Share via

Обеспечение удаленного доступа к Power BI Mobile с помощью Microsoft Entra Application Proxy

  • Статья

В этой статье описывается, как использовать прокси приложения Microsoft Entra для подключения мобильного приложения Power BI к Сервер отчетов Power BI (PBIRS) и СЛУЖБАм SQL Server Reporting Services (SSRS) 2016 и более поздних версий. Благодаря этой интеграции пользователи, которые находятся вне корпоративной сети, могут получать доступ к отчетам Power BI из мобильного приложения Power BI и защищаться проверкой подлинности Microsoft Entra. Эта защита включает такие преимущества безопасности, как условный доступ и многофакторная проверка подлинности.

Необходимые компоненты

Шаг 1. Настройка ограниченного делегирования Kerberos (KCD)

Для локальных приложений, использующих проверку подлинности Windows, единый вход можно обеспечить с помощью протокола проверки подлинности Kerberos и функции, называемой ограниченным делегированием Kerberos (KCD). Соединитель частной сети использует KCD для получения маркера Windows для пользователя, даже если пользователь не вошел непосредственно в Windows. Дополнительные сведения о KCD см. в обзоре ограниченного делегирования Kerberos и ограниченном делегировании Kerberos для единого входа в приложения с прокси приложениями.

На стороне служб Reporting Services не нужно настраивать много. Допустимое имя субъекта-службы (SPN) требуется для правильной проверки подлинности Kerberos. Включите сервер служб Reporting Services для Negotiate проверки подлинности.

Настройка имени субъекта-службы

Имя субъекта-службы — это уникальный идентификатор для службы, которая использует проверку подлинности Kerberos. Для сервера отчетов требуется правильное имя участника-службы HTTP. Сведения о настройке правильного имени субъекта-службы для сервера отчетов см. в разделе "Регистрация имени субъекта-службы" для сервера отчетов. Убедитесь, что имя участника-службы было добавлено, выполнив Setspn команду с параметром -L . Дополнительные сведения о команде см. в разделе Setpn.

Включение аутентификации Negotiate

Чтобы включить для сервера отчетов аутентификацию Kerberos, укажите RSWindowsNegotiate в качестве типа аутентификации на сервере отчетов. Настройте этот параметр с помощью файла rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Дополнительные сведения см. в разделе "Изменение файла конфигурации служб Reporting Services" и настройка проверки подлинности Windows на сервере отчетов.

Убедитесь, что соединитель является доверенным для делегирования имени участника-службы, добавленного в учетную запись пула приложений Служб Reporting Services.

Настройте KCD, чтобы служба прокси приложения Microsoft Entra может делегировать удостоверения пользователей учетной записи пула приложений Reporting Services. Настройте соединитель частной сети, чтобы получить билеты Kerberos для пользователей, прошедших проверку подлинности. Сервер передает контекст приложению Служб Reporting Services.

Чтобы настроить KCD, выполните приведенные далее действия для каждого компьютера соединителя.

  1. Войдите в контроллер домена от имени администратора домена, а затем перейдите к компоненту Пользователи и компьютеры Active Directory.
  2. Найдите компьютер, на котором запущен соединитель.
  3. Дважды щелкните компьютер, а затем перейдите на вкладку "Делегирование ".
  4. Задайте параметры делегирования для доверия этому компьютеру только для делегирования указанным службам. а затем — Use any authentication protocol (Использовать любой протокол проверки подлинности).
  5. Выберите " Добавить" и выберите "Пользователи" или "Компьютеры".
  6. Введите учетную запись службы, настроенную для служб Reporting Services.
  7. Нажмите ОК. Чтобы сохранить изменения, снова нажмите кнопку "ОК ".

Дополнительные сведения см. в разделе "Ограниченное делегирование Kerberos" для единого входа в приложения с помощью прокси приложения.

Шаг 2. Публикация служб Reporting Services с помощью прокси приложения Microsoft Entra

Теперь вы готовы настроить прокси приложения Microsoft Entra.

  1. Публикация служб Reporting Services через прокси приложения с помощью следующих параметров. Пошаговые инструкции по публикации приложения с помощью прокси приложения см. в статье "Публикация приложений с помощью прокси приложения Microsoft Entra".

    • Внутренний URL-адрес. Введите URL-адрес Сервера отчетов, к которому соединитель может подключиться в корпоративной сети. Убедитесь, что этот URL-адрес доступен с сервера, на котором установлен соединитель. Рекомендуется использовать домен верхнего уровня, например https://servername/ , чтобы избежать проблем с подпатами, опубликованными через прокси приложения. Например, используйте https://servername/ и неhttps://servername/reports/.https://servername/reportserver/

      Примечание.

