Abilitare l'accesso remoto a Power BI Mobile con il proxy dell'applicazione Microsoft Entra

Questo articolo illustra come usare il proxy dell'applicazione Microsoft Entra per consentire all'app Power BI per dispositivi mobili di connettersi al server di report di Power BI (PBIRS) e SQL Server Reporting Services (SSRS) 2016 e versioni successive. Grazie a questa integrazione, gli utenti che si trovano lontano dalla rete aziendale possono accedere ai report di Power BI dall'app Power BI per dispositivi mobili ed essere protetti dall'autenticazione di Microsoft Entra. Questa protezione include funzionalità di sicurezza, come l'accesso condizionale e l'autenticazione a più fattori.

Prerequisiti

• Distribuire Reporting Services nell'ambiente in uso.
• Abilitare proxy dell'applicazione Microsoft Entra.
• Quando possibile, usare gli stessi domini interni ed esterni per Power BI. Per altre informazioni sui domini personalizzati, vedere Uso di domini personalizzati nel proxy dell'applicazione.

Passaggio 1: Configurare la delega vincolata Kerberos

Per le applicazioni locali che usano l'autenticazione di Windows, è possibile ottenere l'accesso Single Sign-On (SSO) con il protocollo di autenticazione Kerberos e una funzionalità denominata delega vincolata Kerberos. Il connettore di rete privato usa KCD per ottenere un token di Windows per un utente, anche se l'utente non ha eseguito l'accesso diretto a Windows. Per ulteriori informazioni su Delega Vincolata Kerberos, vedere Panoramica della Delega Vincolata Kerberos e Delega Vincolata Kerberos per l'accesso Single Sign-On alle app con proxy applicativo.

Non c'è molto da configurare sul lato Reporting Services. Per l'autenticazione Kerberos corretta, è necessario un nome dell'entità servizio (SPN) valido. Abilitare il server Reporting Services per l'autenticazione Negotiate.

Configurare il Nome del Principale del Servizio (SPN)

Il nome SPN è un identificatore univoco per un servizio che usa l'autenticazione Kerberos. Per il server di report è necessario un nome SPN HTTP appropriato. Per informazioni su come configurare il nome dell'entità servizio (SPN) appropriato per il server di report, vedere Registrare un nome dell'entità servizio (SPN) per un server di report. Verificare che SPN sia stato aggiunto eseguendo il comando Setspn con l'opzione -L. Per altre informazioni sul comando, vedere Setspn.

Abilitare l'autenticazione Negotiate

Per consentire a un server di report di usare l'autenticazione Kerberos, configurare il tipo di autenticazione del server di report in modo che sia RSWindowsNegotiate. Configurare questa impostazione usando il file rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Per altre informazioni, vedere Modificare un file di configurazione di Reporting Services e Configurare l'autenticazione di Windows in un server di report.

Verificare che il connettore sia considerato attendibile per la delega al nome principale del servizio (SPN) aggiunto all'account del pool di applicazioni di Reporting Services.

Configurare KCD in modo che il servizio proxy dell'applicazione Microsoft Entra possa delegare le identità utente all'account del pool di applicazioni di Reporting Services. Configurare il connettore di rete privata per recuperare i ticket Kerberos per gli utenti autenticati di Microsoft Entra ID. Il server passa il contesto all'applicazione Reporting Services.

Per configurare KCD, ripetere i passaggi seguenti per ogni computer connettore:

1. Effettua l'accesso a un controller di dominio come amministratore di dominio e quindi apri Utenti e computer di Active Directory.
2. Trova il computer in cui è in esecuzione il connettore.
3. Selezionare il computer facendo doppio clic e quindi selezionare la scheda Delegazione.
4. Impostare le impostazioni di delega su Considerare attendibile questo computer solo per la delega ai servizi specificati. Selezionare quindi Usare qualsiasi protocollo di autenticazione.
5. Selezionare Aggiungie quindi selezionare Utenti o computer.
6. Immettere l'account del servizio che hai configurato per Reporting Services.
7. Selezionare OK. Per salvare le modifiche, selezionare di nuovo OK.

Per ulteriori informazioni, vedere Kerberos delega vincolata per l'accesso "Single Sign-On" alle app con proxy applicativo.

Passaggio 2: Pubblicare Reporting Services tramite il proxy dell'applicazione Microsoft Entra

A questo punto è possibile configurare il proxy dell'applicazione Microsoft Entra.

1. Pubblicare Reporting Services tramite il proxy dell'applicazione con le impostazioni seguenti. Per istruzioni dettagliate su come pubblicare un'applicazione tramite il proxy dell'applicazione, vedere Pubblicazione di applicazioni con il proxy dell'applicazione Microsoft Entra.

   • URL interno: immettere l'URL del server di report che il connettore può raggiungere nella rete aziendale. Assicurarsi che questo URL sia raggiungibile dal server in cui è installato il connettore. Una procedura consigliata consiste nell'usare un dominio di primo livello, ad esempio https://servername/ per evitare problemi con i percorsi secondari pubblicati tramite il proxy dell'applicazione. Ad esempio, usare https://servername/ e non https://servername/reports/ o https://servername/reportserver/.

