使用 Microsoft Entra 应用程序代理启用对 Power BI Mobile 的远程访问

本文介绍如何使用 Microsoft Entra 应用程序代理使 Power BI 移动应用能够连接到 Power BI 报表服务器 （PBIRS） 和 SQL Server Reporting Services （SSRS） 2016 及更高版本。 通过此集成，远离企业网络的用户可以从 Power BI 移动应用访问其 Power BI 报表，并受Microsoft Entra 身份验证的保护。 此保护包括条件访问和多重身份验证等 安全优势 。

先决条件

• 在您的环境中部署 Reporting Services。
• 启用 Microsoft Entra 应用程序代理。
• 如果可能，请对 Power BI 使用相同的内部和外部域。 若要了解有关自定义域的详细信息，请参阅 使用应用程序代理中的自定义域。

步骤 1：配置 Kerberos 约束委派（KCD）

对于使用 Windows 身份验证的本地应用程序，可以使用 Kerberos 身份验证协议和名为 Kerberos 约束委派（KCD）的功能实现单一登录（SSO）。 专用网络连接器使用 KCD 为用户获取 Windows 令牌，即使用户未直接登录到 Windows 也是如此。 若要了解有关 KCD 的详细信息，请参阅 Kerberos 约束委派概述 和 Kerberos 约束委派，以便使用应用程序代理单一登录应用。

在 Reporting Services 方面，几乎没有太多需要配置的内容。 若要进行正确的 Kerberos 身份验证，需要有效的服务主体名称（SPN）。 启用 Reporting Services 服务器以支持 Negotiate 身份验证。

配置服务主体名称（SPN）

SPN 是使用 Kerberos 身份验证的服务的唯一标识符。 报表服务器需要适当的 HTTP SPN。 有关如何为报表服务器配置适当的服务主体名称（SPN）的信息，请参阅为报表服务器注册服务主体名称（SPN）。 运行带有 -L 选项的 Setspn 命令，以验证 SPN 是否已添加。 若要了解有关命令的详细信息，请参阅 Setspn。

启用协商身份验证

若要使报表服务器能够使用 Kerberos 身份验证，请将报表服务器的身份验证类型配置为 RSWindowsNegotiate。 使用 rsreportserver.config 文件配置此设置。

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

有关详细信息，请参阅 修改 Reporting Services 配置文件 并在 报表服务器上配置 Windows 身份验证。

确保连接器是受信任的，以便对 Reporting Services 应用程序池帐户添加的 SPN 进行委派。

配置 KCD，以便Microsoft Entra 应用程序代理服务可以将用户标识委托给 Reporting Services 应用程序池帐户。 配置私有网络连接器，以检索 Microsoft Entra ID 经过身份验证的用户的 Kerberos 票证。 服务器将上下文传递给 Reporting Services 应用程序。

若要配置 KCD，请为每个连接器计算机重复以下步骤：

1. 以域管理员身份登录到域控制器，然后打开 Active Directory 用户和计算机。
2. 找到运行连接器的计算机。
3. 双击并选择计算机，然后选择“ 委派 ”选项卡。
4. 将委派设置设为“信任此计算机仅委派指定服务”。 然后选择“ 使用任何身份验证协议”。
5. 依次选择“添加”和“用户或计算机”。
6. 输入为 Reporting Services 设置的服务帐户。
7. 选择“确定”。 若要保存更改，请再次选择“ 确定 ”。

有关详细信息，请参阅 使用应用程序代理实现单一登录到应用程序的 Kerberos 约束委托。

步骤 2：通过 Microsoft Entra 应用程序代理将 Reporting Services 发布

现已准备好配置 Microsoft Entra 应用程序代理。

1. 使用以下设置通过应用程序代理发布 Reporting Services。 有关如何通过应用程序代理发布应用程序的分步说明，请参阅 使用 Microsoft Entra 应用程序代理发布应用程序。

   • 内部 URL：输入连接器可以在企业网络中访问的报表服务器的 URL。 请确保此 URL 是可以从连接器安装所在的服务器进行访问的。 最佳做法是使用一级域名（如 https://servername/），以免通过应用程序代理发布的子路径出现问题。 例如，使用 https://servername/，而不是 https://servername/reports/ 或 https://servername/reportserver/。

