Поделиться через

Включение удаленного доступа к Power BI Mobile с помощью прокси приложения Microsoft Entra

В этой статье рассказывается, как использовать прокси для приложений Microsoft Entra для подключения мобильного приложения Power BI к серверу отчетов Power BI (PBIRS) и службам SQL Server Reporting Services (SSRS), начиная с 2016 года и последующих версий. Благодаря этой интеграции пользователи, которые находятся вне корпоративной сети, могут получать доступ к отчетам Power BI из мобильного приложения Power BI и защищаться проверкой подлинности Microsoft Entra. Эта защита включает такие преимущества безопасности , как условный доступ и многофакторная проверка подлинности.

Необходимые условия

Шаг 1. Настройка ограниченного делегирования Kerberos (KCD)

Для локальных приложений, использующих проверку подлинности Windows, можно добиться единого входа с помощью протокола проверки подлинности Kerberos и функции ограниченного делегирования Kerberos (KCD). Соединитель частной сети использует KCD для получения токена Windows для пользователя, даже если пользователь не вошел напрямую в Windows. Дополнительные сведения о KCD см. в обзоре ограниченного делегирования Kerberos и делегирования Kerberos для единого входа в приложения с использованием прокси для приложений.

На стороне служб Reporting Services не требуется многой настройки. Для корректной аутентификации Kerberos требуется допустимое имя субъекта-службы (SPN). Включите сервер Reporting Services для проверки подлинности Negotiate.

Настройка имени служебного субъекта (SPN)

Имя субъекта-службы — это уникальный идентификатор для службы, которая использует проверку подлинности Kerberos. Для сервера отчетов требуется корректное SPN (имя службы) HTTP. Сведения о настройке правильного имени субъекта-службы для сервера отчетов см. в разделе "Регистрация имени субъекта-службы" для сервера отчетов. Убедитесь, что SPN был добавлен, выполнив команду Setspn с параметром -L. Дополнительные сведения о команде см. в разделе Setpn.

Включить проверку подлинности Negotiate

Чтобы разрешить серверу отчетов использовать проверку подлинности Kerberos, настройте тип проверки подлинности сервера отчетов для RSWindowsNegotiate. Настройте этот параметр с помощью файла rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Дополнительные сведения см. в разделе "Изменение файла конфигурации служб Reporting Services " и настройка проверки подлинности Windows на сервере отчетов.

Убедитесь, что коннектор является доверенным для делегирования к SPN, добавленному в учетную запись пула приложений Служб Reporting Services.

Настройте KCD, чтобы служба прокси приложения Microsoft Entra могла делегировать удостоверения пользователей учетной записи пула приложений Reporting Services. Настройте соединитель частной сети, чтобы получать билеты Керберос для пользователей, прошедших проверку подлинности Microsoft Entra ID. Сервер передает контекст приложению Reporting Services.

Чтобы настроить KCD, повторите следующие действия для каждого компьютера соединителя:

  1. Войдите в контроллер домена в качестве администратора домена, а затем откройте active Directory Users and Computers.
  2. Найдите компьютер, на котором запущен соединитель.
  3. Дважды щелкните компьютер, а затем перейдите на вкладку Делегирование.
  4. Установите параметры делегирования на Доверять этому компьютеру только для делегирования указанным услугам. Затем выберите "Использовать любой протокол проверки подлинности".
  5. Выберите "Добавить" и выберите "Пользователи" или "Компьютеры".
  6. Введите учетную запись службы, которую вы настроили для Reporting Services.
  7. Нажмите кнопку "ОК". Чтобы сохранить изменения, снова нажмите кнопку "ОК ".

Дополнительные сведения см. в разделе "Ограниченное делегирование Kerberos" для единого входа в приложения с помощью прокси приложения.

Шаг 2. Публикация служб Reporting Services с помощью прокси приложения Microsoft Entra

Теперь вы готовы настроить прокси приложения Microsoft Entra.

  1. Публикация служб Reporting Services через прокси приложения с помощью следующих параметров. Пошаговые инструкции по публикации приложения с помощью прокси приложения см. в статье "Публикация приложений с помощью прокси приложения Microsoft Entra".

    • Внутренний URL-адрес: введите URL-адрес сервера отчетов, который соединитель может получить в корпоративной сети. Убедитесь, что этот URL-адрес доступен с сервера, на котором установлен соединитель. Рекомендуется использовать домен верхнего уровня, например https://servername/, чтобы избежать проблем с подпатами, опубликованными через прокси приложения. Например, используйте https://servername/, а не https://servername/reports/ или https://servername/reportserver/.

