Aktivieren des Remotezugriffs auf Power BI Mobile mit Microsoft Entra-Anwendungsproxy

In diesem Artikel wird erläutert, wie Sie den Microsoft Entra-Anwendungsproxy verwenden, um die mobile Power BI-App für die Verbindung mit Power BI Report Server (PBIRS) und SQL Server Reporting Services (SSRS) 2016 und höher zu aktivieren. Durch diese Integration können Benutzer, die nicht im Unternehmensnetzwerk sind, über die mobile Power BI-App auf ihre Power BI-Berichte zugreifen und durch die Microsoft Entra-Authentifizierung geschützt werden. Dieser Schutz umfasst Sicherheitsvorteile wie bedingten Zugriff und mehrstufige Authentifizierung.

Voraussetzungen

• Stellen Sie Reporting Services in Ihrer Umgebung bereit.
• Aktivieren Sie den Microsoft Entra-Anwendungsproxy.
• Verwenden Sie nach Möglichkeit dieselben internen und externen Domänen für Power BI. Weitere Informationen zu benutzerdefinierten Domänen finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Anwendungsproxy.

Schritt 1: Konfigurieren der eingeschränkten Kerberos-Delegierung (KCD)

Für lokale Anwendungen, die die Windows-Authentifizierung verwenden, können Sie einmaliges Anmelden (Single Sign-On, SSO) mit dem Kerberos-Authentifizierungsprotokoll und einem Feature namens Kerberos-eingeschränkte Delegierung (KCD) erreichen. Der private Netzwerkconnector verwendet KCD, um ein Windows-Token für einen Benutzer abzurufen, auch wenn der Benutzer nicht direkt bei Windows angemeldet ist. Weitere Informationen zu KCD finden Sie unter "Kerberos-Eingeschränkte Delegierung: Übersicht" und "Kerberos-Eingeschränkte Delegierung für einmaliges Anmelden bei Ihren Apps mit Anwendungsproxy".

Es gibt nicht viel zu konfigurieren auf der Reporting Services-Seite. Für die ordnungsgemäße Kerberos-Authentifizierung ist ein gültiger Dienstprinzipalname (SERVICE Principal Name, SPN) erforderlich. Aktivieren Sie den Reporting Services-Server für die Negotiate Authentifizierung.

Konfigurieren des Dienstprinzipalnamens (Service Principal Name, SPN)

Der SPN ist ein eindeutiger Bezeichner für einen Dienst, der die Kerberos-Authentifizierung verwendet. Für den Berichtsserver ist ein ordnungsgemäßer HTTP-SPN erforderlich. Informationen zum Konfigurieren des richtigen Dienstprinzipalnamens (Service Principal Name, SPN) für ihren Berichtsserver finden Sie unter Registrieren eines Dienstprinzipalnamens (Service Principal Name, SPN) für einen Berichtsserver. Überprüfen Sie, ob der SPN hinzugefügt wurde, indem Sie den Setspn Befehl mit der -L Option ausführen. Weitere Informationen zum Befehl finden Sie unter Setspn.

Negotiate-Authentifizierung aktivieren

Um einen Berichtsserver für die Verwendung der Kerberos-Authentifizierung zu aktivieren, konfigurieren Sie den Authentifizierungstyp des Berichtsservers als RSWindowsNegotiate. Konfigurieren Sie diese Einstellung mithilfe der rsreportserver.config-Datei.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Weitere Informationen finden Sie unter Ändern einer Reporting Services-Konfigurationsdatei und Konfigurieren der Windows-Authentifizierung auf einem Berichtsserver.

Sicherstellen, dass dem Connector bei Delegierungen des dem Reporting Services-Anwendungspoolkonto hinzugefügten SPN vertraut wird

Konfigurieren Sie KCD so, dass der Microsoft Entra-Anwendungsproxydienst Benutzeridentitäten an das Reporting Services-Anwendungspoolkonto delegieren kann. Konfigurieren Sie den Connector für das private Netzwerk, um Kerberos-Tickets für Benutzer zu beziehen, die mit Microsoft Entra ID authentifiziert wurden. Der Server übergibt den Kontext an die Reporting Services-Anwendung.

