Povolení vzdáleného přístupu k Power BI Mobile pomocí proxy aplikací Microsoft Entra

Tento článek popisuje, jak používat proxy aplikace Microsoft Entra k tomu, aby se mobilní aplikace Power BI mohla připojit k Power BI Report Serveru (PBIRS) a SQL Server Reporting Services (SSRS) 2016 a novějších verzí. Prostřednictvím této integrace můžou uživatelé, kteří jsou mimo podnikovou síť, přistupovat ke svým sestavám Power BI z mobilní aplikace Power BI a být chráněni ověřováním Microsoft Entra. Tato ochrana zahrnuje výhody zabezpečení, jako je podmíněný přístup a vícefaktorové ověřování.

Požadavky

• Nasaďte službu Reporting Services ve vašem prostředí.
• Povolte aplikační proxy Microsoft Entra.
• Pokud je to možné, použijte pro Power BI stejné interní a externí domény. Další informace o vlastních doménách najdete v tématu Práce s vlastními doménami vproxy aplikací .

Krok 1: Konfigurace omezeného delegování protokolu Kerberos (KCD)

Pro místní aplikace, které používají ověřování systému Windows, můžete dosáhnout jednotného přihlašování (SSO) pomocí ověřovacího protokolu Kerberos a funkce označované jako omezené delegování kerberos (KCD). Privátní síťový konektor používá KCD k získání tokenu Windows pro uživatele, i když uživatel není přihlášený přímo k Windows. Další informace o KCD najdete v tématu Přehled omezeného delegování protokolu Kerberos a omezené delegování protokolu Kerberos pro jednotné přihlašování k vašim aplikacím pomocí aplikačního proxy serveru.

Na straně služby Reporting Services není potřeba moc konfigurovat. Pro správné ověření protokolem Kerberos se vyžaduje platný hlavní název služby (SPN). Povolte server služby Reporting Services pro ověřování Negotiate.

Konfigurace hlavního názvu služby (SPN)

Hlavní název služby (SPN) je jedinečný identifikátor služby, která používá ověřování protokolem Kerberos. Pro server sestav se vyžaduje správný hlavní název služby HTTP (SPN). Informace o tom, jak nakonfigurovat správný hlavní název služby (SPN) pro server sestav, najdete v tématu Registrace hlavního názvu služby (SPN) pro server sestav. Spuštěním příkazu Setspn s možností -L ověřte, že SPN byl přidán. Další informace o příkazu najdete v tématu Setspn.

Povolte ověřování Negotiate

Pokud chcete serveru sestav povolit použití ověřování protokolem Kerberos, nakonfigurujte typ ověřování serveru sestav na RSWindowsNegotiate. Toto nastavení nakonfigurujte pomocí souboru rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Další informace naleznete v tématu Úprava konfiguračního souboru služby Reporting Services a Konfigurace ověřování systému Windows na serveru sestav.

Ujistěte se, že konektor je důvěryhodný pro delegování do hlavního názvu služby (SPN) přidaného do účtu fondu aplikací služby Reporting Services.

Nakonfigurujte KCD tak, aby služba proxy aplikace Microsoft Entra mohla delegovat identity uživatelů na účet fondu aplikace služby Reporting Services. Konfigurujte konektor privátní sítě, aby získával Kerberos autentizační lístky pro autentizované uživatele Microsoft Entra ID. Server předá kontext aplikaci Reporting Services.

Chcete-li nastavit KCD, opakujte následující kroky pro každé zařízení konektoru:

1. Přihlaste se k řadiči domény jako správce domény a otevřete Uživatelé a počítače služby Active Directory.
2. Najděte počítač, na kterém je konektor spuštěný.
3. Vyberte počítač dvojklikem a pak vyberte kartu Delegování.
4. Nastavte nastavení delegování na Důvěřovat tomuto počítači pouze pro delegování k určeným službám. Pak vyberte Použít libovolný ověřovací protokol.
5. Vyberte Přidata pak vyberte Uživatelé nebo počítače.
6. Zadejte účet služby, který jste nastavili pro službu Reporting Services.
7. Vyberte OK. Pokud chcete změny uložit, znovu vyberte OK.

Pro více informací se podívejte na Omezené delegování protokolu Kerberos pro jednotné přihlášení k vašim aplikacím pomocí aplikačního proxy serveru.

Krok 2: Publikování služby Reporting Services prostřednictvím proxy aplikace Microsoft Entra

Teď jste připraveni nakonfigurovat proxy aplikace Microsoft Entra.

1. Publikujte službu Reporting Services prostřednictvím proxy aplikací s následujícím nastavením. Podrobné pokyny k publikování aplikace prostřednictvím proxy aplikací najdete v tématu Publikování aplikací pomocí proxy aplikací Microsoft Entra.

   • Interní adresa URL: Zadejte URL adresu serveru sestav, ke kterému může konektor přistupovat v podnikové síti. Ujistěte se, že je tato adresa URL dostupná ze serveru, na který je konektor nainstalovaný. Osvědčeným postupem je použití domény nejvyšší úrovně, jako je https://servername/, aby nedocházelo k problémům s dílčími cestami publikovanými prostřednictvím proxy aplikací. Použijte například https://servername/ a ne https://servername/reports/ nebo https://servername/reportserver/.

