Távoli hozzáférés engedélyezése a Power BI Mobile-hoz a Microsoft Entra alkalmazásproxy segítségével

Ez a cikk azt ismerteti, hogyan engedélyezheti a Power BI mobilalkalmazást a Microsoft Entra alkalmazásproxyval a Power BI jelentéskészítő kiszolgáló (PBIRS) és az SQL Server Reporting Services (SSRS) 2016-os és újabb verzióihoz való csatlakozáshoz. Az integráció révén a vállalati hálózattól távol lévő felhasználók a Power BI mobilalkalmazásból érhetik el Power BI-jelentéseiket, és Microsoft Entra-hitelesítéssel védhetik őket. Ez a védelem olyan biztonsági előnyöket tartalmaz, mint a feltételes hozzáférés és a többtényezős hitelesítés.

Előfeltételek

• A Reporting Services üzembe helyezése a környezetben.
• Engedélyezze a Microsoft Entra alkalmazásproxyt.
• Ha lehetséges, használja ugyanazokat a belső és külső tartományokat a Power BI-hoz. Az egyéni tartományokkal kapcsolatos további információkért lásd : Egyéni tartományok használata az alkalmazásproxyban.

1. lépés: Kerberos korlátozott delegálás (KCD) konfigurálása

A Windows-hitelesítést használó helyszíni alkalmazások esetében az egyszeri bejelentkezést (SSO) a Kerberos hitelesítési protokollal és a Kerberos korlátozott delegálás (KCD) nevű funkcióval érheti el. A privát hálózati összekötő KCD használatával szerez be egy Windows-jogkivonatot a felhasználó számára, még akkor is, ha a felhasználó nincs közvetlenül bejelentkezve a Windowsba. A KCD-vel kapcsolatos további információkért tekintse meg a Kerberos korlátozott delegálásának áttekintését és a Kerberos korlátozott delegálását az alkalmazásproxyval rendelkező alkalmazások egyszeri bejelentkezéséhez.

A Reporting Services oldalán nincs sok konfigurálás. A megfelelő Kerberos-hitelesítéshez érvényes egyszerű szolgáltatásnévre (SPN) van szükség. Engedélyezze a Reporting Services-kiszolgálót a hitelesítéshez Negotiate .

A szolgáltatásnév (SPN) konfigurálása

Az egyszerű szolgáltatásnév egy Kerberos-hitelesítést használó szolgáltatás egyedi azonosítója. A jelentéskészítő kiszolgálóhoz megfelelő HTTP SPN szükséges. A jelentéskészítő kiszolgálóhoz tartozó egyszerű szolgáltatásnév (SPN) konfigurálásáról további információt a jelentéskészítő kiszolgáló egyszerű szolgáltatásnevének (SPN) regisztrálása című témakörben talál. Az egyszerű szolgáltatásnév hozzáadásának ellenőrzéséhez futtassa a Setspn parancsot a -L beállítással. A parancsról további információt a Setspn című témakörben talál.

Hitelesítés egyeztetésének engedélyezése

Ha engedélyezni szeretné, hogy a jelentéskészítő kiszolgáló Kerberos-hitelesítést használjon, konfigurálja a jelentéskészítő kiszolgáló hitelesítési típusát RSWindowsNegotiate típusra. Konfigurálja ezt a beállítást az rsreportserver.config fájllal.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

További információt a Reporting Services konfigurációs fájljának módosítása és a Windows-hitelesítés konfigurálása jelentéskészítő kiszolgálón című témakörben talál.

Győződjön meg arról, hogy az összekötő megbízható a Reporting Services-alkalmazáskészlet-fiókhoz hozzáadott egyszerű szolgáltatásnév delegálásához

Konfigurálja a KCD-t, hogy a Microsoft Entra alkalmazásproxy szolgáltatás felhasználói identitásokat delegáljon a Reporting Services alkalmazáskészlet-fiókjába. Konfigurálja a privát hálózati összekötőt Kerberos-jegyek lekéréséhez a Microsoft Entra-azonosítóval hitelesített felhasználók számára. A kiszolgáló átadja a környezetet a Reporting Services-alkalmazásnak.

