Usar identidades gerenciadas para o Azure com seu Azure Data Lake Storage

  • Artigo

O Azure Data Lake Storage fornece um modelo de segurança em camadas. Esse modelo permite que você proteja e controle o nível de acesso às suas contas de armazenamento que seus aplicativos e ambientes corporativos exigem, com base no tipo e subconjunto de redes ou recursos usados. Quando as regras de rede são configuradas, somente os aplicativos que solicitam dados pelo conjunto especificado de redes ou por meio do conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento para solicitações originadas de endereços IP especificados, intervalos de IP, sub-redes em uma Rede Virtual do Azure (VNet) ou instâncias de recursos de alguns serviços do Azure.

Identidades gerenciadas para o Azure, anteriormente conhecidas como Identidade de Serviço Gerenciada (MSI), ajudam no geranciamento de segredos. Os clientes do Microsoft Dataverse que usam os recursos do Azure criam uma identidade gerenciada (parte da criação da política corporativa) que pode ser usada para um ou mais ambientes do Dataverse. Essa identidade gerenciada que será provisionada em seu locatário é então usada pelo Dataverse para acessar seu Azure Data Lake.

Com identidades gerenciadas, o acesso à sua conta de armazenamento é restrito a solicitações originadas do ambiente do Dataverse associado ao seu locatário. Quando o Dataverse se conecta ao armazenamento em seu nome, ele inclui informações de contexto adicionais para provar que a solicitação se origina de um ambiente seguro e confiável. Isso permite que o armazenamento conceda ao Dataverse acesso à sua conta de armazenamento. Identidades gerenciadas são usadas para assinar as informações de contexto para estabelecer a confiança. Isso adiciona segurança no nível do aplicativo, além da segurança de rede e de infraestrutura fornecida pelo Azure para conexões entre os serviços do Azure.

Antes de começar

  • A CLI do Azure é necessária em sua máquina local. Baixar e instalar
  • Você precisa desses dois módulos do PowerShell. Se não os tiver, abra o PowerShell e execute estes comandos:
    • Módulo do PowerShell do Azure Az: Install-Module -Name Az
    • Módulo do PowerShell Az.Resources do Azure: Install-Module -Name Az.Resources
    • Módulo de administração do PowerShell do Power Platform:Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Acesse este arquivo de pasta compactado no GitHub. Em seguida, selecione Baixar para baixá-lo. Extraia o arquivo de pasta compactado em um computador em um local onde você possa executar comandos do PowerShell. Todos os arquivos e pastas extraídos de uma pasta compactada devem ser preservados em seu local original.
  • Recomendamos que você crie um novo contêiner de armazenamento no mesmo grupo de recursos do Azure para integrar esse recurso.

Habilite a política corporativa para a assinatura do Azure selecionada

Importante

Você deve ter acesso de função Proprietário da assinatura do Azure para concluir esta tarefa. Obtenha sua ID de assinatura do Azure na página de visão geral do grupo de recursos do Azure.

  1. Abra a CLI do Azure executando como administrador e entre em sua assinatura do Azure usando o comando: az login Mais informações: Entrar com a CLI do Azure
  2. (Opcional) Se você tiver várias assinaturas do Azure, certifique-se de executar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para atualizar sua assinatura padrão.
  3. Expanda a pasta compactada que você baixou como parte de Antes de começar para este recurso para um local onde você pode executar o PowerShell.
  4. Para habilitar a política corporativa para a assinatura do Azure selecionada, execute o script do PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Forneça a ID da assinatura do Azure.

Criar uma política corporativa

Importante

Você deve ter acesso de função Proprietário de grupo de recursos do Azure para concluir esta tarefa. Obtenha a ID da assinatura, o Local e o name do Grupo de recursos do Azure na página de visão geral do grupo de recursos do Azure.

  1. Crie a política corporativa. Executar o script do PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Forneça a ID da assinatura do Azure.
    • Forneça o nome do grupo de recursos do Azure.
    • Forneça o nome da política corporativa preferida.
    • Forneça o local do nome do grupo de recursos do Azure.

