Del via

Bruk administrerte identiteter for Azure med Azure Data Lake Storage

Azure Data Lake Storage gir en lagdelt sikkerhetsmodell. Med denne modellen kan du sikre og styre tilgangsnivået til lagringskontoene som programmene og bedriftsmiljøene krever, basert på typen og delsettet av nettverk eller ressurser som brukes. Når nettverksregler er konfigurert, kan bare programmer som ber om data over det angitte settet med nettverk, eller gjennom det angitte settet med Azure ressurser få tilgang til en lagringskonto. Du kan begrense tilgangen til lagringskontoen til forespørsler som stammer fra angitte IP-adresser, IP-områder, delnett i en Azure Virtual Network (VNet) eller ressursforekomster av enkelte Azure tjenester.

Administrerte identiteter for Azure, tidligere kjent som Managed Service Identity (MSI), hjelper deg med administrasjon av hemmeligheter. Microsoft Dataverse kunder som bruker Azure funksjoner, oppretter en administrert identitet (en del av oppretting av virksomhetspolicy) som kan brukes for ett eller flere dataverse miljøer. Denne administrerte identiteten som skal klargjøres i leietakeren, brukes deretter av Dataverse for å få tilgang til Azure-data lake.

Med administrerte identiteter er tilgang til lagringskontoen begrenset til forespørsler som stammer fra Dataverse-miljøet som er knyttet til leieren. Når Dataverse kobler til lagringsplass på vegne av deg, tar det med ekstra kontekstinformasjon for å bevise at forespørselen kommer fra et sikkert, klarert miljø. Dette gjør at lageret kan gi Dataverse tilgang til lagringskontoen. Administrerte identiteter brukes til å signere kontekstinformasjonen for å opprette klarering. Dette legger til sikkerhet på programnivå i tillegg til nettverks- og infrastruktursikkerheten som leveres av Azure for tilkoblinger mellom Azure tjenester.

Før du starter

  • Azure CLI kreves på den lokale maskinen. Last ned og installer
  • Du trenger følgende PowerShell-moduler. Hvis du ikke har dem, åpner du PowerShell og kjører disse kommandoene:
    • Azure Az PowerShell-modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-modul: Install-Module -Name Az.Resources
    • PowerShell-modul for Power Platform-administratorer: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Klon PowerApps-Samples-repositoriet på GitHub til en plassering der du kan kjøre PowerShell-kommandoer: git clone https://github.com/microsoft/PowerApps-Samples.git. Skript er organisert i undermapper under powershell/managed-identities/Source. Kjør hvert skript fra den bestemte undermappen , for eksempel Source\Identity.
  • Vi anbefaler at du oppretter en ny lagringsbeholder under samme Azure ressursgruppe for å få denne funksjonen om bord.

Viktig!

Ikke flytt skript ut av mappene. Skript er avhengige av relative baner og delte filer i repositoriumstrukturen.

Aktiver virksomhetspolicy for det valgte Azure-abonnementet

Viktig!

Du må ha Azure abonnementseier rolletilgang for å fullføre denne oppgaven. Få Azure Subscription-ID fra oversiktssiden for ressursgruppen Azure.

  1. Åpne Azure CLI med kjør som administrator, og logg på Azure abonnementet ved hjelp av kommandoen: az login Mer informasjon: Still deg på med Azure CLI
  2. (Valgfritt) Hvis du har flere Azure abonnementer, må du passe på å kjøre Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } for å oppdatere standardabonnementet.
  3. Endre til Source mappen i repositoriet du klonet som en del av Før du begynner, i PowerShell.
  4. Hvis du vil aktivere virksomhetspolicyen for det valgte Azure abonnementet, kjører du PowerShell-skriptet ./SetupSubscriptionForPowerPlatform.ps1.
    • Angi Azure abonnements-ID.

Opprett virksomhetspolicy

Viktig!

Du må ha Azure ressursgruppeeier rolletilgang for å fullføre denne aktiviteten. Få Azure Subscription ID, Location og Resource group name, fra oversiktssiden for ressursgruppen Azure.

  1. I PowerShell endrer du til Source\Identity undermappen og kjører skriptet for å opprette virksomhetspolicyen:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Angi Azure abonnements-ID.
    • Angi navnet på Azure ressursgruppe.
    • Angi foretrukket navn på bedriftspolicyen.
    • Angi Azure ressursgruppeplassering.

  2. Lagre kopien av ResourceId etter at policyen er opprettet.

Notat

Nedenfor vises de gyldige inndataene for sted som støttes for oppretting av policy. Velg stedet som passer best for deg.

