使用 Microsoft Entra 應用程式 Proxy 啟用 Power BI 行動版的遠端存取

本文討論如何使用 Microsoft Entra 應用程式 Proxy 讓 Power BI 行動應用程式連線到 Power BI 報表伺服器 （PBIRS） 和 SQL Server Reporting Services （SSRS） 2016 和更新版本。 透過這項整合，遠離公司網路的使用者可以從Power BI行動裝置應用程式存取其Power BI報表，並受到 Microsoft Entra 驗證的保護。 此保護包含 安全性優點 ，例如條件式存取和多重要素驗證。

必要條件

• 在您的環境中部署 Reporting Services。
• 啟用 Microsoft Entra 應用程式 Proxy。
• 可能的話，請針對 Power BI 使用相同的內部和外部網域。 若要深入瞭解自定義網域，請參閱 在應用程式 Proxy 中使用自定義網域。

步驟 1：設定 Kerberos 限制委派 （KCD）

對於使用 Windows 驗證 的內部部署應用程式，您可以使用 Kerberos 驗證通訊協定和稱為 Kerberos 限制委派 （KCD） 的功能來達成單一登錄 （SSO）。 專用網連接器會使用 KCD 來取得使用者的 Windows 令牌，即使使用者未直接登入 Windows 也一樣。 若要深入瞭解 KCD，請參閱 Kerberos 限制委派概觀 和 Kerberos 限制委派，以使用應用程式 Proxy 單一登錄您的應用程式。

Reporting Services 端沒有太多設定。 需要有效的服務主體名稱（SPN），才能進行適當的 Kerberos 驗證。 啟用 Reporting Services 伺服器以進行 Negotiate 驗證。

設定服務主體名稱 （SPN）

SPN 是使用 Kerberos 驗證之服務的唯一標識碼。 報表伺服器需要適當的 HTTP SPN。 如需如何為您的報表伺服器設定適當服務主體名稱 （SPN） 的資訊，請參閱 為報表伺服器註冊服務主體名稱 （SPN）。 使用選項執行 命令-L來Setspn確認已新增SPN。 若要深入瞭解命令，請參閱 Setspn。

啟用交涉驗證

若要讓報表伺服器使用 Kerberos 驗證，請將報表伺服器的驗證類型設定為 RSWindowsNegotiate。 使用 rsreportserver.config 檔案來設定此設定。

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

如需詳細資訊，請參閱 修改 Reporting Services 組態檔 和 在報表伺服器上設定 Windows 驗證。

確定連接器可信任委派至新增至 Reporting Services 應用程式集區帳戶的 SPN

設定 KCD，讓 Microsoft Entra 應用程式 Proxy 服務可以將使用者身分識別委派給 Reporting Services 應用程式集區帳戶。 設定專用網連接器，以擷取 Microsoft Entra ID 已驗證使用者的 Kerberos 票證。 伺服器會將內容傳遞至 Reporting Services 應用程式。

若要設定 KCD，請針對每個連接器電腦重複下列步驟：

1. 以網域系統管理員身分登入域控制器，然後開啟 Active Directory 使用者和電腦。
2. 尋找連接器執行的電腦。
3. 按兩下以選取電腦，然後選取 [ 委派 ] 索引標籤。
4. 將委派設定設為 [信任這部計算機]，以便只委派至指定的服務。 然後，選取 [ 使用任何驗證通訊協定]。
5. 選取 [ 新增]，然後選取 [ 用戶或計算機]。
6. 輸入您為 Reporting Services 設定的服務帳戶。
7. 選取 [確定]。 若要儲存變更，請再次選取 [ 確定 ]。

如需詳細資訊，請參閱 使用應用程式 Proxy 單一登錄應用程式的 Kerberos 限制委派。

步驟 2：透過 Microsoft Entra 應用程式 Proxy 發佈 Reporting Services

現在您已準備好設定 Microsoft Entra 應用程式 Proxy。

1. 使用下列設定透過應用程式 Proxy 發佈 Reporting Services。 如需如何透過應用程式 Proxy 發佈應用程式的逐步指示，請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。

   • 內部 URL：輸入連接器可在公司網路中觸達之報表伺服器的 URL。 請確定可從安裝連接器的伺服器連線到此 URL。 最佳做法是使用最上層網域，例如 https://servername/ 避免透過應用程式 Proxy 發行的子路徑發生問題。 例如，使用 https://servername/ 和而非 https://servername/reports/ 或 https://servername/reportserver/。

