Verwenden Sie verwaltete Identitäten für Azure mit Ihrem Azure Data Lake Storage

Azure Data Lake Storage bietet ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie die Zugriffsebene auf Ihre Speicherkonten sichern und steuern, die Ihre Anwendungen und Unternehmensumgebungen erfordern, basierend auf dem Typ und der Teilmenge der verwendeten Netzwerke oder Ressourcen. Wenn Netzwerkregeln konfiguriert sind, können nur Anwendungen, die Daten über den angegebenen Satz von Netzwerken oder über den angegebenen Satz von Azure-Ressourcen anfordern, auf ein Speicherkonto zugreifen. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die von bestimmten IP-Adressen, IP-Bereichen, Subnetzen in einem virtuellen Azure-Netzwerk (VNet) oder Ressourceninstanzen einiger Azure-Dienste stammen.

Verwaltete Identitäten für Azure, früher als verwaltete Dienstentität (MSI) bezeichnet, helfen bei der Verwaltung von Geheimnissen. Microsoft Dataverse Kunden, die Azure Funktionen verwenden, erstellen eine verwaltete Identität (Teil der Erstellung von Unternehmensrichtlinien), die für eine oder mehrere Dataverse-Umgebungen verwendet werden kann. Diese verwaltete Identität, die in Ihrem Mandanten bereitgestellt wird, wird dann von Dataverse verwendet, um auf Ihren Azure Data Lake zuzugreifen.

Bei verwalteten Identitäten ist der Zugriff auf Ihr Speicherkonto auf Anfragen beschränkt, die von der Dataverse Umgebung stammen, die mit Ihrem Mieter verbunden ist. Wenn Dataverse sich in Ihrem Namen mit dem Speicher verbindet, enthält es zusätzliche Kontextinformationen, um zu beweisen, dass die Anfrage aus einer sicheren, vertrauenswürdigen Umgebung stammt. Dies ermöglicht dem Speicher Dataverse-Zugriff auf Ihr Speicherkonto zu gewähren. Verwaltete Identitäten werden verwendet, um die Kontextinformationen zu signieren, um Vertrauen herzustellen. Dadurch wird zusätzlich zur Netzwerk- und Infrastruktursicherheit, die von Azure für Verbindungen zwischen Azure-Diensten bereitgestellt wird, Sicherheit auf Anwendungsebene hinzugefügt.

Bevor Sie beginnen

  • Azure CLI ist auf Ihrem lokalen Computer erforderlich. Herunterladen und installieren
  • Sie benötigen die folgenden PowerShell-Module. Wenn Sie sie nicht haben, öffnen Sie PowerShell und führen Sie diese Befehle aus:
    • Azure Az PowerShell-Modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-Modul: Install-Module -Name Az.Resources
    • Power Platform Admin PowerShell-Modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Klonen Sie das PowerApps-Samples-Repository auf GitHub zu einem Speicherort, an dem Sie PowerShell-Befehle ausführen können: git clone https://github.com/microsoft/PowerApps-Samples.git. Skripts sind in Unterordnern unter powershell/managed-identities/Sourceangeordnet. Führen Sie jedes Skript aus seinem spezifischen Unterordner aus, z. B. Source\Identity.
  • Wir empfehlen, dass Sie einen neuen Speichercontainer unter derselben Azure-Ressourcengruppe erstellen, um dieses Feature zu integrieren.

Wichtig

Verschieben Sie Skripts nicht aus ihren Ordnern. Skripts basieren auf relativen Pfaden und freigegebenen Dateien in der Repositorystruktur.

Aktivieren Sie die Unternehmensrichtlinie für das ausgewählte Azure-Abonnement

Wichtig

Sie müssen Azure-Abonnementbesitzer-Rollenzugriff haben, um diese Aufgabe abzuschließen. Besorgen Sie sich Ihr Azure Abonnement-ID auf der Übersichtsseite für die Azure-Ressourcengruppe.

