Freigeben über

Verwenden Sie verwaltete Identitäten für Azure mit Ihrem Azure Data Lake Storage

Azure Data Lake Storage stellt ein mehrstufiges Sicherheitsmodell bereit. Mit diesem Modell können Sie die Zugriffsebene auf Ihre Speicherkonten sichern und steuern, die Ihre Anwendungen und Unternehmensumgebungen erfordern, basierend auf dem Typ und der Teilmenge der verwendeten Netzwerke oder Ressourcen. Wenn Netzwerkregeln konfiguriert sind, können nur Anwendungen, die Daten über die angegebene Gruppe von Netzwerken anfordern, oder über den angegebenen Satz von Azure Ressourcen auf ein Speicherkonto zugreifen. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die von angegebenen IP-Adressen, IP-Bereichen, Subnetzen in einem Azure Virtual Network (VNet) oder Ressourceninstanzen einiger Azure Dienste stammen.

Verwaltete Identitäten für Azure, früher als Managed Service Identity (MSI) bezeichnet, helfen bei der Verwaltung von geheimen Schlüsseln. Microsoft Dataverse Kunden, die Azure Funktionen verwenden, erstellen eine verwaltete Identität (Teil der Erstellung von Unternehmensrichtlinien), die für eine oder mehrere Dataverse-Umgebungen verwendet werden kann. Diese verwaltete Identität, die in Ihrem Mandanten bereitgestellt wird, wird dann von Dataverse verwendet, um auf Ihren Azure Data Lake zuzugreifen.

Bei verwalteten Identitäten ist der Zugriff auf Ihr Speicherkonto auf Anfragen beschränkt, die von der Dataverse Umgebung stammen, die mit Ihrem Mieter verbunden ist. Wenn Dataverse sich in Ihrem Namen mit dem Speicher verbindet, enthält es zusätzliche Kontextinformationen, um zu beweisen, dass die Anfrage aus einer sicheren, vertrauenswürdigen Umgebung stammt. Dies ermöglicht dem Speicher Dataverse-Zugriff auf Ihr Speicherkonto zu gewähren. Verwaltete Identitäten werden verwendet, um die Kontextinformationen zu signieren, um Vertrauen herzustellen. Dadurch wird neben der Netzwerk- und Infrastruktursicherheit, die von Azure für Verbindungen zwischen Azure Diensten bereitgestellt wird, Sicherheit auf Anwendungsebene hinzugefügt.

Bevor Sie beginnen

  • Azure CLI ist auf Ihrem lokalen Computer erforderlich. Herunterladen und installieren
  • Sie benötigen die folgenden PowerShell-Module. Wenn Sie sie nicht haben, öffnen Sie PowerShell und führen Sie diese Befehle aus:
    • Azure Az PowerShell-Modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-Modul: Install-Module -Name Az.Resources
    • Power Platform Admin PowerShell-Modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Klonen Sie das PowerApps-Samples-Repository auf GitHub zu einem Speicherort, an dem Sie PowerShell-Befehle ausführen können: git clone https://github.com/microsoft/PowerApps-Samples.git. Skripts sind in Unterordnern unter powershell/managed-identities/Sourceangeordnet. Führen Sie jedes Skript aus seinem spezifischen Unterordner aus, z. B. Source\Identity.
  • Es wird empfohlen, einen neuen Speichercontainer unter derselben Azure Ressourcengruppe zu erstellen, um dieses Feature zu integrieren.

Wichtig

Verschieben Sie Skripts nicht aus ihren Ordnern. Skripts basieren auf relativen Pfaden und freigegebenen Dateien in der Repositorystruktur.

Aktivieren der Unternehmensrichtlinie für das ausgewählte Azure-Abonnement

Wichtig

Sie müssen über Azure Abonnementbesitzer Rollenzugriff verfügen, um diese Aufgabe abzuschließen. Rufen Sie Ihre Azure Subscription ID auf der Übersichtsseite der Azure-Ressourcengruppe ab.

