Habilitar el acceso remoto a Power BI Mobile con el proxy de aplicaciones de Microsoft Entra

En este artículo se describe cómo usar el proxy de aplicaciones de Microsoft Entra para habilitar la conexión de la aplicación Power BI Mobile a Power BI Report Server (PBIRS) y SQL Server Reporting Services (SSRS) 2016 y versiones posteriores. A través de esta integración, los usuarios que estén fuera de la red corporativa pueden acceder a sus informes de Power BI desde la aplicación Power BI Mobile y estar protegidos mediante la autenticación de Microsoft Entra. Esta protección incluye ventajas de seguridad como el acceso condicional y la autenticación multifactor.

Requisitos previos

• Implemente Reporting Services en su entorno.
• Habilite el proxy de aplicación de Microsoft Entra.
• Cuando sea posible, use los mismos dominios internos y externos para Power BI. Para más información sobre los dominios personalizados, consulte el artículo Uso de dominios personalizados en el proxy de aplicación de Azure AD.

Paso 1: Configuración de la delegación restringida de Kerberos (KCD)

Para las aplicaciones locales que usan la autenticación de Windows, puede realizar el inicio de sesión único (SSO) mediante el protocolo de autenticación Kerberos y una característica denominada delegación restringida de Kerberos (KCD). El conector de red privada usa KCD para obtener un token de Windows para un usuario, incluso si el usuario no ha iniciado sesión directamente en Windows. Para más información sobre KCD, consulte Información general sobre la delegación restringida de Kerberos y Delegación restringida de Kerberos para el inicio de sesión único en las aplicaciones con el proxy de aplicación.

En lo que respecta a Reporting Services, no hay mucho que configurar. Se requiere un nombre de entidad de seguridad de servicio (SPN) válido para que se produzca la autenticación Kerberos adecuada. Habilite el servidor de Reporting Services para la autenticación Negotiate.

Configuración del nombre de entidad de seguridad de servicio (SPN)

El SPN es un identificador único para un servicio que usa la autenticación Kerberos. Se requiere un SPN HTTP adecuado para el servidor de informes. Para obtener información sobre cómo configurar el nombre de entidad de seguridad de servicio (SPN) correcto para el servidor de informes, consulte Registrar un nombre principal de servicio (SPN) para un servidor de informes. Compruebe que el SPN se haya agregado ejecutando el comando Setspn con la opción -L. Para obtener más información sobre este comando, consulte Setspn.

Habilitación de la autenticación de negociación

Para habilitar el uso de la autenticación Kerberos por parte de un servidor de informes, configure el tipo de autenticación del servidor de informes para que sea RSWindowsNegotiate. Configure esta opción mediante el archivo rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Para más información, consulte Modificar un archivo de configuración de Reporting Services y Configurar la autenticación de Windows en el servidor de informes.

Asegúrese de que el conector sea de confianza para la delegación en el SPN que se agrega a la cuenta del grupo de aplicaciones de Reporting Services

Configure KCD para que el servicio de proxy de aplicaciones de Microsoft Entra pueda delegar las identidades de usuario en la cuenta de agrupación de la aplicación Reporting Services. Configure el conector de red privada para recuperar vales Kerberos para los usuarios autenticados con el identificador de Microsoft Entra. El servidor pasa el contexto a la aplicación de Reporting Services.

Para configurar KCD, repita los pasos siguientes para cada equipo de conexión:

1. Inicie sesión como administrador de dominio en un controlador de dominio y, después, abra Usuarios y equipos de Active Directory.
2. Busque el equipo en el que se ejecuta el conector.
3. Seleccione el equipo haciendo doble clic y, a continuación, seleccione la pestaña Delegación.
4. Establezca la configuración de delegación en Confiar en este equipo para la delegación solo en los servicios especificados. Después, seleccione Usar cualquier protocolo de autenticación.
5. Seleccione Agregar y, luego, Usuarios o equipos.
6. Introduzca la cuenta de servicio que configuró para Reporting Services.
7. Seleccione Aceptar. Para guardar los cambios, seleccione Aceptar de nuevo.

Para más información, consulte Delegación restringida de Kerberos para el inicio de sesión único para las aplicaciones con proxy de aplicación.

Paso 2: publicar Reporting Services a través del proxy de aplicación de Microsoft Entra

Ahora está listo para configurar el proxy de aplicaciones de Microsoft Entra.

1. Publique Reporting Services a través del proxy de aplicación con la configuración siguiente. Para obtener instrucciones paso a paso sobre cómo publicar una aplicación mediante el proxy de aplicación, consulte Publicar aplicaciones con el proxy de aplicaciones de Microsoft Entra.

   • Dirección URL interna: Escriba la dirección URL del servidor de informes al cual el conector puede acceder en la red corporativa. Asegúrese de que esta dirección URL sea accesible desde el servidor en el que está instalado el conector. Una práctica recomendada es usar un dominio de nivel superior como https://servername/ para evitar problemas con las subrutas publicadas a través del proxy de aplicación. Por ejemplo, use https://servername/ y no https://servername/reports/ o https://servername/reportserver/.

