مشاركة عبر

استخدم الهويات المُدارة لـ Azure باستخدام Azure Data Lake Storage‬‏‫

  • مقالة

يوفر Azure Data Lake Storage نموذج أمان من طبقات. يمكّنك هذا النموذج من تأمين مستوى الوصول إلى حسابات التخزين التي تتطلبها التطبيقات وبيئات المؤسسة الخاصة بك والتحكم فيه، بناءً على نوع ومجموعة فرعية من الشبكات أو الموارد المستخدمة. عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب بيانات عبر مجموعة محددة من الشبكات أو من خلال مجموعة محددة من موارد Azure الوصول إلى حساب التخزين. يمكنك تقييد الوصول إلى حساب التخزين الخاص بك على الطلبات التي تنشأ من عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية في شبكة Azure الظاهرية (VNet) أو مثيلات الموارد لبعض خدمات Azure.

تساعد الهويات المُدارة لـ Azure، المعروفة سابقًا باسم هوية الخدمة المُدارة (MSI)، في إدارة الأسرار. ينشئ عملاء Microsoft Dataverse الذين يستخدمون إمكانات Azure هوية مُدارة (جزء من إنشاء نهج المؤسسة) يمكن استخدامها لواحدة أو أكثر من بيئات Dataverse. يتم بعد ذلك استخدام هذه الهوية المُدارة التي سيتم توفيرها في المستأجر الخاص بك بواسطة Dataverse للوصول إلى Azure Data Lake الخاص بك.

باستخدام الهويات المدارة، يقتصر الوصول إلى حساب التخزين الخاص بك على الطلبات الناشئة من بيئة Dataverse المرتبطة بالمستأجر الخاص بك. عندما يتصل Dataverse بالمخزن نيابة عنك، فإنه يتضمن معلومات سياق إضافية لإثبات أن الطلب ينشأ من بيئة آمنة وموثوق بها. هذا يسمح للمخزن بمنح Dataverse الوصول إلى حساب التخزين الخاص بك. تُستخدم الهويات المدارة للتوقيع على معلومات السياق من أجل بناء الثقة. يؤدي ذلك إلى إضافة أمان على مستوى التطبيق بالإضافة إلى أمان الشبكة والبنية التحتية الذي يوفره Azure للاتصالات بين خدمات Azure.

قبل أن تبدأ

  • يلزم Azure CLI على الجهاز المحلي الخاص بك. التنزيل والتثبيت
  • أنت بحاجة إلى وحدتي PowerShell هاتين. إذا لم يكن لديك الوحدتان، فافتح PowerShell وقم بتشغيل هذه الأوامر:
    • وحدة Azure Az PowerShell: Install-Module -Name Az
    • وحدة PowerShell لمسؤول Power Platform: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • انتقل إلى [ملف المجلد المضغوط هذا على GitHub]((https://github.com/microsoft/PowerApps-Samples/blob/master/powershell/managed-identities/Common.zip). بعد ذلك، حدد تنزيل لتنزيله. قم باستخراج ملف المجلد المضغوط إلى جهاز كمبيوتر في موقع حيث يمكنك تشغيل أوامر PowerShell. يجب الاحتفاظ بجميع الملفات والمجلدات المستخرجة من مجلد مضغوط في موقعها الأصلي.
  • نوصي بإنشاء حاوية تخزين جديدة ضمن نفس مجموعة موارد Azure لتضمين هذه الميزة.

تمكين سياسة المؤسسة لاشتراك Azure المحدد

هام

يجب أن يكون لديك حق وصول دور مالك اشتراك Azure لإكمال هذه المهمة. احصل على ID اشتراك Azure من صفحة نظرة عامة لمجموعة موارد Azure.

  1. افتح Azure CLI مع التشغيل كمسؤول وقم بتسجيل الدخول إلى اشتراك Azure الخاص بك باستخدام الأمر: az login مزيد من المعلومات: تسجيل الدخول باستخدام Azure CLI
  2. (اختياري) إذا كان لديك اشتراكات Azure متعددة، فتأكد من تشغيل Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } لتحديث اشتراكك الافتراضي.
  3. قم بتوسيع المجلد المضغوط اللذي قمت بتنزيلها كجزء من قبل البدء بهذه الميزة إلى موقع حيث يمكنك تشغيل PowerShell.
  4. لتمكين نهج المؤسسة لاشتراك Azure المحدد، قم بتشغيل برنامج PowerShell النصي ./SetupSubscriptionForPowerPlatform.ps1.
    • قم بتوفير معرف اشتراك Azure.

إنشاء نهج مؤسسة

هام

يجب أن يكون لديك مالك مجموعة موارد Azure اشتراك Azure لإكمال هذه المهمة. احصل على معرّف اشتراك Azure، والموقع، واسم مجموعة الموارد من صفحة النظرة العامة لمجموعة موارد Azure.

