Del via

Brug administrerede identiteter til Azure med dit Azure data lake storage

Azure Data Lake Storage indeholder en lagdelt sikkerhedsmodel. Denne model giver dig mulighed for at sikre og styre adgangsniveauet til de lagerkonti, som dine programmer og virksomhedsmiljøer kræver, på baggrund af typen og undersættet af de anvendte netværk eller ressourcer. Når netværksreglerne er konfigureret, er det kun programmer, der anmoder om data via det angivne sæt netværk eller via det angivne sæt Azure ressourcer, der kan få adgang til en lagerkonto. Du kan begrænse adgangen til din lagerkonto til anmodninger, der stammer fra angivne IP-adresser, IP-områder, undernet i en Azure Virtual Network (VNet) eller ressourceforekomster af nogle Azure tjenester.

Administrerede identiteter for Azure, tidligere kendt som MSI (Managed Service Identity), hjælper med administration af hemmeligheder. Microsoft Dataverse kunder, der bruger Azure egenskaber, opretter en administreret identitet (en del af oprettelsen af virksomhedspolitik), der kan bruges til et eller flere Dataverse-miljøer. Denne administrerede identitet, der klargøres i din lejer, bruges derefter af Dataverse til at få adgang til din Azure data lake.

Med administrerede identiteter er adgangen til din lagerkonto begrænset til forespørgsler, der kommer fra det Dataverse-miljø, som er knyttet til din lejer. Når Dataverse opretter forbindelse til lager på dine vegne, indeholder det ekstra kontekstoplysninger, der kan dokumentere, at anmodningen stammer fra et sikkert miljø, du har tillid til. Det giver lageret mulighed for at give Dataverse adgang til lagerkontoen. Administrerede identiteter bruges til at signere kontekstoplysningerne for at skabe tillid. Dette tilføjer sikkerhed på programniveau ud over den netværks- og infrastruktursikkerhed, der leveres af Azure for forbindelser mellem Azure tjenester.

Inden du starter

  • Azure CLI er påkrævet på din lokale computer. Download og installer
  • Du skal bruge følgende PowerShell-moduler. Hvis du ikke har dem, skal du åbne PowerShell og køre disse kommandoer:
    • Azure Az PowerShell-modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-modul: Install-Module -Name Az.Resources
    • Power Platform Administration PowerShell-modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Klon lageret PowerApps-Samples på GitHub til en placering, hvor du kan køre PowerShell-kommandoer: git clone https://github.com/microsoft/PowerApps-Samples.git. Scripts er organiseret i undermapper under powershell/managed-identities/Source. Kør hvert script fra den specifikke undermappe, f.eks. Source\Identity.
  • Vi anbefaler, at du opretter en ny lagerobjektbeholder under den samme Azure ressourcegruppe for at onboarde denne funktion.

Vigtige oplysninger

Flyt ikke scripts ud af deres mapper. Scripts er afhængige af relative stier og delte filer i lagerstrukturen.

Aktivér virksomhedspolitik for det valgte Azure abonnement

Vigtige oplysninger

Du skal have Azure abonnementsejer rolleadgang for at fuldføre denne opgave. Hent dit Azure Abonnements-id på oversigtssiden for den Azure ressourcegruppe.

  1. Åbn Azure CLI med Kør som administrator, og log på dit Azure-abonnement ved hjælp af kommandoen : az login Flere oplysninger: Log ind med Azure CLI
  2. (Valgfrit), hvis du har flere Azure abonnementer, skal du sørge for at køre Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } for at opdatere dit standardabonnement.
  3. I PowerShell skal du skifte til mappen Source i det lager, du klonede som en del af Før du starter.
  4. Hvis du vil aktivere virksomhedspolitikken for det valgte Azure-abonnement, skal du køre PowerShell-scriptet ./SetupSubscriptionForPowerPlatform.ps1.
    • Angiv abonnements-id'et for Azure.

Opret en virksomhedspolitik

Vigtige oplysninger

Du skal have Azure ressourcegruppeejer rolleadgang for at fuldføre denne opgave. Hent dit Azure Abonnements-id, Location og Ressourcegruppe navn på oversigtssiden for den Azure ressourcegruppe.

  1. I PowerShell skal du skifte til Source\Identity undermappen og køre scriptet for at oprette virksomhedspolitikken:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Angiv abonnements-id'et for Azure.
    • Angiv navnet på den Azure ressourcegruppe.
    • Angiv foretrukket navn på virksomhedspolitik.
    • Angiv placeringen af den Azure ressourcegruppe.

  2. Gem kopien af ResourceId, når politikken er oprettet.

Bemærk

Følgende er de gyldige input til placering, der understøttes til oprettelse af politikker. Vælg den placering, der passer bedst til dig.

