Use identidades geridas para o Azure com o seu Azure Data Lake Storage

O Azure Data Lake Storage fornece um modelo de segurança em camadas. Este modelo permite-lhe proteger e controlar o nível de acesso às contas de armazenamento que as suas aplicações e ambientes empresariais exigem, com base no tipo e subconjunto de redes ou recursos utilizados. Quando as regras de rede são configuradas, apenas as aplicações que solicitam dados através do conjunto especificado de redes ou através do conjunto especificado de recursos Azure podem aceder a uma conta de armazenamento. Pode limitar o acesso à sua conta de armazenamento a pedidos provenientes de endereços IP especificados, intervalos de IP, sub-redes numa Rede Virtual de Azure (VNet) ou instâncias de recursos de alguns serviços de Azure.

As identidades geridas para o Azure, anteriormente conhecidas como Managed Service Identity (MSI), ajudam na gestão de segredos. Os clientes do Microsoft Dataverse que utilizam capacidades do Azure criam uma identidade gerida (parte da criação de políticas empresariais) que pode ser usada para um ou mais ambientes Dataverse. Esta identidade gerida que será provisionada no seu tenant é depois usada pelo Dataverse para aceder ao seu lago de dados Azure.

Com identidades geridas, o acesso à sua conta de armazenamento está restrito a pedidos provenientes do ambiente Dataverse associado ao tenant. Quando o Dataverse se liga ao armazenamento em seu nome, inclui informações de contexto adicionais para demonstrar que o pedido tem origem num ambiente seguro e fiável. Isto permite que o armazenamento conceda acesso do Dataverse à sua conta de armazenamento. As identidades geridas são utilizadas para assinar as informações de contexto para estabelecer confiança. Isto adiciona segurança ao nível da aplicação, além da segurança de rede e infraestrutura proporcionada pelo Azure para ligações entre serviços Azure.

Antes de começar

  • É obrigatório que a CLI do Azure esteja na sua máquina local. Transferir e instalar
  • Precisas dos seguintes módulos PowerShell. Se não os tiver, abra o PowerShell e execute estes comandos:
    • módulo Azure Az PowerShell: Install-Module -Name Az
    • Módulo Az.Resources do PowerShell do Azure: Install-Module -Name Az.Resources
    • Módulo do PowerShell de administrador do Power Platform: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Clona o repositório PowerApps-Samples no GitHub para um local onde possas executar comandos PowerShell: git clone https://github.com/microsoft/PowerApps-Samples.git. Os scripts estão organizados em subpastas sob powershell/managed-identities/Source. Execute cada script a partir da sua subpasta específica — por exemplo, Source\Identity.
  • Recomendamos que crie um novo contentor de armazenamento no mesmo grupo de recursos do Azure para integrar esta funcionalidade.

Important

  • O método de identidade gerida para o Azure de ligar o Dataverse a uma Conta Armazenamento do Azure e ao Synapse Workspace está atualmente indisponível para clientes em clouds nacionais, como Government Community Cloud (GCC), GCC High e China.
  • Não remova scripts das suas pastas. Os scripts dependem de caminhos relativos e ficheiros partilhados na estrutura do repositório.

Ativar a política empresarial para a subscrição selecionada do Azure

Important

Deve ter acesso ao papel de Proprietário da subscrição do Azure para completar esta tarefa. Obtenha o seu ID de Subscrição do Azure a partir da página descrição geral do grupo de recursos do Azure.

  1. Abra CLI do Azure como administrador e inicie sessão na sua subscrição do Azure usando o comando: az login Mais informações: Iniciar sessão com CLI do Azure
  2. (Opcional) Se tiver várias subscrições Azure, certifique-se de executar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para atualizar a sua subscrição padrão.
  3. No PowerShell, muda para a pasta Source dentro do repositório que clonaste (parte de Antes de começares).
  4. Para ativar a política empresarial para a subscrição de Azure selecionada, execute o script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Forneça o ID de subscrição do Azure.

Criar uma política empresarial

Important

Deve ter acesso à função Proprietário do grupo de recursos do Azure para completar esta tarefa. Obtenha o seu ID de Subscrição do Azure, Localização e o nome do grupo de recursos Azure, na página de visão geral do grupo de recursos Azure.

  1. No PowerShell, mude para a Source\Identity subpasta e executa o script para criar a política empresarial:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Forneça o ID de subscrição do Azure.
    • Forneça o nome do grupo de recursos de Azure.
    • Forneça o nome da política empresarial preferencial.
    • Forneça a localização do grupo de recursos do Azure.

