Włączanie dostępu zdalnego do usługi Power BI dla urządzeń przenośnych przy użyciu serwera proxy aplikacji usługi Microsoft Entra
W tym artykule omówiono sposób używania serwera proxy aplikacji Firmy Microsoft Entra w celu umożliwienia aplikacji mobilnej Power BI nawiązywania połączenia z usługami Serwer raportów usługi Power BI (PBIRS) i SQL Server Reporting Services (SSRS) 2016 i nowszymi wersjami. Dzięki tej integracji użytkownicy z dala od sieci firmowej mogą uzyskiwać dostęp do raportów usługi Power BI z aplikacji mobilnej Power BI i być chronieni przez uwierzytelnianie firmy Microsoft Entra. Ta ochrona obejmuje korzyści zabezpieczeń, takie jak dostęp warunkowy i uwierzytelnianie wieloskładnikowe.
Wymagania wstępne
- Wdrażanie usług Reporting Services w środowisku.
- Włącz serwer proxy aplikacji Entra firmy Microsoft.
- Jeśli to możliwe, użyj tych samych domen wewnętrznych i zewnętrznych dla usługi Power BI. Aby dowiedzieć się więcej o domenach niestandardowych, zobacz Praca z domenami niestandardowymi na serwerze proxy aplikacji.
Krok 1. Konfigurowanie ograniczonego delegowania protokołu Kerberos (KCD)
W przypadku aplikacji lokalnych korzystających z uwierzytelniania systemu Windows można osiągnąć logowanie jednokrotne (SSO) przy użyciu protokołu uwierzytelniania Kerberos i funkcji o nazwie Ograniczone delegowanie Kerberos (KCD). Łącznik sieci prywatnej używa KCD do uzyskania tokenu systemu Windows dla użytkownika, nawet jeśli użytkownik nie jest zalogowany bezpośrednio w systemie Windows. Aby dowiedzieć się więcej o usłudze KCD, zobacz Omówienie ograniczonego delegowania protokołu Kerberos i Ograniczone delegowanie protokołu Kerberos na potrzeby logowania jednokrotnego do aplikacji przy użyciu serwera proxy aplikacji.
Po stronie usług Reporting Services nie ma zbyt wiele do skonfigurowania. Prawidłowa nazwa główna usługi (SPN) jest wymagana do przeprowadzenia odpowiedniego uwierzytelniania Kerberos. Włącz serwer usług Reporting Services na potrzeby Negotiate
uwierzytelniania.
Konfigurowanie głównej nazwy usługi (SPN)
Nazwa SPN jest unikatowym identyfikatorem usługi korzystającej z uwierzytelniania Kerberos. Odpowiednia nazwa SPN HTTP jest wymagana dla serwera raportów. Aby uzyskać informacje na temat konfigurowania odpowiedniej głównej nazwy usługi (SPN) dla serwera raportów, zobacz Rejestrowanie głównej nazwy usługi (SPN) dla serwera raportów.
Sprawdź, czy nazwa SPN została dodana, uruchamiając Setspn
polecenie z opcją -L
. Aby dowiedzieć się więcej o poleceniu, zobacz Setspn.
Włączanie uwierzytelniania negocjowanego
Aby umożliwić serwerowi raportów używanie uwierzytelniania Kerberos, skonfiguruj typ uwierzytelniania serwera raportów jako RSWindowsNegotiate. Skonfiguruj to ustawienie przy użyciu pliku rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Aby uzyskać więcej informacji, zobacz Modyfikowanie pliku konfiguracji usług Reporting Services i Konfigurowanie uwierzytelniania systemu Windows na serwerze raportów.
Upewnij się, że łącznik jest zaufany do delegowania do głównej nazwy usługi dodanej do konta puli aplikacji usług Reporting Services
Skonfiguruj KCD, aby usługa serwera proxy aplikacji Firmy Microsoft entra mogła delegować tożsamości użytkowników do konta puli aplikacji usług Reporting Services. Skonfiguruj łącznik sieci prywatnej, aby pobrać bilety protokołu Kerberos dla uwierzytelnionych użytkowników identyfikatora Entra firmy Microsoft. Serwer przekazuje kontekst do aplikacji usług Reporting Services.
