استخدم الهويات المُدارة لـ Azure باستخدام Azure Data Lake Storage
يوفر Azure Data Lake Storage نموذج أمان من طبقات. يمكّنك هذا النموذج من تأمين مستوى الوصول إلى حسابات التخزين التي تتطلبها التطبيقات وبيئات المؤسسة الخاصة بك والتحكم فيه، بناءً على نوع ومجموعة فرعية من الشبكات أو الموارد المستخدمة. عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب بيانات عبر مجموعة محددة من الشبكات أو من خلال مجموعة محددة من موارد Azure الوصول إلى حساب التخزين. يمكنك تقييد الوصول إلى حساب التخزين الخاص بك على الطلبات التي تنشأ من عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية في شبكة Azure الظاهرية (VNet) أو مثيلات الموارد لبعض خدمات Azure.
تساعد الهويات المُدارة لـ Azure، المعروفة سابقًا باسم هوية الخدمة المُدارة (MSI)، في إدارة الأسرار. ينشئ عملاء Microsoft Dataverse الذين يستخدمون إمكانات Azure هوية مُدارة (جزء من إنشاء نهج المؤسسة) يمكن استخدامها لواحدة أو أكثر من بيئات Dataverse. يتم بعد ذلك استخدام هذه الهوية المُدارة التي سيتم توفيرها في المستأجر الخاص بك بواسطة Dataverse للوصول إلى Azure Data Lake الخاص بك.
باستخدام الهويات المدارة، يقتصر الوصول إلى حساب التخزين الخاص بك على الطلبات الناشئة من بيئة Dataverse المرتبطة بالمستأجر الخاص بك. عندما يتصل Dataverse بالمخزن نيابة عنك، فإنه يتضمن معلومات سياق إضافية لإثبات أن الطلب ينشأ من بيئة آمنة وموثوق بها. هذا يسمح للمخزن بمنح Dataverse الوصول إلى حساب التخزين الخاص بك. تُستخدم الهويات المدارة للتوقيع على معلومات السياق من أجل بناء الثقة. يؤدي ذلك إلى إضافة أمان على مستوى التطبيق بالإضافة إلى أمان الشبكة والبنية التحتية الذي يوفره Azure للاتصالات بين خدمات Azure.
قبل أن تبدأ
- يلزم Azure CLI على الجهاز المحلي الخاص بك. التنزيل والتثبيت
- أنت بحاجة إلى وحدتي PowerShell هاتين. إذا لم يكن لديك الوحدتان، فافتح PowerShell وقم بتشغيل هذه الأوامر:
- وحدة Azure Az PowerShell:
Install-Module -Name Az
- وحدة PowerShell لمسؤول Power Platform:
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
- وحدة Azure Az PowerShell:
- انتقل إلى [ملف المجلد المضغوط هذا على GitHub]((https://github.com/microsoft/PowerApps-Samples/blob/master/powershell/managed-identities/Common.zip). بعد ذلك، حدد تنزيل لتنزيله. قم باستخراج ملف المجلد المضغوط إلى جهاز كمبيوتر في موقع حيث يمكنك تشغيل أوامر PowerShell. يجب الاحتفاظ بجميع الملفات والمجلدات المستخرجة من مجلد مضغوط في موقعها الأصلي.
- نوصي بإنشاء حاوية تخزين جديدة ضمن نفس مجموعة موارد Azure لتضمين هذه الميزة.
تمكين سياسة المؤسسة لاشتراك Azure المحدد
هام
يجب أن يكون لديك حق وصول دور مالك اشتراك Azure لإكمال هذه المهمة. احصل على ID اشتراك Azure من صفحة نظرة عامة لمجموعة موارد Azure.
- افتح Azure CLI مع التشغيل كمسؤول وقم بتسجيل الدخول إلى اشتراك Azure الخاص بك باستخدام الأمر:
az login
مزيد من المعلومات: تسجيل الدخول باستخدام Azure CLI - (اختياري) إذا كان لديك اشتراكات Azure متعددة، فتأكد من تشغيل
Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id }
لتحديث اشتراكك الافتراضي. - قم بتوسيع المجلد المضغوط اللذي قمت بتنزيلها كجزء من قبل البدء بهذه الميزة إلى موقع حيث يمكنك تشغيل PowerShell.
- لتمكين نهج المؤسسة لاشتراك Azure المحدد، قم بتشغيل برنامج PowerShell النصي ./SetupSubscriptionForPowerPlatform.ps1.
- قم بتوفير معرف اشتراك Azure.
إنشاء نهج مؤسسة
هام
يجب أن يكون لديك مالك مجموعة موارد Azure اشتراك Azure لإكمال هذه المهمة. احصل على معرّف اشتراك Azure، والموقع، واسم مجموعة الموارد من صفحة النظرة العامة لمجموعة موارد Azure.