Steder som er tilgjengelige for bedriftspolicy

USA EUAP

United States

Sør-Afrika

Storbritannia

Australia

Sør-Korea

Japan

India

Frankrike

Europa

Asia

Norge

Tyskland

Sveits

Canada

Brasil

UAE

Singapore

Gi lesertilgang til virksomhetspolicyen via Azure

Dynamics 365 administratorer og Power Platform-administratorer kan få tilgang til administrasjonssenteret for Power Platform for å tilordne miljøer til virksomhetspolicyen. Hvis du vil ha tilgang til virksomhetspolicyene, må du Azure medlemskap i key vault-administratoren gi Reader-rollen til Dynamics 365- eller Power Platform-administratoren. Når leserrollen er gitt, vil Dynamics 365- eller Power Platform-administratorene se virksomhetspolicyene i administrasjonssenteret for Power Platform.

Bare de Dynamics 365 og Power Platform-administratorene som fikk leserrollen til virksomhetspolicyen, kan «legge til miljø» i policyen. Andre Dynamics 365 og PowerPlatform-administratorer kan kanskje vise virksomhetspolicyen, men de får en feilmelding når de prøver å legge til miljø.

Viktig!

Du må ha tillatelser for Microsoft.Authorization/roleAssignments/write, for eksempel Brukertilgangsadministrator eller Eier for å fullføre denne oppgaven.

  1. Logg på Azure-portalen.
  2. Få Dynamics 365 administratorbrukerens ObjectID for Power Platform.
    1. Gå til Brukere-området.
    2. Åpne administratorbrukeren for Dynamics 365 eller Power Platform.
    3. Kopier ObjectID under oversiktssiden for brukeren.
  3. Hent ID for virksomhetspolicyene:
    1. Gå til Azure Resource Graph Explorer.
    2. Kjør denne spørringen: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Kjør spørring fra Azure Resource Graph Explorer
    3. Rull til høyre for resultatsiden, og velg koblingen Se detaljer.
    4. Detaljer-siden kopierer du ID-en.
  4. Åpne Azure CLI og kjør følgende kommando, og erstatte <objId> med brukerens ObjectID og <EP Resource Id> med virksomhetspolicy-ID-en.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Koble bedriftspolicyen til et Dataverse-miljø

Viktig!

Du må ha administratoren for Power Platform eller Dynamics 365 administrator for å fullføre denne oppgaven. Du må ha Leser-rollen for at bedriftspolicyen skal kunne fullføre denne oppgaven.

  1. Hent ID-en til Dataverse-miljøet.
    1. Logg på Power Platform-administrasjonssenteret.
    2. Velg Administrer>Miljøer, og åpne deretter miljøet.
    3. I Detaljer-delen kopierer du Miljø-ID.
  2. Source\Identity Kjør dette PowerShell-skriptet fra undermappen:./NewIdentity.ps1
    • Angi ID-en til Dataverse-miljøet.
    • Angi ResourceId.
      StatusCode = 202 angir at koblingen er opprettet.
  3. Logg på Power Platform-administrasjonssenteret.
  4. Velg Administrer>Miljøer, og åpne deretter miljøet du angav tidligere.
  5. I området Nylige operasjoner velger du Fullstendig logg for å validere tilkoblingen til den nye identiteten.

Konfigurere nettverkstilgang til Azure Data Lake Storage Gen2

Viktig!

Du må ha en Azure Data Lake Storage Gen2 Eier rolle for å fullføre denne aktiviteten.

  1. Gå til Azure-portalen.

  2. Åpne lagringskontoen som er koblet til Azure Synapse Link for Dataverse-profilen.

  3. I navigasjonsruten til venstre velger du Nettverk. Velg deretter følgende innstillinger i fanen Brannmurer og virtuelle nettverk:

    1. Aktivert fra valgte virtuelle nettverk og IP-adresser.
    2. Under Resource-forekomster velger du Allow Azure tjenester på listen over klarerte tjenester for å få tilgang til denne lagringskontoen

  4. Velg Lagre.

Konfigurere nettverkstilgang til arbeidsområdet Azure Synapse

Viktig!

Du må ha en Azure Synapse-administrator rolle for å fullføre denne oppgaven.

