, Nachteilen und Kosten zusammengestellt.

Inhalt

Schau dir die Optionen an:

1 | Interne Microsoft Accounts für externe User

2 | Berechtigung der externen User im internen Microsoft-Ökosystem

3 | Bereitstellung virtueller Windows 365 Cloud PCs für externe Nutzer

Die Herausforderung: Power BI Berechtigungen im Microsoft System

1 | Interne Microsoft Accounts für externe User

Externer interner Microsoft Account

Das Szenario ist wie folgt: Ein Analyst von THE BIG C Agency soll im Workspace eines Kunden berechtigt werden, um Reports anzupassen oder hochzuladen. Dafür legt die Kunden-Organisation einen neuen User in seinem Microsoft Tenant an. Unser User bekommt eine E-Mail, die ihm / ihr mitteilt, dass sie im Kunden-System absofort unter der E-Mail-Adresse
user.name@kunden-organisation.de oder user.name.extern@kunden-organisation.de
registriert ist und mit diesem Account in Power BI Web arbeiten kann.

Damit muss für die Systemadministration der Microsoft Tenant von THE BIG C Agency nicht zugelassen werden. Die Verwaltung der Rollen- und Rechte passiert komplett im eigenen Tenant – was an der Kunden-Domain in der E-Mail-Adresse zu erkennen ist. Zwei Dinge sind dabei zu beachten:

  1. Auch wenn wir hier von „internen“ Usern sprechen, können die Rechte der externen Mitarbeiter natürlich individuell und sehr eingeschränkt verwaltet werden. Wir empfehlen sogar die Rechte nicht 1:1 zu internen Mitarbeiten zu vergeben.
  2. Dem externen User mit der internen E-Mail-Adresse sollte mindestens eine Pro Power BI Lizenz zugeordnet werden. Diese kostet ca. 9€ pro Monat und muss entsprechend auch von der Kunden-Organisation übernommen werden.

Lizenzen sind in diesem Szenario ein wichtiges Thema. Die Kunden-Organisation muss sich in diesem Fall auch überlegen inwiefern der externe User in die Organisation integriert werden soll. Sollen über den neuen Account auch E-Mails geschrieben werden und an Meetings teilgenommen werden, ist mindestens eine Microsoft 365 Business Basic Subscription erforderlich. Diese berechtigt zur Nutzung der Office Web Apps, Outlook sowie Teams zur Kommunikation und kostet ca. 5,60€ pro Monat pro User. Sobald Projekte interne Datenquellen wie den Microsoft Sharepoint nutzen, ist es häufig ohnehin notwendig die Basic-Lizenz dazuzukaufen.
Sollte dies nicht gewünscht sein, kann die Kommunikation weiterhin mit der externen E-Mail-Adresse und externen Usern in Teams-Meetings durchgeführt werden.

Vorteil(e)

  • Keine Ausnahmen im Prozess der Berechtigungen zwischen internen und externen Usern
  • Komplette Kontrolle über die Berechtigungen der externen Nutzer

Nachteil(e)

  • Kosten für Power BI Lizenz und ggf. MS Office Services (z.B. Outlook Inbox) entstehen für Kunden.
  • Doppelte Identität für externe Accounts
  • Ggf. Bruch in der Kollaboration durch doppelte Identität
  • Keine Kontrolle über externe Hardware & Policies
THE BIG C Agency Einschätzung

Diese Herangehensweise sehen wir in den meisten kleineren Projekten und können damit arbeiten. Tatsächlich bevorzugen wir, dass die Power BI Nutzung im Tenant des Kunden stattfindet, aber Kommunikation via E-Mail und Teams über bestehende externe Adressen läuft, weil dies Antwortzeiten und Feedback-Schleifen deutlich verkürzt.

2 | Berechtigung der externen User im internen Microsoft-Ökosystem

Cross Tenant Microsoft Access für Power BI

So läuft „Berechtigung“ in den meisten Systemen, die nicht mit „Microsoft“ in Verbindung stehen. Ein THE BIG C Agency User wird in diesem Szenario mit dem THE BIG C Agency Account im Microsoft Tenant des Kunden berechtigt. D.h. mit dem Account
user.name@thebigc-agency.de
kann in Power BI, Teams, Sharepoint und Co. gearbeitet werden. Klingt erstmal intuitiv. Aber für viele Organisationen gibt es einen Catch:

So muss häufig nicht nur der User berechtigt werden, sondern auch der User-Tenant – in diesem Fall unser Tenant – mit entsprechenden Rechten und Berechtigungen ausgestattet werden. Andernfalls werden externe User häufig direkt mit einem „Gast-Status“ im System hinterlegt, was zu erheblichen Einschränkungen führen kann, die nur mit spezifischem Entra ID Wissen behoben werden können. Wenn man also keinen Sysadmin mit 20 Jahren Erfahrung in Microsoft Admin / Azure / Entra ID Kontrollkästchen-Klicken im Unternehmen hat, ist diese Option meistens für Auftraggeber und Auftragnehmer unattraktiv.

