Habilitar o acesso remoto ao Power BI Mobile com o proxy de aplicativo do Microsoft Entra
Este artigo discute como usar o proxy de aplicativo do Microsoft Entra para permitir que o aplicativo móvel do Power BI conecte-se ao PBIRS (Power BI Report Server) e ao SSRS (SQL Server Reporting Services) 2016 e posterior. Por meio dessa integração, os usuários que estiverem fora da rede corporativa poderão acessar os relatórios do Power BI no aplicativo móvel do Power BI e serão protegidos pela autenticação do Microsoft Entra. Essa proteção inclui benefícios de segurança, como o Acesso Condicional e a autenticação multifator.
Pré-requisitos
- Implante o Reporting Services em seu ambiente.
- Habilitar o Proxy do aplicativo Microsoft Entra.
- Quando possível, use os mesmos domínios internos e externos para o Power BI. Para saber mais sobre domínios personalizados, consulte Trabalhar com domínios personalizados no proxy de aplicativo.
Etapa 1: configurar a KCD (Delegação Restrita do Kerberos)
Para aplicativos locais que usam a autenticação do Windows, você pode obter SSO (logon único) usando o protocolo de autenticação Kerberos e um recurso chamado KCD (delegação restrita de Kerberos). O conector de rede privada usa o KCD para obter um token do Windows para um usuário, mesmo que o usuário não esteja conectado diretamente ao Windows. Para saber mais sobre a KCD, consulte Visão geral da Delegação Restrita do Kerberos e Delegação Restrita do Kerberos para logon único em seus aplicativos com o proxy de aplicativo.
Não há muito o que configurar no lado do Reporting Services. É necessário um Nome da Entidade de Serviço (SPN) válido para que a autenticação Kerberos ocorra corretamente. Habilite o servidor do Reporting Services para autenticação Negotiate
.
Configurar o SPN (Nome da Entidade de Serviço)
O SPN é um identificador exclusivo para um serviço que usa a autenticação Kerberos. É necessário um SPN HTTP adequado para o servidor de relatórios. Para obter informações sobre como configurar o SPN (Nome da Entidade de Serviço) adequado para seu servidor de relatório, consulte Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.
Verifique se o SPN foi adicionado executando o comando Setspn
com a opção -L
. Para saber mais sobre o comando, consulte Setspn.
Habilitar autenticação de negociação
Para permitir que um servidor de relatório use a autenticação do Kerberos, configure o Tipo de Autenticação do servidor de relatório como RSWindowsNegotiate. Defina essa configuração usando o arquivo de rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Para obter mais informações, consulte Modify a Reporting Services Configuration File (Modificar um arquivo de configuração de serviços) e Configurar a Autenticação do Windows no servidor de relatório.
Certifique-se de que o conector seja confiável para delegação ao SPN adicionado à conta do pool de aplicativos do Reporting Services
Configure a KCD para que o serviço de proxy de aplicativo do Microsoft Entra possa delegar identidades de usuário à conta do pool de aplicativos do Reporting Services. Configure o conector de rede privada para recuperar tíquetes Kerberos para usuários autenticados pelo Microsoft Entra ID. O servidor passa o contexto para o aplicativo Reporting Services.
Para configurar a KCD, repita as seguintes etapas para cada computador conector:
- Entre como administrador de domínio em um controlador de domínio e abra Usuários e Computadores do Active Directory.
- Encontre o computador em que o conector está em sendo executado.
- Selecione o computador com um clique duplo e, em seguida, selecione a guia Delegação.
- Defina as configurações de delegações como Confiar neste computador para delegação somente para os serviços especificados. Então, selecione Usar qualquer protocolo de autenticação.
- Selecione Adicionar e, depois, selecione Usuários ou Computadores.
- Insira a conta de serviço que você configurou para o Reporting Services.
- Selecione OK. Para salvar as alterações, selecione OK novamente.
Para obter mais informações, consulte Delegação Restrita do Kerberos para logon único em seus aplicativos com o proxy de aplicativo.
Etapa 2: publicar o Reporting Services por meio do proxy de aplicativo do Microsoft Entra
Agora você está pronto para configurar o proxy de aplicativo do Microsoft Entra.
Publique o Reporting Services por meio do proxy de aplicativo com as seguintes configurações. Para obter instruções detalhadas sobre como publicar um aplicativo por meio do proxy de aplicativo, consulte Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra.
URL interna: insira a URL para o Servidor de Relatório que o conector pode acessar na rede corporativa. Verifique se essa URL pode ser acessada no servidor no qual o conector está instalado. Uma prática recomendada é usar um domínio de nível superior, como
https://servername/
, para evitar problemas com subcaminhos publicados por meio do proxy de aplicativo. Por exemplo, usehttps://servername/
, e nãohttps://servername/reports/
ouhttps://servername/reportserver/
.Observação
Use uma conexão HTTPS segura com o Servidor de Relatórios. Para obter mais informações sobre como configurar uma conexão segura, consulte Configurar conexões seguras em um servidor de relatórios de modo nativo.