     注释

     使用与报表服务器的安全 HTTPS 连接。 有关配置安全连接的详细信息，请参阅 在本机模式报表服务器上配置安全连接。

   • 外部 URL：输入 Power BI 移动应用连接到的公共 URL。 例如，如果使用自定义域，它看起来像 https://reports.contoso.com。 若要使用自定义域，请上传域的证书，并将域名系统（DNS）记录指向应用程序的默认 msappproxy.net 域。 有关详细步骤，请参阅在 Microsoft Entra 应用程序代理中使用自定义域。

   • 预身份验证方法：Microsoft Entra ID。

2. 发布应用后，请执行以下步骤来配置单一登录设置：

   a。 在门户中的应用程序页上，选择“单一登录”。

   b. 对于“单一登录模式”，选择“集成 Windows 身份验证”。

   c. 将“内部应用程序 SPN”设置为此前设置的值。

   d. 针对你要代表你的用户使用的连接器选择“委派的登录标识”。 有关详细信息，请参阅使用不同的本地标识和云标识。

   e. 选择 保存 以保存更改。

若要完成应用程序设置，请转到 “用户和组” 部分，并分配用户访问此应用程序。

步骤 3：修改应用程序的回复统一资源标识符（URI）

配置在步骤 2 中自动创建的应用程序注册。

1. 在 Microsoft Entra ID“概述”页上，选择“应用注册”。

2. 在“ 所有应用程序 ”选项卡上，搜索在步骤 2 中创建的应用程序。

3. 依次选择应用程序和“身份验证”。

4. 添加平台的重定向 URI。

   在 iOS 上为 Power BI Mobile 配置应用时，添加类型的 Public Client (Mobile & Desktop)重定向统一资源标识符（URI）。

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   在 Android 上为 Power BI Mobile 配置应用时，添加类型的 Public Client (Mobile & Desktop)重定向统一资源标识符（URI）。

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   重要

   必须为应用程序添加重定向 URI 才能正常工作。 如果要为 Power BI Mobile iOS 和 Android 配置应用，请将公共客户端（Mobile & Desktop）类型的重定向 URI 添加到为 iOS 配置的重定向 URI 列表： urn:ietf:wg:oauth:2.0:oob

步骤 4：从 Power BI 移动应用进行连接

1. 在 Power BI 移动应用中，连接到 Reporting Services 实例。 请输入您通过应用程序代理发布的应用程序的外部 URL。

   

2. 选择 连接。 Microsoft Entra 登录页加载。

3. 输入用户的有效凭据，然后选择“登录”。 Reporting Services 服务器中的元素将显示出来。

步骤 5：为托管设备配置 Intune 策略（可选）

可以使用 Microsoft Intune 来管理公司员工使用的客户端应用。 Intune 提供数据加密和访问要求等功能。 使用 Intune 策略启用 Power BI 移动应用程序。

1. 访问 Entra ID>应用注册。
2. 注册本机客户端应用程序时，选择在步骤 3 中配置的应用程序。
3. 在应用程序的页面上，选择 “API 权限”。
4. 选择“添加权限”。
5. 在 组织使用的 API 下，搜索并选择 Microsoft移动应用程序管理。
6. 将 DeviceManagementManagedApps.ReadWrite 权限添加到应用程序。
7. 选择授予管理员同意以授予应用程序访问权限。
8. 通过引用 如何创建和分配应用保护策略来配置所需的 Intune 策略。

Troubleshooting

如果应用程序在尝试加载报表超过几分钟后返回错误页，则可能需要更改超时设置。 默认情况下，应用程序代理支持最多需要 85 秒才能响应请求的应用程序。 若要将此设置延长到 180 秒，请在应用程序的应用程序代理设置页中选择后端超时到 Long 。 有关如何创建快速可靠的报表的提示，请参阅 Power BI 报表最佳做法。

条件访问策略不支持使用 Microsoft Entra 应用程序代理使 Power BI 移动应用能够连接到本地 Power BI 报表服务器，这些策略要求Microsoft Power BI 应用作为已批准的客户端应用。

后续步骤

• 启用本机客户端应用程序与代理应用程序交互
• 在 Power BI 移动应用中查看本地报表服务器报表和 KPI