다음을 통해 공유

Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI Mobile에 대한 원격 액세스 사용

이 문서에서는 Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI 모바일 앱이 Power BI Report Server(PBIRS) 및 SSRS(SQL Server Reporting Services) 2016 이상에 연결할 수 있도록 하는 방법을 설명합니다. 이 통합을 통해 회사 네트워크에서 떨어져 있는 사용자는 Power BI 모바일 앱에서 Power BI 보고서에 액세스하고 Microsoft Entra 인증을 통해 보호할 수 있습니다. 이 보호에는 조건부 액세스 및 다단계 인증과 같은 보안 혜택이 포함됩니다.

필수 구성 요소

  • 귀하의 환경에 Reporting Services를 설치하세요.
  • Microsoft Entra 애플리케이션 프록시 사용하도록 설정합니다.
  • 가능하면 Power BI에 대해 동일한 내부 및 외부 도메인을 사용합니다. 사용자 지정 도메인에 대한 자세한 내용은 애플리케이션 프록시에서 사용자 지정 도메인 작업을 참조하세요.

1단계: KCD(Kerberos 제한 위임) 구성

Windows 인증을 사용하는 온-프레미스 애플리케이션의 경우 Kerberos 인증 프로토콜 및 KCD(Kerberos 제한 위임)라는 기능을 사용하여 SSO(Single Sign-On)를 달성할 수 있습니다. 프라이빗 네트워크 커넥터는 사용자가 Windows에 직접 로그인하지 않은 경우에도 KCD를 사용하여 사용자에 대한 Windows 토큰을 가져옵니다. KCD에 대한 자세한 내용은 애플리케이션 프록시를 사용하여 앱에 대한 Single Sign-On에 대한 Kerberos 제한 위임 개요 및 Kerberos 제한 위임을 참조하세요.

Reporting Services 쪽에서는 구성할 것이 많지 않습니다. 적절한 Kerberos 인증을 수행하려면 유효한 SPN(서비스 사용자 이름)이 필요합니다. Negotiate 인증에 Reporting Services 서버를 사용하도록 설정합니다.

서비스 주체 이름(SPN) 구성하기

SPN은 Kerberos 인증을 사용하는 서비스에 대한 고유 식별자입니다. 보고서 서버에 적절한 HTTP SPN이 필요합니다. 보고서 서버에 대한 적절한 SPN(서비스 사용자 이름)을 구성하는 방법에 대한 자세한 내용은 보고서 서버의 SPN(서비스 사용자 이름) 등록을 참조하세요. Setspn 옵션을 사용하여 -L 명령을 실행하여 SPN이 추가되었는지 확인합니다. 명령에 대한 자세한 내용은 Setspn을 참조하세요.

네고시에이트 인증 사용

보고서 서버에서 Kerberos 인증을 사용하도록 설정하려면 보고서 서버의 인증 유형을 RSWindowsNegotiate로 구성합니다. rsreportserver.config 파일을 사용하여 이 설정을 구성합니다.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

자세한 내용은 Reporting Services 구성 파일 수정보고서 서버에서 Windows 인증 구성을 참조하세요.

Reporting Services 애플리케이션 풀 계정에 추가된 SPN에 대한 위임을 위해 커넥터를 신뢰할 수 있는지 확인합니다.

Microsoft Entra 애플리케이션 프록시 서비스가 사용자 ID를 Reporting Services 애플리케이션 풀 계정에 위임할 수 있도록 KCD를 구성합니다. Microsoft Entra ID 인증된 사용자의 Kerberos 티켓을 검색하도록 프라이빗 네트워크 커넥터를 구성합니다. 서버는 Reporting Services 애플리케이션에 컨텍스트를 전달합니다.

KCD를 구성하려면 각 커넥터 컴퓨터에 대해 다음 단계를 반복합니다.

  1. 도메인 관리자로 도메인 컨트롤러에 로그인한 다음 Active Directory 사용자 및 컴퓨터를 엽니다.
  2. 커넥터가 실행 중인 컴퓨터를 찾습니다.
  3. 두 번 클릭하여 컴퓨터를 선택한 다음 위임 탭을 선택합니다.
  4. 위임 설정을 지정한 서비스에만 위임하기 위해 이 컴퓨터를 신뢰하도록 설정합니다. 그런 다음 인증 프로토콜 사용을 선택합니다.
  5. 추가를 선택한 다음, 사용자 또는 컴퓨터를 선택합니다.
  6. Reporting Services에 대해 설정한 서비스 계정을 입력합니다.
  7. 확인을 선택합니다. 변경 내용을 저장하려면 확인을 다시 선택합니다.

자세한 내용은 애플리케이션 프록시를 사용하여 앱에 대한 Single Sign-On에 대한 Kerberos 제한 위임을 참조하세요.

2단계: Microsoft Entra 애플리케이션 프록시를 통해 Reporting Services 게시

이제 Microsoft Entra 애플리케이션 프록시를 구성할 준비가 되었습니다.

  1. 다음 설정을 사용하여 애플리케이션 프록시를 통해 Reporting Services를 게시합니다. 애플리케이션 프록시를 통해 애플리케이션을 게시하는 방법에 대한 단계별 지침은 Microsoft Entra 애플리케이션 프록시를 사용하여 애플리케이션 게시를 참조하세요.

    • 내부 URL: 커넥터가 회사 네트워크에서 연결할 수 있는 보고서 서버의 URL을 입력합니다. 커넥터가 설치된 서버에서 이 URL에 연결할 수 있는지 확인합니다. 애플리케이션 프록시를 통해 게시된 하위 경로와 관련된 문제를 방지하기 위해 https://servername/ 같은 최상위 도메인을 사용하는 것이 가장 좋습니다. 예를 들어 https://servername/ 또는 https://servername/reports/않고 https://servername/reportserver/ 사용합니다.

