Aktivieren des Remotezugriffs auf Power BI Mobile über den Microsoft Entra-Anwendungsproxy

In diesem Artikel erfahren Sie, wie Sie den Microsoft Entra-Anwendungsproxy verwenden, um der Power BI Mobile-App das Herstellen einer Verbindung mit dem Power BI-Berichtsserver (Power BI Report Server, PBIRS) sowie mit SSRS 2016 (SQL Server Reporting Services) und höher zu ermöglichen. Durch diese Integration können Benutzer*innen von außerhalb des Unternehmensnetzwerks über die Power BI Mobile-App auf ihre Power BI-Berichte zugreifen und dabei mittels Microsoft Entra-Authentifizierung geschützt werden. Dieser Schutz umfasst Sicherheitsvorteile wie bedingten Zugriff und Multi-Faktor-Authentifizierung.

Voraussetzungen

• Stellen Sie Reporting Services in Ihrer Umgebung bereit.
• Aktivieren Sie den Microsoft Entra-Anwendungsproxy.
• Verwenden Sie nach Möglichkeit dieselben internen und externen Domänen für Power BI. Weitere Informationen zu benutzerdefinierten Domänen finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Anwendungsproxy.

Schritt 1: Konfigurieren der eingeschränkten Kerberos-Delegierung (Kerberos Constrained Delegation, KCD)

Für lokale Anwendungen, für die die Windows-Authentifizierung verwendet wird, können Sie einmaliges Anmelden (SSO) über das Kerberos-Authentifizierungsprotokoll und das Feature „Eingeschränkte Kerberos-Delegierung“ (Kerberos Constrained Delegation, KCD) erreichen. Der private Netzwerkconnector verwendet KCD zum Abrufen eines Windows-Tokens für Benutzer, auch wenn diese nicht direkt bei Windows angemeldet sind. Weitere Informationen zu KCD finden Sie in der Übersicht über die eingeschränkte Kerberos-Delegierung sowie unter Eingeschränkte Kerberos-Delegierung für einmaliges Anmelden bei Ihren Apps mit dem Anwendungsproxy.

Aufseiten von Reporting Services gibt es nicht viel zu konfigurieren. Für eine ordnungsgemäße Kerberos-Authentifizierung ist ein gültiger Dienstprinzipalnamen (Service Principal Name, SPN) erforderlich. Aktivieren Sie den Reporting Services-Server für die Negotiate-Authentifizierung.

Konfigurieren des Dienstprinzipalnamens (Service Principal Name, SPN)

Der SPN ist ein eindeutiger Bezeichner für einen Dienst, der die Kerberos-Authentifizierung verwendet. Für den Berichtsserver ist ein ordnungsgemäßer HTTP-SPN erforderlich. Informationen zum Konfigurieren des richtigen Dienstprinzipalnamens (Service Principal Name, SPN) für den Berichtsserver finden Sie unter Registrieren eines Dienstprinzipalnamens (SPN) für einen Berichtsserver. Überprüfen Sie, ob der SPN hinzugefügt wurde, indem Sie den Befehl Setspn mit der Option -L ausführen. Weitere Informationen zu diesem Befehl finden Sie unter Setspn.

Aktivieren der Aushandlungsauthentifizierung

Um einem Berichtsserver die Verwendung der Kerberos-Authentifizierung zu ermöglichen, legen Sie den Authentifizierungstyp des Berichtsservers auf „RSWindowsNegotiate“ fest. Konfigurieren Sie diese Einstellung mithilfe der Datei „rsreportserver.config“.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Weitere Informationen finden Sie unter Ändern einer Reporting Services-Konfigurationsdatei sowie unter Konfigurieren der Windows-Authentifizierung auf einem Berichtsserver.

Sicherstellen, dass dem Connector bei Delegierungen des dem Reporting Services-Anwendungspoolkonto hinzugefügten SPN vertraut wird

Konfigurieren Sie KCD so, dass der Microsoft Entra-Anwendungsproxydienst Benutzeridentitäten an das Reporting Services-Anwendungspoolkonto delegieren kann. Konfigurieren Sie den privaten Netzwerkconnector so, dass er Kerberos-Tickets für authentifizierte Microsoft Entra ID-Benutzer abruft. Der Server übergibt den Kontext an die Reporting Services-Anwendung.

