Delen via

Gebruik beheerde identiteiten voor Azure met uw Azure Data Lake Storage

  • Artikel

Azure Data Lake Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het toegangsniveau tot uw opslagaccounts beveiligen en beheren dat uw toepassingen en bedrijfsomgevingen vereisen, op basis van het type en de subset van gebruikte netwerken of resources. Wanneer netwerkregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een Azure Virtual Network (VNet) of resource-instanties van bepaalde Azure-services.

Beheerde identiteiten voor Azure, voorheen bekend als Managed Service Identity (MSI), helpen bij het beheer van geheimen. Microsoft Dataverse-klanten die Azure-mogelijkheden gebruiken, maken een beheerde identiteit (onderdeel van het maken van bedrijfsbeleid) die voor een of meer Dataverse-omgevingen kan worden gebruikt. Deze beheerde identiteit die wordt ingericht in uw tenant wordt vervolgens gebruikt door Dataverse om toegang te krijgen tot uw Azure Data Lake.

Met beheerde identiteiten is de toegang tot uw opslagaccount beperkt tot aanvragen die afkomstig zijn van de Dataverse-omgeving die aan uw tenant is gekoppeld. Wanneer Dataverse namens u verbinding maakt met opslag, bevat het aanvullende contextinformatie om te bewijzen dat het verzoek afkomstig is uit een veilige, vertrouwde omgeving. Hierdoor kan opslag Dataverse-toegang tot uw opslagaccount verlenen. Beheerde identiteiten worden gebruikt om de contextinformatie te ondertekenen om vertrouwen tot stand te brengen. Dit voegt beveiliging op applicatieniveau toe naast de netwerk- en infrastructuurbeveiliging die door Azure wordt geboden voor verbindingen tussen Azure-services.

Voordat u begint

  • Azure CLI is vereist op uw lokale computer. Downloaden en installeren
  • U hebt deze twee PowerShell-modules nodig. Als u deze niet hebt, opent u PowerShell en voert u de volgende opdrachten uit:
    • Azure Az PowerShell-module: Install-Module -Name Az
    • Azure Az.Resources PowerShell-module: Install-Module -Name Az.Resources
    • Power Platform beheerder PowerShell-module: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Ga naar dit gecomprimeerde mapbestand op GitHub. Selecteer vervolgens Downloaden om het te downloaden. Pak het gecomprimeerde mapbestand uit op een computer op een locatie waar u PowerShell-opdrachten kunt uitvoeren. Alle bestanden en mappen die uit een gecomprimeerde map worden geëxtraheerd, moeten op hun oorspronkelijke locatie bewaard blijven.
  • We raden u aan een nieuwe opslagcontainer te maken onder dezelfde Azure-resourcegroep om deze functie te integreren.

Bedrijfsbeleid inschakelen voor het geselecteerde Azure-abonnement

Belangrijk

U moet de rol Azure-abonnementseigenaar hebben om deze taak te voltooien. Haal uw Azure abonnements-ID op van de overzichtspagina voor de Azure-resourcegroep.

  1. Open Azure CLI met run as Beheerder en meld u aan bij uw Azure-abonnement met de opdracht: az login Meer informatie: Aanmelden met Azure CLI
  2. (Optioneel) Als u meerdere Azure-abonnementen hebt, moet u Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } uitvoeren om uw standaardabonnement bij te werken.
  3. Vouw de gecomprimeerde map die u hebt gedownload als onderdeel van de Voordat u begint functie uit naar een locatie waar u PowerShell kunt uitvoeren.
  4. Voer het PowerShell-script ./SetupSubscriptionForPowerPlatform.ps1 uit om het ondernemingsbeleid voor het geselecteerde Azure-abonnement in te schakelen.
    • Geef de Azure-abonnements-id op.

Bedrijfsbeleid maken

Belangrijk

U moet de rol eigenaar van de Azure-resourcegroep hebben om deze taak te voltooien. Haal uw Azure abonnements-ID, locatie en resourcegroep naam op van de overzichtspagina voor de Azure-resourcegroep.

  1. Maak het bedrijfsbeleid. PowerShell-script uitvoeren ./CreateIdentityEnterprisePolicy.ps1

    • Geef de Azure-abonnements-id op.
    • Geef de naam van de Azure-resourcegroep op.
    • Geef de gewenste enterprisebeleidsnaam op.
    • Geef de locatie van de Azure-resourcegroep op.

  2. Sla een kopie van de ResourceId op nadat u het beleid hebt gemaakt.

Notitie

Hieronder staan de geldige locatie-invoeren die worden ondersteund voor het maken van beleid. Selecteer de locatie die het meest geschikt voor u is.

