你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

允许跨租户查询和命令

多个租户中的主体可以在一个 Azure 数据资源管理器群集中运行查询和命令。 本文介绍如何向来自另一租户的主体授予群集访问权限。

若要在群集上设置 trustedExternalTenants，请使用 ARM 模板、AZ CLI、PowerShell、Azure 资源管理器或发送 API 请求。

以下示例演示如何使用门户和 API 请求定义受信任的租户。

注意

运行查询或命令的主体还必须具有相关的数据库角色。 另请参阅基于角色的访问控制。 先验证外部租户是否受信任，然后再验证角色是否正确。

Portal

1. 在 Azure 门户中，转到 Azure 数据资源管理器群集页。

2. 在左侧菜单中的“设置”下，选择“安全性”。

3. 定义所需的租户权限。

API

语法

允许特定租户

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

允许所有租户

trustedExternalTenants 数组也支持所有租户星号（“*”）表示法，从而能够允许来自所有租户的查询和命令。

trustedExternalTenants: [ { "value": "*" }]

注意

trustedExternalTenants 的默认值为所有租户：[ { "value": "*" }]。 如果在群集创建时未定义外部租户数组，可以通过群集更新操作来重写该数组。 空数组意味着仅允许使用群集租户的标识对该群集进行身份验证。

详细了解语法约定。

示例

以下示例允许特定租户在群集上运行查询：

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

以下示例允许所有租户在群集上运行查询：

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

更新群集

使用以下操作更新群集：

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

添加主体

更新 trustedExternalTenants 属性后，可以向已批准的租户中的主体授予访问权限。 使用 Azure 门户为主体授予群集级别的权限或数据库权限。 或者，若要授予数据库、表、函数或具体化视图级别的访问权限，请使用管理命令。

限制

此功能的配置仅适用于尝试连接到 Azure 数据资源管理器的 Microsoft Entra 标识（用户、应用程序、组）。 它不会影响跨 Microsoft Entra 引入。