Use identidades administradas para Azure con su Azure Data Lake Storage

Azure Data Lake Storage proporciona un modelo de seguridad en capas. Este modelo le permite proteger y controlar el nivel de acceso a sus cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, según el tipo y el subconjunto de redes o recursos utilizados. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos a través del conjunto de redes especificado o del conjunto de recursos de Azure especificado pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su cuenta de almacenamiento a solicitudes que se originen en direcciones IP específicas, rangos de IP, subredes en una red virtual de Azure (VNet) o instancias de recursos de algunos servicios de Azure.

Las identidades administradas para Azure, anteriormente conocidas como Managed Service Identity (MSI), ayudan con la administración de secretos. Los clientes de Microsoft Dataverse que usan las capacidades de Azure crean una identidad administrada (parte de la creación de políticas empresariales) que se puede usar para uno o más entornos de Dataverse. Esta identidad administrada que se aprovisionará en su arrendatario luego la usa Dataverse para acceder a su Azure Data Lake.

Con las identidades administradas, el acceso a su cuenta de almacenamiento está restringido a las solicitudes que se originan en el entorno Dataverse asociado con su inquilino. Cuando Dataverse se conecta al almacenamiento en su nombre, incluye información de contexto adicional para demostrar que la solicitud se origina en un entorno seguro y confiable. Esto permite que el almacenamiento conceda acceso a Dataverse a su cuenta de almacenamiento. Las identidades administradas se utilizan para firmar la información de contexto a fin de establecer la confianza. Esto agrega seguridad a nivel de aplicación además de la seguridad de red e infraestructura proporcionada por Azure para las conexiones entre los servicios de Azure.

Antes de comenzar

• Se requiere la CLI de Azure en su máquina local. Descargar e instalar
• Necesita estos dos módulos de PowerShell. Si no los tiene, abra PowerShell y ejecute estos comandos:
  • Módulo Azure Az PowerShell: Install-Module -Name Az
  • Módulo de PowerShell de Azure Az.Resources: Install-Module -Name Az.Resources
  • Power Platform Módulo de PowerShell de administración: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Vaya a este archivo de carpeta comprimida en GitHub . Luego, haz clic en Seleccionar Descargar para descargarlo. Extraiga el archivo de la carpeta comprimida en una computadora en una ubicación donde pueda ejecutar los comandos de PowerShell. Todos los archivos y carpetas extraídos de una carpeta comprimida deben conservarse en su ubicación original.
• Le recomendamos que cree un nuevo contenedor de almacenamiento en el mismo grupo de recursos de Azure para incorporar esta función.

Habilite la directiva empresarial para la suscripción de Azure seleccionada

Importante

Debe tener acceso al rol de Propietario de suscripción de Azure para completar esto tarea. Obtenga su ID de suscripción de Azure en la página de descripción general del grupo de recursos de Azure.

1. Abra la CLI de Azure y ejecútela como Administrador e inicie sesión en su suscripción de Azure con el comando: az login Más información: inicie sesión con la CLI de Azure
2. (Opcional) Si tiene varias suscripciones de Azure, asegúrese de ejecutar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para actualizar su suscripción predeterminada.
3. Expande la carpeta comprimida que descargaste como parte de Antes de comenzar para esta función a una ubicación donde puedas ejecutar PowerShell.
4. Para habilitar la política empresarial para la suscripción de Azure seleccionada, ejecute el script de PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
   • Proporcione la Id. de suscripción de Azure.

Crear una directiva empresarial

Importante

Debe tener acceso al rol de Propietario del grupo de recursos de Azure para completar esto tarea. Obtenga su ID de suscripción de Azure, su ubicación y el nombre del grupo de recursosde Azure desde la página de descripción general del grupo de recursos de Azure.

1. Crear la directiva empresarial. Ejecutar script de PowerShell ./CreateIdentityEnterprisePolicy.ps1

   • Proporcione la Id. de suscripción de Azure.
   • Proporcione el nombre del grupo de recursos de Azure.
   • Proporcione el nombre de directiva empresarial preferido.
   • Proporcione la ubicación del grupo de recursos de Azure.

2. Guarde la copia de ResourceId después de la creación de la política.

Nota

Las siguientes son las entradas de ubicación válidas admitidas para la creación de políticas. Seleccione la ubicación que mejor se adecúe a usted.

