Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI Mobile에 대한 원격 액세스 사용
아티클
이 문서에서는 Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI 모바일 앱이 PBIRS(Power BI Report Server) 및 SSRS(SQL Server Reporting Services) 2016 이상에 연결할 수 있도록 하는 방법을 설명합니다. 이 통합을 통해 회사 네트워크에서 멀리 떨어져 있는 사용자는 Power BI 모바일 앱에서 Power BI 보고서에 액세스하고 Microsoft Entra 인증을 통해 보호받을 수 있습니다. 이 보호에는 조건부 액세스 및 다단계 인증과 같은 보안 혜택이 포함됩니다.
Windows 인증을 사용하는 온-프레미스 애플리케이션에 대해 Kerberos 인증 프로토콜 및 KCD(Kerberos 제한 위임)라는 기능을 사용하여 SSO(Single Sign-On)를 획득할 수 있습니다. 개인 네트워크 커넥터는 사용자가 Windows에 직접 로그인하지 않은 경우에도 KCD를 사용하여 사용자에 대한 Windows 토큰을 가져옵니다. KCD에 대한 자세한 내용은 Kerberos 제한 위임 개요 및 애플리케이션 프록시를 사용한 앱에 Single Sign-On을 위한 Kerberos 제한 위임을 참조하세요.
Reporting Services 쪽에서 구성할 항목이 많지 않습니다. 적절한 Kerberos 인증을 수행하려면 유효한 SPN(서비스 주체 이름)이 필요합니다. Negotiate 인증을 위해 Reporting Services 서버를 사용하도록 설정합니다.
SPN(서비스 주체 이름) 구성
SPN은 Kerberos 인증을 사용하는 서비스에 대한 고유한 식별자입니다. 보고서 서버에는 적절한 HTTP SPN이 필요합니다. 보고서 서버에 대한 적절한 SPN(서비스 주체 이름)을 구성하는 방법에 대한 자세한 내용은 보고서 서버에 SPN(서비스 주체 이름) 등록을 참조하세요.
-L 옵션과 함께 Setspn 명령을 실행하여 SPN이 추가되었는지 확인합니다. 명령에 대해 자세히 알아보려면 Setspn을 참조하세요.
Negotiate 인증 사용
보고서 서버에서 Kerberos 인증을 사용하도록 설정하려면 보고서 서버의 인증 유형이 RSWindowsNegotiate가 되도록 구성합니다. rsreportserver.config 파일을 사용하여 이 설정을 구성합니다.
커넥터가 Reporting Services 애플리케이션 풀 계정에 추가된 SPN에 위임되도록 신뢰할 수 있는지 확인합니다.
Microsoft Entra 애플리케이션 프록시 서비스가 사용자 ID를 Reporting Services 애플리케이션 풀 계정에 위임할 수 있도록 KCD를 구성합니다. Microsoft Entra ID 인증 사용자에 대한 Kerberos 티켓을 검색하도록 개인 네트워크 커넥터를 구성합니다. 서버는 컨텍스트를 Reporting Services 애플리케이션에 전달합니다.
KCD를 구성하려면 각 커넥터 컴퓨터에 대해 다음 단계를 반복합니다.
도메인 관리자로 도메인 컨트롤러에 로그인하고 Active Directory 사용자 및 컴퓨터를 엽니다.
커넥터를 실행하고 있는 컴퓨터를 찾습니다.
두 번 클릭하여 컴퓨터를 선택한 다음 위임 탭을 선택합니다.
위임 설정이 지정된 서비스에 대한 위임용으로만 이 컴퓨터 트러스트로 설정되어 있는지 확인합니다. 그런 다음 모든 인증 프로토콜 사용을 선택합니다.
내부 URL: 커넥터가 회사 네트워크에서 연결할 수 있는 보고서 서버의 URL을 입력합니다. 커넥터가 설치된 서버에서 이 URL에 연결할 수 있는지 확인합니다. 가장 좋은 방법은 https://servername/과 같은 최상위 도메인을 사용하여 애플리케이션 프록시를 통해 게시된 하위 경로 관련 문제를 방지하는 것입니다. 예를 들어, https://servername/을 사용하고, https://servername/reports/ 또는 https://servername/reportserver/는 사용하지 않습니다.
외부 URL: Power BI 모바일 앱이 연결되는 공용 URL을 입력합니다. 예를 들어, 사용자 지정 도메인이 사용되면 https://reports.contoso.com과 같습니다. 사용자 지정 도메인을 사용하려면 도메인에 대한 인증서를 업로드하고 DNS(Domain Name System) 레코드가 애플리케이션의 기본 msappproxy.net 도메인을 가리키도록 합니다. 자세한 단계는 Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업을 참조하세요.
애플리케이션이 올바르게 작동하려면 리디렉션 URI를 추가해야 합니다. Power BI Mobile iOS 및 Android용 앱을 구성하는 경우, iOS에 대해 구성된 리디렉션 URI 목록에 퍼블릭 클라이언트 유형(모바일 및 데스크톱)의 리디렉션 URI를 추가합니다(urn:ietf:wg:oauth:2.0:oob).
4단계: Power BI Mobile 앱에서 연결
Power BI Mobile 앱에서 Reporting Services 인스턴스에 연결합니다. 애플리케이션 프록시를 통해 게시한 애플리케이션의 외부 URL을 입력합니다.
연결을 선택합니다. Microsoft Entra 로그인 페이지가 로드됩니다.
사용자에 대한 올바른 자격 증명을 입력하고 로그인을 선택합니다. Reporting Services 서버의 요소가 표시됩니다.
5단계: 관리되는 디바이스에 대한 Intune 정책 구성(선택 사항)
Microsoft Intune을 사용하여 회사 인력이 사용하는 클라이언트 앱을 관리할 수 있습니다. Intune은 데이터 암호화 및 액세스 요구 사항과 같은 기능을 제공합니다. Intune 정책을 사용하여 Power BI 모바일 애플리케이션을 사용하도록 설정합니다.
ID>애플리케이션>앱 등록으로 이동합니다.
원시 클라이언트 애플리케이션을 등록할 때는 3단계에서 구성된 애플리케이션을 선택합니다.
애플리케이션 페이지에서 API 사용 권한을 선택합니다.
권한 추가를 선택합니다.
내 조직에서 사용하는 API에서 Microsoft 모바일 애플리케이션 관리를 검색하여 선택합니다.
몇 분이 지나도록 보고서 로드를 시도한 후 애플리케이션에서 오류 페이지가 반환되는 경우 제한 시간 설정을 변경해야 할 수 있습니다. 기본적으로 애플리케이션 프록시는 요청에 응답하는 데 최대 85초를 소요하는 애플리케이션을 지원합니다. 이 설정을 180초로 늘리려면 애플리케이션의 애플리케이션 프록시 설정 페이지에서 백 엔드 제한 시간을 길게로 선택합니다. 빠르고 신뢰할 수 있는 보고서를 만드는 방법에 대한 팁은 Power BI 보고서 모범 사례를 참조하세요.
온-프레미스 Power BI Report Server에 연결하기 위해 Microsoft Entra 애플리케이션 프록시를 사용하여 Power BI Mobile 앱을 사용하도록 설정하는 것은 승인된 클라이언트 앱으로 사용 가능한 Microsoft Power BI 앱을 요구하는 조건부 액세스 정책으로 지원되지 않습니다.