Gebruik beheerde identiteiten voor Azure met uw Azure Data Lake Storage

Azure Data Lake Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het toegangsniveau tot uw opslagaccounts beveiligen en beheren dat uw toepassingen en bedrijfsomgevingen vereisen, op basis van het type en de subset van gebruikte netwerken of resources. Wanneer netwerkregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een Azure Virtual Network (VNet) of resource-instanties van bepaalde Azure-services.

Beheerde identiteiten voor Azure, voorheen bekend als Managed Service Identity (MSI), helpen bij het beheer van geheimen. Microsoft Dataverse-klanten die Azure-mogelijkheden gebruiken, maken een beheerde identiteit (onderdeel van het maken van bedrijfsbeleid) die voor een of meer Dataverse-omgevingen kan worden gebruikt. Deze beheerde identiteit die in uw tenant wordt ingericht, wordt vervolgens door Dataverse gebruikt voor toegang tot uw Azure data lake.

Met beheerde identiteiten is de toegang tot uw opslagaccount beperkt tot aanvragen die afkomstig zijn van de Dataverse-omgeving die aan uw tenant is gekoppeld. Wanneer Dataverse namens u verbinding maakt met opslag, bevat het aanvullende contextinformatie om te bewijzen dat het verzoek afkomstig is uit een veilige, vertrouwde omgeving. Hierdoor kan opslag Dataverse-toegang tot uw opslagaccount verlenen. Beheerde identiteiten worden gebruikt om de contextinformatie te ondertekenen om vertrouwen tot stand te brengen. Dit voegt beveiliging op applicatieniveau toe naast de netwerk- en infrastructuurbeveiliging die door Azure wordt geboden voor verbindingen tussen Azure-services.

Voordat u begint

  • Op uw lokale computer moet Azure CLI geïnstalleerd zijn. Downloaden en installeren van
  • U hebt de volgende PowerShell-modules nodig. Als u ze niet hebt, opent u PowerShell en voert u deze opdrachten uit:
    • Azure Az PowerShell-module: Install-Module -Name Az
    • Azure Az.Resources PowerShell-module: Install-Module -Name Az.Resources
    • Power Platform-beheer PowerShell-module: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Kloon de PowerApps-Samples opslagplaats op GitHub naar een locatie waar u PowerShell-opdrachten kunt uitvoeren: git clone https://github.com/microsoft/PowerApps-Samples.git. Scripts zijn ingedeeld in submappen onder powershell/managed-identities/Source. Voer elk script uit vanuit de specifieke submap—bijvoorbeeld Source\Identity.
  • We raden u aan een nieuwe opslagcontainer te maken onder dezelfde Azure-resourcegroep om deze functie te integreren.

Belangrijk

Verplaats scripts niet uit hun mappen. Scripts zijn afhankelijk van relatieve paden en gedeelde bestanden in de opslagplaatsstructuur.

Bedrijfsbeleid inschakelen voor het geselecteerde Azure-abonnement

Belangrijk

U dient toegang te hebben tot de rol van Azure-abonnementseigenaar om deze taak te kunnen voltooien. Verkrijg uw Azure abonnement-id vanaf de overzichtspagina voor de Azure-resourcegroep.

  1. Open Azure CLI en voer het als administrator uit en meld u aan bij uw Azure-abonnement door de opdracht te gebruiken: az login Meer informatie: Aanmelden met Azure CLI
  2. (Optioneel) als u meerdere Azure-abonnementen hebt, zorg er dan voor dat u Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } uitvoert om uw standaardabonnement bij te werken.
  3. Ga in PowerShell naar de Source map in de opslagplaats die u hebt gekloond als onderdeel van Voordat u begint.
  4. Als u het ondernemingsbeleid voor het geselecteerde Azure-abonnement wilt inschakelen, voert u het PowerShell-script uit ./SetupSubscriptionForPowerPlatform.ps1.
    • Geef de Azure-abonnements-id op.

Bedrijfsbeleid maken

Belangrijk

U moet toegang hebben tot de rol van Azure Resourcegroep-eigenaar om deze taak te voltooien. Verkrijg uw Azure Abonnement-id, Locatie en naam van de Resourcegroep van de overzichtspagina voor de Azure-resourcegroep.

  1. Ga in PowerShell naar de Source\Identity submap en voer het script uit om het ondernemingsbeleid te maken:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Geef de Azure-abonnements-id op.
    • Geef de naam van de Azure-resourcegroep op.
    • Geef de gewenste enterprisebeleidsnaam op.
    • Geef de locatie van de Azure-resourcegroep op.

  2. Bewaar de kopie van de ResourceId na het maken van een beleid.

Opmerking

De volgende zijn de geldige locatie-invoeren die worden ondersteund voor het maken van beleid. Selecteer de locatie die het meest geschikt voor u is.

