Compartilhar via


Usar identidades gerenciadas para o Azure com seu Azure Data Lake Storage

O Azure Data Lake Storage fornece um modelo de segurança em camadas. Esse modelo permite que você proteja e controle o nível de acesso às suas contas de armazenamento que seus aplicativos e ambientes corporativos exigem, com base no tipo e subconjunto de redes ou recursos usados. Quando as regras de rede são configuradas, somente os aplicativos que solicitam dados pelo conjunto especificado de redes ou por meio do conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento para solicitações originadas de endereços IP especificados, intervalos de IP, sub-redes em uma Rede Virtual do Azure (VNet) ou instâncias de recursos de alguns serviços do Azure.

Identidades gerenciadas para Azure, anteriormente conhecidas como Identidade de Serviço Gerenciada (MSI), ajudam no geranciamento de segredos. Os clientes do Microsoft Dataverse que usam os recursos do Azure criam uma identidade gerenciada (parte da criação da política corporativa) que pode ser usada para um ou mais ambientes do Dataverse. Essa identidade gerenciada que será provisionada em seu locatário é então usada pelo Dataverse para acessar seu Azure Data Lake.

Com identidades gerenciadas, o acesso à sua conta de armazenamento é restrito a solicitações originadas do ambiente do Dataverse associado ao seu locatário. Quando o Dataverse se conecta ao armazenamento em seu nome, ele inclui informações de contexto adicionais para provar que a solicitação se origina de um ambiente seguro e confiável. Isso permite que o armazenamento conceda ao Dataverse acesso à sua conta de armazenamento. Identidades gerenciadas são usadas para assinar as informações de contexto para estabelecer a confiança. Isso adiciona segurança no nível do aplicativo, além da segurança de rede e de infraestrutura fornecida pelo Azure para conexões entre os serviços do Azure.

Antes de começar

  • A CLI do Azure é necessária em sua máquina local. Baixar e instalar
  • Você precisa desses dois módulos do PowerShell. Se você não os tiver, abra PowerShell e execute estes comandos:
    • Módulo do PowerShell do Azure Az: Install-Module -Name Az
    • Módulo do PowerShell Az.Resources do Azure: Install-Module -Name Az.Resources
    • Módulo de administração do PowerShell do Power Platform:Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Vá para este arquivo de pasta compactado no GitHub. Então Select Download para baixá-lo. Extraia o arquivo de pasta compactado em um computador em um local onde você possa executar comandos do PowerShell. Todos os arquivos e pastas extraídos de uma pasta compactada devem ser preservados em seu local original.
  • Recomendamos que você crie um novo contêiner de armazenamento no mesmo grupo de recursos do Azure para integrar esse recurso.

Habilite a política corporativa para a assinatura do Azure selecionada

Importante

Você deve ter Azure acesso à função de Proprietário da assinatura para concluir este tarefa. Obtenha seu Azure ID de assinatura na página de visão geral do grupo de recursos Azure.

  1. Abra a CLI Azure como administrador e faça login na sua assinatura Azure usando o comando: az login Mais informações: faça login com a CLI Azure
  2. (Opcional) Se você tiver várias assinaturas Azure, certifique-se de executar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para atualizar sua assinatura padrão.
  3. Expanda a pasta compactada que você baixou como parte do Antes de começar para este recurso para um local onde você possa executar PowerShell.
  4. Para habilitar a política empresarial para a assinatura Azure selecionada, execute o script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Forneça a ID da assinatura do Azure.

Criar uma política corporativa

Importante

Você deve ter Azure acesso à função Proprietário do grupo de recursos para concluir este tarefa. Obtenha seu Azure ID de assinatura, Local e Nome do grupo de recursos na página de visão geral do grupo de recursos Azure.

  1. Crie a política corporativa. Execute o script PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Forneça a ID da assinatura do Azure.
    • Forneça o nome do grupo de recursos do Azure.
    • Forneça o nome da política corporativa preferida.
    • Forneça o local do nome do grupo de recursos do Azure.
  2. Salve a cópia do ResourceId após a criação da política.

Observação

A seguir estão as entradas de localização válidas com suporte para criação de políticas. Selecione o local que seja mais apropriado para você.