Wiederholen Sie zum Konfigurieren von KCD die folgenden Schritte für jeden Connectorcomputer:

1. Melden Sie sich bei einem Domänencontroller als Domänenadministrator an, und öffnen Sie dann Active Directory-Benutzer und -Computer.
2. Suchen Sie nach dem Computer, auf dem der Connector ausgeführt wird.
3. Wählen Sie den Computer durch Doppelklicken und anschließend die Registerkarte Delegierung aus.
4. Legen Sie die Delegierungseinstellungen auf Computer bei Delegierungen angegebener Dienste vertrauen fest. Wählen Sie dann die Option Beliebiges Authentifizierungsprotokoll verwenden aus.
5. Wählen Sie Hinzufügen und anschließend Benutzer oder Computer aus.
6. Geben Sie das Dienstkonto ein, das Sie für Reporting Services eingerichtet haben.
7. Klickan Sie auf OK. Wählen Sie zum Speichern der Änderungen erneut OK aus.

Weitere Informationen finden Sie unter Eingeschränkte Delegierung von Kerberos für einmaliges Anmelden bei Ihren Apps mit dem Anwendungsproxy.

Schritt 2: Veröffentlichen von Reporting Services über den Microsoft Entra-Anwendungsproxy

Jetzt können Sie den Microsoft Entra-Anwendungsproxy konfigurieren.

1. Veröffentlichen Sie Reporting Services über den Anwendungsproxy mit den folgenden Einstellungen. Eine schrittweise Anleitung zum Veröffentlichen einer Anwendung über den Anwendungsproxy finden Sie unter Veröffentlichen von Anwendungen mit dem Microsoft Entra-Anwendungsproxy.

   • Interne URL: Geben Sie die URL des Berichtsservers ein, den der Connector im Unternehmensnetzwerk erreichen kann. Diese URL muss von dem Server aus erreichbar sein, auf dem der Connector installiert ist. Eine bewährte Praxis ist die Verwendung einer Top-Level-Domain wie beispielsweise https://servername/, um Probleme mit Unterpfaden zu vermeiden, die über den Anwendungsproxy veröffentlicht werden. Verwenden Sie beispielsweise https://servername/, aber nicht https://servername/reports/ oder https://servername/reportserver/.

     Hinweis

     Verwenden Sie eine sichere HTTPS-Verbindung mit dem Berichtsserver. Weitere Informationen zum Konfigurieren einer sicheren Verbindung finden Sie unter Konfigurieren von TLS-Verbindungen auf einem Berichtsserver im einheitlichen Modus.

   • Externe URL: Geben Sie die öffentliche URL ein, mit der die mobile Power BI-App eine Verbindung herstellt. Bei Verwendung einer benutzerdefinierten Domäne kann dieser Wert beispielsweise wie folgt aussehen: https://reports.contoso.com. Laden Sie zur Verwendung einer benutzerdefinierten Domäne ein Zertifikat für die Domäne hoch, und erstellen Sie für einen DNS-Eintrag (Domain Name System) einen Verweis auf die Standarddomäne msappproxy.net für Ihre Anwendung. Eine ausführliche Anleitung finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Microsoft Entra-Anwendungsproxy.

   • Vorauthentifizierungsmethode: Microsoft Entra-ID.

2. Nachdem die App veröffentlicht wurde, konfigurieren Sie die Einstellungen für einmaliges Anmelden anhand der folgenden Schritte:

   a. Wählen Sie auf der Anwendungsseite im Portal Einmaliges Anmelden aus.

   b. Legen Sie den Modus für einmaliges Anmelden auf Integrierte Windows-Authentifizierung fest.

   c. Legen Sie Interner Anwendungs-SPN auf den zuvor festgelegten Wert fest.

   d. Wählen Sie die delegierte Identität für die Anmeldung für den zu verwendenden Connector im Auftrag Ihrer Benutzer. Weitere Informationen finden Sie unter Bereitstellen von einmaligem Anmelden bei Ihren Apps mit dem Anwendungsproxy.

   e. Wählen Sie Speichern aus, um die Änderungen zu speichern.

Zum Abschluss der Anwendungseinrichtung wechseln Sie zum Abschnitt Benutzer und Gruppen. Weisen Sie dort Benutzer zu, die Zugriff auf diese Anwendung erhalten.

Schritt 3: Ändern des Antwort-URI (Uniform Resource Identifier) für die Anwendung

Konfigurieren Sie die Anwendungsregistrierung, die in Schritt 2 automatisch erstellt wurde.