  1. Gå til Azure-portalen.
  2. Åpne det Azure Synapse arbeidsområdet som er koblet til Azure Synapse Link for Dataverse-profilen.
  3. I navigasjonsruten til venstre velger du Nettverk.
  4. Velg Tillat Azure tjenester og ressurser for å få tilgang til dette arbeidsområdet.
  5. Hvis IP-brannmurregler er opprettet for alle IP-områder, sletter du dem for å begrense tilgang til offentlig nettverk. Azure Synapse nettverksinnstillinger for arbeidsområde
  6. Legg til en ny IP-brannmurregel basert på klientens IP-adresse.
  7. Velg Lagre når du er ferdig. Mer informasjon: Azure Synapse Analytics IP-brannmurregler

Viktig!

Dataverse: Du må ha sikkerhetsrollen som systemadministrator i Dataverse. I tillegg må tabeller du vil eksportere via Azure Synapse Link ha Track-endringene-egenskapen aktivert. Mer informasjon: Avanserte alternativer

Azure Data Lake Storage Gen2: Du må ha en Azure Data Lake Storage Gen2-konto og Eier og Lager blob-databidragsyter rolletilgang. Lagringskontoen må aktivere Hierarkisk navneområde for både første konfigurasjon og deltasynkronisering. Tillat tilgang med nøkkel for lagringskonto er bare nødvendig for den første konfigurasjonen.

Synapsearbeidsområde: Du må ha et Synapse-arbeidsområde og Synapse-administrator rolletilgang i Synapse Studio. Synapse-arbeidsområdet må være i samme område som Azure Data Lake Storage Gen2-kontoen. Lagringskontoen må legges til som en koblet tjeneste i Synapse Studio. Hvis du vil opprette et Synapse-arbeidsområde, går du til Opprette et Synapse-arbeidsområde.

Når du oppretter koblingen, får Azure Synapse Link for Dataverse detaljer om den gjeldende koblede virksomhetspolicyen under Dataverse-miljøet, og bufrer deretter den hemmelige url-adressen for identitetsklienten for å koble til Azure.

  1. Logg på Power Apps og velg miljøet.
  2. Velg Azure Synapse Link i venstre navigasjonsrute, og velg deretter + Ny kobling. Hvis elementet ikke finnes i sideruten, velger du ...Mer og deretter elementet du vil ha.
  3. Fyll ut de aktuelle feltene, i henhold til det tiltenkte oppsettet. Velg Abonnementet, Ressursgruppe og Lagringskonto. Hvis du vil koble Dataverse til Synapse-arbeidsområdet, velger du alternativet Koble til Azure Synapse arbeidsområdet. For Delta Lake-datakonvertering velger du en Spark-gruppe.
  4. Velg Velg bedriftspolicy med identiteten for administrert tjeneste, og velg deretter Neste.
  5. Legg til tabellene du vil eksportere, og velg deretter Lagre.

Notat

Hvis du vil gjøre Bruk administrert identitet-kommandoen tilgjengelig i Power Apps, må du fullføre oppsettet ovenfor for å koble virksomhetspolicyen til dataversmiljøet. Mer informasjon: Knytt bedriftspolicy til Dataverse-miljø

  1. Gå til en eksisterende Synapse Link profil fra Power Apps (make.powerapps.com).
  2. Velg Bruk administrert identitet, og bekreft. Bruk kommandoen administrert identitet i Power Apps

Feilsøking

Hvis du får en 403-feil under opprettingen av koblingen:

  • Administrerte identiteter bruker ekstra tid på å gi midlertidig tillatelse under første synkronisering. Vent litt, og prøv på nytt senere.
  • Kontroller at det koblede lageret ikke har den eksisterende Dataverse-beholderen (dataverse-environmentName-organizationUniqueName) fra det samme miljøet.
  • Du kan identifisere den koblede virksomhetspolicyen og policyArmId ved å kjøre PowerShell-skriptet ./GetIdentityEnterprisePolicyforEnvironment.ps1 fra undermappen Source\Identity, med Azure Subscription ID og Resource group name.
  • Du kan koble fra virksomhetspolicyen ved å kjøre PowerShell-skriptet ./RevertIdentity.ps1 fra Source\Identity undermappen, med datavers miljø-ID og policyArmId.
  • Du kan fjerne virksomhetspolicyen ved å kjøre PowerShell-skriptet .\RemoveIdentityEnterprisePolicy.ps1 fra Source\Identity undermappen, med policyArmId.

Kjent begrensning

Bare én virksomhetspolicy kan kobles til Dataverse-miljøet samtidig. Hvis du trenger å opprette flere Azure Synapse Link koblinger med administrert identitet aktivert, må du kontrollere at alle koblede Azure ressurser er under samme ressursgruppe.

Se også

Hva er Azure Synapse Link for Dataverse?

  • Last updated on