      Заметка

      Используйте безопасное подключение HTTPS к серверу отчетов. Дополнительные сведения о настройке безопасного подключения см. в разделе "Настройка безопасных подключений" на сервере отчетов в собственном режиме.

    • Внешний URL-адрес: введите общедоступный URL-адрес, к которому подключается мобильное приложение Power BI. Например, он выглядит как https://reports.contoso.com, если используется личный домен. Чтобы использовать настраиваемый домен, загрузите сертификат для этого домена и направьте запись системы доменных имен (DNS) на домен по умолчанию msappproxy.net для вашего приложения. Подробные инструкции см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra.

    • Метод предварительной проверки подлинности: идентификатор Microsoft Entra.

  2. После публикации приложения настройте параметры единого входа, выполнив следующие действия.

    a. На странице приложения на портале выберите единый вход.

    б. В режиме единого входа выберите встроенную проверку подлинности Windows.

    с. Установите имя субъекта-службы внутреннего приложения в значение, которое вы задали ранее.

    д. Выберите делегированное удостоверение входа для использования соединителем от имени ваших пользователей. Дополнительные сведения см. в статье "Работа с разными локальными и облачными удостоверениями".

    д) Нажмите кнопку "Сохранить", чтобы сохранить изменения.

Чтобы завершить настройку приложения, перейдите в раздел "Пользователи и группы" и назначьте пользователям доступ к этому приложению.

Шаг 3. Изменение универсального идентификатора ресурса ответа (URI) для приложения

Настройте регистрацию приложения, которая была автоматически создана на шаге 2.

  1. На странице Overview Microsoft Entra ID выберите регистрации приложений.

  2. На вкладке "Все приложения" найдите приложение, созданное на шаге 2.

  3. Выберите приложение, а затем выберите проверку подлинности.

  4. Добавьте URI перенаправления для платформы.

    При настройке приложения для Power BI Mobile в iOS добавьте универсальные идентификаторы ресурсов перенаправления (URI) типа Public Client (Mobile & Desktop).

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    При настройке приложения для Power BI Mobile на Android добавьте универсальные идентификаторы ресурсов перенаправления (URI) типа Public Client (Mobile & Desktop).

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Важный

    URI перенаправления необходимо добавить для правильной работы приложения. Если вы настраиваете приложение для Power BI Mobile iOS и Android, добавьте URI перенаправления типа Public Client (Mobile и Desktop) в список URI перенаправления, настроенных для iOS: urn:ietf:wg:oauth:2.0:oob

Шаг 4. Подключение из мобильного приложения Power BI

  1. В мобильном приложении Power BI подключитесь к экземпляру служб Reporting Services. Введите внешний URL-адрес приложения, опубликованного через прокси приложения.

    Мобильное приложение Power BI с внешним URL-адресом

  2. Выберите "Подключиться". Страница входа в Microsoft Entra загружается.

  3. Введите допустимые учетные данные для пользователя и нажмите кнопку "Войти". Отображаются элементы сервера служб отчетности.

Шаг 5. Настройка политики Intune для управляемых устройств (необязательно)

Вы можете использовать Microsoft Intune для управления клиентскими приложениями, используемыми сотрудниками вашей компании. Intune предоставляет такие возможности, как шифрование данных и требования к доступу. Включите мобильное приложение Power BI с помощью политики Intune.

  1. Перейдите к Entra ID>регистрации приложений.
  2. При регистрации собственного клиентского приложения выберите приложение, настроенное на шаге 3.
  3. На странице приложения выберите разрешения API.
  4. Выберите "Добавить разрешение".
  5. В разделе API, которые используются моей организацией, найдите и выберите Microsoft Mobile Application Management.
  6. Добавьте разрешение DeviceManagementManagedApps.ReadWrite в приложение.
  7. Выберите "Предоставить согласие администратора", чтобы предоставить доступ к приложению.
  8. Настройте нужную политику Intune, следуя инструкциям по созданию и назначению политик защиты приложений.

Устранение неполадок

Если приложение возвращает страницу ошибок после попытки загрузить отчет более чем за несколько минут, может потребоваться изменить параметр времени ожидания. По умолчанию прокси приложения поддерживает приложения, которые занимают до 85 секунд для ответа на запрос. Чтобы увеличить этот параметр до 180 секунд, выберите тайм-аут серверной части как Долгий в настройках прокси приложения. Советы по созданию быстрых и надежных отчетов см. в рекомендациях по отчетам Power BI.

Использование прокси приложения Microsoft Entra для подключения мобильного приложения Power BI к локальному серверу отчетов Power BI не поддерживается с политиками условного доступа, которые требуют приложения Microsoft Power BI в качестве утвержденного клиентского приложения.

Дальнейшие действия