  1. Öffnen Sie Azure CLI als Administrator und melden Sie sich mit dem Befehl bei Ihrem Azure-Abonnement an: az login Weitere Informationen: Mit Azure CLI anmelden
  2. (Optional) Wenn Sie über mehrere Azure Abonnements verfügen, müssen Sie Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } ausführen, um Ihr Standardabonnement zu aktualisieren.
  3. Ändern Sie in PowerShell den Source Ordner innerhalb des Repositorys, den Sie als Teil von "Bevor Sie beginnen" geklont haben.
  4. Um die Unternehmensrichtlinie für das ausgewählte Azure-Abonnement zu aktivieren, führen Sie das PowerShell-Skript ./SetupSubscriptionForPowerPlatform.ps1 aus.
    • Geben Sie die Azure Abonnement-ID an.

Erstellen einer Unternehmensrichtlinie

Wichtig

Sie müssen Zugriff auf die Rolle Ressourcengruppenbesitzer von Azure haben, um diese Aufgabe zu erfüllen. Rufen Sie Ihre Azure Subscription-ID, Standort und Ressourcengruppe-Namen auf der Übersichtsseite für die Azure-Ressourcengruppe ab.

  1. Ändern Sie in PowerShell den Source\Identity Unterordner, und führen Sie das Skript aus, um die Unternehmensrichtlinie zu erstellen:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Geben Sie die Azure Abonnement-ID an.
    • Geben Sie den Namen der Azure Ressourcengruppe an.
    • Geben Sie den bevorzugten Namen der Unternehmensrichtlinie an.
    • Geben Sie den Speicherort der Azure-Ressourcengruppe an.

  2. Speichern Sie die Kopie der Ressourcen-ID nach Richtlinienerstellung.

Anmerkung

Im Folgenden sind die gültigen Standorteingaben aufgeführt, die für die Richtlinienerstellung unterstützt werden. Wählen Sie den Ort, der für Sie am besten geeignet ist.

Für Unternehmensrichtlinien verfügbare Standorte

Vereinigte Staaten EUAP

United States

Südafrika

UK

Australien

Südkorea

Japan

Indien

Frankreich

Europa

Asien

Norwegen

Deutschland

Schweiz

Kanada

Brasilien

VAE

Singapur

Gewähren des Lesezugriffs auf die Unternehmensrichtlinie über Azure

Dynamics 365 Administratoren und Power Platform-Administratoren können auf das Power Platform Admin Center zugreifen, um der Unternehmensrichtlinie Umgebungen zuzuweisen. Um auf die Unternehmensrichtlinien zuzugreifen, muss Azure Key Vault-Administratormitgliedschaft die Rolle Reader dem Dynamics 365- oder Power Platform-Administrator gewähren. Sobald die Leserrolle gewährt wurde, sehen die Dynamics 365- oder Power Platform-Administratoren die Unternehmensrichtlinien im Power Platform Admin Center.

Nur die Dynamics 365- und Power Platform-Administratoren, denen die Leserrolle für die Unternehmensrichtlinie gewährt wurde, können eine Umgebung zur Richtlinie hinzufügen. Andere Dynamics 365- und PowerPlatform-Administratoren können möglicherweise die Unternehmensrichtlinie anzeigen, aber sie erhalten eine Fehlermeldung, wenn sie versuchen, Umgebung hinzuzufügen.

Wichtig

Sie müssen Microsoft.Authorization/roleAssignments/write-Berechtigungen besitzen, wie z. B. Benutzerzugriff-Administrator oder Eigentümer, um diese Aufgabe abzuschließen.

  1. Melden Sie sich beim portal Azure an.
  2. Rufen Sie die Dynamics 365 Power Platform-Administratorbenutzer ObjectID ab.
    1. Gehen Sie zum Bereich Benutzer.
    2. Öffnen Sie den Dynamics 365- oder Power Platform-Administratorbenutzer.
    3. Kopieren Sie unter der Übersichtsseite für den Benutzer die ObjectID.
  3. Rufen Sie die Unternehmensrichtlinien-ID ab:
    1. Wechseln Sie zum Azure Resource Graph-Explorer.
    2. Führen Sie diese Abfrage aus: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Abfrage aus dem Azure Resource Graph Explorer ausführen
    3. Scrollen Sie auf der Ergebnisseite nach rechts und wählen Sie den Link Details anzeigen.
    4. Auf der Seite Details kopieren Sie die ID.
  4. Öffnen Sie Azure CLI, und führen Sie den folgenden Befehl aus, und ersetzen Sie den <objId> durch die ObjectID und die <EP Resource Id> durch die Unternehmensrichtlinien-ID.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Verbinden Sie die Unternehmensrichtlinie mit der Dataverse Umgebung

Wichtig

Sie müssen die Rolle des Power Platform-Administrators oder des Dynamics 365-Administrators haben, um diese Aufgabe auszuführen. Sie müssen die Leser-Rolle für die Unternehmensrichtlinie haben, um diese Aufgabe auszuführen.