     Nota:

     Use una conexión HTTPS segura al servidor de informes. Para obtener más información sobre cómo configurar una conexión segura, consulte Configuración de conexiones seguras en un servidor de informes en modo nativo.

   • Dirección URL externa: escriba la dirección URL pública a la que se conecta la aplicación móvil de Power BI. Por ejemplo, es similar a https://reports.contoso.com si se utiliza un dominio personalizado. Para usar un dominio personalizado, cargue un certificado para el dominio y apunte un registro de sistema de nombres de dominio (DNS) al dominio msappproxy.net predeterminado de la aplicación. Para ver los pasos detallados, consulte Usar dominios personalizados en el proxy de aplicaciones de Microsoft Entra.

   • Método de autenticación previa: Microsoft Entra ID.

2. Una vez publicada la aplicación, establezca la configuración de inicio de sesión único según los pasos siguientes:

   a. En la página de la aplicación en el portal, seleccione Inicio de sesión único.

   b. En Modo de inicio de sesión único, seleccione Autenticación de Windows integrada.

   c. Establezca el SPN de la aplicación interno en el valor establecido anteriormente.

   d. Elija la Identidad de inicio de sesión delegada que va a usar el conector en nombre de los usuarios. Para más información, consulte Trabajar con diferentes identidades locales y de nube.

   e. Haga clic en Guardar para guardar los cambios.

Para finalizar la configuración de la aplicación, vaya a la sección Usuarios y grupos y asigne usuarios para que accedan a esta aplicación.

Paso 3: modificar el identificador uniforme de recursos (URI) de respuesta para la aplicación

Configure el registro de aplicación que se creó automáticamente en el paso 2.

1. En la página Información general de Microsoft Entra ID, seleccione Registros de aplicaciones.

2. En la pestaña Todas las aplicaciones, busque la aplicación que creó en el paso 2.

3. Seleccione la aplicación y luego Autenticación.

4. Agregue el URI de redirección para la plataforma.

   Al configurar la aplicación para Power BI Mobile en iOS, agregue los identificadores uniformes de recursos (URI) de redirección de tipo Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Al configurar la aplicación para Power BI Mobile en Android, agregue los identificadores uniformes de recursos (URI) de redirección de tipo Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Importante

   Se deben agregar los URI de redirección para que la aplicación funcione correctamente. Si va a configurar la aplicación para Power BI Mobile iOS y Android, agregue el URI de redireccionamiento de tipo cliente público (móvil y escritorio) a la lista de URI de redireccionamiento configurados para iOS: urn:ietf:wg:oauth:2.0:oob.

Paso 4: Conexión desde la aplicación Power BI Mobile

1. En la aplicación Power BI Mobile, conéctese a la instancia de Reporting Services. Escriba la dirección URL externa de la aplicación publicada mediante el proxy de aplicación.

   

2. Seleccione Conectar. Se carga la página de inicio de sesión de Microsoft Entra.

3. Escriba las credenciales válidas para el usuario y seleccione Iniciar sesión. Se muestran los elementos del servidor de Reporting Services.

Paso 5: Configuración de la directiva de Intune para dispositivos administrados (opcional)

Puede usar Microsoft Intune para administrar las aplicaciones cliente que utiliza el personal de su empresa. Intune proporciona funcionalidades como el cifrado de datos y los requisitos de acceso. Habilite la aplicación móvil de Power BI con la directiva de Intune.

1. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.
2. Seleccione la aplicación configurada en el paso 3 al registrar la aplicación cliente nativa.
3. En la página de la aplicación, seleccione Permisos de API.
4. Seleccione Agregar permiso.
5. En API que mi organización usa, busque la opción Administración de aplicaciones móviles de Microsoft y selecciónela.
6. Agregue el permiso DeviceManagementManagedApps.ReadWrite a la aplicación.
7. Seleccione Conceder consentimiento del administrador para conceder el permiso de acceso a la aplicación.
8. Configure la directiva de Intune que quiera consultando el procedimiento de creación y asignación de directivas de protección de aplicaciones.

Solución de problemas

Si la aplicación devuelve una página de error después de intentar cargar un informe durante varios minutos, puede que tenga que cambiar la configuración del tiempo de espera. De forma predeterminada, el proxy de aplicación admite aplicaciones que tardan un máximo de 85 segundos en responder a una solicitud. Para aumentar este valor a 180 segundos, seleccione el tiempo de espera de back-end como Largo en la página de configuración del proxy de aplicación para la aplicación. Para obtener sugerencias sobre procedimientos para crear informes rápidos y de confianza, consulte los procedimientos recomendados para informes de Power BI.

El uso del proxy de aplicación de Microsoft Entra para permitir que la aplicación móvil de Power BI se conecte a la versión local de Power BI Report Server no es compatible con las directivas de acceso condicional que requieren la aplicación de Microsoft Power BI como una aplicación cliente aprobada.

Pasos siguientes

• Habilitación de las aplicaciones de cliente nativas para interactuar con el proxy de aplicaciones
• Visualización de informes y KPI del servidor de informes local en las aplicaciones Power BI Mobile