  2. Salve a cópia da ResourceId após a criação da política.

Observação

A seguir estão as entradas válidas de localização com suporte para criação de políticas. Selecione o local que seja mais apropriado para você.

Locais disponíveis para a política corporativa

Estados Unidos EUAP

Estados Unidos

África do Sul

Reino Unido

Austrália

Coreia do Sul

Japão

Índia

França

Europa

Ásia

Noruega

Alemanha

Suíça

Canadá

Brasil

EAU

Cidade de Singapura

Conceder acesso de leitor à política corporativa via Azure

Os administradores globais do Azure, os administradores do Dynamics 365 e os administradores do Power Platform podem acessar o centro de administração do Power Platform para atribuir ambientes à política corporativa. Para acessar as políticas corporativas, é necessário que o administrador global ou o administrador do Azure Key Vault conceda a função de Leitor ao administrador do Dynamics 365 ou do Power Platform. Uma vez concedida a função de Leitor, os administradores do Dynamics 365 ou do Power Platform verão as políticas corporativas no centro de administração do Power Platform.

Somente os administradores do Dynamics 365 e do Power Platform que receberam a função de leitor para a política corporativa poderão 'adicionar um ambiente' à política. Outros administradores do Dynamics 365 ou do PowerPlatform talvez possam exibir a política corporativa, mas receberão uma mensagem de erro ao tentar adicionar um ambiente.

Importante

Você deve ter permissões do Microsoft.Authorization/roleAssignments/write, como Administrador de acesso do usuário ou Proprietário para concluir esta tarefa.

  1. Entre no portal do Azure.
  2. Obtenha a ObjectID do usuário administrador do Power Platform do Dynamics 365.
    1. Acesse a área Usuários.
    2. Abrir o Dynamics 365 ou o centro de administração do Power Platform.
    3. Na página de visão geral para o usuário, copie a ObjectID.
  3. Obtenha a ID das políticas corporativas:
    1. Acesse o Azure Resource Graph Explorer.
    2. Execute esta consulta : resources | where type == 'microsoft.powerplatform/enterprisepolicies' Executar a consulta no Azure Resource Graph Explorer
    3. Role para a direita da página de resultados e selecione o link Ver detalhes.
    4. Na página Detalhes, copie a ID.
  4. Abra a CLI do Azure e execute o seguinte comando, substituindo <objId> pela ObjectID do usuário e <EP Resource Id> pela ID da política corporativa.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Conectar a política corporativa ao ambiente do Dataverse

Importante

Você precisa da função de administrador do Power Platform ou Administrador do Dynamics 365 para concluir esta tarefa. Você deve ter a função de Leitor para a política corporativa para concluir esta tarefa.

  1. Obtenha a ID do ambiente do Dataverse.
    1. Entre no Centro de administração do Power Platform.
    2. Selecione Ambientes e abra seu ambiente.
    3. Na seção Detalhes, copie a ID do ambiente.
    4. Para vincular o ambiente do Dataverse, execute este de script do PowerShell: ./NewIdentity.ps1
    5. Forneça a ID do ambiente do Dataverse.
    6. Forneça a ResourceId.
      Código de Status = 202 indica que o link foi criado com êxito.
  2. Entre no Centro de administração do Power Platform.
  3. Selecione Ambientes e abra o ambiente que você especificou anteriormente.
  4. Na área Operações recentes , selecione Histórico completo para validar a conexão da nova identidade.

Configurar o acesso à rede para o Azure Data Lake Storage Gen2

Importante

Você deve ter uma função de proprietário do Azure Data Lake Storage Gen2 para concluir esta tarefa.

  1. Acesse o Portal do Azure.

  2. Abra a conta de armazenamento conectada ao seu perfil do Azure Synapse Link for Dataverse.

  3. No painel de navegação esquerdo, selecione Rede. Em seguida, na guia Firewalls e redes virtuais, selecione as seguintes configurações:

    1. Habilitado a partir de redes virtuais e endereços IP selecionados.
    2. Em Instâncias de recursos, selecione Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento

  4. Selecione Salvar.

Configurar o acesso à rede para o Azure Synapse Workspace

Importante

Você deve ter uma função de Adminsitrador do Synapse do Azure para concluir esta tarefa.