  1. Rufen Sie die Dataverse-Umgebungs-ID ab.
    1. Melden Sie sich beim Power Platform Admin Center an.
    2. Wählen Sie Verwalten>Umgebungen aus und öffnen Sie dann Ihre Umgebung.
    3. Im Details-Abschnitt kopieren Sie die Umgebungs-ID.
  2. Führen Sie im Source\Identity Unterordner dieses PowerShell-Skript aus: ./NewIdentity.ps1
    • Dataverse-Umgebungs-ID bereitstellen.
    • Geben Sie die ResourceId an.
      StatusCode = 202 zeigt an, dass der Link erfolgreich erstellt wurde.
  3. Melden Sie sich beim Power Platform Admin Center an.
  4. Wählen Sie Verwalten>Umgebungen aus und öffnen Sie dann die Umgebung, die Sie zuvor angegeben haben.
  5. Wählen Sie im Bereich Letzte Vorgänge die Option Vollständiger Verlauf, um die Verbindung der neuen Identität zu validieren.

Konfigurieren des Netzwerkzugriffs auf die Azure Data Lake Storage Gen2

Wichtig

Sie müssen über eine Azure Data Lake Storage Gen2 Owner Rolle verfügen, um diese Aufgabe abzuschließen.

  1. Wechseln Sie zum portal Azure.

  2. Öffnen Sie das Speicherkonto, das mit Ihrem Azure Synapse Link für Dataverse-Profil verbunden ist.

  3. Wählen Sie im linken Navigationsbereich Netzwerk aus. Wählen Sie dann auf der Registerkarte Firewalls und virtuelle Netzwerke die folgenden Einstellungen:

    1. Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen.
    2. Wählen Sie unter Ressourceninstanzen die Option Erlaube Azure-Diensten in der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto aus.

  4. Wählen Sie Speichern aus.

Konfigurieren des Netzwerkzugriffs auf den Azure Synapse Arbeitsbereich

Wichtig

Sie müssen über einen Azure Synapse-Administrator verfügen, um diese Aufgabe abzuschließen.

  1. Wechseln Sie zum portal Azure.
  2. Öffnen Sie den Azure Synapse Arbeitsbereich, der mit Ihrem Azure Synapse Link für Dataverse-Profil verbunden ist.
  3. Wählen Sie im linken Navigationsbereich Netzwerk aus.
  4. Wählen Sie Erlaube Azure-Dienste und -Ressourcen, damit sie auf diesen Arbeitsbereich zugreifen können.
  5. Wenn es IP-Firewall-Regeln gibt, die für alle IP-Bereiche erstellt wurden, löschen Sie sie, um den Zugriff auf das öffentliche Netzwerk einzuschränken. Azure Synapse Arbeitsbereichsnetzwerkeinstellungen
  6. Fügen Sie eine neue IP-Firewall-Regel basierend auf der Client-IP-Adresse hinzu.
  7. Wählen Sie Speichern aus, wenn Sie fertig sind. Weitere Informationen: Azure Synapse Analytics IP-Firewallregeln

Wichtig

Dataverse: Sie müssen über die Sicherheitsrolle Dataverse Systemadministrator verfügen. Darüber hinaus müssen Tabellen, die Sie über Azure Synapse Link exportieren möchten, die Track-Änderungen-Eigenschaft aktiviert haben. Weitere Informationen: Erweiterte Optionen

Azure Data Lake Storage Gen2: Sie müssen über ein Azure Data Lake Storage Gen2 Konto und Owner und Storage Blob Data Contributor Rollenzugriff verfügen. Ihr Speicherkonto muss den Hierarchical Namespace sowohl für die Ersteinrichtung als auch für die Deltasynchronisierung aktivieren. Speicherkontoschlüsselzugriff zulassen ist nur für die Ersteinrichtung erforderlich.

