Activer l’accès à distance à Power BI Mobile avec le proxy d’application Microsoft Entra

Cet article explique comment utiliser le proxy d’application Microsoft Entra pour permettre à l’application mobile Power BI de se connecter à Power BI Report Server (PBIRS) et à SQL Server Reporting Services (SSRS) 2016 et versions ultérieures. Grâce à cette intégration, les utilisateurs qui se trouvent en dehors du réseau d’entreprise peuvent accéder à leurs rapports Power BI à partir de l’application mobile Power BI et être protégés par l’authentification Microsoft Entra. Cette protection comprend des avantages en matière de sécurité, comme l’accès conditionnel et l’authentification multifacteur.

Prérequis

• Déployez Reporting Services dans votre environnement.
• Activez le proxy d’application Microsoft Entra.
• Si possible, utilisez les mêmes domaines internes et externes pour Power BI. Pour en savoir plus sur les domaines personnalisés, consultez Utilisation des domaines personnalisés dans le proxy d’application.

Étape 1 : Configurer une délégation Kerberos contrainte (KCD)

Pour les applications locales qui utilisent l’authentification Windows, vous pouvez obtenir l’authentification unique (SSO) à l’aide du protocole d’authentification Kerberos et d’une fonctionnalité appelée délégation Kerberos contrainte (KCD). Le connecteur de réseau privé utilise KCD pour obtenir un jeton Windows pour un utilisateur, même si l’utilisateur n’est pas connecté directement à Windows. Pour en savoir plus sur la délégation KCD, consultez Présentation de la délégation Kerberos contrainte et Délégation contrainte Kerberos pour l’authentification unique à vos applications avec le proxy d’application.

Il n’y a pas grand chose à configurer dans Reporting Services. Un nom de principal de service (SPN) valide est nécessaire pour que l’authentification Kerberos appropriée se produise. Activez le serveur Reporting Services pour l’authentification Negotiate.

Configurer le nom de principal du service (SPN)

Le SPN est un identificateur unique pour un service qui utilise l’authentification Kerberos. Un SPN HTTP approprié est nécessaire pour le serveur de rapports. Pour plus d’informations sur la configuration du nom de principal du service adéquat pour votre serveur de rapports, consultez Inscrire un nom de principal du service (SPN) pour un serveur de rapports. Vérifiez que le SPN a été ajouté en exécutant la commande Setspn avec l’option -L. Pour en savoir plus sur la commande, consultez Setspn.

Activer l’authentification par négociation

Pour permettre à un serveur de rapports d’utiliser l’authentification Kerberos, configurez le type d’authentification du serveur de rapports sur RSWindowsNegotiate. Configurez ce paramètre à l’aide du fichier rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Pour plus d’informations, consultez Modifier un fichier de configuration Reporting Services et Configurer l’authentification Windows sur un serveur de rapports.

Vérifiez que le connecteur est approuvé pour la délégation pour le SPN ajouté au compte de pool d’applications Reporting Services

Configurez la délégation KCD afin que le service de proxy d’application Microsoft Entra puisse déléguer des identités d’utilisateurs au compte de pool d’applications Reporting Services. Configurez le connecteur de réseau privé pour récupérer les tickets Kerberos pour les utilisateurs authentifiés Microsoft Entra ID. Le serveur transmet le contexte à l’application Reporting Services.

Pour configurer la délégation KCD, répétez les étapes suivantes pour chaque machine de connecteur :

1. Connectez-vous à un contrôleur de domaine en tant qu’administrateur de domaine, puis ouvrez Utilisateurs et ordinateurs Active Directory.
2. Trouvez l’ordinateur sur lequel le connecteur est en cours d’exécution.
3. Sélectionnez l’ordinateur en double-cliquant, puis sélectionnez l’onglet Délégation.
4. Définissez les paramètres de délégation sur N’approuver cet ordinateur que pour la délégation aux services spécifiés. Sélectionnez ensuite Utiliser tout protocole d’authentification.
5. Sélectionnez Ajouter, puis Utilisateurs ou ordinateurs.
6. Entrez le compte de service que vous configurez pour Reporting Services.
7. Cliquez sur OK. Pour enregistrer les modifications, sélectionnez à nouveau OK.

Pour plus d’informations, consultez Délégation contrainte Kerberos pour l’authentification unique à vos applications avec le proxy d’application.

Étape 2 : publier Reporting Services via un proxy d’application Microsoft Entra

Vous êtes maintenant prêt à configurer le proxy d’application Microsoft Entra.

1. Publiez Reporting Services via le proxy d’application avec les paramètres suivants. Pour obtenir des instructions pas à pas sur la publication d’une application via Proxy d’application, consultez Publication d’applications avec un proxy d’application Microsoft Entra.

   • URL interne : Entrez l’URL du serveur de rapports auquel le connecteur peut accéder dans le réseau d’entreprise. Assurez-vous que cette URL est accessible à partir du serveur sur lequel le connecteur est installé. Il est conseillé d’utiliser un domaine de premier niveau, par exemple https://servername/, pour éviter les problèmes liés aux sous-chemins publiés via le proxy d’application. Par exemple, utilisez https://servername/ et non https://servername/reports/ ou https://servername/reportserver/.

     Remarque

     Utilisez une connexion HTTPS sécurisée à R Server. Pour plus d’informations sur la configuration d’une connexion sécurisée, consultez Configurer des connexions sécurisées sur un serveur de rapports en mode natif.