Um KCD zu konfigurieren, wiederholen Sie die folgenden Schritte für jeden Verbindercomputer:

1. Melden Sie sich bei einem Domänencontroller als Domänenadministrator an, und öffnen Sie dann Active Directory-Benutzer und -Computer.
2. Suchen Sie nach dem Computer, auf dem der Connector ausgeführt wird.
3. Wählen Sie den Computer aus, indem Sie auf "Doppelklicken" und dann auf die Registerkarte " Delegierung " klicken.
4. Legen Sie die Delegierungseinstellungen auf "Diesem Computer vertrauen" fest, damit die Delegierung nur an die angegebenen Dienste erfolgt. Wählen Sie dann "Authentifizierungsprotokoll verwenden" aus.
5. Wählen Sie "Hinzufügen" und dann "Benutzer" oder "Computer" aus.
6. Geben Sie das Dienstkonto ein, das Sie für Reporting Services eingerichtet haben.
7. Wählen Sie "OK" aus. Um die Änderungen zu speichern, wählen Sie erneut "OK " aus.

Weitere Informationen finden Sie unter Eingeschränkte Delegierung von Kerberos für einmaliges Anmelden bei Ihren Apps mit dem Anwendungsproxy.

Schritt 2: Veröffentlichen von Reporting Services über den Microsoft Entra-Anwendungsproxy

Jetzt können Sie den Microsoft Entra-Anwendungsproxy konfigurieren.

1. Veröffentlichen Sie Reporting Services über den Anwendungsproxy mit den folgenden Einstellungen. Schrittweise Anleitungen zum Veröffentlichen einer Anwendung über den Anwendungsproxy finden Sie unter Veröffentlichen von Anwendungen mithilfe des Microsoft Entra-Anwendungsproxys.

   • Interne URL: Geben Sie die URL zum Berichtsserver ein, den der Connector im Unternehmensnetzwerk erreichen kann. Stellen Sie sicher, dass diese URL vom Server erreichbar ist, auf dem der Connector installiert ist. Eine bewährte Methode ist die Verwendung einer Top-Level-Domain wie https://servername/, um Probleme mit Unterpfaden zu vermeiden, die durch den Anwendungsproxy bereitgestellt werden. Verwenden Sie z. B. https://servername/ und nicht https://servername/reports/ oder https://servername/reportserver/.

     Hinweis

     Verwenden Sie eine sichere HTTPS-Verbindung mit dem Berichtsserver. Weitere Informationen zum Konfigurieren einer sicheren Verbindung finden Sie unter Konfigurieren sicherer Verbindungen auf einem Berichtserver im nativen Modus.

   • Externe URL: Geben Sie die öffentliche URL ein, mit der die mobile Power BI-App eine Verbindung herstellt. So sieht es z. B. aus https://reports.contoso.com , wenn eine benutzerdefinierte Domäne verwendet wird. Um eine benutzerdefinierte Domäne zu verwenden, laden Sie ein Zertifikat für die Domäne hoch, und verweisen Sie auf einen DNS-Eintrag (Domain Name System) auf die Standarddomäne msappproxy.net für Ihre Anwendung. Ausführliche Schritte finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Microsoft Entra-Anwendungsproxy.

   • Vorauthentifizierungsmethode: Microsoft Entra-ID.

2. Nachdem Ihre App veröffentlicht wurde, konfigurieren Sie die Einstellungen für einmaliges Anmelden mit den folgenden Schritten:

   a) Wählen Sie auf der Anwendungsseite im Portal einmaliges Anmelden aus.

   b. Wählen Sie für den Modus für einmaliges Anmeldendie integrierte Windows-Authentifizierung aus.

   c. Legen Sie den internen Anwendungs-SPN auf den Wert fest, den Sie zuvor festgelegt haben.

   d. Wählen Sie die delegierte Anmeldeidentität für den Connector aus, der im Namen Ihrer Benutzer verwendet werden soll. Weitere Informationen finden Sie unter Arbeiten mit verschiedenen lokalen und Cloudidentitäten.

   e. Wählen Sie "Speichern" aus, um Ihre Änderungen zu speichern.

Um die Einrichtung Ihrer Anwendung abzuschließen, wechseln Sie zum Abschnitt "Benutzer und Gruppen ", und weisen Sie Benutzern den Zugriff auf diese Anwendung zu.

Schritt 3: Ändern des Antwort-URI (Uniform Resource Identifier) für die Anwendung

Konfigurieren Sie die Anwendungsregistrierung, die automatisch in Schritt 2 erstellt wurde.