Aby skonfigurować KCD, powtórz następujące kroki dla każdej maszyny łącznika:
- Zaloguj się do kontrolera domeny jako administrator domeny, a następnie otwórz Użytkownicy i komputery usługi Active Directory.
- Znajdź komputer, na którym działa łącznik.
- Wybierz komputer, klikając dwukrotnie, a następnie wybierz kartę Delegowanie .
- Ustaw ustawienia delegowania na Ufaj temu komputerowi dla delegowania tylko do określonych usług. Następnie wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.
- Wybierz pozycję Dodaj, a następnie wybierz pozycję Użytkownicy lub komputery.
- Wprowadź konto usługi skonfigurowane dla usług Reporting Services.
- Wybierz przycisk OK. Aby zapisać zmiany, ponownie wybierz przycisk OK .
Aby uzyskać więcej informacji, zobacz Ograniczone delegowanie protokołu Kerberos na potrzeby logowania jednokrotnego do aplikacji przy użyciu serwera proxy aplikacji.
Krok 2. Publikowanie usług Reporting Services za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra
Teraz możesz przystąpić do konfigurowania serwera proxy aplikacji Microsoft Entra.
Opublikuj usługi Reporting Services za pośrednictwem serwera proxy aplikacji przy użyciu następujących ustawień. Aby uzyskać instrukcje krok po kroku dotyczące publikowania aplikacji za pośrednictwem serwera proxy aplikacji, zobacz Publikowanie aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.
Wewnętrzny adres URL: wprowadź adres URL serwera raportów, do którego łącznik może uzyskać dostęp w sieci firmowej. Upewnij się, że ten adres URL jest dostępny z serwera, na którym jest zainstalowany łącznik. Najlepszym rozwiązaniem jest użycie domeny najwyższego poziomu, takiej jak
https://servername/
unikanie problemów ze ścieżkami podrzędnymi opublikowanymi za pośrednictwem serwera proxy aplikacji. Na przykład użyj poleceniahttps://servername/
, a niehttps://servername/reports/
lubhttps://servername/reportserver/
.Uwaga
Użyj bezpiecznego połączenia HTTPS z serwerem raportów. Aby uzyskać więcej informacji na temat konfigurowania bezpiecznego połączenia, zobacz Konfigurowanie bezpiecznych połączeń na serwerze raportów trybu natywnego.
Zewnętrzny adres URL: wprowadź publiczny adres URL, z którym nawiązuje połączenie aplikacja mobilna Power BI. Na przykład wygląda na
https://reports.contoso.com
to, czy jest używana domena niestandardowa. Aby użyć domeny niestandardowej, przekaż certyfikat dla domeny i wskaż rekord systemu nazw domen (DNS) do domeny domyślnejmsappproxy.net
dla aplikacji. Aby uzyskać szczegółowe instrukcje, zobacz Praca z domenami niestandardowymi na serwerze proxy aplikacji Firmy Microsoft Entra.Metoda uwierzytelniania wstępnego: Microsoft Entra ID.
Po opublikowaniu aplikacji skonfiguruj ustawienia logowania jednokrotnego, wykonując następujące czynności:
a. Na stronie aplikacji w portalu wybierz pozycję Logowanie jednokrotne.
b. W obszarze Tryb logowania jednokrotnego wybierz pozycję Zintegrowane uwierzytelnianie systemu Windows.
c. Ustaw nazwę SPN aplikacji wewnętrznej na wartość ustawioną wcześniej.
d. Wybierz tożsamość logowania delegowanego dla łącznika, który ma być używany w imieniu użytkowników. Aby uzyskać więcej informacji, zobacz Praca z różnymi tożsamościami lokalnymi i w chmurze.
e. Wybierz Zapisz, aby zapisać zmiany.
Aby zakończyć konfigurowanie aplikacji, przejdź do sekcji Użytkownicy i grupy i przypisz użytkowników, aby uzyskać dostęp do tej aplikacji.
Krok 3. Modyfikowanie identyfikatora URI (URI) odpowiedzi dla aplikacji
Skonfiguruj rejestrację aplikacji, która została utworzona automatycznie w kroku 2.
Na stronie Przegląd identyfikatora entra firmy Microsoft wybierz pozycję Rejestracje aplikacji.