  1. قم بإنشاء نهج المؤسسة. تشغيل برنامج PowerShell النصي ./CreateIdentityEnterprisePolicy.ps1

    • قم بتوفير معرف اشتراك Azure.
    • أدخل اسم مجموعة موارد Azure.
    • قم بتوفير الاسم المفضل لسياسة المؤسسة.
    • أدخل موقع مجموعة موارد Azure.

  2. احفظ نسخة ResourceId بعد إنشاء السياسة.

ملاحظة

فيما يلي مدخلات الموقع الصالحة المدعومة لإنشاء السياسة. حدد الموقع الأكثر ملاءمة لك.

المواقع المتاحة لسياسة المؤسسة

الولايات المتحدة EUAP

الولايات المتحدة

جنوب إفريقيا

المملكة المتحدة

أستراليا

كوريا الجنوبية

اليابان

الهند

فرنسا

‏‏أوروبا

آسيا

النرويج

ألمانيا

سويسرا

كندا

البرازيل

الإمارات العربية المتحدة

سنغافورة

منح وصول القارئ إلى سياسة المؤسسة عبر Azure

يمكن للمسؤولين العموميين في Azure ومسؤولي Dynamics 365 ومسؤولي Power Platform الوصول إلى مركز مسؤولي Power Platform لتعيين البيئات إلى سياسة المؤسسة. للوصول إلى سياسات المؤسسة، يجب منح المسؤول العمومي أو Azure Key vault دور القارئ إلى Dynamics 365 أو مسؤول Power Platform. وبمجرد منح دور القارئ، سيرى Dynamics 365 أو Power Platform سياسات المؤسسة في مركز مسؤولي Power Platform.

يمكن فقط لمسؤولي Dynamics 365 ومسؤولي Power Platform الذين تم منحهم دور القارئ لسياسة المؤسسة "إضافة بيئة" إلى النهج. قد يتمكن مسؤولو Dynamics 365 وPowerPlatform الآخرون من عرض نهج المؤسسة، لكنهم سيحصلون على خطأ عندما يحاولون إضافة بيئة.

هام

يجب أن يكون لديك - Microsoft.Authorization/roleAssignments/write أذونات، مثل وصول المسؤول المستخدم أو المالك لإكمال هذه المهمة.

  1. قم بتسجيل الدخول إلى مدخل Azure.
  2. احصل على ObjectID الخاص بمستخدم مسؤول Dynamics 365 Power Platform.
    1. انتقل إلى منطقة المستخدمين.
    2. افتح Dynamics 365 أو مستخدم مسؤول Power Platform.
    3. أسفل صفحة نظرة عامة للمستخدم، انسخ ObjectID.
  3. احصل على معرف سياسات المؤسسة:
    1. انتقل إلى مستكشف الرسم البياني للموارد في Azure.
    2. تشغيل هذا الاستعلام: resources | where type == 'microsoft.powerplatform/enterprisepolicies' تشغيل الاستعلام في مستكشف الرسم البياني للموارد Azure
    3. قم بالتمرير إلى يسار صفحة النتائج وحدد ارتباط راجع التفاصيل.
    4. في صفحة التفاصيل، انسخ المعرف.
  4. افتح Azure CLI وقم بتشغيل الأمر التالي، واستبدل <objId> بـ ObjectID الخاص بالمستخدم و<EP Resource Id> بمعرف سياسة المؤسسة.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

توصيل سياسة المؤسسة ببيئة Dataverse

هام

يجب أن يكون لديك Power Platform مسؤول أو مسؤول Dynamics 365 دور لإكمال هذه المهمة. يجب أن يكون قارئ دور سياسة المؤسسة لإكمال هذه المهمة.

  1. احصل على ‏معرف بيئة Dataverse.
    1. سجل دخولك إلى مركز إدارة Power Platform
    2. حدد البيئات، ثم افتح بيئتك.
    3. في قسم التفاصيل، انسخ معرف البيئة.
    4. للربط ببيئة Dataverse، قم بتشغيل برنامج PowerShell النصي: ./NewIdentity.ps1
    5. أدخل ‏معرف بيئة Dataverse.
    6. أدخل ResourceId.
      StatusCode = 202 يشير إلى أن الارتباط تم إنشاؤه بنجاح.
  2. سجل دخولك إلى مركز إدارة Power Platform
  3. حدد البيئات، ثم افتح البيئة التي حددتها سابقًا.
  4. في منطقة العمليات الأخيرة، حدد المحفوظات الكاملة للتحقق من اتصال الهوية الجديدة.

تكوين وصول الشبكة إلى Azure Data Lake Storage Gen2

هام

يجب أن يكون لديك Azure Data Lake Storage Gen2 صاحب دور لإكمال هذه المهمة.

  1. انتقل إلى مدخل Azure.

  2. افتح حساب التخزين المتصل بملف تعريف Azure Synapse Link for Dataverse.

  3. في جزء التنقل الأيسر، حدد الشبكات. بعد ذلك، في علامة التبويب جدران الحماية والشبكات الظاهرية‬‏‫، حدد الإعدادات التالية:

    1. تم تمكينه من شبكات ظاهرية محددة وعناوين IP.
    2. ضمن مثيلات الموارد، حدد السماح لخدمات Azure في قائمة الخدمات الموثوقة بالوصول إلى حساب التخزين هذا

  4. حدد حفظ..

