Azuren hallittujen tunnistetietojen käyttö Azure Data Lake Storagen kanssa

Azure Data Lake Storage sisältää kerroksittaisen suojausmallin. Tämän mallin avulla voit suojata ja hallita käyttöoikeustasoja, joita sovellukset ja yritysympäristöt vaativat käytettyjen verkkojen tyyppien ja alijoukkojen perusteella. Kun verkkosääntöjä on määritetty, vain sovellukset, jotka pyytävät tietoja tietyn verkkojoukon tai määritetyn Azure-resurssijoukon kautta, voivat käyttää tallennustilatiliä. Voit rajoittaa tallennustilatilin käyttöoikeudet pyyntöihin, jotka ovat peräisin määritetyistä IP-osoitteista, IP-alueilta, Azure-näennäisverkon (VNet) aliverkoista tai joidenkin Azure-palveluiden resurssiesiintymistä.

Azure:n hallitut käyttäjätiedot, jotka tunnettiin aiemmin nimellä Managed Service Identity (MSI), auttavat salaisuuksien hallinnassa. Azure-ominaisuuksia käyttävät Microsoft Dataverse -asiakkaat luovat hallitut tunnistetiedot (kuuluu yrityskäytännön luontiin), joita voidaan käyttää yhden tai useamman Dataverse-ympäristön yhteydessä. Näitä vuokraajassa valmisteltuja hallittuja tunnistetietoja käytetään sitten Dataversessä Azure Data Lakesi käyttämiseen.

Hallittuja tunnistetietoja käytettäessä tallennustilatilin käyttöoikeudet rajoitetaan pyyntöihin, jotka ovat peräisin vuokraajaan yhdistetystä Dataverse-ympäristöstä. Kun Dataverse muodostaa yhteyden tallennustilaan puolestasi, se sisältää ylimääräisiä kontekstitietoja sen todistamista varten, että pyyntö on peräisin suojatusta ja luotetusta ympäristöstä. Tämä sallii tallennustilan myöntää Dataverselle käyttöoikeudet tallennustilatiliin. Hallittuja tunnistetietoja käytetään kontekstitietojen allekirjoittamiseen luottamuksen vahvistamiseksi. Tämä lisää sovellustason suojauksen Azuren Azure-palvelujen välisiä yhteyksiä varten tarjoaman verkko- ja infrastruktuurisuojauksen lisäksi.

Ennen aloittamista

• Azure CLI on pakollinen paikallisella koneella. Lataa ja asenna
• Tarvitset nämä kaksi PowerShell-moduulia. Jos sinulla ei ole niitä, avaa PowerShell ja suorita nämä komennot:
  • Azure Az PowerShell moduuli: Install-Module -Name Az
  • Azure Az.Resources PowerShell moduuli: Install-Module -Name Az.Resources
  • Power Platform Admin PowerShell -moduuli: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Siirry tähän pakattuun kansiotiedostoon GitHubissa. Valitse sitten Lataa ladataksesi sen. Pura pakattu kansiotiedosto tietokoneelle sijainnissa, jossa voit suorittaa PowerShell-komentoja. Kaikki pakatusta kansiosta puretut tiedostot ja kansiot on säilytettävä alkuperäisessä sijainnissaan.
• Suosittelemme uuden tallennustilasäilön luomista samaan Azure-resurssiryhmään tämän ominaisuuden käyttöönottoa varten.

Ota yrityskäytäntö käyttöön valitussa Azure-tilauksessa

Tärkeää

Sinulla on oltava Azure tilauksen omistajaroolin käyttöoikeus, jotta voit suorittaa tämän tehtävän. Hanki Azure-tilaustunnuksesi Azure-resurssiryhmän yleiskatsaussivulta.

