Abilitare l'accesso remoto a Power BI per dispositivi mobili con proxy dell'applicazione Microsoft Entra

Questo articolo illustra come usare il proxy dell'applicazione Microsoft Entra per consentire all'app Power BI per dispositivi mobili di connettersi a Server di report di Power BI (PBIRS) e SQL Server Reporting Services (SSRS) 2016 e versioni successive. Grazie a questa integrazione, gli utenti che si trovano lontano dalla rete aziendale possono accedere ai report di Power BI dall'app Power BI per dispositivi mobili ed essere protetti dall'autenticazione di Microsoft Entra. Questa protezione include vantaggi per la sicurezza, ad esempio l'accesso condizionale e l'autenticazione a più fattori.

Prerequisiti

• Distribuire Reporting Services nell'ambiente in uso.
• Abilitare il proxy dell'applicazione Microsoft Entra.
• Quando possibile, usare gli stessi domini interni ed esterni per Power BI. Per altre informazioni sui domini personalizzati, vedere Uso di domini personalizzati nel proxy dell'applicazione.

Passaggio 1: Configurare la delega vincolata Kerberos

Per le applicazioni locali che usano l'autenticazione di Windows, è possibile ottenere l'accesso Single Sign-On (SSO) con il protocollo di autenticazione Kerberos e una funzionalità chiamata delega vincolata Kerberos. Il connettore di rete privato usa KCD per ottenere un token di Windows per un utente, anche se l'utente non ha eseguito l'accesso diretto a Windows. Per altre informazioni sulla delega vincolata Kerberos, vedere Panoramica della delega vincolata Kerberos e Delega vincolata Kerberos per l'accesso Single Sign-On alle app con il proxy dell'applicazione.

Non c'è molto da configurare sul lato Reporting Services. Per l'autenticazione Kerberos corretta, è necessario un nome dell'entità servizio (SPN) valido. Abilitare il server Reporting Services per Negotiate l'autenticazione.

Configurare il nome dell'entità servizio (SPN)

Il nome SPN è un identificatore univoco per un servizio che usa l'autenticazione Kerberos. Per il server di report è necessario un nome SPN HTTP appropriato. Per informazioni su come configurare il nome dell'entità servizio (SPN) appropriato per il server di report, vedere Registrare un nome dell'entità servizio (SPN) per un server di report. Verificare che il nome SPN sia stato aggiunto eseguendo il Setspn comando con l'opzione -L . Per altre informazioni sul comando, vedere Setspn.

Abilitare l'autenticazione negotiate

Per consentire a un server di report di usare l'autenticazione Kerberos, configurare il tipo di autenticazione del server di report in modo che sia RSWindowsNegotiate. Configurare questa impostazione usando il file rsreportserver.config.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Per altre informazioni, vedere Modificare un file di configurazione di Reporting Services e Configurare l'autenticazione di Windows in un server di report.

Verificare che il connettore sia attendibile per la delega al nome SPN aggiunto all'account del pool di applicazioni di Reporting Services

Configurare KCD in modo che il servizio proxy dell'applicazione Microsoft Entra possa delegare le identità utente all'account del pool di applicazioni di Reporting Services. Configurare il connettore di rete privata per recuperare i ticket Kerberos per gli utenti autenticati di Microsoft Entra ID. Il server passa il contesto all'applicazione Reporting Services.

Per configurare KCD, ripetere i passaggi seguenti per ogni computer connettore:

1. Accedere a un controller di dominio come amministratore di dominio e quindi aprire Utenti e computer di Active Directory.
2. Trovare il computer in cui è in esecuzione il connettore.
3. Selezionare il computer facendo doppio clic e quindi selezionare la scheda Delega .
4. Impostare le impostazioni di delega su Considera attendibile il computer per la delega solo ai servizi specificati. Selezionare quindi Usa un qualsiasi protocollo di autenticazione.
5. Selezionare Aggiungi e quindi utenti o computer.
6. Immettere l'account del servizio configurato per Reporting Services.
7. Seleziona OK. Per salvare le modifiche, selezionare di nuovo OK .

Per altre informazioni, vedere Delega vincolata Kerberos per l'accesso Single Sign-On alle app con proxy di applicazione.

Passaggio 2: Pubblicare Reporting Services tramite il proxy dell'applicazione Microsoft Entra

A questo punto è possibile configurare il proxy dell'applicazione Microsoft Entra.

1. Pubblicare Reporting Services tramite il proxy dell'applicazione con le impostazioni seguenti. Per istruzioni dettagliate su come pubblicare un'applicazione tramite il proxy dell'applicazione, vedere Pubblicazione di applicazioni con il proxy dell'applicazione Microsoft Entra.

   • URL interno: immettere l'URL del server di report che il connettore può raggiungere nella rete aziendale. Assicurarsi che questo URL sia raggiungibile dal server in cui è installato il connettore. Una procedura consigliata consiste nell'usare un dominio di primo livello, https://servername/ ad esempio per evitare problemi con i percorsi secondari pubblicati tramite il proxy dell'applicazione. Ad esempio, usare https://servername/ e non https://servername/reports/ o https://servername/reportserver/.

     Nota

     Usare una connessione HTTPS sicura al server di report. Per altre informazioni sulla configurazione di una connessione sicura, vedere Configurare connessioni sicure in un server di report in modalità nativa.

