Externe toegang tot Power BI - Mobiel met Microsoft Entra-toepassingsproxy inschakelen

In dit artikel wordt beschreven hoe u de Microsoft Entra-toepassingsproxy gebruikt om de mobiele Power BI-app in staat te stellen verbinding te maken met Power BI Report Server (PBIRS) en SQL Server Reporting Services (SSRS) 2016 en hoger. Via deze integratie hebben gebruikers die zich niet bij het bedrijfsnetwerk bevinden toegang tot hun Power BI-rapporten vanuit de mobiele Power BI-app en kunnen ze worden beveiligd door Microsoft Entra-verificatie. Deze beveiliging omvat beveiligingsvoordelen zoals voorwaardelijke toegang en meervoudige verificatie.

Vereisten

• Implementeer Reporting Services in uw omgeving.
• Schakel microsoft Entra-toepassingsproxy in.
• Gebruik indien mogelijk dezelfde interne en externe domeinen voor Power BI. Zie Werken met aangepaste domeinen in de toepassingsproxy voor meer informatie over aangepaste domeinen.

Stap 1: Beperkte Kerberos-delegering configureren (KCD)

Voor on-premises toepassingen die gebruikmaken van Windows-verificatie, kunt u eenmalige aanmelding (SSO) bereiken met het Kerberos-verificatieprotocol en een functie genaamd Beperkte Kerberos-delegering (KCD). De privénetwerkconnector gebruikt KCD om een Windows-token voor een gebruiker te verkrijgen, zelfs als de gebruiker niet rechtstreeks bij Windows is aangemeld. Zie Overzicht van beperkte Kerberos-delegering en Beperkte Kerberos-delegatie voor eenmalige aanmelding bij uw apps met toepassingsproxy voor meer informatie over KCD.

Er is niet veel te configureren aan de zijde van Reporting Services. Er is een geldige SPN (Service Principal Name) vereist om de juiste Kerberos-verificatie uit te voeren. Schakel de Reporting Services-server in voor Negotiate verificatie.

De Service Principal Name (SPN) configureren

De SPN is een unieke id voor een service die gebruikmaakt van Kerberos-verificatie. Er is een juiste HTTP SPN vereist voor de rapportserver. Zie Een Service Principal Name (SPN) registreren voor een rapportserver voor informatie over het configureren van de juiste SPN (Service Principal Name) voor uw rapportserver. Controleer of de SPN is toegevoegd door de Setspn opdracht uit te voeren met de -L optie. Zie Setspn voor meer informatie over de opdracht.

Onderhandelen over verificatie inschakelen

Het verificatietype van de rapportserver moet als RSWindowsNegotiate worden geconfigureerd om een rapportserver Kerberos-verificatie te laten gebruiken. Configureer deze instelling met behulp van het bestand rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Zie Een Reporting Services-configuratiebestand wijzigen en Windows-verificatie configureren op een rapportserver voor meer informatie.

Zorg ervoor dat de connector wordt vertrouwd voor delegatie naar de SPN die is toegevoegd aan het account van de Reporting Services-toepassingsgroep

Configureer KCD zodat de Microsoft Entra-toepassingsproxyservice gebruikersidentiteiten kan delegeren aan het account van de Reporting Services-toepassingsgroep. Configureer de privénetwerkconnector voor het ophalen van Kerberos-tickets voor geverifieerde Microsoft Entra-id-gebruikers. De server geeft de context door aan de Reporting Services-toepassing.

Voor de configuratie van KCD herhaalt u de volgende stappen voor elke connectorcomputer:

1. Meld u aan als domeinbeheerder op een domeincontroller en open Active Directory-gebruikers en -computers.
2. Zoek de computer waarop de connector wordt uitgevoerd.
3. Selecteer de computer door erop te dubbelklikken en selecteer vervolgens het tabblad Delegatie .
4. Stel de delegeringsinstellingen in op Deze computer vertrouwen voor delegering naar alleen de opgegeven services. Selecteer vervolgens Elk protocol voor authenticatie gebruiken.
5. Selecteer Toevoegen en selecteer vervolgens Gebruikers of Computers.
6. Voer het serviceaccount in dat u hebt ingesteld voor Reporting Services.
7. Selecteer OK. Als u de wijzigingen wilt opslaan, selecteert u OPNIEUW OK .

Zie Kerberos Constrained Delegation voor eenmalige aanmelding bij uw apps met toepassingsproxy voor meer informatie.

Stap 2: Reporting Services publiceren via de Microsoft Entra-toepassingsproxy

U bent nu klaar om de Microsoft Entra-toepassingsproxy te configureren.

1. Publiceer Reporting Services via de toepassingsproxy met de volgende instellingen. Zie Toepassingen publiceren met behulp van de Microsoft Entra-toepassingsproxy voor stapsgewijze instructies voor het publiceren van een toepassing via een toepassingsproxy.

   • Interne URL: Voer de URL naar de rapportserver in waartoe de connector in het bedrijfsnetwerk toegang heeft. Zorg ervoor dat deze URL bereikbaar is vanaf de server waarop de connector is geïnstalleerd. Een best practice is het gebruik van een domein op het hoogste niveau, zoals https://servername/ het voorkomen van problemen met subpaden die zijn gepubliceerd via de toepassingsproxy. Gebruik bijvoorbeeld https://servername/ en niet of https://servername/reportserver/.https://servername/reports/

     Notitie

     Gebruik een beveiligde HTTPS-verbinding met de rapportserver. Zie Beveiligde verbindingen configureren op een rapportserver in de systeemeigen modus voor meer informatie over het configureren van een beveiligde verbinding.

