Utiliser des identités gérées d'Azure avec votre stockage Azure Data Lake

Azure Data Lake Storage fournit un modèle de sécurité en couches. Ce modèle vous permet de sécuriser et de contrôler le niveau d’accès à vos comptes de stockage requis par vos applications et vos environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources utilisés. Lorsque les règles du réseau sont configurées, seules les applications qui demandent des données sur l’ensemble spécifié de réseaux ou via l’ensemble spécifié de ressources Azure peuvent accéder à un compte de stockage. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP, de plages d’adresses IP, de sous-réseaux spécifiés dans un réseau virtuel Azure (VNet) ou d’instances de ressources de certains services Azure.

Les identités managées pour Azure, anciennement appelées Managed Service Identity (MSI), facilitent la gestion des secrets. Les clients Microsoft Dataverse qui utilisent les fonctionnalités Azure créent une identité managée (partie de la création de la stratégie d’entreprise) qui peut être utilisée pour un ou plusieurs environnements Dataverse. Cette identité managée qui sera provisionnée dans votre locataire est ensuite utilisée par Dataverse pour accéder à votre lac de données Azure.

Avec les identités managées, l’accès à votre compte de stockage est limité aux demandes provenant de l’environnement Dataverse associé à votre locataire. Lorsque Dataverse se connecte au stockage en votre nom, il inclut des informations contextuelles supplémentaires pour prouver que la demande provient d’un environnement sécurisé et approuvé. Cela permet au stockage d’accorder à Dataverse l’accès à votre compte de stockage. Les identités managées sont utilisées pour signer les informations de contexte afin d’établir la confiance. Cela ajoute une sécurité au niveau de l’application en plus de la sécurité du réseau et de l’infrastructure fournie par Azure pour les connexions entre les services Azure.

Avant de commencer

  • Azure CLI est requis sur votre ordinateur local. Télécharger et installer
  • Vous avez besoin des modules PowerShell suivants. Si vous ne les avez pas, ouvrez PowerShell et exécutez ces commandes :
    • module Azure Az PowerShell : Install-Module -Name Az
    • Module PowerShell Azure Az.Resources : Install-Module -Name Az.Resources
    • Module PowerShell d’administration de Power Platform : Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Clonez le référentiel PowerApps-Samples sur GitHub à un emplacement où vous pouvez exécuter des commandes PowerShell : git clone https://github.com/microsoft/PowerApps-Samples.git. Les scripts sont organisés dans les sous-dossiers sous powershell/managed-identities/Source. Exécutez chaque script à partir de son sous-dossier spécifique, par exemple Source\Identity.
  • Nous vous recommandons de créer un nouveau conteneur de stockage dans le même groupe de ressources Azure pour intégrer cette fonctionnalité.

Important

Ne déplacez pas les scripts hors de leurs dossiers. Les scripts s’appuient sur des chemins d’accès relatifs et des fichiers partagés dans la structure du référentiel.

Activer la stratégie d’entreprise pour l’abonnement Azure sélectionné

Important

Vous devez avoir l’accès au rôle Propriétaire de l’abonnement Azure pour effectuer cette tâche. Obtenez votre ID d’abonnement Azure à partir de la page de présentation du groupe de ressources Azure.

  1. Ouvrez Azure CLI avec exécution en tant qu’administrateur et connectez-vous à votre abonnement Azure à l’aide de la commande : az login Pour plus d’informations, voir Se connecter à Azure CLI
  2. (Facultatif) si vous avez plusieurs abonnements Azure, assurez-vous d’exécuter Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } pour mettre à jour votre abonnement par défaut.
  3. Dans PowerShell, accédez au Source dossier dans le référentiel que vous avez cloné dans le cadre de Avant de commencer.
  4. Pour activer la stratégie d’entreprise pour l’abonnement Azure sélectionné, exécutez le script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Fournissez l’ID d’abonnement Azure.

Créer une stratégie d’entreprise

Important

Vous devez avoir l’accès au rôle Propriétaire du groupe de ressources Azure pour effectuer cette tâche. Obtenez votre ID d’abonnement, Emplacement et nom du Groupe de ressources Azure, à partir de la page de présentation du groupe de ressources Azure.

  1. Dans PowerShell, accédez au Source\Identity sous-dossier et exécutez le script pour créer la stratégie d’entreprise :

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Fournissez l’ID d’abonnement Azure.
    • Indiquez le nom du groupe de ressources Azure.
    • Indiquez le nom de la stratégie d’entreprise préférée.
    • Indiquez l’emplacement du groupe de ressources Azure.

  2. Enregistrez la copie de ResourceId après la création de la stratégie.

Note

Voici les entrées d’emplacement valides prises en charge pour la création de la stratégie. Sélectionnez l’emplacement le plus approprié pour vous.