1. Avaa Azure CLI ja suorita nimellä Järjestelmänvalvoja ja kirjaudu Azure-tilaukseesi komennolla: az login Lisätietoja: kirjaudu sisään Azure CLI: llä
2. (Valinnainen) Jos sinulla on useita Azure-tilauksia, muista päivittää oletustilauksesi suorittamalla Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } .
3. Laajenna pakattu kansio, jonka latasit osana Ennen tämän ominaisuuden aloittamista sijaintiin, jossa voit suorittaa PowerShell.
4. Jos haluat ottaa yrityskäytännön käyttöön valitulle Azure-tilaukselle, suorita PowerShell-komentosarja ./SetupSubscriptionForPowerPlatform.ps1.
   • Anna Azure-tilauksen tunnus.

Luo yrityskäytäntö

Tärkeää

Sinulla on oltava Azure resurssiryhmän omistajaroolin käyttöoikeus, jotta voit suorittaa tämän tehtävän. Hanki Azure-tilaustunnus , sijainti ja resurssiryhmän nimi Azure-resurssiryhmän yleiskatsaussivulta.

1. Luo yrityskäytäntö. Suorita PowerShell komentosarja ./CreateIdentityEnterprisePolicy.ps1

   • Anna Azure-tilauksen tunnus.
   • Anna Azure-resurssiryhmän nimi.
   • Anna ensisijainen yrityskäytännön nimi.
   • Anna Azure-resurssiryhmän sijainti.

2. Tallenna ResourceId-tunnuksen kopio käytännön luonnin jälkeen.

Muistiinpano

Seuraavat ovat kelvolliset sijaintisyötteet , joita käytäntöjen luonnissa tuetaan. Valitse sopivin sijainti.

Yrityskäytännössä käytettävissä olevat sijainnit

Yhdysvallat EUAP

Yhdysvallat

Etelä-Afrikka

Yhdistynyt kuningaskunta

Australia

Etelä-Korea

Japani

Intia

Ranska

Eurooppa

Aasia

Norja

saksa

Sveitsi

Kanada

Brasilia

UAE

Singapore

Lukukäyttöoikeuksien myöntäminen yrityskäytännölle Azuren kautta

Dynamics 365 järjestelmänvalvojat ja Power Platform järjestelmänvalvojat voivat käyttää Power Platform hallintakeskusta ympäristöjen määrittämiseen yrityskäytäntöön. Yrityskäytäntöjen käyttäminen edellyttää, että Azure Key vault -järjestelmänvalvojan jäsenyys myönnetään Lukija rooli Dynamics 365- tai Power Platform järjestelmänvalvojalle. Kun Lukija-rooli on myönnetty, Dynamics 365 tai Power Platform järjestelmänvalvojat näkevät yrityksen käytännöt Power Platform hallintakeskuksessa.

Vain Dynamics 365:n ja Power Platformin ja järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä ympäristön käytäntöön. Muut Dynamics 365:n ja Power Platformin järjestelmänvalvojat saattava kyetä näkemään ympäristökäytännön, mutta heillä näyttöön tulee virhe, kun he yrittävät lisätä ympäristön.

Tärkeää

Sinulla on oltava - Microsoft.Authorization/roleAssignments/write käyttöoikeudet, kuten Käyttäjän käyttöoikeudet Järjestelmänvalvoja tai Omistaja , jotta voit suorittaa tämän tehtävän.

1. Kirjaudu Azure-portaaliin.
2. Hanki Dynamics 365 Power Platform admin-käyttäjän ObjectID.
   1. Siirry Käyttäjät-alueelle .
   2. Avaa Dynamics 365:n tai Power Platformin järjestelmänvalvojakäyttäjä.
   3. Kopioi käyttäjän yleiskatsaussivulla ObjectID.
3. Hanki yrityskäytäntöjen tunnus:
   1. Siirry Azure Resource Graph Exploreriin.
   2. Suorita tämä kysely: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Vieritä tulossivun oikealle puolelle ja valitse Näytä tiedot -linkki.
   4. Kopioi tunnus Tiedot-sivulla .
4. Avaa Azure CLI ja suorita seuraava komento korvaamalla käyttäjän <objId> ObjectID-tunnuksella ja <EP Resource Id> Enterprise Policy ID-tunnuksella.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Yhdistä yrityskäytäntö Dataverse-ympäristöön

Tärkeää

Sinulla on oltava Järjestelmänvalvoja Power Platform tai Dynamics 365 Järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän. Sinulla on Lukija oltava yrityspolitiikan rooli tämän tehtävän suorittamiseksi.