Locais disponíveis para a política corporativa

Estados Unidos EUAP

Estados Unidos

África do Sul

Reino Unido

Austrália

Coreia do Sul

Japão

Índia

França

Europa

Ásia

Noruega

Alemanha

Suíça

Canadá

Brasil

EAU

Cidade de Singapura

Conceder acesso de leitor à política corporativa via Azure

Os administradores Dynamics 365 e Power Platform administradores podem acessar o Power Platform centro de administração para atribuir ambientes à política corporativa. Para acessar as políticas corporativas, a associação de administrador do Key Vault Azure é necessária para conceder a função de Leitor ao Dynamics 365 ou Power Platform administrador. Depois que a função de leitor for concedida, o Dynamics 365 ou Power Platform administradores verão as políticas corporativas no Power Platform centro de administração.

Somente os administradores do Dynamics 365 e do Power Platform que receberam a função de leitor para a política corporativa poderão 'adicionar um ambiente' à política. Outros administradores do Dynamics 365 ou do PowerPlatform talvez possam exibir a política corporativa, mas receberão uma mensagem de erro ao tentar adicionar um ambiente.

Importante

Você deve ter - Microsoft.Authorization/roleAssignments/write permissões, como Administrador de acesso de usuário ou Proprietário para concluir este tarefa.

  1. Entre no portal do Azure.
  2. Obtenha o ObjectID Power Platform do usuário administrador Dynamics 365 .
    1. Vá para a área Usuários .
    2. Abrir o Dynamics 365 ou o centro de administração do Power Platform.
    3. Na página de visão geral do usuário, copie o ObjectID.
  3. Obtenha o ID das políticas corporativas:
    1. Vá para Azure Resource Explorador de gráficos.
    2. Execute esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Executar consulta do recurso Azure Explorador de gráficos
    3. Role para a direita da página de resultados e Select o Ver detalhes vincular.
    4. Na página Detalhes , copie o ID.
  4. Abra a CLI Azure e execute o comando a seguir, substituindo o <objId> pelo ObjectID do usuário e o <EP Resource Id> pelo ID da política corporativa.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Conectar a política corporativa ao ambiente do Dataverse

Importante

Você deve ter a função de Power Platform administrador ou administrador Dynamics 365 para concluir este tarefa. Você deve ter a função Leitor para a política corporativa para concluir este tarefa.

  1. Obtenha a ID do ambiente do Dataverse.
    1. Faça login no Power Platform centro de administração.
    2. Select Ambientes e, em seguida, abra seu ambiente.
    3. Na seção Detalhes , copie o ID do ambiente.
    4. Para vincular para o Dataverse ambiente, execute este script PowerShell: ./NewIdentity.ps1
    5. Forneça a ID do ambiente do Dataverse.
    6. Forneça o ResourceId.
      StatusCode = 202 indica que vincular foi criado com sucesso.
  2. Faça login no Power Platform centro de administração.
  3. Select Ambientes e, em seguida, abra o ambiente especificado anteriormente.
  4. Na área Operações recentes , Select Histórico completo para validar a conexão da nova identidade.

Configurar o acesso à rede para o Azure Data Lake Storage Gen2

Importante

Você deve ter uma função de Azure Data Lake Storage Proprietário Gen2 para concluir este tarefa.

  1. Acesse o Portal do Azure.

  2. Abra a conta de armazenamento conectada ao seu perfil do Azure Synapse Link for Dataverse.

  3. No painel de navegação esquerdo, Select Rede. Em seguida, na aba Firewalls e redes virtuais Select as seguintes configurações:

    1. Ativado a partir de redes virtuais e endereços IP selecionados.
    2. Em Instâncias de recursos, serviços Select Allow Azure na lista de serviços confiáveis para acessar esta conta de armazenamento
  4. Selecione Salvar.

Configurar o acesso à rede para o Azure Synapse Workspace

Importante

Você deve ter uma função de Azure administrador do Synapse para concluir este tarefa.