  1. Öffnen Sie die Azure CLI mit der Option 'Als Administrator ausführen' und melden Sie sich mit dem folgenden Befehl bei Ihrem Azure-Abonnement an: az login. Weitere Informationen: Anmelden mit der Azure CLI.
  2. (Optional) Wenn Sie über mehrere Azure-Abonnements verfügen, stellen Sie sicher, dass Sie Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } ausführen, um Ihr Standardabonnement zu aktualisieren.
  3. Ändern Sie in PowerShell den Source Ordner innerhalb des Repositorys, den Sie als Teil von "Bevor Sie beginnen" geklont haben.
  4. Um die Unternehmensrichtlinie für das ausgewählte Azure-Abonnement zu aktivieren, führen Sie das PowerShell-Skript ./SetupSubscriptionForPowerPlatform.ps1 aus.
    • Geben Sie die Azure Abonnement-ID an.

Erstellen einer Unternehmensrichtlinie

Wichtig

Sie müssen Zugriff auf die Rolle Ressourcengruppenbesitzer von Azure haben, um diese Aufgabe zu erfüllen. Rufen Sie Ihre Azure-Abonnement-ID, Ihren Standort und den Namen der Ressourcengruppe von der Übersichtsseite der Azure-Ressourcengruppe ab.

  1. Ändern Sie in PowerShell den Source\Identity Unterordner, und führen Sie das Skript aus, um die Unternehmensrichtlinie zu erstellen:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Geben Sie die Azure Abonnement-ID an.
    • Geben Sie den Namen der Azure-Ressourcengruppe an.
    • Geben Sie den bevorzugten Namen der Unternehmensrichtlinie an.
    • Geben Sie den Speicherort der Azure-Ressourcengruppe an.

  2. Speichern Sie die Kopie der Ressourcen-ID nach Richtlinienerstellung.

Schein

Im Folgenden sind die gültigen Standorteingaben aufgeführt, die für die Richtlinienerstellung unterstützt werden. Wählen Sie den Ort, der für Sie am besten geeignet ist.

Für Unternehmensrichtlinien verfügbare Standorte

Vereinigte Staaten EUAP

USA

Südafrika

Vereinigtes Königreich

Australien

Südkorea

Japan

Indien

Frankreich

Europa

Asia

Norwegen

Deutschland

Schweiz

Kanada

Brasilien

VAE

Singapur

Gewähren Sie Lesezugriff auf die Unternehmensrichtlinie über Azure

Dynamics 365 Administratoren und Power Platform-Administratoren können auf das Power Platform Admin Center zugreifen, um der Unternehmensrichtlinie Umgebungen zuzuweisen. Um auf die Unternehmensrichtlinien zugreifen zu können, ist die Azure Key Vault-Administrationsmitgliedschaft erforderlich, um die Leserrolle der Fachkraft für die Dynamics 365- oder Power Platform-Administration gewähren zu können. Sobald die Leserrolle erteilt wurde, sehen die Fachkräfte für die Dynamics 365- oder Power Platform-Administration die Unternehmensrichtlinien im Power Platform-Admin Center.

Nur die Dynamics 365- und Power Platform-Administratoren, denen die Leserrolle für die Unternehmensrichtlinie gewährt wurde, können eine Umgebung zur Richtlinie hinzufügen. Andere Dynamics 365- und Power Platform-Administratoren können die Unternehmensrichtlinie möglicherweise anzeigen, aber sie erhalten eine Fehlermeldung, wenn sie versuchen, eine Umgebung hinzuzufügen.

Wichtig

Sie müssen Microsoft.Authorization/roleAssignments/write-Berechtigungen besitzen, wie z. B. Benutzerzugriff-Administrator oder Eigentümer, um diese Aufgabe abzuschließen.

  1. Melde dich beim Azure-Portal an.
  2. Rufen Sie die ObjectID des Dynamics 365 Power Platform Admin-Benutzers ab.
    1. Gehen Sie zum Bereich Benutzer.
    2. Öffnen Sie den Dynamics 365- oder Power Platform-Administratorbenutzer.
    3. Kopieren Sie unter der Übersichtsseite für den Benutzer die ObjectID.
  3. Rufen Sie die Unternehmensrichtlinien-ID ab:
    1. Wechseln Sie zum Azure Resource Graph-Explorer.
    2. Führen Sie diese Abfrage aus: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Abfrage aus dem Azure Resource Graph Explorer ausführen
    3. Scrollen Sie auf der Ergebnisseite nach rechts und wählen Sie den Link Details anzeigen.
    4. Auf der Seite Details kopieren Sie die ID.
  4. Öffnen Sie die Azure-Befehlszeilenschnittstelle und führen Sie den folgenden Befehl aus, wobei Sie <objId> durch die ObjectID des Benutzers und <EP Resource Id> durch die Unternehmensrichtlinien-ID ersetzen.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Verbinden Sie die Unternehmensrichtlinie mit der Dataverse Umgebung

Wichtig

Sie müssen die Rolle des Power Platform-Administrators oder des Dynamics 365-Administrators haben, um diese Aufgabe auszuführen. Sie müssen die Leser-Rolle für die Unternehmensrichtlinie haben, um diese Aufgabe auszuführen.

