Använd hanterade identiteter för Azure med din Azure Data Lake Storage

  • Artikel

Azure Data Lake Storage innehåller en säkerhetsmodell i flera skikt. Med den här modellen kan du säkerställa och kontrollera åtkomstnivån för dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och deluppsättning av nätverk eller resurser som används. När nätverksregler konfigureras kan endast program som begär data över den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser få åtkomst till ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till förfrågningar som kommer från angivna IP-adresser, IP-intervaller, undernät i en Azure Virtual Network (VNet) eller resursinstanser av vissa Azure-tjänster.

Hanterade identiteter för Azure, som tidigare kallades Managed Service Identity (MSI), hjälper till med hanteringen av hemligheter. Microsoft Dataverse-kunder som använder Azure-funktioner skapar en hanterad identitet (en del av skapandet av företagets policy) som kan användas för en eller flera Dataverse-miljöer. Den hanterade identiteten som tillhandahålls i din klientorganisation används sedan av Dataverse för att få åtkomst till dina Azure-data.

Med hanterade identiteter är åtkomsten till ditt lagringskonto begränsad till förfrågningar från den Dataverse-miljö som är associerad med din klientorganisation. När Dataverse ansluter till ett lagringsutrymme för din räkning innehåller den ytterligare sammanhangsinformation som visar att förfrågan har sitt ursprung i en säker och betrodd miljö. Detta gör att lagringsutrymmet kan ge Dataverse åtkomst till ditt lagringskonto. Hanterade identiteter används för att signera sammanhangsinformation för att skapa förtroende. Detta lägger till säkerhet på programnivå utöver den nätverks- och infrastruktursäkerhet som Azure tillhandahåller för anslutningar mellan Azure-tjänster.

Innan du börjar

  • Azure CLI krävs på din lokala dator. Ladda ner och installera
  • Du behöver de här två PowerShell-modulerna. Om du inte har dem öppnar du PowerShell och kör följande kommandon:
    • Azure Az PowerShell-modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-modul: Install-Module -Name Az.Resources
    • Power Platform PowerShell-modul för administratör: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Gå till den här komprimerade mappfilen på GitHub. Väljsedan Ladda ner för att ladda ner den. Extrahera den komprimerade mappfilen till en dator på en plats där du kan köra PowerShell-kommandon. Alla filer och mappar som extraheras från en komprimerad mapp ska bevaras på sin ursprungliga plats.
  • Vi rekommenderar att du skapar en ny lagringsbehållare behållare under samma Azure-resursgrupp för att registrera den här funktionen.

Aktivera företagspolicy för den valda Azure-prenumerationen

Viktigt

Du måste ha åtkomst till rollen Ägare av Azure-prenumerationen för att kunna slutföra den här uppgiften. Hämta ditt Azure-prenumerations-ID från översiktssidan för Azure-resursgruppen.

  1. Öppna Azure CLI med kör som administratör och logga in på din Azure-prenumeration med kommandot: az login Mer information: logga in med Azure CLI
  2. (Valfritt) Om du har flera Azure-prenumerationer måste du köra Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } för att uppdatera din standardprenumeration.
  3. Expandera den komprimerade mappen som du laddade ned som en del av funktionen Innan du börjar för den här funktionen till en plats där du kan köra PowerShell.
  4. Om du vill aktivera företagsprincipen för den valda Azure-prenumerationen kör du PowerShell-skriptet ./SetupSubscriptionForPowerPlatform.ps1.
    • Tillhandahåll prenumerations-ID för Azure.

Skapa en företagspolicy

Viktigt

Du måste ha åtkomst till rollen Ägare i Azure-resursgruppen för att kunna slutföra den här uppgiften. Hämta ditt Azure-prenumerations-ID , din plats och ditt resursgruppsnamn från översiktssidan för Azure-resursgruppen.

  1. Skapa företagspolicyn. Köra PowerShell-skript ./CreateIdentityEnterprisePolicy.ps1

    • Tillhandahåll prenumerations-ID för Azure.
    • Ge namnet på Azure-resursgruppen.
    • Ange önskat namn på företagspolicyn.
    • Ge platsen för Azure-resursgruppen.

  2. Spara kopian av ResourceId när principen har skapats.

Obs

Följande är giltiga platsindata som stöds för att skapa principer. Välj den plats som passar dig bäst.