Ubicaciones disponibles para la directiva empresarial

Estados Unidos EUAP

Estados Unidos

Sudáfrica

Reino Unido

Australia

Corea del Sur

Japón

India

Francia

Europa

Asia

Noruega

Alemania

Suiza

Canadá

Brasil

EAU

Singapur

Otorgue acceso de lector a la directiva empresarial a través de Azure

Los administradores de Dynamics 365 y los administradores pueden acceder a Centro de administración para asignar entornos a la política empresarial. Power Platform Power Platform Para acceder a las políticas empresariales, se requiere la membresía de administrador de Azure Key Vault para otorgar el rol Lector al administrador de Dynamics 365 o a los administradores. Una vez que se otorga el rol Lector, los administradores de Dynamics 365 o de los administradores verán las políticas empresariales en los Centro de administración. Power Platform Power Platform Power Platform

Solo los administradores de Power Platform y de Dynamics 365 a quienes se les otorgó el rol Lector para la directiva empresarial pueden "agregar un entorno" a la directiva. Es posible que otros administradores de PowerPlatform o de Dynamics 365 puedan ver la directiva empresarial, pero recibirán un error cuando intenten Agregar un entorno.

Importante

Debe tener permisos Microsoft.Authorization/roleAssignments/write , como Acceso de usuario Administrador o Propietario para completar este tarea.

1. Inicie sesión en Azure portal.
2. Obtenga el Power Platform ObjectID del usuario administrador de Dynamics 365.
   1. Vaya al área Usuarios .
   2. Abrir el usuario administrador de Dynamics 365 o Power Platform.
   3. En la página de descripción general del usuario, copie el ObjectID.
3. Obtener el ID de políticas empresariales:
   1. Vaya al recurso de Azure Explorador de gráficos .
   2. Ejecute esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Desplácese hacia la derecha de la página de resultados y Seleccionar Ver detalles vincular.
   4. En la página Detalles , copie el ID.
4. Abra la CLI de Azure y ejecute el siguiente comando, reemplazando <objId> con el ObjectID del usuario y <EP Resource Id> con el ID de la política empresarial.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Conectar la directiva empresarial al entorno Dataverse

Importante

Debes tener el rol Power Platform Administrador o Dynamics 365 Administrador para completar este tarea. Debe tener el rol Lector para la política empresarial para completar este tarea.

1. Obtener el ID del entorno Dataverse.
   1. Inicie sesión en Power Platform Centro de administración.
   2. Seleccionar Entornos y luego abra su ambiente.
   3. En la sección Detalles , copie el ID de ambiente.
   4. Para vincular a ambiente, ejecute este script de PowerShell: Dataverse ./NewIdentity.ps1
   5. Proporcione el ID del entorno Dataverse.
   6. Proporcione el ResourceId.
      StatusCode = 202 indica que vincular se creó correctamente.
2. Inicie sesión en Power Platform Centro de administración.
3. Seleccionar Entornos y luego abra el ambiente que especificó anteriormente.
4. En el área de Operaciones recientes , Seleccionar Historial completo para validar la conexión de la nueva identidad.

Configurar el acceso a la red para Azure Data Lake Storage Gen2

Importante

Debes tener un rol de Azure Data Lake Storage Propietario Gen2 para completar este tarea.

1. Vaya a Azure Portal.

2. Abra la cuenta de almacenamiento conectada a su perfil Azure Synapse Link for Dataverse.

3. En el panel de navegación izquierdo, Seleccionar Redes. Luego, en la pestaña Firewalls y redes virtuales Seleccionar la siguiente configuración:

   1. Habilitado desde redes virtuales y direcciones IP seleccionadas.
   2. En Instancias de recursos, Seleccionar Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento

4. Seleccione Guardar.

Configurar el acceso a la red para Azure Synapse Workspace

Importante

Debes tener un rol de Azure Synapse Administrador para completar este tarea.