1. Hanki Dataverse-ympäristön tunnus.
   1. Power Platform Kirjaudu hallintakeskukseen.
   2. Valitse Ympäristöt ja avaa ympäristö.
   3. Kopioi Tiedot-osassa ympäristötunnus.
   4. Voit linkittää Dataverse ympäristöön suorittamalla tämän PowerShell-komentosarjan: ./NewIdentity.ps1
   5. Anna Dataverse-ympäristön tunnus.
   6. Anna resourceId.
      StatusCode = 202 tarkoittaa, että linkin luominen onnistui.
2. Power Platform Kirjaudu hallintakeskukseen.
3. Valitse Ympäristöt ja avaa sitten aiemmin määrittämäsi ympäristö.
4. Valitse Viimeisimmät toiminnot -alueella Koko historia vahvistaaksesi uuden käyttäjätiedon yhteyden.

Määritä verkon käyttöoikeudet Azure Data Lake Storage Gen2:een

Tärkeää

Sinulla on oltava Gen2-omistajan Azure Data Lake Storage rooli, jotta voit suorittaa tämän tehtävän.

1. Siirry Azure-portaaliin.

2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty tallennustilatili.

3. Valitse vasemmassa siirtymisruudussa Verkkoyhteydet. Valitse sitten Palomuurit ja virtuaaliverkot -välilehdessä seuraavat asetukset:

   1. Käytössä valituista virtuaaliverkoista ja IP-osoitteista.
   2. Valitse Resurssi-esiintymät-kohdassa Salli Azure luotettujen palveluiden luettelon käyttää tätä tallennustiliä

4. Valitse Tallenna.

Määritä verkon käyttöoikeudet Azure Synapse Workspaceen

Tärkeää

Sinulla on oltava Azure Synapse Järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän.

1. Siirry Azure-portaaliin.
2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty Azure Synapse Workspace.
3. Valitse vasemmassa siirtymisruudussa Verkkoyhteydet.
4. Valitse Salli Azure palveluiden ja resurssien käyttää tätä työtilaa.
5. Jos kaikille IP-alueille on luotu IP-palomuurisääntöjä , rajoita julkisen verkon käyttöä poistamalla ne.
6. Lisää uusi IP-palomuurisääntö asiakkaan IP-osoitteen perusteella.
7. Valitse Tallenna , kun olet valmis. Lisätietoja: Azure Synapse Analytics IP-palomuurisäännöt

Uuden Azure Synapse Link for Dataversen luominen hallittujen tunnistetietojen avulla

Tärkeää

Dataverse: Sinulla on oltava Dataverse järjestelmänvalvojan käyttöoikeusrooli. Lisäksi taulukoissa, jotka haluat viedä Azure Synapse Linkin kautta, on oltava käytössä Jäljitä muutokset -ominaisuus. Lisätietoja: Lisäasetukset

Azure Data Lake Storage Gen2: Tarvitaan Azure Data Lake Storage Gen2 -tili sekä Omistaja- ja Säilön BLOB-tietojen osallistuja -roolit. Tallennustilisi on otettava Hierarkkinen nimitila käyttöön sekä alkuasetuksissa että deltasynkronoinnissa. Tallennustilin avaimen käyttöoikeuden salliminen vaaditaan vain alkuasetusten yhteydessä.

