Hoe deel je een Power BI-rapport veilig met collega's buiten je organisatie?

Een Power BI-rapport veilig delen met collega’s buiten je organisatie doe je via Azure Active Directory B2B (Azure AD B2B), waarbij externe gebruikers als gastgebruikers worden uitgenodigd. Hiermee behoudt jouw organisatie volledige controle over wie toegang heeft en welke gegevens zichtbaar zijn. In dit artikel beantwoorden we de meest gestelde vragen over het extern delen van Power BI-rapporten, van de beschikbare methoden tot licentievereisten en beveiligingsinstellingen. Wil je meer weten over de onderliggende technologie? Bekijk dan ons volledige trainingsaanbod voor Power BI en aanverwante Microsoft-tools.

Welke methoden zijn er om een Power BI-rapport extern te delen?

Er zijn drie hoofdmethoden om een Power BI-rapport extern te delen: via Azure AD B2B-gastgebruikers, via een openbare ingesloten link (publish to web) en via Power BI Embedded. De juiste keuze hangt af van het gewenste beveiligingsniveau en of de ontvangers zich moeten authenticeren.

De meest gebruikte en veiligste methode is Azure AD B2B, waarbij externe gebruikers worden uitgenodigd met hun eigen zakelijke of persoonlijke e-mailadres. Ze ontvangen een uitnodiging, loggen in met hun eigen account en krijgen toegang tot specifieke rapporten of werkruimten die jij hebt gedeeld.

De optie “Publish to web” maakt een rapport volledig openbaar toegankelijk via een URL of iFrame. Dit is geschikt voor publieke dashboards zonder gevoelige informatie, maar absoluut ongeschikt voor bedrijfskritische of vertrouwelijke gegevens. Iedereen met de link kan het rapport bekijken, zonder enige authenticatie.

Power BI Embedded is een meer technische optie waarbij rapporten worden geïntegreerd in externe applicaties. Dit vereist ontwikkelingswerk en is doorgaans bedoeld voor organisaties die Power BI-functionaliteit willen inbouwen in een klantportaal of externe applicatie.

Wat is Azure AD B2B en hoe werkt het bij Power BI?

Azure AD B2B (Business-to-Business) is een functie van Microsoft Azure Active Directory waarmee organisaties externe gebruikers kunnen uitnodigen als gastgebruikers in hun eigen Azure AD-tenant. Bij Power BI betekent dit dat externe personen toegang kunnen krijgen tot rapporten en werkruimten zonder dat ze een account in jouw organisatie nodig hebben.

Wanneer je een externe gebruiker uitnodigt, ontvangt die persoon een e-mailuitnodiging met een link. Na acceptatie verschijnt de gebruiker als gastgebruiker in jouw Azure AD. Vervolgens kun je deze gastgebruiker toegang geven tot specifieke Power BI-werkruimten of afzonderlijke rapporten, net zoals je dat bij interne medewerkers doet.

Een belangrijk voordeel van Azure AD B2B is dat de externe gebruiker zich aanmeldt met zijn of haar eigen identiteit. Jouw organisatie hoeft geen wachtwoorden te beheren voor externe partijen. Bovendien blijven alle toegangspogingen geregistreerd in de auditlogs van Azure AD, wat transparantie en traceerbaarheid biedt.

Beheerders kunnen ook instellen of externe gebruikers rapporten mogen exporteren, afdrukken of verder delen. Deze fijnmazige controle maakt Azure AD B2B de meest aanbevolen methode voor Power BI externe gebruikers in een zakelijke context.

Welke beveiligingsrisico’s zijn er bij het extern delen van Power BI-rapporten?

De voornaamste beveiligingsrisico’s bij het extern delen van Power BI-rapporten zijn onbedoelde gegevensblootstelling, ongeautoriseerde doorgifte van rapporten en onvoldoende toegangscontrole. Zonder de juiste instellingen kunnen externe gebruikers mogelijk meer gegevens inzien dan bedoeld, of rapporten doorsturen naar derden.

Een concreet risico is het gebruik van de “Publish to web”-functie voor interne rapporten. Zodra een rapport openbaar is gepubliceerd, is het voor iedereen toegankelijk, ook voor concurrenten of kwaadwillenden. Dit risico is eenvoudig te vermijden door deze functie te beperken via de Power BI-beheerdersinstellingen.

Een ander risico is het ontbreken van rijniveaubeveiliging (Row-Level Security, RLS). Zonder RLS ziet een externe gebruiker mogelijk alle rijen in een dataset, ook gegevens die niet voor hem of haar bedoeld zijn. Dit is met name relevant wanneer één rapport wordt gedeeld met meerdere externe partijen die elkaars gegevens niet mogen zien.

Tot slot is er het risico van verouderde gastaccounts. Wanneer een externe samenwerking eindigt maar het gastaccount niet wordt verwijderd, blijft de toegang actief. Regelmatige audits van gastgebruikers in Azure AD zijn daarom essentieel voor een gezonde Power BI-beveiliging.

Hoe stel je rijniveaubeveiliging in voor externe gebruikers?

Rijniveaubeveiliging (Row-Level Security of RLS) in Power BI stel je in via Power BI Desktop door rollen te definiëren met DAX-filterregels. Nadat je het rapport hebt gepubliceerd, wijs je externe gastgebruikers toe aan de juiste rol in de Power BI-service, zodat zij alleen de gegevensrijen zien die voor hen bestemd zijn.