     注意

     使用報表伺服器的安全 HTTPS 連線。 如需設定安全連線的詳細資訊，請參閱 在原生模式報表伺服器上設定安全連線。

   • 外部 URL：輸入 Power BI 行動應用程式所連線的公用 URL。 例如，如果使用自定義網域，看起來會像 https://reports.contoso.com 這樣。 若要使用自定義網域，請上傳網域的憑證，並將域名系統 （DNS） 記錄指向應用程式的預設 msappproxy.net 網域。 如需詳細步驟，請參閱 在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。

   • 預先驗證方法：Microsoft Entra ID。

2. 發佈您的應用程式之後，請使用下列步驟設定單一登入設定：

   a. 在入口網站的應用程式頁面上，選取 [單一登錄]。

   b. 針對 [單一登錄模式]，選取 [ 整合式 Windows 驗證]。

   c. 將內部應用程式 SPN 設定為您稍早設定的值。

   d. 選擇連接器的委派登入身分識別，以代表您的使用者使用。 如需詳細資訊，請參閱 使用不同的內部部署和雲端身分識別。

   e. 選取儲存以儲存變更。

若要完成應用程式的設定，請移至 [ 使用者和群組 ] 區段，並指派使用者存取此應用程式。

步驟 3：修改應用程式的回復統一資源識別碼 （URI）

設定在步驟 2 中自動建立的應用程式註冊。

1. 在 [Microsoft Entra ID 概觀] 頁面上，選取 [應用程式註冊]。

2. 在 [ 所有應用程式] 索引標籤上，搜尋您在步驟 2 中建立的應用程式。

3. 選取應用程式，然後選取 [ 驗證]。

4. 新增平臺的重新導向 URI。

   在 iOS 上設定 Power BI 行動版 應用程式時，新增類型的Public Client (Mobile & Desktop)重新導向統一資源識別碼 （URI） 。

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   在 Android 上為 Power BI 行動版 設定應用程式時，新增 類型的Public Client (Mobile & Desktop)重新導向統一資源識別碼 （URI）。

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   重要

   必須新增重新導向 URI，應用程式才能正常運作。 如果您要為 iOS 和 Android Power BI 行動版 設定應用程式，請將 Public Client （Mobile & Desktop） 類型的重新導向 URI 新增至針對 iOS 設定的重新導向 URI 清單：urn:ietf:wg:oauth:2.0:oob。

步驟 4：從 Power BI 行動版 應用程式 連線

1. 在 Power BI 行動裝置應用程式中，連線到您的 Reporting Services 實例。 輸入您透過應用程式 Proxy 發佈的應用程式外部 URL。

   

2. 選取 Connect。 Microsoft Entra 登入頁面會載入。

3. 輸入使用者的有效認證，然後選取 [ 登入]。 Reporting Services 伺服器的專案隨即顯示。

步驟 5：設定受管理裝置的 Intune 原則（選擇性）

您可以使用 Microsoft Intune 來管理公司員工所使用的用戶端應用程式。 Intune 提供數據加密和存取需求等功能。 使用 Intune 原則啟用 Power BI 行動應用程式。

1. 流覽至 [身分>識別應用程式> 應用程式註冊]。
2. 在註冊原生用戶端應用程式時，選取在步驟 3 中設定的應用程式。
3. 在應用程式的頁面上，選取 [API 許可權]。
4. 選取新增權限。
5. 在 [我的組織使用的 API] 下，搜尋並選取 [Microsoft 行動應用程式管理]。
6. 將 DeviceManagementManagedApps.ReadWrite 許可權新增至應用程式。
7. 選取 [ 授與管理員同意 ] 以授與應用程式的許可權存取權。
8. 藉由參考 如何建立及指派應用程式保護原則，設定您想要的 Intune 原則。

疑難排解

如果應用程式在嘗試載入報表超過幾分鐘後傳回錯誤頁面，您可能需要變更逾時設定。 根據預設，應用程式 Proxy 支援最多需要 85 秒才能回應要求的應用程式。 若要將此設定延長為 180 秒，請在應用程式的應用程式 Proxy 設定頁面中選取 [Long] 的後端逾時。 如需如何建立快速且可靠的報表的秘訣，請參閱 Power BI 報表最佳做法。

使用 Microsoft Entra 應用程式 Proxy 讓 Power BI 行動應用程式連線到內部部署 Power BI 報表伺服器 不支援條件式存取原則，這些原則需要 Microsoft Power BI 應用程式作為已核准的用戶端應用程式。

下一步

• 啟用原生用戶端應用程式與 Proxy 應用程式互動
• 在 Power BI 行動裝置應用程式中檢視內部部署報表伺服器報表和 KPI