1. Wählen Sie auf der Seite " Microsoft Entra ID Overview " die Option "App-Registrierungen" aus.

2. Suchen Sie auf der Registerkarte "Alle Anwendungen " nach der Anwendung, die Sie in Schritt 2 erstellt haben.

3. Wählen Sie die Anwendung und dann "Authentifizierung" aus.

4. Fügen Sie den Umleitungs-URI für die Plattform hinzu.

   Fügen Sie beim Konfigurieren der App für Power BI Mobile unter iOS die Umleitungs-URIs (Uniform Resource Identifiers) vom Typ Public Client (Mobile & Desktop)hinzu.

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Fügen Sie beim Konfigurieren der App für Power BI Mobile unter Android die Umleitungs-URIs (Uniform Resource Identifiers) des Typs Public Client (Mobile & Desktop)hinzu.

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Von Bedeutung

   Die Umleitungs-URIs müssen hinzugefügt werden, damit die Anwendung ordnungsgemäß funktioniert. Wenn Sie die App für Power BI Mobile iOS und Android konfigurieren, fügen Sie den Umleitungs-URI vom Typ Public Client (Mobile & Desktop) zur Liste der umleitungs-URIs hinzu, die für iOS konfiguriert sind: urn:ietf:wg:oauth:2.0:oob.

Schritt 4: Verbinden über die Power BI Mobile-App

1. Stellen Sie in der mobilen Power BI-App eine Verbindung mit Ihrer Reporting Services-Instanz her. Geben Sie die externe URL für die Anwendung ein, die Sie über den Anwendungsproxy veröffentlicht haben.

   

2. Wählen Sie "Verbinden" aus. Die Microsoft Entra-Anmeldeseite wird geladen.

3. Geben Sie gültige Anmeldeinformationen für Ihren Benutzer ein, und wählen Sie "Anmelden" aus. Die Elemente vom Reporting Services-Server werden angezeigt.

Schritt 5: Konfigurieren der Intune-Richtlinie für verwaltete Geräte (optional)

Sie können Microsoft Intune verwenden, um die Client-Apps zu verwalten, die die Mitarbeiter Ihres Unternehmens verwenden. Intune bietet Funktionen wie Datenverschlüsselung und Zugriffsanforderungen. Aktivieren Sie die mobile Power BI-Anwendung mit der Intune-Richtlinie.

1. Navigieren Sie zu Entra ID>App-Registrierungen.
2. Wählen Sie die in Schritt 3 konfigurierte Anwendung aus, wenn Sie Ihre systemeigene Clientanwendung registrieren.
3. Wählen Sie auf der Seite der Anwendung API-Berechtigungen aus.
4. Wählen Sie "Berechtigung hinzufügen" aus.
5. Suchen Sie unter APIs, die meine Organisation verwendet, nach Microsoft Mobile Application Management, und wählen Sie sie aus.
6. Fügen Sie der Anwendung die DeviceManagementManagedApps.ReadWrite-Berechtigung hinzu.
7. Wählen Sie "Administratorzustimmung erteilen" aus, um den Berechtigungszugriff auf die Anwendung zu gewähren.
8. Konfigurieren Sie die gewünschte Intune-Richtlinie, indem Sie sich auf das Erstellen und Zuweisen von App-Schutzrichtlinien beziehen.

Problembehandlung

Wenn die Anwendung nach dem Versuch, einen Bericht für mehr als ein paar Minuten zu laden, eine Fehlerseite zurückgibt, müssen Sie möglicherweise die Timeouteinstellung ändern. Der Anwendungsproxy unterstützt standardmäßig Anwendungen, die bis zu 85 Sekunden dauern, um auf eine Anforderung zu antworten. Um diese Einstellung auf 180 Sekunden zu verlängern, wählen Sie das Back-End-Timeout auf "Long " auf der Seite mit den Anwendungsproxyeinstellungen für die Anwendung aus. Tipps zum Erstellen schneller und zuverlässiger Berichte finden Sie unter "Bewährte Methoden für Power BI-Berichte".

Die Verwendung des Microsoft Entra-Anwendungsproxys, damit die mobile Power BI-App eine Verbindung mit dem lokalen Power BI-Berichtsserver herstellen kann, wird nicht mit Richtlinien für bedingten Zugriff unterstützt, die die Microsoft Power BI-App als genehmigte Client-App erfordern.

Nächste Schritte

• Aktivieren von systemeigenen Clientanwendungen für die Interaktion mit Proxyanwendungen
• Anzeigen von lokalen Berichtsserverberichten und KPIs in den mobilen Power BI-Apps