Tillgängliga platser för företagspolicy

USA EUAP

USA

Sydafrika

Storbritannien

Australien

Sydkorea

Japan

Indien

Frankrike

Europa

Asien

Norge

Tyskland

Schweiz

Kanada

Brasilien

UAE

Singapore

Ge läsare åtkomst till företagspolicyn via Azure

Dynamics 365-administratörer och Power Platform administratörer kan komma åt Power Platform administrationscentret för att tilldela miljöer till företagspolicyn. För att få åtkomst till företagsprinciperna krävs Azure Key Vault administratörsmedlemskap för att bevilja rollen Läsare till Dynamics 365 eller Power Platform administratör. När rollen Läsare har beviljats kommer Dynamics 365 eller Power Platform administratörerna att se företagspolicyerna i Power Platform administrationscentret.

Endast de Dynamics 365- och Power Platform-administratörer som tilldelas läsarrollen till företagspolicyn kan lägga till en miljö till policyn. Andra Dynamics 365- eller Power Platform-administratörer kanske kan se företagspolicyn men de får ett felmeddelande när de försöker lägga till miljö.

Viktigt

Du måste ha - Microsoft.Authorization/roleAssignments/write behörighet, till exempel Administratör för användaråtkomst eller Ägare för att slutföra den här uppgiften.

  1. Logga in på Azure-portalen.
  2. Hämta Dynamics 365-administratörsanvändarens Power Platform ObjectID.
    1. Gå till området Användare .
    2. Öppna Dynamics 365- eller Power Platform-administratörsanvändare.
    3. Under översiktssidan för användaren kopierar du ObjectID.
  3. Hämta företagsprincip-ID:t:
    1. Gå till Azure Resource Graph Explorer.
    2. Kör den här frågan: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Köra fråga från Azure Resource Graph Explorer
    3. Bläddra till höger på resultatsidan och välj länken Se information .
    4. På sidan Information kopierar du ID:t.
  4. Öppna Azure CLI och kör följande kommando och ersätt <objId> med användarens ObjectID och med företagsprincip-ID:t <EP Resource Id> .
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Anslut företagspolicy till Dataverse-miljö

Viktigt

Du måste ha Power Platform rollen Administratör eller Dynamics 365 administratör för att kunna slutföra den här uppgiften. Du måste ha rollen Läsare för att företagsprincipen ska kunna slutföra den här uppgiften.

  1. Hämta Dataverse miljö-ID.
    1. Logga in på Power Platform administrationscentret.
    2. VäljMiljöer och öppna sedan din miljö.
    3. I avsnittet Information kopierar du miljö-ID:t .
    4. Om du vill länka till miljön kör du det här PowerShell-skriptet Dataverse : ./NewIdentity.ps1
    5. Tillhandahåll Dataverse miljö-ID.
    6. Ange ResourceId.
      StatusCode = 202 anger att länken har skapats.
  2. Logga in på Power Platform administrationscentret.
  3. VäljMiljöer och öppna sedan den miljö som du angav tidigare.
  4. I området Senaste åtgärder VäljFull historik för att verifiera anslutningen för den nya identiteten.

Konfigurera nätverksåtkomst till Azure Data Lake Storage Gen2

Viktigt

Du måste ha rollen Azure Data Lake Storage Gen2-ägare för att slutföra den här uppgiften.

  1. Gå till Azure-portalen.

  2. Öppna det lagringskonto som är kopplat till din Azure Synapse Link for Dataverse-profil.

  3. I det vänstra navigeringsfönstret, VäljNätverk . På fliken Brandväggar och virtuella nätverk Välj sedan följande inställningar:

    1. Aktiverat från valda virtuella nätverk och IP-adresser.
    2. Under Resursinstanser VäljTillåt Azure-tjänster i listan över betrodda tjänster att komma åt det här lagringskontot

  4. Välj Spara.

Konfigurera nätverksåtkomst till Azure Synapse Workspace

Viktigt

Du måste ha rollen Azure Synapse administratör för att kunna slutföra den här uppgiften.