Locaties beschikbaar voor het enterprisebeleid

Verenigde Staten EUAP

Verenigde Staten

Zuid-Afrika

VK

Australië

Zuid-Korea

Japan

India

Frankrijk

Europa

Azië

Noorwegen

Duitsland

Zwitserland

Canada

Brazilië

VAE

Singapore

Geef lezer toegang tot het bedrijfsbeleid via Azure

Dynamics 365-beheerders en Power Platform beheerders hebben toegang tot de Beheercentrum om omgevingen toe te wijzen aan het ondernemingsbeleid. Power Platform Voor toegang tot het ondernemingsbeleid is lidmaatschap van Azure Key Vault-beheerder vereist om de rol Lezer aan de Dynamics 365- of Power Platform beheerder toe te kennen. Zodra de rol Lezer is toegekend, zien de Dynamics 365- of Power Platform beheerders het ondernemingsbeleid op de Power Platform Beheercentrum.

Alleen Dynamics 365- en Power Platform-beheerders aan wie de rol van lezer is toegekend aan het bedrijfsbeleid, kunnen omgeving toevoegen aan het beleid. Andere Dynamics 365- en PowerPlatform-beheerders kunnen mogelijk het bedrijfsbeleid bekijken, maar krijgen een foutmelding wanneer ze proberen een omgeving proberen toe te voegen.

Belangrijk

U moet over de volgende machtigingen beschikken, zoals Microsoft.Authorization/roleAssignments/write gebruikerstoegang Beheerder of Eigenaar om deze taak te voltooien.

  1. Meld u aan bij de Azure-portal.
  2. Haal de ObjectID Power Platform van de Dynamics 365 beheerdersgebruiker op.
    1. Ga naar het gedeelte gebruikers .
    2. Open de Dynamics 365- of Power Platform-gebruiker met beheerdersrechten.
    3. Kopieer de ObjectID onder de overzichtspagina voor de gebruiker.
  3. Verkrijg de ID van het ondernemingsbeleid:
    1. Ga naar de Azure Resource Grafiekverkenner.
    2. Voer deze query uit: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Query uitvoeren vanuit Azure Resource Grafiekverkenner
    3. Scrol naar rechts op de resultatenpagina en selecteer de Bekijk details koppelen.
    4. Kopieer de ID op de pagina Details .
  4. Open Azure CLI en voer de volgende opdracht uit, waarbij u <objId> vervangt door de ObjectID van de gebruiker en <EP Resource Id> door de ID van het ondernemingsbeleid.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Koppel het bedrijfsbeleid aan de Dataverse-omgeving

Belangrijk

U moet de Power Platform Beheerder of Dynamics 365 Beheerder rol hebben om deze taak te voltooien. U moet de rol Lezer voor het ondernemingsbeleid hebben om deze taak te voltooien.

  1. Vraag de id van de Dataverse-omgeving op.
    1. Meld je aan bij de Power Platform Beheercentrum.
    2. Selecteer Omgevingen en open vervolgens uw omgeving.
    3. Kopieer de omgeving ID in het gedeelte Details .
    4. Om koppelen naar de Dataverse omgeving te sturen, voer je dit PowerShell-script uit: ./NewIdentity.ps1
    5. Geef de Dataverse-omgevings-id op.
    6. Geef de ResourceId op.
      StatusCode = 202 geeft aan dat koppelen succesvol is aangemaakt.
  2. Meld je aan bij de Power Platform Beheercentrum.
  3. Selecteer Omgevingen en open vervolgens de omgeving die u eerder hebt opgegeven.
  4. Selecteer in het gebied Recente bewerkingen de optie Volledige geschiedenis om de verbinding van de nieuwe identiteit te valideren.

Configureer netwerktoegang tot de Azure Data Lake Storage Gen2

Belangrijk

U moet de rol Azure Data Lake Storage Gen2 Owner hebben om deze taak te voltooien.

  1. Ga naar de Azure-portal.

  2. Open het opslagaccount dat is gekoppeld aan uw Azure Synapse Link for Dataverse-profiel.

  3. Selecteer Netwerken in het linkernavigatiedeelvenster. Selecteer vervolgens op het tabblad Firewalls en virtuele netwerken de volgende instellingen:

    1. Ingeschakeld vanaf geselecteerde virtuele netwerken en IP-adressen.
    2. Selecteer onder Resource-instanties de optie Toestaan dat Azure-services op de lijst met vertrouwde services toegang hebben tot dit opslagaccount

  4. Selecteer Opslaan.

Configureer netwerktoegang tot de Azure Synapse Workspace

Belangrijk

U moet een Azure Synapse Beheerder rol hebben om deze taak te voltooien.