  1. Acesse o Portal do Azure.
  2. Abra o Azure Synapse workspace conectado ao seu perfil do Azure Synapse Link for Dataverse.
  3. No painel de navegação esquerdo, Select Rede.
  4. Serviços e recursos Select Allow Azure para acessar este espaço de trabalho.
  5. Se There forem regras de firewall de IP criadas para todo o intervalo de IP, exclua-as para restringir o acesso à rede pública. Azure Synapse configurações de rede do espaço de trabalho
  6. Adicione uma nova regra de firewall de IP com base no endereço IP do cliente.
  7. Selecione Salvar quando terminar. Mais informações: Azure Synapse Analytics Regras de firewall de IP

Importante

Dataverse: você deve ter o direito de acesso administrador do sistema no Dataverse. Além disso, as tabelas pelas quais você deseja exportar o Azure Synapse Link devem ter a propriedade Controlar alterações habilitada. Mais Informações: Opções avançadas

Azure Data Lake Storage Gen2: você deve ter uma conta do Azure Data Lake Storage Gen2 e o acesso de funções Proprietário e Colaborador de Dados do Blob de Armazenamento. Sua conta de armazenamento deve habilitar namespace hierárquico para a configuração inicial e a sincronização delta. Permitir acesso à chave da conta de armazenamento é obrigatório apenas para a configuração inicial.

Workspace do Synapse: você deve ter um workspace do Synapse e o acesso da função Administrador do Synapse no Synapse Studio. O workspace do Synapse deve estar na mesma região da sua conta do Azure Data Lake Storage Gen2. A conta de armazenamento deve ser adicionada como um serviço vinculado no Synapse Studio. Para criar um workspace do Synapse, vá para Criar um workspace do Synapse.

Quando você cria o link, o Azure Synapse Link for Dataverse obtém detalhes sobre a política corporativa atualmente vinculada no ambiente do Dataverse e, em seguida, armazena em cache a URL do segredo do cliente de identidade para se conectar ao Azure.

  1. Faça login em Power Apps e Select seu ambiente.
  2. No painel de navegação esquerdo, Select Azure Synapse Link e, em seguida, Select + Novo vincular. Se o item não estiver no painel lateral, selecione …Mais e selecione o item desejado.
  3. Preencha os campos apropriados, de acordo com a configuração pretendida. Selecione a Assinatura, o Grupo de recursos e a Conta de armazenamento. Para conectar-se Dataverse ao espaço de trabalho do Synapse, Select a opção Conectar-se ao seu Azure Synapse espaço de trabalho . Para conversão de dados do Delta Lake Select um pool Spark.
  4. Select Select Política corporativa com identidade de serviço gerenciado e, em seguida, Select Avançar.
  5. Adicione as tabelas que deseja exportar e selecione Salvar.

Observação

Para tornar o comando Usar identidade gerenciada disponível no Power Apps, você precisa concluir a configuração acima para conectar a política corporativa ao seu Dataverse ambiente. Mais informações: Conecte a política empresarial ao Dataverse ambiente

  1. Acesse um perfil existente do Synapse Link no Power Apps (make.powerapps.com).
  2. Select Use identidade gerenciada e depois confirme. Use o comando de identidade gerenciada em Power Apps

Solução de Problemas

Se você receber erros 403 durante a criação do link:

  • As identidades gerenciadas levam mais tempo para conceder permissão transitória durante a sincronização inicial. Aguarde um pouco e tente a operação mais tarde.
  • Certifique-se de que o armazenamento vinculado não tenha o Dataverse container(dataverse-environmentName-organizationUniqueName) existente do mesmo ambiente.
  • Você pode identificar a política corporativa vinculada policyArmId executando o script PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 com o ID da assinatura e o nome do grupo de recursos Azure.
  • Você pode desvincular a política corporativa executando o script PowerShell ./RevertIdentity.ps1 com o Dataverse ID do ambiente e policyArmId.
  • Você pode remover a política corporativa executando o script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 com policyArmId.

Limitação conhecida

Somente uma política corporativa pode se conectar ao ambiente do Dataverse simultaneamente. Se você precisar criar vários links do Azure Synapse Link com a identidade gerenciada habilitada, verifique se todos os recursos do Azure vinculados estão no mesmo grupo de recursos.

Ver também

O que é o Azure Synapse Link for Dataverse?