Het proces verloopt in de volgende stappen:

1. Open het rapport in Power BI Desktop en ga naar het tabblad “Modelleren”.
2. Klik op “Rollen beheren” en maak een nieuwe rol aan met een beschrijvende naam.
3. Voeg een DAX-filterexpressie toe aan de relevante tabel, bijvoorbeeld [E-mailadres] = USERPRINCIPALNAME() om elke gebruiker alleen zijn eigen gegevens te tonen.
4. Publiceer het rapport naar de Power BI-service.
5. Navigeer in de service naar de dataset, kies “Beveiliging” en voeg de externe gastgebruiker toe aan de juiste rol.

De functie USERPRINCIPALNAME() is hierbij bijzonder krachtig, omdat Power BI automatisch het aangemelde e-mailadres van de gebruiker ophaalt. Voor Azure AD B2B-gastgebruikers werkt dit naadloos, omdat zij zich aanmelden met hun eigen identiteit.

Test de RLS-configuratie altijd via de “Weergeven als rol”-functie in Power BI Desktop voordat je het rapport publiceert. Zo voorkom je dat externe gebruikers onbedoeld toegang krijgen tot gegevens van andere partijen.

Welke licentie heeft een externe gebruiker nodig om een Power BI-rapport te bekijken?

Een externe gebruiker heeft in de meeste gevallen een Power BI Pro-licentie nodig om een gedeeld rapport te bekijken. De licentie kan worden verstrekt door de eigen organisatie van de externe gebruiker, of jouw organisatie kan een gastgebruikerslicentie toewijzen via Azure AD B2B.

Er is echter een belangrijke uitzondering: als het rapport is gepubliceerd in een werkruimte die valt onder een Power BI Premium-capaciteit, hoeven externe gebruikers geen eigen Pro-licentie te hebben. In dat geval volstaat een gratis Power BI-account voor de externe gebruiker om het rapport te bekijken. Jouw organisatie draagt in dat scenario de kosten via de Premium-capaciteitslicentie.

De licentievereisten zijn afhankelijk van meerdere factoren, zoals de werkruimtecapaciteit, het type inhoud dat wordt gedeeld en de rechten die de externe gebruiker krijgt. Wanneer externe gebruikers niet alleen mogen bekijken maar ook mogen bewerken of publiceren, is een Pro-licentie altijd vereist, ongeacht de capaciteitsinstellingen.

Het is verstandig om de licentiesituatie van externe gebruikers vooraf te verifiëren om onverwachte toegangsproblemen te voorkomen. Power BI geeft een foutmelding wanneer een gebruiker probeert toegang te krijgen tot inhoud waarvoor de benodigde licentie ontbreekt.

Wat zijn de beste praktijken voor veilig extern delen in Power BI?

De beste praktijken voor veilig extern delen in Power BI zijn: gebruik altijd Azure AD B2B in plaats van openbare links, implementeer rijniveaubeveiliging voor rapporten met meerdere externe partijen, beperk exportmogelijkheden en voer regelmatig audits uit op gastgebruikersaccounts.

Concreet betekent dit:

• Beperk “Publish to web”: Schakel deze functie uit in de Power BI-beheerdersinstellingen, tenzij er een expliciete zakelijke reden is voor openbare publicatie.
• Gebruik werkruimterollen bewust: Wijs externe gebruikers toe als “Kijker” en niet als “Bijdrager” of “Beheerder”, tenzij hun rol dat vereist.
• Stel een vervaldatum in voor gastaccounts: Azure AD biedt de mogelijkheid om gastaccounts automatisch te laten verlopen, wat helpt bij het beheer van voormalige samenwerkingspartners.
• Schakel auditlogboeken in: Zorg dat de auditlogboeken van Power BI en Azure AD actief zijn, zodat je kunt zien wie wanneer welk rapport heeft bekeken.
• Beperk exportmogelijkheden: Via de Power BI-beheerdersinstellingen kun je voorkomen dat externe gebruikers gegevens exporteren naar Excel of PDF.
• Gebruik gevoeligheidslabels: Microsoft Purview Information Protection maakt het mogelijk om gevoeligheidslabels toe te passen op Power BI-rapporten, zodat beveiligingsbeleid ook buiten Power BI van kracht blijft.

Een goede governance rondom Power BI externe gebruikers begint bij duidelijke interne afspraken over wie rapporten mag delen, met wie en onder welke voorwaarden. Documenteer dit beleid en communiceer het naar iedereen die toegang heeft tot Power BI-werkruimten.

Hoe Startel helpt met veilig Power BI-rapporten delen

Wij bij Startel bieden praktijkgerichte Power BI-trainingen waarmee je niet alleen leert rapporten te bouwen, maar ook hoe je ze veilig en verantwoord deelt met interne en externe gebruikers. Onze trainingen zijn geschikt voor zowel beginners als gevorderde gebruikers en behandelen onderwerpen zoals:

• Azure AD B2B configureren voor Power BI-gastgebruikers
• Rijniveaubeveiliging (RLS) instellen en testen
• Licentiestructuren begrijpen en de juiste keuze maken
• Governance en beveiligingsbeleid opzetten voor Power BI
• Werken met gevoeligheidslabels en auditlogboeken

Met meer dan 25 jaar ervaring in IT-onderwijs en certificering weten wij wat werkt in de praktijk. Onze trainers zijn actieve professionals die dagelijks met Microsoft-technologieën werken. Wil je jouw Power BI-kennis verdiepen of je organisatie beter beveiligen? Bekijk ons aanbod en onze aanpak, of neem direct contact met ons op voor persoonlijk advies.