   • URL externe : entrez l’URL publique à laquelle l’application mobile Power BI se connecte. Par exemple, elle prend la forme https://reports.contoso.com si un domaine personnalisé est utilisé. Pour utiliser un domaine personnalisé, chargez un certificat pour le domaine et pointez un enregistrement DNS (Domain Name System) vers le domaine msappproxy.net par défaut de votre application. Pour les étapes détaillées, consultez Utilisation des domaines personnalisés dans le proxy d’application Microsoft Entra.

   • Méthode de pré-authentification : Microsoft Entra ID.

2. Une fois que votre application est publiée, configurez les paramètres d’authentification unique en effectuant les étapes suivantes :

   a. Dans la page de l’application dans le portail, sélectionnez Authentification unique.

   b. Pour le mode d’authentification unique, sélectionnez Authentification Windows intégrée.

   c. Définissez l’option SPN d’application interne sur la valeur que vous avez définie précédemment.

   d. Choisissez l’Identité de connexion déléguée pour le connecteur à utiliser pour le compte de vos utilisateurs. Pour plus d’informations, consultez Utilisation d’identités cloud et locales différentes.

   e. Cliquez sur Enregistrer pour enregistrer vos modifications.

Pour terminer la configuration de votre application, accédez à la section Utilisateurs et groupes et affectez des utilisateurs pouvant accéder à cette application.

Étape 3 : modifier l’URI (Uniform Resource Identifier) de réponse pour l’application

Configurez l’inscription d’application qui a été créée automatiquement à l’étape 2.

1. Dans le menu Microsoft Entra ID, sur la page Vue d’ensemble, sélectionnez Inscriptions d'applications.

2. Sous l’onglet Toutes les applications, recherchez celle que vous avez créée à l’étape 2.

3. Sélectionnez-la, puis sélectionnez Authentification.

4. Ajoutez l’URI de redirection pour la plateforme.

   Lors de la configuration de l’application pour Power BI Mobile sur iOS, ajoutez les URI (Uniform Resource Identifiers) de redirection de type Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Lors de la configuration de l’application pour Power BI Mobile sur Android, ajoutez les URI (Uniform Resource Identifiers) de redirection de type Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Important

   Les URI de redirection doivent être ajoutés pour que l’application fonctionne correctement. Si vous configurez l’application pour Power BI Mobile iOS et Android, ajoutez l’URI de redirection de type Client public (mobile et bureau) à la liste des URI de redirection configurés pour iOS : urn:ietf:wg:oauth:2.0:oob.

Étape 4 : Se connecter à partir de l’application Power BI Mobile

1. Dans l’application mobile Power BI, connectez-vous à votre instance Reporting Services. Entrez l’URL externe de l’application que vous avez publiée par le biais du proxy d’application.

   

2. Sélectionnez Connecter. La page de connexion Microsoft Entra charge.

3. Entrez des informations d’identification valides pour votre utilisateur et sélectionnez Se connecter. Les éléments du serveur Reporting Services sont affichés.

Étape 5 : Configurer la stratégie Intune pour les appareils gérés (facultatif)

Vous pouvez utiliser Microsoft Intune pour gérer les applications clientes que le personnel de votre entreprise utilise. Intune fournit des capacités telles que le chiffrement des données et les exigences d’accès. Activez l’application mobile Power BI avec la stratégie Intune.

1. Accédez à Identité>Applications>Inscriptions d’applications.
2. Sélectionnez l’application configurée à l’étape 3 lors de l’inscription de votre application cliente native.
3. Dans la page de l’application, sélectionnez Autorisations de l’API.
4. Sélectionnez Ajouter une autorisation.
5. Sous API utilisées par mon organisation, recherchez et sélectionnez Gestion des applications mobiles Microsoft.
6. Ajoutez l’autorisation DeviceManagementManagedApps.ReadWrite à l’application.
7. Cliquez sur Accorder le consentement administrateur pour accorder l’autorisation d’accès à l’application.
8. Configurez la stratégie Intune souhaitée en vous référant à Comment créer et assigner des stratégies de protection des applications.

Dépannage

Si l’application retourne une page d’erreur après avoir essayé de charger un rapport pendant plusieurs minutes, vous devrez peut-être modifier le paramètre du délai d’expiration. Par défaut, le proxy d’application prend en charge les applications qui mettent jusqu’à 85 secondes pour répondre à une requête. Pour allonger ce paramètre à 180 secondes, sélectionnez le délai d’expiration du serveur principal Long dans la page des paramètres du proxy d’application pour l’application. Pour obtenir des conseils sur la création de rapports rapides et fiables, consultez Power BI Reports Best Practices (Meilleures pratiques de rapports Power BI).

L’utilisation du proxy d’application Microsoft Entra pour permettre à l’application mobile Power BI de se connecter à un serveur Power BI Report Server local n’est pas prise en charge avec les stratégies d’accès conditionnel qui nécessitent l’application Microsoft Power BI comme application cliente approuvée.

Étapes suivantes

• Autoriser les applications clientes natives à interagir avec des applications de proxy
• View on-premises report server reports and KPIs in the Power BI mobile apps (Afficher les rapports et indicateurs de performance clé de serveur de rapports local dans les applications mobiles Power BI)