この記事では、Web アプリケーション プロキシ (WAP) と Active Directory フェデレーション サービス (AD FS) を使用して、Power BI Report Server と SQL Server Reporting Services (SSRS) 2016 以降に接続する方法について説明します。 この統合により、企業ネットワークから離れているユーザーが自分のクライアント ブラウザーから Power BI Report Server と Reporting Services レポートにアクセスでき、AD FS の事前認証によって保護されます。 Power BI Mobile アプリケーションについては、「Power BI Mobile アプリケーションからレポート サーバーおよび SSRS に接続する」も参照してください。
注意
2025 年 3 月 1 日の時点で、Power BI Mobile アプリは、Windows Server 2016 で構成された AD FS 経由で OAuth プロトコルを使用してレポート サーバーに接続できなくなります。 Windows Server 2016 および Web アプリケーション プロキシ (WAP) で構成された AD FS で OAuth を使用しているお客様は、AD FS サーバーを Windows Server 2019 以降にアップグレードするか、Microsoft Entra アプリケーション プロキシを使用する必要があります。 Windows Server のアップグレード後、Power BI Mobile アプリのユーザーはレポート サーバーに再サインインする必要がある場合があります。
このアップグレードは、モバイル アプリで使用される認証ライブラリの変更によって必要になります。 この変更は、Windows Server 2016 での AD FS に対する Microsoft サポートに影響を与えるものではなく、Power BI Mobile アプリが AD FS に接続する機能にのみ影響します。
注意
この記事で説明する構成は、Power BI Report Server および SQL Server Reporting Services (SSRS) 2016 以降に接続するために推奨される方法ではなくなりました。 「Microsoft Entra アプリケーション プロキシを使用して Power BI Report Server を構成する」の説明に従って、代わりに Microsoft Entra アプリケーション プロキシを使用して接続を構成してください
前提条件
ドメイン ネーム サービス (DNS) の構成
- ユーザーが接続するパブリック URL が決まっている。 これは、次の例のようになります。
https://reports.contosolab.com
- ホスト名 (例:
reports.contosolab.com
) の DNS レコードが、Web アプリケーション プロキシ (WAP) サーバーのパブリック IP アドレスを指し示すように構成されている。 - AD FS サーバーのパブリック DNS レコードが構成されている。 たとえば、次の URL で AD FS サーバーを構成できます。
https://adfs.contosolab.com
- DNS レコードが、Web アプリケーション プロキシ (WAP) サーバーのパブリック IP アドレスを指し示すように構成されている (例:
adfs.contosolab.com
)。 それは、WAP アプリケーションの一部として発行されます。
証明書
WAP アプリケーションと AD FS サーバーの両方の証明書を構成する必要があります。 これらの証明書はどちらも、お使いのコンピューターで認識される有効な証明機関の一部である必要があります。
1. レポート サーバーを構成する
サービス プリンシパル名 (SPN) が有効であることが確認される必要があります。 有効な SPN によって、適切な Kerberos 認証が実行され、レポート サーバーでの認証のネゴシエートが可能になります。
サービス プリンシパル名 (SPN)
SPN は、Kerberos 認証を使うサービスの一意の識別子です。 レポート サーバーの適切な HTTP SPN が存在していることを確認します。
レポート サーバーの適切なサービス プリンシパル名 (SPN) の構成方法については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」をご覧ください。
ネゴシエート認証を有効にする
レポート サーバーが Kerberos 認証を使用できるようにするには、レポート サーバーの認証の種類を RSWindowsNegotiate として構成する必要があります。 これは、rsreportserver.config ファイル内に構成します。
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsNTLM />
</AuthenticationTypes>
詳細については、「Reporting Services 構成ファイルを変更する」と「レポート サーバーで Windows 認証を構成する」を参照してください。
2. Active Directory Federation Services (AD FS) を構成する
環境内の Windows サーバーで AD FS を構成する必要があります。 構成を行うには、サーバー マネージャーで [管理]、[役割と機能の追加] の順に選択します。 詳しくは、「Active Directoryフェデレーション サービス」をご覧ください。
重要
