Activer l’accès à distance à Power BI Mobile avec le proxy d’application Microsoft Entra

Cet article explique comment utiliser le proxy d’application Microsoft Entra pour permettre à l’application mobile Power BI de se connecter à Power BI Report Server (PBIRS) et SQL Server Reporting Services (SSRS) 2016 et versions ultérieures. Grâce à cette intégration, les utilisateurs éloignés du réseau d’entreprise peuvent accéder à leurs rapports Power BI à partir de l’application mobile Power BI et être protégés par l’authentification Microsoft Entra. Cette protection inclut des avantages de sécurité tels que l’accès conditionnel et l’authentification multifacteur.

Conditions préalables

• Déployez Reporting Services dans votre environnement.
• Activez le proxy d’application Microsoft Entra.
• Si possible, utilisez les mêmes domaines internes et externes pour Power BI. Pour en savoir plus sur les domaines personnalisés, consultez Utilisation de domaines personnalisés dans le proxy d’application.

Étape 1 : Configurer la délégation Kerberos contrainte (KCD)

Pour les applications locales qui utilisent l’authentification Windows, vous pouvez obtenir l’authentification unique (SSO) avec le protocole d’authentification Kerberos et une fonctionnalité appelée délégation Kerberos contrainte (KCD). Le connecteur de réseau privé utilise KCD pour obtenir un jeton Windows pour un utilisateur, même si l’utilisateur n’est pas connecté directement à Windows. Pour en savoir plus sur KCD, consultez Vue d’ensemble de la délégation Kerberos contrainte et Délégation Kerberos Contrainte pour l’authentification unique à vos applications avec proxy d’application.

Il n’y a pas beaucoup à configurer côté Reporting Services. Un nom de principal de service valide (SPN) est requis pour que l’authentification Kerberos appropriée se produise. Activez le serveur Reporting Services pour l’authentification Negotiate .

Configurer le nom du principal du service (SPN)

Le SPN est un identificateur unique pour un service qui utilise l’authentification Kerberos. Un SPN HTTP approprié est requis pour le serveur de rapports. Pour plus d’informations sur la configuration du nom de principal de service (SPN) approprié pour votre serveur de rapports, consultez Inscrire un nom de principal de service (SPN) pour un serveur de rapports. Vérifiez que le SPN a été ajouté en exécutant la Setspn commande avec l’option -L . Pour en savoir plus sur la commande, consultez Setspn.

Activer l’authentification Negotiate

Pour permettre à un serveur de rapports d’utiliser l’authentification Kerberos, configurez le type d’authentification du serveur de rapports pour qu’il soit RSWindowsNegotiate. Configurez ce paramètre à l’aide du fichier rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Pour plus d’informations, consultez Modifier un fichier de configuration Reporting Services et configurer l’authentification Windows sur un serveur de rapports.

Assurez-vous que le connecteur est approuvé pour la délégation envers le SPN ajouté au compte du pool d’applications Reporting Services

Configurez KCD afin que le service proxy d’application Microsoft Entra puisse déléguer des identités utilisateur au compte du pool d’applications Reporting Services. Configurez le connecteur de réseau privé pour récupérer des tickets Kerberos pour les utilisateurs authentifiés microsoft Entra ID. Le serveur transmet le contexte à l’application Reporting Services.

Pour configurer KCD, répétez les étapes suivantes pour chaque ordinateur connecteur :

1. Connectez-vous à un contrôleur de domaine en tant qu’administrateur de domaine, puis ouvrez Utilisateurs et ordinateurs Active Directory.
2. Recherchez l’ordinateur sur lequel le connecteur s’exécute.
3. Sélectionnez l’ordinateur en double-cliquant, puis sélectionnez l’onglet Délégation .
4. Définissez les paramètres de délégation sur Approuver cet ordinateur pour la délégation aux services spécifiés uniquement. Ensuite, sélectionnez Utiliser n’importe quel protocole d’authentification.
5. Sélectionnez Ajouter, puis sélectionnez Utilisateurs ou ordinateurs.
6. Entrez le compte de service que vous avez configuré pour Reporting Services.
7. Sélectionnez OK. Pour enregistrer les modifications, sélectionnez OK à nouveau.

Pour plus d’informations, consultez Délégation Kerberos contrainte pour l’authentification unique à vos applications avec proxy d'applications.

Étape 2 : Publier Reporting Services via le proxy d’application Microsoft Entra

Vous êtes maintenant prêt à configurer le proxy d’application Microsoft Entra.

1. Publiez Reporting Services via le proxy d’application avec les paramètres suivants. Pour obtenir des instructions pas à pas sur la façon de publier une application via le proxy d’application, consultez Publication d’applications à l’aide du proxy d’application Microsoft Entra.

   • URL interne : entrez l’URL du serveur de rapports que le connecteur peut atteindre dans le réseau d’entreprise. Vérifiez que cette URL est accessible à partir du serveur sur lequel le connecteur est installé. Une bonne pratique consiste à utiliser un domaine de niveau supérieur, par https://servername/ exemple pour éviter les problèmes liés aux sous-chemins publiés via le proxy d’application. Par exemple, utilisez https://servername/ et non https://servername/reports/ ou https://servername/reportserver/.