  1. Rufen Sie die Dataverse-Umgebungs-ID ab.
    1. Melden Sie sich beim Power Platform Admin Center an.
    2. Wählen Sie Verwalten>Umgebungen aus und öffnen Sie dann Ihre Umgebung.
    3. Im Details-Abschnitt kopieren Sie die Umgebungs-ID.
  2. Führen Sie im Source\Identity Unterordner dieses PowerShell-Skript aus: ./NewIdentity.ps1
    • Dataverse-Umgebungs-ID bereitstellen.
    • Geben Sie die ResourceId an.
      StatusCode = 202 zeigt an, dass der Link erfolgreich erstellt wurde.
  3. Melden Sie sich beim Power Platform Admin Center an.
  4. Wählen Sie Verwalten>Umgebungen aus und öffnen Sie dann die Umgebung, die Sie zuvor angegeben haben.
  5. Wählen Sie im Bereich Letzte Vorgänge die Option Vollständiger Verlauf, um die Verbindung der neuen Identität zu validieren.

Konfigurieren Sie den Netzwerkzugriff auf Azure Data Lake Storage Gen2

Wichtig

Sie müssen eine Azure Data Lake Storage Gen2-Besitzer-Rolle haben, um diese Aufgabe zu erledigen.

  1. Gehen Sie zu Azure-Portal.

  2. Öffnen Sie das Speicherkonto, das mit Ihrem Azure Synapse Link für Dataverse-Profil verbunden ist.

  3. Wählen Sie im linken Navigationsbereich Netzwerk aus. Wählen Sie dann auf der Registerkarte Firewalls und virtuelle Netzwerke die folgenden Einstellungen:

    1. Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen.
    2. Wählen Sie unter Ressourceninstanzen die Option Erlaube Azure-Diensten in der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto aus.

  4. Wählen Sie Speichern.

Konfigurieren Sie den Netzwerkzugriff auf Azure Synapse Workspace

Wichtig

Sie müssen eine Azure Synapse-Administrator-Rolle haben, um diese Aufgabe zu erledigen.

  1. Gehen Sie zu Azure-Portal.
  2. Öffnen Sie den Azure Synapse Arbeitsbereich, der mit Ihrem Azure Synapse Link für Dataverse-Profil verbunden ist.
  3. Wählen Sie im linken Navigationsbereich Netzwerk aus.
  4. Wählen Sie Erlaube Azure-Dienste und -Ressourcen, damit sie auf diesen Arbeitsbereich zugreifen können.
  5. Wenn es IP-Firewall-Regeln gibt, die für alle IP-Bereiche erstellt wurden, löschen Sie sie, um den Zugriff auf das öffentliche Netzwerk einzuschränken. Netzwerkeinstellungen für den Azure Synapse workspace
  6. Fügen Sie eine neue IP-Firewall-Regel basierend auf der Client-IP-Adresse hinzu.
  7. Wenn Sie damit fertig sind, wählen Sie Speichern aus. Mehr Informationen: IP-Firewall-Regeln in Azure Synapse Analytics

Wichtig

Dataverse: Sie müssen über die Sicherheitsrolle Dataverse Systemadministrator verfügen. Darüber hinaus muss bei Tabellen, die Sie über Azure Synapse Link exportieren möchten, die Eigenschaft Änderungen nachverfolgen aktiviert sein. Weitere Informationen: Erweiterte Optionen

Azure Data Lake Storage Gen2: Sie müssen über ein Azure Data Lake Storage Gen2 Konto und Owner und Storage Blob Data Contributor Rollenzugriff verfügen. Ihr Speicherkonto muss den Hierarchischen Namespace sowohl für die Ersteinrichtung als auch für die Deltasynchronisierung aktivieren. Speicherkontoschlüsselzugriff zulassen ist nur für die Ersteinrichtung erforderlich.