قم بإنشاء نهج المؤسسة. تشغيل برنامج PowerShell النصي
./CreateIdentityEnterprisePolicy.ps1
- قم بتوفير معرف اشتراك Azure.
- أدخل اسم مجموعة موارد Azure.
- قم بتوفير الاسم المفضل لسياسة المؤسسة.
- أدخل موقع مجموعة موارد Azure.
احفظ نسخة ResourceId بعد إنشاء السياسة.
ملاحظة
فيما يلي مدخلات الموقع الصالحة المدعومة لإنشاء السياسة. حدد الموقع الأكثر ملاءمة لك.
المواقع المتاحة لسياسة المؤسسة
الولايات المتحدة EUAP
الولايات المتحدة
جنوب إفريقيا
المملكة المتحدة
أستراليا
كوريا الجنوبية
اليابان
الهند
فرنسا
أوروبا
آسيا
النرويج
ألمانيا
سويسرا
كندا
البرازيل
الإمارات العربية المتحدة
سنغافورة
منح وصول القارئ إلى سياسة المؤسسة عبر Azure
يمكن للمسؤولين العموميين في Azure ومسؤولي Dynamics 365 ومسؤولي Power Platform الوصول إلى مركز مسؤولي Power Platform لتعيين البيئات إلى سياسة المؤسسة. للوصول إلى سياسات المؤسسة، يجب منح المسؤول العمومي أو Azure Key vault دور القارئ إلى Dynamics 365 أو مسؤول Power Platform. وبمجرد منح دور القارئ، سيرى Dynamics 365 أو Power Platform سياسات المؤسسة في مركز مسؤولي Power Platform.
يمكن فقط لمسؤولي Dynamics 365 ومسؤولي Power Platform الذين تم منحهم دور القارئ لسياسة المؤسسة "إضافة بيئة" إلى النهج. قد يتمكن مسؤولو Dynamics 365 وPowerPlatform الآخرون من عرض نهج المؤسسة، لكنهم سيحصلون على خطأ عندما يحاولون إضافة بيئة.
هام
يجب أن يكون لديك - Microsoft.Authorization/roleAssignments/write
أذونات، مثل وصول المسؤول المستخدم أو المالك لإكمال هذه المهمة.
- قم بتسجيل الدخول إلى مدخل Azure.
- احصل على ObjectID الخاص بمستخدم مسؤول Dynamics 365 Power Platform.
- انتقل إلى منطقة المستخدمين.
- افتح Dynamics 365 أو مستخدم مسؤول Power Platform.
- أسفل صفحة نظرة عامة للمستخدم، انسخ ObjectID.
- احصل على معرف سياسات المؤسسة:
- انتقل إلى مستكشف الرسم البياني للموارد في Azure.
- تشغيل هذا الاستعلام:
resources | where type == 'microsoft.powerplatform/enterprisepolicies'
- قم بالتمرير إلى يسار صفحة النتائج وحدد ارتباط راجع التفاصيل.
- في صفحة التفاصيل، انسخ المعرف.
- افتح Azure CLI وقم بتشغيل الأمر التالي، واستبدل
<objId>
بـ ObjectID الخاص بالمستخدم و<EP Resource Id>
بمعرف سياسة المؤسسة.New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>
توصيل سياسة المؤسسة ببيئة Dataverse
هام
يجب أن يكون لديك Power Platform مسؤول أو مسؤول Dynamics 365 دور لإكمال هذه المهمة. يجب أن يكون قارئ دور سياسة المؤسسة لإكمال هذه المهمة.
- احصل على معرف بيئة Dataverse.
- سجل دخولك إلى مركز إدارة Power Platform
- حدد البيئات، ثم افتح بيئتك.
- في قسم التفاصيل، انسخ معرف البيئة.
- للربط ببيئة Dataverse، قم بتشغيل برنامج PowerShell النصي:
./NewIdentity.ps1
- أدخل معرف بيئة Dataverse.
- أدخل ResourceId.
StatusCode = 202 يشير إلى أن الارتباط تم إنشاؤه بنجاح.
- سجل دخولك إلى مركز إدارة Power Platform
- حدد البيئات، ثم افتح البيئة التي حددتها سابقًا.
- في منطقة العمليات الأخيرة، حدد المحفوظات الكاملة للتحقق من اتصال الهوية الجديدة.
تكوين وصول الشبكة إلى Azure Data Lake Storage Gen2
هام
يجب أن يكون لديك Azure Data Lake Storage Gen2 صاحب دور لإكمال هذه المهمة.
انتقل إلى مدخل Azure.
افتح حساب التخزين المتصل بملف تعريف Azure Synapse Link for Dataverse.
في جزء التنقل الأيسر، حدد الشبكات. بعد ذلك، في علامة التبويب جدران الحماية والشبكات الظاهرية، حدد الإعدادات التالية:
- تم تمكينه من شبكات ظاهرية محددة وعناوين IP.