URL externa: insira a URL pública para a qual o aplicativo móvel Power BI se conectará. Por exemplo, ele se parecerá com
https://reports.contoso.com
se for usado um domínio personalizado. Para usar um domínio personalizado, carregue um certificado para o domínio e aponte um registro DNS (Sistema de Nomes de Domínio) para o domíniomsappproxy.net
padrão do seu aplicativo. Para obter etapas detalhadas, consulte Trabalhar com domínios personalizados no proxy de aplicativo do Microsoft Entra.Método de pré-autenticação: Microsoft Entra ID.
Depois que seu aplicativo for publicado, defina as configurações de logon único com as seguintes etapas:
a. Na página de aplicativo no portal, selecione Logon único.
b. Para o Modo de Logon Único, selecione Autenticação Integrada do Windows.
c. Defina o SPN do Aplicativo Interno para o valor que você definiu anteriormente.
d. Escolha a Identidade de Logon Delegada para que o conector use em nome de seus usuários. Para saber mais, confira Trabalhar com diferentes identidades de nuvem e locais.
e. Selecione Salvar para salvar as alterações.
Para concluir a configuração de seu aplicativo, vá para a seção Usuários e grupos e atribua usuários ao acessar este aplicativo.
Etapa 3: modificar o URI (Uniform Resource Identifier) de resposta para o aplicativo
Configure o Registro de Aplicativo criado automaticamente na etapa 2.
Na página de Visão geral do Microsoft Entra ID, selecione Registros de aplicativo.
Na guia Todos os aplicativos, pesquise o aplicativo que você criou na etapa 2.
Selecione o aplicativo e, depois, selecione Autenticação.
Adicione o URI de redirecionamento para a plataforma.
Ao configurar o aplicativo para o Power BI Mobile em iOS, adicione os Uniform Resource Identifier (URIs) de redirecionamento do tipo
Public Client (Mobile & Desktop)
.msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilems
Ao configurar o aplicativo para o Power BI Mobile no Android, adicione os Uniform Resource Identifier (URIs) de redirecionamento do tipo
Public Client (Mobile & Desktop)
.urn:ietf:wg:oauth:2.0:oob
mspbi-adal://com.microsoft.powerbimobile
msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D
Importante
Os URIs de redirecionamento devem ser adicionados para que o aplicativo funcione corretamente. Se você estiver configurando o aplicativo para o Power BI Mobile iOS e Android, adicione o URI de redirecionamento do tipo Cliente Público (Móvel e Desktop) à lista de URIs de redirecionamento configuradas para iOS:
urn:ietf:wg:oauth:2.0:oob
.
Etapa 4: conectar-se por meio do aplicativo móvel do Power BI
No aplicativo móvel do Power BI, conecte-se à sua instância do Reporting Services. Insira a URL externa do aplicativo que você publicou por meio do proxy de aplicativo.
Selecione Conectar. A página de entrada do Microsoft Entra é carregada.
Insira credenciais válidas para o seu usuário e selecione Entrar. Os elementos do servidor do Reporting Services são exibidos.
Etapa 5: configurar a política do Intune para dispositivos gerenciados (opcional)
É possível usar o Microsoft Intune para gerenciar os aplicativos do cliente usados pela força de trabalho da sua empresa. O Intune oferece recursos como criptografia de dados e requisitos de acesso. Habilite o aplicativo móvel Power BI com a política do Intune.
- Navegue até Identidade>Aplicativos>Registros do aplicativo.
- Selecione o aplicativo configurado na etapa 3 ao registrar seu aplicativo cliente nativo.
- Na página do aplicativo, selecione Permissões de API.
- Selecione Adicionar permissão.
- Em APIs que minha organização usa, procure e selecione Gerenciamento de Aplicativos Móveis da Microsoft.
- Adicione a permissão DeviceManagementManagedApps.ReadWrite ao aplicativo.
- Selecione Dar consentimento de administrador para conceder a permissão de acesso ao aplicativo.
- Configure a política do Intune desejada consultando Como criar e atribuir políticas de proteção de aplicativo.
Solução de problemas
Se o aplicativo retornar uma página de erro depois de tentar carregar um relatório por mais de alguns minutos, talvez seja necessário alterar a configuração de tempo limite. Por padrão, o proxy de aplicativo dá suporte a aplicativos que levam até 85 segundos para responder a uma solicitação. Para aumentar essa configuração para 180 segundos, selecione o tempo limite de back-end como Long na página de configurações de proxy do aplicativo. Para obter dicas sobre como criar relatórios rápidos e confiáveis, consulte Práticas recomendadas de relatórios do Power BI.
O uso do proxy de aplicativo do Microsoft Entra para permitir que o aplicativo móvel do Power BI se conecte ao servidor de relatórios do Power BI local não tem suporte com as políticas de acesso condicional que exigem o aplicativo Microsoft Power BI como um aplicativo cliente aprovado.