Dela via

Använd hanterade identiteter för Azure med din Azure Data Lake Storage

  • Artikel

Azure Data Lake Storage innehåller en säkerhetsmodell i flera skikt. Med den här modellen kan du säkerställa och kontrollera åtkomstnivån för dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och deluppsättning av nätverk eller resurser som används. När nätverksregler konfigureras kan endast program som begär data över den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser få åtkomst till ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till förfrågningar som kommer från angivna IP-adresser, IP-intervaller, undernät i en Azure Virtual Network (VNet) eller resursinstanser av vissa Azure-tjänster.

Hanterade identiteter för Azure, som tidigare kallades Managed Service Identity (MSI), hjälper till med hanteringen av hemligheter. Microsoft Dataverse-kunder som använder Azure-funktioner skapar en hanterad identitet (en del av skapandet av företagets policy) som kan användas för en eller flera Dataverse-miljöer. Den hanterade identiteten som tillhandahålls i din klientorganisation används sedan av Dataverse för att få åtkomst till dina Azure-data.

Med hanterade identiteter är åtkomsten till ditt lagringskonto begränsad till förfrågningar från den Dataverse-miljö som är associerad med din klientorganisation. När Dataverse ansluter till ett lagringsutrymme för din räkning innehåller den ytterligare sammanhangsinformation som visar att förfrågan har sitt ursprung i en säker och betrodd miljö. Detta gör att lagringsutrymmet kan ge Dataverse åtkomst till ditt lagringskonto. Hanterade identiteter används för att signera sammanhangsinformation för att skapa förtroende. Detta lägger till säkerhet på programnivå utöver den nätverks- och infrastruktursäkerhet som Azure tillhandahåller för anslutningar mellan Azure-tjänster.

Innan du börjar

  • Azure CLI krävs på din lokala dator. Ladda ner och installera
  • Du behöver de här två PowerShell-modulerna. Om du inte har dem öppnar du PowerShell och kör följande kommandon:
    • Azure Az PowerShell-modul: Install-Module -Name Az
    • Azure Azure.Resources PowerShell-modul: Install-Module -Name Az.Resources
    • Power Platform administration PowerShell-modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Gå till den här komprimerade mappfilen på GitHub. Väljsedan Ladda ner för att ladda ner den. Extrahera den komprimerade mappfilen till en dator på en plats där du kan köra PowerShell-kommandon. Alla filer och mappar som extraheras från en komprimerad mapp ska bevaras på sin ursprungliga plats.
  • Vi rekommenderar att du skapar en ny lagringsbehållare behållare under samma Azure-resursgrupp för att registrera den här funktionen.

Aktivera företagspolicy för den valda Azure-prenumerationen

Viktigt

Du måste ha Azure prenumerationsägarrollåtkomst för att slutföra den här uppgift. Hämta ditt Azure prenumerations-ID från översiktssidan för resursgruppen Azure.

  1. Öppna Azure CLI med kör som Administratör och logga in på din Azure-prenumeration med kommandot: az login Mer information: logga in med Azure CLI
  2. (Valfritt) Om du har flera Azure prenumerationer måste du köra Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } för att uppdatera din standardprenumeration.
  3. Expandera den komprimerade mappen som du laddade ned som en del av funktionen Innan du börjar för den här funktionen till en plats där du kan köra PowerShell.
  4. Om du vill aktivera företagsprincipen för den valda Azure prenumerationen kör du # PowerShell skriptet./SetupSubscriptionForPowerPlatform.ps1.
    • Tillhandahåll prenumerations-ID för Azure.

Skapa en företagspolicy

Viktigt

Du måste ha Azure resursgruppens ägarrollåtkomst för att slutföra den här uppgift. Hämta ditt Azure prenumerations-ID , din plats ochditt resursgruppsnamn från översiktssidan för resursgruppen # Azure.

  1. Skapa företagspolicyn. Kör PowerShell skript ./CreateIdentityEnterprisePolicy.ps1

    • Tillhandahåll prenumerations-ID för Azure.
    • Ge namnet på Azure-resursgruppen.
    • Ange önskat namn på företagspolicyn.
    • Ge platsen för Azure-resursgruppen.

  2. Spara kopian av ResourceId när principen har skapats.

Obs

Följande är giltiga platsindata som stöds för att skapa principer. Välj den plats som passar dig bäst.