Emplacements disponibles pour la stratégie d’entreprise

États-Unis EUAP

États-Unis

Afrique du Sud

Royaume-Uni

Australie

Corée

Japon

Inde

France

Europe

Asia

Norvège

Allemagne

Suisse

Canada

Brésil

Émirats arabes unis

Singapour

Accorder au lecteur l’accès à la stratégie d’entreprise via Azure

Les administrateurs Dynamics 365 et les administrateurs Power Platform peuvent accéder au centre d’administration Power Platform pour affecter des environnements à la stratégie d’entreprise. Pour accéder aux stratégies d’entreprise, l’appartenance à l’administrateur Azure Key Vault est nécessaire pour accorder le rôle de lecteur à l’administrateur Dynamics 365 ou Power Platform. Une fois le rôle de lecteur accordé, les administrateurs Dynamics 365 ou Power Platform verront les stratégies d’entreprise dans le centre d’administration Power Platform.

Seuls les administrateurs Dynamics 365 et Power Platform qui ont obtenu le rôle de lecteur pour la stratégie d’entreprise peuvent ajouter un environnement à la stratégie. D'autres administrateurs Dynamics 365 et PowerPlatform peuvent être en mesure d'afficher la stratégie d'entreprise, mais ils recevront une erreur lorsqu'ils essaient d'ajouter un environnement.

Important

Vous devez avoir des autorisations Microsoft.Authorization/roleAssignments/write, telles que Administrateur de l’accès utilisateur ou Propriétaire pour mener à bien cette tâche.

  1. Connectez-vous au portail Azure.
  2. Obtenez l’ObjectID de l’utilisateur administrateur de la plateforme Power de Dynamics 365.
    1. Accédez à la zone Utilisateurs.
    2. Ouvrez l’utilisateur administrateur Dynamics 365 ou Power Platform.
    3. Sous la page de présentation de l’utilisateur, copiez l’ObjectID.
  3. Obtenez l’ID des stratégies d’entreprise :
    1. Accédez à Azure Resource Graph Explorer.
    2. Exécutez cette requête : resources | where type == 'microsoft.powerplatform/enterprisepolicies'Exécuter une requête depuis Azure Resource Graph Explorer
    3. Faites défiler vers la droite de la page des résultats et sélectionnez le lien Voir les détails.
    4. Sur la page Détails, copiez l’ID.
  4. Ouvrez Azure CLI et exécutez la commande suivante, en remplaçant le <objId> par le ObjectID de l’utilisateur et le <EP Resource Id> par l’ID de stratégie d’entreprise.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Connecter la stratégie d’entreprise à l’environnement Dataverse

Important

Vous devez avoir le rôle Administrateur Power Platform ou Administrateur Dynamics 365 pour exécuter cette tâche. Vous devez avoir le rôle Lecteur de la stratégie d’entreprise pour effectuer cette tâche.

  1. Obtenez l’ID de l’environnement Dataverse.
    1. Connectez-vous au Centre d’administration de Power Platform.
    2. Sélectionnez Gérer>Environnements, puis ouvrez votre environnement.
    3. Dans la section Détails, copiez l’ID d’environnement.
  2. À partir du Source\Identity sous-dossier, exécutez ce script PowerShell : ./NewIdentity.ps1
    • Indiquez l’ID de l’environnement Dataverse.
    • Indiquez le ResourceId.
      StatusCode = 202 indique que le lien a été créé avec succès.
  3. Connectez-vous au Centre d’administration de Power Platform.
  4. Sélectionnez Gérer>environnements, puis ouvrez l’environnement que vous avez spécifié précédemment.
  5. Dans la zone Opérations récentes, sélectionnez Historique complet pour valider la connexion de la nouvelle identité.

Configurer l’accès réseau à Azure Data Lake Storage Gen2

Important

Vous devez disposer d’un rôle Azure Data Lake Storage Gen2 Owner pour effectuer cette tâche.

  1. Accédez au Portail Azure.

  2. Ouvrez le compte de stockage connecté à votre profil Azure Synapse Link pour Dataverse.

  3. Dans le volet de navigation de gauche, sélectionnez Mise en réseau. Ensuite, dans l’onglet Pare-feux et réseaux virtuels, sélectionnez les paramètres suivants :

    1. Activé à partir des réseaux virtuels et des adresses IP sélectionnés.
    2. Sous Instances de ressources, sélectionnez Autoriser les services Azure sur la liste des services approuvés à accéder à ce compte de stockage

  4. Cliquez sur Enregistrer.

Configurer l’accès réseau à l’espace de travail Azure Synapse

Important

Vous devez disposer d’un rôle d’administrateur Azure Synapse pour effectuer cette tâche.

