Mithilfe eines Microsoft Entra-Dienstprinzipals eine Verbindung mit einem Azure Data Lake Storage-Konto herstellen

Anmerkung

Azure Active Directory ist jetzt Microsoft Entra ID. Weitere Informationen

Dynamics 365 Customer Insights - Data stellt eine Option für die Verbindung mit einem Azure Data Lake Storage-Konto über einen Microsoft Entra-Dienstprinzipal bereit.

Automatisierte Tools, die Azure-Dienste nutzen, sollten immer eingeschränkte Berechtigungen haben. Anstatt dass sich Anwendungen als voll privilegierter Benutzer anmelden müssen, bietet Azure Dienstprinzipale an. Sie können Dienstprinzipale zum sicheren Hinzufügen oder Bearbeiten eines Common Data Model-Ordners als Datenquelle bzw. Erstellen oder Aktualisieren einer Umgebung verwenden.

Anforderungen

• Bei dem Azure Data Lake Speicherkonto muss hierarchischer Namespace aktiviert sein.
• Sie benötigen Administratorberechtigungen für Ihren Azure-Mandanten, um einen Dienstprinzipal zu erstellen.

Erstellen eines Microsoft Entra-Dienstprinzipals für Customer Insights

Überprüfen Sie vor dem Erstellen eines neuen Dienstprinzipals für Customer Insights, ob dieser bereits in Ihrer Organisation vorhanden ist. In den meisten Fällen ist es bereits vorhanden.

Suchen Sie nach einem vorhandenen Service-Prinzipal

1. Gehen Sie zum Azure-Admin-Portal und melden Sie sich bei Ihrer Organisation an.

2. Wählen Sie unter Azure-Dienste Microsoft Entra aus.

3. Wählen Sie unter Verwalten Microsoft-Anwendung aus.

4. Fügen Sie einen Filter hinzu für Anwendungs-ID beginnt mit0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff, oder suchen Sie nach dem Namen Dynamics 365 AI for Customer Insights.

5. Wenn Sie einen übereinstimmenden Datensatz finden, bedeutet dies, dass der Dienstprinzipal bereits vorhanden ist. Berechtigung erteilen für den Zugriff auf das Speicherkonto.

   

6. Wenn keine Ergebnisse zurückgegeben werden, erstellen Sie einen neuen Dienstprinzipal.

Erstellen Sie ein neues Service-Prinzipal

1. Neueste Version von Microsoft Entra ID-PowerShell für Graph. Weitere Informationen finden Sie unter Installieren von Microsoft Entra ID-PowerShell für Graph.

   1. Drücken Sie auf Ihrem PC die Windows-Taste auf Ihrer Tastatur und suchen Sie nach Windows PowerShell und wählen Sie Als Administrator ausführen.

   2. Geben Sie in dem sich öffnenden PowerShell-Fenster Install-Module AzureAD ein.

2. Erstellen Sie den Dienstprinzipal mit dem Microsoft Entra ID-PowerShell-Modul.

   1. Geben Sie im PowerShell-Fenster Connect-AzureAD -TenantId "[your Directory ID]" -AzureEnvironmentName Azure ein. Ersetzen Sie [Ihre Directory ID] durch die tatsächliche Verzeichnis-ID Ihres Azure Abonnements, in dem Sie den Dienstprinzipal erstellen möchten. Der Parameter für den Umgebungsnamen AzureEnvironmentName ist optional.

   2. Geben Sie New-AzureADServicePrincipal -AppId "0bfc4568-a4ba-4c58-bd3e-5d3e76bd7fff" -DisplayName "Dynamics 365 AI for Customer Insights" ein. Mit diesem Befehl erstellen Sie das Dienstprinzipal auf dem ausgewählten Azure Abonnement.

Erteilen Sie dem Service Principal Berechtigungen für den Zugriff auf das Speicherkonto

Um dem Dienstprinzipal Berechtigungen für das Speicherkonto zu erteilen, das Sie in Customer Insights - Data verwenden möchten, muss dem Speicherkonto oder Container eine der folgenden Rollen zugewiesen werden:

Anmeldeinformation	Anforderungen
Angemeldeter Benutzer	Beim Herstellen einer Verbindung mit dem Azure Data Lake mithilfe der Option Azure-Abonnement: Rolle: Storage Blob-Datenleser, Storage Blob Teilnehmer oder Storage Blob Besitzer. Ebene: Berechtigungen können für das Speicherkonto oder den Container erteilt werden. Beim Herstellen einer Verbindung mit dem Azure Data Lake mithilfe der Option Azure-Ressource: Rolle: Aktion Microsoft.Storage/storageAccounts/read Ebene: Berechtigung wird für das Speicherkonto erteilt UND Rolle: Storage Blob-Datenleser, Storage Blob Teilnehmer oder Storage Blob Besitzer. Ebene: Berechtigungen können für das Speicherkonto oder den Container erteilt werden. Die Rolle „Storage Blob-Datenleser“ reicht aus, um Daten in Customer Insights – Data zu lesen und zu erfassen. Allerdings ist die Rolle „Storage Blob-Datenmitwirkender“ oder „-besitzer“ erforderlich, um die Manifestdateien über die Datenverbindungsoberfläche zu bearbeiten.
Customer Insights Dienstprinzipal - Verwenden von Azure Data Lake Storage als Datenquelle	Option 1 Rolle: Storage Blob-Datenleser, Storage Blob-Datenmitwirkender oder Storage Blob-Datenbesitzer. Ebene: Berechtigungen sollten für das Speicherkonto erteilt werden. Option 2 (ohne den Dienstprinzipalzugriff auf das Speicherkonto freizugeben) Rolle 1: Storage Blob-Datenleser, Storage Blob Datenteilnehmer oder Storage Blob Datenbesitzer. Ebene: Berechtigungen sollten für den Container erteilt werden. Rolle 2: Speicherblob-Datendelegator. Ebene: Berechtigungen sollten für das Speicherkonto erteilt werden.
Customer Insights Dienstprinzipal - Azure Data Lake Storage als Ausgang oder Ziel verwenden	Option 1 Rolle: Storage Blob-Mitwirkender oder Storage Blob Besitzer. Ebene: Berechtigungen sollten für das Speicherkonto erteilt werden. Option 2 (ohne den Dienstprinzipalzugriff auf das Speicherkonto freizugeben) Rolle: Storage Blob-Mitwirkender oder Storage Blob Besitzer. Ebene: Berechtigungen sollten für den Container erteilt werden. Rolle 2: Speicherblob-Datendelegator. Ebene: Berechtigungen sollten für das Speicherkonto erteilt werden.

1. Gehen Sie zum Azure-Admin-Portal und melden Sie sich bei Ihrer Organisation an.

2. Öffnen Sie das Speicherkonto, zu dem der Dienstprinzipal Zugriff haben soll.

3. Wählen Sie im linken Navigationsbereich Zugriffssteuerung (IAM) und dann Hinzufügen>Rollenzuweisung hinzufügen aus.

   

4. Im Bereich Rollenzuweisung hinzufügen legen Sie die folgenden Eigenschaften fest:

   • Rolle: Storage Blob-Datenleser, Storage Blob Mitbesitzer oder Storage Blob Besitzer basierend auf Anmeldeinfromationen, die oben aufgeführt sind.
   • Weisen Sie den Zugriff zu: Benutzer, Gruppe oder Dienstprinzipal
   • Wählen Sie Mitglieder: Dynamics 365 KI für Customer Insights (das Dienstprinzipal, das Sie zuvor in diesem Verfahren gesucht haben)

5. Wählen Sie Überprüfen + zuweisen.

Es kann bis zu 15 Minuten dauern, bis die Änderungen propagiert werden.

Geben Sie die Azure-Ressourcen-ID oder die Details des Azure-Abonnements in den Anhang des Speicherkontos für Customer Insights – Data ein

Hängen Sie ein Data Lake Storage-Konto in Customer Insights - Data an, um Ausgabedaten zu speichern oder als Datenquelle zu nutzen. Zwischen einem ressourcenbasierten oder einem abonnementbasierten Ansatz wählen und wie folgt vorgehen.

Ressourcen-basierte Speicherkonto-Verbindung

1. Gehen Sie zum Azure Admin-Portal, melden Sie sich bei Ihrem Abonnement an und öffnen Sie das Speicherkonto.

2. Gehen Sie im linken Bereich zu Einstellungen>Endpunkte.

3. Kopieren Sie den Wert der Ressourcen-ID des Speicherkontos.

4. Fügen Sie in Customer Insights - Data die Ressourcen-ID in das Ressourcenfeld ein, das auf dem Bildschirm für die Verbindung zum Speicherkonto angezeigt wird.

   

5. Fahren Sie mit den übrigen Schritten fort, um das Speicherkonto anzuhängen.

Abonnement-basierte Speicherkontoverbindung

1. Gehen Sie zum Azure Admin-Portal, melden Sie sich bei Ihrem Abonnement an und öffnen Sie das Speicherkonto.

2. Gehen Sie im linken Bereich zu Einstellungen>Eigenschaften.

3. Überprüfen Sie das Abonnement, die Ressourcengruppe und den Namen des Speicherkontos, um sicherzustellen, dass Sie die richtigen Werte in Customer Insights - Data auswählen.

4. Wählen Sie in Customer Insights - Data beim Anhängen des Speicherkontos die Werte für die entsprechenden Felder.

5. Fahren Sie mit den übrigen Schritten fort, um das Speicherkonto anzuhängen.