Synapse-työtila: sinulla on oltava Synapse-työtila ja Synapse-järjestelmänvalvojan käyttöoikeusrooli Synapse Studiossa. Synapse-työtilan on oltava samalla alueella kuin Azure Data Lake Storage Gen2 -tilisi. Tallennustili on lisättävä linkitettynä palveluna Synapse Studioon. Jos haluat luoda Synapse-työtilan, siirry kohtaan Synapse-työtilan luominen.

Kun luot linkin, Azure Synapse Link for Dataverse saa tietoja linkitettynä olevasta yrityskäytännöstä Dataverse-ympäristössä ja tallentaa sitten tunnistetietojen asiakasohjelman salasanan URL-osoitteen välimuistiin Azureen yhdistämistä varten.

1. Kirjaudu sisään Power Apps ja valitse ympäristösi.
2. Valitse Azure Synapse Link vasemmassa siirtymisruudussa ja valitse sitten + Uusi linkki. Jos nimikettä ei ole sivupaneelissa, valitse ... Lisää ja valitse sitten haluamasi nimike.
3. Täytä asianmukaiset kentät käyttötarkoituksen mukaan. Valitse Tilaus, Resurssiryhmä ja Tallennustili. Jos haluat muodostaa yhteyden Dataverse Synapse-työtilaan, valitse Yhdistä työtilaasi Azure Synapse -vaihtoehto. Valitse Delta Lake -tietojen muuntamiseksi Spark-pooli.
4. Valitse Valitse Yrityskäytäntö, jossa on hallitut palvelutunnistetiedot ja valitse sitten Seuraava.
5. Lisää vietävät taulukot ja valitse sitten Tallenna.

Hallittujen tunnistetietojen käyttöönotto olemassa olevaa Azure Synapse Link -profiilia varten

Muistiinpano

Jotta Käytä hallittuja käyttäjätietoja -komento olisi käytettävissä Power Apps, sinun on viimeisteltävä yllä olevat määritykset, jotta voit yhdistää yrityskäytännön ympäristöösi Dataverse . Lisätietoja: Yrityskäytännön Dataverse yhdistäminen ympäristöön

1. Siirry olemassa olevaan Synapse Link -profiiliin Power Appsissa (make.powerapps.com).
2. Valitse Käytä hallittuja käyttäjätietoja ja vahvista sitten.

Vianmääritys

Jos saat 403-virheitä linkin luonnin aikana:

• Hallitut tunnistetiedot tarvitsevat enemmän aikaa tilapäisten oikeuksien myöntämiseen ensimmäisen synkronoinnin yhteydessä. Anna synkronoinnille aikaa ja kokeile toimintoa uudelleen myöhemmin.
• Varmista, että linkitetyssä tallennustilassa ei ole aiemmin luotua Dataverse säilöä (dataverse-environmentName-organizationUniqueName) samasta ympäristöstä.
• Voit tunnistaa linkitetyn yrityskäytännön suorittamalla policyArmId PowerShell-komentosarjan ./GetIdentityEnterprisePolicyforEnvironment.ps1 , jossa on Azure-tilaustunnus ja resurssiryhmän nimi.
• Voit poistaa yrityskäytännön linkityksen suorittamalla PowerShell-komentosarjan ./RevertIdentity.ps1 , jossa on Dataverse ympäristötunnus ja policyArmId.
• Voit poistaa yrityskäytännön suorittamalla PowerShell-komentosarjan .\RemoveIdentityEnterprisePolicy.ps1 policyArmId-tunnuksella.

Tunnettu rajoitus

Vain yksi yrityskäytäntö voi muodostaa yhteyden Dataverse-ympäristöön samanaikaisesti. Jos haluat luoda useita Azure Synapse Link -linkkejä, joiss on käytössä hallittu tunnistetieto, varmista, että kaikki linkitetyt Azure-resurssit ovat saman resurssiryhmän alla.

Katso myös

Azure Synapse Link for Dataversen kuvaus