Na karcie Wszystkie aplikacje wyszukaj aplikację utworzoną w kroku 2.
Wybierz aplikację, a następnie wybierz pozycję Uwierzytelnianie.
Dodaj identyfikator URI przekierowania dla platformy.
Podczas konfigurowania aplikacji dla Power BI dla urządzeń przenośnych w systemie iOS dodaj identyfikatory URI (Uniform Resource Identifiers) przekierowania typu
Public Client (Mobile & Desktop)
.msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilems
Podczas konfigurowania aplikacji dla Power BI dla urządzeń przenośnych w systemie Android dodaj przekierowanie Identyfikatory URI (Uniform Resource Identifiers) typu
Public Client (Mobile & Desktop)
.urn:ietf:wg:oauth:2.0:oob
mspbi-adal://com.microsoft.powerbimobile
msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D
Ważne
Aby aplikacja działała prawidłowo, należy dodać identyfikatory URI przekierowania. Jeśli konfigurujesz aplikację dla systemów Power BI dla urządzeń przenośnych iOS i Android, dodaj identyfikator URI przekierowania typu Klient publiczny (mobile & Desktop) do listy identyfikatorów URI przekierowania skonfigurowanych dla systemu iOS:
urn:ietf:wg:oauth:2.0:oob
.
Krok 4. Połączenie z aplikacji Power BI dla urządzeń przenośnych
W aplikacji mobilnej Power BI połącz się z wystąpieniem usług Reporting Services. Wprowadź zewnętrzny adres URL aplikacji opublikowanej za pośrednictwem serwera proxy aplikacji.
Wybierz pozycję Połącz. Zostanie załadowana strona logowania microsoft Entra.
Wprowadź prawidłowe poświadczenia użytkownika i wybierz pozycję Zaloguj. Zostaną wyświetlone elementy z serwera usług Reporting Services.
Krok 5. Konfigurowanie zasad usługi Intune dla urządzeń zarządzanych (opcjonalnie)
Za pomocą usługi Microsoft Intune można zarządzać aplikacjami klienckimi używanymi przez pracowników firmy. Usługa Intune udostępnia funkcje, takie jak wymagania dotyczące szyfrowania danych i dostępu. Włącz aplikację mobilną Power BI przy użyciu zasad usługi Intune.
- Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
- Wybierz aplikację skonfigurowaną w kroku 3 podczas rejestrowania natywnej aplikacji klienckiej.
- Na stronie aplikacji wybierz pozycję Uprawnienia interfejsu API.
- Wybierz Dodaj uprawnienie.
- W obszarze Interfejsy API używane przez moją organizację wyszukaj i wybierz pozycję Zarządzanie aplikacjami mobilnymi firmy Microsoft.
- Dodaj uprawnienie DeviceManagementManagedApps.ReadWrite do aplikacji.
- Wybierz pozycję Udziel zgody administratora, aby udzielić uprawnienia dostępu do aplikacji.
- Skonfiguruj żądane zasady usługi Intune, korzystając z tematu How to create and assign app protection policies (Jak tworzyć i przypisywać zasady ochrony aplikacji).
Rozwiązywanie problemów
Jeśli aplikacja zwróci stronę błędu po próbie załadowania raportu przez więcej niż kilka minut, może być konieczne zmiana ustawienia limitu czasu. Domyślnie serwer proxy aplikacji obsługuje aplikacje, które odpowiadają na żądanie przez maksymalnie 85 sekund. Aby wydłużyć to ustawienie do 180 sekund, wybierz limit czasu zaplecza na Wartość Długa na stronie ustawień serwera proxy aplikacji dla aplikacji. Aby uzyskać porady dotyczące tworzenia szybkich i niezawodnych raportów, zobacz Najlepsze rozwiązania dotyczące raportów usługi Power BI.
Używanie serwera proxy aplikacji Microsoft Entra w celu umożliwienia aplikacji mobilnej Power BI nawiązywania połączenia z lokalnymi Serwer raportów usługi Power BI nie jest obsługiwane przy użyciu zasad dostępu warunkowego, które wymagają aplikacji Microsoft Power BI jako zatwierdzonej aplikacji klienckiej.