2025 年 3 月 1 日の時点で、Power BI Mobile アプリは、Windows Server 2016 で構成された AD FS 経由でレポート サーバーに接続できなくなります。 この記事の冒頭にある注意を参照してください。
AD FS サーバーで AD FS 管理アプリを使用して、次の手順を実行します。
[証明書利用者信頼] を右クリックし、 [証明書利用者信頼の追加] を選択します。
証明書利用者信頼の追加ウィザードで、次の手順に従います。
[要求に対応しない] オプションを選択して、認証メカニズムとして Windows 統合セキュリティを使用します。
[表示名の指定] に希望の名前を入力し、[次へ] を選択します。 証明書利用者信頼の識別子 (
<ADFS\_URL>/adfs/services/trust
) を入力します。例:
https://adfs.contosolab.com/adfs/services/trust
組織のニーズに合った [アクセス制御ポリシー] を選択し、[次へ] を選択します。
[次へ] を選択し、[完了] を選択して、証明書利用者信頼の追加ウィザードを完了します。
完了すると、証明書利用者信頼のプロパティは次のようになります。
3. Web アプリケーション プロキシ (WAP) を構成する
環境内のサーバーで、Web アプリケーション プロキシ (役割) の Windows の役割を有効にします。 これは、Windows サーバーである必要があります。 詳しくは、「Windows Server でのWeb アプリケーション プロキシ」および「AD FS の事前認証を使用したアプリケーションの公開」をご覧ください。
制約付き委任を構成する
Forms 認証から Windows 認証に切り替えるには、プロトコルの切り替えで制約付き委任を使う必要があります。 これは、Kerberos の構成の一部です。 レポートサーバーの SPN は、既にレポート サーバーの構成に定義されています。
Active Directory 内の WAP サーバー コンピューター アカウントで制約付き委任を構成する必要があります。 Active Directory に対する権限を持っていない場合は、ドメイン管理者に頼む必要があります。
制約付き委任を構成するには、次の手順に従います。
Active Directory ツールがインストールされているコンピューターで、Active Directory ユーザーとコンピューターを起動します。
WAP サーバーのコンピューター アカウントを検索します。 既定では、それは [コンピューター] コンテナー内にあります。
WAP サーバーを右クリックし、 [プロパティ] に移動します。
[委任] タブで、[指定されたサービスへの委任でのみこのコンピューターを信頼する] と [任意の認証プロトコルを使う] をオンにします。
このオプションにより、この WAP サーバー コンピューター アカウントに制約付き委任が設定されます。 次に、このコンピューターが委任を許可されるサービスを指定する必要があります。
サービス ボックスの下の [追加] を選択します。
[ユーザーまたはコンピューター] を選びます。
レポート サーバー用に使用しているサービス アカウントを入力します。 このアカウントは、前の「レポート サーバーを構成する」セクションで HTTP SPN を追加するために使用したものと同じです。
レポート サーバーの HTTP SPN を選択し、[OK] を選択します。
注意
NetBIOS の SPN だけが表示される場合があります。 NetBIOS と FQDN の両方の SPN が存在する場合は、実際には両方が選択されます。
[展開済み] チェック ボックスをオンにすると、結果は次の例のようになります。
WAP アプリケーションを追加する
Web アプリケーション プロキシ サーバーで [リモート アクセス管理] コンソールを開き、ナビゲーション ペインで [Web アプリケーション プロキシ] を選択します。
[タスク] ペインで [発行] を選択します。
[ようこそ] ページで [次へ] をクリックします。
[事前認証] ページで、[Active Directory フェデレーション サービス (AD FS)] を選択し、[次へ] を選択します。
レポート サーバーへのブラウザー アクセスのみを設定し、モバイル アプリのアクセスは設定しないため、[Web と MSOFBA] 事前認証を選択します。
次に示すように AD FS サーバーで作成した証明書利用者を追加し、[次へ] を選択します。
[外部 URL] セクションに、WAP サーバーに構成されているパブリックにアクセス可能な URL を入力します。 次に示すように、レポート サーバー (レポート サーバーの構成マネージャー) に構成されている URL を、[バックエンド サーバー URL] セクションに追加します。 レポート サーバーの SPN を、[バックエンド サーバー SPN] セクションに追加します。
[次へ] を選択し、[発行] を選択します。
次の PowerShell コマンドを実行して、WAP 構成を検証します。
Get-WebApplicationProxyApplication -Name "PBIRSWAP" | FL
ブラウザーを使用してレポート サーバーに接続する
これで、ブラウザーからパブリック WAP URL にアクセスできます (たとえば、Web サービスの https://reports.contosolab.com/ReportServer
や Web ポータルの https://reports.contosolab.com/Reports
)。 認証に成功すると、レポートが表示されます。
関連するコンテンツ
他にわからないことがある場合は、 Power BI コミュニティで質問してみてください。