  2. Guarde a cópia do ResourceId após a criação da política.

Observação

De seguida, apresentam-se as entradas de localização válidas suportadas para a criação de políticas. Selecione a localização mais apropriada para si.

Localizações disponíveis para a política empresarial

Estados Unidos EUAP

Estados Unidos

África do Sul

Reino Unido

Austrália

Korea

Japão

Índia

França

Europa

Ásia

Noruega

Alemanha

Suíça

Canada

Brasil

UAE

Singapura

Conceder ao leitor acesso à política empresarial via Azure

Os administradores do Dynamics 365 e os administradores do Power Platform podem aceder ao centro de administração do Power Platform para atribuir ambientes à política empresarial. Para aceder às políticas empresariais, é necessária a associação de administrador ao Azure Key Vault para conceder a função de Leitor ao administrador do Dynamics 365 ou do Power Platform. Assim que a função de leitor for concedida, os administradores do Dynamics 365 ou do Power Platform verão as políticas empresariais no centro de administração do Power Platform.

Apenas os administradores do Dynamics 365 e do Power Platform a quem foi concedida a função de leitor à política empresarial podem "adicionar um ambiente" à política. Outros administradores do Dynamics 365 ou do Power Platform podem conseguir ver a política empresarial, mas irá surgir um erro quando tentarem adicionar um ambiente.

Important

Tem de ter permissões Microsoft.Authorization/roleAssignments/write, tais como Administrador de Acesso de Utilizador ou Proprietário para concluir esta tarefa.

  1. Inicie sessão no portal do Azure.
  2. Obtenha o ObjectID do utilizador administrador do Power Platform do Dynamics 365.
    1. Aceda à área Utilizadores.
    2. Abra o utilizador administrador do Dynamics 365 ou do Power Platform.
    3. Na página de descrição geral do utilizador, copie o ObjectID.
  3. Obtenha o ID das políticas da empresa:
    1. Aceda ao Explorador de Gráficos de Recursos de Azure.
    2. Execute esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Executar a consulta a partir do Azure Resource Graph Explorer
    3. Desloque para a direita na página de resultados e selecione a ligação Ver detalhes.
    4. Na página Detalhes, copie o ID.
  4. Abra o CLI do Azure e execute o seguinte comando, substituindo o <objId> pelo ObjectID do utilizador e o <EP Resource Id> pelo ID de política empresarial.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Ligar política empresarial ao ambiente Dataverse

Important

Deverá ter o cargo de administrador Power Platform ou administrador Dynamics 365 para completar esta tarefa. Tem de ter a função Leitor para a política empresarial para concluir esta tarefa.

  1. Obtenha o ID do ambiente Dataverse.
    1. Inicie sessão no Centro de administração do Power Platform.
    2. Selecione Gerir>Ambientes e, em seguida, abra o ambiente.
    3. Na secção Detalhes, copie o ID do Ambiente.
  2. A partir da Source\Identity subpasta, execute este script PowerShell: ./NewIdentity.ps1
    • Forneça o ID do ambiente Dataverse.
    • Forneça o ResourceId.
      StatusCode = 202 indica que a ligação foi criada com êxito.
  3. Inicie sessão no Centro de administração do Power Platform.
  4. Selecione Gerir>Ambientes e, em seguida, abra o ambiente especificado anteriormente.
  5. Na área Operações recentes , selecione Histórico completo para validar a ligação da nova identidade.

Configurar o acesso à rede para o Azure Data Lake Storage Gen2

Important

Tem de ter a função Proprietário do Azure Data Lake Storage Gen2 para concluir esta tarefa.

  1. Vai para o portal Azure.

  2. Abra a conta de armazenamento ligada ao seu perfil Azure Synapse Link for Dataverse.

  3. No painel de navegação esquerdo, selecione Rede. De seguida, no separador Firewalls e redes virtuais selecione as seguintes definições:

    1. Ativado a partir de redes virtuais e endereços IP selecionados.
    2. Em Instâncias do recurso, selecione Permitir que os serviços de Azure na lista de serviços fidedignos acedam a esta conta de armazenamento

  4. Selecione Guardar.

Configurar o acesso à rede ao Azure Synapse Workspace

Important

Deve ter uma função de administrador do Azure Synapse para concluir esta tarefa.