      Используйте безопасное подключение HTTPS к серверу отчетов. Дополнительные сведения о настройке безопасного подключения см. в разделе "Настройка безопасных подключений" на сервере отчетов в собственном режиме.

    • Внешний URL-адрес: введите общедоступный URL-адрес, к которому подключается мобильное приложение Power BI. Например, выглядит так https://reports.contoso.com , если используется личный домен. Чтобы использовать личный домен, отправьте сертификат для домена и укажите запись системы доменных имен (DNS) в домен по умолчанию msappproxy.net для приложения. Подробные инструкции см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra.

    • Метод предварительной проверки подлинности: идентификатор Microsoft Entra.

  2. После публикации приложения необходимо настроить параметры единого входа с помощью следующих действий:

    a. На странице приложения на портале выберите Единый вход.

    b. В режиме единого входа выберите встроенную проверку подлинности Windows.

    c. Задайте для параметра Внутреннее имя субъекта-службы приложения значение, заданное ранее.

    d. Выберите делегированную идентификацию для входа, которую соединитель сможет использовать от имени пользователей. Дополнительные сведения см. в статье "Работа с разными локальными и облачными удостоверениями".

    д) Выберите Сохранить, чтобы сохранить изменения.

Чтобы завершить настройку приложения, перейдите к разделу Пользователи и группы и назначьте доступ к этому приложению необходимым пользователям.

Шаг 3. Изменение универсального идентификатора ресурса ответа (URI) для приложения

Настройте регистрацию приложения, которая была автоматически создана на шаге 2.

  1. На странице обзора идентификатора записи Майкрософт выберите Регистрация приложений.

  2. На вкладке "Все приложения" найдите приложение, созданное на шаге 2.

  3. Выберите приложение, а затем выберите проверку подлинности.

  4. Добавьте URI перенаправления для платформы.

    При настройке приложения для Power BI Mobile в iOS добавьте универсальные идентификаторы ресурсов перенаправления (URI) типа Public Client (Mobile & Desktop).

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    При настройке приложения для Power BI Mobile на Android добавьте универсальные идентификаторы ресурсов перенаправления (URI) типа Public Client (Mobile & Desktop).

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Внимание

    URI перенаправления необходимо добавить для правильной работы приложения. Если вы настраиваете приложение для Power BI Mobile iOS и Android, добавьте URI перенаправления типа Public Client (Mobile и Desktop) в список URI перенаправления, настроенных для iOS: urn:ietf:wg:oauth:2.0:oob

Шаг 4. Подключение из мобильного приложения Power BI

  1. В мобильном приложении Power BI подключитесь к экземпляру служб Reporting Services. Введите внешний URL-адрес приложения, опубликованного через прокси приложения.

    Мобильное приложение Power BI с внешним URL-адресом

  2. Нажмите Подключиться. Страница входа в Microsoft Entra загружается.

  3. Введите допустимые учетные данные для пользователя и нажмите кнопку "Войти". Отображаются элементы сервера служб Reporting Services.

Шаг 5. Настройка политики Intune для управляемых устройств (необязательно)

С помощью Microsoft Intune можно управлять клиентскими приложениями, которые используют сотрудники компании. Intune предоставляет такие возможности, как шифрование данных и требования к доступу. Включите мобильное приложение Power BI с помощью политики Intune.

  1. Перейдите к приложениям> удостоверений>Регистрация приложений.
  2. При регистрации собственного клиентского приложения выберите приложение, настроенное на шаге 3.
  3. На странице приложения выберите Разрешения API.
  4. Выберите Добавить разрешение.
  5. В разделе API, которые используются моей организацией, найдите и выберите Microsoft Mobile Application Management.
  6. Добавьте разрешение DeviceManagementManagedApps.ReadWrite в приложение.
  7. Выберите "Предоставить согласие администратора", чтобы предоставить доступ к приложению.
  8. Настройте нужную политику Intune, ознакомившись со статьей Как создать и назначить политики защиты приложений.

Устранение неполадок

Если после попытки загрузить отчет в течение нескольких минут приложение возвращает страницу ошибки, возможно, нужно изменить параметр времени ожидания. По умолчанию прокси приложения поддерживает приложения, которые занимают до 85 секунд для ответа на запрос. Чтобы продлить этот параметр до 180 секунд, выберите время ожидания серверной части на страницу параметров прокси приложения для приложения. Советы по созданию быстрых и надежных отчетов см. в статье Рекомендации по оптимизации Power BI.

Использование прокси приложения Microsoft Entra для подключения мобильного приложения Power BI к локальной Сервер отчетов Power BI не поддерживается с политиками условного доступа, которые требуют приложения Microsoft Power BI в качестве утвержденного клиентского приложения.

Следующие шаги