Använd hanterade identiteter för Azure med din Azure Data Lake Storage

Azure Data Lake Storage innehåller en säkerhetsmodell i flera skikt. Med den här modellen kan du säkerställa och kontrollera åtkomstnivån för dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och deluppsättning av nätverk eller resurser som används. När nätverksregler konfigureras kan endast program som begär data över den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser få åtkomst till ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser, IP-intervall, undernät i ett Azure Virtual Network (VNet) eller resursinstanser av vissa Azure tjänster.

Hanterade identiteter för Azure, som tidigare kallades Managed Service Identity (MSI), hjälper till med hanteringen av hemligheter. Microsoft Dataverse-kunder som använder Azure-funktioner skapar en hanterad identitet (en del av skapandet av företagets policy) som kan användas för en eller flera Dataverse-miljöer. Den hanterade identiteten som tillhandahålls i din klientorganisation används sedan av Dataverse för att få åtkomst till dina Azure-data.

Med hanterade identiteter är åtkomsten till ditt lagringskonto begränsad till förfrågningar från den Dataverse-miljö som är associerad med din klientorganisation. När Dataverse ansluter till ett lagringsutrymme för din räkning innehåller den ytterligare sammanhangsinformation som visar att förfrågan har sitt ursprung i en säker och betrodd miljö. Detta gör att lagringsutrymmet kan ge Dataverse åtkomst till ditt lagringskonto. Hanterade identiteter används för att signera sammanhangsinformation för att skapa förtroende. Detta lägger till säkerhet på programnivå utöver den nätverks- och infrastruktursäkerhet som Azure tillhandahåller för anslutningar mellan Azure-tjänster.

Innan du börjar

  • Azure CLI krävs på din lokala dator. Ladda ned och installera
  • Du behöver följande PowerShell-moduler. Om du inte har dem öppnar du PowerShell och kör följande kommandon:
    • Azure Az PowerShell-modul: Install-Module -Name Az
    • Azure Az.Resources PowerShell-modul: Install-Module -Name Az.Resources
    • Power Platform administratör PowerShell-modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Klona lagringsplatsen PowerApps-Samples på GitHub till en plats där du kan köra PowerShell-kommandon: git clone https://github.com/microsoft/PowerApps-Samples.git. Skript ordnas i undermappar under powershell/managed-identities/Source. Kör varje skript från dess specifika undermapp, Source\Identitytill exempel .
  • Vi rekommenderar att du skapar en ny lagringsbehållare under samma Azure-resursgrupp för att aktivera den här funktionen.

Important

Flytta inte skript från deras mappar. Skript förlitar sig på relativa sökvägar och delade filer i lagringsplatsens struktur.

Aktivera företagspolicy för den valda Azure-prenumerationen

Important

Du måste ha åtkomst till rollen Azure-prenumeration ägare för att kunna utföra den här uppgiften. Hämta ditt Azure prenumerations-ID från översiktssidan för Azure-resursgruppen.

  1. Öppna Azure CLI genom att köra som administratör och logga in på din Azure-prenumeration med kommandot: az login Mer information: Logga in med Azure CLI
  2. (Valfritt) Om du har flera Azure-prenumerationer ska du se till att köra Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } för att uppdatera din standardprenumeration.
  3. I PowerShell ändrar du till Source mappen på den lagringsplats som du klonade som en del av Innan du börjar.
  4. För att aktivera företagspolicyn för den valda Azure-prenumerationen, kör PowerShell-skriptet ./SetupSubscriptionForPowerPlatform.ps1.
    • Tillhandahåll prenumerations-ID för Azure.

Skapa en företagspolicy

Important

Du måste ha åtkomst till rollen Azure resursgrupp ägare för att kunna utföra den här uppgiften. Hämta ditt namn för Azure Prenumerations-ID, Plats och Resursgrupp från översiktssidan för Azure-resursgruppen.

  1. I PowerShell ändrar du till undermappen Source\Identity och kör skriptet för att skapa företagsprincipen:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Tillhandahåll prenumerations-ID för Azure.
    • Ge namnet på Azure-resursgruppen.
    • Ange önskat namn på företagspolicyn.
    • Ange platsen för Azure-resursgruppen.

  2. Spara kopian av ResourceId när policyn har skapats.

Anmärkning

Följande är de giltiga indata för plats som stöds för att skapa en policy. Välj den plats som passar dig bäst.