Tillgängliga platser för företagspolicy

USA EUAP

USA

Sydafrika

Storbritannien

Australien

Sydkorea

Japan

Indien

Frankrike

Europa

Asien

Norge

Tyskland

Schweiz

Kanada

Brasilien

UAE

Singapore

Ge läsare åtkomst till företagspolicyn via Azure

Dynamics 365 administratörer och Power Platform administratörer kan komma åt Power Platform administrationscentret för att tilldela miljöer till företagsprincipen. För att få åtkomst till företagsprinciperna krävs Azure administratörsmedlemskap för nyckelvalvet för att bevilja Läsare rollen till Dynamics 365 eller Power Platform administratören. När rollen Läsare har beviljats Dynamics 365 eller Power Platform administratörer ser företagsprinciperna i Power Platform administrationscentret.

Endast de Dynamics 365- och Power Platform-administratörer som tilldelas läsarrollen till företagspolicyn kan lägga till en miljö till policyn. Andra Dynamics 365- eller Power Platform-administratörer kanske kan se företagspolicyn men de får ett felmeddelande när de försöker lägga till miljö.

Viktigt

Du måste ha - Microsoft.Authorization/roleAssignments/write behörighet, till exempel Administratör för användaråtkomst eller Ägare för att slutföra den här uppgiften.

  1. Logga in på Azure-portalen.
  2. Hämta Dynamics 365 Power Platform administratörsanvändarens ObjectID.
    1. Gå till området Användare .
    2. Öppna Dynamics 365- eller Power Platform-administratörsanvändare.
    3. Under översiktssidan för användaren kopierar du ObjectID.
  3. Hämta företagsprincip-ID:t:
    1. Gå till Azure Resource Graph Explorer.
    2. Kör den här frågan: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Köra fråga från Azure Resource Graph Explorer
    3. Bläddra till höger på resultatsidan och välj länken Se information .
    4. På sidan Information kopierar du ID:t.
  4. Öppna Azure CLI och kör följande kommando och ersätt <objId> med användarens ObjectID och med <EP Resource Id> företagsprincip-ID:t.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Anslut företagspolicy till Dataverse-miljö

Viktigt

Du måste ha rollen Power Platform Administratör eller Dynamics 365 Administratör för att slutföra den här uppgift. Du måste ha rollen Läsare för att företagsprincipen ska kunna slutföra den här uppgiften.

  1. Hämta Dataverse miljö-ID.
    1. Logga in på Power Platform administrationscentret.
    2. VäljMiljöer och öppna sedan din miljö.
    3. I avsnittet Information kopierar du miljö-ID:t .
    4. Om du vill länka till miljön kör du det här PowerShell skriptet Dataverse : ./NewIdentity.ps1
    5. Tillhandahåll Dataverse miljö-ID.
    6. Ange ResourceId.
      StatusCode = 202 anger att länken har skapats.
  2. Logga in på Power Platform administrationscentret.
  3. VäljMiljöer och öppna sedan den miljö som du angav tidigare.
  4. I området Senaste åtgärder VäljFull historik för att verifiera anslutningen för den nya identiteten.

Konfigurera nätverksåtkomst till Azure Data Lake Storage Gen2

Viktigt

Du måste ha rollen Azure Data Lake Storage Gen2-ägare för att slutföra den här uppgiften.

  1. Gå till Azure-portalen.

  2. Öppna det lagringskonto som är kopplat till din Azure Synapse Link for Dataverse-profil.

  3. I det vänstra navigeringsfönstret, VäljNätverk . På fliken Brandväggar och virtuella nätverk Välj sedan följande inställningar:

    1. Aktiverat från valda virtuella nätverk och IP-adresser.
    2. Under Resursinstanser Välj Tillåt Azure tjänster i listan över betrodda tjänster att komma åt det här lagringskontot

  4. Välj Spara.

Konfigurera nätverksåtkomst till Azure Synapse Workspace

Viktigt

Du måste ha en Azure Synapse-Administratör roll för att slutföra den här uppgift.