     Remarque

     Utilisez une connexion HTTPS sécurisée au serveur de rapports. Pour plus d’informations sur la configuration d’une connexion sécurisée, consultez Configurer des connexions sécurisées sur un serveur de rapports en mode natif.

   • URL externe : entrez l’URL publique à laquelle l’application mobile Power BI se connecte. Par exemple, cela ressemble à https://reports.contoso.com lorsqu'un domaine personnalisé est utilisé. Pour utiliser un domaine personnalisé, chargez un certificat pour le domaine et pointez un enregistrement DNS (Domain Name System) vers le domaine par défaut msappproxy.net de votre application. Pour obtenir des instructions détaillées, consultez Utilisation de domaines personnalisés dans le proxy d’application Microsoft Entra.

   • Méthode de pré-authentification : ID Microsoft Entra.

2. Une fois votre application publiée, configurez les paramètres d’authentification unique en procédant comme suit :

   a) Dans la page de l’application du portail, sélectionnez Authentification unique.

   b. Pour le mode d’authentification unique, sélectionnez Authentification Windows intégrée.

   v. Définissez le SPN d’application interne sur la valeur que vous avez définie précédemment.

   d. Choisissez l’identité de connexion déléguée pour le connecteur à utiliser pour le compte de vos utilisateurs. Pour plus d’informations, consultez Utilisation de différentes identités locales et cloud.

   é. Sélectionnez Enregistrer pour enregistrer vos modifications.

Pour terminer la configuration de votre application, accédez à la section Utilisateurs et groupes et affectez des utilisateurs pour accéder à cette application.

Étape 3 : Modifier l’URI (Uniform Resource Identifier) de réponse pour l’application

Configurez l’inscription d’application qui a été créée automatiquement à l’étape 2.

1. Dans la page Vue d’ensemble de l’ID Microsoft Entra, sélectionnez Inscriptions d’applications.

2. Sous l’onglet Toutes les applications , recherchez l’application que vous avez créée à l’étape 2.

3. Sélectionnez l’application, puis sélectionnez Authentification.

4. Ajoutez l’URI de redirection pour la plateforme.

   Lors de la configuration de l’application pour Power BI Mobile sur iOS, ajoutez les URI (Uniform Resource Identifiers) de redirection de type Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Lors de la configuration de l’application pour Power BI Mobile sur Android, ajoutez les URI (Uniform Resource Identifiers) de redirection de type Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Important

   Les URI de redirection doivent être ajoutés pour que l’application fonctionne correctement. Si vous configurez l’application pour Power BI Mobile iOS et Android, ajoutez l’URI de redirection de type Client public (Mobile &Desktop) à la liste des URI de redirection configurés pour iOS : urn:ietf:wg:oauth:2.0:oob.

Étape 4 : Se connecter à partir de l’application mobile Power BI

1. Dans l’application mobile Power BI, connectez-vous à votre instance Reporting Services. Entrez l’URL externe de l’application que vous avez publiée via le proxy d’application.

   

2. Sélectionnez Se connecter. La page de connexion de Microsoft Entra se charge.

3. Entrez les informations d’identification valides pour votre utilisateur et sélectionnez Se connecter. Les éléments du serveur Reporting Services sont affichés.

Étape 5 : Configurer la stratégie Intune pour les appareils gérés (facultatif)

Vous pouvez utiliser Microsoft Intune pour gérer les applications clientes utilisées par la main-d’œuvre de votre entreprise. Intune fournit des fonctionnalités telles que le chiffrement des données et les exigences d’accès. Activez l’application mobile Power BI avec la stratégie Intune.

1. Accédez à Entra ID>Inscriptions d'application.
2. Sélectionnez l’application configurée à l’étape 3 lors de l’inscription de votre application cliente native.
3. Dans la page de l’application, sélectionnez Autorisations d’API.
4. Sélectionnez Ajouter une autorisation.
5. Sous API que mon organisation utilise, recherchez et sélectionnez Gestion des applications mobiles Microsoft.
6. Ajoutez l’autorisation DeviceManagementManagedApps.ReadWrite à l’application.
7. Sélectionnez Accorder le consentement de l’administrateur pour accorder l’accès d’autorisation à l’application.
8. Configurez la stratégie Intune souhaitée en faisant référence à la création et à l’attribution de stratégies de protection des applications.

Résolution des problèmes

Si l’application retourne une page d’erreur après avoir essayé de charger un rapport pendant plus de quelques minutes, vous devrez peut-être modifier le paramètre de délai d’attente. Par défaut, le proxy d’application prend en charge les applications qui prennent jusqu’à 85 secondes pour répondre à une demande. Pour allonger ce paramètre de 180 secondes, sélectionnez le délai d’expiration du serveur principal sur Long dans la page des paramètres du proxy d’application pour l’application. Pour obtenir des conseils sur la création de rapports rapides et fiables, consultez les meilleures pratiques relatives aux rapports Power BI.

L’utilisation du proxy d’application Microsoft Entra pour permettre à l’application mobile Power BI de se connecter à Power BI Report Server local n’est pas prise en charge avec les stratégies d’accès conditionnel qui nécessitent l’application Microsoft Power BI en tant qu’application cliente approuvée.

Étapes suivantes

• Permettre aux applications clientes natives d’interagir avec les applications proxy
• Afficher les rapports et indicateurs de performance clés du serveur de rapports locaux dans les applications mobiles Power BI