- ضمن مثيلات الموارد، حدد السماح لخدمات Azure في قائمة الخدمات الموثوقة بالوصول إلى حساب التخزين هذا
حدد حفظ..
تكوين وصول الشبكة إلى Azure Synapse Workspace
هام
يجب أن يكون لديك دور مسئول Azure Synapse لإكمال هذه المهمة.
- انتقل إلى مدخل Azure.
- افتح Azure Synapse workspace المتصلة بملف تعريف Azure Synapse Link for Dataverse الخاص بك.
- في جزء التنقل الأيسر، حدد الشبكات.
- حدد السماح لخدمات وموارد Azure بالوصول إلى مساحة العمل هذه.
- إذا كانت هناك قواعد جدار حماية IP تم إنشاؤها لكل نطاق IP، فاحذفها لتقييد الوصول إلى الشبكة العامة.
- أضف قاعدة جدار حماية IP جديدة استنادا إلى عنوان IP الخاص والعميل.
- حدد حفظ عند الانتهاء. مزيد من المعلومات:قواعد Azure Synapse Analytics جدار حماية IP
إنشاء Azure Synapse Link for Dataverse جديد باستخدام هوية مُدارة
هام
Dataverse: يجب أن يكون لديك لديك دور أمان مسؤول النظام في Dataverse. بالإضافة إلى ذلك، يتعين على الجداول التي تريد تصديرها عبر Azure Synapse Link تمكين خاصية تغييرات التعقب. مزيد من المعلومات: خيارات متقدمة
Azure Data Lake Storage Gen2: يجب أن يكون لديك حساب Azure Data Lake Storage Gen2 وحق وصول إلى دور المالك ودور مساهم بيانات مخزن البيانات الثنائية الكبيرة. يجب تمكين حساب التخزين الخاص بك مساحة اسم هرمية لكل من الإعداد الأولي ومزامنة دلتا. السماح بالوصول إلى مفتاح حساب التخزين مطلوب فقط للإعداد الأولي.
مساحة عمل Synapse: يجب أن يكون لديك مساحة عمل Synapse وحق وصول إلى دور مسؤول Synapse داخل استوديو Synapse. يجب أن تكون مساحة عمل Synapse في نفس المنطقة التي يوجد بها حساب Azure Data Lake Storage Gen2 . يجب إضافة حساب التخزين كخدمة مرتبطة داخل Synapse Studio. لإنشاء مساحة عمل Synapse، انتقل إلى إنشاء مساحة عمل Synapse.
وعند إنشاء الارتباط، يحصل Azure Synapse Link for Dataverse Dataverse على تفاصيل حول سياسة الشركة المرتبطة حاليا تحت البيئة، ثم يقوم بتخزين عنوان URL سري للعميل الهوية للاتصال بـ Azure.
- قم بتسجيل الدخول إلى Power Apps وحدد بيئتك.
- في جزء التنقل الأيسر، حدد Azure Synapse Link، ثم حدد + ارتباط جديد. If the item isn’t in the side panel pane, select …More and then select the item you want.
- حدد تحديد سياسة المؤسسة مع هوية الخدمة المدارة، ثم حدد التالي.
- وأضف الجداول التي تريد تصديرها، ثم حدد حفظ.
تمكين الهوية المُدارة لملف تعريف Azure Synapse Link موجود
ملاحظة
لإتاحة الأمر استخدام الهوية المُدارة في Power Apps، يلزمك إنهاء الإعداد السابق لتوصيل سياسة المؤسسة ببيئة Dataverse. مزيد من المعلومات: ربط سياسة المؤسسة ببيئة Dataverse
- انتقل إلى ملف تعريف Synapse Link موجود من Power Apps (make.powerapps.com).
- حدد استخدام الهوية المُدارة، ثم قم بالتأكيد.
استكشاف الأخطاء وإصلاحها
إذا تلقيت 403 أخطاء أثناء إنشاء الارتباط:
- تستغرق الهويات المُدارة وقتًا إضافيًا لمنح إذن عابر أثناء المزامنة الأولية. امنحها بعض الوقت وحاول العملية مرة أخرى لاحقًا.
- تأكد من أن مساحة التخزين المرتبطة لا تحتوي على حاوية Dataverse موجودة (dataverse-environmentName-organizationUniqueName) من نفس البيئة.
- يمكنك تحديد سياسة المؤسسة المرتبطة و
policyArmId
من خلال تشغيل برنامج PowerShell النصي./GetIdentityEnterprisePolicyforEnvironment.ps1
باستخدام معرف اشتراك Azure واسم مجموعة الموارد. - يمكنك إلغاء ربط سياسة المؤسسة من خلال تشغيل برنامج PowerShell النصي
./RevertIdentity.ps1
بمعرف بيئة Dataverse وpolicyArmId
. - يمكنك إزالة سياسة المؤسسة عن طريق تشغيل برنامج PowerShell النصي .\RemoveIdentityEnterprisePolicy.ps1 with policyArmId.