A KCD konfigurálásához ismételje meg a következő lépéseket minden összekötő gép esetében:

1. Jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, majd nyissa meg a Active Directory - felhasználók és számítógépek.
2. Keresse meg azt a számítógépet, amelyen az összekötő fut.
3. Kattintson duplán a számítógépre, majd válassza a Delegálás lapot.
4. Állítsa be a delegálási beállításokat úgy, hogy a számítógép megbízható legyen, és csak a megadott szolgáltatásokra delegálást biztosítson. Ezután válassza a Bármely hitelesítési protokoll használata lehetőséget.
5. Válassza a Hozzáadás, majd a Felhasználók vagy számítógépek lehetőséget.
6. Adja meg a Reporting Serviceshez beállított szolgáltatásfiókot.
7. Kattintson az OK gombra. A módosítások mentéséhez kattintson ismét az OK gombra .

További információ: Kerberos Korlátozott delegálás az alkalmazásproxyval rendelkező alkalmazásokba való egyszeri bejelentkezéshez.

2. lépés: Reporting Services közzététele a Microsoft Entra alkalmazásproxyn keresztül

Most már készen áll a Microsoft Entra alkalmazásproxy konfigurálására.

1. A Reporting Services közzététele alkalmazásproxyn keresztül az alábbi beállításokkal. Az alkalmazások alkalmazásproxyn keresztüli közzétételének részletes útmutatója: Alkalmazások közzététele a Microsoft Entra alkalmazásproxyval.

   • Belső URL-cím: Adja meg annak a jelentéskészítő kiszolgálónak az URL-címét, amelyet az összekötő elérhet a vállalati hálózaton. Győződjön meg arról, hogy ez az URL-cím elérhető attól a kiszolgálótól, amelyre az összekötő telepítve van. Ajánlott eljárás egy legfelső szintű tartomány használata, például https://servername/ az alkalmazásproxyn keresztül közzétett segédpátokkal kapcsolatos problémák elkerülése érdekében. Például használja https://servername/ , és ne https://servername/reports/ vagy https://servername/reportserver/.

     Feljegyzés

     Használjon biztonságos HTTPS-kapcsolatot a jelentéskészítő kiszolgálóval. A biztonságos kapcsolatok konfigurálásával kapcsolatos további információkért lásd : Biztonságos kapcsolatok konfigurálása natív módú jelentéskészítő kiszolgálón.

   • Külső URL-cím: Adja meg azt a nyilvános URL-címet, amelyhez a Power BI mobilalkalmazás csatlakozik. Például úgy néz ki https://reports.contoso.com , mintha egy egyéni tartományt használnál. Egyéni tartomány használatához töltsön fel egy tanúsítványt a tartományhoz, és mutasson egy DNS-rekordot az alkalmazás alapértelmezett msappproxy.net tartományára. Részletes lépésekért lásd : Egyéni tartományok használata a Microsoft Entra-alkalmazásproxyban.

   • Előzetes hitelesítési módszer: Microsoft Entra-azonosító.

2. Az alkalmazás közzététele után konfigurálja az egyszeri bejelentkezési beállításokat az alábbi lépésekkel:

   a. A portál alkalmazásoldalán válassza az Egyszeri bejelentkezés lehetőséget.

   b. Egyszeri bejelentkezési mód esetén válassza az Integrált Windows-hitelesítés lehetőséget.

   c. Állítsa a belső alkalmazás egyszerű szolgáltatásnevét a korábban beállított értékre.

   d. Válassza ki az összekötő delegált bejelentkezési identitását , amelyet a felhasználók nevében szeretne használni. További információ: A különböző helyszíni és felhőbeli identitások használata.

   e. Válassza a Mentés lehetőséget a módosítások mentéséhez.

Az alkalmazás beállításának befejezéséhez nyissa meg a Felhasználók és csoportok szakaszt, és rendeljen hozzá felhasználókat az alkalmazáshoz való hozzáféréshez.

3. lépés: Az alkalmazás válasz egységes erőforrás-azonosítójának (URI) módosítása

Konfigurálja a 2. lépésben automatikusan létrehozott alkalmazásregisztrációt.