  1. Vai para o portal Azure.
  2. Abra o Azure Synapse workspace conectado ao seu perfil Azure Synapse Link for Dataverse.
  3. No painel de navegação esquerdo, selecione Rede.
  4. Selecione Permitir que os serviços e recursos do Azure acedam a esta área de trabalho.
  5. Se existirem Regras de firewall de IP criadas para todos os intervalos de IP, elimine-as para restringir o acesso à rede pública. Definições de rede do Azure Synapse workspace
  6. Adicione uma nova Regra de firewall de IP baseada no endereço IP do cliente.
  7. Selecione Guardar quando terminar. Mais informações: Regras de firewall de IP do Azure Synapse Analytics

Important

Dataverse: tem de ter o direito de acesso administrador de sistema do Dataverse. Além disso, as tabelas que quer exportar via Azure Synapse Link devem ter a propriedade Acompanhar alterações ativada. Mais informações: Opções avançadas

Azure Data Lake Storage Gen2: é necessário ter uma conta do Azure Data Lake Storage Gen2 e o direito de acesso Proprietário e Contribuidor de Dados do Blob de Armazenamento. A sua conta de armazenamento tem de permitir o Espaço de nomes hierárquico para a configuração inicial e para a sincronização delta. Permitir o acesso-chave à conta de armazenamento só é obrigatório para a configuração inicial.

Espaço de trabalho Synapse: Deve ter um espaço de trabalho Synapse e acesso à função Synapse Administrator dentro do Synapse Studio. O espaço de trabalho Synapse deve estar na mesma região da sua conta Azure Data Lake Storage Gen2. A conta de armazenamento deve ser adicionada como um serviço ligado dentro do Synapse Studio. Para criar uma área de trabalho do Synapse, aceda a Criar uma área de trabalho do Synapse.

Quando cria a ligação, o Azure Synapse Link para Dataverse obtém detalhes sobre a política empresarial atualmente associada no ambiente Dataverse e, em seguida, armazena em cache o URL secreto do cliente de identidade para se conectar ao Azure.

  1. Inicia sessão no Power Apps e seleciona o teu ambiente.
  2. No painel de navegação esquerdo, selecione Azure Synapse Link e, em seguida, selecione + Nova ligação. Se o item não estiver no painel lateral, selecione ...Mais e, em seguida, selecione o item pretendido.
  3. Preencha os campos apropriados, de acordo com a configuração pretendida. Selecione a Subscrição, Grupo de recursos e Conta de armazenamento. Para ligar o Dataverse ao espaço de trabalho Synapse, selecione a opção Ligar ao seu espaço de trabalho Azure Synapse. Para a conversão de dados do Delta Lake, selecione um pool do Spark.
  4. Selecione Selecione Política Empresarial com Identidade de Serviço Gerido e, em seguida, selecione Seguinte.
  5. Adicione as tabelas que pretende exportar e, em seguida, selecione Guardar.

Observação

Para disponibilizar o comando Usar identidade gerida no Power Apps, deve concluir a configuração indicada acima para ligar a política empresarial ao seu ambiente do Dataverse. Mais informações: Ligar a política empresarial ao ambiente do Dataverse

  1. Aceda a um perfil Synapse Link existente de Power Apps (make.powerapps.com).
  2. Selecione Usar identidade gerida e confirme. Usar o comando de identidade gerenciada no Power Apps

Resolução de problemas

Se receber 403 erros durante a criação da ligação:

  • As identidades geridas demoram mais tempo para conceder permissão transitória durante a sincronização inicial. Dê-lhe algum tempo e tente novamente a operação mais tarde.
  • Certifique-se de que o armazenamento associado não tem o contentor Dataverse existente (dataverse-environmentName-organizationUniqueName) do mesmo ambiente.
  • Pode identificar a política empresarial associada e o policyArmId executando o script PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 a partir da subpasta Source\Identity, com o ID de Subscrição do Azure e o nome do grupo de recursos.
  • Pode desassociar a política empresarial executando o script PowerShell ./RevertIdentity.ps1 a partir da subpasta Source\Identity, com o ID de ambiente Dataverse e policyArmId.
  • Pode remover a política empresarial executando o script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 da subpasta Source\Identity, utilizando policyArmId.

Limitação conhecida

Apenas uma política empresarial pode ligar-se simultaneamente ao ambiente Dataverse. Se precisar de criar várias ligações do Azure Synapse Link com a identidade gerida ativada, verifique se todos os recursos associados ao Azure estão no mesmo grupo de recursos.

Ver também

O que é o Azure Synapse Link for Dataverse?

  • Last updated on