  1. Accédez au Portail Azure.
  2. Ouvrez l’espace de travail Azure Synapse connecté à votre profil Azure Synapse Link for Dataverse.
  3. Dans le volet de navigation de gauche, sélectionnez Mise en réseau.
  4. Sélectionnez Autoriser les services et ressources Azure pour accéder à cet espace de travail.
  5. S’il y a des Règles de pare-feu IP créées pour toutes les plages d’adresses IP, supprimez-les pour restreindre l’accès au réseau public. Paramètres réseau d’Azure Synapse workspace
  6. Ajoutez une nouvelle Règle de pare-feu IP en fonction de l’adresse IP du client.
  7. Sélectionnez Enregistrer lorsque vous avez terminé. Plus d’informations : Azure Synapse Analytics règles de pare-feu IP

Important

Dataverse : vous devez disposer du rôle de sécurité Dataverse Administrateur système. En outre, les tables que vous souhaitez exporter via Azure Synapse Link doivent avoir la propriété Suivi des modifications activée. Plus d’informations : Options avancées

Azure Data Lake Storage Gen2 : vous devez avoir un compte Azure Data Lake Storage Gen2 et un accès au rôle de Propriétaire et de Contributeur aux données d’objets Blob de stockage. Votre compte de stockage doit activer Espace de noms hiérarchique pour la configuration initiale et la synchronisation delta. Autoriser l’accès à la clé du compte de stockage est requis uniquement pour la configuration initiale.

Espace de travail Synapse : vous devez disposer d’un espace de travail Synapse et de l’accès au rôle Synapse Administrator dans le Synapse Studio. L’espace de travail Synapse doit se trouver dans la même région que votre compte Azure Data Lake Storage Gen2. Le compte de stockage doit être ajouté en tant que service lié dans Synapse Studio. Pour créer un espace de travail Synapse, accédez à Création d’un espace de travail Synapse.

Lorsque vous créez le lien, Azure Synapse Link pour Dataverse obtient des détails sur la stratégie d'entreprise actuellement liée dans l'environnement Dataverse, puis met en cache l'URL du secret client d'identité pour se connecter à Azure.

  1. Connectez-vous à Power Apps et sélectionnez votre environnement.
  2. Dans le volet de navigation gauche, sélectionnez Azure Synapse Link, puis sélectionnez + Nouveau lien. Si l’élément ne se trouve pas dans le volet latéral, sélectionnez …Plus, puis sélectionnez l’élément souhaité.
  3. Remplissez les champs appropriés, en fonction de la configuration prévue. Sélectionnez Abonnement, Groupe de ressources et Compte de stockage. Pour connecter Dataverse à l’espace de travail Synapse, sélectionnez l’option Se connecter à votre Azure Synapse workspace. Pour la conversion des données Delta Lake, sélectionnez un pool Spark.
  4. Sélectionnez Sélectionner la stratégie d’entreprise avec Managed Service Identity, puis sélectionnez Suivant.
  5. Ajoutez les tables à exporter, puis sélectionnez Enregistrer.

Note

Pour rendre la commande Utiliser l’identité managée disponible dans Power Apps, vous devez terminer la configuration ci-dessus pour connecter la stratégie d’entreprise à votre environnement Dataverse. Pour plus d’informations : Connecter la politique d’entreprise à un environnement Dataverse

  1. Accédez à un profil Synapse Link existant à partir de Power Apps (make.powerapps.com).
  2. Sélectionnez Utiliser l’identité managée, puis confirmez. Utiliser la commande d’identité managée dans Power Apps

Dépannage

Si vous recevez des erreurs 403 lors de la création du lien :

  • Les identités managées prennent plus de temps pour accorder une autorisation provisoire lors de la synchronisation initiale. Patientez quelques instances et recommencez l’opération plus tard.
  • Assurez-vous que le stockage lié n’a pas le conteneur Dataverse existant (dataverse-environmentName-organizationUniqueName) du même environnement.
  • Vous pouvez identifier la stratégie d’entreprise liée et en exécutant le script PowerShell à partir du sous-dossier , avec l’ID d’abonnement Azure et le nom du groupe de ressources .
  • Vous pouvez dissocier la politique d’entreprise en exécutant le script PowerShell ./RevertIdentity.ps1 depuis le sous-dossier Source\Identity, avec l’ID de l’environnement Dataverse et policyArmId.
  • Vous pouvez supprimer la stratégie d’entreprise en exécutant le script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 du Source\Identity sous-dossier, avec policyArmId.

Limitation connue

Une seule stratégie d’entreprise peut se connecter simultanément à l’environnement Dataverse . Si vous devez créer plusieurs liens Azure Synapse Link avec l’identité managée activée, assurez-vous que toutes les ressources Azure liées se trouvent dans le même groupe de ressources.

Voir aussi

Qu’est-ce qu’Azure Synapse Link pour Dataverse ?

  • Last updated on