1. Wählen Sie auf der Übersichtseite von Microsoft Entra ID die Option App-Registrierungen aus.

2. Suchen Sie auf der Registerkarte Alle Anwendungen nach der Anwendung, die Sie in Schritt 2 erstellt haben.

3. Wählen Sie die Anwendung aus, und wählen Sie dann Authentifizierung aus.

4. Fügen Sie den Umleitungs-URI für die Plattform hinzu.

   Fügen Sie beim Konfigurieren der App für Power BI Mobile unter iOS die Umleitungs-URIs (Uniform Resource Identifiers) vom Typ Public Client (Mobile & Desktop) hinzu.

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Fügen Sie beim Konfigurieren der App für Power BI Mobile unter Android die Umleitungs-URIs (Uniform Resource Identifiers) vom Typ Public Client (Mobile & Desktop) hinzu.

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Wichtig

   Die Umleitungs-URIs müssen hinzugefügt werden, damit die Anwendung ordnungsgemäß funktioniert. Wenn Sie die App für Power BI Mobile iOS und für Power BI Mobile Android konfigurieren, fügen Sie der Liste der für iOS konfigurierten Umleitungs-URIs den folgenden Umleitungs-URI vom Typ „Öffentlicher Client (Mobilgerät und Desktop)“ hinzu: urn:ietf:wg:oauth:2.0:oob

Schritt 4: Herstellen einer Verbindung über die Power BI Mobile-App

1. Stellen Sie in der Power BI Mobile-App eine Verbindung mit Ihrer Reporting Services-Instanz her. Geben Sie die externe URL für die Anwendung ein, die Sie über den Anwendungsproxy veröffentlicht haben.

   

2. Wählen Sie Verbinden. Die Microsoft Entra-Anmeldeseite wird geladen.

3. Geben Sie gültige Anmeldeinformationen für Ihren Benutzer ein, und wählen Sie Anmelden aus. Die Elemente Ihres Reporting Services-Servers werden angezeigt.

Schritt 5: Konfigurieren einer Intune-Richtlinie für verwaltete Geräte (optional)

Sie können Microsoft Intune verwenden, um die von Ihrem Personal verwendeten Client-Apps zu verwalten. Intune bietet Funktionen wie Datenverschlüsselung und Zugriffsanforderungen. Aktivieren Sie die mobile Power BI-Anwendung mit der Intune-Richtlinie.

1. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.
2. Wählen Sie die in Schritt 3 konfigurierte Anwendung aus, wenn Sie Ihre native Clientanwendung registrieren.
3. Wählen Sie auf der Anwendungsseite die Option API-Berechtigungen aus.
4. Wählen Sie Berechtigung hinzufügen aus.
5. Suchen Sie unter Von meiner Organisation verwendete APIs nach Microsoft Mobile Application Management, und wählen Sie die entsprechende Option aus.
6. Fügen Sie der Anwendung die Berechtigung DeviceManagementManagedApps.ReadWrite hinzu.
7. Wählen Sie Administratoreinwilligung gewähren aus, um der Berechtigung Zugriff auf die Anwendung zu gewähren.
8. Konfigurieren Sie die gewünschte Intune-Richtlinie. Eine entsprechende Anleitung finden Sie unter Erstellen und Zuweisen von App-Schutzrichtlinien.

Problembehandlung

Sollte die Anwendung eine Fehlerseite zurückgeben, wenn mehrere Minuten lang versucht wird, einen Bericht zu laden, müssen ggf. die Timeouteinstellungen geändert werden. Der Anwendungsproxy unterstützt standardmäßig Anwendungen, die bis zu 85 Sekunden benötigen, um auf eine Anforderung zu reagieren. Diese Einstellung kann auf 180 Sekunden erhöht werden. Legen Sie hierzu das Back-End-Timeout auf der Einstellungsseite des Anwendungsproxys für die Anwendung auf Lang fest. Tipps zur Erstellung schneller und zuverlässiger Berichte finden Sie unter Bewährte Methoden für die Power BI-Leistung.

Bei der Verwendung des Microsoft Entra-Anwendungsproxys zum Aktivieren der mobilen Power BI-App zum Herstellen einer Verbindung mit dem lokalen Power BI-Berichtsserver werden Richtlinien für bedingten Zugriff, die die Microsoft Power BI-App als genehmigte Client-App benötigen, nicht unterstützt.

Nächste Schritte

• Aktivieren von nativen Clientanwendungen für die Interaktion mit Proxyanwendungen
• Anzeigen lokaler Berichte und KPIs eines Berichtsservers in den mobilen Power BI-Apps