1. Vaya a Azure Portal.
2. Abra el Azure Synapse Workspace conectado a su perfile de Azure Synapse Link for Dataverse.
3. En el panel de navegación izquierdo, Seleccionar Redes.
4. Seleccionar Permitir que los servicios y recursos de Azure accedan a este espacio de trabajo.
5. Si hay reglas de firewall de IP creadas para todo el rango de IP, elimínelas para restringir el acceso a la red pública.
6. Agregue una nueva regla de firewall de IP basada en la dirección IP del cliente.
7. Seleccione Guardar cuando haya terminado. Más información: Azure Synapse Analytics Reglas de firewall de IP

Creación de un nuevo Azure Synapse Link for Dataverse con identidad administrada

Importante

Dataverse:Debes tener el Dataverse sistema Administrador rol de seguridad. Además, las tablas que desea exportar a través de Azure Synapse Link deben tener la propiedad Control de cambios habilitada. Más información: Opciones avanzadas

Azure Data Lake Storage Gen2: debe tener una cuenta Gen2 y acceso al rol de Azure Data Lake Storage Propietario y Datos de blobs de almacenamiento colaborador . Su cuenta de almacenamiento debe habilitar el Espacio de nombres jerárquico tanto para la configuración inicial como para la sincronización delta. Permitir acceso a la clave de la cuenta de almacenamiento es necesario solo para la configuración inicial.

Espacio de trabajo de Synapse: debe tener un espacio de trabajo de Synapse y el acceso de rol Synapse Administrador dentro de Synapse Studio. El área de trabajo de Synapse debe estar en la misma región que su cuenta de Azure Data Lake Storage Gen2. La cuenta de almacenamiento debe agregarse como un servicio vinculado dentro de Synapse Studio. Para crear un espacio de trabajo de Synapse, vaya a Creación de un espacio de trabajo de Synapse.

Cuando crea el vínculo, Azure Synapse Link for Dataverse obtiene detalles sobre la política empresarial actualmente vinculada en el entorno Dataverse y luego almacena en caché la URL secreta del cliente de identidad para conectarse a Azure.

1. Inicia sesión Power Apps y Seleccionar tu ambiente.
2. En el panel de navegación izquierdo, Seleccionar Azure Synapse Link y luego Seleccionar + Nuevo vincular. Si el elemento no está en el panel lateral, Seleccionar …Más y luego Seleccionar el elemento que desea.
3. Complete los campos correspondientes, según la configuración deseada. Seleccionar la Suscripción, el Grupo de recursos y la Cuenta de almacenamiento. Para Conectar Dataverse ir al espacio de trabajo de Synapse, Seleccionar la opción Conectar en su Azure Synapse espacio de trabajo . Para la conversión de datos de Delta Lake, Seleccionar es un grupo de Spark.
4. Seleccionar Seleccionar Política empresarial con identidad de servicio administrado y luego Seleccionar Siguiente.
5. Agregue las tablas que desea exportar y luego haga clic en Seleccionar Guardar.

Habilitar la identidad administrada para un perfil de Azure Synapse Link existente

Nota

Para que el comando Usar identidad administrada esté disponible en Power Apps, debe finalizar la configuración anterior para Conectar la política empresarial para su Dataverse ambiente. Más información: Conectar política empresarial para Dataverse ambiente

1. Vaya a un perfil de Synapse Link existente desde Power Apps (make.powerapps.com).
2. Seleccionar Use identidad administrada y luego confirme.

Solución de problemas

Si recibe errores 403 durante la creación del enlace:

• Las identidades administradas tardan más tiempo en otorgar permisos transitorios durante la sincronización inicial. Espere algo de tiempo y vuelva a intentar la operación más tarde.
• Asegúrese de que el almacenamiento vinculado no tenga el Dataverse container(dataverse-environmentName-organizationUniqueName) existente del mismo ambiente.
• Puede identificar la política empresarial vinculada ejecutando el script de PowerShell con el ID de suscripción de Azure y el nombre del grupo de recursos. policyArmId ./GetIdentityEnterprisePolicyforEnvironment.ps1
• Puede desvincular la política empresarial ejecutando el script de PowerShell ./RevertIdentity.ps1 con el ID ambiente y Dataverse . policyArmId
• Puede eliminar la política empresarial ejecutando el script de PowerShell .\RemoveIdentityEnterprisePolicy.ps1 con policyArmId.

Limitación conocida

Solo una directiva empresarial puede conectarse al entorno de Dataverse simultáneamente. Si necesita crear varios vínculos Azure Synapse Link con la identidad administrada habilitada, asegúrese de que todos los recursos de Azure vinculados estén en el mismo grupo de recursos.

Consulte también

¿Qué es Azure Synapse Link for Dataverse?