Können diese Barrieren aber genommen werden und es wird erfolgreich ein Cross-Tenant-User konfiguriert gilt „Bring your own license“. D.h. ein externer User kann mit der Power Lizenz seiner Home-Org im Environment des Kunden arbeiten.

Vorteil(e)

  • Keine doppelten Identitäten für externe Dienstleister erforderlich
  • „Seamless“ Integration der Kommunikation via E-Mail oder Teams.
  • Lizenzen werden von der Agentur-Organisation bezahlt und können bei Bedarf auch ohne Kunden-Kosten zusätzlich bestellt werden.

Nachteil(e)

  • Teilweise aufwendige Konfiguration von Cross-Tenant-Nutzern in Entra ID mit spezfischen Ausnahmen
  • Geringere Kontrolle über externen Account
  • Gast-Accounts können ungewollte Einschränkungen in der Kollaboration mit internen Mitarbeitern haben
  • Keine Kontrolle über externe Hardware & Policies
THE BIG C Agency Einschätzung

Diese Herangehensweise ist in Kundenprojekten selten, auch wenn sie intuitiv erscheint. Dabei ist häufig nicht einmal das mangelnde Verständnis von Cross-Tenant-Berechtigungen in der Kunden-Organisation das Problem, sondern viel eher interne Sicherheits-Richtlinien, die Cross-Tenant-Kollaboration massiv einschränken.
Das verstehen wir natürlich und respektieren unsere Kundenwünsche in Bezug auf Sicherheit und Datenschutz. Des Weiteren wissen wir aus eigener Erfahrung, welche Stolperfalle das Microsoft-Berechtigungssystem ist.

3 | Bereitstellung virtueller Windows 365 Cloud PCs für externe Nutzer

Windows Cloud PC für Power BI

Besonders spannend für längerfristig angelegte Enterprise Projekte: Die Bereitstellung eines Windows 365 Cloud PCs für „Externe“ ist in den vergangenen Jahren deutlich attraktiver geworden. Das liegt vor allem daran, dass die virtuellen Windows-Maschinen besser auf das Handling von Power BI Workloads vorbereitet sind und dass sie innerhalb von Minuten provisioniert werden können.

Das System ist denkbar einfach: Ein externer User erhält im Kundensystem zuerst einen internen Microsoft Account, wie in Punkt 1 | Interne Microsoft Accounts für externe Nutzer beschrieben. Dann wird diesem Account ein Windows Cloud PC assigned. Ein Cloud PC ist ein nahezu vollwertiger Windows PC auf einem Cloud Server. Der User von THE BIG C Agency kann sich über den Browser, die Windows App oder die Remote Desktop App in diesen PC einloggen und dort Arbeiten an Power BI Reports oder andere Dokumenten vornehmen. Es kann auch an Teams-Calls teilgenommen werden, da Audio- und Video-Signal auf den echten PC des User weitergeleitet werden.

Der Vorteil liegt auf der Hand. Für die Kunden-Organisation besteht nicht nur in der Kontrolle über die Berechtigungen des Users, sondern auch über die Hardware des Users. Ein Cloud PC für Power-BI-Arbeiten kostet ca. 60€ pro Monat pro Nutzer. Dies liegt daran, dass Power BI höhere RAM und Prozessor-Anforderungen hat als die meisten Microsoft Desktop-Apps. Zusätzlich fallen Lizenzenkosten für Power BI (ab 9€ pro Monat) und Office Services (ab 5,60€ pro Monat) an.

Vorteil(e)

  • Komplette Kontrolle über die Integregation ohne spezifische Ausnahmen des externen Users durch die Bereitstellung virtueller „Hardware“.

Nachteil(e)

  • Teuerste Variante durch Kosten für Cloud-PC (ca. 60€ pro User pro Monat) und Power BI Lizenz (ca. 9€ pro Monat)
  • Für Teilnahme an Meetings und Office-Nutzung fallen ggf. MS Office Kosten an
  • Zusätzliche Intune Services für die Nutzung von mobilen Services erforderlich
THE BIG C Agency Einschätzung

Wir von THE BIG C Agency würden uns wünschen, dass mehr Enterprise-Kunden auf eine Cloud-PC-Lösung zur Integration externer Dienstleister setzen würden, da sie eine volle Integration in die Organisation des Kunden aus dem Komfort der eigenen Hardware bieten.
Auch wenn die Kosten initial hoch erscheinen, geben wir zu bedenken, dass die Betriebskosten relativ gering sind im Vergleich zu den meisten Gesamtprojekt-Kosten und die Bereitstellung „echter“ performanter Hardware für externe User ebenfalls Kosten verursacht.

3b | Azure Virtual Desktops statt Windows 365 Cloud PCs

An dieser Stelle möchten wir noch darauf hinweisen, dass es eine vermeindlich günstigere Variante zu Microsoft Cluod PCs gibt: Azure Virtual Desktops. Diese werden von Organisationen meistens direkt in Azure erstellt und werden quasi manuell paketiert.
Während Windows Cloud PCs so bepreist werden, dass sie 24 Stunden für einen User exklusiv täglich laufen können und vorkonfiguriert sind, werden Azure Virtual Desktops leistungsgerecht (nach Uptime) abgerechnet und werden von Systemadministratoren konfiguriert und provisioniert.