Placeringer, der er tilgængelige for virksomhedspolitik

USA EUAP

United States

Sydafrika

Storbritannien

Australien

Korea

Japan

Indien

Frankrig

Europa

Asien

Norge

Tyskland

Schweiz

Canada

Brasilien

UAE

Singapore

Giv læseren adgang til virksomhedspolitikken via Azure

Dynamics 365 administratorer og Administratorer af Power Platform kan få adgang til Power Platform Administration for at tildele miljøer til virksomhedspolitikken. Hvis du vil have adgang til virksomhedspolitikkerne, skal du Azure administratormedlemskab for Key Vault for at tildele rollen Reader til Dynamics 365- eller Power Platform-administratoren. Når læserrollen er tildelt, kan Dynamics 365- eller Power Platform-administratorer se virksomhedspolitikkerne i Power Platform Administration.

Det er kun de Dynamics 365- og Power Platform-administratorer, der har fået tildelt læserrollen til virksomhedspolitikken, der kan "føje miljø" til politikken. Andre Dynamics 365- og PowerPlatform-administratorer kan muligvis få vist virksomhedspolitikken, men de får vist en fejl, når de forsøger at tilføje miljø.

Vigtige oplysninger

Du skal have - Microsoft.Authorization/roleAssignments/write-tilladelser, f.eks. Brugeradgangsadministrator eller Ejer, for at du kan udføre denne opgave.

  1. Log på portalen Azure.
  2. Hent Dynamics 365 Power Platform-administratorbrugerens ObjectID.
    1. Gå til området Brugere.
    2. Åbn Dynamics 365- eller Power Platform-administratorbrugeren.
    3. Kopiér ObjectID på oversigtssiden for brugeren.
  3. Hent id for virksomhedspolitikker:
    1. Gå til Azure Resource Graph Explorer.
    2. Kør denne forespørgsel: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Kør forespørgsel fra Azure Resource Graph Explorer
    3. Rul til højre for resultatsiden, og vælg linket Se detaljer.
    4. Kopiér id'et på siden Detaljer.
  4. Åbn Azure CLI, og kør følgende kommando, hvor <objId> erstattes med brugerens ObjectID og <EP Resource Id> med virksomhedspolitik-id'et.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Knytte virksomhedspolitik til Dataverse-miljø

Vigtige oplysninger

Du skal have rollen Power Platform-administrator eller Dynamics 365 administrator for at fuldføre denne opgave. Du skal have rollen Læser til enterprise-politikken for at fuldføre denne opgave.

  1. Hent Dataverse-miljøets ID.
    1. Log på Power Platform Administration.
    2. Vælg Administrér>Miljøer, og åbn derefter dit miljø.
    3. I sektionen Detaljer skal du kopiere Miljø-id.
  2. Kør dette PowerShell-script fra Source\Identity undermappen: ./NewIdentity.ps1
    • Angiv id'et for Dataverse-miljøet.
    • Angiv ResourceId.
      StatusCode = 202 indikerer, at linket blev oprettet.
  3. Log på Power Platform Administration.
  4. Vælg Administrer>Miljøer, og åbn derefter det miljø, du angav tidligere.
  5. Vælg Fuld historik området Seneste handlinger for at validere forbindelsen til det nye id.

Konfigurer netværksadgang til Azure Data Lake Storage Gen2

Vigtige oplysninger

Du skal have en Azure Data Lake Storage Gen2 Owner rolle for at fuldføre denne opgave.

  1. Gå til portalen Azure.

  2. Åbn den lagerkonto, der er knyttet til din Azure Synapse Link for Dataverse-profil.

  3. Vælg Netværk i venstre navigationsrude. Vælg følgende indstillinger under fanen Firewalls og virtuelle netværk:

    1. Aktiveret fra udvalgte virtuelle netværk og IP-adresser.
    2. Under Kildeforekomster skal du vælge Tillad Azure tjenester på listen over tjenester, der er tillid til, at få adgang til denne lagerkonto

  4. Vælg Save.

Konfigurer netværksadgang til det Azure Synapse arbejdsområde

Vigtige oplysninger

Du skal have en Azure Synapse-administrator rolle for at fuldføre denne opgave.