      메모

      보고서 서버에 대한 보안 HTTPS 연결을 사용합니다. 보안 연결을 구성하는 방법에 대한 자세한 내용은 기본 모드 보고서 서버에서 보안 연결 구성을 참조하세요.

    • 외부 URL: Power BI 모바일 앱이 연결하는 공용 URL을 입력합니다. 예를 들어 사용자 지정 도메인이 사용되는 경우 https://reports.contoso.com 것처럼 보입니다. 사용자 지정 도메인을 사용하려면 도메인에 대한 인증서를 업로드하고 DNS(도메인 이름 시스템) 레코드를 애플리케이션의 기본 msappproxy.net 도메인으로 가리킵니다. 자세한 단계는 Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업을 참조하세요.

    • 사전 인증 방법: Microsoft Entra ID입니다.

  2. 앱이 게시되면 다음 단계를 사용하여 Single Sign-On 설정을 구성합니다.

    a. 포털의 애플리케이션 페이지에서 Single Sign-On을 선택합니다.

    b. Single Sign-On 모드의 경우 Windows 통합 인증을 선택합니다.

    다. 내부 애플리케이션 SPN을 이전에 설정한 값으로 설정합니다.

    다. 사용자를 대신하여 사용할 커넥터의 위임된 로그인 ID 를 선택합니다. 자세한 내용은 다양한 온-프레미스 및 클라우드 ID 작업을 참조하세요.

    이. 저장을 선택하여 변경 내용을 저장합니다.

애플리케이션 설정을 완료하려면 사용자 및 그룹 섹션으로 이동하여 사용자에게 이 애플리케이션에 액세스하도록 할당합니다.

3단계: 애플리케이션에 대한 회신 URI(Uniform Resource Identifier) 수정

2단계에서 자동으로 만들어진 애플리케이션 등록을 구성합니다.

  1. Microsoft Entra ID 개요 페이지에서 앱 등록을 선택합니다.

  2. 모든 애플리케이션 탭에서 2단계에서 만든 애플리케이션을 검색합니다.

  3. 애플리케이션을 선택한 다음, 인증 선택합니다.

  4. 플랫폼에 대한 리디렉션 URI를 추가합니다.

    iOS에서 Power BI Mobile용 앱을 구성할 때 유형의 Public Client (Mobile & Desktop)리디렉션 URI(Uniform Resource Identifier)를 추가합니다.

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Android Power BI Mobile용 앱을 구성할 때 Public Client (Mobile & Desktop)유형의 리디렉션 URI(Uniform Resource Identifier)를 추가합니다.

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    중요하다

    애플리케이션이 제대로 작동하려면 리디렉션 URI를 추가해야 합니다. Power BI Mobile iOS 및 Android 모두에 대해 앱을 구성하는 경우 퍼블릭 클라이언트(모바일 및 데스크톱) 유형의 리디렉션 URI를 iOS urn:ietf:wg:oauth:2.0:oob용으로 구성된 리디렉션 URI 목록에 추가합니다.

4단계: Power BI 모바일 앱에서 연결

  1. Power BI 모바일 앱에서 Reporting Services 인스턴스에 연결합니다. 애플리케이션 프록시를 통해 게시한 애플리케이션의 외부 URL 을 입력합니다.

    외부 URL이 있는 Power BI 모바일 앱

  2. 연결을 선택합니다. Microsoft Entra 로그인 페이지가 로드됩니다.

  3. 사용자의 유효한 자격 증명을 입력하고 로그인을 선택합니다. Reporting Services 서버의 요소가 표시됩니다.

5단계: 관리되는 디바이스에 대한 Intune 정책 구성(선택 사항)

Microsoft Intune을 사용하여 회사의 인력이 사용하는 클라이언트 앱을 관리할 수 있습니다. Intune은 데이터 암호화 및 액세스 요구 사항과 같은 기능을 제공합니다. Intune 정책을 사용하여 Power BI 모바일 애플리케이션을 사용하도록 설정합니다.

  1. Entra ID>앱 등록으로 이동합니다.
  2. 네이티브 클라이언트 애플리케이션을 등록할 때 3단계에서 구성된 애플리케이션을 선택합니다.
  3. 애플리케이션 페이지에서 API 사용 권한을 선택합니다.
  4. 사용 권한 추가를 선택합니다.
  5. 조직에서 사용하는 API에서 Microsoft 모바일 애플리케이션 관리를 검색하고 선택합니다.
  6. DeviceManagementManagedApps.ReadWrite 권한을 애플리케이션에 추가합니다.
  7. 관리자 동의 부여를 선택하여 애플리케이션에 대한 권한 액세스 권한을 부여합니다.
  8. 앱 보호 정책을 만들고 할당하는 방법을 참조하여 원하는 Intune 정책을 구성합니다.

문제 해결

몇 분 넘게 보고서를 로드한 후 애플리케이션이 오류 페이지를 반환하는 경우 제한 시간 설정을 변경해야 할 수 있습니다. 기본적으로 애플리케이션 프록시는 요청에 응답하는 데 최대 85초가 걸리는 애플리케이션을 지원합니다. 이 설정을 180초로 연장하려면 애플리케이션의 애플리케이션 프록시 설정 페이지에서 Long으로의 백 엔드 제한 시간을 선택합니다. 빠르고 신뢰할 수 있는 보고서를 만드는 방법에 대한 팁은 Power BI 보고서 모범 사례를 참조하세요.

Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI 모바일 앱이 온-프레미스 Power BI Report Server에 연결할 수 있도록 하는 것은 Microsoft Power BI 앱을 승인된 클라이언트 앱으로 요구하는 조건부 액세스 정책에서 지원되지 않습니다.

다음 단계