Zulassen von mandantenübergreifenden Abfragen und Befehlen

Prinzipale aus mehreren Mandanten können Abfragen und Befehle in einem einzelnen Azure Data Explorer-Cluster ausführen. In diesem Artikel erfahren Sie, wie Sie einem Cluster Zugriff auf Prinzipale eines anderen Mandanten erteilen.

Zum Festlegen von trustedExternalTenants auf dem Cluster verwenden Sie ARM-Vorlagen, die AZ CLI, PowerShell oder den Azure-Ressourcen-Explorer, oder senden Sie eine API-Anforderung.

Die folgenden Beispiele zeigen, wie vertrauenswürdige Mandanten im Portal und mit einer API-Anforderung definiert werden.

Hinweis

Der Prinzipal, der Abfragen oder Befehle ausführen wird, muss zudem über eine entsprechende Datenbankrolle verfügen. Siehe auch Rollenbasierte Zugriffssteuerung. Die Überprüfung korrekter Rollen erfolgt nach der Überprüfung vertrauenswürdiger externer Mandanten.

Portal

1. Navigieren Sie im Azure-Portal zur Seite mit dem Azure Data Explorer-Cluster.

2. Wählen Sie im Menü auf der linken Seite unter Einstellungen die Option Sicherheit aus.

3. Legen Sie die gewünschten Mandantenberechtigungen fest.

API

Syntax

Zulassen bestimmter Mandanten

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Zulassen aller Mandanten

Das Array „trustedExternalTenants“ unterstützt außerdem die Notation mit Sternchen (*) für alle Mandanten, mit der Abfragen und Befehle von allen Mandanten zugelassen werden.

trustedExternalTenants: [ { "value": "*" }]

Hinweis

Der Standardwert für trustedExternalTenants ist „alle Mandanten“: [ { "value": "*" }]. Wenn das Array externer Mandanten bei der Clustererstellung nicht definiert wurde, kann es mit einem Clusteraktualisierungsvorgang überschrieben werden. Ein leeres Array bedeutet, dass nur Identitäten des Clustermandanten bei diesem Cluster authentifiziert werden dürfen.

Erfahren Sie mehr über Syntaxkonventionen.

Beispiele

Im folgenden Beispiel können bestimmte Mandanten Abfragen im Cluster ausführen:

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

Im folgenden Beispiel können alle Mandanten Abfragen im Cluster ausführen:

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Aktualisieren des Clusters

Aktualisieren Sie den Cluster mithilfe des folgenden Vorgangs:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Hinzufügen von Prinzipalen

Nach dem Aktualisieren der Eigenschaft trustedExternalTenants können Sie den Zugriff auf Prinzipale von den genehmigten Mandanten gewähren. Verwenden Sie das Azure-Portal, um einem Prinzipal Berechtigungen auf Clusterebene oder Datenbankberechtigungen zu erteilen. Alternativ können Sie Verwaltungsbefehle verwenden, um Zugriff auf der Ebene von Datenbank, Tabelle, Funktion oder materialisierter Sicht zu gewähren.

Begrenzungen

Die Konfiguration dieses Features gilt ausschließlich für Microsoft Entra-Identitäten (Benutzer, Anwendungen, Gruppen), die versuchen, eine Verbindung mit Azure Data Explorer herzustellen. Sie hat keine Auswirkungen auf die übergreifende Erfassung in Microsoft Entra.