Synapse-Arbeitsbereich: Sie müssen über einen Synapse-Arbeitsbereich und den Synapse Administrator Rollenzugriff innerhalb des Synapse Studio verfügen. Der Synapse-Arbeitsbereich muss sich in derselben Region wie Ihr Azure Data Lake Storage Gen2 Konto befinden. Das Speicherkonto muss innerhalb des Synapse Studio als verknüpfter Dienst hinzugefügt werden. Um einen Synapse-Arbeitsbereich zu erstellen, gehen Sie zu Einen Synapse-Arbeitsbereich erstellen.

Wenn Sie den Link erstellen, erhält Azure Synapse Link für Dataverse Details zur derzeit verknüpften Unternehmensrichtlinie in der Dataverse-Umgebung und zwischenspeichert dann die Identitäts-Clientgeheimnis-URL, um eine Verbindung zu Azure herzustellen.

  1. Melden Sie sich bei Power Apps an, und wählen Sie Ihre Umgebung aus.
  2. Wählen Sie im linken Navigationsbereich Azure Synapse Link aus, und wählen Sie dann + Neuer Link aus. Wenn sich das Element nicht im linken Seitenbereich befindet, wählen Sie …Mehr und dann das gewünschte Element aus.
  3. Füllen Sie die entsprechenden Felder entsprechend der beabsichtigten Einrichtung aus. Wählen Sie das Abonnement, die Ressourcengruppe, und das Speicherkonto. Um Dataverse mit dem Synapse-Arbeitsbereich zu verbinden, wählen Sie die Option Verbinden mit Ihrem Azure Synapse Arbeitsbereich aus. Wählen Sie für die Delta Lake-Datenkonvertierung einen Spark-Pool aus.
  4. Wählen Sie Wählen Sie Unternehmensrichtlinie mit verwalteter Dienstidentität, und wählen Sie dann Weiter.
  5. Fügen Sie die Tabellen hinzu, die Sie exportieren möchten, und wählen Sie dann Speichern.

Anmerkung

Um den Befehl Verwaltete Identität verwenden in Power Apps verfügbar zu machen, müssen Sie das oben beschriebene Setup abschließen, um die Unternehmensrichtlinie mit Ihrer Dataverse-Umgebung zu verbinden. Weitere Informationen: Verbinden Sie die Unternehmensrichtlinie mit der Dataverse Umgebung

  1. Gehen Sie in Power Apps (make.powerapps.com) zu einem vorhandenen Synapse Link-Profil.
  2. Wählen Sie Verwaltete Identität verwenden und bestätigen Sie dann. Befehl

Problembehandlung

Wenn Sie während der Linkerstellung 403-Fehler erhalten:

  • Verwaltete Identitäten benötigen zusätzliche Zeit, um während der anfänglichen Synchronisierung vorübergehende Berechtigungen zu erteilen. Geben Sie ihm etwas Zeit und versuchen Sie es später erneut.
  • Stellen Sie sicher, dass der verknüpfte Speicher nicht über den vorhandenen Dataverse Container(dataverse-environmentName-organizationUniqueName) aus derselben Umgebung verfügt.
  • Sie können die verknüpfte Unternehmensrichtlinie und policyArmId identifizieren, indem Sie das PowerShell-Skript ./GetIdentityEnterprisePolicyforEnvironment.ps1 aus dem Unterordner Source\Identity mit dem Namen Azure Subscription ID und Resource group ausführen.
  • Sie können die Verknüpfung der Unternehmensrichtlinie aufheben, indem Sie das PowerShell-Skript ./RevertIdentity.ps1 aus dem Source\Identity Unterordner ausführen, mit der Dataverse-Umgebungs-ID und policyArmId.
  • Sie können die Unternehmensrichtlinie entfernen, indem Sie das PowerShell-Skript ausführen .\RemoveIdentityEnterprisePolicy.ps1 aus dem Source\Identity Unterordner mit policyArmId.

Bekannte Einschränkung

Es kann immer nur eine Unternehmensrichtlinie gleichzeitig eine Verbindung mit der Dataverse-Umgebung herstellen. Wenn Sie mehrere Azure Synapse Link Verknüpfungen mit aktivierter verwalteter Identität erstellen müssen, stellen Sie sicher, dass alle verknüpften Azure Ressourcen unter derselben Ressourcengruppe liegen.

Siehe auch

Was ist Azure Synapse Link für Dataverse?

  • Last updated on