使用 Microsoft Entra 應用程式 Proxy 啟用 Power BI 行動版的遠端存取
本文討論如何使用 Microsoft Entra 應用程式 Proxy,將 Power BI 行動版應用程式連線至 Power BI 報表伺服器 (PBIRS) 與 SQL Server Reporting Services (SSRS) 2016 與更新版本。 透過此整合,離開公司網路的使用者就可以從 Power BI 行動版應用程式存取其 Power BI 報表,並受到 Microsoft Entra 驗證的保護。 此保護包含安全性優點,例如條件式存取和多重要素驗證。
必要條件
- 在您的環境中部署 Reporting Services。
- 啟用 Microsoft Entra 應用程式 Proxy。
- 可能的話,請針對 Power BI 使用相同的內部和外部網域。 若要深入了解自訂網域,請參閱使用應用程式 Proxy 中的自訂網域。
步驟 1:設定 Kerberos 限制委派 (KCD)
對於使用 Windows 驗證的內部部署應用程式來說,您可以使用 Kerberos 驗證通訊協定和稱為 Kerberos 限制委派 (KCD) 的功能來達成單一登入 (SSO)。 內部網路連接器會使用 KCD 來取得使用者的 Windows 權杖,即便使用者未直接登入 Windows 也可以取得。 若要深入了解 KCD,請參閱 Kerberos 限制委派概觀與使用應用程式 Proxy 單一登入應用程式的 Kerberos 限制委派。
Reporting Services 端沒有太多設定。 需要有效的服務主體名稱 (SPN),才能正常進行 Kerberos 驗證。 啟用 Reporting Services 伺服器以進行 Negotiate
驗證。
設定服務主體名稱 (SPN)
SPN 是使用 Kerberos 驗證之某項服務的唯一識別碼。 報表伺服器需要適當的 HTTP SPN。 如需如何為您的報表伺服器設定適當服務主體名稱 (SPN) 的資訊,請參閱為報表伺服器註冊服務主體名稱 (SPN)。
您可以執行 Setspn
命令並搭配 -L
選項,來確認是否已新增 SPN。 若要深入了解此命令,請參閱 Setspn。
啟用交涉驗證
若要讓報表伺服器使用 Kerberos 驗證,請將報表伺服器的 [驗證類型] 設定為 [RSWindowsNegotiate]。 使用 rsreportserver.config 檔案進行此設定。
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
如需詳細資訊,請參閱修改 Reporting Services 組態檔和在報表伺服器上設定 Windows 驗證。
確認連接器受信任,可委派至新增到 Reporting Services 應用程式集區帳戶的 SPN
設定 KCD,讓 Microsoft Entra 應用程式 Proxy 服務可以將使用者識別委派給 Reporting Services 應用程式集區帳戶。 設定內部網路連接器,以擷取 Microsoft Entra ID 驗證使用者的 Kerberos 票證。 伺服器會將內容傳遞至 Reporting Services 應用程式。
若要設定 KCD,請針對每部連接器電腦重複下列步驟:
- 以網域管理員的身分登入網域控制站,然後開啟 [Active Directory 使用者和電腦]。
- 尋找連接器執行所在的電腦。
- 按兩下以選取電腦,然後選取 [委派] 索引標籤。
- 將委派設定設為 [只針對指定服務的委派信任這台電腦]。 然後,選取 [使用任何驗證通訊協定]。
- 選取 [新增],然後選取 [使用者或電腦]。
- 輸入您為了 Reporting Services 設定的服務帳戶。
- 選取 [確定]。 再次選取 [確定] 儲存變更。
如需詳細資訊,請參閱使用應用程式 Proxy 單一登入應用程式的 Kerberos 限制委派。
步驟 2:透過 Microsoft Entra 應用程式 Proxy 發佈報表服務
現在您已準備好設定 Microsoft Entra 應用程式 Proxy。
使用下列設定,透過應用程式 Proxy 發佈 Reporting Services。 如需如何透過應用程式 Proxy 發佈應用程式的逐步指示,請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。
內部 URL:輸入連接器可在公司網路中連線的報表伺服器 URL。 請確定可從安裝連接器的伺服器連線到此 URL。 最佳做法是使用最上層網域,例如
https://servername/
避免透過應用程式 Proxy 發行的子路徑發生問題。 例如,使用https://servername/
和而非https://servername/reports/
或https://servername/reportserver/