Für den Fall, dass bereits Cluster von virtuellen Maschinen bestehen, die Multi-Session unterstützen, können externe User auch auf diese virtuellen PCs geschaltet werden, was die monatlichen Kosten pro User nochmal unter die Summe eines Windows 365 Cloud PCs bringen können. Hinweis: Power BI Workloads erfordern normalerweise höhere VM-Konfigurationen als die von Frontline und Non-IT-Personal.

3c | Physische PCs für externe User

Wer die Sektionen 3 | Bereitstellung virtueller Windows 365 Cloud PCs für externe Nutzer und 3b | Azure Virtual Desktops statt Windows 365 Cloud PCs aufmerksam gelesen hat, wird festgellt haben, dass hier von virtuellen Computern gesprochen wird. Wer nun denkt: „Warum stelle ich externen Mitarbeitern nicht einfach echte Computer zur Arbeit zur Verfügung?“ dem sei gesagt:

Please don’t!

Für Power BI Projekte führt die Bereitstellung von echter Hardware häufig zu folgenden Problemen:

  • Die erforderliche Hardware für effektive Arbeit mit Daten erfodert meistens PC-Konfigurationen, die ca. 1.800€ in der Anschaffung kosten. Konfigurationen, die viele Firmen häufig nicht im Lager auf Abruf haben.
  • Die meisten Analysten, so auch bei THE BIG C Agency, haben ohnehin Hardware, die auf derartige Workloads vorbereitet ist.
  • Für den Projektzeitraum müssen so immer zwei Endgeräte mitgeführt werden.
  • Die Doppel-PC-Situation führt zu Ineffizienzen in der täglichen Kommunikation
  • Es wird zusätzlicher Elektroschrott produziert, wenn externe Mitarbeiter mit PCs ausgestattet werden.

Die Herausforderung: Power BI Berechtigungen im Microsoft System

Wie bereits erwähnt: Power BI wird – in weiten Teilen – über Microsoft bzw. Azure bzw. Entra ID gemanaged. Es ist leider so, dass das Microsoft Berechtigungssystem komplex ist und für viele Organisation ohne spezifische interne oder externe Expertise kaum zu handeln ist. Aus eigener Erfahrung wissen wir von THE BIG C Agency: Es macht absolut keinen Spaß!

Hier unsere Takes für die größten Herausforderungen im Microsoft / Azure Ökosystem:

  • Das Microsoft Entra ID Interface ist eine einzige Ansammlung aus Listen und Checkboxen. Normalsterbliche User brauchen lange um sich hier überhaupt zurechtzufinden.
  • Die Konfiguration von Berechtigungen von Usern (oder gar Gruppen) ist nahezu unendlich: Jede neue Checkbox, die für einen User gesetzt wird, kann schnell zu einem Sicherheitsrisiko oder einer massiven Einschränkung der täglichen Arbeit führen.
  • Lizenzen für die Nutzung Software-Produkten wie Power BI und Microsoft Office müssen erworben und zugeordnet werden. Welche Lizenz dem User bei der täglichen Arbeit hilft, ist aber meistens erst auf den dritten Blick ersichtlich.
  • Ist ein User korrekt zentral konfiguriert worden, kann es sein, dass zusätzliche operative Berechtigungen auf Programm-Ebene hinterlegt werden müssen. So müssen häufig noch Rechte in Power BI Workspaces und Sharepoint Sites separat vergeben werden.
  • Sollen zusätzliche Kontrollen auf Hardware/Device Ebene eingeführt werden, ist zudem die Nutzung und Konfiguration von Microsoft Intune erforderlich (z.B. bei der sicheren Nutzung von mobilen Applikationen auf iOS oder Android Smartphones).

Wir sind uns natürlich bewusst, dass diesen Downsides auch massive Upsides gegenüberstehen. Organisationen sind durch das komplexe Microsoft-Konstrukt in der Lage Sicherheit und Datenschutz der Organisation bis ins kleinste Detail zu steuern und sich selber bestmöglich zu schützen. So ist das Microsoft-System in der Lage die höchsten Sicherheitsstandards aus Wirtschaft und Regierungsorganisationen zu erfüllen.

Icon Graph Up 5x5

Wir erstellen Power BI Reports für dein Business!

Wenn du auf der Suche nach ansehnlichen und effektiven Power BI Reports für deine Organisation bist, kann dir THE BIG C Agency behilflich sein. Wir lieben Reporting und Analysen. Nutze das Fluent Form oder eine E-Mail, um uns unverbindlich zu kontaktieren. Oder schau dir weitere Power BI Referenzen an.

Kontakt

Folge THE BIG C Agency auf LinkedIn, instagram oder facebook, um weitere Videos aus der Power BI „WebMega“ Demo-Reihe zu sehen.

Schlagwörter