Synapse-Arbeitsbereich: Sie müssen über einen Synapse-Arbeitsbereich und den Synapse Administrator Rollenzugriff innerhalb des Synapse Studio verfügen. Der Synapse-Arbeitsbereich muss sich in derselben Region befinden wie Ihr Azure Data Lake Storage Gen2-Konto. Das Speicherkonto muss innerhalb des Synapse Studio als verknüpfter Dienst hinzugefügt werden. Um einen Synapse-Arbeitsbereich zu erstellen, gehen Sie zu Einen Synapse-Arbeitsbereich erstellen.

Wenn Sie den Link erstellen, erhält Azure Synapse Link für Dataverse Details zur derzeit verknüpften Unternehmensrichtlinie in der Dataverse-Umgebung und zwischenspeichert dann die Identitäts-Clientgeheimnis-URL, um eine Verbindung zu Azure herzustellen.

  1. Melden Sie sich bei Power Apps an, und wählen Sie Ihre Umgebung aus.
  2. Wählen Sie im linken Navigationsbereich Azure Synapse Link und dann + Neue Verknüpfung aus. Wenn sich das Element nicht im linken Seitenbereich befindet, wählen Sie …Mehr und dann das gewünschte Element aus.
  3. Füllen Sie die entsprechenden Felder entsprechend der beabsichtigten Einrichtung aus. Wählen Sie das Abonnement, die Ressourcengruppe, und das Speicherkonto. Um Dataverse mit dem Synapse-Arbeitsbereich zu verbinden, wählen Sie die Option Verbinden mit Ihrem Azure Synapse Arbeitsbereich aus. Wählen Sie für die Delta Lake-Datenkonvertierung einen Spark-Pool aus.
  4. Wählen Sie Wählen Sie Unternehmensrichtlinie mit verwalteter Dienstidentität, und wählen Sie dann Weiter.
  5. Fügen Sie die Tabellen hinzu, die Sie exportieren möchten, und wählen Sie dann Speichern.

Schein

Um den Befehl Verwaltete Identität verwenden in Power Apps verfügbar zu machen, müssen Sie das oben beschriebene Setup abschließen, um die Unternehmensrichtlinie mit Ihrer Dataverse-Umgebung zu verbinden. Weitere Informationen: Verbinden Sie die Unternehmensrichtlinie mit der Dataverse Umgebung

  1. Gehen Sie zu einem vorhandenen Synapse Link-Profil von Power Apps (make.powerapps.com).
  2. Wählen Sie Verwaltete Identität verwenden und bestätigen Sie dann. Den verwalteten Identitätsbefehl in Power Apps verwenden

Problembehandlung

Wenn Sie während der Linkerstellung 403-Fehler erhalten:

  • Verwaltete Identitäten benötigen zusätzliche Zeit, um während der anfänglichen Synchronisierung vorübergehende Berechtigungen zu erteilen. Geben Sie ihm etwas Zeit und versuchen Sie es später erneut.
  • Stellen Sie sicher, dass der verknüpfte Speicher nicht über den vorhandenen Dataverse Container(dataverse-environmentName-organizationUniqueName) aus derselben Umgebung verfügt.
  • Sie können die verknüpfte Unternehmensrichtlinie und policyArmId identifizieren, indem Sie das PowerShell-Skript ./GetIdentityEnterprisePolicyforEnvironment.ps1 aus dem Unterordner Source\Identity mit dem Namen Azure Subscription ID und Resource group ausführen.
  • Sie können die Verknüpfung der Unternehmensrichtlinie aufheben, indem Sie das PowerShell-Skript ./RevertIdentity.ps1 aus dem Source\Identity Unterordner ausführen, mit der Dataverse-Umgebungs-ID und policyArmId.
  • Sie können die Unternehmensrichtlinie entfernen, indem Sie das PowerShell-Skript ausführen .\RemoveIdentityEnterprisePolicy.ps1 aus dem Source\Identity Unterordner mit policyArmId.

Bekannte Einschränkung

Es kann immer nur eine Unternehmensrichtlinie gleichzeitig eine Verbindung mit der Dataverse-Umgebung herstellen. Wenn Sie mehrere Azure Synapse Link-Verknüpfungen mit aktivierter verwalteter Identität erstellen müssen, stellen Sie sicher, dass sich alle verknüpften Azure-Ressourcen in derselben Ressourcengruppe befinden.

Siehe auch

Was ist Azure Synapse Link für Dataverse?

  • Last updated on