     Poznámka

     Použijte zabezpečené připojení HTTPS k serveru sestav. Další informace o konfiguraci zabezpečeného připojení najdete v tématu Konfigurace zabezpečených připojení na serveru sestav v nativním režimu.

   • externí adresa URL: Zadejte veřejnou adresu URL, ke které se mobilní aplikace Power BI připojuje. Například vypadá jako https://reports.contoso.com, pokud se používá vlastní doména. Pokud chcete použít vlastní doménu, nahrajte certifikát pro doménu a nasměrujte záznam DNS (Domain Name System) na výchozí msappproxy.net doménu vaší aplikace. Podrobné kroky naleznete v tématu Práce s vlastními doménami v proxy aplikací Microsoft Entra.

   • Metoda předběžného ověřování: Microsoft Entra ID.

2. Po publikování aplikace nakonfigurujte nastavení jednotného přihlašování pomocí následujícího postupu:

   a. Na stránce aplikace na portálu vyberte jednotné přihlašování.

   b. V režimu jednotného přihlašování vyberte integrované ověřování Windows .

   c. Nastavte interní SPN aplikace na hodnotu, kterou jste nastavili dříve.

   d. Zvolte delegovanou přihlašovací identitu konektoru, který bude používat jménem vašich uživatelů. Další informace najdete v tématu Práce s různými místními a cloudovými identitami.

   e. Vyberte Uložit a uložte změny.

Pokud chcete dokončit nastavení aplikace, přejděte části Uživatelé a skupiny a přiřaďte uživatelům přístup k této aplikaci.

Krok 3: Úprava identifikátoru URI (Uniform Resource Identifier) odpovědi pro aplikaci

Nakonfigurujte registraci aplikace, která se automaticky vytvořila v kroku 2.

1. Na stránce ID Microsoft Entra Přehled vyberte registrace aplikací.

2. Na kartě Všechny aplikace vyhledejte aplikaci, kterou jste vytvořili v kroku 2.

3. Vyberte aplikaci, pak zvolte Ověřování.

4. Přidejte URI přesměrování pro platformu.

   Při konfiguraci aplikace pro Power BI Mobile na iOSpřidejte URI (Uniform Resource Identifiers) pro přesměrování typu Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Při konfiguraci aplikace pro Power BI Mobile na Androidpřidejte identifikátory URI (Redirect Uniform Resource Identifier) typu Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Důležitý

   Aby aplikace správně fungovala, musí být přidány URI přesměrování. Pokud konfigurujete aplikaci pro Power BI Mobile pro iOS i Android, přidejte identifikátor URI přesměrování typu Veřejný klient (Mobilní & Desktop) do seznamu identifikátorů URI přesměrování nakonfigurovaných pro iOS: urn:ietf:wg:oauth:2.0:oob.

Krok 4: Připojení z mobilní aplikace Power BI

1. V mobilní aplikaci Power BI se připojte k instanci služby Reporting Services. Zadejte externí adresu URL aplikace , kterou jste publikovali prostřednictvím aplikačního proxy.

   

2. Vyberte Připojit. Přihlašovací stránka Microsoft Entra se načte.

3. Zadejte platné přihlašovací údaje pro uživatele a vyberte Přihlásit se. Zobrazí se prvky ze serveru služby Reporting Services.

Krok 5: Konfigurace zásad Intune pro spravovaná zařízení (volitelné)

Microsoft Intune můžete použít ke správě klientských aplikací, které používají pracovníci vaší společnosti. Intune poskytuje funkce, jako je šifrování dat a požadavky na přístup. Povolte mobilní aplikaci Power BI pomocí zásad Intune.

1. Přejděte na registrace aplikací Identita>Aplikace>.
2. Při registraci nativní klientské aplikace vyberte aplikaci nakonfigurovanou v kroku 3.
3. Na stránce aplikace vyberte oprávnění k rozhraní API.
4. Vyberte Přidat oprávnění.
5. V části ROZHRANÍ API, která moje organizace používá, vyhledejte a vyberte správy mobilních aplikací Microsoftu .
6. Přidejte DeviceManagementManagedApps.ReadWrite oprávnění k aplikaci.
7. Vyberte Udělit souhlas správce pro povolení přístupu aplikaci.
8. Zásady Intune, které chcete konfigurovat, najdete v tématu Vytvoření a přiřazení zásad ochrany aplikací.

Řešení problémů

Pokud aplikace zobrazí stránku s chybou po pokusu o načtení sestavy po dobu více než několika minut, možná budete muset změnit nastavení časového limitu. Proxy aplikací ve výchozím nastavení podporuje aplikace, které reagují na žádost až 85 sekund. Pokud chcete toto nastavení prodloužit na 180 sekund, vyberte v nastavení proxy aplikace pro aplikaci časový limit pro back-end označený jako Dlouhý. Tipy k vytváření rychlých a spolehlivých sestav najdete v tématu osvědčených postupů pro sestavy Power BI.

Použití proxy aplikace Microsoft Entra k povolení připojení mobilní aplikace Power BI k místnímu Serveru sestav Power BI není podporováno pomocí zásad podmíněného přístupu, které vyžadují aplikaci Microsoft Power BI jako schválenou klientskou aplikaci.

Další kroky

• Povolení nativních klientských aplikací pro interakci s aplikacemi proxy
• Zobrazení sestav a klíčových ukazatelů výkonu místního serveru sestav v mobilních aplikacích Power BI