Tillgängliga platser för företagspolicy

USA EUAP

USA

Sydafrika

Storbritannien

Australien

Korea

Japan

Indien

Frankrike

Europa

Asien

Norge

Tyskland

Schweiz

Kanada

Brasilien

UAE

Singapore

Ge läsare åtkomst till företagspolicyn via Azure

Dynamics 365 administratörer och Power Platform-administratörer kan komma åt administrationscentret för Power Platform för att tilldela miljöer till företagspolicyn. För att få åtkomst till företagsprinciper krävs Azure nyckelvalvsadministratörsmedlemskap för att bevilja rollen Reader till administratören för Dynamics 365 eller Power Platform. När läsarrollen har beviljats ser Dynamics 365- eller Power Platform-administratörerna företagsprinciperna i administrationscentret för Power Platform.

Endast de Dynamics 365- och Power Platform-administratörer som tilldelas läsarrollen till företagspolicyn kan lägga till en miljö till policyn. Andra Dynamics 365- eller Power Platform-administratörer kanske kan se företagspolicyn men de får ett felmeddelande när de försöker lägga till miljö.

Important

Du måste ha – Microsoft.Authorization/roleAssignments/write behörigheter, till exempel Användaråtkomst administratör eller Ägare kunna utföra den här uppgiften.

  1. Logga in på Azure-portalen.
  2. Hämta Dynamics 365 Power Platform-administratörsanvändarens ObjectID.
    1. Gå till området Användare.
    2. Öppna administratörsanvändaren för Dynamics 365 eller Power Platform.
    3. Kopiera ObjectID under användarens översiktssida.
  3. Hämta organisationsID för policyerna:
    1. Gå till Azure Resource Graph Explorer.
    2. Kör den här frågan: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Kör frågan från Azure Resource Graph Explorer
    3. Bläddra till höger om resultatsidan och välj länken Visa information.
    4. På sidan Detaljer, kopiera ID.
  4. Öppna Azure CLI och kör följande kommando och ersätter <objId> med användarens ObjectID och <EP Resource Id> med företagspolicy-ID.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Anslut företagspolicy till Dataverse-miljö

Important

Du måste ha rollen som Power Platform-administratör eller Dynamics 365-administratör för att slutföra den här uppgiften. Du måste ha rollen Läsare för att kunna slutföra den här uppgiften i enlighet med företagspolicyn.

  1. Hämta Dataverse miljö-ID.
    1. Logga in på administrationscentret för Power Platform.
    2. Välj Hantera>Miljöer och öppna sedan din miljö.
    3. I avsnittet Information, kopiera miljö-ID.
  2. Kör det här PowerShell-skriptet från Source\Identity undermappen: ./NewIdentity.ps1
    • Tillhandahåll Dataverse miljö-ID.
    • Ange ResourceId.
      StatusCode = 202 anger att länken skapades korrekt.
  3. Logga in på administrationscentret för Power Platform.
  4. Välj Hantera>Miljöer och öppna sedan den miljö som du angav tidigare.
  5. I området Senaste åtgärder, välj Fullständig historik om du vill verifiera anslutningen för den nya identiteten.

Konfigurera nätverksåtkomst till Azure Data Lake Storage Gen2

Important

Du måste ha rollen Azure Data Lake Storage Gen2 Owner för att slutföra uppgiften.

  1. Gå till Azure-portal.

  2. Öppna lagringskontot som är anslutet till din Azure Synapse Link för Dataverse-profilen.

  3. I det vänstra navigeringsfönstret väljer du Nätverkande. Sedan på fliken Brandväggar och virtuella nätverk väljer du följande inställningar:

    1. Aktiverat från valda virtuella nätverk och IP-adresser.
    2. Under Resursinstanser, välj Tillåt Azure-tjänster på listan över betrodda tjänster att komma åt detta lagringskonto

  4. Välj Spara.

Konfigurera nätverksåtkomst till Azure Synapse-arbetsytan

Important

Du måste ha en Azure Synapse-administratör roll för att slutföra den här uppgiften.