Locaties beschikbaar voor het enterprisebeleid

Verenigde Staten EUAP

Verenigde Staten

Zuid-Afrika

VK

Australië

Korea

Japan

India

Frankrijk

Europa

Azië

Noorwegen

Duitsland

Zwitserland

Canada

Brazilië

VAE

Singapore

Geef lezer toegang tot het bedrijfsbeleid via Azure

Dynamics 365-beheerders en Power Platform-beheerders hebben toegang tot het Power Platform-beheercentrum om omgevingen toe te wijzen aan het ondernemingsbeleid. Om toegang te krijgen tot het bedrijfsbeleid is lidmaatschap van de Azure Key Vault-beheerder vereist om de Lezersrol te verlenen aan de Dynamics 365- of Power Platform-beheerder. Zodra de lezersrol is toegekend, zien de Dynamics 365- of Power Platform-beheerders het bedrijfsbeleid in het Power Platform-beheercentrum.

Alleen Dynamics 365- en Power Platform-beheerders aan wie de rol van lezer is toegekend aan het bedrijfsbeleid, kunnen omgeving toevoegen aan het beleid. Andere Dynamics 365- en PowerPlatform-beheerders kunnen mogelijk het bedrijfsbeleid bekijken, maar ze krijgen een foutmelding wanneer ze proberen omgeving toe te voegen.

Belangrijk

U moet Microsoft.Authorization/roleAssignments/write-machtigingen, zoals Beheerder voor gebruikerstoegang of Eigenaar hebben om deze taak te kunnen voltooien.

  1. Meld u aan bij de Azure-portal.
  2. Verkrijg de Power Platform ObjectID van de Dynamics 365 beheerder.
    1. Ga naar het gedeelte Gebruikers.
    2. Open de Dynamics 365- of Power Platform-gebruiker met beheerdersrechten.
    3. Kopieer op de overzichtspagina voor de gebruiker de ObjectID.
  3. Vraag de ID van het ondernemingsbeleid op.
    1. Ga naar Resource Graph Explorer in Azure.
    2. Voer deze query uit: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Query uitvoeren vanuit Azure Resource Graph Explorer
    3. Scrol naar rechts op de resultatenpagina en selecteer de koppeling Details bekijken.
    4. Kopieer de id op de pagina Details.
  4. Open Azure CLI en voer de volgende opdracht uit, waarbij u de <objId> vervangt door de ObjectID van de gebruiker en de <EP Resource Id> door de bedrijfsbeleids-id.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Koppel het bedrijfsbeleid aan de Dataverse-omgeving

Belangrijk

U moet de rol Power Platform-beheerder of Dynamics 365-beheerder hebben om deze taak te kunnen voltooien. U moet de rol Lezer hebben voor het bedrijfsbeleid om deze taak te kunnen voltooien.

  1. Vraag de id van de Dataverse-omgeving op.
    1. Meld u aan bij het Power Platform-beheercentrum.
    2. Selecteer Beheren>Omgevingen en open vervolgens uw omgeving.
    3. In de sectie Details kopieert u de Omgevings-id.
  2. Voer vanuit de Source\Identity submap dit PowerShell-script uit: ./NewIdentity.ps1
    • Geef de Dataverse-omgevings-id op.
    • Geef de Resource-id op.
      StatusCode = 202 geeft aan dat de koppeling succesvol is gemaakt.
  3. Meld u aan bij het Power Platform-beheercentrum.
  4. Selecteer Beheren>Omgevingen en open vervolgens de omgeving die u eerder hebt opgegeven.
  5. Selecteer in het gebied Recente operaties de optie Volledige geschiedenis om de verbinding van de nieuwe identiteit te valideren.

Configureer netwerktoegang tot de Azure Data Lake Storage Gen2

Belangrijk

U moet de rol Azure Data Lake Storage Gen2 Owner hebben om deze taak te voltooien.

  1. Ga naar de Azure-portal.

  2. Open het opslagaccount dat is gekoppeld aan uw Azure Synapse Link voor Dataverse-profiel.

  3. Selecteer in het linkernavigatiedeelvenster de optie Netwerken. Selecteer vervolgens op het tabblad Firewalls en virtuele netwerken de volgende instellingen:

    1. Ingeschakeld vanaf geselecteerde virtuele netwerken en IP-adressen.
    2. Selecteer onder Resource-instanties de optie Toestaan dat Azure-services op de lijst met vertrouwde services toegang krijgen tot dit opslagaccount

  4. Selecteer Opslaan.

Configureer netwerktoegang tot de Azure Synapse Workspace

Belangrijk

U moet een Azure Synapse-beheerder rol hebben om deze taak te voltooien.