  1. Acesse o Portal do Azure.
  2. Abra o Azure Synapse workspace conectado ao seu perfil do Azure Synapse Link for Dataverse.
  3. No painel de navegação esquerdo, selecione Rede.
  4. Selecione Permitir que os serviços e recursos do Azure acessem este espaço de trabalho.
  5. Se houver Regras de firewall de IP criadas para todos os intervalos de IP, exclua-as para restringir o acesso à rede pública. Configurações de rede do Azure Synapse workspace
  6. Adicione uma nova Regra de firewall de IP com base no endereço IP do cliente.
  7. Selecione Salvar quando terminar. Mais informações: Regras de firewall de IP do Azure Synapse Analytics

Importante

Dataverse: você deve ter o direito de acesso administrador do sistema no Dataverse. Além disso, as tabelas pelas quais você deseja exportar o Azure Synapse Link devem ter a propriedade Controlar alterações habilitada. Mais Informações: Opções avançadas

Azure Data Lake Storage Gen2: você deve ter uma conta do Azure Data Lake Storage Gen2 e o acesso de funções Proprietário e Colaborador de Dados do Blob de Armazenamento. Sua conta de armazenamento deve habilitar namespace hierárquico para a configuração inicial e a sincronização delta. Permitir acesso à chave da conta de armazenamento é obrigatório apenas para a configuração inicial.

Workspace do Synapse: você deve ter um workspace do Synapse e o acesso da função Administrador do Synapse no Synapse Studio. O workspace do Synapse deve estar na mesma região da sua conta do Azure Data Lake Storage Gen2. A conta de armazenamento deve ser adicionada como um serviço vinculado no Synapse Studio. Para criar um workspace do Synapse, vá para Criar um workspace do Synapse.

Quando você cria o link, o Azure Synapse Link for Dataverse obtém detalhes sobre a política corporativa atualmente vinculada no ambiente do Dataverse e, em seguida, armazena em cache a URL do segredo do cliente de identidade para se conectar ao Azure.

  1. Entre no Power Apps e selecione seu ambiente.
  2. No painel de navegação esquerdo, selecione Azure Synapse Link e, em seguida, + Novo link. Se o item não estiver no painel lateral, selecione …Mais e selecione o item desejado.
  3. Selecione Selecionar Política Corporativa com Identidade do Serviço Gerenciado e, e, seguida, selecione Avançar.
  4. Adicione as tabelas que deseja exportar e selecione Salvar.

Observação

Para disponibilizar o comando Usar identidade gerenciada no Power Apps, você deve concluir a configuração acima para conectar a política corporativa ao seu ambiente do Dataverse. Mais informações: Conectar política corporativa ao ambiente do Dataverse

  1. Acesse um perfil existente do Synapse Link no Power Apps (make.powerapps.com).
  2. Selecione Usar identidade gerenciada e confirme. Usar o comando de identidade gerenciada no Power Apps

Solução de Problemas

Se você receber erros 403 durante a criação do link:

  • As identidades gerenciadas levam mais tempo para conceder permissão transitória durante a sincronização inicial. Aguarde um pouco e tente a operação mais tarde.
  • Certifique-se de que o armazenamento vinculado não tenha o contêiner do Dataverse existente(dataverse-environmentName-organizationUniqueName) do mesmo ambiente.
  • Você pode identificar a política corporativa vinculada e a policyArmId executando o script do PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 com a ID da Assinatura e o nome do Grupo de recursos do Azure.
  • Você pode desvincular a política corporativa executando o script do PowerShell ./RevertIdentity.ps1 com a ID do ambiente do Dataverse e a policyArmId.
  • Você pode remover a política corporativa executando o script do PowerShell .\RemoveIdentityEnterprisePolicy.ps1 with policyArmId.

Limitação conhecida

Somente uma política corporativa pode se conectar ao ambiente do Dataverse simultaneamente. Se você precisar criar vários links do Azure Synapse Link com a identidade gerenciada habilitada, verifique se todos os recursos do Azure vinculados estão no mesmo grupo de recursos.

Ver também

O que é o Azure Synapse Link for Dataverse?