  1. Gå till Azure-portalen.
  2. Öppna den Azure Synapse workspace som är kopplad till din Azure Synapse Link for Dataverse-profil.
  3. I det vänstra navigeringsfönstret, VäljNätverk .
  4. Välj Tillåt Azure tjänster och resurser att komma åt den här arbetsytan.
  5. Om det dit finns IP-brandväggsregler skapade för alla IP-intervall tar du bort dem för att begränsa åtkomsten till det offentliga nätverket. Azure Synapse Inställningar för arbetsytans nätverk
  6. Lägg till en ny IP-brandväggsregel baserat på klientens IP-adress.
  7. VäljSpara när du är klar. Mer information:Regler för IP-brandvägg Azure Synapse Analytics

Viktigt

Dataverse: Du måste ha säkerhetsrollen Dataverse systemadministratör. Dessutom måste tabeller du vill exportera via Azure Synapse Link ha egenskapen Spåra ändringar aktiverad. Mer information: Avancerad sökning

Azure Data Lake Storage Gen2: Du måste ha ett Azure Data Lake Storage Gen2-konto i samt åtkomst till rollerna Ägare och Storage Blob-datadeltagare. Ditt lagringskonto måste aktivera hierarkisk namnrymd för både den första installationen och deltasynkronisering Tillåt lagringskontonyckel för åtkomst krävs endast vid den första installationen.

Synapse workspace: Du måste ha en Synapse-arbetsyta åtkomst till rollen Synapse-administratör i Synapse Studio. Synapse-arbetsytan måste finnas i samma region som ditt Azure Data Lake Storage Gen2-konto. Lagringskontot måste läggas till som en länkad tjänst i Synapse Studio. Skapa en Synapse-arbetsyta genom att gå till Skapa en Synapse-arbetsyta.

När du skapar länken får Azure Synapse Link for Dataverse information om nyligen kopplade företagspolicyn under Dataverse-miljön och cachelagrar identitetsklientens URL för att ansluta till Azure.

  1. Logga in Power Apps och välj din miljö.
  2. I det vänstra navigeringsfönstret, Välj Azure Synapse Link och sedan Välj + Ny länk. Om objektet inte finns i sidopanelsfönstret väljer du ... Mer och markerar sedan det objekt du vill använda.
  3. Fyll i lämpliga fält enligt den avsedda inställningen. Välj Prenumeration, Resursgrupp och Lagringskonto. Om du vill ansluta Dataverse till Synapse-arbetsytan välj alternativet Anslut till din Azure Synapse arbetsyta . För Delta Lake-datakonvertering Välj du en Spark-pool.
  4. VäljVälj Företagsprincip med hanterad tjänstidentitet och sedan VäljNästa .
  5. Lägg till de tabeller du vill exportera och välj sedan Spara.

Obs

Om du vill göra kommandot Använd hanterad identitet tillgängligt i Power Apps måste du slutföra installationen ovan för att ansluta företagsprincipen till din Dataverse miljö. Mer information: Koppla företagspolicy till Dataverse miljö

  1. Gå till en befintlig Synapse Link-profil från Power Apps (make.powerapps.com).
  2. VäljAnvänd hanterad identitet och bekräfta sedan. Använd kommandot för hanterad identitet i Power Apps

Felsökning

Om du får 403 fel när länken skapas:

  • Hanterade identiteter tar extra tid att ge behörighet till en annan under den första synkroniseringen. Ge det en stund och försök igen senare.
  • Kontrollera att den länkade lagringen inte har den befintliga Dataverse behållaren (dataverse-environmentName-organizationUniqueName) från samma miljö.
  • Du kan identifiera den länkade företagsprincipen och policyArmId genom att köra skriptet ./GetIdentityEnterprisePolicyforEnvironment.ps1 PowerShell med prenumerations-ID :t Azure och resursgruppens namn.
  • Du kan ta bort länken till företagsprincipen genom att köra skriptet ./RevertIdentity.ps1 PowerShell med miljö-ID:t Dataverse och policyArmId.
  • Du kan ta bort företagsprincipen genom att köra # PowerShell skriptet.\RemoveIdentityEnterprisePolicy.ps1 med policyArmId.

Kända begränsningar

Endast en företagspolicy kan anslutas till Dataverse-miljön samtidigt. Om du behöver skapa flera Azure Synapse Link-länkar med hanterad identitet aktiverad ska du kontrollera att alla länkade Azure-resurser finns under samma resursgrupp.

Se även

Vad är Azure Synapse Link for Dataverse?