Partilhar via

Ativar o acesso remoto ao Power BI Mobile com o proxy de aplicações do Microsoft Entra

  • Artigo

Este artigo descreve como usar o proxy de aplicativo Microsoft Entra para permitir que o aplicativo móvel Power BI se conecte ao Servidor de Relatório do Power BI (PBIRS) e ao SQL Server Reporting Services (SSRS) 2016 e posterior. Por meio dessa integração, os usuários que estão longe da rede corporativa podem acessar seus relatórios do Power BI a partir do aplicativo móvel Power BI e ser protegidos pela autenticação do Microsoft Entra. Essa proteção inclui benefícios de segurança, como acesso condicional e autenticação multifator.

Pré-requisitos

  • Implante o Reporting Services em seu ambiente.
  • Habilite o proxy de aplicativo Microsoft Entra.
  • Quando possível, use os mesmos domínios internos e externos para o Power BI. Para saber mais sobre domínios personalizados, consulte Trabalhando com domínios personalizados no proxy de aplicativo.

Etapa 1: Configurar a delegação restrita de Kerberos (KCD)

Para aplicativos locais que usam a autenticação do Windows, você pode obter logon único (SSO) com o protocolo de autenticação Kerberos e um recurso chamado delegação restrita de Kerberos (KCD). O conector de rede privada usa o KCD para obter um token do Windows para um usuário, mesmo que o usuário não esteja conectado diretamente ao Windows. Para saber mais sobre o KCD, consulte Visão geral da delegação restrita de Kerberos e Delegação restrita de Kerberos para logon único em seus aplicativos com proxy de aplicativo.

Não há muito o que configurar no lado do Reporting Services. Um SPN (Nome da Entidade de Serviço) válido é necessário para que ocorra a autenticação Kerberos adequada. Habilite o servidor do Reporting Services para Negotiate autenticação.

Configurar o SPN (Nome da Entidade de Serviço)

O SPN é um identificador exclusivo para um serviço que usa a autenticação Kerberos. Um SPN HTTP adequado é necessário para o servidor de relatório. Para obter informações sobre como configurar o SPN (Nome da Entidade de Serviço) adequado para o servidor de relatório, consulte Registrar um SPN (Nome da Entidade de Serviço) para um Servidor de Relatório. Verifique se o SPN foi adicionado executando o Setspn comando com a -L opção. Para saber mais sobre o comando, consulte Setspn.

Ativar autenticação de negociação

Para permitir que um servidor de relatório use a autenticação Kerberos, configure o Tipo de Autenticação do servidor de relatório para ser RSWindowsNegotiate. Configure essa configuração usando o arquivo rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Para obter mais informações, consulte Modificar um arquivo de configuração do Reporting Services e Configurar a autenticação do Windows em um servidor de relatório.

Verifique se o conector é confiável para delegação ao SPN adicionado à conta do pool de aplicativos do Reporting Services

Configure o KCD para que o serviço de proxy de aplicativo Microsoft Entra possa delegar identidades de usuário à conta do pool de aplicativos do Reporting Services. Configure o conector de rede privada para recuperar tíquetes Kerberos para usuários autenticados pelo Microsoft Entra ID. O servidor passa o contexto para o aplicativo Reporting Services.

Para configurar o KCD, repita as seguintes etapas para cada máquina conectora:

  1. Entre em um controlador de domínio como administrador de domínio e abra Usuários e Computadores do Ative Directory.
  2. Localize o computador em que o conector está sendo executado.
  3. Selecione o computador clicando duas vezes e, em seguida, selecione a guia Delegação .
  4. Defina as configurações de delegação como Confiar neste computador para delegação somente aos serviços especificados. Em seguida, selecione Usar qualquer protocolo de autenticação.
  5. Selecione Adicionar e, em seguida, selecione Usuários ou Computadores.
  6. Insira a conta de serviço que você configurou para o Reporting Services.
  7. Selecione OK. Para salvar as alterações, selecione OK novamente.

Para obter mais informações, consulte Delegação restrita de Kerberos para logon único em seus aplicativos com proxy de aplicativo.

Etapa 2: Publicar o Reporting Services por meio do proxy de aplicativo Microsoft Entra

Agora você está pronto para configurar o proxy de aplicativo Microsoft Entra.

  1. Publique o Reporting Services por meio do proxy de aplicativo com as seguintes configurações. Para obter instruções passo a passo sobre como publicar um aplicativo por meio do proxy de aplicativo, consulte Publicando aplicativos usando o proxy de aplicativo do Microsoft Entra.

    • URL interna: insira a URL para o servidor de relatório que o conector pode alcançar na rede corporativa. Certifique-se de que este URL está acessível a partir do servidor em que o conector está instalado. Uma prática recomendada é usar um domínio de nível superior, como https://servername/ para evitar problemas com subcaminhos publicados por meio do proxy do aplicativo. Por exemplo, use https://servername/ e não https://servername/reports/ ou https://servername/reportserver/.

