Aktivera fjärråtkomst till Power BI Mobile med Microsoft Entra-programproxy

I den här artikeln beskrivs hur du använder Microsoft Entra-programproxy för att göra det möjligt för Power BI-mobilappen att ansluta till Power BI-rapportserver (PBIRS) och SQL Server Reporting Services (SSRS) 2016 och senare. Genom den här integreringen kan användare som är borta från företagsnätverket komma åt sina Power BI-rapporter från Power BI-mobilappen och skyddas av Microsoft Entra-autentisering. Det här skyddet omfattar säkerhetsfördelar som villkorsstyrd åtkomst och multifaktorautentisering.

Förutsättningar

• Distribuera Reporting Services i din miljö.
• Aktivera Microsoft Entra-programproxy.
• När det är möjligt använder du samma interna och externa domäner för Power BI. Mer information om anpassade domäner finns i Arbeta med anpassade domäner i programproxy.

Steg 1: Konfigurera Kerberos-begränsad delegering (KCD)

För lokala program som använder Windows-autentisering kan du uppnå enkel inloggning (SSO) med Kerberos-autentiseringsprotokollet och en funktion som kallas Kerberos-begränsad delegering (KCD). Den privata nätverksanslutningen använder KCD för att hämta en Windows-token för en användare, även om användaren inte är inloggad i Windows direkt. Mer information om KCD finns i Översikt över Kerberos-begränsad delegering och Kerberos-begränsad delegering för enkel inloggning till dina appar med programproxy.

Det finns inte mycket att konfigurera på Reporting Services-sidan. Ett giltigt namn på tjänstens huvudnamn (SPN) krävs för att rätt Kerberos-autentisering ska ske. Aktivera Reporting Services-servern för Negotiate autentisering.

Konfigurera tjänstens huvudnamn (SPN)

SPN är en unik identifierare för en tjänst som använder Kerberos-autentisering. Ett korrekt HTTP SPN krävs för rapportservern. Information om hur du konfigurerar rätt tjänsthuvudnamn (SPN) för rapportservern finns i Registrera ett tjänsthuvudnamn (SPN) för en rapportserver. Kontrollera att SPN har lagts till genom att Setspn köra kommandot med alternativet -L . Mer information om kommandot finns i Setspn.

Aktivera Negotiate-autentisering

Om du vill att en rapportserver ska kunna använda Kerberos-autentisering konfigurerar du rapportserverns autentiseringstyp till RSWindowsNegotiate. Konfigurera den här inställningen med hjälp av filen rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Mer information finns i Ändra en Reporting Services-konfigurationsfil och Konfigurera Windows-autentisering på en rapportserver.

Kontrollera att anslutningsappen är betrodd för delegering till det SPN som lagts till i Reporting Services-programpoolskontot

Konfigurera KCD så att Microsoft Entra-programproxytjänsten kan delegera användaridentiteter till Reporting Services-programpoolskontot. Konfigurera den privata nätverksanslutningen för att hämta Kerberos-biljetter för autentiserade Microsoft Entra-ID-användare. Servern skickar kontexten till Reporting Services-programmet.

Om du vill konfigurera KCD upprepar du följande steg för varje anslutningsdator:

1. Logga in på en domänkontrollant som domänadministratör och öppna sedan Active Directory - användare och datorer.
2. Leta reda på datorn som anslutningsappen körs på.
3. Välj datorn genom att dubbelklicka och välj sedan fliken Delegering .
4. Ange delegeringsinställningarna till Lita på den här datorn för delegering endast till de angivna tjänsterna. Välj sedan Använd valfritt autentiseringsprotokoll.
5. Välj Lägg till och sedan Användare eller Datorer.
6. Ange det tjänstkonto som du har konfigurerat för Reporting Services.
7. Välj OK. Spara ändringarna genom att välja OK igen.

Mer information finns i Kerberos-begränsad delegering för enkel inloggning till dina appar med programproxy.

Steg 2: Publicera Reporting Services via Microsoft Entra-programproxy

Nu är du redo att konfigurera Microsoft Entra-programproxy.

1. Publicera Reporting Services via programproxy med följande inställningar. Stegvisa instruktioner för hur du publicerar ett program via programproxy finns i Publicera program med hjälp av Microsoft Entra-programproxy.

   • Intern URL: Ange URL:en till rapportservern som anslutningsappen kan nå i företagsnätverket. Kontrollera att den här URL:en kan nås från servern som anslutningsappen är installerad på. Bästa praxis är att använda en toppnivådomän, till exempel för att undvika problem med undersökvägar som https://servername/ publicerats via programproxy. Använd till exempel https://servername/ och inte https://servername/reports/ eller https://servername/reportserver/.