  1. Ga naar de Azure-portal.
  2. Open de Azure Synapse workspace die is verbonden met uw Azure Synapse Link voor Dataverse-profiel.
  3. Selecteer in het linkernavigatiedeelvenster de optie Netwerken.
  4. Selecteer Toestaan dat Azure-services en -resources toegang hebben tot deze werkruimte.
  5. Als er IP-firewallregels zijn gemaakt voor het hele IP-bereik, verwijdert u deze om toegang tot het openbare netwerk te beperken. Netwerkinstellingen voor Azure Synapse workspace
  6. Voeg een nieuwe IP-firewallregel toe op basis van het IP-adres van de client.
  7. Selecteer Opslaan wanneer u klaar bent. Meer informatie: Azure Synapse Analytics IP-firewallregels

Belangrijk

Dataverse: Zorg ervoor dat u over de beveiligingsrol Dataverse systeembeheerder beschikt. Bovendien moet voor tabellen die u via Azure Synapse Link wilt exporteren, de eigenschap Wijzigingen bijhouden ingeschakeld zijn. Meer informatie: Geavanceerde opties

Azure Data Lake Storage Gen2: U moet beschikken over een Azure Data Lake Storage Gen2-account en Owner en Storage Blob Data Contributor roltoegang. Uw opslagaccount moet hiërarchische naamruimte inschakelen voor zowel de initiële installatie als deltasynchronisatie. Sleuteltoegang tot het opslagaccount toestaan is alleen vereist voor de initiële installatie.

Synapse-werkruimte: U moet een Synapse-werkruimte en de Synapse Administrator-roltoegang hebben binnen de Synapse Studio. De Synapse-werkruimte moet zich in dezelfde regio bevinden als uw Azure Data Lake Storage Gen2-account. Het opslagaccount moet worden toegevoegd als een gekoppelde service in de Synapse Studio. Om een Synapse-werkruimte te maken, gaat u naar Een Synapse-werkruimte maken.

Wanneer u de koppeling maakt, haalt Azure Synapse Link for Dataverse details op over het op dat moment gekoppelde bedrijfsbeleid in de Dataverse-omgeving en slaat vervolgens de geheime URL van de clientidentiteit op in de cache om verbinding te maken met Azure.

  1. Meld u aan bij Power Apps en selecteer uw omgeving.
  2. Selecteer in het linkernavigatievenster de optie Azure Synapse Link en selecteer vervolgens + Nieuwe koppeling. Als het item zich niet in het deelvenster van het zijpaneel bevindt, selecteert u …Meer en selecteert u vervolgens het gewenste item.
  3. Vul de relevante velden in, afhankelijk van de gewenste configuratie. Selecteer Abonnement, Resourcegroep en Opslagaccount. Als u Dataverse wilt verbinden met Synapse workspace, selecteert u de optie Verbinding maken met uw Azure Synapse workspace. Voor Delta Lake-gegevensconversie selecteert u een Spark-pool.
  4. Selecteer Ondernemingsbeleid selecteren met beheerde service-identiteit en vervolgens Volgende.
  5. Voeg de tabellen toe die u wilt exporteren en selecteer vervolgens Opslaan.

Opmerking

Om de opdracht Beheerde identiteit gebruiken beschikbaar te maken in Power Apps, moet u de bovenstaande configuratie voltooien om het bedrijfsbeleid te koppelen aan uw Dataverse-omgeving. Meer informatie: Ondernemingsbeleid verbinden met Dataverse-omgeving

  1. Ga naar een bestaand Synapse Link-profiel van Power Apps (make.powerapps.com).
  2. Selecteer Beheerde identiteit gebruiken en bevestig dit vervolgens. Gebruik de opdracht voor beheerde identiteit in Power Apps

Probleemoplossing

Als u 403-fouten krijgt tijdens het maken van de koppeling:

  • Beheerde identiteiten hebben extra tijd nodig om tijdelijke machtigingen te verlenen tijdens de eerste synchronisatie. Geef het wat tijd en probeer de operatie later opnieuw.
  • Zorg ervoor dat de gekoppelde opslag niet de bestaande Dataverse-container(dataverse-environmentName-organizationUniqueName) uit dezelfde omgeving heeft.
  • U kunt het gekoppelde ondernemingsbeleid identificeren en policyArmId door het PowerShell-script ./GetIdentityEnterprisePolicyforEnvironment.ps1 uit te voeren vanuit de Source\Identity submap, met de Azure-abonnements-ID en de naam van de resourcegroep.
  • U kunt het bedrijfsbeleid ontkoppelen door het PowerShell-script ./RevertIdentity.ps1 uit te voeren vanuit de Source\Identity submap, met de Dataverse-omgevings-id en policyArmId.
  • U kunt het ondernemingsbeleid verwijderen door het PowerShell-script uit te voeren .\RemoveIdentityEnterprisePolicy.ps1 uit de Source\Identity submap, met policyArmId.

Bekende beperking

Slechts één ondernemingsbeleid kan tegelijkertijd verbinding maken met de Dataverse-omgeving. Als u meerdere Azure Synapse Link-koppelingen moet maken met beheerde identiteit ingeschakeld, zorgt u ervoor dat alle gekoppelde Azure-resources zich onder dezelfde resourcegroep bevinden.

Zie ook

Wat is Azure Synapse Link voor Dataverse?

  • Last updated on