1. A Microsoft Entra ID Áttekintés lapján válassza a Alkalmazásregisztrációk.

2. A Minden alkalmazás lapon keresse meg a 2. lépésben létrehozott alkalmazást.

3. Válassza ki az alkalmazást, majd válassza a Hitelesítés lehetőséget.

4. Adja hozzá az átirányítási URI-t a platformhoz.

   Ha iOS rendszeren konfigurálja az alkalmazást a Power BI Mobile-hoz, adja hozzá az átirányítási egységes erőforrás-azonosítókat (URI-kat).Public Client (Mobile & Desktop)

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Az androidos Power BI Mobile alkalmazás konfigurálásakor adja hozzá az átirányítási egységes erőforrás-azonosítókat (URI-kat).Public Client (Mobile & Desktop)

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Fontos

   Az átirányítási URI-kat hozzá kell adni ahhoz, hogy az alkalmazás megfelelően működjön. Ha az alkalmazást a Power BI Mobile iOS-es és androidos verziójához is konfigurálja, adja hozzá az átirányítási URI-t nyilvános ügyfél (Mobile > Desktop) típushoz az iOS-hez konfigurált átirányítási URI-k listájához: urn:ietf:wg:oauth:2.0:oob.

4. lépés: Csatlakozás a Power BI Mobilalkalmazásból

1. A Power BI mobilalkalmazásban csatlakozzon a Reporting Services-példányhoz. Adja meg az alkalmazásproxyn keresztül közzétett alkalmazás külső URL-címét .

   

2. Válassza a Kapcsolódás lehetőséget. Betöltődik a Microsoft Entra bejelentkezési oldala.

3. Adja meg a felhasználó érvényes hitelesítő adatait, és válassza a Bejelentkezés lehetőséget. Megjelennek a Reporting Services-kiszolgáló elemei.

5. lépés: Az Intune-szabályzat konfigurálása felügyelt eszközökhöz (nem kötelező)

A Microsoft Intune használatával kezelheti a vállalata munkaerője által használt ügyfélalkalmazásokat. Az Intune olyan képességeket biztosít, mint az adattitkosítás és a hozzáférési követelmények. Engedélyezze a Power BI mobilalkalmazást az Intune-szabályzattal.

1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
2. Válassza ki a natív ügyfélalkalmazás regisztrálásakor a 3. lépésben konfigurált alkalmazást.
3. Az alkalmazás oldalán válassza az API-engedélyek lehetőséget.
4. Válassza az Engedély hozzáadása lehetőséget.
5. A szervezet által használt API-k alatt keresse meg és válassza ki a Microsoft Mobile Application Management szolgáltatást.
6. Adja hozzá a DeviceManagementManagedApps.ReadWrite engedélyt az alkalmazáshoz.
7. Válassza a Rendszergazdai hozzájárulás megadása lehetőséget az alkalmazás engedélyhozzáférésének megadásához.
8. Konfigurálja a kívánt Intune-szabályzatot az alkalmazásvédelmi szabályzatok létrehozásának és hozzárendelésének módjára hivatkozva.

Hibaelhárítás

Ha az alkalmazás hibalapot ad vissza, miután néhány percnél hosszabb ideig próbált betölteni egy jelentést, előfordulhat, hogy módosítania kell az időtúllépési beállítást. Alapértelmezés szerint az alkalmazásproxy támogatja azokat az alkalmazásokat, amelyek akár 85 másodpercig is eltarthatnak a kérések megválaszolásához. Ha 180 másodpercre szeretné meghosszabbítani ezt a beállítást, az alkalmazás alkalmazásproxy-beállításainak lapján válassza a Long háttérbeli időtúllépést. A gyors és megbízható jelentések létrehozásával kapcsolatos tippekért tekintse meg a Power BI-jelentések ajánlott eljárásait.

A Microsoft Entra-alkalmazásproxy használata a Power BI mobilalkalmazás helyszíni csatlakozásának engedélyezéséhez Power BI jelentéskészítő kiszolgáló nem támogatott feltételes hozzáférési szabályzatok, amelyekhez a Microsoft Power BI alkalmazás jóváhagyott ügyfélalkalmazásként szükséges.

Következő lépések

• Natív ügyfélalkalmazások engedélyezése proxyalkalmazásokkal való interakcióhoz
• Helyszíni jelentéskészítő kiszolgálói jelentések és KPI-k megtekintése a Power BI mobilalkalmazásokban