     Kommentar

     Använd en säker HTTPS-anslutning till rapportservern. Mer information om hur du konfigurerar en säker anslutning finns i Konfigurera säkra anslutningar på en rapportserver i inbyggt läge.

   • Extern URL: Ange den offentliga URL som Power BI-mobilappen ansluter till. Det ser till exempel ut som https://reports.contoso.com om en anpassad domän används. Om du vill använda en anpassad domän laddar du upp ett certifikat för domänen och pekar en DNS-post (Domain Name System) till standarddomänen msappproxy.net för ditt program. Detaljerade steg finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy.

   • Förautentiseringsmetod: Microsoft Entra-ID.

2. När appen har publicerats konfigurerar du inställningarna för enkel inloggning med följande steg:

   a. På programsidan i portalen väljer du Enkel inloggning.

   b. För Läge för enkel inloggning väljer du Integrerad Windows-autentisering.

   c. Ange internt program-SPN till det värde som du angav tidigare.

   d. Välj den delegerade inloggningsidentiteten för anslutningsappen som ska användas för dina användares räkning. Mer information finns i Arbeta med olika lokala identiteter och molnidentiteter.

   e. Välj Spara för att spara dina ändringar.

Slutför konfigurationen av programmet genom att gå till avsnittet Användare och grupper och tilldela användare åtkomst till det här programmet.

Steg 3: Ändra svars-URI (Uniform Resource Identifier) för programmet

Konfigurera programregistreringen som skapades automatiskt i steg 2.

1. På sidan Översikt över Microsoft Entra-ID väljer du Appregistreringar.

2. På fliken Alla program söker du efter det program som du skapade i steg 2.

3. Välj programmet och välj sedan Autentisering.

4. Lägg till omdirigerings-URI:n för plattformen.

   När du konfigurerar appen för Power BI Mobile på iOS lägger du till omdirigerings-URI:er av typen Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   När du konfigurerar appen för Power BI Mobile på Android lägger du till omdirigerings-URI:er (Uniform Resource Identifiers) av typen Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Viktigt!

   Omdirigerings-URI:erna måste läggas till för att programmet ska fungera korrekt. Om du konfigurerar appen för både Power BI Mobile iOS och Android lägger du till omdirigerings-URI:n av typen Offentlig klient (mobil och skrivbord) i listan över omdirigerings-URI:er som konfigurerats för iOS: urn:ietf:wg:oauth:2.0:oob.

Steg 4: Anslut från Power BI-mobilappen

1. I Power BI-mobilappen ansluter du till din Reporting Services-instans. Ange den externa URL:en för det program som du publicerade via programproxyn.

   

2. Välj Anslut. Inloggningssidan för Microsoft Entra läses in.

3. Ange giltiga autentiseringsuppgifter för användaren och välj Logga in. Elementen från Reporting Services-servern visas.

Steg 5: Konfigurera Intune-princip för hanterade enheter (valfritt)

Du kan använda Microsoft Intune för att hantera de klientappar som företagets personal använder. Intune tillhandahåller funktioner som datakryptering och åtkomstkrav. Aktivera Power BI-mobilappen med Intune-principen.

1. Bläddra till Identitetsprogram>> Appregistreringar.
2. Välj det program som konfigurerades i steg 3 när du registrerar ditt interna klientprogram.
3. På programmets sida väljer du API-behörigheter.
4. Välj Lägg till behörighet.
5. Under API:er som min organisation använder söker du efter och väljer Microsoft Mobile Application Management.
6. Lägg till behörigheten DeviceManagementManagedApps.ReadWrite i programmet.
7. Välj Bevilja administratörsmedgivande för att bevilja behörigheten åtkomst till programmet.
8. Konfigurera den Intune-princip som du vill använda genom att referera till Så här skapar och tilldelar du appskyddsprinciper.

Felsökning

Om programmet returnerar en felsida efter att ha försökt läsa in en rapport i mer än några minuter kan du behöva ändra tidsgränsinställningen. Som standard stöder programproxy program som tar upp till 85 sekunder att svara på en begäran. Om du vill förlänga den här inställningen till 180 sekunder väljer du tidsgränsen för serverdelen till Lång på sidan programproxyinställningar för programmet. Tips om hur du skapar snabba och tillförlitliga rapporter finns i Metodtips för Power BI-rapporter.

Användning av Microsoft Entra-programproxy för att göra det möjligt för Power BI-mobilappen att ansluta till lokala Power BI-rapportserver stöds inte med principer för villkorsstyrd åtkomst som kräver Microsoft Power BI-appen som en godkänd klientapp.

Nästa steg

• Aktivera interna klientprogram för att interagera med proxyprogram
• Visa lokala rapportserverrapporter och KPI:er i Power BI-mobilapparna