     Nota

     Usare una connessione HTTPS sicura al server di report. Per altre informazioni sulla configurazione di una connessione sicura, vedere Configurare connessioni sicure in un server di report in modalità nativa.

   • URL esterno: immettere l'URL pubblico a cui si connette l'app Power BI per dispositivi mobili. Ad esempio, sembra https://reports.contoso.com se viene usato un dominio personalizzato. Per usare un dominio personalizzato, caricare un certificato per il dominio e puntare un record DNS (Domain Name System) al dominio di msappproxy.net predefinito per l'applicazione. Per i passaggi dettagliati, vedere Uso di domini personalizzati in Microsoft Entra application proxy.

   • metodo di preautenticazione: Microsoft Entra ID.

2. Dopo la pubblicazione dell'app, configurare le impostazioni di Single Sign-On con la procedura seguente:

   un. Nella pagina dell'applicazione del portale selezionare Single Sign-On.

   b. Per modalità Single Sign-On, selezionare autenticazione integrata di Windows.

   c. Impostare SPN dell'applicazione interna sul valore impostato in precedenza.

   d. Scegli l'identità di accesso delegata per il connettore da usare per conto dei tuoi utenti. Per altre informazioni, vedere Uso di identità locali e cloud diverse.

   e. Selezionare Salva per salvare le modifiche.

Per completare la configurazione dell'applicazione, passare a sezione Utenti e gruppi e assegnare gli utenti per accedere a questa applicazione.

Passaggio 3: Modificare l'URI (Uniform Resource Identifier) di risposta per l'applicazione

Configurare la registrazione dell'applicazione creata automaticamente nel passaggio 2.

1. Nella pagina Panoramica di Microsoft Entra ID, selezionare Registrazioni app .

2. Nella scheda Tutte le applicazioni cercare l'applicazione creata nel passaggio 2.

3. Selezionare l'applicazione, quindi selezionare Autenticazione.

4. Aggiungere l'URI di reindirizzamento per la piattaforma.

   Quando si configura l'app per Power BI Mobile su iOS, aggiungere gli URI (Uniform Resource Identifier) di reindirizzamento del tipo Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Quando si configura l'app per Power BI Mobile in Android, aggiungere gli URI (Uniform Resource Identifier) di tipo Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Importante

   Per il corretto funzionamento dell'applicazione, è necessario aggiungere gli URI di reindirizzamento. Se si configura l'app per Power BI Mobile iOS e Android, aggiungere l'URI di reindirizzamento di tipo Client pubblico (Mobile & Desktop) all'elenco di URI di reindirizzamento configurati per iOS: urn:ietf:wg:oauth:2.0:oob.

Passaggio 4: Connettersi dall'app Power BI per dispositivi mobili

1. Nell'app Power BI per dispositivi mobili connettersi all'istanza di Reporting Services. Immettere l'URL esterno per l'applicazione che hai pubblicato tramite il proxy dell'applicazione.

   

2. Selezionare Connetti. Viene caricata la pagina di accesso di Microsoft Entra.

3. Immettere le credenziali valide per l'utente e selezionare Accedi. Vengono visualizzati gli elementi del server Reporting Services.

Passaggio 5: Configurare i criteri di Intune per i dispositivi gestiti (facoltativo)

È possibile usare Microsoft Intune per gestire le app client usate dalla forza lavoro aziendale. Intune offre funzionalità come crittografia dei dati e requisiti di accesso. Abilitare l'app mobile di Power BI tramite i criteri di Intune.

1. Passare a Identity>Applicazioni>le registrazioni delle app.
2. Selezionare l'applicazione configurata nel passaggio 3 durante la registrazione dell'applicazione client nativa.
3. Nella pagina dell'applicazione selezionare autorizzazioni API.
4. Selezionare Aggiungi un'autorizzazione.
5. Nelle API utilizzate dalla mia organizzazione, cerca e seleziona Microsoft Mobile Application Management.
6. Aggiungere l'autorizzazione DeviceManagementManagedApps.ReadWrite all'applicazione.
7. Selezionare Concedere il consenso amministratore per concedere l'accesso all'applicazione.
8. Configurare i criteri di Intune desiderati facendo riferimento a Come creare e assegnare criteri di protezione delle app.

Risoluzione dei problemi

Se l'applicazione restituisce una pagina di errore dopo aver tentato di caricare un report per più di alcuni minuti, potrebbe essere necessario modificare l'impostazione di timeout. Per impostazione predefinita, il proxy applicazione supporta le applicazioni che richiedono fino a 85 secondi per rispondere a una richiesta. Per aumentare questa impostazione a 180 secondi, selezionare il timeout back-end a Long nella pagina delle impostazioni del proxy dell'applicazione. Per suggerimenti su come creare report veloci e affidabili, vedere Procedure consigliate per i report di Power BI.

L'uso del proxy dell'applicazione Microsoft Entra per consentire all'app Power BI per dispositivi mobili di connettersi al server di report di Power BI locale non è supportato con i criteri di accesso condizionale che richiedono l'app Microsoft Power BI come app client approvata.

Passaggi successivi

• Abilitare le applicazioni client native per interagire con le applicazioni proxy
• Visualizzare report e indicatori KPI del server di report locali nelle app Power BI per dispositivi mobili