   • Externe URL: Voer de openbare URL in waarnaar de mobiele Power BI-app verbinding maakt. Het ziet er bijvoorbeeld uit https://reports.contoso.com of er een aangepast domein wordt gebruikt. Als u een aangepast domein wilt gebruiken, uploadt u een certificaat voor het domein en wijst u een DNS-record (Domain Name System) toe aan het standaarddomein msappproxy.net voor uw toepassing. Zie Werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy voor gedetailleerde stappen.

   • Methode vóór verificatie: Microsoft Entra-id.

2. Zodra uw app is gepubliceerd, configureert u de instellingen voor eenmalige aanmelding met de volgende stappen:

   a. Selecteer Eenmalige aanmelding op de toepassingspagina in de portal.

   b. Voor de modus voor eenmalige aanmelding selecteert u Geïntegreerde Windows-verificatie.

   c. Stel de SPN van de interne toepassing in op de waarde die u eerder hebt ingesteld.

   d. Kies de gedelegeerde aanmeldingsidentiteit voor de connector die u wilt gebruiken namens uw gebruikers. Zie Werken met verschillende on-premises en cloudidentiteiten voor meer informatie.

   e. Selecteer Opslaan om uw wijzigingen op te slaan.

U voltooit het instellen van uw toepassing door naar de sectie Gebruikers en groepen te gaan en gebruikers toe te wijzen die toegang krijgen tot deze toepassing.

Stap 3: de antwoord-URI (Uniform Resource Identifier) voor de toepassing wijzigen

Configureer de toepassingsregistratie die automatisch is gemaakt in stap 2.

1. Selecteer App-registraties op de overzichtspagina van Microsoft Entra-id.

2. Zoek op het tabblad Alle toepassingen naar de toepassing die u in stap 2 hebt gemaakt.

3. Selecteer de toepassing en selecteer vervolgens Verificatie.

4. Voeg de omleidings-URI voor het platform toe.

   Wanneer u de app configureert voor Power BI - Mobiel op iOS, voegt u de omleidings-URI's (Uniform Resource Identifiers) van het type Public Client (Mobile & Desktop)toe.

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Wanneer u de app configureert voor Power BI - Mobiel op Android, voegt u de omleidings-URI's (Uniform Resource Identifiers) van het type Public Client (Mobile & Desktop)toe.

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Belangrijk

   De omleidings-URI's moeten worden toegevoegd om de toepassing correct te laten werken. Als u de app configureert voor zowel Power BI - Mobiel iOS als Android, voegt u de omleidings-URI van het type Openbare client (Mobile & Desktop) toe aan de lijst met omleidings-URI's die zijn geconfigureerd voor iOS: urn:ietf:wg:oauth:2.0:oob.

Stap 4: Verbinding maken vanuit de mobiele Power BI-app

1. Maak in de mobiele Power BI-app verbinding met uw exemplaar van Reporting Services. Voer de externe URL in voor de toepassing die u hebt gepubliceerd via de toepassingsproxy.

   

2. Selecteer Verbinding maken. De aanmeldingspagina van Microsoft Entra wordt geladen.

3. Voer geldige referenties in voor uw gebruiker en selecteer Aanmelden. De elementen van de Reporting Services-server worden weergegeven.

Stap 5: Intune-beleid configureren voor beheerde apparaten (optioneel)

U kunt met Microsoft Intune de client-apps beheren die het personeel van uw bedrijf gebruikt. Intune biedt mogelijkheden zoals gegevensversleuteling en toegangsvereisten. Schakel de mobiele Power BI-toepassing in met het Intune-beleid.

1. Blader naar identiteitstoepassingen>> App-registraties.
2. Selecteer de toepassing die is geconfigureerd in stap 3 toen u uw systeemeigen clienttoepassing registreerde.
3. Selecteer API-machtigingen op de pagina van de toepassing.
4. Selecteer Een machtiging toevoegen.
5. Zoek en selecteer Microsoft Mobile Application Management onder API's die mijn organisatie gebruikt.
6. Voeg de machtiging DeviceManagementManagedApps.ReadWrite toe aan de toepassing.
7. Selecteer Beheerderstoestemming verlenen om de toegang tot de toepassing te verlenen.
8. Configureer het gewenste Intune-beleid door te verwijzen naar App-beveiligingsbeleid maken en toewijzen.

Probleemoplossing

Als de toepassing een foutpagina retourneert nadat er meer dan een paar minuten is geprobeerd een rapport te laden, moet u mogelijk de time-outinstelling wijzigen. Toepassingsproxy ondersteunt standaard toepassingen die maximaal 85 seconden duren om te reageren op een aanvraag. Als u deze instelling wilt instellen op 180 seconden, selecteert u de back-endtime-out naar Long op de pagina met toepassingsproxy-instellingen voor de toepassing. Zie Best practices voor Power BI-rapporten voor tips over het maken van snelle en betrouwbare rapporten.

Het gebruik van de Microsoft Entra-toepassingsproxy om de mobiele Power BI-app in staat te stellen verbinding te maken met on-premises Power BI Report Server, wordt niet ondersteund met beleid voor voorwaardelijke toegang waarvoor de Microsoft Power BI-app is vereist als een goedgekeurde client-app.

Volgende stappen

• Schakel systeemeigen clienttoepassingen in om te communiceren met proxytoepassingen.
• On-premises rapportserverrapporten en KPI's weergeven in de mobiele Power BI-apps