      Nota

      Use uma conexão HTTPS segura com o Servidor de Relatório. Para obter mais informações sobre como configurar uma conexão segura, consulte Configurar conexões seguras em um servidor de relatório de modo nativo.

    • URL externa: insira a URL pública à qual o aplicativo móvel Power BI se conecta. Por exemplo, parece https://reports.contoso.com que um domínio personalizado é usado. Para usar um domínio personalizado, carregue um certificado para o domínio e aponte um registro DNS (Sistema de Nomes de Domínio) para o domínio padrão msappproxy.net do seu aplicativo. Para obter etapas detalhadas, consulte Trabalhando com domínios personalizados no proxy de aplicativo Microsoft Entra.

    • Método de pré-autenticação: ID do Microsoft Entra.

  2. Depois que seu aplicativo for publicado, defina as configurações de logon único com as seguintes etapas:

    a. Na página do aplicativo no portal, selecione Logon único.

    b. Para Modo de Logon Único, selecione Autenticação Integrada do Windows.

    c. Defina o SPN do Aplicativo Interno com o valor definido anteriormente.

    d. Escolha a Identidade de Login Delegado para o conector usar em nome de seus usuários. Para obter mais informações, consulte Trabalhando com diferentes identidades locais e na nuvem.

    e. Selecione Guardar para guardar as alterações.

Para concluir a configuração do seu aplicativo, vá para a seção Usuários e grupos e atribua usuários para acessar esse aplicativo.

Etapa 3: Modificar o URI (Uniform Resource Identifier) de resposta para o aplicativo

Configure o Registro de Aplicativo que foi criado automaticamente na etapa 2.

  1. Na página Visão geral do Microsoft Entra ID, selecione Registros de aplicativos.

  2. Na guia Todos os aplicativos , procure o aplicativo que você criou na etapa 2.

  3. Selecione o aplicativo e, em seguida, selecione Autenticação.

  4. Adicione o URI de redirecionamento para a plataforma.

    Ao configurar o aplicativo para o Power BI Mobile no iOS, adicione os URIs (Uniform Resource Identifiers) de redirecionamento do tipo Public Client (Mobile & Desktop).

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Ao configurar o aplicativo para o Power BI Mobile no Android, adicione os URIs (Uniform Resource Identifiers) de redirecionamento do tipo Public Client (Mobile & Desktop).

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Importante

    Os URIs de redirecionamento devem ser adicionados para que o aplicativo funcione corretamente. Se você estiver configurando o aplicativo para Power BI Mobile iOS e Android, adicione o URI de redirecionamento do tipo Cliente Público (Mobile & Desktop) à lista de URIs de redirecionamento configurados para iOS: urn:ietf:wg:oauth:2.0:oob.

Etapa 4: Conectar-se a partir do aplicativo móvel do Power BI

  1. No aplicativo móvel Power BI, conecte-se à sua instância do Reporting Services. Insira a URL externa do aplicativo que você publicou por meio do proxy do aplicativo.

    Aplicação móvel Power BI com URL Externa

  2. Selecione Ligar. A página de início de sessão do Microsoft Entra é carregada.

  3. Introduza credenciais válidas para o seu utilizador e selecione Iniciar sessão. Os elementos do servidor Reporting Services são exibidos.

Etapa 5: Configurar a política do Intune para dispositivos gerenciados (opcional)

Pode utilizar o Microsoft Intune para gerir as aplicações cliente que a força de trabalho da sua empresa utiliza. O Intune fornece recursos como criptografia de dados e requisitos de acesso. Habilite o aplicativo móvel Power BI com a política do Intune.

  1. Navegue até Registros do aplicativo Identity>Applications>.
  2. Selecione o aplicativo configurado na Etapa 3 ao registrar seu aplicativo cliente nativo.
  3. Na página do aplicativo, selecione Permissões da API.
  4. Selecione Adicionar uma permissão.
  5. Em APIs que minha organização usa, procure e selecione Microsoft Mobile Application Management.
  6. Adicione a permissão DeviceManagementManagedApps.ReadWrite ao aplicativo.
  7. Selecione Conceder consentimento de administrador para conceder acesso de permissão ao aplicativo.
  8. Configure a política do Intune que pretende consultando Como criar e atribuir políticas de proteção de aplicações.

Resolução de Problemas

Se o aplicativo retornar uma página de erro depois de tentar carregar um relatório por mais de alguns minutos, talvez seja necessário alterar a configuração de tempo limite. Por padrão, o proxy de aplicativo oferece suporte a aplicativos que levam até 85 segundos para responder a uma solicitação. Para aumentar essa configuração para 180 segundos, selecione o tempo limite de back-end para Long na página de configurações de proxy do aplicativo. Para obter dicas sobre como criar relatórios rápidos e confiáveis, consulte Práticas recomendadas de relatórios do Power BI.

O uso do proxy de aplicativo Microsoft Entra para permitir que o aplicativo móvel Power BI se conecte ao Servidor de Relatório do Power BI local não é suportado com políticas de Acesso Condicional que exigem o aplicativo Microsoft Power BI como um aplicativo cliente aprovado.

Próximos passos