  1. Gå til portalen Azure.
  2. Åbn det Azure Synapse arbejdsområde, der er forbundet med din Azure Synapse Link til Dataverse-profil.
  3. Vælg Netværk i venstre navigationsrude.
  4. Vælg Tillad Azure tjenester og ressourcer at få adgang til dette arbejdsområde.
  5. Hvis der er oprettet IP-firewallregler for hele IP-området, skal du slette dem for at begrænse offentlig netværksadgang. Azure Synapse indstillinger for arbejdsområdenetværk
  6. Tilføj en ny IP-firewallregel, der er baseret på klientens IP-adresse.
  7. Vælg Gem, når du er færdig. Flere oplysninger: Azure Synapse Analytics IP-firewallregler

Vigtige oplysninger

Dataverse: Sørg for, at du har sikkerhedsrollen Dataverse-systemadministrator. Desuden skal de tabeller, du vil eksportere via Azure Synapse Link, have egenskaben Track-ændringer aktiveret. Flere oplysninger: Avanceret opslag

Azure Data Lake Storage Gen2: Du skal have en Azure Data Lake Storage Gen2 konto og Ejer og Storage Blob Data Contributor rolleadgang. Lagerkontoen skal aktivere Hierarkisk navneområde for både den indledende konfiguration og deltasynkronisering. Tillad adgang til lagerkontonøgler kræves kun i forbindelse med den indledende installation.

Synapse-arbejdsområde: Du skal have et Synapse-arbejdsområde og Synapse-administrator rolleadgang i Synapse Studio. Synapse-arbejdsområdet skal være i det samme område som din Azure Data Lake Storage Gen2-konto. Lagerkontoen skal tilføjes som en sammenkædet tjeneste i Synapse Studio. Hvis du vil oprette et Synapsearbejdsområde, skal du gå til Oprettelse af et Synapsearbejdsområde.

Når du opretter linket, får Azure Synapse Link for Dataverse oplysninger om den aktuelt sammenkædede virksomhedspolitik under Dataverse-miljøet og cachelagrer derefter URL-adressen for identitetsklienthemmeligheden for at oprette forbindelse til Azure.

  1. Log på Power Apps og vælg dit miljø.
  2. Vælg Azure Synapse Link i navigationsruden til venstre, og vælg derefter + Nyt link. Hvis elementet ikke findes i sidepanelruden, skal du vælge ...Flere og derefter vælge det ønskede element.
  3. Udfyld de relevante felter i henhold til den ønskede opsætning. Vælg Abonnement, Resourcegruppe og Lagerkonto. Hvis du vil oprette forbindelse mellem Dataverse og Synapse-arbejdsområdet, skal du vælge indstillingen Opret forbindelse til dit Azure Synapse arbejdsområde. Vælg Spark-gruppe til datakonvertering for Delta Lake
  4. Vælg Virksomhedspolitik med id for administreret service, og vælg derefter Næste.
  5. Tilføj de tabeller, du vil eksportere, og vælg derefter Gem.

Bemærk

Hvis du vil gøre kommandoen Brug administreret identitet tilgængelig i Power Apps, skal du fuldføre ovenstående konfiguration for at forbinde virksomhedspolitikken med dit Dataverse-miljø. Flere oplysninger: Forbinde virksomhedspolitik til Dataverse-miljø

  1. Gå til en eksisterende Synapse Link-profil fra Power Apps (make.powerapps.com).
  2. Vælg Brug administreret identitet, og bekræft derefter. Brug kommandoen for administreret identitet i Power Apps

Fejlfinding

Hvis du modtager 403-fejl under oprettelse af linket:

  • Det tager ekstra tid at give administrerede identiteter midlertidig tilladelse under den første synkronisering. Giv den lidt tid, og prøv at bruge handlingen igen senere.
  • Kontrollér, at det tilknyttede lager ikke har den eksisterende Dataverse-beholder(dataname-environmentName-organizationUniqueName) fra det samme miljø.
  • Du kan identificere den sammenkædede virksomhedspolitik og policyArmId ved at køre PowerShell-scriptet ./GetIdentityEnterprisePolicyforEnvironment.ps1 fra undermappen Source\Identity med Azure Abonnements-id og Kildegruppe navn.
  • Du kan fjerne sammenkædningen af virksomhedspolitikken ved at køre PowerShell-scriptet ./RevertIdentity.ps1Source\Identity fra undermappen med dataverse-miljø-id'et og policyArmId.
  • Du kan fjerne virksomhedspolitikken ved at køre PowerShell-scriptet .\RemoveIdentityEnterprisePolicy.ps1 fra Source\Identity undermappen med policyArmId.

Kendt begrænsning

Der kan kun oprettes forbindelse mellem én virksomhedspolitik og Dataverse-miljøet på én gang. Hvis du har brug for at oprette flere Azure Synapse Link links med administreret identitet aktiveret, skal du sørge for, at alle sammenkædede Azure ressourcer er under den samme ressourcegruppe.

Se også

Hvad er Azure Synapse Link til Dataverse?

  • Last updated on