。注意
使用安全的 HTTPS 連線連到報表伺服器。 如需設定安全連線的詳細資訊,請參閱在原生模式報表伺服器上設定安全連線。
外部 URL:輸入 Power BI 行動版應用程式要連線的公用 URL。 例如,如果使用自訂網域,看起來會像
https://reports.contoso.com
。 若要使用自訂網域,請上傳網域的憑證,並將域名系統 (DNS) 記錄指向應用程式的預設msappproxy.net
網域。 如需詳細步驟,請參閱在 Microsoft Entra 應用程式 Proxy 中使用自訂網域。預先驗證方法:Microsoft Entra ID。
發佈您的應用程式之後,請按照下列步驟設定單一登入設定:
a. 在入口網站的應用程式頁面上,選取 [單一登入]。
b. 針對單一登入模式,選取 [整合式 Windows 驗證]。
c. 將內部應用程式 SPN 設定為您先前設定的值。
d. 針對要代表使用者使用的連接器選擇 [委派的登入身分識別]。 如需詳細資訊,請參閱使用不同的內部部署和雲端身分識別。
e. 選取儲存以儲存變更。
若要完成您的應用程式設定,請前往 [使用者與群組] 區段並指派使用者,以存取此應用程式。
步驟 3:修改應用程式的回覆統一資源識別項 (URI)
設定在步驟 2 中自動建立的應用程式註冊。
在 Microsoft Entra ID 的 [概觀] 分頁中,選取 [應用程式註冊]。
在 [所有應用程式] 索引標籤中,搜尋您在步驟 2 中建立的應用程式。
選取應用程式,然後選取 [驗證]。
新增平台的重新導向 URI。
在 iOS 上設定 Power BI 行動版應用程式時,新增
Public Client (Mobile & Desktop)
類型的重新導向統一資源識別項 (URI)。msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilems
在 Android 上設定 Power BI 行動版應用程式時,新增
Public Client (Mobile & Desktop)
類型的重新導向統一資源識別項 (URI)。urn:ietf:wg:oauth:2.0:oob
mspbi-adal://com.microsoft.powerbimobile
msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D
重要
必須新增重新導向 URI,應用程式才能正常運作。 若要為 Power BI 行動版 iOS 與 Android 設定應用程式,請將 [公用用戶端] 類型 (行動裝置與電腦) 的重新導向 URI 新增至為 iOS 設定的重新導向 URI 清單:
urn:ietf:wg:oauth:2.0:oob
。
步驟 4:從 Power BI 行動裝置應用程式連線
在 Power BI 行動裝置應用程式中,連線至您的 Reporting Services 執行個體。 請輸入您透過應用程式 Proxy 所發佈應用程式的外部 URL。
選取 Connect。 Microsoft Entra 登入頁面隨即載入。
輸入使用者的有效認證,然後選取 [登入]。 系統會顯示 Reporting Services 伺服器中的元素。
步驟 5:針對受管理的裝置設定 Intune 原則 (選擇性)
您可以使用 Microsoft Intune 管理公司員工使用的用戶端應用程式。 Intune 提供資料加密與存取需求等功能。 使用 Intune 原則啟用 Power BI 行動版應用程式。
- 瀏覽至 [身分識別]>[應用程式]>[應用程式註冊]。
- 在註冊您的原生用戶端應用程式時,選取在步驟 3 中設定的應用程式。
- 在應用程式的頁面上,選取 [API 權限]。
- 選取新增權限。
- 在 [APIs my organization uses] \(組織使用的 API\) 下,搜尋並選擇「Microsoft 行動裝置應用程式管理」。
- 將 DeviceManagementManagedApps.ReadWrite 權限新增至應用程式。
- 選取 [授與管理員同意],以將存取權限授與應用程式。
- 如要設定您想要的 Intune 原則,請參閱如何建立及指派應用程式保護原則。
疑難排解
若應用程式在嘗試載入報表超過幾分鐘之後傳回錯誤頁面,您可能需要變更逾時設定。 根據預設,應用程式 Proxy 支援最多需要 85 秒才能回應要求的應用程式。 若要將此設定延長為 180 秒,請在應用程式的應用程式 Proxy 設定頁面中,將後端逾時選取為 [長時間]。 如需如何建立快速且可靠之報表的秘訣,請參閱 Power BI 報表最佳做法。
要求 Microsoft Power BI 應用程式做為核准用戶端應用程式的條件式存取原則,不支援使用 Microsoft Entra 應用程式 Proxy 讓 Power BI 行動版應用程式連線到內部部署 Power BI 報表伺服器。