Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI Mobile에 대한 원격 액세스 사용

이 문서에서는 Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI 모바일 앱이 PBIRS(Power BI Report Server) 및 SSRS(SQL Server Reporting Services) 2016 이상에 연결할 수 있도록 하는 방법을 설명합니다. 이 통합을 통해 회사 네트워크에서 멀리 떨어져 있는 사용자는 Power BI 모바일 앱에서 Power BI 보고서에 액세스하고 Microsoft Entra 인증을 통해 보호받을 수 있습니다. 이 보호에는 조건부 액세스 및 다단계 인증과 같은 보안 혜택이 포함됩니다.

필수 조건

1단계: KCD(Kerberos 제한 위임) 구성

Windows 인증을 사용하는 온-프레미스 애플리케이션에 대해 Kerberos 인증 프로토콜 및 KCD(Kerberos 제한 위임)라는 기능을 사용하여 SSO(Single Sign-On)를 획득할 수 있습니다. 개인 네트워크 커넥터는 사용자가 Windows에 직접 로그인하지 않은 경우에도 KCD를 사용하여 사용자에 대한 Windows 토큰을 가져옵니다. KCD에 대한 자세한 내용은 Kerberos 제한 위임 개요애플리케이션 프록시를 사용한 앱에 Single Sign-On을 위한 Kerberos 제한 위임을 참조하세요.

Reporting Services 쪽에서 구성할 항목이 많지 않습니다. 적절한 Kerberos 인증을 수행하려면 유효한 SPN(서비스 주체 이름)이 필요합니다. Negotiate 인증을 위해 Reporting Services 서버를 사용하도록 설정합니다.

SPN(서비스 주체 이름) 구성

SPN은 Kerberos 인증을 사용하는 서비스에 대한 고유한 식별자입니다. 보고서 서버에는 적절한 HTTP SPN이 필요합니다. 보고서 서버에 대한 적절한 SPN(서비스 주체 이름)을 구성하는 방법에 대한 자세한 내용은 보고서 서버에 SPN(서비스 주체 이름) 등록을 참조하세요. -L 옵션과 함께 Setspn 명령을 실행하여 SPN이 추가되었는지 확인합니다. 명령에 대해 자세히 알아보려면 Setspn을 참조하세요.

Negotiate 인증 사용

보고서 서버에서 Kerberos 인증을 사용하도록 설정하려면 보고서 서버의 인증 유형이 RSWindowsNegotiate가 되도록 구성합니다. rsreportserver.config 파일을 사용하여 이 설정을 구성합니다.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

자세한 내용은 Reporting Services 구성 파일 수정보고서 서버에서 Windows 인증 구성을 참조하세요.

커넥터가 Reporting Services 애플리케이션 풀 계정에 추가된 SPN에 위임되도록 신뢰할 수 있는지 확인합니다.

Microsoft Entra 애플리케이션 프록시 서비스가 사용자 ID를 Reporting Services 애플리케이션 풀 계정에 위임할 수 있도록 KCD를 구성합니다. Microsoft Entra ID 인증 사용자에 대한 Kerberos 티켓을 검색하도록 개인 네트워크 커넥터를 구성합니다. 서버는 컨텍스트를 Reporting Services 애플리케이션에 전달합니다.

KCD를 구성하려면 각 커넥터 컴퓨터에 대해 다음 단계를 반복합니다.

  1. 도메인 관리자로 도메인 컨트롤러에 로그인하고 Active Directory 사용자 및 컴퓨터를 엽니다.
  2. 커넥터를 실행하고 있는 컴퓨터를 찾습니다.
  3. 두 번 클릭하여 컴퓨터를 선택한 다음 위임 탭을 선택합니다.
  4. 위임 설정이 지정된 서비스에 대한 위임용으로만 이 컴퓨터 트러스트로 설정되어 있는지 확인합니다. 그런 다음 모든 인증 프로토콜 사용을 선택합니다.
  5. 추가를 선택하고 사용자 또는 컴퓨터를 선택합니다.
  6. Reporting Services에 대해 설정한 서비스 계정을 입력합니다.
  7. 확인을 선택합니다. 변경 내용을 저장하려면 다시 확인을 선택합니다.

자세한 내용은 애플리케이션 프록시를 사용하여 앱에 Single Sign-On에 대한 Kerberos 제한 위임을 참조하세요.

2단계: Microsoft Entra 애플리케이션 프록시를 통해 Reporting Services 게시

이제 Microsoft Entra 애플리케이션 프록시를 구성할 준비가 되었습니다.

  1. 다음 설정을 사용하여 애플리케이션 프록시를 통해 Reporting Services를 게시합니다. 애플리케이션 프록시를 통해 애플리케이션을 게시하는 방법에 대한 단계별 지침은 Microsoft Entra 애플리케이션 프록시를 사용하여 애플리케이션 게시를 참조하세요.

    • 내부 URL: 커넥터가 회사 네트워크에서 연결할 수 있는 보고서 서버의 URL을 입력합니다. 커넥터가 설치된 서버에서 이 URL에 연결할 수 있는지 확인합니다. 가장 좋은 방법은 https://servername/과 같은 최상위 도메인을 사용하여 애플리케이션 프록시를 통해 게시된 하위 경로 관련 문제를 방지하는 것입니다. 예를 들어, https://servername/을 사용하고, https://servername/reports/ 또는 https://servername/reportserver/는 사용하지 않습니다.

      참고

      보고서 서버에 대한 보안 HTTPS 연결을 사용합니다. 보안 연결 구성에 대한 자세한 내용은 기본 모드 보고서 서버에서 보안 연결 구성을 참조하세요.