  1. Gå till Azure-portalen.
  2. Öppna den Azure Synapse workspace som är kopplad till din Azure Synapse Link for Dataverse-profil.
  3. I det vänstra navigeringsfönstret, VäljNätverk .
  4. VäljTillåt att Azure-tjänster och -resurser får åtkomst till den här arbetsytan.
  5. Om det dit finns IP-brandväggsregler skapade för alla IP-intervall tar du bort dem för att begränsa åtkomsten till det offentliga nätverket. Azure Synapse Inställningar för arbetsytans nätverk
  6. Lägg till en ny IP-brandväggsregel baserat på klientens IP-adress.
  7. VäljSpara när du är klar. Mer information:Regler för IP-brandvägg Azure Synapse Analytics

Viktigt

Dataverse: Du måste ha rollen säkerhetsroll Dataverse som administratör. Dessutom måste tabeller som du vill exportera via Azure Synapse Link ha egenskapen Spåra ändringar aktiverad. Mer information: Avancerade alternativ

Azure Data Lake Storage Gen2: Du måste ha ett Azure Data Lake Storage Gen2-konto och åtkomst till rollen Ägare och Storage Blob Data deltagare . Ditt lagringskonto måste aktivera hierarkisk namnrymd för både den första installationen och deltasynkroniseringen. Tillåt åtkomst till lagringskontonyckel krävs endast för den första installationen.

Synapse-arbetsyta: Du måste ha en Synapse-arbetsyta och åtkomst till rollen Synapse-administratör i Synapse Studio. Synapse-arbetsytan måste finnas i samma region som ditt Azure Data Lake Storage Gen2-konto. Lagringskontot måste läggas till som en länkad tjänst i Synapse Studio. Om du vill skapa en Synapse-arbetsyta går du till Skapa en Synapse-arbetsyta.

När du skapar länken får Azure Synapse Link for Dataverse information om nyligen kopplade företagspolicyn under Dataverse-miljön och cachelagrar identitetsklientens URL för att ansluta till Azure.

  1. Logga in Power Apps och välj din miljö.
  2. I det vänstra navigeringsfönstret välj Azure Synapse Link du och sedan välj + Ny länk. Om objektet inte finns i sidopanelen välj ... Mer och välj sedan det objekt du vill ha.
  3. Fyll i lämpliga fält enligt den avsedda inställningen. Välj den Prenumeration, resursgrupp och lagringskonto. Om du vill ansluta Dataverse till Synapse-arbetsytan välj du alternativet Anslut till din Azure Synapse arbetsyta . För Delta Lake-datakonvertering välj du en Spark-pool.
  4. Välj Välj Enterprise Policy with Managed Service Identity (Företagsprincip med hanterad tjänstidentitet) och sedan VäljNext .
  5. Lägg till de tabeller som du vill exportera och välj sedan Välj Spara.

Obs

Om du vill göra kommandot Använd hanterad identitet tillgängligt i Power Apps måste du slutföra installationen ovan för att ansluta företagsprincipen till din Dataverse miljö. Mer information: Koppla företagspolicy till Dataverse miljö

  1. Gå till en befintlig Synapse Link-profil från Power Apps (make.powerapps.com).
  2. VäljAnvänd hanterad identitet och bekräfta sedan. Använd kommandot för hanterad identitet i Power Apps

Felsökning

Om du får 403 fel när länken skapas:

  • Hanterade identiteter tar extra tid att ge behörighet till en annan under den första synkroniseringen. Ge det en stund och försök igen senare.
  • Kontrollera att den länkade lagringen inte har den befintliga Dataverse behållaren (dataverse-environmentName-organizationUniqueName) från samma miljö.
  • Du kan identifiera den länkade företagsprincipen och policyArmId genom att köra PowerShell-skriptet ./GetIdentityEnterprisePolicyforEnvironment.ps1 med Azure-prenumerations-ID :t och resursgruppens namn.
  • Du kan ta bort länken till företagsprincipen genom att köra PowerShell-skriptet ./RevertIdentity.ps1 med miljö-ID:t Dataverse och policyArmId.
  • Du kan ta bort företagsprincipen genom att köra PowerShell-skriptet .\RemoveIdentityEnterprisePolicy.ps1 med policyArmId.

Kända begränsningar

Endast en företagspolicy kan anslutas till Dataverse-miljön samtidigt. Om du behöver skapa flera Azure Synapse Link-länkar med hanterad identitet aktiverad ska du kontrollera att alla länkade Azure-resurser finns under samma resursgrupp.

Se även

Vad är det Azure Synapse Link for Dataverse?