  1. Ga naar de Azure-portal.
  2. Open de Azure Synapse Workspace die is verbonden met uw Azure Synapse Link for Dataverse-profiel.
  3. Selecteer Netwerken in het linkernavigatiedeelvenster.
  4. Selecteer Azure-services en -resources toegang geven tot deze werkruimte.
  5. Als er IP-firewallregels zijn gemaakt voor alle IP-bereiken, verwijdert u deze om de toegang tot het openbare netwerk te beperken. Azure Synapse werkruimte netwerkinstellingen
  6. Voeg een nieuwe IP-firewallregel toe op basis van het IP-adres van de client.
  7. Selecteer Opslaan wanneer Gereed. Meer informatie: Azure Synapse Analytics IP-firewallregels

Belangrijk

Dataverse: Je moet het Dataverse systeem Beheerder beveiligingsrol hebben. Bovendien moeten tabellen die u wilt exporteren via Azure Synapse Link de eigenschap Wijzigingen bijhouden ingeschakeld hebben. Meer informatie: Geavanceerde opties

Azure Data Lake Storage Gen2: U moet een Azure Data Lake Storage Gen2-account en Eigenaar en Storage Blob Data inzender roltoegang hebben. Uw opslagaccount moet hiërarchische naamruimte inschakelen voor zowel de eerste installatie als deltasynchronisatie. toegang tot opslagaccountsleutel toestaan is alleen vereist voor de eerste installatie.

Synapse-werkruimte: u moet een Synapse-werkruimte en de rol Synapse Beheerder toegang hebben binnen Synapse Studio. De Synapse-werkruimte moet zich in dezelfde regio bevinden als uw Azure Data Lake Storage Gen2-account. Het opslagaccount moet worden toegevoegd als een gekoppelde service in de Synapse Studio. Ga naar Een Synapse-werkruimte maken om een Synapse-werkruimte te maken.

Wanneer u de koppeling maakt, krijgt Azure Synapse Link for Dataverse details over het momenteel gekoppelde bedrijfsbeleid onder de Dataverse-omgeving en slaat vervolgens de geheime URL van de identiteitsclient op om verbinding te maken met Azure.

  1. Meld u aan bij Power Apps en selecteer uw omgeving.
  2. Selecteer in het linkernavigatiedeelvenster Azure Synapse Link en selecteer vervolgens + Nieuw koppelen. Als het item niet in het zijpaneel staat, selecteert u …Meer en selecteert u vervolgens het gewenste item.
  3. Vul de juiste velden in, afhankelijk van de gewenste instellingen. Selecteer het Abonnement, de Resourcegroep en het Opslagaccount. Om Verbinden Dataverse aan de Synapse-werkruimte toe te voegen, selecteert u de optie Verbinden aan uw Azure Synapse werkruimte . Selecteer een Spark-pool voor Delta Lake-gegevensconversie.
  4. Selecteer Bedrijfsbeleid met beheerde service-identiteit selecteren en selecteer vervolgens Volgende.
  5. Voeg de tabellen toe die u wilt exporteren en selecteer vervolgens Opslaan.

Notitie

Om de opdracht gebruik beheerde identiteit beschikbaar te maken in Power Apps, moet u de bovenstaande installatie voltooien om het ondernemingsbeleid toe te voegen aan uw Dataverse Verbinden. Meer informatie: Verbinden ondernemingsbeleid naar Dataverse omgeving

  1. Ga naar een bestaand Synapse Link-profiel van Power Apps (make.powerapps.com).
  2. Selecteer Beheerde identiteit gebruiken en bevestig. Gebruik de beheerde identiteitsopdracht in Power Apps

Probleemoplossing

Als u 403-fouten krijgt tijdens het maken van de koppeling:

  • Beheerde identiteiten hebben extra tijd nodig om tijdelijke machtigingen te verlenen tijdens de eerste synchronisatie. Geef het wat tijd en probeer de operatie later opnieuw.
  • Zorg ervoor dat de gekoppelde opslag niet de bestaande Dataverse container(dataverse-environmentName-organizationUniqueName) van dezelfde omgeving heeft.
  • U kunt het gekoppelde ondernemingsbeleid identificeren en policyArmId door het PowerShell-script uit te voeren ./GetIdentityEnterprisePolicyforEnvironment.ps1 met de Azure- abonnements-ID en resourcegroepnaam.
  • U kunt het ondernemingsbeleid ontkoppelen door het PowerShell-script ./RevertIdentity.ps1 uit te voeren met de Dataverse ID omgeving en policyArmId.
  • U kunt het ondernemingsbeleid verwijderen door het PowerShell-script .\RemoveIdentityEnterprisePolicy.ps1 met policyArmId uit te voeren.

Bekende beperking

Slechts één ondernemingsbeleid kan tegelijkertijd verbinding maken met de Dataverse-omgeving. Als u meerdere Azure Synapse Link-koppelingen moet maken terwijl de beheerde identiteit is ingeschakeld, zorg er dan voor dat alle gekoppelde Azure-resources zich onder dezelfde resourcegroep bevinden.

Zie ook

Wat is Azure Synapse Link for Dataverse?