تكوين وصول الشبكة إلى Azure Synapse Workspace

هام

يجب أن يكون لديك دور مسئول Azure Synapse لإكمال هذه المهمة.

  1. انتقل إلى مدخل Azure.
  2. افتح Azure Synapse workspace المتصلة بملف تعريف Azure Synapse Link for Dataverse الخاص بك.
  3. في جزء التنقل الأيسر، حدد الشبكات.
  4. حدد السماح لخدمات وموارد Azure بالوصول إلى مساحة العمل هذه.
  5. إذا كانت هناك قواعد جدار حماية IP تم إنشاؤها لكل نطاق IP، فاحذفها لتقييد الوصول إلى الشبكة العامة. إعدادات شبكة Azure Synapse workspace
  6. أضف قاعدة جدار حماية IP جديدة استنادا إلى عنوان IP الخاص والعميل.
  7. حدد حفظ عند الانتهاء. مزيد من المعلومات:قواعد Azure Synapse Analytics جدار حماية IP

هام

Dataverse: يجب أن يكون لديك لديك دور أمان مسؤول النظام في Dataverse. بالإضافة إلى ذلك، يتعين على الجداول التي تريد تصديرها عبر Azure Synapse Link تمكين خاصية تغييرات التعقب. مزيد من المعلومات: خيارات متقدمة

Azure Data Lake Storage Gen2: يجب أن يكون لديك حساب Azure Data Lake Storage Gen2 وحق وصول إلى دور المالك ودور مساهم بيانات مخزن البيانات الثنائية الكبيرة. يجب تمكين حساب التخزين الخاص بك مساحة اسم هرمية لكل من الإعداد الأولي ومزامنة دلتا. السماح بالوصول إلى مفتاح حساب التخزين مطلوب فقط للإعداد الأولي.

مساحة عمل Synapse: يجب أن يكون لديك مساحة عمل Synapse وحق وصول إلى دور مسؤول Synapse داخل استوديو Synapse. يجب أن تكون مساحة عمل Synapse في نفس المنطقة التي يوجد بها حساب Azure Data Lake Storage Gen2‏‏ . يجب إضافة حساب التخزين كخدمة مرتبطة داخل Synapse Studio. لإنشاء مساحة عمل Synapse، انتقل إلى إنشاء مساحة عمل Synapse.

وعند إنشاء الارتباط، يحصل Azure Synapse Link for Dataverse Dataverse على تفاصيل حول سياسة الشركة المرتبطة حاليا تحت البيئة، ثم يقوم بتخزين عنوان URL سري للعميل الهوية للاتصال بـ Azure.

  1. قم بتسجيل الدخول إلى Power Apps وحدد بيئتك.
  2. في جزء التنقل الأيسر، حدد Azure Synapse Link، ثم حدد + ارتباط جديد. If the item isn’t in the side panel pane, select …More and then select the item you want.
  3. حدد تحديد سياسة المؤسسة مع هوية الخدمة المدارة، ثم حدد التالي.
  4. وأضف الجداول التي تريد تصديرها، ثم حدد حفظ.

ملاحظة

لإتاحة الأمر استخدام الهوية المُدارة في Power Apps، يلزمك إنهاء الإعداد السابق لتوصيل سياسة المؤسسة ببيئة Dataverse. مزيد من المعلومات: ربط سياسة المؤسسة ببيئة Dataverse

  1. انتقل إلى ملف تعريف Synapse Link موجود من Power Apps (‏make.powerapps.com).
  2. حدد استخدام الهوية المُدارة، ثم قم بالتأكيد. استخدام أمر الهوية المُدارة في Power Apps

استكشاف الأخطاء وإصلاحها

إذا تلقيت 403 أخطاء أثناء إنشاء الارتباط:

  • تستغرق الهويات المُدارة وقتًا إضافيًا لمنح إذن عابر أثناء المزامنة الأولية. امنحها بعض الوقت وحاول العملية مرة أخرى لاحقًا.
  • تأكد من أن مساحة التخزين المرتبطة لا تحتوي على حاوية Dataverse موجودة (dataverse-environmentName-organizationUniqueName) من نفس البيئة.
  • يمكنك تحديد سياسة المؤسسة المرتبطة وpolicyArmId من خلال تشغيل برنامج PowerShell النصي ./GetIdentityEnterprisePolicyforEnvironment.ps1 باستخدام معرف اشتراك Azure واسم مجموعة الموارد.
  • يمكنك إلغاء ربط سياسة المؤسسة من خلال تشغيل برنامج PowerShell النصي ./RevertIdentity.ps1 بمعرف بيئة Dataverse وpolicyArmId.
  • يمكنك إزالة سياسة المؤسسة عن طريق تشغيل برنامج PowerShell النصي .\RemoveIdentityEnterprisePolicy.ps1 with policyArmId.

(راجع أيضًا)

ما هو Azure Synapse Link for Dataverse؟