    • 외부 URL: Power BI 모바일 앱이 연결되는 공용 URL을 입력합니다. 예를 들어, 사용자 지정 도메인이 사용되면 https://reports.contoso.com과 같습니다. 사용자 지정 도메인을 사용하려면 도메인에 대한 인증서를 업로드하고 DNS(Domain Name System) 레코드가 애플리케이션의 기본 msappproxy.net 도메인을 가리키도록 합니다. 자세한 단계는 Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업을 참조하세요.

    • 사전 인증 방법: Microsoft Entra ID.

  2. 앱이 게시된 후에는 다음 단계에 따라 Single Sign-On 설정을 구성합니다.

    a. 포털의 애플리케이션 페이지에서 Single Sign-On을 선택합니다.

    b. Single Sign-On 모드Windows 통합 인증을 선택합니다.

    c. 내부 애플리케이션 SPN을 이전에 설정한 값으로 설정합니다.

    d. 커넥터에 대한 위임된 로그인 ID를 선택하여 사용자들을 대신하여 사용합니다. 자세한 내용은 다른 온-프레미스 및 클라우드 ID로 작업을 참조하세요.

    e. 저장을 선택하여 변경 내용을 저장합니다.

애플리케이션 설정을 완료하려면 사용자 및 그룹 섹션으로 이동하고 이 애플리케이션에 액세스할 사용자를 할당합니다.

3단계: 애플리케이션에 대한 회신 URI(Uniform Resource Identifier) ​​수정

2단계에서 자동으로 만들어진 애플리케이션 등록을 구성합니다.

  1. Microsoft Entra ID 개요 페이지에서 앱 등록을 선택합니다.

  2. 모든 애플리케이션 탭에서 2단계에서 만든 애플리케이션을 검색합니다.

  3. 해당 애플리케이션을 선택한 다음, 인증을 선택합니다.

  4. 플랫폼에 대한 리디렉션 URI를 추가합니다.

    iOS에서 Power BI Mobile용 앱을 구성할 때 Public Client (Mobile & Desktop) 형식의 리디렉션 URI(Uniform Resource Identifier)를 추가합니다.

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Android에서 Power BI Mobile용 앱을 구성할 때 Public Client (Mobile & Desktop) 형식의 리디렉션 URI(Uniform Resource Identifier)를 추가합니다.

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    중요

    애플리케이션이 올바르게 작동하려면 리디렉션 URI를 추가해야 합니다. Power BI Mobile iOS 및 Android용 앱을 구성하는 경우, iOS에 대해 구성된 리디렉션 URI 목록에 퍼블릭 클라이언트 유형(모바일 및 데스크톱)의 리디렉션 URI를 추가합니다(urn:ietf:wg:oauth:2.0:oob).

4단계: Power BI Mobile 앱에서 연결

  1. Power BI Mobile 앱에서 Reporting Services 인스턴스에 연결합니다. 애플리케이션 프록시를 통해 게시한 애플리케이션의 외부 URL을 입력합니다.

    외부 URL을 사용하는 Power BI Mobile 앱

  2. 연결을 선택합니다. Microsoft Entra 로그인 페이지가 로드됩니다.

  3. 사용자에 대한 올바른 자격 증명을 입력하고 로그인을 선택합니다. Reporting Services 서버의 요소가 표시됩니다.

5단계: 관리되는 디바이스에 대한 Intune 정책 구성(선택 사항)

Microsoft Intune을 사용하여 회사 인력이 사용하는 클라이언트 앱을 관리할 수 있습니다. Intune은 데이터 암호화 및 액세스 요구 사항과 같은 기능을 제공합니다. Intune 정책을 사용하여 Power BI 모바일 애플리케이션을 사용하도록 설정합니다.

  1. ID>애플리케이션>앱 등록으로 이동합니다.
  2. 원시 클라이언트 애플리케이션을 등록할 때는 3단계에서 구성된 애플리케이션을 선택합니다.
  3. 애플리케이션 페이지에서 API 사용 권한을 선택합니다.
  4. 권한 추가를 선택합니다.
  5. 내 조직에서 사용하는 API에서 Microsoft 모바일 애플리케이션 관리를 검색하여 선택합니다.
  6. 애플리케이션에 DeviceManagementManagedApps 사용 권한 추가
  7. 관리자 동의 부여를 선택하여 애플리케이션에 대한 사용 권한을 부여합니다.
  8. 앱 보호 정책을 만들고 할당하는 방법을 참조하여 원하는 Intune 정책을 구성합니다.

문제 해결

몇 분이 지나도록 보고서 로드를 시도한 후 애플리케이션에서 오류 페이지가 반환되는 경우 제한 시간 설정을 변경해야 할 수 있습니다. 기본적으로 애플리케이션 프록시는 요청에 응답하는 데 최대 85초를 소요하는 애플리케이션을 지원합니다. 이 설정을 180초로 늘리려면 애플리케이션의 애플리케이션 프록시 설정 페이지에서 백 엔드 제한 시간을 길게로 선택합니다. 빠르고 신뢰할 수 있는 보고서를 만드는 방법에 대한 팁은 Power BI 보고서 모범 사례를 참조하세요.

온-프레미스 Power BI Report Server에 연결하기 위해 Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI Mobile 앱을 사용하도록 설정하는 것은 승인된 클라이언트 앱으로 사용 가능한 Microsoft Power BI 앱을 요구하는 조건부 액세스 정책으로 지원되지 않습니다.

다음 단계