   • URL esterno: immettere l'URL pubblico a cui si connette l'app Power BI per dispositivi mobili. Ad esempio, sembra https://reports.contoso.com che venga usato un dominio personalizzato. Per usare un dominio personalizzato, caricare un certificato per il dominio e puntare un record DNS (Domain Name System) al dominio predefinito msappproxy.net per l'applicazione. Per i passaggi dettagliati, vedere Uso di domini personalizzati in Microsoft Entra application proxy.

   • Metodo di preautenticazione: MICROSOFT Entra ID.

2. Dopo la pubblicazione dell'app, configurare le impostazioni Single Sign-On eseguendo le operazioni seguenti:

   a. Nella pagina dell'applicazione nel portale selezionare Single Sign-On.

   b. Per Modalità Single Sign-On selezionare Autenticazione integrata di Windows.

   c. Impostare Nome dell'entità servizio dell'applicazione interna sul valore impostato in precedenza,

   d. Scegliere l'identità di accesso delegato che il connettore userà per conto degli utenti. Per altre informazioni, vedere Uso di identità locali e cloud diverse.

   e. Seleziona Salva per salvare le modifiche.

Per completare la configurazione dell'applicazione, passare alla sezione Utenti e gruppi e specificare gli utenti autorizzati ad accedere all'applicazione.

Passaggio 3: Modificare l'URI (Uniform Resource Identifier) di risposta per l'applicazione

Configurare la registrazione dell'applicazione creata automaticamente nel passaggio 2.

1. Nella pagina Panoramica di Microsoft Entra ID selezionare Registrazioni app.

2. Nella scheda Tutte le applicazioni cercare l'applicazione creata nel passaggio 2.

3. Selezionare l'applicazione, quindi selezionare Autenticazione.

4. Aggiungere l'URI di reindirizzamento per la piattaforma.

   Quando si configura l'app per Power BI per dispositivi mobili in iOS, aggiungere gli URI (Uniform Resource Identifier) di reindirizzamento di tipo Public Client (Mobile & Desktop).

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Quando si configura l'app per Power BI per dispositivi mobili in Android, aggiungere gli URI (Uniform Resource Identifier) di reindirizzamento di tipo Public Client (Mobile & Desktop).

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Importante

   Per il corretto funzionamento dell'applicazione, è necessario aggiungere gli URI di reindirizzamento. Se si configura l'app sia per Power BI per dispositivi mobili iOS che per Android, aggiungere l'URI di reindirizzamento di tipo Client pubblico (Mobile & Desktop) all'elenco di URI di reindirizzamento configurati per iOS: urn:ietf:wg:oauth:2.0:oob.

Passaggio 4: Connessione dall'app Power BI per dispositivi mobili

1. Nell'app Power BI per dispositivi mobili connettersi all'istanza di Reporting Services. Immettere l'URL esterno per l'applicazione pubblicata tramite il proxy dell'applicazione.

   

2. Selezionare Connetti. Viene caricata la pagina di accesso di Microsoft Entra.

3. Immettere le credenziali valide per l'utente e selezionare Accedi. Vengono visualizzati gli elementi del server Reporting Services.

Passaggio 5: Configurare i criteri di Intune per i dispositivi gestiti (facoltativo)

È possibile usare Microsoft Intune per gestire le app client usate dalla forza lavoro aziendale. Intune offre funzionalità come crittografia dei dati e requisiti di accesso. Abilitare l'applicazione Power BI per dispositivi mobili con i criteri di Intune.

1. Passare a Applicazioni> di identità>Registrazioni app.
2. Selezionare l'applicazione configurata nel passaggio 3 durante la registrazione dell'applicazione client nativa.
3. Nella pagina dell'applicazione selezionare Autorizzazioni API.
4. Seleziona Aggiungi autorizzazione.
5. In API usate dall'organizzazione cercare e selezionare Microsoft Mobile Application Management.
6. Aggiungere l'autorizzazione DeviceManagementManagedApps.ReadWrite all'applicazione.
7. Selezionare Concedi consenso amministratore per concedere l'accesso all'applicazione.
8. Configurare i criteri di Intune desiderati facendo riferimento a Come creare e assegnare criteri di protezione delle app.

Risoluzione dei problemi

Se l'applicazione restituisce una pagina di errore dopo aver tentato di caricare un report per più di alcuni minuti, potrebbe essere necessario modificare l'impostazione di timeout. Per impostazione predefinita, il proxy applicazione supporta le applicazioni che richiedono fino a 85 secondi per rispondere a una richiesta. Per completare questa impostazione su 180 secondi, selezionare il timeout back-end su Lungo nella pagina delle impostazioni proxy dell'applicazione per l'applicazione. Per suggerimenti su come creare report veloci e affidabili, vedere Procedure consigliate per i report di Power BI.

L'uso del proxy dell'applicazione Microsoft Entra per consentire all'app Power BI per dispositivi mobili di connettersi all'Server di report di Power BI locale non è supportato con i criteri di accesso condizionale che richiedono l'app Microsoft Power BI come app client approvata.

Passaggi successivi

• Abilitare le applicazioni client native per interagire con le applicazioni proxy
• Visualizzare report e indicatori KPI locali del server di report nelle app Power BI per dispositivi mobili