  1. Gå till Azure-portal.
  2. Öppna Azure Synapse-arbetsytan som är ansluten till din Azure Synapse Link för Dataverse-profilen.
  3. I det vänstra navigeringsfönstret väljer du Nätverkande.
  4. Välj Tillåt Azure-tjänster och -resurser att komma åt den här arbetsytan.
  5. Om det skapas regler för IP-brandväggar för alla IP-intervaller tar du bort dem för att begränsa åtkomsten till det offentliga nätverket. Azure Synapse arbetsytenätverksinställningar
  6. Lägg till en ny IP-brandväggsregel som baseras på klientens IP-adress.
  7. Välj Spara när du är klar. Mer information: Azure Synapse Analytics IP-brandväggsregler

Important

Dataverse: Du måste ha Dataverse systemadministratör-säkerhetsrollen. Dessutom måste tabeller som du vill exportera via Azure Synapse Link ha egenskapen Spåra ändringar aktiverad. Mer information: Avancerad sökning

Azure Data Lake Storage Gen2: Du måste ha ett Azure Data Lake Storage Gen2 konto och Owner och Storage Blob Data Contributor rollåtkomst. Ditt lagringskonto måste aktivera hierarkisk namnrymd för både den första installationen och deltasynkronisering Tillåt lagringskontonyckel för åtkomst krävs endast vid den första installationen.

Synapse-arbetsyta: Du måste ha en Synapse-arbetsyta och Synapse Administrator rollåtkomst i Synapse Studio. Synapse-arbetsytan måste finnas i samma region som ditt Azure Data Lake Storage Gen2-konto. Lagringskontot måste läggas till som en länkad tjänst i Synapse Studio. Skapa en Synapse-arbetsyta genom att gå till Skapa en Synapse-arbetsyta.

När du skapar länken hämtar Azure Synapse Link för Dataverse information om den för närvarande länkade företagsprincipen under Dataverse-miljön och cachelagrar sedan URL:en för identitetsklienthemligheten för att ansluta till Azure.

  1. Logga in på Power Apps och välj din miljö.
  2. I det vänstra navigeringsfönstret väljer du Azure Synapse Link och väljer sedan + Ny länk. Om objektet inte finns i sidopanelen väljer du ... Mer och välj sedan det objekt som du vill använda.
  3. Fyll i lämpliga fält enligt den avsedda inställningen. Välj Prenumeration, Resursgrupp och Lagringskonto. Om du vill ansluta Dataverse till Synapse-arbetsytan väljer du alternativet Anslut till din Azure Synapse-arbetsyta. För Delta Lake-datakonvertering väljer du en Spark-pool.
  4. Markera Välj företagspolicy med identitet för hanterad tjänst och välj sedan Nästa.
  5. Lägg till de tabeller du vill exportera och välj sedan Spara.

Anmärkning

För att göra kommandot Använd hanterad identitet tillgängligt i Power Apps måste du slutföra inställningarna ovan för att ansluta företagspolicyn till din Dataverse-miljö. Mer information: Anslut till företagspolicy till Dataverse-miljö

  1. Gå till en befintlig Synapse Link-profil från Power Apps (make.powerapps.com).
  2. Välj Använd hanterad identitet och bekräfta sedan. Använd kommandot hanterad identitet i Power Apps

Felsökning

Om du får 403 fel när länken skapas:

  • Hanterade identiteter tar extra tid att tilldela tillfälliga behörigheter under den inledande synkroniseringen. Ge det en stund och försök igen senare.
  • Se till att den länkade lagringen inte innehåller den befintliga Dataverse-behållaren (dataverse-environmentName-organizationUniqueName) från samma miljö.
  • Du kan identifiera den länkade företagsprincipen och policyArmId genom att köra PowerShell-skriptet ./GetIdentityEnterprisePolicyforEnvironment.ps1 från undermappen Source\Identity med Azure prenumerations-ID och resursgruppens namn.
  • Du kan ta bort länken till företagspolicyn genom att köra PowerShell-skriptet ./RevertIdentity.ps1 från undermappen Source\Identity med miljö-ID:t för Dataverse och policyArmId.
  • Du kan ta bort företagspolicyn genom att köra PowerShell-skriptet .\RemoveIdentityEnterprisePolicy.ps1 från undermappen Source\Identity med policyArmId.

Kända begränsningar

Endast en företagspolicy kan anslutas till Dataverse-miljön samtidigt. Om du behöver skapa flera Azure Synapse Link-länkar med hanterad identitet aktiverad, kontrollera att alla länkade Azure resurser finns under samma resursgrupp.

Se även

Vad är Azure Synapse Link for Dataverse?

  • Last updated on